1、操作风险管理培训讲义法律与合规部2014年6月,目录 Contents,什么是操作风险,操作风险管理工具,操作风险与巴塞尔,内控体系建设,银监会相关规定,标准化管理及问责奖励,考题复习,1,2,3,4,5,6,7,03,04,05,06,07,13,16,Page,一、什么是操作风险,1、银行是经营 的、以盈利为目的的机构,2、你认为银行都有哪些风险,操作风险,由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。其包括法律风险,但不包括策略风险和声誉风险。,操作风险事件,由操作风险原因造成财务损失、或造成银行声誉、客户和员工等不利影响的事件。,操作风险基本概念,操作风险严重程度
2、:风险概率影响操作风险按照严重度从高到低分为很高、高、中、低、很低五级。,操作风险概述,风险覆盖面大,涉及部门广,交易数据输入错误、不完备的法律文件、未经批准访问客户账户、国际贸易业务中客户使用伪造、变造的信用证或附随的单据、软件或者硬件错误、通信问题以及设备老化、,操作风险就在身边,操作风险概述,内部欺诈,外部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,实体资产损坏,信息科技系统事件,执行、交割和流程管理事件,说 明,示 例,主要表现形式,下列外部事件造成的损失中,不应计算在操作风险损失的()A、火灾造成营业场所设施损毁B、黑客攻击交易系统导致交易失败造成财务损失C、机构现金
3、被偷窃造成损失D、地震造成客户损失,导致其无法偿还贷款。以下风险中,属于操作风险事件的是:()A、某人向银行提供一位客户开具的支票要求兑付,但票面金额超过了该客户的账户余额,于是银行向该客户打电话进行询问,电话无法接通B、由于某些贷款偿还不及时,导致银行在一定时期内回收的资金低于预期值C、在不利的市场行情下,计算机网络出现故障,银行只能间断性的查看到一些价格信息,从而导致交易员无法准确把握交易时机,造成大量损失D、信贷管理人员把不准确的客户财务信息输入银行的信用风险模型,风险热图说明:1、图中的横轴代表每个风险的剩余风险概率、纵轴代表剩余风险影响。每个风险根据中国银行操作风险分类办法,从发生概
4、率(风险发生可能性的大小)和影响(负面影响的大小)两个维度对剩余风险进行评价,确定其在图中的位置。频率越高、影响越大,则风险越需要得到重视。其中发生概率分为五级,分别为:很高,即极为常见,每月至少发生一次高,即很常见,每季至少发生一次中,即常见,每年至少发生一次低,即不常见,每五年至少发生一次很低,即罕见,五年以上发生一次影响指造成负面影响的程度,包括财务影响及非财务影响。分为五级(以下仅列示财务影响的评级标准):很高,标准为500万以上(含);高,标准为100(含)-500万;中,标准为10(含)-100万;低,标准为1(含)-10万;很低,标准为1万以下;,2、风险热图中用颜色区分了剩余风
5、险的严重度:从右上角到左下角的风险严重度逐渐降低,其中各个颜色分别表示的风险严重度为:红色:很高。粉红色:高。黄色:中。灰绿色:低。绿色:很低。3、在风险热图中用部门缩写加数字作为各部门的前三大主要操作风险的唯一编号,例如,对于公司业务模块的前三个主要操作风险,可分别标为“公司1”,“公司2”和“公司3”。,2、风险热图中用颜色区分了剩余风险的严重度:从右上角到左下角的风险严重度逐渐降低,其中各个颜色分别表示的风险严重度为:红色:很高。粉红色:高。黄色:中。灰绿色:低。绿色:很低。3、在风险热图中用部门缩写加数字作为各部门的前三大主要操作风险的唯一编号,例如,对于公司业务模块的前三个主要操作风
6、险,可分别标为“公司1”,“公司2”和“公司3”。,例题:一季度*二级分行存在非客户本人购买个人理财产品的现象两次,金额分别为10万、200万;挂失业务不合规未履行冻结手续出现1次,丢失凭证账面金额为1万元。请标识出风险热图。,个金1,个金2,个金3,操作风险概述,下列因素中哪些通常不是操作风险的来源?1 内部流程不完善2 内部人员不充足3 交易对手违约4 内部系统故障5 汇率大幅波动6 外部事件,3 交易对手违约通常构成信用风险;5 汇率大幅波动可能会导致市场风险。,理解操作风险,下面描述中哪些关于操作风险与信用风险和市场风险的关系的描述是正确的:( )A、操作风险与信用风险、市场风险是独立
7、的,相互之间没有关系B、信用风险损失可能由操作风险导致,但是市场风险损失不可能由操作风险导致C、信用风险损失、市场风险损失都可能由操作风险导致D、市场风险损失可能由操作风险导致,但是信用风险损失不可能由操作风险导致下列说法不正确的是( )A、操作风险存在于日常工作的各个领域B、系统存在的漏洞、产品设计不合理、核心团队流失、客户伪造材料等导致的损失都属于操作风险C、员工业务不合规D、自然灾害或意外事故造成的损失不是操作风险操作风险是由不完善或有问题的( )造成损失的风险。A、内部程序B、员工操作、信息科技系统C、外部事件D、法律风险多数操作风险事件中都会存在人员因素,那么操作风险中的人员原因包括
8、( )A、人力资源配置不合理B、人员技能不够C、人员管理不善D、道德素质,操作风险管理三大工具分别是风险与控制评估(Risk And Control Self-Assessment,简称RACA)、关键风险指标(Key Risk Indicator,简称KRI)和损失数据收集(Loss Data Collection,简称LDC)。,二、操作风险管理三大工具,操作风险管理工具一:RACA=Risk And Control Self-Assessment“风险与控制”的评估,RACA是是指总行各部门、各分行作为操作风险所有人,持续识别、评估并报告业务流程的操作风险及其控制状况的过程。RACA通常
9、采用讨论组会议方式进行,也可采用调查问卷等形式。,剩余风险,固有风险,控制,-,=,什么是RACA?,案例:乌鲁木齐市黄河路南支行2009年开户企业“西部招标代理公司” 在2009年至2010年期间存款被挪用,造成我行损失超过100万元。具体案情见附件。,如果你是国内结算与现金管理部工作人员,你需要怎么做?请回答以下问题1、是否需要开展评估?2、开展年度评估还是触发式评估?3、对什么业务进行评估?4、请与周边同事模拟流程,达到触发式评估条件,故按照总行及操作风险管理办法的要求牵头案发行、国内结算与现金管理部、分行法律与合规部开展了一次触发式评估。此次评估工作在收集相关信息的基础上,组织上述部门
10、的人员通过讨论组会议的形式进行了评估。具体RACA评估过程及结果应用如下:,1、风险与控制评估(RACA)讨论组会议时,每个业务流程应至少选派()名熟悉业务流程、控制的专家参与讨论组会议。A、1 B、2 C、3 D、42、固有风险是在没有考虑现有控制及其作用的情况下,在开展业务和进行操作的过程中面临的内在的固有操作风险,剩余风险是在充分考虑了流程中已有控制手段及其作用后的风险。根据以上描述,以下表述正确的是()A、剩余风险=固有风险控制措施 B、固有风险中不包含剩余风险C、固有风险=控制措施剩余风险 D、全面操作风险=固有风险+剩余风险3、以下关于RACA主要作用的描述,哪项是正确的?( )A
11、、可以实现对操作风险的量化计算。B、有助于业务管理部门从“被动参与”转为“自发开展” ,提高操作风险管理有效性。C、有利于对风险进行识别并推动对其进行防范,使防范风险、扼制大要案件关口前移。D、B和C皆正确。,4、风险与控制评估(RACA)工作的结果可以应用于以下领域()等。A、可优化业务流程和控制B、内控检查与评价C、基层机构自查D、风险提示5、风险与控制评估(RACA)是指各职能部门、各分行作为操作风险所有人,定期评估所管主要业务流程的操作风险及其控制状况,并使用模板持续记录并报告评估结果的过程。()6、风险与控制评估(RACA)是一种操作风险管理手段,目的是通过操作风险所有人的自我观察、
12、分析,并借助经验和判断,对面临的操作风险以及现有控制情况进行识别和评估,以便采取相应措施,并进而提高银行的风险和业务管理水平。( )7、风险与控制评估(RACA)讨论组会议需要确定主持人员,应选派业务实际操作者参与讨论。(),操作风险关键风险指标:是按照一定频率(每天、每周、每月或每季度)监测关键风险或关键控制的指标,当指标数据超过预先设定的门槛时,及时发出风险预警并采取相关管理措施。阀值:是指将关键风险指标的数据变动范围切分为绿色区域、黄色区域、红色区域的临界值,用以区分关键风险指标所指示的不同风险水平。,系统故障次数,IT系统当月出现的系统故障次数,0,5,10,15,20,25,1,2,
13、3,4,5,6,7,8,9,10,11,12,示 例,KRI=Key Risk Indicator,操作风险管理三大工具之二:KRI,电话接通率KRI=A1 / A2A1=人工接听电话数量A2=转入人工服务电话总数数据收集频率=?数据收集方式=手工?机采?此KRI属于风险类指标?控制类指标?此KRI属于滞后类指标?预测类指标?,例:运营控制部KRI之一:电话接通率原因:2013年2-3月期间,新疆分行客服中心人员流失率较高,在线座席员人数由16名下滑至9名。中心采取应急方案,及时将后线人员分配至前线进行接线工作。且对现有人员进行合理排班,以保证高峰时段的接通率。但春节大假后,集中进线情况较频繁
14、,话务压力较重,大多数座席积极加班,延长工作时间,但高峰时段最多只能保持3条线运营,造成放弃量骤增,最终导致我中心接通率较2013年1月份下滑约18%,接通率指标为76.8%,未达到绿色区域。措施:客服中心针对人员流失率高问题,及时招募新员工,充实座席员队伍,以确保运营现场的正常满线运营。目前所有新座席已完成服务规范、话术及基础业务的培训。2013年4月起接通率明显回升,达到安全区域。,找茬,注:绿色代表安全区域,黄色代表关注区域,红色代表危险需启动调查与采取控制措施,1、关键风险指标(KRI)是反映关键操作风险发生可能性、影响度或某一控制有效性的一系列统计数据,实现对风险的定量跟踪监测。(B
15、)A、操作风险事件内容 B、操作风险事件统计数据C、估值 D、流程指标2、关键风险指标(KRI)的作用是(ABCD)。A、它是监控操作风险的重要手段B、它是建立风险监控体系的重要工具之一C、它能帮助验证其他操作风险管理工具和流程的运用结果D、进一步确保操作风险管理体系的有效性3、关键风险指标(KRI)阀值的设定方法有(ABCD)。A、观察关键风险指标数值及所用数据的历史趋势B、专业人员的专业判断C、行业标准、竞争者信息D、我行现有的政策;风险对业务的影响评估,三大工具之三:损失数据收集LDC1、什么是LDC?,LDC =,Data,Collection,Loss,Loss,毛损失金额达到10,
16、000元人民币(含等值的外币)的操作风险损失事件, 当预计或实际损失达到10,000元人民币(损失数据收集门槛)时才要收集。,损失预计或已经全部挽回还要收集吗?例如初始损失为10万元,后续通过保险赔付加上员工赔偿已全部挽回。,决定损失事件是否要收集的是毛损失金额(不扣减挽回金额的损失及成本金额)。只要毛损失金额达到10,000元人民币,即使损失全部挽回,也要收集。,三、损失数据收集LDC2、哪些数据需要收集?,损失数据收集举例由不完善或有问题的内部程序、人员、系统以及外部事件造成的损失。操作风险损失包括多种多样的形式,只要当损失或预计损失达到10,000元人民币(称为“损失数据收集门槛”)时才
17、要收集。例如:操作失误(常见的如短款、出纳错误)、涉及内部人员的案件等;外部行为或破坏造成的损失,例如偷窃、抢劫、外部欺诈、恶意破坏;自然灾害造成的损失,例如地震、台风、暴雨等造成的资产和人员损失;意外造成的损失,例如工作场所受伤、工作用车交通事故、意外丢失客户资料导致的赔偿或罚款;解决劳动争议的损失、外包公司或中介机构带来的损失、客户索偿导致的损失;处理事件、挽回损失、恢复影响所付出的成本。,三、损失数据收集的相关内容- LDC基本路线图(二级分行为例),是,否,二级分行的主收集部门在系统中录入损失事件并复核,补充说明二级分行以下基层机构发生的损失事件,由相关业务或流程的二级分行管理部门作为
18、主收集部门;若同一损失事件影响多个同级别的机构,则由相关业务或流程的上级机构管理部门作为主收集部门。,练习题:请问以下哪项数据需要收集损失数据LDC?A、柜员当日短款5000元,当日找回B、柜员当日短款10000元,当日找回C、柜员当日短款30000元,当日找回 D、柜员当日短款10000元,并挂账7419001,于次日找回E、柜员当日短款10000元,并挂账7419001,一直未找回F、柜员当日短款30000元,并挂账并挂账7419001,于三日后找回,思考,某项授信业务只落实了授信担保条件20万,就发放了100万的贷款,后客户经营出现问题,该笔到期后未收回。请问我行是否要收集损失数据,损失
19、数据的收集金额为多少?,当操作风险是直接造成信用或市场风险损失的主要原因时,需要收集。否则不需收集。,Basel I 到 Basel III,没有针对操作风险的资本要求,较低的风险敏感性,Basel I,仅有部分监管机构要求银行进行整体风险评估,有限的披露要求,明确提出对操作风险的资本要求,明确的披露要求,明确的整体风险/资本评估要求,较高的风险敏感性,Basel II,巴塞尔新资本协议框架,转换为不同国家的监管要求,各国可根据实际情况对新协议的部分规定进行修改,导致母国 / 东道国间的差异,Basel III,资本和流动性改革的方案, 现通称Basel III增加或提高资本和流动相关指标:一
20、级资本金比率 4.5%资本留存缓冲 2.5%反周期缓冲 0-2.5%杠杆率 3%系统重要性银行 资本附加费、或有资本、保释债等。,三、巴塞尔协议,新资本协议将操作风险作为三大风险之一,在三大支柱中均对其提出明确的管理要求。,巴塞尔新资本协议与操作风险,最低资本要求,监管部门的监督检查,市场纪律,对操作风险的要求,三大支柱,巴塞尔委员会制订了一些协议、监理标准与指导原则,以完善与补充单个国家对商业银行监管体制的不足。其中巴塞尔新资本协议包含三大支柱,它们是:( )A、最低资本要求为8%B、监管部门的监督检查C、市场纪律D、有效的货币政策,2012:打基础,练内功,2013:总结改进,巩固提高,2
21、014:持续推进上水平,“三个办法、二个系统平台、一个指引”操作风险三大工具整改年,进一步优化“三个办法、二个系统平台、一个指引”操作风险“嵌入式”管理 屡查屡犯问题系统整改,健全有效的矩阵式内控体系,非现场比重60%,有效解决“双基”薄弱的问题,主动学习、主动合规成为常态,新疆分行内控合规建设三年工作规划,滚动开展“内控提升品质、合规创造价值”主题竞赛活动,四、新疆分行内部控制体系建设,矩阵式考核评价体系,内控合规管理问责办法,二级行自定,按季考核评价,分行业务条线内控合规考核评价办法(二级行自定本行条线),二级经营性机构内部控制与操作风险管理评价考核办法,层层分解责任到人,新疆分行2012
22、年度内部控制评价体系建设,1000分,评价考核对象:各地、州、市分行,石油分行,乌鲁木齐市中心支行,分行营业部。评价考核内容: 内部控制评价与考核以过程评价为主, 过程评价是对各级机构内部控制环境、风险评估与管理、内部控制活动、监督与纠正、信息与交流等要素的评价。评价考核方式:“季评季报”,分行考评与各经营性机构自评相结合。分行考评占70%,经营性机构自评占30%,分行业务条线部门、二级机构独立进行评价打分。评价等级确定根据被评价对象内部控制评价得分,按照1-5个等级区间,确定被评价对象等级。被评价对象综合得分90分(含)以上的为AAA级;综合得分90-80分(含)的为AA级;综合得分80-7
23、0分(含)的为A级;综合得分70-60分(含)的为B级;综合得分60分以下的为C级。 评价结果的运用 作为对各经营性机构年度内控绩效考核的依据,按照分行绩效考核的规定分值进行折算后提交分行绩效考核办公室。对被评价为B级(含)以下的机构,当年绩效考核不得评定为A及以上。 对被评价为B级(含)以下的机构,分行法律与合规部发出内部控制警告通知书由分行CRO对被评价对象的主要负责人进行诫勉谈话,并列为内控重点监控行,实施重点辅导和监控。,例:二级行内部控制与操作风险管理评价考核办法简介,银监会案件治理“六个重点环节”、“十个联动”一、“六个重点环节”从发案部位和环节看,重点是授权卡(柜员卡)、印鉴密押
24、、空白凭证、金库尾箱、查询对账、轮岗休假等关键环节。二、“十个联动”一是针对票据业务案件高发,实行按规定收取保证金和推行由他行托管保证金的联动,禁止自开自贴和自管保证金的做法;二是一线业务的卡、证、章管理和基层机构行政章的管理联动;三是基层行行长、主任的定期交流轮岗与会计主管的委派制并行与联动;四是重要岗位的强制性休假与岗位审计紧密衔接联动;五是激励基层员工署名揭发违法违纪问题与对员工保护制度的配套建设联动;六是贷款三查的尽职调查与三查档案妥善保管责任制的配套建设联动;七是完善审计体制,充实审计队伍,提升工作质效与加强对审计问责制度建设的配套和联动;八是查案、破案与处分适时、到位的双重考核制度
25、建设联动;九是案件查处和相应的信息披露的制度建设联动;十是对基层操作风险管控奖惩并举的激励约束机制建设联动。,监五、银监会案件治理主要要求会操作,银监会操作风险管理十三条线,1、高度重视防范操作风险的规章制度建设。2、切实加强稽核建设。3、加强对基层行的合规性监督。4、订立职责制,明确总行及各级分支机构的责任,形成明确的制度保障。5、坚持相关的行务管理公开制度。6、建立和实施基层主管轮岗轮调和强制性休假制度,并确保这一安排纳入总行及各级分支机构的人事管理制度。7、严格规范重要岗位和敏感环节工作人员八小时内外的行为,建立相应的行为失范监察制度。8、对举报查实的案件,举报人属于来自基层的员工(包括
26、合同工、临时工)的,要予以重奖;对坚持规章制度、勇于斗争而制止案件发生的,要有特别的激励机制和规定。9、加强和完善银行与客户、银行与银行以及银行内部业务台帐与会计账之间的适时对账制度,对对账频率、对账对象、可参与对账人员等做出明确规定。10、加强未达账项和差错处理的环节控制,记账岗位和对账岗位必须严格分开,坚决做到对未达账和账款差错的查核工作不返原岗处理。11、严格印章、密押、凭证的分管与分存及销毁制度,坚决执行制度规定,并对此进行严格检查,对违规者进行严厉惩处。12、加强对可能发生的账外经营的监控。13、改进科技信息系统,提高通过技术手段防范操作风险的能力,支持各类管理信息的适时、准确生成,
27、为业务操作复核和稽核部门的稽查提供坚实基础。,1、根据银监会案件治理“六个重点环节”、“十个联动”和防范操作风险“十三条意见”,对反复发生大案要案,问题长期得不到有效解决的单位,要从严追究有关( )的法律责任。A、经办人员 B、复核人员 C、高管人员 D、管理人员参考答案:CD2、根据银监会案件治理“六个重点环节”、“十个联动”和防范操作风险“十三条意见”,六个重点环节是授权卡(柜员卡)、印鉴密押、( )、轮岗休假等。A、空白凭证 B、金库尾箱 C、查询对账 D、授权监督参考答案:ABC3、根据银监会案件治理“六个重点环节”、“十个联动”和防范操作风险“十三条意见”,要求加强未达账项和差错处理
28、的环节控制,( )必须严格分开,坚决做到对未达账和账款差错的查核工作不返原岗处理。A、经办人员 B、记账岗位 C、复核人员 D、对账岗位参考答案:BD,六:标准化管理及问责奖励,1、被问责对象分为( )层级A、直接责任人: 对违反标准要求的经办人员的问责B、直接连带责任人: 直接连带问责是对直接责任人所在机构层级的管理者实施的连带问责。 C、间接连带责任人: 间接连带问责是对直接责任人所在机构以上层级的各级监督管理人员实施的连带问责。2、下列各类检查扣分问责的特殊情况说法正确的有( )A、同一季度内不同检查的同一问题按一次扣分;B、同一次检查发现的多次违规及业务差错的,如属同一违规或业务差错的
29、按一次扣分;C、若干员工在同一时间内发生的相同违规或业务差错的应分别扣分;D、员工自查发现的问题,主动汇报的应予以免除扣分。E、各机构自查发现的问题在整改期内再次被他查发现,问责对象可进行申诉撤销他查扣分问责。3、问责奖励办法规定,如若出现有下列情况的:( ),可根据实际情况按扣分标准的2到4倍加重扣分处理A、主观故意违规的行为;B、屡查屡犯、重复出现的问题;C、授意、指使、强令员工进行违规操作;D、无正当理由未按要求整改的问题。,4、对员工的问责或奖励取决于员工季度最终得分。员工季度最终得分由各类奖励加分(正向分)与各类问责扣分(负向分,注:此类扣分应为他查扣分)的分值差计算而成(即:员工季
30、度最终得分=季度各类奖励加分 - 季度各类他查问责扣分),对最终得分为负向分的员工给予一定的问责处罚,对最终得分为正向分的员工给予一定的奖励,对最终得分为0分的员工不做任何处理。季度最终得分不带入下一个扣分累积期。对季度最终得分为正向分值的员给予以下奖励( )A、绩效奖励:对季度最终得分为正向分值的员工,按季考核每1分对应奖励200元。B、精神奖励:员工获得的各项内控合规奖励由各二级机构上报分行法规部,通过中行内部网站、内控合规信息网、新疆分行操作风险管理工作简报、邮件、行内公告栏等进行宣传,予以激励。C、综合奖励:对年度3次及以上获得正向得分的员工,在职位聘任、轮岗交流、各类评优、外派工作、转正、绩效考核、薪酬激励等方面,同等条件下予以倾斜。D、其它奖励:经内控管理牵头部门会同人力资源部门审核确定后其它形式的奖励。,七、考题复习,