操作风险监测分析报告报告材料修订

1、操作风险监测分析报告单位名称（公章）签发人：主要内容：一. 基本情况（一）操作风险定义银行办理业务或内部管理出了差错，必须做出补偿或赔偿；法律文书有漏洞， 被人钻了空子；内部人员监守自盗，外部人员欺诈得手；电子系统硬件软件 发生故障，网络遭到黑客侵袭；通信、电力中断；地震、水灾、火灾、恐怖 袭击；等等，所有这些，都会给商业银行带来损失。这一类的银行风险，被 统称为操作风险。（二）操作风险管理组织架构，权限和责任组织架构：各银监局，各政策性银行、国有商业银行、股份制商业银行，邮 政储蓄银行权限：中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操 作风险管理实施监督检查，评价商业银行操作

2、风险管理的有效性。责任：商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要包括：（1）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体 政策；（2）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性， 并尽可能地确保将本行从事的各项 业务面临的操作风险控制在可以承受的范围内；（3）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管 理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常 操作风险管理的有效性；（4）确保高级管理层采取必要的措施有效地识别、 评

3、估、监测和控制/缓释 操作风险；（5）确保本行操作风险管理体系接受内审部门的有效审查与监督；（6）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建 设。（三）操作风险管理政策，方法，和程序根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作 风险总体情况的报告；（1）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险 事件或项目；（2） 明确界定各部门的操作风险管理职责以及操作风险报告的路径、 频率、 内容，督促各部门切实履行操作风险管理职责， 以确保操作风险管理体系的正常 运行；（3）为

4、操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、 赋予操作风险 管理人员履行职务所必需的权限等；（4）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、 产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的 操作风险损失事件。具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、 关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及 操作风险的报告。商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情 况。应针对潜在损失不断增大的风险， 建立早期的操作

5、风险预警机制，以便及时 采取措施控制、降低风险，降低损失事件的发生频率及损失程度（四）监测和报告操作风险的方法商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：（1）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在 的利益冲突；（2 ）密切监测遵守指定风险限额或权限的情况；（3）对接触和使用银行资产的记录进行安全监控；（4）员工具有与其从事业务相适应的业务能力并接受相关培训；（5）识别与合理预期收益不符及存在隐患的业务或产品；（6 ）定期对交易和账户进行复核和对账；（7）主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；（8）重要岗位或敏感环

6、节员工八小时内外行为规范；（9 ）建立基层员工署名揭发违法违规问题的激励和保护制度；（10）查案、破案与处分适时、到位的双重考核制度；（五）处理操作风险事件和薄弱环节的措施商业银行应及时向银监会或其派出机构报告下列重大操作风险事件：（1 ）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额 1000万元以上的案件；（2 ）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成 在涉及两个或两个以上省（自治区、直辖市）范围内中断业务 3小时以上，在涉 及一个省（自治区、直辖市）范围内中断业务 6小时以上，严重影响正常工作开 展的事件；（3）盗窃、出卖

7、、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩 序混乱的事件；（4）高管人员严重违规；（5） 发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事 故、自然灾害；（6） 其他涉及损失金额可能超过商业银行资本净额1 %o的操作风险事件；（7）银监会规定其他需要报告的重大事件。（六）操作风险管理程序中的内控，检查和内审程序为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐 步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损 失相关的数据和操作风险事件信息， 支持操作风险和控制措施的自我评估， 监测 关键风险指标，并可提供操作风险报告的有关内容。（七

8、）灾难恢复和业务连续方案的安排业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制， 并应当定期检查、测试其灾难恢复和 业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。（八）计提操作风险所需资本的规定商业银行初次计量操作风险监管资本， 必须事先向银监会申请使用标准法 （含标 准法替代形式）或高低计量法，经批准后方可实施。经银监会审查不符合高级计 量法资格标准的，应采用标准法（含标准法替代形式）计量操作风险监管资本， 不符合标准法（含标准法替代形式）资格标准的，应采用基本指标法计量操作风 险监管资本。（九）操作风险管理的其他

9、情况于银监会在监管中发现的有关操作风险管理的问题，商业银行应当在规定的时限内，提交整改方案并采取整改措施。对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银行，银监会将依法采取相关监管措施一.操作风险的特点及主要表现（一）操作风险的特点（1 ）操作风险中的风险因素很大比例上来源于银行的业务操作，属于银行可 控范围内的内生风险。单个操作风险因素与操作损失之间并不存在清晰的、 可以界定的数量关系。（2）从覆盖范围看，操作风险管理几乎覆盖了银行经营管理所有方面的不同 风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏， 也包括发生频率低、但一旦发生就会造成极大损失，甚至

10、危及到银行存亡的自 然灾害、大规模舞弊等。因此，试图用一种方法来覆盖操作风险的所有领域几 乎是不可能的。（3 ）对于信用风险和市场风险而言，风险与报酬存在一一映射关系，但这 种关系并不一定适用于操作风险。（4）业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击 的可能性最大。（5 ）操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及银行内 部的所有部门。因此，操作风险管理不仅仅是风险管理部门和内部审计部门 的事情。（二）操作风险的主要表现（1）损失事件主要集中在商业银行业务和零售银行业务 ，主要可以归因于内 部欺诈、外部欺诈，占到损失事件比例最大的是商业银行业务中的内部欺诈。（2

11、 ）单笔损失金额的均值相差很大，在度量操作风险时，应该分别考虑每个 业务部门和每个风险事件组合下的损失分布情况。(3) 损失事件的多少与银行的总资产规模成正相关，但损失金额多少与总 资产没有明显的相关性。(4) 从损失事件数目和损失金额的地区分布看，操作风险不一定发生在经济发达的分支机构，但是肯定会发生在管理薄弱、风险控制意识不强的地区三，操作风险管理中存在的问题和难点公司治理结构不健全。一是所有者虚位，导致对代理人监督不够。二是内部 制衡机制不完善。董事会、监事会、经营管理层之间的制衡机制还未真正建立起 来。三是存在“内部人”控制现象1. 内控制度建设尚不完备。一是没有形成系统的内部控制制度

12、， 控制不足与控 制分散并存，业务开拓与内控制度建设缺乏同步性， 特别是新业务的开展缺 乏必要的制度保障，风险较大。二是内控制度的整体性不够。对所属分支机 构控制不力，对决策管理层缺乏有效的监督。 对业务人员监督得多，而对各 级管理人员监督得较少、制约力不强。三是内控制度的权威性不强。审计资 源配置效率低下，稽核审计职能和权威性没有充分发挥，内部审计部门没有 完全起到查错防漏、控制操作风险的作用2. 风险管理方法落后，信息技术的运用严重滞后。4、员工队伍管理不到位。银行管理人员在日常工作中重业务开拓，轻队伍 建设；重员工使用，轻员工管理，对员工思想动态掌握不够，加之举报机制 不健全，使本来可以

13、超前防范的操作风险不能及时发现和制止。5、与风险控制有冲突的考核激励政策容易诱导操作风险。6、社会转型及银行变革容易引发操作风险。当前社会治安形势仍然严峻， 针对银行的抢劫、诈骗、盗窃等犯罪时有发生。从银行内部来看，国有银行正在 进行股改，伴随机构撤并，也带来了大量富余人员消化问题， 并导致各种矛盾的 尖锐化。四，下一步工作部署安排加大改革力度1、建立完善的公司法人治理结构。我国商业银行要建立规范的股东大会、董事会、监事会制度，设立独立董事，构建以股东大会-董事会-监事会-行长 经营层之间的权力划分和权力制衡有效结构， 通过高级管理层权力制衡，抑制“内 部人”控制、“道德风险”的发生。2、按照

14、“机构扁平化、业务垂直化”的要求，推进管理架构和业务流程再 造，从根本上解决操作风险的控制问题。3、改革考核考评办法。正确引导分支机构在调整结构和防范风险的基础上提高经营效益，防止重规模轻效益。要合理确定任务指标，把风险及内控管理纳 入考核体系，切实加强和改善银行审慎经营和管理， 严防操作风险。不能制定容 易引发偏离既定经营目标或违规经营的激励机制。不断完善内部控制制度商业银行在坚持过去行之有效的内部控制制度的同时， 要把握形势，紧贴业 务，不断研究新的操作风险控制点，完善内部控制制度，及时有效地评估并控制 可能出现的操作风险，把各种安全隐患消除在萌芽状态。当前，重点要在以下七个方面完善内部控

15、制制度： 一是建立相应的授权体系， 实行统一法人管理和法人授权；二是建立必要的职责分离，以及横向与纵向相互 监督制约关系的制度；三是明确关键岗位、特殊岗位、不相容岗位及其控制要求； 四是对于重要活动应实施连续记录和监督检查；五是对于产品、组织结构、流程、 计算机系统的设计过程，应建立有效的控制程序；六是建立信息安全管理体系， 对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用 实施控制；七是建立并保持应急预案和程序，确保业务持续开展。全面落实操作风险管理责任制首先，要通过层层签订防范操作风险责任合同， 使风险防范责任目标与员工 个人利益直接挂钩，形成各级行一把手负总责，分管

16、领导直接负责，相关部门各 司其职、各负其责，一线员工积极参与的大防范工作格局。其次，要真正落实问 责制。要明确各级管理者及每位操作人员在防范操作风险中的权力与责任，并进行责任公示。今后银行发生大案，既要有人及时问责，又要深入追查事件责任人。 对出现大案、要案，或措施不得力的，要从严追究高管人员和直接责任人的责任， 并相应追究检查部门、审计部门及人员对检查发现的问题隐瞒不报、上报虚假情 况或检查监督整改不力的责任。切实改进操作风险管理方法1、不断摸索，逐步完善操作风险计量方法。虽然对操作风险的计量还没有一个十分完善的方法，但是随着商业银行全面风险管理的深入开展， 准确计量操 作风险并计提准备金是

17、一个必然的发展趋势。2、加强信息技术应用。在数据大集中的进程中，要加强业务系统操作平台 建设，全面查找设计上的漏洞，完善系统软件。3、建立健全操作风险识别和评估体系。要借鉴国际先进经验并运用现代科技手段，逐步建立覆盖所有业务类别操作风险的监控、 评价和预警系统，识别和 评估所有当前和未来潜在的操作风险及其性质。4、建立和完善内部信息交流制度。针对多发的管理人员带头实施违规，强迫命令下属违规操作，形成案件和资金风险的问题，银行要建立和完善员工举报 制度，依靠和发动一线员工，鼓励检举违法违规问题，坚决遏制各类案件特别是 大案要案的高发势头。加强人员管理一是要牢固树立以人为本的经营思想，充分发动和依

18、靠广大员工抓好操作风 险管理工作。二是加强思想政治教育。要深入开展矛盾纠纷和不安定因素排查化解工作， 多方面、多层次将矛盾纠纷和不安定因素化解在单位内部和萌芽状态。三是加强风险意识教育。要坚持不懈地进行安全角势教育、典型案例教育、 规章制度教育，提高全行员工安全防范意识和遵纪守法观念。四是要及时、深入了解重要岗位人员工作、生活情况，掌握思想和行为变化 动态，对行为失范的员工要及时进行教育疏导和诫免谈话， 情节严重的，要严肃 处理。五，针对本机构及监管部门提出的意见建议(1)加快修改和完善现有的法律、法规及规章制度乘这次机构调整，对原 有银行业的法律、法规及规章制度进行清理，对于已经过时和不适用

19、的及时废止， 对于存在的法律空白、短缺、模糊和相互矛盾的地方，及时补充、修改和完善。(2) 完善非现场监管指标体系一是完善非现场监管数据基础， 实现数据的真实全面。 监管当局应制定统一 完善的非现场监管数据体系， 这些数据应全面反映银行的表内外资产风险、 信贷 与非信贷资产风险、盈利状况、资本充足性、市场风险状况、股东及关系人贷款 情况及管理状况等方面的信息； 进一步完善统计制度和审慎会计准则， 数据口径 要真实反映银行的经营及风险状况； 要求银行提供给监管部门的报表资料应当和 公开披露的数据信息一致， 银行的董事会要对此数据的真实性和准确性负法律责 任，同时要加强对数据真实性的检查核实和责任

20、处理二是完善非现场监管指标体系和分析模型。 监管部门应进一步补充完善非现 场监管指标和指标生成口径， 充分反映银行各方面风险状况； 要对法人和分支机 构建立分层次的非现场监管指标体系和标准； 针对不同银行机构的业务特点设定 合理的监管标准值区间，允许银行自主寻找“三性”的平衡点；研究并建立对银 行机构和体系的风险评价体系及模型，实现对风险的早期预警。（3）尽快建立监管信息系统一是建立网络化的监管信息处理系统， 实现对银行机构管理、 业务管理、 高 级管理人员管理、 风险监控和市场退出等监管信息的集中管理和资源共享， 实现 监管人员通过该系统对金融机构的连续监控和动态分析。二是建立多渠道的监管信息采集系统， 除现场与非现场监管数据外， 监管当 局应通过一切可能的渠道收集有关被监管金融机构的有用信息， 对商业银行的潜 在风险作出早期预警和防范，这些渠道包括：建立与监事会、审计署、财政部等 其他外部管理部门、 银行内部审计稽核部门的信息共享机制， 建立与商业银行高 级管理人员的定期会晤制度，收集来自中介机构、评级机构、国际金融组织、媒 体及其他渠道的信息。三是要求商业银行尽快建立和完善履盖境内外全部分支机构的风险管理信 息系统，并实现与人民银行监管信息系统的