搜索
※本文件是正信嘉华为特定客户所制作,版权所有,不得翻印或传播※操作风险管理的理念、框架与操作实务北京正信嘉华管理顾问有限公司孙军2011年12月第2页孙军有丰富的风险管理咨询经验,主要负责的项目有:•中国民生银行流程银行项目•中国建设银行风险管理平台工程•中国进出口银行机构整改项目•中国光大银行操作风险及合规风险管理•招商银行新资本协议实施操作风险管理•中国投资有限责任公司内控体系建设•吉林银行流程银行建设•山西省农村信用社内控与人力资源•…专业背景工商管理硕士中国注册会计师IRCA国际注册主任审核员银行风险管理内部控制流程管理合规信贷管理银行会计主要客户银行经历相关经验Name:孙军Title:董事/总裁Company:正信嘉华曾在某大型商业银行有八年信贷、风险管理工作经验,负责某商业银行《信贷业务手册》编写,熟悉商业银行各类业务。专业领域中国建设银行中国民生银行招商银行中国光大银行中国农业银行、中国进出口银行中国投资有限责任公司汉口银行山西省农村信用社第3页I.操作风险管理概述II.操作风险管理框架与治理架构III.操作风险管理工具与系统目录第4页舞弊病态建筑地震,暴风雨和火灾职业疏失流行病罚款定期的破坏劫持系统失效项目失效人为疏失对员工的伤害诉讼战争,政治与民间动乱模型失败服务供应商失败导致:操作风险-昀古老的风险?直接损失间接损失“破财”——财务损失“受罚”——监管/内部处罚“分心”——整改成本“毁誉”——声誉损失人祸天灾管理不善技术失灵第5页依赖于技术交易量增大,速度加快不断加剧的操作风险违法行为实务操作和诉讼依赖于技术/电子商务一体化程度越来越高复杂的业务/外包更高的业绩压力为什么操作风险在不断的加剧?第6页银行简介:成立于1948年,原为政策性银行2004年转型为商业银行。案件回放:2008年9月15日上午10:00,美国雷曼兄弟公司向法院申请破产保护;10分钟之后,银行居然按照外汇掉期协议,通过计算机自动付款系统,向雷曼兄弟公司即将冻结的银行帐户转入3亿欧元!事件处置:银行2名董事和1名高级风险经理被停职。经验教训:在决策层面,管理层在重大决策时循规蹈矩、优柔寡断;在监控层面,风控部门监控滞后、工作失职;在业务层面,投资部门监控不力;结算部门过于依赖程序办事,对重大风险事件不够敏感;相关部门配合不力;在整体层面,银行内部协调机制和重大风险事件处理机制不健全。典型案例:德国复兴信贷银行错误转账事件银行有关人员银行有关人员“黄金十分钟”内的工作记录“黄金十分钟”内的工作记录首席执行官乌尔里奇·施罗德我知道今天要按照协议预先的约定转帐,至于是否撤销这笔巨额交易,应该让董事会开会讨论决定。董事长保卢斯我们还没有得到风险评估报告,无法及时做出正确的决策。董事会秘书史里芬我打电话给国际业务部催要风险评估报告,可那里总是占线,我想还是隔一会儿再打吧。国际业务部经理克鲁克星期五晚上准备带上全家人去听音乐会,我得提前打电话预订门票。国际业务部副经理伊梅尔曼忙于其他事情,没有时间去关心雷曼兄弟公司的消息。负责处理与雷曼兄弟公司业务的高级经理希特霍芬我让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报告,现在我要去休息室喝杯咖啡了。文员施特鲁克10:03,我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻,马上就跑到希特霍芬的办公室,可是他不在,我就写了张便条放在办公桌上,他回来后会看到的。结算部经理德尔布吕克今天是协议规定的交易日子,我没有接到停止交易的指令,那就按照原计划转帐吧。结算部自动付款系统操作员曼斯坦因德尔布吕克让我执行转帐操作,我什么也没问就做了。信贷部经理莫德尔我在走廊里碰到了施特鲁克,他告诉我雷曼兄弟公司的破产消息,但是我相信希特霍芬和其他职员的专业素养,一定不会犯低级错误,因此也没必要提醒他们。公关部经理贝克雷曼兄弟公司破产是板上钉钉的事,我想跟乌尔里奇·施罗德谈谈这件事,但上午要会见几个克罗地亚客人,等下午再找他也不迟,也不差这几个小时。法兰克福Clifford律师事务所受德国财政部委托,对KfW银行进行了调查,调查报告显示了该银行人员在2008年9月15日上午10:00-10:10的“黄金十分钟”内在忙了些什么第7页典型案例:齐鲁银行骗贷案银行名称事件进展齐鲁银行预计涉案金额10-15亿华夏银行暂无可对外披露信息中信银行尚未发现问题工商银行否认涉案深发展称未涉案兴业、浦发传闻涉案事件进展:z3月2日齐鲁银行董事长等三高管被撤换任命4名新高管z1月7日齐鲁银行行长证实有支行行长和营业部总经理被查z1月6日济南市政府回应齐鲁银行面临倒闭传言:业务正常z1月6日齐鲁银行公布财报称资产总额逾800亿元z1月5日大公国际将齐鲁银行列入信用评级观察名单z1月4日工行否认卷入齐鲁银行高额骗贷案z1月1日齐鲁中信华夏等银行涉案银监会回应z12月30日济南惊曝票证伪造案齐鲁银行否认巨亏第8页操作风险带来的间接损失巨大6to531冰山原理直接损失间接损失“破财”——财务损失“受罚”——监管/内部处罚“分心”——整改成本“毁誉”——声誉损失第9页操作风险是银行基础风险操作风险管理(ORM)是银行经营业务的基础和核心、将风险管理实践与银行的经营流程、系统及文化整合到了一起。作为高层管理的一个重要组成部分,操作风险管理的价值在于它能够支持并激励银行经营业务,通过测量、将商业控制环境与银行的战略结合到一起,测量并缩减风险敞口,为利益相关方带来昀大程度的回报操作风险是所有风险基础操作风险(含法律风险)市场风险流动性风险信用风险声誉风险第10页《巴塞尔新资本协议》对操作风险定义为:不完善的或失效的内部程序、人员和系统或外部事件造成损失的风险。这个定义包括法律风险,但不包括战略和声誉风险。各家银行可以根据本行风险管理需要,对操作风险进行定义。员工与外部勾结作案,盗取客户存款制度不符合监管要求业务系统中断自然灾害危及员工安全,引起业务中断举例定义什么是操作风险?人祸天灾管理不善技术失灵第11页•没有遵循法律、规则和准则内部欺诈外部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件实物资产的损坏信息科技系统事件执行、交割和流程管理事件借款人违约市场价格波动直接损失间接损失不完善的流程人员系统外部事件直接损失事件影响原因操作风险合规风险信用风险市场风险声誉风险没有遵循法律、规则和准则法律制裁监管处罚重大财务损失声誉损失直接损失声誉损失操作风险是原因进行定义,和其他风险都有紧密联系第12页相关风险的关系战略风险狭义的操作风险声誉风险法律风险合规风险IT风险广义的操作风险第13页序号一级目录定义序号二级目录序号三级目录说明或举例1.1.1盗窃未经财产拥有者授权而取得他人财产。如:员工偷窃未上锁柜里的物品。1.1.2挪用尽管拥有合法控制权,但未经财产拥有者授权而取得该财产。如员工偷盗代管理的物品。1.1.3入室行窃通过非法闯入,获得未经财产拥有者授权的进入权限。如员工撬锁入室偷窃。1.1.4抢劫通过暴力或恐吓拥有合法控制权的人员,以获得财产。如员工用枪强迫某人打开金库并为其递现金。1.1.5敲诈暴力或胁迫等非法的强制行为(不包括抢劫,勒索和绑架)。如员工未被升职,通过恐吓以伤害他人。1.1.6勒索以发布公众信息为恐吓手段的非法行为。如具有某些知情权的员工的考核没有得到正确对待,他将要把这些信息公众于世。1.1.7绑架绑架某人并藏匿于秘密地点,用杀害或伤害恐吓第三方,如员工向朋友提供关于经理的行踪,以便他们可对其进行绑架,向银行要求赎金。1.1.8其他其他所有内部盗窃及敲诈。欺诈1.2.1转账如同谋先期开立假姓名账户,员工通过调换受益人账户名称,伪造客户原始单据。1.2.2取款如员工要求客户在不知情的情况下签订法律证书,以便取其款项。1.2.3账户开立如员工为朋友开立非实名账户。1.2.4贷款如员工在系统内录入假信息,以批准亲属的车贷。1.2.5假币如出纳为客户兑换假币。1.2.6保险如员工通过保险的形式申报他未拥有的相机,而且提供朋友录音。1.2.7支票如员工准备用担保支票进行透支并潜逃。1.2.8信用卡如员工用客户资料订购商品1.2.9费用申报如实际出差中员工开车与同事同行,却申请出差补助。1.2.10其他如所有其他内部欺诈,例如:伪造、走私、违规纳税/故意逃税、贿赂/回扣、内幕交易(不用本行的账户)。1.3.1超权限没有得到授权,而代替银行处理的合法行为。如员工权限为100,000,但为客户提供300,000的贷款如关于法人、公司或机构的股票或交易票据:a.信息没有被公布;b.股票价格有波动(不论上涨还是下跌)的揭露信息。员工拥有收购公司的非公众信息,并购买该有预期收益的股票1.3.3腐败/行贿对于金钱、商品、承诺职责中主动或被动的理解偏离。如员工用其他客户信息与另一客户进行金钱交易。1.3.4泄密机密信息的未授权揭露。如员工告之其朋友关于客户的金融地位。1.3.5系统安全的侵害通过内部员工的协助,未授权进行电子数据文件以获得个人利益的事件。1.3.6故意错误估价为获取个人利益故意错误低估或高估交易价格。如故意低估或高估抵押物的价值使自己的关系人获利。1.3.7隐瞒交易(故意)1.3.8未经授权交易导致资金损失如未经授权在资金市场进行资金交易导致资金损失。1.3.9其他行为所有上述未包含的行为。如员工接受其主要客户的旅行安排。内幕交易1内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括歧视性或差别待遇事件1.1盗窃和敲诈1.21.3违反职业准则或未经授权的行为1.3.27类事件分类序列原因分类定义序列二级原因分类原因二级分类的描述原因要素的举例工作目标、责任和权力没有清晰地分配/在工作描述中没有清晰反映/没有清晰传达工作目标、责任和权力没有适当的考虑到实际情况(例如,不符合员工的职能层级,不符合员工经验)前后台工作职能没有分离操作与记账没有分离不清楚/不一致/模棱两可的使命、愿景、战略、政策、目标、宗旨战略、目标、宗旨沟通不足(自上而下和自下而上)缺乏对相互之间利益、需求、期望的理解(画地为牢)不完善的组织结构单元之间在优先合作/战略/决策和行动上不一致/不协调单元之间的利益冲突过长的决策线路(官僚作风)组织的/与组织沟通的边界不清晰(例如,企业价值、经营理念、行为准则)程序、产品、系统的管理者不明不完善的报告路线缺乏责任感/责任感不足缺少领导或指示风险意识不足(高级)管理层参与业务不足不合时宜的/反复无常的/不完善的决策过度的工作量没有风险控制/审计职能没有危机管理组织机构1.3管理无效/不当组织/单元/实体中无效/不当的管理1.4其他组织结构不完善1.1-1.3之外的与组织设计不完善相关的情形1组织模糊或不当的组织设置,包括相关的责任、义务和治理结构1.1工作目标、职权、责任和义务不清晰、不适宜或不相容,包括不充分的职责分离工作任务、责任和权力不清晰或没有清晰地分配,不适宜(与职员的职责不符)或不相容(职责分离不足)1.2内部治理结构不完善在组织/单元/主体中不合理或不透明内部治理结构序列原因分类定义序列二级原因分类原因二级分类的描述原因要素的举例工作目标、责任和权力没有清晰地分配/在工作描述中没有清晰反映/没有清晰传达工作目标、责任和权力没有适当的考虑到实际情况(例如,不符合员工的职能层级,不符合员工经验)前后台工作职能没有分离操作与记账没有分离不清楚/不一致/模棱两可的使命、愿景、战略、政策、目标、宗旨战略、目标、宗旨沟通不足(自上而下和自下而上)缺乏对相互之间利益、需求、期望的理解(画地为牢)不完善的组织结构单元之间在优先合作/战略/决策和行动上不一致/不协调单元之间的利益冲突过长的决策线路(官僚作风)组织的/与组织沟通的边界不清晰(例如,企业价值、经营理念、行为准则)程序、产品、系统的管理者不明不完善的报告路线缺乏责任感/责任感不足缺少领导或指示风险意