省分行操作风险培训2关键指标010.ppt

《省分行操作风险培训2关键指标010.ppt》由会员分享，可在线阅读，更多相关《省分行操作风险培训2关键指标010.ppt（72页珍藏版）》请在三一文库上搜索。

1、四川分行操作风险管理工具暨系统推广应用培训班 KRI、LDC 、RCSA,风险管理部,2010.2 成都,关键风险指标（KRI） 损失数据库（LDC） 控制自我评估（RCSA）,2,一、关键风险指标（KRI）：定义,3,什么是指标？,指标是对客观世界的数字化描述。,一、关键风险指标（KRI）：定义,4,KRI (key risk indicator) 用数字掌控风险,操作风险,关键风险指标,数字,通过设置统计变量，即风险指标，对风险成因、风险控制、风险结果等事项进行跟踪测量，通过这些指标的数量大小及数量变化，反映风险状况、预测风险趋势、识别风险征兆。,一、关键风险指标（KRI）：定义,5,06

2、年6月至08年1月，风控系统对科维尔的各种交易发出了75次警报，07年发现可疑交易67次，随着交易量膨胀，警报越来越频繁，平均每月5次以上。,案例,如果指标设计适当，指标可以与风险产生联系， 从而预测、预警风险,一、关键风险指标（KRI）：定义,6,风险指标是指用来考察银行的风险状况的统计数据和或指标，对这些指标要进行定期审查，以提醒注意银行有关风险的可能变化 。 巴塞尔委员会操作风险管理与监管的稳健做法 ,代表某一风险领域变化情况并可定期监控的统计指标 。 银监会商业银行操作风险管理指引 ,一、关键风险指标（KRI）：定义,7,频率,严重程度,广泛来说，任何能反映某一风险信息的变量都可以作为

3、风险指标。那么什么是“关键”的风险？,ATM侧录,信用卡虚假申请、套现,挪用、受贿、内部欺诈,低频高损,低频低损,高频低损,高频高损,一、关键风险指标（KRI）：定义,8,怎样算“很好地”监测某类风险？,有效性,可比性,易用性,与风险相关，至少能够针对一种风险或风险的某个方面。 客观，用数字说话。,时间可比性、空间可比性。 标准统一。,容易理解，便于沟通。,一、关键风险指标（KRI）：意义,9,由定性向定量转变 由事后向事前转变 由孤立向联系转变,好,坏,亡羊补牢,未雨绸缪,一、关键风险指标（KRI）：分类,10,按因果维度分类：,例：ATM侧录,卡片、ATM 存在隐患,对ATM巡视 检查不到

4、位,客户索赔、起诉 媒体报导,卡片信息被盗,离行式ATM数量 IC卡比例,视频监控覆盖率 日巡查次数,被盗卡片数 诉讼标的金额,固有风险 - 控制 = 剩余风险,一、关键风险指标（KRI）：分类,11,按时间维度分类：,例：DDoS攻击,DDoS攻击发生,网络流量 CPU占用率,业务中断时间 延迟交易笔数,时间,一、关键风险指标（KRI）：分类,12,按综合/具体分类：,银行,外部环境,KRI,KRI,银行,KRI,KRI,一、关键风险指标（KRI）：分类,13,公司金融,商业银行,零售银行,支付结算,按业务产品分类：,内部欺诈,外部欺诈,.,KRI,KRI,KRI,KRI,KRI,一、关键风

5、险指标（KRI）：分类,14,人均柜面业务量,全行人均柜面业务量,支行人均柜面业务量,监测层级,高,低,总体一般状况,个别极端情况 发现高风险个体,按监测层级分类,在操作风险管理信息系统中，指标的监测层级包括支行、二级分行、一级分行、支行四种,一、关键风险指标（KRI）：KPI和KRI,关键绩效指标法(KPI)是检测并促进宏观战略决策执行效果的一种绩效考评方法, 它首先是企业根据宏观的战略目标, 经过层层分解后, 提出的具有可操作性的战术目标，并将其转化为若干个考评指标，然后借用这些指标，从事前、事中和事后多个维度，对组织或员工个人的绩效进行全面跟踪、监测和反馈。 KPI-业务发展速度如何？

6、KRI-业务面临什么风险？ 一些指标既可以作为绩效指标也可以作为风险指标，KRI与KPI的边界存在一定的重合。全面的绩效考核体系应当包含部分风险指标。在实施KRI的阶段，可以将一些KRI（特别是结果类指标、控制类指标）纳入绩效考核，进一步提高各级行、各部门自觉管控风险的意识，从而促进先导指标、成因指标的实施。,15,一、关键风险指标（KRI）：实施原则,KRI的实施必须立足于我行实际情况。 准确性是KRI的灵魂。 尽量通过系统来获取数据。 尽量获取能够被验证的数据。 KRI的实施必须保证动态性和灵活性。 风险在不断变化。 信息基础在不断变化。 指标需要不断改进。,16,一、关键风险指标（KRI

7、）：实施阶段,17,近期,远期,定量反映风险因素 定量描绘风险轮廓,持续监测风险指标 事前预警重大风险,中期,阀值调节风险控制 定量落实风险偏好,阀值3,阀值2,阀值1,措施1：开窗户,措施2：开电扇,措施3：开空调,系统建设 获取数据,数学、统计、 调研,一、关键风险指标（KRI）：实施流程,18,指标设计,指标使用,指标验证,预警值确定,删除,修改,KRI系统,一、关键风险指标（KRI）：职责,一级分行风险管理部门的职责： 1、负责辖域内KRI系统模块用户角色的管理。 2、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机构、业务产品、管理活动要及时调查分析，必要时要采取相应

8、的措施。 3、在季度、年度风险分析报告中，要描述主要指标的数值、指标值变化趋势、对异常指标值、指标预警的分析以及采取的措施。 4、在系统中及时录入需要一级分行录入的基础数据信息。录入本级机构的关键岗位人员基本信息（关键岗位人员的判定参照中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）。 5、监督辖域各机构对基础数据信息、关键岗位人员基本信息的录入，保证录入的及时性、准确性。 6、向总行提供对指标使用情况的反馈意见，推荐系统中尚未建立的指标。,19,一、关键风险指标（KRI）：职责,二级分行风险管理部门（或风险主管）的职责： 1、负责辖域内KRI系统模块用户角色的管理。 2、监测辖域各关键

9、风险指标的数值，对指标值出现异常或发生预警的辖域机构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。 3、在系统中及时录入需要二级分行录入的基础数据信息。录入本级机构的关键岗位人员基本信息（关键岗位人员的判定以中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）。 4、监督辖域各机构对基础数据信息、关键岗位人员基本信息的录入，保证录入的及时性、准确性。,20,一、关键风险指标（KRI）：职责,支行风险经理的职责： 1、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。 2、在系统中及时录入需要支行录入的基

10、础数据信息。录入支行本级及网点的关键岗位人员基本信息（关键岗位人员的判定以中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）。,21,一、关键风险指标（KRI）：系统,22,尽可能全面地 获取相关数据 并进行标准化,灵活地选取数据 建立、维护指标,一、关键风险指标（KRI）：系统,对于每个机构，录入员角色只能建立一个，风险部管理员角色可以建立一个或多个。 数据录入： 基础数据录入：频率为月或周（绝大多数是按月录入）。系统目前没有设置审核流程，但上级行可以查看下级行录入的数值。 关键岗位人员信息录入：录入的频率为月。系统设置了审核的流程。关键岗位人员详见中国农业关键岗位人员岗位轮换和强制休假

11、管理办法（试行）。 如果某数据当期没有录入，下一期可以补录，但系统会作为一次“上期缺失”统计。如果该数据在下一期补录，则系统不会将其计入“累计缺失”。如果在下一期仍没有补录，则系统将其计入“累计缺失”。对基础数据录入缺失的考核以“累计缺失”为准。 已录入的信息会保留在界面上，随时可以增、改、删，但每月1-5号可以提交（如果审核不通过要再次提交），如果5号没有提交，则系统自动提交，并算作一次缺失。,23,一、关键风险指标（KRI）：常用指标,人力资源指标：会计主管连续任职时间、支行行长连续任职时间、二级分行行长连续任职时间、分行辖域关键岗位未轮岗人数、分行辖域未轮岗率、初中及以下学历员工比例、四

12、十五岁以上员工比例 客服信息指标：投诉服务态度次数、投诉违规操作次数、投诉网点营业秩序次数、投诉业务差错次数、投诉规章制度次数、错帐查询次数、咨询机具作案次数、周每万笔交易被投诉次数、周每千人被投诉次数 会计监控：支行周抹账次数、支行周冲正次数、支行周抹账率、支行周冲正率、日终存在运送途中现金次数、休假柜员现金箱超限额次数 反洗钱指标：支行周本币大额交易笔数、支行周外币大额交易笔数、支行周可疑交易笔数,24,一、关键风险指标（KRI）：事后评价指标,25,一、关键风险指标（KRI）：回顾刚才的内容,定义、意义、分类。 实施的阶段、原则、流程。 各部门职责、系统。 常用指标和事后评价指标。,26

13、,二、损失数据库（LDC）：定义,27,人员,流程,外部事件,系统,损失数据库是在标准化的操作风险事件分类基础上，对银行已发生的风险事件进行确认和记录，并采用结构化的方式进行存储。损失数据的每条数据记录至少应反映风险事件的类型、发生时间、损失金额、产生原因、重要细节描述等主要属性。,二、损失数据库（LDC）：构成,28,损失数据包括内部损失数据和外部损失数据。 内部损失数据是收集的重点。 外部损失数据主要通过公开出版物或数据协会或行业协会提供的损失数据。,需要外部数据,二、损失数据库（LDC）：与风险报告的关系,29,报告系统,损失数据库,VS,收集外部损失数据,偏重于损失金额的管理，对损失进

14、行修正,对操作风险事件的标准化处理,报告系统中的操作风险事件都会转入损失数据库,数据的时间范围要大于报告系统,报告系统除了操作风险事件，还包括潜在风险等事项,二、损失数据库（LDC）：作用,30,监管合规基础及高级计量法模型的数据基础,定量评估操作风险状况的数据基础,业务部门诊断损失产生机理，分析损失分布,1,2,3,固有风险 - 控制 = 剩余风险,二、损失数据库（LDC）：难点,损失数据的分散性，以案件、法律纠纷、违规、群体性事件等表现形式分散在各个部门，收集的困难很大。 损失数据的滞后性，操作风险事件的损失逐步暴露或不断变化，很多案件、诉讼纠纷都持续了很多年。 同时以违规、案件或纠纷多种

15、形式发生，可能存在重复。 信贷违规都以不良贷款的形式出现，违规因素很难认定。 很多资料没有记载，时间越往前难度越大。,31,二、损失数据库（LDC）：实施,32,一级分行组织，二级分行为单位具体实施,二、损失数据库（LDC）：职责,33,二、损失数据库（LDC）：范围、原则、步骤,范围：2005年以来发生或发现的操作风险事件。 根据收集情况确定损失确认、风险分析的起点金额。 包含与信贷、金融市场等其他风险相关的操作风险损失事件。 收集的事件发生时间或发现时间为2005年1月1日后。 “零起点”收集事件。 操作风险事件的定义同操作风险报告管理办法。 原则：全面性、统一性、准确性。 步骤：收集事件

16、清单、损失确认 、风险分析、验证。,34,二、损失数据库（LDC）：收集思路,35,职能部门,一级分行,业务部门,风险管理部门,损失数据,损失数据,损失数据库 （未整理）,标记出重复数据并清理数据,损失数据库 （整理后）,总行,风险管理部门,损失数据库 （整理后）,收集思路,二、损失数据库（LDC）：具体实施,36,损失金额“零起点”,1,重点使用各类事件管理系统,2,从损益明细账中获取,3,关键在于“找出来，收上来”,收集标准,+组织方式,二、损失数据库（LDC）：流程,37,整理损失事件清单,确定需要确认损失的事件范围,是否需要确认,损失确认,风险分析,验证收集全面性和准确性,是否全面准确

17、,是,补充损失事件,存在遗漏,损失不准确,【1】,【2】,【3】,【4】,【5】,【6】,二、损失数据库（LDC）：步骤1-确认事件清单,38,确定事件清单,1,收集掌握的违法违纪案件、违规、经济纠纷、刑事案件、信息安全事件等操作风险事件，形成操作风险事件清单,从本机构或本部门所掌握的法律成本、资产损失、监管罚没、对外赔偿、追索失败、账面减值等六类损失作为损失数据线索,操作风险事件清单,二、损失数据库（LDC）：步骤1-确认事件清单,监察部门：从违法违纪案件管理系统及档案资料中收集违法违纪案件、移交监察查处的违规问题（含信贷违规问题）。包括贪污、受贿、挪用及其他内部人员等职务犯罪等违法违纪案件

18、； 2005年1月1日后移交监察进行责任处理的其他违规问题（不含信贷）。信贷管理部从CMS信息查询系统中查询出2005年以后新发放（含还旧借新）的法人、自然人不良贷款清单提供给监察部，由监察部负责将其中认定责任人的不良贷款按户填写。 内控合规部门：从审计系统中收集2005年以来审计、检查发现的违规问题。 安全保卫部门：从安全保卫信息系统及档案资料中收集刑事案件、自然灾害、意外事故等。包括2005年后发生或发现的盗窃、抢劫、诈骗等刑事案件；2005年后发生的水灾、雪灾、地震、台风等自然灾害对我行造成财物损失或人员伤亡的事件，以及造成我行财物损失或人员伤亡的火灾、交通事故等意外事故。 法律事务部门

19、：从经济诉讼案件管理系统（法律事务系统）和档案资料中收集诉讼案件。包括2005年后以我行为被告（含仲裁）的事件；2005年后发生的我行垫付诉讼费形成损失的主诉事件，包括已经剥离的垫付诉讼费。 信息技术部门：2005年后发生的需要上报省行、总行的信息系统中断事件或总行、省行通报中反映的信息系统中断事件；因系统中断、堵塞或交易处理错误（如网银重复扣款）而产生的与客户纠纷；因外部病毒攻击或者第三方程序的后门、木马等等造成的事件；因意外事故（雷击、洪水、断电）、人为破坏（内部、外部都有）等原因产生IT设备损坏事件。 综合管理部门：地震、洪水、台风等；造成我行财产损失、人员伤亡或对外赔偿的火灾、交通事故

20、；造成我行员工伤亡的公共卫生事件；暴力造成我行财产损失、人员伤亡的事件；群体性事件；金融挤兑。 财务会计部门：按照2005年、2006年、2007年、2008年、2009年年度损益表的931011、9310112、931013、9310138、934011、934012、934042、935011下余额逐笔找出核算对应的事件。按照2005年、2006年、2007年、2008年、2009年业务状况表中35301、35302、35303、35304、35305、35399、35401、35499、35999项下按本期借方发生额逐笔找出核算对应的事件。财务会计部门将2005年至今未在以上业务状况表科

21、目中反映的，但确属操作风险损失的数据，找出核算对应的事件。财务会计部门将上述收集到的三类事件进行汇总，形成表2-1 财务会计报表反映的操作风险损失事件清单。,39,二、损失数据库（LDC）：步骤1-确认事件清单,在2005年后形成的凡是存在认定存在违规行为的不良贷款属于此次收集范围。 商业银行操作风险资本计量指引：对因操作风险事件(如抵押品管理缺陷)引起的信用风险损失，如已将其反映在信用风险数据库中，应视其为信用风险损失，不纳入操作风险监管资本计量，但应将此类事件在操作风险内部损失数据库中单独做出标记说明 。 对不良贷款中按与操作风险的相关性分配损失。 第一类：操作风险是不良贷款产生的直接原因

22、或主因。如由于欺诈、抵质押品管理失败产生的不良贷款（进行了责任人处理）。 第二类：不良贷款中存在违规因素，但不是主要原因（检查、审计中发现违规行为，但免于责任处理）。 已剥离的因操作风险事件产生的不良贷款也属于收集范围。,40,二、损失数据库（LDC）：步骤1-确认事件清单,风险管理部门合并清单： 1、重复的事件只保留一件。 2、删除掉发生时间和发现时间都早于2005年1月1日的事件。 3、删除掉事件清单中会计科目中反映出遗属补助、取暖费明显不属于操作风险事件范畴。 4、确认为操作风险事件后需要补充资料并填写台账。 风险管理部门把需要确认损失和分析的事件发给各部门。 需要确认损失和分析的事件不

23、包括：垫付诉讼费形成损失的主诉事件；事实经过简单、损失明晰的外部罚款；内控部门提供的违规问题中没有涉及金额或没有形成风险金额的一般违规问题。,41,二、损失数据库（LDC）：步骤2-确认损失,各负责部门按照风险管理部分配的事件清单，收集事件背景材料，要描述清楚操作风险事件发生的时间、经过和当前状况，“一事一单”填写操作风险损失事件台账，如果事件经过复杂的，需要另附文字材料说明。 各负责部门要确认事件当前的涉及金额、风险金额和损失金额、损失挽回额（不含保险回收）和保险回收金额和非财务影响。,42,二、损失数据库（LDC）：步骤2-确认损失,43,涉及金额,风险金额,核算金额,损失挽回,损失金额,

24、涉及金额指操作风险事件发生时直接涉及到的金额 风险金额操作风险事件发现时的所有仍未确定收回的金额，即风险暴露金额 损失挽回额（不含保险回收）指事件处理过程中通过追索、当事人赔付、资产冻结等手段收回的金额 损失金额损失金额指事件在处理完毕后仍产生的直接的（如固定资产损毁）或需现款支付的费用 保险回收金额指事件处理过程中通过保险公司赔付而收回的金额,二、损失数据库（LDC）：步骤2-确认损失,损失确认范围,44,二、损失数据库（LDC）：步骤2-确认损失,损失形态,45,二、损失数据库（LDC）：步骤3-风险分析,确定需分析的事件范围。先将损失事件清单按损失情况大小依序排列，确定需要进行分析的损失

25、起点。（损失起点按涉及金额、风险金额或损失金额根据情况确定）。 补充待分析事件的材料，识别风险点，分析风险防控体系被突破的原因。 分析事件发生的成因、事件类型、涉及到产品线。 填写操作风险损失事件台帐。,46,二、损失数据库（LDC）：步骤3-风险分析,47,二、损失数据库（LDC）：步骤3-风险分析,48,二、损失数据库（LDC）：步骤3-风险分析,49,风险点分析结果要填写风险点识别统计分析表。,二、损失数据库（LDC）：步骤4-验证,50,为确保损失事件收集全面和准确，通过各职能管理部门掌握的事件及财务会计核算操作风险损失的科目进行验证。验证由风险管理部门组织监察、安全保卫、法律事务、内

26、控合规、财务会计等部门进行。,实施小组必须组织省行相关部门对于此类事件必须逐一核实，检查试点二级分行是否存在遗漏,实施小组必须将试点分行报送的损失数据与该行的会计科目中核算的损失进行核对,各试点二级分行收集的事件,省分行监察、保卫、法律、审计等部门掌握的事件 各类事件、案件管理系统,一一对照,二、损失数据库（LDC）：回顾刚才的内容,损失数据库（LDC）的定义、构成、与风险报告的关系、作用、难点。 损失数据库（LDC）的实施流程、各部门职责、范围、原则、步骤。 流程详解。,51,三、RCSA：定义、目的、意义、作用,操作风险与控制自我评估（RCSA）是指业务及管理部门按照操作风险管理的基本原理

27、与标准，采用规范化的方法和手段，评估业务及经营管理活动各流程环节中操作风险大小，评价控制活动效果，并对控制活动进行优化改进的过程。 目的： 评估业务及经营管理活动各流程环节中的操作风险大小，对操作风险进行等级划分，区分高频低损、低频高损等风险，便于根据实际风险大小采取针对性控制。分析现有控制措施的实际执行情况，查找和评估现有控制措施的缺陷和不足，综合评价现有控制措施的不足或过度状况，便于采取更贴切和有效的控制。根据业务发展战略、风险偏好、盈利状况以及评估与评价结果，提出优化和改进控制活动的方案，并最终实施优化方案。 意义： 开展RCSA是银行实施新资本协议，开展操作风险监管资本计量必须要满足的

28、基本要求。开展RCSA是银行加快业务发展、提高运行效率、提升服务能力和收益的内在要求。从同业竞争方面，必须加快RCSA的推广和运用。 作用： 根据评估后的风险大小来确定控制活动，可以避免控制不足和控制过度，有助于优化业务及管理流程，提升服务效率和盈利能力。为案件防查工作提供方法和技术支持，从根源上查找并弥补控制缺陷，有效控制案件隐患及风险损失。建立覆盖全行各业务及经营管理活动的操作风险动态评估机制，实现操作风险控制的主动持续优化。为建立操作风险管理的关键风险指标（KRI）和操作风险计量奠定基础。提高员工参与操作风险管理的主动性和积极性，促进操作风险管理文化的形成。,52,三、RCSA：与其他管

29、理方式的差异-内控评价,53,内控评价 测试、校验整个内控体系建设是否符合监管要求、运行是否有效，是对整个内部控制体系进行的评价，与对整个风险管理体系有效性的评价相同。 银行界现今基本采用全面风险管理体系，内部控制评价已被融合在对风险管理体系的评价中。,目的方面,RCSA 发现具体的业务及管理活动中的风险、改进控制措施，避免控制不足和过度，要解决的是业务中的具体问题。,三、RCSA：与其他管理方式的差异-内控评价,54,内控评价 包括对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等内部控制体系五要素的评价。,对象方面,RCSA 对各项业务及管理活动流程中的风险点进

30、行评估，并对控制风险点的措施进行评价，只与内控体系五要素中的风险识别与评估、内部控制措施两个要素有关系。,三、RCSA：与其他管理方式的差异-内控评价,55,内控评价中评价风险识别与评估，主要是看被评价者是否建立了风险识别与评估的机制，是一种管理评价。,具体内容方面,内控评价中的内部控制措施要点评价，主要是看整个业务有没有按照规定建立控制措施、控制措施有没有得到执行，接近于管理评价与合规性评价。,RCSA则要具体识别出各项业务及管理活动中的风险并评估风险的大小、高低。,RCSA主要是看针对具体的风险点其控制是不足、适宜还是过度，有没有优化改进的空间，是根据风险来发现控制缺陷、评价控制效果。,内

31、控评价,RCSA,三、RCSA：与其他管理方式的差异-内控评价,56,内控评价 通常由审计部门来实施，采用测试等方式方法来验证内部控制体系（风险管理体系）的有效性。,实施者方面,RCSA 通常由业务部门自己进行，发现业务的风险、控制的不足与控制，优化和改进控制措施，实现业务健康稳健发展。,三、RCSA：与其他管理方式的差异-调研,57,三、RCSA：与其他管理方式的差异-检查整改,58,检查整改 检查整改是就单个问题进行纠错，把问题按照规章制度进行纠正。 属于就事论事，没有将这些单个问题集中分析，不能从更普通和更深的层面来解决一些规律性问题。,RCSA RCSA优化和改进控制措施的着眼点不仅仅

32、是解决个性问题。 更重要是通过收集、分析大量样本，解决制度、流程、岗位设置、人员配比、系统建设等更深层次的问题。 其目的不是单个问题的纠错和处罚，而是改进整体运行效率，平衡风险和收益。,三、RCSA：方式,调查问卷方式：问卷的基本结构一般包括四个部分，即说明、调查内容、编码和结束语。其中调查内容是问卷的核心部分，是每一份问卷都必不可少的内容，而其他部分则根据需要取舍。设计要求： 问题具体、表述清楚、重点突出、整体结构好； 确保问卷能完成调查任务与目的； 便于统计整理。 引导会议方式：引导会议方式是自评估人员将管理人员和操作人员的员工代表召集起来就特定的问题或过程进行面谈和讨论的一种方式。步骤包

33、括： 明确参加会议的评审专家。评审专家包括自评估业务所涉及的不同层级和不同岗位的相关人员：自评估部门、风险管理部门负责人、业务经理与经办人员等。 自评估小组召开会议，明确会议的主要议题与要求，自评估小组成员负责介绍前期工作成果，各参会人员充分发表意见。 自评估小组负责汇总专家意见，综合形成最终审定意见。,59,三、RCSA：支持条件,60,Cyber ,支持条件,制定下发了 操作风险报告管理办法 操作风险管理信息系统 中的风险报告和损失数据库,总行设计开发 操作风险管理信息系统,3 数据支持,1 评估对象,制定下发了 中国农业银行操作风险识别管理办法（试行）,2 系统支持,三、RCSA：组织流

34、程,61,RCSA总结报告 优化实施总结报告,制订实施方案 组织实施 效果评价,一级分行： 领导小组、实施小组 二级分行： 领导小组、工作小组,规章制度 内外部检查审计材料 操作风险事件、案件,三、RCSA：组织模式,62, RCSA组织模式一般分为由业务部门主动发起和风险管理委员会发起两种方式，但风险管理委员会发起的RCSA通常也是指定相应业务部门办理。 从发起层级来看，一般由总行或一级分行发起,“2”级机构 “4”个小组,三、RCSA：组织模式,63,二级分行RCSA领导小组,组 长：主管风险的行长 副组长：风险主管 成 员：业务主管、风险管理等相关科室主要 负责人、支行行长,二级分行自评

35、估工作小组,组 长：业务主管科室负责人 成 员：业务主管、风险管理等相关科室经 办人员、风险经理,三、RCSA：实施方案的制定,64,一个实施方案必须包括这 “8”个方面内容。这才体现出方案的可操作性。,实施方案是具体实施的指导,三、RCSA：培训,65,“5” 个内容， “3” 类对象,三、RCSA：资料收集,66,三、RCSA：实施流程,67,固有风险评估和控制活动评价 （含剩余风险评估）,固有风险识别,控制优化方案制定,RCSA,详细操作参见“3.RCSA的实施1,三、RCSA：控制优化方案实施,68,三、RCSA：总结报告,69,总行自评估小组和一级分行自评估实施小组负责RCSA工作进行总结并形成工作报告,三、RCSA：总结报告,70,三、RCSA：回顾刚才的内容,操作风险与控制自我评估（RCSA）定义、目的、意义、作用。 与内控评价、调研、检查整改的差异。 检查条件和组织模式。 简单介绍操作风险与控制自我评估（RCSA）的完整流程。,71,风险管理部,Thank You !,2010.2 成都,