银行操作风险管理(BORM)解决方案(共42页)

1、精选优质文档-倾情为你奉上银行操作风险管理(BORM）解决方案2011年05月专心-专注-专业目 录第一章 概述1.1 背景简述随着金融服务的全球化以及近年来信息技术在金融业的应用和发展，随着银行规模不断扩大、交易金额迅速放大、经营复杂程度不断加剧，银行业所面临的风险变得更加复杂。由操作风险管理不足引发的风险损失事件层出不穷，对金融机构的操作风险管理提出了严峻的挑战。巴塞尔银行监管委员会于2004年6月发布了巴塞尔新资本协议，将操作风险正式纳入风险管理框架之内，并对国际银行业操作风险的度量和管理提出了更深层次的要求。目前，实施新资本协议的国家都按照新协议要求，明确将操作风险纳入资本监管范畴，国

2、际上已形成了对操作风险加强监管的共识，已经形成了相关制度和监管标准。为推进巴塞尔新资本协议在中国的实施，推动商业银行增强风险管理能力，提升资本监管有效性，中国银监会印发了中国银行业实施新资本协议指导意见，要求商业银行应实施巴塞尔新资本协议。并在近年来出台了一系列关于操作风险管理的监管规章和指引，2007年出台商业银行操作风险管理指引，为我国境内商业银行建立操作风险管理体系提出了应对策略和方向。1.2 操作风险概要1.2.1 定义界定操作风险已经成为国际银行界关注的焦点，同市场风险和信用风险并列为三大风险，但对于其定义的界定却一直未能达成一致。目前，在国际上最具有代表性的有三种对于操作风险的定义

3、，它们分别来自巴塞尔委员会，全球风险专业人员协会（Global Association of Risk Professional，GARP）以及英国银行家协会（British Banker Association，BBA）。根据2004年公布的巴塞尔新资本协议，操作风险定义为由于不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险，包括法律风险，但不包括战略和声誉风险。在此定义之下，操作风险损失事件被分成了七类：内部欺诈、外部欺诈、雇员活动和工作场所安全性、客户产品及业务操作、实物资产损坏、业务中断和系统问题、以及执行、交易及流程管理。来自全球风险专业人员协会（GARP）的定义则将操作风

4、险分为了操作失败风险和操作战略风险。操作失败风险是指在操作业务过程中发生失败而导致损失的可能性，操作战略风险则指的是由于环境的变化而导致业务或者流程失败的可能性。在两大类的下面，GARP又将操作风险细分为16类具体风险。英国银行家协会（BBA）则从操作风险产生的来源将操作风险定义为“由于内部程序、人员、系统的不完善或失误，或外部事件造成直接和间接损失的风险”，并且从因素、行为和具体事件三个层次给出了操作风险损失事件的分类。1.2.2 特点及分类与信用风险和市场风险相比，操作风险主要有以下几个特点：l 内生性除自然灾害等外部事件引起的操作风险损失外，操作风险大多是在银行可控范围内的内生风险。l

5、广泛性操作风险的覆盖的范围相当广泛，与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同，操作风险普遍存在于商业银行的业务和管理中。l 风险收益无关性对于信用风险和市场风险来说，风险越高，收益越高，存在风险与收益的对应关系，而操作风险和收益没有太多联系。虽然对于操作风险的定义界定存在着几种不同的认识，但总的来说，具有一个共识，即操作风险的来源可以划分为四类因素：人员、流程、系统以及外部事件。因此，据此操作风险主要表现为以下需加以识别和管理的四种类型。（一）、人员因素主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、

6、不良爱好（如涉毒、涉赌、涉黄）引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的，如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征，因而非常难以防范。人员因素引发的操作风险，有的是作为，如主观违规，有的是不作为，如业务不熟出错，疏忽大意。（二）、流程因素包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上，流程越简单越易于操作，流程越短越便于管理，设计越合理越利于控制。这样才能适应变化，确保效率和风险管理，流程设计不合理，有

7、瑕疵，往往容易出现风险隐患。（三）、系统因素信息系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控，都离不开信息系统紧密支持。但商业银行高度依赖信息系统，信息数据高度集中也给银行带来新的风险管理难题，如系统安全稳定、IT技术风险防范、数据和信息质量，系统设计和开发战略风险等等。系统出现如故障、瘫痪，系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的损失和无法估量的信誉损失。此外，从操作风险发生的门径来看，当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大

8、问题。（四）、外部环境因素银行经营都是处于一定的政治、社会、经济环境中的，经营环境的变化、外部突发事件都会影响到银行的经营活动，甚至会产生损失。外部事件引起银行损失的范围非常广泛，包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一，而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会

9、给商业银行带来意想不到的损失。1.2.3 问题及现状目前，实施巴塞尔新资本协议的国家都按照新协议要求，明确将操作风险纳入资本监管范畴，国际上已形成了对操作风险加强监管的共识，已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现，也是加强全面风险管理方面的新要求。目前，我国操作风险管理与监管尚处在一个较为初期的发展阶段，我国商业银行操作风险管理还存在着自身特殊的问题及现状：（一）、对操作风险存在认识偏差 各商业银行普遍制定了一定的操作风险防范和控制措施，建立了审批制度、岗位分离制度、重要环节控制制度、对账制度、内部制度等，在管理流程和

10、业务运营方面也有严格的操作规范，但目前基层商业银行操作风险管理仍然处于初级阶段，对操作风险没有形成一个全面、系统的认识。如误认为操作风险就是前台柜面人员操作上的行为风险，或者只是直接面对各项业务操作的经营性风险，认为各种风险操作事件往往具有突发性、偶然性，难以预测，也毫无联系，因而无法计量等。同时，一些商业银行认为操作风险管理职责只存在于会计结算部门或内部审计部门，与安全保卫部门、科技部门、后勤事务部门等无关，这种认识上的局限性，造成了国内银行业对操作风险理解上的误区，成为制约我国银行业操作风险管理发展的主要因素，是我国商业银行操作风险损失不断发生的意识根源。（二）、操作风险管理理念错误对操作

11、风险认识不足，导致普遍存在管理理念不健全和管理手段单一缺陷。一是不能平衡业务发展与操作风险管理之间的关系，要么片面强调业务发展、资产规模和市场占有率，而忽略建立与之相适应的操作风险管理程序；要么强调操作风险管理和内控，而放松市场开拓和业务发展；二是由于商业银行从以前的国有企业制度延续下来的层层上报方式，致使操作风险管理存在“重基层、轻高层；重事后、轻事前；重个案、轻全面；重信任、轻原则”等现象，从而引发了大量的操作风险。（三）、操作风险管理框架体系不健全健全的风险管理框架体系是实现全面风险管理的前提。目前，国内商业银行设置统一的操作风险管理机构的并不太多，只有个别商业银行设立了委员会形式的管理

12、机构。大多商业银行的操作风险管理职责分散在诸如风险管理部、内部审计部门、法律与法规部门等部门，缺乏统一的操作风险管理体系，这种分散管理的模式，导致各相关部门的管理职责不清，从目前的情况看，我国银行业在操作风险管理框架上的缺陷表现在：一是管理职责分散，缺乏专门的管理部门；二是基层分支机构操作风险管理职能缺失；三是对银行的某些活动缺乏足够的风险评估；四是内部审计部门权威性不强。（四）、操作风险管理制度不完备制度是员工行为的准则和业务操作的规范，商业银行的一切活动都要严格按照制度的规定执行。银行在操作风险管理方面的制度不完备导致不少基层行员工缺乏风险防范意识，有章不循、麻痹大意较为普遍，违规经营、越

13、权操作时有发生，以信任代替管理、以习惯代替制度、以情面代替纪律，致使制度防线失控。此外，一些制度本身就存在问题，有的不够精细化，对某些关键风险点的规定存在遗漏；有的更新迟缓，未能与业务和保持同步；有的制度之间缺乏衔接，甚至相互矛盾。（五）、操作风险管理方法落后、技术滞后我国银行在操作风险管理方面的管理模式，管理手法相对还比较单一，主要依靠内部审计的力量，电子化手段缺乏，在管理上较多地依赖规章制度来约束员工的行为，执行制度不力，问责不严。目前，国际性大银行已大量采用数理统计模型、金融工程等先进手段，而我国商业银行在技术上相对滞后，致使我国银行业操作风险管理所需的大量损失事件与损失数据欠缺，无法建

14、立相应的操作风险管理模型，从而影响了银行操作风险管理决策的科学性。（六）、操作风险管理的专业人才短缺目前，与国外商业银行大多拥有一支专业的操作风险管理队伍相比，我国商业银行风险管理人才严重匮乏。现有的风险人员仍专注于信用风险，对操作风险尚未有深入研究，还不具备专业操作风险管理人员的一般条件。人才的缺乏将成为国内商业银行操作风险管理进程中的最大制约因素。（七）、操作风险管理外部环境不健全商业银行操作风险管理是一项系统工程，不仅是商业银行自身的事情，还需要一系列外部环境因素的支持，即主要包括保险市场、审计中介机构和信用环境，但目前国内情况不容乐观。一是，操作风险保险市场尚不发达，保险公司推出的针对

15、操作风险的保险产品十分缺乏，这将在很大程度上制约商业银行对操作风险的缓释和转移；二是，外部审计机构还未形成强大力量，其独立性、专业性和权威性尚需提高，这将制约商业银行对风险信息的收集以及对内部审计所存缺陷的弥补；三是，社会信用环境不容乐观，信用缺失问题严重，从而在很大程度上影响商业银行操作风险管理的开展。如何克服外部环境因素的制约是国内商业银行操作风险管理实践中面临的一大问题。我国银监会发布关于加大防范操作风险工作力度的通知以及商业银行操作风险管理指引，研究操作风险、界定、度量操作风险，深刻分析其产生的理论根源和现实起因，并结合我国商业银行操作风险管理的特殊性，提出相应地商业银行操作风险管理的

16、对策，对操作风险管理的理论和实践、金融业的运行乃至整个国民的平稳健康运行都具有非常重要的意义。在未来几年内，我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。1.3 方案意义90年代以来，一系列由操作风险引发的严重损失事件使得操作风险受到了前所未有的关注。巴塞尔新资本协议将操作风险（Operational Risk）与市场风险、信用风险一起定位为金融业面临的三大风险之一，并且要求配置资本金，充分体现了对于操作风险的重视。与此同时，几乎所有的国际活跃金融机构都已经或者正在建立自己的操作风险管理架构。据德勤2004年统计，92的西方商业银行已经着手操作风险管理，很多已经进入了开发风险量化

17、技术或将操作风险纳入日常管理的阶段。我国正处于经济的转轨时期，存在着很多体制和法规上的缺陷，使得我国商业银行不仅面临着更大的操作风险，同时由于这些操作风险的表现形式和形成原因与国际上存在很大差异，使得我国商业银行操作风险的管理又不能完全照搬国外的形式方法和模式，如何在当前形势下，适应金融监管国内外发展趋势，尽快建立适合我国商业银行现状的操作风险管理框架体系，为构建和完善我国商业银行操作风险管理的长效机制奠定根基，对于我国银行业的改革和发展具有重要意义！银行操作风险管理解决方案的提出在于协助国内商业银行建立全面的操作风险管理框架，包括管理与合规性组织结构、评估工具、风险跟踪与管理、风险上报、风险

18、分析和用于降低操作风险的风险控制模型引擎。在支持新巴塞尔协议合规及监管要求的同时，通过研究国内外操作风险管理理论和最佳实践，结合国内金融机构操作风险管理建设过程中积累的经验，操作风险管理解决方案能够完全符合本土金融机构管理模式，有效协助用户开展风险管理活动，协助国内金融机构解决实施全面操作风险管理时所面临的一些迫切问题并促进风险管理水平的持续提升。1.4 预期目标操作风险管理是银行全面风险管理的重要组成部分，操作风险管理的总体业务目标可以归并为以下四点：（一）、降低操作风险的不确定性,将操作风险发生的概率和可能造成的损失控制在可接受的合理范围内；（二）、提高服务效率，实现流程优化，促进业务健康

19、发展；（三）、降低管理成本，提高收益水平；（四）、降低突发性事件的影响，保证业务正常和持续开展。基于以上银行操作风险管控总体业务目标，银行操作风险管理解决方案拟实现以下预期目标：1）、依据国际银行操作风险管理协议及规范，基于我国银监会等相关管理部门颁布的法规和指引，协助商业银行建立适于自身的操作风险管理标准及规范；2）、基于商业银行操作风险管理指引等要求，协助国内商业银行及其它金融机构构建符合监管要求并且与其自身业务性质、规模和复杂程度相适应的操作风险管理框架体系；3）、辅助国内商业银行及相关金融机构建立合理的操作风险管理流程及处理机制；4）、构建全面满足操作风险管理体系运作要求的信息化支持系

20、统，建立完善的操作风险管理和监管信息化平台，有效地识别、评估、监测、控制、缓释操作风险。建立起有效的风险事件汇报机制及全面的风险数据分析体系；5）、逐步建立和完善商业银行操作风险损失信息库，为将来建立更加完善的操作风险控管方法和处理模型奠定基础；6）、建立包含辅助于信息及时传达、实时披露等在内的辅助工具平台，为操作风险控管工作、信息共享和沟通提供快速机制和手段；7）、辅助商业银行建立有效的政策知会和学习平台，建立操作风险管理信息索引库，为员工自身风险意识的学习和提升提供平台，逐步建立起稳固的银行风险控管文化；8）、建立与内控、合规等成熟系统体系的信息交互和协作机制，基于全局策略的角度完善和补益

21、银行风险管理体系；9）、实现完善的银行操作风险管理安全体系，从内外部环境、系统实施服务及安全界定等多方面构建起有效且安全的操作风险管理安全体系。1.5 参考依据1中国银行业监督管理委员会商业银行操作风险管理指引，2007年2中国银行业监督管理委员会中国银行业实施新资本协议指导意见，20073中国银行业监督管理委员会商业银行操作风险资本计量指引，2008 4张吉光商业银行操作风险识别与管理，中国人民大学出版社，2005年5巴曙松巴塞尔新资本协议研究，北京，中国金融出版社，2003年6其他网络文献资料第二章 总体规划2.1 建设原则2.1.1 操作风险管理指导原则操作风险管理与信贷风险管理、市场风

22、险管理体系相比，其发展较为落后。国际国内就操作风险管理的体系建设也一直处在不断的探索过程中，各个银行之间也因为存在所处地域、经营规模、业务类别的差异存在不同的风险环境，所以无法完全遵循一个标准的定义。但总体来说，已经形成了一些比较成熟的指导原则和建设思想，总体来说操作风险管理应遵循“全面管理、职责明确、分级控制、责任落实”的原则：1）、全面管理操作风险管理应覆盖银行各级机构、岗位、经营管理活动和操作环节。操作管理理念、政策体系、规范以及监控目标要能有效的传达到各级员工。2）、预防为重风险的重要原则之一是事前。根据自身或其他商业银行已发生的各类操作风险或案件，防范相同或类似的操作风险再次发生。3

23、）、权责独立风险管理部门与其他部门之间职责清晰、分工明确，能够及时、准确获得相关风险与各类检查结果。4）、分级控制应根据操作风险的特征，实行各业务条线指导与监督下的、总分支行分层级控制模式。5）、操作风险管理人员应具备相关的专业知识和技能，充分了解和掌握本行承担的各类操作风险，排查操作风险管理重点。6）、成本与收益匹配操作风险管理措施应与自身业务规模、复杂程度和特点相适应，以合理的成本实现操作风险管理目标。7）、需求导向坚持以实际操作风险管理需求为导向，从实际可行的情况出发，突出重点，注重实效，稳步推进。8）、统筹规划要在国家和业内统一规划和要求下，按照统一的规范和标准建设，明确建设目标和重点

24、，充分发挥各方面的积极性，分类推进，分步实施。9）、安全保密坚持以建立完善的安全保障体系为基础和根本，实现操作风险管理体系建设，坚持积极防御、综合防范的方针，以安全保发展，在发展中求安全。2.1.2 建设设计原则在银行操作风险管理方案的实施建设全过程中，必须坚持以下建设设计原则：l 实用以实际业务需求为基础，在充分梳理当前国内商业银行相关业务流程的基础上、充分考虑未来发展的前景需求来确定系统规模，充分利用现有资源。l 满足监管要求操作风险管理解决方案基于新巴塞尔协议，满足银监会的相关要求。l 覆盖全面在当前现有认识基础下，建立完善的操作风险管理和监管信息化平台，有效地识别、评估、监测、控制、缓

25、释操作风险，建立完备的风险地图体系。l 安全提供安全有效的防护手段，确保信息和数据的完整性和保密性，保证关键数据不被非法窃取、篡改或泄漏；提供完善的备份、恢复和日志跟踪与统计分析功能。l 简单易用系统简单易用、操作友好，要切实实现“软件系统简化人的劳动”这一目标。l 成熟先进系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。l 灵活适应操作风险管理解决方案能够适应不同类型、不同规模银行的组织结构、流程、系统特征，满足开放性与兼容性的现实需要。l 可扩充、可扩展、可持续改进不仅能够支持现有环境下应用需求，随着业务发展和流程变化，还要能够做到系统可扩充可扩展，可持续

26、的改进更新。l 可管理、易维护系统应易于管理，易于维护，操作简单，降低系统管理员的负担。2.2 建设内容银行操作风险管理解决方案建设内容包含以下部分：l 操作风险管理标准、政策及规范：协助银行建立适于自身的操作风险管理标准、政策及规范，作为操作风险管理的业务处理及行为准则。l 操作风险管理框架体系：协助国内商业银行及其它金融机构构建符合监管要求并且与其自身业务性质、规模和复杂程度相适应的操作风险管理框架体系。l 操作风险管理流程及处理机制：辅助国内商业银行及相关金融机构梳理业务流程及内控合规体系，建立合理的操作风险管理组织、管理流程及处理机制。l 操作风险损失信息库：逐步建立和完善商业银行操作

27、风险损失信息库，通过不断积累和完善，形成商业银行操作风险管理、监测和缓释的数据支撑，为将来建立更加完善的操作风险控管方法和处理模型奠定基础。l 操作风险管理平台：构建全面满足操作风险管理体系运作要求的信息化支持系统，建立完善的操作风险管理和监管信息化平台，有效地识别、评估、监测、控制、缓释操作风险，并逐步建立起有效的风险事件汇报机制及全面的风险数据分析体系。l 操作风险管控工具体系：包含辅助于信息及时传达、信息实时披露等在内的辅助工具平台，为操作风险控管工作、信息共享和沟通提供快速机制和手段，包括即时通讯、邮件、短信平台及风险控管信息宣传及共享论坛等。l 操作风险索引库：辅助商业银行建立操作风

28、险管理信息索引库，建立有效的政策知会和学习平台，为员工自身风险意识的学习和提升提供平台，逐步建立起稳固的银行风险控管文化。l 风险控管信息协作平台及驾驶舱：建立与内控、合规等成熟系统体系的信息交互和协作机制，建立基于全局策略的角度的银行风险管理信息协作平台，建立完善信息驾驶舱，为高层风险控管提供信息基础和数据依据。l 安全保障体系：健全安全防护体系、管理调控体系、评价考核体系等信息化保障体系。建立适用的平台身份验证及权限授权机制，健全信息的全过程跟踪记录、安全加密手段及防范机制，最大限度保证系统的安全有效。2.3 建设意义根据目前商业银行“转型、提升、发展”的经营管理思路，依据国内商业银行援引

29、和借鉴国际经验完善自身风险控管体系的契机，通过整合内控、合规与操作风险管理架构，培养专业化管理的人才队伍，建设动态的信息化交互平台，为实现内控规范合规和操作风险管理双达标奠定坚实基础，促进银行内控合规及操作风险管理持续优化，逐步建立专业化、标准化、信息化的操作风险管理体系。通过操作风险管理体系的建设实施，完成完善我国商业银行风险控管：l 提升员工的业务操作技能和风控水平。通过操作风险的识别及评估，将关键风险点与外部法规一一对应，形成风险信息索引，便于员工更清晰学习、掌握风险点、风险大小及对应的控制措施，有利于提高员工的业务技能，依法合规操作。l 提升管理部门的管理效率和风险监控能力。通过开发操

30、作风险全流程管理功能的信息支持系统体系，为全行各机构、各部门和人员提供流程应用的学习作业平台，多维度记录、分析、监测和展示风险信息，实现监督信息的共享与及时反馈，提升管理效率；通过流程控制环节与业务岗位名称对应，进一步明确操作和管理责任；通过建立关键风险指标和预警机制以及基层网点风险报告机制，管理部门可了解掌握各级机构的风险情况，有利于及时采取行动、化解风险。l 提升主线部门的资源配置水平。通过加强流程管理，优化人员准入及劳动组合，有利于各主线部门提高资源配置能力，更好地形成流程管理、产品服务和风险管理三者的有机结合。l 提升合规审计检查的针对性。根据获取的信息，可更好地评估风险，有针对性地安

31、排审计检查，对缺陷整改情况进行跟踪，依托系统监督各级部门在流程中的履职行为，及时掌握银行控管体系运行状况。l 提升对管理层决策的服务支持能力。通过构建风险地图，建立完善银行风险控管信息驾驶舱，可以向管理层完整展示机构、条线风险状况，以快速、便捷的方式报告风险的整体状况和分布，为高管层平衡业务发展与风险控制提供决策支持。l 提升全行业务管理水平。通过规范全行业务流程工作、建立管理台账、完善自我评估程序、改进缺陷等手段，完成有效性、适当性自我评价，降低风险防控成本，优化控管环境，逐步形成计划、组织、执行、整改的良性循环。第三章 总体方案3.1 总体架构银行操作风险管理（BORM）总体架构示意图：3

32、.2 业务框架3.2.1 风险控管策略“银行的全部在于管理风险，而不是消除风险”。商业银行业务发展与稳健经营面临诸多不确定因素的影响，风险管理成为商业银行生存的生命线。巴塞尔委员会认为，银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用，银行内部的沟通流程应当建立一个一致的操作风险管理文化。2007年，中国银监会颁布的商业银行操作风险管理指引第十五条规定：“商业银行应当制订有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度”。因此，如何建立

33、一套科学、先进的识别风险、衡量风险、治理风险的全面风险管理体系，成为我国银行业经营发展的主题。在以往的管理当中，我们推崇的是“避免出错文化”，认为错误是可以免除的，任何程度的错误都是不可接受的，而风险管理文化则重点强调的是风险管理、而非消除风险。也就是说，只要是有业务处理，就会有错误发生，对于错误所引发的风险我们应正视，应对其进行认真分析，依据自己银行的风险偏好和风险容忍度制定出自己的操作风险管理的风险战略，并将风险管理制度化，将该项工作进行规范管理，并允许业务处理部门有一个合理水平的错误。根据目前国内商业银行及金融机构的实际情况，为保证操作风险的有效管理，应建立事前风险预警评估、事后稽核监督

34、跟踪、共同执行同一风险管控体系的风险管理框架。3.2.2 总体业务框架银行操作风险管理总体业务框架简图：3.2.3 风险管理标准、政策及规范在操作风险管理平台建设过程中，依据国家相关文件、指引、法律法规及管理规范，结合银行自身规范体系，建立起操作风险管理业务及技术规范，标准规范体系的确立是基础性工作，它将各个业务环节有机地连接起来，并为彼此间的协同提供技术准则。通过标准化的协调和优化功能保证信息化建设少走弯路，提高效率，确保系统的安全可靠。3.2.3.1 标准规范制定原则l 切实可行，准确实用标准和规范必须根据实际情况而制订和修改，使标准符合实际。标准的制订和修订要求准确实用，使执行者易于理解

35、和执行，具有较强的可操作性。l 遵循国家标准、行业标准、国际标准标准和规范的制订继承和贯彻国家标准、行业标准，参考国际标准和国外先进标准。l 前瞻性强，易于扩展银行操作风险管理平台的建设应该着眼于一个开拓性建设，涵盖广泛，包容复杂，因此标准的制订和采用应具有前瞻性并成熟可用，满足易于扩展的需求，使之能适应变化。l 统一组织，各级参与标准和规范建设涉及面广，在标准的制订过程中必须调动各相关部门的积极性，特别是业务数据标准的制订，必须有各级业务部门的业务人员的参与。在标准和规范的执行过程中，也需要各级业务部门的配合。在统一采集数据的基础上，建立系统的、分层次的管理指标规范。3.2.3.2 标准规范

36、建设内容标准规范体系建设由总体标准、信息资源标准规范、应用业务标准、应用支撑标准、信息安全标准、网络基础设施标准和管理标准七大部分组成。3.2.4 风险管控组织体系操作风险管理应按照巴塞尔委员会的建议，由各级高层管理人员组成操作风险管理委员会，制定操作风险管理政策，负责审定ORM目标计划及定期研究ORM的策略，组织ORM计划实施，推崇风险管理文化，建立自我评估、风险评判及稽核体系，对全行操作风险进行有效管理。在各级网点设立风险经理，负责网点操作风险控制的具体管理，进行网点风险自我评估，组织网点对评估中或内、外部检查中发现的问题进行纠正。合理的组织结构对风险管理效率至关重要。目前国际银行界的一般

37、做法是：在集团层面设置独立的操作风险管理委员会；在各部门设操作风险经理。由于操作风险成因多样，复杂多变，其带来的损失非常严重，因此设立专门的风险管理委员会对其进行集中化、专业化管理非常必要。此外，各部门的风险经理将对各条业务线上的操作风险进行监控，并向风险主管进行汇报。l 董事会董事会明确操作风险管理范畴，并承担监控操作风险管理有效性的最终责任。（一）审定与银行业务发展目标相一致的操作风险管理战略、政策与风险偏好，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（二）审查高级管理层操作风险管理的职责及有关制度，确保全行的操作风险管理决策体系的有效性；（三）审阅高级管理层

38、提交的操作风险报告，充分了解操作风险管理的总体状况；（四）确保高级管理层采取必要的措施有效地识别、评估、监测、控制和缓释操作风险；（五）确保操作风险管理体系接受内审部门的有效审查与监督。l 管理层管理层是操作风险管理政策的组织实施者，对操作风险管理工作负责。（一）根据董事会制定的操作风险管理战略，审查和监督操作风险管理的规章制度和具体操作规程，并向董事会提交操作风险总体情况的报告；（二）全面掌握银行操作风险管理的总体状况，特别是各项重大的操作风险事件；（三）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行。

39、（四）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；（五）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。l 操作风险管理委员会操作风险管理委员会按照董事会整体风险政策，由董事会授权，对全行操作风险进行管理。定期向董事会汇报工作情况。（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；（二）协助其他部门识别、评估、监测、控制及缓释操作风险；（三）建立

40、并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；（六）定期检查并分析业务部门和其他部门操作风险的管理情况；（七）定期向高级管理层提交操作风险报告；（八）确保操作风险制度和措施得到遵守。l 首席风险官负责具体协调、指导、评估、监督操作风险管理活动。（一）组织实施操作风险基本政策和方法的落实，推进各业务条线进行识别、评估、监测、计量、培训；（二）监督、检查全行操作风险管理情况

41、；（三）汇总全行操作风险管理状况报告，定期向操作风险管理委员会提交。l 操作风险主管对所辖业务及经营管理活动中的操作风险有管理职责。（一）负责在制定及修订所辖各项业务的管理制度和流程时，充分考虑并落实操作风险管理的各项要求；（二）负责识别、评估所辖各项业务的操作风险，制定并实施控制、缓释措施，不断优化流程，完善内控措施，保证业务健康持续发展；（三）负责辅导分支机构理解各项操作风险控制措施，督导建立操作风险管理制度，完善操作风险管理流程；（四）负责对所辖业务及经营管理活动中的操作风险状况进行监控、汇总、整理和分析，定期报送操作风险管理委员会。l 分支机构操作风险经理管理和监控本机构操作风险状况。

42、（一）执行上级机构制定的各项操作风险管理政策和制度，可根据本机构实际情况，制定本机构操作风险管理的制度和流程；（二）负责监控辖内操作风险状况；（三）负责辖内操作风险损失事件的汇总统计和分析；（四）各级分支机构按照总行管理部门的要求开展工作；（五）定期或不定期向上级报告风险状况，保证风险损失数据的真实性、准确性和时效性；（六）运用操作风险管理工具识别、评估操作风险，在授权范围内采取适当措施控制/缓释操作风险。3.2.5 风险管控流程操作风险管理流程包括风险识别、风险分析、风险计划、风险跟踪、风险应对和监督考评等多个方面，根据巴塞尔委员会在2003年2月份发布的操作风险管理与监管的稳健做法中的建议

43、，操作风险的管理框架可用下图表示：在此流程中，首先由董事会及高级管理层根据自己银行的风险偏好和风险容忍度制定出操作风险管理的风险战略。战略的主要内容包括制定评估操作风险管理的政策、程序和流程，实施用于识别、评估、监测操作风险的的基本原则，建立合适的操作风险管理组织结构等。在风险战略确定的基础上，具体的风险管理部门将完成操作风险管理的一系列流程。1、 风险识别是整个流程的开始，也是接下来的评估、控制、度量等过程的基础。在风险识别中，银行应根据本银行的操作风险定义，详细说明自己银行每项业务、流程以及部门所面临的风险状况和风险程度。2、 风险识别之后是风险评估，它的目的是通过对风险识别结果的评估，决

44、定哪些风险在可容忍的范围之内。对那些银行不能接受或超出机构风险偏好的风险暴露，选择合适的缓解机制并对需要缓解的风险进行优先排序。一些操作风险的定性和量化技术在风险评估中得到应用。3、 在对操作风险进行评估之后，银行应构建有效的内部控制体系对操作风险进行控制和管理。严格的内部控制制度应包括一个可控的环境、及时的风险评测、有效的控制活动、完整的会计、信息即通讯交流系统和完善的自我评估监测机制等。同时，银行应采用合理的风险缓释和转移技术对没有能力控制又具有低频高位特性的风险进行控制。风险监测和度量用来对上述的步骤进行监控，主要内容包括对本银行操作风险的定性和定量的操作风险管理进行监控，评估风险缓释活

45、动是否有效、确保风险控制和管理系统的正常运行。为了达到较好的监测效果，银行应设置风险衡量的标准或“关键风险指标”（Key Risk Indicator,KRI）。KRI的设置将使得银行可以对风险进行日常监测，为风险管理提供预警。4、 操作风险管理流程的最后一步是向银行董事会和管理层做出风险报告。风险报告必须提供银行的主要风险来源和整体风险状况，同时对银行的风险管理提出建议。风险报告必须注重内部人员报告和外部人员的报告的结合，以确保风险报告的全面性和客观性。上面是一般操作风险的管理流程，可在此基础上加以细化。在管理流程中，需要强调几个问题。第一是操作风险计量方法的选择。巴塞尔新资本协议给出了基本

46、指标法、标准法和高级计量法等计量方法。第二是内部控制问题。国内外的银行业的实践表明，内部控制是防范操作风险最有效和最重要的手段，而国内银行的内部控制体系比较薄弱，应从多方面对内控制度进行重点改进和加强。第三是风险指标的选择问题。风险指标的选择应该具有代表性、敏感性和实用性的特点，能够有效对风险状况进行监测。3.2.6 风险信息库模型操作风险管理信息库是操作风险管理系统平台的核心，是贮存基本信息的记忆库。考虑到操作风险管理平台面向的用户、对数据的利用、数据吞吐量以及性能等各方面的要求，操作风险信息库模型可以按照以下规划来实现。基于操作风险管理系统平台建立起基础数据管理信息库，操作风险业务操作信息

47、库及关联数据信息库，逐步采集和完善风险损失数据库，为将来的操作风险管控模型和方法的改善积累数据。在此基础上，逐步建立风险信息索引库，通过基础数据信息的加工、抽取及提炼实现对操作风险管理体系、业务流程及人员管控的基础支撑，辅助建立良好的银行操作风险管理文化。3.2.7 风险管理平台访问结构在操作风险管理平台访问层面，考虑到当前的流行模式以及未来的发展情况，着重实现平台的管理门户及桌面，通过搭建ESB服务总线完成对数据共享和集成的需要，择机实现手机等手持终端设备的访问途径。3.3 功能体系银行操作风险管理系统平台业务功能体系结构图：3.3.1 风险管控风险管控是银行操作风险管理系统平台的核心业务体

48、系，涵盖操作风险管控主流程的实现以及主流程内各个环节的业务核心功能实现，在此过程和基础上积累起风险损失数据，通过建立合理的数据分析模型实现整个银行操作风险管理控制的决策层数据依据和支持。另外还涉及到银行操作风险应急处理等。3.3.1.1 风险识别3.3.1.1.1 风险定义分类风险定义及分类是实施操作风险管理工作的第一步，是整个操作风险管理流程体系的基础。其主要工作是对操作风险进行采集、定义及合理分类。目前，银行业界对操作风险的分类比较权威的参考是银监会的四分法和巴塞尔委员会的七分法，但与现实中商业银行所面对的操作风险都有一些出入，操作风险管理系统平台提供合理的设计和灵活的定义及分类方案，协助

49、商业银行通过系统平台结合自身情况，合理划分并定义自身操作风险。3.3.1.1.2 风险调查制定风险调查业务方式、流程及风险调查资料，可以通过在线风险调查或离线风险调查，以调查报告形式完成总体风险采集识别情况，作为风险定义、分类及评估的基础信息及增益补充。3.3.1.1.3 风险映射操作风险的识别过程实际上就是对金融机构业务活动的各个阶段进行风险映射(risk mapping)，从而识别操作过程中的关键风险因素。风险映射作为操作风险管理的基础，它与市场风险和信用风险不同，需要对全过程有一个深入的理解，风险映射方法的设计要求它能够识别和包含所有相关的风险，这样可以使金融机构在分析操作失败的原因的同

50、时，能够把产生的财务损失后果连结到问题源头的组织。这是商业银行对操作风险进行透明化衡量和报告、对与商业银行风险偏好不相符合的风险暴露进行预测和采取行动的关键。风险映射是一种系统方法，它能够提炼出针对特定任务的关于过程失败的相关信息，同时它也能够提炼多维的风险衡量与管理的指示信息。风险映射对于操作风险管理具有重要的意义。第一，通过风险映射过程可以使我们对特定操作风险事件的成因和后果有一个深入的理解：具体是什么资源失败了(人、过程或系统)；问题产生于组织中的哪一部分，组织的其他部分会受到什么影响；这一问题的后果是什么(包括财务及其他后果)。第二，可以通过风险映射活动建立操作风险数据库，或至少是可量

51、化的信息，并用于衡量和管理操作风险：运用统计方法对操作风险的概率和损失后果进行直观的衡量；按照每一个风险的相对重要性，设计关键控制活动，配置相应的资源；识别和计算关键风险指标(key risk indicator，简称KRI)，以便预测风险暴露的变化，对可能产生的问题作出迅捷的反应。3.3.1.1.4 风险定级综合风险定义、分类、风险影射及后期的风险综合评估为银行操作风险进行定级，从整体风险分类上对风险制定适合的风险应对。系统平台提供灵活的风险定级评定策略和手段，提供灵活的定级模型和流程。3.3.1.2 风险评估在对操作风险进行识别后，商业银行就需要评估所面临的操作风险，以确定哪些风险是银行可

52、以承担的，哪些风险是银行不能够接受的，从而确定操作风险管理和转移的策略。在整个操作风险管理流程体系中，操作风险评估工作起着承上启下的作用，操作风险评估的结果可以作为操作风险监测和检查的参考。3.3.1.2.1 关键风险点银行操作风险贯穿于银行各部门各业务的全过程，仅以业务单位为基础分析操作风险也是不够的，在实际业务活动中，过程某一环节的失败可能导致其他环节的失败，并会使不同的业务单位由于它们介入了同样的业务过程而同时产生损失。通过对操作风险的全面分析以及操作风险关键风险指标的对应，需要识别关键活动(过程映射)，通过对业务操作风险全过程实施的业务活动、由哪些部门参与、如何实施等事项关键点的清晰描

53、绘，风险管理者能够专注于检查业务过程，而不至于迷失于组织结构或内部政策，便于风险管理者识别操作过程的关键元素、潜在缺陷和非效率性，更有效的制定操作风险的应对措施和缓释模型。3.3.1.2.2 风险评估模型在对操作风险予以清晰界定与识别基础上，就要在内部经济资本和外部监管资本约束意义上为商业银行的操作风险管理分配资本，这就必然涉及到对操作风险资本的精确计量。国际活跃银行一致认为操作风险需要通过定性和定量相结合的方法进行测量。定性方法主要是依靠内外部审计报告、管理报告、财务报告、政策规定，由专家评估操作风险，估计风险损失大小。定量方法的关键操作风险计量技术目前仍处摸索阶段，但向信用风险和市场风险的

54、计量方法看齐的发展方向十分明确。为此，巴塞尔委员会在积极采纳国际先进银行关于对操作风险量化管理成功做法基础上，根据不同国家和不同管理水平，为商业银行提供了三种可供选择的关于给操作风险分配资本的计算方法，即基本指标法、标准法和高级计量法。国际活跃银行还提出了其他一些模型方案，比较著名的有损失分布法、因果关系模型法等。但整个银行业至今没有形成统一的测量模型，其主要因为操作风险的模型基本由各家银行自行研究建立，所依赖的内部历史数据与其他银行区别很大，对各类操作风险发生概率和损失大小的分析判断都不尽相同。系统平台提供全面的操作风险评估模型，并针对不同的银行体系和需要定制符合自身业务发展和管理需要的风险

55、评估模型，为有效的操作风险资本计量提供计量方法和模型。3.3.1.2.3 评估情景模拟在操作风险评估计量模型的基础上，设定不同的模型情景条件和约束，进行测试模拟，通过变化情景条件和约束，推演模拟不同条件下风险走势和发展，据此制定完善的风险应对计划和缓释方案。3.3.1.2.4 风险全景地图根据风险识别以及对全行风险关键点的积累，绘制银行风险全景地图，按照不同的风险等级、风险发展趋势、风险预期损失程度、风险发生频率等条件勾勒出银行风险全景地图，也可按照不同业务线及业务部门进行勾勒，为高层制定风险管控战略策略及应对方案提供基础数据依据，也为风险监管提供可量化数据基础。3.3.1.3 风险损失数据3

56、.3.1.3.1 损失数据采集操作风险损失事件数据是银行制定风险计量模型、制定风险应对策略、分配风险管理资本的基础，也是一个持续的过程，需要充分保证损失事件数据的全面性、充分性、关联性和完整性，操作风险管理系统平台应提供在线及离线两种方式相结合的形式充分保证损失事件数据的采集和积累，制定完善的损失事件数据标准及形式，逐步建立起操作风险损失事件数据信息库。3.3.1.3.2 损失数据审查操作风险损失事件数据的采集是一个严谨的业务过程，要在完善的采集数据流程下逐环节实现对数据的审查和控制工作，保证损失事件数据的合理性，为后期提供合理的数据分析、推演正确的风险走势及制定合理的操作风险应对计划提供基本

57、依据。3.3.1.3.3 损失数据分配操作风险损失事件涉及到跨越整个事件所延伸和涉及的业务部门及业务线，可以通过不同的风险事件损失分配机制将损失数据分配到不同的业务线和环节点，为制定更加准确的风险管理资本提供数据计划依据。3.3.1.4 风险预警3.3.1.4.1 关键风险指标风险损失数据库是一个回溯检视工具，能表示在过去何处出现损失，损失的规模有多大，但无法预测及反映当前的风险是什么、将会有什么损失。关键风险指标体系的建立，则可以为操作风险管理者提供反映当前特定业务部门中风险水平的相关数据。操作风险关键风险指标体系是反映操作风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施）。关键风险指标应该随着时间而变化。新风险出现，需要更换新的关键风险指标。当风险管理者对业务更为