Citi Framework

欢迎参加“运营风险”培训（ERMTP - 基础）

课程导航提示

通过“菜单”按钮可访问各个部分。

通过每个部分末尾的“主页”按钮可回到课程开头。

“资源”按钮提供有用链接的列表。

“更换语言”按钮可以切换到不同的语言。

“关闭”按钮将结束您的培训课程并关闭课程窗口。

如果您通过个人设备直接从互联网（Citi 网络外部）访问课程，则某些链接到 Citi 网络的内容可能无法正常显示。这种情况不会影响您完成本课程。

欢迎

本课程旨在介绍运营风险管理，主要探讨可能阻碍我们实现业务目标的现实风险，包括系统故障、欺诈、流程错误和人员风险等。

它存在于我们所做的每一件事中，如果管理不当，可能产生严重后果，包括给客户造成重大损失和声誉受损。

本课程阐明了什么是运营风险，以及所有 Citi 员工都有责任识别和降低公司的运营风险。

完成本次培训大约需要 15 分钟。

向下滚动以继续浏览。

Enterprise Risk Management Training Program Risk and Controls Policy 知识常见的风控技能专业风控技能

为什么要这样？

本课程是 Citi 的 Enterprise Risk Management Training Program (ERMTP) 的一部分，该计划包含一系列课程，旨在帮助您理解自己的风控责任。

为什么是现在？

Enterprise Risk Management Framework (ERMF) 是 Citi 的风险管理标准。作为 Citi 的 Enterprise Risk Management Framework (ERMF) 支持能力的一部分，我们致力于为所有 Citi 员工提供知识和培训，以履行日常风控责任。

为什么是我们？

在 Citi，管理风险是每位员工的职责。我们都是风险管理者。风险是 Citi 业务固有的，无法规避。每位员工都必须保持警惕，在风险管理方面保持一致而且有责任心，包括遵守适用的法律法规。

有什么益处？

认识并一致理解 Risk and Controls Policy 知识、角色以及整个防线的职责。

ERMF 介绍

ERMF 为整个公司范围的风险管理制定了全面、综合的一致性方法。

本次培训将专门重点介绍 ERMF 中支柱 3（风险管理）部分的运营风险。

Citi 的 ERM Framework 的四个支柱。
支柱 1：文化包括价值观、行为以及领导原则和绩效管理
支柱 2：治理包括董事会和管理层、董事会监督、授权、行政管理部、委员会和上报、防线，以及政策、标准和程序。
支柱 3：风险管理涵盖风险管理生命周期（识别、衡量、监控、报告）、财务风险（信用、市场（交易）、市场（非交易）、流动性），以及非财务风险（运营、合规、战略、声誉）。
支柱 4：企业计划涵盖企业风险识别、风险偏好和限制、压力测试、战略规划和新活动批准。
支持能力为：人才、绩效管理和薪酬；沟通与培训；技术和数据；以及模型和分析。

课程学习目标

完成本课程后，您将能够：

定义运营风险
认识到运营风险对于所有 Citi 员工的意义，以及他们在降低风险方面所承担的责任

完成标准

本课程包含最终评估。您必须在评估中获得 80% 或更高的分数，才能获得本次培训的学分。

本课程还包括一个可选测试。如果您通过该测试，可以跳过课程内容和最终评估，并获得课程结业学分。

您可以跳过测试，直接进入课程内容学习。

了解运营风险

在本部分中，我们将探讨 Citi 的运营风险、运营风险的类别及类型。首先，我们来看一个场景。

向下滚动以继续浏览。

什么是运营风险？

在第一个场景中，两名银行同事在餐厅排队时突然聊到了运营风险。Mary 是非风险部门员工，而 John 是运营风险经理。

选择右侧箭头了解详情，方可继续。

了解运营风险

Mary：“嗨，我是 Mary。你在哪个部门？”
John：“嗨，Mary，我是 John，在运营风险管理部门。”
Mary：“什么是运营风险？在我看来，这不是和风险一样吗？”
John：“我很乐意为你解释。”

什么是运营风险？

John：“简而言之，风险是指损失有价值事物的可能性，而运营风险具体而言是指由于不完善或有问题的内部流程、人员、系统或外部事件而造成损失的风险。”

运营风险的示例

John：“运营风险的示例包括系统故障、失窃、数据丢失以及人为错误等等。”

影响的示例

John：“影响的示例包括金钱方面的影响、声誉影响、数据和系统可用性影响等。”

Citi 运营风险

以下是《Operational Risk Management Policy》中对运营风险的定义：

由于不完善或有问题的内部流程、人员和系统，或外部事件而造成损失的风险。运营风险的定义包括法律风险，即由于 Citi 在其业务的任何方面未能遵守法律、法规、严格的道德标准以及合同义务而导致的损失风险（包括诉讼费用、和解费用和监管机构罚款），但不包括战略和声誉风险。

我们也认识到了运营风险对与 Citi 业务活动相关声誉风险的影响。

《Operational Risk Management Framework》和《Operational Risk Management Policy》包含更多详细信息，可帮助您更好地了解我们如何确保 Citi 的有效管理。

运营风险类别

运营风险有十一种子类型：欺诈风险、处理风险、数据风险、网络风险、技术风险、第三方风险、业务中断与安全风险、人力资本风险、监管和管理报告风险、财务报表报告和模型风险。

Citi 的《风险分类》中分别对以上每一种风险进行了详细定义，可在此处查看。

要继续，请选择每个按钮，以查看这些风险的一些示例。

网络风险

网络风险是指信息可能遭到未授权访问、使用、披露、修改或毁坏，和/或信息系统可能遭到破坏。

数据风险

数据风险是指不当保留、处置、使用数据或者数据质量欠佳，或侵犯数据隐私。

欺诈风险

欺诈风险是指不正当使用或故意挪用资产、资源、服务或利益以获取个人利益或导致损失。

业务中断与安全风险

业务中断与安全风险是指对 Citi 的营业场所、配套公用设施、实物资产和/或人员造成物理伤害，或导致其不可用。

想一想……

您认为在自己的工作中会遇到哪些类型的运营风险，它们可能产生的潜在影响是什么？

运营风险类型：

系统故障、失窃、数据丢失、处理错误、技术故障等等

影响类型：

财务、声誉受损、客户影响等等

如果您对运营风险有任何疑问，请联系您的企业内部高级运营风险经理（企业内部 SORM）或 L1 风险类别主管 (L1 RCL)。

请选择以上术语，详细了解每一个角色。

请选择《Register of In-Business SORMs and Independent SORMs》及《 Register of L1 RCLs and L1 RCSMEs》，查看这两个角色的指定人员。

接下来

现在您已经了解了不同类型的运营风险，接下来我们将分别讨论从过去的经验和行业内吸取的教训。首先，我们来看看从过去的经验中吸取的教训。

从过去的经验中吸取教训

在本部分，我们将探讨如何利用从过去经验中吸取的教训来降低运营风险。

向下滚动以继续浏览。

从过去的经验中吸取的教训

以下场景为网络风险以及欺诈和盗窃风险示例。在该场景中，Abdullah 和 Lee 正在会议室讨论一个即将开展的控制增强项目。

Abdullah 是 Lee 的经理，拥有 10 年的网络安全领域工作经验。Lee 最近加入了该小组。

选择右侧箭头了解详情，方可继续。

Abdullah 和 Lee 见面

Abdullah：“我们即将开展一个项目，以便加强对潜在网络攻击的管控。这将降低遭受网络攻击的风险，保护 Citi 免受财务损失。你能想到某次网络攻击导致巨大财务损失的事件吗？”
Lee：“一时想不起来。”

Abdullah 分享了过去的经验

Abdullah：“我说一个我们遇到的网络攻击事件吧。这有助于你进一步了解我们即将开展的项目的重要性。”
Lee：“好的。”

Abdullah 提醒留意网络攻击

Abdullah：“几年前，网络犯罪分子攻击了我们的在线收购门户网站，数百万新客户使用该网站申请我们提供的各种信用卡产品。

我们有一个系统在验证客户身份时出现错误，允许开立虚假账户。我们没有足够强大的欺诈防范和检测工具来预防或检测这种行为。”

Abdullah 解释发生的情况

Abdullah：“网络犯罪分子认为这是一个机会，导致虚假申请激增。这造成我们损失了数百万美元。”

Abdullah 讲述了另一次攻击企图

Lee：“我敢说他们会再次对我们进行攻击的。”
Abdullah：“你说的没错，他们确实这样做了。他们利用自动化‘机器人’再次对我们进行攻击。但我们进一步加强了欺诈防范和检测管控，所以他们没有得逞。”

Lee 认识到从过去的经验中吸取的教训

Lee：“太好了！所以，我们的项目是主动实施额外的自动化管控措施？”
Abdullah：“是的。我们开始吧。”

想一想……

回想一下某个错误影响您日常工作方式的事件。

您从该事件中学到了什么？您进行了哪些调整来减少再次发生这种情况的可能性？

接下来

我们已经探讨了从过去的经验中吸取的教训，接下来我们再谈谈从行业内吸取的教训。

从行业内吸取教训

在本部分，我们将探讨如何在识别运营风险方面从行业内吸取教训，以及我们报告风险的义务。

向下滚动以继续浏览。

识别线索

在本场景中，在一家银行的运营部门工作的 Molly 在收看新闻时，听到了某个第三方供应商由于没有采取足够严格的管控措施而导致数据泄露的事件。

第二天，Molly 评估了她所在组织的流程，认为他们的第三方供应商可能有问题。

Molly 应该怎么做？

既然 Molly 认为他们的第三方供应商可能有问题，她下一步应该怎么做？

从四个选项中选择最佳答案，然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项，则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

上报事件

什么都不用做，风险团队肯定会发现的

联系第三方

收集更多信息

提交

回答正确。

Molly 应该上报事件。（请注意，我们提供了多个上报渠道。请参阅《Escalation Policy》。）

回答错误。

Molly 应该上报事件。（请注意，我们提供了多个上报渠道。请参阅《Escalation Policy》。）

报告风险的义务

在阅读了 Citi 的《Escalation Policy》后，她意识到，即使她并没有掌握自己认为可能需要的所有信息，她仍有义务报告该事件。

在那周的一次团队会议上，Molly 说出了自己的疑虑，她的经理说她会调查此事。她的经理进一步审查后，确定 Molly 可能是对的。此事被上报给第三方风险管理团队进一步审查。一个月后，向第三方委员会提交了改进建议。

最终主动制定了管控措施，尽可能减少未来管控事故。

想一想……

花点时间思考一下您在管理公司风险方面的责任：

如果您在新闻中注意到某件事情并认为也有可能发生在 Citi，作为风险管理者，您有责任进行识别和上报。

接下来

接下来，我们将讨论一个欺诈和盗窃风险事例以及有效管控措施的实施。

实施有效管控措施

在本部分，我们将查看一个欺诈和盗窃风险事例以及有效管控措施的重要性。

向下滚动以继续浏览。

有效管控措施的重要性

在该场景中，两名同事 Imogen 和 Girish 决定一起吃午餐。Imogen 是分公司员工，而 Girish 在市场营销部工作。午餐时，Girish 问 Imogen 是否听说在社交媒体上流传的 ATM 机事件。

选择右侧箭头了解详情，方可继续。

Girish：“你听说 ATM 软件更新导致整个 ATM 网络遭受风险的事了吗？”
Imogen：“没有，发生什么事了？”

Girish：“ATM 停止检查是否有密码错误或可用资金。结果导致客户可以提取比他们账户中更多的资金。此外，犯罪分子不需要知道客户的密码，就可以从他们的账户中提取资金。”
Imogen：“怎么会发生这种事？”

Girish：“银行正在升级 ATM 机上的软件，期间有一个错误通过了测试。有关该故障的消息很快就在社交媒体上传播开了。”

Imogen：“社交媒体上有这么多人的关注，难道那个银行就没有人从中得知此事吗？”
Girish：“当时并没有。银行没有查看社交媒体上的实时事件。”
Imogen：“那么……他们采取了什么措施？”

Girish：“银行对存在问题的方面进行了全面审查，以确定如何防止此类事件再次发生。

他们在测试过程中采取了额外的管控措施，并开始监控社交媒体上的实时事件。

所以 Imogen 你看，像升级这样看似简单的事情也可能会产生巨大的影响。”

想一想……

您能想到您在工作中发生过的故障事件吗？

这一故障事件是由人员、流程、技术，还是以上所有因素造成的？

接下来

在接下来的处理风险场景中，我们将探讨如何从险肇事件中吸取教训。

从险肇事件中吸取教训

在本部分，我们将讨论如何从险肇事件中吸取教训。

向下滚动以继续浏览。

处理风险场景

Jayden 在会计部门工作。他的工作职责之一是给客户汇款。

Jayden 收到客户的请求，要求转一大笔资金。

Jayden 按照常规流程准备，将资金电汇到客户的银行。他将资金汇出去后就回家了。第二天，Jayden 刚到办公室就被叫到经理 Nancy 的办公室。

选择右侧箭头了解详情，方可继续。

Jayden 见到了他的经理

Nancy：“嗨，Jayden。”
Jayden：“嗨，Nancy。”
Nancy：“你有空查看一下昨天晚上汇出的一笔电汇吗？”

Nancy 说明问题

Nancy 告诉 Jayden，电汇的货币搞错了，金额比本应汇出的金额高很多。Jayden 非常震惊。

Nancy 说明险肇事件

Jayden：“出什么事了？”
Nancy：“开立账户时，在货币字段好像出现了人工错误，在出票人/审核员过程中漏掉了一些东西。好在这笔钱在几个小时内就全部追回了，并且将更正过的金额转给了客户。这种情况称为险肇事件。”

从险肇事件中吸取的教训

Jayden：“看来我们需要评估一下我们如何改进，以便加强我们的管控。”

想一想……

花点时间回想一下您遇到过的险肇事件。

该事件是因为缺乏管控还是自动审核？是如何对其进行补救的？

接下来

最后，我们将查看了解您的要求的重要性。

了解您的要求

在本部分，我们将谈论模型验证的重要性并审查模型生命周期。

向下滚动以继续浏览。

模型与人工智能 (AI) 对象审查

Erik 是银行的新员工，也是部门主管。他的职责之一是评审其团队的模型与人工智能对象清单和方法、系统和/或途径（包括关键业务流程、EUC/ITeSS、CSI、RPA、供应商、MIS 报告、决策标准、定向标准、策略、推测、预测等）是否符合模型和 AI 非模型对象的定义，以确保所使用的全部模型和 AI 对象已提交至模型风险管理部门 (MRM) 并经其验证。

在以下假设场景中，Erik 与模型主管 Jane 会面，后者负责协调他所在业务部门的半年度模型与 AI 非模型对象清单认证。

选择右侧箭头了解详情，方可继续。

会议

Erik：“你好，我是 Erik。”
Jane：“很高兴见到你，Erik。我是 Jane。”
Erik：“我也很高兴见到你，Jane。”
Jane：“咱们开始吧。此次会面的目的是评审您的团队使用的注册模型与 AI 对象的列表。”
Erik：“好的。”

评审注册模型与 AI 对象

当 Jane 查看注册模型与 AI 对象时，一个模型特别引起了 Erik 的注意。这个模型看起来与他的团队目前正在使用、但似乎不在列表中的另一个模型相似。

Erik 的模型不在列表中

Erik：“我发现我的团队使用的一个模型似乎不在列表中。你能指导我完成流程，并进行注册吗？”

模型与 AI 对象识别流程

Jane：“当然可以。使用未经验证的模型或 AI 对象是违反我们的政策的。我们的团队首先会进行一次全面评审，确定该模型是否还没有提交 MRM 进行过验证，并确认没有任何其他类似情况。评审后，如果发现模型未提交 MRM 进行验证，我们会进行后续步骤，以便将该模型提交给风险管理部门。”
Erik：“好的。谢谢。”

想一想……

花点时间回想。您在工作中是否使用模型？如果使用，您是否知道如何确保模型得到验证？

如需详细了解 Citi 的 Model Risk Framework，请浏览 Model Risk Management intranet site。

接下来

接下来，总结本次培训的内容要点。

要点

在本部分，我们将回顾您在本课程中所学的内容。

向下滚动以继续浏览。

学习内容回顾

我们都是风险管理者，都有责任降低运营风险。

为此，我们需要：

当我们看到令人担忧的事情时，应主动上报。
继续了解用于识别、衡量、监控和降低风险的管控措施和工具，以及我们如何加强这些措施和工具以减少损失。

成果？Citi 将更好地防范运营风险。

接下来

现在请完成一个简短评估，检查您对内容的理解。

什么是运营风险？

从四个选项中选择最佳答案，然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项，则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

Citi 运营产生的风险

由于不完善或有问题的流程、人员、系统或外部事件而造成损失的风险

有问题的流程、人员或系统导致的风险

由于不完善的政策、程序和实践而造成损失的风险

提交

对运营风险最好的定义是：由于不完善或有问题的内部流程、人员、系统或外部事件而造成损失的风险。运营风险的定义包括法律风险，即由于 Citi 在其业务的任何方面未能遵守法律、法规、严格的道德标准以及合同义务而导致的损失风险（包括诉讼费用、和解费用和监管机构罚款），但不包括战略和声誉风险。

回答正确。

对运营风险最好的定义是：由于不完善或有问题的内部流程、人员、系统或外部事件而造成损失的风险。运营风险的定义包括法律风险，即由于 Citi 在其业务的任何方面未能遵守法律、法规、严格的道德标准以及合同义务而导致的损失风险（包括诉讼费用、和解费用和监管机构罚款），但不包括战略和声誉风险。

回答错误。

请参阅了解运营风险部分。

回答错误。

请参阅了解运营风险部分。

以下哪一项不属于运营风险类别？

从四个选项中选择最佳答案，然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项，则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

客户保护风险

业务中断与安全风险

欺诈风险

数据风险

提交

客户保护风险不属于运营风险类别。

运营风险类别包括欺诈和盗窃（不包括技术相关）、处理风险、数据风险、业务中断与安全风险、第三方风险、技术风险、网络风险（包括信息安全）、模型风险、人力资本风险、财务报表报告风险、监管和管理报告风险。

客户保护风险不属于运营风险类别。

运营风险类别包括欺诈和盗窃（不包括技术相关）、处理风险、数据风险、业务中断与安全风险、第三方风险、技术风险、网络风险（包括信息安全）、模型风险、人力资本风险、财务报表报告风险、监管和管理报告风险。

客户保护风险不属于运营风险类别。

运营风险类别包括欺诈和盗窃（不包括技术相关）、处理风险、数据风险、业务中断与安全风险、第三方风险、技术风险、网络风险（包括信息安全）、模型风险、人力资本风险、财务报表报告风险、监管和管理报告风险。

回答正确。

客户保护风险不属于运营风险类别。

运营风险类别包括欺诈和盗窃（不包括技术相关）、处理风险、数据风险、业务中断与安全风险、第三方风险、技术风险、网络风险（包括信息安全）、模型风险、人力资本风险、财务报表报告风险、监管和管理报告风险。

回答错误。

请参阅了解运营风险部分。

回答错误。

请参阅了解运营风险部分。

您可以做些什么以帮助管理运营风险？

从四个选项中选择最佳答案，然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项，则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

阅读《Operational Risk Management Policy》

了解适用于您工作的管控措施

上报问题/事件

以上都是

提交

列出的所有行动都有助于管理运营风险。

回答正确。

列出的所有行动都有助于管理运营风险。

回答错误。

请参阅以下部分：“了解运营风险”、“实施有效管控措施”和“从行业内吸取教训”。

回答错误。

请参阅以下部分：“了解运营风险”、“实施有效管控措施”和“从行业内吸取教训”。

谁应该在管理 Citi 的运营风险方面发挥作用？

从四个选项中选择最佳答案，然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项，则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

运营风险经理

所有 Citi 员工

负责执行日常流程的一线员工

第一、第二和第三防线的指定人员

提交

只要我们齐心协力，就可以更好地管理风险。

回答正确。

只要我们齐心协力，就可以更好地管理风险。

回答错误。

请参阅了解运营风险部分。

回答错误。

请参阅了解运营风险部分。

未能有效管理运营风险可能会产生什么样的后果？

从四个选项中选择最佳答案，然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项，则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

财务损失

增强运营韧性

提升客户信任度

以上都是

提交

未能有效管理运营风险可能产生的后果是财务损失。其他可能产生的后果包括声誉受损以及无法达成业务目标。

回答正确。

未能有效管理运营风险可能产生的后果是财务损失。其他可能产生的后果包括声誉受损以及无法达成业务目标。

回答错误。

请参阅了解运营风险部分。

回答错误。

请参阅了解运营风险部分。