1、银丰科技操作风险管理系统,2011.11,目录,2,操作风险管理流程,3,操作风险管理三大工具,4,目录,操作风险管理理念,1,5,-风险与控制自我评估(RCSA),-关键风险指标(KRI),-损失数据收集(LDC),风险与控制自我评估(RCSA),风险与控制自我评估(RCSA,Risk and Control Self Assessment)的标的源自于内控梳理的工作成果。在风险自评方面,针对操作风险做全行范围内的自评;在控制自评方面,则针对各层级的控制(总行制定的标准控制和分行本地化后的控制)做全面的控制有效性自评。,6,操作风险数据库三大清单,7,在全行统一进行流程、风险点及控制措施清单
2、梳理,将其作为风险与控制自我评估架构的基础。,操作风险数据库三大清单的连结,8,示例,操作风险暴露的评估规则,9,操作风险暴露的评估标准(直接损失),10,操作风险发生频率评估表,操作风险严重程度评估表(直接损失),发生频率-未来一年内,评估某个操作风险发生的频率,若发生频率介于两个等级间,选择频率较高者。严重度-某个操作风险若一旦发生时,平均而言,估算银行可能蒙受的财务损失。,操作风险暴露的评估标准(间接损失),11,风险地图的功能,风险地图是将风险自评估中操作风险暴露评估结果与采取应对措施的联结工具,其主要目的在于为操作风险暴露的评估结果带来管理上的意义。,12,绿色区域(可容忍,不需另外
3、采取应对措施):操作风险暴露落在安全区域,基于风险管理、成本与效益的考虑,视该操作风险暴露为业务经营的操作风险成本。黄色区域(可容忍,但应该加强监控):表示操作风险暴露落在需加强监控的范围内,相关单位应加强管理与监控的力度。橙色区域(可容忍,但应该采取应对措施):操作风险暴露已落在警戒范围内,相关单位应该立刻采取应对措施,以将操作风险暴露迅速降低至安全区域(绿色或黄色区域)。红色区域(不可容忍,特别关注并采取应对措施):操作风险暴露已落在不可忍受的范围内,应特别关注,并采取强度较大的应对措施,将操作风险迅速降低至安全区域(绿色或黄色区域)。,风险评估的覆盖面及执行方式,13,研讨会进行方式:由
4、流程主办部门的业务条线兼职岗位牵头,召集本部门流程负责人、业务骨干及协办部门流程负责人、业务骨干进行讨论,并将讨论结果录入系统。,风险自评估的运行模式与机制,总行操作风险管理部门定期或不定期,牵头组织总行业务部门对内控梳理的固有风险和剩余风险开展自评估工作。评估内容:需要对操作风险进行定性、定量评估。实施范围:参与人员与相关职责:,14,操作风险管理部门(专职岗位):负责牵头组织、协调本级的自评工作,并在业务部门自评估工作中给予支持和指导;业务部门(兼职岗位):负责组织本部门相关人员通过工作组会议形式开展自评估,并在系统中录入评估结果;业务部门(业务专家/流程负责人):参与相关的自评估工作组会
5、议,并在会议中提供自评估的专家经验和建议;业务部门(部门负责人/政策负责人):负责最终审核和确认通过工作组会议确定的自评估结果。,总行部门需要开展固有风险自评估;总行部门需要开展剩余风险自评估;分行部门需要开展剩余风险自评估。,风险自评估的运行模式与机制(续),4.评估频率:5.评估计划:,15,定期:每年(固有风险和剩余风险)不定期:当发生以下情形时,会启动固有风险和剩余风险的自评估工作:,同业发生重大案件;本条线发生重大操作风险事件;总行信息系统发生重大变化;总行推行新产品、新业务、新流程;监管机构发布重大操作风险提示;监管机构或者管理层要求发起的。,总行操作风险管理部门负责制定全行年度风
6、险自评(固有风险和剩余风险)的总体工作计划;总行业务部门依据全行年度工作计划,制定本部门的风险自评(固有风险和剩余风险)工作计划;分行业务部门依据上级归口部门制定的年度自评工作计划,制定本部门的剩余风险自评工作计划;分行操作风险管理部门负责汇总分行业务部门制定的年度自评工作计划,并在分行范围内进行协调和确认。,风险自评估的运行模式与机制(续),6.工作开展模式:,16,风险自评主要采用:线下开展工作组讨论会议+兼职岗位线上录入结果的方式,具体开展模式举例说明如下所示:以总行部门流程层级风险自评估为例(从固有风险和剩余风险的角度评估操作风险):主流程部门兼职岗位负责组织该主流程牵头部门和参与部门
7、相关的业务专家召开工作组讨论会议,共同对该主流程在内控梳理中所识别的流程层级的风险进行讨论和评分,该兼职岗位当场记录评分结果信息并请与会人员签字确认,会后由牵头部门的部门负责人或政策负责人对评分结果做最终审核和确认,并由该兼职岗位在系统中录入最终评分结果信息。,控制措施有效性评估标准(控制设计),17,控制措施有效性评估标准(控制运行),18,控制措施有效性评估标准(控制运行)(续),考虑到控制运行失效所造成的后果,对运行有效性的评估标准做如下定性判断说明:若偏离控制措施行为导致如下后果,评估结论应为无效:偏离控制措施本身已形成重大缺陷,或与其他控制缺陷共同构成重大缺陷;偏离控制措施的行为导致
8、重大操作风险事件发生,该控制措施的运行有效性结论应为无效。若偏离控制措施行为导致如下后果,评估结论不得高于偶尔有效:偏离控制措施本身已形成重大缺陷,或与其他控制措施共同构成重要缺陷;偏离控制措施的行为导致一般操作风险事件发生,该控制措施的运行有效性结论不得高于偶尔有效。若偏离控制措施行为导致如下后果,评估结论不得高于基本有效:被监管机构检查发现的问题,并责令整改;被媒体曝光,对本行形象造成不良影响;被条线检查(二道防线检查)或审计检查发现缺陷。,19,控制措施有效性评估结果的应对方案(控制设计),20,控制措施有效性评估结果的应对方案(控制运行),21,控制自评估的运行模式与机制,总行操作风险
9、管理部门定期或不定期,牵头组织总行、分行、支行各级业务部门开展控制设计和运行有效性的自评估工作:评估内容:实施范围:,22,针对内控梳理中识别的控制措施开展自评估工作;控制措施需要从控制设计有效性和运行有效性的两方面自评估。,控制设计有效性自评:总行业务部门;控制运行有效性自评:总行、分行、支行业务部门。,控制自评估的运行模式与机制(续),3.评估频率:4.参与人员与相关职责:,23,控制设计有效性自评:定期(年度)、不定期(触发情形与风险自评相同);控制运行有效性自评:定期(半年)、不定期(触发情形与风险自评相同)。,总行操作风险管理部门(专职岗位):,制定全行年度控制自评估总体工作计划,负
10、责牵头组织、协调本级的自评估工作;负责复评全行业务部门的控制自评估结果,完成全行控制自评估结果报告;负责培训、指导总行业务部门的自评估工作。,分行操作风险管理部门(专职岗位):,汇总分行业务部门年度控制自评估工作计划,负责牵头组织、协调本级的自评估工作;负责复评分行业务部门的控制自评估结果,完成分行控制自评估结果报告;负责培训、指导分行业务部门的自评估工作。,业务部门(兼职岗位):,负责定期(每年/月)组织本部门的相关人员开展控制自评估工作;收集、整理相关人员的控制自评估结果,并在系统中录入评估结果。,控制自评估的运行模式与机制(续),24,业务部门(操作人员/业务专家/流程负责人):负责定期
11、(每年/月)评估该部门兼职岗位提供的问卷。业务部门(部门负责人/政策负责人):负责定期(每年/月)最终审核和确认本部门的控制自评估结果。,5.评估计划:,总行操作风险管理部门负责牵头制定全行年度控制自评(设计有效性和运行有效性)工作计划;总行业务部门依据操作风险管理部门总体要求,制定本部门的控制自评(设计有效性和运行有效性)工作计划;分行业务部门依据上级归口部门制定的年度自评工作计划,制定本部门的控制自评工作计划;分行操作风险管理部门负责汇总分行业务部门制定的年度自评工作计划,并在分行范围内进行协调和确认;业务部门控制设计有效性和控制运行有效性的自评模式与风险自评相同。,控制复评的运行模式与机
12、制,为满足操作风险管理指引需求,操作风险管理部门需实施充分且有代表性的评估和测试,询问政策和控制程序存在的缺陷,并进行相应的调查。复评内容:实施范围:评估频率:,25,针对业务板块,对CSA的规划、过程及结果(非针对单点的控制)进行整体评估,主要包括以下要点:,各部门是否按规划执行控制自评工作,包括日程、覆盖面、开展方式(例如:是否召开研讨会)等;针对控制设计缺陷或执行不到位的,各部门是否积极应对,启动行动计划;在合理性分析的基础上评估控制自评结果与条线、合规检查的结果是否存在重大偏离,若存在偏离,是否有合理的解释。,控制复评工作针对总行、分行及其辖内机构的内控自评工作开展。,半年(每个条线的
13、控制评估覆盖完成一次时)。,控制复评的运行模式与机制(续),4.参与人员与相关职责:评估计划:6.工作开展模式:,26,总行操作风险管理部门:评估总行各部门的控制自评工作执行情况;及监督分行操作风险管理部门的复评执行情况。分行操作风险管理部门:评估本级分行及所辖支行的控制自评工作执行情况。,总行操作风险管理部门需根据总行各业务部门的自评计划制定总行的控制复评计划;分行操作风险管理部门需根据分行各业务部门的自评计划制定本分行的控制复评计划。,通过报表的方式对总、分行及其辖内机构的控制自评工作进行全面的复核和分析;必要时还可以对相关人员实施访谈,并调阅相关资料;对复评结果出具总结性意见。,风险自评
14、估(RSA)与其他相关要素的关系,一道防线和二道防线的相关业务和管理部门,对内控梳理中识别的风险开展定期或不定期自我评估,风险自评模块(RSA)与其他模块之间的关系如下:,27,控制自评估(CSA)与其他相关要素的关系,一道防线和二道防线的相关业务和管理部门对内控梳理中识别的控制措施开展定期或不定期的自我评估(CSA),评估主要从控制设计有效性和运行有效性两个维度开展。控制自评模块(CSA)与其他模块之间的关系如下:,28,目录,操作风险管理理念,1,29,-风险与控制自我评估(RCSA),-关键风险指标(KRI),-损失数据收集(LDC),关键风险指标(KRI),关键风险指标(KRI,Key
15、 Risk Indicator),是指能够代表操作风险状况或者内控管理水平变化情况,并可定期进行监控的统计指标。关键风险指标用于监测可能造成操作风险损失事件的各项风险、相应的控制措施,以反映操作风险状况或内控管理水平变化情况的早期预警。,30,关键风险指标(KRI)的筛选原则,关键风险指标的筛选,主要依据指标相关的数据可获取性(是否易取得/更新)、指标特性(属性/周期是否合适)及专家意见,从候选指标列表中挑选出可立即使用的关键风险指标。实际应用的指标具备以下特点:,31,关键风险指标(KRI)的筛选示例,32,列为候选指标,暂时不使用。,示例,关键风险指标(KRI)门槛值设定的参考依据,关键风
16、险指标门槛值的设定可依循以下四项原则,不同原则所设定的门槛值可同时存在于一个指标之内:,33,关键风险指标(KRI)与其他相关要素的关系,关键风险指标是指能够代表操作风险状况或内控管理水平变化情况,并可定期进行监控的统计指标。关键风险指标(KRI)与其他模块之间的关系如下:,34,目录,操作风险管理理念,1,35,-风险与控制自我评估(RCSA),-关键风险指标(KRI),-损失数据收集(LDC),事件与问题收集的范围,损失数据收集(LDC,Loss Data Collection)用来收集、存储和管理银监会监管要求的商业银行操作风险事件及一道防线自查发现的问题和二道防线检查中发现的控制缺失。
17、,36,*说明:重大操作风险事件中包含由于违反外规而导致的监管处罚事件。,重大操作风险事件范围的建议,重大操作风险事件包括:(1)监管机关特别关注、规定要及时通报的事件,及(2)银行自身特别关注的事件。中国银监会相关监管要求,37,抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;盗窃、出卖、泄露或丢失涉密资料,可能影响金融
18、稳定,造成经济秩序混乱的事件;高管人员严重违规;发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;其他涉及损失金额可能超过商业银行资本净额1%的操作风险事件;银监会规定其他需要报告的重大事件。,重大操作风险事件范围的建议(续),2.银行自身特别关注的事件类型(建议),38,内部欺诈事件;员工伤亡事件;监管机构处罚事件;影响本行对广大客户的服务质量的事件;严重影响本行声誉的事件。,损失事件字段信息,39,损失事件字段信息(续),40,损失数据收集(LDC)与其他相关要素的关系,损失数据收集(LDC)与其他模块之间的关系如下:,41,目录,42,操作风险管理系统的目标定位
19、,构建操作风险管理的标准框架,建立核心数据库;从业务流程出发,识别业务流程的所有风险点及控制措施;RCSA自动化处理,并将风险评估机制整合到日常业务管理活动中;建立操作风险损失数据库;建立操作风险关键指标的预警机制;实现行动计划的跟踪和报告功能;建立操作风险相关信息的报表/报告体系;为操作风险高级资本计量提供数据准备。,43,操作风险管理系统总体功能框架,44,流程分析,流程发布,流程承接,流程本地化,RCSA,资本计量,自评计划,自评方案,自评结果,LDC,事件录入,事件修改/更新,事件查询,事件处理,标准法,KRI,基础数据项管理,指标管理,指标监测预警,风险评估标准,流程管理模块,管理需
20、求,模块概述,通过流程梳理,并与内外规进行对应,形成流程库及合规索引,便于员工提高业务知识和技能,依法合规操作;以业务流程为基础,对风险和控制进行识别;通过IT系统,为全行各级机构、各部门和员工提供流程应用的学习平台,多维度展示流程信息。,流程编制,风险与控制识别,流程图绘制,流程分析,流程审核,流程发布,内外规,组织与岗责,产品,字典库,RCSA,分行本地化,45,自我评估模块,管理需求,模块概述,采用问卷法对识别出来的风险与控制措施进行评估,定性与定量评估方法相结合;通过风险地图展示评估结果;全面展示风险的整体状况和分布;为高管层平衡业务发展及风险决策提供支持。,风险评估,控制设计评估,固
21、有风险评估,剩余风险评估,控制评估,业务流程,风险地图,控制运行评估,46,事件管理模块,管理需求,模块概述,及时收集风险事件及损失数据;按照巴塞尔新资本协议对事件进行分类;建立损失数据库,为操作风险高级资本计量做数据准备;根据事件发生情况完善制度、流程及内控缺陷。,事件录入,基本信息,详细信息,事件处理,检查,行动计划,举报,其他渠道,47,事件修改/更新,指标管理模块,管理需求,模块概述,及时监测风险及内控管理状况;建立风险预警机制;包括银行层级指标及流程层级指标两级。,行动计划,基础数据项,指标预警,48,行动计划模块,管理需求,模块概述,及时对RCSA、LDC、KRI发现的问题进行整改
22、;对一道防线自查、二道防线检查及审计检查发现的问题进行整改;根据发现的问题进行制度优化、业务流程优化等,提高风险管理水平。,行动计划启动,基本信息,任务管理,行动计划审批,RCSA,行动计划执行,LDC,KRI,检查,49,行动计划评价,报表/报告管理模块,管理需求,模块概述,为高层的决策及风险管理提供决策支持;根据监管要求,生成固定格式的监管报表;根据操作风险管理实际业务需求,定期或即时生成相应的报告。,报表定义,固定格式报表,自定义报表,报表生成,报告上报,操作风险数据库,50,报告审批,各模块之间的关系,业务流程,行动计划,关键风险指标,风险与控制自我评估,损失数据收集,报表/报告,资本计量,操作风险数据库,指标库,自评估结果,损失数据库,指标异动,重大事件,触发,触发,触发,流程库,自评估结果流程信息指标结果损失信息,损失数据,问题库行动方案,51,风险点库,控制措施库,谢 谢!,52,
