建设项目用户需求说明书

本资料仅供内部使用！操作风险管理系统(一期)建设项目用户需求说明书 操作风险管理系统(一期)建设项目用户需求说明书修改记录制定日期效日期制定/修订内容摘要版本稿准建立用户需求说明书的文档结构0.1彭泽飞-29完成各分部分内容初稿0.2胜、罗强合并文档初稿0.3彭泽飞合并文档修改稿0.7彭泽飞完成文档终稿彭泽飞 操作风险管理系统(一期)建设项目用户需求说明书目录1文档简介 11.1用户需求说明书目的 1说明书范围 1缩略语解释 2参考文件 22本系统概述 32.1系统建设背景 32.2系统目标 32.3系统使用者 42.4本期系统范围 43本行操作风险管理业务描述 53.1操作风险管理组织结构 53.2渤海银行操作风险管理主要活动介绍 74渤海银行操作风险管理系统整体描述 104.1系统层次结构 104.1.1应用层 114.1.2引擎层 124.1.3应用数据层 124.1.4基础数据层 134.1.5操作风险管理高端数据流 144.2渤海银行操作风险(一期)的核心业务需求简述 164.2.13K基础数据库 164.2.2风险及控制评估 184.2.3风险上报 204.2.4风险处置行动计划 214.2.5统计报表 214.2.6管理层声明 225操作风险管理系统功能(一期)需求说明 245.1系统基础数据管理 245.1.1管理维度数据维护 245.1.2操作风险组织结构维护 305.23K标准库维护 325.2.1规章制度资料库的维护 325.2.2KCS标准库维护 415.2.3KCSA标准库维护 515.2.4KRI标准库维护 615.3评估与检查模块 715.3.1一线自我评估 71 操作风险管理系统(一期)建设项目用户需求说明书5.3.2指定日评估 905.3.3二线检查 1095.3.4专项检查 1235.3.5评估与检查查询 1385.4风险事件上报模块 1415.4.1处理流程描述 1415.4.2风险事件基本页面及数据项说明 1465.4.3风险事件任务列表 1545.4.4风险事件维护 1565.4.5风险事件审核 1625.4.6重启已结束报告 1655.4.7突发风险事件上报 1665.4.8风险事件查询 1695.5风险事件跟踪与行动计划管理 1735.5.1行动计划制定 1745.5.2实施结果录入 1775.5.3行动计划延后 1795.5.4风险事件关闭 1805.6管理层声明 1815.6.1管理层声明问题设置 1815.6.2发起管理层声明 1845.6.3查询管理层声明 1855.7报表统计模块 1875.7.1操作风险管理人员统计 1875.7.2操作风险管理工具统计 1885.7.3一线检查总体情况 1905.7.4二线检查总体情况 1915.7.5全行操作风险损失报告 1935.7.6十大操作风险 1955.7.7操作风险解决情况 1965.7.814类操作风险的状态 1976银监会指引相关要求 1986.1操作风险损失事件类型 1986.2商业银行业务条线归类 202A语 204 操作风险管理系统(一期)建设项目用户需求说明书1文档简介本章将简要地说明用户需求说明书(以下简称本需求)的目的、范围、名词定义和参考文件。1.1用户需求说明书目的本需求的目的在于阐明渤海银行操作风险管理系统(以下简称本系统)的各项需求，并给出本系统的总体设计。本需求为编制如下文档提供基本依据：“软件概要设计规格”“软件开发计划”“软件详细设计规格”“软件测试计划”“软件测试说明”“软件操作手册”“系统安装手册”“系统运行维护手册”本需求与“软件详细设计规格”一起，为编程、元件测试、组件测试及软件集成测试提供基本依据；本需求为编制其它有关文件提供基本依据本需求为软件质量保证人员提供工作依据本需求将作为日后软件确认测试和系统验收之准则本需求与“软件详细设计规格”一起，将作为日后系统维护工作基准文件1.2说明书范围本需求的内容涵盖了本系统的业务描述的、系统整体描述、功能需求。本需求的阅读、使用者包括：1.项目管理人员2.业务人员1操作风险管理系统(一期)建设项目用户需求说明书3.软件设计人员4.编程人员5.软件测试人员6.软件质量控制人员7.软件维护人员1.3缩略语解释1.RP：ResponsiblePerson，一线检查人员；2.BORM：BusinessOperationalRiskManager，总行的操作风险经理，负责条线；或分行的操作风险经理，负责分行部门；3.UORM：UnitOperationalRiskManager，单位操作风险经理，比RP高一层级；4.CRO：ChiefRiskOperator首席风险官；5.KCS：KeyControlStandard，关键控制标准；6.KCSA：KeyControlStandardAssess，关键控制标准检查指标；7.KRI：KeyRiskindicator，关键风险指标；8.3K标准：包括KCS、KCSA、KRI检查标准简称，又叫3K检查指标。1.4参考文件标题文件号出版单位标题文件号出版单位渤海银行中国银监会中国银监会巴塞尔银行监管委员会2008-4-112008-4-112007-5-14《商业银行操作风险管理指引》《商业银行操作风险监管资本计量指引》2004年2004年2 操作风险管理系统(一期)建设项目用户需求说明书2本系统概述2.1系统建设背景2004年出台的《新巴塞尔资本协议》，对银行业提出了资本充足率、监督检查和市场约束三大要求，并且添加了操作风险和测算操作风险的方法。《新巴塞尔资本协议》传递了一种先进银行经营管理的理念，该协议为全球银行优化银行资本、提高风险抵御能力提出了新的指引，已逐步成为国际银行业普遍认可的业内协议。推行或达到《新巴塞尔资本协议》的要求，对于国内银行参与国际竞争，具有非常重要的意义。如何提升操作风险的管理理念，如何健全操作风险的管理框架，以及如何利用信息化电子化的管理手段对操作风险进行量化和控制，是商业银行必须解决的问题。渤海银行自开业之初，就引进了国际银行在操作风险管理上的先进理论和经验，并参考战略投资者－渣打银行的操作风险管理模式，在本行组织架构中设置了操作风险管理的专门机构，在日常工作中逐步推广国际化银行操作风险管理的理念和方法，以实现风险计量与管控并重的管理目标。目前经过2年多的有效工作，其管理理念、管理工具和管理经验等均在国内属于领先地位。2.2系统目标该系统是基于渤海银行操作风险管理体系的框架，参考西方商业银行操作风险管理系统的设计特点建立的，总体目标在于实现有效的精细化的操作风险控制，实现银行操作风险管理的信息化，规范化，使风险数据便于统计汇总和分析，并能监督化解风险所采取的行动的结果。该系统能够在参考巴塞尔协议有关操作风险规定的基础上，使我行逐步建立相关的历史风险数据库，并建立操作风险损失计量的模型。为提高未来本系统的使用灵活性和便利性，本系统的建设时将以实现参数化管理、并保证系统的可扩展性为重要使用目标。在使用过程中，根据操作风险管理体系的不断完善、风险控管水平和精细度的不断提高，渤海银行可以在系统基础框架内，方便地通过调整参数设置来适应业务管理要求的变化。各级用户在使用本系统时，能够充分利用系统的这一特性，实现风险管理规范化、录入信息便利化，统计查询多样化，业务操作便利化。3 操作风险管理系统(一期)建设项目用户需求说明书2.3系统使用者该系统的使用者为总行高管、操作风险部成员、各机构主要负责人以及遍布全行各部门、机构的专职或兼职的操作风险管理人员。目前总用户数量达到200人以上，已经累计了2年半的风险报告，记录风险近千条，未来将根据分支机构建设进度用户将有所增加，规划中使用操作风险管理系统的人员应达到员工总数的80-90％。系统使用者包括如下：1、系统使用者包括操作风险管理体系内的各层级人员，包括CRO、操作风险管理部总经理、BORM、UORM、风险主任、RP等。2、系统使用者还包括：高级管理层、总行各部门总经理(以及下属部门或业务团队的负责人(高级经理))、分行行级领导、支行行长等各级机构的负责人。2.4本期系统范围操作风险管理系统分成多期建设，一期主要建设内容包括：1、建立操作风险管理系统的基础框架建立起操作风险管理所需要的基础系统框架，包括权限管理、安全控制、流程控制等基础功能，还包括建立起全行的组织结构、操作风险管理的组织结构、业务线结构，以及其他基础参数维护功能。同时一期的系统建设应该能满足系统后续建设灵活扩展的需要，同时系统一期的功能能够与后续实现的功能有效衔接。2、实现操作风险报告管理功能a)操作风险报告报送的流程控制b)操作风险报告的处理过程跟踪3、实现3K标准管理和自我评估功能a)3K标准库维护功能b)KCSA和KRI的一线自我评估管理功能c)二线评估管理功能d)专项报告管理功能4、相关风险报告和3K评估内容的统计查询功能a)针对风险事件报告和3K评估内容进行统计汇总和查询4 操作风险管理系统(一期)建设项目用户需求说明书3本行操作风险管理业务描述3.1操作风险管理组织结构渤海银行建立了全行的操作风险管理的组织结构。具体的组织结构体系如下：结构图说明：本结构图包括了渤海银行目前的组织结构(见实框部分)和未来的规划的组织结构(见虚框部分)。1、董事会渤海银行董事会应将操作风险作为渤海银行面对的一项主要风险，并对监控操作风险管理的有效性承担最终责任，主要职责是：a)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；b)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；c)定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；5 操作风险管理系统(一期)建设项目用户需求说明书d)确保高级管理层采取必要的措施，有效地识别、评估、监测和控制/缓释操作风险；e)确保本行操作风险管理体系接受内审部门的有效审查与监督；f)制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系的建设。2、CEO(高级管理层)：负责执行董事会批准的操作风险管理战略、总体政策及体系；根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告。高级管理层的具体职责见《渤海银行操作风险管理政策》第八条。3、法律合规与操作风险委员会：是高级管理层下设的专业风险管理委员会，主要负责管理本行法律合规及操作风险，确保本行经营管理符合中国法律、监管要求和本行的规章制度。该委员会对高级管理层负责，代理行使高级管理层在操作风险管理方面的职责。法律合规与操作风险委员会的具体职责见《渤海银行操作风险管理政策》第九条。4、CRO(首席风险官)：负责全行的风险管理，包括市场风险、信用风险、操作风险，负责向高级管理层和法律合规与风险委员会汇报工作。5、操作风险工作委员会：是法律合规及操作风险委员会下设的专门委员会，根据法律合规及操作风险委员会授权管理本行的操作风险，并对法律合规及操作风险委员会负责和报告。操作风险工作委员会的具体职责见《渤海银行操作风险管理政策》第十条。6、分行操作风险委员会：是法律合规及操作风险委员会下设的专门委员会，根据法律合规及操作风险委员会授权管理本分行的操作风险，并对法律合规及操作风险委员会负责和报告。7、操作风险部总经理：负责操作风险部的全面工作。操作风险部独立于业务线设置，承担独立的操作风险管理职能，主要负责建立全行的风险管理标准，独立审批和评估业务单元的风险管理框架、工具方法、流程和信息系统，对业务单元的风险承担活动提供支持。8、高级BORM：总行操作风险高级经理，负责某一个或几个业务条线的操作风险管理工作，或负责某几个分行的操作风险管理工作。9、BORM(操作风险经理)：根据负责的业务条线或分行的不同，分为总行业务条线BORM和分行BORM。负责本业务条线或本分行操作风险的识别、风险事件的上报、风险行动计划的制定和实施；具体描述如下：a)总行部门BORM：负责总行业务条线各部门操作风险管理或者某一特定操作风险管理领域 (如BCP、FCR)的工作；指导所分管的总行部门UORM的工作；向操作风险部总经理 (或高级BORM)汇报工作。6 操作风险管理系统(一期)建设项目用户需求说明书b)分行BORM：负责分行及其下属各部门和支行的操作风险管理。指导下属分行UORM的工作；向操作风险部总经理(或高级BORM)汇报工作。10、操作风险主任：协助总行或分行的BORM进行操作风险管理工作。i.总行部门UORM：负责总行某一个部门的操作风险管理；向总行BORM(或操作风险主任)上报操作风险报告和评估结果。ii.分行部门UORM：负责分行某一个部门的操作风险管理；负责向分行BORM或分行操作风险主任上报操作风险报告和评估结果。iii.支行UORM：负责支行的操作风险管理；负责向所属分行BORM或操作风险主任上报操作风险报告和评估结果。负责本单位风险的识别，风险事件的上报，按照3K标准对本机构的风险控制情况进行评估，并向所属UORM上报评估结果。操作风险组织结构中规划的业务线检查员是属于具体的业务人员，负责收集和上报本机构在业务运行过程中的生产数据和过程数据。目前考虑对每个机构的业务线检查员分成三个角色：业务员、业务主管、业务经理。3.2渤海银行操作风险管理主要活动介绍1.建立操作风险管理标准和操作风险管理业务资料知识库a)3K检查标准：渤海银行建立起了KCS、KCSA、KRI的操作风险控制标准，作为各级机构和部门操作风险控制的检查标准，未来还会增加CS控制标准。总行会制定全行的3K标准，各个分行和部门可以在总行的3K基础上制定适用于本机构的3K标准，最后通过总行的统一确认后施行。b)业务资料知识库：是渤海银行操作风险管理人员逐步积累、完善的知识库，包括外部规章制度、内部规章制度、业务流程要点记录、业务系统控管措施记录等内容，是建立、维护3K标准，进行专项检查等工作的基础，同时为全行内控管理措施的制定、业务流程关键环节的确认等提供帮助。2.操作风险识别和评估7 操作风险管理系统(一期)建设项目用户需求说明书a)零线检查：零线检查是由业务人员收集关键业务数据，通过对这些关键业务数据的计算分析，来发现业务活动中可能存在的操作风险。当然这些关键业务数据需要进行业务部门主管或其他审核人员确认。b)一线自我评估：一线检查是操作风险管理和控制的一项重要工具，是一项按照不同检查周期定期进行操作风险检查的业务活动。具体过程是：利用3K检查标准，RP对各个部门的操作风险控制现状进行检查，检查完的结果发送到单位操作风险经理进行审核。通过定期的一线检查，来发现业务管理控制环节可能存在的操作风险。c)一线指定日评估：一线指定日评估又叫一线抽查。全行维护一份统一的指定日评估单，检查单的内容是来自于KCSA指标。总行可以指定某一个单位执行指定日评估，则相应的RP在结束指定日评估内容后，将检查结果录入到系统中。一线指定日评估的结果归集到该机构的一线检查内容中。d)二线检查：二线检查是针对某种现象或特定的目的而发起的，不定期的检查活动。二线检查的检查内容可以是来自于3K标准，也可以是来自于非3K标准。通常情况下，二线检查是由BORM发起，由多人参与具体检查过程。专项检查是一种针对特定目而发起的检查活动，比如金融犯罪调查、开业检查等活动，也可以认为是二线检查的一种。e)三线检查：三线检查是由一线、二线以外的调查人员开展的审计和检查活动，例如：内部审计、外部审计、监管机构检查等。3.操作风险报告：基于定期或实时方式，通过对各类风险事件的统计、分析，及时产生各种形式的操作风险管理报告/报表，向管理层通报操作风险管理的状况。a)3K检查结果报告：一线操作风险人员对本机构、条线等周期性检查的结果报告。b)KRI监控：通过KRI监控指标的计算标准，对指定的关键业务数据进行记录，并按照一定的规则进行统计、分析，将结果与阀值进行比较，从而发现、预警各类操作风险，并记录风险变化的规律和趋势。c)风险上报：通过风险上报流程对一线检查、二线检查、三线检查、专项检查等方式发现的风险隐患、潜在风险事件，或已经发生的风险损失事件进行逐级上报。操作风险管理体系内部人员(未来应可以包括行内任何人)发现需要上报的风险事件后，都可以进行上报，由上级进行审核确认，同时发送给相应的业务线主管。d)突发风险事件上报：当任何人(系统使用者)发现突发风险事件或者其他需要紧急报告的操作风险后，可以将该事件直接报告给一人或多人。收到突发风险事件上报的人，可以查8 操作风险管理系统(一期)建设项目用户需求说明书看相应的报告内容。e)管理层声明：各级部门的主管(总行部门总经理、分行行长、分行部门经理、支行行长)等管理者，作为一线业务的负责人，应当对本机构的操作风险管理承担主要责任，为此，需要定期了解了本部门的整体操作风险现状，并通过签署“管理层声明”的形式体现。f)风险评级：通过对各个部门操作风险检查结果，包括一线检查、二线检查，风险事件上报情况、行动计划执行情况、操作风险损失情况等进行数据统计分析，根据某种计算模型对各个部门的操作风险现状进行风险评级。模型的指标和权重可以根据机构不同进行调整。4.操作风险化解与控制a)行动计划管理：对于潜在的操作风险隐患，或已经发生的操作风险损失，需要制定相应行动计划来使得风险消除，或者使之处于受控状态。操作风险部要对行动计划的实施过程进行跟踪，以确保计划能够被有效执行，同时保证行动计划的执行效果。b)风险处理情况跟踪：对于在3K标准维护、风险评估与检查、各类事件上报与审批、行动计划处理等各个管理环节，风险管理人员通过对相关系统日志信息的查询和统计，跟踪在风险管理各个阶段各级相关人员的处理动作、风险状态等，实现对操作风险生命周期的全过程的跟踪。5.操作风险损失管理：a)计量模型。通过标准法、替代标准法、高级法对本行的操作风险进行计量，从而得出操作风险经济资本需求。由于采用高级法是一个长期的趋势和目标，因此还需要建立起本行的内部操作风险损失数据库和外部操作风险损失数据库。b)情景分析和压力测试：通过建立操作风险的情景数据和压力测试环境，利用情景分析模型分析本行在各种情况下的操作风险损失，从而针对各种潜在损失情况提前采取行动计划。c)风险损失数据整理：根据积累的内外部风险事件，按照模型计算的要求建立风险损失库，并对其中的数据可以进行整理。风险损失的数据来源可以是风险事件、FCR报告、检查结果、人工录入并经过审批的风险损失等等。d)风险损失审批流程：根据风险事件报告的情况，建立风险损失的管理流程，包括损失上报、审核、确认等，并能够与财务系统、核心系统等业务系统的有关业务数据相关联。6.其他工作a)业务应急预案：各个部门需要根据本部门可能存在的操作风险损失事件，根据估计的严重程度，建立起相应的业务应急预案库，并且需要对应急预案进行演练。操作风险部需要对9 操作风险管理系统(一期)建设项目用户需求说明书业务应急预案库和预案的演练情况进行管理。b)预防金融犯罪管理(FCR)：对本行发生的各种涉嫌金融犯罪及违规信息进行管理，包括预防金融犯罪管理的数据收集、数据处理、数据发布、处理过程、处理结果、档案管理。c)4渤海银行操作风险管理系统整体描述4.1系统层次结构架构图说明：本架构图包括渤海银行操作风险管理系统的整体规划，包括一期实现的功能(分界线左边深色区域)和一期以后可能实现的功能(分界线右边灰色区域)。系统的应用层次分成四层：1.最底层是基础数据层，作为操作风险管理的基础维度数据；2.在基础数据层之上是应用数据层，包括各种与应用相关的数据；3.引擎层，是为在应用数据层之上，为应用提供各种计算服务、流转控制功能；4.应用层，为用户提供的各种应用功能模块。 操作风险管理系统(一期)建设项目用户需求说明书4.1.1应用层在“渤海银行操作风险管理系统应用架构”中，其应用层描述的内容是面向最终用户使用的应用功能，涵盖了目前正在开展的操作风险管理业务，也包括了规划中的操作风险管理业务。在一期的功能中，重点实现了3K的管理、一线检查、二线检查、风险上报、行动计划和报表功能，简介如下：1.3K检查标准维护：在一期的功能中会实现对KCS、KCSA、KRI的操作风险控制标准进行维护，和规章制度资料数据库的维护。未来会增加CS控制标准维护功能。2.一线检查：一线检查是操作风险管理和控制的一项重要工具，具体过程是：利用3K检查标准R，P对各个部门的操作风险控制现状进行检查，检查完的结果发送到UORM进行审核。3.二线检查：BORM发起二线检查任务，制定检查项(可以来自与3K标准和非3K标准)，指定相应的检查人，各个检查人完成检查后，将结果录入到系统中。系统对检查结果、检查的过程文件、相关附件进行管理。4.风险事件上报：操作风险管理体系中的任何人通过风险上报模块进行上报，由上级进行审核确认，同时还要发送给相应的业务线主管。5.管理层声明：各级部门的主管(总行部门总经理、分行行长、分行部门经理、支行行长)每个月了解了本部门的操作风险现状以后，通过签署“管理层声明”来确认本部门的操作风险状况。6.风险处置行动方案管理：对于潜在的操作风险隐患，或已经发生的操作风险损失，需要确定风险管理策略，制定相应行动计划来使得风险消除，或者处于受控状态。系统提供对行动计划实施过程的跟踪，可以记录行动计划的执行过程信息和最终的效果信息。7.统计汇总和查询：系统提供各种详细数据的查询和统计汇总功能。以下模块是一期以后实现的应用：1.零线检查：零线检查是由业务人员收集关键业务数据，可以通过对这些关键业务数据的计算分析，来发现业务活动中可能存在的操作风险。当然这些关键业务数据需要进行业务部门主管或其他审核人员确认。2.三线检查：三线检查是由外部调查人员开展的外部审计活动。3.KRI监控与预警：通过KRI监控指标的计算标准，可以对业务数据进行计算分析，将计算结果与KRI的阀值进行比较，从而发现潜在的操作风险。4.风险评级：通过对各个部门操作风险检查结果，包括一线检查、二线检查，风险事件上报情况，行动计划执行情况进行数据统计分析，根据某种计算模型对各个部门的操作风险现状进行风险 操作风险管理系统(一期)建设项目用户需求说明书评级。模型的指标和权重可以根据机构不同进行调整。5.业务应急预案：各个部门需要根据本部门可能存在的突发事件，根据估计的严重程度，建立起相应的业务应急预案库，并且需要对应急预案进行演练。操作风险部需要对业务应急预案库和预案的演练情况进行管理。6.预防金融犯罪管理(FCR)：对本行发生的各种金融犯罪信息进行管理，包括预防金融犯罪管理的数据收集、数据处理、数据发布、处理过程、处理结果、档案管理。7.操作风险计量：通过标准法、替代标准法、高级法对本行的操作风险进行计量，从而得出操作风险经济资本需求。由于采用高级法是一个长期的趋势和目标，因此还需要建立起本行的内部操作风险损失数据库和外部操作风险损失数据库。8.情景分析：建立操作风险的情景数据和极端的压力测试模型，利用情景分析模型，来分析本行在各种情况下的操作风险损失。4.1.2引擎层引擎层是给系统运行、数据复杂计算、数据分析等功能提供底层运算支持。引擎层包括：数据分析引擎，流程引擎，情景分析引擎，资本计量引擎。根据系统实现功能的需要，引擎层的建设也将分成多期实现。具体描述如下：数据分析引擎：为数据的统计汇总提供计算支持，包括汇总统计和灵活查询、分析、报告、仪表盘显示等；流程引擎：为操作风险管理过程中的流程控制提供支持，包括进行组织建模、应用接口、任务分配和任务推送，从而实现流程的驱动和控制；情景分析引擎：为操作风险的压力测试和情景模拟的建模和模拟分析提供计算支持，功能包括情景建模和情景分析；该引擎将在一期以后进行实现；资本计量引擎：为操作风险的经济资本计算提供支持，该引擎当中，应该能够对操作风险计算常用计算方法提供支持，包括巴塞尔协议建议的基础法、标准法、高级计量法的损失分步法和极值理论。4.1.3应用数据层系统将针对各种应用需求，建立起相对应的应用数据库结构，来存储操作风险管理的各种业务数据。具体内容如下： 操作风险管理系统(一期)建设项目用户需求说明书1.3K基础数据库：用于存储KCS、KCSA、KRI的操作风险控制标准库和规章制度资料数据库；2.一线评估数据：用于存储一线RP检查人员根据KCSA、KRI的检查评估结果数据和指定日评估数据；3.二线评估数据：用于存储二线评估的数据和专项评估的数据；4.风险上报数据：用于存储各级机构上报上来的风险数据；5.风险跟踪数据：用于存储风险处理过程中的过程跟踪数据；6.统计汇总数据：用于存储各种统计汇总数据。根据操作风险管理业务发展和系统建设需要，未来在应用数据层还会增加如下的数据库：1.零线检查数据：用于存储零线检查录入的数据；2.KRI业务监控数据：用于存储KRI对业务数据的分析结果数据；3.三线检查数据：用于存储三线检查的数据；4.应急预案库：用于存储各个业务条线、分支机构制定的针对各种突发事件的处理应急预案信息，以及应急预案的演练信息；5.金融犯罪及违规库：用于存储本行的各种金融犯罪信息、黑名单等信息。6.情景库：用于存储操作风险情景模拟和压力测试场景的数据库；7.内部损失数据库：用于存储本行发生的操作风险损失事件数据信息；8.外部损失数据库：用于存储其它银行发生的操作风险损失事件信息；9.资本计量数据：用于存储本行操作风险经济资本计量所需要的基础数据、计算过程数据和计算结果数据。4.1.4基础数据层基础数据层是构成操作风险运行的核心基础结构数据，能够支持本系统在一期的应用和未来的应用需求。基础数据层包括的内容如下：a)全行组织结构：用于描述全行业务单元的组织结构，采用树形结构表示。b)操作风险组织结构：用于描述本行操作风险管理的组织结构，采用树形结构表示。c)业务线数据：用于描述本行业务线划分的层级结构，用于树形结构表示。d)业务流程数据：用于描述本行的业务活动中，各业务的流程信息，采用树形结构表示。e)产品线数据：用于描述本行的各条产品线的划分信息，采用树形结构表示。f)IT系统：包括应用软件、网络、硬件等信息资产。 操作风险管理系统(一期)建设项目用户需求说明书以上描述的基础数据结构将在一期建设中实现，这些结构将应用于各个功能模块中，建立起各个功能模块与全行管理维度的属性关系。以下的业务运行基础数据将主要用于二期的KRI风险监控，具体描述如下：g)业务运行基础数据：在基础数据层中，还包括业务运行基础数据，它的用途和来源描述如下：i.用途：可以利用KRI的监控指标，通过KRI计算公式对业务系统的运行数据进行分析，来发现业务运行中的操作风险；ii.来源：从业务基础数据的来源方式上，分成两种：一种是通过接口从其它业务系统中自动获得数据；一种是由业务人员录入到系统中。4.1.5操作风险管理高端数据流上图为操作风险管理的高端数据流，描述了主要的操作风险管理数据的产生和流转过程。图中深色区域是在一期建设中将实现的数据流，浅色区域是在一期以后逐步实现的内容。下面对几个主要的数据流进行说明：1.3K检查数据流a)通过CS维护、KCS维护、KCSA维护、KRI维护，建立起控制标准库；b)控制标准库中的每一条标准，与管理制度库进行关联，表示每一条控制标准的来源或控制 操作风险管理系统(一期)建设项目用户需求说明书依据；2.风险控制评估数据流a)一线评估：利用3K控制标准进行一线评估，评估的结果存储到KCSA评估数据库；b)二线检查：利用3K标准或非3K标准进行二线评估，存储到二线评估数据库；c)专项检查：专项检查的结果，存储到专项检查数据库；3.KRI监控数据流a)通过零线检查或其它业务系统的接口，建立业务基础数据库；b)利用KRI指标，对业务基础数据进行监控，将分析结果存入到KRI监控数据库。4.风险事件上报a)风险事件(包括潜在风险)的来源是：一线检查、二线检查、专项检查、KRI检查的检查结果中发现的风险，或其它途径发现的风险；b)风险上报以后，形成风险事件数据库和行动计划数据；c)通过行动计划的执行，会形成本行的操作风险缓释数据。5.经济资本计量数据流a)从风险事件数据库中的损失事件中，进行分析后形成内部风险损失数据；b)通过获取外部损失事件建立外部风险损失数据；c)在内部损失数据、外部损失数据、3K检查结果、KRI监控数据基础上构造情景数据；d)通过内部损失数据、外部损失数据、情景数据库，形成损失分布曲线，利用操作风险的高级计量法(例如：损失分布法和极值理论法)，进行操作风险经济资本的计算。 操作风险管理系统(一期)建设项目用户需求说明书4.2渤海银行操作风险(一期)的核心业务需求简述4.2.13K基础数据库KCS(关键控制标准)是一个定性标准，由管理层用来强调需要遵守的最低控制(与风险状况相适应)标准，确保在相关的业务/职能部门内有效地控制主要风险。关键控制标准包括：基本控制标准(GKCS)和专有控制标准(BKCS)两类。目前有数百条，未来会有大量增加。KCSA(关键控制自我评估指标)是在KCS的定性标准上建立的一系列细化指标。按照提问回答的形式，评估KCS是否被遵守和执行。一般是按照约定的频率和比例抽取业务、交易文件，作为检查样本。根据KCSA的回答判定风险控制的有效性。KCSA条目的数量以千条计，未来会有大量增长。KRI是从定量的角度衡量操作风险，指出业务、职能或流程的特定领域中的风险水平。操作风险管理人员在使用KRI量化风险水平的同时，还可以对KRI指标进行注释性说明。该指标目前有百余条，均由手工录入，未来将会实现手工录入和自动获取两种风险数据获取方式，并按照参数化设置的阀值进行自动预警。根据3k标准适用范围的不同，分为G3K(基本控制标准)和B3K(专有控制标准)。G3K标准是适用于全行的操作风险控制指标，B3K是适用于某一个部门或分支机构的操作风险控制指标。 操作风险管理系统(一期)建设项目用户需求说明书1、G3K：G3K标准是适用于全行的操作风险控制指标体系，由GKCS、GKCSA、GKRI构成。a)GKCS：是操作风险主政策，属于指导性的政策，它的适用面广，没有指定特定的部门和业务线。GKCS由总行操作风险部进行统一管理和维护。b)GKCSA：各个业务部门或分行根据总行的GKCS，将每一条落实为本部门具体的检查指标，称为GKCSA。GKCSA的制定完后，需要各机构与总行操作风险部进行审核确认，确认完后由总行操作风险部统一维护到系统中。c)GKRI：各个业务部门或分行根据总行的GKCS，制定本机构的GKRI。GKRI的制定完后，需要各机构与总行操作风险部进行审核确认，确认完后由总行操作风险部统一维护到系统中。2、B3K：B3K标准是适用于某一个业务线、部门或分行的操作风险控制指标体系，由BKCS、BKCSA、BKRI构成。a)BKCS：是适用于某一个业务线、部门或分行的关键控制指标。由各业务条线、分行在总行操作风险部的指导下自行制定，制定完后由总行操作风险部审核后生效。b)BKCSA：是适用于某一个业务线、部门或分行的关键控制检查标准。由各业务条线在总行操作风险部的指导下自行制定，制定完后由总行操作风险部审核确认后生效。c)BKRI：是适用于某一个业务线、部门或分行的定量控制标准。由各业务条线在总行操作风险部的指导下自行制定，制定完后由总行操作风险部审核确认后生效。3、规章制度库：用于存储本行的各种管理规章制度。作为一个简单的文档管理模块，对规章制度采用附件的方式进行上传管理，同时添加对该规章制度的说明属性。在一期的实现中，本模块不提供对规章制度的全文检索等功能。4、CS基础库：控制标准库，CS基础库的管理在二期提供，在本文不做详细描述。5、3K标准的产生过程a)G3K的产生过程：总行操作风险部维护GKCS。各机构在制定本机构GKCSA和GKRI的时候，原则上需要完全根据总行操作风险部的GKCS，细化为本机构的GKCSA，同时还可以根据本机构的具体情况，制定适用于本机构的KCSA检查项。KCSA制定完成后，由总行操作风险部BORM审核以后生效。b)B3K的产生过程：各业务条线在总行操作风险部的指导下，制定本业务条线的BKCS、BKCSA、BKRI，分支行条线的B3K也是总行操作风险部来制定完成。制定完成后，上报给各条线BORM，各条线BORM审核以后生效。 操作风险管理系统(一期)建设项目用户需求说明书6、系统对3K标准库维护的支持需求3K标准形成过程的交流、讨论、确认工作在系统外进行，最后形成总行操作风险部确认的Excel标准文档，系统提供批量导入；a)录入总行3K标准：系统提供对总行KCS、KCSA、KRI标准的单条录入和批量导入功能，每一条3K标准都有自己的“适用范围”：适用范围根据全行业务组织架构的层级进行设定，基本层级包括全行、总行、分行、支行，未来可以根据操作风险管理境况将其细化到业务组或者岗位一级。；b)录入分行和业务条线3K标准：系统提供对分行或业务条线KCS、KCSA、KRI标准的单条录入和批量导入功能；c)跟踪：系统提供对3K标准修改过程的历史记录跟踪；d)修改：对于3K的修改，系统提供根据查询条件批量导出到Excel，在Excel中修改以后，系统提供将修改后的内容批量导入；e)生效控制：某个3K标准，修改以后可以设定暂时不生效，在评估过程中仍然使用旧的3K标准。当需要对指标生效的时候，系统提供“生效”设定功能。f)检查指标分配：UORM在系统中，可以将本机构范围内的KCSA、KRI检查项给具体的某一个RP。根据检查频率，系统就能够自动为RP生成其应该进行的检查内容。4.2.2风险及控制评估风险及控制评估是根据3K标准库的检查标准，对某个机构的风险控制情况进行检查，然后将检查内容进行逐级上报的过程。评估有五种形式：零线检查、一线检查、二线检查、专项检查、三线检查。1、零线检查a)简要说明：零线检查作为业务控管与警示的功能，其核心是收集业务运行数据，然后利用KRI定量指标，对业务数据按照KRI的计算规则进行分析，将KRI的计算结果与设定的阀值进行比较，从而自动判断风险程度大小。b)零线检查在一期不实现，在本文中不进行详细描述。2、一线检查a)简要说明：一线检查采用3K标准进行自我评估，是操作风险管理的核心内容。一线检查是使用频率最高的一个部分，是本系统的核心内容。一线评估按照提问回答的形式，评估 操作风险管理系统(一期)建设项目用户需求说明书各项控制要求是否被遵守和执行。检查方式为指定人员按照预先设定的检查工作要求的时限、内容等进行检查，并将结果记录在系统中，系统自动汇总检查记录，追踪检查进度。b)过程说明：i.系统自动生成评估表单：RP选择此子模块后，系统自动根据该用户所在的机构、角色、当前日期等信息(根据在KCSA标准库中的设定)从系统中自动抽取应由其完成的检查条目，各条目均按照设定的格式显示给RP，其中，系统已经有的信息由系统直接调用并显示；ii.RP录入评估结果：其他需要用户填写的部分设定了固定的格式和填报内容选项，用户按照页面显示的要求负责执行检查动作，填写检查结果；iii.复核：完成后提交给下一环节的用户进行复核。3、一线指定日评估a)简要说明：一线指定日评估又叫一线抽查。全行制定一份统一的指定日评估单，检查单的内容是来自于KCSA。总行操作风险部可以指定某一个单位执行指定日评估，则相应的RP在结束指定日评估内容后，提交检查结果。一线指定日评估的结果归集到该机构的一线检查内容中。b)实现过程说明：i.维护指定日评估单：在3K标准的检查频次中，有一个“指定日”属性，在指定日进行检查的内容不会出现在定期检查的内容中。BORM对“指定日”属性进行维护。ii.RP录入检查结果：RP根据总行操作风险部要求，选择合适的时间对指定日的业务活动进行检查(该检查活动手动进行)，检查结束后，将检查结果录入到系统中。iii.UORM审核：UORM对上报的检查结果进行审核。iv.检查结果查询：RP以上的各级管理人员，包括UORM、分行操作风险主任、BORM、总经理都可以查看到指定日评估的结果。v.统计归集到一线检查：一线指定日评估的结果，在统计的时候，归集到该机构或RP的一线检查内容当中。4、二线检查(专项检查)a)简要说明：二线检查是由BORM不定期发起的检查任务，检查的依据并不限于3K标准。任务发起后指定相应的操作人去执行检查，检查完后将检查结果录入，最后进行统一的汇总。 操作风险管理系统(一期)建设项目用户需求说明书b)过程说明：i.任务发起：1.由总行BORM发起，在系统中设置一个工作任务，并为该检查指定名称，输入该任务的基本信息，该环节可以增加领导批复文件、调查模板等说明材料；2.检查内容设置，对3K部分内容可以通过点击3K管理库中的某些内容，将3K信息作为检查内容。点击时，可以根据业务类别、或者机构等进行分类，例如，开始对现金管理进行二线检查，则可以将各个机构中的有关现金管理的条目全部搜索出来，根据需要选中，生成现金管理的二线检查表；非3K检查标准的内容可以手工添加。3.检查人员设置：用户可以在系统中就某一条检查内容设置检查人员和复核人员。4.还可以添加自定义的一些检查内容，形成最后检查要点。所有检查底稿记录、调阅的档案都在系统内自动保存并供查询。检查援引的文件均从系统资料知识库中建立链接。ii.检查结果汇总：最后由任务执行人录入任务检查结果汇总信息，录入检查结果时可以添加附件。iii.由相应的复核人对每一条录入的检查内容进行复核。iv.检查出来的问题，可以直接转到问题上报模块。5、三线检查：三线检查是由一线、二线以外的调查人员开展的审计和检查活动，例如：内部审计、外部审计、监管机构检查等。三线检查在本期不实现，它的详细描述略。4.2.3风险上报1、业务描述对于在零线检查、一线检查、二线检查中发现的风险，或其它的风险事件，都可以通过风险上报模块进行上报。2、系统对实现过程的支持描述a)操作风险管理组织结构中的RP、UORM、BORM、操作风险部总经理发现风险以后，都可以在系统中将风险上报；b)上报上来的风险，需要经过上级管理人员的审核，比如：RP录入的风险，需要由UORM进行审核；UORM录入的风险，需要BORM进行审核；BORM录入的风险，需要操作风20 操作风险管理系统(一期)建设项目用户需求说明书险部总经理进行审核；c)每一级的审核人员，可以根据风险程度的大小，来选择是否继续上报，或在本级采取行动计划进行处理；d)每一级审核人员可以修改风险上报相关信息的描述，系统需要对修改的记录进行记录；e)需要对风险处理过程的信息进行跟踪记录。4.2.4风险处置行动计划1、业务描述行动计划是针对发现的风险所采取的解决措施，行动的目的是减少或消除风险，或使风险处于受控状态。在风险上报过程中，根据风险等级的不同，各级别的风险管理人员可以制定相应的行动计划，并负责对行动处理过程的跟踪。2、系统对行动计划管理的支持a)行动计划的制定：针对某一项风险，制定一个或多个行动计划，设定行动计划的内容、执行人、完成时间等信息；b)行动计划处理过程的跟踪：录入行动计划处理过程的信息；c)行动计划延期：行动计划如果不能按期完成的话，可以设定延期日期；d)行动计划结束：在行动计划结束的时候，可以录入行动计划的结果，同时录入所对应的风险的风险状态。4.2.5统计报表统计报表功能是对操作风险管理系统中的业务数据，根据管理需要，从不同的维护和统计时间进行统计汇总，形成各种统计报表。具体需求如下：1.3K统计汇总表：按照每个单位的情况进行统计，能够看出全行每个单位3K是否建立。如果要求3K至少每年维护一次，那么通过该报告能够看出是否进行了及时维护。2.KCSA有效性评价表i.KCSA评估中增加一个属性“该KCSA对机构控制的有效性”，由UORM在审核的时候，对每一条评估记录，设定该属性的值“有效/无效”。ii.每个机构应该有多少KCSA，本月检查多少，多少是有效的，有效比例是多少，单位整体有效性判断，分成一线检查的汇总和二线检查的汇总。21 操作风险管理系统(一期)建设项目用户需求说明书3.定期产生3K的检查汇总表：每月对每个单位生成一个3K检查结果的统计信息表。4.操作风险人员情况汇总表：统计各个操作风险单位的人员情况。比如按照“职级”属性(比如UORM至少5级，总级数为8级)进行统计。5.风险的解决情况汇总表：统计风险的解决情况。i.统计层级：全行-分行-部门，分行-部门-支行ii.解决情况分析：比如超期30天、60天的是多少。iii.风险等级统计：根据风险评级矩阵确定的5级风险等级进行统计iv.趋势图：按照每月的时间维度显示各种风险数量的趋势变化。6.各类风险未解决的情况统计表：按照14类风险类别统计未解决是多少，统计的角度包括：目标日期到期未解决的风险数、目标日期未到期的风险数、未制定解决方案的风险数、各类操作风险财务损失额。7.损失事件、金额的历史(每月)趋势分析图表：分行、业务线、产品线进行统计。8.全行操作风险偏好判断表：i.风险偏好维护：对风险偏好设定定量阀值，按年累进统计，如果超过阀值，则认为突破风险偏好。ii.对风险偏好是否突破进行修正，由报告人员对“是否突破”进行修正，表后加一个输入项：说明修正理由。表后增加对该表的修改历史进行记录列表。iii.由报告制作人每月制作一次。9.统计单位说明：包括全行的各级单位，统计最小口径是：总行统计到每个部门，分行统计到每个支行和每个部门4.2.6管理层声明各级业务机构负责人在查询本机构各类风险报告后，对机构操作风险管理情况有了了解后，用户登陆到签署管理层声明的页面，填写声明并提交。该流程与其他业务流程无必然关联，仅作为一项单独的工作定期提给业务部门负责人(可能是总行部门经理、总行部门下各二级部门/业务团队负责人、分行行长、支行行长等)，该人在填写部分栏位内容后，确认并提交，系统记录提交人员、时间和提交的内容。该页面支持在固定问答格式模版，该模版有固定的表头，其中的机构、填写日期、填写人等项自动生成，本次声明覆盖的业务周期由填写人自行填入(某某年某月/季度)，由操作风险部人员定22 操作风险管理系统(一期)建设项目用户需求说明书制模版中的内容和问题的数量，以及可以选定哪些用户需要报告此模版，同时，此模版支持频率调整，可以通过业务参数调整来确定频率为月、季等。所有填写后的声明均在系统中保存，并可以按照部门、填写人、时间段等要素进行查询。23 操作风险管理系统(一期)建设项目用户需求说明书5操作风险管理系统功能(一期)需求说明5.1系统基础数据管理5.1.1管理维度数据维护为方便对风险事件的统计汇总，系统为风险事件定义了六个管理维度：全行机构维度，定义风险事件的影响部门，可以是总行的部门或分行、支行。通过定义这些部门、分行等组织间的上下级结构，组成一个树形的全行组织机构，用于支持对风险事件按照影响部门进行统计汇总，揭示风险事件在全行各部门间的分布情况。银监会业务线维度，按照银监会《商业银行操作风险监管资本计量指引》中的两级分类，定义风险事件的所属业务线。渤海银行业务线维度，按照渤海银行对业务线的划分，定义风险事件的所属业务线。用于统计分析的目的。业务流程维护，完成对渤海银行所定义的业务流程信息维护。数据为两级结构，第一级是业务流程，第二级是业务节点。产品线维护，定义风险事件的所属产品线。银行方面可以根据自己的实际情况和统计要求，将产品线划分成多个级别，形成一个树形的产品线结构，并录入系统。IT系统维护，定义行内IT系统的名称，以便在定义风险事件时选择该事件是由于什么系统所导致。管理维度的数据维护由系统管理员完成，业务人员需要准备上述所列管理维度数据，并在上线后集中录入系统。在系统运行过程中，根据管理要求和统计口径的变化，适时对管理维度下的数据进行修改或删除。管理维度中的数据可以进行新增、修改和删除。5.1.1.1机构数据维护24 操作风险管理系统(一期)建设项目用户需求说明书本功能用于完成对全行机构的信息维护，全行机构包括总行、总行各部门及其业务组，分行、分行各部门及业务组、支行及业务组。通过收集全行各机构的信息，并定义其上下级关系，从而支持对不同机构的风险事件进行统计和汇总。注：机构数据中的条线不同于业务线数据，而是类似于一级部门，下辖总行的部门或者分行。总行各部门与分行隶属于各自的条线，系统在统计功能中提供按照条线、部门/分行统计风险事件的功能。系统提供“系统管理员”角色，拥有该角色的用户负责对全行机构信息进行维护。输入要素编号要素名称外观是否必填默认值说明可能值1编号生成是系统内唯一编号，采用顺序号方式，6位2机构名称文本是3上级机构在机构树中选择是新增时，默认作为当前选中的机构的下级；可以修改。修改时，在弹出的机构树中进行选择。4对应渤海银行价值中心文本手工输入对应渤海银行价值中心的名称5对应渤海银行成本中心文本手工输入对应渤海银行成本中心的名称6备注文本5.1.1.2银监会业务线数据维护25 操作风险管理系统(一期)建设项目用户需求说明书本功能用于完成对业务线的信息维护，业务线的划分前两级采取银监会《商业银行操作风险监管资本计量指引》中的两级分类，以便与银监会的统计口径保持一致。为支持银监会后续对两级分类进行细化，系统采用树形结构来组织银监会业务线的信息。系统提供“系统管理员”角色，拥有该角色的用户负责对业务线信息进行维护。输入要素编号要素名称外观是否必填默认值说明可能值1编号成是系统内唯一编号，采用顺序2业务线名称文本是3业务线描述文本是4所属业务线在业务线树中选择是新增时，默认作为当前选中业务线的下级；可以修改。修改时，在弹出的业务线树中进行选择。5备注文本5.1.1.3渤海银行业务线数据维护本功能用于完成对渤海银行所定义的业务线信息维护。系统提供“系统管理员”角色，拥有该角色的用户负责对业务线信息进行维护。26 操作风险管理系统(一期)建设项目用户需求说明书输入要素编号要素名称外观是否必填默认值说明可能值1编号成是系统内唯一编号，采用顺序2业务线名称文本是3业务线描述文本是4所属业务线在业务线树中选择是新增时，默认作为当前选中业务线的下级；可以修改。修改时，在弹出的业务线树中进行选择。5备注文本6对应渤海银行管理会计维度文本1000字符手工输入，如果对应多个会计维度，则使用逗号分隔。5.1.1.4业务流程数据维护本功能用于完成对渤海银行所定义的业务流程信息维护。业务流程可以包含多个业务节点，系统为业务流程和业务节点提供不同的录入界面，录入业务节点时需制定所属业务流程。系统提供“系统管理员”角色，拥有该角色的用户负责对业务流程信息进行维护。业务流程输入要素编号要素名称外观是否必填默认值说明可能值27 操作风险管理系统(一期)建设项目用户需求说明书1编号成是系统内唯一编号，采用顺序2业务流程名称文本是3业务流程描述文本是4流程生效日期日使用系统提供的日期控件录入5流程制定部门文本手工输入6备注文本业务节点输入要素编号要素名称外观是否必填默认值说明可能值1编号自动生成是系统内唯一编号，采用顺序号方式，6位2业务节点名称文本是3业务节点描述文本是4是否控制点下拉框是否如果是控制点，则可以录入控制项描述和管理制度。是/否5所属业务流程下拉框是在业务流程列表中选择业务流程列表6控制项描述文本针对控制点可以录入，用来概要说明控制项所实现的检查控制功能7备注文本5.1.1.5产品线维护本功能用于完成对产品线的信息维护，产品线的定义由操作风险管理部提供。对产品线的维护操作与业务线的维护操作完全相同。系统提供“系统管理员”角色，拥有该角色的用户负责对产品线信息进行维护。输入要素编号要素名称外观是否必填默认值说明可能值1编号自动生是系统内唯一编号，采用顺序28 操作风险管理系统(一期)建设项目用户需求说明书成号方式，6位2产品线名称文本是3产品线描述文本是4所属产品线在产品线树中选择是新增时，默认作为当前选中产品线的下级；可以修改。修改时，在弹出的产品线树中进行选择。5对应渤海银行管理会计维度文本手工输入6对应渤海银行价值中心文本手工输入7备注文本5.1.1.6IT系统维护本功能用于完成对IT系统的信息维护。对于业务系统，可以通过控制项名称和管控措施来记录其管理控制措施。系统提供“系统管理员”角色，拥有该角色的用户负责对IT系统信息进行维护。输入要素编号要素名称外观是否必填默认值说明可能值1编号自动生成是系统内唯一编号，采用顺序号方式，6位2IT系统名称文本是3IT系统描述文本是4控制项名称文本是针对业务系统用来概要说明控制项所实现的检查控制功能5管控措施文本是针对业务系统管控措施是指在业务系统中采取的一些管理控制方法、手段等内容。6所属类别下拉框分为等等应用系统、网络系统、主机系统7管理流程文本用于管理本信息资产的管理29 操作风险管理系统(一期)建设项目用户需求说明书流程名称8备注文本5.1.2操作风险组织结构维护5.1.2.1岗位信息维护本功能用于完成对操作风险管理团队的岗位信息维护，集中管理操作风险管理组织架构中每一个岗位的岗位名称、岗位级别、岗位职责、上级岗位。系统提供“系统管理员”角色，拥有该角色的用户负责对操作风险管理组织结构的岗位信息维护。输入要素编号要素名称外观是否必填默认值说明可能值1编号成是系统内唯一编号，采用顺序2岗位名称文本是比如：总行IT业务线BORM；杭州分行BORM；雅安支行RP等等3岗位职责文本是描述该岗位所负责的业务线或产品、部门。4角色下拉框是该岗位具有的角色，与岗位是一对一的关系。RPUORM、高级BORM、报告经理、操作风险部总经门经理、分行30 操作风险管理系统(一期)建设项目用户需求说明书长、支行长5上级在岗位树中选择是新增时，默认作为当前选中的岗位的下级；可以修改。修改时，在弹出的岗位树中进行选择。6备注文本手工输入5.1.2.2用户信息维护本功能用于操作风险管理系统的所有用户。人员信息包括姓名、岗位、职级、电话、手机、邮箱。系统提供“系统管理员”角色，拥有该角色的用户可以对用户信息进行维护。职级是渤海银行的一个定义，全行风险政策中对岗位有要求，比如UORM至少为5级，RP至少为6级。输入要素编号要素名称外观是否必填默认值说明可能值1编号成是系统内唯一编号，采用顺序2姓名文本是3业务岗位选择否通过定岗操作定义。4职级下拉框选择是渤海银行定义的职级级5数字6手机文本(数字)否用于发送短信7箱文本否用于发送邮件31 操作风险管理系统(一期)建设项目用户需求说明书5.23K标准库维护5.2.1规章制度资料库的维护.2.1.1需求编号.2.1.2功能说明1)规章制度资料库概念规章制度资料库由一系列的规章制度资料组成，分为内部规章制度资料和外部规章制度资料，前者为渤海银行内部发行的规章制度，后者为外部机构如银监会等发行的规章制度。规章制度资料为KCS(关键控制标准)、KCSA建立的依据，每个KCS的内容可能依据于多个规章制度资料，每个KCSA依据的规章制度资料除了继承于KCS外，还可以添加额外的规章制度资料。2)规章制度资料库维护规章制度资料由总行操作风险部统一进行维护，维护操作包括：新增、修改、停用。a)新增总行使用该模块向规章制度资料中新增一个规章制度文件。系统自动为该文件生成编号。b)修改总行使用该模块修改规章制度文件的属性。c)停用总行使用该模块停用规章制度资料中的规章制度文件。当已有KCS或KCSA引用该文件时，则需要提示用户已有KCS或KCSA引用该文件。3)其他说明5.2.1.3规章制度资料库数据项说明编号名称显示方式是否必填默认值说明可能值32 操作风险管理系统(一期)建设项目用户需求说明书1规章文件编号规章文件的唯一标识，由系统自动生成2规章文件名称文本是空规章制度文件的名称3规章文件类型下拉框是内部文件规章文件的类型内部文件、外部文件4文件发布层级下拉框文件发布的层级,当规章文件类型为内部文件时才有该属性总行级/分行级5文件管理层级下拉框文件所处的管理层级,当规章文件类型为内部文件时才有该属性基本政策、管理制度或办法、流程、产品计划书、规范或指引、其他，可参数化维护6号文本否空文号7行内转发文号文本否空行内转发该文件的文号,当规章文件类型为外部文件时才有该属性8发布日期是空文件的发布日期9生效日期是空文件的生效日期行内转发日期否空转发外部文件的日期,当规章文件类型为外部文件时才有该属性发文部门文本否空发布该文件的部门，当规章文件类型为内部文件时才有该属性33 操作风险管理系统(一期)建设项目用户需求说明书发文机关文本否空外部文件的发布机构，当规章文件类型为外部文件时才有该属性行内阅处机构文本否空行内阅处机构，当规章文件类型为外部文件时才有该属性承办部门文本否空承办部门涉及业务团队文本否空规章制度文件所涉及的业务团队，当规章文件类型为内部文件时才有该属性涉及职能部门文本否空规章制度文件所涉及的职能部门,当规章文件类型为内部文件时才有该属性涉及业务条线列表否空规章制度文件所涉及的，按渤海标准,可以多选来自于渤海银行业务线数据适用机构列表否空文件的适用机构，适用全行或一些分行,可以多选来自于机构数据正文摘要文本否空规章制度文件的摘要20与本制度相关的业务流程列表否空与本制度相关的业务流程来自于业务流程数据21录入人文本否空规章制度文件在系统中的录入人22录入时间否空系统当前日期，由系统自动生成23文件全文链接附件是空将该文件作为附件上传34 操作风险管理系统(一期)建设项目用户需求说明书24与之有关的内部流程控制点摘要文本是空相关的内部流程控制点描述信息25因本文发布而废止的文件名称文本是空因本文发布而废止的文件名称,当规章文件类型为内部文件时，才有该属性5.2.1.4功能要素说明规章制度资料维护界面：a)当规章文件类型为内部文件时：1.输入要素：见规章制度资料库数据项说明。2.输出要素：见规章制度资料库数据项说明。3.操作要素：查询按钮：根据输入的查询条件进行查询，查询结果显示在下面的列表中。查询结果导出：将查询结果导出。新增按钮：显示新增规章制度资料库界面。修改按钮：显示修改规章制度资料库界面。停用按钮：显示停用规章制度资料库界面。b)当规章文件类型为外部文件时：35 操作风险管理系统(一期)建设项目用户需求说明书1.输入要素：见规章制度资料库数据项说明。2.输出要素：见规章制度资料库数据项说明。3.操作要素：查询按钮：根据输入的查询条件进行查询，查询结果显示在下面的列表中。查询结果导出：将查询结果导出。新增按钮：显示新增规章制度资料库界面。修改按钮：显示修改规章制度资料库界面。停用按钮：显示停用规章制度资料库界面。规章制度资料新增界面：当录入的规章制度资料为“内部文件”时的页面：36 操作风险管理系统(一期)建设项目用户需求说明书当录入的规章制度资料为“外部文件”时的页面：1.输入要素：见规章制度资料库数据项说明。37 操作风险管理系统(一期)建设项目用户需求说明书2.输出要素：见规章制度资料库数据项说明。3.操作要素：新增按钮：新增输入的规章制度文件。取消按钮：取消新增。规章制度资料修改界面：当规章制度资料为“内部文件”时的页面：当规章制度资料为“外部文件”时的页面：38 操作风险管理系统(一期)建设项目用户需求说明书1.输入要素：见规章制度资料库数据项说明。2.输出要素：见规章制度资料库数据项说明。3.操作要素：修改按钮：修改规章制度文件。取消按钮：取消修改。规章制度资料删除界面：当规章制度资料为“内部文件”时的页面：39 操作风险管理系统(一期)建设项目用户需求说明书当规章制度资料为“外部文件”时的页面：1.输入要素：见规章制度资料库数据项说明。40 操作风险管理系统(一期)建设项目用户需求说明书2.输出要素：见规章制度资料库数据项说明。3.操作要素：停用按钮：停用规章制度文件。取消按钮：取消停用。5.2.2KCS标准库维护.2.2.1需求编号.2.2.2功能说明1)KCS概念KCS是由管理层用来强调某个部门或某个业务线需要遵守的最低控制(与风险状况相适应)标准，是操作风险管理工具中的一个定性标准。每个KCS项是依据于一个或多个规章制度资料，多个KCS项可能是依据于同一个规章制度资料。2)KCS分类KCS分为两类：GKCS和BKCS，GKCS是全行通用的控制标准，而BKCS是某条业务线或某个部门特有的控制标准。BKCS与具体的业务或流程结合就产生BKCSA，每个BKCS下会对应一个或多个BKCSA。BKCS和GKCS通过一个“KCS类型”属性进行区分。当某KCS项的“KCS类型”值为“GKCS”时，则该KCS为GKCS；当某KCS项的“KCS类型”值为“BKCS”时，则该KCS为BKCS。3)KCS维护系统在初始化时或新建一个部门时，总行统一将相应的KCS通过EXCEL文件批量导入到系统内，系统提供批量导入的界面。在系统上线后，系统提供KCS维护的界面，由BORM来进行维护操作，维护操作包括：新增、修改和停用，系统提供批量导入、新增、修改、停用、启用和启用未生效的KCS项界面。a)批量导入总行使用该模块来批量导入新增的KCS项。用户可以选择使刚导入的KCS项不立即生效，而在合适的时机再使其生效，当然也可以使其立即生效。当选择不立即生效时，批量导入的KCS项放入临时表中。在以后使其生效时，再将临时表中的KCS取出，41 操作风险管理系统(一期)建设项目用户需求说明书再放到正式表中去。b)新增总行使用该模块来录入新增的KCS项。用户可以选择使刚导入的KCS项不立即生效，而在合适的时机再使其生效，当然也可以使其立即生效。当选择不立即生效时