银行操作风险管理咨询项目

1、中信银行操作风险管理咨询项目,把握重点、成功实践,大纲,内控与操作风险整合体系的建设目的,重点工作开展思路与资源配备要求,项目预期效益及关键成功要素,1, 2009 Deloitte Touche Tohmatsu,面对操作风险，我们已经有相关的应对措施,现行与操作风险管理相关,的制度及工作,内控梳理及控制手册制定,定期的培训,内控评价、缺陷评价及整改要求,业务外包管理,反洗钱管理,绩效考核制度,2,为何现在还要谈,建立操作风险体系, 2009 Deloitte Touche Tohmatsu,想象我们开着高级跑车上路,开车上路的过程中，驾驶员面对很多的风险，最后可能导致身体或财务上的损伤,开

2、车上路所面对的,固有风险,误撞前车,轮胎打滑,后车追尾,撞上路人,违规被罚,电瓶故障,汽车被盗,应对风险所配备的装置,高级跑车上，原本就配备了许多安控设施,控制措施,例如：防盗系统、驾驶员仪表盘、倒车雷达、安全气囊、防爆玻璃,3, 2009 Deloitte Touche Tohmatsu,我们现在要建立的操作风险管理工具体系，就像是架设在高级跑车,上的智能型电脑,具备,不断自我监控、诊断并且自我完善的功能,确保,开车的风险能控制在自,己可以容忍的范围之内,4, 2009 Deloitte Touche Tohmatsu,操作风险管理三大工具的概念,智能型电脑的五大功能,规律的侦测车况、驾驶员

3、状况以及经常,行走的道路的路况。动态,识别,驾车的各,种,风险,以及目前有的,控制措施,依据上述侦测结果，进行,风险暴露评估,与,控制有效性评估,设定,预警指标,并持续监控,例如：驾驶员抢灯的次数、油料不足灯亮起,却迟迟不加油的次数,收集事故数据并分析原因,例如：酒后驾车被罚款、撞车,协助驾驶员,规划及执行改善方案,例如：酒后不开车、开车不打电话等,5,操作风险管理体系三大工具,前置工作：流程分析,内控梳理,操作风险与控制识别,风险与控制自评,RCSA,关键风险指标,KRI,损失数据收集,LDC,后续工作：改善方案制定与执行, 2009 Deloitte Touche Tohmatsu,操作风

4、险管理三大工具的概念,续,操作风险管理,举例,理财业务,LDC,损失数据收集,赔偿理财客户,KRI,关键风险指标设计,与监控,客户经理的培训时数,理财客户投诉次数,RCSA,风险与控制自我,评估,固有风险,1,与理财客户有重大纠纷,控制,1,针对客户经理设计培训课程并定期进行培训,控制,2,配备录音设备，提示客户在销售过程中将进行录音备案,流程分析,内控梳理,风险与控制识别,控制,3,理财产品购买的先决条件，需以书面方式请客户确认,6, 2009 Deloitte Touche Tohmatsu,操作风险管理体系的特色与可解决的问题,以既有的内控手段进行操作风险管理，无法完全满足新资本协议对操

5、作风险管理的要求,在引入操作风险管理,体系后，下列原本无法回答的问题，将可迎刃而解,1,2,3,4,5,银行通过内部控制制度管理及监控所面对的风险时,如何知悉或确保控制措施是否已足够或有效,银行实际面对的操作风险暴露有多高,目前,是不是已经将操作风险暴露控制在可以承受的范围内,操作风险暴露在银行内的分布状况,操作风险暴露高的风险，主要分布在哪些业务条线或网点,如果单位或网点的操作风险暴露相对较高,是什么样的原因造成的,操作风险无处不在,用检查的方法找出问题点来进行整改的这种模式，覆盖的范围是不是不够全面,操作风险管理体系的主要特色,嵌入的操作风险管理体系,原本的内部控,制制度,是一套,科学的管

6、理体系,它将操作风险管理,转变为系统化、架构化,并可不断良性循环的管理体系,同时,将操作风险转变为可量化,具可比性、且可与容忍度相互匹配的工具,将操作风险管理,由被动式的管理转变为积极主动式的管理,并强调,风险发生单位的,常规性自我诊断与自我完善,通过,三大工具,实践操作风险的识别、评估、监测、控制与缓释,落地到银行所有的单位与网点,操作风险管理状况,与资本计量紧密衔接,高级法阶段,7, 2009 Deloitte Touche Tohmatsu,架构化与科学化的操作风险管理方式：示例,待完成科学化与架构化的操作风险管理体系后，银行将可通过三大工具的实施，实时了解银行的,操作风险暴露状况,风险

7、轮廓,分行及中心的业务板块操作风险暴露,板块,业务,公司授,信,公司,版块,公司理,财,资产保,全,会计,板块,会计,A,分行,B,分行,C,分行,D,分行,E,分行,F,分行,国际,板块,国际业,务,警戒,加强监控,安全,不能容忍,注：操作风险管理三大工具,1,损失数据收集,LDC ; loss data collection), (2,操作风险与控制自我评估,RCSA ; risk and control self-assessment), (3,关键风险指标,KRI ; key risk indicator,注：以上信号灯的显示依据本行操作风险偏好与容忍度所设定,8, 2009 Delo

8、itte Touche Tohmatsu,架构化与科学化的操作风险管理方式：示例,续,除了总体性的监控外，银行亦可探究造成风险暴露高的原因。以本例而言,A,分行所面对的众多操作风险中,内,部人员伪冒申请业务或服务,的风险暴露为较高的项目。虽然无相关的损失事件发生，但依据,RCSA,的评估结果,本项风险的风险暴露落于,警戒区域,且关键风险指标值也已置于,不能容忍,的范围,A,分行内所面对的固有操作风险类型,业,务,流,程,操作风险事件类型,类别,主流程,财务会计,会,内部人员,内部人员,计结算制度,窃取,抢劫,窃取有价,或相关操作,现金与贵,证券,单证,违反法规,金属,卡片,钥,匙,印章,内部人

9、员,伪冒申请,业务或服,务,内部人员,协助或未,阻止洗钱,活动,存款,单位活期存款,单位帐户管理,本类风险事件相关的,RCSA,KRI,及损失数据,风险事件综合说,明,由于个人道德的,问题或不当培训,制度，在单位活,期支取、存款冻,结等业务处理中,内部人员伪冒申,请业务或服务,造成客户、银行,资金受损，须向,客户支付赔偿,风险因子类,型,不当的道德,概念（员工,个人不当的,道德问题,不当的培训,制度,风险事件类,型,内部人员伪,冒申请业务,或服务,个人存款,出纳,金库管理,现金出纳,控制类型,交易,业务的检查,控制措施内容,会计部门须定期对存款冻结,冻,结存款处理,存款解冻业务资料,进行检查,

10、存款冻结,存款冻结款项处理,存款解冻的相关资料由经办员,初步审核，再由业务主管复核,之后经办员才能进行后续冻结,操作,账户的冻结,账户扣划、查询,变更冻结金额,账户的解冻须得,到会计主管的强制授权，并经,会计主管盖章确认,控制有效性,评估结果,剩余风险,评估结果,交易,业务执行过,程中的复核,业务,交易的权限,管控,会计条线内查核缺失数,9, 2009 Deloitte Touche Tohmatsu,架构化与科学化的操作风险管理方式：示例,续,在宏观管理方面，除了风险暴露监控外，银行业务管理单位亦可据此分析辖下单位普遍较弱的控,制点。以本例而言,A,分行可监控辖下支行各项控制措施的落实程度，

11、并知悉哪几种类型的控制,是应该全面加强执行力度,A,分行各支行的控制落实度自评结果,依据,RCSA,应特别关注的网点,10,应特别加强执行力度的控制措施, 2009 Deloitte Touche Tohmatsu,一套整合性的体系实现双达标的目的,我们将操作风险管理体系与内部控制体系整合成完整的单一体系，以一套管理流程实现不同的管理目的,自我诊断与完善,风险与控制自我评估,RCSA,内控梳理,运营环境,外部法规,固有风险,流程环节,内部制度,关键控制,评估表单生成与确认,风险地图边界设置,容忍度设置,风险暴露评估,控制有效性评估,关键风险指标,KRI,关键因素与关键控制,识别与筛选,关键风险

12、指标设计,预警信息监控与应对,数据收集与监控,内控评价,评价及测试表单的生成与确认,损失数据收集,LDC,测试及评价,损失事件识别,通报与处理,事件收集与整改,事件详细信息收集,提供基础,提供参考,风险监测,风险监测与应对,整改与优化, 2009 Deloitte Touche Tohmatsu,11,大纲,内控与操作风险整合体系的建设目的,重点工作开展思路与资源配备要求,项目预期效益及关键成功要素,12, 2009 Deloitte Touche Tohmatsu,项目范围说明,子项目一：全行内控梳理,A,内控梳理优化方法论设计,B,全流程内控梳理,全行标准版,C,内控梳理成果应用,子项目二

13、：操作风险管理体系建设,A,操作风险偏好及治理架构,操作风险偏好与容忍度体系,操作风险管理组织、岗位与职责,B,操作风险管理制度,操作风险管理政策,操作风险三大工具管理办法,新产品与新业务评估管理办法,操作风险考核方案设计,操作风险常规性培训方案设计,C,操作风险与控制分类架构,操作风险字典库,4,个维度,控制字典库,流程架构,流程盘点表,法规字典库,法规与流程、风险、控制关联,性架构,D,三大工具实施及风险地图设定方法论,子项目三：内控梳理、内控评价及三大工具的试点及全行推广,子项目四：操作风险管理信息系统业务需求规划与开发配合,内控梳理成果应用包括：设计内控台账、合规索引、违规基分管理以及

14、进行审计手册控制点更新,13, 2009 Deloitte Touche Tohmatsu,以集中建立标准化模版再全面铺开的方式推进,在达标时间十分紧张的状况下，将采用集中建立标准模版再全面铺开的方式将三大工具落地到全行所有单位及网,点。采用此种方式，一方面可以加快推进的速度，另一方面也较能确保全面铺开时散布在各地的工作能保质保量,的进行,全行性标准模板,全行标准内控梳理模板,全行标准,RCSA,问卷,全行标准业务板块,KRI,列表,内控测试模板,A,分行,A,分行内控梳理模板,A,分行,RCSA,问卷,A,分行业务板块,KRI,列表,A,分行内控测试模板,A1,支行,A2,支行,基于分行业务

15、与管,理特色，微调标准,模版，生成分行使,用的管理工具并同,时制定相关准则,B,分行,B,分行内控梳理模板,B,分行,RCSA,问卷,B,分行业务板块,KRI,列表,B,分行内控测试模板,B1,支行,B2,支行,支行,网点依循分行,制定的标准，落实,操作风险管理相关,工作, 2009 Deloitte Touche Tohmatsu,14,重点工作说明,与业务条线相关的工作,本项目工作内容中，与业务条线相关的工作以及相应的质量确保机制为,2010,年,10,月,2011,年,2,月,2010,年,11,月,2011,年,4,月,试点阶段,总行及试点分行,2011,年,4,月,2011,年,11

16、,月,推广阶段,总行、分支行,2011,年,6,月,2011,年,12,月,双达标验收阶段,工,作,阶,段,标准模板建立,阶段,工,作,内,容,内控梳理模板,RCSA,模板,内控测试模板,模板本地化,分行,三大工具实施,内控测试与评价,模板本地化,分行,三大工具实施,内控测试与评价,内部考核,达标文档准备,现场检查前准备,内控评价模板,内部培训团队养成,质,量,确,保,手把手执行,资源投入要求,过程中沟通机制,成果审核,15, 2009 Deloitte Touche Tohmatsu,补充说明：标准模板建立及试点阶段的资源投入要求,银行端,业务条线参与项目的人员及职责,角色,人员,人数,业务

17、版块,1,人,职责,总行业务条线项目负责人,总行业务条线资深专家,牵头条线内所有相关工作,包括总行及分行,作为核心人员，执行总行试点工作,协助本条线的分行试点与推广工作,牵头本分行条线内所有相关工作,作为核心人员，执行总行试点工作,作为核心人员，执行分行试点工作,协助本条线的支行试点与推广工作,总行业务条线专家,分行业务条线项目负责人,分行业务条线专家,总行条线部门业务骨干,分行业务条线资深专家,分行条线部门业务骨干,1-3,人,1,人,2-4,人,在试点分行中选派专家参与总行标准模板的建立工作,A,分行,公司业务,国际业务,会计业务,B,分行,C,分行,D,分行,模式,在试点分行中，选派部份

18、业务专家至总行参与标准模板的建立,等工作,优点,1,确保总行标准模板符合分行实际,2,提高总行模板的,标准度,零售业务,小企业业务,16,3,减轻总行业务专家投入项目的时间压力,4,总行试点期间，同时培养分行试点时的内部培训师, 2009 Deloitte Touche Tohmatsu,通过手把手执行的方式达到知识转移的效果,以总行某业务板块内控梳理,RCSA,问卷及内控测试模板制作为例,执行期间,6,周,项目组投入人力,4-6,人,业务部门投入人力：约,4-6,人,20,工作时间进行手把手培训,项目组与各业务流程负责人手把手完成相关工作,每位每两周平均完成,2-3,项主流程,星期一,集中培

19、训,流程分析表,流程分析表手把手实践,70,注,德勤顾问将依据前期工作成果,事先完成,60%-70,的流程分析表,星期二,流程分析表手把,手实践,80,星期三,流程分析表手把手,实践,90,星期四,流程分析表手把,手实践,100,业务板块小组研,讨会,共性问题,探讨,星期五,集中培训,RCSA,问卷生,成及内控测试模板建立,RCSA,问卷生成手把手,实践,30,第,一,周,第,二,周,RCSA,问卷生成手把手实,践,70,RCSA,问卷生成手,把手实践,100,内控测试模板手,把手实践,20,内控测试模板手把,手实践,60,内控测试模板手,把手实践,100,业务板块小组研,讨会,共性问题,探讨

20、,工作成果质量检查,送审稿准备,注,表示完成进度,17, 2009 Deloitte Touche Tohmatsu,中信银行操作风险管理体系建设特色,与国内其他股份制商业银行相较，中信银行所建立的操作风险管理体系将具有以下的特色,劳动节约的,整合的,双达标的,兼顾宏观,与微观的,科学的,创造价值的,18, 2009 Deloitte Touche Tohmatsu,大纲,内控与操作风险整合体系的建设目的,重点工作开展思路与资源配备要求,项目预期效益及关键成功要素, 2009 Deloitte Touche Tohmatsu,操作风险管理体系建设的预期效益,五大效益,建立操作风险轮廓监控机制,全行透明的，能与业务及单位容忍,度结合的操作风险暴露监控机制,建立事前评估及预警机制,通过关键风险指标的设计及监控以,及,RCSA,的执行，建立事前的评估,及预警机制，降低操作风险事件发,生的可能性,整合性内控梳理机制与成果,对外担保,贸易融资,结售汇业务,避免重复劳动，兼顾合规、操作风,险、内控管理需求的常规化内控梳,理机制,进口保理,信保融资,出口保理,汇款业务,进口代收,出口信用证,出口托收,即期外汇买卖,福费廷,票据业务,0,500,000,1,000,000,1,500,000,2,000,000,2,500,000,3,000,000,提高操作风险管理意识,通过定期的