斯里兰卡：中央银行风险管理技术援助报告（英）

技术援助报告 斯里兰卡 中央银行风险管理 九月2024 准备的 加布里埃尔安德拉德和玛丽亚姆曼加利泽（MCM外部专家） 作者部门： 货币与资本市场部门 国际货斯币里基兰金卡组织中央银行风险管理我：i 免责声明 本报告内容构成国际货币基金组织（IMF）工作人员为响应斯里兰卡当局请求技术援助而提供的专业技术建议。本报告（全部或部分）或其摘要可由IMF向斯里兰卡IMF执行董事、其他IMF执行董事及其工作人员 、以及CD受益国其他机构或代理机构披露，并在其请求下，向世界银行工作人员和其他对技术援助和捐赠有合法利益的技术援助提供者和捐赠者披露，除非CD受益国明确反对此类披露（见）。工作人员在能力发展信息传播方面的操作指南本报告（全部或部分）的出版或披露，除CD受援国机构或机关、世界银行工作人员、其他技术援助提供者和对报告有合法兴趣的捐助者之外，需经CD受援国和IMF的MCM部门的明确同意。 目录页面 词汇表4 前言5 管理摘要6 I引言9 II风险管理治理9 A当前状况 9 B议11 III风险管理框架与偏好13 A当前情况 13 B议16 第四章加强三道防线模型17 A当前情况 17 B议19 表格 1关议7 数字 1考尼斯拉行（CBSL）风险管理与治理结构11 2战略性风险管理体系 12 3考尼斯拉银行（CBSL）的风险分类 15 附录 4关键风险指标 16 I与任务共享文件清单21 II会面人员名单 22 IIICBSL组织结构图23 IVNBSL董事会 24 VNBSL风险委员会25 VI任务演示文稿26 术语表 AC审计委员会 AGBCP副行长商业连续性计划 BROC董事会风险监督委员会CBSL斯里兰卡中央银行 CBRM中央银行风险管理员首席合规官首席合规官 网络安全高级主管首席信息安全官首席风险官首席风险官 DG副行长 DRO部门风险官GB治理委员会 人力资源人力资源人工智能内部审计IAD内部审计部门 国际金融机构（InternationalFinancialInstitutions）国际金融机构国际货币基金组织（IMF）国际货币基金组织 国际操作风险工作小组IORWGInternationalOperatio nalRiskWorkingGroupIT信息技术KRI关键风险指标MB货币委员会1 MCM国际货币基金组织货币与资本市场部门MPB货 币政策委员会 NFRMC非金融风险管理委员会ORMG运营风险管理指南 RAF风险偏好框架RAS风险偏好声明 RCO风险协调官RCSA风险评估与内部控制自我评估RMD风险管理部 RMPS风险管理政策声明SDG高级副行长SRA战略风险评估TA 技术援助 1随着2023年9月15日新《中央银行法》的实施，货币委员会已停止存在，管理委员会和货币政策委员会成立。 前言 应斯里兰卡中央银行（CBSL）的请求，2023年第四季度进行了一次货币和资本市场部门（MCM）混合技术援助（TA）任务。2023年10月和11月期间进行了虚拟互动；现场任务于2023年11月27日至12月4日在科伦坡举行。任务成员包括加布里埃尔安德拉德先生和玛丽亚姆马尼加拉泽女士（分别来自葡萄牙银行和格鲁吉亚国家银行，均为MCM专家）。任务在IMF总部由阿什拉夫汗先生提供支持。附录I列出了任务咨询和审查的文件。 使命的目的是协助斯里兰卡中央银行进一步改善其风险管理，从而促进更有效和高效的中央行决策，从而帮助斯里兰卡中央银行朝着实现其（法定）使命的目标努力。本次技术援助任务的范围不包括金融风险管理，但团队注意到了最近国际货币基金组织 （IMF）关于金融风险管理的TA报告《加强斯里兰卡中央银行的风险评估》（2023年11月）。 任务小组与PNandalalWeerasinghe省督博士、高级副行长（SDG）TMJYPFernando女士、副行长（DG）KMANDaulagala女士、董事会风险监督委员会（BROC）独立外部成员HAKarunaratne先生和TrevineJayasekara先生，以及CBSL部门的几位助理行长（AG）部门主任进行了有益且深入的讨论。任务小组与风险管理部（即首席风险官（CRO））WRMKFernando先生和整个风险管理部团队进行了广泛的深入会议，重点分享信息、建议和最佳实践见解。此外，任务小组还组织了一场专门的两小时会议意识提升会议，由所有主任风险控制官员（RCO）参加，并由任务小组主持。附录II列出了任务小组会面的利益相关者。附录VI包含任务小组在其闭幕会议期间展示的幻灯片。 该使命感谢所有CBSL同事的合作、富有成效的讨论和热情款待。特别是，该使命还特别感谢RMD高级助理主任ThiliniJayasinghe女士，她在促进使命与CBSL各部门和分部的会议和讨论会方面提供的持续支持。 ExecutiveSummary 中央银行统计局自2015年以来一直在努力提升其风险管理功能。央行已建立详细风险治理框架，包括高级风险管理政策声明（RMPS），并正在努力实施企业风险管理框架。 BROC创建2并且非财务风险管理委员会（NFRMC）是促进在适当层级进行风险讨论关键步骤。由于这些委员会是最近成立，它们目前运作中存在一些改进空间 ，具体内容详见本报告。 斯里兰卡中央银行（CBSL）已为适当风险管理建立了各种基础方面。该任务建议旨在进一步在斯里兰卡中央银行（CBSL）内嵌入风险管理职能，扩展其努力，并改善CBSL风险文化。 银行应加强“高层基调”。计划采用（自上而下）风险偏好声明（RAS）将改善组织各层级风险所有权。CBSL还应确保具体培训（包括在高层管理层面）以及有效沟通意识行动。 风险管理职能赋能应继续得到支持。 这应包括风险管理职能在监控战略计划进度、支持战略风险评估（自上而下）以及参与关键CBSL会议和项目中更加积极参与。 另外，CBSL应当追求3线模型恰当实施。这包括进一步阐明业务单元（一线）、风险管理（二线）和内部审计（IA）（三线）职责和责任。 CBSL应相应地定义适当风险容忍水平。这需要通过适当定义关键风险指标（KRIs ）来实现，并且可以加速迈向更加成熟风险管理职能之路。 总体而言，需要一种更为战略性风险管理方法。向一个更强大风险管理文化迈进是一个长期目标。它需要董事会（GB）明确承担责任，以使CBSL战略和目标与风险管理职能相一致。最终，这将导致CBSL决策过程更加信息丰富、高效且有效，符合CBSL法律授权。 2BROC是由CBSL货币委员会创建。如果在未来考虑对CBSL法案进行修改，当局可以考虑在法案中明确提及BROC。 建议 优先事项 时间范围 主要演员 风险管理治理 1 CRO正式通过NFRMC向BROC告。仅行政汇给总检察官。CRO应向DG（或向行长）告及或与NFRMC主席直接互动。这应该将正式化，并（最终）定制告并且频繁一对一会谈。（第12段） 高度 立三个多月 GB（英国 2 SRA是货币政策委员会直接责任。（MPB）和GB。RMD应更多地参与此过程以及战略规划。MPB和GB应管理此类风险。以结构化方式，包括通过识别关键风险关于战略规划，在RMD支持下，SRA。应遵循国际最佳实践，自上而下地进行。锻炼，由GBBROC拥有。（第13段） 高度 短期12个月内 GB（英国 3 CBSL应继续探索一个增强型人类资源（人力资源）策略吸引、奖励并留住员工在所有关键领域（例如，风险和网络安全）。（第14段） 高度 短期12个月内 GB（英国 4 RMD在决策前阶段参与度有限决策过程：（i）RMD应强制参与所有相关委员会信息技术（IT）相关信息监督委员会、议员委员会和业务连续性计划委员会。iiGB应进一步促进一致性和RMD在业务连续性规划中参与BCP（第15段） 中等 立三个多月 短期12个月内 GBGB，RMD， 业务连续性 委员会 5 安全评估后续跟进CBSL网络安全功能需要得到提升用专用和专业资源。网络安全框架也应得到加强，包括通过与RMD进行适当信息共享。（第16段） 高度 立三个多月 GBIT 部门 6 组织一场为期15天IMF治理董事会研讨会执行和非执行成员GB。这将允许与董事会成员在关键事项上进行详细互动。中央银行治理、法律框架、风险方面内容管理网络安全，审计委员会（AC）。运营效率、透明度重点在于他们各自角色和责任。（第17段） 中等 中型术语1224 月份 GB（英国 风险管理框架与风险承受度 7 持续开发RM框架涵盖所有CBSL风险，包括通过RAS（自上而下）。（段落）2728 高度 短期12个月内 GBRMD 8 优化BROC时间，重点关注其影响和风险缓解。会议频率应遵守至于正式定义：按季度。特别关注应优先考虑给予顶尖战略风险以及或重大风险关注。 高度 短期12个月内 BROCNFRMCRMD 表1主要推荐 国家标准） 国家标准） 国家标准） 计划（Business 国家标准） NFRMC升级。两个委员会都需要更多预先与一线（业务部门）互动。（段落30） 9 持续发展KRI流程以清晰方式开始确定其目标和定位以及更为客观框架。支持KRIs定义中第一行。（显著、清晰、客观）与RAS对齐减少控制数量。（第29段） 高度 短期12个月内 所有商业 单位，RMD 10 实施风险管理综合告，与锐利（关注弱点），简洁，更新，及时信息，重新考虑风险评估与自我评估RCSA频率评分级别。有效沟通策略应有助于优先考虑并更好地可视化风险，支持风险管理决策。（段落31） 中等 持续进行中 BROCNFRMCRMD 11 加快风险采购流程。管理体系为了提高效率改进风险管理流程和风险告。（第32段） 中等 短期12个月内 采购 委员会，相关 商业 单元 C加强三条线模型 12 明确界定第二方与第三方之间信息共享。第三线，指定类型和频率线条之间要交换信息。（第41段） 中等 立三个多月 RMDIAD 13 业务单元应提高对其角色认识作为首行以及他们对RMD贡献风险协调军官（RCOs）应具有特定RM由RMD组织培训和全行会议，以分享最佳实践从风险事件及或经验中汲取教训外部演讲者。（第42、43、44段） 中等 短期12个月内 所有商业 单位，RMD 14 促进与国际更紧密关系操作风险工作组（IORWG），中央行风险经理（CBRM）以及增强双边合作与其它中央行和国际金融机构（IFIs）保证永久对齐与国际最佳实践相结合。（第45段） 中等 立三个多月 RMD I简介 1中央行风险管理部门（RMD）成立于2015年。经过两年，在2017年，RMD范围得到扩展，并且按照三道防线模型，将操作风险管理纳入RMD。到2023年，RMD已为CBSL所有29个业务单位危险登记册开发提供了便利。 22022年，国际货币基金组织（IMF）安全保障评估3强调了对CBSL风险管理职能进一步改进需求。这导致CBSL向MCM申请TA。 3MCMTA任务接收到了大量信息。该任务参与时间跨度为两个月，包括与CBSL各工作人员进行为期六天现场会议和演示环节。这极大地促进了团队对主要改进领域评估。接下来部分将更详细地概述任务发现和建议。 II风险管理治理 A当前情况 4关键风险管理功能政策和治理是一致且稳健。任务已分析，包括IA、风险管理系统（RMPS）、风险管理框架、运营风险管理指南（ORMG）、BROC和NFRMC议程和会议记录样本、IA建议以及风险登记册见附录I以获取与任务共享文档完整概述。总来说，产生相关风险管理文档和信息是一致且稳健，且存在风险治理结构 。 5然而，风险管理框架实施和意愿并不 完全完成。相关文件和政策相对较新，缺乏一定程度成熟度。可以理解，在整个中央行建立适当风险文化需要时间。RCOs（风险联络官），作为一线（业务部门） 与二线（风险管理部）之间风险联络员，至关重要。然而，他们在风险管理文件和CBSL政策中角色、概况和培训需求并未得到充分阐述。 6风险管理职能受到一个批准风险管理计划大纲（RMPS）管