2.KPMG银行业操作风险研讨会.操作风险管理及与内控、合规管理的有机结合.pdf-道客多多

资源描述

1、“ 站式解决方案” 一站式解决方案操作险管与内操作风险管理及与内控、合规管理的有机结合银行业操作风险管理研讨会 2014年9月目录操作风险、内控与合规的有机结合：整合动因和整合思路 1 操作风险、内控与合规的整合目标：三项整合方案 2 操作风险、内控与合规的整合方法论：整合体系建设 3 操作风险、内控与合规的整合实践：整合工具建设 4 操作风险、内控与合规的整合实践：整合报告体系 5 操作风险、内控与合规的整合实践：整合方案亮点 6 1 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中

2、的成员。版权所有，不得转载。目录操作风险、内控与合规的有机结合：整合动因和整合思路 1 操作风险、内控与合规的整合目标：三项整合方案 2 操作风险、内控与合规的整合方法论：整合体系建设 3 操作风险、内控与合规的整合实践：整合工具建设 4 操作风险、内控与合规的整合实践：整合报告体系 5 操作风险、内控与合规的整合实践：整合方案亮点 6 2 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险总体介绍市场风险和信用风险以外的所有风险均视为操作风险操作风险是各公司业

3、务和支持活动中内生的一种风险因素，这类风险表现为各种形式的错误、中断或停滞，可能导致财务损失或者给公司带来其他方面的 - JP摩根不完善的或有问题内部程序、人员及系统或外部事件导致的直接或者间接的损失的风险。 - 1999年英国银行家协会（The British Bankers Association, BBA) 由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险指操作风险包括法律风险，但不包括策略风险和声誉风险 - 2004年巴塞尔银行监管委员会操作风险是指由不完善或有问题的内部程序员工和信息科

4、技系统以及外部事件所造成损失的风操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险。 - 2012年中国银行业监督管理委员会 3 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险案例直接影响：巴林银行理森是巴林银行新加坡分行负责人，年仅28岁，在未经授权的情况下，他以银行的名义认购了总价70亿美元的日本股票指数期货，并以买空的做法在日本期货市场买进了价值200亿美元的短期

5、利率债券。如果这几笔交易成功，理森值亿美元的短期利率债券果这笔交易成功，理森将会从中获得巨大的收益，但阪神地震后，日本债券市场一直下跌。据不完全统计，巴林银行因此而损失10多亿美元，这一数字已经超过了该行现有的8.6亿美元的总价值，因此巴林银行不得不宣布倒闭。因林银行不得不布倒闭事情表面看起来很简单，里森的判断失误是整个事件的导火线。然而，正是这次事件引起了全世界密切关注，操作风险的重要性被广泛关注。操作风险分析：人员、内部流程 4 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成

6、员所网络中的成员。版权所有，不得转载。操作风险案例（续）直接/间接影响： 911 911事件 2001年9月11日，纽约的世界贸易中心和位于华盛顿的美国国防部所在地五角大楼等重要建筑均遭到民航飞机的自杀式撞击，造成重大人员伤亡。许多设在世界贸易中心的金融公司丧失了大量财产、员工许多设在世界贸易中心的金融公司丧失了大量财产、员工与数据数据。据估计，全球经济损失达1万亿美元左右，仅美国资本市场损失就超过1000亿美元，全球金融出现混乱，全球金融业蒙受的损失难以确切估计蒙受的损失难以确切估计。操作风险分析：外部事件（难以预测的恐怖袭击） 5 2014毕马威企业咨询 (中国)

7、有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险案例（续）直接影响：法国兴业银行 2008年1月法国兴业银行爆发全球金融史上最大弊案，一位年轻交易员越权作多欧洲股价指数期货，他在期货指数市场进行一笔交易的同时，会虚构另一笔交易。比如，一个买入，那另一个就卖出，两个交易的头寸相互抵消，得以买，那另个卖出，两个交易的头寸相抵消，得逃避内部控制系统的“雷达”。造成该行亏损49亿欧元（ 72亿美元），使得兴业银行当年全年营收净利剩下9.47亿欧元，比前年下跌82%。操作风险分析

8、：人员、内部流程、系统 6 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险案例（续）直接影响：农业银行 2007年4月14日，农业银行河北邯郸分行发现金库里的近5100 万元现金（百元钞叠在一起也有50多米高，总重将近两吨）被盗，隐瞒2天后，银行在自查无望的情况下报案被告人任晓峰、马向景在担任中国农业银行邯郸分行现金管被告人任晓峰、马向景在担任中国农业银行邯郸分行现金管理中心金库管库员期间，于2007年3月中旬至4月14日，利用看管金库的职务便利，

9、多次从金库盗取现金共计人民币5096 万元。操作风险分析：人员（金库管库员监守自盗）内部流程（银行员工行为缺乏制约和监督） 7 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险案例（续）直接影响：光大证券 2013年8月16日，光大证券由于套利策略系统缺陷触发“乌龙指事件”，在该事件中，光大证券共下单230亿，成交72 亿，涉及150多只股票。按照8月 16日的收盘价，上述交易的当日盯市损失约为194 亿元由于该“乌龙指事件”导致的当日盯市损失约为1

10、.94亿元。由于该乌龙指事件导致的投资者损失，光大证券被证监会处以5亿罚款，光大证券总裁徐浩明引咎辞职；操作风险分析：系统 8 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险管理的误区人性本善内控定会落实我们是好企业过去没发生过我们都有规定内控一定会落实常常都在倡导我们都有规定大家都很资深这不可能行员都很优秀内控设计肯定有效这不可能行员都很优秀人的行为都是理性的社会的转型人心的转变过去的经验社会的转型环境的改变

11、人心的转变科技的变化过去的经验与信息风险不会发生 9 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。风险不会发生操作风险管理的必要性近年国内外金融行业陆续发生许多重大的操作风险事件，国内金融业逐渐意识到实施操作风险管理工作的必要性和紧迫性识到实施操作风险管理工作的必要性和紧迫性实施操作管的实施操作风险管理的必要性操作险损失监管发展内部管理需求作为资本分配和操作风险损失预防与控制需求操作风险损失事件监管发展银监会对银行提出内部管理

12、需求提升风险管理文化、作为资本分配和考核的核心基础建立一收益与风险逐渐增多，而操作风险管理的缺失，有可能导致严重后果操作风险管理的要求。证监会也在探讨如何强化券商的风险管理建立风险偏好、完善企业治理架构，提升内部管理水平。挂钩的资本计量体系，应用在资本分配、绩效考核中，使公司的风险/收益果。风险管理。使公司的风险/收益最大化。 10 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险监管要求银监会近年来陆续发布多项新资本协

13、议监管指引，并于2007年5月，2012年6月先后正式发布了商业银行操作风险管理指引以及商业银行资本管理办法（试行）。两大核心监管要求的颁布指明了监管思路，明确了监管指引，也给银行带来了更强监管的压力，对银行操作风险管理提出更高的要求。有效地识别评采用标准法或高监管思路，明确了监管指引，也给银行带来了更强监管的压力，对银行操作风险管理提出更高的要求。建立完善的操作风险管理体系有效地识别、评估、监测和控制 /缓释操作风险采用标准法或高级计量法计量操作风险资本要求监管要求的发展 2007年2月中国银行业实施新资本协议指导意见 2011年8月商业银行资本管理办法(

14、征求意见稿) 2012年6月商业银行资本管理办法（试行） 2/2007 4/2011 8/2011 12/2011 6/2012 2011年4月中国银行业实施新 2011年12月商业银行业务连 11 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中监管标准指导意见续性监管指引操作风险管理阶段工商银行、农业银行、中国银行、建设银行、交通银行、招商银行，民生银行、浦发银行等大型股份制商业银行均实目前大部分农村信用社、部分城/农商行及股份制商业银

15、最佳实践交通银行、招商银行，标准法已达标，首批通过银监会审核，正在实施高级法计量资本制商业银行均实施标准法中，部分已提出高级法实施申请行及股份制商业银行计划采用基本指标法，部分已着手准备实施标准法基本指标法标准法高级法第三阶段第四阶段第五阶段实施起点第一阶段建立认知度第二阶段操作风险的监督和评价第三阶段操作风险量化和全面操作风险管理整合的风险管理内部控制内部审计案件管理初步构建操作风险管理体系操作风险政策建立集中的操作风险管理职能建立风险及控制信息库风险/控制评估 (RCSA) 系统性的收集操作风全面操作风险损

16、失数据库（内外部）情景分析(SA) 主动的操作风险管理合理的资本计量模型综合的操作风险管理工具资本计量考虑保险等的资本节约效应纳入经济资本管理体管理职能设定操作风险管理人员开始收集操作风险数据（LDC) 系统性的收集操作风险损失事件关键风险指标(KRI) 完善的操作风险管理职能操作风险报告合理的资本计量模型方法(AMA) AMA框架验证拓展的操作风险报告纳入经济资本管理体系，操作风险资本配置风险（考虑操作风险）调整业绩考核对良好的风险管理的 12 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织

17、(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险报告定期的培训对良好的风险管理的激励机制操作风险、内控与合规的有机结合：外部监管环境操作风险的监管环境内控(CSOX)监管环境操作风险监管环境的发展 CSOX监管环境的发展 2007年2月 2011年8月 2012年6月 2007年7月 2010 年4月 2/2007 4/2011 8/2011 12/2011 6/2012 2007年2月中国银行业实施新资本协议指导意见 2011年8月商业银行资本管理办法(征求意见稿) 2012年6月商业银行资本管理办法（试行） 5/2008 4/201

18、0 2007年7月商业银行内部控制指引 2010 年4月企业内部控制配套指引 7/2007 2/2007 4/2011 8/2011 12/2011 6/2012 2011年4月中国银行业实施新监管标准指导意见 2011年12月商业银行业务连续性监管指引 5/2008 4/2010 2008年5月企业内部控制基本规范 7/2007 自2011年起在境内、外同时上市的公司实施CSOX; 自2012年起在上海证券交易所、深圳证券交易所主板上市公司实施CSOX 建立完善的操作风有效地识别、评估、监测和采用标准法或高级计量法计银行作为上市公司，需根据监管要求开展

19、内控建设和评价工作的操作风险管理体系评估监测和控制/缓释操作风险高计计量操作风险资本要求 RCSAKRILD C 展内控建设和评价工作内控体系中涉及合法合规的相关风险点/ 控制活动，则为合规管理需覆盖的内容设计内控(CSOX)（含合规管理）/操作风险(RCSA)整合方案，以最小的资源投入，同时满 C 13 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。计内控( )（含合管）/操作风() 整合案，最小资源，同时足三项监管要求，实现运营

20、效率的提升，减轻业务部门的负担操作风险、内控与合规的有机结合：整合动因 1 1 2 3 操作风险管理是立基于实施内部控制体系建设与操作风险管理整合的基本思路 2 3 银行的内部控制制度上进行的。透过操作风险管理体系的强化，以及损失数据搜集风险与 2 2 损失数据搜集、风险与控制自评以及关键风险指标等管理工具的设计与应用，在操作风险管 1 1 5 2 2 理的领域之内达到内部控制制度的目标。 4 5 4 5 符合新资本协议的操作风险管理工具可以协助银行在既定的内部 3 2 符合新资本协议的操作风险管理工具，可以协助银行在既定的内部控制环境之下，达到内部控制制度对风险识别与评

21、估、信息交流与反馈、监督评价与纠正的要求。另外，透过控制措施的识别以及各种与控制措施改善相关的行动方案的推动，可以达到持续强化控制措施的效 14 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。 1 措施的效果。操作风险、内控与合规的有机结合：整合思路操作风险管理、内部控制及合规管理的关系的关系图银行所有流程范围五大内部控制目标五大内部控制目标银行所有流程范围 RCSAvs内控管理&合规管理内控管理以内控五大目配合银行可根据自身管理需求，针对内控控制

22、RCSA RCSA 流程范围流程范围五大内部控制目标五大内部控制目标内控管理以内控五大目标为出发点，原则上应涵盖银行所有流程范围，包括公司层面、业务流程层面和信息技术层面。公公司司业业务务信信息息建设范围和RCSA范围中的核心控制和关键风险事件制定内控检查程序。 RCSA流程范围说明按照操作风险管理要求，由不完善的内部程序、员工、 RCSA从操作风险角度出发，可以认为对应了部分内控目标。操作风险所指的RCSA范畴并不包合规管理司司层层面面务务流流程程层层面面息息技技术术层层面面

23、合规管理范围针对外部监管法规和内部制内部程序、员工、信息系统，以及外部事件所造成损失的风险均应纳入操作风险管理范畴。所畴括策略风险和声誉风险。合规管理一般针对上述范围中与外部监管法规和内部制度规程要求相面面面面法规和内部制度规程要求的合规事件 RCSA 和内部制度规程要求相关的合规事件。内部控制建设范围 C-SOX DCFC 按照内部控制相关规定，符合五大内控目标的控制均应纳入内控建设和评价范围；合规管理内部控制 15 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联

24、的独立成员所网络中的成员。版权所有，不得转载。价范围；上述范围包括公司层面、业务流程层面和信息技术层面三大部分。操作风险、内控与合规的有机结合：整合思路（续）均以提升银行内控/风险管理（含合规风险）为目标操作风险管理、内部控制及合规管理的共通点通过对风险点和控制环节进行评估，识别控制薄弱环节，并对薄弱环节进行整改，以提升银行内控/风险管理水平目标及理念均基于业务流程，识别业务流程中的风险和关键控制业务部门检查关键控制点的执行情况，二、三道防线采取抽样方法对控制设计和执行有效性进行复核检查实施方法对控制设计和执行有效性进行复核检查检查结果均通过分行业务部门/管理部门在分

25、行的相关岗位，汇集到总行对口部门，最终向管理层汇报职能分工均与损失数据收集（LDC）及关键风险指标（KRI）有相互的结果应用关系 L D C 事件收集渠道，特别是非损失事件信息的收集；对于KRI的阀结果运用 16 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。值检验、指标敏感度及监测结果有参考及检验作用目录操作风险、内控与合规的有机结合：整合动因和整合思路 1 操作风险、内控与合规的整合目标：三项整合方案 2 操作风险、内控与合规的整合方法论：整合体系建设

26、3 操作风险、内控与合规的整合实践：整合工具建设 4 操作风险、内控与合规的整合实践：整合报告体系 5 操作风险、内控与合规的整合实践：整合方案亮点 6 17 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险、内控与合规的整合目标：三项整合方案策略及偏好合规、内控、操作风险管理整合体系建设管理工具建设：各项管理工具评估流程评估偏好治理架构政告整合体系建设：全行合规、内控、操作风险策略、偏好和容忍度全行合规、内控、操作风险管理政策和治理架

27、构各项管理工具评估流程、评估标准的有机整合、报告和应用政策制度体系和内外规映射流程盘点和梳理风险识别、评估、管理的技术政策、制度及报告和治理架构及工具合规、风险的数据应用及管理操作风险资本计量整合管理工具群风险与控制自我评估关键合规、风险指标损失数据、合规问题数据收集管理信息系统建设：合规管理子应用管群内部控制与流程梳理资本计量合规管理子应用内控管理子应用操作风险管理子应用流程管理及优化子应用合规、内控、操作风险报告及考核风险文化及信息系统建设 18 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕

28、马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险、内控与合规的整合目标：管理体系的优化基于整合的理念，可从如下方面实现体系的有效结合，并在合理的范围内力求将结合的管理要求反映在贵行的治理体系当中：识别识别：基于统一的流程梳理进行风险和控制识别评估和监测：统的自评估流程动态的风险监测手段及各项管理工具的整合评估评估和监测：统一的自评估流程、动态的风险监测手段及各项管理工具的整合和关联从操作风险管理角度而言，RCSA是一个动态评估的过程，反映了对于各业务部门操作风险管理现状的实时评价。结合KRI和LDC等手段可全面地对操作

29、风险监测门操作风险管理现状的实时评价。结合KRI和LDC等手段，可全面地对操作风险管理现状进行动态的预警、监测、分析和管理。将操作风险管理的评估与监测与内控评估相结合，可充分利用RCSA的动态评估优势，结合KRI预警等手段对内控管理工具进行补充和优化，使得各管理工具间彼此互相翘动关联并形成合缓释力，从而更好地推动对于风险管理工具的有效执行缓释和考核：多样化的风险缓释手段、配合工具优化及考核机制，实现风险管理水平提升和资本节约考核内控优化作为风险缓释的主要手段之一，通过内控和操作风险管理工具的有效整合，配合一定的激励和考核机制，可以引导业务部门不断优化内控，提升风险管理

30、水平，继而得以享受由此优化和管理水平提升而带来的风险资本节约，从而形成良性循环 19 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。从而形成良性循环操作风险、内控与合规的整合目标：三道防线机制的优化基于合规、内控及操作风险管理的整合理念，可以对三道防线机制作进一步的提升和优化：结合内控检查手段及合规管理、内控和风险管理日常工作前移，动态开展识别、评估、监测和缓释合规管理结合内控检查手段及操作风险LDC和KRI 工具，扩展合规管理的全面性第一道防线

31、测和缓释优化工具运用强化合规管理、内操作风内控管第二道防线优化工具运用，强化合规管理、内控和操作风险管理的专业化水平在整合优化和成果共享的基础上完善风险预警，实现内控持续优化和风险缓释操作风险管理理风险缓释对于内部审计/独立评价中使用的方法、流程和标准的整合结合合规管理及内控管理手进一步完善内控建评机制，使得内控管理的手段不仅停留于内控梳理和内控测试，更可辅之以其他工具实现信息第三道防线法、流程和标准的整合同一流程基础和同一套风险管理语言结合合规管理及内控管理手段，识别外规对于流程的影响，提升校准和监督机制，提升操作风险识别、评估、

32、监测和缓释水平，从而最终实险管水的提升以其他工具，实现信息共享，从而更好地提升内控管理水平 20 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。实现风险管理水平的提升操作风险、内控与合规的整合目标：管理工具的优化三大管理工具彼此间存在着事前、事中以及事后的逻辑关系，同时也可以作为互相评估及设置的参考依据。三大工具的结果，同时可以与现有管理工具提供参考信息或进行整合。全面体检现有管理工具三大管理工具风险与控制自我评估 RCSA 内控专项检查

33、结果流程/风险 /控制真实的损失数据为KRI的关键风险指标风险事件收集 /控制主数据违规积分 KRI的异常往往指向真实的损失事件设置提供了参考指标 KRI 收集 LDC 病例血压计管理 21 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险、内控与合规的整合目标：整合管理工具群策略及偏好毕马威建议的整合体系同时满足合规内控操实现减少重复工作、制约管理成本，减轻业务部部门工作量；同时使管理工作结果更丰富、更一致治理架构政策、

34、制度及报告毕马威建议的整合体系同时满足合规、内控、操作风险管理需求： 1）一套流程划分标准、风险控制评估标准，使合规、内控、操作风险管理一体化，结果更完整和风险与关键合损失数据、整合管理工具群一致； 2）一套整合性的业务/管理流程梳理和内控体系文档，全面支持合规、内控、操作风险管理工作； 3）一套RCSA 同时包括合规风险 CSOX 操作风险与控制自我评估关键合规、风险指标损失数据合规问题数据收集内部控制与流程梳理资本计量合规、内控、操作风险报告 3）一套RCSA，同时包括合规风险、CSOX、操作风险评估；支持业务部门自查、合规检查、稽核检查

35、；支持业务连续性管理评估、外包风险管理评估、新产品/新业务管理评估；风险文化及信息系统建设与流程梳理操作风险报告及考核 4）一套KRI，同时包含合规监测指标及操作风险指标； 5）一套LDC，同时包含合规问题数据库、内控问题发现、操作风险损失事件；题发现、操作风险损失事件； 6）一套系统，同时支持各类报告，包括合规报告、内控报告、操作风险管理报告及考核管理； 7）所有工具已经考虑满足监管合规需求。 22 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。目录操

36、作风险、内控与合规的有机结合：整合动因和整合思路 1 操作风险、内控与合规的整合目标：三项整合方案 2 操作风险、内控与合规的整合方法论：整合体系建设 3 操作风险、内控与合规的整合实践：整合工具建设 4 操作风险、内控与合规的整合实践：整合报告体系 5 操作风险、内控与合规的整合实践：整合方案亮点 6 23 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险、内控与合规的三项整合方法论策略及偏好合规、内控、操作风险管理整合体系建设管理工具建设：各项管理工

37、具评估流程评估偏好治理架构政告整合体系建设：全行合规、内控、操作风险策略、偏好和容忍度全行合规、内控、操作风险管理政策和治理架构各项管理工具评估流程、评估标准的有机整合、报告和应用政策制度体系和内外规映射流程盘点和梳理风险识别、评估、管理的技术政策、制度及报告和治理架构及工具合规、风险的数据应用及管理操作风险资本计量整合管理工具群风险与控制自我评估关键合规、风险指标损失数据、合规问题数据收集管理信息系统建设：合规管理子应用管群内部控制与流程梳理资本计量合规管理子应用内控管理子应用操作风险管理子应用流程管理及优化子应用

38、合规、内控、操作风险报告及考核风险文化及信息系统建设 24 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。操作风险、内控与合规的整合方法论：整合体系建设策略及偏好毕马威建议的整合体系同时满足合规、内控、操作风险管理需求：治理架构政策、制度及报告策略及偏好包括银行整体的合规、内控、操作风险管理策略，覆盖管理层风险偏好、基本原则和整体要求等为建立套完整的系统的风险与关键合损失数据、整合管理工具群则和整体要求等，为建立一套完整的、系统的、

39、符合巴塞尔新资本协议操作风险管理政策和合规、内控体系搭建战略框架。风险与控制自我评估关键合规、风险指标损失数据合规问题数据收集内部控制与流程梳理资本计量合规、内控、操作风险报告治理结构主要包括构建与银行管理需求相适应的操作风险管理组织架构，并明确各部门的管理责任，包括合规、内控、操作风险管理三道防线以及董事会高级管理层执行层的分工风险文化及信息系统建设与流程梳理操作风险报告及考核防线以及董事会、高级管理层、执行层的分工体系。政策体系包含三级制度体系：即全行层面总体制度框架，相关管理工具的具体管理办法，指导落实相关管理工具的操作手册。

40、 25 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。策略及偏好：操作风险偏好和容忍度操作风险容忍度操作风险偏好一般而言操作风险偏好通常都是定性的描述为所谓的操作风险容忍度是将战略层面的风险偏好转化一般而言，操作风险偏好通常都是定性的描述，为银行对操作风险的基本态度以及高级管理层对操作风险管理的承诺，通常以叙述性的方式表达，内容包括银行关注的操作风险点、针对特定的领域，愿意并且可以承受的风险，以及银行为了将操作风险所作转至实际管理层面，并加以细化

41、与量化的风险暴露沟通工具。在操作风险偏好的基础上，通过设定警戒边界或不能容忍的风险边界（监控门槛），达到监控风险暴露与生成预警信息的目的。通常言险容忍度的表达方式有容忍度意并可承受的风，银行为了将操作风损失控制在愿意并且可以接受的范围内，所愿意耗用的资源与花费的成本。银行的操作风险偏好，可在操作风险政策中表述，也作为全偏书的组成部通常而言，风险容忍度的表达方式有：无容忍度、以频率为基础、以金额为基础、以控制与风险自我评估为基础、以资本为基础。（具体内容可参见下图）也可作为全行风险偏好说明书的主要组成部份。在银行操作风险偏好说明书中，银行则应当给

42、予操作风险偏好以明确定义，并通过操作风险文化的培育有效的培训及内控的持续加强来尽最大努力育、有效的培训及内控的持续加强，来尽最大努力防止操作风险所引起的重大损失事件的发生。 26 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。治理结构：操作风险、内控与合规的整合依据企业内部商业银企业内部控制基本规范商业银行法律合规管理指引商业银行内部控制评价试行办法银行现行治理架构商业银行资本管理办法（试行）商业银行操作风险管理指引

43、27 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。治理结构：操作风险、内控与合规的整合实践某大型金融集团的操作风险管理框架某股份制商业银行的操作风险管理框架董事会风险管理委员会董事会高级管理层内控条线总行层面董事会操作风险及内部控制管理委员会内控条线法律、合规、稽核部门操作风险管理部行面操作风险审阅子委员会业务/职能部门操作风险管理部稽核部部分行法律合规部门分行层面近年同业重大操作风险事件引起全社会的

44、关注，操作风险管理在国内外同业银行逐渐受操作风险管理岗位其他管理岗位近年同业重大操作风险事件引起全社会的关注，操作风险管理在国内外同业银行逐渐受到重视。由于操作风险管理工作任务繁重，众多同业设立独立于其他部门的操作风险管理部，专职从事操作风险管理工作，实现以专业化团队管理操作风险、集中化操作风险管理工作、独立地对操作风险进行管理。 28 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。治理结构：操作风险、内控与合规的整合实践（续）构建以三道防线为基础的总行-分行

45、-支行三级治理架构： 29 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。治理架构：三道防线机制的优化基于合规、内控及操作风险管理的整合理念，可以对三道防线机制作进一步的提升和优化：结合内控检查手段及合规管理、内控和风险管理日常工作前移，动态开展识别、评估、监测和缓释合规管理结合内控检查手段及操作风险LDC和KRI 工具，扩展合规管理的全面性第一道防线测和缓释优化工具运用强化合规管理、内操作风内控管第二道防线优化工具运用，强化合规管理、内

46、控和操作风险管理的专业化水平在整合优化和成果共享的基础上完善风险预警，实现内控持续优化和风险缓释操作风险管理理风险缓释对于内部审计/独立评价中使用的方法、流程和标准的整合结合合规管理及内控管理手进一步完善内控建评机制，使得内控管理的手段不仅停留于内控梳理和内控测试，更可辅之以其他工具实现信息第三道防线法、流程和标准的整合同一流程基础和同一套风险管理语言结合合规管理及内控管理手段，识别外规对于流程的影响，提升校准和监督机制，提升操作风险识别、评估、监测和缓释水平，从而最终实险管水的提升以其他工具，实现信息共享，从而更好地提升内控管

47、理水平 30 2014毕马威企业咨询 (中国) 有限公司中国外商独资企业，是与瑞士实体毕马威国际合作组织 (“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。实现风险管理水平的提升政策体系：操作风险、内控与合规的整合制度框架为适应操作风险和内控合规管理工作需要，清晰规划了整合的制度框架，确保操作风险与内控合规管理工作有章可循，行内需建立完善的政策制度体系。第一层合规、内控、风险管理政策全行层面总体制度完善合规、内控和操作风险的定义及分类, 风险偏好,总体管理框架，明确董事会、管理委员会、高级管理层、合规内控及风险管理部门、专业管理部门、业务条线、

48、 RCSA管理层框架管委员高管内风管部专管部务条线内部审计在三项管理中的各自作用和职责，通过该层面政策的制定来引导和完善全行各个层面的合规、内控及操作风险管理绩效考核评价机制。操作风险资本在建立完善全行 RCSA管理办法 KRI管理办法 LDC管理办法新产品/新业务风险管理办考核管理办法第二层相关管理工具的具体管理办法合规、内控、操作风险报告操作风险资本计量管理办法在建立完善全行层面总体制度框架后，需建立各管理工具配套管理方法，作为第一层次的政策制务风险管理办法考核管理办法办法指导落操作风险报告管理办法。 RCSA操作 RCSA操作 LDC操作 LDC操作操作风险资本操作风险资本层次的政策制度体系的分解细化制定完成各管理第三层指导落实相关管理工具的操作手册 RCSA操作手册 RCSA操作手册外包风险管理操作手册外包风险管理操作手册 KRI操作手册 KRI操作手册 LDC操作手册 LDC操作手册操作风

展开阅读全文