国开行邱胜利：银行系统营运业务流程与操作风险管理.ppt

前提条件：统一数据平台－标准化 监测监控：非现场稽核、风险预警 建立监控：流程管理的授权控制体系 建立内部控制过程指标评价体系 监测监控、非现场稽核、风险预警 中国银监会2007年发布《商业银行操作风险管理指引》 第五条：“商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/操作风险。 第十八条： “为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。 管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容” 。 第一：数据采集 基于开发银行的统一数据平台；统一信息化代码标准，数据共享 完成核心业务系统数据、SWIFT报文数据、人行大额系统数据及操作日志等的采集 第二：监测监控、非现场稽核、预警营运业务操作风险 监测监控、评估、存储清算、结算、核算业务数据 实现核心业务系统与SWIFT报文数据、人行大额系统数据的核对，监控清算、结算核算业务数据的准确率；监控系统操作日志，预警操作风险。 第三：建立业务流程管理授权体系 建立网络系统跟踪控制流程管理授权体系、动态跟踪部门总经理、副总经理、处长、副处长、各位员工岗位职责，建立操作风险点控制机制。 第四：建立操作风险指标评价体系 建立营运业务内部控制指标评价体系，为各业务、IT部门提供操作风险内部控制评估机制 业务范围 监测监控、风险识别、评估、报告操作风险范围： 总行营运业务的清算、结算、会计核算；凭证、帐务、报表业务，即核心业务系统如货币市场、衍生产品、国际结算、总账、外汇买卖、债券、贷款、外汇汇划和国内支付等业务。 监测监控方法 采用自动核对数据的方式实现：将核心业务系统的基本帐簿、凭证、单据等业务的输入/输出操作业务数据；与SWIFT报文数据、大额支付数据、系统操作参数进行比较核对分析，以判断其每笔业务的准确性、完整性和安全性，并预警操作风险信息。 建立监控流程管理的授权体系 建立内部控制过程指标评价体系 《巴塞尔新资本协议》对银行操作风险定义为： 由于内部流程、人员和系统的不足或失误或由于外部事件造成损失的风险。 该定义包括了法律风险，但不包括战略风险（strategic risk）和声誉风险（reputation risk） 操作风险四大因素： 人员因素 流程因素 系统因素 外部事件 遵照财政部等五部委《企业内部控制基本规范》，银监会《商业银行内部控制评价办法》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》； 参照《巴塞尔新资本协议》、《COSO风险管理框架》有关操作风险管理的国际标准； 按照《开发银行营运业务操作风险管理指引－内部控制过程指标评价办法》。 业务类型 业务部门：本币清算、外币清算、资金交易、国际结算、帐务核算、业务系统需求与应用管理部门； IT部门：规划、系统开发、运维管理、网络与客户服务、外包公司等。 评价范围－五个方面 内部控制环境 内部控制结构 风险识别与评估 内部控制措施 绩效测试与纠正 一级（低风险）： 二级（较低风险）： 三级（中度风险）： 四级（较高风险）： 五级（高风险）。 1、统一数据平台；建立数据代码标准； 2、建立操作风险管理信息系统、预警操作风险； 3、建立基于流程管理的授权管理控制； 4、建立内部控制指标评价体系。 Click to edit company slogan . NIMBUSCHINA 国家开发银行 NIMBUSCHINA 银行系统营运业务流程与操作风险管理 基于流程管理授权体系的操作风险控制： 前提条件：统一数据平台—标准化 原IT系统建设、存在的数据问题： 应用水平低、操作环节多/风险大/成本高/效率低 原系统分散，多个应用系统，占用操作/监管人员工作量很大 功能覆盖面低 各管理信息系统与业务操作信息系统没有分开 建设功能全面覆盖的核心业务系统，信贷管理系统，资金交易系统 经过数据备份、灾备中心、拟正在筹备建设数据中心；操作风险管理控制 基于流程管理授权体系的操作风险控制 金融系统操作风险管理信息系统-主要目标： 操作风险管理信息系统建设法律依据: 操作风险管理信息系统：非现场稽核、风险预警： 操作风险控制目标层次： 商用业务 Financial Services Retail/Wholesale Healthcare 缓释和资本准备 计量风险 定义风险 操作风险管理信息系统的建设内容： 监测监控－业务范围和方