渤海银行操作风险管理系统（一期）建设项目 用户需求说明书

谢＞s银行

ChinaBohaiBank

操作风险管理系统（一期）建设项目

用户需求说明书

渤海银行操伟风妗笞理系统J一期"建设项卜用户毒求说明

ChinoBohaiBank

修改记录

制定日期生效日期制定/修订内容摘要页数版本拟稿审查批准

2008-11-13建立用户需求说明/的叉档结构0.1彭泽飞

㈱永超、王

2008-11-29完成各分部分内容初稿0.2胜、迟暮、刘

田林、罗强

2008-12-1合并文档初稿0.3彭泽飞

2008-12-4合并文档修议稿0.7彭泽飞

2008-12-9完成文档终稿1.0彩洋飞

《渤海银行_____________________—风阶二押二一《一加>碑讲师FFIIG需求错明:自

'ChinoBohaiBonk

目录

1••••••••••••••♦••••••••••••••••••••♦♦••••••♦••••••••••••••♦••••••♦•••••••••••••••••••••♦♦••••••••••••♦••••••••••••••♦♦•••••••♦•••••♦••••••♦♦••••••••••••j域代码己更改

i.i用户需求说明书目的....................................................................j域代码已更改

1.2说明书范围.............................................................................J域代码已更改

13缩略语解释.............................................................................2域代码已更改

1.4参考文件...............................................................................?域代码己更改

2♦♦♦♦・・・・♦♦♦・・・・・••♦♦・・・♦♦♦♦・・・・♦♦♦・・・♦♦•♦・・・・♦♦♦♦・・・・•♦•・・・・♦♦♦・・・♦••♦♦・・・・♦♦♦・・・・•••・・・・・♦♦♦・・・♦••♦・・・♦•♦•・・・・♦♦♦♦・・・・♦♦♦♦・・・♦♦♦・・・・•♦♦♦・・・・♦••・・・・J域代码己更改

2.1系统建设背景...........................................................................3域代码已更改

2.2系统目标................................................................................p域代码已更改

2.3系统使用者..............................................................................4域代码已更改

2.4本期系统范围...........................................................................9域代码己更改

3本操作风管理业务描述・・♦♦♦♦・・・♦••♦・・・・♦♦♦♦♦.・・♦••・・・・••♦・・・♦•♦♦♦・・・・♦♦♦・・・・♦••♦・・・・♦♦♦・・・♦♦♦♦・・・・••♦・・・・♦••♦♦・・・♦♦♦.・・・•♦♦・・・・♦•♦♦・・・・♦••・・・・§域代码己更改

31操作风险管理组织结构.................................................................£域代码己更改

3.2渤海银行操作风险管理主要活动介经.....................................................J域代码已更改

4海银操作风管理统整体描述••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••J。域代码己更改

4.1系统层次结构..........................................................................J0域代码己更改

4.1.1应用层................................................................................................................................................JI域代码已更改

4.1.2引擎U................................................................................................................................................J2域代码己更改

4.1.3应用数据层........................................................................................................................................J2域代码已更改

4.1.4基础数据层........................................................................................................................................J3域代码已更改

4.1.5僚作风险管理而端数据流,..............................................................................................................J4域代码己更改

4.2渤海很行操作风险（一期）的核心业务需求简述.........................................J6域代码已更改

4.2.13K基础数据库.....................................................................................................................................J6域代码己更改

4.2.2风险及控制讨估...................................................................................................................................J8域代码已更改

4.2.3风险上报..............................................................................................................................................?0域代码已更改

4.2.4风险处置行动计划...............................................................................................................................?/域代码己更改

4.2.5统计报表...............................................................................................................................................21域代码已更改

4.2.6管理层声明............................................................................................................................................?2域代码己更改

5作风险管理系统功能（一求明♦♦♦・・・・・♦♦•・・・・・♦♦•・・・・♦♦♦♦・・・・♦♦•・・・♦♦♦・・・・・♦♦•・・・・♦♦••・・・・♦♦♦・・・・♦♦・・・・・♦♦♦・・・・♦♦•♦・・・・♦♦♦・・？4域代码已更改

5.1系统基础数据管理.....................................................................24域代码己更改

5.1.1管理维度数据维护...........................................................................................................................?4域代码己更改

5.1.2探作风险组织结构维护..................................................................................................................加域代码已更改

5.23K标准库维护........................................................................>2域代码己更改

5.2.1嫂章制度资料库的维护...................................................................................................................J2域代码已更改

3.2.2KC3标准库维护...................................................................................................................................4/域代码已更改

5.2.3KCSA标准库维护.................................................................................................................................//域代码已更改

5.2.4KRI标准库维护................................................................................................................................606Z域代码已更改

5.3评估与检杳模块......................................................................707+域代码己更改

5.3.1一线自我评估...............................................................................................................................阿域代码已更改

目录I

a渤海银行棒作＜4■心询押系然GTIU＞血设项日用户取求海母14t

<ChinaBohaiBank

5.3.2指定u评估.....................................................................也典域代码已更改।

5.3.3二线检查........................................................................J084Q9域代码己更改j

5.3.4专项检查........................................................................J22I23域代码已更改1

5.3.5评估与检查查询,..............................................................］卫例.域代码己更改

5.4风险事件上报模块.............................................................................................................J40444城代码己更改)

5.4.1处理流程描述.....................................................................J4(H44域代码已更改।

5.4.2风险事件基本页面及数据项说明..……...............................................J45446域代码己更改j

5.4.3风险事件任务列表................................................................J53I54域代码已更改)

5.4.4风险事件维护,............................................................................................................—.域代码己更改

域代码m更改

5.4.5风险事件审核.............................................................................................................J6/M2

5.4.6重启己结束报告................................................................域代码已更改□

5.4.7突发风险事件上报................................................................165466域代码已更改j

5.4.8风险事件查询....................................................................168^＞域代码已更改)

5.51风险事件跟踪与行动计划管理..................................................................................................J72-P3域代码己更改

5.5.1行动计划制定...................................................................J73174域代码已更改

5.5.2实俺结果录入............................................................................................................./76/77域代码已更改

5.5.3行动计划延后.............................................................................................................J78/79域代码弓更改)

5.5.4风险事件关闭.............................................................................................................J7火刈域代码已更改1

5.6管理层声明....................................................................................................................J80m域代码己更改J

5.6.1管理层声明问题设践.........................................................出0131域代码已更改1

5.6.2发起管理乂声明..........................................................................................................域代码已更改

域代码已更改

5.6.3杳询管理层声明..........................................................................................................J8J照

5.7版表统计模块..................................................................................................................JS6IX?域代码已更改1

5.7.1操作风险管理人员统计............................................................J864^域代码己更改□

5.7.2探作风险管理工具统计.......................................................业7懦i域代码已更改1

5.7.3一线检查总体梢况........................................................................................................./W90域代码己更改

域代码m更改

5.7.4二线检查总体情况...............................................................19043

5.7.5仝行搽作风缺损央报告...............................................四193域代码己更改

5.7.6十大操作风险.....................................................................J9-U93域代码已更改J

5.7.7操作风险解决情况................................................................1954^域代码已更改)

..............................................19^97(域代码己更改

5.7.814类探作风险的状态.................□

域代码已更改1

6.1果作风险损失事件类型.........................................................................................................J97-WK域代码己更改1

6.2商业银行业务条线归类...............................................................四邈一一域代码已更改

A・・・・・・・・・・・・・・・♦♦・・・・・♦♦・・・・・・♦・・・・・♦・・・・・・・♦・・・・・・♦♦・・・・・・・・・・・<・・・・・・・・・♦・・・・・・・♦・・・・・・♦・・・・・・・・・・・・・♦♦・・・・・・♦・・・・・・・♦・・・・・・・♦•・・・・♦・・・・・・♦♦•・域代码己更改1

目录II

呼氏耳-----------------佯■除裨碑系统4一期）硅一项H用户衢求说明吗

rChinoBohoiBonfc

1文档简介

木畜将简要地说明用户需求说明书（以下简称木需求）的目的.范困.幺词定义和参考文件.

1.1用户需求说明书目的

本需求的目的在于阐明渤海银行操作风险管理系统（以下简称本系统）的各项需求，并给出本系

统的总体设计。

木需求为编制如下文档提供基木依据：

•”软件概要设计规格”

•''软件开发计划”

•''软件详细设计规格”

•''软件测试计划”

•，,软件测试说明”

•“秋件操作手册”

•“系统安装手册”

•”系统运行维护手册”

本需求与“软件详细设计规格”一起，为编程、元件测试、组件测试及软件集成测试提供基

本依据：

本需求为编制其它行关文件提供基本依据

本需求为软件质用:保证人员提供工作依据

本需求将作为日后软件确认测试和系统险收之准则

本需求与“软件详细设计规格”一起，将作为H后系统维护工作基准文件

1.2说明书范围

本需求的内容涵盖了本系统的业务描述的、系统整体描述、功能需求。

本需求的阅读、使用者包括：

1.项目管理人员

2.业务人员

渤海银行幔科:14陆汽押京密《一•1加》冲iQmL用户需蛆济明其

ChinoBohaiBank

3.软件设计人员

4.编程人员

5.软件测试人员

6.软件质量控制人员

7.软件维护人员

1.3缩略语解释

l.RP：ResponsiblePerson,一线检查人员：

2.BORM：BusinessOpcralionalRiskManager,总行的操作风险经理，负费条线；或分行的

操作风险经理，负货分行部门：

3.UORM：UnitOperationalRiskManager,单位操作风险经理，比RP高一层级：

4.CRO：ChicfRiskOpcratoi■首席风险官：

5.KCS：KeyControlStandard.关键控制标准：

6.KCSA：KeyControlStandardAssess,关键控制标准检查指标：

7.KRI：KeyRiskindicator.关键风险指标：

8.3K标准：包括KCS、KCSA,KRI检查标准简称，乂叫3K检查指标.

1.4参考文件

标题文件号发布日期出版单位

《渤海银行操作风险管理政策》2008-4-)1渤海银行

《商业银行操作风险管理指引》2007-5-14中国银监会

《商业银行操作风险监管资本计量2008-10-1中国银监会

指引》

《巴塞尔新资本协议》2004年巴塞尔银行监

管委员会

《渤海银行_____________________—风阶二押二一《一加＞碑讲师FFIIG需求错明:自

'ChinoBohaiBonk

2本系统概述

2.1系统建设背景

2004年出台的《新巴塞尔资本协议》，对银行业提出J'资本充足率、监督检查和市场约束三大

要求，并且添加了操作风险和测算操作风险的方法。G新巴塞尔资本协议》传递了一种先进银行经营

管理的理念，该协议为全球银行优化银行资本、提高风险抵御能力提出了新的指引，已逐步成为国

际银行业普遍认可的业内协议。推行或达到《新巴塞尔资木协议》的要求，对于国内银行参与国际

竞争，具有非常重要的意义。

如何提升操作风险的管理理念，如何健全操作风险的管理框架,以及如何利用信息化电子化的

管理手段对操作风险进行成化和控制，足商业银行必须解决的问题。

渤海银行自开业之初，就弓I进了国际银行在操作风险管理上的先进理论和经验,并参考战略投

资者一渣打银行的操作风险管理模式，在本行组织架构中设置了操作风险管理的专门机构，在H常

工作中逐步推广国际化银行操作风险管理的理念和方法，以实现风险计量与管控并重的管理目标。

目前经过2年多的有效工作，其管理理念、管理工具和管理经验等均在国内属于领先地位。

2.2系统目标

该系统是基于渤海银行操作风险管理体系的框架，参考西方商业银行操作风险背理系统的设计

特点建立的，总体目标在于实现有效的精细化的操作风险控制，实现银行操作风险管埋的信息化，

规范化，使风险数据便于统计汇总和分析，并能监督化解风险所采取的行动的结果.

该系统能络在参考巴塞尔协议有关操作风险规定的基础上，使我行逐步建立相关的历史风险数

据库，并建立操作风险损失计量的模型。

为提高未来本系统的使用灵活性和便利性，本系统的建设时将以实现参数化管理、并保证系统

的可扩展性为重要使用目标.在使用过程中，根据操作风险管理体系的不断完善、风险控管水平和

精细度的不断提高，渤海银行可以在系统基础框架内，方便地通过调整参数设置来适应业务管理要

求他变化。各级用户在使用本系统时，能够充分利用系统的这一恃性，实现风险管理规范化、录入

信息便利化，统汁杳询多样化，业务操作便利化。

渤海银行_____________________—风阶二押二一《一加＞碑讲师FFIIG需求错明:自

ChinoBohaiBank

2.3系统使用者

该系统的使用者为总行高管、操作风险部成员、各机构主要负责人以及遍布全行各部门、机构

的专职或兼职的操作风险管理人员。目前总用户数量达到200人以上，已经累计了2年半的风险报

告，记录风险近千条，未来将根据分支机构建设进度用户将有所增加，规划中使用操作风险管理系

统住人员应达到员工总数的80-90%.

系统使用者包括如下：

1、系统使用者包括操作风险管理体系内的各层级人员，包括CRO、操作风险管理部总经理、BORM、

UORM、风险主任、RP等。

2、系统使用者还包括：高级管理层、总行各部门总经理（以及下属部门或业务团队的负货人（高

级经理））、分行行级领导、支行行长等各级机构的负贵人。

2.4本期系统范围

操作风险管理系统分成多期建设，一期主要建设内容包括：

|、建立操作风险管理系统的基础框架

建立起操作风险管理所需要的基础系统框架,包括权限管理、安全控制、流程控制等基础功

能，还包括建立起全行的组织结构、操作风险管理的组织结构、业务线结构，以及其他基础参

数维护功能。同时•期的系统建设应该能满足系统后续建i殳灵活扩展的需要，同时系统一期的

功能能够与后续实现的功能有效衔接。

2、实现操作风险报告管理功能

a）操作风险报告报送的流程控制

b）操作风险报告的处理过程跟踪

3、实现3K标准管理和自我评估功能

a）3K标准库维护功能

b）KCSA和KR【的一线自我评估管理功能

c）二线评估管理功能

d）专项报告管理功能

4,相关风险报告和3K评估内容的统计查询功能

a）针对风险事件报告和3K评估内容进行统计汇总和杳询

《渤海银行_____________________—风阶二押二一《一加＞碑讲师FFIIG需求错明:自

'ChinoBohaiBonk

3本行操作风险管理业务描述

3.1操作风险管理组织结构

渤海银行建立了全行的操作风险管理的组织结构。具体的组织结构体系如下:

渤海银行操作

风险组织结构

.””・■人I

】I

**nwnwn

I-一^ftM*.

分行

结构图说明：本结构图包括了渤海银行目前的组织结构（见实框部分）和未来府规划的组织结

构（见虚框部分1

1、董事会

勃海银行董事会应将操作风险作为渤海混行面对的一项主要风险，并对监控操年风险管理的有

效性承担最终贡任，主要职责是：

a）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策：

b）通过审批及检查高级管理层有关操作风险的职员、权限及报告制度，确保全行的操作风险

管理决策体系的TT效性，并星可能地确保将本行从事的各项业务面临的操作风险控制在可

以承受的范围内；

c）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级

管理层处理重大操作风险事件的有效性以及监控和评价H常操作风险管理的有效性；

渤海银行操伟风妗笞理系统仆一期"建设项卜用户毒求说明«

ChinoBohaiBank

d）确保高级管理层采取必要的措施，有效地识别、评估、监测和控制/缓释操作风险：

e）确保本行操作风险管理体系接受内审部门的行效审查与监督：

0制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系的建设。

2、CEO（高级管理层）：负责执行董事会批准的操作风险管理战略、总体政策及体系：根据董事会

制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、

程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告。高级管理层的具体职

资见《渤海银行操作风险管理政策》第A条。

3、法律合规与操作风险委员会：是高级管理层下设的专业风险管理委员会，主要负责管理本行法

律合规及操作风险，确保本行经营管理符合中国法律、监管要求和本行的规堂制度。该委员会

对高级管理层负责，代理行使高级管理层在操作风险管理方面的职责.法律合规与操作风险委

曷会的艮体职击见《渤海银行操作风险管理政笛》第力条“

4、CRO（首席风险官）：负责全行的风险管理，包括市场风险、信用风险、操作风险，负责向高级

管理层和法律合规与风险委员会汇报J1作。

5、悚作风险工作委员会：是法律合规及操作风险委员会下设的专门委员会，根据法律合规及操作

风险委员会授权管理本行的操作风险，并对法律合规及操作风险委员会负责和扳告。操作风险

工作委员会的具体职贡见4渤海银行操作风险管理政策》第十条。

6、分行操作风险委员会：是法律合规及操作风险委员会下设的专门委员会，根据法律合规及操作

风险委员会授权管理本分行的操作风险，并对法律合规及操作风险委员会负责和报告。

7、喋作风险部总经理：负贡操作风险部的全面工作.操作风险部独立于业务线设酉.，承担独立的

除作风险管理职能，主要负责建立全行的风险管理标准，独立审批和评估业务单元的风险管理

框架、工具方法、流程和信息系统，对业务单元的风险承担活动提供支持。

8、岛级BORM：总行操作风险高级经理，负责某一个或几个业务条线的操作风险管理工作，或负

资某几个分行的操作风险管理工作。

9、BORM（操作风险经理）：根据负责的业务条线或分行的不同，分为总行业务条线BORM和分行

BORM。负贡木业务条线或本分行操作风险的识别、风险事件的上报、风险行动计划的制定和实

施：具体描述如卜.：

a）总行部门BORM：负货总行业务条线各部门操作风险管理或者某•特定操作风险管理领域

（如BCP、FCR）的工作；指导所分管的总行部门UORM的工作：向操作风险部总经理（或

高级BORM）汇报工作。

6

渤海银行_____________________—风阶二押二一《一加＞碑讲师FFIIG需求错明:自

ChinoBohaiBank

b）分行BORM：负责分行及其卜属多部门和支行的操作风险管理。指导卜属分行UORM的

工作：向操作风险部总经理（或高级BORM）汇报工作。

10,操作风险主任：协助总行或分行的BORM进行操作风险管理工作。

11,UORM：单位操作风险经理

i.总行部门UORM：负责总行某一个部门的操作风险管理：向总行BORM（或操作风险

主任）上报操作风险报告和评估结果。

ii.分行部门UORM：负责分行某一个部门的操作风险管理：负责向分行BORM或分行

操作风险主任上报操作风险报告和评估结果。

iii.支行UORM：负责支行的操作风险管理：负贡向所属分行BORM或操作风险主任上

报操作风险报告和评估结果。

12、RP：一线桧杳曷

负贡本单位风险的识别，风险事件的上报，按照3K标准对本机构的风险控制情况进

行评估，并向所属UORM上报评估结果。

13、业务线检查员

悚作风险组织结构中规划的业务线校台员是属于具体的业务人员，负贲收集和上报本机构在业

务运行过程中的生产数据和过程数据。目前考虑对每个机构的业务线检查员分成三个角色：业务员、

业务主管、业务经理。

3.2渤海银行操作风险管理主要活动介绍

1.建立操作风险管理标准和操作风险管理业务资料知识库

a）3K检查标准：渤海银行建立起了KCS、KCSA.KRI的操作风险控制标准，作为各级机构

和部门操作风险控制的检查标准，未来还会增加CS控制标准。总行会制定全行的3K标准，

各个分行和部门可以在总行的3K基础上制定适用于本机构的3K标准，最后通过总行的统

一确认后施行。

1»业务资料知识库：是渤海银行操作风险管理人员逐步积累、完善的知识库包括外部规章

制度、内部规章制度、业务流程要点记录、业务系统控管措施记录等内容.是建立、维护

3K标准，进行专项检查等J：作的基础，同时为全行内控管理措施的制定、业务流程关键环

节的确认等提供帮助。

2.操作风险识别和评估

7

渤海银行操伟风妗笞理系统仆一期"建设项卜用户毒求说明«

ChinoBohaiBank

a）零线检查：零线检查是由业务人员收集关键业务数据,通过对这些关键业务数据的计算分

析，来发现业务活动中可能存在的操作风险.当然这些关键业务数据需要进行业务部门主

管或其他审核人员确认。

b）一线自我评估：一线检杳是操作风险管理和控制的一项重要工具，是一项按照不同检查周

期定期进行操作风险检查的业务活动。具体过程是：利用3K检查标准，RP对各个部门的

操作风险控制现状进行检查，检查完的结果发送到单位操作风险经理进行审核。通过定期

的一线检杳，来发现业务管理控制环节可能存在的操作风险。

c）一线指定日评估：一线指定日评估又叫一线抽查。全行维护一份统一的指定日评估单，检

查单的内容是来自于KCSA指标.总行可以指定某一个单位执行指定日评估，则相应的RP

在结束指定口评估内容后，将检查结果录入到系统中。•线指定口评估的结果归集到该机

构的一线桧杳内容中“

d）二线检查：二线检杳是针对某种现象或特定的目的而发起的，不定期的检杳活动。二线检

查的检查内容可以是来自于3K标准，也可以是来自于非3K标准。通常情况下，二线检查

是由BORM发起，由多人参与具体检杳过程。专项检杳是一种针对特定目而发起的检杳活

动，比如金融犯罪调查、开业检杳等活动，也可以认为是.•线检查的一种，

e）三线检查：三线检查是由一线、二线以外的调套人员开展的市计和检查活动，例如：内部

审计、外部审计、监管机构检查等。

3.操作风险报告：基于定期或实时方式，通过对各类风险事件的统计、分析，及时产生各种形式

的操作风险管理报台，报衣，向管理层通报操作风险管理的状况。

a）3K检查结果报告：一线操作风险人员对本机构、条线等周期性检杳的结果报告。

b）KRI监控：通过KRI监控指标的计算标准，对指定的关键业务数据进行记录，并按照一定

的规则进行统计、分析，将结果与陶值进行比较，从而发现、预警各类操作风险，并记录

风险变化的规律和趋势。

c）风险上报：通过风险上报流程对一线检查、二线检查、三线检查、专项检查等方式发现的

风险的患、潜在风险驿件，或已经发生的风险损失界件进行逐级上报。操作风险管理体系

内部人员（未来应可以包括行内任何人）发现需要上报的风险事件后，都可以进行上报，

由上级进行审核确认，同时发送给相应的业务线主管。

d）突发风险事件上报：当任何人（系统使用者）发现突发风险事件或者其他需要紧急报告的

操作风险后，可以将该事件直接报告给一人或多人。收到突发风险事件上报的人，可以查

8

渤海银行操伟风妗笞理系统仆一期"建设项卜用户毒求说明«

ChinoBohaiBank

看相应的报告内容。

e）管理层声明，各级部门的主管（总行部门总经理、分行行长、分行部门经理、支行行长）

等管理者，作为一线业务的负贡人，应当对本机构的操作风险管理承担主要责任，为此，

需要定期了解了本部门的整体操作风险现状，并通过答署“管理层声明”的形式体现。

n风险评级：通过对各个部门操作风险检查结果，包括一线检查、.•线检查，风险事件上报

情况、行动计划执行情况、操作风险损失情况等进行数据统计分析，根据某种计算模型对

各个部门的操作风险现状进行风险评级。模型的指标和权重可以根据机构不同进行调整。

4.操作风险化解与控制

a）行动计划管理：对于潜在的操作风险隐患，或已经发生的操作风险损失,需要制定相应行

动计划来使得风险消除，或者使之处于受控状态.操作风险部要对行动计划的实施过程进

行跟踪.以确保计划使能神有效执行,同时保讦行动计划的执行姓果.

b）风险处理情况跟踪：对于在3K标准维护、风险评估与检杳、各类事件上报与审批、行动

计划处理等各个管理环节，风险管理人员通过对相关系统H志信息的查询和统计，跟踪在

风险管理各个阶段各级相关人员的处理动作、风险状态等，实现对操作风险生命周期的全

过程的跟踪。

5.操作风险损失管理：

a）计量模型。通过标准法、替代标准法、高级法对本行的操作风险进行计量从而得出操作

风险经济资本需求。由于采用高级法是•个长期的趋势和目标，因此还需要建立起本行的

内部操作风降损失数据库和外部操作风隘损失数据库.

b）情景分析和压力测试：通过建立操作风险的情景数据和压力测试环境，利汨情景分析模型

分析本行在各种情况下的操作风险般失，从而针对各种潜在损失情况提前采取行动计划。

0风险损失数据整理：根据枳素的内外部风险事件，按照模型计算的要求建立风险损失阵，

并对其中的数据可以进行整理。风除损失的数据来源可以是风险事件、FCR报告、检查结

果、人工录入并经过审批的风险损失等等。

d）风险损失审批流程：根据风险抹件报告的情况，建立风险损失的管理流程，包括损失上报、

审核、确认等，并能够与财务系统、核心系统等业务系统的布.关业务数据用关联。

6.其他工作

a）业务应急预案：各个部门需要根据本部门可能存在的操作风险损失事件，根据估计的严重

程度，建立起相应的业务应急预案库，并且需要对应急预案进行演练。操作风险部需要对

9

渤海银行_____________________—风阶二押二一《一加＞碑讲师FFIIG需求错明:自

ChinoBohaiBank

业务应急预案库和预案的演练情况进行管理。

b）预防金融犯罪管理（FCR）:对本行发生的各种涉嫌金融犯罪及违规信息进行管理，包括预

防金的犯罪管理的数据收集、数据处理、数据发布、处理过程、处理结果、档案管理.

4渤海银行操作风险管理系统整体描述

4.1系统层次结构

•?•!

«et»MI

«

两

同

«

«

展

一

*

■

■

«

■

架构图说明：木架构图包括渤海银行操作风险管理系统的整体规划，包括一期实现的功能（分

界线左边深色区域）和i期以后可能实现的功能（分界线右边灰色区域）。

系统的应用层次分成四层：

I.最底层是基础数据层，作为操作风险管理的基础维度数据：

2.在基础数据层之上是应用数据层，包括各种与应用相关的数据；

3.引擎层，是为在应用数据层之上，为应用提供各种计算服务、流转控制功能；

4.应用层，为用户提供的各种应用功能模块。

10

渤海银行_____________________—风阶二押二一《一加＞碑讲师FFIIG需求错明:自

ChinoBohaiBank

4.1.1应用层

在“渤海银行操作风险管理系统应用架构”中，其应用层描述的内容是面向最终用户使用的

应用功能.涵盖了日前正在开展的操作风隆管理业务，也包括了规划中的操作风险管理业务。在

一期的功能中，重点实现了3K的管理、一线检查、二线检查、风险上报、行动计划和报表功能，

简介如下：

I.3K检查标准维护：在一期的功能中会实现对KCS、KCSA、KRI的操作风险控制标准进行维护，

和规章制度资料数据库的维护。未来会增加CS控制标准维护功能。

2.一线检查：一线检查是操作风险管理和控制的一项重要工具，具体过程是：利用3K检查标准，

RP对各个部门的操作风险控制现状进行检查，检查完的结果发送到UORM进行市核。

3.二线检查：BORM发起二线检查任务，制定检查项（可以来自与3K标准和非3K标准），指定

相应的检查人，各个检查人完成检查后，将结果录入到系统中.系统对检查结果、检查的过程

文件、相关附件进行管理。

4,风险事件上报：操作风险管理体系中的任何人通过风险上报模块进行上报，由上级进行审核确

认，同时还要发送给相应的业务线主管。

5.管理层声明：各级部门的主管（总行部门总经理、分行行长、分行部门经理、支行行长）每个

月了解了木部门的操作风险现状以后，通过签署“管理层声明”来确认木部门的操作风险状况。

6.风险处置行动方案管理：对于潜在的操作风险陷患，或已经发生的操作风险损失，需要确定风

险管理策略，制定相应行动计划来使得风险消除，或者处于受控状态。系统提供对行动计划实

施过程的跟踪，可以记录行动计划的执行过程信息和最终的效果信息

7.统计汇总和查询：系统提供各种详细数据的查询和统计汇总功能.

以下模块是一期以后实现的应用：

I.零线检查：零线检查是由业务人员收集关键业务数据，可以通过对这些关键业务数据的计算分

析，来发现业务活动中可能存在的操作风险。当然这些关键业务数据需要进行业务部门主管或

其他审核人员确认。

2.三线检查：三线检查是由外部调查人员开展的外部审计活动。

3.KRI监控与液瞽：通过KRI监控指标的计算标准，可以对业务数据迸行计卸分析，将计算结果

与KR!的阀值进行比较，从而发现潜在的操作风险。

4.风险评级：通过对各个部门操作风险检查结果，包括•线检查、二线检查，风险事件上报情况,

行动计划执行情况进行数据统计分析，根据某种计算模型对各个部门的操作风除现状进行风险

II

渤海银行操伟风妗笞理系统仆一期"建设项卜用户毒求说明«

ChinoBohaiBank

评级。模型的指标和权重可以根据机构不同进行调整。

5.业务应急预案：各个部门需要根据本部门可能存在的突发事件，根据估计的严重程度，建立起

相应的业务应急预案库，并且需要对应急预案进行演练。操作风险部需要对业务应急预案库和

预案的演练情况进行管理。

6.预防金融犯罪管理（FCR）：对本行发生的各种金融犯罪信息进行管理，包括预防金融犯罪管理

的数据收集、数据处理、数据发布、处理过程、处理结果、档案管理。

7.操作风险计量：通过标准法、昔代标准法、高级法对本行的操作风险进行计量，从而得出操作

风险经济资本需求。由于采用高级法是一个长期的趋势和目标，因此还需要建立起本行的内部

操作风险损失数据库和外部操作风险损失数据库。

8.情景分析：建立操作风险的情景数据和极端的压力测试模型，利用情景分析模型，来分析本行

在各种情况下的操作风险损失“

4.1.2引擎层

引策层是给系统运行、数据复杂计算、数据分析等功能提供底层运算支持，引擎层包括：数

据分析引擎，流程引擎，情景分析引擎，资本计量引擎。根据系统实现功能的需要，引擎层的建

设也将分成多期实现。具体描述如下：

数据分析引擎：为数据的统计汇总提供计算支持，包括汇总统计和灵活查询、分析、报告、

仪表盘显示等：

流程引擎：为操作风险曾埋过程中的流程控制提供支持,包拈进仃组织建模、应用接口、任

务分配和任务推送，从而实现流程的驱动和控制：

情景分析引蒙：为操作风险的压力测试和情景模拟的建模和模拟分析提供计算支持，功能包

括情景建模和情景分析：该引擎将在一期以后进行实现；

资本计量引擎：为操作风险的经济资本计算提供支持，该引擎当中，应该能够时操作风险计

算常用计算方法提供支持，包括巴塞尔协议建议