内控与操作风险整合体系的建设方法(德勤).ppt

2010年9月25日,中信银行操作风险管理咨询项目把握重点、成功实践,内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素,大纲,1,现行与操作风险管理相关的制度及工作,内控梳理及控制手册制定定期的培训内控评价、缺陷评价及整改要求业务外包管理反洗钱管理绩效考核制度.,为何现在还要谈建立操作风险体系?,2,面对操作风险，我们已经有相关的应对措施,想象我们开着高级跑车上路,3,例如：防盗系统、驾驶员仪表盘、倒车雷达、安全气囊、防爆玻璃,开车上路所面对的固有风险,误撞前车后车追尾撞上路人违规被罚,开车上路的过程中，驾驶员面对很多的风险，最后可能导致身体或财务上的损伤。,轮胎打滑电瓶故障汽车被盗.,应对风险所配备的装置,高级跑车上，原本就配备了许多安控设施(控制措施),我们现在要建立的操作风险管理工具体系，就像是架设在高级跑车上的智能型电脑,4,智能型电脑,具备不断自我监控、诊断并且自我完善的功能，确保开车的风险能控制在自己可以容忍的范围之内。,5,前置工作：流程分析/内控梳理(操作风险与控制识别),风险与控制自评(RCSA),关键风险指标(KRI),损失数据收集(LDC),后续工作：改善方案制定与执行,操作风险管理体系三大工具,规律的侦测车况、驾驶员状况以及经常行走的道路的路况。动态识别驾车的各种风险，以及目前有的控制措施。依据上述侦测结果，进行风险暴露评估与控制有效性评估。设定预警指标并持续监控收集事故数据并分析原因协助驾驶员规划及执行改善方案,例如：驾驶员抢灯的次数、油料不足灯亮起却迟迟不加油的次数,例如：酒后驾车被罚款、撞车,例如：酒后不开车、开车不打电话等,智能型电脑的五大功能,操作风险管理三大工具的概念,6,6,流程分析/内控梳理(风险与控制识别),RCSA-风险与控制自我评估,KRI-关键风险指标设计与监控,LDC-损失数据收集,操作风险管理,举例,客户经理的培训时数理财客户投诉次数,赔偿理财客户,固有风险1：与理财客户有重大纠纷控制1：针对客户经理设计培训课程并定期进行培训控制2：配备录音设备，提示客户在销售过程中将进行录音备案控制3：理财产品购买的先决条件，需以书面方式请客户确认,理财业务,操作风险管理三大工具的概念续,7,操作风险管理体系的特色与可解决的问题,以既有的内控手段进行操作风险管理，无法完全满足新资本协议对操作风险管理的要求。在引入操作风险管理体系后，下列原本无法回答的问题，将可迎刃而解。,银行通过内部控制制度管理及监控所面对的风险时，如何知悉或确保控制措施是否已足够或有效？银行实际面对的操作风险暴露有多高?目前是不是已经将操作风险暴露控制在可以承受的范围内?操作风险暴露在银行内的分布状况?操作风险暴露高的风险，主要分布在哪些业务条线或网点?如果单位或网点的操作风险暴露相对较高，是什么样的原因造成的？操作风险无处不在，用检查的方法找出问题点来进行整改的这种模式，覆盖的范围是不是不够全面?,原本的内部控制制度,操作风险管理体系的主要特色,是一套科学的管理体系，它将操作风险管理转变为系统化、架构化、并可不断良性循环的管理体系；同时，将操作风险转变为可量化、具可比性、且可与容忍度相互匹配的工具。将操作风险管理由被动式的管理转变为积极主动式的管理，并强调风险发生单位的常规性自我诊断与自我完善。通过三大工具实践操作风险的识别、评估、监测、控制与缓释。落地到银行所有的单位与网点。操作风险管理状况与资本计量紧密衔接(高级法阶段)。,嵌入的操作风险管理体系,架构化与科学化的操作风险管理方式：示例,8,待完成科学化与架构化的操作风险管理体系后，银行将可通过三大工具的实施，实时了解银行的操作风险暴露状况(风险轮廓)。,注：操作风险管理三大工具(1)损失数据收集(LDC;lossdatacollection),(2)操作风险与控制自我评估(RCSA;riskandcontrolself-assessment),(3)关键风险指标(KRI;keyriskindicator)注：以上信号灯的显示依据本行操作风险偏好与容忍度所设定,不能容忍,警戒,加强监控,安全,分行及中心的业务板块操作风险暴露,架构化与科学化的操作风险管理方式：示例-续,9,A分行内所面对的固有操作风险类型,业务流程,本类风险事件相关的RCSA、KRI及损失数据,除了总体性的监控外，银行亦可探究造成风险暴露高的原因。以本例而言，A分行所面对的众多操作风险中，内部人员伪冒申请业务或服务的风险暴露为较高的项目。虽然无相关的损失事件发生，但依据RCSA的评估结果，本项风险的风险暴露落于警戒区域且关键风险指标值也已置于不能容忍的范围。,架构化与科学化的操作风险管理方式：示例-续,10,在宏观管理方面，除了风险暴露监控外，银行业务管理单位亦可据此分析辖下单位普遍较弱的控制点。以本例而言，A分行可监控辖下支行各项控制措施的落实程度，并知悉哪几种类型的控制是应该全面加强执行力度。,A分行各支行的控制落实度自评结果(依据RCSA),应特别关注的网点,应特别加强执行力度的控制措施,11,一套整合性的体系实现双达标的目的,风险地图边界设置(容忍度设置),评估表单生成与确认,运营环境,风险暴露评估控制有效性评估,关键因素与关键控制识别与筛选,关键风险指标设计,损失事件识别,数据收集与监控,通报与处理,内控梳理,风险与控制自我评估(RCSA),关键风险指标(KRI),事件详细信息收集,损失数据收集(LDC),提供参考,提供基础,我们将操作风险管理体系与内部控制体系整合成完整的单一体系，以一套管理流程实现不同的管理目的。,自我诊断与完善,预警信息监控与应对,事件收集与整改,内控评价,风险监测,整改与优化,风险监测与应对,流程环节,外部法规,内部制度,固有风险,关键控制,评价及测试表单的生成与确认,测试及评价,12,内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素,大纲,子项目二：操作风险管理体系建设,项目范围说明,13,子项目三：内控梳理、内控评价及三大工具的试点及全行推广,子项目四：操作风险管理信息系统业务需求规划与开发配合,C.操作风险与控制分类架构,操作风险字典库(4个维度)控制字典库流程架构(流程盘点表)法规字典库法规与流程、风险、控制关联性架构,B.操作风险管理制度,操作风险管理政策操作风险三大工具管理办法新产品与新业务评估管理办法操作风险考核方案设计操作风险常规性培训方案设计,D.三大工具实施及风险地图设定方法论,子项目一：全行内控梳理,A.内控梳理优化方法论设计,B.全流程内控梳理(全行标准版),C.内控梳理成果应用*,*内控梳理成果应用包括：设计内控台账、合规索引、违规基分管理以及进行审计手册控制点更新：,14,以集中建立标准化模版再全面铺开的方式推进,14,在达标时间十分紧张的状况下，将采用集中建立标准模版再全面铺开的方式将三大工具落地到全行所有单位及网点。采用此种方式，一方面可以加快推进的速度，另一方面也较能确保全面铺开时散布在各地的工作能保质保量的进行。,全行性标准模板,A分行,B分行,.,A1支行,A2支行,.,B1支行,B2支行,.,.,.,.,全行标准内控梳理模板全行标准RCSA问卷全行标准业务板块KRI列表内控测试模板,基于分行业务与管理特色，微调标准模版，生成分行使用的管理工具并同时制定相关准则,A分行内控梳理模板A分行RCSA问卷A分行业务板块KRI列表A分行内控测试模板,.,支行/网点依循分行制定的标准，落实操作风险管理相关工作,B分行内控梳理模板B分行RCSA问卷B分行业务板块KRI列表B分行内控测试模板,重点工作说明(与业务条线相关的工作),15,标准模板建立阶段,试点阶段(总行及试点分行),推广阶段(总行、分支行),双达标验收阶段,内控梳理模板RCSA模板内控测试模板内控评价模板,模板本地化(分行)三大工具实施内控测试与评价,模板本地化(分行)三大工具实施内控测试与评价内部培训团队养成,内部考核达标文档准备现场检查前准备,2010年10月-2011年2月,2010年11月-2011年4月,2011年4月-2011年11月,2011年6月-2011年12月,工作阶段,工作内容,质量确保,手把手执行,资源投入要求,过程中沟通机制,成果审核,本项目工作内容中，与业务条线相关的工作以及相应的质量确保机制为：,补充说明：标准模板建立及试点阶段的资源投入要求(银行端),16,模式：在试点分行中，选派部份业务专家至总行参与标准模板的建立等工作优点：确保总行标准模板符合分行实际提高总行模板的“标准度”减轻总行业务专家投入项目的时间压力总行试点期间，同时培养分行试点时的内部培训师,业务条线参与项目的人员及职责,在试点分行中选派专家参与总行标准模板的建立工作,17,注:德勤顾问将依据前期工作成果，事先完成60%-70%的流程分析表,通过手把手执行的方式达到知识转移的效果-以总行某业务板块内控梳理、RCSA问卷及内控测试模板制作为例,执行期间：6周,项目组投入人力：4-6人,业务部门投入人力：约4-6人(20%工作时间进行手把手培训),注:(%)表示完成进度,中信银行操作风险管理体系建设特色,18,与国内其他股份制商业银行相较，中信银行所建立的操作风险管理体系将具有以下的特色：,整合的,劳动节约的,科学的,创造价值的,双达标的,兼顾宏观与微观的,内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素,大纲,建立事前评估及预警机制,建立操作风险轮廓监控机制,操作风险管理体系建设的预期效益(五大效益),20,提高操作风险管理意识,建立风险管理的双确保机制,整合性内控梳理机制与成果,避免重复劳动，兼顾合规、操作风险、内控管理需求的常规化内控梳理机制。,全行透明的，能与业务及单位容忍度结合的操作风险暴露监控机制,通过定期的自我诊断与自我完善的过程，提高业务实际管理及操作者的操作风险管理意识。,通过关键风险指标的设计及监控以及RCSA的执行，建立事前的评估及预警机制，降低操作风险事件发生的可能性。,通过积极主动性的RCSA机制及防范性的内控测试与检查机制的有机整合及搭配机制，建立风险管理的双确保机制。,21,项目难点与挑战,2011年底双达标要求,全行的动员操作风险管理建设项目牵涉到所有的业务条线及分行。相关单位是否能快速的动员，并让资源有效到位，是值得担忧的一项问题。,信息系统实施操作风险管理系统实施方案是否能快速决定、未来体系建设成果是否可平顺的导入系统以及系统是否可于全面推广前上线使用等均是值得担忧。,常规化且落到实处的体系建设操作风险管理体系建设目的不是只为了达标，更重要的是能实实在在对提升操作风险管理起