Fred Bell中国银行风险管理合作项目负责人操作风险管理2 2操作风险管理目录 什么是操作风险 RBS 组织结构和方法 操作风险管理框架 操作风险管理手册 操作风险报告 内控3 3什么是操作风险“由于内部流程、人员和系统不完善或失败，或由 于外部事件引起损失的风险”来源：巴塞尔协议“由于人员差错、无效或设计不充分的流程、系统 和不当行为（包括犯罪行为）造成的损失”来源: RBS4 4什么是操作风险 示例未经授权员工进入分行电脑系统 内部欺诈业务数据输入错误 罚息新产品太受欢迎 - 客户服务延迟、服务成本增加和客户不满分行反洗钱工作没有重点，反洗钱效果差 监管当局罚款自然灾害危及员工安全，引起业务中断 网点关闭、客户不便和服务中断5 5什么是操作风险作为业务一部分的操作风险无处不在.可能由于内部或外部因素引起.可能出现在多个部门。 操作风险是经营不可避免的因素。无法完全消除，只能尽可能减少。操作风险影响具有隐蔽性，不容易测算。和其它风险类别不同，操作风险往往由多个原因造成，不易识别。操作风险到处存在。业务流程或系统设计不合理（无论该系统是支持信贷审核，还是防范 欺诈）都会造成操作风险损失。业务流程的改变也会引起新的操作风险6 6什么是操作风险管理? 操作风险管理是识别和理解业务流程中的操作风险的敞口，而不是完全避免之 。 必须制定操作风险管理战略：规避、转移、缓释还是接受。 .只要理解风险、意识到风险、有透明的披露和充分的监控，接受操作风险也是 操作风险管理的一个可能战略。 操作风险随着人员、流程、外部因素和系统改变而不断改变，需要联系评估和 监控 保证业务部门在理解风险的前提下进行决策。 必须根据风险与收益配比的原则进行管理 操作风险管理是前瞻性的未来有哪些风险可能影响业务。但是管理的依据是 对过去发生的风险的原因和损失的分析。 操作风险管理需要企业文化的改变不可能在一夜之间发生。7 7操作风险管理职责 操作风险管理人人有责，但职责不同。 业务部门对操作风险管理最终负责。 操作风险管理专家负责支持业务部门理解和评估操作风险。 其它部门专家负责制定有关具体类型操作风险的政策和流程。这些部门包括.:反欺诈 监察部法律 法律合规部合规 法律合规部人员 人力资源部系统/ 信息安全 信息科技部8 8操作风险管理的对象财务影响客户或员工影响声誉影响原因原因原因ControlsControls预防性预防性调查性调查性纠正性纠正性Risk事件9 9RBS 组织框架和方法1010RBS 集团组织架构 Sir Fred Goodwin 集团首席执行官财务管理John Baines, CEO公司市场Johnny Cameron CEOAlan Dickinson, CEO UK 英 国公司市场部 (UKCB)Brian Crowe, CEO 全球银行 市场部RBS 保险Annette Court, CEO 集中处理重新Mark Fisher, CEOCitizens (美国)Larry Fish, 总 裁兼 CEOUK Europe US Asia爱尔兰英国 欧洲 美国 亚洲英国 欧洲 美国 亚洲英国 欧洲美国Ulster 银行Cormac McCarthy, CEO零售市场及 直接银 行业务部Gordon Pell, CEO零售银行Chris Sullivan, CEO零售 银行卡 欧洲直接银行业务 Tesco 个人金融公司 消费信贷集团办公室1111RBS 操作风险管理框架集团操作风险集团操作风险 部部部门部门公司市场部个人银行集中处理部门RBS 保险UlsterCitizens风险管理职能部风险管理职能部 门门业务发起部门业务发起部门风险管理单位风险管理单位财富管理财富管理 直接金融直接金融1212操作风险管理程人员配置部门2006 年配备人员集团操作风险 55 公司市场部 60 零售市场 （含直接金融和财富管理) 390 集中处理部 105 RBS 保险 45 Ulster (爱尔兰) 28 Citizens (美国） 12操作风险管理总员工数 6751313操作风险管理框架1414操作风险管理框架 RBS 操作风险管理框架 (ORMF) 提供了进行操作风险有效管理的框架结构 。 该框架的目的是:对本集团面临的由于人员差错、流程设计缺失或不充分，系统失灵或不 当行为引起的损失风险敞口进行管理;协助管理层和员工在操作风险关流方面的履职工作建立全行统一的操作风险管理最低标准（包括指引和相关技术），确保 操作风险政策、原则和流程的充分性和有效性。1515操作风险管理框架 关键要素 治理机制确定信息流动和决策权利的正式的结构 职责 确定各部门和业务单位的职责。管理层和员工应正确理解其职责，并具 有相应的能力和经验完成操作风险管理政策和流程的要求。 政策、原则和指引 宣传操作风险管理最低要求指引应规定自我评估方法（内部认证）1616概要 治理机制董事会集团行政管理委员会集团风险管理委员会集团风险管理部部门操作风险管理团 队集团审计委员会部门风险委员会授权确定操作风险偏好建议战略、批准控制、管理绩效审核设计框架、趋势和集团操作风险状况监控 、质量评估添加部门管理层和业务控制环节、监控部 门操作风险状况1717职责 业务部门 部门首席执行官 (CEO)部门首席执行官对他/她所在部门业务中所有操作风险的管理负责。包括建 立符合操作风险管理手册中最低要求的部门操作风险管理框架，并对季度自我 认证结果签字确认。 业务单位和条线管理部门负责业务条线日常操作风险管理工作。该工作必须是充分和有效的。 部门操作风险管理团队协助部门管理层制定、维护和监察本部门操作风险管理框架（包括风险管 理工作漏洞和风险状况变化的监控）1818职责 总行 集团风险管理部负责制定和维护集团操作风险管理框架和标准，并通过操作风险管理手 册为基础的原则和技术的适用达到这一标准。 集团稽核部对集团和部门操作风险管理的充分性、有效性和连续性进行独立检查。 . 专家部门（如人力资源部、反欺诈部和信息安全部门）在其领域提供具体的专业技术和技能支持，帮助操作风险识别、评估、 监控和缓释。集团建立各领域专家小组，帮助集团和部门操作风险管理团 队进行操作风险的全面管理。1919操作风险管理手册2020识别评估监督和报 告缓释 回避 转移 通过控制缓释 结束作为剩余风险KRI 损失数据可能性 影响度 外部事件 新产品 收购 业务流程改变识别 由于犯罪活动、人员差错、设计流程不充分和不当行 为等原因造成损失的风险敞口评估操作风险发生的概率（频率）及其影响的大型小（财务 影响，员工、客户和声誉影响 通过以下方式缓释风险:规避风险, 在操作流程中实施控制（内控环节）;将风险转移到更能管理该风险的部门或集团外部机构；接受剩余风险，将其造成的损失计入业务成本.监控和报告剩余操作风险敞口（集团可能遭受损失的敞口） ，确保业务流程对操作风险的持续管理，并及时识别信的操 作风险和需要采取的行动。 操作风险管理周期2121操作风险管理手册 操作风险管理手册描述了我们执行操作风险管理框架的政策、原则和核心流程 。 手册包括以下流程:风险与控制评估操作风险事项日志剩余操作风险数据库操作风险有效性检查 内部损失数据搜集业务流程改变操作风险评估 手册还配有指引，方便执行。. 配有执行所需的模板和表格。. 手册与现有操作风险管理流程互为补充(如集团新产品审批流程).2222风险与控制评估 风险与控制评估 目的是为了对业务中的风险和风险缓释措施进行评估，并对操作风险管理 的充分性进行评价。包括缺失或设计不充分的控制环节的识别。 该流程的最低要求是:涵盖所有业务领域;识别业务所有者 (即风险所有者);识别所有实质性业务流程;识别和评估所有实质性业务流程的风险的发生概率和影响度; 识别和评估风险缓释措施的充分性;识别需要连续监控的关键风险指标; 和 对操作风险根据集团操作风险统一分类表进行分类2323风险与控制评估 (含关键风险指标) 2424事件报告重点 损失数据重点事件报告和数据搜集损失事件分类（示例）-自然或人为灾害-健康、安全与人力资源管理事件-未经授权的行动 (内部） 未经授权的行动 (外部） 供应商失误-违规和违反委托关系行为-处理错误事件操务影响客户与员工影响声誉影响原因原因原因风险原因风险（示例）)-人员-流程-IT系统-财产-业务-环境、-政治-监管影响度分类（示例）)-重大-严重- 重要- 次要2525操作风险报告2626操作风险报告 原则银行应对操作风险状况和实质性风险损失进行定期监控。监控结果应以适当方式向 管理层和董事会报告，以支持积极的操作风险管理工作。.巴塞尔委员会报告应及时准确清晰一致连续进行2727操作风险报告 最初步骤 理解信息需求 理解为什么需要信息 理解信息的作用 理解需要信息的频率 理解目前能做到的现实情况 建立长期、连续的报告模式和内容2828RBS 操作风险内部报告集团操作风险管理部编制月度操作风险报告 集团操作风险部报告内容:关键事件和领域风险状况总结，及其风险偏好情况:收购、出售和转移（或购入）业务部门新产品,新监管规定和立法,欺诈和抢劫网点发生的增加各部门报告:各部门重要风险事件和风险状况变化 剩余风险的实质性改变内部控制的充分性和有效性 月度重大事件数据 审计结果2929操作风险报告 基本模式每月报告欺诈案件的数量、金额、挽回金额，分为:内部欺诈外部欺诈信用卡欺诈 操作风险损失事件的数量和（毛）净额:原因业务条线/ 事件发生部门总行稽核部稽核结果汇总/ 发现的控制问题。包括:原因业务条线/ 问题发生部门发现问题的严重性洗钱损失事件的数量和（毛）净额:原因业务条线/ 问题发生部门3030操作风险报告 高级模式报告应包括事件情况、趋势分析，数据评价，以帮助业务部门做好关键事件及其业务影响分析。报告内容应包括： 出现问题领域 (内部和外部) 关键事件 损失数据、欺诈和不利影响分析 风险状况:- 总体风险水平变化- 风险控制有效性改变- 剩余风险改变 (使用关键风险指标等反映)3131RBS 内部与外部报告报告要求RBS集团操作 风险管理框架审计委员会行政管理委员 会和董事会集团管理层 - (自我认证流程)SoX 404法律巴塞尔协议 要求监管当局原则1 业务流程对操作风险管理的充分性必须 定期检查，并通过正式程序进行季度确 认。.原则 4 必须每季度对业务流程操作风险控制的有效 性进行评估。为此所有业务部门必须 : 建立连续的测试方案 搜集和分析损失数据原则 3 超过风险容忍度的剩余风险并须制定相应的 解决行动。必须对该行动的进行实施连续的 监督。原则 2 .业务部门必须确定可接受剩余风险（即 实施了控制后的风险水平）水平，并进行 书面记录并由部门负责人签字确认。原则五 必须严格遵守集团现有操作风险管理流程外部报告内部报告本行致力于贯彻包括政策、流程、程序和技术在内的操作风险管理框架，从而实现本集团操作风险成本有效、统一协调的识别、评估、缓释、监控和报告；防止由操作 风险造成的财务、声誉、客户、员工等方面的损失，并满足监管和法律要求3232内控3333概述n 也称三道防线3434内控 案例研究3535由经验引起的检查行为 RBS 曾一度受到很大的欺诈案件损失 (和英国其它银行一样) RBS 业务部门负责人决定采取行动 发现