操作风险与控制本地化工作说明(交行)

操作风险管理体系建设项目全行推广培训-RCSA问卷的本地化学习目标•了解风险与控制自我评估(RCSA)问卷本地化的目的•了解风险与控制自我评估(RCSA)问卷本地化进行方式12•风险与控制自我评估(RCSA)问卷本地化的目的•风险与控制自我评估(RCSA)问卷本地化工作说明大纲本地化的目的流程分析与RCSA的主要工作以及辅助工具4执行流程分析制作RCSA问卷进行RCSA问卷填答(风险/控制评分)设计与执行行动方案流程分析模板操作风险字典库控制字典库RCSA问卷模板RCSA评分标准风险地图行动方案模版质量检查模板流程分析与RCSA的主要工作为以下四项：内容类型子流程前后子流程步骤的投入与产出流程步骤控制措施标的风险类型执行人员信息系统编号１２３４５６７８９１０１１１２１３１４１５１６１７１８１９内容子流程名称子流程编号承接流名称后续流程名称使用数据/信息/文件产出数据/信息/文件步骤名称步骤编号步骤内容说明配备控制措施注记控制类型编号控制类型概述控制措施补充说明风险事件类型编号风险事件类型概述风险因子类型编号风险因子类型概述步骤的操作人员使用的信息系统流程综合说明表_内容概要说明流程综合说明表包含以下19项字段，本说明表将完整描述流程的细节内容（包括流程步骤、执行人员等），并说明目前针对操作风险所配备的控制措施以及其所要管控的标的操作风险(固有操作风险类型)。RR-1RR-2RR-3RR-4RR-5RR-6RR-7RR-8RR_9RR-10剩余风险评分频率严重度间接损失1间接损失2间接损失3间接损失4间接损失5风险暴露*(直接损失)剩余风险落点调整后的风险地图落点RCSA问卷_内容概要说明12-12-23-13-24-14-25-15-25-35-45-5操作风险事件综合说明风险事件风险因子直接损失影响类型间接损失影响类型编号类型编号类型编号类型声誉严重受损运营中断广大客户服务质量受损监管行动员工安全10-110-211-111-2IR-1IR-2IR-3C-1C-2C-2控制落实度评分单位与频率风险评分单位与频率固有风险评分(直接损失)控制评分单位频率单位频率频率严重度风险暴露*(直接损失)设计落实度有效性*6-16-27-17-28-18-28-39-19-2新资本协议损失形态风险事件对应的子流程控制类型控制设计评分单位与频率编号类型编号流程编号类型内容单位频率注：1-11为基础字段，IR、C、RR为评分字段6流程分析结果构成RCSA问卷主体7子流程步骤控制类型风险事件类型风险因子类型…子流程1步骤1.1控制a风险AF1风险ZF2步骤1.2控制a风险ZF3控制c风险JF2风险AF2风险LF3子流程2步骤2-1控制b风险AF2…风险CF1………风险事件类型控制类型风险因子子流程….风险暴露评分控制有效性评分风险A控制aF1,F2子流程1子流程3子流程5控制b控制c…注:省略部分字段流程分析:流程综合说明表注:省略部分字段RCSA问卷依据流程分析的结果，参考操作风险与控制字典库，识别及整理流程中固有的操作风险事件（以及其成因、影响效果与新资本协议损失型态的匹配关系），以及针对这些固有的操作风险，目前已配备的控制措施。据此，可以整理出流程的RCSA问卷。8为什么需要本地化？1.总行先前识别出风险事件的综合说明内容以及相关信息可能与分行的现状不同2.总行规范的控制类型以及控制措施内容，分行可能因为不同的运营情形，在实际作法上与总行的规范不同(例如：实际操作的人员不一样或是有些控制措施并没有执行）3.总行先前规范的评分单位可能与分行的实际情形有差别(例如：分行可以指定不同的人员或岗位来进行评分）如果直接使用总行的标准模板进行风险与控制的评估工作，会有什么问题？思考本地化的目的:使分行或网点能够依据贴近实际情形的风险与控制，更为准确地进行评估的工作。9RCSA问卷需要进行本地化的部分_基础字段(以会计业务的个人存款流程为例)操作风险事件内容说明及相关信息控制措施评分单位本次推广不强制要求对操作风险事件内容说明及相关信息进行本地化本次推广应完成本地化的部分补充说明：操作风险字典库操作风险字典库包括以下四个子字典库（分类表）：操作风险因子、操作风险事件、新资本协议损失事件形态、操作风险事件影响效果。操作风险因子分类表的一级目录员工内部程序信息系统外部事件操作风险事件分类表的一级目录内部事件外部事件损失事件形态分类表的一级目录内部欺诈外部欺诈就业政策和工作场所安全客户、产品和业务活动事件资产的损坏信息科技系统事件执行、交付或交割、及过程管理事件影响类型分类表的一级目录直接损失间接损失补充说明：操作风险字典库_风险因子分类表依据新资本协议对操作风险的定义，操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。我们以此架构为基础，将这四大因子加以细化，成为具有三级目录的风险因子分类表。以下为第一级与第二级目录的内容。一级目录二级目录H员工H1人员职能H2薪酬与奖金制度H3文化与沟通环境H4工作分配H5合同、社会保障与雇员状况的管理H6工作环境安全P内部程序P1操作程序效率与效果P2操作程序配备与设计P3内部环境安全管理体系T信息系统T1系统功能T2数据管理环境E外部事件E1机构往来E2外包商管理银行设立/并购/营业处所设置违反法规银行财务/会计/税务处理违反法规银行产品/营业项目/营业行为违法银行资金使用/提拨违法劳资冲突/雇用关系违法或有重大纠纷特殊岗位资格及兼职状况违法内部人员窃盗/抢劫行为内部人员伪冒/伪变造/窜改行为销售/咨询/业务/服务違法或纠纷业务及交易错误法律相关程序错误客户资产、文档、数据维护与管理错误银行公告/揭露/重大信息报告违规内部人员挪用/侵占/虚报行为契约/文件/担保品/征信/管理错误其他恶意行为内部事件外部人员窃盗/抢劫外部人员伪冒/变造/窜改行为外部人员其他恶意行为交易对象操作错误或与交易对象有重大纠纷委外厂商操作错误或与委外厂商有重大纠纷外部事件补充说明：操作风险字典库_风险事件分类表依据国内外的实践经验，我们设计了第一版的操作风险事件分类表。以下为风险事件分类表的第一级与第二级目录。設備損毀/故障外部环境重大变更天灾人祸或外部提供的设备损坏或服务中断工作权责划分强制休假/代理人员/轮调制度业务/交易限额制度盘点制度信息系统核对/提示功能检查制度影音摄录考核制度信息安控措施双重管控制度复核制度权限管控确认单制度表单、报表检查或核对功能书面纪录归档保管控制字典库_总体性控制类型控制字典库_环节性控制类型补充说明：控制字典库管控操作风险的控制措施可简单分为以下两大类（控制字典库亦是基于此架构建立）：1.总体性控制措施：针对流程总体的运营环境（风险因子）所设计，或是同时对流程中多个步骤或环节可能引发的操作风险事件有风险有管控效果的控制措施2.环节性的控制措施：针对流程环节中可能引发的操作风险事件所设计的控制措施标准化文档模板培训制度操作程序设计风险缓释举措RCSA问卷本地化工作说明RCSA问卷本地化调整重点(以会计「金库管理」流程为例)15步骤一：确认操作风险事件内容说明及相关信息为使评估人员可以明确了解评估标的：操作风险事件代表的意义，需确认操作风险事件的综合说明是否符合分行现状。若需增加或调整应参考风险字典库完成相应的工作。操作风险事件综合说明是参考风险事件（2-1和2-2栏）、诱发该项风险事件的关键风险因子（3-1和3-2栏）、造成的损失影响效果（4-1至5-5栏），以及与风险事件相关的业务流程（7-1和7-2栏），用简洁的文字描述该项风险事件，从而完成RCSA问卷的风险评估标的。RCSA问卷本地化调整重点(以会计「金库管理」流程为例)步骤二：确认控制措施为使评估人员可以明确了解评估标的、控制措施代表的意义，需确认控制措施的内容说明是否符合分行现状。若需增加或调整应参考控制字典库完成相应的工作。控制措施说明的字段包含类型编号、类型概述以及控制措施（8-1、8-2栏以及8-3栏）1617RCSA问卷本地化调整重点(以会计「金库管理」流程为例)根据风险事件说明以及控制措施，确认各项控制措施和该项操作风险事件与分行相关的评分单位。步骤三：确认风险以及各项控制措施的评分单位1818补充说明：RCSA评分单位或岗位规划以及评分频率规划评估单位应进行评估项目评估频率固有风险剩余风险控制设计有效性控制落实度1.固有风险：每年至少评估一次2.剩余风险：每半年至少评估一次3.控制设计：每半年至少评估一次4.控制落实度：针对每日多次执行的控制措施，至少每月评估一次；针对执行频率较低的控制措施，至少应每半年评估一次；最长区间为每年评估一次总行各部门应评估应评估应评估应评估分行应评估应评估应评估应评估支行与网点不须评估不须评估不须评估应评估对操作风险暴露与控制有效性的评估，至少应达到以下频率要求。总行条线管理单位，可以依据管理的要求，在此基础上增加操作风险暴露或控制有效性的评估次数。学习目标•了解风险与控制自我评估(RCSA)问卷本地化的目的•了解风险与控制自我评估(RCSA)问卷本地化进行方式19