RBS操作风险管理

FredBell中国银行风险管理合作项目负责人操作风险管理操作风险管理目录什么是操作风险RBS组织结构和方法操作风险管理框架操作风险管理手册操作风险报告内控什么是操作风险“由于内部流程、人员和系统不完善或失败，或由于外部事件引起损失的风险”来源：巴塞尔协议“由于人员差错、无效或设计不充分的流程、系统和不当行为（包括犯罪行为）造成的损失”来源:RBS什么是操作风险–示例未经授权员工进入分行电脑系统–内部欺诈业务数据输入错误–罚息新产品太受欢迎-客户服务延迟、服务成本增加和客户不满分行反洗钱工作没有重点，反洗钱效果差–监管当局罚款自然灾害危及员工安全，引起业务中断–网点关闭、客户不便和服务中断什么是操作风险作为业务一部分的操作风险无处不在.可能由于内部或外部因素引起.可能出现在多个部门。

操作风险是经营不可避免的因素。无法完全消除，只能尽可能减少。操作风险影响具有隐蔽性，不容易测算。和其它风险类别不同，操作风险往往由多个原因造成，不易识别。操作风险到处存在。业务流程或系统设计不合理（无论该系统是支持信贷审核，还是防范欺诈）都会造成操作风险损失。业务流程的改变也会引起新的操作风险什么是操作风险管理?操作风险管理是识别和理解业务流程中的操作风险的敞口，而不是完全避免之。必须制定操作风险管理战略：规避、转移、缓释还是接受。.只要理解风险、意识到风险、有透明的披露和充分的监控，接受操作风险也是操作风险管理的一个可能战略。操作风险随着人员、流程、外部因素和系统改变而不断改变，需要联系评估和监控保证业务部门在理解风险的前提下进行决策。必须根据风险与收益配比的原则进行管理操作风险管理是前瞻性的－未来有哪些风险可能影响业务。但是管理的依据是对过去发生的风险的原因和损失的分析。操作风险管理需要企业文化的改变－不可能在一夜之间发生。操作风险管理职责操作风险管理人人有责，但职责不同。业务部门对操作风险管理最终负责。操作风险管理专家负责支持业务部门理解和评估操作风险。其它部门专家负责制定有关具体类型操作风险的政策和流程。这些部门包括.:反欺诈–监察部法律–法律合规部合规–法律合规部人员–人力资源部系统/信息安全–信息科技部操作风险管理的对象财务影响客户或员工影响声誉影响原因原因原因Controls预防性调查性纠正性Risk事件

RBS组织框架和方法RBS集团组织架构SirFredGoodwin集团首席执行官财务管理JohnBaines,CEO公司市场JohnnyCameronCEOAlanDickinson,CEOUK英国公司市场部(UKCB)BrianCrowe,CEO全球银行市场部RBS保险AnnetteCourt,CEO集中处理重新MarkFisher,CEOCitizens(美国)LarryFish,总裁兼CEOUKEuropeUSAsia爱尔兰英国欧洲美国亚洲英国欧洲美国亚洲英国欧洲美国Ulster银行CormacMcCarthy,CEO零售市场及直接银行业务部GordonPell,CEO零售银行ChrisSullivan,CEO零售银行卡欧洲直接银行业务Tesco个人金融公司消费信贷集团办公室RBS操作风险险管理框框架集团操作作风险部部部门公司市场场部个人银行行集中处理理部门RBS保险UlsterCitizens风险管理理职能部部门业务发起起部门风险管理理单位财富管理理直接金融融操作风险险管理程程人员配配置部门2006年配配备人员员集团操作作风险55公司市场场部60零售市场场（含含直接金金融和财财富管理理)390集中处理理部105RBS保险45Ulster(爱尔兰)28Citizens(美国）12操作风险险管理总总员工数数675操作风险管管理框架操作风险管管理框架RBS操作风险管管理框架(ORMF)提供了进行行操作风险险有效管理理的框架结结构。该框架的目目的是:对本集团面面临的由于于人员差错错、流程设设计缺失或或不充分，，系统失灵灵或不当行行为引起的的损失风险险敞口进行行管理;协助管理层层和员工在在操作风险险关流方面面的履职工工作建立全行统统一的操作作风险管理理最低标准准（包括指指引和相关关技术），，确保操作作风险政策策、原则和和流程的充充分性和有有效性。操作风险管管理框架––关键键要素治理机制确定信息流流动和决策策权利的正正式的结构构职责确定各部门门和业务单单位的职责责。管理层层和员工应应正确理解解其职责，，并具有相相应的能力力和经验完完成操作风风险管理政政策和流程程的要求。。政策、原则则和指引宣传操作风风险管理最最低要求指引应规定定自我评估估方法（内内部认证））概要–治治理机制制董事会集团行政管管理委员会会集团风险管管理委员会会集团风险管管理部部门操作风风险管理团团队集团审计委委员会部门风险委委员会授权确定操作风风险偏好建议战略、、批准控制制、管理绩绩效审核设计框架、、趋势和集集团操作风风险状况监监控、质量量评估添加部门管管理层和业业务控制环环节、监控控部门操作作风险状况况职责–业业务部门门部门首席执执行官(CEO)部门首席执执行官对他他/她所在在部门业务务中所有操操作风险的的管理负责责。包括建建立符合操操作风险管管理手册中中最低要求求的部门操操作风险管管理框架，，并对季度度自我认证证结果签字字确认。业务单位和和条线管理理部门负责业务条条线日常操操作风险管管理工作。。该工作必必须是充分分和有效的的。部门操作风风险管理团团队协助部门管管理层制定定、维护和和监察本部部门操作风风险管理框框架（包括括风险管理理工作漏洞洞和风险状状况变化的的监控）职责责––总总行行集团团风风险险管管理理部部负责责制制定定和和维维护护集集团团操操作作风风险险管管理理框框架架和和标标准准，，并并通通过过操操作作风风险险管管理理手手册册为为基基础础的的原原则则和和技技术术的的适适用用达达到到这这一一标标准准。。集团团稽稽核核部部对集集团团和和部部门门操操作作风风险险管管理理的的充充分分性性、、有有效效性性和和连连续续性性进进行行独独立立检检查查。。.专家家部部门门（（如如人人力力资资源源部部、、反反欺欺诈诈部部和和信信息息安安全全部部门门））在其其领领域域提提供供具具体体的的专专业业技技术术和和技技能能支支持持，，帮帮助助操操作作风风险险识识别别、、评评估估、、监监控控和和缓缓释释。。集集团团建建立立各各领领域域专专家家小小组组，，帮帮助助集集团团和和部部门门操操作作风风险险管管理理团团队队进进行行操操作作风风险险的的全全面面管管理理。。操作风险管理理手册识别评估监督和报告缓释回避转移通过控制缓释结束作为剩余风险KRI损失数据可能性影响度外部事件新产品收购业务流程改变识别由于犯罪活动动、人员差错错、设计流程程不充分和不不当行为等原原因造成损失失的风险敞口口评估操作风险发生生的概率（频频率）及其影影响的大型小小（财务影响响，员工、客客户和声誉影影响通过以下方式式缓释风险:规避风险,在操作流程中中实施控制（（内控环节））;将风险转移到到更能管理该该风险的部门门或集团外部部机构；接受剩余风险险，将其造成成的损失计入入业务成本.监控和报告剩剩余操作风险险敞口（集团团可能遭受损损失的敞口）），确保业务务流程对操作作风险的持续续管理，并及及时识别信的的操作风险和和需要采取的的行动。操作风险管理理周期操作风险管理理手册操作风险管理理手册描述了了我们执行操操作风险管理理框架的政策策、原则和核核心流程。手册包括以下下流程:风险与控制评评估操作风险事项项日志剩余操作风险险数据库操作风险有效效性检查内部损失数据据搜集业务流流程改改变操操作风风险评评估手册还还配有有指引引，方方便执执行。。.配有执执行所所需的的模板板和表表格。。.手册册与与现现有有操操作作风风险险管管理理流流程程互互为为补补充充(如如集集团团新新产产品品审审批批流流程程).风险险与与控控制制评评估估风险险与与控控制制评评估估目的的是是为为了了对对业业务务中中的的风风险险和和风风险险缓缓释释措措施施进进行行评评估估，，并并对对操操作作风风险险管管理理的的充充分分性性进进行行评评价价。。包包括括缺缺失失或或设设计计不不充充分分的的控控制制环环节节的的识识别别。。该流程的最低低要求是:涵盖所有业务务领域;识别业务所有有者(即风风险所有者);识别所有实质质性业务流程程;识别和评估所所有实质性业业务流程的风风险的发生概概率和影响度度;识别和评估风风险缓释措施施的充分性;识别需要连续续监控的关键键风险指标;和对操作风险根根据集团操作作风险统一分分类表进行分分类风险与控制评评估(含关关键风险指标标)事件报告重点点损失数据重点点事件报告和和数据搜集集损失事件分分类（示例例）自然或人为为灾害健康、安全全与人力资资源管理事事件未经授权的的行动(内部）未经授权的的行动(外部）供应商失误误违规和违反反委托关系系行为处理错误事件操务影响客户与员工工影响声誉影响原因原因原因风险原因风风险（示例例）)人员流程IT系统财产业务环境、政治监管影响度分类类（示例））)重大严重重要次要操作风险报报告操作风险报报告–原原则‘银行应对操操作风险状状况和实质质性风险损损失进行定定期监控。。监控结果果应以适当当方式向管管理层和董董事会报告告，以支持持积极的操操作风险管管理工作。。.’巴塞尔委员员会报告应及时时准确清晰一致连续进行操作风险报报告–最最初步骤骤理解信息需需求理解为什么么需要信息息理解信息的的作用理解需要信信息的频率率理解目前能能做到的现现实情况建立长期、、连续的报报告模式和和内容RBS操作风险内内部报告集团操作风风险管理部部编制月度度操作风险险报告集团操作风风险部报告告内容:关键事件和和领域风险险状况总结结，及其风风险偏好情情况:收购、出售售和转移（（或购入））业务部门门新产品,新监管规定定和立法,欺诈和抢劫劫网点发生生的增加各部门报告告:各部门重要要风险事件件和风险状状况变化剩余风险的的实质性改改变内部控制的的充分性和和有效性月度重大事事件数据审计结果操作风险报报告–基基本模式式每月报告欺欺诈案件的的数量、金金额、挽回回金额，分分为:内部欺诈外部欺诈信用卡欺诈诈操作风险损损失事件的的数量和（（毛）净额额:原因业务条线/事件发发生部门总行稽核部部稽核结果果汇总/发发现的控控制问题。。包括:原因业务条线/问题发发生部门发现问题的的严重性洗钱损失事事件的数量量和（毛））净额:原因业务条线/问题发发生部门操作风险报报告–高高级模式式报告应包括括事件情况况、趋势分分析，数据据评价，以以帮助业务务部门做好好关键事件件及其业务影响分析。。报告内容应应包括：出现问题领域域(内部和和外部)关键事件损失数据、欺欺诈和不利影影响分析风险状况:-总体风险水平平变化-风险控制有效效性改变-剩余风险改变变(使用关关键风险指标标等反映)RBS–内部与外部报报告报告要求RBS集团操作风险管理框架审计委员会行政管理委员会和董事会集团管理层-(自我认证流程)SoX404法律巴塞尔协议要求监管当局原则1业务流程对操作风险管理的充分性必须定期检查，并通过正式程序进行季度确认。.原则4必须每季度对业务流程操作风险控制的有效性进行评估。为此所有业务部门必须:建立连续的测试方案搜集和分析损失数据

原则3

超过风险容忍度的剩余风险并须制定相应的解决行动。必须对该行动的进行实施连续的监督。

原则2.业务部门必须确定可接受剩余风险（即实施了控制后的风险水平）水平，并进行书面记录并由部门负责人签字确认。原则五–必须严格遵守集团现有操作风险管理流程外部报告内部报告本行致力于贯彻包括政策、流程、程序和技术在内的操作风险管理框架，从而实现本集团操作风险成本有效、统一协调的识别、评估、缓释、监控和报告；防止由操作风险造成的财务、声誉、客户、员工等方面的损失，并满足监管和法律要求内控概述也称三道防线线内控–案案例研究由经验引起的的检查行为RBS曾一度受到很很大的欺诈案案件损失(和英国其它它银行一样)RBS业务部门负责责人决定采取取行动发现银行内部部某些流程较较容易受欺诈诈袭击这些流程是:开户接受存款付出资金授信内部销帐系统进入员工雇用背景景调查内控检查所有业务部门门必须检查以以上七个流程程有多少和他他们相关对关键键业务务流程程进行行图示示.识别并并记录录每一一流程程环节节的控控制测试控控制框框架的的充分分性和和有效效性所有控控制都都要有有测试试计划划每季度度对银银行流流程内内控的的有效效性和和充分分性进进行测测试，，并颁颁发测测试证证书每一部部门的的负责责人应应签字字确认认季度度测试试认证证证书书内控认认证内控认认证主主要关关注提提高风风险管管理意意识和和改善善RBS内控机机制。。需要要提高高的三三个关关键领领域是是:确定控控制设设计的的充分分性建立风风险意意识和和文化化测试控控制的的有效效性控制示示例开户所有与与开立立新帐帐户有有关的的文件件都应应进行行独立立检查查测试理理由银行要要满足足开户户方面面的监监管要要求，，识别别客户户身份份。否否则会会被罚罚款或或吊销销营业业执照照。因因此必必须由由网点点经理理或其其它有有资质质的人人员进进行检检查，，保证证满足足FSA要求。。示例内部销销帐网点所所有帐帐户必必须检检查。。.对某些些帐户户的特特定分分录进进行抽抽查通过电电脑系系统打打印本本网点点行号号项下下所有有荡帐帐（内内部））帐户户记录录－