1、20102010年年9 9月月2525日日中信银行操作风险管理咨询项目中信银行操作风险管理咨询项目把握重点、成功实践 2009 Deloitte Touche Tohmatsu内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素大纲大纲1 2009 Deloitte Touche Tohmatsu现行与操作风险管理相关现行与操作风险管理相关的制度及工作的制度及工作 内控梳理及控制手册制定 定期的培训 内控评价、缺陷评价及整改要求 业务外包管理 反洗钱管理 绩效考核制度 .为何现在还要谈为何现在还要谈建立操作风险体系建立操作风险体系? ?2面对操作风险,我们已
2、经有相关的应对措施面对操作风险,我们已经有相关的应对措施 2009 Deloitte Touche Tohmatsu想象我们开着高级跑车上路想象我们开着高级跑车上路3例如:防盗系统、驾驶员仪表盘、倒车雷达、安全气囊、防爆玻璃开车上路所面对的开车上路所面对的固有风险固有风险 误撞前车 后车追尾 撞上路人 违规被罚开车上路的过程中,驾驶员面对很多的风险,最后可能导致身体或财务上的损伤。 轮胎打滑 电瓶故障 汽车被盗 .应对风险所配备的装置高级跑车上,原本就配备了许多安控设施高级跑车上,原本就配备了许多安控设施 ( (控制措施控制措施) ) 2009 Deloitte Touche Tohmatsu
3、我们现在要建立的操作风险管理工具体系,就像是架设在高级跑车我们现在要建立的操作风险管理工具体系,就像是架设在高级跑车上的智能型电脑上的智能型电脑4智能型电脑智能型电脑具备具备不断自我监控、诊断并且自我完善的功能不断自我监控、诊断并且自我完善的功能,确保,确保开车的风险能控制在自开车的风险能控制在自己可以容忍的范围之内。己可以容忍的范围之内。 2009 Deloitte Touche Tohmatsu5前置工作:流程分析前置工作:流程分析/ /内控梳理内控梳理( (操作风险与控制识别操作风险与控制识别) )风险与控制自评风险与控制自评 (RCSA)(RCSA)关键风险指标关键风险指标(KRI)(
4、KRI)损失数据收集损失数据收集(LDC)(LDC)后续工作:改善方案制定与执行后续工作:改善方案制定与执行操作风险管理体系三大工具操作风险管理体系三大工具 规律的侦测车况、驾驶员状况以及经常规律的侦测车况、驾驶员状况以及经常行走的道路的路况。动态行走的道路的路况。动态识别识别驾车的各驾车的各种种风险风险,以及目前有的,以及目前有的控制措施控制措施。 依据上述侦测结果,进行依据上述侦测结果,进行风险暴露评估风险暴露评估与与控制有效性评估控制有效性评估 。 设定设定预警指标预警指标并持续监控并持续监控 收集事故数据并分析原因收集事故数据并分析原因 协助驾驶员协助驾驶员规划及执行改善方案规划及执行
5、改善方案例如:驾驶员抢灯的次数、油料不足灯亮起却迟迟不加油的次数 例如:酒后驾车被罚款、撞车 例如:酒后不开车、开车不打电话等智能型电脑的五大功能智能型电脑的五大功能操作风险管理三大工具的概念操作风险管理三大工具的概念 2009 Deloitte Touche Tohmatsu6 6流程分析流程分析/ /内控梳理内控梳理( (风险与控制风险与控制识别识别) )RCSA-RCSA-风险与控制自我风险与控制自我评估评估KRI-KRI-关键风险指标设计关键风险指标设计与监控与监控LDC-LDC-损失数据收集损失数据收集操作风险管理举例客户经理的培训时数客户经理的培训时数理财客户投诉次数理财客户投诉次
6、数赔偿理财客户赔偿理财客户固有风险固有风险1 1:与理财客户有重大纠纷:与理财客户有重大纠纷 控制控制1 1:针对客户经理设计培训课程并定期进行培训:针对客户经理设计培训课程并定期进行培训 控制控制2 2:配备录音设备:配备录音设备,提示客户在,提示客户在销售过程销售过程中将进中将进行录行录音备案音备案 控制控制3 3:理财产:理财产品购买的先决条品购买的先决条件件,需以,需以书面方式请客户确认书面方式请客户确认理财业务理财业务操作风险管理三大工具的概念操作风险管理三大工具的概念 续续 2009 Deloitte Touche Tohmatsu7操作风险管理体系的特色与可解决的问题操作风险管理
7、体系的特色与可解决的问题以既有的内控手段进行操作风险管理,无法完全满足新资本协议对操作风险管理的要求。以既有的内控手段进行操作风险管理,无法完全满足新资本协议对操作风险管理的要求。在引入操作风险管理体系后,下列原本无法回答的问题,将可迎刃而解。1.1.银行银行通过通过内部控制制度管理内部控制制度管理及及监控所面对的风险监控所面对的风险时,时,如何知悉或确保如何知悉或确保控制措施是否已足够控制措施是否已足够或有效或有效?2.2.银行实际面对的操作风险暴露有多高银行实际面对的操作风险暴露有多高? ? 目前目前是不是已经将操作风险暴露控制在可以承受的范围内是不是已经将操作风险暴露控制在可以承受的范围
8、内? ?3.3.操作风险暴露在银行内的分布状况操作风险暴露在银行内的分布状况? ? 操作风险暴露高的风险,主要分布在哪些业务条线或网点操作风险暴露高的风险,主要分布在哪些业务条线或网点? ?4.4.如果单位或网点的操作风险暴露相对较高,如果单位或网点的操作风险暴露相对较高,是什么样的原因造成的是什么样的原因造成的?5.5.操作风险无处不在,操作风险无处不在,用检查的方法找出问题点来进行整改的这种模式,覆盖的范围是不是不够全面用检查的方法找出问题点来进行整改的这种模式,覆盖的范围是不是不够全面? ?原本的内部控制制度操作风险管理体系的主要特色操作风险管理体系的主要特色 是一套科学的管理体系科学的
9、管理体系,它将操作风险管理转变为系统化、架构化、转变为系统化、架构化、并可不断良性循环的管理体系并可不断良性循环的管理体系;同时,将操作风险转变为可量化、将操作风险转变为可量化、具可比性、且可与容忍度相互匹配的工具具可比性、且可与容忍度相互匹配的工具。 将操作风险管理由被动式的管理转变为积极主动式的管理由被动式的管理转变为积极主动式的管理,并强调风险发生单位的常规性自我诊断与自我完善常规性自我诊断与自我完善。 通过三大工具三大工具实践操作风险的识别、评估、监测、控制与缓释。 落地到银行所有的单位与网点落地到银行所有的单位与网点。 操作风险管理状况与资本计量紧密衔接与资本计量紧密衔接( (高级法
10、阶段高级法阶段) )。嵌入的操作风险管理体系 2009 Deloitte Touche Tohmatsu架构化与科学化的操作风险管理方式:示例架构化与科学化的操作风险管理方式:示例8板块板块业务业务A A分行分行B B分行分行C C分行分行D D分行分行E E分行分行F F分行分行公司版块公司授信公司理财资产保全会计板块会计国际板块国际业务待完成科学化与架构化的操作风险管理体系后,银行将可通过三大工具的实施,实时了解银行的操作风险暴露状况(风险轮廓)。注:操作风险管理三大工具 (1) 损失数据收集 (LDC ; loss data collection), (2) 操作风险与控制自我评估 (R
11、CSA ; risk and control self-assessment), (3) 关键风险指标 (KRI ; key risk indicator)注:以上信号灯的显示依据本行操作风险偏好与容忍度所设定不能容忍警戒加强监控安全分行及中心的业务板块操作风险暴露分行及中心的业务板块操作风险暴露 2009 Deloitte Touche Tohmatsu架构化与科学化的操作风险管理方式:示例架构化与科学化的操作风险管理方式:示例- -续续9A A分行内所面对的固有操作风险类型分行内所面对的固有操作风险类型业务流程业务流程本类风险事件相关的RCSA、KRI及损失数据除了总体性的监控外,银行亦可
12、探究造成风险暴露高的原因。以本例而言,A分行所面对的众多操作风险中,内内部人员伪冒申请业务或服务部人员伪冒申请业务或服务的风险暴露为较高的项目。虽然无相关的损失事件发生,但依据RCSA的评估结果,本项风险的风险暴露落于警戒区域警戒区域且关键风险指标值也已置于不能容忍不能容忍的范围。 2009 Deloitte Touche Tohmatsu架构化与科学化的操作风险管理方式:示例架构化与科学化的操作风险管理方式:示例- -续续10在宏观管理方面,除了风险暴露监控外,银行业务管理单位亦可据此分析辖下单位普遍较弱的控制点。以本例而言,A分行可监控辖下支行各项控制措施的落实程度,并知悉哪几种类型的控制
13、是应该全面加强执行力度。A A分行各支行的控制落实度自评结果分行各支行的控制落实度自评结果( (依据依据RCSA)RCSA)应特别关注的网点应特别加强执行力度的控制措施 2009 Deloitte Touche Tohmatsu11一套整合性的体系实现双达标的目的一套整合性的体系实现双达标的目的风险地图边界设置风险地图边界设置( (容忍度设置容忍度设置) )评估表单生成与确认评估表单生成与确认运营环境运营环境风险暴露评估风险暴露评估控制有效性评估控制有效性评估关键关键因素与因素与关键控制关键控制识别与筛选识别与筛选关键风险指标设计关键风险指标设计损失事件识别损失事件识别数据收集与监控数据收集与
14、监控通报与处理通报与处理内控梳理内控梳理风险与控制自我评估风险与控制自我评估(RCSA)(RCSA)关键风险指标关键风险指标(KRI)(KRI)事件详细信息收集事件详细信息收集损失数据收集损失数据收集(LDC)(LDC)提供参考提供基础我们将操作风险管理体系与内部控制体系整合成完整的单一体系,以一套管理流程实现不同的管理目的。自我诊断与完善自我诊断与完善预警信息监控与应对预警信息监控与应对事件收集与整改事件收集与整改内控评价内控评价风险监测风险监测整改与优化整改与优化 风险监测与应对风险监测与应对流程环节流程环节外部法规外部法规内部制度内部制度固有风险固有风险关键控制关键控制评价及测试表评价及
15、测试表单的生成单的生成与确认与确认测试及评价测试及评价 2009 Deloitte Touche Tohmatsu12内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素大纲大纲 2009 Deloitte Touche Tohmatsu子项目二:操作风险管理体系建设子项目二:操作风险管理体系建设项目范围说明项目范围说明13子项目三:内控梳理、内控评价及三大工具的试点及全行推广子项目三:内控梳理、内控评价及三大工具的试点及全行推广子项目子项目四四:操作风险管理信息系统业务需求规划与开发配合:操作风险管理信息系统业务需求规划与开发配合C.C.操作风险与控制分类
16、架构操作风险与控制分类架构 操作风险字典库 (4个维度) 控制字典库 流程架构(流程盘点表) 法规字典库 法规与流程、风险、控制关联性架构A.A.操作风险偏好及治理架构操作风险偏好及治理架构 操作风险偏好与容忍度体系 操作风险管理组织、岗位与职责B.B.操作风险管理制度操作风险管理制度 操作风险管理政策 操作风险三大工具管理办法 新产品与新业务评估管理办法 操作风险考核方案设计 操作风险常规性培训方案设计D. D. 三大工具实施及风险地图设定方法论三大工具实施及风险地图设定方法论子项目一:全行内控梳理子项目一:全行内控梳理A.A.内控梳理优化方法论设计内控梳理优化方法论设计B.B.全流程内控梳
17、理全流程内控梳理 ( (全行标准版全行标准版) )C.C.内控梳理成果应用内控梳理成果应用* * 内控梳理成果应用包括:设计内控台账、合规索引、违规基分管理以及进行审计手册控制点更新: 2009 Deloitte Touche Tohmatsu14以集中建立标准化模版再全面铺开的方式推进以集中建立标准化模版再全面铺开的方式推进14在达标时间十分紧张的状况下,将采用集中建立标准模版再全面铺开的方式将三大工具落地到全行所有单位及网点。采用此种方式,一方面可以加快推进的速度,另一方面也较能确保全面铺开时散布在各地的工作能保质保量的进行。全行全行性标性标准模板准模板A A分行分行B B分行分行.A1A
18、1支行支行A2A2支行支行.B1B1支支行行B2B2支行支行.全行标准内控梳理模板全行标准RCSA问卷全行标准业务板块KRI列表内控测试模板基于分行业务与管理特色,微调标准模版,生成分行使用的管理工具并同时制定相关准则A分行内控梳理模板A分行RCSA问卷A分行业务板块KRI列表A分行内控测试模板.支行/网点依循分行制定的标准,落实操作风险管理相关工作B分行内控梳理模板B分行RCSA问卷B分行业务板块KRI列表B分行内控测试模板 2009 Deloitte Touche Tohmatsu重点工作说明重点工作说明 ( (与业务条线相关的工作与业务条线相关的工作) )15标准模板建立标准模板建立阶段
19、阶段试点阶段试点阶段( (总行及试点分行总行及试点分行) )推广阶段推广阶段( (总行、分支行总行、分支行) )双达标验收阶段双达标验收阶段 内控梳理模板 RCSA模板 内控测试模板 内控评价模板 模板本地化(分行) 三大工具实施 内控测试与评价 模板本地化(分行) 三大工具实施 内控测试与评价 内部培训团队养成 内部考核 达标文档准备 现场检查前准备20102010年年1010月月-2011-2011年年2 2月月20102010年年1111月月-2011-2011年年4 4月月20112011年年4 4月月-2011-2011年年1111月月20112011年年6 6月月-2011-201
20、1年年1212月月工作阶段工作内容质量确保手把手执行手把手执行资源投入要求资源投入要求过程中沟通机制过程中沟通机制成果审核成果审核本项目工作内容中,与业务条线相关的工作以及相应的质量确保机制为: 2009 Deloitte Touche Tohmatsu补充说明:标准模板建立及试点阶段的资源投入要求补充说明:标准模板建立及试点阶段的资源投入要求 ( (银行端银行端) )16角色角色人员人员人数人数( (业务版块业务版块) )职责职责总行业务条线项目负责人总行业务条线资深专家1人牵头条线内所有相关工作(包括总行及分行)总行业务条线专家总行条线部门业务骨干1-3人作为核心人员,执行总行试点工作协助
21、本条线的分行试点与推广工作分行业务条线项目负责人分行业务条线资深专家1人牵头本分行条线内所有相关工作分行业务条线专家分行条线部门业务骨干2-4人作为核心人员,执行总行试点工作作为核心人员,执行分行试点工作协助本条线的支行试点与推广工作A A分行分行B B分行分行C C分行分行D D分行分行公司业务国际业务会计业务零售业务小企业业务.模式模式:在试点分行中,选派部份业务专家至总行参与标准模板的建立等工作优点:优点:(1) 确保总行标准模板符合分行实际 (2) 提高总行模板的 “标准度”(3) 减轻总行业务专家投入项目的时间压力 (4) 总行试点期间,同时培养分行试点时的内部培训师业务条线参与项目
22、的人员及职责在试点分行中选派专家参与总行标准模板的建立工作 2009 Deloitte Touche Tohmatsu17项目组与各业务流程负责人手把手完成相关工作项目组与各业务流程负责人手把手完成相关工作 ( (每位每两周平均完成每位每两周平均完成2-32-3项主流程项主流程) ) 星期一星期二星期三星期四星期五第一周集中培训集中培训( (流程分析表流程分析表) )流程分析表手把手实践(70%)流程分析表手把手实践(80%)流程分析表手把手实践(90%)流程分析表手把手实践(100%)业务板块小组研业务板块小组研讨会讨会( (共性问题共性问题探讨探讨) )集中培训集中培训(RCSA(RCSA
23、问卷问卷生成及内控测试模板建生成及内控测试模板建立立) )RCSA问卷生成手把手实践(30%)第二周RCSA问卷生成手把手实践(70%)RCSA问卷生成手把手实践(100%)内控测试模板手把手实践(20%)内控测试模板手把手实践(60%)内控测试模板手把手实践(100%)业务板块小组研业务板块小组研讨会讨会( (共性问题共性问题探讨探讨) )工作成果质量检查工作成果质量检查送审稿准备送审稿准备注注 : : 德勤顾问将依据前期工作成果,德勤顾问将依据前期工作成果,事先完成事先完成60%-70%60%-70%的流程分析表的流程分析表通过手把手执行的方式达到知识转移的效果通过手把手执行的方式达到知识
24、转移的效果- - 以总行某业务板块内控梳理、以总行某业务板块内控梳理、RCSARCSA问卷及内控测试模板制作为例问卷及内控测试模板制作为例执行期间:执行期间:6 6周周项目组投入人力:项目组投入人力: 4-6 4-6人人业务部门投入人力:约业务部门投入人力:约4-64-6人人 (20%(20%工作时间进行手把手培训工作时间进行手把手培训) )注 : (%) 表示完成进度 2009 Deloitte Touche Tohmatsu中信银行操作风险管理体系建设特色中信银行操作风险管理体系建设特色18与国内其他股份制商业银行相较,中信银行所建立的操作风险管理体系将具有以下的特色:整合的整合的劳动节约
25、的劳动节约的科学的科学的创造价值的创造价值的双达标的双达标的兼顾宏观兼顾宏观与微观的与微观的 2009 Deloitte Touche Tohmatsu内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素大纲大纲 2009 Deloitte Touche Tohmatsu建立事前评估及预警机制建立操作风险轮廓监控机制操作风险管理体系建设的预期效益操作风险管理体系建设的预期效益( (五大效益五大效益) )20提高操作风险管理意识建立风险管理的双确保机制整合性内控梳理机制与成果避免重复劳动,兼顾合规、操作风险、内控管理需求的常规化内控梳理机制。全行透明的,能与业
26、务及单位容忍度结合的操作风险暴露监控机制通过定期的自我诊断与自我完善的过程,提高业务实际管理及操作者的操作风险管理意识。通过关键风险指标的设计及监控以及RCSA的执行,建立事前的评估及预警机制,降低操作风险事件发生的可能性。通过积极主动性的RCSA机制及防范性的内控测试与检查机制的有机整合及搭配机制,建立风险管理的双确保机制。 2009 Deloitte Touche Tohmatsu21项目难点与挑战项目难点与挑战2011年底双达标要求全行的动员全行的动员 操作风险管理建设项目牵涉到所有的操作风险管理建设项目牵涉到所有的业务条线及分行。相关单位是否能快业务条线及分行。相关单位是否能快速的动员
27、,并让资源有效到位,是值速的动员,并让资源有效到位,是值得担忧的一项问题。得担忧的一项问题。信息系统实施信息系统实施 操作风险管理系统实施方案是否能快操作风险管理系统实施方案是否能快速决定、未来体系建设成果是否可平速决定、未来体系建设成果是否可平顺的导入系统以及系统是否可于全面顺的导入系统以及系统是否可于全面推广前上线使用等均是值得担忧。推广前上线使用等均是值得担忧。常规化且落到实处的体系建设常规化且落到实处的体系建设 操作风险管理体系建设目的不是只为操作风险管理体系建设目的不是只为了达标,更重要的是能实实在在对提了达标,更重要的是能实实在在对提升操作风险管理起到效果升操作风险管理起到效果达标
28、日程达标日程 达标时间十分紧张。明年第一季要经达标时间十分紧张。明年第一季要经历预评估的过程,第三季度必须要通历预评估的过程,第三季度必须要通过银监会的审核;内控达标另需考虑过银监会的审核;内控达标另需考虑年度补充测试年度补充测试(2011(2011年底至年底至20122012年初年初) ) 2009 Deloitte Touche Tohmatsu操作风险管理体系建设项目的关键成功要素操作风险管理体系建设项目的关键成功要素高级管理层的支持总行业务条线及分行领导的高度参与业务经营与管理单位对于体系建设的内容为将来日常管理的一部份的正确认识业务经营与管理单位指派熟悉部门业务的流程专家或负责人参与项目有关工作清晰且覆盖全行的操作风险管理岗位及相关岗责的及时建立操作风险管理信息系统的及时到位22 2009 Deloitte Touche Tohmatsu
