RBS-操作风险管理

出现问题领域 (内部和外部) 关键事件 损失数据、欺诈和不利影响分析 风险状况: - 总体风险水平变化 - 风险控制有效性改变 - 剩余风险改变 (使用关键风险指标等反映)
30
RBS – 内部与外部报告
内部报告 外部报告
报告要求
行政管理委员 会和董事会 审计委员会
巴塞尔协议
集团管理层 SoX 404 法律
5
什么是操作风险管理?
操作风险管理是识别和理解业务流程中的操作风险的敞口，而不是完全避免之。 必须制定操作风险管理战略：规避、转移、缓释还是接受。 .只要理解风险、意识到风险、有透明的披露和充分的监控，接受操作风险也是 操作风险管理的一个可能战略。 操作风险随着人员、流程、外部因素和系统改变而不断改变，需要联系评估和 监控 保证业务部门在理解风险的前提下进行决策。 必须根据风险与收益配比的原则进行管理
部门操作风险管理团队
协助部门管理层制定、维护和监察本部门操作风险管理框架（包括风险管理工 作漏洞和风险状况变化的监控）
17
职责 – 总行
集团风险管理部 负责制定和维护集团操作风险管理框架和标准，并通过操作风险管理手册 为基础的原则和技术的适用达到这一标准。 集团稽核部
对集团和部门操作风险管理的充分性、有效性和连续性进行独立检查。.
原因
原因
-环境、 -政治 -监管
24
操作风险报告
25
操作风险报告 – 原则
‘银行应对操作风险状况和实质性风险损失进行定期监控。监控结果应以适当方式向 管理层和董事会报告，以支持积极的操作风险管理工作。.’ 巴塞尔委员会

报告应及时 准确 清晰 一致 连续进行
26
操作风险报告 – 最初步骤
反欺诈– 监察部 法律 – 法律合规部 合规 – 法律合规部 人员 – 人力资源部 系统/ 信息安全 – 信息科技部
7
操作风险管理的对象
纠正性
声誉影响 财务影响 客户或员工影响
调查性
Controls
Risk 事件
预防性
原因
原因
原因
8
RBS 组织框架和方法
9
RBS 集团组织架构
Assess Residual Risk
Key Risk Indicator
Business Unit
Process
Control X
Key Risk Indicator
Action & Report
Risk
Control Y
Key Risk Indicator
23
事件报告和数据搜集
事件报告重点
损失数据重点
2.
各部门报告: 各部门重要风险事件和风险状况变化
剩余风险的实质性改变 内部控制的充分性和有效性
月度重大事件数据
审计结果
28
操作风险报告 – 基本模式
每月报告欺诈案件的数量、金额、挽回金额，分为:


内部欺诈
外部欺诈 信用卡欺诈
操作风险损失事件的数量和（毛）净额:
原因 业务条线/ 事件发生部门
识别 由于犯罪活动、人员差错、设计流程不充分和不当行 为等原因造成损失的风险敞口
评估操作风险发生的概率（频率）及其影响的大型小（财务 影响，员工、客户和声誉影响 通过以下方式缓释风险:
识别
规避风险,
在操作流程中实施控制（内控环节）; 将风险转移到更能管理该风险的部门或集团外部机构；
监督和报 告
•KRI •损失数据
RBS集团操作 风险管理框架
原则 3 超过风险容忍度的剩余风险并须制定相应 的解决行动。必须对该行动的进行实施连 续的监督。
•搜集和分析损失数据
本行致力于贯彻包括政策、流程、程序和技术在内的操作风险管理框架，从而实现本集团操作风险成本有效、统一协调的识别、评估、缓释、监控和报告；防止由操 作风险造成的财务、声誉、客户、员工等方面的损失，并满足监管和法律要求
12
操作风险管理框架
13
操作风险管理框架
RBS 操作风险管理框架 (ORMF) 提供了进行操作风险有效管理的框架结构。 该框架的目的是: 对本集团面临的由于人员差错、流程设计缺失或不充分，系统失灵或不当 行为引起的损失风险敞口进行管理; 协助管理层和员工在操作风险关流方面的履职工作
理解信息需求
理解为什么需要信息
理解信息的作用
理解需要信息的频率
理解目前能做到的现实情况
建立长期、连续的报告模式和内容
27
RBS 操作风险内部报告
集团操作风险管理部编制月度操作风险报告
1.
集团操作风险部报告内容:
关键事件和领域风险状况总结，及其风险偏好情况:
收购、出售和转移（或购入）业务部门 新产品, 新监管规定和立法, 欺诈和抢劫网点发生的增加
“由于人员差错、无效或设计不充分的流程、系统和不
当行为（包括犯罪行为）造成的损失”
来源: RBS
3
什么是操作风险 – 示例
未经授权员工进入分行电脑系统 – 内部欺诈 业务数据输入错误 – 罚息 新产品太受欢迎 - 客户服务延迟、服务成本增加和客户不满
分行反洗钱工作没有重点，反洗钱效果差 – 监管当局罚款
影响度分类（示例）)
声誉影响
操务影响
客户与员工影响
-重大 -严重
- 重要
- 次要
损失事件分类（示例）
事件
-自然或人为灾害 -健康、安全与人力资源管理事件 -未经授权的行动 (内部） 未经授权的行动 (外部） 供应商失误 -违规和违反委托关系行为 -处理错误
风险原因风险（示例）)
原因
-人员 -流程 -IT系统 -财产 -业务
专家部门（如人力资源部、反欺诈部和信息安全部门） 在其领域提供具体的专业技术和技能支持，帮助操作风险识别、评估、监 控和缓释。集团建立各领域专家小组，帮助集团和部门操作风险管理团队 进行操作风险的全面管理。
18
操作风险管理手册
19
操作风险管理周期
• 外部事件 • 新产品 • 收购 • 业务流程改变
总行稽核部稽核结果汇总/ 发现的控制问题。包括:


原因
业务条线/ 问题发生部门 发现问题的严重性
洗钱损失事件的数量和（毛）净额:


原因
业务条线/ 问题发生部门
29
操作风险报告 – 高级模式
报告应包括事件情况、趋势分析，数据评价，以帮助业务部门做好关键事件及其业 务影响分析。报告内容应包括：
操作风险管理是前瞻性的－未来有哪些风险可能影响业务。但是管理的依据是 对过去发生的风险的原因和损失的分析。
操作风险管理需要企业文化的改变－不可能在一夜之间发生。
6
操作风险管理职责
操作风险管理人人有责，但职责不同。
业务部门对操作风险管理最终负责。 操作风险管理专家负责支持业务部门理解和评估操作风险。 其它部门专家负责制定有关具体类型操作风险的政策和流程。这些部门包括.:
部门操作风险管理 团队
添加部门管理层和业务控制环节、监控部 门操作风险状况
16
职责 – 业务部门
部门首席执行官 (CEO) 部门首席执行官对他/她所在部门业务中所有操作风险的管理负责。包括建立 符合操作风险管理手册中最低要求的部门操作风险管理框架，并对季度自我认 证结果签字确认。 业务单位和条线管理部门 负责业务条线日常操作风险管理工作。该工作必须是充分和有效的。
Sir Fred Goodwin
集团首席执行官
集团办公室
零售市场及 直接银 行业务部 Gordon Pell, CEO
Ulster 银行 Cormac McCarthy, CEO
爱尔兰
公司市场 Johnny Cameron CEO Alan Dickinson, CEO UK 英 国公司市场部 (UKCB)
22
风险与控制评估 (含关键风险指标)
Map Business Unit Hierarchy
Identify Business Processes
Identify & Assess Risks
Identify & Assess Controls
Mitigate / Monitor / Report
要求
监管当局
(自我认证流程)
原则五 – 必须严格遵守集团现有操作风险管理流程
原则 2 原则1 业务流程对操作风险管理的充分性必 .业务部门必须确定可接受剩余风险（即 须定期检查，并通过正式程序进行季 实施了控制后的风险水平）水平，并进 行书面记录并由部门负责人签字确认。 度确认。.
原则 4 必须每季度对业务流程操作风险控制的有效 性进行评估。为此所有业务部门必须 : •建立连续的测试方案
•可能性 •影响度
评估
接受剩余风险，将其造成的损失计入业务成本.
监控和报告剩余操作风险敞口（集团可能遭受损失的敞口）， 确保业务流程对操作风险的持续管理，并及时识别信的操作 风险和需要采取的行动。 缓释
• • • •
回避 转移 通过控制缓释 结束作为剩余风险
20
操作风险管理手册
操作风险管理手册描述了我们执行操作风险管理框架的政策、原则和核心流程。 手册包括以下流程:
建立全行统一的操作风险管理最低标准（包括指引和相关技术），确保操 作风险政策、原则和流程的充分性和有效性。
14
操作风险管理框架 – 关键要素
治理机制 确定信息流动和决策权利的正式的结构 职责 确定各部门和业务单位的职责。管理层和员工应正确理解其职责，并具有 相应的能力和经验完成操作风险管理政策和流程的要求。
RBS 保险 Annette Court, CEO
Citizens (美国) Larry Fish, 总 裁兼 CEO
Brian Crowe, CEO 全球银行 市场部
英国 欧洲
美国
财务管理 John Baines, CEO
UK Europe US Asia
零售银行 Chris Sullivan, CEO 零售 银行卡 欧洲直接银行业务 Tesco 个人金融公司 消费信贷
政策、原则和指引
宣传操作风险管理最低要求 指引应规定自我评估方法（内部认证）
15
概要 – 治理机制
董事会 集团审计委员会 集团行政管理委员 会
确定操作风险偏好 授权
集团风险管理委员 会
建议战略、批准控制、管理绩效审核
集团风险管理部 部门风险委员会
设计框架、趋势和集团操作风险状况监控、 质量评估
风险与控制评估
操作风险事项日志 剩余操作风险数据库
操作风险有效性检查
内部损失数据搜集 业务流程改变操作风险评估 手册还配有指引，方便执行。. 配有执行所需的模板和表格。. 手册与现有操作风险管理流程互为补充(如集团新产品审批流程).
21
风险与控制评估
风险与控制评估 目的是为了对业务中的风险和风险缓释措施进行评估，并对操作风险管理的充 分性进行评价。包括缺失或设计不充分的控制环节的识别。 该流程的最低要求是: 涵盖所有业务领域; 识别业务所有者 (即风险所有者); 识别所有实质性业务流程; 识别和评估所有实质性业务流程的风险的发生概率和影响度; 识别和评估风险缓释措施的充分性; 识别需要连续监控的关键风险指标; 和 对操作风险根据集团操作风险统一分类表进行分类
自然灾害危及员工安全，引起业务中断 –网点关闭、客户不便和服务中断
4
什么是操作风险
作为业务一部分的操作风险无处不在.
可能由于内部或外部因素引起.
可能出现在多个部门。 操作风险是经营不可避免的因素。无法完全消除，只能尽可能减少。
操作风险影响具有隐蔽性，不容易测算。 和其它风险类别不同，操作风险往往由多个原因造成，不易识别。 操作风险到处存在。业务流程或系统设计不合理（无论该系统是支持信贷审核，还是防范 欺诈）都会造成操作风险损失。 业务流程的改变也会引起新的操作风险
英国 欧洲 美国 亚洲
集中处理重新
英国 欧洲 美国 亚洲
Mark Fisher, CEO
10
RBS 操作风险管理框架
集团操作风险 部
风险管理职能部 门
风险管理单位ห้องสมุดไป่ตู้
业务发起部门
部门
11
操作风险管理程人员配置
部门
2006 年配备人员
55 60 390 105 45 28 12 675
集团操作风险 公司市场部 零售市场 （含直接金融和财富管理) 集中处理部 RBS 保险 Ulster (爱尔兰) Citizens (美国） 操作风险管理总员工数
操作风险管理
Fred Bell 中国银行风险管理合作项目负责人
操作风险管理
目录
什么是操作风险 RBS 组织结构和方法 操作风险管理框架 操作风险管理手册 操作风险报告 内控
2
什么是操作风险
“由于内部流程、人员和系统不完善或失败，或由于
外部事件引起损失的风险”
来源：巴塞尔协议