搜索
FredBell中国银行风险管理合作项目负责人操作风险管理2操作风险管理目录什么是操作风险RBS组织结构和方法操作风险管理框架操作风险管理手册操作风险报告内控3什么是操作风险“由于内部流程、人员和系统不完善或失败,或由于外部事件引起损失的风险”来源:巴塞尔协议“由于人员差错、无效或设计不充分的流程、系统和不当行为(包括犯罪行为)造成的损失”来源:RBS4什么是操作风险–示例未经授权员工进入分行电脑系统–内部欺诈业务数据输入错误–罚息新产品太受欢迎-客户服务延迟、服务成本增加和客户不满分行反洗钱工作没有重点,反洗钱效果差–监管当局罚款自然灾害危及员工安全,引起业务中断–网点关闭、客户不便和服务中断5什么是操作风险作为业务一部分的操作风险无处不在.可能由于内部或外部因素引起.可能出现在多个部门。操作风险是经营不可避免的因素。无法完全消除,只能尽可能减少。操作风险影响具有隐蔽性,不容易测算。和其它风险类别不同,操作风险往往由多个原因造成,不易识别。操作风险到处存在。业务流程或系统设计不合理(无论该系统是支持信贷审核,还是防范欺诈)都会造成操作风险损失。业务流程的改变也会引起新的操作风险6什么是操作风险管理?操作风险管理是识别和理解业务流程中的操作风险的敞口,而不是完全避免之。必须制定操作风险管理战略:规避、转移、缓释还是接受。.只要理解风险、意识到风险、有透明的披露和充分的监控,接受操作风险也是操作风险管理的一个可能战略。操作风险随着人员、流程、外部因素和系统改变而不断改变,需要联系评估和监控保证业务部门在理解风险的前提下进行决策。必须根据风险与收益配比的原则进行管理操作风险管理是前瞻性的-未来有哪些风险可能影响业务。但是管理的依据是对过去发生的风险的原因和损失的分析。操作风险管理需要企业文化的改变-不可能在一夜之间发生。7操作风险管理职责操作风险管理人人有责,但职责不同。业务部门对操作风险管理最终负责。操作风险管理专家负责支持业务部门理解和评估操作风险。其它部门专家负责制定有关具体类型操作风险的政策和流程。这些部门包括.:反欺诈–监察部法律–法律合规部合规–法律合规部人员–人力资源部系统/信息安全–信息科技部8操作风险管理的对象财务影响客户或员工影响声誉影响原因原因原因Controls预防性调查性纠正性Risk事件9RBS组织框架和方法10RBS集团组织架构SirFredGoodwin集团首席执行官财务管理JohnBaines,CEO公司市场JohnnyCameronCEOAlanDickinson,CEOUK英国公司市场部(UKCB)BrianCrowe,CEO全球银行市场部RBS保险AnnetteCourt,CEO集中处理重新MarkFisher,CEOCitizens(美国)LarryFish,总裁兼CEOUKEuropeUSAsia爱尔兰英国欧洲美国亚洲英国欧洲美国亚洲英国欧洲美国Ulster银行CormacMcCarthy,CEO零售市场及直接银行业务部GordonPell,CEO零售银行ChrisSullivan,CEO零售银行卡欧洲直接银行业务Tesco个人金融公司消费信贷集团办公室11RBS操作风险管理框架集团操作风险部部门风险管理职能部门业务发起部门风险管理单位12操作风险管理程人员配置部门2006年配备人员集团操作风险55公司市场部60零售市场(含直接金融和财富管理)390集中处理部105RBS保险45Ulster(爱尔兰)28Citizens(美国)12操作风险管理总员工数67513操作风险管理框架14操作风险管理框架RBS操作风险管理框架(ORMF)提供了进行操作风险有效管理的框架结构。该框架的目的是:对本集团面临的由于人员差错、流程设计缺失或不充分,系统失灵或不当行为引起的损失风险敞口进行管理;协助管理层和员工在操作风险关流方面的履职工作建立全行统一的操作风险管理最低标准(包括指引和相关技术),确保操作风险政策、原则和流程的充分性和有效性。15操作风险管理框架–关键要素治理机制确定信息流动和决策权利的正式的结构职责确定各部门和业务单位的职责。管理层和员工应正确理解其职责,并具有相应的能力和经验完成操作风险管理政策和流程的要求。政策、原则和指引宣传操作风险管理最低要求指引应规定自我评估方法(内部认证)16概要–治理机制董事会集团行政管理委员会集团风险管理委员会集团风险管理部部门操作风险管理团队集团审计委员会部门风险委员会授权确定操作风险偏好建议战略、批准控制、管理绩效审核设计框架、趋势和集团操作风险状况监控、质量评估添加部门管理层和业务控制环节、监控部门操作风险状况17职责–业务部门部门首席执行官(CEO)部门首席执行官对他/她所在部门业务中所有操作风险的管理负责。包括建立符合操作风险管理手册中最低要求的部门操作风险管理框架,并对季度自我认证结果签字确认。业务单位和条线管理部门负责业务条线日常操作风险管理工作。该工作必须是充分和有效的。部门操作风险管理团队协助部门管理层制定、维护和监察本部门操作风险管理框架(包括风险管理工作漏洞和风险状况变化的监控)18职责–总行集团风险管理部负责制定和维护集团操作风险管理框架和标准,并通过操作风险管理手册为基础的原则和技术的适用达到这一标准。集团稽核部对集团和部门操作风险管理的充分性、有效性和连续性进行独立检查。.专家部门(如人力资源部、反欺诈部和信息安全部门)在其领域提供具体的专业技术和技能支持,帮助操作风险识别、评估、监控和缓释。集团建立各领域专家小组,帮助集团和部门操作风险管理团队进行操作风险的全面管理。19操作风险管理手册20识别评估监督和报告缓释•回避•转移•通过控制缓释•结束作为剩余风险•KRI•损失数据•可能性•影响度•外部事件•新产品•收购•业务流程改变识别由于犯罪活动、人员差错、设计流程不充分和不当行为等原因造成损失的风险敞口评估操作风险发生的概率(频率)及其影响的大型小(财务影响,员工、客户和声誉影响通过以下方式缓释风险:规避风险,在操作流程中实施控制(内控环节);将风险转移到更能管理该风险的部门或集团外部机构;接受剩余风险,将其造成的损失计入业务成本.监控和报告剩余操作风险敞口(集团可能遭受损失的敞口),确保业务流程对操作风险的持续管理,并及时识别信的操作风险和需要采取的行动。操作风险管理周期21操作风险管理手册操作风险管理手册描述了我们执行操作风险管理框架的政策、原则和核心流程。手册包括以下流程:风险与控制评估操作风险事项日志剩余操作风险数据库操作风险有效性检查内部损失数据搜集业务流程改变操作风险评估手册还配有指引,方便执行。.配有执行所需的模板和表格。.手册与现有操作风险管理流程互为补充(如集团新产品审批流程).22风险与控制评估风险与控制评估目的是为了对业务中的风险和风险缓释措施进行评估,并对操作风险管理的充分性进行评价。包括缺失或设计不充分的控制环节的识别。该流程的最低要求是:涵盖所有业务领域;识别业务所有者(即风险所有者);识别所有实质性业务流程;识别和评估所有实质性业务流程的风险的发生概率和影响度;识别和评估风险缓释措施的充分性;识别需要连续监控的关键风险指标;和对操作风险根据集团操作风险统一分类表进行分类23风险与控制评估(含关键风险指标)ControlYRiskAction&ReportProcessBusinessUnitKeyRiskIndicatorControlXKeyRiskIndicatorKeyRiskIndicatorMapBusinessUnitHierarchyIdentifyBusinessProcessesIdentify&AssessRisksIdentify&AssessControlsMitigate/Monitor/ReportAssessResidualRisk24事件报告重点损失数据重点事件报告和数据搜集损失事件分类(示例)-自然或人为灾害-健康、安全与人力资源管理事件-未经授权的行动(内部)未经授权的行动(外部)供应商失误-违规和违反委托关系行为-处理错误事件操务影响客户与员工影响声誉影响原因原因原因风险原因风险(示例))-人员-流程-IT系统-财产-业务-环境、-政治-监管影响度分类(示例))-重大-严重-重要-次要25操作风险报告26操作风险报告–原则‘银行应对操作风险状况和实质性风险损失进行定期监控。监控结果应以适当方式向管理层和董事会报告,以支持积极的操作风险管理工作。.’巴塞尔委员会报告应及时准确清晰一致连续进行27操作风险报告–最初步骤理解信息需求理解为什么需要信息理解信息的作用理解需要信息的频率理解目前能做到的现实情况建立长期、连续的报告模式和内容28RBS操作风险内部报告集团操作风险管理部编制月度操作风险报告1.集团操作风险部报告内容:关键事件和领域风险状况总结,及其风险偏好情况:收购、出售和转移(或购入)业务部门新产品,新监管规定和立法,欺诈和抢劫网点发生的增加2.各部门报告:各部门重要风险事件和风险状况变化剩余风险的实质性改变内部控制的充分性和有效性月度重大事件数据审计结果29操作风险报告–基本模式每月报告欺诈案件的数量、金额、挽回金额,分为:内部欺诈外部欺诈信用卡欺诈操作风险损失事件的数量和(毛)净额:原因业务条线/事件发生部门总行稽核部稽核结果汇总/发现的控制问题。包括:原因业务条线/问题发生部门发现问题的严重性洗钱损失事件的数量和(毛)净额:原因业务条线/问题发生部门30操作风险报告–高级模式报告应包括事件情况、趋势分析,数据评价,以帮助业务部门做好关键事件及其业务影响分析。报告内容应包括:出现问题领域(内部和外部)关键事件损失数据、欺诈和不利影响分析风险状况:-总体风险水平变化-风险控制有效性改变-剩余风险改变(使用关键风险指标等反映)31RBS–内部与外部报告报告要求RBS集团操作风险管理框架审计委员会行政管理委员会和董事会集团管理层-(自我认证流程)SoX404法律巴塞尔协议要求监管当局原则1业务流程对操作风险管理的充分性必须定期检查,并通过正式程序进行季度确认。.原则4必须每季度对业务流程操作风险控制的有效性进行评估。为此所有业务部门必须:•建立连续的测试方案•搜集和分析损失数据原则3超过风险容忍度的剩余风险并须制定相应的解决行动。必须对该行动的进行实施连续的监督。原则2.业务部门必须确定可接受剩余风险(即实施了控制后的风险水平)水平,并进行书面记录并由部门负责人签字确认。原则五–必须严格遵守集团现有操作风险管理流程外部报告内部报告本行致力于贯彻包括政策、流程、程序和技术在内的操作风险管理框架,从而实现本集团操作风险成本有效、统一协调的识别、评估、缓释、监控和报告;防止由操作风险造成的财务、声誉、客户、员工等方面的损失,并满足监管和法律要求32内控33概述也称三道防线董事会与行政管理委员会业务单位业务职能部门(如操作)集团稽核第一道防线日常风险管理风险管理战略、政策制定和管理工作监控部门董事会与行政管理委员会独立检查集团与部门操作风险管理职能专家职能第二道防线第三道防线34内控–案例研究35由经验引起的检查行为RBS曾一度受到很大的欺诈案件损失(和英国其它银行一样)RBS业务部门负责人决定采取行动发现银行内部某些流程较容易受欺诈袭击这些流程是:开户接受存款付出资金授信内部销帐系统进入员工雇用背景调查36内控检查所有业务部门必须检查以上七个流程有多少和他们相关对关键业务流程进行图示.识别并记录每一流程环节的控制测试控制框架的充分性和有效性所有控制都要有测试计划每季度对银行流程内控的有效性和充分性进行测试,并颁发测试证书每一部门的负责人应签字确认季度测试认证证书37内控认证内控认证主