农行四川分行操作风险培训2010.ppt

四川分行操作风险管理工具暨系统推广应用培训班 操作风险基础,风险管理部,2010.2 成都,概 述 风险报告 风险识别,2,一、概述,巴塞尔新资本协议的三大支柱： 最低资本充足要求（Minimum Capital Requirements） 监察审理程序（Supervisory Review Process） 市场制约机能，即市场自律（Market Discipline） 全面风险管理： 信用风险管理 市场风险管理 操作风险管理,3,一、概述：三大风险,信用风险 信用风险又称违约风险，是指交易对手未能履行约定契约中的义务而造成经济损失的风险，即受信人不能履行还本付息的责任而使授信人的预期收益与实际收益发生偏离的可能性，它是金融风险的主要类型。 市场风险 市场风险指因股市价格、利率、汇率等的变动而导致价值未预料到的潜在损失的风险。因此，市场风险包括权益风险、汇率风险、利率风险以及商品风险，主要归纳为价格风险和流动性风险。 操作风险 操作风险是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并组织的变动。它不包括已经存在的其他风险种类如市场风险、信用风险及决策风险。,4,一、概述：操作风险管理与新巴塞尔协议,操作风险管理在新巴塞尔协议的三大支柱中都有其关键角色: 巴塞尔委员会希望借助第一支柱最低资本要求规范和一系列风险测量与管理的定性和定量规范,判定银行是否取得特定评估方法的使用资格。 巴塞尔委员会建议监管机构透过第二支柱,依据各个机构控制环境进行评估,并加以定量规范。 第三支柱市场纪律强调透过资本配置和其他监管途径,提升银行和金融体系安全和稳健运营的能力。市场纪律提供银行以安全、稳健及有效率的态度经营业务,并持有适量资本对抗未来因风险导致机构蒙受潜在损失等诱因。,5,一、概述：操作风险管理和第一支柱-资本充足率,在新巴塞尔协议第一支柱中,明确提出了将操作风险作为银行资本比率分母的一部分。协议也提供了三种计算操作风险资本金的方法:基本指标法、标准法以及高级衡量法。监管当局的任务是根据严格的标准认定银行使用操作风险资本计提的资格,并始终监管其操作风险资本配置过程。 资本充足率公式：资本充足率=资本风险=(核心资本+附属资本)/信用风险加权资产+(市场风险所需资本+操作风险所需资本)12.5 基本指标法：银行所持有的操作风险资本配置应等于前三年总收入的平均值乘上一个固定比例 标准法：对公司金融、交易和销售、零售银行业务、商业银行业务、支付和清算、代理服务、资产管理以及零售经纪这8个银行业务类别每一业务类别适用一个特定系数，资本计算公式为各类业务以特定系数为权重的加权平均。实施标准法的前提是必须满足一系列标准,以便于监管部门监管。 高级衡量法(Advanced Measurement Approach):包括内部衡量法、损失分布法和计分卡法。细节包括(1)内部数据,当银行首次使用AMA的时候,三年的历史数据是最起码的前提；(2)外部数据,这些外部数据库应该包括损失的真实量,时间造成的影响的范围、原因和环境因素等信息；(3)情景分析,银行必须使用专家通过外部数据分析得出的情景分析来衡量自身遭受严重损失的可能性；(4)风险缓释,在使用高级衡量法时,银行必须被允许使用保险来缓解风险以满足最低资本要求。但用作缓冲基金的资金不能超过银行最低资本准备的20；(5)保险工具的运用,新巴塞尔要求保险公司的评级至少是A,且保险政策至少已经有一年的实践期。,6,一、概述：操作风险管理和第二支柱-监管原则,任何对于操作风险的监管评估必须包括:(1)反映行业真实情况并且与良好的行业惯例相一致；(2)从监管者的角度来看是可行的。任何可行的操作风险管理措施必须考虑到一系列高级但又基础的因素。关键的监管措施应该符合六方面的原则： 可测量性。无论对于小型机构还是大型机构,监管方法必须是可行的,并且复杂程度有所区别。所以,监管方法应当以机构的复杂程度为基础进行区分,允许机构对不同的业务类型选择不同的定量工具。 执行条件。监管方法必须在不同文化和法律环境的国家中都适用,依据不同处理方法使用不同的监管工具,提供一种清晰透明的机制使监管者可以判断机构的操作风险控制情况。 平等的竞争环境。监管者必须最大程度地保证判断和执行方法保持一致。具体来说,监管方法应提供一种明确的方法识别操作风险。同时,监管者必须看到绝大多数的机构将会使用基本指标法和标准法,这两种方法之间转换的定性标准应当以明确的清单表示。 灵活性。考虑到一系列潜在的方法,监管可以灵活实行,如监管者认识到达成一个目标可以使用多种不同的方法。同样,也可以使用独立的内部信息如内部审计和监察功能。 简易性与复杂性的平衡。一种过度技术性的方法可能给机构和监管者带来负担,而不是相应地增加监管益处。与此同时,监管方法又要求足够复杂以区别不同机构的风险。 良好风险管理的动机。在机构中鼓励稳健的风险管理,需要清晰地展示通过风险控制的改进而获得的益处。同样地,监管方法需要与在操作风险领域新兴的行业标准相一致:选择实行良好风险管理的机构,可以以获准使用更复杂的工具来计算资本要求作为回报。,7,一、概述：操作风险管理和第二支柱-内部控制框架,框架至少包括三个要素: 组织结构,包括董事的角色和责任,公司治理机制和操作风险管理的分工以及职能部门 操作风险管理的战略和政策 操作风险管理流程,包括识别风险、评估风险、管理和缓释风险以及监测和报告风险的全过程,8,一、概述：操作风险管理和第二支柱-内部控制框架,操作风险管理流程： 1、风险策略：一家银行的操作风险策略对于管理框架的其他部分有驱动作用。它需要对风险偏好和忍受度、风险管理政策、每日风险管理过程提供清晰的指导。 2、组织结构：银行的组织结构是所有操作风险管理活动的基础。组织结构应该将操作风险管理绩效与银行目标及员工表现相联系。 3、报告：操作风险能够影响所有的商业单位，操作风险管理报告比传统的市场风险和信用风险报告有更大的作用。它需要包含两个方面：第一，传达明确界定的相关的操作风险信息。第二，按照业务类型和事件类型向董事会，管理层及风险管理委员会报告操作风险信息。第一种类型的信息包括大多数未经调整的损失数据，第二种类型的反映了结构性的，经过分析的损失信息以取得更好的操作风险管理水平。 4、定义：银行需要一种共同的语言来描述操作风险和损失事件、原因和影响以达到监管要求。操作风险定义的发展能使银行达到更有效的风险识别、评估和报告过程。定义的主要困难在于区分操作风险和其他风险，指导银行使用一种明确的操作风险定义对损失数据库的建立至关重要。 5、损失数据：银行需要建立一套收集、评估、监测和报告损失数据的系统。除了收集内部数据之外，由于大多数的机构没有经历过操作风险的灾难性损失，低频高危的数据通常无法纳入到内部数据库中，需要外部数据补充。收集内部数据的过程需要得到银行各个部门的支持，间接损失等都应该纳入到损失数据库中，损失数量的变化、保险偿付和附加的赔偿要求应加以审计。,9,一、概述：操作风险管理和第二支柱-内部控制框架,操作风险管理流程： 6、风险评估：风险评估为银行提供一种定量衡量操作风险的方法。作为一种识别操作风险近工具，并且在有限的程度内可以当作计量操作风险的工具，风险评估在损失数据较少的时候发挥了关键的作用，以建立一种前瞻性的风险敏感的识别系统。 7、关键风险指标（KRI）：银行应当在能够反映系统、过程、产品、人员等风险预警主要风险指标的基础上评估操作风险。与损失数据一样，KRI建立在现有数据的基础之上，与损失数据不同的是，KRI不是简单得假设历史将会重演，而是试图预测到潜在的风险。确定相关的风险指标将十分复杂，因为它与真实风险暴露的关系只能由内部损失数据得到。银行可以结合几种首要的直接的风险指标来建立风险预警系统。 8、缓释：一旦银行识别和量化了风险，就可以使用合适的政策、过程、系统和控制方法来缓释风险。银行应该设计并实施具有成本效益的风险缓释工具，使操作风险降低到能够接受的水平。 9、资本模型：资本模型包含了监管资本和经济资本的计算，它需要借助内部数据、外部数据、情景分析、行业环境、风险控制因子及各种辅助信息如保险因素等，通过数学和统计方法来测量操作风险。 10、信息技术：适当的信息技术是操作风险管理框架的基础，管理者应当能使用IT系统丰富、维持和更新操作风险信息，使用数据管理和报告系统能优化资本配置，使资本回报最大化并且支持其他业务活动。,10,一、概述：操作风险管理和第二支柱-独立评估框架,监管者应该直接或间接地对银行有关操作风险的政策、程序和做法进行定期的独立评估,确保有适当的机制保证他们知悉银行的进展情况。 第一,银行风险管理程序的有效性以及有关操作风险的全面控制环境。银行监测和报告其操作风险状况的方法,包括操作风险损失数据和其他潜在操作风险指标;银行及时有效解决操作风险事件和薄弱环节的步骤;银行为保证全面操作风险管理程序的完整性的内控、审查和审计程序;银行努力缓释操作风险的效果,例如使用保险的效果;银行灾难恢复和业务连续方案的质量和全面性;银行根据其风险状况和其内部资本目标,评估操作风险的整体资本充足率水平。 第二,如果银行是一家金融集团的一部分,监管者应该努力确保它已经制定了一些步骤来保证操作风险的管理适宜于整个集团并且得到有机结合。在执行此类评估时,有必要根据现有步骤与其他监管者进行合作和信息交流。一些监管者或许会选择外部审计师来完成这些评估程序。 第三,监管检查中发现的缺陷应该通过一系列行动来处理。监管者应该挑选最适合银行特殊情况和经营环境的工具。为了使监管者及时收到有关操作风险的信息,可以提出直接与银行和外部审计师建立报告机制(例如,银行内部有关操作风险管理的报告可以定期呈送监管者)。,11,一、概述：操作风险管理与第三支柱-市场约束,迄今为止,巴塞尔委员会关于操作风险和第三支柱之间的关系,规定得不够充分,它反映了该委员会试图确立一个使信息披露数量应与银行经营的规模、风险状况和复杂性相适应的激励相容框架。在第三支柱中,巴塞尔委员会提出全面信息披露的理念,认为不仅要披露风险和资本充足状况的信息,而且要披露风险评估和管理过程、资本结构以及风险与资本匹配状况的信息;不仅要披露定性的信息,而且要披露定量的信息;不仅要披露核心信息,而且要披露附加信息;不仅要考虑强化市场约束,规范经营管理的因素,而且要考虑到信息披露的安全性与可行性。 操作风险的监管在如何披露信息的领域,目前尚未规定好,主要是因为银行还正在开发操作风险评估的技巧,但一家银行始终应当向公众披露的信息应该包括:为每种业务类型配置的监管资本;计量资本配置的具体方法;管理和控制操作风险过程的详细信息。,12,一、概述：操作风险管理的目标,对灾难性事件有准备更充分 减少操作风险损失和收入的不稳定性 优化完善作业流程 减少资本的要求 更精确的风险定价能力 提高客户的忠诚度和满意度，提高声誉 通过早期预警制度，降低人员风险 提高股东价值 保证银行良好的信用评级 满足监管要求 注意：操作风险管理的目标不是消灭操作风险（未来具有不确定性）,13,一、概述：回顾刚才的内容,巴塞尔协议与全面风险管理 操作风险管理与新巴塞尔协议的三大支柱 操作风险管理的目标,14,二、风险报告,风险监测是指运用各类监测手段，持续对各种可量化的关键风险指标以及不可量化的风险因素进行监测，动态捕捉风险变化和发展趋势的过程。 风险报告是有关风险信息的获取、分析、判断及传导过程。各级行有关部门和经营单位及时发现并准确反映本行信用风险、市场风险、操作风险、流动性风险等风险状况，使高级管理层及外部监管部门及时掌握全面风险状况并做出相应决策的管理活动。 风险监测报告是全面风险管理体系的重要组成部分。风险管理战略政策是监测报告的基准，组织体系是监测报告的依托，计量工具和信息系统是监测报告的手段，良好的风险管理文化是监测报告的支持保障。,15,二、风险报告,16,资本是抵御风险的最后一道屏障，尽管“微观”风险监测有着各自不同的目的、意义和作用，全面风险监测的根本目的是评估资本。,以资本为核心的全面风险监测分析,尽管无法包括所有的风险，风险监测分析考虑下列风险：信用风险、市场风险、操作风险、流动性风险、银行账户的利率风险、其他风险。,二、风险报告,报告形式和内容,17,风险分析报告,风险监测报告,风险检查报告,风险事件报告,形式 内容,报告内容包括检查单位、被检查单位、检查内容、检查时间、范围、方式、发现问题、整改要求等。,宏观经济风险、政策风险、法律风险、产行业风险、区域风险、产品风险、客户群风险、业务管理风险、人员风险、信息系统风险等。,报告要求及时，可分为信用风险事件、市场风险事件、操作风险事件、流动性风险事件。首次报告、后续报告。,全面风险分析报告：总体风险状况、采取的主要措施、当前面临的主要风险因素、风险趋势及对策建议；部门分析报告：本部门业务条线风险状况。,报告单,报告单,文字报告,报告单,二、风险报告：操作风险报告在管理流程中的位置,18,操作风险报告贯穿于整个管理流程,报告,识别,评估,控制/缓释,监测,“始于报告，终于报告”,报告是向董事会、高管层以及投资者 汇报的载体,二、风险报告：监管机构的要求,19,“必须建立对董事会、高级管理层和业务单元经理有关操作风险的日常报告制度” 新资本协议,银监会在商业银行操作风险管理指引中要求更为明确： 1、高级管理层应定期向董事会提交操作风险总体情况的报告。 2、操作风险管理政策中应明确操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求。 3、商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。 4、重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。,“银行应该制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操作风险管理的高级管理层和董事会，应该定期报告有关信息。” 操作风险管理与监管的稳健做法,最低要求,二、风险报告：操作风险报告体系,20,操作风险报告体系,组织体系,操作风险报告制度、办法,覆盖各级机构的报告系统,垂直的风险管理条线,报告程序,报告工具,二、风险报告：操作风险报告体系,21,中国农业银行操作风险报告管理办法（试行）,通过Notes手工报告,1,操作风险监测与报告管理办法及操作风险分类分级标准,3,2010年1月5日，操作风险管理信息系统上线,3,总行组建风险管理部,1,一级分行、二级分行组建风险管理部,2,派驻风险经理（风险主管）,3,操作风险报告系统（一期）上线,2,2,各级行执行案件、突发事件报告制度,1,组织体系,报告工具,报告程序,不断完善,操作风险报告体系,二、风险报告：系统和办法的变化,22,正在修订中国农业银行监测与报告管理办法，制定操作风险分类分级标准。已经推广上线操作风险管理信息系统 事发部门报告事件经过及损失情况，风险管理部门进行事件类型、产品线分类。 操作风险报告内容扩充了操作风险事项报告 风险报告要由风险管理部门进行审核 总行对操作事件报告进行评分 与会计监控、法律、审计、保卫、客服信息共享，并可转入为操作风险事件。 增加风险经理报告,旧办法，旧系统,新办法，新系统,VS,下发中国农业银行操作风险报告管理办法（试行），推广上线操作风险报告系统。 首次提出了操作风险的定义，规定了操作风险报告的范围、内容、主体、路径和时限。 形成了事件报告、分析报告为主体的报告体系 建立了通过操作风险报告系统上报的机制,二、风险报告：系统和办法的变化,第一，办法的名称改为中国农业银行操作风险监测与报告管理办法，监测要求分行风险管理部门对ARMS、反洗钱、法律、客服、审计等系统每日提取的风险信息的日常监测。 第二，把一期报告系统里的潜在风险事项报告明确要求为操作风险事项报告，且细分为违规事项、客服事项、媒体负面信息和潜在风险。值得注意的是，新办法中潜在风险的是指制度、流程和系统中的缺陷、漏洞，还没有因此引发事实风险。 第三，报告的流程发生了变化，事发单位报告后，必须报给风险管理部门逐级审核，且审核工作是新的报告系统中的必须动作。 第四，报告分工有所调整。事发部门侧重于报告事件基本情况、损失情况，而事件类型、产品线分类由风险部门负责。 第五，把报告办法的附件的分类分级内容作为操作风险分类分级标准，单独制定，且对分级标准作了修订，如被诉案件不再全部是重大事件。 第六，对迟报、瞒报时限重新进行了界定。迟报，重大事件为3天，一般事件为5天，瞒报一律为15天。,23,二、风险报告：系统的特点,24,谁发生，谁报告 双线报告 分类分级报告 风险经理报告 标准化、规范化报告 与法律、安全保卫、内控等部门风险信息有效核对,事件发生单位,风险管理部门,业务管理部门,二、风险报告：报告类别,25,报告类别,报告子类,报告时限,报告路线,二、风险报告：报告路径,26,一级分行,业务及管理部门,风险管理部门,总行,风险管理部门,业务及管理部门,二级分行,业务及管理部门,风险管理部门,支行,业务及管理部门,风险经理,分理处主任,会计主管,谁发生，谁报告,双线报告,二、风险报告：报告路径,27,事发单位报告,二级分行风险管理 部门审核并风险分析,总行风险管理部门评分,一级风险管理部门 审核修改,事发单位审核,二、风险报告：风险经理报告路径,28,会计主管,风险经理,分理处主任,报告长短款等会计结算、运营操作风险,报告其他操作风险,风险事件随时报，风险事项定期报,接受举报或检查,操作风险管理信息系统,操作风险事件,操作风险事项,事发单位报告,风险经理报告,支行在报告时限内未上报 风险经理督促支行报告无效的，风险经理直接通过操作风险管理信息系统事件报告/事项报告向上级行进行报告,二、风险报告：操作风险报告中存在的问题,29,报告中存在的问题1 迟报、瞒报情况屡有发生,未立案的案件线索没有上报。2009年案件集中排查、内控大检查、集中审计都发现了很多案件线索，最终没有立案的案件线索都没有上报。 产生挪用的但追回损失的事件没有上报。 一些被诉案件没有上报。,在操作风险管理信息系统上线后，提取了2009年法律事务、安全保卫、审计等系统数据，将和报告系统进行核对，漏报的事件全部补录入系统。,二、风险报告：操作风险报告中存在的问题,30,报告中存在的问题2 事件影响程度分级不准，导致“该报的不报，不该按事件的作为事件上报”,把符合报告标准的操作风险事件作为潜在风险上报。如“收贷资金长期被非法占用或挪作他用，涉及金额630万元”的事件应为三级事件，但被作为了潜在风险上报。 未达到报告标准的事项作为操作风险事件上报。比较常见的是把审计、检查发现的违规问题作为操作风险事件上报。如“未复印客户身份证”、“转账支票未背书签字”等潜在风险事项作为事件上报。在操作风险报告系统一期向ORMS系统数据移植时进行了初步梳理，约有30%的没有构成事件的违规问题当作事件进行报告。 事件分级不准。,二、风险报告：操作风险报告中存在的问题,31,报告中存在的问题3 事件报告内容粗略，事实描述不清。,事件命名不规范比如“省分行自律监管检查”、“审计反映重大问题之十五” 事件情况描述不清 事件描述过于简单 直接摘录、复制其他报告，事件来龙去脉没有交代清楚 后续报告率低,二、风险报告：操作风险报告中存在的问题,32,报告中存在的问题4 涉及金额、风险金额等漏填或填报错误,缺少涉及金额、风险金额。有的是首次报告因为不掌握具体损失情况而没有填写，但此后一直不补报相应金额，有的在损失描述中有涉及金额、风险金额等数字，但在相应的金额栏中空缺。 对涉及金额和风险金额的定义不准。 输入错误。一些事件在报告时误将金额单位“万元”当作“元”，出现过“上亿”，“十几亿”的事件。,二、风险报告：操作风险报告中存在的问题,33,报告中存在的问题5 风险点分析不认真或未进行分析,没有进行风险点分析。一些事件首次报告时因为事实不清而未进行风险分析，但此后一直没有跟踪事态变化来进行分析。 风险点存在遗漏，没有逐流程查找风险因素。只填写了最主要的风险点，比如事件描述为“通过虚列支出、截留收入等方式设立小金库，转入冒名开立的存款账户中”，明显存在多个风险点，但报告中只填写了一个风险点。,二、风险报告：操作风险报告中存在的问题,34,报告中存在的问题6 涉及业务条线划分有误,管理职责交叉的业务。比如ATM安装摄像头和读卡器窃取银行卡资金，有的行认为ATM属于安全保卫部门管理，将银行卡划为安全保卫，有的行认为归根到底属于银行卡资金被盗，又划分为个人金融。 引起法律诉讼的事件。有划分到法律事务条线的，有按照法律诉讼的性质划分到具体的业务条线。（储蓄纠纷划分到信贷业务）。 审计、检查发现的违规问题。有的直接按照事件来源选择条线为审计或者内控。 员工个人违法违纪和欺诈行为或劳务纠纷。有的按照员工所属部门划分，有的是划分为人事管理。,二、风险报告：风险管理部门的措施,35,风险管理部门,审核报告,分析 事件类型、 产品线,对报告质量打分,二、风险报告：评分流程,36,事发单位报告,同级风险管理部门审核,系统打分,总行风险管理部门评分,手工打分,更新,更新,一级风险管理部门审核 修改,总行会对每一件操作风险事件进行评分 手工得分为报告最终得分,二、风险报告：评分的影响,操作风险报告得分占比为辅助评分的50%，辅助评分占总分的40%，也就是说操作风险报告得分占最终各分行的得分的20% 经济资本的调整系数为最低为0.82.89，对分行的经济资本可以放大到2.89倍 今年对迟报、瞒报的认定非常严格，超过15天未报告，或从法律事务系统、审计、保卫系统中转入的事件超过该系统上报日期15天的，也认定为瞒报，报告率是报告得分的核心内容。 评分是逐级的，总行对一级分行评分，一级分行对二级分行、支行评分，各支行自己报告的情况决定了各支行的报告得分，影响到该行的经济资本，进而影响到该行的考核。,37,二、风险报告：填报规范,38,把握操作风险事件、事项报告标准,人员,流程,外部事件,系统,操作风险？,操作风险事件,操作风险事项,1、事件性质属于刑事案件、违法违纪案件、被诉案件、信息安全事件 2、风险金额0 3、需要上报监管部门或受到监管处罚,1、未形成风险金额的违规事项 2、制度、办法或系统的风险隐患 3、网络负面媒体信息 4、客户投诉,二、风险报告：填报规范,事件名称须完整、简要、清晰，能反映事件发生属地、涉及人员、事件类型和特点 一级分行名称二级分行名称支行名称 涉及人员 事件类型特点 例如：XX省XX市XX支行因储蓄（抵押物/劳动/）纠纷被XX人/公司起诉。XX省XX市XX支行XX人挪用（盗取）资金XX万。XX省XX市XX支行ATM机被改装盗取客户资金。 对于同一事件的首次报告、事件台帐、后续报告，事件名称要一致,39,二、风险报告：填报规范,事件描述应详细准确。首次报告时对事件情况暂不清楚时，应初步描述事件时间、地点和涉及人员等基本要素，并跟踪事态发展，在后续报告中详细描述 业务条线归类准确是按条线分析的前提。业务条线是指操作风险事件、事项损失发生的业务条线，划分时注意： 1、存在两个部门职责交叉时，以事件涉及的业务或产品的主管部门为主，比如ATM被安装读卡器，最终导致的是银行卡资金被盗，应归入个人金融业务条线。 2、被诉案件、审计、检查发现的问题，业务条线不能填写法律事务、内控合规，而是应填写被诉事件、违规问题本身所发生的业务条线。 3、资产处置中引起的纠纷，一是处置标的物本身存在瑕疵的，业务条线应归为标的物所属的条线，比如对公贷款处置属于公司业务，二是资产处置不合规的，属于资产处置。 4、员工贪污、受贿等职务犯罪，应按照员工所在业务条线划分。 5、劳资纠纷划分到人力资源。,40,二、风险报告：填报规范,涉及金额指操作风险事件中累计涉及的金额。如挪用客户资金类事件指累计挪用金额。 风险金额指操作风险事件发生或发现时有可能损失的部分，即风险暴露金额。 如报告时暂无法掌握涉及金额、风险金额的，要及时根据事态变化补充填报。 刑事案件中，盗窃、抢劫、诈骗的涉案金额为涉及金额，最终形成的风险敞口为风险金额。 违法违纪案件中，贪污、受贿案件累计涉案金额为涉及金额，而由于此案件贪污、受贿的金额不是银行本身的损失，而贪污、受贿造成的间接损失，很难具体估量，不算作风险金额。挪用案件的累计挪用金额为涉及金额，最终形成挪用的资金缺口为风险金额。 被诉案件中，被诉标的金额等于涉及金额和风险金额。 违规事件中，违规行为过程中涉及到业务金额，金额与行为直接关联（比如传票未专夹保管，传票的票面金额和保管的行为没有必然联系，所以该事件没有涉及金额）。违规行为导致可能损失的金额为风险金额，比如违规放贷，如果该贷款形成不良，预计损失额即为风险金额。（注意，存在违规行为，但贷款形态正常的，只有涉及金额，没有风险金额。） 信息安全事件、群体性事件等其他操作风险事件，涉及金额和风险金额按照其产生的客户索赔、实物资产损坏的金额确定。如主机损坏，涉及金额和风险金额同时为主机的成本。 风险金额是我们事件发现时产生的风险金额，比如经过几个月后，损失全部收回的不能认为该事件的风险金额为0，作为不报告的理由。,41,二、风险报告：填报规范,案件指上报银监会、中纪委的违法违纪案件、刑事案件。 案件中不包括法律诉讼案件。 与监察部、安全保卫部上报银监会的口径一致。 未立案的贪污、受贿、挪用的案件线索必须作为操作风险事件上报，不得隐瞒。 操作风险事件按件报告。 法律事务系统中，反诉、多次起诉多作为多件事情统计，但在操作风险报告时应注意同一起诉事由产生的多次诉讼作为一个事件报告。 从分析和今后损失数据收集的要求来看，同一原因（如制度、系统缺、模型错误）或同一不法分子（团伙）连续作案的，作为一件风险事件上报。例如，在2009年银行卡资金被盗案件中，应以一台ATM被不法分子安装读卡器制作的所有伪卡盗取事件作为一起事件上报，而不是该行一段期间内该行所有被盗卡事件打包作为一件事件上报，或者按每张卡作为一个事件单独上报。,42,二、风险报告：风险分类分级标准,要解决的问题： 统一操作风险标准，形成各业务条线共同管理操作风险的平台。 统一的操作风险数据标准，为定量管理和高级法计量奠定基础。 在新一代核心银行系统框架下实现风险管控领域实现全行操作风险数据的有效共享。 出发点 1、满足监管要求。划分操作风险事件类型、产品线。 2、规范操作风险识别、监测、报告和计量风险的基准。对操作风险的影响程度分级、发生概率和风险分类统一。 3、符合新一代核心银行系统风险数据标准，可以逻辑整合的远景。,43,二、风险报告：风险分类分级标准,44,规范操作风险事件的定义 制定操作风险数据标准,（1）事发机构。 （2）涉及条线。 （3）发生时间。 （4）持续时间。 （5）发现时间。 （7）涉及金额。 （8）风险金额。 （9）损失金额。 （10）损失挽回额（不含保险）。 （11）保险挽回金额。 （12）非财务影响。 （13）涉及风险点,二、风险报告：风险分类分级标准,45,对操作风险事件类型分类、成因分类和产品线分类按照我行实际情况进行调整。,二、风险报告：风险分类分级标准,46,制定操作风险事件影响程度分级标准 操作风险事件统一划分为违法违纪事件、违规事件、刑事案件、被诉和仲裁、IT事件、意外灾害、群体性事件、其他操作风险事件八类，每类划分为五级。,二、风险报告：风险分类分级标准,47,对违规专门进行分类 违规分为违规事件和违规问题两个大级。 违规事件指形成风险金额或产生实际损失的违规行为，又根据金额和涉及人员分为五级违规事件； 违规问题指未构成操作风险事件的违规行为，违规事项又按照影响严重程度再分为三级违规问题。,操作风险事件,操作风险事项,二、风险报告：风险分类分级标准,对IT风险进行分类 根据信息化建设的周期把IT风险分为项目管理风险、软件研发风险、资源配置风险、运维风险和数据管理风险和外包风险； 把信息系统划分为产品与服务等六个类别； 把信息系统事件划分为信息系统中断等五类； 把IT风险事件为五级。,48,二、风险报告：操作风险报告系统,49,操作风险报告系统根据操作风险报告办法规定的流程设计，实现了风险报告、查询、分析和统计自动化的流程，建立了与会计监控系统、客服系统、法律事务系统、审计系统、安全保卫系统等外部系统的接口，每日提取风险信息，实现全行操作风险信息的集中共享。,二、风险报告：系统实现的报告流程,50,录入员,审核员,录入员,审核员,录入员,审核员,风险经理,风险部门,风险管理部,报告,报告,报告,监督、补报、分析、修改,一级分行,二级分行,支行,会计主管,分理处主任,录入员,审核员,风险管理部,过滤器,通过系统建立和完善操作风险报告体系,二、风险报告：回顾刚才的内容,相关概念：风险监测、风险报告、报告形式、报告内容、报告流程、报告体系、监管当局的要求。 新系统的变化：办法、流程、类别等变化。 目前我行风险报告存在的问题。 总行采取的考核措施和对各行的影响。 风险报告的填报规范和风险分类分级标准。,51,三、风险识别：目的,52,全面深入了解全行各业务及 经营管理活动所面临的操作风险,统一操作风险识别标准,形成指导风险防控 的风险点指引,建立覆盖各机构、部门和岗位的 操作风险主动、持续识别机制,规范操作风险识别结果的管理和运用,为评估、分析、计量 及考核奠定基础,持续性的收集、 整理风险信息,利用识别出的风险点加 强操作风险监控和管理,三、风险识别：原则,53,在日常工作中主动发现、查找违背规律和 内部规定的反常情况,及时提炼风险信号及风险因素，发布风险点,覆盖所有重要的业务、产品、活动、系统及其流程,识别结果要满足统一的标准，并进行规范化整理,三、风险识别：分工,54,业务及管理部门,按照统一的程序和标准及时开展本条线内的操作风险识别工作 运用识别结果主动管理操作风险,风险管理部门,指导相关部门推动操作风险识别工作 协调跨部门的操作风险识别 审核并管理识别结果 承担操作风险识别培训 监督操作风险识别工作,内控合规、监察、 保卫等部门,将检查、案件查处、审计中掌握的风险信息按照统一标准进行整理 提供其他部门开展操作风险识别所需的资料,三、风险识别：示例,55,三、风险识别：定义,操作风险点是指导致某一业务或管理活动具体流程环节失败的行为或事项。 操作风险点实际上是包括了九个内容维度的一个集合体概念。通常所说的操作风险点，是指操作风险点九个内容维度中的“风险点名称” 。 风险因素是指可能导致业务流程、操作环节失败的内外部行为或事项。 风险因素一般从导致操作风险事件发生的内外部原因、当前存在的现实问题和风险隐患等来寻找。 风险信号是指风险因素表现出来的某些违反常态、常规、制度的行为或现象。 风险信号是一种事前、事中的迹象，事后的痕迹。,56,三、风险识别：内容维度,57,内容维度,风险点,业务流程,业务品种,风险点名称,风险因素,风险信号,风险类别,控制意见,现有控制措施,措施来源,三、风险识别：风险因素,58,风险因素应当详细描述这些内外部行为或事项的具体表现方式，不能笼统表述，不得以造成的结果或影响作为风险因素。,描写详细,三、风险识别：风险因素,59,对于行为动作类的风险因素，要写清楚具体的手段、方法以及突破防控制度的过程（如绕开制度规定进行违规操作的方式方法、作案的具体手段） 对于事项状况类的风险因素，要写清楚具体的表现形式、典型事例,三、风险识别：风险信号,60,信号必须看得见摸得着！,风险信号的这些异常行为举措或现象应当可以明显观察得到。,不具体，不能告诉你在哪里可以看到这种行为的痕迹,告诉了你确切的位置和痕迹的表现,这些都是在日常工作中能看到的东西,三、风险识别：风险信号,61,风险因素笼统，应当将实际工作中最典型的情况具体列举初来，也要避免将制度条文简单反写。,违规的具体表现形式和种类，看不见的、抽象的表述，应属于风险因素,是看得见的痕迹，可以帮助发现违规行为，应属于风险信号,三、风险识别：风险信号与风险因素,62,风险信号只能预示相应风险因素可能存在 风险信号不需要表明风险因素一定会存在,三、风险识别：风险点名称,63,风险点名称是对风险因素的概括性表述,风险点名称必须要是词组或短句,风险点名称应当采用偏负面的具体性词语。 不得出现“不合规”、“违规”、“风险”、“流于形式”等笼统性词语。,三、风险识别：控制意见,控制意见是针对风险点提出的针对性风险防控意见。 控制意见是风险管理部门经深入分析后提出的。 控制意见是针对风险因素、风险信号等给出的针对性防控意见。 控制意见可以是现行规章制度规定的内容或实际工作中的经验做法，也可以是依据经验判断做出的预见性举措。,64,三、风险识别：控制意见,65,外部欺诈,内部欺诈,执行、交割 和流程管理,客户、产品 和业务活动,要了解外部人员使用的伎俩以及违反常态、常规的行为，完善内部规章 制度和操作手册，提示和指导一线操作人员防范风险，控制意见主要是 应对这些外部行为的具体操作方法。,要了解内部人员使用哪些手法、途径和伎俩进行欺诈，完善内部控制规 定和加强检查监督，控制意见主要有岗位制约控制、行为阻断控制、账 务核对等内部控制措施，以及检查、行为排查、监控等手段 。,主要是确保规章制度得到有效执行，防止流程环节发生错误，其控制意 见包括加强核对复核、监督检查、建立岗位责任等。,主要是防止内部人员的不良行为和举措给客户造成影响，其控制意见主 要是正确的作业操作、加强教育培训等方面。,可结合风险类别、风险点作用来把握控制意见,三、风险识别：现有控制措施,现有控制措施是指现行规章制度中规定的或者实际工作中使用的（现行规章制度并没有规定）与控制风险点相关的具体举措。 来自现行规章制度的中控制措施，要以简明扼要的语言列举出与该风险点相关的各项举措，对于繁杂、冗长的条款或内容，要提炼其核心要点。 对于实际工作中使用而现行规章制度中没有规定的举措，要进行详细描述。 措施来源指出的是现有控制措施的出处 控制措施的出处就是要说清楚控制措施来自哪级机构、哪个部门、哪个具体的规章制度。描述格式如：中国农业银行*办法（农银*发*号第*条）,66,三、风险识别：识别的具体方法流程分析法,67,1,确定流程环节,2,提炼风险因素,3,查找风险信号,确定风险发生的业务领域、业务品种或管理活动 确定风险发生的业务及管理流程环节,根据事件发生的原因、现实中存在的问题、隐患及经验判断等，提炼出可能导致具体流程环节出现失败的行为或事项，即风险因素,根据风险因素，查找表明风险因素可能存在的迹象或痕迹，即风险信号,三、风险识别：识别的具体方法风险点范围,68,范围由操作风险的定义和操作风险的七个事件类型来确定,外部欺诈、内部欺诈 进行欺诈的方法、手段 突破内部防控制度的过程、方式 内控控制中的缺陷,执行、交割和流程管理 违规的手段、表现形式 不尽职的表现形式 交易的错误、无效,主要是合同类的法律风险,三、风险识别：例子,69,【1】企业为满足上级行关于注册资本金达到2000万元的门槛，伪造财务报表，虚增资至2000万元，而该公司实际注册资本金只有600万元 【2】客户提供伪造增资后的营业执照，调查人员没有到当地工商行政管理部门进行查询 【3】没有核实客户准入资格，客户实际没有经营柴油的资格 【4】与关联公司签订虚假购销合同申请贷款，无真实贸易背景 【5】调查人员没有对质押物进行现场查验 【6】审查时对客户资料明显虚假，如做为确定权属依据的增值税发票有大量的挖补、粘贴、复制，仓储单位加盖的多处股份公司印章明显的不一致等，均审查通过 【7】贷款发放后，没有人进行资金监测，信贷资金10日内被挪用 【8】贷后首次跟踪检查及贷后检查没有对质押物进行现场查验，监督检查体系在整体上应对外部欺诈能力偏低，对重大风险缺乏职业敏锐性 【9】对贷款被挪用、从未向农行申请质押物出仓这一重大反常情况，未能引起警觉，未能对质押物的真实性产生怀疑 【10】从2005年6月第一笔贷款至2006年5月第三笔贷款，每一次贷款批复都有“督促借款企业开立基本存款账户，落实合法有效仓单质押担保手续”,以某一贷款诈骗案为例,三、风险识别：例子,70,识别示意图,注：图中的编号对应关键风险点监控指引中的编号。,三、风险识别：识别的具体方法注意事项,71,要抓住风险的本质，也就是要抓住关键性的漏洞在哪里，不能只停留在表面形式,例子：大额定期存取款中的“先存后取”问题 在内控合规的检查中，“先存后取”是作为逆程序操作（规定不允许“先存后取”）来对待。但是从操作风险点的角度来看，问题的本质是业务操作中可以进行“空存资金”的操作。 逆程序操作是表面问题、它只是“空存资金”引发的一种表现形式而已，深层次的问题在