商业银行内部控制、合规风险管理

1,自我介绍,各位同行，大家好！,2,商业银行内部控制、合规风险管理,庄海 2011年6月,3,内部控制的定义 内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。 引自中国人民银行2002年9月7日公布施行的商业银行内部控制指引,定义,内部控制的产生与发展（国外） 1985 美国 会计舞弊遏制 成立反财务舞弊委员会（Treadway委员会）提出解决方案，强调了内部控制的重要性 Treadway委员会的五个发起组织：AICPA（美国公共注册会计师协会）、AAA（美国会计协会）、FEI国际财务管理人员协会、IIA（内部审计师协会）、NAA（国际会计协会）联合成立COSO委员会； 1992 COSO 发布了内部控制纲领性文件内部控制整体框架、94年出修订版，得到US联邦储备委员会、证券交易委员会、巴塞尔委员会等的认可，在世界范围内产生广泛影响； 2001 美国 世通、安然等公司财务舞弊，导致萨班斯法通过，其中SOX404条款采用COSO内部控制框架，明确CEOCFO对内部控制承担经济与刑事责任； 2004 COSO公布了企业全面风险管理框架，将内部控制体系发展为全面风险管理体系。,内部控制的产生与发展（国内） 1997.5 央行颁布加强金融机构内部控制的指导原则 2002.9 央行以巴塞尔委员会银行业组织内部控制体系框架为架构，制定了商业银行内部控制指引 2004.11 银监会发布了商业银行内控评价试行办法 2007.7 银监会发布了修订的商业银行内部控制指引对银行的内部控制提出了明确的要求。,【商业银行内部控制评价办法】（以下简称办法）2004年中国银行业监督管理委员会发布的九号令是商业银行建立和评价内部控制体系的导向和指挥棒。 该办法与此前人民银行颁布的指引为商业银行构建内部控制体系搭建了框架,2007年7月，中国银监会正式发布商业银行内部控制指引，并将其和2005年2月同是银监会发布的商业银行内部控制评价试行办法作为中国银监会及其派出机构对商业银行内部控制评价的依据标准，由此得出的内部控制评价结果是商业银行风险评估的重要内容，也是市场准入管理的重要依据。 从整体上看，指引共有十章，具体内容可以分为四部分： 总则和内部控制的基本要求，从宏观层面把握内控； 授信的内部控制到中间业务的内部控制，从业务层面较为详细的介绍内控； 会计的内部控制到内部控制的监督与纠正，从执行和监督的角度说明内控； 附则，说明了指引的适用范围和重要作用。,商业银行内部控制指引的解读,指引的解读,1、内部控制的系统和整体观 指引从系统和整体的角度对内部控制进行定义：内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。在该定义中，动态过程和机制是强调的重点。为了保证对内控进行事后的监督和纠正，不断强化大众对内控动态过程的理解。 2006年,中海集团发生将近25亿人民币的银行短期贷款违规进行股市投资的事件, 2007年4月，在公司董事长牵头成立风险管理委员会。不久后，再次发生中海韩国公司财务负责人李克江抽逃资金4000万美元 (约合人民币3亿元)的特大舞弊案件。 这说明在用短期贷款违规投资事件后,中海依旧没真正清查和重视内控制度的执行，监督以及反馈机制，仅仅是在事后补救相关缺陷。这种把内部控制等同于各项规章制度的认识，并没有真正理解内部控制的内在含义，忽视了内部控制是一种机制，是一种业务运作过程中的动态控制。,指引的解读,2、务实的内部控制目标 “确保商业银行发展战略和经营目标的全面实施和充分实现”是内部控制的宏观目标，商业银行的发展战略和经营目标是根据自身的实际和现实经济状况而制定的在一定时期内能够达到的目标，它必须切实可行，有针对性，内部控制则是实现这一目标的基础，为这一目标服务。“确保风险管理体系的有效性”强调了内控的执行有效性。将其放入商业银行内部控制的目标，体现了指引对该问题的重视。 银行等金融行业的业务流程是先向公众借款，其后将募集的资金投资于高风险领域以获得回报。由于金额之大，涉及人群之多，一旦发生巨额亏损，不仅会给金融机构本身带来毁灭性的打击，也会影响社会稳定，危及国家的金融安全。行业的特性决定了内部控制的相关措施必须得到有力执行，利用内部控制降低风险在该指引中得到了有力的体现。,指引的解读,3、三道防线，四项原则，五个要素。 三道防线具体指内部控制定义中：事前防范、事中控制、事后监督和纠正。 四项原则分别是：全面、审慎、有效、独立。 五个要素为：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。 内部控制五要素主要参照巴塞尔银行监管委员会发布的商业银行内部控制制度框架。其中，内部控制环境还强调了“商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任”，以及“培育良好的企业精神和内部控制文化”的必要性。 4对信息系统内部控制的强调 指引特别强调计算机信息系统的内部控制。最终目的之一就是确保业务记录、财务信息和其他管理信息的及时、真实和完整。这是内部控制的微观目标。达到这一目标，可以有效地防止差错，减少错误和失误，从而为实现宏观目标提供保障。 总的来说，指引从宏观到微观，从理论概念到操作规则全面说明了内部控制对商业银行的重要作用，以及结合商业银行特点强调内部控制的具体要求。但在现阶段，内部控制理解的偏差等原因常常导致了指引执行的困难。,1995年，运营了100多年，号称“皇家银行”的英国巴林银行因交易员里森导致14亿美元的巨亏而宣告破产； 2008年1月，发生的法国兴业银行71亿美元舞弊巨亏案中，正是因为一名精通电脑名叫Jerome Kerviel(热罗姆凯维埃尔 )的交易员冲破银行信息系统内部层层监控进行非法交易造成的。 秦山核电一颗螺帽的故事,内部控制的目标,“确保商业银行发展战略和经营目标的全面实施和充分实现”是内部控制的宏观目标。 三大微观目标： 1、经营的效率与效果（经营目标） 2、财务报告的可靠、完整与及时性（信息目标） 3、经营活动符合现行法律、法规的要求（遵循性目标）,内部控制的经济价值,前面几个案例可以得出从维护与促进价值创造这一根本功能来看，内部控制与风险管理的目标是一致的； 作为经营货币的企业，商业银行高负债运营的特性注定了商业银行所具有的操作风险本质，因此具备较强的操作风险防范和控制能力就成为商业银行长期持续健康发展的前提； 而“操作风险控制和防范”正是内部控制要解决的问题。,商业银行内部控制是一个系统 它具有系统的基本特征：由若干部分组成；各部分之间，部分和整体、整体和更大的整体或环境之间，存在着相互联系和相互作用；有明确的目标，具有特定的功能。,内部控制五大要素,一、内部控制环境： 员工品格与价值观 公司经营风格 员工素质与能力 组织结构 企业文化 董事会与审计委员会 授权体系 人力资源政策,内部控制五大要素,二、风险识别与评估 风险管理部门 风险管理系统 制度和程序先行 内部控制评价,内部控制五大要素,三、内部控制措施 岗位设置控制 授权批准控制 操作程序控制 会计系统控制 实物控制 内部审计控制 风险防范控制,内部控制五大要素,四、监督评价与纠正 内部控制作为一个完整的系统，是一个“动态的过程”； 再好的系统，也要通过“过程”的检验； 任何一项制度，如果得不到有效的执行，还不如没有制度； 情况是不断变化的，内部控制也要随不断变化的对象修正、完善，以保证有效的控制。,内部控制五大要素,五、信息交流与反馈 报告制度 信息反馈 足够的信息与有效的交流和沟通是内部控制系统正常运行的关键，一个良好的信息系统有助于提高内部控制的效率和效果。如：情感沟通、操作性业务信息沟通、责任权利利益沟通、风险文化沟通、制度沟通、外部沟通等,26,合规 “合”:遵从、依从、遵守的意思 “规”：法律、规章、制度、规定 银监2006年的商业银行合规风险管理指引，将合规定义为：是商业银行的经营活动与法律、规则和准则相一致。 国家颁布的法律法规 如人民银行法、商业银行法、票据法、担保法、公司法、合同法、物权法、银行业监督管理 法、劳动法、证券法等 外部监管机构的规章制度 如贷款通则、储蓄管理条例、三办法一指引、外汇管理规定、授信工作指引、内部控制评价 试行办法、风险监管核心指标、市场风险管理指引、操作风险管理指引、反洗钱管理办法等 行内的产品、业务流程规定，管理规定 如个人存款、贷款、信用卡、电子银行产品、票据、等产品的规定，会计核算业务流程和劳 动纪律等管理规定,合规概念,广义上还包括： 企业的社会责任、伦理道德、职业操守等道德规范,合规风险 是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则（“合规法律、规则和准则”）而可能遭受监管处罚、重大财务损失、声誉损失或面临法律制裁的风险，更有甚者，会导致商业银行面临破产的风险。,合规风险概念,1、商业银行合规的特性： 强制性 劝诫性 内部约束性 2、合规风险的种类： 按管理流程分 非流程风险 流程环节风险 控制流程派生风险 按是否知情分 主动违规 无知违规,3、合规风险产生的原因： 业绩压力 监督滞后 考核缺位 问责乏力 4、合规风险产生的后果 法律制裁 监管处罚 财务损失 声誉风险,合规风险特性、种类及产生原因、后果,合规风险管理目标与政策制定,合规风险监测与识别,合规风险评估,合规风险应对,合规 风险 信息 处理 报告,内部 控制 管理,合规 风险 管理,合规 风险 管理,合规风险管理环境,后评价和持续改进,合规风险管理体系结构图,建设合规风险管理体系,合规风险控制措施,合规风险控制措施,设置独立的合规组织架构 1、董事会在合规方面的主要职责包括： 负责监督银行的合规风险； 批准银行的合规政策； 审阅并评价合规政策及其执行情况； 评估银行有效管理合规风险的情况。 2、高级管理层的具体职责包括： 制订合规政策、定期评价合规政策的执行状况 ，并将结果 向董事会报告； 如发现重大合规问题，管理层必须立即向董事会汇报。,一、商业银行合规风险管理职责体系建设,合规风险控制措施,在董事会或有关委员会领导下设立独立的合规管理部门，同时直接向高级管理层如首席执行官负责。 3、合规部门的主要职责包括： 制定并执行风险为本的合规管理计划； 持续关注法规的变化并及时向各有关同事传达，提供相关培 训，确保各同事能准确理解并执行； 对新产品、新业务和各项制度进行审查； 对员工进行合规培训，并解答合规问题的咨询； 建立合规风险预警制度； 事后对银行各项已完成的业务进行抽样合规检查，以确保所 做业务均按照监管机构的要求，严格执行。,合规部门的设立。如何设？ 合规部门的组织结构模式。模式？ 合规部门的层级管理。人员？,合规风险控制措施,二、商业银行合规风险管理组织体系建设,规章制度的建设 合规风险监测、识别与评估 合规风险检查、报告 合规风险的预警、整改 合规风险的考核、问责,合规风险控制措施,三、商业银行合规风险管理机制建设,规章制度的建设 合规培训制度； 合规审核制度； 合规风险识别与评估制度； 合规检查制度； 员工基本合规要求制度； 合规人员管理制度等；,合规风险控制措施,三、商业银行合规风险管理机制建设,合规风险监测、识别与评估 （方法包括：流程分析法、情景模拟法、引导会议法、专家预测法、调查问卷法、符合性测试法） 负责监测、识别各机构、业务条线、客户、产品、员工中存在或潜在的合规风险以及风险的变化； 负责掌握收集内外部审计、稽核、监控等部门及监管部门发现的合规风险隐患和合规风险事件； 负责收集和整理本行所有的合规风险点并绘制合规风险列表； 负责评估违规风险发生后可能导致法律制裁、监管处罚、重大财务损失和声誉损失等损失的概率和损失的大小，以及对本行整体运营产生的影响程度； 负责评估各机构、各业务条线合规风险管理的状况和改进情况。,合规风险控制措施,三、商业银行合规风险管理机制建设,建设良好的银行合规文化 合规文化是一种边界的理念。是一种精神上的东西，它是在银行长期经营活动中逐步形成的人们的共同价值观，是成员行为的思想边界，对每个成员都能形成自我约束。,合规风险控制措施,四、商业银行合规风险文化建设,合规文化建设包括以下几条准则,合规从高层做起。一层意思是银行业金融机构高层领导的所作所为首先要合规，不仅要树立合规意识，更要在行动上以身作则,为全体员工作出表率。另一层意思就是要求高层领导一定要重视合规管理，配备合适的合规管理人员。 合规人人有责。合规并不只是专业合规人员的责任。合规风险分布于银行的所有工作岗位，这种分散化特征决定了每一个业务点都是合规操作的风险点，我们每一名员工都是合规操作和管理的第一责任人。 坚持合规操作和管理是每个部门、每位员工日常工作的神圣职责，自觉养成按章办事、遵纪守法的良好习惯，杜绝有章不循、违规操作现象，逐步确立起“合规人人有责”的理念。, “主动合规”的合规文化。倡导主动发现和暴露合规风险隐患或问题，并相应地在业务政策、操作程序上进行适当的改进，以避免任何类似违规事件的发生和纠正已发生的违规事件。从而形成全员尊重规则、严守规则并恪守职业操守的良好合规氛围。 合规管理必须是一个持续性过程。合规管理的主要目的是提高银行管理、防范和控制风险的能力。银行作为经营风险的企业，每时每刻都面临着风险，都需要管理风险。因此，合规管理必须是一个持续性过程。,合规文化建设包括以下几条准则,40,“风险”这个词来源模糊，充满争议。据艾瓦尔德（Ewald）考证，这个词来自意大利语的risque，是在早期的航海贸易和保险业中出现的。在老的用法中，风险被理解为客观的危险，体现为自然现象或者航海遇到礁石、风暴等事件；而这个词的现代意思已经不是最初的“遇到危险”，而是“遇到破坏或损失的机会或危险”。经过两个多世纪的发展，风险这个概念与人类的决策和行动的后果联系更加紧密，并被视为对待影响个人和群体的事件的特定方式。,风险一词最早出现在何时、何处?,风险的来源,统计学、精算学、保险学等学科定义：风险是事件造成破坏或伤害的可能性或概率。其局限性：忽视了风险所带有的潜在收益,贝克的定义 :风险是预测和控制人类行为未来后果的现代方式,其他定义：汉森归纳（1）通常表示某种不好的事情可能发生也可能不发生、我们又不能确切预知的情况。（2）表示某种糟糕事情的可能性。（3）指一种有害事情发生几率增长时产生的负面影响程度。 雷恩定义则认为风险包含三个因素：不利的结果、发生的可能性以及现实的状态。,风险的概念,商业银行风险,是指商业银行在经营过程中，由于事先无法预料的不确定因素的变化，使得商业银行的实际收益与预期收益产生背离，从而蒙受经济损失或获得额外收益的机会和可能性。,风险文化 风险文化是指商业银行在经营管理过程中逐步形成的风险管理理念、哲学和价值观，是通过商业银行的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种企业文化。风险文化一般由风险管理理念、知识和制度三个层次组成，其中风险管理理念是精神核心。,风险管理是商业银行的核心竞争力，是创造资本增值和股东回报的重要手段。 风险管理的目标不是消除风险，而是通过主动的风险管理过程实现风险与收益的平衡。 风险管理战略应该纳入商业银行整体战略之中，并服务于业务发展战略 商业银行应该充分了解所有风险，建立和完善风险控制机制，对于不了解或无把握控制风险的业务，应该采取审慎态度。,先进的风险管理理念,风险文化不是阶段性工作，而是商业银行的一项终身事业 商业银行应向全体员工广泛宣讲正确的风险管理理念等内容，使之成为商业银行和员工一致的价值观。 商业银行应该通过建立管理制度和实施绩效考核，将风险文化融入到每一位员工的日常行为。,风险文化的培植,47,风险的主要特点： 未来结果的不确定性 未来结果的损益性 风险事故发生及风险因素变化的可能性 风险的发生具有一定程度的扩散性,48,or,天气,。,银行业务,1.这笔贷款到期能收回来吗? 2.利率还会提高吗?什么时候? 3,不确定性,风险的特点：,49,损益性,Gain,loss,or,风险的特点：,50,风险事故VS风险原因,看得见,看不见,风险原因,风险事故,风险的特点：,51,扩散性（冰岛火山爆发）,风险的特点：,52,解读风险管理,控制：减少不确定性 弥补：不同损失管理方法不同预期损失、非预期损失和意外损失,53,风险与风险管理之-风险与收益的关系 金融产品具有创造收益和承担风险的特性，一般遵循高风险高收益、低风险低收益的基本规律； 实现风险-收益的最优匹配是金融机构关注的核心问题； 深入理解、准确预测风险/收益变化的规律，是实现风险-收益目标的基本要求； 金融机构应该积极承担有利的风险，在合理的风险范围内创造更高的收益。,54,风险与风险管理之-风险管理与银行经营的关系 承担和管理风险是银行的基本职能，也是银行业务不断创新、发展的源动力； 风险管理极大地改变了银行经营管理模式； 风险管理为银行风险定价提供依据，并有效管理银行的业务组合； 健全的风险管理体系为银行创造附加价值； 提高风险管理水平不仅是商业银行生存发展的需要，也是现代金融监管的迫切要求。,55,工行风险管理组织架构图,注：内部审计局直接向董事会汇报；分行层面的各风险管理部门同时向总行层面的相应风险管理部门及分行的管理层汇报,董事会层面,董事长,行长,董事会风险管理委员会,风险管理委员会,资产负债管理委员会,总行层面,副行长,首席风险官,信贷管理部,信用风险,资产负债管理部,风险管理部,分行管理层,分行风险管理部门,分行层面,内控合规部,操作风险,市场风险,流动性风险,57,建行风险管理体系组织架构图,部门主要职责,风险管理部主要职能 牵头负责全面风险管理工作，汇总、报告全行各类风险（包括信用风险、市场风险和操作风险等）管理工作情况，构建全面风险管理体系； 承担全行市场风险管理职能，制定全行市场风险管理相关政策、制度、办法和流程，审查定价模型，进行市值验证，建立、完善和维护市场风险管理信息系统，报告市场风险，制定、监控市场风险限额，承担市场风险管理委员会秘书处职能； 组织推动内部评级法工程，负责收集、整理、分析与测算各类风险要素数据，进行模型设计 ； 承担风险管理委员会秘书处职能，汇总各类风险管理工作情况，报总行风险管理委员会和董事会风险管理委员会审议； 制订全行对公及个人特殊资产处置的管理制度和操作流程，并在授权范围内组织开展特殊资产清收、转化和处置工作 ；,风险管理部的职能和处室设置,风险管理部组织结构图,全面风险管理,风险管理部,综合管理处,风险管理委员会秘书处,风险报告处,内部评级及应用一处,监测分析处,制度管理处,风险资产处置处,特殊资产管理,风险信息处,内部评级及应用二处,市场风险管理处,风险管理部要实现的四个转变,面对当前的新形势，及时提出要加强全面风险管理工作，提升风险管理能力，实现： 由单一的信用风险管理向全面风险管理转变 由风险的事后处置向事前控制转变 由传统定性为主的风险管理向国际高标准的定量与定性相结合的风险管理转变 由分级的风险管理向垂直的风险管理转变,61,62,商业银行风险的基本种类,信用风险 操作风险 市场风险 流动性风险 国家风险 声誉风险 法律/合规风险 战略风险,63,商业银行风险的基本种类,巴塞尔协议分类 信用风险 （包括国家风险） 市场风险 操作风险 （包括法律风险）,中国银行业分类 信用风险 市场风险 操作风险 流动性风险 国家风险 声誉风险 法律/合规风险 战略风险,64,信用风险,信用风险是指债务人或交易对手未能履行合同所规定的义务或信用质量发生变化，影响金融工具价值，从而给债权人或金融工具持有人带来损失的风险。 信用风险可以表现为以下几种形式：,违约风险 交易对手风险 信用迁移风险 信用事件风险 可归因于信用风险的结算风险,65,市场风险,巴塞尔协议定义市场风险：由于市场价格包括利率、汇率、股票、期权、商品等价格的不利变动而导致金融机构表内、表外头寸遭受潜在损失。表现形式分为： 市场风险主要源自所属经济体，因此具有明显的系统风险特征，很难通过分散化投资完全消除。,利率风险 汇率风险 股票风险 商品风险,66,市场风险的具体表现形式,外汇贬值导致所持有外汇资产的损失 外汇升值导致的负债的增加 利率提高导致其还息数额增加 房地产价格下降导致抵押品价值下跌而造成的损失 股票价格下跌导致的资产的损失 债券价格下跌导致的资产损失 因期货、期权价格变化而导致的损失,中国最大的市场风险案例,67,操作风险,操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险； 巴塞尔协议将操作风险分为由人员、系统、流程和外部事件所引发的四类风险，并由此分为七种表现形式：,内部欺诈 外部欺诈 聘用员工做法和工作场所安全性 客户、产品及业务做法 实物资产损坏 业务中断和系统失灵执行 交割及流程管理,操作风险的显著特征,风险的内生性； 原因的多样性； 内在的联系性； 风险的文化性； 风险与报酬的不对称性； 计量的困难性； 与其他风险的叠加性； 损失无限性； 数据的匮乏性； 发展的初步性。,我国商业银行操作风险特点,表现形式多样性： 内外部欺诈、客户产品与经营风险、执行交割与流程风险 发生的范围广： 时间广、区域广、部位广、业务领域广、制造风险的人员广、手段广 操作风险进入爆发期： 内外部欺诈风险比例高、业务中断风险严重,操作风险与信用风险、市场风险的区别,（1）信用风险、市场风险本身蕴藏着操作风险，操作风险会触发信用风险和市场风险，但其自身是相对独立的，并不会受其他风险影响。 （2）银行经营风险的目的是产生收益，这是指经营信用风险和市场风险，不能经营操作风险，只能管理操作风险。 （3）操作风险的管理方式和难度与其他风险不同,操作风险的影响,其中最重大的风险是信用风险，其次是操作风险，再次是市场风险。 80%以上的信用风险是由于操作风险造成的。 操作风险虽是商业银行面临的三大主要的风险之一，但管理操作风险的理论研究、内部控制的实际运用、制度规范等却远远落后于信用风险和市场风险。,72,73,信用风险缓释的技术：,单笔贷款评级模型 贷款组合管理 证券化 抵押品 现金流监控 清收管理,74,市场风险缓释的技术：,头寸管理 对冲 价格盯盘 组合资产 新产品开发 交易工具避险,75,交易工具避险市场风险,即期、远期外汇交易； 汇率、利率、货币互换； 债券、股票交易； 商品交易； 衍生工具； 期权合约,76,银行操作风险缓释技术：,有效的管理控制； 明确的职责和政策； 有效沟通； 职责分工； 有效的安全措施-有形的和系统的； 全过程分析； 有效的员工管理，如培训以及保持员工的稳定性和持续性的计划； 技术支持； 有效的事故处理； 有效的监督和报告； 员工激励； 损失限制，如经营持续计划、诉讼和保险,77,银行风险管理主要方法,主要通过财务-事先准备 资本金准备-非预期损失 一般准备金-预期损失 专项准备金-预期损失,78,基本概念 经济资本:又称为风险资本，它是银行根据内部风险管理需要运用内部模型和方法计算出来的用于应对银行非预期损失的资本，也是银行自身根据其风险量化、风险管理能力认定的应该拥有的资本。 经济资本的特性: 内生性 虚拟性 预期损失、非预期损失和极端损失,事先准备-经济资本,银行风险管理主要方法,79,银行风险管理主要方法,80,经济资本的应用-行业限额,银行风险管理主要方法,81,事前预防：各类战略政策的明确 行业政策-指优先拓展类、一般鼓励类、审慎控制类、压缩退出类行业准入标准政策的确定 区域政策-指银行服务的区域不要过于集中，东西部差异的考虑，东部地区的优先发展区域确定 客户政策-指通过有目标选择客户群体:优先拓展类、一般鼓励类、审慎控制类、压缩退出类 产品政策-指产品拓展的重点性、区域性、客户适用性政策的确定,银行风险管理主要方法,82,银行风险管理主要方法,主要针对单个业务-事前预防 风险分散 风险对冲 风险转移 风险规避 风险补偿,83,风险分散（组合管理） 客户分散-指通过多样化的投资来分散和降低风险 区域分散-指银行服务的区域不要过于集中 产品分散-利润增长不息于多样化产品 风险对冲 指通过投资或购买与管理标的资产收益波动负相关、或完全负相关的某种资产、或衍生金融产品来冲销风险的一种风险管理策略； 金融机构的风险对冲可以分为自我对冲和市场对冲两种情况。,84,风险转移 保险转移-购买保险（财产保险、信用保险、存款保险） 非保险转移-抵押、担保 风险规避 指银行通过拒绝或退出某一业务或市场来消除本机构对该业务或市场承担的风险。 风险补偿 价格补偿-利率浮动 保证金补偿 其他收益补偿（资金量、结算量、其他产品等）,85,86,商业银行风险管理发展的主要阶段,1、以资产负债管理为主的阶段（20世纪60、70年代及以前） 20世纪60年代以后，西方各国经济高速增长，对银行资金需求旺盛，为了扩大资金来源，解决资金供给相对不足的矛盾，西方商业银行变被动负债为主动负债，如大额存单、回购协议、同业拆借。20世纪70年代末，西方国家通货膨胀率不断上升，国际市场利率急剧波动。单一的资产风管理模式稳健有余而进取不足；单一的负债风险管理则相反。二者均不能实现安全性、流动性和盈利性的均衡。 2、以资本管理为核心的阶段（20世纪80、90年代） 1977年，美国经济学家贝克（Baker）提出了资产负债管理理论，强调资产业务和负债业务的风险协调管理通过资产和负债结构的共同调整、偿还期对称、经营目标相互替代以及资产分散实现总量平衡和风险控制。 3、全面风险管理阶段（21世纪以来）以2004年6月巴塞尔新资本协议颁布为标志 20世纪80年代后期，银行业竞争加剧、金融创新发展，金融自由化、全球化。商业银行面临的风险呈现多样化、复杂化、全球化的特点。损失不再由单一风险造成。巴塞尔委员会公布了新巴塞尔协议，由以前单纯的信贷风险管理转向信用风险、市场风险、操作风险并举，组织流程再造与技术手段创新并举的全面风险管理模式。,87,巴塞尔资本协议的发展历史,88,巴塞尔新资本协议的框架,新资本协议,第一支柱： 最低资本要求,第二支柱： 监管当局的监督检查,第三支柱： 信息披露的市场纪律,信用风险,市场风险,操作风险,标准法 内部评级初级法 内部评级高级法,标准法 高级计量法,基本指标法 标准法 高级计量法,内部评级系统 (IRB),89,国内商业银行的风险管理现状,1、历史沿革：79-85年四大商行、86年交行和地方股份制银行、04年开始股改，风险管理全面展开。 2、现阶段的薄弱环节： 治理结构方面：架构不全、执行体系不合理、监督不足 风险文化方面：无序竞争、打擦边球、前中后台意识缺乏 风险政策方面：缺乏系统战略规划、新产品等风管措施缺乏 风险控制方面：合规检查频度、深度不够 管理技术方面：对风险有效识别、计量、监测、管理技术手段不具备 3、中小商业银行主要风险分析,90,商业银行全面风险管理主要特征,全面的风险管理范围：所有机构、产品、客户，统一风险政策、标准、偏好 全程的风险管理流程：业务流程每个环节嵌入风控模块 全新的风险管理方法：资产组合、资产证券化、衍生产品等技术手段 全员的风险管理文化：每位员工，特别是领导都有风险意识和执行力 全球的风险管理体系：充分对接国家风险、转化和转移 全额的风险管理计量：充分对接巴塞尔新资本协议第一支柱：最低资本要求,91,现代商业银行风险管理发展趋势,构建体系化的全面风险管理框架 提升风险管理能力成为银行自发行为 风险管理与IT技术结合更加紧密 （xx银行风险业务17个内部管理系统介绍）,GARP( 全球风险专业人员协会)全面风险管理方案,GARP( 全球风险专业人员协会)全面风险管理方案,( 1) 策略。审慎的全面风险管理是从明确经营任务、目的和策略开始的。因而风险管理的第一环节为制定风险管理策略； ( 2)过程。是风险管理的核心, 是具体实施风险管理的各个步骤, 即风险识别、风险评估、风险测量和控制、估值； ( 3)风险管理基础设施。是构成风险管理框架的基础,它为有效执行风险管理过程提供组织的、分析的、操作的和系统的支持。它包括: 一个独立并且权责明确的风险管理中心, 该中心参与决策制定的过程; 一系列正式的政策和程序, 明确定义和交流风险管理过程; 一致的风险测量方法, 抓住不同风险分类中的损失、先前的机会和风险分散化的可能性; 公司的最大风险承受水平; 广泛的管理报告交流风险情况; 信息技术满足风险信息的需要； ( 4) 环境。全面风险管理框架的成功实现要受到很多环境或“ 软件”方面因素的影响。其中尤为突出的是文化和培训。,94,各部门,整个机构,业务单位,分支机构,企业层级,COSO 提出企业全面风险管理框架（ERM),略 战,作 操,告 报,规 合,内部环境 目标设定 风险事件的识别和确认 风险评估 风险应对 控制活动 信息和沟通 监督 管理要素,企,业,目,标,Coso委员会(committee of sponsoring organizations of the treadway commisson) (美国反对虚假性财务报告委员会下属的发起组织委员会）,coso企业全面风险管理框架，已成为现代企业内部控制最有权威之框架,95,政策与限额,报告,集中风险监管,文化,风险评估,资本配置,政策和限额,职责,风险整合,业务部门A,业务部门B 业务部门C,业务部门D,风险整合,识别,控制,评估,报告 评价,信用,市场,流动性,操作,危机,业务,法律,金融风险,非金融风险,统一制定风险政策和 风险管理目标,整合管理的视角 不同部门、不同风险,类别都采取标准化的 风险管理流程，根据 业务特点对流程进行,微观调整,各种全面风险管理理论框架通常都围绕三大主题展开,96,银行风险管理战略取向,银行风险管理体系建设目标：构建集中、垂直的风险管理体制，形成覆盖商业银行各种风险的全面风险管理体系，建立有效平衡风险与回报的内控和运行机制，全面提高风险管理有效性和风险判断的准确性和客观性，促进各项业务持续健康发展。,97,要实现“五个转变”：,银行风险管理战略取向,管理理念上：由控制风险向经营管理风险转变,管理模式上：由上层级管理向集中管理转变,管理机制上：由部门相互制衡向业务流程中 各环节相互制衡、各岗位自我约束与协助转变,管理手段上：由定性为主向定性与定量相结合转变,管理范围上：由信用风险管理为主向各类风险管理并重转变,98,操作风险损失的认识 发生频率,一个操作风险事件的三个维度,一个事件,内部欺诈,资源损失,价值降低,声誉损失,业务中断,货币损失,原因,内部程序,人员,系统,外部事件,外部欺诈,业务中断,其他外部事件,客户、产品 及业务操作,执行、交割 及流程管理,事件类型,资产损失,监管处罚,税务处罚,法律责任,结果,损失与影响,其他影响,识别操作风险,基本思路： 识别操作风险的事件、原因、结果。即要回答下列问题 1、在业务运作过程中面临哪些操作风险？-事件 2、什么因素导致了事件的发生？-原因 3、所产生的操作风险的严重程度如何？-结果,识别操作风险,基本步骤： 1、对操作风险事件进行具体分析 2、列出操作风险可能的危害 3、找出产生危害的原因 4、找出操作风险事件内在的原因-事件-结果的逻辑关系 5、对准下药，以最好的方法、工具加以管理 案例思考,操作风险评估方法,三种基本方法： 1、自我评估法-银行对其经营和业务活动中的一系列可能遇到的潜在风险进行评估，并且经常通过列出清单、使用工作组的形势来识别操作风险环境的优劣。 2、计分法 （1）影响记分卡：在自我评估的基础上找出银行潜在的操作风险因素，并对其分类，针对每一种操作风险，设计一套衡量其可能影响的指标，由风险管理专家对其打分，最终估计出每一种潜在操作风险进行分类。（分为三个步骤，自己总结） （2）频率记分卡：用以评估风险发生的可能性和频率 3、情景分析法：情景分析法指专家根据自身的专业知识和丰富的经验，对未来出现的情景进行判断，并判断该情景出现的可能性及可能造成的损失。用于数据不充分的情况,操作风险管理体系建设 三道防线,操作风险谁来管理,董事会 监事会 高级管理层 业务管理部门（一道防线） 风险管理部门（二道防线） 内部审计部门（三道防线） 合规部门 后勤保障部门,以上8个不同部门在操作风险管理过程中有不同且明确的职责，并不意味着他们仅仅在职责范围内开展活动，而不进行任何协作与沟通。相反，上述相关部门职责分离同时又有效协作是有效管理操作风险的关键。,操作风险管理流程,识别风险,识别风险,控制/缓释风险,监测及报告,衡量与评估风险,自我评估 各类监测系统,关键风险指标（KRI）,损失数据库 自我评估,操作风险损失弥补 经济资本计量,基本指标法,标准法或替代 基本指标法,高级计量法,目前,近期目标,远期目标,操作风险资本计量： 抵偿非预期损失，维护银行安全，实现稳健经营,操作风险资本分配体现 操作风险管理战略，操作风险管理偏好,操作风险损失弥补 基本指标法经济资本计量,公式：K=GI*R,基本指标法需要的经济资本； GI前三年总收入的平均值； R15，由巴塞尔委员会设定,经济资本:又称为风险资本， 它是银行根据内部风险管理需要运用内部模型和方法计算出来的； 用于应对银行非预期损失的资本； 也是银行自身根据其风险量化、风险管理能力认定的应该拥有的资本。,112,流程、环节的操作风险人员的操作风险,基层机构的操作风险主要来源于,113,基层机构操作风险的发生频率,柜面管理存在的突出问题,（一）单位客户预留印鉴管理 （二）柜员指纹及岗位权限设置管理 （三）会计印章管理 （四）重要空白单证管理 （五）柜面大额资金支付及授权管理 （六）人民币单位银行结算账户管理 （七）客户对账管理 （八）岗位轮换与交接,柜面业务存在的突出问题分布：,柜面业务存在风险点的环节,柜面业务存在风险点的环节,单位客户预留印鉴管理存在的操作风险点：,（1）客户预留印鉴日常操作不合规； （2）印鉴卡保管不规范； （3）印鉴卡使用不规范； （4）印鉴卡内部检查流于形式； （5）电子印鉴管理不到位。,控制措施：,（1）严禁由柜员、客户经理代客户办理印鉴预留和保管印鉴、支付结算凭证等与账户管理和支付结算业务相关的实物； （2）加强客户身份识别，对于未经营销的客户办理预留印鉴手续，应给予特别关注； （3）在办理柜面付款业务时，必须认真审核印鉴，准确鉴别票据真伪； （4）营业机构要根据业务量及网点实际情况预留印鉴卡，确实有需要增加预留印鉴卡套数的要管辖行审批备案，管辖行要加强后续监督管理。,柜员指纹及岗位权限设置管理存在的操作风险点：,柜员指纹： （1）指纹采集处未安装监控设备； （2）采集柜员指纹时无有权人监督，串采指纹； （3）指纹系统管理员（或柜员）变更，在指纹系统中信息未及时清理； （4）柜员在生产系统与指纹系统中身份证号码不一致（新旧身份证）； （5）未定期检查特殊人群的指纹等情况。 岗位权限： （1）不相容岗位操作权限混淆设置； （2）柜员操作权限设置超出实际岗位职责； （3）柜员岗位职责变动，操作权限未及时做相应的调整； （4）同一柜员在系统中对应两个以上操作员号。,会计印章管理存在的操作风险点：,（1）未严格执行个人负责制； （2）日常使用不合规； （3）不相容岗位未分离； （4）印章交接不严密。,控制措施：,（1）重点检查印章刻制、领用、保管（含移交）和使用、销毁等重要环节是否符合银行会计专用印章管理办法； （2）加强对开销户、资金证明、保证业务、大额支付、内部挂账、自制凭证、查询查复、可疑支付等重要业务的授权管理，未取得有权人员（或部门）授权前不得办理，也不得对外出具相关凭证，严禁在空白凭证、空白报表、空白公文纸上预先加盖各类会计专用印章，严禁为申请人出具与存款账户实际余额不符的资金存款证明书； （3）近年来，已发现多起伪造我行会计印章进行诈骗的案件，各行应引起高度警惕。如发现伪造假冒印章的案件，应及时向当地公安机关报案，并按规定及时报告上级行和监管机构。,重要空白单证管理存在的操作风险点：,（1）重要空白凭证出售和领用不规范； （2）重要空白凭证保管不合规； （3）重要空白凭证使用不合规； （4）重要空白凭证日常检查不严密； （5）停止使用（或作废）重要空白凭证清理不及时。,（1）规范和加强重要空白凭证的管理，对重要空白凭证印制、调拨、领用、保管以及作废销毁等环节要实施全面控制监督，消除风险隐患； （2）营业机构对外发售重要空白凭证要认真验证客户身份，根据客户业务量适量发售，发售时应由客户签收确认，严禁由柜员（或客户经理）代客户购买、签收、保管重要空白凭证等情况； （3）明确重要单证管理职责，避免形成管理上的盲区；机构负责人要切实履行重要空凭证管理职责，加强对经办人员保管、使用的重要空白凭证监督检查，确保账实相符、使用规范，坚决杜绝监而不查，伪造查库记录等现象。,控制措施：,柜面大额资金支付及授权管理存在的操作风险点：,（1）逆程序办理现金付款业务； （2）违规办理现金收款业务； （3）办理现金调拨业务不合规； （4）违规办理现金收付业务冲正处理； （5）办理大额支付业务未严格履行审核手续； （6）授权复核流于形式。,控制措施：,（1）经办人员进行柜面资金收付业务时 ，严格按章操作并加强交易单证和业务真实性、一致性审核； （2）加强现场和非现场检查等方式，对柜面资金收付、现金及重要单证调拨操作中存在的问题认真排查； （3）要加强大额支付的审核，对单位结算账户异常或可疑资金支付进行监控、跟踪、核实，并按反冼钱的相关规定进行报告。,人民币单位银行结算账户管理存在的操作风险点：,（1）对开户资料审核不严密，未尽到核实义务； （2）账户开立不合规，操作不规范； （3）违规使用账户； （4）账户变更与撤销操作未严格执行制度规定。,客户对账管理存在的操作风险点：,（1）未按制度规定组织对账； （2）对账日常操作不严密； （3）对账单发出后的各项后续管理工作消极被动； （4）代替客户做网银对账单回签； （5）对账协议签订及加盖印章的操作管理不规范。,岗位轮换与交接存在的操作风险点：,（1）重要岗位柜员未按规定期限进行轮岗； （2）部分轮岗柜员履岗能力不足； （3）离岗交接手续不规范； （4）监交人员未能履行职责，监交工作流于形式。,操作风险监控与缓释措施 “四个一”举措,一个团队,一个机制,一个工具,一个中心,操作风险监控与缓释措施 “四个一”举措： 以“一个机制、一个工具、一个团队、一个中心”为重点, 不断深入推进了操作风险管理工作。,132,操作风险监控与缓释措施 “四个一”举措,一个中心：以基层机构关键风险点、营业录像监控检查为中心 一个工具：熟练掌握、充分运用业务、流程自评估工具 一个团队：组建任务型检查督导团队、操作风险监控员团队 一个机制：创立一个立体式的考核机制,133,一个中心 营业监控录像检查,针对录像检查发现的问题：1.相关部门积极督促各行进行整改；2.对于一时无法整改的问题，也要求限定时间落实整改；3.对无法整改的问题要求必须采取控制措施保证安全运营。 例：截止年月，中国xx银行浙江省分行共投入万元完成了监控设备改造，实现了九个地区营业录像全部集中监控的管理。 监控破案案例,134,一个工具 业务或流程自评估,从产品和岗位两个角度展开 制定操作风险自评估工作实施细则，提出业务部门与风险部门积极联动。按照“条线为主，条块结合；突出重点，逐步完善”的原则 ，分识别、评估、控制三个阶段进行，最终由各条线（岗位为各行 ）提出风险点的控制优化措施以及需上级行业务条线研究解决的建议，以达到 “发现于早，控制于小，整改于快，实现于优”这一目标。 自评结果实行“制度化” 管理。,135,业务或流程自评估流程图：,自评估案例,1. 岗位风险点梳理：梳理出34个岗位的321个关键风险点,其中公共关键风险点6个，岗位关键风险点315个 2. 不相容岗位梳理工作 3、汽车卡业务操作风险自评估 4、金库现金集中整点业务外包流程风险自评估,岗位自评估重检成果利用：,1. 实行制度化管理，对每个关键风险点制定出的优化控制措施在全行范围内推广，让员工有章可循，做到风险基本可控。 2. 充实岗位“关键风险点问题库” ，强化员工风险自控意识，促进操作风险管理文化有效传播。 3. 推出岗位关键风险点考核机制，实现精细化管理。,一个团队 任务型检查督导团队,原则：突出重点，充分暴露，全面沟通，持续优化 四个统一： 统一下达检查计划，统一确定检查内容， 统一实施检查工作，统一利用检查结果 。,组建六大任务型团队检查内容,营业录像、基层机构关键风险点检查、金库专项检查 会计核算管理检查，账户管理，对账工作，尾箱管理、柜员管理，委派会计主管管理，柜面或有风险事项登记报告制度、现金出纳、支付结算事项 守押情况、远程数字集中监控情况、档案建设情况、网点转型安防建设、其他常规项目检查 不相容岗位设置情况及岗位职责履行情况、个人业务以及基金、保险、理财产品等销售的合规性检查 财务合规性、内外部检查发现的问题整改措施落实情况检查 公司业务信贷管理检查，包括贸易融资、外汇资金、国际结算、外汇政策等检查,一个团队 任务型检查督导团队,一个团队 操作风险监控员团队,作为风险点发现和提出改进措施的团队，充分上报风险点，有效控制风险 分行业务部门与基层监控员直接进行一对一交流。从成立年份08年来看就上报送信息514条，其中涉及系统问题的220条,流程问题50条,制度问题86条,执行问题115条,其他43条，整改率达到96.5%，成效明显。 其中，对我分行的风险防范具有参考价值的信息76条，在业务创新上被采纳的23条，为业务发展起到很大促进作用。 目前，该项工作还在继续开展过程中，对发现流程、系统的操作风险并进行防范取到了积极的作用。 团队成员为会计主管、理财经理、国业督导、客户经理、产品经理、网点主任、柜面人员等熟悉业务的骨干。每年进行培训、评比表彰优秀成员。,141,一个机制 岗位关键风险点考核机制,考核内容 对每个岗位设置6个公共关键风险点和若干个岗位风险点，对辖区内的县市支行、城区支行和网点员工岗位关键操作风险点执行情况进行考核，并将考核结果和一部分岗位绩效进行挂钩，按季进行考核。 考核方法 每人设置15分值的风险点，其中公共风险点分值8分，岗位风险点分值7分。绩效计算采取倒扣法，即每季绩效额=基数-扣分值*单位分值绩效数额-各次检查扣款额（督查组各项检查、上级行检查、内外部检查），扣完为止，如出现重大扣罚事项，按重大风险事项处理。 考核成效 从试点情况看，共对几百人次进行了处罚，并在执行过程中调整了多条不合理的关键风险点。,142,一个机制 人员管理机制（道德范畴）,八小时以外人员的管理 负责人实行双人半年一次实地家访，了解员工子女、夫妻、父母等情况，建立家访档案；（员工信用卡的异常透支案例） 纪检监察部门每半年一次社区、派出所进行排查，建立档案。 八小时以内人员的管理 全行员工签署廉洁合规从业承诺书； 员工从业禁止性行为检查与排查，结合严厉处罚（开除或解除劳动合同）； 建立和实施基层主管轮岗轮调和强制性休假制度,并确保这一安排纳入分支机构的人事管理制度； 轻微违规按照银行工作人员轻微违规行为积分管理办法积分处理； 全行员工合规行为遵照员工合规手册。,143,谢谢大家！,风险管理部总经理、高级经济师 庄海联系方式：057382032592,