《操作风险框架梳理课件.ppt》由会员分享,可在线阅读,更多相关《操作风险框架梳理课件.ppt(57页珍藏版)》请在三一办公上搜索。
1、什么是操作风险?,什么是操作风险?,操作风险的定义,时间发布组织文件名称定义1998年巴塞尔委员会操作风险管理,四大风险因素和七大损失类型,人员,内部流程,IT系统,外部事件,指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件,指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件,指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件,因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件,因信息科技系统生产运行、
2、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件,指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件,因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件,风险因素,内部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,执行、交割和流程管理事件,信息科技系统事件,外部欺詐,实物资产的损坏,损失类型,四大风险因素和七大损失类型人员内部流程IT系统外部事件指故意,操作风险损失形态,损失形态,具体描述,因商业银行发生操作风险事件引发法律诉讼或仲裁,在诉讼或
3、仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等,由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等,由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额,由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失,以及未经授权或超授权交易导致的账面损失等,由于操作风险事件引起的其他损失,因
4、操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等,2.监管罚没,3.资产损失,4.对外赔偿,5.追索失败,6.账面减值,7.其它损失,由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等,1.法律成本,操作风险损失形态损失形态具体描述因商业银行发生操作风险事件引,5,操作风险结构,荷兰银行的操作风险结构重点在于区分“起因”, “事件”及“结果”三个关键因素,因为每一个关键因素都可能被使用作为分析操作风险的起点
5、。,5操作风险结构起因事件结果事件类别:结果类别:起因类别:荷兰,一、操作风险绪论风险特征,1.具体性。不同类型的操作风险具有各自具体的特性,难以用一种方法对各类操作风险进行准确的识别和计量,原因在于操作风险中的风险因素主要存在于银行的业务操作中,几乎涵盖了银行的所有业务,操作风险事件前后之间有关联,但是单个的操作风险因素与操作性损失之间并不存在可以定量界定的数量关系,个体性较强。2.分散性。试图用一种方法来覆盖操作风险管理的所有领域几乎是不可能的,原因在于操作风险管理实际上覆盖了银行经营管理中几乎所有方面的不同风险,既包括发生频率高、造成损失相对较低的日常业务流程处理上的小错误,也包括发生频
6、率低、造成损失相对较高的大规模舞弊、自然灾害等,而且操作风险与各类风险相互交叠,涉及面广。同时操作风险管理不可能由一个部门完成,必须建立操作风险管理的框架体系。3.差异性。不同业务领域操作风险的表现方式存在差异,原因在于业务规模小、交易量小、结构变化不太迅速的业务领域,虽然操作风险造成的损失不一定低,但是发生操作风险的频率相对较低;而业务规模大、交易量大、结构变化迅速的业务领域,受到操作风险冲击的可能性也大。4.复杂性。银行风险管理部门难以确定哪些因素对于操作风险管理来说是最重要的,原因在于引起操作风险的因素较复杂,如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作
7、风险,而通常可以监测和识别的操作风险,与由此可能导致的损失的规模、频率之间不存在直接关系,常常带有鲜明的个案特征。5.内生性。除自然灾害、恐怖袭击等外部事件外,操作风险的风险因素很大比例上来源于银行的业务操作,属于银行的内生风险。6.转化性。操作风险是基础性风险,对其他类别风险,如信用风险、市场风险等有重要影响,操作风险管理不善,将会引起风险的转化,导致其他风险的产生,2008年爆发的金融危机为我们分析风险之间的转化机制提供了很好的样本。,操作风险的特点,一、操作风险绪论风险特征1.具体性。不同类型的操作风险具有,操作风险事件案例,2008年1月法国兴业银行爆发全球金融史上最大弊案,一位年轻交
8、易员越权作多欧洲股价指数期货,造成该行亏损49亿欧元(72亿美元),使得兴业银行当年全年营收净利剩下9.47亿欧元,比前年下跌82%。2001年11月UBS交易员把每股61万日圆,卖出16股打成每股16日圆,卖出61万股,在几秒钟内使公司损失7,100万英镑。1995年1月巴林银行 (Barings)倒闭之案例: 流程控管的监督失衡 :总行稽核与里森间的信任与放任 系统控管 :超过限额的风险预警机制未发挥作用系统安全 : 李森同时具有设定系统权限与限额的能力。 2006年交行某分行发生一起涉案金额约2亿元人民币的客 户资金诈骗案。2009年12月底某基金公司“乌龙门”事件(申购赎回清单计算偏差
9、)。,操作风险事件案例2008年1月法国兴业银行爆发全球金融史上最,操作风险事件案例,2001年美国911事件,许多设在世界贸易中心的金融公司丧失了大量财产、员工与数据数据。 2006年12月26日晚间恒春大地震造成国际海缆中断,台湾及东亚各地网络与电话服务都因此受到严重影响。2008年汶川大地震造成在地震受灾严重地区,银行运营活动停止(绵竹市某家大型商业银行营业网点),操作风险事件案例2001年美国911事件,许多设在世界贸易中,如何管理操作风险?,如何管理操作风险?,二、操作风险管理基本概念,操作风险管理是指在实现组织经营目标过程中,相关人员将组织的操作风险控制在组织可接受范围之内的方法和
10、过程,以保障组织经营目标的实现。,操作风险管理覆盖面,组织结构:包括治理结构、内部控制、组织文化,人员:包括人员素质、人员稳定性、绩效及薪酬结构、内部欺诈,外部因素:包括外部欺诈、经营产所安全性、外部突发事件,业务流程:包括业务流程设计缺陷、业务流程执行不规范,信息科技系统:计算机硬件、计算机软件、通信,二、操作风险管理基本概念操作风险管理是指在实现组织经营目,二、操作风险管理管理目标,操作风险管理的总目标:将业务操作风险控制在一个可以接受的范围内,使得各类业务完成目标之总和可以为企业的总体经营目标的实现提供操作保障。,保证资产安全,保证业务运转连续性,保证企业和业务的效益和效率,保证经营的合
11、规性,操作风险管理的目标,保证流程任务完成的正确性,二、操作风险管理管理目标操作风险管理的总目标:将业务操作风,操作风险管理原则,企业操作风险管理的六条基本原则:(1)客观性:以风险事件为管理的基础。(2)一致性;建立统一的风险评估规则和计量口径。(3)相关性:考虑各类风险事件的传递和关联(4)透明性:建立公开的行政管理制度和规范(5)整体性:从体系的角度实现业务管理的协调、关联、和匹配(6)完整性:操作风险管理力争做到全面覆盖,能有效降低操作风险,使内在风险-已降低风险=剩余风险最小化的操作风险管理的12条黄金法则(Hans-Ulrich Doerig,瑞士信贷集团):(1)战略;(2)结构
12、;(3)系统化;(4)员工;(5)安全;(6)速度;(7)利益相关者;(8)共同价值观;(9)技能;(10)象征;(11)风格;(12)同步,操作风险管理原则企业操作风险管理的六条基本原则:能有效降低操,银监会操作风险管理13条原则,(1)高度重视防范操作风险的规章制度建设;(2)切实加强稽核建设;(3)加强对基层行的合规性监督;(4)订立职责制,明确总行及各级分支机构的责任,形成明确的制度保障;(5)坚持相关的行务管理公开制度;(6)建立和实施基层主管轮岗轮调和强制性休假制度,并确保这一安排纳入总行及各级分支机构的人事管理制度;(7)严格规范重要岗位和敏感环节工作人员八小时内外的行为,建立相
13、应的行为失范监察制度;(8)对举报查实的案件,举报人属于来自基层的员工(包括合同工、临时工)的,要予以重奖;(9)加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度,对对账频率、对账对象、可参与对账人员等做出明确规定;(10)加强未达账项和差错处理的环节控制,记账岗位和对账岗位必须严格分开,坚决做到对未达账和账款差错的查核工作不返原岗处理(11)严格印章、密押、凭证的分管与分存及销毁制度,坚决执行制度规定,并对此进行严格检查,对违规者进行严厉惩处(12)加强对可能发生的账外经营的监控(13)迅速改进科技信息系统,提高通过技术手段防范操作风险的能力,支持各类管理信息的
14、适时、准确生成,为业务操作复核和稽核部门的稽查提供坚实基础,银监会操作风险管理13条原则(1)高度重视防范操作风险的规章,操作风险管理流程,操作风险管理流程识别评估监测缓释流程分析RSAKRI行动计划,操作风险管理工具体系,操作风险管理三大工具:风险与控制自我评估(RCSA)、损失数据收集(LDC)和关键风险指标(KRI)。三大工具贯穿操作风险管理始终,为高效率、系统化的操作风险管理提供帮助。,风险识别,风险评估,风险监测,风险控制,流程分析:识别主要业务流程或业务活动中固有的操作风险事件以及目前本行具备的相应控制措施损失数据收集(LDC):针对操作风险事件的相关信息,进行数据收集、内容分析、
15、整改分析设计与执行、损失分配、内外部报告等程序,风险与控制自我评估(RCSA):通过流程分析,识别和评估流程中潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。,关键风险指标(KRI):代表某一风险领域变化情况并可定期监控的统计指标,可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标。,行动计划:通过三大工具的应用,根据对风险暴露严重程度的判断,采取相应的措施,将风险暴露降低到可接受的水平,操作风险管理工具体系操作风险管理三大工具:风险与控制自我评估,操作风险管理三大工具的相互作用,风险控制自我评估RCSA,损失数据收集LDC,通过R
16、CSA对风险的辨识,对寻找损失数据提供了依据,关键风险指标KRI,真实的损失数据对RCSA风险点的评估提供了参考,真实的损失数据为KRI设置提供了参考,KRI异常往往指向真实的损失事件,RCSA的评估结果为KRI提供了额外的操作风险信息,成为KRI设置的参考,KRI的异常可成为RCSA的驱动力之一,操作风险管理三大工具的相互作用风险控制自我评估损失数据收集通,操作风险管理三大工具目录,-风险与控制自我评估(RCSA),-关键风险指标(KRI),-损失数据收集(LDC),操作风险管理三大工具目录-风险与控制自我评估(RCSA),风险与控制自我评估(RCSA),RCSA是一种通过调查金融机构管理层
17、和员工有关对操作风险损失事项发生可能性和严重性的估计,将调查结果与未来预计损失进行匹配(Mapping)的方法目前RCSA的目的单纯集中在估计预期损失(Expected Loss, EL),只有在实行操作风险高级计量法 (Advanced Measurement Approach, AMA)后,才能对非预期损失进行计量事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理和操作风险控制质量的关键信息,风险与控制自我评估(RCSA)RCSA是一种通过调查金融机构,额外的操作风险管理信息来源:仅仅依靠对真实发生的损失事件进行收集不足以评估银行的操作风险暴露,R
18、CSA可以使银行建立额外的操作风险管理信息来源,对操作风险管理环境变化作及时的调整:当银行的业务环境发生改变时(如推出新产品,员工数量发生显著增长),特定的RCSA制度可及时对其引起的操作风险暴露变化进行反映,为管理层的决策提供参考,定期辨识潜在的操作风险暴露:常规的RCSA制度可以对银行的操作风险环境进行定期的评估,有助于管理层及时辨识是否需要改变现有的流程和控制政策,以规避潜在的操作风险损失,为什么要进行RCSA,额外的操作风险管理信息来源:对操作风险管理环境变化作及时的调,计量,指标,数据集中,风险自我评估,业务环境,损失数据收集,识别模型,损失事件类型模型,风险因素模型,指标模型,损失
19、影响类型模型,组织模型,历史风险资本,主观风险资本,整合(贝叶斯方法),操作风险资本,调整,测算,环境评分,内部损失数据,外部损失数据,主观估计,控制与风险因素评分,RCSA在操作风险资本计量中扮演的角色,计量指标,RCSA的基础三大清单,在全行统一进行流程、风险点及控制措施清单梳理,将其作为风险与控制自我评估架构的基础。,RCSA的基础三大清单在全行统一进行流程、风险点及控制措,示例,RCSA的基础三大清单,流程风险点损失事件类型控制措施流动资金贷款客户申请客户提供外,操作风险识别模型是所有操作风险计量方法论的基础,这些方法论使得数据收集变得有序、结构化和连贯操作风险识别模型由如下模块构成,
20、组织模型,损失事件模型,风险因素模型,指标模型,影响模型,对所有可能的损失事件类型进行识别和分类,对分析下的组织维度进行识别和定义,对导致损失事件的所有可能原因/因素进行识别和分类,对支持合理的主观估计的信息和指标进行识别,对一个事件的所有可能影响进行识别和分类,根据银行的特点,应对各模型的细部层级进行客制化,这需要行内各相关部门的外部输入。模型细部层级的内容主要依赖于银行各部门的收集和整理,在日常操作风险管理中,各相关部门应注意收集相关数据,对各模型进行整理、更新和维护,RCSA方法论识别模型的标准分类,操作风险识别模型是所有操作风险计量方法论的基础,这些方法论使,识别模型,损失事件类型模型
21、,风险因素模型,影响模型,组织模型,范围定义,设置和参数化,执行,审阅和调整,指标模型,报告,方法定义(自上而下 vs. 自下而上;整体 vs. 部分)识别RCSA涉及的业务单元,针对每份问卷定义问题选择评估方法论 定义阈值,总行操作风险管理部进行结果分析由内审部门进行检查 与业务单元进行讨论 调整结果和评级,针对业务单元经理的问卷的执行定量答案收集(平均频率,平均严重性,最坏情况)风险因素识别,报告的准备和分发,RCSA方法论将识别模型应用到RCSA,识别模型损失事件类型模型风险因素模型影响模型组织模型范围定义,风险自评估的运行模式与机制,总行操作风险管理部门定期或不定期,牵头组织总行业务部
22、门对内控梳理的固有风险和剩余风险开展自评估工作。评估内容:需要对操作风险进行定性、定量评估。实施范围:参与人员与相关职责:,操作风险管理部门(专职岗位):负责牵头组织、协调本级的自评工作,并在业务部门自评估工作中给予支持和指导;业务部门(兼职岗位):负责组织本部门相关人员通过工作组会议形式开展自评估,并在系统中录入评估结果;业务部门(业务专家/流程负责人):参与相关的自评估工作组会议,并在会议中提供自评估的专家经验和建议;业务部门(部门负责人/政策负责人):负责最终审核和确认通过工作组会议确定的自评估结果。,总行部门需要开展固有风险自评估;总行部门需要开展剩余风险自评估;分行部门需要开展剩余风
23、险自评估。,风险自评估的运行模式与机制总行操作风险管理部门定期或不定期,,风险自评估的运行模式与机制,评估频率:5. 评估计划:,定期:每年(固有风险和剩余风险)不定期:当发生以下情形时,会启动固有风险和剩余风险的自评估工作:,同业发生重大案件;本条线发生重大操作风险事件;总行信息系统发生重大变化;总行推行新产品、新业务、新流程;监管机构发布重大操作风险提示;监管机构或者管理层要求发起的。,总行操作风险管理部门负责制定全行年度风险自评(固有风险和剩余风险)的总体工作计划;总行业务部门依据全行年度工作计划,制定本部门的风险自评(固有风险和剩余风险)工作计划;分行业务部门依据上级归口部门制定的年度
24、自评工作计划,制定本部门的剩余风险自评工作计划;分行操作风险管理部门负责汇总分行业务部门制定的年度自评工作计划,并在分行范围内进行协调和确认。,风险自评估的运行模式与机制评估频率:定期:每年(固有风险和剩,风险自评估的运行模式与机制,6. 工作开展模式:,风险自评主要采用:线下开展工作组讨论会议+兼职岗位线上录入结果的方式,具体开展模式举例说明如下所示:以总行部门流程层级风险自评估为例(从固有风险和剩余风险的角度评估操作风险):主流程部门兼职岗位负责组织该主流程牵头部门和参与部门相关的业务专家召开工作组讨论会议,共同对该主流程在内控梳理中所识别的流程层级的风险进行讨论和评分,该兼职岗位当场记录
25、评分结果信息并请与会人员签字确认,会后由牵头部门的部门负责人或政策负责人对评分结果做最终审核和确认,并由该兼职岗位在系统中录入最终评分结果信息。,风险自评估的运行模式与机制6. 工作开展模式:风险自评主,操作风险暴露的评估规则,操作风险暴露的评估规则操作风险暴露风险严重程度-直接损失风险,操作风险暴露的评估标准(直接损失),操作风险发生频率评估表,操作风险严重程度评估表(直接损失),发生频率-未来一年内,评估某个操作风险发生的频率,若发生频率介于两个等级间,选择频率较高者。严重度-某个操作风险若一旦发生时,平均而言,估算银行可能蒙受的财务损失。,操作风险暴露的评估标准(直接损失)频率等级发生频
26、率1至少每天,操作风险暴露的评估标准(间接损失),操作风险暴露的评估标准(间接损失)等级描述1影响5%的客户服,风险地图,风险地图是将风险自评估中操作风险暴露评估结果与采取应对措施的联结工具,其主要目的在于为操作风险暴露的评估结果带来管理上的意义。,绿色区域(可容忍,不需另外采取应对措施):操作风险暴露落在安全区域,基于风险管理、成本与效益的考虑,视该操作风险暴露为业务经营的操作风险成本。黄色区域(可容忍,但应该加强监控):表示操作风险暴露落在需加强监控的范围内,相关单位应加强管理与监控的力度。橙色区域(可容忍,但应该采取应对措施):操作风险暴露已落在警戒范围内,相关单位应该立刻采取应对措施,
27、以将操作风险暴露迅速降低至安全区域(绿色或黄色区域)。红色区域(不可容忍,特别关注并采取应对措施):操作风险暴露已落在不可忍受的范围内,应特别关注,并采取强度较大的应对措施,将操作风险迅速降低至安全区域(绿色或黄色区域)。,风险地图风险地图是将风险自评估中操作风险暴露评估结果与采取应,风险评估的覆盖面及执行方式,研讨会进行方式:由流程主办部门的业务条线兼职岗位牵头,召集本部门流程负责人、业务骨干及协办部门流程负责人、业务骨干进行讨论,并将讨论结果录入系统。,风险评估的覆盖面及执行方式风险类型评估标的评估方式/频率总行,控制措施有效性评估标准(控制设计),控制措施有效性评估标准(控制设计)级别评
28、估标准标准说明1必要,控制措施有效性评估标准(控制运行),控制措施有效性评估标准(控制运行)级别评估标准标准说明1绝对,控制措施有效性评估标准(控制运行),考虑到控制运行失效所造成的后果,对运行有效性的评估标准做如下定性判断说明:若偏离控制措施行为导致如下后果,评估结论应为无效:偏离控制措施本身已形成重大缺陷,或与其他控制缺陷共同构成重大缺陷;偏离控制措施的行为导致重大操作风险事件发生,该控制措施的运行有效性结论应为无效。若偏离控制措施行为导致如下后果,评估结论不得高于偶尔有效:偏离控制措施本身已形成重大缺陷,或与其他控制措施共同构成重要缺陷;偏离控制措施的行为导致一般操作风险事件发生,该控制
29、措施的运行有效性结论不得高于偶尔有效。若偏离控制措施行为导致如下后果,评估结论不得高于基本有效:被监管机构检查发现的问题,并责令整改;被媒体曝光,对本行形象造成不良影响;被条线检查(二道防线检查)或审计检查发现缺陷。,控制措施有效性评估标准(控制运行)考虑到控制运行失效所造成的,控制措施有效性评估结果的应对方案(控制设计),控制措施有效性评估结果的应对方案(控制设计)级别评估标准应,控制措施有效性评估结果的应对方案(控制运行),控制措施有效性评估结果的应对方案(控制运行)级别评估标准应,控制自评估的运行模式与机制,总行操作风险管理部门定期或不定期,牵头组织总行、分行、支行各级业务部门开展控制设
30、计和运行有效性的自评估工作:评估内容:实施范围:,针对内控梳理中识别的控制措施开展自评估工作;控制措施需要从控制设计有效性和运行有效性的两方面自评估。,控制设计有效性自评:总行业务部门;控制运行有效性自评:总行、分行、支行业务部门。,控制自评估的运行模式与机制总行操作风险管理部门定期或不定期,,控制自评估的运行模式与机制,3. 评估频率:4. 参与人员与相关职责:,控制设计有效性自评:定期(年度)、不定期(触发情形与风险自评相同);控制运行有效性自评:定期(半年)、不定期(触发情形与风险自评相同)。,总行操作风险管理部门(专职岗位):,制定全行年度控制自评估总体工作计划,负责牵头组织、协调本级
31、的自评估工作;负责复评全行业务部门的控制自评估结果,完成全行控制自评估结果报告;负责培训、指导总行业务部门的自评估工作。,分行操作风险管理部门(专职岗位):,汇总分行业务部门年度控制自评估工作计划,负责牵头组织、协调本级的自评估工作;负责复评分行业务部门的控制自评估结果,完成分行控制自评估结果报告;负责培训、指导分行业务部门的自评估工作。,业务部门(兼职岗位):,负责定期(每年/月)组织本部门的相关人员开展控制自评估工作;收集、整理相关人员的控制自评估结果,并在系统中录入评估结果。,控制自评估的运行模式与机制3. 评估频率:控制设计有效性,控制自评估的运行模式与机制,业务部门(操作人员/业务专
32、家/流程负责人):负责定期(每年/月)评估该部门兼职岗位提供的问卷。业务部门(部门负责人/政策负责人):负责定期(每年/月)最终审核和确认本部门的控制自评估结果。,5. 评估计划:,总行操作风险管理部门负责牵头制定全行年度控制自评(设计有效性和运行有效性)工作计划;总行业务部门依据操作风险管理部门总体要求,制定本部门的控制自评(设计有效性和运行有效性)工作计划;分行业务部门依据上级归口部门制定的年度自评工作计划,制定本部门的控制自评工作计划;分行操作风险管理部门负责汇总分行业务部门制定的年度自评工作计划,并在分行范围内进行协调和确认;业务部门控制设计有效性和控制运行有效性的自评模式与风险自评相
33、同。,控制自评估的运行模式与机制业务部门(操作人员/业务专家/流程,控制复评的运行模式与机制,为满足操作风险管理指引需求,操作风险管理部门需实施充分且有代表性的评估和测试,询问政策和控制程序存在的缺陷,并进行相应的调查。复评内容:实施范围:评估频率:,针对业务板块,对CSA的规划、过程及结果(非针对单点的控制)进行整体评估,主要包括以下要点:,各部门是否按规划执行控制自评工作,包括日程、覆盖面、开展方式(例如:是否召开研讨会)等;针对控制设计缺陷或执行不到位的,各部门是否积极应对,启动行动计划;在合理性分析的基础上评估控制自评结果与条线、合规检查的结果是否存在重大偏离,若存在偏离,是否有合理的
34、解释。,控制复评工作针对总行、分行及其辖内机构的内控自评工作开展。,半年(每个条线的控制评估覆盖完成一次时)。,控制复评的运行模式与机制为满足操作风险管理指引需求,操作风险,控制复评的运行模式与机制(续),参与人员与相关职责:评估计划:6. 工作开展模式:,总行操作风险管理部门:评估总行各部门的控制自评工作执行情况;及监督分行操作风险管理部门的复评执行情况。分行操作风险管理部门:评估本级分行及所辖支行的控制自评工作执行情况。,总行操作风险管理部门需根据总行各业务部门的自评计划制定总行的控制复评计划;分行操作风险管理部门需根据分行各业务部门的自评计划制定本分行的控制复评计划。,通过报表的方式对总
35、、分行及其辖内机构的控制自评工作进行全面的复核和分析;必要时还可以对相关人员实施访谈,并调阅相关资料;对复评结果出具总结性意见。,控制复评的运行模式与机制(续)参与人员与相关职责:总行操作风,风险自评估(RSA)与其他相关要素的关系,一道防线和二道防线的相关业务和管理部门,对内控梳理中识别的风险开展定期或不定期自我评估,风险自评模块(RSA)与其他模块之间的关系如下:,风险自评估(RSA)与其他相关要素的关系一道防线和二道防线的,控制自评估(CSA)与其他相关要素的关系,一道防线和二道防线的相关业务和管理部门对内控梳理中识别的控制措施开展定期或不定期的自我评估(CSA),评估主要从控制设计有效
36、性和运行有效性两个维度开展。控制自评模块(CSA)与其他模块之间的关系如下:,控制自评估(CSA)与其他相关要素的关系一道防线和二道防线的,操作风险管理三大工具目录,-风险与控制自我评估(RCSA),-关键风险指标(KRI),-损失数据收集(LDC),操作风险管理三大工具目录-风险与控制自我评估(RCSA),关键风险指标(KRI),关键风险指标(KRI,Key Risk Indicator ),是指能够代表操作风险状况或者内控管理水平变化情况,并可定期进行监控的统计指标。关键风险指标用于监测可能造成操作风险损失事件的各项风险、相应的控制措施,以反映操作风险状况或内控管理水平变化情况的早期预警。
37、,关键风险指标(KRI)关键风险指标(KRI,Key Risk,关键风险指标(KRI)的筛选原则,关键风险指标的筛选,主要依据指标相关的数据可获取性(是否易取得/更新)、指标特性(属性/周期是否合适)及专家意见,从候选指标列表中挑选出可立即使用的关键风险指标。实际应用的指标具备以下特点:,关键风险指标(KRI)的筛选原则关键风险指标的筛选,主要依据,关键风险指标(KRI)的筛选示例,列为候选指标,暂时不使用。,示例,关键风险指标(KRI)的筛选示例风险指标机密性低数据可获取性,关键风险指标(KRI)门槛值设定的参考依据,关键风险指标门槛值的设定可依循以下四项原则,不同原则所设定的门槛值可同时存
38、在于一个指标之内:,关键风险指标(KRI)门槛值设定的参考依据关键风险指标门槛值,关键风险指标(KRI)与其他相关要素的关系,关键风险指标是指能够代表操作风险状况或内控管理水平变化情况,并可定期进行监控的统计指标。关键风险指标(KRI)与其他模块之间的关系如下:,关键风险指标(KRI)与其他相关要素的关系关键风险指标是指能,操作风险管理三大工具目录,-风险与控制自我评估(RCSA),-关键风险指标(KRI),-损失数据收集(LDC),操作风险管理三大工具目录-风险与控制自我评估(RCSA),事件与问题收集的范围,损失数据收集(LDC ,Loss Data Collection )用来收集、存储
39、和管理银监会监管要求的商业银行操作风险事件及一道防线自查发现的问题和二道防线检查中发现的控制缺失 。,*说明:重大操作风险事件中包含由于违反外规而导致的监管处罚事件。,事件与问题收集的范围损失数据收集(LDC ,Loss Dat,重大操作风险事件范围的建议,重大操作风险事件包括:(1)监管机关特别关注、规定要及时通报的事件,及(2)银行自身特别关注的事件。中国银监会相关监管要求,抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围
40、内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;盗窃、出卖、泄露或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;高管人员严重违规;发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;其他涉及损失金额可能超过商业银行资本净额1%的操作风险事件;银监会规定其他需要报告的重大事件。,重大操作风险事件范围的建议重大操作风险事件包括:(1)监管机,重大操作风险事件范围的建议,2. 银行自身特别关注的事件类型(建议),内部欺诈事件;员工伤亡事件;监管机构处罚事件;影响本行对广大客户的服务质量的事件;严重影响本行声誉的事件。,重大操作风险事件范围的建议2. 银行自身特别关注的事件类,损失事件字段信息,损失事件字段信息损失事件字段信息基本信息直接损失间接损失事件,损失事件字段信息,损失事件字段信息损失事件字段信息财务信息损失入账缓释信息关联,损失数据收集(LDC)与其他相关要素的关系,损失数据收集(LDC)与其他模块之间的关系如下:,损失数据收集(LDC)与其他相关要素的关系损失数据收集(LD,
