中国建设银行操作风险与内部控制自我评估工作操作手册(试行).doc

附件2中国建设银行操作风险与内部控制自我评估操作手册（试行）中国建设银行46目录第一部分 基本介绍2第一章 操作风险与内部控制自我评估介绍21.1操作风险与内部控制自我评估的概念21.2 操作风险与内部控制自我评估的主要作用21.3 操作风险与内部控制自我评估的主要流程3第二部分 前期准备工作4第二章 操作风险与内部控制自我评估的前期工作42.1 自评的组织模式42.2 制定自评实施方案82.3 收集资料112.4建立工作机制11第三部分 操作风险与内部控制自我评估实施步骤13第三章 自评业务流程的梳理133.1操作步骤133.2注意事项143.3使用方法143.4主要产出（以人民币单位银行结算账户管理为例）15第四章 风险点的识别与评估174.1操作步骤174.2注意事项224.3使用方法234.4主要产出24第五章 风险控制措施与剩余风险的评估265.1操作步骤265.2注意事项295.3使用方法305.4主要产出30第六章 控制优化方案制定与实施336.1控制优化方案制定和审定336.2控制优化方案实施35第七章 重检377.1基本政策377.2操作步骤37第四部分 操作风险与内部控制自我评估实际案例39第八章 实际案例398.1个人汽车贷款业务自评估案例398.2人民币单位银行结算账户管理自我评估案例618.3电子银行业务自评完整案例81第一部分 基本介绍第一章 操作风险与内部控制自我评估介绍1.1操作风险与内部控制自我评估的概念操作风险与内部控制自我评估（以下简称“自评”）是指业务流程的参与者、经营管理活动的实施者根据操作风险管理的基本原理，采用一定的方法，对业务流程、经营管理活动中存在的操作风险状况与控制活动效果进行的定性评价活动。1.2 操作风险与内部控制自我评估的主要作用开展操作风险与内部控制自我评估，对促进建设银行的经营管理将起到以下几方面的作用： 建立覆盖全行各类业务流程、经营管理活动的操作风险动态识别评估机制，实现操作风险的主动识别与内部控制持续优化；通过自评有效识别制度、流程中控制不足和控制过度的环节，优化和完善各类经营管理作业流程，能够积极促进流程银行的建立，提升银行服务效率和盈利能力；为建立操作风险管理的关键风险指标（kri）体系和操作风险计量奠定基础；为案件防查工作提供方法和技术支持，从根源上解决制度执行不力的问题，减少有章不循、违规操作，从源头控制案件隐患及风险损失；自评将操作风险管理融入业务的日常管理，能够有效激活三道防线共同管理操作风险的运行机制;通过全员风险识别，提高员工参与操作风险管理的主动性和积极性，促进操作风险管理文化的形成。1.3 操作风险与内部控制自我评估的主要流程自评工作的主要流程分为自评方案制定、自评项目实施、控制优化方案审定与实施、重检等四个阶段。首次开展自评的分支机构，应确定自评的组织模式，充分做好自评的前期准备。根据自评不同的组织模式，自评工作的具体流程会有所不同。第二部分 前期准备工作第二章 操作风险与内部控制自我评估的前期工作2.1 自评的组织模式 根据自评发起单位不同，自评的组织模式大致可分为以下四种模式。其中，以模式一、模式二为主，模式三、四为补充。2.1.1模式一（总行业务相关部门发起自评工作）该模式由总行各业务相关部门发起。总行业务相关部门处于全行政策、制度制定并进行管理的最高层，其自行根据本条线操作风险的总体特点和操作风险管理的重点，提出自评项目需求，确定自评对象，并综合考虑业务量、操作风险水平等因素在全行选择有代表性的若干家分行开展自评，组织推进自评工作，及时解决或回复相关分行在自评中提出的问题。一级分行业务相关部门在总行相应部门的指导下，根据总行的自评要求负责本机构范围内自评工作的具体实施。模式一组织架构图2.1.2模式二（一级分行业务相关部门发起自评工作） 该模式由一级分行业务相关部门立足于本级机构条线内的业务重点和操作风险管理及内控的重点，提出自评项目需求，综合考虑业务量和操作风险水平等因素确定自评对象和范围，作为主办部门组织实施自评工作。模式二组织架构图2.1.3模式三（总行风控委发起自评工作）该模式系指针对外部监管部门监管发现的建设银行经营管理中存在的具有普遍性或重大的操作风险问题，总行风险管理与内控委员会认为有必要进行自评的,指定相应部门组织开展对应产品或流程的自评工作。总行风险监控部监督并推动自评工作，一级分行业务相关部门根据总行的自评要求负责本机构范围内自评工作的具体实施。模式三组织架构图2.1.4模式四（一级分行风控委发起自评工作）该模式系指针对内、外部监管部门监管检查中发现的一级分行或其分支机构在经营管理中存在的具有普遍性或重大的操作风险问题，一级分行风险管理与内控委员会认为有必要进行自评的，指定主办部门、协办部门开展对应产品或流程的自评工作。模式四组织架构图2.2 制定自评实施方案自评工作的开展，应根据确定的业务条线、产品、管理流程和机构情况制定自评实施方案。自评实施方案包括总体实施方案和自评条线或产品的实施方案。2.2.1总体实施方案的主要内容包括但不限于：自评的原因和目的;自评对象;自评的开展范围;自评工作组织领导;自评的模式和方法;实施步骤;实施要求等内容。2.2.2自评条线或产品的实施方案的主要内容包括但不限于：自评目的;自评对象;自评的开展范围;自评的模式和方法;实施步骤;自评工作组成员;自评工作的具体安排等内容。2.2.3自评对象和范围2.2.3.1自评对象的选择1.自评部门根据本条线操作风险管理和内部控制需要，认为应当进行自评的流程、产品、系统或活动；2.在各类业务检查、内部审计和外部监管中发现存在较大风险隐患或者控制失效问题的流程、产品、系统或活动；3.按照操作风险损失事件发生的频率和影响，高频低损或低频高损事件涉及的流程、产品、系统或活动；4.可根据以下情况或对象进行选择：新产品和新业务；应用的新设备和新系统；法律法规、监管要求等发生重大变化；发生较大变化的业务流程；重要岗位员工的流动；新分支机构设立或者进入新市场。5.自评工作起步阶段自评对象的选择应按照“突出重点，有的放矢”的原则进行。在确定的自评对象时，从有震动性的事件、有控制缺陷的产品、有强化管理的需要、有积极性开展自评的部门等方面进行综合性考虑，选择重点的产品、业务和管理活动作为自评对象。示例1：在本行有震动性的事件选择方面，省分行通过对近年发生的案件情况进行分析，发现绝大部分案件及损失事件的发生均与账户管理有关系，因此确定在会计业务方面选择人民币单位银行结算账户管理流程作为自评对象。示例2：在有控制缺陷的产品选择方面，省分行通过对开展操作风险损失数据报告工作以来全行发生的高频低损事件进行分析，发现在个人金融业务方面由于不当行为挂失引起的损失，存在金额不大，但相对频率较高的情况，因此确定在个人金融业务方面选择个人挂失业务作为自评对象。2.2.3.2自评范围的选择1.各类业务检查、内部审计和外部监管中发现存在较大风险隐患或者控制失效问题的部门或机构;2.涉及操作风险问题突出的部门或机构；3.业务量在本行业务总量中占比较高的部门或机构；4.发生重大事故、险情、案件、损失事件的部门或机构；5.发生重要变革的组织机构；6.认为应当自评的机构。2.2.3.3注意事项1.自评项目的选择应当突出重点，选择对业务经营目标的实现影响大的产品、流程或操作风险集中的产品、流程进行自评。2.首次开展自评的分行，选择自评的业务条线、产品和实施机构不易太多，可以选择1-2个业务条线的2-3个产品，选择3-4个辖属机构含经办行开展自评;3.根据自评工作开展的情况，适当扩大范围，选择不同的业务条线、产品和机构开展自评。2.3 收集资料自评工作开展之前，应收集自评对象涉及的相关资料，主要包括：有效的业务、产品和管理活动的规章、制度、文件；收集整理内外部发现的各种案件和损失事件；内外部监管审计报告、业务检查的工作底稿、报告和通报等。说明：由于自评工作是一项经常性的工作，未开展自评的条线（部门）应做好日常资料的收集和保管工作，一是为开展自评做好准备，二是为日常管理和使用提供方便。2.4建立工作机制2.4.1会商制度1.自评工作领导小组碰头会不定期召开领导小组碰头会，安排自评工作进度，研究工作中存在的问题和改进措施。2.协调沟通会自评工作组与风险管理部门的协调沟通会每周或每旬召开一次，负责对自评实施各阶段的工作情况进行分析讨论，解决存在的问题。3.评审会自评工作组按照自评实施步骤分阶段组织各级自评工作组成员、专家评委会成员对流程梳理情况、风险等级、控制效果及控制优化建议等进行评审。2.4.2通报制度1.自评牵头部门定期汇总编制本条线自评工作情况通报（周或旬报）呈送行领导、相关部门和相关分行。2.各级自评部门应定期编写工作周报、季报、问题反馈报告、自评总结报告以及阶段性工作底稿上报上级行归口管理部门及本级风险管理部门；3.风险管理部门应根据各自评部门自评开展情况形成本行自评工作综合情况报告按周上报上级行风险管理部门。2.4.3沟通机制自评工作应通过会议座谈、电话沟通、到经办行走访等方式建立沟通机制，及时沟通自评工作情况，确保沟通渠道信息传递顺畅。第三部分 操作风险与内部控制自我评估实施步骤第三章 自评业务流程的梳理3.1操作步骤3.1.1自评部门组织收集与自评对象有关的有效文件、规章制度、体系文件； 3.1.2根据文件制度和实际操作通过图表的形式明确业务流程主要阶段和管理控制要求；3.1.3根据流程阶段和控制要求，细分业务、产品或管理活动的过程（环节）,初步绘制流程图；3.1.4自评部门收集与自评业务相关的案例、内外部监管、审计、检查发现问题等，分析流程中每个环节可能存在的、影响流程目标实现的风险因素，确定流程中的关键控制环节，并将关键控制环节在流程图上进行标注；3.1.5自评部门将绘制的流程图下发各层级各岗位相关人员进行征求意见；3.1.6自评部门根据各层级的反馈意见，最终形成完整的流程图。说明：风险管理部应充分运用所掌握的知识与理论，与自评工作组人员研究讨论自评的工具和方法，同时借助内控体系文件的成果，提供流程梳理的经验和意见，协助自评部门确定关键控制环节。3.2注意事项3.2.1重点关注规章制度规定流程和实际操作流程的差异。3.2.2对于不同机构的同一业务或产品流程的差异，管理机构应重点分析。3.3使用方法3.3.1流程分析法1.确定业务流程的经营管理目标和控制目标；2.以规章制度及现有体系文件为基础，结合工作实际，绘制流程图；3.在初步分析业务流程的基础上，细分业务操作环节；4.自评部门组织各个环节岗位员工对各环节进行深入分析，通过参考日常专项治理检查报告、业务检查报告、内外部审计报告并结合工作经验，确定关键控制环节。3.3.2引导会议法1.明确参加会议的评审专家评审专家包括自评业务所涉及的不同层级和不同岗位的相关人员：一级分行自评部门、风险管理部门负责人、业务经理与经办人员，二级分行自评工作组成员、经办行会计主管及业务经办员。2.自评部门组织召开会议，明确会议的主要议题与要求，自评工作组成员负责介绍流程梳理结果，各参会人员充分发表意见。3.自评部门负责汇总评审专家的意见，形成最终审定的流程梳理情况。3.3.3调查问卷法1.初步确定业务流程各环节后，自评工作组设计调查问卷。将绘制的流程图和调查问卷下发经办行相关岗位员工进行征求意见。2.根据反馈意见，修改完善流程图。 3.4主要产出（以人民币单位银行结算账户管理为例）通过对业务流程的梳理，绘制流程图，明确关键控制环节。（如下图）第四章 风险点的识别与评估4.1操作步骤1确定自评业务条线操作风险事件发生频率和影响程度参考值，编写自评业务条线的操作风险事件发生频率评估表和影响度表2向自评业务所涉及员工发放操作风险问题报告表，收集操作风险问题题3自评工作组识别业务流程中的风险点4.判断操作风险的发生频率(分为a-极可能、b-很可能、c-可能、d-不太可能、e-罕见五个等级)5.判断操作风险的影响程度(分为1-极大、2-较大、3-中等、4-较小、5-极小五个等级)6.以风险等级矩阵为辅助标准，根据各项操作风险点的发生频率、影响程度判断操作风险的风险等级（分为e、h、m、l、i五个等级）7.用引导会议法或专家预测法对自评工作组风险点识别与评估结果进行审议(具体组织过程见4.3使用方法中的案例) 说明：“ ”表示本阶段的关键环节。4.1.1 识别业务流程中的风险点4.1.1.1明确自评业务流程的经营管理目标和控制目标。4.1.1.2用流程分析法查找对自评流程的经营管理目标和控制目标产生影响的固有风险。1.确定可能会发生什么风险； 2.确定风险来源； 3.确定风险类型。说明：在查找固有风险点时应有效利用员工报告的操作风险问题。4.1.1.3对最近3-5年损失数据、内外部监管审计报告、检查报告进行分析归纳查找发生损失或问题的风险根源，并根据分析归纳的结论对已识别出的固有风险进行补充完善。在分析归纳时可利用帕累托图、鱼骨图等分析工具,提高分析的精度。4.1.1.4抽取一定数量的已形成风险的业务档案进行深入分析,查找出现风险的根源,对通过第2、3步识别出的风险进行再补充。4.1.1.5将各类风险点按所处的流程环节进行分类、编号。4.1.2判断操作风险的发生频率4.1.2.1根据自评业务的特点，结合历史数据和实践经验，确定自评业务条线的操作风险事件发生频率评估表。参照会计业务条线的操作风险事件发生频率评估表（见表1）。表1：操作风险事件发生频率评估表等级描述词详细描述概率参考值（会计业务条线）范围说明a极可能预计大多数情况下发生；或现实中大量发生(0.01，1发生概率大于0.01b很可能很可能会发生；或现实中经常发生(0.001，0.01发生概率在0.001与0.01（含）之间c可能在某种情况下可能发生；或现实中发生过几次(0.0003,0.001发生概率在0.0003与0.001（含）之间d不太可能在某种情况下能够发生，但可能性小；现实中偶尔发生(0.00001,0.0003发生概率在0.00001与0.0003（含）之间e罕见仅在例外情形下发生；或很多年发生一次(0，0.00001发生概率不大于0.000014.1.2.2以自评业务条线的操作风险事件发生频率评估表为辅助标准，评估各风险点所对应的操作风险事件在没有任何控制措施的情况下的发生频率，分为a、b、c、d、e五个等级。4.1.2.3在评估操作风险事件的发生频率时应有效利用行内的核心系统、稽核系统、历史数据管理系统等相关的内部管理系统,从中提取相关数据，提高量化分析程度。4.1.2.4无法直接从it系统中直接提取数据时，应充分参考内、外部检查数据及专家经验进行定性分析判断,评估各风险点的发生频率。示例1：存款睡眠户管理的风险点发生频率评估试点行在对存款睡眠户管理进行自评时，分析出其中一个风险点：ccbs上线前清理的个人睡眠账户，在销户或每季扣收小额账户管理费时，不联动ccbs账务。针对这一风险点，该试点行采取自上而下、自下而上的方法，搜集分析相关数据，确定事件发生频率。1.该试点行的二级分行通过其后台提取了分行特色中的睡眠账户登记簿和ccbs系统中的挂账账户余额，对两个余额进行对比分析，发现各所辖机构均存在不同程度的不相符。2.二级分行向所辖机构下发通知要求各行查找原因。3.汇总分析各行上报的原因分析发现，不平的原因90以上为每季度扣收的小额账户管理费未在核心系统中手工记账。发生的频率已达到（0.01,1）。4.依据“操作风险事件发生频率评估表”将此类风险发生频率评定为a极可能。4.1.3判断操作风险的影响程度4.1.3.1根据自评业务的特点，结合历史数据和实践经验确定自评业务条线的操作风险事件影响程度评估表，参照会计业务条线的操作风险事件影响程度评估表（见表2），表2：操作风险事件影响程度评估表 单位：万元等级描述词详细描述损失金额参考值 （会计业务条线）范围说明1极大极大的损失金额100，)损失金额在100万元（含）以上2较大较大的损失金额10，100)损失金额在10万元（含）与100万元之间3中等中等的损失金额1，10)损失金额在1万元（含）与10万元之间4较小较小的损失金额0.1，1)损失金额在0.1万元（含）与1万元之间5极小极小的损失金额(0，0.1)损失金额在0与0.1万元之间4.1.3.2以自评业务条线的操作风险事件影响程度评估表为辅助标准，评估各风险点所对应的操作风险事件在没有任何控制措施的情况下对自评业务所造成影响的严重程度，分为1、2、3、4、5五个等级。4.1.3.3在评估影响程度时，应参考操作风险损失事件历史数据、专项治理检查报告、业务检查报告、内部审计报告、外部监管审计报告等资料以及专家经验。4.1.3.4在评估影响程度时,除考虑财务方面的损失外，还应考虑声誉和合规方面的影响。示例2：存款睡眠户管理的风险点影响程度评估（同上例）该行自评小组在分析内外部审计、检查报告的基础上，利用专家经验确定了操作风险影响程度：由于在ccbs系统上线之前清理的睡眠账户，其金额均在50元以下，所以每一笔的损失额在（0,0.1）。依据“操作风险事件影响程度评估表”将影响程度评定为5极小。4.1.4判断操作风险的风险等级以风险等级矩阵（见表3）为辅助标准，从发生频率和影响程度两个维度，对自评业务的固有操作风险等级进行评估，分为e、h、m、l、i五个等级。表3：风险等级矩阵影响程度发生频率5-极小4-较小3-中等2-较大1-极大a-极可能mhheeb-很可能mmheec-可能lmmhed-不太可能llmhee-罕见illmhe-extreme, 极大风险，不可接受；h-high，高风险，不可接受风险；m-medium，中等风险，不可接受风险；l-low，低风险，可接受；i-ignore，极小风险，可接受。示例3：存款睡眠户管理风险点的风险等级评估为例（同上例）4.1.2与4.1.3评估结果显示，该风险点的发生频率为a极可能，影响程度为5极小。根据表3操作风险评估风险等级,纵向表示的发生频率为a极可能，横向表示的影响程度为5极小所交叉的象限结果为m，即该风险点的风险等级应为中等风险，不可接受风险。4.2注意事项4.2.1风险点的识别应从操作风险的成因的四个要素进行全面识别，首要识别对经营管理目标和控制目标产生明确影响的风险点；与作业流程无关的因人员、it系统和外部事件导致的操作风险点，单列分析。4.2.2在识别的过程中，可以采取自上而下或自下而上的工作方式开展；也可以根据本行的实际情况，采用两者结合的方式（参见4.3使用方法）4.2.3 在识别操作风险点时应注意将员工报告的操作风险问题进行有效的分析和利用。4.2.4风险点评估时应有效利用行内的管理系统提取相关数据，采用定量和定性分析相结合的方式开展风险点评估工作。4.3使用方法4.3.1流程分析法4.3.1.1确定个人汽车贷款业务流程的经营管理目标和控制目标：不良贷款率、业务增量和客户忠诚度；4.3.1.2以现有体系文件为基础，结合工作实际，绘制个人汽车消费贷款业务的流程图；流程应涵盖客户需求提出至满足的整个过程；通过办理一笔个人汽车贷款业务，将实际的操作环节用流程图描绘下来；4.3.1.3在初步分析个人汽车消费贷款业务流程的基础上，将该业务划分为受理环节、贷前调查环节、审批环节、发放环节、贷后管理环节五个操作环节；4.3.1.4组织各个环节岗位员工对各环节进行深入分析，根据实际工作经验查找每个环节可能产生的风险隐患，分析各环节中可能对经营管理目标和控制目标产生较大影响的风险因素，识别出该业务的固有风险。4.3.2会议引导法4.3.2.1明确参加会议的评审专家。评审专家应包括自评业务所涉及的不同层级和不同岗位的相关人员。4.3.2.2业务管理部门负责组织会议，向评审专家所在单位下发会议通知，明确会议的主要议题与要求；4.3.2.3会议由主持人引出议题，各参会人员充分发表意见；4.3.2.4业务管理部门负责汇总评审专家的意见，形成最终审定的风险点识别与评估情况。4.4主要产出识别出个人汽车贷款业务所涉及的所有风险点及其发生频率、影响程度和风险等级，形成操作风险识别与评估结果，填写操作风险与内部控制自我评估工作底稿操作风险识别与评估部分。操作风险与内部控制自我评估工作底稿（局部）操作风险识别与评估部分序号操作风险识别操作风险评估风险点名称业务流程阶段发生频率影响程度风险等级1贷款经办人员未能有效识别不良客户受理可能中等中等风险2客户提供虚假资料受理可能中等中等风险3贷前调查工作失误造成对借款人资信、偿债能力、担保情况等方面作出的综合评价与实际情况偏差较大调查可能较大高风险4个贷审批人审查把关不严，未按相关的规章制度审批贷款审批可能中等中等风险5审批人责任心不强，对总行的统一风险偏好敏感度不高，不能有效掌握风险，决策失误审批可能中等中等风险6超审批权限进行审批审批不太可能较大高风险7合同资料填写不规范造成潜在法律风险发放可能中等中等风险8未按合同约定办理汽车抵押登记手续发放可能较大高风险9贷款发放后贷款检查、监控不到位，对客户还款能力、担保情况变化不了解，导致信贷资产风险增加贷后管理可能较大高风险10贷款到期未能及时收回贷后管理可能较大高风险第五章 风险控制措施与剩余风险的评估5.1操作步骤1.梳理各层级规章制度找出已识别风险点的控制措施2.评价控制措施的质量自评工作组根据既有经验评价控制措施的有效性、充分性、必要性、合规性3.评价控制措施的可执行性评价控制措施的可操作性及可遵循性；根据近年来业务检查、审计和外部监管发现的问题并结合现场观察的结果及对自评业务档案资料的分析评价控制措施的实际执行力4.评价控制活动的控制效果5.评估在现有控制措施下的剩余风险6.利用会议引导法、专家预测法等对自评工作组的评估结果进行审议其中“ ”表示本阶段的关键环节。5.1.1识别控制措施5.1.1.1各级业务管理部门开展制度梳理，找出制度中已规定的具体控制措施，发给自评小组；5.1.1.2自评工作组针对该行的实际情况，找出目前该行实际采取的具体控制措施，将其和各级业务管理部门梳理的控制措施汇总填入操作风险与内部控制识别评估表。5.1.2评价控制措施的质量自评小组综合考虑风险控制成本和效率，从有效性、充分性、必要性、合规性四个方面评价控制措施的质量。5.1.3评价控制措施的可执行性5.1.3.1自评小组评价在现有外部环境和内部条件下控制措施的可操作性和可遵循性； 5.1.3.2自评小组评价控制措施的实际执行力。1.评价实际执行力时应考虑岗位设置、人员配置、业务技能、设备配备等方面的影响；2.采用定量分析与定性分析相结合的方法，评价控制措施的实际执行力时，可采取以下三种方式:近年来外部监管、内外部审计、业务检查中发现的问题；现场观察或抽查业务监控录像，查看实际业务操作是否按即有控制措施执行；随机抽取一定数量的近期业务档案，观察对控制措施的执行情况。5.1.4评价控制效果自评小组综合分析控制措施的质量、可执行性，参照现有控制效果评估表(见表4)，确定现有控制活动的控制效果等级。表4：现有控制效果评估表等级描述词详细描述1控制有效optimized按照现有控制措施的质量和实际执行情况，风险等级从不可接受（e、h、m）达到i（极小风险）时，可以认为控制有效。2控制基本有效managed按照现有控制措施的质量和实际执行情况，风险等级从不可接受（e、h、m）达到l（低风险）时，可以认为控制基本有效。3控制不足initial按照现有控制措施的质量和实际执行情况，风险等级处于不可接受（e、h、m）时，可以认为控制不足，需要进一步采取控制措施。4控制过度over-control按照现有控制措施的质量和实际执行情况，风险等级能够从不可接受（e、h、m）达到基本可接受l（低风险）或i（极小风险），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。5.1.5评估剩余风险本阶段是对在现有控制活动或其他风险缓释措施下不能完全消除的风险进行评估。评估的步骤、方法与固有风险评估基本相同。5.1.5.1自评小组在分析内外部审计、检查结果的基础上，评估在实施了现有控制措施或其他风险缓释措施后该风险点对应的操作风险事件的发生频率；5.1.5.2自评小组分析内外部审计和检查结果，有效结合专家经验，评估在实施了现有控制措施或其他风险缓释措施后，该风险点可能发生风险所造成的影响程度；5.1.5.3通过以上两个环节，从发生频率和影响程度两个视角，确定剩余操作风险程度。5.1.6召开引导会议对自评工作组的控制措施与剩余风险评估结果进行审议，确定最终结果。5.2注意事项5.2.1在评估的过程中，可以采取自上而下或自下而上的工作方式开展；也可以根据本行的实际情况，采用两者结合的方式。以试点行为例：该行在自评实施的过程中，采取了自上而下和自下而上相结合的工作方式。一级分行首先梳理了近年各类业务检查、审计和外部监管中发现的问题，以及发生的险情、案件和损失事件；其次指导基层试点行根据信贷业务手册和相关体系文件及其他法律法规政策，采用流程分析法、问卷调查法，查找并记录与以上风险点相对应的控制活动，并通过控制措施质量和实际执行性的评价，综合判断风险控制效果，对现有控制过度和控制不足的缺陷进行梳理，提出优化控制建议、目标和措施，初步形成工作底稿。最后再采用引导会议法，召集一级分行、二级分支行、基层网点的专家对相关底稿和方案进行评审。对自评对象涉及的流程、制度、系统等的风险和控制措施，逐条进行讨论并认真分析自评工作中发现的问题，仔细查找控制不足和控制过度的问题。5.2.2在开展风险控制措施与剩余风险评估时，应根据自评业务的特点有针对性地选择使用的方法。省分行对自评方法的选择:该分行针对参加自评业务的不同特点选择了不同的自评方法,有效地提高了自评的效果。该行根据会计业务操作制度和标准比较明确统一,制度执行要求严格,便于设计封闭式的问题这一特点,采用了调查问卷法,有效地扩大了该条线参与自评工作的范围,使自评结果得到了充分的论证。该行根据个人贷款业务在操作上根据地域特点有一定灵活性,指导性的办法规定较多,操作不易标准化这一特点,采用了流程分析法、会议引导法和专家讨论相结合的方式,并定量抽取了出现风险的贷款档案进行深入分析,在一定程度上保证了风险识别和评估的准确性.5.3使用方法5.3.1引导会议法5.3.2专家预测法5.3.3调查问卷法5.3.3.1全面梳理规章制度，查找每一个风险点对应的当前控制措施。5.3.3.2制作并下发调查问卷。组织有关人员依据当前的控制措施，制作调查问卷下发各试点网点，区分操作层和管理层分别进行调查，便于后续的分析归纳。5.3.3.3自评小组分析汇总回收的调查问卷，形成对控制活动的初步评估。说明：可扩大调查范围,对形成的初步评估意见进行充分论证。5.4主要产出填写操作风险与内部控制识别评估表中控制活动识别、控制活动评估及实际执行情况描述部分（见下表）操作风险与内部控制识别评估表序号操作风险识别操作风险评估控制活动识别控制活动评估残余风险评估实际执行情况描述风险点名称业务流程阶段发生频率影响程度风险等级控制措施描述控制措施质量实际执行性控制效果发生频率影响程度风险等级1贷款经办人员未能有效识别不良客户受理可能中等中等风险1.严格审查客户贷款条件；2.通过人行征信系统和我行个人信贷业务系统进行查询，对有不良记录的客户进行甄别，确认客户贷款资格；3.严格界定目标客户群体。较好较好控制基本有效可能极小低风险易于执行，执行情况较好2客户提供虚假资料受理可能中等中等风险核实借款人、担保人提供的资料是否齐全、真实有效，原件与复印件是否吻合，材料之间是否一致较好较好控制基本有效不太可能较小低风险易于执行，执行情况较好3贷前调查工作失误造成对借款人资信、偿债能力、担保情况等方面作出的综合评价与实际情况偏差较大调查可能较大高风险1.客户经理双人调查；2.坚持面谈制度，客户经理至少直接与借款申请人面谈一次；3.大额贷款，对借款人的常住住所进行实地考察；4.以房产抵押方式申请借款的，对所抵押的房产进行实地考察。较好较差控制不足可能较大高风险执行困难。原因：1.因客户经理数量少，且往往身兼数职，难以实现双人调查；2.客户经理变动频繁，岗位不固定，且培训和学习不足，业务素质和对客户的识别能力急需提高；3.客户经理自身出现道德问题。4个贷审批人审查把关不严，未按相关的规章制度审批贷款审批可能中等中等风险实行专职贷款审批人制度，定期对审批人进行培训；严格执行审批程序与决策规则；对审批情况适时检查监督较好较好控制基本有效不太可能较小低风险5审批人责任心不强，对总行的统一风险偏好敏感度不高，不能有效掌握风险，决策失误审批可能中等中等风险实行专职贷款审批人制度，定期对审批人进行培训；严格执行审批程序与决策规则；对审批情况适时检查监督较好较好控制基本有效不太可能较小低风险6超审批权限进行审批审批不太可能较大高风险对牵头审批人进行授权，签订授权书，明确其审批权限较好较好控制基本有效不太可能较小低风险7合同资料填写不规范造成潜在法律风险发放可能中等中等风险1.严格执行总行个人消费借款合同手工填写说明和信贷档案管理规定，规范合同文本的填写要素；2.个贷中心设置专人进行合同资料的填写和审核；3.客户经理应当请借款人当面签字；4.加强经办人员的职业道德教育和业务素质培养，增强责任心。较好较好控制基本有效不太可能较小低风险易于执行，执行情况较好8未按合同约定办理汽车抵押登记手续发放可能较大高风险1.专人管理督促保险公司和经销商在规定期限内完善资料归档；2.收到购车发票后，客户记录与借款人共同到车辆管理部门办理汽车抵押登记；3.要求借款人购买指定险种，并在保单中明确第一受益人为贷款经办行；4.贷款发放在车辆抵押登记手续办妥之前，增加贷款担保机构或担保人提供阶段性担保。较好较好控制基本有效不太可能较小低风险易于执行，执行情况较好9贷款发放后贷款检查、监控不到位，对客户还款能力、担保情况变化不了解，导致信贷资产风险增加贷后管理可能较大高风险1.通过查询贷款台账，调阅客户还款记录、客户回访等手段掌握客户情况，建立个人贷款监控机制2.对个人借款人进行定期的贷款行为检查和个人资信评价，控制因一人多贷导致的潜在风险;3.对发放的抵押方式贷款，定期审慎评估抵押物价值，充分考虑抵押物减值风险，严格设定抵押率上限;4.对发放的保证方式贷款，定期对保证人的经营状况及财务状况、担保借款人还款情况、保证金缴存比例、贷款保证额度等信息进行检查。较好较差控制不足可能较大高风险执行难度较大。原因：1.客户经理数量少，且一般负责从贷前至贷后整个的工作流程，工作强度大，环节众多，没有足够的精力进行定期检查和评价；2.个人贷款额度小，户数多，逐户进行贷后检查、监控难以实现；3.因汽车具有流动性，定期评估具有难度。10贷款到期未能及时收回贷后管理可能较大高风险贷款逾期后采取电话催收、发送逾期贷款催收通知书、上门催收等方式进行催收并取得回执或做好相关记录：1.借款人当期未按合同规定日期、金额还款的，信贷人员在还款截止日后的三个工作日内向客户发送中国建设银行个人贷款过期催款通知书，同时抄送贷款担保人，并取得回执;2.借款人连续两期未按合同规定时间和金额还款的，按合同约定，对以抵押或质押方式担保的贷款，通过依法处分抵押或质押权利，收回贷款本息;3.对以保证方式担保的贷款，要求保证人履行保证责任，代偿全部贷款本息。较好较差控制不足可能较大高风险执行难度较大。原因：1.客户经理数量不足，且前台营销等工作压力大，难以做到逐户上门催收、发送催收通知书并取得回执；2.担保物处置需要时间较长，成本较高；第六章 控制优化方案制定与实施6.1控制优化方案制定和审定6.1.1操作步骤6.1.1.1筛选自评小组对自评结果进行筛选，区分出控制过度和控制不足的风险点。6.1.1.2拟订优化措施自评小组结合本机构实际情况（如管理能力、人员数量和业务素质、岗位设置、财务能力等），提出加强培训、优化流程和、优化岗位等建议，并填报优化控制方案审批表。6.1.1.3部门讨论自评小组向本机构业务主管部门提交优化控制方案审批表。部门负责人（也可由自评小组组长负责）组织自评小组人员、本部门业务骨干及相关部门人员对控制措施进行审查。审查可采取会议讨论方式，重点对优化措施的可操作性及预计达到的控制效果进行评价。6.1.1.4完善优化控制方案审批表自评小组根据讨论结果修订完善优化控制方案审批表。6.1.1.5申报自评业务相关部门向本机构风险管理与内控委员会提交优化控制方案审批表，提请会议审议。说明：对县级支行，可以由行长办公会议组织审议。6.1.1.6审定风险管理与内控委员会采取会议讨论形式，逐项讨论优化控制措施。1.对属于本级机构权限范围内的，应明确具体实施部门和时间要求；对需要跨部门解决的，应协调资源配置，明确主办部门和协办部门，落实相应的职责。2.对属于本机构权限无法解决，需要报上级行解决的优化控制措施建议，本行风险管理与内控委员会也应进行审议，确定报告部门和时间要求。3.对风险管理与内控委员会审批同意的优化控制方案，业务主管部门应及时批复。对具有普遍指导意义的优化控制方案，应在辖内机构组织实施。6.1.2注意事项制定优化控制方案应结合业务管理权限,对超过本机构管理权限的,应报上级行审批。制定优化控制方案应结合本机构实际情况，要具有可操作性。从可执行性、可操作性、可控制的角度完善控制措施。优化控制方案应明确控制优化措施的主办部门、协办部门、控制目标及控制要求。上报上级机构审批的优化控制措施方案，应充分说明申请理由，阐述措施的可行性和可操作行。对下级行上报的优化控制方案，上级行应及时组织审定并给予明确答复。 6.1.3主要产出针对剩余风险评估结果，区分出控制不足、控制过度及其他需改进的风险点，制定控制优化方案，形成优化控制方案审批表并报有权机构审批。6.2控制优化方案实施6.2.1操作步骤6.2.1.1制订实施方案对经本级风险管理与内控委员会会议审议通过或报经上级行审核批复同意的的优化控制措施，由业务主管部门制定具体实施方案;实施方案应主要包括：实施责任部门、实施时间、步骤和检查监督等内容；实施方案要正式行文下发辖内机构。6.2.1.2组织实施业务相关部门负责按照上级行实施方案要求组织实施；业务相关部门负责收集实施过程中发现的问题，向上级行相关部门反馈实施意见。风险管理部门负责对实施情况进行督促；6.2.1.3效果评价自评主办部门负责收集、汇总控制优化方案实施情况信息；自评主办部门组织控制优化方案落实情况检查；自评主办部门管理利用上述资料评价执行效果。6.2.1.4报告自评主办部门负责向本级风险管理与内控委员会报告控制优化方案的实施情况及执行效果，提出进一步改进意见，推进业务管理活动的持续改进。风险管理部负责向本行风险管理与内控委员会和上级行风险管理部门报告本行自评工作开展情况及效果，提出进一步改进意见，6.2.2注意事项实施方案要具体明确，实施单位、实施过程、实施时间、实施效果报告及检查监督要求等应有明确规定；自评主办部门应对方案实施情况进行督促、检查。6.2.3主要产出落实控制优化方案，解决控制过度、控制不足及其他需要优化控制的问题。第七章 重检7.1基本政策7.1.1对已进行过自评的流程、产品、系统或活动，自评部门应按规定，定期或不定期对控制优化措施执行效果进行再评价。7.1.2外部因素（包括监管要求、市场变化、法律调整等）或内部因素（包括新系统上线、管理要求变化、重要人员流失等）发生明显变化时，应当组织对自评对象进行重检。7.1.3上级行有要求的，按照规定执行。7.2操作步骤7.2.1制定计划各业务条线部门根据自评工作开展情况，拟定年度自评重检工作计划，并报本行风险管理部门；风险管理部门汇总各业务条线部门重检工作计划，编制全行年度工作计划；风险管理与内控委员会审核年度重检工作计划。7.2.2实施自评主办部门负责重检工作计划的组织实施；风险管理部门负责对条线部门重检工作开展情况进行督促；对因其他特殊情况需要临时启动重检的，经风险管理与内控委员会审核后，条线部门组织实施。7.2.3持续改进各级行应建立工作制度，确保自评重检工作的持续开展，提升自评工作效果。自评重检结束后，自评重检主办部门应组织召开专家评审会，对重检结果进行认真评审，提出进一步控制优化方案，并形成完整的重检报告报本行风险管理与内控委员会；经本行风险管理与内控委员会审核，重检主办部门负责将重检报告上报上级业务条线主管部门；本行风险管理与内控委员会、上级行业务条线主管部门可将重检结果分别作为本行或业务条线自评循环推进的依据。第四部分 操作风险与内部控制自我评估实际案例第八章 实际案例8.1个人汽车贷款业务自评估案例(本案例以山东省分行个金部牵头组织的自评为素材)8.1.1前期准备工作8.1.1.1成立自评工作领导小组和工作组1.成立自评工作领导小组组长：风险总监成员：风险管理部、个人金融部、信贷审批部等相关部室的主要负责人主要职责安排自评工作进度；组织推进自评工作，协调和调配相关资源。二级分行参照省分行成立自评工作领导小组。2.成立自评工作组（省分行）组长：个人金融部分管个人汽车贷款业务的副总经理成员：个人金融部个人汽车贷款业务组组长及一名经办人员、信贷审批部个贷审批人、风险管理部门经办人员。主要职责制定省分行个人汽车贷款业务自评实施方案，并具体负责所辖自评工作的推进实施；梳理省分行层面制定的规章制度；收集、汇总所辖范围内接受的内外部监管、审计与检查报告，并对其进行系统分析；组织专家审议自评工作组自评结果。二级分行参照省分行自评工作组的构成，成立自评工作组，负责自评各阶段具体工作的实施。8.1.1.2制定自评实施方案1.省分行自评方案的主要内容自评原因和自评目的；自评对象（个人汽车消费贷款业务）；自评的开展范围（选择一个二级分行为试点行）；自评的模式和方法（采用自上而下和自下而上相结合的方式，运用流程分析法、会议引导法）；自评的具体实施步骤；自评工作组成员组成；自评工作时间安排(按周制定自评工作进度表)。个人汽车贷款自评工作进度表序号时间承办部门目的参考依据工作内容产出15月14日-18日省分行个金部