《银行操作风险管理(BORM)解决方案.doc》由会员分享,可在线阅读,更多相关《银行操作风险管理(BORM)解决方案.doc(42页珍藏版)》请在三一文库上搜索。
1、银行操作风险管理(BORMP)解决方案银行操作风险管理(BORM)解决方案2011年05月邵磊35目 录第一章 概述11.1 背景简述11.2 操作风险概要11.2.1 定义界定11.2.2 特点及分类21.2.3 问题及现状31.3 方案意义51.4 预期目标61.5 参考依据7第二章 总体规划82.1 建设原则82.1.1 操作风险管理指导原则82.1.2 建设设计原则92.2 建设内容92.3 建设意义10第三章 总体方案123.1 总体架构123.2 业务框架123.2.1 风险控管策略123.2.2 总体业务框架133.2.3 风险管理标准、政策及规范133.2.3.1 标准规范制定
2、原则143.2.3.2 标准规范建设内容143.2.4 风险管控组织体系153.2.5 风险管控流程173.2.6 风险信息库模型183.2.7 风险管理平台访问结构193.3 功能体系203.3.1 风险管控203.3.1.1 风险识别203.3.1.1.1 风险定义分类203.3.1.1.2 风险调查213.3.1.1.3 风险映射213.3.1.1.4 风险定级213.3.1.2 风险评估223.3.1.2.1 关键风险点223.3.1.2.2 风险评估模型223.3.1.2.3 评估情景模拟233.3.1.2.4 风险全景地图233.3.1.3 风险损失数据233.3.1.3.1 损失
3、数据采集233.3.1.3.2 损失数据审查233.3.1.3.3 损失数据分配233.3.1.4 风险预警243.3.1.4.1 关键风险指标243.3.1.4.2 风险趋势模拟243.3.1.4.3 风险计划映射243.3.1.5 资本计量243.3.1.5.1 资本计量模型243.3.1.5.2 风险资本分配253.3.1.6 风险缓释253.3.1.6.1 风险缓释模型253.3.1.6.2 风险执行计划263.3.1.7 风险监管263.3.1.7.1 风险流程监管263.3.1.7.2 风险趋势监管263.3.1.7.3 计划执行监控263.3.1.7.4 损失事件析查263.3.
4、1.7.5 风险跟踪日志273.3.1.7.6 风险报告273.3.1.8 风险数据分析273.3.1.8.1 风险分布分析273.3.1.8.2 损失分布分析273.3.1.8.3 风险趋势分析273.3.1.8.4 风管状况分析283.3.1.9 风险应急处理283.3.1.9.1 应急事件处理283.3.1.9.2 风险应急预案283.3.1.9.3 应急模型模拟283.3.1.9.4 应急数据分析283.3.2 风险文化283.3.2.1 风险约束293.3.2.2 在线学培293.3.2.3 风险信息索引293.3.2.4 风险举报293.3.3 辅助工具293.3.3.1 内部邮件
5、303.3.3.2 短信平台303.3.3.3 即时通讯303.3.3.4 个人知识库303.3.4 系统管理303.3.4.1 组织机构管理313.3.4.2 用户管理313.3.4.3 权限管理313.3.4.4 数据字典313.3.4.5 配置管理313.3.4.6 流程管理313.3.4.7 日志管理32第四章 技术路线规划334.1 总体思路334.1.1 以金融基本支撑平台为基础334.1.2 标准开放的技术体系334.1.3 采用先进成熟的技术和产品334.1.4 平台化、模块化、组件化334.1.5 安全保密334.1.6 分层设计334.1.7 企业服务总线(ESB)344.
6、1.8 企业应用集成(EAI)344.2 技术路线344.2.1 采用开放标准的技术路线344.2.2 采用面向服务构架(SOA)的技术路线344.2.3 采用全程建模的技术路线344.2.4 采用基于大颗粒构件复用和基于平台的技术路线344.2.5 采用Web Service技术实现系统跨平台354.3 设计约束354.3.1 架构约束354.3.2 构件约束354.3.3 接口约束35第五章 系统平台建设路线规划36第一章 概述1.1 背景简述随着金融服务的全球化以及近年来信息技术在金融业的应用和发展,随着银行规模不断扩大、交易金额迅速放大、经营复杂程度不断加剧,银行业所面临的风险变得更加
7、复杂。由操作风险管理不足引发的风险损失事件层出不穷,对金融机构的操作风险管理提出了严峻的挑战。巴塞尔银行监管委员会于2004年6月发布了巴塞尔新资本协议,将操作风险正式纳入风险管理框架之内,并对国际银行业操作风险的度量和管理提出了更深层次的要求。目前,实施新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。为推进巴塞尔新资本协议在中国的实施,推动商业银行增强风险管理能力,提升资本监管有效性,中国银监会印发了中国银行业实施新资本协议指导意见,要求商业银行应实施巴塞尔新资本协议。并在近年来出台了一系列关于操作风险管
8、理的监管规章和指引,2007年出台商业银行操作风险管理指引,为我国境内商业银行建立操作风险管理体系提出了应对策略和方向。1.2 操作风险概要1.2.1 定义界定操作风险已经成为国际银行界关注的焦点,同市场风险和信用风险并列为三大风险,但对于其定义的界定却一直未能达成一致。目前,在国际上最具有代表性的有三种对于操作风险的定义,它们分别来自巴塞尔委员会,全球风险专业人员协会(Global Association of Risk Professional,GARP)以及英国银行家协会(British Banker Association,BBA)。根据2004年公布的巴塞尔新资本协议,操作风险定义为
9、由于不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险,包括法律风险,但不包括战略和声誉风险。在此定义之下,操作风险损失事件被分成了七类:内部欺诈、外部欺诈、雇员活动和工作场所安全性、客户产品及业务操作、实物资产损坏、业务中断和系统问题、以及执行、交易及流程管理。来自全球风险专业人员协会(GARP)的定义则将操作风险分为了操作失败风险和操作战略风险。操作失败风险是指在操作业务过程中发生失败而导致损失的可能性,操作战略风险则指的是由于环境的变化而导致业务或者流程失败的可能性。在两大类的下面,GARP又将操作风险细分为16类具体风险。英国银行家协会(BBA)则从操作风险产生的来源将操作风险
10、定义为“由于内部程序、人员、系统的不完善或失误,或外部事件造成直接和间接损失的风险”,并且从因素、行为和具体事件三个层次给出了操作风险损失事件的分类。1.2.2 特点及分类与信用风险和市场风险相比,操作风险主要有以下几个特点:l 内生性除自然灾害等外部事件引起的操作风险损失外,操作风险大多是在银行可控范围内的内生风险。l 广泛性操作风险的覆盖的范围相当广泛,与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行的业务和管理中。l 风险收益无关性对于信用风险和市场风险来说,风险越高,收益越高,存在风险与收益的对应关系,而操作风险和收益没有太多联系。虽然对于操作
11、风险的定义界定存在着几种不同的认识,但总的来说,具有一个共识,即操作风险的来源可以划分为四类因素:人员、流程、系统以及外部事件。因此,据此操作风险主要表现为以下需加以识别和管理的四种类型。(一)、人员因素主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的,如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征,因而非常难以防范。人员因素
12、引发的操作风险,有的是作为,如主观违规,有的是不作为,如业务不熟出错,疏忽大意。(二)、流程因素包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上,流程越简单越易于操作,流程越短越便于管理,设计越合理越利于控制。这样才能适应变化,确保效率和风险管理,流程设计不合理,有瑕疵,往往容易出现风险隐患。(三)、系统因素信息系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控,都离不开信息系统紧密支持。但商业银行高度依赖信息系统,信息数据高度集中也给银行带来新的风险管理难题,如系统安全稳定、IT技术风险防范、数据和信息质
13、量,系统设计和开发战略风险等等。系统出现如故障、瘫痪,系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外,从操作风险发生的门径来看,当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。(四)、外部环境因素银行经营都是处于一定的政治、社会、经济环境中的,经营环境的变化、外部突发事件都会影响到银行的经营活动,甚至会产生损失。外部事件引起银行损失的范围非常广泛,包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成
14、损失最大、发生频率最高的操作风险之一,而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。1.2.3 问题及现状目前,实施巴塞尔新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风
15、险管理的制度体现,也是加强全面风险管理方面的新要求。目前,我国操作风险管理与监管尚处在一个较为初期的发展阶段,我国商业银行操作风险管理还存在着自身特殊的问题及现状:(一)、对操作风险存在认识偏差 各商业银行普遍制定了一定的操作风险防范和控制措施,建立了授权审批制度、岗位分离制度、重要环节控制制度、对账制度、内部审计制度等,在管理流程和业务运营方面也有严格的操作规范,但目前基层商业银行操作风险管理仍然处于初级阶段,对操作风险没有形成一个全面、系统的认识。如误认为操作风险就是前台柜面人员操作上的行为风险,或者只是直接面对各项业务操作的经营性风险,认为各种风险操作事件往往具有突发性、偶然性,难以预测
16、,也毫无联系,因而无法计量等。同时,一些商业银行认为操作风险管理职责只存在于会计结算部门或内部审计部门,与安全保卫部门、科技部门、后勤事务部门等无关,这种认识上的局限性,造成了国内银行业对操作风险理解上的误区,成为制约我国银行业操作风险管理发展的主要因素,是我国商业银行操作风险损失不断发生的意识根源。(二)、操作风险管理理念错误对操作风险认识不足,导致普遍存在管理理念不健全和管理手段单一缺陷。一是不能平衡业务发展与操作风险管理之间的关系,要么片面强调业务发展、资产规模和市场占有率,而忽略建立与之相适应的操作风险管理程序;要么强调操作风险管理和内控,而放松市场开拓和业务发展;二是由于商业银行从以
17、前的国有企业制度延续下来的层层上报方式,致使操作风险管理存在“重基层、轻高层;重事后、轻事前;重个案、轻全面;重信任、轻原则”等现象,从而引发了大量的操作风险。(三)、操作风险管理框架体系不健全健全的风险管理框架体系是实现全面风险管理的前提。目前,国内商业银行设置统一的操作风险管理机构的并不太多,只有个别商业银行设立了委员会形式的管理机构。大多商业银行的操作风险管理职责分散在诸如风险管理部、内部审计部门、法律与法规部门等部门,缺乏统一的操作风险管理体系,这种分散管理的模式,导致各相关部门的管理职责不清,沟通协调不顺畅,无法建立持续监控的操作风险管理机制。操作风险管理和内部控制缺乏系统性、计划性
18、和操作性,没有形成科学、完整的管理体系。从目前的情况看,我国银行业在操作风险管理框架上的缺陷表现在:一是管理职责分散,缺乏专门的管理部门;二是基层分支机构操作风险管理职能缺失;三是对银行的某些活动缺乏足够的风险评估;四是内部审计部门权威性不强。(四)、操作风险管理制度不完备制度是员工行为的准则和业务操作的规范,商业银行的一切活动都要严格按照制度的规定执行。银行在操作风险管理方面的制度不完备导致不少基层行员工缺乏风险防范意识,有章不循、麻痹大意较为普遍,违规经营、越权操作时有发生,以信任代替管理、以习惯代替制度、以情面代替纪律,致使制度防线失控。此外,一些制度本身就存在问题,有的不够精细化,对某
19、些关键风险点的规定存在遗漏;有的更新迟缓,未能与业务拓展和产品创新保持同步;有的制度之间缺乏衔接,甚至相互矛盾。(五)、操作风险管理方法落后、技术滞后我国银行在操作风险管理方面的管理模式,管理手法相对还比较单一,主要依靠内部审计的力量,电子化手段缺乏,在管理上较多地依赖规章制度来约束员工的行为,执行制度不力,问责不严。目前,国际性大银行已大量采用数理统计模型、金融工程等先进手段,而我国商业银行在技术上相对滞后,致使我国银行业操作风险管理所需的大量损失事件与损失数据欠缺,无法建立相应的操作风险管理模型,从而影响了银行操作风险管理决策的科学性。(六)、操作风险管理的专业人才短缺目前,与国外商业银行
20、大多拥有一支专业的操作风险管理队伍相比,我国商业银行风险管理人才严重匮乏。现有的风险人员仍专注于信用风险,对操作风险尚未有深入研究,还不具备专业操作风险管理人员的一般条件。人才的缺乏将成为国内商业银行操作风险管理进程中的最大制约因素。(七)、操作风险管理外部环境不健全商业银行操作风险管理是一项系统工程,不仅是商业银行自身的事情,还需要一系列外部环境因素的支持,即主要包括保险市场、审计中介机构和信用环境,但目前国内情况不容乐观。一是,操作风险保险市场尚不发达,保险公司推出的针对操作风险的保险产品十分缺乏,这将在很大程度上制约商业银行对操作风险的缓释和转移;二是,外部审计机构还未形成强大力量,其独
21、立性、专业性和权威性尚需提高,这将制约商业银行对风险信息的收集以及对内部审计所存缺陷的弥补;三是,社会信用环境不容乐观,信用缺失问题严重,从而在很大程度上影响商业银行操作风险管理的开展。如何克服外部环境因素的制约是国内商业银行操作风险管理实践中面临的一大问题。我国银监会发布关于加大防范操作风险工作力度的通知以及商业银行操作风险管理指引,研究操作风险、界定、度量操作风险,深刻分析其产生的理论根源和现实起因,并结合我国商业银行操作风险管理的特殊性,提出相应地商业银行操作风险管理的对策,对操作风险管理的理论和实践、金融业的健康运行乃至整个国民经济的平稳健康运行都具有非常重要的意义。在未来几年内,我国
22、银行界按照新资本协议的要求实施操作风险管理已是大势所趋。1.3 方案意义90年代以来,一系列由操作风险引发的严重损失事件使得操作风险受到了前所未有的关注。巴塞尔新资本协议将操作风险(Operational Risk)与市场风险、信用风险一起定位为金融业面临的三大风险之一,并且要求配置资本金,充分体现了对于操作风险的重视。与此同时,几乎所有的国际活跃金融机构都已经或者正在建立自己的操作风险管理架构。据德勤2004年统计,92的西方商业银行已经着手操作风险管理,很多已经进入了开发风险量化技术或将操作风险纳入日常管理的阶段。我国正处于经济的转轨时期,存在着很多体制和法规上的缺陷,使得我国商业银行不仅
23、面临着更大的操作风险,同时由于这些操作风险的表现形式和形成原因与国际上存在很大差异,使得我国商业银行操作风险的管理又不能完全照搬国外的形式方法和模式,如何在当前形势下,适应金融监管国内外发展趋势,尽快建立适合我国商业银行现状的操作风险管理框架体系,为构建和完善我国商业银行操作风险管理的长效机制奠定根基,对于我国银行业的改革和发展具有重要意义!银行操作风险管理解决方案的提出在于协助国内商业银行建立全面的操作风险管理框架,包括管理与合规性组织结构、评估工具、风险跟踪与管理、风险上报、风险分析和用于降低操作风险的风险控制模型引擎。在支持新巴塞尔协议合规及监管要求的同时,通过研究国内外操作风险管理理论
24、和最佳实践,结合国内金融机构操作风险管理建设过程中积累的经验,操作风险管理解决方案能够完全符合本土金融机构管理模式,有效协助用户开展风险管理活动,协助国内金融机构解决实施全面操作风险管理时所面临的一些迫切问题并促进风险管理水平的持续提升。1.4 预期目标操作风险管理是银行全面风险管理的重要组成部分,操作风险管理的总体业务目标可以归并为以下四点:(一)、降低操作风险的不确定性,将操作风险发生的概率和可能造成的损失控制在可接受的合理范围内;(二)、提高服务效率,实现流程优化,促进业务健康发展;(三)、降低管理成本,提高收益水平;(四)、降低突发性事件的影响,保证业务正常和持续开展。基于以上银行操作
25、风险管控总体业务目标,银行操作风险管理解决方案拟实现以下预期目标:1)、依据国际银行操作风险管理协议及规范,基于我国银监会等相关管理部门颁布的法规和指引,协助商业银行建立适于自身的操作风险管理标准及规范;2)、基于商业银行操作风险管理指引等要求,协助国内商业银行及其它金融机构构建符合监管要求并且与其自身业务性质、规模和复杂程度相适应的操作风险管理框架体系;3)、辅助国内商业银行及相关金融机构建立合理的操作风险管理流程及处理机制;4)、构建全面满足操作风险管理体系运作要求的信息化支持系统,建立完善的操作风险管理和监管信息化平台,有效地识别、评估、监测、控制、缓释操作风险。建立起有效的风险事件汇报
26、机制及全面的风险数据分析体系;5)、逐步建立和完善商业银行操作风险损失信息库,为将来建立更加完善的操作风险控管方法和处理模型奠定基础;6)、建立包含辅助于信息及时传达、实时披露等在内的辅助工具平台,为操作风险控管工作、信息共享和沟通提供快速机制和手段;7)、辅助商业银行建立有效的政策知会和学习平台,建立操作风险管理信息索引库,为员工自身风险意识的学习和提升提供平台,逐步建立起稳固的银行风险控管文化;8)、建立与内控、合规等成熟系统体系的信息交互和协作机制,基于全局策略的角度完善和补益银行风险管理体系;9)、实现完善的银行操作风险管理安全体系,从内外部环境、系统实施服务及安全界定等多方面构建起有
27、效且安全的操作风险管理安全体系。1.5 参考依据1中国银行业监督管理委员会商业银行操作风险管理指引,2007年2中国银行业监督管理委员会中国银行业实施新资本协议指导意见,20073中国银行业监督管理委员会商业银行操作风险资本计量指引,2008 4张吉光商业银行操作风险识别与管理,中国人民大学出版社,2005年5巴曙松巴塞尔新资本协议研究,北京,中国金融出版社,2003年6其他网络文献资料第二章 总体规划2.1 建设原则2.1.1 操作风险管理指导原则操作风险管理与信贷风险管理、市场风险管理体系相比,其发展较为落后。国际国内就操作风险管理的体系建设也一直处在不断的探索过程中,各个银行之间也因为存
28、在所处地域、经营规模、业务类别的差异存在不同的风险环境,所以无法完全遵循一个标准的定义。但总体来说,已经形成了一些比较成熟的指导原则和建设思想,总体来说操作风险管理应遵循“全面管理、职责明确、分级控制、责任落实”的原则:1)、全面管理操作风险管理应覆盖银行各级机构、岗位、经营管理活动和操作环节。操作风险管理理念、政策体系、制度规范以及监控目标要能有效的传达到各级员工。2)、预防为重风险管理的重要原则之一是事前管理。根据自身或其他商业银行已发生的各类操作风险或案件,防范相同或类似的操作风险再次发生。3)、权责独立风险管理部门与其他部门之间职责清晰、分工明确,能够及时、准确获得相关风险事件与各类检
29、查结果。4)、分级控制应根据操作风险的特征,实行各业务条线指导与监督下的、总分支行分层级控制模式。5)、专业操作风险管理人员应具备相关的专业知识和技能,充分了解和掌握本行承担的各类操作风险,排查操作风险管理重点。6)、成本与收益匹配操作风险管理措施应与自身业务规模、复杂程度和特点相适应,以合理的成本实现操作风险管理目标。7)、需求导向坚持以实际操作风险管理需求为导向,从实际可行的情况出发,突出重点,注重实效,稳步推进。8)、统筹规划要在国家和业内统一规划和要求下,按照统一的规范和标准建设,明确建设目标和重点,充分发挥各方面的积极性,分类推进,分步实施。9)、安全保密坚持以建立完善的安全保障体系
30、为基础和根本,实现操作风险管理体系建设,坚持积极防御、综合防范的方针,以安全保发展,在发展中求安全。2.1.2 建设设计原则在银行操作风险管理方案的实施建设全过程中,必须坚持以下建设设计原则:l 实用以实际业务需求为基础,在充分梳理当前国内商业银行相关业务流程的基础上、充分考虑未来发展的前景需求来确定系统规模,充分利用现有资源。l 满足监管要求操作风险管理解决方案基于新巴塞尔协议,满足银监会的相关要求。l 覆盖全面在当前现有认识基础下,建立完善的操作风险管理和监管信息化平台,有效地识别、评估、监测、控制、缓释操作风险,建立完备的风险地图体系。l 安全提供安全有效的防护手段,确保信息和数据的完整
31、性和保密性,保证关键数据不被非法窃取、篡改或泄漏;提供完善的备份、恢复和日志跟踪与统计分析功能。l 简单易用系统简单易用、操作友好,要切实实现“软件系统简化人的劳动”这一目标。l 成熟先进系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。l 灵活适应操作风险管理解决方案能够适应不同类型、不同规模银行的组织结构、流程、系统特征,满足开放性与兼容性的现实需要。l 可扩充、可扩展、可持续改进不仅能够支持现有环境下应用需求,随着业务发展和流程变化,还要能够做到系统可扩充可扩展,可持续的改进更新。l 可管理、易维护系统应易于管理,易于维护,操作简单,降低系统管理员的负担。
32、2.2 建设内容银行操作风险管理解决方案建设内容包含以下部分:l 操作风险管理标准、政策及规范:协助银行建立适于自身的操作风险管理标准、政策及规范,作为操作风险管理的业务处理及行为准则。l 操作风险管理框架体系:协助国内商业银行及其它金融机构构建符合监管要求并且与其自身业务性质、规模和复杂程度相适应的操作风险管理框架体系。l 操作风险管理流程及处理机制:辅助国内商业银行及相关金融机构梳理业务流程及内控合规体系,建立合理的操作风险管理组织、管理流程及处理机制。l 操作风险损失信息库:逐步建立和完善商业银行操作风险损失信息库,通过不断积累和完善,形成商业银行操作风险管理、监测和缓释的数据支撑,为将
33、来建立更加完善的操作风险控管方法和处理模型奠定基础。l 操作风险管理平台:构建全面满足操作风险管理体系运作要求的信息化支持系统,建立完善的操作风险管理和监管信息化平台,有效地识别、评估、监测、控制、缓释操作风险,并逐步建立起有效的风险事件汇报机制及全面的风险数据分析体系。l 操作风险管控工具体系:包含辅助于信息及时传达、信息实时披露等在内的辅助工具平台,为操作风险控管工作、信息共享和沟通提供快速机制和手段,包括即时通讯、邮件、短信平台及风险控管信息宣传及共享论坛等。l 操作风险索引库:辅助商业银行建立操作风险管理信息索引库,建立有效的政策知会和学习平台,为员工自身风险意识的学习和提升提供平台,
34、逐步建立起稳固的银行风险控管文化。l 风险控管信息协作平台及驾驶舱:建立与内控、合规等成熟系统体系的信息交互和协作机制,建立基于全局策略的角度的银行风险管理信息协作平台,建立完善信息驾驶舱,为高层风险控管提供信息基础和数据依据。l 安全保障体系:健全安全防护体系、管理调控体系、评价考核体系等信息化保障体系。建立适用的平台身份验证及权限授权机制,健全信息的全过程跟踪记录、安全加密手段及防范机制,最大限度保证系统的安全有效。2.3 建设意义根据目前商业银行“转型、提升、发展”的经营管理思路,依据国内商业银行援引和借鉴国际经验完善自身风险控管体系的契机,通过整合内控、合规与操作风险管理架构,培养专业
35、化管理的人才队伍,建设动态的信息化交互平台,为实现内控规范合规和操作风险管理双达标奠定坚实基础,促进银行内控合规及操作风险管理持续优化,逐步建立专业化、标准化、信息化的操作风险管理体系。通过操作风险管理体系的建设实施,完成完善我国商业银行风险控管:l 提升员工的业务操作技能和风控水平。通过操作风险的识别及评估,将关键风险点与外部法规一一对应,形成风险信息索引,便于员工更清晰学习、掌握风险点、风险大小及对应的控制措施,有利于提高员工的业务技能,依法合规操作。l 提升管理部门的管理效率和风险监控能力。通过开发操作风险全流程管理功能的信息支持系统体系,为全行各机构、各部门和人员提供流程应用的学习作业
36、平台,多维度记录、分析、监测和展示风险信息,实现监督信息的共享与及时反馈,提升管理效率;通过流程控制环节与业务岗位名称对应,进一步明确操作和管理责任;通过建立关键风险指标和预警机制以及基层网点风险报告机制,管理部门可了解掌握各级机构的风险情况,有利于及时采取行动、化解风险。l 提升主线部门的资源配置水平。通过加强流程管理,优化人员准入及劳动组合,有利于各主线部门提高资源配置能力,更好地形成流程管理、产品服务和风险管理三者的有机结合。l 提升合规审计检查的针对性。根据获取的信息,可更好地评估风险,有针对性地安排审计检查,对缺陷整改情况进行跟踪,依托系统监督各级部门在流程中的履职行为,及时掌握银行
37、控管体系运行状况。l 提升对管理层决策的服务支持能力。通过构建风险地图,建立完善银行风险控管信息驾驶舱,可以向管理层完整展示机构、条线风险状况,以快速、便捷的方式报告风险的整体状况和分布,为高管层平衡业务发展与风险控制提供决策支持。l 提升全行业务管理水平。通过规范全行业务流程工作、建立管理台账、完善自我评估程序、改进缺陷等手段,完成有效性、适当性自我评价,降低风险防控成本,优化控管环境,逐步形成计划、组织、执行、整改的良性循环。第三章 总体方案3.1 总体架构银行操作风险管理(BORM)总体架构示意图:3.2 业务框架3.2.1 风险控管策略“银行的全部在于管理风险,而不是消除风险”。商业银
38、行业务发展与稳健经营面临诸多不确定因素的影响,风险管理成为商业银行生存的生命线。巴塞尔委员会认为,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用,银行内部的沟通流程应当建立一个一致的操作风险管理文化。2007年,中国银监会颁布的商业银行操作风险管理指引第十五条规定:“商业银行应当制订有效的程序,定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度”。因此,如何建立一套科学、先进的识别风险、衡量风险、治理风险的全面风险管理体系,成为我国银行业经营发展的
39、主题。在以往的管理当中,我们推崇的是“避免出错文化”,认为错误是可以免除的,任何程度的错误都是不可接受的,而风险管理文化则重点强调的是风险管理、而非消除风险。也就是说,只要是有业务处理,就会有错误发生,对于错误所引发的风险我们应正视,应对其进行认真分析,依据自己银行的风险偏好和风险容忍度制定出自己的操作风险管理的风险战略,并将风险管理制度化,将该项工作进行规范管理,并允许业务处理部门有一个合理水平的错误。根据目前国内商业银行及金融机构的实际情况,为保证操作风险的有效管理,应建立事前风险预警评估、事后稽核监督跟踪、共同执行同一风险管控体系的风险管理框架。3.2.2 总体业务框架银行操作风险管理总
40、体业务框架简图:3.2.3 风险管理标准、政策及规范在操作风险管理平台建设过程中,依据国家相关文件、指引、法律法规及管理规范,结合银行自身规范体系,建立起操作风险管理业务及技术规范,标准规范体系的确立是基础性工作,它将各个业务环节有机地连接起来,并为彼此间的协同提供技术准则。通过标准化的协调和优化功能保证信息化建设少走弯路,提高效率,确保系统的安全可靠。3.2.3.1 标准规范制定原则l 切实可行,准确实用标准和规范必须根据实际情况而制订和修改,使标准符合实际。标准的制订和修订要求准确实用,使执行者易于理解和执行,具有较强的可操作性。l 遵循国家标准、行业标准、国际标准标准和规范的制订继承和贯
41、彻国家标准、行业标准,参考国际标准和国外先进标准。l 前瞻性强,易于扩展银行操作风险管理平台的建设应该着眼于一个开拓性建设,涵盖广泛,包容复杂,因此标准的制订和采用应具有前瞻性并成熟可用,满足易于扩展的需求,使之能适应变化。l 统一组织,各级参与标准和规范建设涉及面广,在标准的制订过程中必须调动各相关部门的积极性,特别是业务数据标准的制订,必须有各级业务部门的业务人员的参与。在标准和规范的执行过程中,也需要各级业务部门的配合。在统一采集数据的基础上,建立系统的、分层次的管理指标规范。3.2.3.2 标准规范建设内容标准规范体系建设由总体标准、信息资源标准规范、应用业务标准、应用支撑标准、信息安
42、全标准、网络基础设施标准和管理标准七大部分组成。3.2.4 风险管控组织体系操作风险管理应按照巴塞尔委员会的建议,由各级高层管理人员组成操作风险管理委员会,制定操作风险管理政策,负责审定ORM目标计划及定期研究ORM的策略,组织ORM计划实施,推崇风险管理文化,建立自我评估、风险评判及稽核体系,对全行操作风险进行有效管理。在各级网点设立风险经理,负责网点操作风险控制的具体管理,进行网点风险自我评估,组织网点对评估中或内、外部检查中发现的问题进行纠正。合理的组织结构对风险管理效率至关重要。目前国际银行界的一般做法是:在集团层面设置独立的操作风险管理委员会;在各部门设操作风险经理。由于操作风险成因
43、多样,复杂多变,其带来的损失非常严重,因此设立专门的风险管理委员会对其进行集中化、专业化管理非常必要。此外,各部门的风险经理将对各条业务线上的操作风险进行监控,并向风险主管进行汇报。l 董事会董事会明确操作风险管理范畴,并承担监控操作风险管理有效性的最终责任。(一)审定与银行业务发展目标相一致的操作风险管理战略、政策与风险偏好,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;(二)审查高级管理层操作风险管理的职责及有关制度,确保全行的操作风险管理决策体系的有效性;(三)审阅高级管理层提交的操作风险报告,充分了解操作风险管理的总体状况;(四)确保高级管理层采取必要的措施有
44、效地识别、评估、监测、控制和缓释操作风险;(五)确保操作风险管理体系接受内审部门的有效审查与监督。l 管理层管理层是操作风险管理政策的组织实施者,对操作风险管理工作负责。(一)根据董事会制定的操作风险管理战略,审查和监督操作风险管理的规章制度和具体操作规程,并向董事会提交操作风险总体情况的报告;(二)全面掌握银行操作风险管理的总体状况,特别是各项重大的操作风险事件;(三)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行。(四)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格
45、的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;(五)及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。l 操作风险管理委员会操作风险管理委员会按照董事会整体风险政策,由董事会授权,对全行操作风险进行管理。定期向董事会汇报工作情况。(一)拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;(二)协助其他部门识别、评估、监测、控制及缓释操作风险;(三)建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程
46、序;(四)建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理;(五)为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责;(六)定期检查并分析业务部门和其他部门操作风险的管理情况;(七)定期向高级管理层提交操作风险报告;(八)确保操作风险制度和措施得到遵守。l 首席风险官负责具体协调、指导、评估、监督操作风险管理活动。(一)组织实施操作风险基本政策和方法的落实,推进各业务条线进行识别、评估、监测、计量、培训;(二)监督、检查全行操作风险管理情况;(三)汇总全行操作风险管理状况报告,定期向操作风险管理委员会提交。l 操作风险主管对所
47、辖业务及经营管理活动中的操作风险有管理职责。(一)负责在制定及修订所辖各项业务的管理制度和流程时,充分考虑并落实操作风险管理的各项要求;(二)负责识别、评估所辖各项业务的操作风险,制定并实施控制、缓释措施,不断优化流程,完善内控措施,保证业务健康持续发展;(三)负责辅导分支机构理解各项操作风险控制措施,督导建立操作风险管理制度,完善操作风险管理流程;(四)负责对所辖业务及经营管理活动中的操作风险状况进行监控、汇总、整理和分析,定期报送操作风险管理委员会。l 分支机构操作风险经理管理和监控本机构操作风险状况。(一)执行上级机构制定的各项操作风险管理政策和制度,可根据本机构实际情况,制定本机构操作风险管理的制度和流程;(二)负责监控辖内操作风险状况;(三)负责辖内操作风险损失事件的汇总统计和分析;(四)各级分支机构按照总行管理部门的要求开展工作;(五)定期