商业银行合规管理及控制与操作风险管理

http:/中管网通用业频道中管网通用业频道1 中国银行中国银行 运营效劳总部运营效劳总部 王寒冰王寒冰 2021 2021年年8 8月月3030日日西宁西宁商业银行合规管理及商业银行合规管理及内部控制与操作风险管理内部控制与操作风险管理http:/中管网通用业频道中管网通用业频道2n案件回忆n合规管理n内控原理n三道防线n内控实践n应对挑战n操作风险n工具流程提纲http:/中管网通用业频道中管网通用业频道3从治理类案件到管理类案件第一局部：案件回忆http:/中管网通用业频道中管网通用业频道4巴林银行里森案1995 1995年2月，英国历史最悠久的巴林银行派驻新加坡的交易员尼克利森“未经授权大量购置走势看好的日本日经股票指数的期货，但没想到一场阪神大地震使日经指数不升反跌，导致巴林银行亏损14亿美元，一下陷入破产境地。当时整个巴林银行的资本和储藏金只有8.6亿美元。荷兰国际集团最终以1英镑价格收购巴林银行。http:/中管网通用业频道中管网通用业频道52001年10月中行广东开平支行许超凡、许国俊、余振东等3任行长，9年里监守自盗483亿美元。2004年4月16日17时10分许，中国银行开平案主犯之一、原中行广东省开平支行行长余振东被美国警方押送回北京首都国际机场。中国警方在机场对其实施逮捕。广东开平案2001http:/中管网通用业频道中管网通用业频道6苏格兰皇家银行MacKenzie案2004 苏格兰皇家银行RBS2004年暴露英国历史上最大的银行欺诈案，Donald MacKenzie是爱丁堡人，为RBS员工，1999年至2004年期间通过开立大量虚假账户的方式骗取银行资金，涉案金额达2100万磅约合3亿元人民币，其中有1000万磅的损失不知去向。Donald MacKenzie也是RBS业务骨干，一个正在上升的新星a rising star of RBS，曾三次因拓展业务而受到奖励，也因此掩盖了其欺诈行为。此案是因RBS改造IT系统导致案发，同国内发生的一些银行欺诈案件的特点非常类似，如出一辙。此人2004年事败，2006年6月底被判15年徒刑。http:/中管网通用业频道中管网通用业频道7哈尔滨松江街支行高山案20052005年1月3日，中国银行黑龙江分行哈尔滨河松街支行行长高山全家离境去了加拿大，并且卷走了6亿多元储蓄资金。高山卷走的这些资金中，一笔是东北高速的存款3.23亿元，另一笔是黑龙江辰能投资的3.06亿元。高山的作案方式主要是开具假存单。在最后的作案时间里，他在中行其他支行提现1亿多元。被卷走资金的辰能投资的一位相关负责人，在知道这件事的当天晚上和几个好友吃完晚饭后，回到家里跳楼自杀了。http:/中管网通用业频道中管网通用业频道8农行邯郸分行金库被盗案2006 2006年10月至2007年4月，中国农业银行河北省邯郸分行金库管库员任晓峰、马向景等人，利用担任金库管库员的职务便利，共同窃取金库现金5095.605万元，用于购置彩票。2007年8月9日邯郸市中级人民法院一审认为对任晓峰、马向景行为已构成贪污罪，且数额特别巨大，情节特别严重，对两人做出死刑、剥夺政治权利终身的判决。2007年9月19日河北省高级人民法院做出终审裁定，驳回任晓峰、马向景、赵学楠的上诉，对邯郸银行盗窃案全案维持一审原判。对任晓峰、马向景维持死刑判决的裁定，河北省高级人民法院将依法报请最高人民法院核准。邯郸银行金库特大盗窃案嫌犯任晓峰落网邯郸银行金库特大盗窃案嫌犯任晓峰落网资料图片：马向景接受审讯资料图片：马向景接受审讯http:/中管网通用业频道中管网通用业频道9法国兴业银行科维尔股指期货欺诈交易案2021 2021年1月，法国兴业银行发生交易员杰洛米科维尔从事欺诈性股指期货交易，造成法国兴业银行49亿欧元(71.6亿美元)损失。这名交易员从2007年上半年便开始在上级不知情的情况下从事违规交易，交易类型为衍生品市场中最根本的股指期货。这次欺诈事件是银行史上造成损失数额最大的一次。http:/中管网通用业频道中管网通用业频道10代价！代价！“毁誉声誉风险“破财财务损失“分心整改本钱http:/中管网通用业频道中管网通用业频道11财务损失财务损失金融监管部门的罚款；各种诉讼赔偿；律师费用、独立的第三方调查费用、公关费用；失去准入资格，丧失巨大的业务时机；股价下跌，融资本钱增加；其他的间接财务损失。在监管者面前失去信誉引起监管的连锁反响在公众面前失去信誉媒体的放大效应在市场投资者面前失去信誉投资评级的下降各种声誉风险相互关联造成的放大效应从监管处分的公开到媒体的反响，到市场反响、诉讼导致的声誉风险具有持续性声誉损失声誉损失时机损失时机损失正常的战略实施步骤将被打乱与监管者的沟通和修复关系防止连锁监管反响回复客户信心监督实施整改方案应对媒体负面报道合规风险的影响合规风险的影响http:/中管网通用业频道中管网通用业频道122004年10月25日花旗集团CEO普林斯本人亲赴日本以个人身份向日本金融厅专员五味广文抱歉。日本金融厅长官五味广文花旗集团花旗集团CEO Charles CEO Charles PrincePrince毁誉！http:/中管网通用业频道中管网通用业频道13“Say sorry,Japan style2004年10月25日花旗集团CEO Charles Prince和日本花旗CEO Douglas Peterson因违规和洗钱行为在东京举行新闻发布会表示谢罪：“我为花旗未能在日本守法合规经营，真诚地向客户和公众致歉。右：花旗集团右：花旗集团CEO Charles CEO Charles PrincePrince左：日本花旗左：日本花旗CEO Douglas PetersonCEO Douglas Peterson毁誉！http:/中管网通用业频道中管网通用业频道14nCSFB由于违反合规导致其在日本被撤消执照nCitigroup因贷款违规被罚7000万美元n投资银行业巨头Morgan Stanley、Deutsche Bank 和 Bear Stearns 因上市欺诈被重罚1500万美元n作为调解方案的一局部，UBS Warburg同意支付2500万美元作为罚款，25美元作为“退脏费，2500万美元用来支持独立调查，500万美元作为未来的投资者教育款项。n在股东投票决定拟议中的并购之前，Bank of America 和 FleetBoston Financial 与监管当局就其相互之间的基金不当交易问题达成一项6.75亿美元的调解方案，监管当局要求 Bank of America在一年内替换其大局部基金董事。n英国金融监管当局即金融效劳管理局FSA以违反英国洗钱规那么为由对奥地利银行Raiffeisen Zentralbank sterreich 处以15万英镑(27.2万美元)的罚款。n印度国家银行因违反银行保密法及未能完整保存账簿和记录而被联邦储藏银行及其它美国监管当局处以750万美元的罚款。n五家投资银行因在监管当局调查其是否向投资银行客户签发误导或错误调查报告期间未能向监管当局发送电子邮件而集体被罚825万美元。商业银行因违规受处分案例http:/中管网通用业频道中管网通用业频道15法国兴业银行因科维尔案受处分 2021年7月，法国银行监管机构“法国银行委员会对兴业银行开出400万欧元罚单，原因是兴业银行内部监控机制“严重缺失，导致巨额欺诈案的发生。银行委员会指出，兴业银行内部监控机制严重缺失，使得金融交易在各个级别缺乏监控的情况下，在较长时期内难以被觉察并得到纠正，因而存在较大可能发生欺诈案并带来严重后果。为此对兴业银行罚款400万欧元。这一罚款金额接近银行委员会的罚款上限最高上限为500万欧元。http:/中管网通用业频道中管网通用业频道16合规风险管理原理与实践第二局部：合规风险http:/中管网通用业频道中管网通用业频道17BASEL“BASEL“合规风险定义合规风险定义 合规风险指银行因未能遵循法律、监管规定、规那么、自律性组织制定的有关准那么，以及适用于银行业务活动的行为准那么“合规法律、规那么和准那么而可能遭受法律制裁或监管处分、重大财务损失或声誉损失的风险。?合规与银行内部合规部门?2005年4月 “Compliance risk is defined as the risk of legal or regulatory sanctions，material financial loss，or loss to reputation a bank may suffer as a result of its failure to comply with laws，regulations，rules，related self-regulatory organisation standards，and codes of conduct applicable to its banking activities.http:/中管网通用业频道中管网通用业频道18“合规法律、规那么和准那么主要包括：遵守市场行为的适当准那么管理利益冲突公平对待消费者确保客户咨询的适当性特定领域：反洗钱和反恐怖融资、税收“合规法律、规那么和准那么渊源包括：遵守市场行为的适当准那么立法机构和监管机构发布的根本的法律、规那么和准那么市场惯例行业协会制定的行业规那么适用于银行职员的行为准那么等。合规法律、规那么和准那么不仅包括那些具有法律约束力的文件，还包括更广义的老实守信和道德行为的准那么“合规法律、规那么和准那么合规法律、规那么和准那么理解理解http:/中管网通用业频道中管网通用业频道19银监会银监会“合规定义合规定义“本指引所称合规，是指使商业银行的经营活动与法律、规那么和准那么相一致。“本指引所称法律、规那么和准那么，是指适用于银行业经营活动的法律、行政法规、部门规章及其他标准性文件、经营规那么、自律性组织的行业准那么、行为守那么和职业操守。“本指引所称合规风险，是指商业银行因没有遵循法律、规那么和准那么可能遭受法律制裁、监管处分、重大财务损失和声誉损失的风险。银监会?商业银行合规风险管理指引?2006年http:/中管网通用业频道中管网通用业频道20其它其它“合规定义合规定义 合规是指，使一家银行的活动与所适用的法律法规、监管规定、规那么、自律性组织制定的有关准那么，以及适用于银行自身业务活动的规章制度和行为准那么统称“合规法律、规那么和准那么相一致。合规是银行内部一项核心的风险管理活动。上海银监局?上海银行业金融机构合规风险管理机制建设的指导意见?2005年9月 “本规定所称合规，是指证券公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他标准性文件、行业标准和自律规那么、公司内部规章制度，以及行业公认并普遍遵守的职业道德和行为准那么。证监会?证券公司合规管理试行规定?2021年7月？http:/中管网通用业频道中管网通用业频道21思考：思考：“内法还是内法还是“外法？外法？n“规是指“外部的法律、规那么和准那么还是还包括“银行内部规章制度？n如果“合规包括“银行内部规章制度，那么“合规管理和“内部控制管理还有分别吗？n监管当局往往对银行“内部控制也提出合规要求，这是否意味着“银行的内部控制建设就是为了满足监管当局的合规要求？，是否进而可以说“银行的内控工作即是合规工作？n银行合规管理“和内部控制“之间的关系如何？n合规风险管理能否完全杜绝违规事件的发生？http:/中管网通用业频道中管网通用业频道22“外法内化流程外法内化流程 法规变化法规变化 分析处理分析处理 分解到各部门分解到各部门 各部门内化各部门内化重点关注人民银行、重点关注人民银行、银监会银监会、外管局及其它外管局及其它境内外监管法规变化境内外监管法规变化分析对我行经营分析对我行经营管理的影响管理的影响关注与各部门工作的相关性；关注与各部门工作的相关性；对于有重大影响的法规，对于有重大影响的法规，发布合规风险提示发布合规风险提示制定、修改制定、修改规章制度规章制度和操作流程和操作流程http:/中管网通用业频道中管网通用业频道23专项合规管理流程实例：反洗钱专项合规管理流程实例：反洗钱设置反洗钱工作委员会设置反洗钱工作委员会制度建设：反洗钱政策；制度建设：反洗钱政策；“了解客户制度；大额交易报告制了解客户制度；大额交易报告制度；可疑交易报告制度；记录保存制度账户和交易资料的保存度；可疑交易报告制度；记录保存制度账户和交易资料的保存系统建设：大额和可疑交易报告系统系统建设：大额和可疑交易报告系统反洗钱检查反洗钱检查开展多层次、有针对性的测试和培训：管理部门、一线员工开展多层次、有针对性的测试和培训：管理部门、一线员工围绕监管关注的焦点确定重点合规工作！围绕监管关注的焦点确定重点合规工作！http:/中管网通用业频道中管网通用业频道24三类合规风险管理检查三类合规风险管理检查三类合规风险管理检查三类合规风险管理检查“仪表盘例如仪表盘例如仪表盘例如仪表盘例如监管问题监管问题全球金融市场英国全球金融市场英国全球金融市全球金融市场亚洲场亚洲全球金融市场全球金融市场美洲美洲产生监管影响的重大内部事件产生监管影响的重大内部事件例例如如：系系统统失失灵灵可可能能导导致致违违背背监管要求监管要求客户投诉（及公众评论）客户投诉（及公众评论）例例如如：银银行行卡卡被被公公众众给给予予负负面面评价评价稽核结果稽核结果业务变化业务变化新产品开发新产品开发业务架构业务架构重大业务重组，例如：并购等重大业务重组，例如：并购等监管变化负担监管变化负担评评估估监监管管变变化化给给业业务务单单元元带带来来的负担的负担监管者关注焦点监管者关注焦点公告公告监监管管机机构构发发表表的的演演讲讲、媒媒体体讨讨论的行业热点问题论的行业热点问题检查活动检查活动监管检查或会谈的结果监管检查或会谈的结果http:/中管网通用业频道中管网通用业频道25合规风险管理流程框架合规风险管理流程框架识别识别评估评估监控报告监控报告缓释缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变http:/中管网通用业频道中管网通用业频道26合规风险识别、评估、监控流程合规风险识别、评估、监控流程外部法规变化的监控外部法规变化的监控规章制度合规性审查规章制度合规性审查新产品合规管理新产品开发的合规性论证；新产品投入市场前，新产品合规管理新产品开发的合规性论证；新产品投入市场前，对相关法律文件及宣传品进行合规审查对相关法律文件及宣传品进行合规审查重大合规信息的报告重大合规信息的报告合规培训管理合规培训管理重大合规工程的管理：反洗钱；关联交易重大合规工程的管理：反洗钱；关联交易问责制度问责制度绩效考核指标绩效考核指标http:/中管网通用业频道中管网通用业频道27合规、内控、操作风险定义合规、内控、操作风险定义n合规风险合规风险n 银银行行因因未未能能遵遵循循法法律律、监监管管规规定定、规规那那么么、自自律律性性组组织织制制定定的的有有关关准准那那么么，以以及及适适用用于于银银行行业业务务活活动动的的行行为为准准那那么么而而可可能能遭遭受受法法律律制制裁裁或或监监管管处处分分、重重大大财财务务损损失失或或声声誉誉损失的风险。损失的风险。BASELn内部控制内部控制n 由由企企业业董董事事会会、经经理理层层以以及及其其他他员员工工共共同同实实施施的的,为为财财务务报报告告的的准准确确性性、经经营营活活动动的的效效率率与与效效果果、相相关关法法律律法法规规的的遵遵循循等等目目标标的的实实现现而而提提供供合合理理保保证证的的过过程程。它它包包括括五五个个方方面面的的组组成成要要素素:控控制制环环境境、风风险险评评估估、控控制制活活动动、信信息息与与沟通、监督。沟通、监督。COSOn操作风险操作风险n 由由不不完完善善或或有有问问题题的的内内部部程程序序、人人员员及及系系统统或或外外部部事事件件所所造造成成损损失失的的风风险险。该该定定义义不不包包括括策策略略风风险险和和声声誉誉风风险险，但包括法律风险。但包括法律风险。BASEL IIhttp:/中管网通用业频道中管网通用业频道28COSO 2003COSO 2003全面风险管理框架全面风险管理框架ERMERM“EnterpriseRiskManagementFrameworkERMCOSO2003年年7月公布月公布内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次http:/中管网通用业频道中管网通用业频道29合规同内控及操作风险间比较合规同内控及操作风险间比较内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次识别识别评估评估监控报监控报告告缓释缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变n合规是内控多重目标之一，但不是唯一目标；n合规管理流程是内控管理流程的一局部重要内容，但不是全部内控流程；n合规风险引起的原因包括人员、流程、系统，因此合规风险是操作风险的一局部；n合规风险是一种特别的操作风险，因此需要专门的管理！http:/中管网通用业频道中管网通用业频道30内控三道防线理念适用于合规管理内控三道防线理念适用于合规管理董事会及执行委员会董事会及执行委员会第一道防线第一道防线第二道防线第二道防线第三道防线第三道防线业务部门业务部门和分支机和分支机构从事业构从事业务操作的务操作的人员人员日常风险管理日常风险管理集团总部、集团总部、分支机构、分支机构、业务条线业务条线合规风险合规风险管理人员管理人员专家职能专家职能负责政策制定、工具开发负责政策制定、工具开发专业咨询、风险管理监控专业咨询、风险管理监控独立检查独立检查稽核部门稽核部门http:/中管网通用业频道中管网通用业频道31内部控制根本原理从“控制到“风险！第三局部：内控原理http:/中管网通用业频道中管网通用业频道32COSO 1992COSO 1992内部控制框架内部控制框架 ICF ICF 运营目标运营目标财务报告真实性目标财务报告真实性目标合规目标合规目标控制环境；控制环境；风险评估；风险评估；控制活动；控制活动；信息和沟通；信息和沟通；监控。监控。各业务单位各业务单位各业务活动各业务活动第二维第二维第二维第二维:5:5:5:5个要素个要素个要素个要素第一维：第一维：第一维：第一维：3 3 3 3个目标个目标个目标个目标第三维：第三维：第三维：第三维：2 2 2 2个方面个方面个方面个方面监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1COSO：CommitteeofSponsoringOrganizationsoftheTreadwayCommissionhttp:/中管网通用业频道中管网通用业频道33COSO 2003COSO 2003全面风险管理框架全面风险管理框架ERMERM“EnterpriseRiskManagementFrameworkERMCOSO2003年年7月公布月公布内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次http:/中管网通用业频道中管网通用业频道34ERM2003ICF1992监控信息和沟通控制活动风险评估控制环境运营财务报告合规业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1要要素素维维度度组织组织维度维度内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次COSO ICOSO I与与COSO IICOSO II之框架比较之框架比较企业风险管理贯穿于企业各个企业风险管理贯穿于企业各个层级，包括分之机构、子公司层级，包括分之机构、子公司和业务单位，并根据和业务单位，并根据“风险组风险组合观合观”，站在企业主体层次的，站在企业主体层次的高度来整体把握风险；高度来整体把握风险；COSOIICOSOII将将COSOICOSOI中的中的“风险评估风险评估”要素拓展为要素拓展为“目标设定目标设定”、“事项识别事项识别”、“风险评估风险评估”和和“风险应对风险应对”四个要素四个要素目标维度目标维度企业风险管理与战略制企业风险管理与战略制订紧密联系，使得企业订紧密联系，使得企业的战略目标与其对风险的战略目标与其对风险的态度、风险偏好相协的态度、风险偏好相协调。调。http:/中管网通用业频道中管网通用业频道35风险是一个事件将会发生并给目标实现带来负面影风险是一个事件将会发生并给目标实现带来负面影响的可能性。响的可能性。ERMERM对对“风险的定义风险的定义ERM严格区分“风险和“时机 将产生正面影响的事件视为“时机，ICF没有区分风险和时机；ERM可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；站在现在这个时点预测和评判未来的事情。将会发生将会发生目标实现目标实现为评判未来结果是好是坏的标准负面负面影响有好的也有坏的，好的影响是时机，会给企业带来利润；坏的影响是风险，会给企业带来损失可能性可能性强调了不确定性，有可能发生也有可能不发生。http:/中管网通用业频道中管网通用业频道36ERMERM框架八要素之间的关系框架八要素之间的关系目标设定目标设定事件识别事件识别风险评估风险评估风险应对风险应对控制活动控制活动信信息息与与沟沟通通监监控控内部内部环境环境内部内部环境环境http:/中管网通用业频道中管网通用业频道37复杂多维的监管环境带来的挑战复杂多维的监管环境带来的挑战财政部?企业内部控制根本标准?2021?内部控制评价指引?内部控制实施指引?内部控制鉴证指引?银监会?商业银行内部控制指引?2007银监会?商业银行内部控制评价方法?2005上交所?上海证券交易所上市公司内部控制指引?2006银监会?商业银行操作风险管理指引?(2007)银监会?商业银行操作风险资本计量指引?(2021)http:/中管网通用业频道中管网通用业频道38?企业内部控制根本标准企业内部控制根本标准?出台背景出台背景2005年6月，国务院就财政部、国资委和证监会联合上报的?关于借鉴完善我国上市公司内部控制制度的报告?做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，就研究、制定一套具有统一性、公认性和科学性的企业内部控制标准达成了共识。2007年3月，财政部发布“关于印发?企业内部控制标准-根本标准?和17项具体标准征求意见稿的通知，面向全社会开始征求意见。经过一年多的修改和调整，财政部最终于2021年6月28日正式发布了?企业内部控制根本标准?，作为企业内控的政策性框架文件，用以标准所有企业的内部控制。http:/中管网通用业频道中管网通用业频道39?根本标准?实施要求2005年6月，国务院就财政部、国资委和证监会联合上报的?关于借鉴完善我国上市公司内部控制制度的报告?做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引。为加强和标准企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续开展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会制定了?企业内部控制根本标准?，现予印发，自2021年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本标准的上市公司，应对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。http:/中管网通用业频道中管网通用业频道40?根本标准?实施主要问题实施?根本标准?商业银行同一般企业实施有何不同？-新资本协议操作风险管理的实施能够解决商业银行内控的绝大局部问题！根本思路：以实施BASEL操作风险管理框架为主，兼顾COSO!?根本标准?是中国的SOX吗？-如何履行披露义务是一个博弈过程;披露范围广泛；披露方法的选择。如何建立系统的内控评价方法：合理实现全面评价和重点评价的结合；统一的评价和测试标准；评价方法论能支持内控是否整体有效的结论；如何建立统一的内控缺陷评价标准？如何加强内控文档的系统整理和维护？http:/中管网通用业频道中管网通用业频道41?根本标准?是中国的SOX吗？SOX针对上市公司，?根本标准?针对“大中型企业，不必然是上市公司；SOX只针对财务报告的内控；?根本标准?一共有5个目标运营；财报；合规；战略；资产SOX要求必须有审计报告；?根本标准?的提法是“可以，即无强制要求；SOX不提供内控方法论；?根本标准?提供方法论框架；SOX的立法重点在于披露责任；?根本标准?未明确披露要求结论：?根本标准?因SOX而起，确非C-SOX!C-SOX是严重的误解！http:/中管网通用业频道中管网通用业频道42内部控制三道防线体系第四局部：内控治理http:/中管网通用业频道中管网通用业频道43内部控制三道防线根本架构和含义董事会和管理层董事会和管理层董事会和管理层董事会和管理层各业务单位各业务单位各业务单位各业务单位各业务单位各业务单位各业务单位各业务单位内部审计内部审计内部审计内部审计专业性部门或功能专业性部门或功能专业性部门或功能专业性部门或功能(法律、人力资源、反洗钱、保卫、法律、人力资源、反洗钱、保卫、法律、人力资源、反洗钱、保卫、法律、人力资源、反洗钱、保卫、信息科技、信息平安、反金融犯罪等职能信息科技、信息平安、反金融犯罪等职能信息科技、信息平安、反金融犯罪等职能信息科技、信息平安、反金融犯罪等职能内部控制内部控制内部控制内部控制牵头职能牵头职能牵头职能牵头职能日常内部控制和操作风日常内部控制和操作风日常内部控制和操作风日常内部控制和操作风险管理险管理险管理险管理业务一线业务一线业务一线业务一线内控第一道防线内控第一道防线内控第二道防线内控第二道防线内控第三道防线内控第三道防线提供独立的保证提供独立的保证提供独立的保证提供独立的保证维护内部控制框架，设定内部控制和维护内部控制框架，设定内部控制和维护内部控制框架，设定内部控制和维护内部控制框架，设定内部控制和操作风险管理政策，制定和开发相关操作风险管理政策，制定和开发相关操作风险管理政策，制定和开发相关操作风险管理政策，制定和开发相关的工具和流程，实施风险监控的工具和流程，实施风险监控的工具和流程，实施风险监控的工具和流程，实施风险监控业务条线部门业务条线部门业务条线部门业务条线部门内部的内控内部的内控内部的内控内部的内控或操作风险或操作风险或操作风险或操作风险管理职能管理职能管理职能管理职能http:/中管网通用业频道中管网通用业频道44内部控制三道防线的一般原理n内控三道防线是指业务一线、操作风险管理和专业功能、内部审计构成的三道内控防线，以确保适当和有效的内部控制结构。n三道防线是一个理念或概念，但并不是一套规定的规那么或者组织架构，不能简单把三道防线对应为组织架构甚至部门。n三道防线的理念强调实现有效的内部控制不可能在脱离业务一线的情况下实现，是业务一线来最终拥有和管理自己的风险，即业务一线是风险的所有人，因此是内控的第一责任人。n内控三道防线理念的最大优势在于，第一次鲜明地提出各级机构、部门、每个管理者和员工都是第一道防线！一道防线的核心是强调“内控人人有责。n第二道防线内控牵头部门或者操作风险管理牵头部门和第三道防线内部审计的任务是支持业务一线第一道防线识别、评估、监控、缓释和报告其内控控制中存在的问题也就是操作风险，使业务一线内部嵌入有效的操作风险和内部控制机制，并且在对风险有充分考虑和管理的情况下的开展业务经营活动。http:/中管网通用业频道中管网通用业频道45中国银行内部控制建设探索实践第五局部：内控实践http:/中管网通用业频道中管网通用业频道46中国银行公司治理架构一览中国银行公司治理架构一览中国银行公司治理架构一览中国银行公司治理架构一览法律与合规部为关联交易控制委员会、内部控制委员会、反洗钱工作委员会的秘书机构。法律与合规部为关联交易控制委员会、内部控制委员会、反洗钱工作委员会的秘书机构。http:/中管网通用业频道中管网通用业频道47建立内部控制委员会平台内控委主席内控委主席李礼辉行长李礼辉行长总行内控委总行内控委分行内控委分行内控委季度会议制季度会议制总分行内控委实施季度例会制度，就各业务条线和分行内控工作做出部署，总分行内控委实施季度例会制度，就各业务条线和分行内控工作做出部署，研究并出台了一系列有关内控的重大措施和规章制度，监控和催促全行内控研究并出台了一系列有关内控的重大措施和规章制度，监控和催促全行内控整改进展，研究范防大要案的具体措施，同苏格兰皇家银行整改进展，研究范防大要案的具体措施，同苏格兰皇家银行RBSRBS开展战开展战略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。内控委员会建立了分行内部控制数据监测制度，每季度收集包括人力资源、内控委员会建立了分行内部控制数据监测制度，每季度收集包括人力资源、系统失灵、欺诈越权、业务重大过失、反洗钱、监管处分、内控整改、违规系统失灵、欺诈越权、业务重大过失、反洗钱、监管处分、内控整改、违规事件、法律风险、关联交易等十大类共事件、法律风险、关联交易等十大类共6161项内控数据，分析比对分行内控数项内控数据，分析比对分行内控数据及其变化情况。据及其变化情况。分行内控委员会会议纪要报备制度；分行内控委员会会议纪要报备制度；季度会议制季度会议制分行内部控制数据监测制度分行内部控制数据监测制度管理层及各一级分行成立内控委员会，统筹领导全行内控体系的总体运行，定期研究讨论重要内控工作，为及时推出有效控制措施提供了议事平台。http:/中管网通用业频道中管网通用业频道48将内部控制建设纳入整体战略布局将内部控制建设纳入整体战略布局 2005年6月召开全行内部控制体系建设工作会议，第一次将内控工作纳入全行总体战略布局当中，提出：以完善的内部控制组织体系为保障，以表达制衡原那么、健全有效的制度为根底，以精细化的过程控制为着眼点，以鼓励约束机制和问责制为引导，以信息科技手段为依托，大力培育合规文化，努力构建我行全面系统、动态、主动和可证实的内部控制体系。这次会议提出六个入手:n从明确职责入手，完善内部控制组织体系建设；n从制度建设入手，夯实内部控制根底；n从细节入手，实现精细化的过程控制；n从完善鼓励约束机制和问责制入手，引导内部控制目标的实现；n从加强信息技术手段入手，提高内部控制水平和质量；n从加强教育培训入手，促进合规文化的形成。http:/中管网通用业频道中管网通用业频道49总分法律与合规部组织架构总分法律与合规部组织架构业务业务运营运营一一业业务务运运营营二二业务业务运营运营三三知识知识产权产权合合规规管管理理内控内控评估评估监控监控内控内控政策政策规划规划内控内控检查检查副总副总首席合规官首席合规官副总副总副总副总总经理总经理海外机构海外机构与反洗钱与反洗钱关联关联交易交易资深法律专家资深法律专家行政行政团队团队法务法务秘书秘书 法律风险管理法律风险管理法律风险管理法律风险管理 合规风险管理合规风险管理合规风险管理合规风险管理内部控制与操作风险管理内部控制与操作风险管理 各省行均设法律与合规部，牵头本分行内控工作；二级行设相关内控部门负责其内控工作。http:/中管网通用业频道中管网通用业频道50规章制度机构间差异带来的挑战规章制度机构间差异带来的挑战n问题：不同分行和网点同一业务流程不标准、不统一的现象较为严重。n原因：n制度缺乏统一操作标准和技术细节，下级行不得不自创流程和标准；n规章制度信息在自上而下的传导中产生的误差逐级放大！n“上面千条线，下面一根针，分散的规章制度事实上难以被掌握；n上级管理部门对基层负担不敏感；对基层是否掌握规章制度不敏感；n“要不要做麦当劳？标准化思想尚未深入人心；n“规章制度是否都要结合本行实际？什么是“本行实际情况？对规章制度的特别化处理缺乏管理。n危害：n“说不清楚降低了管理透明度n“考核总是不公平降低了行与行之间的可比性n“我总是坐在火山口上降低了内控系统的可靠性n“为什么总是管不好下级机构的内控工作？总行和一级分行对下级机构的管控难度加大。n解决：n能明确具体操作标准的要尽量明确；n制定规章制度流程要科学，倾听基层意见不能走形式；n大力倡导操作流程的标准化和一致化n个别机构因实际情况确有必要调整流程，应及时报备。n上级对下级机构的流程差异要心中有数。http:/中管网通用业频道中管网通用业频道51第六局部：应对挑战如何应对COSO和BASEL两方面挑战？http:/中管网通用业频道中管网通用业频道52BASELBASEL和和COSOCOSO两方面挑战两方面挑战n一方面我们面临来自BASEL的挑战：要按照银监会要求，实施巴塞尔新资本协议，完善操作风险管理框架，主动识别、评估、缓释、监控、报告操作风险。n我们同时还面临来自COSO的挑战：要根据财政部等五部委联合发布的?企业内部控制根本标准?要求，按照COSO全面风险管理框架，完善内部控制体系。http:/中管网通用业频道中管网通用业频道53COSOCOSO与与BASELBASEL比照分析比照分析n巴塞尔新资本协议操作风险管理框架主要突出银行特色nCOSO全面风险管理框架那么是对一般企业的共性要求n两者角度虽有不同，但在精神实质上是一致的。n银行业要统筹考虑自身内控和操作风险管理体系建设问题http:/中管网通用业频道中管网通用业频道54内部控制与操作风险管理的关系一操作风险管理文化操作风险管理文化 识别识别 评估评估 控制或缓释控制或缓释 监控报告监控报告 内部环境内部环境 风险评估风险评估控制活动控制活动 信息与沟通信息与沟通 监控监控 目标识别目标识别 事件识别事件识别 风险评估风险评估 风险应对风险应对 内部控制内部控制 操作风险管理操作风险管理 两两个个术术语语表表达达的的含含义义略略有有不不同同 但在精神实质上是一致的但在精神实质上是一致的 http:/中管网通用业频道中管网通用业频道55内部控制与操作风险管理的关系二内部控制与操作风险管理的关系二n本行不严格区分“内部控制与“操作风险管理，对“内部控制与“操作风险管理两者关系的表述是：n“内部控制和“操作风险管理两个术语的内涵和侧重点虽有不同，但两者涉及的问题和领域在相当大的范围内是共同的，在方法论上是相近或一致的。n内部控制中的“内部环境要素与“操作风险管理文化在内涵上根本一致；n内部控制框架中“目标设定、“事件识别、“风险评估三个要素大致可表达为操作风险管理循环的“识别与“评估环节；“风险应对和“控制活动两要素实际上与操作风险管理循环中的“控制或缓释环节相当；n“信息与沟通要素的内容在操作风险管理循环的“报告环节有所涉及。http:/中管网通用业频道中管网通用业频道56应对思路应对思路“一心二用一心二用n以巴塞尔新资本协议实施为主；n同时借鉴COSO等国际内控标准；n逐步搭建具有银行自身特色的内部控制与操作风险管理框架；n一个框架满足两方面要求；对应来自COSO与BASEL两方面挑战的总体思路：http:/中管网通用业频道中管网通用业频道57第七局部：操作风险原理BASEL操作风险管理http:/中管网通用业频道中管网通用业频道58什么是操作什么是操作风险风险?n“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险。n一般行业对操作风险的定义-BBA/Isda/RMA对操作风险的调查n需注意其不包括策略风险和声誉风险n细化来看，操作风险包括原因、事件及后果。n原因，如：导致损失的缘由是什么n事件，如：给损失分类n后果，如：该损失对损益的影响http:/中管网通用业频道中管网通用业频道59操作风险定义解读操作风险定义解读n操作风险是银行除了信用风险和市场风险以外的其他风险，因此也有称“企业风险。n操作风险叫“运营风险更为准确，因为企业运营运转的因素就是人、流程、系统、外部环境。n操作风险和内部控制是一回事。风险和控制是问题的两面！n风险管理是内部控制的高级阶段n在组织中无处不在并构成业务经营组成局部n是内部因素和外部因素的混合体n不可防止，不能完全消除并只能尽量减少它n难计量n通常情况下操作风险的原因并不显而易见，其是各种潜在因素的产物http:/中管网通用业频道中管网通用业频道60操作风险管理流程循环操作风险管理流程循环躲避转移加强内部控制接受剩余风险识别识别评估评估监督监督报告报告缓释缓释风险与控制评估集团重大事件报告流程集团新产品审批流程业务持续经营方案风险与控制评估集团重大事件报告流程集团新产品审批流程损失数据收集流程操作风险事项及剩余风险监控集团重大事件报告流程损失数据收集关键风险指标http:/中管网通用业频道中管网通用业频道61从从Basel I Basel I 到到 Basel IIBasel II没有针对操作风险的资本要求较低的风险敏感性BaselI仅有局部监管机构要求银行进行整体风险评估有限的披露要求明确提出对操作风险的资本要求明确的披露要求明确的整体风险/资本评估要求较高的风险敏感性BaselII巴塞尔新资本协议框架转换为不同国家的监管要求各国可根据实际情况对新协议的局部规定进行修改导致母国/东道国间的差异http:/中管网通用业频道中管网通用业频道62第二支柱第二支柱ICAAP and SREP银行全面评估面临的风险，涵盖：未被支柱1完全覆盖的风险，如：集中度风险；支柱1未考虑的风险，如银行账户利率风险：压力测试；评估覆盖风险所需的资本；由监管机构对于资本充足率进行监督检查。第三支柱第三支柱信息披露信息披露针对风险管理的新的市场披露要求。需有效披露：银行风险状况；资本充足状况；披露具体的定性和定量信息：适用范围；资本的组成；风险暴露情况；资本充足率。第一支柱第一支柱最低资本要求最低资本要求新的基于风险的最低资本要求，涵盖信用风险、市场风险和操作风险：通过更为完善的信用风险加权和内部评级方法，增加风险敏感度；更好的统一监管资本与经济风险；对信用风险和操作风险提供了不同复杂性的多种方法。IT根底设施根底设施三大支柱三大支柱一致的数据架构数据管理标准新资本协议架构三大支柱http:/中管网通用业频道中管网通用业频道63背景背景http:/中管网通用业频道中管网通用业频道64银监会对BASEL的态度n07年2月，银监会为我国商业银行实施巴塞尔新资本协议设定最后期限，催促大型商业银行从2021年底起开始实施新资本协议，最迟不得晚于2021年底。n银监会尚未明确操作风险资本金计提的具体方法，但在非官方场合表示目前国内商业银行的操作风险测量和管理实践的实际情况比较适宜采用标准法。n中国银行按照市值排名是全球第四大商业银行，跻身于国际一流银行之列就必须借鉴国际领先银行在操作风险管理领域的最正确实践，满足巴塞尔协议的高级法要求。n我们的任务：2021实施标准法，同时着眼于高级法的要求，在资本金计量和操作风险管理框架 两个方面不断完善和提高，逐步完成向高级法的过渡。http:/中管网通用业频道中管网通用业频道65操作操作风险风险管理框架管理框架风险及控制自我评估RACA战略决策业务工程业务工程风险计量损失数据(LDC)操作风险治理操作风险治理使命，指导原那么，风险战略，风险偏好，组织架构，风险术语使命，指导原那么，风险战略，风险偏好，组织架构，风险术语关键风险指标关键风险指标KRIKRI风险监控风险识别及评估操作风险计量监管及经济资本模型风险报告风险识别及评估工具定性分析定量分析http:/中管网通用业频道中管网通用业频道6666净利息收入+其他收入乘以15%计算3年的平均值基于内部和外部损失数据以及情景分析的内部模型操作风险资本计量方法概述操作风险资本计量方法概述根本指标法标准法高级计量法净利息收入+其他收入按业务线归类按业务线的不同乘以12-18%计算3年的平均值http:/中管网通用业频道中管网通用业频道67操作操作风险风险管理的定性要求管理的定性要求根本指根本指标法法高高级计量法量法标准法准法操作操作风险的的稳健做法健做法三种方法都鼓励遵守“操作风险管理与监管的稳健做法巴塞尔委员会，2003年2月。对高级计量法的大局部要求在“操作风险管理与监管的稳健做法或标准法中亦有涉及。高级计量法的主要区别在于:操作风险建模如情景分析，加工内部损失数据,使用外部损失数据，参数的验证数据和分析的深度http:/中管网通用业频道中管网通用业频道68标准法对银行在管理方面的要求国际活泼银行使用标准法在管理方面还需满足：操作风险管理框架中必须有操作风险管理部门，并对其职责进行清晰的描述，包括制定管理原那么、规章制度和工作流程，设计风险报告系统，制定和实施操作风险暴露测量方法。操作风险管理流程必须留下完整、准确的记录文档；向业务条线、高级管理层和董事会定期提交操做风险报告；确保银行能够根据管理报告采取恰当的整改措施；对业务条线和操作风险管理部门开展的活动进行定期检查；系统地采集操作风险损失数据，这些数据应该在风险报告、管理报告、风险分析中发挥重要作用。任务任务尚未开始实施尚未开始实施http:/中管网通用业频道中管网通用业频道69n对于内部历史数据先按事先设定好的集团统一标准对其频率分布和严重性分布进行记录；n外部数据提供给内部相关业务领域的专家开WORKSHOP进行情景分析记录频率分布和严重性分布；n由于历史数据是基于历史上的控制环境和控制措施，但这些方面现在可能已经发生变化如业务条线上的调整即为控制环境的变化，因此需要对上述两方面的数据根据控制环境的变化实施调整，此流程即为ABCE流程；n将上述数据通过蒙特卡罗法进行模拟分析形成操作风险的损失分布，但得出的分布曲线是每一个业务条线的每一类损失的分布，即八个业务条线和七类操作风险事件的共56个类别上的分布；n将各条线各类事件的分布综合在一起，这时需要考虑56个分布的相关性因素，并据此对模型参数做一定调整，从而得出初步监管资本数字；n对此数字要进一步扣减：n扣除保险赔付的因素，按照BASEL2要求扣减额度最高不能超过损失保险金额的20%；n扣除预期损失EL，是指那些经常发生的银行可以预见的损失，主要指那些高危低频特征明显的操作风险事件，如银行卡欺诈PLASTIC FRAUD、非银行卡欺诈NON-PLASTIC FRAUD、现金帐务不符CASH DEFICIENCIES测算，EL是AMA方法下监管资本的扣减因素局部，因为预期损失银行已在预算和定价中进行弥补了，因此也就无需用资本抵补，经过这些流程，银行即计算出操作风险需要的最终监管资本；n银行还要就此监管资本在内部各业务条线进行分配，实施操作风险的经济资本管理。计算AMA操作风险监管资本7步骤http:/中管网通用业频道中管网通用业频道70根本原那么与操作风险管理循环的关系http:/中管网通用业频道中管网通用业频道71操作风险管理流程、根本原那么与管理循环http:/中管网通用业频道中管网通用业频道72第八局部：工具流程操作风险管理工具和流程http:/中管网通用业频道中管网通用业频道73操作风险管理三大工具风险与控制评估风险与控制评估RACARACA关键风险指标关键风险指标KRI损失数据收集损失数据收集LDCLDC管理信息/风险报告记录与验证风险监控风险识别与评估行动方案治理未来观点未来观点当前观点当前观点历史观点历史观点http:/中管网通用业频道中管网通用业频道74工具流程n操作风险与控制评估流程nRACAhttp:/中管网通用业频道中管网通用业频道75RACA概述风险局部控制局部风险与控制评估(RACA)风险与控制评估是一种银行操作风险管理手段，力求通风险与控制评估是一种银行操作风险管理手段，力求通过每个业务单元自我的观察、分析，并借助经验和判断，过每个业务单元自我的观察、分析，并借助经验和判断，对银行自身可能蒙受的操作风险以及控制情况进行识别对银行自身可能蒙受的操作风险以及控制情况进行识别和评估，以便对其进行防范，并进而提高银行的风险和和评估，以便对其进行防范，并进而提高银行的风险和业务管理水平。业务管理水平。它通常采用以研讨会或调查问卷为主的工作形式，结合它通常采用以研讨会或调查问卷为主的工作形式，结合专门的操作流程，专门的操作流程，在银行各个业务条线中开展在银行各个业务条线中开展。风险与控制评估识别潜在操作潜在操作风险以便防范以便防范改善操作改善操作风险管理文化管理文化健全内控管理健全内控管理体系体系协助管理决策助管理决策到达到达监管机构管机构的的监管要求管要求风险与控制与控制评估估RACA：指各机构、部：指各机构、部门作作为操作操作风险所有人定期按季所有人定期按季评估估自身的自身的风险和控制措施，并使用和控制措施，并使用标准化模板持准化模板持续记录和和报告的告的标准化流程准化流程.http:/中管网通用业频道中管网通用业频道76工具流程n操作风险关键风险指标流程nKRIhttp:/中管网通用业频道中管网通用业频道77KRI的作用与目标监控报告关监控报告关键操作风险键操作风险建立风险偏好建立风险偏好作为预警指标作为预警指标统一监控整个组织操统一监控整个组织操作风险状况和报告关作风险状况和报告关键风险领域变化；键风险领域变化；通过实施操作风通过实施操作风险险KRI阀值逐步阀值逐步建立银行的操作建立银行的操作风险偏好；风险偏好；可作为具体业务和可作为具体业务和管理过程中潜在的管理过程中潜在的风险与控制问题的风险与控制问题的预警指标；预警指标；风险定量化风险定量化风险管理文化风险管理文化促进操作促进操作风险管理风险管理定量化；定量化；培育培育“没没有意料之有意料之外的事件外的事件的风险的风险管理文化；管理文化；关键风险指标的作用与目标关键风险指标的作用与目标http:/中管网通用业频道中管网通用业频道78KRI定义操作风险关键风险指标OpRiskKeyRiskIndicators,KRI是一系列的参数，通过反映操作风险发生可能性或影响度或某一控制有效性，对该风险或控制进行定量跟踪监测的操作风险管理工具。系统故障次数系统故障次数IT系统当月出现的系统故障次数0510152025123456789101112示示 例例http:/中管网通用业频道中管网通用业频道79工具流程n操作风险损失数据收集流程nLDChttp:/中管网通用业频道中管网通用业频道80损失数据收集LDC的作用识别损失金额较大和发生频率较高的领域和流程，发现内控薄弱环节，以便管理层有针对性地投入资源来改善风险状况识别风险识别风险从发生的操作风险事件中吸取经验教训，优化风险控制措施，降低同类损失事件再次发生的可能性或影响程度优化控制优化控制满足新资本协议操作风险达标的要求满足监管要求满足监管要求为实施新资本协议操作风险高级计量法积累高质量的数据资本计量资本计量损失数据收集损失数据收集LDC操作风险损失数据收集LossDataCollection，简称LDC指操作风险损失数据的识别、收集、汇总、分析和报告工作。http:/中管网通用业频道中管网通用业频道81关键概念解释操作风险操作风险损失事件损失事件操作风险操作风险损失数据损失数据损失事件的事实情况财务损失及本钱假设没有造成财务损失或本钱，那么不纳入操作风险