RBS-操作风险管理.ppt

FredBell中国银行风险管理合作项目负责人,操作风险管理,操作风险管理,目录什么是操作风险RBS组织结构和方法操作风险管理框架操作风险管理手册操作风险报告内控,什么是操作风险,“由于内部流程、人员和系统不完善或失败，或由于外部事件引起损失的风险”来源：巴塞尔协议“由于人员差错、无效或设计不充分的流程、系统和不当行为（包括犯罪行为）造成的损失”来源:RBS,什么是操作风险示例,未经授权员工进入分行电脑系统内部欺诈业务数据输入错误罚息新产品太受欢迎-客户服务延迟、服务成本增加和客户不满分行反洗钱工作没有重点，反洗钱效果差监管当局罚款自然灾害危及员工安全，引起业务中断网点关闭、客户不便和服务中断,什么是操作风险,作为业务一部分的操作风险无处不在.可能由于内部或外部因素引起.可能出现在多个部门。操作风险是经营不可避免的因素。无法完全消除，只能尽可能减少。操作风险影响具有隐蔽性，不容易测算。和其它风险类别不同，操作风险往往由多个原因造成，不易识别。操作风险到处存在。业务流程或系统设计不合理（无论该系统是支持信贷审核，还是防范欺诈）都会造成操作风险损失。业务流程的改变也会引起新的操作风险,什么是操作风险管理?,操作风险管理是识别和理解业务流程中的操作风险的敞口，而不是完全避免之。必须制定操作风险管理战略：规避、转移、缓释还是接受。.只要理解风险、意识到风险、有透明的披露和充分的监控，接受操作风险也是操作风险管理的一个可能战略。操作风险随着人员、流程、外部因素和系统改变而不断改变，需要联系评估和监控保证业务部门在理解风险的前提下进行决策。必须根据风险与收益配比的原则进行管理操作风险管理是前瞻性的未来有哪些风险可能影响业务。但是管理的依据是对过去发生的风险的原因和损失的分析。操作风险管理需要企业文化的改变不可能在一夜之间发生。,操作风险管理职责,操作风险管理人人有责，但职责不同。业务部门对操作风险管理最终负责。操作风险管理专家负责支持业务部门理解和评估操作风险。其它部门专家负责制定有关具体类型操作风险的政策和流程。这些部门包括.:反欺诈监察部法律法律合规部合规法律合规部人员人力资源部系统/信息安全信息科技部,操作风险管理的对象,财务影响,客户或员工影响,声誉影响,原因,原因,原因,Controls,预防性,调查性,纠正性,Risk,事件,RBS组织框架和方法,RBS集团组织架构,SirFredGoodwin集团首席执行官,财务管理JohnBaines,CEO,公司市场JohnnyCameronCEOAlanDickinson,CEOUK英国公司市场部(UKCB)BrianCrowe,CEO全球银行市场部,RBS保险AnnetteCourt,CEO,集中处理重新MarkFisher,CEO,Citizens(美国)LarryFish,总裁兼CEO,UKEuropeUSAsia,爱尔兰,英国欧洲美国亚洲,英国欧洲美国亚洲,英国欧洲,美国,Ulster银行CormacMcCarthy,CEO,零售市场及直接银行业务部GordonPell,CEO,零售银行ChrisSullivan,CEO零售银行卡欧洲直接银行业务Tesco个人金融公司消费信贷,集团办公室,RBS操作风险管理框架,集团操作风险部,部门,公司市场部,个人银行,集中处理部门,RBS保险,Ulster,Citizens,风险管理职能部门,业务发起部门,风险管理单位,财富管理,直接金融,操作风险管理程人员配置,部门2006年配备人员集团操作风险55公司市场部60零售市场（含直接金融和财富管理)390集中处理部105RBS保险45Ulster(爱尔兰)28Citizens(美国）12操作风险管理总员工数675,操作风险管理框架,操作风险管理框架,RBS操作风险管理框架(ORMF)提供了进行操作风险有效管理的框架结构。该框架的目的是:对本集团面临的由于人员差错、流程设计缺失或不充分，系统失灵或不当行为引起的损失风险敞口进行管理;协助管理层和员工在操作风险关流方面的履职工作建立全行统一的操作风险管理最低标准（包括指引和相关技术），确保操作风险政策、原则和流程的充分性和有效性。,操作风险管理框架关键要素,治理机制确定信息流动和决策权利的正式的结构职责确定各部门和业务单位的职责。管理层和员工应正确理解其职责，并具有相应的能力和经验完成操作风险管理政策和流程的要求。政策、原则和指引宣传操作风险管理最低要求指引应规定自我评估方法（内部认证）,概要治理机制,董事会,集团行政管理委员会,集团风险管理委员会,集团风险管理部,部门操作风险管理团队,集团审计委员会,部门风险委员会,授权,确定操作风险偏好,建议战略、批准控制、管理绩效审核,设计框架、趋势和集团操作风险状况监控、质量评估,添加部门管理层和业务控制环节、监控部门操作风险状况,职责业务部门,部门首席执行官(CEO)部门首席执行官对他/她所在部门业务中所有操作风险的管理负责。包括建立符合操作风险管理手册中最低要求的部门操作风险管理框架，并对季度自我认证结果签字确认。业务单位和条线管理部门负责业务条线日常操作风险管理工作。该工作必须是充分和有效的。部门操作风险管理团队协助部门管理层制定、维护和监察本部门操作风险管理框架（包括风险管理工作漏洞和风险状况变化的监控）,职责总行,集团风险管理部负责制定和维护集团操作风险管理框架和标准，并通过操作风险管理手册为基础的原则和技术的适用达到这一标准。集团稽核部对集团和部门操作风险管理的充分性、有效性和连续性进行独立检查。.专家部门（如人力资源部、反欺诈部和信息安全部门）在其领域提供具体的专业技术和技能支持，帮助操作风险识别、评估、监控和缓释。集团建立各领域专家小组，帮助集团和部门操作风险管理团队进行操作风险的全面管理。,操作风险管理手册,识别由于犯罪活动、人员差错、设计流程不充分和不当行为等原因造成损失的风险敞口评估操作风险发生的概率（频率）及其影响的大型小（财务影响，员工、客户和声誉影响通过以下方式缓释风险:规避风险,在操作流程中实施控制（内控环节）;将风险转移到更能管理该风险的部门或集团外部机构；接受剩余风险，将其造成的损失计入业务成本.监控和报告剩余操作风险敞口（集团可能遭受损失的敞口），确保业务流程对操作风险的持续管理，并及时识别信的操作风险和需要采取的行动。,操作风险管理周期,操作风险管理手册,操作风险管理手册描述了我们执行操作风险管理框架的政策、原则和核心流程。手册包括以下流程:风险与控制评估操作风险事项日志剩余操作风险数据库操作风险有效性检查内部损失数据搜集业务流程改变操作风险评估手册还配有指引，方便执行。.配有执行所需的模板和表格。.手册与现有操作风险管理流程互为补充(如集团新产品审批流程).,风险与控制评估,风险与控制评估目的是为了对业务中的风险和风险缓释措施进行评估，并对操作风险管理的充分性进行评价。包括缺失或设计不充分的控制环节的识别。该流程的最低要求是:涵盖所有业务领域;识别业务所有者(即风险所有者);识别所有实质性业务流程;识别和评估所有实质性业务流程的风险的发生概率和影响度;识别和评估风险缓释措施的充分性;识别需要连续监控的关键风险指标;和对操作风险根据集团操作风险统一分类表进行分类,风险与控制评估(含关键风险指标),事件报告重点,损失数据重点,事件报告和数据搜集,损失事件分类（示例）自然或人为灾害健康、安全与人力资源管理事件未经授权的行动(内部）未经授权的行动(外部）供应商失误违规和违反委托关系行为处理错误,事件,操务影响,客户与员工影响,声誉影响,原因,原因,原因,风险原因风险（示例）)人员流程IT系统财产业务环境、政治监管,影响度分类（示例）)重大严重重要次要,操作风险报告,操作风险报告原则,银行应对操作风险状况和实质性风险损失进行定期监控。监控结果应以适当方式向管理层和董事会报告，以支持积极的操作风险管理工作。.巴塞尔委员会报告应及时准确清晰一致连续进行,操作风险报告最初步骤,理解信息需求理解为什么需要信息理解信息的作用理解需要信息的频率理解目前能做到的现实情况建立长期、连续的报告模式和内容,RBS操作风险内部报告,集团操作风险管理部编制月度操作风险报告集团操作风险部报告内容:关键事件和领域风险状况总结，及其风险偏好情况:收购、出售和转移（或购入）业务部门新产品,新监管规定和立法,欺诈和抢劫网点发生的增加各部门报告:各部门重要风险事件和风险状况变化剩余风险的实质性改变内部控制的充分性和有效性月度重大事件数据审计结果,操作风险报告基本模式,每月报告欺诈案件的数量、金额、挽回金额，分为:内部欺诈外部欺诈信用卡欺诈操作风险损失事件的数量和（毛）净额:原因业务条线/事件发生部门总行稽核部稽核结果汇总/发现的控制问题。包括:原因业务条线/问题发生部门发现问题的严重性洗钱损失事件的数量和（毛）净额:原因业务条线/问题发生部门,操作风险报告高级模式,报告应包括事件情况、趋势分析，数据评价，以帮助业务部门做好关键事件及其业务影响分析。报告内容应包括：出现问题领域(内部和外部)关键事件损失数据、欺诈和不利影响分析风险状况:-总体风险水平变化-风险控制有效性改变-剩余风险改变(使用关键风险指标等反映),RBS内部与外部报告,内控,概述,也称三道防线,内控案例研究,由经验引起的检查行为,RBS曾一度受到很大的欺诈案件损失(和英国其它银行一样)RBS业务部门负责人决定采取行动发现银行内部某些流程较容易受欺诈袭击这些流程是:开户接受存款付出资金授信内部销帐系统进入员工雇用背景调查,内控检查,所有业务部门必须检查以上七个流程有多少和他们相关对关键业务流程进行图示.识别并记录每一流程环节的控制测试控制框架的充分性和有效性所有控制都要有测试计划每季度对银行流程内控的有效性和充分性进行测试，并颁发测试证书每一部门的负责人应签字确认季度测试认证证书,内控认证,内控认证主要关注提高风险管理意识和改善RBS内控机制。需要提高的三个关键领域是:确定控制设计的充分性建立风险意识和文化测试控制的有效性,控制示例,开户所有与开立新帐户有关的文件都应进行独立检查测试理由银行要满足开户方面的监管要求，识别客户身份。否则会被罚款或吊销营业执照。因此必须由网点经理或其它有资质的人员进行检查，保证满足FSA要求。,示例,内部销帐网点所有帐户必须检查。.对某些帐户的特定分录进行抽查通过电脑系统打印本网点行号项下所有荡帐（内部）帐户记录并与总帐核对测试理由必须确保过帐和销帐的正确对所有未平帐户数量和金额必须清楚对荡帐持续的时间和处理情况必须清楚对可能发生损失的所有资金项目必须有人进行独立检查,我们对整个零售部门进行自我认证。该认证的基础是我们正在进行的你控制的怎么样(AYIC)流程。该流程关注七个业务流程。该