中国银行-商业银行合规管理及操作风险管理课件

1、1 中国银行 运营服务总部 王寒冰 2009年8月30日西宁商业银行合规管理及内部控制与操作风险管理2案件回顾合规管理内控原理三道防线内控实践应对挑战操作风险工具流程提纲3从治理类案件到管理类案件第一部分：案件回顾4巴林银行里森案（1995） 1995年2月，英国历史最悠久的巴林银行派驻新加坡的交易员尼克利森“未经授权”大量购买走势看好的日本日经股票指数的期货，但没想到一场阪神大地震使日经指数不升反跌，导致巴林银行亏损14亿美元，一下陷入破产境地。 当时整个巴林银行的资本和储备金只有8.6亿美元。 荷兰国际集团最终以1英镑价格收购巴林银行。6苏格兰皇家银行MacKenzie案（2004） 苏格

2、兰皇家银行（RBS）2004年暴露英国历史上最大的银行欺诈案， Donald MacKenzie是爱丁堡人，为RBS员工，1999年至2004年期间通过开立大量虚假账户的方式骗取银行资金，涉案金额达2100万磅（约合3亿元人民币），其中有1000万磅的损失不知去向。 Donald MacKenzie也是RBS业务骨干，一个正在上升的新星（a rising star of RBS），曾三次因拓展业务而受到奖励，也因此掩盖了其欺诈行为。此案是因RBS改造IT系统导致案发，同国内发生的一些银行欺诈案件的特点非常类似，如出一辙。 此人2004年事败，2006年6月底被判15年徒刑。7哈尔滨松江街支行高

3、山案（2005）2005年1月3日，中国银行黑龙江分行哈尔滨河松街支行行长高山全家离境去了加拿大，并且卷走了6亿多元储蓄资金。高山卷走的这些资金中，一笔是东北高速的存款3.23亿元，另一笔是黑龙江辰能投资有限公司的3.06亿元。 高山的作案方式主要是开具假存单。在最后的作案时间里，他在中行其他支行提现1亿多元。 被卷走资金的辰能投资的一位相关负责人，在知道这件事的当天晚上和几个好友吃完晚饭后，回到家里跳楼自杀了。9法国兴业银行科维尔股指期货欺诈交易案（2008） 2008年1月，法国兴业银行发生交易员杰洛米科维尔从事欺诈性股指期货交易，造成法国兴业银行49亿欧元(71.6亿美元)损失。 这名交

4、易员从2007年上半年便开始在上级不知情的情况下从事违规交易，交易类型为衍生品市场中最基本的股指期货。 这次欺诈事件是银行史上造成损失数额最大的一次。10代价！“毁誉”声誉风险“破财”财务损失“分心”整改成本11财务损失金融监管部门的罚款；各种诉讼赔偿；律师费用、独立的第三方调查费用、公关费用；失去准入资格，丧失巨大的业务机会；股价下跌，融资成本增加；其他的间接财务损失。在监管者面前失去信誉引起监管的连锁反应在公众面前失去信誉媒体的放大效应在市场投资者面前失去信誉投资评级的下降各种声誉风险相互关联造成的放大效应从监管处罚的公开到媒体的反应，到市场反应、诉讼导致的声誉风险具有持续性声誉损失机会损

5、失正常的战略实施步骤将被打乱与监管者的沟通和修复关系避免连锁监管反应回复客户信心监督实施整改计划应对媒体负面报道合规风险的影响122004年10月25日花旗集团CEO普林斯本人亲赴日本以个人身份向日本金融厅专员五味广文道歉。日本金融厅长官五味广文花旗集团CEO Charles Prince毁誉！13“Say sorry,Japan style”2004年10月25日花旗集团CEO Charles Prince和日本花旗CEO Douglas Peterson因违规和洗钱行为在东京举行新闻发布会表示谢罪：“我为花旗未能在日本守法合规经营，真诚地向客户和公众致歉。”右：花旗集团CEO Charle

6、s Prince左：日本花旗CEO Douglas Peterson毁誉！14CSFB由于违反合规导致其在日本被吊销执照Citigroup因贷款违规被罚7000万美元投资银行业巨头Morgan Stanley、Deutsche Bank 和 Bear Stearns 因上市欺诈被重罚1500万美元作为调解方案的一部分，UBS Warburg同意支付2500万美元作为罚款，25美元作为“退脏费”，2500万美元用来支持独立调查，500万美元作为未来的投资者教育款项。在股东投票决定拟议中的并购之前， Bank of America 和 FleetBoston Financial 与监管当局就其相互

7、之间的基金不当交易问题达成一项6.75亿美元的调解方案，监管当局要求 Bank of America在一年内替换其大部分基金董事。英国金融监管当局即金融服务管理局（FSA）以违反英国洗钱规则为由对奥地利银行Raiffeisen Zentralbank sterreich 处以15万英镑 (27.2万美元)的罚款 。印度国家银行因违反银行保密法及未能完整保存账簿和记录而被联邦储备银行及其它美国监管当局处以750万美元的罚款。五家投资银行因在监管当局调查其是否向投资银行客户签发误导或错误调查报告期间未能向监管当局发送电子邮件而集体被罚825万美元。商业银行因违规受处罚案例16合规风险管理原理与实践

8、第二部分：合规风险17BASEL“合规风险”定义 合规风险指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行业务活动的行为准则（“合规法律、规则和准则”）而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。 合规与银行内部合规部门（2005年4月） “Compliance risk is defined as the risk of legal or regulatory sanctions，material financial loss，or loss to reputation a bank may suffer as a result of its f

9、ailure to comply with laws，regulations，rules，related self-regulatory organisation standards，and codes of conduct applicable to its banking activities.”19银监会“合规”定义“本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。”“本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。” “本指引所称合规风险，是指商业银行因没有遵循法律、规

10、则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。” 银监会商业银行合规风险管理指引（2006年）20其它“合规”定义 合规是指，使一家银行的活动与所适用的法律法规、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的规章制度和行为准则（统称“合规法律、规则和准则”）相一致。合规是银行内部一项核心的风险管理活动。上海银监局上海银行业金融机构合规风险管理机制建设的指导意见（2005年9月） “本规定所称合规，是指证券公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度，以及行业公认并普遍遵守的职业道德和行

11、为准则。” 证监会证券公司合规管理试行规定（2008年7月）？21思考：“内法”还是“外法”？“规”是指“外部的法律、规则和准则”还是还包括“银行内部规章制度”？如果“合规”包括“银行内部规章制度”，那么“合规管理”和“内部控制管理”还有分别吗？监管当局往往对银行“内部控制”也提出合规要求，这是否意味着“银行的内部控制建设就是为了满足监管当局的合规要求”？，是否进而可以说“银行的内控工作即是合规工作”？银行”合规管理“和”内部控制“之间的关系如何？合规风险管理能否完全杜绝违规事件的发生？22“外法”内化流程 法规变化 分析处理 分解到各部门 各部门内化重点关注人民银行、银监会、外管局及其它境内

12、外监管法规变化分析对我行经营管理的影响关注与各部门工作的相关性；对于有重大影响的法规，发布合规风险提示制定、修改规章制度和操作流程23专项合规管理流程实例：反洗钱设置反洗钱工作委员会制度建设：反洗钱政策； “了解客户”制度；大额交易报告制度；可疑交易报告制度；记录保存制度（账户和交易资料的保存）系统建设：大额和可疑交易报告系统反洗钱检查开展多层次、有针对性的测试和培训：管理部门、一线员工围绕监管关注的焦点确定重点合规工作！24三类合规风险管理检查“仪表盘”示例监管问题全球金融市场英国全球金融市场亚洲全球金融市场美洲产生监管影响的重大内部事件例如：系统失灵可能导致违背监管要求客户投诉（及公众评论

13、）例如：银行卡被公众给予负面评价稽核结果业务变化新产品开发业务架构重大业务重组，例如：并购等监管变化负担评估监管变化给业务单元带来的负担监管者关注焦点公告监管机构发表的演讲、媒体讨论的行业热点问题检查活动监管检查或会谈的结果26合规风险识别、评估、监控流程外部法规变化的监控规章制度合规性审查新产品合规管理（新产品开发的合规性论证；新产品投入市场前，对相关法律文件及宣传品进行合规审查）重大合规信息的报告合规培训管理重大合规项目的管理：反洗钱；关联交易问责制度绩效考核指标27合规、内控、操作风险定义合规风险 银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行业务活动的行为

14、准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。 （BASEL）内部控制 由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。（COSO）操作风险 由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义不包括策略风险和声誉风险，但包括法律风险。（BASEL II）29合规同内控及操作风险间比较内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财

15、务报告合规子公司业务单位分支机构企业主体层次识别评估监控报告缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变合规是内控多重目标之一，但不是唯一目标；合规管理流程是内控管理流程的一部分重要内容，但不是全部内控流程；合规风险引起的原因包括人员、流程、系统，因此合规风险是操作风险的一部分；合规风险是一种特别的操作风险，因此需要专门的管理！30内控三道防线理念适用于合规管理董事会及执行委员会第一道防线第二道防线第三道防线业务部门和分支机构从事业务操作的人员日常风险管理集团总部、 分支机构、业务条线合规风险管理人员专家职能负责政策制定、工具开发专业咨询、风险管理

16、监控独立检查稽核部门31内部控制基本原理从“控制”到“风险”！第三部分：内控原理32COSO 1992内部控制框架（ ICF ）运营目标财务报告真实性目标合规目标控制环境；风险评估；控制活动；信息和沟通；监控。各业务单位各业务活动第二维:5个要素第一维：3个目标第三维：2个方面监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1COSO：CommitteeofSponsoringOrganizationsoftheTreadwayCommission33COSO 2003全面风险管理框架（ERM）“EnterpriseRisk ManagementFrame

17、work”（ERM） COSO 2003年7月公布内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业务单位分支机构企业主体层次34ERM2003ICF1992监控信息和沟通控制活动风险评估控制环境运营财务报告合规业务单位A业务单位B活动2活动1要素维度组织维度内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业务单位分支机构企业主体层次COSO I与COSO II之框架比较企业风险管理贯穿于企业各个层级，包括分之机构、子公司和业务单位，并

18、根据“风险组合观”，站在企业主体层次的高度来整体把握风险；COSOII将COSOI中的“风险评估”要素拓展为“目标设定”、“事项识别”、“风险评估”和“风险应对”四个要素目标维度企业风险管理与战略制订紧密联系，使得企业的战略目标与其对风险的态度、风险偏好相协调。35风险是一个事件将会发生并给目标实现带来负面影响的可能性。ERM对“风险”的定义ERM严格区分“风险”和“机会” （将产生正面影响的事件视为“机会” ，ICF没有区分风险和机会；ERM可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；站在现在这个时点预测和评判未来的事情。将会发生目标实现为评判未来结果是好是

19、坏的标准负面影响有好的也有坏的，好的影响是机会，会给企业带来利润；坏的影响是风险，会给企业带来损失可能性强调了不确定性，有可能发生也有可能不发生。36ERM框架八要素之间的关系目标设定事件识别风险评估风险应对控制活动信息与沟通监控内部环境内部环境37复杂多维的监管环境带来的挑战财政部企业内部控制基本规范（2008） 内部控制评价指引 内部控制实施指引 内部控制鉴证指引银监会商业银行内部控制指引（2007）银监会商业银行内部控制评价办法（2005）上交所上海证券交易所上市公司内部控制指引（2006）银监会商业银行操作风险管理指引(2007)银监会商业银行操作风险资本计量指引(2008) 38企业

20、内部控制基本规范出台背景2005年6月，国务院就财政部、国资委和证监会联合上报的关于借鉴完善我国上市公司内部控制制度的报告做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，就研究、制定一套具有统一性、公认性和科学性的企业内部控制规范达成了共识”。2007年3月，财政部发布“关于印发企业内部控制规范-基本规范和17项具体规范（征求意见稿）的通知”，面向全社会开始征求意见。经过一年多的修改和调整，财政部最终于2008年6月28日正式发布了企业内部控制

21、基本规范，作为企业内控的政策性框架文件，用以规范所有企业的内部控制。39基本规范实施要求2005年6月，国务院就财政部、国资委和证监会联合上报的关于借鉴完善我国上市公司内部控制制度的报告做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。 为加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会制定了企业内部控制基本规范，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应对内部

22、控制的有效性进行自我评价，披露年度自我评价报告，并可聘请有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。40基本规范实施主要问题实施基本规范商业银行同一般企业实施有何不同？-新资本协议操作风险管理的实施能够解决商业银行内控的绝大部分问题！基本思路：以实施BASEL操作风险管理框架为主，兼顾COSO!基本规范是中国的SOX吗？-如何履行披露义务是一个博弈过程;披露范围广泛；披露方法的选择。如何建立系统的内控评价方法：合理实现全面评价和重点评价的结合；统一的评价和测试标准；评价方法论能支持内控是否整体有效的结论；如何建立统一的内控缺陷评价标准？如何加强内控文档的系统整理和维护？41基

23、本规范是中国的SOX吗？SOX针对上市公司，基本规范针对“大中型企业”，不必然是上市公司；SOX只针对财务报告的内控；基本规范一共有5个目标（运营；财报；合规；战略；资产）SOX要求必须有审计报告；基本规范的提法是“可以” ，即无强制要求；SOX不提供内控方法论；基本规范提供方法论框架；SOX的立法重点在于披露责任；基本规范未明确披露要求结论：基本规范因SOX而起，确非”C-SOX”! ”C-SOX”是严重的误解！42内部控制三道防线体系第四部分：内控治理43内部控制三道防线基本架构和含义董事会和管理层各业务单位各业务单位内部审计专业性部门或功能(法律、人力资源、反洗钱、保卫、信息科技、信息安

24、全、反金融犯罪等职能内部控制牵头职能日常内部控制和操作风险管理业务一线内控第一道防线内控第二道防线内控第三道防线提供独立的保证维护内部控制框架，设定内部控制和操作风险管理政策，制定和开发相关的工具和流程，实施风险监控业务条线部门内部的内控或操作风险管理职能44内部控制三道防线的一般原理内控三道防线是指业务一线、操作风险管理和专业功能、内部审计构成的三道内控防线，以确保适当和有效的内部控制结构。三道防线是一个理念或概念，但并不是一套规定的规则或者组织架构，不能简单把三道防线对应为组织架构甚至部门。三道防线的理念强调实现有效的内部控制不可能在脱离业务一线的情况下实现，是业务一线来最终拥有和管理自己

25、的风险，即业务一线是风险的所有人，因此是内控的第一责任人。内控三道防线理念的最大优势在于，第一次鲜明地提出各级机构、部门、每个管理者和员工都是第一道防线！一道防线的核心是强调“内控人人有责”。第二道防线（内控牵头部门或者操作风险管理牵头部门）和第三道防线（内部审计）的任务是支持业务一线（第一道防线）识别、评估、监控、缓释和报告其内控控制中存在的问题（也就是操作风险），使业务一线内部嵌入有效的操作风险和内部控制机制，并且在对风险有充分考虑和管理的情况下的开展业务经营活动。45中国银行内部控制建设探索实践第五部分：内控实践46中国银行公司治理架构一览法律与合规部为关联交易控制委员会、内部控制委员会

26、、反洗钱工作委员会的秘书机构。47建立内部控制委员会平台内控委主席李礼辉行长总行内控委分行内控委季度会议制总分行内控委实施季度例会制度，就各业务条线和分行内控工作做出部署，研究并出台了一系列有关内控的重大措施和规章制度，监控和督促全行内控整改进展，研究范防大要案的具体措施，同苏格兰皇家银行（RBS）开展战略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。内控委员会建立了分行内部控制数据监测制度，每季度收集包括人力资源、系统失灵、欺诈越权、业务重大差错、反洗钱、监管处罚、内控整改、违规事件、法律风险、关联交易等十大类共61项内控数据，分析比对分行内控数据及其变化情况。分行内控委员会会

27、议纪要报备制度； 季度会议制分行内部控制数据监测制度管理层及各一级分行成立内控委员会，统筹领导全行内控体系的总体运行，定期研究讨论重要内控工作，为及时推出有效控制措施提供了议事平台。48将内部控制建设纳入整体战略布局 2005年6月召开全行内部控制体系建设工作会议，第一次将内控工作纳入全行总体战略布局当中，提出：以完善的内部控制组织体系为保障，以体现制衡原则、健全有效的制度为基础，以精细化的过程控制为着眼点，以激励约束机制和问责制为引导，以信息科技手段为依托，大力培育合规文化，努力构建我行全面系统、动态、主动和可证实的内部控制体系。”这次会议提出六个入手:从明确职责入手，完善内部控制组织体系建

28、设；从制度建设入手，夯实内部控制基础 ；从细节入手，实现精细化的过程控制 ；从完善激励约束机制和问责制入手，引导内部控制目标的实现 ；从加强信息技术手段入手，提高内部控制水平和质量 ；从加强教育培训入手，促进合规文化的形成。49总分法律与合规部组织架构业务运营一业务运营二业务运营三知识产权合规管理内控评估监控内控政策规划内控检查副总首席合规官副总副总总经理海外机构与反洗钱关联交易资深法律专家行政团队法务秘书 法律风险管理 合规风险管理内部控制与操作风险管理 各省行均设法律与合规部，牵头本分行内控工作；二级行设相关内控部门负责其内控工作。50规章制度机构间差异带来的挑战问题：不同分行和网点同一业

29、务流程不标准、不统一的现象较为严重。原因：制度缺乏统一操作标准和技术细节，下级行不得不自创流程和标准；规章制度信息在自上而下的传导中产生的误差逐级放大！“上面千条线，下面一根针”，分散的规章制度事实上难以被掌握；上级管理部门对基层负担不敏感；对基层是否掌握规章制度不敏感；“要不要做麦当劳？”标准化思想尚未深入人心；“规章制度是否都要结合本行实际？”什么是“本行实际情况”？对规章制度的特别化处理缺乏管理。危害：“说不清楚”降低了管理透明度“考核总是不公平”降低了行与行之间的可比性“我总是坐在火山口上”降低了内控系统的可靠性“为什么总是管不好下级机构的内控工作？”总行和一级分行对下级机构的管控难度

30、加大。 解决：能明确具体操作标准的要尽量明确；制定规章制度流程要科学，倾听基层意见不能走形式；大力倡导操作流程的标准化和一致化个别机构因实际情况确有必要调整流程，应及时报备。上级对下级机构的流程差异要心中有数。51第六部分：应对挑战如何应对COSO和BASEL两方面挑战？52BASEL和COSO两方面挑战一方面我们面临来自BASEL的挑战：要按照银监会要求，实施巴塞尔新资本协议，完善操作风险管理框架，主动识别、评估、缓释、监控、报告操作风险。我们同时还面临来自COSO的挑战：要根据财政部等五部委联合发布的企业内部控制基本规范要求，按照COSO全面风险管理框架，完善内部控制体系。53COSO与B

31、ASEL对比分析巴塞尔新资本协议操作风险管理框架主要突出银行特色COSO全面风险管理框架则是对一般企业的共性要求两者角度虽有不同，但在精神实质上是一致的。 银行业要统筹考虑自身内控和操作风险管理体系建设问题54内部控制与操作风险管理的关系（一）操作风险管理文化 识别 评估 控制或缓释 监控报告 内部环境 风险评估控制活动 信息与沟通 监控 目标识别 事件识别 风险评估 风险应对 内部控制 操作风险管理 两个术语表达的含义略有不同 但在精神实质上是一致的 55内部控制与操作风险管理的关系（二）本行不严格区分“内部控制”与“操作风险管理”，对 “内部控制”与“操作风险管理”两者关系的表述是：“内部

32、控制”和“操作风险管理”两个术语的内涵和侧重点虽有不同，但两者涉及的问题和领域在相当大的范围内是共同的，在方法论上是相近或一致的。内部控制中的“内部环境”要素与 “操作风险管理文化”在内涵上基本一致；内部控制框架中“目标设定”、“事件识别”、“风险评估”三个要素大致可体现为操作风险管理循环的“识别”与“评估”环节；“风险应对”和“控制活动”两要素实际上与操作风险管理循环中的“控制或缓释”环节相当；“信息与沟通”要素的内容在操作风险管理循环的“报告”环节有所涉及。56应对思路“一心二用”以巴塞尔新资本协议实施为主；同时借鉴COSO等国际内控标准；逐步搭建具有银行自身特色的内部控制与操作风险管理框

33、架；一个框架满足两方面要求；对应来自COSO与BASEL两方面挑战的总体思路：57第七部分：操作风险原理BASEL操作风险管理58什么是操作风险?“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险 。”一般行业对操作风险的定义 - BBA/Isda/RMA 对操作风险的调查需注意 其不包括策略风险和声誉风险细化来看，操作风险包括原因、事件及后果。原因，如：导致损失的缘由是什么事件，如：给损失分类后果，如：该损失对损益的影响59操作风险定义解读操作风险是银行除了信用风险和市场风险以外的其他风险，因此也有称“企业风险”。操

34、作风险叫“运营风险”更为准确，因为企业运营运转的因素就是人、流程、系统、外部环境。操作风险和内部控制是一回事。风险和控制是问题的两面！风险管理是内部控制的高级阶段在组织中无处不在并构成业务经营组成部分是内部因素和外部因素的混合体不可避免，不能完全消除并只能尽量减少它难计量通常情况下操作风险的原因并不显而易见，其是各种潜在因素的产物60操作风险管理流程循环规避转移加强内部控制接受剩余风险识别评估监督报告缓释风险与控制评估集团重大事件报告流程集团新产品审批流程业务持续经营计划风险与控制评估集团重大事件报告流程集团新产品审批流程损失数据收集流程操作风险事项及剩余风险监控集团重大事件报告流程损失数据收

35、集关键风险指标61从Basel I 到 Basel II没有针对操作风险的资本要求较低的风险敏感性Basel I仅有部分监管机构要求银行进行整体风险评估有限的披露要求明确提出对操作风险的资本要求明确的披露要求明确的整体风险/资本评估要求较高的风险敏感性Basel II巴塞尔新资本协议框架转换为不同国家的监管要求各国可根据实际情况对新协议的部分规定进行修改导致母国 / 东道国间的差异62第二支柱ICAAP and SREP银行全面评估面临的风险，涵盖：未被支柱1完全覆盖的风险，如：集中度风险；支柱1未考虑的风险，如银行账户利率风险：压力测试；评估覆盖风险所需的资本；由监管机构对于资本充足率进行监

36、督检查。第三支柱信息披露针对风险管理的新的市场披露要求。需有效披露：银行风险状况；资本充足状况；披露具体的定性和定量信息：适用范围；资本的组成；风险暴露情况；资本充足率。第一支柱最低资本要求新的基于风险的最低资本要求，涵盖信用风险、市场风险和操作风险：通过更为完善的信用风险加权和内部评级方法，增加风险敏感度；更好的统一监管资本与经济风险；对信用风险和操作风险提供了不同复杂性的多种方法。IT基础设施三大支柱 一致的数据架构数据管理标准新资本协议架构（三大支柱）63背景银监会2007年2月，中国银监会发布了中国银行业实施新资本协议指导意见，要求“。大型商业银行应实施新资本协议”；2007年5月，中

37、国银监会印发了商业银行操作风险管理指引。该指引明确要求“商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险“；2008年10月1日，中国银监会发布的商业银行操作风险监管资本计量指引正式开始施行。中国银行2008年3月20日，中国银行董事会批准了中国银行巴塞尔新资本协议实施方案，随后银行启动了多个子项目的实施工作。项目开展驱动因素新资本协议的合规要求银监会和巴塞尔委员会在新资本协议中均就操作风险管理以及资本计量设定了一系列监管要求；银行业务发展及风险管理水平提高的客观需要当前银行业务复杂程度提升，操作风险凸显；操作

38、风险管理已经具有一定基础，仍需向领先实践迈进。64银监会对BASEL的态度07年2月，银监会为我国商业银行实施巴塞尔新资本协议设定最后期限，督促大型商业银行从2010年底起开始实施新资本协议，最迟不得晚于2013年底。银监会尚未明确操作风险资本金计提的具体方法，但在非官方场合表示目前国内商业银行的操作风险测量和管理实践的实际情况比较适宜采用标准法。中国银行按照市值排名是全球第四大商业银行，跻身于国际一流银行之列就必须借鉴国际领先银行在操作风险管理领域的最佳实践，满足巴塞尔协议的高级法要求。我们的任务：2010实施标准法，同时着眼于高级法的要求，在资本金计量和操作风险管理框架 两个方面不断完善和

39、提高，逐步完成向高级法的过渡。65操作风险管理框架风险及控制自我评估（RACA）战略决策业务项目风险计量损失数据(LDC)操作风险治理使命，指导原则，风险战略，风险偏好，组织架构，风险术语关键风险指标（KRI）风险监控风险识别及评估操作风险计量监管及经济资本模型风险报告风险识别及评估工具定性分析定量分析6666净利息收入 + 其他收入乘以15%计算3年的平均值基于内部和外部损失数据以及情景分析的内部模型操作风险资本计量方法概述基本指标法标准法高级计量法净利息收入 + 其他收入按业务线归类按业务线的不同乘以12-18%计算3年的平均值67操作风险管理的定性要求基本指标法高级计量法标准法操作风险的

40、稳健做法三种方法都鼓励遵守“操作风险管理与监管的稳健做法”（巴塞尔委员会，2003年2月）。对高级计量法的大部分要求在“操作风险管理与监管的稳健做法”或标准法中亦有涉及。高级计量法的主要区别在于:操作风险建模（如情景分析，加工内部损失数据, 使用外部损失数据，参数的验证）数据和分析的深度68标准法对银行在管理方面的要求国际活跃银行使用标准法在管理方面还需满足：操作风险管理框架中必须有操作风险管理部门，并对其职责进行清晰的描述，包括制定管理原则、规章制度和工作流程，设计风险报告系统，制定和实施操作风险暴露测量方法。操作风险管理流程必须留下完整、准确的记录文档；向业务条线、高级管理层和董事会定期提

41、交操做风险报告；确保银行能够根据管理报告采取恰当的整改措施；对业务条线和操作风险管理部门开展的活动进行定期检查；系统地采集操作风险损失数据，这些数据应该在风险报告、管理报告、风险分析中发挥重要作用。整改报告框架建设LDC自我评估任务尚未开始实施69对于内部历史数据先按事先设定好的集团统一标准对其频率分布和严重性分布进行记录；外部数据提供给内部相关业务领域的专家开WORKSHOP进行情景分析记录频率分布和严重性分布；由于历史数据是基于历史上的控制环境和控制措施，但这些方面现在可能已经发生变化（如业务条线上的调整即为控制环境的变化），因此需要对上述两方面的数据根据控制环境的变化实施调整，此流程即为

42、ABCE流程；将上述数据通过蒙特卡罗法进行模拟分析形成操作风险的损失分布，但得出的分布曲线是每一个业务条线的每一类损失的分布，即八个业务条线和七类操作风险事件的共56个类别上的分布；将各条线各类事件的分布综合在一起，这时需要考虑56个分布的相关性因素，并据此对模型参数做一定调整，从而得出初步监管资本数字；对此数字要进一步扣减：扣除保险赔付的因素，按照BASEL2要求扣减额度最高不能超过损失保险金额的20%；扣除预期损失（EL，是指那些经常发生的银行可以预见的损失，主要指那些高危低频特征明显的操作风险事件，如银行卡欺诈PLASTIC FRAUD、非银行卡欺诈NON-PLASTIC FRAUD、现

43、金帐务不符CASH DEFICIENCIES测算，EL是AMA方法下监管资本的扣减因素）部分，因为预期损失银行已在预算和定价中进行弥补了，因此也就无需用资本抵补，经过这些流程，银行即计算出操作风险需要的最终监管资本；银行还要就此监管资本在内部各业务条线进行分配，实施操作风险的经济资本管理。计算AMA操作风险监管资本7步骤70基本原则与操作风险管理循环的关系71操作风险管理流程、基本原则与管理循环72第八部分：工具流程操作风险管理工具和流程73操作风险管理三大工具风险与控制评估（RACA）关键风险指标（KRI）损失数据收集（LDC）管理信息/风险报告记录与验证风险监控风险识别与评估行动方案治理未

44、来观点当前观点历史观点74工具流程操作风险与控制评估流程（RACA）75RACA概述风险部分控制部分风险与控制评估 (RACA)风险与控制评估是一种银行操作风险管理手段，力求通过每个业务单元自我的观察、分析，并借助经验和判断，对银行自身可能蒙受的操作风险以及控制情况进行识别和评估，以便对其进行防范，并进而提高银行的风险和业务管理水平。它通常采用以研讨会或调查问卷为主的工作形式，结合专门的操作流程，在银行各个业务条线中开展。风险与控制评估识别潜在操作风险以便防范改善操作风险管理文化健全内控管理体系协助管理决策达到监管机构的监管要求风险与控制评估（RACA）：指各机构、部门作为操作风险所有人定期（按季）评估自身的风险和控制措施，并使用标准化模板持续记录和报告的标准化流程.76工具流程操作风险关键风险指标流程（KRI）77KRI的作用与目标监控报告关键操作风险建立风险偏好作为预警指标统一监控整个组织操作风险状况和报告关键风险领域变化；通过实施操作风险KRI阀值逐步建立银行的操作风险偏好；可作为具体业务和管理过程中潜在的风险与控制问题的预警指标；风险定量化风险管理文化促进操作风险管理定量化；培育“没有意料之外的事件”的风险管理文化；关键风险指标的作用