1、本資料僅供內部使用！操作風險管理系統（一期）建設項目用戶需求說明書 操作風險管理系統（一期）建設項目用戶需求說明書修改記錄制定日期生效日期制定 / 修訂 內容摘要頁數版本擬稿審查批準2008-11-13建立用戶需求說明書的文檔結構0.1彭澤飛2008-11-29完成各分部分內容初稿0.2魏永超、王勝、遲睿、劉田林、羅強2008-12-1合并文檔初稿0.3彭澤飛2008-12-4合并文檔修改稿0.7彭澤飛2008-12-9完成文檔終稿1.0彭澤飛 目錄 i 操作風險管理系統（一期）建設項目用戶需求說明書目 錄1文檔簡介文檔簡介 .11.1用戶需求說明書目的.11.2說明書范圍.11.3縮略語解釋

2、.21.4參考文件.22本系統概述本系統概述 .32.1系統建設背景.32.2系統目標.32.3系統使用者.42.4本期系統范圍.43本行操作風險管理業務描述本行操作風險管理業務描述 .53.1操作風險管理組織結構.53.2渤海銀行操作風險管理主要活動介紹.74渤海銀行操作風險管理系統整體描述渤海銀行操作風險管理系統整體描述 .104.1系統層次結構.104.1.1應用層.114.1.2引擎層.124.1.3應用數據層.124.1.4基礎數據層.134.1.5操作風險管理高端數據流.144.2渤海銀行操作風險（一期）的核心業務需求簡述.164.2.13k基礎數據庫.164.2.2風險及控制評估

3、.184.2.3風險上報.204.2.4風險處置行動計劃.214.2.5統計報表.214.2.6管理層聲明.225操作風險管理系統功能（一期）需求說明操作風險管理系統功能（一期）需求說明 .245.1系統基礎數據管理.245.1.1管理維度數據維護.245.1.2操作風險組織結構維護.305.23k 標準庫維護.325.2.1規章制度資料庫的維護.325.2.2kcs標準庫維護.415.2.3kcsa標準庫維護.515.2.4kri標準庫維護.615.3評估與檢查模塊.715.3.1一線自我評估.71 目錄 ii 操作風險管理系統（一期）建設項目用戶需求說明書5.3.2指定日評估.905.3.

4、3二線檢查.1095.3.4專項檢查.1235.3.5評估與檢查查詢.1385.4風險事件上報模塊.1415.4.1處理流程描述.1415.4.2風險事件基本頁面及數據項說明.1465.4.3風險事件任務列表.1545.4.4風險事件維護.1565.4.5風險事件審核.1625.4.6重啟已結束報告.1655.4.7突發風險事件上報.1665.4.8風險事件查詢.1695.5風險事件跟蹤與行動計劃管理.1735.5.1行動計劃制定.1745.5.2實施結果錄入.1775.5.3行動計劃延后.1795.5.4風險事件關閉.1805.6管理層聲明.1815.6.1管理層聲明問題設置.1815.6.

5、2發起管理層聲明.1845.6.3查詢管理層聲明.1855.7報表統計模塊.1875.7.1操作風險管理人員統計.1875.7.2操作風險管理工具統計.1885.7.3一線檢查總體情況.1905.7.4二線檢查總體情況.1915.7.5全行操作風險損失報告.1935.7.6十大操作風險.1955.7.7操作風險解決情況.1965.7.814類操作風險的狀態.1976銀監會指引相關要求銀監會指引相關要求 .1986.1操作風險損失事件類型.1986.2商業銀行業務條線歸類.202附錄附錄 a 術語術語.204 1 操作風險管理系統（一期）建設項目用戶需求說明書1文檔簡介文檔簡介本章將簡要地說明用

6、戶需求說明書(以下簡稱本需求)的目的、范圍、名詞定義和參考文件。1.1 用戶需求說明書目的用戶需求說明書目的本需求的目的在于闡明渤海銀行操作風險管理系統(以下簡稱本系統)的各項需求，并給出本系統的總體設計。本需求為編制如下文檔提供基本依據：“軟件概要設計規格”“軟件開發計劃”“軟件詳細設計規格”“軟件測試計劃”“軟件測試說明”“軟件操作手冊”“系統安裝手冊”“系統運行維護手冊”本需求與“軟件詳細設計規格”一起，為編程、元件測試、組件測試及軟件集成測試提供基本依據；本需求為編制其它有關文件提供基本依據本需求為軟件質量保證人員提供工作依據本需求將作為日后軟件確認測試和系統驗收之準則本需求與“軟件詳

7、細設計規格”一起，將作為日后系統維護工作基準文件1.2 說明書范圍說明書范圍本需求的內容涵蓋了本系統的業務描述的、系統整體描述、功能需求。本需求的閱讀、使用者包括：1.項目管理人員2.業務人員 2 操作風險管理系統（一期）建設項目用戶需求說明書3.軟件設計人員4.編程人員5.軟件測試人員6.軟件質量控制人員7.軟件維護人員1.3 縮略語縮略語解釋解釋1.rp：responsible person，一線檢查人員；2.borm：business operational risk manager，總行的操作風險經理，負責條線；或分行的操作風險經理，負責分行部門；3.uorm：unit operati

8、onal risk manager，單位操作風險經理，比 rp 高一層級；4.cro：chief risk operator 首席風險官；5.kcs：key control standard，關鍵控制標準；6.kcsa：key control standard assess，關鍵控制標準檢查指標；7.kri：key risk indicator，關鍵風險指標；8.3k 標準：包括 kcs、kcsa、kri 檢查標準簡稱，又叫 3k 檢查指標。1.4 參考文件參考文件標題標題文件號文件號發布日期發布日期出版單位出版單位渤海銀行操作風險管理政策2008-4-11渤海銀行商業銀行操作風險管理指引20

9、07-5-14中國銀監會商業銀行操作風險監管資本計量指引2008-10-1中國銀監會巴塞爾新資本協議2004 年巴塞爾銀行監管委員會 3 操作風險管理系統（一期）建設項目用戶需求說明書2本系統概述本系統概述2.1 系統建設背景系統建設背景2004 年出臺的新巴塞爾資本協議 ，對銀行業提出了資本充足率、監督檢查和市場約束三大要求，并且添加了操作風險和測算操作風險的方法。 新巴塞爾資本協議傳遞了一種先進銀行經營管理的理念，該協議為全球銀行優化銀行資本、提高風險抵御能力提出了新的指引，已逐步成為國際銀行業普遍認可的業內協議。推行或達到新巴塞爾資本協議的要求，對于國內銀行參與國際競爭，具有非常重要的意

10、義。如何提升操作風險的管理理念，如何健全操作風險的管理框架，以及如何利用信息化電子化的管理手段對操作風險進行量化和控制，是商業銀行必須解決的問題。渤海銀行自開業之初，就引進了國際銀行在操作風險管理上的先進理論和經驗，并參考戰略投資者渣打銀行的操作風險管理模式，在本行組織架構中設置了操作風險管理的專門機構，在日常工作中逐步推廣國際化銀行操作風險管理的理念和方法，以實現風險計量與管控并重的管理目標。目前經過 2 年多的有效工作，其管理理念、管理工具和管理經驗等均在國內屬于領先地位。2.2 系統目標系統目標該系統是基于渤海銀行操作風險管理體系的框架，參考西方商業銀行操作風險管理系統的設計特點建立的，

11、總體目標在于實現有效的精細化的操作風險控制，實現銀行操作風險管理的信息化，規范化，使風險數據便于統計匯總和分析，并能監督化解風險所采取的行動的結果。該系統能夠在參考巴塞爾協議有關操作風險規定的基礎上，使我行逐步建立相關的歷史風險數據庫，并建立操作風險損失計量的模型。為提高未來本系統的使用靈活性和便利性，本系統的建設時將以實現參數化管理、并保證系統的可擴展性為重要使用目標。在使用過程中，根據操作風險管理體系的不斷完善、風險控管水平和精細度的不斷提高，渤海銀行可以在系統基礎框架內，方便地通過調整參數設置來適應業務管理要求的變化。各級用戶在使用本系統時，能夠充分利用系統的這一特性，實現風險管理規范化

12、、錄入信息便利化，統計查詢多樣化，業務操作便利化。 4 操作風險管理系統（一期）建設項目用戶需求說明書2.3 系統使用者系統使用者該系統的使用者為總行高管、操作風險部成員、各機構主要負責人以及遍布全行各部門、機構的專職或兼職的操作風險管理人員。目前總用戶數量達到 200 人以上，已經累計了 2 年半的風險報告，記錄風險近千條，未來將根據分支機構建設進度用戶將有所增加，規劃中使用操作風險管理系統的人員應達到員工總數的 80-90。系統使用者包括如下：1、 系統使用者包括操作風險管理體系內的各層級人員，包括 cro、操作風險管理部總經理、borm、uorm、風險主任、rp 等。2、 系統使用者還包

13、括：高級管理層、總行各部門總經理（以及下屬部門或業務團隊的負責人（高級經理） ） 、分行行級領導、支行行長等各級機構的負責人。2.4 本期系統范圍本期系統范圍操作風險管理系統分成多期建設，一期主要建設內容包括：1、 建立操作風險管理系統的基礎框架建立起操作風險管理所需要的基礎系統框架，包括權限管理、安全控制、流程控制等基礎功能，還包括建立起全行的組織結構、操作風險管理的組織結構、業務線結構，以及其他基礎參數維護功能。同時一期的系統建設應該能滿足系統后續建設靈活擴展的需要，同時系統一期的功能能夠與后續實現的功能有效銜接。2、 實現操作風險報告管理功能a)操作風險報告報送的流程控制b)操作風險報告

14、的處理過程跟蹤3、 實現 3k 標準管理和自我評估功能a)3k 標準庫維護功能b)kcsa 和 kri 的一線自我評估管理功能c)二線評估管理功能d)專項報告管理功能4、 相關風險報告和 3k 評估內容的統計查詢功能a)針對風險事件報告和 3k 評估內容進行統計匯總和查詢 5 操作風險管理系統（一期）建設項目用戶需求說明書3本行操作風險管理業務描述本行操作風險管理業務描述3.1 操作風險管理組織結構操作風險管理組織結構渤海銀行建立了全行的操作風險管理的組織結構。具體的組織結構體系如下：結構圖說明：本結構圖包括了渤海銀行目前的組織結構（見實框部分）和未來的規劃的組織結構（見虛框部分） 。1、 董

15、事會渤海銀行董事會應將操作風險作為渤海銀行面對的一項主要風險，并對監控操作風險管理的有效性承擔最終責任，主要職責是：a)制定與本行戰略目標相一致且適用于全行的操作風險管理戰略和總體政策；b)通過審批及檢查高級管理層有關操作風險的職責、權限及報告制度，確保全行的操作風險管理決策體系的有效性，并盡可能地確保將本行從事的各項業務面臨的操作風險控制在可以承受的范圍內；c)定期審閱高級管理層提交的操作風險報告，充分了解本行操作風險管理的總體情況、高級 6 操作風險管理系統（一期）建設項目用戶需求說明書管理層處理重大操作風險事件的有效性以及監控和評價日常操作風險管理的有效性；d)確保高級管理層采取必要的措

16、施，有效地識別、評估、監測和控制/緩釋操作風險；e)確保本行操作風險管理體系接受內審部門的有效審查與監督；f)制定適當的獎懲制度，在全行范圍有效地推動操作風險管理體系的建設。2、 ceo（高級管理層）：負責執行董事會批準的操作風險管理戰略、總體政策及體系；根據董事會制定的操作風險管理戰略及總體政策，負責制定、定期審查和監督執行操作風險管理的政策、程序和具體的操作規程，并定期向董事會提交操作風險總體情況的報告。高級管理層的具體職責見渤海銀行操作風險管理政策第八條。3、 法律合規與操作風險委員會：是高級管理層下設的專業風險管理委員會，主要負責管理本行法律合規及操作風險，確保本行經營管理符合中國法律

17、、監管要求和本行的規章制度。該委員會對高級管理層負責，代理行使高級管理層在操作風險管理方面的職責。法律合規與操作風險委員會的具體職責見渤海銀行操作風險管理政策第九條。4、 cro（首席風險官）：負責全行的風險管理，包括市場風險、信用風險、操作風險，負責向高級管理層和法律合規與風險委員會匯報工作。5、 操作風險工作委員會：是法律合規及操作風險委員會下設的專門委員會，根據法律合規及操作風險委員會授權管理本行的操作風險，并對法律合規及操作風險委員會負責和報告。操作風險工作委員會的具體職責見渤海銀行操作風險管理政策第十條。6、 分行操作風險委員會：是法律合規及操作風險委員會下設的專門委員會，根據法律合

18、規及操作風險委員會授權管理本分行的操作風險，并對法律合規及操作風險委員會負責和報告。7、 操作風險部總經理：負責操作風險部的全面工作。操作風險部獨立于業務線設置，承擔獨立的操作風險管理職能，主要負責建立全行的風險管理標準，獨立審批和評估業務單元的風險管理框架、工具方法、流程和信息系統，對業務單元的風險承擔活動提供支持。8、 高級 borm：總行操作風險高級經理，負責某一個或幾個業務條線的操作風險管理工作，或負責某幾個分行的操作風險管理工作。9、 borm（操作風險經理）：根據負責的業務條線或分行的不同，分為總行業務條線 borm 和分行 borm。負責本業務條線或本分行操作風險的識別、風險事件

19、的上報、風險行動計劃的制定和實施；具體描述如下：a)總行部門 borm：負責總行業務條線各部門操作風險管理或者某一特定操作風險管理領域（如 bcp、fcr）的工作；指導所分管的總行部門 uorm 的工作；向操作風險部總經 7 操作風險管理系統（一期）建設項目用戶需求說明書理（或高級 borm）匯報工作。b)分行 borm：負責分行及其下屬各部門和支行的操作風險管理。指導下屬分行 uorm 的工作；向操作風險部總經理（或高級 borm）匯報工作。10、操作風險主任：協助總行或分行的 borm 進行操作風險管理工作。11、uorm：單位操作風險經理i.總行部門 uorm：負責總行某一個部門的操作風

20、險管理；向總行 borm（或操作風險主任）上報操作風險報告和評估結果。ii.分行部門 uorm：負責分行某一個部門的操作風險管理；負責向分行 borm 或分行操作風險主任上報操作風險報告和評估結果。iii.支行 uorm：負責支行的操作風險管理；負責向所屬分行 borm 或操作風險主任上報操作風險報告和評估結果。12、rp：一線檢查員負責本單位風險的識別，風險事件的上報，按照 3k 標準對本機構的風險控制情況進行評估，并向所屬 uorm 上報評估結果。13、業務線檢查員操作風險組織結構中規劃的業務線檢查員是屬于具體的業務人員，負責收集和上報本機構在業務運行過程中的生產數據和過程數據。目前考慮對

21、每個機構的業務線檢查員分成三個角色：業務員、業務主管、業務經理。3.2 渤海銀行操作風險管理主要活動介紹渤海銀行操作風險管理主要活動介紹1.建立操作風險管理標準和操作風險管理業務資料知識庫a)3k 檢查標準：檢查標準：渤海銀行建立起了 kcs、kcsa、kri 的操作風險控制標準，作為各級機構和部門操作風險控制的檢查標準，未來還會增加 cs 控制標準?？傂袝贫ㄈ械?3k標準，各個分行和部門可以在總行的 3k 基礎上制定適用于本機構的 3k 標準，最后通過總行的統一確認后施行。b)業務資料知識庫：業務資料知識庫：是渤海銀行操作風險管理人員逐步積累、完善的知識庫，包括外部規章制度、內部規章制度

22、、業務流程要點記錄、業務系統控管措施記錄等內容，是建立、維護3k 標準，進行專項檢查等工作的基礎，同時為全行內控管理措施的制定、業務流程關鍵環節的確認等提供幫助。 8 操作風險管理系統（一期）建設項目用戶需求說明書2.操作風險識別和評估a)零線檢查：零線檢查：零線檢查是由業務人員收集關鍵業務數據，通過對這些關鍵業務數據的計算分析，來發現業務活動中可能存在的操作風險。當然這些關鍵業務數據需要進行業務部門主管或其他審核人員確認。b)一線自我評估：一線自我評估：一線檢查是操作風險管理和控制的一項重要工具，是一項按照不同檢查周期定期進行操作風險檢查的業務活動。具體過程是：利用 3k 檢查標準，rp 對

23、各個部門的操作風險控制現狀進行檢查，檢查完的結果發送到單位操作風險經理進行審核。通過定期的一線檢查，來發現業務管理控制環節可能存在的操作風險。c)一線指定日評估：一線指定日評估：一線指定日評估又叫一線抽查。全行維護一份統一的指定日評估單，檢查單的內容是來自于 kcsa 指標?？傂锌梢灾付骋粋€單位執行指定日評估，則相應的rp 在結束指定日評估內容后，將檢查結果錄入到系統中。一線指定日評估的結果歸集到該機構的一線檢查內容中。d)二線檢查：二線檢查：二線檢查是針對某種現象或特定的目的而發起的，不定期的檢查活動。二線檢查的檢查內容可以是來自于 3k 標準，也可以是來自于非 3k 標準。通常情況下，二

24、線檢查是由 borm 發起，由多人參與具體檢查過程。專項檢查是一種針對特定目而發起的檢查活動，比如金融犯罪調查、開業檢查等活動，也可以認為是二線檢查的一種。e)三線檢查：三線檢查：三線檢查是由一線、二線以外的調查人員開展的審計和檢查活動，例如：內部審計、外部審計、監管機構檢查等。3.操作風險報告：基于定期或實時方式，通過對各類風險事件的統計、分析，及時產生各種形式的操作風險管理報告/報表，向管理層通報操作風險管理的狀況。a)3k 檢查結果報告檢查結果報告：一線操作風險人員對本機構、條線等周期性檢查的結果報告。b)kri 監控：監控：通過 kri 監控指標的計算標準，對指定的關鍵業務數據進行記錄

25、，并按照一定的規則進行統計、分析，將結果與閥值進行比較，從而發現、預警各類操作風險，并記錄風險變化的規律和趨勢。c)風險上報：風險上報：通過風險上報流程對一線檢查、二線檢查、三線檢查、專項檢查等方式發現的風險隱患、潛在風險事件，或已經發生的風險損失事件進行逐級上報。操作風險管理體系內部人員（未來應可以包括行內任何人）發現需要上報的風險事件后，都可以進行上報，由上級進行審核確認，同時發送給相應的業務線主管。d)突發風險事件上報突發風險事件上報：當任何人（系統使用者）發現突發風險事件或者其他需要緊急報告的 9 操作風險管理系統（一期）建設項目用戶需求說明書操作風險后，可以將該事件直接報告給一人或多

26、人。收到突發風險事件上報的人，可以查看相應的報告內容。e)管理層聲明：管理層聲明：各級部門的主管（總行部門總經理、分行行長、分行部門經理、支行行長）等管理者，作為一線業務的負責人，應當對本機構的操作風險管理承擔主要責任，為此，需要定期了解了本部門的整體操作風險現狀，并通過簽署“管理層聲明”的形式體現。f)風險評級：風險評級：通過對各個部門操作風險檢查結果，包括一線檢查、二線檢查，風險事件上報情況、行動計劃執行情況、操作風險損失情況等進行數據統計分析，根據某種計算模型對各個部門的操作風險現狀進行風險評級。模型的指標和權重可以根據機構不同進行調整。4.操作風險化解與控制操作風險化解與控制a)行動計

27、劃管理：行動計劃管理：對于潛在的操作風險隱患，或已經發生的操作風險損失，需要制定相應行動計劃來使得風險消除，或者使之處于受控狀態。操作風險部要對行動計劃的實施過程進行跟蹤，以確保計劃能夠被有效執行，同時保證行動計劃的執行效果。b)風險處理情況跟蹤：風險處理情況跟蹤：對于在 3k 標準維護、風險評估與檢查、各類事件上報與審批、行動計劃處理等各個管理環節，風險管理人員通過對相關系統日志信息的查詢和統計，跟蹤在風險管理各個階段各級相關人員的處理動作、風險狀態等，實現對操作風險生命周期的全過程的跟蹤。5.操作風險損失管理：操作風險損失管理：a)計量模型。計量模型。通過標準法、替代標準法、高級法對本行的

28、操作風險進行計量，從而得出操作風險經濟資本需求。由于采用高級法是一個長期的趨勢和目標，因此還需要建立起本行的內部操作風險損失數據庫和外部操作風險損失數據庫。b)情景分析和壓力測試：情景分析和壓力測試：通過建立操作風險的情景數據和壓力測試環境，利用情景分析模型分析本行在各種情況下的操作風險損失，從而針對各種潛在損失情況提前采取行動計劃。c)風險損失數據整理：風險損失數據整理：根據積累的內外部風險事件，按照模型計算的要求建立風險損失庫，并對其中的數據可以進行整理。風險損失的數據來源可以是風險事件、fcr 報告、檢查結果、人工錄入并經過審批的風險損失等等。d)風險損失審批流程：風險損失審批流程：根據

29、風險事件報告的情況，建立風險損失的管理流程，包括損失上報、審核、確認等，并能夠與財務系統、核心系統等業務系統的有關業務數據相關聯。6.其他工作其他工作a)業務應急預案：業務應急預案：各個部門需要根據本部門可能存在的操作風險損失事件，根據估計的嚴重 10 操作風險管理系統（一期）建設項目用戶需求說明書程度，建立起相應的業務應急預案庫，并且需要對應急預案進行演練。操作風險部需要對業務應急預案庫和預案的演練情況進行管理。b)預防金融犯罪管理（預防金融犯罪管理（fcr）：）：對本行發生的各種涉嫌金融犯罪及違規信息進行管理，包括預防金融犯罪管理的數據收集、數據處理、數據發布、處理過程、處理結果、檔案管理

30、。c)4渤海銀行操作風險管理系統整體描述渤海銀行操作風險管理系統整體描述4.1 系統層次結構系統層次結構架構圖說明：本架構圖包括渤海銀行操作風險管理系統的整體規劃，包括一期實現的功能（分界線左邊深色區域）和一期以后可能實現的功能（分界線右邊灰色區域） 。系統的應用層次分成四層：1.最底層是基礎數據層，作為操作風險管理的基礎維度數據；2.在基礎數據層之上是應用數據層，包括各種與應用相關的數據；3.引擎層，是為在應用數據層之上，為應用提供各種計算服務、流轉控制功能；4.應用層，為用戶提供的各種應用功能模塊。 11 操作風險管理系統（一期）建設項目用戶需求說明書4.1.1應用層應用層在“渤海銀行操作

31、風險管理系統應用架構”中，其應用層描述的內容是面向最終用戶使用的應用功能，涵蓋了目前正在開展的操作風險管理業務，也包括了規劃中的操作風險管理業務。在一期的功能中，重點實現了 3k 的管理、一線檢查、二線檢查、風險上報、行動計劃和報表功能，簡介如下：1.3k 檢查標準維護：檢查標準維護：在一期的功能中會實現對 kcs、kcsa、kri 的操作風險控制標準進行維護，和規章制度資料數據庫的維護。未來會增加 cs 控制標準維護功能。2.一線檢查：一線檢查：一線檢查是操作風險管理和控制的一項重要工具，具體過程是：利用 3k 檢查標準，rp 對各個部門的操作風險控制現狀進行檢查，檢查完的結果發送到 uor

32、m 進行審核。3.二線檢查：二線檢查：borm 發起二線檢查任務，制定檢查項（可以來自與 3k 標準和非 3k 標準） ，指定相應的檢查人，各個檢查人完成檢查后，將結果錄入到系統中。系統對檢查結果、檢查的過程文件、相關附件進行管理。4.風險事件上報：風險事件上報：操作風險管理體系中的任何人通過風險上報模塊進行上報，由上級進行審核確認，同時還要發送給相應的業務線主管。5.管理層聲明：管理層聲明：各級部門的主管（總行部門總經理、分行行長、分行部門經理、支行行長）每個月了解了本部門的操作風險現狀以后，通過簽署“管理層聲明”來確認本部門的操作風險狀況。6.風險處置行動方案管理：風險處置行動方案管理：對

33、于潛在的操作風險隱患，或已經發生的操作風險損失，需要確定風險管理策略，制定相應行動計劃來使得風險消除，或者處于受控狀態。系統提供對行動計劃實施過程的跟蹤，可以記錄行動計劃的執行過程信息和最終的效果信息。7.統計匯總和查詢：統計匯總和查詢：系統提供各種詳細數據的查詢和統計匯總功能。以下模塊是一期以后實現的應用：1.零線檢查：零線檢查：零線檢查是由業務人員收集關鍵業務數據，可以通過對這些關鍵業務數據的計算分析，來發現業務活動中可能存在的操作風險。當然這些關鍵業務數據需要進行業務部門主管或其他審核人員確認。2.三線檢查：三線檢查：三線檢查是由外部調查人員開展的外部審計活動。3.kri 監控與預警：監

34、控與預警：通過 kri 監控指標的計算標準，可以對業務數據進行計算分析，將計算結果與 kri 的閥值進行比較，從而發現潛在的操作風險。4.風險評級：風險評級：通過對各個部門操作風險檢查結果，包括一線檢查、二線檢查，風險事件上報情況， 12 操作風險管理系統（一期）建設項目用戶需求說明書行動計劃執行情況進行數據統計分析，根據某種計算模型對各個部門的操作風險現狀進行風險評級。模型的指標和權重可以根據機構不同進行調整。5.業務應急預案：業務應急預案：各個部門需要根據本部門可能存在的突發事件，根據估計的嚴重程度，建立起相應的業務應急預案庫，并且需要對應急預案進行演練。操作風險部需要對業務應急預案庫和預

35、案的演練情況進行管理。6.預防金融犯罪管理（預防金融犯罪管理（fcr）：）：對本行發生的各種金融犯罪信息進行管理，包括預防金融犯罪管理的數據收集、數據處理、數據發布、處理過程、處理結果、檔案管理。7.操作風險計量：操作風險計量：通過標準法、替代標準法、高級法對本行的操作風險進行計量，從而得出操作風險經濟資本需求。由于采用高級法是一個長期的趨勢和目標，因此還需要建立起本行的內部操作風險損失數據庫和外部操作風險損失數據庫。8.情景分析：情景分析：建立操作風險的情景數據和極端的壓力測試模型，利用情景分析模型，來分析本行在各種情況下的操作風險損失。4.1.2引擎層引擎層引擎層是給系統運行、數據復雜計算

36、、數據分析等功能提供底層運算支持。引擎層包括：數據分析引擎，流程引擎，情景分析引擎，資本計量引擎。根據系統實現功能的需要，引擎層的建設也將分成多期實現。具體描述如下：數據分析引擎：數據分析引擎：為數據的統計匯總提供計算支持，包括匯總統計和靈活查詢、分析、報告、儀表盤顯示等；流程引擎：流程引擎：為操作風險管理過程中的流程控制提供支持，包括進行組織建模、應用接口、任務分配和任務推送，從而實現流程的驅動和控制；情景分析引擎：情景分析引擎：為操作風險的壓力測試和情景模擬的建模和模擬分析提供計算支持，功能包括情景建模和情景分析；該引擎將在一期以后進行實現；資本計量引擎：資本計量引擎：為操作風險的經濟資本

37、計算提供支持，該引擎當中，應該能夠對操作風險計算常用計算方法提供支持，包括巴塞爾協議建議的基礎法、標準法、高級計量法的損失分步法和極值理論。4.1.3應用數據層應用數據層系統將針對各種應用需求，建立起相對應的應用數據庫結構，來存儲操作風險管理的各種業 13 操作風險管理系統（一期）建設項目用戶需求說明書務數據。具體內容如下：1.3k 基礎數據庫：用于存儲 kcs、kcsa、kri 的操作風險控制標準庫和規章制度資料數據庫；2.一線評估數據：用于存儲一線 rp 檢查人員根據 kcsa、kri 的檢查評估結果數據和指定日評估數據；3.二線評估數據：用于存儲二線評估的數據和專項評估的數據；4.風險上

38、報數據：用于存儲各級機構上報上來的風險數據；5.風險跟蹤數據：用于存儲風險處理過程中的過程跟蹤數據；6.統計匯總數據：用于存儲各種統計匯總數據。根據操作風險管理業務發展和系統建設需要，未來在應用數據層還會增加如下的數據庫：1.零線檢查數據：用于存儲零線檢查錄入的數據；2.kri 業務監控數據：用于存儲 kri 對業務數據的分析結果數據；3.三線檢查數據：用于存儲三線檢查的數據；4.應急預案庫：用于存儲各個業務條線、分支機構制定的針對各種突發事件的處理應急預案信息，以及應急預案的演練信息；5.金融犯罪及違規庫：用于存儲本行的各種金融犯罪信息、黑名單等信息。6.情景庫：用于存儲操作風險情景模擬和壓

39、力測試場景的數據庫；7.內部損失數據庫：用于存儲本行發生的操作風險損失事件數據信息；8.外部損失數據庫：用于存儲其它銀行發生的操作風險損失事件信息；9.資本計量數據：用于存儲本行操作風險經濟資本計量所需要的基礎數據、計算過程數據和計算結果數據。4.1.4基礎數據層基礎數據層基礎數據層是構成操作風險運行的核心基礎結構數據，能夠支持本系統在一期的應用和未來的應用需求。基礎數據層包括的內容如下：a)全行組織結構：全行組織結構：用于描述全行業務單元的組織結構，采用樹形結構表示。b)操作風險組織結構：操作風險組織結構：用于描述本行操作風險管理的組織結構，采用樹形結構表示。c)業務線數據：業務線數據：用于

40、描述本行業務線劃分的層級結構，用于樹形結構表示。d)業務流程數據：業務流程數據：用于描述本行的業務活動中，各業務的流程信息，采用樹形結構表示。 14 操作風險管理系統（一期）建設項目用戶需求說明書e)產品線數據：產品線數據：用于描述本行的各條產品線的劃分信息，采用樹形結構表示。f)it 系統：系統：包括應用軟件、網絡、硬件等信息資產。以上描述的基礎數據結構將在一期建設中實現，這些結構將應用于各個功能模塊中，建立起各個功能模塊與全行管理維度的屬性關系。以下的業務運行基礎數據業務運行基礎數據將主要用于二期的 kri風險監控，具體描述如下：g)業務運行基礎數據：業務運行基礎數據：在基礎數據層中，還包

41、括業務運行基礎數據，它的用途和來源描述如下：i.用途：可以利用 kri 的監控指標，通過 kri 計算公式對業務系統的運行數據進行分析，來發現業務運行中的操作風險；ii.來源：從業務基礎數據的來源方式上，分成兩種：一種是通過接口從其它業務系統中自動獲得數據；一種是由業務人員錄入到系統中。4.1.5操作風險管理高端數據流操作風險管理高端數據流上圖為操作風險管理的高端數據流，描述了主要的操作風險管理數據的產生和流轉過程。圖中深色區域是在一期建設中將實現的數據流，淺色區域是在一期以后逐步實現的內容。下面對幾個主要的數據流進行說明：1.3k 檢查數據流 15 操作風險管理系統（一期）建設項目用戶需求說

42、明書a)通過 cs 維護、kcs 維護、kcsa 維護、kri 維護，建立起控制標準庫；b)控制標準庫中的每一條標準，與管理制度庫進行關聯，表示每一條控制標準的來源或控制依據；2.風險控制評估數據流a)一線評估：利用 3k 控制標準進行一線評估，評估的結果存儲到 kcsa 評估數據庫；b)二線檢查：利用 3k 標準或非 3k 標準進行二線評估，存儲到二線評估數據庫；c)專項檢查：專項檢查的結果，存儲到專項檢查數據庫；3.kri 監控數據流a)通過零線檢查或其它業務系統的接口，建立業務基礎數據庫；b)利用 kri 指標，對業務基礎數據進行監控，將分析結果存入到 kri 監控數據庫。4.風險事件上

43、報a)風險事件（包括潛在風險）的來源是：一線檢查、二線檢查、專項檢查、kri 檢查的檢查結果中發現的風險，或其它途徑發現的風險；b)風險上報以后，形成風險事件數據庫和行動計劃數據；c)通過行動計劃的執行，會形成本行的操作風險緩釋數據。5.經濟資本計量數據流a)從風險事件數據庫中的損失事件中，進行分析后形成內部風險損失數據；b)通過獲取外部損失事件建立外部風險損失數據；c)在內部損失數據、外部損失數據、3k 檢查結果、kri 監控數據基礎上構造情景數據；d)通過內部損失數據、外部損失數據、情景數據庫，形成損失分布曲線，利用操作風險的高級計量法（例如：損失分布法和極值理論法） ，進行操作風險經濟資

44、本的計算。 16 操作風險管理系統（一期）建設項目用戶需求說明書4.2 渤海銀行操作風險（一期）的核心業務需求簡述渤海銀行操作風險（一期）的核心業務需求簡述4.2.13k 基礎數據庫基礎數據庫渤海銀行 3k 基礎數據庫是全行操作風險識別和控制的基礎指標。3k 標準包括：kcs、kcsa、kri。kcs（關鍵控制標準）是一個定性標準，由管理層用來強調需要遵守的最低控制（與風險狀況相適應）標準，確保在相關的業務/職能部門內有效地控制主要風險。關鍵控制標準包括：基本控制標準（gkcs）和專有控制標準（bkcs）兩類。目前有數百條，未來會有大量增加。kcsa（關鍵控制自我評估指標）是在 kcs 的定性

45、標準上建立的一系列細化指標。按照提問回答的形式，評估 kcs 是否被遵守和執行。一般是按照約定的頻率和比例抽取業務、交易文件，作為檢查樣本。根據 kcsa 的回答判定風險控制的有效性。kcsa 條目的數量以千條計，未來會有大量增長。kri 是從定量的角度衡量操作風險，指出業務、職能或流程的特定領域中的風險水平。操作風險管理人員在使用 kri 量化風險水平的同時，還可以對 kri 指標進行注釋性說明。該指標目前有百余條，均由手工錄入，未來將會實現手工錄入和自動獲取兩種風險數據獲取方式，并按照參數化設置的閥值進行自動預警。根據 3k 標準適用范圍的不同，分為 g3k（基本控制標準）和 b3k（專有

46、控制標準） 。g3k 17 操作風險管理系統（一期）建設項目用戶需求說明書標準是適用于全行的操作風險控制指標，b3k 是適用于某一個部門或分支機構的操作風險控制指標。1、 g3k：g3k 標準是適用于全行的操作風險控制指標體系，由 gkcs、gkcsa、gkri 構成。a)gkcs：是操作風險主政策，屬于指導性的政策，它的適用面廣，沒有指定特定的部門和業務線。gkcs 由總行操作風險部進行統一管理和維護。b)gkcsa：各個業務部門或分行根據總行的 gkcs，將每一條落實為本部門具體的檢查指標，稱為 gkcsa。gkcsa 的制定完后，需要各機構與總行操作風險部進行審核確認，確認完后由總行操作

47、風險部統一維護到系統中。c)gkri：各個業務部門或分行根據總行的 gkcs，制定本機構的 gkri。gkri 的制定完后，需要各機構與總行操作風險部進行審核確認，確認完后由總行操作風險部統一維護到系統中。2、 b3k：b3k 標準是適用于某一個業務線、部門或分行的操作風險控制指標體系，由bkcs、bkcsa、bkri 構成。a)bkcs：是適用于某一個業務線、部門或分行的關鍵控制指標。由各業務條線、分行在總行操作風險部的指導下自行制定，制定完后由總行操作風險部審核后生效。b)bkcsa：是適用于某一個業務線、部門或分行的關鍵控制檢查標準。由各業務條線在總行操作風險部的指導下自行制定，制定完后

48、由總行操作風險部審核確認后生效。c)bkri：是適用于某一個業務線、部門或分行的定量控制標準。由各業務條線在總行操作風險部的指導下自行制定，制定完后由總行操作風險部審核確認后生效。3、 規章制度庫：用于存儲本行的各種管理規章制度。作為一個簡單的文檔管理模塊，對規章制度采用附件的方式進行上傳管理，同時添加對該規章制度的說明屬性。在一期的實現中，本模塊不提供對規章制度的全文檢索等功能。4、 cs 基礎庫：控制標準庫，cs 基礎庫的管理在二期提供，在本文不做詳細描述。5、 3k 標準的產生過程a)g3k 的產生過程：總行操作風險部維護 gkcs。各機構在制定本機構 gkcsa 和gkri 的時候，原

49、則上需要完全根據總行操作風險部的 gkcs，細化為本機構的gkcsa，同時還可以根據本機構的具體情況，制定適用于本機構的 kcsa 檢查項。kcsa 制定完成后，由總行操作風險部 borm 審核以后生效。 18 操作風險管理系統（一期）建設項目用戶需求說明書b)b3k 的產生過程：各業務條線在總行操作風險部的指導下，制定本業務條線的bkcs、bkcsa、bkri，分支行條線的 b3k 也是總行操作風險部來制定完成。制定完成后，上報給各條線 borm，各條線 borm 審核以后生效。6、 系統對 3k 標準庫維護的支持需求3k 標準形成過程的交流、討論、確認工作在系統外進行，最后形成總行操作風險

50、部確認的 excel 標準文檔，系統提供批量導入；a)錄入總行錄入總行 3k 標準標準：系統提供對總行 kcs、kcsa、kri 標準的單條錄入和批量導入功能，每一條 3k 標準都有自己的“適用范圍”：適用范圍根據全行業務組織架構的層級進行設定，基本層級包括全行、總行、分行、支行，未來可以根據操作風險管理境況將其細化到業務組或者崗位一級。 ；b)錄入分行和業務條線錄入分行和業務條線 3k 標準標準：系統提供對分行或業務條線 kcs、kcsa、kri 標準的單條錄入和批量導入功能；c)跟蹤跟蹤：系統提供對 3k 標準修改過程的歷史記錄跟蹤；d)修改修改：對于 3k 的修改，系統提供根據查詢條件批

51、量導出到 excel，在 excel 中修改以后，系統提供將修改后的內容批量導入；e)生效控制生效控制：某個 3k 標準，修改以后可以設定暫時不生效，在評估過程中仍然使用舊的 3k 標準。當需要對指標生效的時候，系統提供“生效”設定功能。f)檢查指標分配檢查指標分配：uorm 在系統中，可以將本機構范圍內的 kcsa、kri 檢查項給具體的某一個 rp。根據檢查頻率，系統就能夠自動為 rp 生成其應該進行的檢查內容。4.2.2風險及控制評估風險及控制評估風險及控制評估是根據 3k 標準庫的檢查標準，對某個機構的風險控制情況進行檢查，然后將檢查內容進行逐級上報的過程。評估有五種形式：零線檢查、一

52、線檢查、二線檢查、專項檢查、三線檢查。1、 零線檢查a)簡要說明：零線檢查作為業務控管與警示的功能，其核心是收集業務運行數據，然后利用 kri 定量指標，對業務數據按照 kri 的計算規則進行分析，將 kri 的計算結果與設定的閥值進行比較，從而自動判斷風險程度大小。b）零線檢查在一期不實現，在本文中不進行詳細描述。 19 操作風險管理系統（一期）建設項目用戶需求說明書2、 一線檢查a)簡要說明：一線檢查采用 3k 標準進行自我評估，是操作風險管理的核心內容。一線檢查是使用頻率最高的一個部分，是本系統的核心內容。一線評估按照提問回答的形式，評估各項控制要求是否被遵守和執行。檢查方式為指定人員按

53、照預先設定的檢查工作要求的時限、內容等進行檢查，并將結果記錄在系統中，系統自動匯總檢查記錄，追蹤檢查進度。b)過程說明：i.系統自動生成評估表單：系統自動生成評估表單：rp 選擇此子模塊后，系統自動根據該用戶所在的機構、角色、當前日期等信息（根據在 kcsa 標準庫中的設定）從系統中自動抽取應由其完成的檢查條目，各條目均按照設定的格式顯示給 rp，其中，系統已經有的信息由系統直接調用并顯示；ii.rp 錄入評估結果：錄入評估結果：其他需要用戶填寫的部分設定了固定的格式和填報內容選項，用戶按照頁面顯示的要求負責執行檢查動作，填寫檢查結果；iii.復核：復核：完成后提交給下一環節的用戶進行復核。3

54、、 一線指定日評估a)簡要說明：一線指定日評估又叫一線抽查。全行制定一份統一的指定日評估單，檢查單的內容是來自于 kcsa?？傂胁僮黠L險部可以指定某一個單位執行指定日評估，則相應的rp 在結束指定日評估內容后，提交檢查結果。一線指定日評估的結果歸集到該機構的一線檢查內容中。b)實現過程說明：i.維護指定日評估單：維護指定日評估單：在 3k 標準的檢查頻次中，有一個“指定日”屬性，在指定日進行檢查的內容不會出現在定期檢查的內容中。borm 對“指定日”屬性進行維護。ii.rp 錄入檢查結果：錄入檢查結果：rp 根據總行操作風險部要求，選擇合適的時間對指定日的業務活動進行檢查（該檢查活動手動進行）

55、 ，檢查結束后，將檢查結果錄入到系統中。iii.uorm 審核審核：uorm 對上報的檢查結果進行審核。iv.檢查結果查詢：檢查結果查詢：rp 以上的各級管理人員，包括 uorm、分行操作風險主任、borm、總經理都可以查看到指定日評估的結果。v.統計歸集到一線檢查：統計歸集到一線檢查：一線指定日評估的結果，在統計的時候，歸集到該機構或 rp的一線檢查內容當中。4、 二線檢查（專項檢查） 20 操作風險管理系統（一期）建設項目用戶需求說明書a)簡要說明：二線檢查是由 borm 不定期發起的檢查任務，檢查的依據并不限于 3k 標準。任務發起后指定相應的操作人去執行檢查，檢查完后將檢查結果錄入，最

56、后進行統一的匯總。b)過程說明：i.任務發起：1.由總行 borm 發起，在系統中設置一個工作任務，并為該檢查指定名稱，輸入該任務的基本信息，該環節可以增加領導批復文件、調查模板等說明材料；2.檢查內容設置，對 3k 部分內容可以通過點擊 3k 管理庫中的某些內容，將 3k 信息作為檢查內容。點擊時，可以根據業務類別、或者機構等進行分類，例如，開始對現金管理進行二線檢查，則可以將各個機構中的有關現金管理的條目全部搜索出來，根據需要選中，生成現金管理的二線檢查表；非 3k 檢查標準的內容可以手工添加。3.檢查人員設置：用戶可以在系統中就某一條檢查內容設置檢查人員和復核人員。4.還可以添加自定義的

57、一些檢查內容，形成最后檢查要點。所有檢查底稿記錄、調閱的檔案都在系統內自動保存并供查詢。檢查援引的文件均從系統資料知識庫中建立鏈接。ii.檢查結果匯總：最后由任務執行人錄入任務檢查結果匯總信息，錄入檢查結果時可以添加附件。iii.由相應的復核人對每一條錄入的檢查內容進行復核。iv.檢查出來的問題，可以直接轉到問題上報模塊。5、 三線檢查：三線檢查是由一線、二線以外的調查人員開展的審計和檢查活動，例如：內部審計、外部審計、監管機構檢查等。三線檢查在本期不實現，它的詳細描述略。4.2.3風險上報風險上報1、 業務描述對于在零線檢查、一線檢查、二線檢查中發現的風險，或其它的風險事件，都可以通過風險上

58、報模塊進行上報。2、 系統對實現過程的支持描述a)操作風險管理組織結構中的 rp、uorm、borm、操作風險部總經理發現風險以后，都 21 操作風險管理系統（一期）建設項目用戶需求說明書可以在系統中將風險上報；b)上報上來的風險，需要經過上級管理人員的審核，比如：rp 錄入的風險，需要由 uorm進行審核；uorm 錄入的風險，需要 borm 進行審核；borm 錄入的風險，需要操作風險部總經理進行審核；c)每一級的審核人員，可以根據風險程度的大小，來選擇是否繼續上報，或在本級采取行動計劃進行處理；d)每一級審核人員可以修改風險上報相關信息的描述，系統需要對修改的記錄進行記錄；e)需要對風險

59、處理過程的信息進行跟蹤記錄。4.2.4風險處置行動計劃風險處置行動計劃1、 業務描述行動計劃是針對發現的風險所采取的解決措施，行動的目的是減少或消除風險，或使風險處于受控狀態。在風險上報過程中，根據風險等級的不同，各級別的風險管理人員可以制定相應的行動計劃，并負責對行動處理過程的跟蹤。2、 系統對行動計劃管理的支持a)行動計劃的制定：針對某一項風險，制定一個或多個行動計劃，設定行動計劃的內容、執行人、完成時間等信息；b)行動計劃處理過程的跟蹤：錄入行動計劃處理過程的信息；c)行動計劃延期：行動計劃如果不能按期完成的話，可以設定延期日期；d)行動計劃結束：在行動計劃結束的時候，可以錄入行動計劃的

60、結果，同時錄入所對應的風險的風險狀態。4.2.5統計報表統計報表統計報表功能是對操作風險管理系統中的業務數據，根據管理需要，從不同的維護和統計時間進行統計匯總，形成各種統計報表。具體需求如下：1. 3k 統計匯總表：按照每個單位的情況進行統計，能夠看出全行每個單位 3k 是否建立。如果要求 3k 至少每年維護一次，那么通過該報告能夠看出是否進行了及時維護。2. kcsa 有效性評價表 22 操作風險管理系統（一期）建設項目用戶需求說明書i.kcsa 評估中增加一個屬性“該 kcsa 對機構控制的有效性” ，由 uorm 在審核的時候，對每一條評估記錄，設定該屬性的值“有效/無效” 。ii.每個