1、操作风险管理介绍操作风险管理介绍Page 2操作风险管理的监管要求Page 3偿二代对操作风险的要求Page 4不达标当季达标连续4个季度达标连续8个季度达标核心偿付能力不达标0分0分0分0分当季达标连续4个季度达标连续8个季度达0分0分0分60分60分60分60分80分80分60分80分100分操作风险监管要求分类监管(10号文)量化风险 (100分,50%)综合偿付能力难以量化风险 (100分,50%)操作风险50%销售、承保、保全 (1/9权重)理赔 (1/9权重)再保险 (1/9权重)资金运用 (1/9权重)公司治理 (1/9权重)财务管理 (1/9权重)准备金管理 (1/9权重)案件
2、管理 (1/9权重)信息系统 (1/9权重)合规风险 (扣分项,1/9权重)流动性风险25%定量监管指标定性评估战略风险15%外部环境战略执行声誉风险10%公司声誉的外部环境公司声誉风险的历史数据可能导致声誉风险的外部因素战略制定外部因素评估项目评分标准权重占本类风险的比难以量化风险的比总风险的比权后评分标准保监会保监局操作风险销售、承保、保全业线10030%70%1/91/181/36100/36理赔业务线10030%70%1/91/181/36100/36再保险业务线100100%1/91/181/36100/36资金运用业务线100100%1/91/181/36100/36公司治理业务线
3、100100%1/91/181/36100/36财务管理10060%40%1/91/181/36100/36准备金管理100100%1/91/181/36100/36信息系统100100%1/91/181/36100/36案件管理100100%1/91/181/36100/36合规风险-100100%1/91/181/36-100/36小计100100%100%50%25%25(满分)操作风险监管要求分类监管(10号文)偿二代10号文分类监管评估细则提出了操作风险的评估标准与要求从以下几方面进行评估:内部控制评估各业务线的内部控制程序和流程、操作风险的历史数据、经验分布和发展趋势人员评估可能导
4、致操作风险的人员因素,包括招聘、解雇、培训、领导能力和持续发展规划、业绩管理、薪酬等系统评估公司信息系统存在的问题和风险,包括系统设计缺陷、软件/硬件故障或不足、信息安全和数据质量等方面的风险等;外部因素评估公司操作风险的外部环境,包括行业操作风险的总体水平和趋势;评估可能导致公司操作风险的外部因素,包括法律法规、监管政策、不可抗力等Page 5操作风险监管要求风险管理能力评估(11号文)损失事件业务条线损失形态风险成因后果严重程度等操作风险的定义与表现操作风险管理组织架构、权限和责任操作风险内部机制操作风险的管理方法与程序对操作风险进行分类管理。制定操作风险管理制度;操作风险管理政策应当与公
5、司的业务性质、规模、复杂程度和风险特征相适应,主要包括:建立操作风险管理的工作程序和流程,明确牵头部门及其他部门的职责分工。对经营活动中各个领域的操作风险进行识别与分析。对可能出现操作风险的业务流程、人员、系统和外部事件等因素进行识别和分析 识别销售误导、理赔欺诈、投资误操作、财务披露错误、洗钱、信息安全、系统故障等方面的系统风险;Page 6 从风险影响程度、发生频率与控制效率等方面对已识别的风险进行分析和评价;在新业务、新产品上线,流程和体系有重大变化时,及时开展针对性的操作风险识别与评估。Page 7操作风险特性及其管理工具Page 8操作风险,是指由不完善或有问题的内部程序、人员、系统
6、以及外部事件所造成损失的风险。其包括法律风险,但不包括战略风险和声誉风险。对企业的财务状况、客户/服务、员工、声誉、法律/监管等方面造成的不利影响操作风险事件,是指符合操作风险定义的由不完善或有问题的内部程序、人员、系统以及外部事件造成的事件。包含具体的时间、地点、情节、涉及的人员操作风险管理,是指对操作风险进行主动识别、评估、监测、控制或缓释、监测和报告的过程。该过程周而复始,也可称作操作风险管理循环。操作风险包括原因、事件及后果:原因:导致损失的缘由是什么 事件:时间、地点、情节、涉及的人员;及 后果:该损失对损益的影响。操作风险是潜在的;操作风险事件是已发生的。什么是操作风险操作风险的主
7、要特性内生性风险覆盖面大风险与收益无直接相关性风险与业务规模和复杂度成正比涉及部门广Page 9操作风险中的风险因素很大比例上来源于保险公司的业务操作,属于可控范围内的内生风险。操作风险管理几乎覆盖了保险经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏,也包括发生频率低、但一旦发生就会造成极大损失,甚至危及到保险公司存亡的自然灾害、大规模舞弊等。对于信用风险和市场风险而言,风险与报酬存在一一映射关系,但这种关系并不一定适用于操作风险。业务规模大、交易量大、结构变化迅速的业务领域,受操作风险冲击的可能性最大 。操作风险是一个涉及面非常广的范畴,操作风险管理
8、几乎涉及保险公司内部的所有部门。流程分析(风险与控制识别)风险与控制自我评估风险地图设置(容忍度设置)风险字典库建立/维护控制字典库建立/维护流程框架建立/维护分析与行动关键因子与关键控制识别与筛选损失事件识别基础工作风险与控制自我评估(RCSA)关键风险指标(KRI)分析与整改关键风险指标设计损失数据收集(LDC)通报、处理、数据收集综合性操作风险分析与报告提供基础提供参考Page 10自我诊断与完善预警信息监控与应对监控、分析与行动事件收集与整改操作风险管理工具什么是操作风险三大管理工具Page 11内部事件直接影响间接影响操作风险事件影响效果操作风险因子人员流程系统工作权责划分资格资质盘
9、点制度XXXXX外部事件控制措施操作风险字典库控制字典库操作风险实施的基础工作建立风险库操作风险是由因子、事件及影响效果三个要素所构成针对所面对的操作风险因子以及可能发生的操作风险事件,会设计一系列的控制措施来加以应对。总体来说,操作风险因子、事件及影响效果彼此间具有一定的关联性,且依据控制措施的设计目的及可发挥的功能,将可建立操作风险因子或事件与控制措施间的关联性。为了让公司对于操作风险与控制的定义有共同的沟通语言,并符合科学化风险分析的要求,需要建立一套适用于全公司的操作风险的字典库。操作风险Page 12操作风险实施的基础工作流程盘点销售承保理赔保全再保险财务行政人力资源准备金评估制定评
10、估方法投资收益率及折现率假设费用假设及其他精算假设确认评估假设精算基础数据及数据复核建立并运行精算评估模型检查计算结果产品定价财务会计 预算制定、跟踪 费用管理 会计核算 财务报告 应收保费管理实物、无形资产 资产采购 资产处置 折旧摊销 资产减值人事管理招聘解聘薪酬福利教育培训绩效考核业务初审核保调查系统核保人工核保网上承保报案立案初审复审争议处理档案管理网上理赔信息变更保单复效续期收费保单借款退保办理销售理赔精算保全再保险资金运用 现金 支票 资金上划下拨 系统对账有价单证公司治理公司治理 公司治理结构的设置 董事会、下设专业委员会及独立董事制度 监事会 审计委员会 公司治理结构信息的披露
11、 分子公司管理总公司各个分公司 征订、印刷入库 发放领用 单证核销 单证回缴 单证清点 单证销毁 人员控制中介渠道电话渠道直接销售银保渠道 合约分保 临时分保需求调研参数设定定价测算产品测试汇报审批发布上线行动计划风险与控制自我评估(RCSA)什么是操作风险 RCSA风险与控制自我评估(RCSA)是公司识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。RCSA主要包括以下几块工作:风险与控制识别RCSA工具中包含的具体元素Page 13评分计划及标准的设定风险清单风险地图设定综合说明表操作风险暴露与控制有效性评估风险评估问卷评分结果分析及调整风险地图未对入库
12、的单证进行入 例 验收及登记;未对出库库的单证进行登记;未对已使用的单证进行销号Page 14RCSA风险清单根据行业内最佳实践的的风险库进行风险事件描述的整合。风险清单综合说明表风险评估问卷风险地图流程序号12345保全保全保全保全保全风险事件保单退保率高/继续率低保单信息更新后未通知被保险人/未进行回访保单质押贷款的利息计算不正确保单质押贷款未得到适当审核保全申请未经复核6789101112131415161718192021222324252627282930保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全承保承保承保承保承保承保承保保全信息录入不准确不应该发放保
13、单质押贷款的险种亦发放了保单质押贷款发放的保单质押贷款金额超过保单现金价值的XX%非常规退保/免息复效未得到特殊审批给付金额计算不准确冒领保险金/保险金发放到错误的账号批单申请资料不真实、不完整批单未及时有效地传递至批单申请人涉及到条款/承保范围的变化没有递交核保收付费岗位与业务处理岗位职责分离不明确收付费用计算不正确违规批退伪冒领取批处理款虚假批单犹豫期退单率高越权审核批单质押贷款保单中止不及时代理人代签保全申请保单未经核保即承保保费收取录入不真实、不准确保费收入入帐不及时代理人代签投保单对承保风险评估不足对于寿险业务,未收款先承保发生孤儿保单情况,保费收入无法及时收取,后续服务无法妥善提供
14、流程序号3132333435承保承保承保承保承保风险事件核保不及时核保及录入为同一人核保确认的信息与保单信息不一致核保人权限设定不当核保人员资质不足36373839404142434445464748495051525354555657585960承保 核算错误导致财务信息不真实承保 侵占、挪用保费承保 特别约定不符合政策要求承保 投保人信息录入有误承保 投保资料不真实、不完整承保 续期保费未正确计算承保 续期管理未经固化,职责未细分落实到员工承保 隐瞒投保承保 应收保费回收不力承保 越权或盗用他人权限核保承保 收支没有分两条线承保 代理人收取的保费未及时上缴承保 回访结果记录错误/遗漏单证与
15、印章管理 私印协议及相关有价单证单证与印章管理示单证与印章管理 未设置专岗对单证进行妥善完整的保管单证与印章管理 未收回注销/作废单证的所有联单证与印章管理 无完善的单证管理规范单证与印章管理 系统外出单投诉管理 客服人员专业技能不足投诉管理 客户人员态度随便、不回答咨询问题投诉管理 投诉处理不及时,未及时跟进投诉处理结果投诉管理 未对客户投诉进行及时跟踪处理投诉管理 未对客户投诉进行记录投诉管理 未设立完善的投诉管理流程子子流流程程#流程流程步骤步骤#步骤说步骤说明明控制控制编号编号控制措施控制措施标的风险类型标的风险类型控制控制频率频率手手工工/系系统统控控制制预防预防型型/检检查型查型控
16、制控制负责负责部门部门负责负责岗位岗位风险风险事件事件类型类型编号编号风险事件描述风险事件描述风险因子风险因子类型编类型编号号风险因风险因子类子类型型单证管理7单证入库管理DZ-01对于单证的入库操作进行管理DZ-CA-01重要单证征订与入库重要单证征订与入库单证管理人员定期在单证管理系统中向太平人寿财务部提出征订申请,申请通过后接收重要单证并进行盘点。盘点无误后在系统中进行入库操作。目前入库未保证一人盘点一人复核。OR-401-04因重要单证如保单首页、保单发票发生丢失、损毁导致公司遭受损失YZ-02员工按需手工预防型作业部单证管理岗单证管理7单证使用管理DZ-02对于单证的日常使用进行管理
17、DZ-CA-02重要单证使用状态登记重要单证使用状态登记所有单证的使用都需在系统中对其使用用途进行说明。OR-401-04因重要单证如保单首页、保单发票发生丢失、损毁导致公司遭受损失YZ-02员工按需手工预防型作业部单证管理岗单证管理7单证使用管理DZ-02对于单证的日常使用进行管理DZ-CA-03作废重要单证处理操作作废重要单证处理操作对于作废的重要单证,由单证管理人员在系统中进行作废操作,并制作需销毁单证清单,根据专业公司要求将作废单证以及需销毁单证清单寄回专业公司。作废单证未加盖作废章。OR-103-05因内部人员伪造或变造重要单证(如保单发票、保单首页)进行业务申请或交易导致公司遭受损
18、失YZ-02员工按需手工预防型示作业部单证管理岗OR-602-04因外部人员伪造或变造重要单证(如保单发票、保单首页)进行业务申请或交易导致公司遭受损失YZ-04外部因素RCSA综合说明表RCSA综合说明表是流程分析的结果导出,是生成风险评估问卷的过程性文档。流程分析主要依据公司现有管理办法,操作手册等制度的梳理完成。Page 15风险清单综合说明表风险评估问卷风险地图控制控制固有风险评分固有风险评分控制评分控制评分剩余风险评分剩余风险评分类型类型编号编号类型类型概述概述控制控制措施措施编编号号控制措施控制措施系统系统自动自动控制控制控制控制范围范围事前事前/事事后后控制控制直接损失直接损失风
19、险风险暴露暴露设计设计落实落实度度控制控制有效有效性性直接损失直接损失间接损失间接损失风险风险暴露暴露(直直接损接损失失)剩余剩余风险风险落落点点调整调整后的后的风风险地险地图落图落点点频率频率严重严重度度频率频率严重严重度度声誉声誉严重严重受受损损监管监管行动行动运营运营中断中断广大广大客户客户服服务质务质量受量受损损员工员工安全安全CB140101工作程序中设计防欺诈的操作步骤IB-CA-102对于业务申请书、授权文书等资料,分支行柜面经办柜员须核对客户预留印鉴的真实性。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程
20、序中设计防欺诈的操作步骤IB-CA-307分支行须审核申请人提交的进口到单通知书及承兑/付款通知书是否经过签字并加盖预留印鉴。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-318分支行须审核申请人提交的对外付款/承兑通知书上的签章,并进行电子或手工验印经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-401对申请人提出的撤证申请,分支行柜面须核对撤证申请书签章是否与预留印鉴相符经了
21、解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制RCSA风险与控制评估问卷风险与控制评估(RCSA)结果示例风险与控制自我评估以下是风险与控制有效性评估示例,针对每一个控制措施,分别进行控制设计和控制运行的评估,从而控制有效性的综合评估情况。针对每一个操作风险事件,分别进行直接损失(频率与严重度两个角度)和间接损失的评估,从而得到操作风险暴露及其落点情况。风险清单综合说明表风险评估问卷风险地图料上的印鉴并未经过核印。Page 16固有风险评分控制的评分剩余风险评分风险与控制评分30,000,00060,000,00099,000,000300,00
22、0,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,465,70026,931,40044,436,810134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,400,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016
23、,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,121,0001,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,6
24、45,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000
25、RCSA风险地图操作风险事件可能带来的财务损失风险地图是将风险评估(RSA)中操作风险暴露评估结果与采取应对措施的联结工具,风险地图最主要的目的在于为操作风险暴露的评估结果带来管理上的意义。绿色区域(可容忍,不需另外采取应对措施):操作风险暴露落在安全区域,基于风险管理、成本与效益的考虑,视该操作风险暴露为业务经营的操作风险成本。黄色区域(可容忍,但应该加强监控):表示操作风险暴露落在需加强监控的范围内,相关单位应加强管理与监控的力度。橙色区域(可容忍,但应该采取应对措施):操作风险暴露已落在警戒范围内,相关单位应该立刻采取应对措施,以将操作风险暴露迅速降低至安全区域。(绿色或黄色区域)红色区
26、域(不可容忍,特别关注并采取应对措施):操作风险暴露已落在不可忍受的范围内,应特别关注,并采取强度较大的应对措施,将操作风险迅速降低至安全区域。操作风险事件可能发生的频率(未来一年内发生的次数)Page 17风险清单综合说明表风险评估问卷风险地图D.指标的使用原因事件后果可确定引发事件的主要原因事件发生事件发生对实现业务营运目标的影响原因预测性KI后果滞后性KI预防预测性KI监控滞后性KI缓释滞后性KI控制预防性控制监控、缓释性控制关键指标 (KI)关键指标应用:关键风险指标和关键控制指标可以帮助预测和识别风险,并反映风险控制措施的有效性和风险缓释的效果。通过使用关键指标可在实现风险预警的基础
27、上,制定行动方案以缓释风险。Page 18风险控制G.质量验证E.报告和监控确认关键E-G 监控阶段A-D,H 设置阶段H.关键指标的复评F.行动方案的制定与执行A.识别和定义C.设置关键指标阀值B.数据的收集和验证关键指标架构风险关键指标设计方案关键指标的基本建设渠道Page 19关键风险指标体系框架关键风险指标设计关键风险指标限额的设定指导型(事前)监控型(事后)金额多维度的分类产品控制型风险暴露型账户个数 时间监管型内部管理型比例关键风险指标监控关键风险指标报告关键风险指标调整安全不采取行动预警 相关部门查明原因启动行动计划 回到绿色区间危险 启动行动计划 重新评估该风险的影响程度、发生
28、概率和风险容忍度KRI的变化具有联动性,一个指标的变化可能会牵动多个指标的变化,因此行动计划会涉及多个部门 调整限额 关键风险指标的趋势变化状况;的调整限额的调整 关键风险指标值达到预警范围或危险范围的原因以及应对措施;对风险暴露普遍较高的风险点或是控制措施较弱的控制点进行分析并拟定应对计划;已启动行动方案的执行进度与实际效果。调整的原因 突破危险区间,基于成本与效益的考虑,调高或者调低危险区间的风险限额。风险偏好的 新产品、业变化 务上线 频繁突破预警区间;部门职责调整KRI控制效果不佳业务的周期特性管理流程发生变化指标具有多维度的分类;限额设定有多种方法。报告内容指标关键风险指标预警区间0
29、1/06/201215/06/201229/06/201213/07/201227/07/201210/08/201224/08/201207/09/201221/09/201205/10/201219/10/201202/11/201216/11/201230/11/201214/12/201228/12/201211/01/201325/01/201308/02/201322/02/201308/03/201322/03/201305/04/201319/04/201303/05/201317/05/201331/05/2013风险监控指标超出预警阈值风险监控指标超出监管限额Page 20
30、风险指标超预警报告风险指标超限额报告120110100908070605040突破预警边界逼近预警边界,指标变动超出接受范围指标变动处于可接受范围风险指标改进计划填报安全预警危险 不采取行动 监理可以容忍,发送指标预警通知 启动改进计划 相关部门、机构查明原因,一定期限内进行改进,将此指标恢复正常范围 监理不可容忍,发送指标超限额通知 启动改进计划 相关部门、机构在一定期限内(较短)将此指标恢复正常范围 重新评估该风险的影响程度、发生概率和风险容忍度 分析评估是否应调整限额改进结果报送改进计划审核和追踪改进结果审核和评估关键风险指标监控预警关键风险指标预警区间损失数据库 库Database)P
31、age 21(损失数据(LossDatabase)(1)报送单位(5)数据单位(2)报送内容(3)报送时间(4)报表币种(7)折算汇率(6)报送文件名(8)报送方式(9)数据调整损失数据库损失事件数据库是在标准化的操作风险事件分类基础上,对公司已发生的风险事件进行确认和记录,并采用结构化的方式进行存储,每条数据记录至少应反映风险事件的类型、发生时间、损失金额、产生原因、重要细节描述等主计分析,揭示公司操作风险变化趋势,预测某类风险的潜在可能性,为战略决策提供依据。填报要求要因素,分内,外部损失数据库。通过对内部历史数据进行统 通过对同业损失数据的分析比较,可以为日常管理及趋势预测提供数据支持,
32、并了解同业保险公司的经营动态和操作风险趋势。操作风险事件收集范围与程序损失数据收集范围 类型一:重大操作风险事件 类型二:损失金额达认定起点的事件保监会规定范围及本行特别关注的重大操作风险事件非第一类事件但总损失金额达到认定起点以上的事件1.保监会规定应收集的事件2.公司特别关注的事件。包含:监管机关处分事件、员工欺诈事件、员工安全事件、核心业务服务中断事件、重大信息系统安全或中断事件、影响本行对广大客户的服务质量以及严重影响本行声誉的事件。除第一类事件外,公司的损失数据收集至少应涵盖外部欺诈事件、实体资产损坏事件、操作失误事件。各部门可依据自身的管理需求,调低操作失误事件认定起点(注)和/或
33、扩大收集范围Page 22示防止操作风险损失事件发生三大工具的结合提升公司风险管理能力风险与控制自我评估(RCSA)提出并落实整改计划,损失數据收集(LDC)对于操作风险损失事件进行分析,按其相关的风险因子/控制类型/风险事件,将结果反馈至RCSA的评分之中关键风险指标(KRI)对于指标的结果,按其相关的风险因子/控制类型/风险事件,将结果反馈至RCSA的评分之中RCSA 使用RCSA评估工具,评估在承保环节下,保费转账错误可发生的损失金额和频率 在控制清单的基础上选择已使用的控制措施,并评估控制措施的执行效果 针对控制薄弱的环节提出行动方案据 连结RCSA评估结果设置KRI对风险点进行监控P
34、age 23LDC 例 在申报风险事件时可作为填写发生事件的业务条线、产品类别等内容的参考,KRI并可明确标示损失发生的流程环节 连结RCSA对承保流程中保费转账环节的 作为执行KRI定义及数据收集模板/KRI分风险评估结果,为损失数据收集提供依 析报表时的基准Page 24该类报告在内容上更侧重于针对性的总结某些特定领域的重点信息,简明直观的展示企业整体的操作风险管理概况,包括:整体的操作风险热图;汇总汇报所有具备高风险特征的业务线和分支机构;公司层面的关键指标监控结果;各分支机构的关键指标监控的例外情况报告;报告期内全公司范围内重大的操作风险事件信息和管理进展情况全公司范围内的损失数据分布
35、;操作风险资本计量信息。操作风险报告操作风险管理常规报告操作风险框架审阅报告操作风险特征关键指标监控损失数据分析重大风险事件ABCD132非定期报告操作风险管理高级管理层报告21该类报告存在于总公司层面和分/子公司层面:为报告使用者提供其所辖分行范围内各项操作风险管理的各项具体信息。2操作风险管理报告体系1定期报告一级流程二公司层面级流程1二内部环境级流程2二发展战略内级流程3二部信息传递内级流程4二部监督级流程5二级流程6二级流程7人力资源人力资源计划员工招聘与离员职工培训员工绩效管理薪酬管理风险管理风险识别风险评估风险应对资金现金管理银记录常规与行存款管理票据管理资金调拨费用财务管理与报告
36、非常规交易财务结账报表编制和披税露务流程预算管理财务系统管理采购支出采购计划与需合求同及订单管货理物验收与付供款应商管理固定资产固定资产购入固定资产处置固定资产实物固管理定资产维修一级二级内部欺诈外部欺诈越权三级一级运营人员超权限进行工作审批费用支出超过审批权限不相容岗位兼任二级业务运营流程销售流程三级宣传材料违规佣金手续费错误激励方案失误其他盗窃资产门店销售不合规其他内部盗窃与欺诈外部盗窃与欺诈编制虚假保单阴阳单贿赂与回扣承保流程承保信息错误手续与资料不完整违反承保政策或风勘不合规费用套取印章盗用单证遗失或未经审批使用利用保险洗钱虚假理赔销售第三方理财产品倒签单其他其他外部人员盗窃保险理赔欺
37、诈理赔流程人为调整未决估计重要理赔资料缺失赔案支付不正确外部原因导致通融赔付其他门店理赔不合规理赔案卷或案卷材料丢失代理人与中介机构欺诈代理人与中介机构欺诈门店保险理赔欺诈利用理赔洗钱其他门店欺诈其他门店费用套取黑客攻击再保其他再保信息错误自留额管理不合规一级流程二级流程设计不合理、不完善职责不明确流程执行不严格未建立严格的执行保证措施人员员工违规违法操作风险与内部控制的相关性内部控制内部控制体系的一、二级流程清单操作风险操作风险分类下二、三级风险分类操作风险库与内控风险点形成统一的风险清单,明确每个风险点的“风险成因”以及 “操作风险损失形态”统一的流程清单内部控制内部控制风险点操作风险操作风险清单采用内控的流程清单作为操作风险二、三级风险分类的划分依据。流程清单的一致性是内控与操作风险的管理基础统一的风险清单内部欺诈外部欺诈劳动关系与安全产品研发客户管理资产破坏运营及系统中断业务运营流程人员流程系统外部Page 25操作风险与内部控制的相关性行动计划风险与控制识别RCSA工具中包含的具体元素Page 26评分计划及标准的设定风险清单风险地图设定综合说明表操作风险暴露与控制有效性评估风险评估问卷评分结果分析及调整风险地图结合内部控制评价结果结合内部控制缺陷整改