新资本协议操作风险管理培训材料课件

新资本协议

操作风险管理培训材料内部资料注意保密新资本协议

操作风险管理培训材料内部资料操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作风险管理工具在我行的实施操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。其包括法律风险，但不包括策略风险和声誉风险。控制操作风险的定义操作风险管理是指对操作风险进行主动识别、评估、控制或缓释、监测和报告的过程。原因内部程序人员系统外部事件事件潜在风险（事件）已发生的事件概率影响财务影响员工影响声誉影响监管影响……操作风险预防识别减损控制操作风险的定义操作风险管理原因内部程序人员系统外部事件操作风险已被视为银行三大风险之一，其造成的损失可能大大高于信用风险和市场风险；行业内曾发生过许多重大操作风险事件，其中最为典型的有巴林银行倒闭案、法国兴业银行欺诈案等。操作风险已被视为银行三大风险之一操作风险已被视为银行三大风险之一，其造成的损失可能大大高于信操作风险就在我们身边内部欺诈有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失。就业制度和工作

场所安全事件由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。客户、产品和

业务活动事件有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失。信息科技

系统事件业务中断或系统失败导致的损失。执行、交割和

流程管理事件交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。2008年法兴银行内部欺诈案件、利用卡折合一业务截留借记卡密码。国际贸易业务中客户使用伪造、变造的信用证或附随的单据。网点柜员被试图抢劫银行的歹徒伤害。违规披露零售客户信息、超过客户的风险限额放款。地震、火灾导致的财产损失。软件或者硬件错误、通信问题以及设备老化。与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。说明示例操作风险就在我们身边内部欺诈有机构内部人员参与的诈骗、盗用资操作风险特点与信用风险、市场风险相比，操作风险具有以下特点：风险覆盖面大操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、但一旦发生就会造成极大损失，甚至危及到银行存亡的自然灾害、大规模舞弊等。2涉及部门广操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及银行内部的所有部门。3收益与风险不

存在正比关系对于信用风险和市场风险而言，风险与收益存在正比关系，但这种关系并不一定适用于操作风险。5风险与业务规模和复杂性成正比业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击的可能性最大。4主要源自内部操作风险中的风险因素很大比例上来源于银行的业务操作，属于银行可控范围内的内生风险。1理解操作风险特点有助于明确操作风险管理原则和治理方法，如建立操作风险三道防线、收益与成本匹配原则等。操作风险特点与信用风险、市场风险相比，操作风险具有以下特点：操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作风险管理工具在我行的实施操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作监管背景巴塞尔资本协议II银监会对我国银行业操作风险管理的要求监管背景巴塞尔资本协议II银监会对我国银行业操作风险管巴塞尔资本协议产生背景及发展历程重要里程碑事件1988年拟定巴塞尔资本协议（简称BaselI），统一国际银行资本衡量和资本标准；1996年增加关于市场风险补充规定，强调了市场风险的管理；1999年发布新资本充足框架（巴塞尔新资本协议草案），提出三大支柱框架；2004年6月正式发布巴塞尔新资本协议（简称BaselII）。重要背景20世纪80年代以来，国际银行业的不平等竞争；20世纪80年代初，爆发的国际债务危机；金融操作与金融工具的创新，资本市场之间的联系越来越紧密，凸显风险管理重要性；多起重大操作风险事件。1988.7公布巴塞尔资本协议19881996.1公布补充协议，增加关于市场风险补充规定1999.6公布巴塞尔新资本协议征求意见稿（第一稿）2001.1公布第二稿征求意见稿2001.11对第二稿征求意见稿进行修订2002.10第二次进行商业银行资本充足率定量影响测算（QIS2）2003.4公布第三稿征求意见稿2004.6公布巴塞尔新资本协议2005.10新协议对交易活动和双重违约效应的修订2008金融危机爆发后对整体框架、流动性风险、市场风险、压力测试等方面内容进行了修订或补充2013巴塞尔资本协议产生背景及发展历程重要里程碑事件1988.71没有操作风险资本要求较低的风险敏感性BaselI仅有部分监管机构要求银行进行整体风险评估有限的披露要求明确提出操作风险资本要求较高的披露要求明确的整体风险/资本评估要求较高的风险敏感性BaselII1988年2004年新资本协议明确提出操作风险资本要求没有操作风险资本要求较低的风险敏感性BaselI仅有部分监新资本协议将操作风险作为三大风险之一，在三大支柱中均对其提出明确的管理要求。巴塞尔新资本协议与操作风险最低资本要求监管部门的监督检查市场纪律约束对操作风险的要求三大支柱商业银行应当将操作风险作为主要风险进行管理；将操作风险纳入资本充足率（即监管资本/风险加权资产）计算公式，并且规定资本充足率不得低于8%；规定了三种操作风险资本计量方法。从监督检查的四项主要原则出发，对可能低估操作风险的资本要求的情形，进一步作出监督要求。对操作风险管理提出定性与定量的信息披露要求，尤其是对采用操作风险高级计量方法的银行，提出严格的披露要求。新资本协议将操作风险作为三大风险之一，在三大支柱中均对其提出12第一支柱–

操作风险首次要求实施新资本协议的银行或其他相关金融机构为操作风险计提资本；对于操作风险管理，新协议包含了定性和定量两方面的要求：风险战略风险的识别和控制风险监控风险计量数据应用资本建模和信息披露12第一支柱–操作风险首次要求实施新资本协议的银行或其他1313净利息收入+其他收入乘以15%计算3年的平均值基于内部、外部损失数据以及情景分析等要素的内部模型通常采用损失分布法、打分卡法、情景分析法新协议提出的操作风险资本计量方法基本指标法标准法高级计量法净利息收入+净非利息收入按监管要求的业务条线归类按业务条线的不同乘以12-18%计算3年的平均值1313净利息收入+其他收入基于内部、外部损失数据以及情14操作风险管理的定性要求基本指标法高级计量法标准法操作风险的稳健做法三种方法都鼓励遵守“操作风险管理与监管的稳健做法”（巴塞尔委员会，2003年2月）。对高级计量法的资格要求大部分也在“操作风险管理与监管的稳健做法”或标准法中亦有涉及。高级计量法的主要区别在于:操作风险建模（如情景分析，加工内部损失数据,使用外部损失数据，参数的验证）数据和分析的深度14操作风险管理的定性要求基本指标法高级计量法标准法操作风险巴塞尔委员会提出的操作风险管理“稳健做法”，是普遍适用的操作风险管理定性要求。操作风险管理稳健做法来源:操作风险管理与监管的稳健做法，巴塞尔委员会，2003年2月风险管理方法和程序识别评估监测缓释/控制、BCP建立适当的风险管理环境董事会应审批建立操作风险管理框架，确保管理框架得到独立审计高级管理层负责落实操作风险管理框架信息披露充分的信息披露，以便让市场评估风险管理方法监管检查监管机构应确保银行建立有效操作风险管理框架还应定期评估银行操作风险管理情况操作风险管理稳健做法1423巴塞尔委员会提出的操作风险管理“稳健做法”，是普遍适用的操作原则1：银行应具备一整套程序，用于评估与其风险状况相适应的总体资本水平，并制定保持资本水平的战略。董事会及高级管理层的监督健全的资本评估-与当前及未来风险相关联对所有重大风险的全面评估监控和报告内部控制评估。内部资本充足率评估程序(ICAAP)第二支柱–监督检查的四项主要原则在操作风险基本指标法和标准法中所运用的总收入只是衡量银行操作风险敞口的一项替代性指标，在某些情况下（比如对于低利润或低盈利水平的银行）会低估操作风险所需的资本；监管当局将审阅银行计算出的操作风险资本要求（无论采用基本指标法、标准法还是高级计量法）的可信度，特别是与同类银行进行比较。如果可信度不足，则会考虑采取第2支柱下的适当监管措施。原则2：监管当局应检查和评价银行内部资本充足率的评估情况及战略，及其满足监管资本比率的能力。若对检查结果不满意，监管当局应采取适当的监管措施。原则3：监管当局应鼓励银行的资本水平高于最低监管资本比率，可以要求银行持有超出最低要求的资本。原则4：监管当局应尽早采取干预措施，防止银行的资本水平降至最低要求之下，并要求银行迅速采取补救措施。。监管检查及评估程序(SREP)原则1：银行应具备一整套程序，用于评估与其风险状况相适应的第三支柱–操作风险的披露银行被批准采用的操作风险资本计量方法，以及操作风险资本要求一般定性披露要求：银行必须描述其风险管理的目标和政策，包括战略及流程；相关风险管理职能的组织和架构;风险报告/衡量体系的范围及性质;风险规避/缓释的政策，以及监控规避/缓释有效性的策略和流程。如果银行采用高级计量法:对高级计量法进行说明，包括计量方法所使用的相关内部和外部因素;如果是部分采用高级计量法，需提供各种方法的覆盖范围。关于运用保险进行操作风险缓释的说明。第三支柱–操作风险的披露银行被批准采用的操作风险资本计量方法目前，与银行操作风险管理关系最为密切的监管政策主要是指银监会颁发的《商业银行操作风险管理指引》、《商业银行操作风险资本计量指引》。我国监管机构针对银行操作风险管理出台的政策银监会已出台的相关政策有：《关于加大防范操作风险工作力度的通知》；《中国银行业实施新资本协议指导意见》；《商业银行操作风险管理指引》；《商业银行操作风险资本计量指引》：《资本充足率监督检查指引》；《资本充足率信息披露指引》；《商业银行内部控制指引》；《商业银行内部控制评价试行办法》等。其他相关的政策有：财政部发布的《企业内部控制基本规范》；上海证券交易所发布的《上市公司内部控制指引》等。目前，与银行操作风险管理关系最为密切的监管政策主要是指银监会要求商业银行应当建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：董事会的监督控制；高级管理层负责执行董事会批准的操作风险管理框架；建立适当的组织架构；建立一系列操作风险管理方法和程序；为操作风险提取充足的资本。《操作风险管理指引》要求商业银行应当建立与本行的业务性质、规模和复杂程度相适应的风险治理操作风险管理体系要与本行的业务性质、规模和复杂程度相适应的；要能有效地识别、评估、监测和控制/缓释操作风险。董事会将操作风险作为商业银行面对的一项主要风险；承担监控操作风险管理有效性的最终责任。高级管理层执行董事会批准的操作风险管理战略、总体政策及体系。操作风险管理部门指定部门专门负责全行操作风险管理体系的建立和实施。其他管理部门明确其他部门的管理职责。操作风险管理政策制定适用于全行的操作风险管理政策；应当与银行的业务性质、规模、复杂程度和风险特征相适应。管理办法报告要求商业银行应当选择适当的方法对操作风险进行管理（三大工具、新产品审批、业务连续性方案、外包管理、保险的运用等）；业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法。商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况；重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。其它要求将加强内部控制作为操作风险管理的有效手段；建立完善操作风险管理信息系统；为承担的操作风险提取充足资本。注：主要内容可以对应到巴塞尔委员会的《操作风险管理与监管的稳健做法》《操作风险管理指引》（续）风险治理操作风险管理体系要与本行的业务性质、规模和复杂程度相标准法需要的资本要求=（前3年各业务条线的总收入*对应系数）/3业务条线收入对应系数(β)公司金融18%交易和销售18%零售银行12%商业银行15%支付和清算18%代理服务15%资产管理12%零售经纪12%其他业务18%将操作风险管理作为主要风险管理职能纳入全行风险管理体系；董事会和高级管理层的职责；建立与本行业务性质、规模和产品复杂程度相适应的操作风险管理系统，支持：风险与控制措施的自我评估；关键风险指标的检测；损失数据的收集。建立清晰的内部报告线路；投入充足的人力和物力；接受验证和审查。计量方法定性要求巴塞尔未明确提出对三大工具的要求，银监会对其进行了明确标准法业务条线收入对应系数(β)公司金融18%交易和销售18%零售高级计量法是商业银行通过内部操作风险计量系统计算监管资本的方法；商业银行可根据本行业务性质、规模和产品复杂程度以及风险管理水平自行选择操作风险计量模型；定性要求符合标准法的所有资格要求；操作风险计量应成为操作风险管理流程的重要组成部分，相关计量系统应能促进商业银行改进全行和各业务条线的操作风险管理，支持向各业务条线配置相应的资本；操作风险计量系统应通过验证，验证的标准和程序应符合银监会的有关规定。高级计量法—定性要求高级计量法是商业银行通过内部操作风险计量系统计算监管资本的方计量系统应具有较高的精确度，考虑到了非常严重损失事件发生的频率和损失的金额；应具备操作风险计量系统的模型开发和模型独立验证的严格程序；如不能向银监会证明已准确计算出了预期损失并充分反映在当期损益中，就应在计量操作风险监管资本时综合考虑预期损失和非预期损失之和；在加总不同类型的操作风险监管资本时，可以自行确定相关系数，但要书面证明所估计的各项操作风险损失之间相关系数的合理性；计量系统的建立应基于内部积累的损失数据、外部相关损失数据、情景分析、本行的业务经营环境和内部控制等四个基本要素；对上述四个基本要素在操作风险计量系统中的作用和权重做出书面合理界定。高级计量法—定量要求计量系统应具有较高的精确度，考虑到了非常严重损失事件发生的频应具备至少5年观测期的内部损失数据，初次使用可使用3年期的内部损失数据；书面规定对内部损失数据进行加工、调整的方法、程序和权限；收集内部损失数据应设置合理的损失事件统计金额起点（Threshold）；内部损失数据应与业务条线归类目录和损失事件类型目录建立对应关系；应全面覆盖对全行风险评估有重大影响的所有重要的业务活动；对因操作风险事件（如抵押品管理缺陷）引起的信用风险损失，如已将其反映在信用风险数据库中，应视其为信用风险损失，不纳入操作风险监管资本计量，但应将此类事件在操作风险内部损失数据库中单独做出标记说明；对因操作风险事件引起的市场风险损失，应反映在操作风险的内部损失数据库中，纳入操作风险监管资本计量。高级计量法—内部损失数据应具备至少5年观测期的内部损失数据，初次使用可使用3年期的内银监会对操作风险管理合规达标提出以下检查要点：合规达标监管检查要点检查点要求总体银行应选择标准法、标准法替代法及高级法中的一种方法计量操作风险资本计量操作风险监管资本应符合本指引规定的条件，经银监会批准后方可实施风险治理操作风险管理体系操作风险管理作为主要风险管理职能纳入全行风险管理体系董事会的责任董事承担监控操作风险管理有效性的最终责任高管层的责任高级管理层负责执行董事会批准的操作风险管理策略、总体政策及体系报告建立清晰的操作风险内部报告路线定期向高级管理层和董事会提交全行的操作风险管理报告报告包括风险评估结果、关键风险指标、主要操作风险事件等信息对报告中反映的信息采取有效举措相关支持充足的人力和物力、确保内部控制和内部审计的有效性政策和流程记录操作风险损失的管理信息系统有能够记录和存储与操作风险损失相关的数据的管理信息系统，并配备完整制度文件风险及控制自我评估在各业务条线使用风险及控制措施的自我评估关键风险指标应用关键风险指标并进行监测验证和审查操作风险管理系统和流程应接受验证和审查数据系统性地收集、整理、跟踪和分析操作风险相关数据资本计量使用标准法时，应按照银监会指引中要求的方法和公式进行计算银监会对操作风险管理合规达标提出以下检查要点：合规达标监管检1级目录2级目录内部欺诈行为未经授权、盗窃和欺诈外部欺诈盗窃和欺诈、系统安全性就业制度和工作场所安全事件劳资关系、环境安全性、歧视及差别待遇事件客户、产品和业务活动事件适当性，披露和诚信责任、不良的业务或市场行为、产品瑕疵、客户选择，业务推介和风险暴露、咨询业务实物资产的损坏灾害和其他事件信息科技系统事件信息系统执行、交割和流程管理事件交易认定，执行和维护、监控和报告、招揽客户和文件记录、个人/企业客户账户管理、交易对手方、外部销售商和供应商损失事件类型目录注：2级目录下，还有更细的3级目录。银监会在各个2级目录下，都增加了一个3级目录“其他”，从而保证所有事件都能进行归类。收集统计原则重要性原则及时性原则统一性原则谨慎性原则合理区分操作风险损失、信用风险损失和市场风险损失界限，对于跨区域、跨业务种类的操作风险损失事件，合理确定损失统计原则，避免重复统计。至少包含：损失事件发生的时间、发现的时间及损失确认时间、业务条线名称、损失事件类型、涉及金额、损失金额、非财务影响、与信用风险和市场风险的交叉关系等范围界定主要内容损失数据收集1级目录2级目录内部欺诈行为未经授权、盗窃和欺诈外部欺诈盗窃高级管理层董事会信用风险风险管理部市场风险风险管理部操作风险境内子公司境外子公司董事会境内分行海外分行分行风险管理部门总行的业务部门业务部门风险管理职能董事会高级管理层风险部门分行、子公司与业务条线操作风险作为三大主要风险之一，纳入到全面风险管理体系中，在组织架构上与全面风险管理体系保持结构统一。操作风险纳入全面风险管理体系法律与合规部高级管理层董事会信用风险风险管理部市场风险风险管理部操作风险董事会：将操作风险作为一项主要风险，确保高级管理层采取必要的措施有效地识别、评估、监测、控制或缓释操作风险，确保本行操作风险管理框架接受内审部门的有效审查与监督董事会风险政策委员会：对董事会负责，负责审议重大的操作风险政策和制度并监督执行情况董事会、高级管理层、各条线部门一起构成操作风险公司治理三层架构；各条线部门及分支机构分别发挥操作风险三道防线作用。操作风险公司治理、三道防线稽核委员会：独立于中行其他专业委员会，按照董事会授权在财务报告、财务报告编制程序及相关内部控制、财务报表审计审阅、会计政策、信息披露、内部审计、外部审计方面履行独立监督职责的委员会。稽核委员会对董事会负责，并向董事会直接进行报告法律与合规部：牵头负责全行操作风险管理框架的建立和实施，促进全行范围内操作风险管理的一致性和有效性董事会及下设委员会董事会风险政策委员会高级管理层及下设委员会稽核委员会高级管理层（集团执行委员会）反洗钱工作委员会风险与内部控制委员会第一道防线业务经营机构第二道防线牵头部门专门职能部门法规部第三道防线稽核部业务管理部门所有员工其他相关部门（业务部门）内控及操作风险管理团队或岗位办公室信息科技部保卫部董事会秘书部监察部人力资源部战略发展部集中采购部高级管理层（行领导）：负责执行董事会批准的操作风险管理战略和政策框架专门职能部门：就涉及其职责分工及专业特长的范围内为其他相关部门管理操作风险提供相关资源和支持其他相关部门：作为操作风险所有人，采用嵌入式操作风险管理团队或岗位，对本部门的操作风险进行管理董事会：将操作风险作为一项主要风险，确保高级管理层采取必要的各业务条线采用嵌入式操作风险管理模式，在本条线内设置操作风险管理团队或岗位，牵头本条线的操作风险管理工作。业务条线采用嵌入式操作风险管理模式公司业务部操作风险管理团队董事会风险政策委员会管理层分行法律与合规部操作风险管理团队一级分行管理层分行内控委员会公司业务操作风险管理团队法律与合规部操作风险管理团队二道防线执行委员会内部控制委员会内控合规部操作风险管理岗二级分行管理层内控负责人派驻经理基础机构负责人国内结算部操作风险管理团队国内结算操作风险管理团队国际结算部操作风险管理团队国际结算操作风险管理团队个人金融部操作风险管理团队个人金融操作风险管理团队运营服务总部操作风险管理团队运营服务操作风险管理团队...........操作风险管理团队嵌入主要业务条线和专门职能部门嵌入团队就操作风险事项向分管行领导及总行条线汇报，同时向分行法律与合规部汇报总行基层机构二级分行一级分行各业务条线采用嵌入式操作风险管理模式，在本条线内设置操作风险报告路线条块结合双线报告模式：分行部门内的操作风险管理团队或岗位向分管行领导及总行条线总经理室汇报，同时向分行法律与合规部汇报，分行法律与合规部向总行法律与合规部汇报。30操作风险报告机制条线主动进行操作风险管理和报告在嵌入式的操作风险管理团队和岗位的推动下，各业务条线主动进行操作风险管理，并遵循统一的报告模板、按照条块结合的双线报告模式进行操作风险报告。支持各级管理决策操作风险报告分为整合了多方面操作风险管理信息的综合报告，以及针对单个操作风险管理工具或专项操作风险管理活动的专门报告。报告路线30操作风险报告机制条线主动进行操作风险管理和报告支操作风险管理文化操作风险管理文化含义以银行企业文化为背景，贯穿以人为本的经营理念，在操作风险管理活动中凝炼并通过由企业文化的精神层面、制度层面、行为层面和物质层面共同体现，为广大员工认同并自觉遵守的操作风险管理理念、操作风险价值观念和操作风险管理行为规范。中行操作风险管理文化培育指导性原则总行各条线管理部门和境内外分支机构应重视操作风险管理，贯彻以人为本的经营理念，建立科学、有效激励约束机制，营造全员共同参与的全面操作风险管理环境，通过持续宣传、培训、研讨，引导员工树立正确的操作风险管理价值观念、树立“基于诚信、积极主动”的操作风险管理行为准则，提高员工的风险意识和职业道德素质，实现“无意料之外的损失”。中行操作风险管理文化主要表现中行董事会和高级管理层重视操作风险管理，坚持“以人为本”的管理理念，秉持“全面管理、及时调整、成本与收益匹配”的操作风险管理原则，全员共同参与操作风险管理、肯定操作风险管理价值、坚持“基于诚信、积极主动”的操作风险管理行为准则，实现“无意料之外的损失”。操作风险管理文化操作风险管理文化含义中行操作风险管理文化主要四层级的政策制度体系，从上到下分别为政策框架、操作风险管理办法、各工具管理办法和操作指引，涵盖了操作风险管理各个方面。操作风险管理政策与制度《中国银行股份有限公司操作风险管理政策框架》是由中行董事会批准发布的关于中行操作风险管理的最根本的制度提出了中行操作风险管理的基本原则、要求和管理框架，为全行实施操作风险管理确立了基调和方向。RACA操作指引明确管理流程的未尽事宜，清晰回答具体操作问题，在操作层面指导开展日常操作风险管理工作。操作指引主要采用宣传手册、流程指引的体例。KRILDC重大事件报告检查整改考核新产品外包BCP报告资本计量分类办法《中国银行股份有限公司内部控制与操作风险管理手册》是我行内部控制与操作风险管理的说明性文件，旨在明确我行内部控制与操作风险管理关键术语、基本理念和管理原则，全面、系统地说明相关规章制度的内容要点及内在联系，为各级管理者及全体员工提供本行内部控制与操作风险管理的“全貌”或“全景图”。明确各管理工具的职责分工、主要步骤和管理标准用于指导落实各管理工具的操作确立基本管理原则政策框架操作风险管理办法各管理工具的管理办法各管理工具的操作指引为落实政策框架作出安排，并对管理流程提出基本要求《中国银行股份有限公司操作风险管理办法》是由中行高级管理层批准发布，是对政策框架中原则性指引的丰富确定我行操作风险管理体系框架。四层级的政策制度体系，从上到下分别为政策框架、操作风险管理办操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作风险管理工具在我行的实施操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作操作风险管理三大工具风险与控制评估（RiskAndControlSelf-Assessment，简称RACA)关键风险指标（KeyRiskIndicator，简称KRI)损失数据收集（LossDataCollection，简称LDC)操作风险管理三大工具风险与控制评估（RiskAndCon

风险与控制评估（RACA）可以看作是健康评测仪，它可以帮助我们进行肌肉脂肪评估、营养评估等，让我们更了解自身的身体状况。关键风险指标（KRI）可以看作是血压计，通过日常对血压的监控，可以及时发现身体某些方面的异常情况。损失数据收集（LDC）可以看作是病历，通过对病史及病状的记录，避免今后类似疾病的发生。——提早发现病症——及时发现身体异常状况——提醒什么情况下容易犯病操作风险管理三大工具——提早发现病症——及时发现身体异常状况——提醒什么情况下中行操作风险管理框架操作风险管理能力评价与考核操作风险治理操作风险文化、操作风险偏好、组织架构与职责分工（含报告路线）、政策与制度操作风险管理信息系统验证和审查治理管理方法与流程基础设施操作风险资本计量操作风险分类标准操作风险与控制评估（RACA）内控措施检查新产品操作风险评估操作风险损失数据收集（LDC）关键风险指标（KRI）操作风险重大事件报告（SERP）内控措施检查操作风险报告操作风险整改跟踪业务持续经营计划和业务应急方案服务外包管理操作风险与控制评估（RACA）内控措施检查新产品操作风险评估识别监测和报告控制/缓释评估风险管理基本方法中行操作风险管理框架操作风险管理能力评价与考核操作风险治理操三大工具发现的问题为制定内控检查方案提供重要依据；内控措施检查对三大工具结果进行审视、验证，进一步确认和评估内控措施的有效性、充分性。内控措施检查与三大工具的相互应用业务流程风险控制环节操作风险管理三大工具内控措施检查作为制定检查方案依据运用工具后获得的信息通过检查对工具结果进行审视、验证风险与控制评估

（RACA）关键风险指标

（KRI）损失数据收集

（LDC）三大工具发现的问题为制定内控检查方案提供重要依据；内控措施检操作风险与控制评估（RACA）操作风险与控制评估是指各业务条线和分行通过自我观察、分析和判断，对自身可能蒙受的操作风险及控制问题进行持续识别、评估和报告，并提出优化方案，使防范风险、扼制重大操作风险事件的关口前移。操作风险与控制评估操作风险损失数据收集（LDC）关键风险指标（KRI）内控措施检查操作风险重大事件报告（SERP）操作风险报告操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理操作风险与控制评估识别监测和报告控制/缓释评估银行内部人员可能将承兑汇票假作废、真盗用。示例原因在管理循环中的直接主要作用定期评估触发式评估日常评估影响控制自我评估优先识别主要风险客观分析和评估提早发现病症多重方式操作风险与控制评估（RACA）操作风险与控制评估是指各业务RACA工作流程确认评估对象绘制流程图收集整理操作风险信息提出优化方案评估剩余风险识别和评估现有控制识别和评估固有风险提交报告整合结果准备阶段评估阶段报告阶段RACA工作流程确认评估对象绘制流程图收集整理提出评估识别和新资本协议操作风险管理培训材料收集整理操作风险信息收集整理操作风险信息RACA历史信息重大风险事件信息监管提示内外部损失数据二级分行反馈信息检查、自查结果内外审报告填写：操作风险信息模板、二级分行信息收集模板参与RACA讨论组会议的人员要求收集整理操作风险信息收集整理RACA历史信息重大风险事件信息识别固有风险风险描述风险分类风险原因风险发生的环节、相关人员、具体情况将识别的风险按照《操作风险分类办法》进行归类原因有八大类别：IT、流程、人员、经营活动、环境、政治、监管、外部破环活动控制无效或者失败是引起风险的原因，而非风险本身识别固有风险风险描述风险分类风险原因风险发生的环节、相关人员评估固有风险发生概率影响严重度基于经验分析该风险在流程中发生的概率水平基于经验从财务影响和非财务影响两个方面评估根据概率和影响评估结果确定风险严重度评估固有风险发生概率影响严重度基于经验分析该风险在流程中发生固有风险严重度矩阵风险概率风险影响固有风险严重度矩阵风险概率风险影响识别和评估现有控制控制设计控制执行合理部分合理不合理执行部分执行未执行注：描述的是已有的控制，而非计划执行的控制描述应当力求具体、避免使用空洞的描述识别和评估现有控制控制设计控制执行合理执行注：评估剩余风险控制措施对固有风险的发生概率和影响具有缓释作用；不同的控制措施对固有风险的缓释作用不同考虑是否接受剩余风险对于接受的剩余风险，记录该风险并进行监控和定期检查评估剩余风险控制措施对固有风险的发生概率和影响具有缓释作用；新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料关键风险指标（KRI）关键风险指标是指反映关键操作风险状况的一系列统计数据，定量跟踪监测风险发生可能性、影响度或某一控制有效性，确保潜在风险或风险事件及时得到控制。操作风险与控制评估内控措施检查新产品操作风险评估关键风险指标操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理操作风险与控制评估内控措施检查新产品操作风险评估识别监测和报告控制/缓释评估银行承兑汇票废票率（%）每季作废银行承兑汇票数量/所有使用数量0510152025123456789101112示例红色区域启动调查程序视情况制定优化方案黄色区域对KRI进行密切监控视情况采取措施使KRI数值回到绿色区域绿色区域无须采取后续措施在管理循环中的直接主要作用及时发现身体异常状况关键风险指标（KRI）关键风险指标是指反映关键操作风险状况新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料KRI阀值设定KRI阀值设定新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料新资本协议操作风险管理培训材料损失数据收集（LDC）操作风险与控制评估内控措施检查新产品操作风险评估操作风险损失数据收集操作风险与控制评估内控措施检查新产品操作风险评估识别监测和报告控制/缓释评估操作风险损失数据收集是指操作风险损失数据的识别、收集、汇总、分析和报告，借此改善内部管理，并为实施操作风险高级计量法积累数据。在管理循环中的直接主要作用操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理节约资本……与日常管理衔接有利于绩效考核操作风险高级计量法改善内部管理吸取经验教训…提升RACA效果触发和验证整改LDC的主要作用提醒什么情况下容易犯病损失数据收集（LDC）操作风险与控制评估操作风险损失数据收集LDC的作用—为高级计量法积累数据至少具备5年观测期的内部损失数据；初次使用具备3年损失数据。损失数据积累年限操作风险高级计量法有利于银行声誉资本要求与银行操作风险状况的联系更紧密经济资本分配和考核节约资本积累一定年限的内部损失数据是启动操作风险高级计量法的必要条件。LDC的作用—为高级计量法积累数据至少具备5年观测期的内部损损失数据收集基本原则广泛性原则所有机构和部门都要收集操作风险损失数据。重要性原则收集的损失事件的毛损失金额要达到或超过损失数据收集门槛。同时，要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。统一性原则要遵循全行一致的损失数据收集标准、范围、程序和方法，以确保结果客观、准确及可比。及时性原则损失事件发生后，要及时确认、记录和报送损失数据，避免因处理延后造成当期统计数据不准确。谨慎性原则在对操作风险损失进行确认时，要保持必要的谨慎，进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。损失数据收集基本原则广泛性原则所有机构和部门都要收集操作风险收集对象信用风险或市场风险损失是否都不需收集？？是否仅收集操作性失误导致的损失？所有金额的损失都要收集？损失全部挽回，或净损失很低，是否可不收集？损失金额尚未确定，是否可暂不收集，而是等到金额确定后再收集？收集对象信用风险或市场风险损失是否都不需收集？？是否仅收集操收集对象（续）需涵盖由不完善或有问题的内部程序、人员、系统以及外部事件造成的损失。操作风险损失包括多种多样的形式，例如：操作失误（常见的如短款、出纳错误）、涉及内部人员的案件等；外部行为或破坏造成的损失，例如偷窃、抢劫、外部欺诈、恶意破坏；自然灾害造成的损失，例如地震、台风、暴雨等造成的资产和人员损失；意外造成的损失，例如工作场所受伤、工作用车交通事故、意外丢失客户资料导致的赔偿或罚款；解决劳动争议的损失、外包公司或中介机构带来的损失、客户索偿导致的损失；处理事件、挽回损失、恢复影响所付出的成本。是否仅收集操作性失误导致的损失？收集对象（续）需涵盖由不完善或有问题的内部程序、人员、系统以收集对象（续）所有金额的损失都要收集？————当损失达到10,000元人民币（称为“损失数据收集门槛”）时才要收集。损失预计或已经全部挽回，或净损失金额很低，是否可不收集？例如初始损失为10万元，后续通过保险赔付加上员工赔偿已全部挽回。在该例子中，若损失挽回了绝大部分，净损失已低于10,000元，还要收集吗？————决定损失事件是否要收集的不扣减挽回金额的损失及成本总额，即毛损失金额。只要毛损失金额达到10,000元人民币，即使损失全部挽回，也要收集。本例子中毛损失金额为10万元，因此需要收集。毛损失金额达到10,000元人民币（含等值的外币）的操作风险损失事件收集对象（续）所有金额的损失都要收集？————当损失达到1收集对象（续）损失金额尚未确定，是否可暂不收集？例如事件还未调查完成，或正在进行诉讼，相关的损失金额不能确定，是否等到金额确定后再收集？————发现损失事件后，只要预计损失金额会达到10,000元就要进行收集。不要等到事件调查或处理完成，损失金额确定后再收集。 在初次填报时应对损失金额进行谨慎估计，并在后续根据事件调查和处理的情况，更新事件的损失金额。 收集对象（续）损失金额尚未确定，是否可暂不收集？例如事件还未收集的主体是不是由法律与合规部统一收集？是不是由账务部门统一收集？由发生损失的部门（主收集部门）进行调查和填报，操作风险管理牵头部门、账务部门及其他有关部门提供协助。相对于RACA及KRI，二级分行将承担更多的LDC工作。收集的主体是不是由法律与合规部统一收集？由发生损失的部门（主判断是否达到收集门槛的要点只要毛损失金额达到收集门槛就要收集。即使损失全部挽回，最终没有净损失发生时，也是如此；既包含事件带来的损失，也包括处理事件发生的成本或支出。对于没有初始财务损失、只有处理事件的成本和支出的事件，只要成本和支出达到收集门槛就要进行收集；如果一个事件会产生多次的损失或成本，不论单次损失的金额有多少，只要所有的损失和成本加总后达到收集门槛，就要进行收集。损失成本挽回损失1损失2….损失N成本1成本2….成本N挽回1挽回2….挽回N净损失损失金额达到门槛？毛损失收集判断是否达到收集门槛的要点只要毛损失金额达到收集门槛就要收集与信用及市场风险损失的关系信用风险或市场风险损失是否都不需收集？当操作风险是直接造成信用或市场风险损失的主要原因时，需要收集。否则不需收集。信用风险损失：由于客户欺诈、内部人员违纪或重大违规而发放的贷款出现损失；由于合同文本缺陷、抵质押品管理不善等造成违约贷款无法收回；在出现损失后，事后往往都能找到原来程序上的一些缺陷。只要这些缺陷不是造成信贷损失或交易损失的直接及主要原因，则该损失就不要当作操作风险损失数据进行收集。市场风险损失：超限额、未及时止损、交易要素出错等操作风险因素引起的交易损失。与信用及市场风险损失的关系信用风险或市场风险损失是否都不需收时间要求—单个事件报送单个事件任务时间要求主收集部门填写《损失事件记录表》，经过本部门负责人复核，提交给同级操作风险管理牵头部门进行审核事件发现日后的一个月内操作风险管理牵头部门审核主收集部门提交的《损失事件记录表》。若审核通过，二级分行的操作风险管理牵头部门还要在该时间内将其上报给一级分行的操作风险管理牵头部门。收到《损失事件记录表》后的5个工作日内主收集部门收到操作风险管理牵头部门的修改通知后，完成修改及复核，并提交给操作风险管理牵头部门重新审核收到修改通知后的3个工作日内更新信息的记录和复核。出现需更新情况后的一个月内填报最终信息并复核。满足事件结束条件后的一个月内根据有关规定不宜遵循上述填报时限要求的损失事件，可暂不报送。主收集部门要随时关注事件进展，并及时与相关处理单位确认报送的适当时机，确保相关信息最终得到收集和报告。时间要求—单个事件报送单个事件任务时间要求主收集部门填写《损全行LDC实施安排总行部门1月2月3月4月5月------10年收集新发现的数据，转变为日常工作收集既往数据培训收集的数据

阶段性总结报告首批分行（四川、黑龙江、广东）12月1月2月3月4月5月------10年收集既往数据验证收集新发现的数据，转变为日常工作培训既往数据验证后数据

阶段性总结报告第二批分行1月2月3月4月5月------10年验证收集新发现的数据，转变为日常工作收集既往数据培训既往数据验证后数据

阶段性总结报告参与验证分行数据当前进度全行LDC实施安排总行部门1月2月3月4月5月------1需收集的损失数据范围收集方式收集对象既往损失数据新发现的损失数据2008年以来发生的损失事件，以及2008年以前发生但在2008年及以后发现的损失事件数据。在LDC实施以后发现的预计或实际的毛损失金额达到或超过损失数据收集门槛的操作风险损失事件。采取灵活、实际的方式。按照《损失数据收集管理办法》和《损失数据收集流程指引》；发现一笔，记录并报告一笔。需收集的损失数据范围收集方式收集对象既往损失数据新发现的损失总行/一级分行各部门的LDC工作内容收集既往损失数据；收集新发现的损失数据。收集总行/一级分行本级的损失数据法律与合规部将把收集到的损失数据，根据与各部门的相关性提供给相应部门；各部门判断本条线的损失数据收集是否全面、完整和准确，并将发现的漏报、信息记录不准确、不符合填报要求等情况反馈给法律与合规部。协助对收集的数据进行把关法律与合规部将牵头组织损失数据收集工作的验证；各部门配合进行本条线的验证。参与验证损失数据总行/一级分行各部门的LDC工作内容收集既往损失数据；收集总操作风险管理三大工具分别从未来、现在、过去的完整视角对操作风险进行管理，并相互衔接、相互作用。操作风险管理三大工具相互关系风险与控制评估

（RACA）关键风险指标

（KRI）损失数据收集

（LDC）记录与验证风险监控风险识别与评估未来视角当前视角历史视角验证应用验证监控RACA为KRI指标的识别提供信息基础和依据KRI指标值的变化能够反映风险特征信息的变动，对RACA结果进行验证。KRI指标值可以用于对损失情况进行跟踪和监控。LDC是RACA的重要信息来源，并可用于验证RACA结果的适当性。LDC可用于验证KRI指标和阀值设置的适当性。验证触发操作风险管理三大工具分别从未来、现在、过去的完整视角对操作风整改问题源自各种操作风险管理和内部控制工具、监管、审计、日常监控发现的问题。各类问题来源通过操作风险管理工具识别整改问题整改问题库事件风险整改跟踪将各类问题登记到整改问题库中监管RACAKRILDC重大事件报告等一道防线自查新产品财政等外审内审二道防线检查银监会审计检查自查监测报告外包各种操作风险和内部控制管理工具整改问题源自各种操作风险管理和内部控制工具、监管、审计、日常三大工具发现的问题为制定内控检查方案提供重要依据；内控措施检查对三大工具结果进行审视、验证，进一步确认和评估内控措施的有效性、充分性。内控措施检查与三大工具的相互应用业务流程风险控制环节操作风险管理三大工具内控措施检查作为制定检查方案依据运用工具后获得的信息通过检查对工具结果进行审视、验证风险与控制评估

（RACA）关键风险指标

（KRI）损失数据收集

（LDC）三大工具发现的问题为制定内控检查方案提供重要依据；内控措施检操作风险报告操作风险与控制评估内控措施检查新产品操作风险评估操作风险报告操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理操作风险与控制评估内控措施检查新产品操作风险评估识别监测和报告控制/缓释评估操作风险报告是指各级机构和部门对各类操作风险及管理信息进行收集、分析和组织，并向有关单位或管理人员报告，以支持业务经营和决策。综合性报告专项报告

、信息或数据《内部控制及操作风险管理报告》工作计划及总结按固定频率报告按相关要求不定期报告RACA分析总结LDC分析总结检查总结其他……KRI数据重大事件检查项目专项整改其他……触发式RACA在管理循环中的直接主要作用操作风险报告操作风险与控制评估操作风险报告操作风险整改跟踪操其他操作风险管理工具新产品操作风险评估是新产品开发管理流程中的重要组成部分，依托于操作风险与控制评估流程，在新产品开发阶段，对该新产品的操作流程、固有风险、控制措施和剩余风险进行识别和评估，使防范风险、扼制重大操作风险事件发生的关口前移。服务外包管理旨在对我行外包业务活动进行决策、选择、评估、管理和监督，确保外包业务有严谨的合同和服务协议、各方的责任义务规定明确。业务持续经营计划和业务应急方案旨在确保经营管理活动关键业务流程能够得到持续执行，提高处置与应对突发事件的能力，使关键业务得以持续运作，最大程度减少突发事件给我行带来的负面影响。其他……其他操作风险管理工具新产品操作风险评估是新产品开发管理流程各操作风险管理工具和流程相互衔接、相互作用，一并构成完整的持续运行系统。操作风险管理工具总体框架验证监控操作风险整改跟踪业务应急方案和业务持续经营计划服务外包管理新产品操作风险评估操作风险重大事件报告整改内控措施检查与确认检查风险与控制评估关键风险指标损失数据收集验证应用操作风险管理三大工具新产品风险管理重大事件上报验证应用验证BCP外包触发应用应用应用验证验证操作风险管理的“共同语言”和统一标准操作风险管理报告各操作风险管理工具和流程相互衔接、相互作用，一并构成完整的持操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作风险管理工具在我行的实施操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作操作风险项目进入全行实施推广阶段我行新资本协议操作风险项目于2009年4月正式启动，拟于2010年底前满足操作风险标准法监管要求。目前，已完成调研访谈、操作风险资本测算、管理方案设计、论证及试点、合规达标预评估等工作，现进入全行实施推广阶段。针对中行操作风险管理现状，进行差距分析调研方案设计试点反馈并修改方案全行实施推广申请合规合规达标操作风险管理方案设计操作风险资本测算在选定业务条线和分行进行试点根据试点反馈信息，修改方案当前，在操作风险治理、管理工具和流程、风险报告等方面，已完成方案设计、试点和初步实施，具备了全行推广实施基础；资本计量方面，已完成方案并实施了两轮测算；IT系统方面，已完成功能需求并着手准备软件开发，拟于年中投产上线。向银监会提交合规达标申请通过银监会关于标准法合规达标评估2010年底前2010年6月当前合规达标预评估依照银监会要求，完成合规达标预评估。银监会对我行操作风险管理比较认可。2009年11月操作风险项目进入全行实施推广阶段我行新资本协议操作风险项目于预评估总结出我行尚需完善的重点问题预评估总结出我行的一些重点问题主要操作风险管理工具在我行的实际应用IT蓝图新线上线后由于业务流程和系统变化而导致的主要风险各级机构和部门管理层对操作风险报告的响应度建立操作风险管理专才队伍各级分行在操作风险管理的参与度提高工具在我行的实际应用通过前期银监会要求的合规达标预评估，总结出我行操作风险管理上的一些重点问题，这对接下来的操作风险项目全行实施提出了要求，各条线部门和分行应当力求解决这些重点问题。控制IT蓝图上线引发的风险应用风险报告进行管理决策健全操作风险管理岗位加强操作风险管理培训要求我们各条线部门和分行切实防范案件，产生实质效果监管合规达标申请文件及支持文档12预评估总结出我行尚需完善的重点问题预评估总结出我行的一些重点新资本协议操作风险项目全行实施主要任务有：完善风险治理、运用管理工具、应用风险报告、建设专才队伍、开发并运用操作风险管理IT系统等领域。全行实施主要任务完善操作风险治理架构，健全操作风险管理岗位；实际应用操作风险三大工具，综合运用整改、检查等其他操作风险管理工具，切实识别、监测和控制住主要风险，尤其是IT蓝图上线引发的及案件隐含的主要风险，遏制住内外欺诈案件；应用操作风险管理报告进行管理决策；开展充分的操作风险培训，建设操作风险专才队伍，确保配备适当有效的操作风险管理人力资源；运用操作风险管理IT系统提升管理效率和质量。风险治理管理工具IT系统1全行实施主要任务专才队伍风险报告提高工具在我行的实际应用控制IT蓝图上线引发的风险应用风险报告进行管理决策完善操作风险治理架构开展充分的操作风险培训注1：IT系统目前刚完成IT系统需求，正在软件开发，在下半年会作为推广实施任务之一。中行部分主要风险内外勾结：对公账户开户及使用环节内外勾结偷换印鉴并虚假对账、贷款客户识别环节内外勾结办理虚假按揭内部欺诈：个人存款业务开户环节利用卡折合一业务截留借记卡密码、上门服务环节内部人员盗用客户印鉴和空白拨款凭证、银行卡ATM的监控环节内部人员勾结窃取ATM机资金流程管理：未落实授信前提条件即同意发放授信；基层机构：报送操作风险信息的机制有待建立；对操作风险管理理念的认识有待提高。切实控制住中行主要操作风险新资本协议操作风险项目全行实施主要任务有：完善风险治理、运用部分操作风险管理工具实施规划2010年5月…2013年2010年12月2010年6月2009年11月完成达标申请文件向银监会提交达标申请文件合规达标在全行范围内持续提升操作风险管理工具和流程的落地应用质量，建设内控与操作风险管理信息系统（二期）。着重对全行所有关键流程开展风险与控制评估初步形成集团层面KRI体系首批分行完成既往损失数据收集全行推广集团层面KRI首批分行设置分行层面KRI扩大业务流程评估范围加大二级分行评估力度所有分行设置分行层面KRI全行形成稳定KRI体系全行完成既往损失数据收集全行持续开展损失数据收集、整理、跟踪和分析持续完善KRI体系建设操作风险管理IT系统（二期）并投产操作风险管理IT系统（二期）立项RACAKRILDCIT系统部分操作风险管理工具实施规划2010年5月…2013年201全行实施的目标合规达标满足银监会关于实施巴塞尔新资本协议的合规达标要求；满足董事会批准的新资本协议实施规划要求。切实提升操作风险管理水平进一步提升本行操作风险管理水平，遏制案件发生，降低操作风险损失；培育无意料之外的风险文化，建设操作风险管理专业人才队伍。开展操作风险项目全行实施不仅是为了合规达标，更是为了加强我行操作风险管理意识，切实提升操作风险管理水平，遏制案件发生，降低操作风险损失。全行实施的目标合规达标满足银监会关于实施巴塞尔新资本协议的合团队建设、三大工具实施：境内分行实施任务要点（1）任务要点成果成果日期明确项目实施人员法律与合规部至少2人，条线管理部门至少1人二级分行至少2名、城区支行至少1名操作风险项目实施人员报名表自实施方案下发10个工作日内配置适当操作风险管理岗位、建设专才队伍建立与本行规模相适应的内控与操作风险管理专才队伍，嵌入到各个业务领域2010年底前深入开展操作风险与控制评估（RACA）2010年内完成本分行所有关键流程评估多重方式、案件触发式评估、重视结果应用（流程优化、整改、检查、风险提示等）RACA年度评估结果和评估报告每年1-31前建立关键风险指标监测体系（KRI）取代中行原内控监测数据季度报告制度监控集团层面KRI、设置并监控分行层面KRI监控住辖内主要风险，对突破阀值的KRI采取应对措施KRI监控报告KRI基础数据定期按报告期、监控频率报告收集操作风险损失数据（LDC）收集2008年以来的损失数据持续收集新发生或新发现的损失数据验证本行损失数据收集的全面性及质量损失数据收集阶段性总结报告首批分行：2-28前其他分行：5-10前持续收集的损失数据按季度汇总上报团队建设、三大工具实施：境内分行实施任务要点（1）任务要点成整改、检查、SERP：境内分行实施任务要点（2）任务要点及时整改操作风险问题遵照我行操作风险整改跟踪制度（《内控整改工作管理办法》），及时整改辖内操作风险问题。机构主要负责人负责整改工作的管理，审批本级机构整改计划，组织、监控本机构整改工作，定期听取整改工作进展报告，并对整改结果承担第一责任；机构内部控制委员会负责审议整改工作中的难点及重大事项解决方案，定期审阅本辖整改工作监控分析报告；要鼓励辖内各级单位主动发现、积极整改问题；要找出辖内的不可接受共性风险，对其制定整改措施并负责落实。适时开展内控及操作风险检查遵照我行内控及操作风险管理有效性检查相关制度（《二道防线检查工作指引》、《基层自查工作指引》等），适时开展辖内操作风险管理要求实施情况及内控措施有效性和充分性检查；要科学拟订年度检查计划、加大非现场检查力度；基层机构开展自检时，需与自我培训、自我整改、自我评估相结合；要切实依据RACA识别的主要风险和控制问题、KRI异动情况以及发生的损失事件开展检查工作。及时报告操作风险重大事件遵照我行操作风险重大事件报告制度（《操作风险重大事件报告管理办法》拟于2010年完成并下发），及时报告辖内的操作风险重大事件；各分行发生操作风险重大事件后，应在规定时间内迅速、准确地进行评估，向上级条线管理部门进行口头报告和书面报告，并根据事件处理情况及时更新重大事件信息。整改、检查、SERP：境内分行实施任务要点（2）任务要点及时新产品风险评估、服务外包管理、BCP：境内分行实施任务要点（3）任务要点实施新产品操作风险评估方法和流程遵照我行新产品操作风险评估相关制度（《新产品管理办法》拟于2010年完成修订并下发），执行新产品的操作风险评估工作；各分行应积极主动对新产品的操作风险进行客观评估，确保操作风险较高的新产品，能得到持续的操作风险与控制识别与评估。实施服务外包管理方法和流程总行集中采购中心牵头制定服务外包相关管理办法，拟于2010年6月底前完成并下发；要针对外包业务开展持续管理与监控，确保合同的有效执行。要定期对外包业务的操作风险进行重新评估，并对相应的业务持续管理计划及外包业务应急预案进行维护和演练。实施业务持续经营计划和业务应急方案遵照总行办公室牵头制定的全行总体应急预案以及业务连续性管理制度，以及总行业务条线管理部门制定的关键业务流程的业务持续经营计划，制定辖内关键业务流程的业务应急预案的业务持续经营计划；要制订辖内业务连续性管理政策、实施细则，组织业务连续性测试和演练，以及相关的培训工作；在突发事件发生后，组成突发事件应急处理办公室，实施应急和恢复方案。新产品风险评估、服务外包管理、BCP：境内分行实施任务要点（风险报告、操作风险管理IT系统实施：境内分行实施任务要点（4）任务要点应用统一报告模板定期分析与报告操作风险情况统一报告模版是指《内部控制与操作风险管理报告模版》2010年，境内各一级分行启用统一模板按半年频率向分行管理层和内控委报告操作风险与内部控制的整体状况。2011年起，按季报告。分行管理层应定期审议操作风险报告所反映的问题，及时作出响应应用专项报告模板分析与报告操作风险情况遵照各类专项报告模版及其报告要求分析及报告辖内操作风险情况总行法律与合规部牵头制定各类专项报告模版及其报告要求，拟于2010年下半年陆续完成并下发运用操作风险管理IT系统运用操作风险管理IT系统开展操作风险评估信息登记、关键风险指标监测、损失数据报送、重大事件报告、整改跟踪等工作，提高操作风险管理的工作效率操作风险管理IT系统将于2010年下半年完成上线投产风险报告、操作风险管理IT系统实施：境内分行实施任务要点（4实施质量控制为保证操作风险项目的实施效果，总行将从过程控制和质量控制两个维度，对项目实施实行贯穿计划制定、推广实施、结果把关各个阶段的全程控制，具体措施如下：一是在计划制定过程中，法律与合规部将对各条线明确实施要求，并对条线计划的合理性、可操作性把关。二是在实施过程中，法律与合规部将通过培训操作风险管理专家、组织召开WORKSHOP、组织项目小组赴现场提供技术支持、开通答疑热线、在法律合规内部网站上开设操作风险答疑专栏、定期编写项目简报等方式加强对分行和业务条线的指导。三是在结果把关方面，将通过运用检查、内外审发现问题、案件信息、行政处罚信息等验证RACA评估结果的质量，LDC数据的准确性、全面性，以及KRI指标的有效性、适当性。实施质量控制为保证操作风险项目的实施效果，总行将从过程控放映结束谢谢大家放映结束新资本协议

操作风险管理培训材料内部资料注意保密新资本协议

操作风险管理培训材料内部资料操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作风险管理工具在我行的实施操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。其包括法律风险，但不包括策略风险和声誉风险。控制操作风险的定义操作风险管理是指对操作风险进行主动识别、评估、控制或缓释、监测和报告的过程。原因内部程序人员系统外部事件事件潜在风险（事件）已发生的事件概率影响财务影响员工影响声誉影响监管影响……操作风险预防识别减损控制操作风险的定义操作风险管理原因内部程序人员系统外部事件操作风险已被视为银行三大风险之一，其造成的损失可能大大高于信用风险和市场风险；行业内曾发生过许多重大操作风险事件，其中最为典型的有巴林银行倒闭案、法国兴业银行欺诈案等。操作风险已被视为银行三大风险之一操作风险已被视为银行三大风险之一，其造成的损失可能大大高于信操作风险就在我们身边内部欺诈有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失。就业制度和工作

场所安全事件由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。客户、产品和

业务活动事件有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失。信息科技

系统事件业务中断或系统失败导致的损失。执行、交割和

流程管理事件交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。2008年法兴银行内部欺诈案件、利用卡折合一业务截留借记卡密码。国际贸易业务中客户使用伪造、变造的信用证或附随的单据。网点柜员被试图抢劫银行的歹徒伤害。违规披露零售客户信息、超过客户的风险限额放款。地震、火灾导致的财产损失。软件或者硬件错误、通信问题以及设备老化。与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。说明示例操作风险就在我们身边内部欺诈有机构内部人员参与的诈骗、盗用资操作风险特点与信用风险、市场风险相比，操作风险具有以下特点：风险覆盖面大操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、但一旦发生就会造成极大损失，甚至危及到银行存亡的自然灾害、大规模舞弊等。2涉及部门广操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及银行内部的所有部门。3收益与风险不

存在正比关系对于信用风险和市场风险而言，风险与收益存在正比关系，但这种关系并不一定适用于操作风险。5风险与业务规模和复杂性成正比业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击的可能性最大。4主要源自内部操作风险中的风险因素很大比例上来源于银行的业务操作，属于银行可控范围内的内生风险。1理解操作风险特点有助于明确操作风险管理原则和治理方法，如建立操作风险三道防线、收益与成本匹配原则等。操作风险特点与信用风险、市场风险相比，操作风险具有以下特点：操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作风险管理工具在我行的实施操作风险的定义操作风险管理产生的背景操作风险管理三大工具操作监管背景巴塞尔资本协议II银监会对我国银行业操作风险管理的要求监管背景巴塞尔资本协议II银监会对我国银行业操作风险管巴塞尔资本协议产生背景及发展历程重要里程碑事件1988年拟定巴塞尔资本协议（简称BaselI），统一国际银行资本衡量和资本标准；1996年增加关于市场风险补充规定，强调了市场风险的管理；1999年发布新资本充足框架（巴塞尔新资本协议草案），提出三大支柱框架；2004年6月正式发布巴塞尔新资本协议（简称BaselII）。重要背景20世纪80年代以来，国际银行业的不平等竞争；20世纪80年代初，爆发的国际债务危机；金融操作与金融工具的创新，资本市场之间的联系越来越紧密，凸显风险管理重要性；多起重大操作风险事件。1988.7公布巴塞尔资本协议19881996.1公布补充协议，增加关于市场风险补充规定1999.6公布巴塞尔新资本协议征求意见稿（第一稿）2001.1公布第二稿征求意见稿2001.11对第二稿征求意见稿进行修订2002.10第二次进行商业银行资本充足率定量影响测算（QIS2）2003.4公布第三稿征求意见稿2004.6公布巴塞尔新资本协议2005.10新协议对交易活动和双重违约效应的修订2008金融危机爆发后对整体框架、流动性风险、市场风险、压力测试等方面内容进行了修订或补充2013巴塞尔资本协议产生背景及发展历程重要里程碑事件1988.71没有操作风险资本要求较低的风险敏感性BaselI仅有部分监管机构要求银行进行整体风险评估有限的披露要求明确提出操作风险资本要求较高的披露要求明确的整体风险/资本评估要求较高的风险敏感性BaselII1988年2004年新资本协议明确提出操作风险资本要求没有操作风险资本要求较低的风险敏感性BaselI仅有部分监新资本协议将操作风险作为三大风险之一，在三大支柱中均对其提出明确的管理要求。巴塞尔新资本协议与操作风险最低资本要求监管部门的监督检查市场纪律约束对操作风险的要求三大支柱商业银行应当将操作风险作为主要风险进行管理；将操作风险纳入资本充足率（即监管资本/风险加权资产）计算公式，并且规定资本充足率不得低于8%；规定了三种操作风险资本计量方法。从监督检查的四项主要原则出发，对可能低估操