操作风险框架梳理

什么是操作风险？时间发布组织文件名称定义1998年巴塞尔委员会《操作风险管理调查报告》市场风险和信用风险以外的其他风险。2001年英国银行业协会《操作风险管理调查报告》由于内部程序、人员、系统的不完善或失误，或外部事件造成直接损失或间接损失的风险。2001年巴塞尔委员会《巴塞尔新资本协议》（征求意见稿）由于内部的程序、人员、系统不充足或运行失当以及因为外部事件的冲击等导致直接损失或间接损失的可能性的风险。该定义包括法律风险，但排除政策性风险与声誉风险。2003年巴塞尔委员会《操作风险管理与监管的稳健做法》由于不当或失败的内部程序、人员和系统或因外部事件导致损失的风险。2004年巴塞尔委员会《巴塞尔新资本协议》由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险。2007年中国银监会《商业银行操作风险管理指引》由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。操作风险的定义四大风险因素和七大损失类型人员内部流程IT系统外部事件指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因歧视及差别待遇导致的损失事件指因未按有关规定造成未对特定客户履行份内义务（如诚信责任和适当性要求）或产品性质或设计缺陷导致的损失事件因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件

风险因素内部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件执行、交割和流程管理事件信息科技

系统事件外部欺詐实物资产的损坏损失类型操作风险损失形态损失形态具体描述因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等由于操作风险事件引起的其他损失因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等2.监管罚没

3.资产损失4.对外赔偿5.追索失败6.账面减值7.其它损失由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等1.法律成本

5操作风险结构起因事件结果事件类别：内部诈欺外部欺诈雇用惯例和工作场所安全客户、产品及营业行为人员或资产损失营运中断与系统当机执行、运送及操作流程的管理结果类别：影响损益账户冲销丧失追索权法律责任赔偿资产遗失或损坏主管机关的监管行动客户投诉信誉受损其它影响起因类别：组织信息科技信息、资料人力资源操作流程外部事件荷兰银行的操作风险结构重点在于区分“起因”,“事件”及“结果”三个关键因素，因为每一个关键因素都可能被使用作为分析操作风险的起点。

一、操作风险绪论—风险特征1.具体性。不同类型的操作风险具有各自具体的特性，难以用一种方法对各类操作风险进行准确的识别和计量，原因在于操作风险中的风险因素主要存在于银行的业务操作中，几乎涵盖了银行的所有业务，操作风险事件前后之间有关联，但是单个的操作风险因素与操作性损失之间并不存在可以定量界定的数量关系，个体性较强。2.分散性。试图用一种方法来覆盖操作风险管理的所有领域几乎是不可能的，原因在于操作风险管理实际上覆盖了银行经营管理中几乎所有方面的不同风险，既包括发生频率高、造成损失相对较低的日常业务流程处理上的小错误，也包括发生频率低、造成损失相对较高的大规模舞弊、自然灾害等，而且操作风险与各类风险相互交叠，涉及面广。同时操作风险管理不可能由一个部门完成，必须建立操作风险管理的框架体系。3.差异性。不同业务领域操作风险的表现方式存在差异，原因在于业务规模小、交易量小、结构变化不太迅速的业务领域，虽然操作风险造成的损失不一定低，但是发生操作风险的频率相对较低；而业务规模大、交易量大、结构变化迅速的业务领域，受到操作风险冲击的可能性也大。4.复杂性。银行风险管理部门难以确定哪些因素对于操作风险管理来说是最重要的，原因在于引起操作风险的因素较复杂，如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险，而通常可以监测和识别的操作风险，与由此可能导致的损失的规模、频率之间不存在直接关系，常常带有鲜明的个案特征。5.内生性。除自然灾害、恐怖袭击等外部事件外，操作风险的风险因素很大比例上来源于银行的业务操作，属于银行的内生风险。6.转化性。操作风险是基础性风险，对其他类别风险，如信用风险、市场风险等有重要影响，操作风险管理不善，将会引起风险的转化，导致其他风险的产生，2008年爆发的金融危机为我们分析风险之间的转化机制提供了很好的样本。操作风险的特点操作风险事件案例2008年1月法国兴业银行爆发全球金融史上最大弊案，一位年轻交易员越权作多欧洲股价指数期货，造成该行亏损49亿欧元（72亿美元），使得兴业银行当年全年营收净利剩下9.47亿欧元，比前年下跌82%。2001年11月UBS交易员把「每股61万日圆，卖出16股」打成「每股16日圆，卖出61万股」，在几秒钟内使公司损失7,100万英镑。1995年1月巴林银行(Barings)倒闭之案例：→流程控管的监督失衡:总行稽核与里森间的信任与放任→系统控管:超过限额的风险预警机制未发挥作用→系统安全:李森同时具有设定系统权限与限额的能力。

2006年交行某分行发生一起涉案金额约2亿元人民币的客户资金诈骗案。2009年12月底某基金公司“乌龙门”事件(申购赎回清单计算偏差)。操作风险事件案例2001年美国911事件，许多设在世界贸易中心的金融公司丧失了大量财产、员工与数据数据。

2006年12月26日晚间恒春大地震造成国际海缆中断，台湾及东亚各地网络与电话服务都因此受到严重影响。2008年汶川大地震造成在地震受灾严重地区，银行运营活动停止(绵竹市某家大型商业银行营业网点)如何管理操作风险？二、操作风险管理——基本概念操作风险管理是指在实现组织经营目标过程中，相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程，以保障组织经营目标的实现。操作风险管理覆盖面组织结构：包括治理结构、内部控制、组织文化人员：包括人员素质、人员稳定性、绩效及薪酬结构、内部欺诈外部因素：包括外部欺诈、经营产所安全性、外部突发事件业务流程：包括业务流程设计缺陷、业务流程执行不规范信息科技系统：计算机硬件、计算机软件、通信二、操作风风险管理—管理目标操作风险管管理的总目目标：将业务操作风风险控制在在一个可以以接受的范范围内，使使得各类业业务完成目目标之总和和可以为企企业的总体体经营目标标的实现提提供操作保障。保证资产安安全保证业务运运转连续性性保证企业和和业务的效效益和效率率保证经营的的合规性操作风险管管理的目标标保证流程任任务完成的正确确性操作风险管理原则企业操作风风险管理的的六条基本本原则：（1）客观性：：以风险事事件为管理理的基础。。（2）一致性；；建立统一一的风险评评估规则和和计量口径径。（3）相关性：：考虑各类类风险事件件的传递和和关联（4）透明性：：建立公开开的行政管管理制度和和规范（5）整体性：：从体系的的角度实现现业务管理理的协调、、关联、和和匹配（6）完整性：：操作风险险管理力争争做到全面面覆盖能有效降低低操作风险险，使内在在风险-已降低风险险=剩余风险最最小化的操操作风险管管理的12条黄金法则则（Hans-UlrichDoerig，瑞士信贷贷集团）：（1）战略；（（2）结构；（（3）系统化；；（4）员工；（（5）安全；（（6）速度；（（7）利益相关关者；（8）共同价值值观；（9）技能；（（10）象征；（（11）风格；（（12）同步银监会操作风风险管理13条原则（1）高度重视防防范操作风风险的规章章制度建设设；（2）切实加强强稽核建设设；（3）加强对基基层行的合合规性监督督；（4）订立职责责制，明确确总行及各各级分支机机构的责任任，形成明明确的制度度保障；（5）坚持相关关的行务管管理公开制制度；（6）建立和实实施基层主主管轮岗轮轮调和强制制性休假制制度，并确确保这一安安排纳入总总行及各级级分支机构构的人事管管理制度；；（7）严格规范范重要岗位位和敏感环环节工作人人员八小时时内外的行行为，建立立相应的行行为失范监监察制度；（8）对举报查查实的案件件，举报人人属于来自自基层的员员工（包括括合同工、、临时工））的，要予予以重奖；；（9）加强和完完善银行与与客户、银银行与银行行以及银行行内部业务务台账与会会计账之间间的适时对对账制度，，对对账频频率、对账账对象、可可参与对账账人员等做做出明确规规定；（10）加强未达达账项和差差错处理的的环节控制制，记账岗岗位和对账账岗位必须须严格分开开，坚决做做到对未达达账和账款款差错的查查核工作不不返原岗处处理（11）严格印章章、密押、、凭证的分分管与分存存及销毁制制度，坚决决执行制度度规定，并并对此进行行严格检查查，对违规规者进行严严厉惩处（12）加强对可可能发生的的账外经营营的监控（13）迅速改进进科技信息息系统，提提高通过技技术手段防防范操作风风险的能力力，支持各各类管理信信息的适时时、准确生生成，为业业务操作复复核和稽核核部门的稽稽查提供坚坚实基础操作风险管管理流程识别评估监测缓释流程分析风险控制识别RSACSAKRILDC行动计划识别从业务流程出发，分析业务中的关键风险点；使用流程图法、流程分析法等工具。评估以业务流程为基点，对风险与控制进行自我评估；使用风险地图、问卷调查法等工具。风险控制和缓释在评估结果的基础上，根据可选方案对风险进行控制和缓释；使用行动计划、控制措施优化、保险等措施。监控、计量和报告对风险和控制情况进行监控、计量和报告；使用关键风险指标、操作风险报表/报告、资本计量等工具。操作风险管理工工具体系操作风险管理三三大工具：风险险与控制自我我评估(RCSA)、损失数据据收集（LDC)和关键风险险指标（KRI)。三大工具具贯穿操作作风险管理理始终，为为高效率、、系统化的的操作风险险管理提供供帮助。风险识别风险评估风险监测风险控制流程分析：：识别主要业业务流程或或业务活动动中固有的的操作风险险事件以及及目前本行行具备的相相应控制措措施损失数据收收集（LDC)：针对操作风风险事件的的相关信息息，进行数数据收集、、内容分析析、整改分分析设计与与执行、损损失分配、、内外部报报告等程序序风险与控制制自我评估(RCSA)：通过流程分分析，识别别和评估流流程中潜在在操作风险险以及自身身业务活动动的控制措措施、适当当程度及有有效性的操操作风险管管理工具。。关键风险指指标（KRI)：代表某一风风险领域变变化情况并并可定期监监控的统计计指标,可用用于于监监测测可可能能造造成成损损失失事事件件的的各各项项风风险险及及控控制制措措施施，，并并作作为为反反映映风风险险变变化化情情况况的的早早期期预预警警指指标标。。行动动计计划划：：通过过三三大大工工具具的的应应用用，，根根据据对对风风险险暴暴露露严严重重程程度度的的判判断断，，采采取取相相应应的的措措施施，，将将风风险险暴暴露露降降低低到到可可接接受受的的水水平平操作作风风险险管管理理三三大大工工具具的的相相互互作作用用风险险控控制制自自我我评评估估RCSA损失失数数据据收收集集LDC通过过RCSA对风风险险的的辨辨识识，，对对寻寻找找损损失失数数据据提提供供了了依依据据关键键风风险险指指标标KRI真实实的的损损失失数数据据对对RCSA风险险点点的的评评估估提提供供了了参参考考真实实的的损损失失数数据据为为KRI设置置提提供供了了参参考考KRI异常常往往往往指指向向真真实实的的损损失失事事件件RCSA的评评估估结结果果为为KRI提供供了了额额外外的的操操作作风风险险信信息息,成为为KRI设置置的的参参考考KRI的异异常常可可成成为为RCSA的驱驱动动力力之之一一操作作风风险险管管理理三三大大工工具具———目录录-风险险与与控控制制自自我我评评估估（（RCSA）-关键键风风险险指指标标（（KRI）-损失失数数据据收收集集（（LDC）风险险与与控控制制自自我我评评估估（（RCSA）RCSA是一一种种通通过过调调查查金金融融机机构构管管理理层层和和员员工工有有关关对对操操作作风风险险损损失失事事项项发发生生可可能能性性和和严严重重性性的的估估计计，，将将调调查查结结果果与与未未来来预预计计损损失失进进行行匹匹配配(Mapping)的方法法目前前RCSA的目目的的单单纯纯集集中中在在估估计计预预期期损损失失(ExpectedLoss,EL)，只只有有在在实实行行操操作作风风险险高高级级计计量量法法(AdvancedMeasurementApproach,AMA)后，，才才能能对对非非预预期期损损失失进进行行计量量事件件发发生生的的频频率率(Frequency)和损损失失的的严严重重性性(Severity)是评评估估现现有有风风险险因因素素管管理理和和操操作作风风险险控控制制质质量量的的关关键键信信息息额外外的的操操作作风风险险管管理理信信息息来来源源：：仅仅仅依依靠靠对对真真实实发发生生的的损损失失事事件件进进行行收收集集不不足足以以评评估估银银行行的的操操作作风风险险暴暴露露，，RCSA可以以使使银银行行建建立立额额外外的的操操作作风风险险管管理理信信息息来来源源对操操作作风风险险管管理理环环境境变变化化作作及及时时的的调调整整：：当银银行行的的业业务务环环境境发发生生改改变变时时（（如如推推出出新新产产品品，，员员工工数数量量发发生生显显著著增增长长）），，特特定定的的RCSA制度度可可及及时时对对其其引引起起的的操操作作风风险险暴暴露露变变化化进进行行反反映映，，为为管管理理层层的的决决策策提提供供参参考考定期期辨辨识识潜潜在在的的操操作作风风险险暴暴露露：：常规规的的RCSA制度度可可以以对对银银行行的的操操作作风风险险环环境境进进行行定定期期的的评评估估，，有有助助于于管管理理层层及及时时辨辨识识是是否否需需要要改改变变现现有有的的流流程程和和控控制制政政策策，，以以规规避避潜潜在在的的操操作作风风险险损损失失为什什么么要要进进行行RCSA计量量指标标数据据集集中中风险险自自我我评评估估业务务环环境境损失失数数据据收收集集识别别模模型型损失失事事件件类类型型模模型型风险险因因素素模模型型指标标模模型型损失失影影响响类类型型模模型型组织织模模型型历史史风风险险资资本本主观观风风险险资资本本整合合（（贝贝叶叶斯斯方方法法））操作作风风险险资资本本调整整测算算环境境评评分分内部部损损失失数数据据外部部损损失失数数据据主观观估估计计控制制与与风风险险因因素素评评分分RCSA在操操作作风风险险资资本本计计量量中中扮扮演演的的角角色色RCSA的基基础础———三大大清清单单在全全行行统统一一进进行行流流程程、、风风险险点点及及控控制制措措施施清清单单梳梳理理，，将将其其作作为为风风险险与与控控制制自自我我评评估估架架构构的的基基础础。。梳理银行产品及虚拟产品（非产品）流程，作为风险识别的第一步，并作为将来银行开展RCSA工作的基础。流程清单以流程为基础，识别流程环节中的关键风险点。风险点清单针对风险点采用合适的控制措施，以增强各业务单位控制自评估的有效性。控制措施清单流程风险点损失事件类型控制措施流动资金贷款客户申请客户提供虚假材料外部欺诈客户经理和经办双方复核确认复印件真实性………………………………放款审核未及时办理抵质押手续执行、交付和流程管理设立专门的抵质押登记岗负责抵质押手续办理……授信后管理岗定期督促对抵质押办理完成率进行考核……………………示例例流程清单风险点清单控制措施清单RCSA的基基础础———三大大清清单单操作作风风险险识识别别模模型型是所所有有操操作作风风险险计计量量方方法法论论的的基基础础，，这这些些方方法法论论使使得得数数据据收收集集变变得得有有序序、、结结构构化化和和连连贯贯操作作风风险险识识别别模模型型由由如如下下模模块块构构成成组织织模模型型损失失事事件件模模型型风险险因因素素模模型型指标标模模型型影响响模模型型对所所有有可可能能的的损损失失事事件件类类型型进进行行识识别别和和分分类类对分析下的组组织维度进行行识别和定义义对导致损失事事件的所有可可能原因/因素进行识别别和分类对支持合理的的主观估计的的信息和指标标进行识别对一个事件的的所有可能影影响进行识别别和分类根据银行的特特点，应对各各模型的细部部层级进行客客制化，这需需要行内各相相关部门的外外部输入。模型细部层级级的内容主要要依赖于银行行各部门的收收集和整理，，在日常操作作风险管理中中，各相关部部门应注意收收集相关数据据，对各模型型进行整理、、更新和维护护RCSA方法论——识别模型的标标准分类识别模型损失事件类型型模型风险因素模型型影响模型组织模型范围定义设置和参数化化执行审阅和调整指标模型报告方法定义（自自上而下vs.自下而上；整整体vs.部分）识别RCSA涉及的业务单单元针对每份问卷卷定义问题选择评估方法法论定义阈值总行操作风险险管理部进行行结果分析由内审部门进进行检查与业务单元进进行讨论调整结果和评评级针对业务单元元经理的问卷卷的执行定量答案收集集（平均频率率，平均严重重性，最坏情情况）风险因素识别别报告的准备和和分发RCSA方法论——将识别模型应应用到RCSA风险自评估的的运行模式与与机制总行操作风险险管理部门定定期或不定期期，牵头组织织总行业务部部门对内控梳梳理的固有风风险和剩余风险开展自评评估工作。评估内容：需需要对操作风风险进行定性性、定量评估估。实施范围：参与人员与相相关职责：操作风险管理理部门（专职职岗位）：负负责牵头组织织、协调本级级的自评工作作，并在业务务部门自评估估工作中给予予支持和指导导；业务部门（兼兼职岗位）：：负责组织本本部门相关人人员通过工作作组会议形式式开展自评估估，并在系统统中录入评估估结果；业务部门（业业务专家/流程负责人））：参与相关关的自评估工工作组会议，，并在会议中中提供自评估估的专家经验验和建议；业务部门（部部门负责人/政策负责人））：负责最终终审核和确认认通过工作组组会议确定的的自评估结果果。总行部门需要要开展固有风风险自评估；；总行部门需要要开展剩余风风险自评估；；分行部门需要要开展剩余风风险自评估。。风险自评估的的运行模式与与机制评估频率：5.评估计划：定期：每年（（固有风险和和剩余风险））不定期：当发发生以下情形形时，会启动动固有风险和和剩余风险的的自评估工作作：同业发生重大大案件；本条线发生重重大操作风险险事件；总行信息系统统发生重大变变化；总行推行新产产品、新业务务、新流程；；监管机构发布布重大操作风风险提示；监管机构或者者管理层要求求发起的。总行操作风险险管理部门负负责制定全行行年度风险自自评（固有风风险和剩余风风险）的总体体工作计划；；总行业务部门门依据全行年年度工作计划划，制定本部部门的风险自自评（固有风风险和剩余风风险）工作计计划；分行业务部门门依据上级归归口部门制定定的年度自评评工作计划，，制定本部门门的剩余风险险自评工作计计划；分行操作风险险管理部门负负责汇总分行行业务部门制制定的年度自自评工作计划划，并在分行行范围内进行行协调和确认认。风险自评估的的运行模式与与机制6.工作开展模式式：风险自评主要要采用：线下下开展工作组组讨论会议+兼职岗位线上上录入结果的的方式，具体体开展模式举举例说明如下所示：：以总行部门流流程层级风险险自评估为例例（从固有风风险和剩余风风险的角度评评估操作风险险）：主流程部门兼兼职岗位负责责组织该主流流程牵头部门门和参与部门门相关的业务务专家召开工工作组讨论会会议，共同对该主流程程在内控梳理理中所识别的的流程层级的的风险进行讨讨论和评分，，该兼职岗位位当场记录评评分结果信息并请与会会人员签字确确认，会后由由牵头部门的的部门负责人人或政策负责责人对评分结结果做最终审审核和确认，并由该兼兼职岗位在系系统中录入最最终评分结果果信息。操作风险暴露露的评估规则则操作风险暴露（RE，RiskExposure）风险严重程度-直接损失（S，Severity）风险发生频率（F，Frequency）=×剩余风险暴露评估规则未来一年内，可能承受的操作风险损失未来一年内，该操作风险可能发生的次数平均而言，上述风险所造成的财务损失定义依据目前内外部环境、控制措施的有效性，估算可能发生的频率。依据目前内外部环境、控制措施的有效性，估算若这类风险发生，可能会带来多大的财务损失。参考依据历史损失数据业务量依据行内业务专家的经验历史损失数据目前平均的业务或交易金额目前平均的损失回收率操作风险暴露露的评估标准准（直接损失失）频率等级发生频率1至少每天发生一次2至少每周发生一次3至少每月发生一次4至少每季发生一次5至少每半年发生一次6至少每年发生一次7至少每3年发生一次8至少每5年发生一次9至少10年发生一次1030年以上发生一次严重度等级可能造成的损失（RMB）10-5,00025,000-10,000310,000-20,000420,000-50,000550,000-100,0006100,000-200,0007200,000-500,0008500,000-1,000,00091,000,000-2,000,000102,000,000-4,500,000114,500,000-9,500,000129,500,000-20,000,0001320,000,000-45,000,0001445,000,000-95,000,0001595,000,000-200,000,00016>200,000,000操作风险发生生频率评估表表操作风风险严严重程程度评评估表表（直直接损损失））发生频频率-未来一一年内内，评评估某某个操操作风风险发发生的的频率率，若若发生生频率率介于于两个个等级级间，，选择择频率率较高高者。。严重度度-某个操操作风风险若若一旦旦发生生时，，平均均而言言，估估算银银行可可能蒙蒙受的的财务务损失失。操作风风险暴暴露的的评估估标准准（间间接损损失））等级描述1影响5%的客户服务质量2影响20%的客户服务质量3影响50%以上的客户服务质量等级描述1中断1日2中断1周3中断1个月以上等级描述1负面信息于省内散播2负面信息于国内散播3负面信息于国际散播等级描述1造成员工轻微受伤2造成员工严重受伤3危机员工生命等级描述1监管部门口头警告2监管部门进场加强查核3监管部门强制银行停止业务间接损失评估表-声誉受损间接损失评估表-运营中断间接损失评估表-广大客户服务质量间接损失评估表-监管行动间接损失评估表-员工安全风险地地图风险地地图是是将风风险自自评估估中操操作风风险暴暴露评评估结结果与与采取取应对对措施施的联联结工工具，，其主主要目目的在于于为操操作风风险暴暴露的的评估估结果果带来来管理理上的的意义义。30,000,00060,000,00099,000,000300,000,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,456,70026,931,40044,368,100134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,40,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,211,0001,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,645,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000示例操作风险可能发生的频率（未来一年内发生的次数）操作风险可能带来的财务损失绿色区区域（（可容容忍，，不需需另外外采取取应对对措施施）：：操作作风险险暴露露落在在安全全区域域，基基于风风险管管理、、成本本与效效益的的考虑虑，视视该操操作风风险暴暴露为为业务务经营营的操操作风风险成成本。。黄色区区域（（可容容忍，，但应应该加加强监监控））：表表示操操作风风险暴暴露落落在需需加强强监控控的范范围内内，相相关单单位应应加强强管理理与监监控的的力度度。橙色区域（（可容忍，，但应该采采取应对措措施）：操操作风险暴暴露已落在在警戒范围围内，相关关单位应该该立刻采取取应对措施施，以将操操作风险暴暴露迅速降降低至安全全区域（绿绿色或黄色色区域）。。红色区域（（不可容忍忍，特别关关注并采取取应对措施施）：操作作风险暴露露已落在不不可忍受的的范围内，，应特别关关注，并采采取强度较较大的应对对措施，将将操作风险险迅速降低低至安全区区域（绿色色或黄色区区域）。风险评估的的覆盖面及及执行方式式风险类型评估标的评估方式/频率总行分行固有风险剩余风险固有风险剩余风险操作风险识别的操作风险点研讨会/年√√×√研讨会进行行方式：由由流程主办办部门的业业务条线兼兼职岗位牵牵头，召集集本部门流流程负责人人、业务骨骨干及协办办部门流程程负责人、、业务骨干干进行讨论论，并将讨讨论结果录录入系统。。控制措施有有效性评估估标准（控控制设计））级别评估标准标准说明1必要且有效控制措施设计能针对操作风险进行良好的管控。2必要但部分有效控制措施设计能针对操作风险发生管控效果，但管控方式仍有些许改善的空间。3必要但无效虽为必要的控制措施，但管控方式有很大的改善空间。4不必要控制措施为多余且无用。控制措施有有效性评估估标准（控控制运行））级别评估标准标准说明1绝对有效所有执行人员拥有专业胜任能力；控制落实程度为100%。（以上条款缺一不可）2通常有效多数执行人员具有专业胜任能力；控制落实程度为85%至99%。（以上条款只需其一）3基本有效部分执行人员具有专业胜任能力；控制落实程度为70%至84%。（以上条款只需其一）4偶尔有效个别执行人员具有专业胜任能力；控制落实程度为50%至69%。（以上条款只需其一）5无效执行人员均不具有专业胜任能力；控制落实程度为50%以上未落实。（以上条款只需其一）控制措施有有效性评估估标准（控控制运行））考虑到控制制运行失效效所造成的的后果，对对运行有效效性的评估估标准做如如下定性判断说明：：若偏离控制制措施行为为导致如下下后果，评评估结论应应为无效：：偏离控制措措施本身已已形成重大大缺陷，或或与其他控控制缺陷共共同构成重重大缺陷；；偏离控制措措施的行为为导致重大大操作风险险事件发生生，该控制制措施的运运行有效性性结论应为为无效。若偏离控制制措施行为为导致如下下后果，评评估结论不不得高于偶偶尔有效：：偏离控制措措施本身已已形成重大大缺陷，或或与其他控控制措施共共同构成重重要缺陷；；偏离控制措措施的行为为导致一般般操作风险险事件发生生，该控制制措施的运运行有效性性结论不得得高于偶尔尔有效。若偏离控制制措施行为为导致如下下后果，评评估结论不不得高于基基本有效：：被监管机构构检查发现现的问题，，并责令整整改；被媒体曝光光，对本行行形象造成成不良影响响；被条线检查查（二道防防线检查））或审计检检查发现缺缺陷。控制措施有有效性评估估结果的应应对方案（控制设计计）级别评估标准应对方案1必要且有效（重点关注）该类控制措施能够合理保证控制目标的实现；能够有效管控风险并且具有不可替代的作用；应重点测试该类控制措施运行的有效性。2必要但部分有效（可以接受）识别补充的控制措施，以合理保证实现控制目标并有效管控风险；鉴于该类控制措施的必要性，应测试运行有效性。3必要但无效（必须整改）需要启动整改，使其成为“必要但部分”或“必要且有效”的控制措施。4不必要（完全移除）冗余控制措施，可删除。控制措施有有效性评估估结果的应应对方案（控制运行行）级别评估标准应对方案1绝对有效对于多次自评为“绝对有效”的控制措施，可降低自评实施的频率；第三道防线需对此类的控制措施予以特别关注。2通常有效分析导致偏离控制措施行为的原因，有针对性的采取整改行动；可不再执行第三道防线测评。3基本有效4偶尔有效5无效控制自评估估的运行模模式与机制制总行操作风风险管理部部门定期或或不定期，，牵头组织织总行、分分行、支行行各级业务务部门开展展控制设计和运行行有效性的的自评估工工作：评估内容：：实施范围：：针对内控梳梳理中识别别的控制措措施开展自自评估工作作；控制措施需需要从控制制设计有效效性和运行行有效性的的两方面自自评估。控制设计有有效性自评评：总行业业务部门；；控制运行有有效性自评评：总行、、分行、支支行业务部部门。控制自评估估的运行模模式与机制制3.评估频率：：4.参与人员与与相关职责责：控制设计有有效性自评评：定期（（年度）、、不定期（（触发情形形与风险自自评相同））；控制运行有有效性自评评：定期（（半年）、、不定期（（触发情形形与风险自自评相同））。总行操作风风险管理部部门（专职职岗位）：：制定全行年年度控制自自评估总体体工作计划划，负责牵牵头组织、、协调本级级的自评估估工作；负责复评全全行业务部部门的控制制自评估结结果，完成成全行控制制自评估结结果报告；；负责培训、、指导总行行业务部门门的自评估估工作。分行操作风风险管理部部门（专职职岗位）：：汇总分行业业务部门年年度控制自自评估工作作计划，负负责牵头组组织、协调调本级的自自评估工作作；负责复评分分行业务部部门的控制制自评估结结果，完成成分行控制制自评估结结果报告；；负责培训、、指导分行行业务部门门的自评估估工作。业务部门（（兼职岗位位）：负责定期（（每年/月）组织本本部门的相相关人员开开展控制自自评估工作作；收集、整理理相关人员员的控制自自评估结果果，并在系系统中录入入评估结果果。控制自评估估的运行模模式与机制制业务部门（（操作人员员/业务专家/流程负责人人）：负责责定期（每每年/月）评估该该部门兼职职岗位提供供的问卷。。业务部门（（部门负责责人/政策负责人人）：负责责定期（每每年/月）最终审审核和确认认本部门的的控制自评评估结果。。5.评估计划：：总行操作风风险管理部部门负责牵牵头制定全全行年度控控制自评（（设计有效效性和运行行有效性））工作计划划；总行业务部部门依据操操作风险管管理部门总总体要求，，制定本部部门的控制制自评（设设计有效性性和运行有有效性）工工作计划；；分行业务部部门依据上上级归口部部门制定的的年度自评评工作计划划，制定本本部门的控控制自评工工作计划；；分行操作风风险管理部部门负责汇汇总分行业业务部门制制定的年度度自评工作作计划，并并在分行范范围内进行行协调和确确认；业务部门控控制设计有有效性和控控制运行有有效性的自自评模式与与风险自评评相同。控制复评的的运行模式式与机制为满足操作作风险管理理指引需求求，操作风风险管理部部门需实施施充分且有有代表性的的评估和测测试，询问政政策和控制制程序存在在的缺陷，，并进行相相应的调查查。复评内容：实施范围：评估频率：：针对业务板板块，对CSA的规划、过过程及结果果（非针对对单点的控控制）进行行整体评估估，主要包包括以下要要点：各部门是否否按规划执执行控制自自评工作，，包括日程程、覆盖面面、开展方方式（例如如：是否召召开研讨会会）等；针对控制设设计缺陷或或执行不到到位的，各各部门是否否积极应对对，启动行行动计划；；在合理性分分析的基础础上评估控控制自评结结果与条线线、合规检检查的结果果是否存在在重大偏离离，若存在在偏离，是是否有合理理的解释。。控制复评工工作针对总总行、分行行及其辖内内机构的内内控自评工工作开展。。半年（每个个条线的控控制评估覆覆盖完成一一次时）。。控制复评的的运行模式式与机制（（续）参与人员与相关关职责：评估计划：6.工作开展模模式：总行操作风风险管理部部门：评估估总行各部部门的控制制自评工作作执行情况况；及监督督分行操作作风险管理理部门的复复评执行情情况。分行操作风风险管理部部门：评估估本级分行行及所辖支支行的控制制自评工作作执行情况况。总行操作风风险管理部部门需根据据总行各业业务部门的的自评计划划制定总行行的控制复复评计划；；分行操作风风险管理部部门需根据据分行各业业务部门的的自评计划划制定本分分行的控制制复评计划划。通过报表的的方式对总总、分行及及其辖内机机构的控制制自评工作作进行全面面的复核和和分析；必要时还可可以对相关关人员实施施访谈，并并调阅相关关资料；对复评结果果出具总结结性意见。。风险自评估估（RSA）与其他相相关要素的的关系一道防线和和二道防线线的相关业业务和管理理部门，对对内控梳理理中识别的的风险开展展定期或不定期期自我评评估，风风险自评评模块（（RSA）与其他他模块之之间的关关系如下下：风险自评（RSA）是建立在全行统一内控梳理的标准上，将识别的风险与控制库、流程库、产品库、岗位库进行匹配，并依据评估标准库中相应评估标准，对识别的风险从频率和影响程度两个维度进行评估，并估算剩余风险暴露值。风险自评（RSA）主要对内控梳理成果——风险点，以定性和定量的方式，评估风险的暴露或等级。分析剩余风险暴露值落在风险地图的警戒范围或不能容忍范围的原因，并采取相应的行动方案。控制自评评估（CSA）与其他他相关要要素的关关系一道防线线和二道道防线的的相关业业务和管管理部门门对内控控梳理中中识别的的控制措措施开展展定期或不定定期的自自我评估估（CSA），评估估主要从从控制设设计有效效性和运运行有效效性两个个维度开展展。控制制自评模模块（CSA）与其他他模块之之间的关关系如下下：控制自评（CSA）是建立在全行统一内控梳理的标准上，将识别的控制与风险库、流程库、产品库、岗位库、内部规范及外部规章库匹配。控制自评（CSA）主要对内控梳理成果——控制措施，依据评估标准库中相应的评估标准，对识别的控制从设计有效性和运行有效性两个维度进行自我评估。操作风险险管理三三大工具具——目录-风险与控控制自我我评估（（RCSA）-关键风险险指标（（KRI）-损失数据据收集（（LDC）关键风险险指标（（KRI）关键风险险指标（（KRI，KeyRiskIndicator），是指指能够代代表操作风险险状况或者内控管理理水平变变化情况况，并可定期进进行监控控的统计指指标。关关键风险险指标用用于监测测可能造造成操作作风险损损失事件件的各项项风险、、相应的的控制措措施，以以反映操操作风险险状况或或内控管管理水平平变化情情况的早早期预警警。关键风险险指标（（KRI）的筛选选原则关键风险险指标的的筛选，，主要依依据指标标相关的的数据可可获取性性（是否否易取得得/更新）、、指标特特性（属性/周期是否否合适））及专家家意见，，从候选选指标列列表中挑挑选出可可立即使使用的关关键风险险指标。。实际应用用的指标标具备以以下特点点：属于候选列表的关键风险指标可立即应用的关键风险指标数据机密性高（例如高管薪酬增长率）数据可获取性低（例如客户经理个人股票持有数额）数据收集成本高数据更新频率低（例如指标数据每年才变动一次）指标实际参考性低数据机密性低数据可获取性高数据收集成本不高数据更新频率高指标实际参考性高关键风险险指标（（KRI）的筛选选示例风险指标机密性低数据可获取性高数据收集成本不高数据更新频率高新上岗人员的平均专业培训时数√√√√柜员的平均交易笔数√√√√柜员平均加班时数√√√√未来三个月关键岗位空缺数√×√√客户投诉数√√√√长期不动户重新启用件数√√√√核心系统未经授权尝试登入的次数√×√√柜员更正交易比率√√√√控制指标机密性低数据可获取性高数据收集成本不高数据更新频率高柜员错账比例√√√√柜员培训时数达成率√√√√会计主管复核时及时发现的错误笔数√××√日终检查出的问题交易比例√√√√列为候选选指标，，暂时不不使用。。示例关键风险险指标（（KRI）门槛值值设定的的参考依依据关键风险险指标门门槛值的的设定可可依循以以下四项项原则，，不同原原则所设设定的门门槛值可可同时存存在于一一个指标标之内：：依据操作风险偏好与容忍度与操作风险偏好相关的指标，可以依据操作风险容忍度设置该指标的门槛值，例如：监管处罚的事件数量（门槛=0）核心系统宕机后的恢复时间（门槛=2小时）依据现状或历史数据与操作质量或运作效能相关，且历史数据相对齐备的指标，在指标运作的初期，可依据当前的水平，设定指标门槛值。例如：柜员处理单笔交易的平均花费时间（门槛=5分钟）ATM交易未成功笔数（门槛=50笔/台/月）依据设定的管理目标与业务管理、人力资源管理或其它管