商业银行合规管及内部控制与操作风险管理课件

商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理2案件回顾合规管理内控原理三道防线内控实践应对挑战操作风险工具流程提纲舰捐芬担郡铜砖奈呻轰笛瞩秆烙厉镶麓嫉耗奄岩张户稚样茎凤匡菜凄簇忍商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理4案件回顾提纲舰捐芬担郡铜砖奈呻轰笛瞩秆烙厉镶麓嫉耗奄岩张户3从治理类案件到管理类案件第一部分：案件回顾氦赎霞父者于侵森琵掏奇嫩型俄邪梅酝捣啦稍酮葱臻盒焉惮赢友膜志灯灵商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理5从治理类案件到管理类案件第一部分：案件回顾氦赎霞父者于侵森4巴林银行里森案（1995）1995年2月，英国历史最悠久的巴林银行派驻新加坡的交易员尼克·利森“未经授权”大量购买走势看好的日本日经股票指数的期货，但没想到一场阪神大地震使日经指数不升反跌，导致巴林银行亏损14亿美元，一下陷入破产境地。

当时整个巴林银行的资本和储备金只有8.6亿美元。

荷兰国际集团最终以1英镑价格收购巴林银行。忿酞僚搪蒋吞散摔皋茁泵借勤兔咐揽世交帛彩剃湘可酉绝澄困晚践蓬事怠商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理6巴林银行里森案（1995）1995年2月，英国历史52001年10月中行广东开平支行许超凡、许国俊、余振东等3任行长，9年里监守自盗4·83亿美元。2004年4月16日17时10分许，中国银行开平案主犯之一、原中行广东省开平支行行长余振东被美国警方押送回北京首都国际机场。中国警方在机场对其实施逮捕。广东开平案（2001）腿屑似支怯矢瀑警潭凹棍载茄脂煞下呻作荣喧郑芋老逛悄瓷金晤牡瘫榴亮商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理72001年10月中行广东开平支行许超凡、许国俊、余振东等36苏格兰皇家银行MacKenzie案（2004）苏格兰皇家银行（RBS）2004年暴露英国历史上最大的银行欺诈案，DonaldMacKenzie是爱丁堡人，为RBS员工，1999年至2004年期间通过开立大量虚假账户的方式骗取银行资金，涉案金额达2100万磅（约合3亿元人民币），其中有1000万磅的损失不知去向。

DonaldMacKenzie也是RBS业务骨干，一个正在上升的新星（arisingstarofRBS），曾三次因拓展业务而受到奖励，也因此掩盖了其欺诈行为。此案是因RBS改造IT系统导致案发，同国内发生的一些银行欺诈案件的特点非常类似，如出一辙。

此人2004年事败，2006年6月底被判15年徒刑。谓汝扰奴捆酱保藩汗鸥盗办氨缕榆弄钦椽铀闯瑶盎恼舷壁员汲溉混问窄鸽商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理8苏格兰皇家银行MacKenzie案（2004）苏格7哈尔滨松江街支行高山案（2005）■2005年1月3日，中国银行黑龙江分行哈尔滨河松街支行行长高山全家离境去了加拿大，并且卷走了6亿多元储蓄资金。■高山卷走的这些资金中，一笔是东北高速的存款3.23亿元，另一笔是黑龙江辰能投资有限公司的3.06亿元。■高山的作案方式主要是开具假存单。在最后的作案时间里，他在中行其他支行提现1亿多元。■被卷走资金的辰能投资的一位相关负责人，在知道这件事的当天晚上和几个好友吃完晚饭后，回到家里跳楼自杀了。鸥商渊疙独喇芥纪窥炯吐吓锯些诉恒系胃钥曲扩褒夕吃眉昌硒脖路吹含次商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理9哈尔滨松江街支行高山案（2005）■2005年1月3日，中8农行邯郸分行金库被盗案（2006）2006年10月至2007年4月，中国农业银行河北省邯郸分行金库管库员任晓峰、马向景等人，利用担任金库管库员的职务便利，共同窃取金库现金5095.605万元，用于购买彩票。

2007年8月9日邯郸市中级人民法院一审认为对任晓峰、马向景行为已构成贪污罪，且数额特别巨大，情节特别严重，对两人做出死刑、剥夺政治权利终身的判决。

2007年9月19日河北省高级人民法院做出终审裁定，驳回任晓峰、马向景、赵学楠的上诉，对邯郸银行盗窃案全案维持一审原判。对任晓峰、马向景维持死刑判决的裁定，河北省高级人民法院将依法报请最高人民法院核准。

邯郸银行金库特大盗窃案嫌犯任晓峰落网资料图片：马向景接受审讯测精抓钮厩榆诫燃群瞧燃震蹲厢改嘶钟冤它扑巍嚷鄙燕深三佩谊我制厚妖商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理10农行邯郸分行金库被盗案（2006）2006年109法国兴业银行科维尔股指期货欺诈交易案（2008）2008年1月，法国兴业银行发生交易员杰洛米•科维尔从事欺诈性股指期货交易，造成法国兴业银行49亿欧元(71.6亿美元)损失。

这名交易员从2007年上半年便开始在上级不知情的情况下从事违规交易，交易类型为衍生品市场中最基本的股指期货。

这次欺诈事件是银行史上造成损失数额最大的一次。藤孰友擒汰少首绣同才毋胃虱急氨肤奋缮桅汐庚慌澈床潭十惺涪讶垫飞扔商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理11法国兴业银行科维尔股指期货欺诈交易案（2008）10代价！“毁誉”——声誉风险“破财”——财务损失“分心”——整改成本甄坤彰粥靳峨撩杜碑码磨冲鳞橇榨噪剧量舀沽糊序喝俏烘苔猪棒梳瓤馅位商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理12代价！“毁誉”——声誉风险甄坤彰粥靳峨撩杜碑码磨冲鳞橇榨11财务损失金融监管部门的罚款；各种诉讼赔偿；律师费用、独立的第三方调查费用、公关费用；失去准入资格，丧失巨大的业务机会；股价下跌，融资成本增加；其他的间接财务损失。在监管者面前失去信誉——引起监管的连锁反应在公众面前失去信誉——媒体的放大效应在市场投资者面前失去信誉——投资评级的下降各种声誉风险相互关联造成的放大效应——从监管处罚的公开到媒体的反应，到市场反应、诉讼导致的声誉风险具有持续性声誉损失机会损失正常的战略实施步骤将被打乱与监管者的沟通和修复关系避免连锁监管反应回复客户信心监督实施整改计划应对媒体负面报道合规风险的影响澳类责批垣囊沟隆豹巢津颜陶拾瞒七褂氧昨魄歌恶幌仕官秽闹瞻膨置访谬商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理13财务损失金融监管部门的罚款；在监管者面前失去信誉——引起122004年10月25日花旗集团CEO普林斯本人亲赴日本以个人身份向日本金融厅专员五味广文道歉。日本金融厅长官五味广文花旗集团CEOCharlesPrince毁誉！岂烩空艾裴子厅旱哟镇审颠轻经殖癸话际耕侧前碉悄磷清曼邻距誊粹阁读商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理142004年10月25日花旗集团CEO普林斯本人亲赴日本以13“Saysorry,Japanstyle”2004年10月25日花旗集团CEOCharlesPrince和日本花旗CEODouglasPeterson因违规和洗钱行为在东京举行新闻发布会表示谢罪：“我为花旗未能在日本守法合规经营，真诚地向客户和公众致歉。”右：花旗集团CEOCharlesPrince左：日本花旗CEODouglasPeterson毁誉！炉辉暑傍蹈煌途车龟哦透窟熊讨夷裸诅旧初蚤逃巡襟涨启氯靳却污亭词宠商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理15“Saysorry,Japanstyle”2004年14CSFB由于违反合规导致其在日本被吊销执照Citigroup因贷款违规被罚7000万美元投资银行业巨头MorganStanley、DeutscheBank和BearStearns因上市欺诈被重罚1500万美元作为调解方案的一部分，UBSWarburg同意支付2500万美元作为罚款，25美元作为“退脏费”，2500万美元用来支持独立调查，500万美元作为未来的投资者教育款项。在股东投票决定拟议中的并购之前，BankofAmerica和FleetBostonFinancial与监管当局就其相互之间的基金不当交易问题达成一项6.75亿美元的调解方案，监管当局要求BankofAmerica在一年内替换其大部分基金董事。英国金融监管当局即金融服务管理局（FSA）以违反英国洗钱规则为由对奥地利银行RaiffeisenZentralbankÖsterreich处以15万英镑(27.2万美元)的罚款。印度国家银行因违反银行保密法及未能完整保存账簿和记录而被联邦储备银行及其它美国监管当局处以750万美元的罚款。五家投资银行因在监管当局调查其是否向投资银行客户签发误导或错误调查报告期间未能向监管当局发送电子邮件而集体被罚825万美元。商业银行因违规受处罚案例献铭蛰道诣某来进叹包豫睛钒侍扼使搂犁例脉铜谱寥险混诫莲彦溉伍粥二商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理16CSFB由于违反合规导致其在日本被吊销执照商业银行因违规15法国兴业银行因科维尔案受处罚2008年7月，法国银行监管机构“法国银行委员会”对兴业银行开出400万欧元罚单，原因是兴业银行内部监控机制“严重缺失”，导致巨额欺诈案的发生。银行委员会指出，兴业银行内部监控机制严重缺失，使得金融交易在各个级别缺乏监控的情况下，在较长时期内难以被察觉并得到纠正，因而存在较大可能发生欺诈案并带来严重后果。为此对兴业银行罚款400万欧元。这一罚款金额接近银行委员会的罚款上限（最高上限为500万欧元）。

掣吐县腻勋鸽秒设楷仿朋蚜膏琵糕乍种貌松吾悔站应谷稀狂渺恋榔惮灿漠商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理17法国兴业银行因科维尔案受处罚2008年7月，法国16合规风险管理原理与实践第二部分：合规风险矾痒际锄鞠躇找掳连反绩漂春位卉社踌垫咕绰陨谩托惑拯锁浇血沁肖熟叔商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理18合规风险管理原理与实践第二部分：合规风险矾痒际锄鞠躇找掳17BASEL“合规风险”定义合规风险指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行业务活动的行为准则（“合规法律、规则和准则”）而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

——《合规与银行内部合规部门》（2005年4月）“Complianceriskisdefinedastheriskoflegalorregulatorysanctions，materialfinancialloss，orlosstoreputationabankmaysufferasaresultofitsfailuretocomplywithlaws，regulations，rules，relatedself-regulatoryorganisationstandards，andcodesofconductapplicabletoitsbankingactivities.”依循夸宅帮惑侵鳞尊骄浙侩郑吨抹爽舞杜石玫闭孕胞摹共标侣袭榨睹坡萨商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理19BASEL“合规风险”定义合规风险指银行因未能遵18“合规法律、规则和准则”主要包括：遵守市场行为的适当准则管理利益冲突公平对待消费者确保客户咨询的适当性特定领域：反洗钱和反恐怖融资、税收“合规法律、规则和准则”渊源包括：遵守市场行为的适当准则立法机构和监管机构发布的基本的法律、规则和准则市场惯例行业协会制定的行业规则适用于银行职员的行为准则等。合规法律、规则和准则不仅包括那些具有法律约束力的文件，还包括更广义的诚实守信和道德行为的准则“合规法律、规则和准则”理解栋搭坤诸垃号萧巍寞娇滨是住纶撰梳正抉厌浅沟坷撑茎话移奔庸你亚抢鸦商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理20“合规法律、规则和准则”主要包括：遵守市场行为的适当准则19银监会“合规”定义

“本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。”“本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。”

“本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。”

——银监会《商业银行合规风险管理指引》（2006年）伦领坯额飘稠目钾是筋汗兽畅经巡弱咯有赵穆埃阳法捅扛捅注俺躁淌脾茁商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理21银监会“合规”定义

“本指引所称合规，是指使商业银行的经20其它“合规”定义合规是指，使一家银行的活动与所适用的法律法规、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的规章制度和行为准则（统称“合规法律、规则和准则”）相一致。合规是银行内部一项核心的风险管理活动。——上海银监局《上海银行业金融机构合规风险管理机制建设的指导意见》（2005年9月）

“本规定所称合规，是指证券公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度，以及行业公认并普遍遵守的职业道德和行为准则。”

——证监会《证券公司合规管理试行规定》（2008年7月）？懦寥另色育卸篱隆颈呜潦用侧前穴淆餐峻删椭容虎冯席笺称号诈姬鹃刮侯商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理22其它“合规”定义合规是指，使一家银行的活动21思考：“内法”还是“外法”？“规”是指“外部的法律、规则和准则”还是还包括“银行内部规章制度”？如果“合规”包括“银行内部规章制度”，那么“合规管理”和“内部控制管理”还有分别吗？监管当局往往对银行“内部控制”也提出合规要求，这是否意味着“银行的内部控制建设就是为了满足监管当局的合规要求”？，是否进而可以说“银行的内控工作即是合规工作”？银行”合规管理“和”内部控制“之间的关系如何？合规风险管理能否完全杜绝违规事件的发生？凤氟捞兢帘阻遏坊由循酌踢殴俗助浆舅新蕊婉渐蜘垃涨缨与僧鸯囱蜡坞参商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理23思考：“内法”还是“外法”？“规”是指“外部的法律、规则22“外法”内化流程

法规变化

分析处理

分解到各部门各部门内化重点关注人民银行、银监会、外管局及其它境内外监管法规变化分析对我行经营管理的影响关注与各部门工作的相关性；对于有重大影响的法规，发布合规风险提示制定、修改规章制度和操作流程疡零差师听嚣鳞喝交缩苍玫伞供磷痴资涸说涧李尺爵鞠湖严幢阑康肠侵涩商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理24“外法”内化流程重点关注人民银行、分析对我行经营关注与各23专项合规管理流程实例：反洗钱设置反洗钱工作委员会制度建设：反洗钱政策；“了解客户”制度；大额交易报告制度；可疑交易报告制度；记录保存制度（账户和交易资料的保存）系统建设：大额和可疑交易报告系统反洗钱检查开展多层次、有针对性的测试和培训：管理部门、一线员工围绕监管关注的焦点确定重点合规工作！佣铸锯瞳遮酶蚂益慑咽拓马秉短祷嘛伏维漳嫡轰莆税阎玖莉筒拷袭张殴洲商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理25专项合规管理流程实例：反洗钱设置反洗钱工作委员会围绕监管24三类合规风险管理检查——“仪表盘”示例监管问题全球金融市场－英国全球金融市场－亚洲全球金融市场－美洲产生监管影响的重大内部事件例如：系统失灵可能导致违背监管要求客户投诉（及公众评论）例如：银行卡被公众给予负面评价稽核结果业务变化新产品开发业务架构重大业务重组，例如：并购等监管变化负担评估监管变化给业务单元带来的负担监管者关注焦点公告监管机构发表的演讲、媒体讨论的行业热点问题检查活动监管检查或会谈的结果颠参卞泄呛筏丙刁蒂挫亿场翘疥羚炳王舰绰跑女和傲侯哎锅栋弦匹又浚酗商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理26三类合规风险管理检查——“仪表盘”示例监管问题全球金融市25合规风险管理流程框架识别评估监控报告缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变贡划痊坞餐轰桔追敢纹莫炎错力蔓剐缴癸箔隔凰裔鸳氟曹掘喝江姐膘算吉商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理27合规风险管理流程框架识别评估监控报告缓释规避关键风险指标26合规风险识别、评估、监控流程外部法规变化的监控规章制度合规性审查新产品合规管理（新产品开发的合规性论证；新产品投入市场前，对相关法律文件及宣传品进行合规审查）重大合规信息的报告合规培训管理重大合规项目的管理：反洗钱；关联交易问责制度绩效考核指标硅况刊阀俭处巩圣晌邦悄滚椽昧辞钢佃庐嘶启良排己映饼冻讼民耐谢署主商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理28合规风险识别、评估、监控流程外部法规变化的监控硅况刊阀俭27合规、内控、操作风险定义合规风险银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

（BASEL）内部控制由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。（COSO）操作风险由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义不包括策略风险和声誉风险，但包括法律风险。（BASELII）试酝艘玖袁拷疡蕊讣极耿臆嘿瘸眉官架嚏角男蕊鹤闯边饮裁篷宿思俯园臆商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理29合规、内控、操作风险定义合规风险试酝艘玖袁拷疡蕊讣极耿臆28COSO2003全面风险管理框架（ERM）“Enterprise

RiskManagement

Framework”（ERM）COSO2003年7月公布内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监控运营财务报告合规子公司业务单位分支机构企业主体层次雨撞雕渺享闷图脓弃窖柜餐乍拨啡翘州丝割泞霉卿净耘萎您蚜坤萄害仙让商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理30COSO2003全面风险管理框架（ERM）“Enter29合规同内控及操作风险间比较内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监控运营财务报告合规子公司业务单位分支机构企业主体层次识别评估监控报告缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变合规是内控多重目标之一，但不是唯一目标；合规管理流程是内控管理流程的一部分重要内容，但不是全部内控流程；合规风险引起的原因包括人员、流程、系统，因此合规风险是操作风险的一部分；合规风险是一种特别的操作风险，因此需要专门的管理！袱联瘸益谰秉郝催夺沪虞邵馆肉仆攻实目异现魂叛忌蚊镭萤翟米漓寅前儿商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理31合规同内控及操作风险间比较内部环境战略目标设30内控三道防线理念适用于合规管理董事会及执行委员会第一道防线第二道防线第三道防线业务部门和分支机构从事业务操作的人员日常风险管理集团总部、分支机构、业务条线合规风险管理人员专家职能负责政策制定、工具开发专业咨询、风险管理监控独立检查稽核部门昌鸡殃新藻汐倡检痈积钱元网豫疹撰荣晾淬嫩嫌菲蚊眉莽忱也绝驳槛诣困商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理32内控三道防线理念适用于合规管理董事会及执行委员会第一道防31内部控制基本原理——从“控制”到“风险”！第三部分：内控原理无南庶税袜伐忠侥萝企屋喝貉乎控危船色引妊况浅准仔御露冈极括汞剃袭商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理33内部控制基本原理——第三部分：内控原理无南庶税袜伐忠侥萝32COSO1992内部控制框架（ICF）运营目标财务报告真实性目标合规目标控制环境；风险评估；控制活动；信息和沟通；监控。各业务单位各业务活动第二维:5个要素第一维：3个目标第三维：2个方面监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1COSO：Committee

of

Sponsoring

Organizations

of

the

Treadway

Commission辕诊拥耐挨灭宝砾喷笆匆兄嫌剃屯匈邓伙慨蛇窿贡参擦式塞卫澳铰甭腻陀商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理34COSO1992内部控制框架（ICF）运营目标控制33COSO2003全面风险管理框架（ERM）“Enterprise

RiskManagement

Framework”（ERM）COSO2003年7月公布内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监控运营财务报告合规子公司业务单位分支机构企业主体层次铬特呜婆绰艾嫁木侣瞪疡鸯瘤模醇碘横职贤千投仪剪翅彦盈冉嗣蝉凋秤豁商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理35COSO2003全面风险管理框架（ERM）“Enter34ERM2003ICF1992监控信息和沟通控制活动风险评估控制环境运营财务报告合规业务单位A业务单位B活动2活动1要素维度组织维度内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监控运营财务报告合规子公司业务单位分支机构企业主体层次COSOI与COSOII之框架比较企业风险管理贯穿于企业各个层级，包括分之机构、子公司和业务单位，并根据“风险组合观”，站在企业主体层次的高度来整体把握风险；COSOII将COSOI中的“风险评估”要素拓展为“目标设定”、“事项识别”、“风险评估”和“风险应对”四个要素目标维度企业风险管理与战略制订紧密联系，使得企业的战略目标与其对风险的态度、风险偏好相协调。妇亿寺毗夕僳灼迷秧访俐雏柏丑姐壮榨浮碧淄孵驹颧据蕾惫诀来铬泉哼失商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理36ERM2003ICF1992监控信息和沟通控制活动风险评35风险是一个事件将会发生并给目标实现带来负面影响的可能性。ERM对“风险”的定义ERM严格区分“风险”和“机会”（将产生正面影响的事件视为“机会”，ICF没有区分风险和机会；ERM可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；站在现在这个时点预测和评判未来的事情。将会发生目标实现为评判未来结果是好是坏的标准负面影响有好的也有坏的，好的影响是机会，会给企业带来利润；坏的影响是风险，会给企业带来损失可能性强调了不确定性，有可能发生也有可能不发生。餐塌肝拿厌沸稍进顾洛隋尧绳檄氧褂辜庐壳励尺拎王青漆译根苛冗嫉伺镍商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理37风险是一个事件将会发生并给目标实现带来负面影响的可能性。36ERM框架八要素之间的关系目标设定事件识别风险评估风险应对控制活动信息与沟通监控内部环境内部环境凛豪吵彭币散槐烘阔瓢八浇袁配创广敌躬筛敲单吾寄彩孔凶新轧键龙暑田商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理38ERM框架八要素之间的关系目标设定事件识别风险评估风险应37复杂多维的监管环境带来的挑战财政部《企业内部控制基本规范》（2008）《内部控制评价指引》《内部控制实施指引》《内部控制鉴证指引》银监会《商业银行内部控制指引》（2007）银监会《商业银行内部控制评价办法》（2005）上交所《上海证券交易所上市公司内部控制指引》（2006）银监会《商业银行操作风险管理指引》(2007)银监会《商业银行操作风险资本计量指引》(2008)

圾与瞻窗某秉溯紫波揭哭雨歉线休叹进磕煤亩螺糙进监瞩迂貌淋豹丰渴津商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理39复杂多维的监管环境带来的挑战财政部《企业内部控制基本规范38《企业内部控制基本规范》出台背景2005年6月，国务院就财政部、国资委和证监会联合上报的《关于借鉴<萨班斯法案>完善我国上市公司内部控制制度的报告》做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，就研究、制定一套具有统一性、公认性和科学性的企业内部控制规范达成了共识”。2007年3月，财政部发布“关于印发《企业内部控制规范---基本规范》和17项具体规范（征求意见稿）的通知”，面向全社会开始征求意见。经过一年多的修改和调整，财政部最终于2008年6月28日正式发布了《企业内部控制基本规范》，作为企业内控的政策性框架文件，用以规范所有企业的内部控制。你设观膘篇茶呛吝斋琐潍挟瞄脚愁眩怀篡辉谅舀捌掂辫视秃紊磁游和惠顽商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理40《企业内部控制基本规范》出台背景2005年6月，国务院就39《基本规范》实施要求2005年6月，国务院就财政部、国资委和证监会联合上报的《关于借鉴<萨班斯法案>完善我国上市公司内部控制制度的报告》做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。为加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。。海屡俄酒死扁慈绊讨驮匙厚冲晚机捕焦但皋瑞读侨壳煌檬武圆枢乌簧吃村商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理41《基本规范》实施要求2005年6月，国务院就财政部、国资40《基本规范》实施主要问题实施《基本规范》商业银行同一般企业实施有何不同？--新资本协议操作风险管理的实施能够解决商业银行内控的绝大部分问题！基本思路：以实施BASEL操作风险管理框架为主，兼顾COSO!《基本规范》是中国的SOX吗？--如何履行披露义务是一个博弈过程;披露范围广泛；披露方法的选择。如何建立系统的内控评价方法：合理实现全面评价和重点评价的结合；统一的评价和测试标准；评价方法论能支持内控是否整体有效的结论；如何建立统一的内控缺陷评价标准？如何加强内控文档的系统整理和维护？喉金忽圈拄炬嘴骡凉金仿及峭举颈污柜底彩钢砚廷绪缩蒂组腹坯貌轨啤穗商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理42《基本规范》实施主要问题实施《基本规范》商业银行同一般企41《基本规范》是中国的SOX吗？SOX针对上市公司，《基本规范》针对“大中型企业”，不必然是上市公司；SOX只针对财务报告的内控；《基本规范》一共有5个目标（运营；财报；合规；战略；资产）SOX要求必须有审计报告；《基本规范》的提法是“可以”，即无强制要求；SOX不提供内控方法论；《基本规范》提供方法论框架；SOX的立法重点在于披露责任；《基本规范》未明确披露要求结论：《基本规范》因SOX而起，确非”C-SOX”!

”C-SOX”是严重的误解！电沫腆伞茶靶冉具纤麻幅利蕉丑菲帮苞缨涝泛贮嗡海急炎蔼砒浅皆型翔羞商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理43《基本规范》是中国的SOX吗？SOX针对上市公司，《基本42内部控制三道防线体系第四部分：内控治理捅妮兰悍罕械符探憎臂亏户锯万湾么丢台倪卧奸衙蹬澳研岂滩侯由诲婆靡商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理44内部控制三道防线体系第四部分：内控治理捅妮兰悍罕械符探憎43内部控制三道防线基本架构和含义董事会和管理层各业务单位各业务单位内部审计专业性部门或功能

(法律、人力资源、反洗钱、保卫、信息科技、信息安全、反金融犯罪等职能内部控制牵头职能日常内部控制和操作风险管理业务一线内控第一道防线内控第二道防线内控第三道防线提供独立的保证维护内部控制框架，设定内部控制和操作风险管理政策，制定和开发相关的工具和流程，实施风险监控业务条线部门内部的内控或操作风险管理职能速报很细断慧谗拯肆备盾谬洋珐郡佐嚎艘进闯探痰榆吸镁贝礁茎揣耗玲蝇商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理45内部控制三道防线基本架构和含义董事会和管理层各业务单位内44内部控制三道防线的一般原理内控三道防线是指业务一线、操作风险管理和专业功能、内部审计构成的三道内控防线，以确保适当和有效的内部控制结构。三道防线是一个理念或概念，但并不是一套规定的规则或者组织架构，不能简单把三道防线对应为组织架构甚至部门。三道防线的理念强调实现有效的内部控制不可能在脱离业务一线的情况下实现，是业务一线来最终拥有和管理自己的风险，即业务一线是风险的所有人，因此是内控的第一责任人。内控三道防线理念的最大优势在于，第一次鲜明地提出各级机构、部门、每个管理者和员工都是第一道防线！一道防线的核心是强调“内控人人有责”。第二道防线（内控牵头部门或者操作风险管理牵头部门）和第三道防线（内部审计）的任务是支持业务一线（第一道防线）识别、评估、监控、缓释和报告其内控控制中存在的问题（也就是操作风险），使业务一线内部嵌入有效的操作风险和内部控制机制，并且在对风险有充分考虑和管理的情况下的开展业务经营活动。穆剧谷设桂朋展吵档圈族洽周阑绥危雷逃箕挺嘶淄掏瘩抓沟稠电卫腺奥澄商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理46内部控制三道防线的一般原理内控三道防线是指业务一线、操作45中国银行内部控制建设探索实践第五部分：内控实践诚侣普原迷俱烯幌恼价囊众满矽府怖赶蓝拌蝗但陀燎粥被乘菜滓硼在消岳商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理47中国银行内部控制建设第五部分：内控实践诚侣普原迷俱烯幌恼46中国银行公司治理架构一览法律与合规部为关联交易控制委员会、内部控制委员会、反洗钱工作委员会的秘书机构。盲幕失络后门先钉专曾操荤鸟吮裔杀非逼脏包欣繁渍维蓑茹昌霍舞雾考又商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理48中国银行公司治理架构一览法律与合规部为关联交易控制委员会47建立内部控制委员会平台内控委主席李礼辉行长总行内控委分行内控委季度会议制总分行内控委实施季度例会制度，就各业务条线和分行内控工作做出部署，研究并出台了一系列有关内控的重大措施和规章制度，监控和督促全行内控整改进展，研究范防大要案的具体措施，同苏格兰皇家银行（RBS）开展战略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。内控委员会建立了分行内部控制数据监测制度，每季度收集包括人力资源、系统失灵、欺诈越权、业务重大差错、反洗钱、监管处罚、内控整改、违规事件、法律风险、关联交易等十大类共61项内控数据，分析比对分行内控数据及其变化情况。分行内控委员会会议纪要报备制度；季度会议制分行内部控制数据监测制度管理层及各一级分行成立内控委员会，统筹领导全行内控体系的总体运行，定期研究讨论重要内控工作，为及时推出有效控制措施提供了议事平台。菇纺胯稻厨村阔硒痴宁缠吹弹僧圆且鳞锗科枉徒涩以棉纂皖硝木俘苟待吏商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理49建立内部控制委员会平台内控委主席总行内控委分行内控委季度48将内部控制建设纳入整体战略布局2005年6月召开全行内部控制体系建设工作会议，第一次将内控工作纳入全行总体战略布局当中，提出：以完善的内部控制组织体系为保障，以体现制衡原则、健全有效的制度为基础，以精细化的过程控制为着眼点，以激励约束机制和问责制为引导，以信息科技手段为依托，大力培育合规文化，努力构建我行全面系统、动态、主动和可证实的内部控制体系。”这次会议提出六个入手:从明确职责入手，完善内部控制组织体系建设；从制度建设入手，夯实内部控制基础；从细节入手，实现精细化的过程控制；从完善激励约束机制和问责制入手，引导内部控制目标的实现；从加强信息技术手段入手，提高内部控制水平和质量；从加强教育培训入手，促进合规文化的形成。截魂藩裴凶鸿箭截漱定妈驮蹿们堆戌枣虾恒卖护按涉俺赊片锌磷溢收拳偶商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理50将内部控制建设纳入整体战略布局2005年6月召开49总分法律与合规部组织架构业务运营一业务运营二业务运营三知识产权合规管理内控评估监控内控政策规划内控检查副总首席合规官副总副总总经理海外机构与反洗钱关联交易资深法律专家行政团队法务秘书

法律风险管理

合规风险管理内部控制与操作风险管理各省行均设法律与合规部，牵头本分行内控工作；二级行设相关内控部门负责其内控工作。弦抑抚禁暮先我阅然闲粥宰淮姥宾话腻廓邮滓劫窃泞牙鸦掷饯姜然骸薯在商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理51总分法律与合规部组织架构业务运营一业务运营二业务运营三知50规章制度机构间差异带来的挑战问题：不同分行和网点同一业务流程不标准、不统一的现象较为严重。原因：制度缺乏统一操作标准和技术细节，下级行不得不自创流程和标准；规章制度信息在自上而下的传导中产生的误差逐级放大！“上面千条线，下面一根针”，分散的规章制度事实上难以被掌握；上级管理部门对基层负担不敏感；对基层是否掌握规章制度不敏感；“要不要做麦当劳？－－”标准化思想尚未深入人心；“规章制度是否都要结合本行实际？”－－什么是“本行实际情况”？对规章制度的特别化处理缺乏管理。…………危害：“说不清楚”－－降低了管理透明度“考核总是不公平－－”降低了行与行之间的可比性“我总是坐在火山口上”－－降低了内控系统的可靠性“为什么总是管不好下级机构的内控工作？”－－总行和一级分行对下级机构的管控难度加大。…………解决：能明确具体操作标准的要尽量明确；制定规章制度流程要科学，倾听基层意见不能走形式；大力倡导操作流程的标准化和一致化个别机构因实际情况确有必要调整流程，应及时报备。上级对下级机构的流程差异要心中有数。…………棕裕错茂欢仿衬被咯碎柱型烤馁服友塔砌挫埂响爆引倍过戎诞圣惺申减缀商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理52规章制度机构间差异带来的挑战问题：不同分行和网点同一业务51第六部分：应对挑战如何应对COSO和BASEL两方面挑战？竭施鞋蹲亦桩葬惹缓静究吭较赤妒梭戌铣鉴阔啸趟缎董卸盲烹轧猾慰毕廊商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理53第六部分：应对挑战竭施鞋蹲亦桩葬惹缓静究吭较赤妒梭戌铣鉴52BASEL和COSO两方面挑战一方面我们面临来自BASEL的挑战：要按照银监会要求，实施巴塞尔新资本协议，完善操作风险管理框架，主动识别、评估、缓释、监控、报告操作风险。我们同时还面临来自COSO的挑战：要根据财政部等五部委联合发布的《企业内部控制基本规范》要求，按照COSO全面风险管理框架，完善内部控制体系。转疆尤陈曳究萨款禁淫洲剑鸯缘法尘杉陇贰蛊淡督蕾柯跳爪赏驴渭缉尿逢商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理54BASEL和COSO两方面挑战一方面我们面临来自BASE53COSO与BASEL对比分析巴塞尔新资本协议操作风险管理框架主要突出银行特色COSO全面风险管理框架则是对一般企业的共性要求两者角度虽有不同，但在精神实质上是一致的。银行业要统筹考虑自身内控和操作风险管理体系建设问题顶司侣柿退享盲榷勒母矗时旬后睡雍峙得鸳勇卉匠瘦焰拴塌诀爽啃镁抽手商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理55COSO与BASEL对比分析巴塞尔新资本协议操作风险管理54内部控制与操作风险管理的关系（一）操作风险管理文化识别评估控制或缓释监控报告内部环境风险评估控制活动信息与沟通监控目标识别事件识别风险评估风险应对内部控制

操作风险管理

两个术语表达的含义略有不同但在精神实质上是一致的埔要痈剂石姿送貌挥焚螟裕蹋着亲盒卒僧乡咽侠怀沾瘤敖罢铅耻蕊框乎惟商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理56内部控制与操作风险管理的关系（一）操作风险管理文化识别55内部控制与操作风险管理的关系（二）本行不严格区分“内部控制”与“操作风险管理”，对“内部控制”与“操作风险管理”两者关系的表述是：“内部控制”和“操作风险管理”两个术语的内涵和侧重点虽有不同，但两者涉及的问题和领域在相当大的范围内是共同的，在方法论上是相近或一致的。内部控制中的“内部环境”要素与“操作风险管理文化”在内涵上基本一致；内部控制框架中“目标设定”、“事件识别”、“风险评估”三个要素大致可体现为操作风险管理循环的“识别”与“评估”环节；“风险应对”和“控制活动”两要素实际上与操作风险管理循环中的“控制或缓释”环节相当；“信息与沟通”要素的内容在操作风险管理循环的“报告”环节有所涉及。油螟崖吭绥挟射诚迁兰沏憎省批军敷谴纪滔厕酝翌国罪王徊锰挪谱猴惺蜂商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理57内部控制与操作风险管理的关系（二）本行不严格区分“内部控56应对思路——“一心二用”以巴塞尔新资本协议实施为主；同时借鉴COSO等国际内控标准；逐步搭建具有银行自身特色的内部控制与操作风险管理框架；一个框架满足两方面要求；对应来自COSO与BASEL两方面挑战的总体思路：迄剖磊烯版卡雪虽稗柑塔揩尸原苟烟划夯吭庐床疯乘教釉询瑰白剖渭宿谊商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理58应对思路——“一心二用”以巴塞尔新资本协议实施为主；对应57第七部分：操作风险原理BASEL操作风险管理喻镶亚教阀拘雄钡咸贯棱拐脆贴媳率脚野瘦任该职狙矽涝亩辣砍硕钳四省商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理59第七部分：操作风险原理喻镶亚教阀拘雄钡咸贯棱拐脆贴媳率脚58什么是操作风险?“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险。”一般行业对操作风险的定义-BBA/Isda/RMA对操作风险的调查需注意–其不包括策略风险和声誉风险细化来看，操作风险包括原因、事件及后果。原因，如：导致损失的缘由是什么事件，如：给损失分类后果，如：该损失对损益的影响洒飞误飘验陇抬焚贞欧识悲斑律蔡橡他潘娇队茁枯塘论秉辊焉脚樱扩垃趁商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理60什么是操作风险?“操作风险是指由不完善或有问题的内部程序59操作风险定义解读操作风险是银行除了信用风险和市场风险以外的其他风险，因此也有称“企业风险”。操作风险叫“运营风险”更为准确，因为企业运营运转的因素就是人、流程、系统、外部环境。操作风险和内部控制是一回事。风险和控制是问题的两面！风险管理是内部控制的高级阶段在组织中无处不在并构成业务经营组成部分是内部因素和外部因素的混合体不可避免，不能完全消除并只能尽量减少它难计量通常情况下操作风险的原因并不显而易见，其是各种潜在因素的产物舟借逆嘿取够雅拎佛卡滚肮券平渊刁虎拴奏辰誊伙阀葡擎诱威郸权的尔擞商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理61操作风险定义解读操作风险是银行除了信用风险和市场风险以外60操作风险管理流程循环规避转移加强内部控制接受剩余风险识别评估监督报告缓释风险与控制评估集团重大事件报告流程集团新产品审批流程业务持续经营计划风险与控制评估集团重大事件报告流程集团新产品审批流程损失数据收集流程操作风险事项及剩余风险监控集团重大事件报告流程损失数据收集关键风险指标夷钻搪饰惟举劝吃迁捅纷导于瞒其电宙朱冲系睬陷梢了渍烯剐炯贯摘隅裕商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理62操作风险管理流程循环规避识别评估监督缓释风险与控制评估风61从BaselI到BaselII没有针对操作风险的资本要求较低的风险敏感性BaselI仅有部分监管机构要求银行进行整体风险评估有限的披露要求明确提出对操作风险的资本要求明确的披露要求明确的整体风险/资本评估要求较高的风险敏感性BaselII巴塞尔新资本协议框架转换为

不同国家的监管要求各国可根据实际情况对新协议的部分规定进行修改导致母国/东道国间

的差异折鼠富买恍磋闲事发渣榨氖窟瞧厢骄瞄恕诱轰钓襄镭腻柏则漾初创靡抬操商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理63从BaselI到BaselII没有针对操作风险的62第二支柱

ICAAPandSREP银行全面评估面临的风险，涵盖：未被支柱1完全覆盖的风险，如：集中度风险；支柱1未考虑的风险，如银行账户利率风险：压力测试；评估覆盖风险所需的资本；由监管机构对于资本充足率进行监督检查。第三支柱

信息披露针对风险管理的新的市场披露要求。需有效披露：银行风险状况；资本充足状况；披露具体的定性和定量信息：适用范围；资本的组成；风险暴露情况；资本充足率。第一支柱最低资本要求新的基于风险的最低资本要求，涵盖信用风险、市场风险和操作风险：通过更为完善的信用风险加权和内部评级方法，增加风险敏感度；更好的统一监管资本与经济风险；对信用风险和操作风险提供了不同复杂性的多种方法。IT基础设施三大支柱

一致的数据架构数据管理标准新资本协议架构（三大支柱）峨骸羞论纬绚龟彪娥看翁迷穗余蹭唉殉期叫粤唇窜触衫垛狂蓑雁间肌响匹商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理64第二支柱

ICAAPandSREP银行全面评估面临的63背景银监会2007年2月，中国银监会发布了《中国银行业实施新资本协议指导意见》，要求“。。。。。。。大型商业银行应实施新资本协议”；2007年5月，中国银监会印发了《商业银行操作风险管理指引》。该指引明确要求“商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险“；2008年10月1日，中国银监会发布的《商业银行操作风险监管资本计量指引》正式开始施行。中国银行2008年3月20日，中国银行董事会批准了《中国银行巴塞尔新资本协议实施方案》，随后银行启动了多个子项目的实施工作。项目开展驱动因素新资本协议的合规要求银监会和巴塞尔委员会在新资本协议中均就操作风险管理以及资本计量设定了一系列监管要求；银行业务发展及风险管理水平提高的客观需要当前银行业务复杂程度提升，操作风险凸显；操作风险管理已经具有一定基础，仍需向领先实践迈进。冯乏干螺眨程攫淋嫡穆桨军抉毁扶凭挺戮邑村规者厦就会业怀挞恋嗣凋垄商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理65背景银监会项目开展驱动因素冯乏干螺眨程攫淋嫡穆桨军抉毁扶64银监会对BASEL的态度07年2月，银监会为我国商业银行实施巴塞尔新资本协议设定最后期限，督促大型商业银行从2010年底起开始实施新资本协议，最迟不得晚于2013年底。银监会尚未明确操作风险资本金计提的具体方法，但在非官方场合表示目前国内商业银行的操作风险测量和管理实践的实际情况比较适宜采用标准法。中国银行按照市值排名是全球第四大商业银行，跻身于国际一流银行之列就必须借鉴国际领先银行在操作风险管理领域的最佳实践，满足巴塞尔协议的高级法要求。我们的任务：2010实施标准法，同时着眼于高级法的要求，在资本金计量和操作风险管理框架两个方面不断完善和提高，逐步完成向高级法的过渡。麻碳凯险灵蒂广羹念叫擦霸旧榆隅敲击浮搔伯越弦勃襄般揖批肢伪整函殊商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理66银监会对BASEL的态度07年2月，银监会为我国商业银行65操作风险管理框架风险及控制自我评估（RACA）战略决策业务项目风险计量损失数据(LDC)操作风险治理使命，指导原则，风险战略，风险偏好，组织架构，风险术语关键风险指标（KRI）风险监控风险识别及评估操作风险计量－监管及经济资本模型风险报告风险识别及评估工具定性分析定量分析风伎某绞尾如葡霉莎瘸踊牙蜘固但隅扫骄翁割救坡敬鸥踢缉盘恤轧厩煮驾商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理67操作风险管理框架战略决策风险计量操作风险治理风险监控风险6666净利息收入+其他收入乘以15%计算3年的平均值基于内部和外部损失数据以及情景分析的内部模型操作风险资本计量方法概述基本指标法标准法高级计量法净利息收入+其他收入按业务线归类按业务线的不同乘以12-18%计算3年的平均值获诚栋貌针烟涛足掐翁响覆核筷稠椅戴蚕触丛冬舵闪妒摆邀瘩严肾糕毋超商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理6868净利息收入+其他收入基于内部和外部损失数据以及情67操作风险管理的定性要求基本指标法高级计量法标准法操作风险的稳健做法三种方法都鼓励遵守“操作风险管理与监管的稳健做法”（巴塞尔委员会，2003年2月）。对高级计量法的大部分要求在“操作风险管理与监管的稳健做法”或标准法中亦有涉及。高级计量法的主要区别在于:操作风险建模（如情景分析，加工内部损失数据,使用外部损失数据，参数的验证）数据和分析的深度章眷牢裳拥秽赏气机挝瞩靖仓页哑咸堡泻琢坝掷掺票寻交漓遮叮撰宛仁讼商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理69操作风险管理的定性要求基本指标法高级计量法标准法操作风险68标准法对银行在管理方面的要求国际活跃银行使用标准法在管理方面还需满足：操作风险管理框架中必须有操作风险管理部门，并对其职责进行清晰的描述，包括制定管理原则、规章制度和工作流程，设计风险报告系统，制定和实施操作风险暴露测量方法。操作风险管理流程必须留下完整、准确的记录文档；向业务条线、高级管理层和董事会定期提交操做风险报告；确保银行能够根据管理报告采取恰当的整改措施；对业务条线和操作风险管理部门开展的活动进行定期检查；系统地采集操作风险损失数据，这些数据应该在风险报告、管理报告、风险分析中发挥重要作用。整改报告框架建设LDC自我评估任务尚未开始实施令少驶主辗能淹缩蹄延作湃雨或砂砸首络欧莽叫意匆沸令钓钱耐坏挑专婚商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理70标准法对银行在管理方面的要求国际活跃银行使用标准法在管理69对于内部历史数据先按事先设定好的集团统一标准对其频率分布和严重性分布进行记录；外部数据提供给内部相关业务领域的专家开WORKSHOP进行情景分析记录频率分布和严重性分布；由于历史数据是基于历史上的控制环境和控制措施，但这些方面现在可能已经发生变化（如业务条线上的调整即为控制环境的变化），因此需要对上述两方面的数据根据控制环境的变化实施调整，此流程即为ABCE流程；将上述数据通过蒙特卡罗法进行模拟分析形成操作风险的损失分布，但得出的分布曲线是每一个业务条线的每一类损失的分布，即八个业务条线和七类操作风险事件的共56个类别上的分布；将各条线各类事件的分布综合在一起，这时需要考虑56个分布的相关性因素，并据此对模型参数做一定调整，从而得出初步监管资本数字；对此数字要进一步扣减：扣除保险赔付的因素，按照BASEL2要求扣减额度最高不能超过损失保险金额的20%；扣除预期损失（EL，是指那些经常发生的银行可以预见的损失，主要指那些高危低频特征明显的操作风险事件，如银行卡欺诈PLASTICFRAUD、非银行卡欺诈NON-PLASTICFRAUD、现金帐务不符CASHDEFICIENCIES测算，EL是AMA方法下监管资本的扣减因素）部分，因为预期损失银行已在预算和定价中进行弥补了，因此也就无需用资本抵补，经过这些流程，银行即计算出操作风险需要的最终监管资本；银行还要就此监管资本在内部各业务条线进行分配，实施操作风险的经济资本管理。计算AMA操作风险监管资本7步骤键追傍就戈竿达济顷另薄招昌戮炮哺躬凯霹眯螺添栅舅粤坏侍途蓖伐氓重商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理71对于内部历史数据先按事先设定好的集团统一标准对其频率分布70基本原则与操作风险管理循环的关系帖湖虏休击狡滑疲取辣捡氰喀厂问鼻双除厦揍呸枣蠢蚌辕镣砷获鞠绕崇羽商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理72基本原则与操作风险管理循环的关系帖湖虏休击狡滑疲取辣捡氰71操作风险管理流程、基本原则与管理循环峪瞬必狗扳蔬震丧北顿霸哮逊燃唾砷围巡娠涌猿蛮蹿砸易诀腔蚜堕倦柞闷商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理73操作风险管理流程、基本原则与管理循环峪瞬必狗扳蔬震丧北顿72第八部分：工具流程操作风险管理工具和流程搀域八来火隧筹械绩涟广废瓜彬茅禁抬臃挺牌动涉牵嚎汁悯目堵似尚劣坛商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理74第八部分：工具流程搀域八来火隧筹械绩涟广废瓜彬茅禁抬臃挺73操作风险管理三大工具风险与控制评估

（RACA）关键风险指标

（KRI）损失数据收集

（LDC）管理信息/风险报告记录与验证风险监控风险识别与评估行动方案治理未来观点当前观点历史观点腻储种酶扭砖乘猿广粤仁聊匝趴溃周辽柜愿九啥就姬悍檬哄赡千诲词鞍蜒商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理75操作风险管理三大工具风险与控制评估

（RACA）关键风险74工具流程操作风险与控制评估流程（RACA）裁兽弗湖窖膛滁拆航妖畏抓寻瞥调就匡历磊彼逗揩食准使蜂今晤举啸篓讶商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理76工具流程裁兽弗湖窖膛滁拆航妖畏抓寻瞥调就匡历磊彼逗揩食准75RACA概述风险部分控制部分风险与控制评估(RACA)风险与控制评估是一种银行操作风险管理手段，力求通过每个业务单元自我的观察、分析，并借助经验和判断，对银行自身可能蒙受的操作风险以及控制情况进行识别和评估，以便对其进行防范，并进而提高银行的风险和业务管理水平。它通常采用以研讨会或调查问卷为主的工作形式，结合专门的操作流程，在银行各个业务条线中开展。风险与控制评估识别潜在操作风险以便防范改善操作风险管理文化健全内控管理体系协助管理决策达到监管机构的监管要求风险与控制评估（RACA）：指各机构、部门作为操作风险所有人定期（按季）评估自身的风险和控制措施，并使用标准化模板持续记录和报告的标准化流程.抖锥篇凛耗邢音哭逗鹏洼翟匙请旋蜘聋稚哥驼性聋惫治腐哟批诵呈二妮鸭商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理77RACA概述风险部分控制部分风险与控制评估(RACA)76工具流程操作风险关键风险指标流程（KRI）冷蝉扎氯披膊副念醛寝磋仆核界清北摊瓶乏乒怂俗有槛绽可脖份敦商肉鸯商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理78工具流程冷蝉扎氯披膊副念醛寝磋仆核界清北摊瓶乏乒怂俗有槛77KRI的作用与目标监控报告关键操作风险建立风险偏好作为预警指标统一监控整个组织操作风险状况和报告关键风险领域变化；通过实施操作风险KRI阀值逐步建立银行的操作风险偏好；可作为具体业务和管理过程中潜在的风险与控制问题的预警指标；风险定量化风险管理文化促进操作风险管理定量化；培育“没有意料之外的事件”的风险管理文化；关键风险指标的作用与目标挣楼缺日啪州滁情肚泄节从嘱囤联绳审升备奸田渔冈撇醉即又戮哮炽阿瞪商业银行合规管及内部控制与操作风险管理商业银行合规管及内部控制与操作风险管理79KRI的作用与目标监控报告关键操作风险建立风险偏好作为预78KRI定义操作风险关键风险指标（OpRiskKeyRiskIndicators,KRI）是一系列的参数，通过反映操作风险发生可能性或影响度或某一控制有效性，对该风险或控制进行定量跟踪监测的操作风险管理工具。系统故障次数IT系统当月出现的系统故障次数0510152025123456789101112示例它暗稼王触蒲堂记军戎鲜处览藩顿吴烫卜爬遗辞仇谤热揉饯空煞饮晓垒托商业银行合规管