商业银行合规管理及内部控制与操作风险管理.ppt
1,中国银行 运营服务总部 xxx,商业银行合规管理及内部控制与操作风险管理,2,案件回顾合规管理内控原理三道防线内控实践应对挑战操作风险工具流程,提纲,3,从治理类案件到管理类案件,第一部分:案件回顾,4,巴林银行里森案(1995),1995年2月,英国历史最悠久的巴林银行派驻新加坡的交易员尼克利森“未经授权”大量购买走势看好的日本日经股票指数的期货,但没想到一场阪神大地震使日经指数不升反跌,导致巴林银行亏损14亿美元,一下陷入破产境地。当时整个巴林银行的资本和储备金只有8.6亿美元。荷兰国际集团最终以1英镑价格收购巴林银行。,5,2001年10月中行广东开平支行许超凡、许国俊、余振东等3任行长,9年里监守自盗483亿美元。2004年4月16日17时10分许,中国银行开平案主犯之一、原中行广东省开平支行行长余振东被美国警方押送回北京首都国际机场。中国警方在机场对其实施逮捕。,广东开平案(2001),6,苏格兰皇家银行MacKenzie案(2004),苏格兰皇家银行(RBS)2004年暴露英国历史上最大的银行欺诈案,Donald MacKenzie是爱丁堡人,为RBS员工,1999年至2004年期间通过开立大量虚假账户的方式骗取银行资金,涉案金额达2100万磅(约合3亿元人民币),其中有1000万磅的损失不知去向。Donald MacKenzie也是RBS业务骨干,一个正在上升的新星(a rising star of RBS),曾三次因拓展业务而受到奖励,也因此掩盖了其欺诈行为。此案是因RBS改造IT系统导致案发,同国内发生的一些银行欺诈案件的特点非常类似,如出一辙。此人2004年事败,2006年6月底被判15年徒刑。,7,哈尔滨松江街支行高山案(2005),2005年1月3日,中国银行黑龙江分行哈尔滨河松街支行行长高山全家离境去了加拿大,并且卷走了6亿多元储蓄资金。高山卷走的这些资金中,一笔是东北高速的存款3.23亿元,另一笔是黑龙江辰能投资有限公司的3.06亿元。高山的作案方式主要是开具假存单。在最后的作案时间里,他在中行其他支行提现1亿多元。被卷走资金的辰能投资的一位相关负责人,在知道这件事的当天晚上和几个好友吃完晚饭后,回到家里跳楼自杀了。,8,农行邯郸分行金库被盗案(2006),2006年10月至2007年4月,中国农业银行河北省邯郸分行金库管库员任晓峰、马向景等人,利用担任金库管库员的职务便利,共同窃取金库现金5095.605万元,用于购买彩票。2007年8月9日邯郸市中级人民法院一审认为对任晓峰、马向景行为已构成贪污罪,且数额特别巨大,情节特别严重,对两人做出死刑、剥夺政治权利终身的判决。2007年9月19日河北省高级人民法院做出终审裁定,驳回任晓峰、马向景、赵学楠的上诉,对邯郸银行盗窃案全案维持一审原判。对任晓峰、马向景维持死刑判决的裁定,河北省高级人民法院将依法报请最高人民法院核准。,邯郸银行金库特大盗窃案嫌犯任晓峰落网,资料图片:马向景接受审讯,9,法国兴业银行科维尔股指期货欺诈交易案(2008),2008年1月,法国兴业银行发生交易员杰洛米科维尔从事欺诈性股指期货交易,造成法国兴业银行49亿欧元(71.6亿美元)损失。这名交易员从2007年上半年便开始在上级不知情的情况下从事违规交易,交易类型为衍生品市场中最基本的股指期货。这次欺诈事件是银行史上造成损失数额最大的一次。,10,代价!,“毁誉”声誉风险“破财”财务损失“分心”整改成本,11,财务损失,金融监管部门的罚款;各种诉讼赔偿;律师费用、独立的第三方调查费用、公关费用;失去准入资格,丧失巨大的业务机会;股价下跌,融资成本增加;其他的间接财务损失。,在监管者面前失去信誉引起监管的连锁反应在公众面前失去信誉媒体的放大效应在市场投资者面前失去信誉投资评级的下降各种声誉风险相互关联造成的放大效应从监管处罚的公开到媒体的反应,到市场反应、诉讼导致的声誉风险具有持续性,声誉损失,机会损失,正常的战略实施步骤将被打乱与监管者的沟通和修复关系避免连锁监管反应回复客户信心监督实施整改计划应对媒体负面报道,合规风险的影响,12,2004年10月25日花旗集团CEO普林斯本人亲赴日本以个人身份向日本金融厅专员五味广文道歉。,日本金融厅长官五味广文,花旗集团CEO Charles Prince,毁誉!,13,“Say sorry,Japan style”,2004年10月25日花旗集团CEO Charles Prince和日本花旗CEO Douglas Peterson因违规和洗钱行为在东京举行新闻发布会表示谢罪:“我为花旗未能在日本守法合规经营,真诚地向客户和公众致歉。”,右:花旗集团CEO Charles Prince,左:日本花旗CEO Douglas Peterson,毁誉!,14,CSFB由于违反合规导致其在日本被吊销执照Citigroup因贷款违规被罚7000万美元投资银行业巨头Morgan Stanley、Deutsche Bank 和 Bear Stearns 因上市欺诈被重罚1500万美元作为调解方案的一部分,UBS Warburg同意支付2500万美元作为罚款,25美元作为“退脏费”,2500万美元用来支持独立调查,500万美元作为未来的投资者教育款项。在股东投票决定拟议中的并购之前,Bank of America 和 FleetBoston Financial 与监管当局就其相互之间的基金不当交易问题达成一项6.75亿美元的调解方案,监管当局要求 Bank of America在一年内替换其大部分基金董事。英国金融监管当局即金融服务管理局(FSA)以违反英国洗钱规则为由对奥地利银行Raiffeisen Zentralbank sterreich 处以15万英镑(27.2万美元)的罚款。印度国家银行因违反银行保密法及未能完整保存账簿和记录而被联邦储备银行及其它美国监管当局处以750万美元的罚款。五家投资银行因在监管当局调查其是否向投资银行客户签发误导或错误调查报告期间未能向监管当局发送电子邮件而集体被罚825万美元。,商业银行因违规受处罚案例,15,法国兴业银行因科维尔案受处罚,2008年7月,法国银行监管机构“法国银行委员会”对兴业银行开出400万欧元罚单,原因是兴业银行内部监控机制“严重缺失”,导致巨额欺诈案的发生。银行委员会指出,兴业银行内部监控机制严重缺失,使得金融交易在各个级别缺乏监控的情况下,在较长时期内难以被察觉并得到纠正,因而存在较大可能发生欺诈案并带来严重后果。,为此对兴业银行罚款400万欧元。这一罚款金额接近银行委员会的罚款上限(最高上限为500万欧元)。,16,合规风险管理原理与实践,第二部分:合规风险,17,BASEL“合规风险”定义,合规风险指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行业务活动的行为准则(“合规法律、规则和准则”)而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。合规与银行内部合规部门(2005年4月),“Compliance risk is defined as the risk of legal or regulatory sanctions,material financial loss,or loss to reputation a bank may suffer as a result of its failure to comply with laws,regulations,rules,related self-regulatory organisation standards,and codes of conduct applicable to its banking activities.”,18,“合规法律、规则和准则”主要包括:,遵守市场行为的适当准则管理利益冲突公平对待消费者确保客户咨询的适当性特定领域:反洗钱和反恐怖融资、税收,“合规法律、规则和准则”渊源包括:,遵守市场行为的适当准则立法机构和监管机构发布的基本的法律、规则和准则市场惯例行业协会制定的行业规则适用于银行职员的行为准则等。合规法律、规则和准则不仅包括那些具有法律约束力的文件,还包括更广义的诚实守信和道德行为的准则,“合规法律、规则和准则”理解,19,银监会“合规”定义,“本指引所称合规,是指使商业银行的经营活动与法律、规则和准则相一致。”“本指引所称法律、规则和准则,是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。”,“本指引所称合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。”,银监会商业银行合规风险管理指引(2006年),20,其它“合规”定义,合规是指,使一家银行的活动与所适用的法律法规、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的规章制度和行为准则(统称“合规法律、规则和准则”)相一致。合规是银行内部一项核心的风险管理活动。,上海银监局上海银行业金融机构合规风险管理机制建设的指导意见(2005年9月),“本规定所称合规,是指证券公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度,以及行业公认并普遍遵守的职业道德和行为准则。”,证监会证券公司合规管理试行规定(2008年7月),?,21,思考:“内法”还是“外法”?,“规”是指“外部的法律、规则和准则”还是还包括“银行内部规章制度”?如果“合规”包括“银行内部规章制度”,那么“合规管理”和“内部控制管理”还有分别吗?监管当局往往对银行“内部控制”也提出合规要求,这是否意味着“银行的内部控制建设就是为了满足监管当局的合规要求”?,是否进而可以说“银行的内控工作即是合规工作”?银行”合规管理“和”内部控制“之间的关系如何?合规风险管理能否完全杜绝违规事件的发生?,22,“外法”内化流程,法规变化,分析处理,分解到各部门,各部门内化,重点关注人民银行、银监会、外管局及其它境内外监管法规变化,分析对我行经营管理的影响,关注与各部门工作的相关性;对于有重大影响的法规,发布合规风险提示,制定、修改规章制度和操作流程,23,专项合规管理流程实例:反洗钱,设置反洗钱工作委员会制度建设:反洗钱政策;“了解客户”制度;大额交易报告制度;可疑交易报告制度;记录保存制度(账户和交易资料的保存)系统建设:大额和可疑交易报告系统反洗钱检查开展多层次、有针对性的测试和培训:管理部门、一线员工,围绕监管关注的焦点确定重点合规工作!,24,三类合规风险管理检查“仪表盘”示例,25,合规风险管理流程框架,26,合规风险识别、评估、监控流程,外部法规变化的监控规章制度合规性审查新产品合规管理(新产品开发的合规性论证;新产品投入市场前,对相关法律文件及宣传品进行合规审查)重大合规信息的报告合规培训管理重大合规项目的管理:反洗钱;关联交易问责制度绩效考核指标,27,合规、内控、操作风险定义,合规风险 银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。(BASEL)内部控制 由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。(COSO)操作风险 由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义不包括策略风险和声誉风险,但包括法律风险。(BASEL II),28,COSO 2003全面风险管理框架(ERM),“EnterpriseRisk ManagementFramework”(ERM)COSO 2003年7月公布,29,合规同内控及操作风险间比较,合规是内控多重目标之一,但不是唯一目标;合规管理流程是内控管理流程的一部分重要内容,但不是全部内控流程;合规风险引起的原因包括人员、流程、系统,因此合规风险是操作风险的一部分;合规风险是一种特别的操作风险,因此需要专门的管理!,30,内控三道防线理念适用于合规管理,董事会及执行委员会,第一道防线,第二道防线,第三道防线,业务部门和分支机构从事业务操作的人员,日常风险管理,集团总部、分支机构、业务条线合规风险管理人员,专家职能负责政策制定、工具开发专业咨询、风险管理监控,独立检查,稽核部门,31,内部控制基本原理从“控制”到“风险”!,第三部分:内控原理,32,COSO 1992内部控制框架(ICF),运营目标财务报告真实性目标合规目标,控制环境;风险评估;控制活动;信息和沟通;监控。,各业务单位各业务活动,第二维:5个要素,第一维:3个目标,第三维:2个方面,COSO:CommitteeofSponsoringOrganizationsoftheTreadwayCommission,33,COSO 2003全面风险管理框架(ERM),“EnterpriseRisk ManagementFramework”(ERM)COSO 2003年7月公布,34,ERM2003,ICF1992,要素维度,组织维度,COSO I与COSO II之框架比较,目标维度,35,风险是一个事件将会发生并给目标实现带来负面影响的可能性。,ERM对“风险”的定义,ERM严格区分“风险”和“机会”(将产生正面影响的事件视为“机会”,ICF没有区分风险和机会;ERM可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;,站在现在这个时点预测和评判未来的事情。,将会发生,目标实现,为评判未来结果是好是坏的标准,负面,影响有好的也有坏的,好的影响是机会,会给企业带来利润;坏的影响是风险,会给企业带来损失,可能性,强调了不确定性,有可能发生也有可能不发生。,36,ERM框架八要素之间的关系,目标设定,事件识别,风险评估,风险应对,控制活动,信息与沟通,监控,内部环境,内部环境,37,复杂多维的监管环境带来的挑战,财政部企业内部控制基本规范(2008)内部控制评价指引 内部控制实施指引 内部控制鉴证指引银监会商业银行内部控制指引(2007)银监会商业银行内部控制评价办法(2005)上交所上海证券交易所上市公司内部控制指引(2006)银监会商业银行操作风险管理指引(2007)银监会商业银行操作风险资本计量指引(2008),38,企业内部控制基本规范出台背景,2005年6月,国务院就财政部、国资委和证监会联合上报的关于借鉴完善我国上市公司内部控制制度的报告做出批示,同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,就研究、制定一套具有统一性、公认性和科学性的企业内部控制规范达成了共识”。2007年3月,财政部发布“关于印发企业内部控制规范-基本规范和17项具体规范(征求意见稿)的通知”,面向全社会开始征求意见。经过一年多的修改和调整,财政部最终于2008年6月28日正式发布了企业内部控制基本规范,作为企业内控的政策性框架文件,用以规范所有企业的内部控制。,39,基本规范实施要求,2005年6月,国务院就财政部、国资委和证监会联合上报的关于借鉴完善我国上市公司内部控制制度的报告做出批示,同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。为加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会制定了企业内部控制基本规范,现予印发,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行本规范的上市公司,应对内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,40,基本规范实施主要问题,实施基本规范商业银行同一般企业实施有何不同?-新资本协议操作风险管理的实施能够解决商业银行内控的绝大部分问题!基本思路:以实施BASEL操作风险管理框架为主,兼顾COSO!基本规范是中国的SOX吗?-如何履行披露义务是一个博弈过程;披露范围广泛;披露方法的选择。如何建立系统的内控评价方法:合理实现全面评价和重点评价的结合;统一的评价和测试标准;评价方法论能支持内控是否整体有效的结论;如何建立统一的内控缺陷评价标准?如何加强内控文档的系统整理和维护?,41,基本规范是中国的SOX吗?,SOX针对上市公司,基本规范针对“大中型企业”,不必然是上市公司;SOX只针对财务报告的内控;基本规范一共有5个目标(运营;财报;合规;战略;资产)SOX要求必须有审计报告;基本规范的提法是“可以”,即无强制要求;SOX不提供内控方法论;基本规范提供方法论框架;SOX的立法重点在于披露责任;基本规范未明确披露要求结论:基本规范因SOX而起,确非”C-SOX”!”C-SOX”是严重的误解!,42,内部控制三道防线体系,第四部分:内控治理,43,内部控制三道防线基本架构和含义,董事会和管理层,各业务单位各业务单位,内部审计,专业性部门或功能(法律、人力资源、反洗钱、保卫、信息科技、信息安全、反金融犯罪等职能,内部控制牵头职能,日常内部控制和操作风险管理,业务一线,内控第一道防线,内控第二道防线,内控第三道防线,提供独立的保证,维护内部控制框架,设定内部控制和操作风险管理政策,制定和开发相关的工具和流程,实施风险监控,业务条线部门内部的内控或操作风险管理职能,44,内部控制三道防线的一般原理,内控三道防线是指业务一线、操作风险管理和专业功能、内部审计构成的三道内控防线,以确保适当和有效的内部控制结构。三道防线是一个理念或概念,但并不是一套规定的规则或者组织架构,不能简单把三道防线对应为组织架构甚至部门。三道防线的理念强调实现有效的内部控制不可能在脱离业务一线的情况下实现,是业务一线来最终拥有和管理自己的风险,即业务一线是风险的所有人,因此是内控的第一责任人。内控三道防线理念的最大优势在于,第一次鲜明地提出各级机构、部门、每个管理者和员工都是第一道防线!一道防线的核心是强调“内控人人有责”。第二道防线(内控牵头部门或者操作风险管理牵头部门)和第三道防线(内部审计)的任务是支持业务一线(第一道防线)识别、评估、监控、缓释和报告其内控控制中存在的问题(也就是操作风险),使业务一线内部嵌入有效的操作风险和内部控制机制,并且在对风险有充分考虑和管理的情况下的开展业务经营活动。,45,中国银行内部控制建设探索实践,第五部分:内控实践,46,中国银行公司治理架构一览,法律与合规部为关联交易控制委员会、内部控制委员会、反洗钱工作委员会的秘书机构。,47,建立内部控制委员会平台,内控委主席李礼辉行长,总行内控委,分行内控委,季度会议制,总分行内控委实施季度例会制度,就各业务条线和分行内控工作做出部署,研究并出台了一系列有关内控的重大措施和规章制度,监控和督促全行内控整改进展,研究范防大要案的具体措施,同苏格兰皇家银行(RBS)开展战略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。,内控委员会建立了分行内部控制数据监测制度,每季度收集包括人力资源、系统失灵、欺诈越权、业务重大差错、反洗钱、监管处罚、内控整改、违规事件、法律风险、关联交易等十大类共61项内控数据,分析比对分行内控数据及其变化情况。分行内控委员会会议纪要报备制度;,季度会议制,分行内部控制数据监测制度,管理层及各一级分行成立内控委员会,统筹领导全行内控体系的总体运行,定期研究讨论重要内控工作,为及时推出有效控制措施提供了议事平台。,48,将内部控制建设纳入整体战略布局,2005年6月召开全行内部控制体系建设工作会议,第一次将内控工作纳入全行总体战略布局当中,提出:以完善的内部控制组织体系为保障,以体现制衡原则、健全有效的制度为基础,以精细化的过程控制为着眼点,以激励约束机制和问责制为引导,以信息科技手段为依托,大力培育合规文化,努力构建我行全面系统、动态、主动和可证实的内部控制体系。”这次会议提出六个入手:,从明确职责入手,完善内部控制组织体系建设;从制度建设入手,夯实内部控制基础;从细节入手,实现精细化的过程控制;从完善激励约束机制和问责制入手,引导内部控制目标的实现;从加强信息技术手段入手,提高内部控制水平和质量;从加强教育培训入手,促进合规文化的形成。,49,总分法律与合规部组织架构,业务运营一,业务运营二,业务运营三,知识产权,合规管理,内控评估监控,内控政策规划,内控检查,副总,首席合规官,副总,副总,总经理,海外机构与反洗钱,关联交易,资深法律专家,行政团队,法务秘书,法律风险管理,合规风险管理,内部控制与操作风险管理,各省行均设法律与合规部,牵头本分行内控工作;二级行设相关内控部门负责其内控工作。,50,规章制度机构间差异带来的挑战,问题:不同分行和网点同一业务流程不标准、不统一的现象较为严重。原因:制度缺乏统一操作标准和技术细节,下级行不得不自创流程和标准;规章制度信息在自上而下的传导中产生的误差逐级放大!“上面千条线,下面一根针”,分散的规章制度事实上难以被掌握;上级管理部门对基层负担不敏感;对基层是否掌握规章制度不敏感;“要不要做麦当劳?”标准化思想尚未深入人心;“规章制度是否都要结合本行实际?”什么是“本行实际情况”?对规章制度的特别化处理缺乏管理。危害:“说不清楚”降低了管理透明度“考核总是不公平”降低了行与行之间的可比性“我总是坐在火山口上”降低了内控系统的可靠性“为什么总是管不好下级机构的内控工作?”总行和一级分行对下级机构的管控难度加大。解决:能明确具体操作标准的要尽量明确;制定规章制度流程要科学,倾听基层意见不能走形式;大力倡导操作流程的标准化和一致化个别机构因实际情况确有必要调整流程,应及时报备。上级对下级机构的流程差异要心中有数。,51,第六部分:应对挑战,如何应对COSO和BASEL两方面挑战?,52,BASEL和COSO两方面挑战,一方面我们面临来自BASEL的挑战:要按照银监会要求,实施巴塞尔新资本协议,完善操作风险管理框架,主动识别、评估、缓释、监控、报告操作风险。我们同时还面临来自COSO的挑战:要根据财政部等五部委联合发布的企业内部控制基本规范要求,按照COSO全面风险管理框架,完善内部控制体系。,53,COSO与BASEL对比分析,巴塞尔新资本协议操作风险管理框架主要突出银行特色COSO全面风险管理框架则是对一般企业的共性要求两者角度虽有不同,但在精神实质上是一致的。银行业要统筹考虑自身内控和操作风险管理体系建设问题,54,内部控制与操作风险管理的关系(一),操作风险管理文化,识别,评估,控制或缓释,监控报告,内部环境,风险评估,控制活动,信息与沟通,监控,目标识别,事件识别,风险评估,风险应对,内部控制,操作风险管理,两个术语表达的含义略有不同,但在精神实质上是一致的,55,内部控制与操作风险管理的关系(二),本行不严格区分“内部控制”与“操作风险管理”,对“内部控制”与“操作风险管理”两者关系的表述是:“内部控制”和“操作风险管理”两个术语的内涵和侧重点虽有不同,但两者涉及的问题和领域在相当大的范围内是共同的,在方法论上是相近或一致的。内部控制中的“内部环境”要素与“操作风险管理文化”在内涵上基本一致;内部控制框架中“目标设定”、“事件识别”、“风险评估”三个要素大致可体现为操作风险管理循环的“识别”与“评估”环节;“风险应对”和“控制活动”两要素实际上与操作风险管理循环中的“控制或缓释”环节相当;“信息与沟通”要素的内容在操作风险管理循环的“报告”环节有所涉及。,56,应对思路“一心二用”,以巴塞尔新资本协议实施为主;同时借鉴COSO等国际内控标准;逐步搭建具有银行自身特色的内部控制与操作风险管理框架;一个框架满足两方面要求;,对应来自COSO与BASEL两方面挑战的总体思路:,57,第七部分:操作风险原理,BASEL操作风险管理,58,什么是操作风险?,“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险,但不包括策略风险和声誉风险。”一般行业对操作风险的定义-BBA/Isda/RMA 对操作风险的调查需注意 其不包括策略风险和声誉风险细化来看,操作风险包括原因、事件及后果。原因,如:导致损失的缘由是什么事件,如:给损失分类后果,如:该损失对损益的影响,59,操作风险定义解读,操作风险是银行除了信用风险和市场风险以外的其他风险,因此也有称“企业风险”。操作风险叫“运营风险”更为准确,因为企业运营运转的因素就是人、流程、系统、外部环境。操作风险和内部控制是一回事。风险和控制是问题的两面!风险管理是内部控制的高级阶段在组织中无处不在并构成业务经营组成部分是内部因素和外部因素的混合体不可避免,不能完全消除并只能尽量减少它难计量通常情况下操作风险的原因并不显而易见,其是各种潜在因素的产物,60,操作风险管理流程循环,规避转移加强内部控制接受剩余风险,风险与控制评估集团重大事件报告流程集团新产品审批流程业务持续经营计划,风险与控制评估集团重大事件报告流程集团新产品审批流程损失数据收集流程,操作风险事项及剩余风险监控集团重大事件报告流程损失数据收集关键风险指标,61,从Basel I 到 Basel II,没有针对操作风险的资本要求,较低的风险敏感性,Basel I,仅有部分监管机构要求银行进行整体风险评估,有限的披露要求,明确提出对操作风险的资本要求,明确的披露要求,明确的整体风险/资本评估要求,较高的风险敏感性,Basel II,巴塞尔新资本协议框架,转换为不同国家的监管要求,各国可根据实际情况对新协议的部分规定进行修改,导致母国/东道国间的差异,62,第二支柱ICAAP and SREP,银行全面评估面临的风险,涵盖:未被支柱1完全覆盖的风险,如:集中度风险;支柱1未考虑的风险,如银行账户利率风险:压力测试;评估覆盖风险所需的资本;由监管机构对于资本充足率进行监督检查。,第三支柱信息披露,针对风险管理的新的市场披露要求。需有效披露:银行风险状况;资本充足状况;披露具体的定性和定量信息:适用范围;资本的组成;风险暴露情况;资本充足率。,第一支柱最低资本要求,新的基于风险的最低资本要求,涵盖信用风险、市场风险和操作风险:通过更为完善的信用风险加权和内部评级方法,增加风险敏感度;更好的统一监管资本与经济风险;对信用风险和操作风险提供了不同复杂性的多种方法。,IT基础设施,三大支柱,一致的数据架构,数据管理标准,新资本协议架构(三大支柱),63,背景,银监会2007年2月,中国银监会发布了中国银行业实施新资本协议指导意见,要求“。大型商业银行应实施新资本协议”;2007年5月,中国银监会印发了商业银行操作风险管理指引。该指引明确要求“商业银行应当按照本指引要求,建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系,有效地识别、评估、监测和控制/缓释操作风险“;2008年10月1日,中国银监会发布的商业银行操作风险监管资本计量指引正式开始施行。中国银行2008年3月20日,中国银行董事会批准了中国银行巴塞尔新资本协议实施方案,随后银行启动了多个子项目的实施工作。,项目开展驱动因素新资本协议的合规要求银监会和巴塞尔委员会在新资本协议中均就操作风险管理以及资本计量设定了一系列监管要求;银行业务发展及风险管理水平提高的客观需要当前银行业务复杂程度提升,操作风险凸显;操作风险管理已经具有一定基础,仍需向领先实践迈进。,64,银监会对BASEL的态度,07年2月,银监会为我国商业银行实施巴塞尔新资本协议设定最后期限,督促大型商业银行从2010年底起开始实施新资本协议,最迟不得晚于2013年底。银监会尚未明确操作风险资本金计提的具体方法,但在非官方场合表示目前国内商业银行的操作风险测量和管理实践的实际情况比较适宜采用标准法。中国银行按照市值排名是全球第四大商业银行,跻身于国际一流银行之列就必须借鉴国际领先银行在操作风险管理领域的最佳实践,满足巴塞尔协议的高级法要求。我们的任务:2010实施标准法,同时着眼于高级法的要求,在资本金计量和操作风险管理框架 两个方面不断完善和提高,逐步完成向高级法的过渡。,65,操作风险管理框架,风险及控制自我评估(RACA),战略决策,业务项目,风险计量,损失数据(LDC),操作风险治理使命,指导原则,风险战略,风险偏好,组织架构,风险术语,关键风险指标(KRI),风险监控,风险识别及评估,操作风险计量监管及经济资本模型,风险报告,风险识别及评估工具,定性分析,定量分析,66,66,净利息收入+其他收入乘以15%计算3年的平均值,基于内部和外部损失数据以及情景分析的内部模型,操作风险资本计量方法概述,基本指标法,标准法,高级计量法,净利息收入+其他收入按业务线归类按业务线的不同乘以12-18%计算3年的平均值,67,操作风险管理的定性要求,基本指标法,高级计量法,标准法,操作风险的稳健做法,三种方法都鼓励遵守“操作风险管理与监管的稳健做法”(巴塞尔委员会,2003年2月)。对高级计量法的大部分要求在“操作风险管理与监管的稳健做法”或标准法中亦有涉及。高级计量法的主要区别在于:操作风险建模(如情景分析,加工内部损失数据,使用外部损失数据,参数的验证)数据和分析的深度,68,标准法对银行在管理方面的要求,国际活跃银行使用标准法在管理方面还需满足:操作风险管理框架中必须有操作风险管理部门,并对其职责进行清晰的描述,包括制定管理原则、规章制度和工作流程,设计风险报告系统,制定和实施操作风险暴露测量方法。操作风险管理流程必须留下完整、准确的记录文档;向业务条线、高级管理层和董事会定期提交操做风险报告;确保银行能够根据管理报告采取恰当的整改措施;对业务条线和操作风险管理部门开展的活动进行定期检查;系统地采集操作风险损失数据,这些数据应该在风险报告、管理报告、风险分析中发挥重要作用。,整改,报告,框架建设,LDC,自我评估,任务,尚未开始实施,69,对于内部历史数据先按事先设定好的集团统一标准对其频率分布和严重性分布进行记录;外部数据提供给内部相关业务领域的专家开WORKSHOP进行情景分析记录频率分布和严重性分布;由于历史数据是基于历史上的控制环境和控制措施,但这些方面现在可能已经发生变化(如业务条线上的调整即为控制环境的变化),因此需要对上述两方面的数据根据控制环境的变化实施调整,此流程即为ABCE流程;将上述数据通过蒙特卡罗法进行模拟分析形成操作风险的损失分布,但得出的分布曲线是每一个业务条线的每一类损失的分布,即八个业务条线和七类操作风险事件的共56个类别上的分布;将各条线各类事件的分布综合在一起,这时需要考虑56个分布的相关性因素,并据此对模型参数做一定调整,从而得出初步监管资本数字;对此数字要进一步扣减:扣除保险赔付的因素,按照BASEL2要求扣减额度最高不能超过损失保险金额的20%;扣除预期损失(EL,是指那些经常发生的银行可以预见的损失,主要指那些高危低频特征明显的操作风险事件,如银行卡欺诈PLASTIC FRAUD、非银行卡欺诈NON-PLASTIC FRAUD、现金帐务不符CASH DEFICIENCIES测算,EL是AMA方法下监管资本的扣减因素)部分,因为预期损失银行已在预算和定价中进行弥补了,因此也就无需用资本抵补,经过这些流程,银行即计算出操作风险需要的最终监管资本;银行还要就此监管资本在内部各业务条线进行分配,实施操作风险的经济资本管理。,计算AMA操作风险监管资本7步骤,70,基本原则与操作风险管理循环的关系,71,操作风险管理流程、基本原则与管理循环,72,第八部分:工具流程,操作风险管理工具和流程,73,操作风险管理三大工具,风险与控制评估(RACA),关键风险指标(KRI),损失数据收集(LDC),管理信息/风险报告,记录与验证,风险监控,风险识别与评估,行动方案,治理,未来观点,当前观点,历史观点,74,工具流程,操作风险与控制评估流程(RACA),75,RACA概述,风险部分,控制部分,风险与控制评估(RACA),风险与控制评估是一种银行操作风险管理手段,力求通过每个业务单元自我的观察、分析,并借助经验和判断,对银行自身可能蒙受的操作风险以及控制情况进行识别和评估,以便对其进行防范,并进而提高银行的风险和业务管理水平。它通常采用以研讨会或调查问卷为主的工作形式,结合专门的操作流程,在银行各个业务条线中开展。,风险与控制评估,识别潜在操作风险以便防范,改善操作风险管理文化,健全内控管理体系,协助管理决策,达到监管机构的监管要求,风险与控制评估(RACA):指各机构、部门作为操作风险所有人定期(按季)评估自身的风险和控制措施,并使用标准化模板持续记录和报告的标准化流程.,76,工具流程,操作风险关键风险指标流程(KRI),77,KRI的作用与目标,监控报告关键操作风险,建立风险偏好,作为预警指标,统一监控整个组织操作风险状况和报告关键风险领域变化;,通过实施操作风险KRI阀值逐步建立银行的操作风险偏好;,可作为具体业务和管理过程中潜在的风险与控制问题的预警指标;,风险定量化,风险管理文化,促进操作风险管理定量化;,培育“没有意料之外的事件”的风险管理文化;,关键风险指标的作用与目标,78,KRI定义,操作风险关键风险指标(Op Risk Key Risk Indicators,KRI)是一系列的参数,通过反映操作风险发生可能性或影响度或某一控制有效性,对该风险或控制进行定量跟踪监测的操作风险管理工具。,系统故障次数,IT系统当月出现的系统故障次数,0,5,10,15,20,25,1,2,3,4,5,6,7,8,9,10,11,12,示 例,79,工具流程,操作风险损失数据收集流程(LDC),80,损失数据收集(LDC)的作用,识别损失金额较大和发生频率较高的领域和流程,发现内控薄弱环节,以便管理层有针对性地投入资源来改善风险状况,识别风险,从发生的操作风险事件中吸取经验教训,优化风险控制措施,降低同类损失事件再次发生的可能性或影响程度,优化控制,满足新资本协议操作风险达标的要求,满足监管要求,为实施新资本协议操作风险高级计量法积累高质量的数据,资本计量,损失数据收集(LDC),操作风险损失数据收集(Loss Data Collection,简称LDC)指操作风险损失数据的识别、收集、汇总、分析和报告工作。,81,关键概念解释,操作风险损失事件,操作风险损失数据,损失事件的事实情况财务损失及成本若没有造成财务损失或成本,则不纳入操作风险损失数据的范畴,符合本行操作风险定义的由不完善或有问题的内部程序、人员、系统以及外部事件造成损失的事件,损失金额:直接导致的损失、成本后续挽回的金额不包括:操作风险事件导致的收益毛损失金额:不扣减挽回金额的损失及成本金额,损失数据收集门槛(Threshold):收集操作风险损失数据的起点金额预计或已经造成的毛损失达到门槛金额时,应该进行收集本行损失数据收集门槛为10,000元人民币(或等值的外币),损失金额毛损失金额,损失数据收集门槛,82,损失事件记录表,样例:某支行公务用车失窃。,83,监督检查,收集的全面性,所有符合收集标准的新发现的损失事件是否全部进行了填报,填报的完整性,数据要素是否完整描述性信息是否全面,填报的准确性,填报内容是否正确反映了实际情况,填报/更新的及时性,新发现的损失事件是否及时填报已填报过的损失事件在发生变化后是否及时填报了更新信息,审核和报送程序,是否按照规定履行了审核和报送程序,文档保管情况,是否对于收集过程中的各类记录文档进行了妥善保管,84,操作风险