保险公司操作风险管理介绍及监管要求课件

操作风险管理介绍操作风险管理介绍1Page

2操作风险管理的监管要求Page2操作风险管理的监管要求2Page

3偿二代对操作风险的要求Page3偿二代对操作风险的要求3Page

4不达标当季达标连续4个季度达标连续8个季度达标核心偿付能力不达标0分0分0分0分当季达标连续4个季度达标连续8个季度达0分0分0分60分60分60分60分80分80分

60分

80分100分操作风险监管要求分类监管（10号文）量化风险

(100分，50%)

综合偿付能力难以量化风险

(100分，50%)操作风险

50%►►销售、承保、保全

(1/9权重)理赔

(1/9权重)►再保险

(1/9权重)►►资金运用

(1/9权重)公司治理

(1/9权重)►财务管理

(1/9权重)►►►准备金管理

(1/9权重)案件管理

(1/9权重)信息系统

(1/9权重)►合规风险

(扣分项，1/9权重)流动性风险

25%►►定量监管指标定性评估战略风险

15%►►外部环境战略执行声誉风险

10%►►►公司声誉的外部环境公司声誉风险的历史数据可能导致声誉风险的外部因素►►战略制定外部因素Page4不达标当季达标连续4个季度达标连续8个季度达标核4评估项目评分标准权重占本类风险的比难以量化风险的比总风险的比权后评分标准保监会保监局操作风险销售、承保、保全业线10030%70%1/91/181/36100/36理赔业务线10030%70%1/91/181/36100/36再保险业务线100100%—1/91/181/36100/36资金运用业务线100100%—1/91/181/36100/36公司治理业务线100100%—1/91/181/36100/36财务管理10060%40%1/91/181/36100/36准备金管理100100%—1/91/181/36100/36信息系统100100%—1/91/181/36100/36案件管理100100%—1/91/181/36100/36合规风险-100100%—1/91/181/36-100/36小计100100%—100%50%25%25(满分)操作风险监管要求分类监管（10号文）

偿二代10号文分类监管评估细则提出了操作风险的评估标准与要求►从以下几方面进行评估：内部控制评估各业务线的内部控制程序和流程、操作风险的历史数据、经验分布和发展趋势人员评估可能导致操作风险的人员因素，包括招聘、解雇、培训、领导能力和持续发展规划、业绩管理、薪酬等系统评估公司信息系统存在的问题和风险，包括系统设计缺陷、软件/硬件故障或不足、信息安全和数据质量等方面的风险等；外部因素评估公司操作风险的外部环境，包括行业操作风险的总体水平和趋势；评估可能导致公司操作风险的外部因素，包括法律法规、监管政策、

不可抗力等Page

5评估项目评分标准权重占本类风险的比难以量化风险的比总风险的比5操作风险监管要求风险管理能力评估（11号文）损失事件业务条线损失形态风险成因后果严重

程度等操作风险的定义与表现

操作风险管理组织架构、

权限和责任操作风险内部

机制操作风险的管理方法与程序对操作风险进行分类管理。制定操作风险管理制度；操作风险管理政策应当与公司的业务性质、规模、复杂程度和风险特征相适应，主要包括：建立操作风险管理的工作程序和流程，明确牵头部门及其他部门的职责分工。对经营活动中各个领域的操作风险进行识别与分析。►对可能出现操作风险的业务流程、人员、系统和外部事件等因素进行识别和分析►识别销售误导、理赔欺诈、投资误操作、财务披露错误、洗钱、信息安全、系统故障等方

面的系统风险；Page

6►从风险影响程度、发生频率与控制效率等方面对已识别的风险进行分析和评价；►在新业务、新产品上线，流程和体系有重大变化时，及时开展针对性的操作风险识别与评估。操作风险监管要求损失业务损失风险后果严重操作风险的 操作风险6Page

7操作风险特性及其管理工具Page7操作风险特性及其管理工具7Page

8►►►

►

►

操作风险，是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的

风险。其包括法律风险，但不包括战略风险和声誉风险。

对企业的财务状况、客户/服务、员工、声誉、法律/监管等方面造成的不利影响

操作风险事件，是指符合操作风险定义的由不完善或有问题的内部程序、人员、系统以

及外部事件造成的事件。

包含具体的时间、地点、情节、涉及的人员

操作风险管理，是指对操作风险进行主动识别、评估、监测、控制或缓释、监测和报告

的过程。该过程周而复始，也可称作操作风险管理循环

。操作风险包括原因、事件及后果：

►

原因：导致损失的缘由是什么

►

事件：时间、地点、情节、涉及的人员；及

►

后果：该损失对损益的影响。操作风险是潜在的；操作风险事件是已发生的。什么是操作风险Page8► 操作风险，是指由不完善或有问题的内部程序、人8操作风险的主要特性

内生性

风险覆盖面大

风险与收益无直接相

关性

风险与业务规模和复

杂度成正比

涉及部门广Page

9操作风险中的风险因素很大比例上来源于保险公司的业务操作，属于可控范围内的内生风险。

操作风险管理几乎覆盖了保险经营管理所有方面的不同风险。既包括发生频

率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、

但一旦发生就会造成极大损失,甚至危及到保险公司存亡的自然灾害、大规

模舞弊等。

对于信用风险和市场风险而言，风险与报酬存在一一映射关系，但这种关系

并不一定适用于操作风险。

业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击的可能

性最大

。

操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及保险公司内部

的所有部门。操作风险的主要特性 内生性操作风险中的风险因素很大比例9流程分析(风险与控制识别)风险与控制

自我评估风险地图设置(容忍度设置)风险字典库

建立/维护控制字典库建立/维护

流程框架建立/维护分析与行动关键因子与关键控制

识别与筛选损失事件识别基础工作风险与控制自我评估(RCSA)关键风险指标(KRI)分析与整改

关键风险指标设计损失数据收集(LDC)

通报、处理、

数据收集综合性操作风险分析与报告

提供基础

提供参考Page

10自我诊断与完善预警信息监控与应对监控、分析与行动

事件收集与整改操作风险管理工具

什么是操作风险三大管理工具流程分析(风险与控制识别)风险与控制风险地图设置风险字典库建10Page

11内部事件直接影响间接影响操作风险事件影响效果操作风险因子人员流程系统工作权责划分资格资质盘点制度XXXXX

外部事件控制措施操作风险字

典库控制字典库操作风险实施的基础工作建立风险库操作风险是由因子、事件及影响效果三个要素所构成针对所面对的操作风险因子以及可能发生的操作风险事件，会设计一系列的控制措施来加以应对。总体来说，操作风险因子、事件及影响效果彼此间具有一定的关联性，且依据控制措施的设计目的及可发挥的功能，将可建立操作风险因子或事件与控制措施间的关联性。为了让公司对于操作风险与控制的定义有共同的沟通语言，并符合科学化风险分析的要求，需要建立一套适用于全公司的操作风险的字典库。

操作风险Page11内部事件直接影响间接影响操作风险事件影响效果操11Page

12操作风险实施的基础工作流程盘点销售承保理赔保全再保险财务行政人力资源准备金评估•••••••制定评估方法投资收益率及折现率假设费用假设及其他精算假设确认评估假设精算基础数据及数据复核建立并运行精算评估模型检查计算结果产品定价财务会计•

预算制定、跟踪•

费用管理•

会计核算•

财务报告•

应收保费管理实物、无形资产•

资产采购•

资产处置•

折旧摊销•

资产减值人事管理••••招聘解聘薪酬福利教育培训绩效考核•••••业务初审核保调查系统核保人工核保网上承保•••••••报案立案初审复审争议处理档案管理网上理赔•••••信息变更保单复效续期收费保单借款退保办理销售理赔精算保全再保险资金运用•

现金•

支票•

资金上划下拨•

系统对账有价单证公司治理公司治理•

公司治理结构的设置•

董事会、下设专业委

员会及独立董事制度•

监事会•

审计委员会•

公司治理结构信息的

披露•

分子公司管理总公司各个分公司•

征订、印刷

入库•

发放领用•

单证核销•

单证回缴•

单证清点•

单证销毁•

人员控制••••中介渠道电话渠道直接销售银保渠道•

合约分保•

临时分保••••••需求调研参数设定定价测算产品测试汇报审批发布上线Page12操作风险实施的基础工作销售承保理赔保全再保险财12行动计划风险与控制自我评估（RCSA）

什么是操作风险RCSA

风险与控制自我评估（RCSA）是公司识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度

及有效性的操作风险管理工具。RCSA主要包括以下几块工作：风险与控制

识别

RCSA工

具中包

含的具

体元素Page

13评分计划及标准的设定

风险

清单风险地图

设定

综合说

明表

操作风险暴

露与控制有

效性评估风险评估问卷

评分结果分

析及调整风险地图行动计划风险与控制自我评估（RCSA）风险与控制 体元素评分13未对入库的单证进行入

例

验收及登记；未对出库库的单证进行登记；未对已使用的单证进行销号Page

14RCSA风险清单根据行业内最佳实践的的风险库进行风险事件描述的整合。风险清单综合说明

表风险评估问卷风险地图流程序号

1

2

3

4

5保全保全保全保全保全

风险事件保单退保率高/继续率低保单信息更新后未通知被保险人/未进行回访保单质押贷款的利息计算不正确保单质押贷款未得到适当审核保全申请未经复核

6

7

8

9101112131415161718192021222324252627282930保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全承保承保承保承保承保承保承保保全信息录入不准确不应该发放保单质押贷款的险种亦发放了保单质押贷款发放的保单质押贷款金额超过保单现金价值的XX%非常规退保/免息复效未得到特殊审批给付金额计算不准确冒领保险金/保险金发放到错误的账号批单申请资料不真实、不完整批单未及时有效地传递至批单申请人涉及到条款/承保范围的变化没有递交核保收付费岗位与业务处理岗位职责分离不明确收付费用计算不正确违规批退伪冒领取批处理款虚假批单犹豫期退单率高越权审核批单质押贷款保单中止不及时代理人代签保全申请保单未经核保即承保保费收取录入不真实、不准确保费收入入帐不及时代理人代签投保单对承保风险评估不足对于寿险业务，未收款先承保发生孤儿保单情况，保费收入无法及时收取，后续服务无法妥善提供流程序号

31

32

33

34

35承保承保承保承保承保

风险事件核保不及时核保及录入为同一人核保确认的信息与保单信息不一致核保人权限设定不当核保人员资质不足36373839404142434445464748495051525354555657585960承保

核算错误导致财务信息不真实承保

侵占、挪用保费承保

特别约定不符合政策要求承保

投保人信息录入有误承保

投保资料不真实、不完整承保

续期保费未正确计算承保

续期管理未经固化，职责未细分落实到员工承保

隐瞒投保承保

应收保费回收不力承保

越权或盗用他人权限核保承保

收支没有分两条线承保

代理人收取的保费未及时上缴承保

回访结果记录错误/遗漏单证与印章管理

私印协议及相关有价单证单证与印章管理

示单证与印章管理

未设置专岗对单证进行妥善完整的保管单证与印章管理

未收回注销/作废单证的所有联单证与印章管理

无完善的单证管理规范单证与印章管理

系统外出单投诉管理

客服人员专业技能不足投诉管理

客户人员态度随便、不回答咨询问题投诉管理

投诉处理不及时，未及时跟进投诉处理结果投诉管理

未对客户投诉进行及时跟踪处理投诉管理

未对客户投诉进行记录投诉管理

未设立完善的投诉管理流程未对入库的单证进行入例验收及登记；未对出库库的单证进行登14子流程#流程步骤#步骤说明控制编号控制措施标的风险类型控制频率手工/系统控制预防型/检查型控制负责部门负责岗位风险事件类型编号风险事件描述风险因子类型编号风险因子类型单证管理7单证入库管理DZ-01对于单证的入库操作进行管理DZ-CA-01重要单证征订与入库单证管理人员定期在单证管理系统中向太平人寿财务部提出征订申请，申请通过后接收重要单证并进行盘点。盘点无误后在系统中进行入库操作。目前入库未保证一人盘点一人复核。OR-401-04因重要单证如保单首页、保单发票发生丢失、损毁导致公司遭受损失YZ-02员工按需手工预防型作业部单证管理岗单证管理7单证使用管理DZ-02对于单证的日常使用进行管理DZ-CA-02重要单证使用状态登记所有单证的使用都需在系统中对其使用用途进行说明。OR-401-04因重要单证如保单首页、保单发票发生丢失、损毁导致公司遭受损失YZ-02员工按需手工预防型作业部单证管理岗单证管理7单证使用管理DZ-02对于单证的日常使用进行管理DZ-CA-03作废重要单证处理操作对于作废的重要单证，由单证管理人员在系统中进行作废操作，并制作需销毁单证清单，根据专业公司要求将作废单证以及需销毁单证清单寄回专业公司。作废单证未加盖作废章。OR-103-05因内部人员伪造或变造重要单证（如保单发票、保单首页）进行业务申请或交易导致公司遭受损失YZ-02员工按需手工预防型示作业部单证管理岗OR-602-04因外部人员伪造或变造重要单证（如保单发票、保单首页）进行业务申请或交易导致公司遭受损失YZ-04外部因素RCSA综合说明表

RCSA综合说明表是流程分析的结果导出，是生成风险评估问卷的过程性文档。流程分析主要依据公司

现有管理办法，操作手册等制度的梳理完成。Page

15风险清单综合说明

表风险评估问卷风险地图子流程#流程步骤#步骤说明控制编号控制措施标的风险类型控制频15控制固有风险评分控制评分剩余风险评分类型编号类型概述控制措施编号控制措施系统自动控制控制范围事前/事后控制直接损失风险暴露设计落实度控制有效性直接损失间接损失风险暴露(直接损失)剩余风险落点调整后的风险地图落点频率严重度频率严重度声誉严重受损监管行动运营中断广大客户服务质量受损员工安全CB140101工作程序中设计防欺诈的操作步骤IB-CA-102对于业务申请书、授权文书等资料，分支行柜面经办柜员须核对客户预留印鉴的真实性。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制例示CB140101工作程序中设计防欺诈的操作步骤IB-CA-307分支行须审核申请人提交的《进口到单通知书》及《承兑/付款通知书》是否经过签字并加盖预留印鉴。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-318分支行须审核申请人提交的《对外付款/承兑通知书》上的签章，并进行电子或手工验印经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-401对申请人提出的撤证申请，分支行柜面须核对撤证申请书签章是否与预留印鉴相符经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-406分支行柜面须核对书面确认函上的印鉴一致后将相关单证递交总行国际业务部。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资手工控制所有事前控制RCSA风险与控制评估问卷风险与控制评估（RCSA）结果示例－风险与控制自我评估以下是风险与控制有效性评估示例，针对每一个控制措施，分别进行控制设计和控制运行的评估，从而控制有效性的综合评估情况。针对每一个操作风险事件，分别进行直接损失（频率与严重度两个角度）和间接损失的评估，从而得到操作风险暴露及其落点情况。风险清单综合说明

表风险评估问卷风险地图

料上的印鉴并未经过核印。Page

16固有风险评分控制的评分剩余风险评分风险与控制评分控制固有风险评分控制评分剩余风险评分类型编号类型概述控制措施1630,000,00060,000,00099,000,000300,000,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,465,70026,931,40044,436,810134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,400,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,121,0001,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,645,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000RCSA风险地图操作风险事件可能带来的财务损失风险地图是将风险评估（RSA）中操作风险暴露评估结果与采取应对措施的联结工具，风险地图最主要的目的在于为操作风险暴露的评估结果带来管理上的意义。

绿色区域（可容忍，不需另外采取应对措

施）：操作风险暴露落在安全区域，基于风

险管理、成本与效益的考虑，视该操作风险

暴露为业务经营的操作风险成本。

黄色区域（可容忍，但应该加强监控）：表

示操作风险暴露落在需加强监控的范围内，

相关单位应加强管理与监控的力度。

橙色区域（可容忍，但应该采取应对措施）：

操作风险暴露已落在警戒范围内，相关单位

应该立刻采取应对措施，以将操作风险暴露

迅速降低至安全区域。（绿色或黄色区域）

红色区域（不可容忍，特别关注并采取应对

措施）：操作风险暴露已落在不可忍受的范

围内，应特别关注，并采取强度较大的应对

措施，将操作风险迅速降低至安全区域。

操作风险事件可能发生的频率（未来一年内发生

的次数)Page

17风险清单综合说明

表风险评估问卷风险地图30,000,00060,000,00099,000,00017D.

指标的使用原因事件后果可确定引发事件的主要原因事件发生事件发生对实现业务营运目标的影响

原因预测性KI

后果滞后性KI

预防预测性KI

监控滞后性KI

缓释滞后性KI控制预防性控制监控、缓释性控制关键指标

(KI)

关键指标应用：关键风险指标和关键控制指标可以帮助预测和识别风险，并反映风险控制措施的有效性和

风险缓释的效果。通过使用关键指标可在实现风险预警的基础上，制定行动方案以缓释风险。Page

18风险控制G.质量验证E.报告和监控确认关键E-G

监控阶段A-D,H

设置阶段H.关键指标

的复评F.行动方案的

制定与执行A.识别和定义C.设置关键

指标阀值B.数据的收集

和验证关键指标架构风险关键指标设计方案关键指标的基本建设D.指标的使用原因事件后果可确定引发事事件发生事件发生对实18渠道Page

19关键风险指标体系框架关键风险指标设计

关键风险指标

限额

的设定指导型（事前）监控型（事后）

金额

多维度的分类产品

控制型

风险暴露型账户个数

时间

监管型内部管理型

比例关键风险指标监控关键风险指标报告关键风险指标调整

安全不采取行动

预警•

相关部门查明原因

启动行动计划

•

回到绿色区间

危险•

启动行动计划•

重新评估该风险的影响

程度、发生概率和风险

容忍度KRI的变化具有联动性，一个指标的变化可能会牵动多个指标的变化，因此行动计划会涉及多个部门

•

调整限额•

关键风险指标的趋势变化状况；的调整

限额的调整•

关键风险指标值达到预警范围或危险范围的原因以及应对措施；•

对风险暴露普遍较高的风险点或是控制措施较弱的控制点进行分析并拟定应对计划；•

已启动行动方案的执行进度与实际效果。

调整的原因•

突破危险区间，基于成本与效益的考虑，调高或者调低危险区间的风险限额。

风险偏好的

新产品、业

变化

务上线•

频繁突破预警区间；

部门职责调整

KRI控制效果不佳

业务的周期特性管理流程发生变化指标具有多维度的分类；限额设定有多种方法。报告内容

指标关键风险指标预警区间渠道Page19关键风险指标体系框架关键风险 关键指导型1901/06/201215/06/201229/06/201213/07/201227/07/201210/08/201224/08/201207/09/201221/09/201205/10/201219/10/201202/11/201216/11/201230/11/201214/12/201228/12/201211/01/201325/01/201308/02/201322/02/201308/03/201322/03/201305/04/201319/04/201303/05/201317/05/201331/05/2013风险监控指标超出预警阈值

风险监控

指标超出

监管限额Page

20风险指标超

预警报告风险指标超

限额报告120110100

90

80

70

60

50

40

突破预警边界逼近预警边界，指标变动

超出接受范围指标变动处于可接受范围风险指标改进计划

填报安全预警危险•

不采取行动

•

监理可以容忍，发

送指标预警通知

•

启动改进计划

•

相关部门、机构查

明原因，一定期限

内进行改进，将此

指标恢复正常范围•

监理不可容忍，发送

指标超限额通知•

启动改进计划•

相关部门、机构在一

定期限内（较短）将

此指标恢复正常范围•

重新评估该风险的影

响程度、发生概率和

风险容忍度•

分析评估是否应调整

限额改进结果

报送改进计划审核和追

踪改进结果

审核和

评估关键风险指标监控预警

关键风险指标预警区间01/06/201215/06/201229/06/201220损失数据库

库Database)Page

21（

损失数据（LossDatabase)（1）报送单位（5）数据单位（2）报送内容（3）报送时间（4）报表币种（7）折算汇率（6）报送文件名（8）报送方式（9）数据调整损失数据库

损失事件数据库是在标准化的操作风险事件分

类基础上，对公司已发生的风险事件进行确认

和记录，并采用结构化的方式进行存储，每条

数据记录至少应反映风险事件的类型、发生时

间、损失金额、产生原因、重要细节描述等主计分析，揭示公司操作风险变化趋势，预测某类风险的潜在可能性，为战略决策提供依据。

填报要求

要因素，分内，外部损失数据库。通过对内部历史数据进行统

通过对同业损失数据的分析比较，可以为日常管理及趋势预测提供数据支持，并了解同业保险公司的经营动态和操作风险趋势。损失数据库库Database)Page21（ 损失数据（21操作风险事件收集范围与程序损失数据收集范围•

类型一：重大操作风险事件•

类型二：损失金额达认定起点的事

件保监会规定范围及本行特别关注的重大操作风险事件非第一类事件但总损失金额达到认定起点以上的事件1.

保监会规定应收集的事件2.

公司特别关注的事件。包含：监管机关处分事件、员工欺诈事件、员工

安全事件、核心业务服务中断事件、重大信息系统安全或中断事件、影

响本行对广大客户的服务质量以及严重影响本行声誉的事件。

除第一类事件外，公司的损失数据收集至少应涵盖外部欺诈事件、实体资产

损坏事件、操作失误事件。各部门可依据自身的管理需求，调低操作失误事

件认定起点(注)和/或扩大收集范围Page

22操作风险事件收集范围与程序•类型一：重大操作风险事件•22示防止操作风险损失事件

发生三大工具的结合提升公司风险管理能力

风险与控制自我评估

(RCSA)

提出并落实整改计划，

损失數据收集(LDC)对于操作风险损失事件进行分析，按其相关的风险因子/控制类型/风险事件，将结果反馈至

RCSA的评分之中

关键风险指标(KRI)

对于指标的结果，按其相关的风险因子/控制类型/风险事件，将结果反

馈至RCSA的评分之中

RCSA

使用RCSA评估工具，评估在承保环节

下，保费转账错误可发生的损失金额和

频率

在控制清单的基础上选择已使用的控制

措施，并评估控制措施的执行效果

针对控制薄弱的环节提出行动方案据

连结RCSA评估结果设置KRI对风险点进

行监控Page

23

LDC

例

在申报风险事件时可作为填写发生事件

的业务条线、产品类别等内容的参考，

KRI

并可明确标示损失发生的流程环节

连结RCSA对承保流程中保费转账环节的

作为执行KRI定义及数据收集模板/KRI分

风险评估结果，为损失数据收集提供依

析报表时的基准示防止操作风险损失事件三大工具的结合 损失數据收集(LDC)23Page

24该类报告在内容上更侧重于针对性的总结某些特定领域的重点信息，简明直观的展示企业整体的操作风险管理概况，包括：

整体的操作风险热图；

►►汇总汇报所有具备高风险特征的►►业务线和分支机构；公司层面的关键指标监控结果；各分支机构的关键指标监控的例外情况报告；►报告期内全公司范围内重大的操作风险事件信息和管理进展情况►►全公司范围内的损失数据分布；操作风险资本计量信息。操作风险报告操作风险管理常规报告操作风险框架审阅报告操作风险特征关键指标监控损失数据分析重大风险事件

►A►

►B►

►C►

►D►►1

►►3

►►2

►非定期报告操作风险管理高级管理层报告►2

►►1

该类报告存在于总公司层面和分/子公

司层面：

为报告使用者提供其所辖分行范围内各

项操作风险管理的各项具体信息。►2操作风险管理报告体系►1

►定期报告Page24该类报告在内容上更侧重于针对性的总►汇总汇报所24一级流程二公司层面级流程1二内部环境级流程2二发展战略内级流程3二部信息传递内级流程4二部监督级流程5二级流程6二级流程7人力资源人力资源计划员工招聘与离员职工培训员工绩效管理薪酬管理风险管理风险识别风险评估风险应对资金现金管理银记录常规与行存款管理票据管理资金调拨费用财务管理与报告非常规交易财务结账报表编制和披税露务流程预算管理财务系统管理采购支出采购计划与需合求同及订单管货理物验收与付供款应商管理固定资产固定资产购入固定资产处置固定资产实物固管理定资产维修行政管理档案管理印章管理文件管理后勤保障合同与纠纷管理系统运行及信息安合同订立数据中心和合同履行信息安全（纠纷处理访问安全（全网络运行（机房管理、补丁、防火墙、防毒软用户权限、密码策略等开发和测试发布上线（应用系统开发需求识别需求分析立项（已完成）验收已完成）评价应用系统运维事件管理数据维护及提应取用配置处理外包管理供应商管理外包方测试管外理包方需求管理重要单证管寿险承保控制外包录入契约复核保单核保保费转账保单承保回访理重要单证管团险承保控制保单录入契约复核保单核保保费转账保单承保回访理重要单证管车险承保控制保单录入契约复核保单核保保费转账保单承保回访理寿险理赔控制理赔录入理算及复核保单核赔案件签批团险理赔控制理赔录入理算及复核保单核赔案件签批车险理赔控制查勘审核呼入业务（车物报价呼出业务（车物核损客户服务监车物核赔车险人伤团险客户服务一般咨询、呼入业务（保单查询、保单回访）督呼出业务（客户服务监寿险客户服务一般咨询、呼入业务（保单查询、保单回访、督呼出业务（运营付费、客户服务监车险客户服务保全控制一般咨询、保单查询、保全变更保单回访、督案件回访、退保给付保单质押贷投资账户、保全控制保全变更退保款给付分红型业务结算一级二级内部欺诈外部欺诈越权三级一级运营人员超权限进行工作审批费用支出超过审批权限不相容岗位兼任二级业务运营流程销售流程三级宣传材料违规佣金手续费错误激励方案失误其他盗窃资产门店销售不合规其他内部盗窃与欺诈外部盗窃与欺诈编制虚假保单阴阳单贿赂与回扣承保流程承保信息错误手续与资料不完整违反承保政策或风勘不合规费用套取印章盗用单证遗失或未经审批使用利用保险洗钱虚假理赔销售第三方理财产品倒签单其他其他外部人员盗窃保险理赔欺诈理赔流程人为调整未决估计重要理赔资料缺失赔案支付不正确外部原因导致通融赔付其他门店理赔不合规理赔案卷或案卷材料丢失代理人与中介机构欺诈代理人与中介机构欺诈门店保险理赔欺诈利用理赔洗钱其他门店欺诈其他门店费用套取黑客攻击再保其他再保信息错误自留额管理不合规外部系统安全其他劳动关系与安全外部窃取公司信息劳动纠纷准备金其他准备金错误会计帐务错误劳动关系与安全其他产品模型的回顾与更新财务流程税务处理错误未及时对应收款项进行管理产品研发与客户管理产品瑕疵其他客户信息保密产品条款缺陷员工泄露客户信息其他资金运用与指引不一致台账与资金记录错误其他销售误导未履行告知义务资金运用其他交易对手不合规其他未及时提供服务第三方合作外包商纠纷中介机构不符合资质咨询与客户服务其他通融赔付自然灾害不恰当的关联交易其他系统硬件损坏资产破坏资产损坏其他大规模人为事故业务中断及系统故障业务中断及系统故核心系统当机障大范围电路或网络故障软件故障或数据差错其他一级流程二级流程设计不合理、不完善职责不明确流程执行不严格未建立严格的执行保证措施人员员工违规违法员工操作不熟练员工岗位设置系统软硬件故障业务系统漏洞不严格的软件变更管理业务数据不合适访问数据备份和应急预案不足外部自然灾害突发事件外部欺诈操作风险与内部控制的相关性

内部控制内部控制体系的一、二级流程清单

操作风险操作风险分类下二、三级风险分类操作风险库与内控风险点形成统一的风险清单，明确每个风险点的“风险成因”以及

“操作风险损失形态”统一的流程清单

内部控制内部控制风险点

操作风险操作风险清单采用内控的流程清单作为操作风险二、三级风险分类的划分依据。流程清单的一致性是内控与操作风险的管理基础统一的风险清单

内部欺诈

外部欺诈

劳动关系与安全产品研发客户管理

资产破坏

运营及系统中断

业务运营流程人员

流程

系统

外部Page

25一级流程二级流程1二级流程2二级流程3二级流程4二级流程5二25操作风险与内部控制的相关性行动计划风险与控制

识别

RCSA工

具中包

含的具

体元素Page

26评分计划及标准的设定

风险

清单风险地图

设定

综合说

明表

操作风险暴

露与控制有

效性评估风险评估问卷

评分结果分

析及调整风险地图结合内部控制评价结果结合内部控制缺陷整改操作风险与内部控制的相关性行动计划风险与控制 体元素评分计划26操作风险管理介绍操作风险管理介绍27Page

2操作风险管理的监管要求Page2操作风险管理的监管要求28Page

3偿二代对操作风险的要求Page3偿二代对操作风险的要求29Page

4不达标当季达标连续4个季度达标连续8个季度达标核心偿付能力不达标0分0分0分0分当季达标连续4个季度达标连续8个季度达0分0分0分60分60分60分60分80分80分

60分

80分100分操作风险监管要求分类监管（10号文）量化风险

(100分，50%)

综合偿付能力难以量化风险

(100分，50%)操作风险

50%►►销售、承保、保全

(1/9权重)理赔

(1/9权重)►再保险

(1/9权重)►►资金运用

(1/9权重)公司治理

(1/9权重)►财务管理

(1/9权重)►►►准备金管理

(1/9权重)案件管理

(1/9权重)信息系统

(1/9权重)►合规风险

(扣分项，1/9权重)流动性风险

25%►►定量监管指标定性评估战略风险

15%►►外部环境战略执行声誉风险

10%►►►公司声誉的外部环境公司声誉风险的历史数据可能导致声誉风险的外部因素►►战略制定外部因素Page4不达标当季达标连续4个季度达标连续8个季度达标核30评估项目评分标准权重占本类风险的比难以量化风险的比总风险的比权后评分标准保监会保监局操作风险销售、承保、保全业线10030%70%1/91/181/36100/36理赔业务线10030%70%1/91/181/36100/36再保险业务线100100%—1/91/181/36100/36资金运用业务线100100%—1/91/181/36100/36公司治理业务线100100%—1/91/181/36100/36财务管理10060%40%1/91/181/36100/36准备金管理100100%—1/91/181/36100/36信息系统100100%—1/91/181/36100/36案件管理100100%—1/91/181/36100/36合规风险-100100%—1/91/181/36-100/36小计100100%—100%50%25%25(满分)操作风险监管要求分类监管（10号文）

偿二代10号文分类监管评估细则提出了操作风险的评估标准与要求►从以下几方面进行评估：内部控制评估各业务线的内部控制程序和流程、操作风险的历史数据、经验分布和发展趋势人员评估可能导致操作风险的人员因素，包括招聘、解雇、培训、领导能力和持续发展规划、业绩管理、薪酬等系统评估公司信息系统存在的问题和风险，包括系统设计缺陷、软件/硬件故障或不足、信息安全和数据质量等方面的风险等；外部因素评估公司操作风险的外部环境，包括行业操作风险的总体水平和趋势；评估可能导致公司操作风险的外部因素，包括法律法规、监管政策、

不可抗力等Page

5评估项目评分标准权重占本类风险的比难以量化风险的比总风险的比31操作风险监管要求风险管理能力评估（11号文）损失事件业务条线损失形态风险成因后果严重

程度等操作风险的定义与表现

操作风险管理组织架构、

权限和责任操作风险内部

机制操作风险的管理方法与程序对操作风险进行分类管理。制定操作风险管理制度；操作风险管理政策应当与公司的业务性质、规模、复杂程度和风险特征相适应，主要包括：建立操作风险管理的工作程序和流程，明确牵头部门及其他部门的职责分工。对经营活动中各个领域的操作风险进行识别与分析。►对可能出现操作风险的业务流程、人员、系统和外部事件等因素进行识别和分析►识别销售误导、理赔欺诈、投资误操作、财务披露错误、洗钱、信息安全、系统故障等方

面的系统风险；Page

6►从风险影响程度、发生频率与控制效率等方面对已识别的风险进行分析和评价；►在新业务、新产品上线，流程和体系有重大变化时，及时开展针对性的操作风险识别与评估。操作风险监管要求损失业务损失风险后果严重操作风险的 操作风险32Page

7操作风险特性及其管理工具Page7操作风险特性及其管理工具33Page

8►►►

►

►

操作风险，是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的

风险。其包括法律风险，但不包括战略风险和声誉风险。

对企业的财务状况、客户/服务、员工、声誉、法律/监管等方面造成的不利影响

操作风险事件，是指符合操作风险定义的由不完善或有问题的内部程序、人员、系统以

及外部事件造成的事件。

包含具体的时间、地点、情节、涉及的人员

操作风险管理，是指对操作风险进行主动识别、评估、监测、控制或缓释、监测和报告

的过程。该过程周而复始，也可称作操作风险管理循环

。操作风险包括原因、事件及后果：

►

原因：导致损失的缘由是什么

►

事件：时间、地点、情节、涉及的人员；及

►

后果：该损失对损益的影响。操作风险是潜在的；操作风险事件是已发生的。什么是操作风险Page8► 操作风险，是指由不完善或有问题的内部程序、人34操作风险的主要特性

内生性

风险覆盖面大

风险与收益无直接相

关性

风险与业务规模和复

杂度成正比

涉及部门广Page

9操作风险中的风险因素很大比例上来源于保险公司的业务操作，属于可控范围内的内生风险。

操作风险管理几乎覆盖了保险经营管理所有方面的不同风险。既包括发生频

率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、

但一旦发生就会造成极大损失,甚至危及到保险公司存亡的自然灾害、大规

模舞弊等。

对于信用风险和市场风险而言，风险与报酬存在一一映射关系，但这种关系

并不一定适用于操作风险。

业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击的可能

性最大

。

操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及保险公司内部

的所有部门。操作风险的主要特性 内生性操作风险中的风险因素很大比例35流程分析(风险与控制识别)风险与控制

自我评估风险地图设置(容忍度设置)风险字典库

建立/维护控制字典库建立/维护

流程框架建立/维护分析与行动关键因子与关键控制

识别与筛选损失事件识别基础工作风险与控制自我评估(RCSA)关键风险指标(KRI)分析与整改

关键风险指标设计损失数据收集(LDC)

通报、处理、

数据收集综合性操作风险分析与报告

提供基础

提供参考Page

10自我诊断与完善预警信息监控与应对监控、分析与行动

事件收集与整改操作风险管理工具

什么是操作风险三大管理工具流程分析(风险与控制识别)风险与控制风险地图设置风险字典库建36Page

11内部事件直接影响间接影响操作风险事件影响效果操作风险因子人员流程系统工作权责划分资格资质盘点制度XXXXX

外部事件控制措施操作风险字

典库控制字典库操作风险实施的基础工作建立风险库操作风险是由因子、事件及影响效果三个要素所构成针对所面对的操作风险因子以及可能发生的操作风险事件，会设计一系列的控制措施来加以应对。总体来说，操作风险因子、事件及影响效果彼此间具有一定的关联性，且依据控制措施的设计目的及可发挥的功能，将可建立操作风险因子或事件与控制措施间的关联性。为了让公司对于操作风险与控制的定义有共同的沟通语言，并符合科学化风险分析的要求，需要建立一套适用于全公司的操作风险的字典库。

操作风险Page11内部事件直接影响间接影响操作风险事件影响效果操37Page

12操作风险实施的基础工作流程盘点销售承保理赔保全再保险财务行政人力资源准备金评估•••••••制定评估方法投资收益率及折现率假设费用假设及其他精算假设确认评估假设精算基础数据及数据复核建立并运行精算评估模型检查计算结果产品定价财务会计•

预算制定、跟踪•

费用管理•

会计核算•

财务报告•

应收保费管理实物、无形资产•

资产采购•

资产处置•

折旧摊销•

资产减值人事管理••••招聘解聘薪酬福利教育培训绩效考核•••••业务初审核保调查系统核保人工核保网上承保•••••••报案立案初审复审争议处理档案管理网上理赔•••••信息变更保单复效续期收费保单借款退保办理销售理赔精算保全再保险资金运用•

现金•

支票•

资金上划下拨•

系统对账有价单证公司治理公司治理•

公司治理结构的设置•

董事会、下设专业委

员会及独立董事制度•

监事会•

审计委员会•

公司治理结构信息的

披露•

分子公司管理总公司各个分公司•

征订、印刷

入库•

发放领用•

单证核销•

单证回缴•

单证清点•

单证销毁•

人员控制••••中介渠道电话渠道直接销售银保渠道•

合约分保•

临时分保••••••需求调研参数设定定价测算产品测试汇报审批发布上线Page12操作风险实施的基础工作销售承保理赔保全再保险财38行动计划风险与控制自我评估（RCSA）

什么是操作风险RCSA

风险与控制自我评估（RCSA）是公司识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度

及有效性的操作风险管理工具。RCSA主要包括以下几块工作：风险与控制

识别

RCSA工

具中包

含的具

体元素Page

13评分计划及标准的设定

风险

清单风险地图

设定

综合说

明表

操作风险暴

露与控制有

效性评估风险评估问卷

评分结果分

析及调整风险地图行动计划风险与控制自我评估（RCSA）风险与控制 体元素评分39未对入库的单证进行入

例

验收及登记；未对出库库的单证进行登记；未对已使用的单证进行销号Page

14RCSA风险清单根据行业内最佳实践的的风险库进行风险事件描述的整合。风险清单综合说明

表风险评估问卷风险地图流程序号

1

2

3

4

5保全保全保全保全保全

风险事件保单退保率高/继续率低保单信息更新后未通知被保险人/未进行回访保单质押贷款的利息计算不正确保单质押贷款未得到适当审核保全申请未经复核

6

7

8

9101112131415161718192021222324252627282930保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全保全承保承保承保承保承保承保承保保全信息录入不准确不应该发放保单质押贷款的险种亦发放了保单质押贷款发放的保单质押贷款金额超过保单现金价值的XX%非常规退保/免息复效未得到特殊审批给付金额计算不准确冒领保险金/保险金发放到错误的账号批单申请资料不真实、不完整批单未及时有效地传递至批单申请人涉及到条款/承保范围的变化没有递交核保收付费岗位与业务处理岗位职责分离不明确收付费用计算不正确违规批退伪冒领取批处理款虚假批单犹豫期退单率高越权审核批单质押贷款保单中止不及时代理人代签保全申请保单未经核保即承保保费收取录入不真实、不准确保费收入入帐不及时代理人代签投保单对承保风险评估不足对于寿险业务，未收款先承保发生孤儿保单情况，保费收入无法及时收取，后续服务无法妥善提供流程序号

31

32

33

34

35承保承保承保承保承保

风险事件核保不及时核保及录入为同一人核保确认的信息与保单信息不一致核保人权限设定不当核保人员资质不足36373839404142434445464748495051525354555657585960承保

核算错误导致财务信息不真实承保

侵占、挪用保费承保

特别约定不符合政策要求承保

投保人信息录入有误承保

投保资料不真实、不完整承保

续期保费未正确计算承保

续期管理未经固化，职责未细分落实到员工承保

隐瞒投保承保

应收保费回收不力承保

越权或盗用他人权限核保承保

收支没有分两条线承保

代理人收取的保费未及时上缴承保

回访结果记录错误/遗漏单证与印章管理

私印协议及相关有价单证单证与印章管理

示单证与印章管理

未设置专岗对单证进行妥善完整的保管单证与印章管理

未收回注销/作废单证的所有联单证与印章管理

无完善的单证管理规范单证与印章管理

系统外出单投诉管理

客服人员专业技能不足投诉管理

客户人员态度随便、不回答咨询问题投诉管理

投诉处理不及时，未及时跟进投诉处理结果投诉管理

未对客户投诉进行及时跟踪处理投诉管理

未对客户投诉进行记录投诉管理

未设立完善的投诉管理流程未对入库的单证进行入例验收及登记；未对出库库的单证进行登40子流程#流程步骤#步骤说明控制编号控制措施标的风险类型控制频率手工/系统控制预防型/检查型控制负责部门负责岗位风险事件类型编号风险事件描述风险因子类型编号风险因子类型单证管理7单证入库管理DZ-01对于单证的入库操作进行管理DZ-CA-01重要单证征订与入库单证管理人员定期在单证管理系统中向太平人寿财务部提出征订申请，申请通过后接收重要单证并进行盘点。盘点无误后在系统中进行入库操作。目前入库未保证一人盘点一人复核。OR-401-04因重要单证如保单首页、保单发票发生丢失、损毁导致公司遭受损失YZ-02员工按需手工预防型作业部单证管理岗单证管理7单证使用管理DZ-02对于单证的日常使用进行管理DZ-CA-02重要单证使用状态登记所有单证的使用都需在系统中对其使用用途进行说明。OR-401-04因重要单证如保单首页、保单发票发生丢失、损毁导致公司遭受损失YZ-02员工按需手工预防型作业部单证管理岗单证管理7单证使用管理DZ-02对于单证的日常使用进行管理DZ-CA-03作废重要单证处理操作对于作废的重要单证，由单证管理人员在系统中进行作废操作，并制作需销毁单证清单，根据专业公司要求将作废单证以及需销毁单证清单寄回专业公司。作废单证未加盖作废章。OR-103-05因内部人员伪造或变造重要单证（如保单发票、保单首页）进行业务申请或交易导致公司遭受损失YZ-02员工按需手工预防型示作业部单证管理岗OR-602-04因外部人员伪造或变造重要单证（如保单发票、保单首页）进行业务申请或交易导致公司遭受损失YZ-04外部因素RCSA综合说明表

RCSA综合说明表是流程分析的结果导出，是生成风险评估问卷的过程性文档。流程分析主要依据公司

现有管理办法，操作手册等制度的梳理完成。Page

15风险清单综合说明

表风险评估问卷风险地图子流程#流程步骤#步骤说明控制编号控制措施标的风险类型控制频41控制固有风险评分控制评分剩余风险评分类型编号类型概述控制措施编号控制措施系统自动控制控制范围事前/事后控制直接损失风险暴露设计落实度控制有效性直接损失间接损失风险暴露(直接损失)剩余风险落点调整后的风险地图落点频率严重度频率严重度声誉严重受损监管行动运营中断广大客户服务质量受损员工安全CB140101工作程序中设计防欺诈的操作步骤IB-CA-102对于业务申请书、授权文书等资料，分支行柜面经办柜员须核对客户预留印鉴的真实性。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制例示CB140101工作程序中设计防欺诈的操作步骤IB-CA-307分支行须审核申请人提交的《进口到单通知书》及《承兑/付款通知书》是否经过签字并加盖预留印鉴。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-318分支行须审核申请人提交的《对外付款/承兑通知书》上的签章，并进行电子或手工验印经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-401对申请人提出的撤证申请，分支行柜面须核对撤证申请书签章是否与预留印鉴相符经了解目前分支行柜面在业务受理阶段对于业务申请人相关资料上的印鉴并未经过核印。手工控制所有事前控制CB140101工作程序中设计防欺诈的操作步骤IB-CA-406分支行柜面须核对书面确认函上的印鉴一致后将相关单证递交总行国际业务部。经了解目前分支行柜面在业务受理阶段对于业务申请人相关资手工控制所有事前控制RCSA风险与控制评估问卷风险与控制评估（RCSA）结果示例－风险与控制自我评估以下是风险与控制有效性评估示例，针对每一个控制措施，分别进行控制设计和控制运行的评估，从而控制有效性的综合评估情况。针对每一个操作风险事件，分别进行直接损失（频率与严重度两个角度）和间接损失的评估，从而得到操作风险暴露及其落点情况。风险清单综合说明

表风险评估问卷风险地图

料上的印鉴并未经过核印。Page

16固有风险评分控制的评分剩余风险评分风险与控制评分控制固有风险评分控制评分剩余风险评分类型编号类型概述控制措施4230,000,00060,000,00099,000,000300,000,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,465,70026,931,40044,436,810134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,400,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,121,0001,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,645,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000RCSA风险地图操作风险事件可能带来的财务损失风险地图是将风险评估（RSA）中操作风险暴露评估结果与采取应对措施的联结工具，风险地图最主要的目的在于为操作风险暴露的评估结果带来管理上的意义。

绿色区域（可容忍，不需另外采取应对措

施）：操作风险暴露落在安全区域，基于风

险管理、成本与效益的考虑，视该操作风险

暴露为业务经营的操作风险成本。

黄色区域（可容忍，但应该加强监控）：表

示操作风险暴露落在需加强监控的范围内，

相关单位应加强管理与监控的力度。

橙色区域（可容忍，但应该采取应对措施）：

操作风险暴露已落在警戒范围内，相关单位

应该立刻采取应对措施，以将操作风险暴露

迅速降低至安全区域。（绿色或黄色区域）

红色区域（不可容忍，特别关注并采取应对

措施）：操作风险暴露已落在不可忍受的范

围内，应特别关注，并采取强度较大的应对

措施，将操作风险迅速降低至安全区域。

操作风险事件可能发生的频率（未来一年内发生

的次数)Page

17风险清单综合说明

表风险评估问卷风险地图30,000,00060,000,00099,000,00043D.

指标的使用原因事件后果可确定引发事件的主要原因事件发生事件发生对实现业务营运目标的影响

原因预测性KI

后果滞后性KI

预防预测性KI

监控滞后性KI

缓释滞后性KI控制预防性控制监控、缓释性控制关键指标

(KI)

关键指标应用：关键风险指标和关键控制指标可以帮助预测和识别风险，并反映风险控制措施的有效性和

风险缓释的效果。通过使用关键指标可在实现风险预警的基础上，制定行动方案以缓释风险。Page

18风险控制G.质量验证E.报告和监控确认关键E-G

监控阶段A-D,H

设置阶段H.关键指标

的复评F.行动方案的

制定与执行A.识别和定义C.设置关键

指标阀值B.数据的收集

和验证关键指标架构风险关键指标设计方案关键指标的基本建设D.