國家開發(fā)銀行 銀行系統(tǒng)營運業(yè)務流程與操作風險管理

1、 邱勝利邱勝利 nimbuschina 銀行系統(tǒng)營運業(yè)務流程與操作風險管理銀行系統(tǒng)營運業(yè)務流程與操作風險管理國家開發(fā)銀行國家開發(fā)銀行基于流程管理授權體系的操作風險控制：基于流程管理授權體系的操作風險控制：前提條件：統(tǒng)一數(shù)據(jù)平臺標準化前提條件：統(tǒng)一數(shù)據(jù)平臺標準化監(jiān)測監(jiān)控：非現(xiàn)場稽核、風險預警監(jiān)測監(jiān)控：非現(xiàn)場稽核、風險預警建立監(jiān)控：流程管理的授權控制體系建立監(jiān)控：流程管理的授權控制體系建立內部控制過程指標評價體系建立內部控制過程指標評價體系國家開發(fā)銀行國家開發(fā)銀行前提條件：統(tǒng)一數(shù)據(jù)平臺前提條件：統(tǒng)一數(shù)據(jù)平臺標準化標準化國家開發(fā)銀行國家開發(fā)銀行 原原itit系統(tǒng)建設、存在的系統(tǒng)建設、存在的數(shù)據(jù)問題：

2、數(shù)據(jù)問題：人 民 幣 會 計核 算 系 統(tǒng)外 幣 會 計 核算 系 統(tǒng)信 貸 管 理 系 統(tǒng)基 礎 數(shù) 據(jù) 庫柜 臺 前 移非 現(xiàn) 場 稽 核外 幣 貸 款 臺 帳債 券 發(fā) 行外 匯 業(yè) 務國 際 業(yè) 務n c 系 統(tǒng)外 幣 會 計 核算 系 統(tǒng)應用水平低、操作環(huán)節(jié)多/風險大/成本高/效率低原系統(tǒng)分散，多個應用系統(tǒng)，占用操作/監(jiān)管人員工作量很大功能覆蓋面低各管理信息系統(tǒng)與業(yè)務操作信息系統(tǒng)沒有分開建設功能全面覆蓋建設功能全面覆蓋的核心業(yè)務系統(tǒng)，的核心業(yè)務系統(tǒng)，信貸管理系統(tǒng)，資信貸管理系統(tǒng)，資金交易系統(tǒng)金交易系統(tǒng)經(jīng)過數(shù)據(jù)備份、災經(jīng)過數(shù)據(jù)備份、災備中心、擬正在籌備中心、擬正在籌備建設數(shù)據(jù)中心；備建

3、設數(shù)據(jù)中心；操作風險管理控制操作風險管理控制國家開發(fā)銀行國家開發(fā)銀行基于流程管理授權體系的操作風險控制基于流程管理授權體系的操作風險控制國家開發(fā)銀行國家開發(fā)銀行金融系統(tǒng)操作風險管理信息系統(tǒng)金融系統(tǒng)操作風險管理信息系統(tǒng)- -主要目標主要目標：監(jiān)測監(jiān)控、非現(xiàn)場稽核、風險預警監(jiān)測監(jiān)控、非現(xiàn)場稽核、風險預警國家開發(fā)銀行國家開發(fā)銀行操作風險管理信息系統(tǒng)建設法律依據(jù)操作風險管理信息系統(tǒng)建設法律依據(jù): :中國銀監(jiān)會中國銀監(jiān)會20072007年發(fā)布年發(fā)布商業(yè)銀行操作風險管理指引商業(yè)銀行操作風險管理指引 第五條：“商業(yè)銀行應當按照本指引要求，建商業(yè)銀行應當按照本指引要求，建立與本行的業(yè)務性質、規(guī)模和復雜程度相適

4、應立與本行的業(yè)務性質、規(guī)模和復雜程度相適應的操作風險管理體系，有效地識別、評估、監(jiān)的操作風險管理體系，有效地識別、評估、監(jiān)測和控制測和控制/ /操作風險。操作風險。 第十八條： “為有效地識別、評估、監(jiān)測、控為有效地識別、評估、監(jiān)測、控制和報告操作風險，商業(yè)銀行應當建立并逐步制和報告操作風險，商業(yè)銀行應當建立并逐步完善操作風險管理信息系統(tǒng)。完善操作風險管理信息系統(tǒng)。 管理信息系統(tǒng)至少應當記錄和存儲與操作管理信息系統(tǒng)至少應當記錄和存儲與操作風險損失相關的數(shù)據(jù)和操作風險事件信息，支風險損失相關的數(shù)據(jù)和操作風險事件信息，支持操作風險和控制措施的自我評估，監(jiān)測關鍵持操作風險和控制措施的自我評估，監(jiān)測關

5、鍵風險指標，并可提供操作風險報告的有關內風險指標，并可提供操作風險報告的有關內容容” 。國家開發(fā)銀行國家開發(fā)銀行操作風險管理信息系統(tǒng)：非現(xiàn)場稽核、風險預警：操作風險管理信息系統(tǒng)：非現(xiàn)場稽核、風險預警：國家開發(fā)銀行國家開發(fā)銀行 操作風險控制目標層次：操作風險控制目標層次：商用業(yè)務商用業(yè)務 financial services retail/wholesale healthcare緩釋和資本準備緩釋和資本準備計量風險計量風險定義風險定義風險國家開發(fā)銀行國家開發(fā)銀行操作風險管理信息系統(tǒng)的建設內容：操作風險管理信息系統(tǒng)的建設內容： 第一：數(shù)據(jù)采集第一：數(shù)據(jù)采集 基于開發(fā)銀行的統(tǒng)一數(shù)據(jù)平臺；統(tǒng)一信息化代

6、碼標準，數(shù)據(jù)共享基于開發(fā)銀行的統(tǒng)一數(shù)據(jù)平臺；統(tǒng)一信息化代碼標準，數(shù)據(jù)共享 完成核心業(yè)務系統(tǒng)數(shù)據(jù)、完成核心業(yè)務系統(tǒng)數(shù)據(jù)、swiftswift報文數(shù)據(jù)、人行大額系統(tǒng)數(shù)據(jù)及操作日報文數(shù)據(jù)、人行大額系統(tǒng)數(shù)據(jù)及操作日志等的采集志等的采集第二：監(jiān)測監(jiān)控、非現(xiàn)場稽核、預警營運業(yè)務操作風險第二：監(jiān)測監(jiān)控、非現(xiàn)場稽核、預警營運業(yè)務操作風險 監(jiān)測監(jiān)控、評估、存儲清算、結算、核算業(yè)務數(shù)據(jù)監(jiān)測監(jiān)控、評估、存儲清算、結算、核算業(yè)務數(shù)據(jù) 實現(xiàn)核心業(yè)務系統(tǒng)與實現(xiàn)核心業(yè)務系統(tǒng)與swiftswift報文數(shù)據(jù)、人行大額系統(tǒng)數(shù)據(jù)的核對，監(jiān)控報文數(shù)據(jù)、人行大額系統(tǒng)數(shù)據(jù)的核對，監(jiān)控清算、結算核算業(yè)務數(shù)據(jù)的準確率；監(jiān)控系統(tǒng)操作日志，預警

7、操作風險。清算、結算核算業(yè)務數(shù)據(jù)的準確率；監(jiān)控系統(tǒng)操作日志，預警操作風險。第三：建立業(yè)務流程管理授權體系第三：建立業(yè)務流程管理授權體系 建立網(wǎng)絡系統(tǒng)跟蹤控制流程管理授權體系、動態(tài)跟蹤部門總經(jīng)理、副總建立網(wǎng)絡系統(tǒng)跟蹤控制流程管理授權體系、動態(tài)跟蹤部門總經(jīng)理、副總經(jīng)理、處長、副處長、各位員工崗位職責，建立操作風險點控制機制。經(jīng)理、處長、副處長、各位員工崗位職責，建立操作風險點控制機制。第四：建立操作風險指標評價體系第四：建立操作風險指標評價體系 建立營運業(yè)務內部控制指標評價體系，為各業(yè)務、建立營運業(yè)務內部控制指標評價體系，為各業(yè)務、itit部門提供操作風險部門提供操作風險內部控制評估機制內部控制評

8、估機制國家開發(fā)銀行國家開發(fā)銀行監(jiān)測監(jiān)控業(yè)務范圍和方法：監(jiān)測監(jiān)控業(yè)務范圍和方法：業(yè)務范圍業(yè)務范圍 監(jiān)測監(jiān)控、風險識別、評估、報告操作風險范圍：監(jiān)測監(jiān)控、風險識別、評估、報告操作風險范圍： 總行營運業(yè)務的清算、結算、會計核算；憑證、帳務、總行營運業(yè)務的清算、結算、會計核算；憑證、帳務、報表業(yè)務，即核心業(yè)務系統(tǒng)如貨幣市場、衍生產(chǎn)品、報表業(yè)務，即核心業(yè)務系統(tǒng)如貨幣市場、衍生產(chǎn)品、國際結算、總賬、外匯買賣、債券、貸款、外匯匯劃國際結算、總賬、外匯買賣、債券、貸款、外匯匯劃和國內支付等業(yè)務。和國內支付等業(yè)務。監(jiān)測監(jiān)控方法監(jiān)測監(jiān)控方法 采用自動核對數(shù)據(jù)的方式實現(xiàn)：將核心業(yè)務系統(tǒng)的基采用自動核對數(shù)據(jù)的方式實現(xiàn)

9、：將核心業(yè)務系統(tǒng)的基本帳簿、憑證、單據(jù)等業(yè)務的輸入本帳簿、憑證、單據(jù)等業(yè)務的輸入/ /輸出操作業(yè)務數(shù)據(jù)；輸出操作業(yè)務數(shù)據(jù)；與與swiftswift報文數(shù)據(jù)、大額支付數(shù)據(jù)、系統(tǒng)操作參數(shù)進行報文數(shù)據(jù)、大額支付數(shù)據(jù)、系統(tǒng)操作參數(shù)進行比較核對分析，以判斷其每筆業(yè)務的準確性、完整性比較核對分析，以判斷其每筆業(yè)務的準確性、完整性和安全性，并預警操作風險信息。和安全性，并預警操作風險信息。國家開發(fā)銀行國家開發(fā)銀行金融系統(tǒng)操作風險管理信息系統(tǒng)金融系統(tǒng)操作風險管理信息系統(tǒng)- -主要目標主要目標：建立監(jiān)控流程管理的授權體系建立監(jiān)控流程管理的授權體系國家開發(fā)銀行國家開發(fā)銀行流程管理授權體系的風險點控制：流程管理授權

10、體系的風險點控制：國家開發(fā)銀行國家開發(fā)銀行流程管理授權體系的流程管理授權體系的controls-escontrols-es風險展現(xiàn)：風險展現(xiàn)：國家開發(fā)銀行國家開發(fā)銀行基于流程管理授權控制體系基于流程管理授權控制體系controls-escontrols-es風險預警：風險預警：國家開發(fā)銀行國家開發(fā)銀行金融系統(tǒng)操作風險管理信息系統(tǒng)金融系統(tǒng)操作風險管理信息系統(tǒng)- -主要目標主要目標：建立內部控制過程指標評價體系建立內部控制過程指標評價體系國家開發(fā)銀行國家開發(fā)銀行 操作風險定義操作風險定義操作風險四要素操作風險四要素： 巴塞爾新資本協(xié)議巴塞爾新資本協(xié)議對銀行操作風險定義為對銀行操作風險定義為： 由于

11、內部流程、人員和系統(tǒng)的不足或失誤或由于外由于內部流程、人員和系統(tǒng)的不足或失誤或由于外部事件造成損失的風險。部事件造成損失的風險。 該定義包括了法律風險，但不包括戰(zhàn)略風險該定義包括了法律風險，但不包括戰(zhàn)略風險（strategic riskstrategic risk）和聲譽風險（）和聲譽風險（reputation riskreputation risk） 操作風險四大因素：操作風險四大因素： 人員因素人員因素 流程因素流程因素 系統(tǒng)因素系統(tǒng)因素 外部事件外部事件國家開發(fā)銀行國家開發(fā)銀行操作風險管理操作風險管理- -內部控制評價體系：內部控制評價體系： 遵照財政部等五部委遵照財政部等五部委企業(yè)內部

12、控制基本規(guī)范企業(yè)內部控制基本規(guī)范，銀監(jiān)會，銀監(jiān)會商業(yè)銀行內部控制評價辦法商業(yè)銀行內部控制評價辦法、商業(yè)銀行操作風險管商業(yè)銀行操作風險管理指引理指引、商業(yè)銀行信息科技風險管理指引商業(yè)銀行信息科技風險管理指引； 參照參照巴塞爾新資本協(xié)議巴塞爾新資本協(xié)議、cosocoso風險管理框架風險管理框架有有關操作風險管理的國際標準；關操作風險管理的國際標準； 按照按照開發(fā)銀行營運業(yè)務操作風險管理指引內部控制過開發(fā)銀行營運業(yè)務操作風險管理指引內部控制過程指標評價辦法程指標評價辦法。國家開發(fā)銀行國家開發(fā)銀行業(yè)務類型業(yè)務類型 業(yè)務部門：本幣清算、外幣清算、資金交易、國際結算、帳務核業(yè)務部門：本幣清算、外幣清算、資

13、金交易、國際結算、帳務核算、業(yè)務系統(tǒng)需求與應用管理部門；算、業(yè)務系統(tǒng)需求與應用管理部門； itit部門：規(guī)劃、系統(tǒng)開發(fā)、運維管理、網(wǎng)絡與客戶服務、外包公部門：規(guī)劃、系統(tǒng)開發(fā)、運維管理、網(wǎng)絡與客戶服務、外包公司等。司等。評價范圍五個方面評價范圍五個方面 內部控制環(huán)境內部控制環(huán)境 內部控制結構內部控制結構 風險識別與評估風險識別與評估 內部控制措施內部控制措施 績效測試與糾正績效測試與糾正內部控制內部控制- -內控評價內容：內控評價內容：國家開發(fā)銀行國家開發(fā)銀行一級（低風險）一級（低風險）：v 二級（較低風險）二級（較低風險）：v 三級（中度風險）三級（中度風險）：v 四級（較高風險）四級（較高風險）：v 五級（高風險）。五級（高風險）。內部控制內部控制- -內控評價五級風險度：內控評價五級風險度：國家開發(fā)銀行國家開發(fā)銀行1 1、統(tǒng)一數(shù)據(jù)平臺；建立數(shù)據(jù)代碼標準；、統(tǒng)一數(shù)據(jù)平臺；建立數(shù)據(jù)代碼標準；v 2 2、建立操作風險管