银行操作风险管理(BORMP)解决方案
3.2.4 风险管控组织体系
操作风险管理应按照巴塞尔委员会的建议,由各级高层管理人员组成操作风险管理委员会,制定操作风险管理政策,负责审定ORM目标计划及定期研究ORM的策略,组织ORM计划实施,推崇风险管理文化,建立自我评估、风险评判及稽核体系,对全行操作风险进行有效管理。在各级网点设立风险经理,负责网点操作风险控制的具体管理,进行网点风险自我评估,组织网点对评估中或内、外部检查中发现的问题进行纠正。
合理的组织结构对风险管理效率至关重要。目前国际银行界的一般做法是:在集团层面设置独立的操作风险管理委员会;在各部门设操作风险经理。由于操作风险成因多样,复杂多变,其带来的损失非常严重,因此设立专门的风险管理委员会对其进行集中化、专业化管理非常必要。此外,各部门的风险经理将对各条业务线上的操作风险进行监控,并向风险主管进行汇报。
董事会管理层审计内控操作风险管理委员会首席风险官操作风险主管分支机构操作风险经理总行操作风险人员分行操作风险人员 ? 董事会
董事会明确操作风险管理范畴,并承担监控操作风险管理有效性的最终责任。 (一)审定与银行业务发展目标相一致的操作风险管理战略、政策与风险偏好,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;
(二)审查高级管理层操作风险管理的职责及有关制度,确保全行的操作风险管理决策体系的有效性;
(三)审阅高级管理层提交的操作风险报告,充分了解操作风险管理的总体状况; (四)确保高级管理层采取必要的措施有效地识别、评估、监测、控制和缓释操作风险; (五)确保操作风险管理体系接受内审部门的有效审查与监督。 ?
邵磊
管理层
15
银行操作风险管理(BORMP)解决方案
管理层是操作风险管理政策的组织实施者,对操作风险管理工作负责。
(一)根据董事会制定的操作风险管理战略,审查和监督操作风险管理的规章制度和具体操作规程,并向董事会提交操作风险总体情况的报告;
(二)全面掌握银行操作风险管理的总体状况,特别是各项重大的操作风险事件; (三)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行。
(四)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;
(五)及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。
?
操作风险管理委员会
操作风险管理委员会按照董事会整体风险政策,由董事会授权,对全行操作风险进行管理。定期向董事会汇报工作情况。
(一)拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;
(二)协助其他部门识别、评估、监测、控制及缓释操作风险;
(三)建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序;
(四)建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理;
(五)为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责;
(六)定期检查并分析业务部门和其他部门操作风险的管理情况; (七)定期向高级管理层提交操作风险报告; (八)确保操作风险制度和措施得到遵守。 ?
首席风险官
负责具体协调、指导、评估、监督操作风险管理活动。
(一)组织实施操作风险基本政策和方法的落实,推进各业务条线进行识别、评估、监测、计量、培训;
(二)监督、检查全行操作风险管理情况;
(三)汇总全行操作风险管理状况报告,定期向操作风险管理委员会提交。 ?
邵磊
操作风险主管
16
银行操作风险管理(BORMP)解决方案
对所辖业务及经营管理活动中的操作风险有管理职责。
(一)负责在制定及修订所辖各项业务的管理制度和流程时,充分考虑并落实操作风险管理的各项要求;
(二)负责识别、评估所辖各项业务的操作风险,制定并实施控制、缓释措施,不断优化流程,完善内控措施,保证业务健康持续发展;
(三)负责辅导分支机构理解各项操作风险控制措施,督导建立操作风险管理制度,完善操作风险管理流程;
(四)负责对所辖业务及经营管理活动中的操作风险状况进行监控、汇总、整理和分析,定期报送操作风险管理委员会。
?
分支机构操作风险经理
管理和监控本机构操作风险状况。
(一)执行上级机构制定的各项操作风险管理政策和制度,可根据本机构实际情况,制定本机构操作风险管理的制度和流程;
(二)负责监控辖内操作风险状况;
(三)负责辖内操作风险损失事件的汇总统计和分析; (四)各级分支机构按照总行管理部门的要求开展工作;
(五)定期或不定期向上级报告风险状况,保证风险损失数据的真实性、准确性和时效性;
(六)运用操作风险管理工具识别、评估操作风险,在授权范围内采取适当措施控制/缓释操作风险。
3.2.5 风险管控流程
操作风险管理流程包括风险识别、风险分析、风险计划、风险跟踪、风险应对和监督考评等多个方面,根据巴塞尔委员会在2003年2月份发布的《操作风险管理与监管的稳健做法》中的建议,操作风险的管理框架可用下图表示:
风险战略风险识别风险报告风险评估计划、控制、管理度量、监测、预警 在此流程中,首先由董事会及高级管理层根据自己银行的风险偏好和风险容忍度制定出
邵磊 17
银行操作风险管理(BORMP)解决方案
操作风险管理的风险战略。战略的主要内容包括制定评估操作风险管理的政策、程序和流程,实施用于识别、评估、监测操作风险的的基本原则,建立合适的操作风险管理组织结构等。在风险战略确定的基础上,具体的风险管理部门将完成操作风险管理的一系列流程。
1、 风险识别是整个流程的开始,也是接下来的评估、控制、度量等过程的基础。在风
险识别中,银行应根据本银行的操作风险定义,详细说明自己银行每项业务、流程以及部门所面临的风险状况和风险程度。
2、 风险识别之后是风险评估,它的目的是通过对风险识别结果的评估,决定哪些风险
在可容忍的范围之内。对那些银行不能接受或超出机构风险偏好的风险暴露,选择合适的缓解机制并对需要缓解的风险进行优先排序。一些操作风险的定性和量化技术在风险评估中得到应用。
3、 在对操作风险进行评估之后,银行应构建有效的内部控制体系对操作风险进行控制
和管理。严格的内部控制制度应包括一个可控的环境、及时的风险评测、有效的控制活动、完整的会计、信息即通讯交流系统和完善的自我评估监测机制等。同时,银行应采用合理的风险缓释和转移技术对没有能力控制又具有低频高位特性的风险进行控制。风险监测和度量用来对上述的步骤进行监控,主要内容包括对本银行操作风险的定性和定量的操作风险管理进行监控,评估风险缓释活动是否有效、确保风险控制和管理系统的正常运行。为了达到较好的监测效果,银行应设置风险衡量的标准或“关键风险指标”(Key Risk Indicator,KRI)。KRI的设置将使得银行可以对风险进行日常监测,为风险管理提供预警。
4、 操作风险管理流程的最后一步是向银行董事会和管理层做出风险报告。风险报告必
须提供银行的主要风险来源和整体风险状况,同时对银行的风险管理提出建议。风险报告必须注重内部人员报告和外部人员的报告的结合,以确保风险报告的全面性和客观性。
上面是一般操作风险的管理流程,可在此基础上加以细化。在管理流程中,需要强调几个问题。第一是操作风险计量方法的选择。巴塞尔新资本协议给出了基本指标法、标准法和高级计量法等计量方法。第二是内部控制问题。国内外的银行业的实践表明,内部控制是防范操作风险最有效和最重要的手段,而国内银行的内部控制体系比较薄弱,应从多方面对内控制度进行重点改进和加强。第三是风险指标的选择问题。风险指标的选择应该具有代表性、敏感性和实用性的特点,能够有效对风险状况进行监测。
3.2.6 风险信息库模型
操作风险管理信息库是操作风险管理系统平台的核心,是贮存基本信息的记忆库。考虑到操作风险管理平台面向的用户、对数据的利用、数据吞吐量以及性能等各方面的要求,操
邵磊
18
银行操作风险管理(BORMP)解决方案
作风险信息库模型可以按照以下规划来实现。
基于操作风险管理系统平台建立起基础数据管理信息库,操作风险业务操作信息库及关联数据信息库,逐步采集和完善风险损失数据库,为将来的操作风险管控模型和方法的改善积累数据。在此基础上,逐步建立风险信息索引库,通过基础数据信息的加工、抽取及提炼实现对操作风险管理体系、业务流程及人员管控的基础支撑,辅助建立良好的银行操作风险管理文化。
银行操作风险管理信息库模型结构化数据信息非结构化数据风险信息索引库配置管理文件基础数据管理信息库操作风险业务信息库风险损失数据信息库关联数据信息库政策法规指引备份数据库业务库备份风险损失信息库备份……历史数据库资源文件访问历史库变更历史库……
3.2.7 风险管理平台访问结构
在操作风险管理平台访问层面,考虑到当前的流行模式以及未来的发展情况,着重实现平台的管理门户及桌面,通过搭建ESB服务总线完成对数据共享和集成的需要,择机实现手机等手持终端设备的访问途径。
管理门户及桌面手机等各种手持终端数据共享和集成服务接口ESB服务总线风险管理组织机构权限控制体系操作风险管理核心业务功能流程管理信息服务…
邵磊
19