1、Company Name 江蘇銀行操作風險管理理論培訓材料江蘇銀行操作風險管理理論培訓材料操作風險管理操作風險管理營運部2022-2-271操作風險管理操作風險管理l 發展階段l 穩健做法l 管理框架風險戰略管理流程l風險識別l風險評估l控制/緩釋l監測/計量l風險報告基礎設施風險環境l 操作風險管理差距目錄目錄Company Logo發展階段發展階段傳統階段傳統階段識別階段識別階段監測階段監測階段定量階段定量階段整合階段整合階段12345Company Logo只有內部控制，缺乏正規的操作風險管理架構傳統階段傳統階段 專人負責操作風險管理，制定了相應的制度，能實施自我評估，收集損失事件的數據

2、識別階段識別階段能跟蹤收集相關數據，制定了定性和定量指標，實施打分卡策略，形成綜合報告體系，系統性培訓監測階段監測階段 具備全面綜合的數據庫，能借助數理模型深入分析帶來的影響定量階段定量階段操作風險管理、戰略規劃、質量控制和經濟資本管理有機結合，提高股東價值整合階段整合階段發展階段發展階段Company Logo穩健做法穩健做法Company Logo管理框架管理框架Company Logo風險戰略風險戰略l 風險偏好核心內容l 根據發展規劃和現有的業務能力和風險控制能力，銀行確定下來的風險容忍程度。一般可分為積極型、中性和保守型。積極型風險偏好：是指銀行制定積極型發展規劃，在推行這一規劃時同

3、時主動積極的承擔相應的風險，進行風險套利，推進風險主動動態配置。中性風險偏好：是指銀行制定比較穩妥的發展規劃，在推行這一規劃的同時承擔相應的風險，不進行風險套利，也不主動規避某些風險，推進風險中性配置。保守型風險偏好：是指銀行制定比較保守的發展規劃，在推行這一規劃的同時盡量規避相應的風險，不進行風險套利，推進風險被動保守配置。Company Logo風險戰略風險戰略l 風險分解l 根據業務發展戰略和風險戰略，結合風險控制能力，將操作風險目標任務根據不同的劃分方法分解，將操作風險目標任務直接落實到員工和業務條線上。l 分解方法：將操作風險視為流程風險，根據既定的目標，按照事件類型、業務條線、影響

4、程度等劃分方法對涉及這一管理流程上的所有環節和要素及因素進行相應的劃分并配置相應的操作風險管理任務和風險值，確保操作風險管理任務得到有效落實。Company Logo風險戰略風險戰略l 風險政策l 是指對操作風險管理中各個相關部門所負有的職責、所采用的技術和方法等問題的具體規定。l 政策應包括以下內容操作風險管理目標操作風險定義及其管理流程操作風險管理架構及其相應的作用、責任操作風險管理工具和報告運用的預期效果l 與之配套的制度銀行高層對銀行風險管理目標執行情況的定期審查制度風險管理部門對風險管理控制措施遵守情況的檢查制度審查、處理和解決違規問題的相關政策、程序和步驟操作風險各管理層責任明確的

5、成文的審批和授權制度Company Logo管理流程管理流程風險識別風險評估控制/緩釋檢驗/再評估監測/計量風險報告反饋操作風險管理流程（循環）Company Logo風險識別風險識別l 風險識別：是指通過一定得標準和手段，鑒別分析業務活動中一切可能導致操作風險的因素和產生風險的環節點，確定風險的性質和種類以及風險產生的原因與影響的過程。事前識別事后識別l 識別內容潛在風險識別：銀行通常會對所有重要產品、活動、程序和系統中內含的潛在操作風險進行定期識別；在引進新產品、采取新程序和系統之前，或者上述內容發生重大變化時，須對其潛在操作風險進行單獨識別。已暴露風險識別：銀行針對已發生的風險事件所做的

6、鑒別分析，包括事件性質、造成影響（直接或間接損失）、以及事件產生的深層次原因。找出風險產生的原因是風險識別的重點，將對緩釋控制風險有重要的導向作用。l 識別依據明確的操作風險定義科學的操作風險事件分類體系Company Logo風險識別風險識別第一條主線第二條主線第三條主線風險因素識別（原因）風險事件識別（類型）風險影響識別（后果）。風險所在和事件性質。風險識別方法分層次、分步驟逐步深入分析Company Logo風險識別風險識別l 風險識別考慮的因素潛在操作風險的整體情況銀行運行所處的內外部環境銀行的戰略目標銀行提供的產品和服務銀行獨特的環境內外部的變化以及變化的速度l 風險識別的常用工具內

7、部損失/事件數據庫外部損失/事件數據庫情景分析流程圖Company Logo風險評估風險評估l 風險評估：是指根據損失經驗、假設分析等逐一測評所有被識別出來的內部或外部操作風險因素的影響程度，以確定哪些風險可接受，哪些風險不可接受，需加以控制或轉移。l 評估內容固有風險：指在沒有任何管理控制措施的情況下，經營管理過程本身所具有的風險。它是與業務經營或管理活動相伴存在的，是內部控制活動的對象。控制風險：指對操作風險沒有良好的內部控制，或內部控制無效，導致經營活動中的操作風險不能被及時發現而造成損失。剩余風險：指在實施了旨在改變風險可能性和影響強度的管理控制活動后，仍然保留的風險。固有風險-控制風

8、險=剩余風險l 評估依據風險識別結果Company Logo風險評估風險評估l 風險評估應考慮的因素操作風險因素的發生頻率操作風險因素的影響程度操作風險等級風險的可接受程度控制的有效性l 操作風險的評估過程一般以業務管理和風險管理兩個層面相結合展開，在定性分析的基礎上，對操作風險因素可能損失的合理估計。l 操作風險識別與評估的一般原則由表及里自下而上從已知到未知l 操作風險識別與評估方法操作風險與內部控制自我評估損失事件數據方法流程圖Company Logo風險評估風險評估l 評估方法之自我評估l 是在銀行內部控制體系基礎上，通過開展全員風險識別，識別出全行經營管理中存在的風險點，并從損失金額

9、和發生概率兩個角度來評估風險度大小。同時，識別這些風險點是否有控制活動，并評估控制活動質量，進而提出優化控制活動的方案。l 自我評估目標：鼓勵各級機構承擔責任及主動對操作風險進行識別管理。l 自我評估運用方法流程分析法情景模擬法引導會議法德爾菲法調查問卷法l 借助資料和工具操作風險定義及損失事件分類操作風險損失事件歷史數據各類業務檢查報告內部審計報告外部監管、審計報告Company Logo風險評估風險評估全員風險識別與報告作業流程分析和風險識別與評估控制活動識別與評估制定與實施控制優化方案報告自我評估工作于日常監控自我評估工作流程Company Logo風險評估風險評估等級等級描述詞描述詞詳

10、細描述詳細描述概率參考值（會計業務條線）概率參考值（會計業務條線）范圍范圍說明說明1 1極可能極可能預計大多數情況下發生；或預計大多數情況下發生；或現實中大量發生現實中大量發生(0.01(0.01，11發生概率大于發生概率大于0.010.012 2很可能很可能很可能會發生；或現實中經很可能會發生；或現實中經常發生常發生(0.001(0.001，0.010.01發生概率在發生概率在0.0010.001與與0.010.01（含）（含）之間之間3 3可能可能在某種情況下可能發生；或在某種情況下可能發生；或現實中發生過幾次現實中發生過幾次(0.0003,0.001(0.0003,0.001發生概率在發

11、生概率在0.00030.0003與與0.0010.001（含）（含）之間之間4 4不太可能不太可能在某種情況下能夠發生，但在某種情況下能夠發生，但可能性小；現實中偶爾可能性小；現實中偶爾發生發生(0.00001,0.0003(0.00001,0.0003發生概率在發生概率在0.000010.00001與與0.00030.0003（含）（含）之間之間5 5罕見罕見僅在例外情形下發生；或很僅在例外情形下發生；或很多年發生一次多年發生一次(0(0，0.000010.00001發生概率不大于發生概率不大于0.000010.00001操作風險事件發生頻率或可能性評估表Company Logo風險評估風險

12、評估等級等級描述詞描述詞詳細描述詳細描述損失金額參考值損失金額參考值 （會計業務條線）（會計業務條線）范圍范圍說明說明1 1極大極大極大的損失極大的損失金額金額100100，) )損失金額在損失金額在100100萬元（含）以上萬元（含）以上2 2較大較大較大的損失較大的損失金額金額1010，100)100)損失金額在損失金額在1010萬元（含）與萬元（含）與100100萬元之萬元之間間3 3中等中等中等的損失中等的損失金額金額11，10)10)損失金額在損失金額在1 1萬元（含）與萬元（含）與1010萬元之間萬元之間4 4較小較小較小的損失較小的損失金額金額0.10.1，1)1)損失金額在損失

13、金額在0.10.1萬元（含）與萬元（含）與1 1萬元之間萬元之間5 5極小極小極小的損失極小的損失金額金額(0(0，0.1)0.1)損失金額在損失金額在0 0與與0.10.1萬元之間萬元之間操作風險事件影響程度評估表Company Logo風險評估風險評估影響程影響程度度發生頻率發生頻率5-5-極小極小4-4-較小較小3-3-中等中等2-2-較大較大1-1-極大極大1-1-極可能極可能3 32 22 21 11 12-2-很可能很可能3 33 32 21 11 13-3-可能可能4 43 33 32 21 14-4-不太可能不太可能4 44 43 32 21 15-5-罕見罕見5 54 44

14、43 32 2操作風險等級矩陣表1-extreme,極大風險，不可接受；2-high,高風險，不可接受；3-medium,中等風險，不可接受；4-low,低風險，可接受；5-ignore,極小風險，可接受。Company Logo風險評估風險評估現有控制質量評估表等級等級描述詞描述詞詳細描述詳細描述1 1控制有效控制有效OptimizedOptimized監控機制確保標準化操作程序的執行，監控反饋的信息被有效用于優化和增進控制措施以適應環境變化。當采取控制措施后，風險等級從不可接受（1、2、3級）降至5級（極小風險）時，可以認為控制有效。2 2控制基本有效控制基本有效ManagedManage

15、d對標準化的控制措施配套了有效的監控機制，監控所獲信息被用于優化控制。當采取控制措施后，風險等級從不可接受（1、2、3級）降至4級（低風險）時，可以認為控制基本有效。3 3控制不足控制不足InitialInitial臨時性控制或者當采取控制措施后，風險等級仍處于不可接受（1、2、3級）時，可以認為控制不足，需要進一步采取控制措施。4 4控制過度控制過度Over-controlOver-control當采取控制措施后，風險等級從不可接受（1、2、3級）降至可接受（4、5級），但為此付出的控制的成本過高，適當減少控制時仍能使風險處于可接受狀態，此時可以認為控制過度。Company Logo風險評估

16、風險評估序號序號風險點編號風險點編號風險點風險點描述描述所在業務所在業務流程流程風險類型風險類型固有風險固有風險等級等級流程內控流程內控制措施制措施流程外控制流程外控制措施措施殘余風險等殘余風險等級級是否需要控是否需要控制優化制優化1 1DKJ7212-02-DKJ7212-02-01-101-1票據真票據真實性實性現金支票現金支票業務業務2.1.22.1.2：外部欺詐：外部欺詐- -盜竊和欺詐盜竊和欺詐- -偽造、詐騙偽造、詐騙3-3-中等風中等風險險復核、即復核、即時業務授時業務授權權會計稽核、會計稽核、會計檢查會計檢查4-4-低風險低風險2 2DKJ7212-02-DKJ7212-02-

17、01-201-2記賬錯記賬錯誤誤現金支票現金支票業務業務7.2.17.2.1：流程管理和：流程管理和執行合規性執行合規性- -交易執交易執行行- -交易數據記錄錯交易數據記錄錯誤誤3-3-中等風中等風險險復核、即復核、即時業務授時業務授權權會計稽核、會計稽核、會計檢查會計檢查4-4-低風險低風險3 3DKJ7212-02-DKJ7212-02-01-301-3付款錯付款錯誤誤現金支票現金支票業務業務4-4-低風險低風險雙人付款雙人付款錄像監控錄像監控5-5-極小風險極小風險是是4 4DKJ7212-02-DKJ7212-02-01-401-4違反監違反監管規定管規定現金支票現金支票業務業務3-

18、3-中等風中等風險險票據審查票據審查、授權、授權會計稽核、會計稽核、會計檢查會計檢查4-4-低風險低風險是是5 5DKJ-YW-01DKJ-YW-01印鑒卡印鑒卡保管保管非流程風非流程風險險3-3-中等風中等風險險無無分崗保管、分崗保管、主管檢查主管檢查4-4-低風險低風險6 6DKJ-XT-01DKJ-XT-01系統缺系統缺陷陷非流程風非流程風險險6.1.26.1.2：系統失靈和：系統失靈和設備故障設備故障-IT-IT系統系統- -軟件軟件2-2-高風險高風險無無無無2-2-高風險高風險是是7 7DKJ-RY-01DKJ-RY-01混崗操混崗操作作非流程風非流程風險險3-3-中等風中等風險險

19、無無無無3-3-中等風險中等風險是是操作風險與內部控制自我評估工作匯總表Company Logo風險評估風險評估低頻率/高影響（LFHI）高頻率/高影響（HFHI）低頻率/低影響（LFLI）高頻率/低影響（HFLI）低高低高頻率影響嚴重關注、徹底避免積極重視、強化管理作為日常管理、列入成本引入外部數據庫，保險，進行風險轉移風險評估結果的意義Company Logo控制控制/ /緩釋緩釋l 控制/緩釋：是指根據操作風險識別評估的結果，結合發展戰略、業務規模與復雜性，通過采取流程控制、行為監控、電子化、保險等一系列控制/緩釋方法，將其調整到可接受的風險水平。l 控制/緩釋工具：l內部控制良好的控制

20、環境有效的風險控制體系有效的內部控制措施完善的內部信息管理體系l保險一攬子保險錯誤與遺漏保險經理與高級職員責任險未授權交易保險電子保險l信息技術系統l應急和連續營業機制l外包l組織文化Company Logo控制控制/ /緩釋緩釋成本收益決策控制成本增加的處理時間實施的成本效率的損失對客戶使用該服務能力的潛在影響銀行需確保風險控制水平與所面臨的風險相匹配，并且實施的成本能夠由程序改善所帶來的收益彌補。不恰當的控制成本超過了潛在損失導致客戶流失未能改善高成本高風險的低效程序Company Logo控制控制/ /緩釋緩釋全過程分析根據業務目標，將客戶服務（過程）從起始一直分析到結束。全過程分析要分

21、析客戶服務中的所有活動，而不僅僅是單一業務過程。就客戶而言，服務過程應該是無縫的，而不是一系列不相關的事件。服務鏈的任何中斷都會對客戶產生直接影響。全過程分析的典型方法六西格瑪，它是一種基于統計學的方法，用來計量業務過程中“缺陷”的個數，并系統地消除每個缺陷。Company Logo控制控制/ /緩釋緩釋低頻率/高影響（LFHI）高頻率/高影響（HFHI）低頻率/低影響（LFLI）高頻率/低影響（HFLI）低高低高頻率影響避免策略（調整風險容忍度、減少或停做此類業務）緩釋策略(加強內部控制、加大技術投入）承擔策略轉移策略（業務外包、保險）控制/緩釋一般性策略選擇Company Logo控制控制

22、/ /緩釋緩釋加強內部控制*職責分工以及相關職能的適當分離密切監測遵守指定風險限額或權限的情況 對接觸和使用銀行資產的記錄進行安全監控 員工具有與其從事業務相適應的業務能力并接受相關培訓識別與合理預期收益不符及存在隱患的業務或產品 定期對交易和賬戶進行復核和對賬 主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度 重要崗位或敏感環節員工八小時內外行為規范 建立基層員工署名揭發違法違紀問題的激勵和保護制度 查案、破案與處分適時、到位的雙重考核制度 案件查處和相應的信息披露制度 對基層操作風險管控獎懲兼顧的激勵約束機制 *：參照1998年9月的BCBS的銀行內部控制基本原則， 引自商業銀行操作風

23、險管理指引Company Logo控制控制/ /緩釋緩釋應急和連續營業機制*制定與其業務規模和復雜性相適應的應急和業務連續方案 建立恢復服務和保證業務連續運行的備用機制 定期檢查、測試其災難恢復和業務連續機制 確保在出現災難和業務嚴重中斷時這些方案和機制的正常執行 *：引自商業銀行操作風險管理指引Company Logo控制控制/ /緩釋緩釋風險緩釋*商業銀行應當制定與外包業務有關的風險管理政策，確保業務外包有嚴謹的合同和服務協議、各方的責任義務規定明確。商業銀行可購買保險以及與第三方簽訂合同，并將其作為緩釋操作風險的一種方法，但不應因此忽視控制措施的重要作用。購買保險等方式緩釋操作風險的商業

24、銀行，應當制定相關的書面政策和程序。*：引自商業銀行操作風險管理指引Company Logo監測監測/ /計量計量l 風險監測：是指通過對各類風險指標的日常監測，對操作風險狀況及其控制/緩釋措施的質量實施動態、持續的監測。l 監測目的對銀行面臨的所有類型操作風險的定性和定量評估進行監控評估緩釋活動是否有效和適當，包括可識別的風險能在多大程度上被轉移至銀行外部確保控制充分、風險管理系統的正常運行l 監測工具風險圖：是一組用以描述風險種類及其發生頻率和強度的散點圖，其數據主要來源于自我評估結果或損失事件歷史數據。風險圖中的數據通常采用對數表示。風險監測指標：在對風險點準確識別的基礎上，通過設定一些

25、可度量的變量來反映特定風險的暴露情況，變量值的變化反映風險水平的變化。監測指標一般都設有門檻值，稱作“放大機制”、“觸發水平”，表示指標的變化限度或容忍限度。l監測指標的標準有效性可比性敏感性便用性Company Logo監測監測/ /計量計量l 風險計量自上而下法：是將操作風險與總收入、總支出等目標變量相聯系，根據兩者之間確定的函數關系來計量操作風險值的方法。自下而上法：是將目標變量分解為一個個具體的目標變量，分別考慮風險因素和損失事件對它們的影響，分別估計操作風險值，然后再計算總體操作風險值的方法。l 新資本協議提供了三種操作風險計算方法基本指標法標準法高級計量法l內部衡量法l損失分布法l

26、極值理論模型l記分卡法Company Logo監測監測/ /計量計量操作風險度量模型分類比較度量模型 基本指標法標準法高級計量法內部衡量法損失分布法極值理論模型記分卡法其他業務類別和事故類型單一業務類型多個業務類型（8個）多個業務類型、多個事故類型由監管機構統一劃定銀行自主劃定結構（系數風險暴露指標）使用損失頻率和損失幅度的概率分布來估計操作風險的在險價值（VaR）使用的參數單一的風險暴露指標（EI）多個EI(PELGERPI)監管機構統一劃定監管資本高較高較低Company Logo監測監測/ /計量計量損失事件數據庫（LED）：在標準化的操作風險事件分類基礎上，對銀行已發生的風險事件進行確

27、認和記錄，并采用結構化的方式進行存儲。內部損失數據庫外部損失數據庫發生時間風險事件類型風險點發生時間地點損失金額產品線風險成因損失回收發生損失事件的業務范圍損失金額損失起因Company Logo監測監測/ /計量計量1、內部數據和外部數據的收集、分析和檢驗對數據的一致性、完整性和相關性進行檢查剔除重復數據2、使內部數據和外部數據相匹配、整合情景分析方法補充損失數據3、運用損失數據進行操作風險的量化、自我評估、風險分析和報告風險側面圖損失事件數據庫LED運作程序Company Logo監測監測/ /計量計量風險原因人員程序系統外部事件風險事件風險影響內部欺詐外部欺詐就業政策和工作場所安全實物資

28、產損壞業務中斷和系統失敗客戶、產品和業務操作執行、交付和流程管理法律責任調整、服從和稅收懲罰資產損失或損害賠償喪失追索權喪失信譽風險損失數據分類風險損失數據分類Company Logo監測監測/ /計量計量損失事件數據庫功能對經營管理中主要的操作風險點進行分類，識別操作風險中的“熱點”問題作為數據輸入建立操作風險的量化模型，并用于監管資本和經濟資本計算有效地對整體操作風險狀況進行自我評估，并在總結探索的基礎上提出有價值建議使銀行的操作風險損失具有透明度，作為歷史資料還可以用于經驗分析與同業狀況進行比較，有利于引導正確的行動以改善控制環境為國際性學術交流和管理實踐提供幫助為有關管理報告提供基礎性

29、的、具有較高實用性信息，提高決策的針對性和有效性吸收和引進外部數據，在多家銀行間實現數據共享比較準確反映銀行操作風險管理的狀況和進展多層面加深全員對操作風險源的認識，增強風險意識和責任意識最終降低未來操作風險損失的頻率和嚴重性，實踐操作風險管理和控制的預期目標Company Logo監測監測/ /計量計量關鍵風險監測指標（KRI）：是一些可以用來考察和掌握銀行操作風險狀況的統計數字財務方面，這些指標被周期性審查，以使銀行對可能存在的操作風險變化保持警覺。KRI體系建立原則重要性原則指標選擇覆蓋當前整體范圍內的操作風險重點環節，必須抓住操作風險易發的區域或風險嚴重的區域開放性原則根據銀行業務發展

30、和風險偏好的轉移，不斷調整和完善相應指標事前預警和事后計量結合原則部分指標要對操作風險有預先警示作用，部分指標要在事后對操作風險事件的損失情況有所計量風險容忍原則對部分操作風險可以不進行監測但其損失必須進行計量Company Logo監測監測/ /計量計量業務線、風險分類和業務功能單位三維模式KRI實質上是一個三維模型，模型中的每一個組合決定一個操作風險點，每一個風險點都對應一個KRI，對該風險點風險水平進行度量，反映風險發生的頻率或損失強度或兼而有之。Company Logo風險報告風險報告l 風險報告：在對自身的操作風險進行識別、評估、監測和緩釋等相關管理工作時，形成的文檔化材料或電子材料

31、，按照相關程序報送相關部門或負責人，使得相關部門或負責人可以及時有效地對操作風險狀況進行了解和控制管理的行為。l 為確保風險報告的有效執行，須確定操作風險報告方式、頻率、路徑、內容、載體和負責人等相關事宜。l 報告內容定性信息：是對操作風險暴露的評論和對風險的主觀評價。定量信息：是基于數量指標，并附有建立于風險容忍度和門檻值基礎上的客觀評價。Company Logo風險報告風險報告內部損失數據風險指標風險評估風險識別風險評估損失事件風險誘因關鍵指標資本分析壓力測試外部損失數據同業比較資本分析業務目標分析制定/調整政策配置資源跟蹤反饋風險財務策略業務部門業務部門操作風險報告操作風險報告高級管理層

32、高級管理層操作風險報告流程風險管理部門風險管理部門Company Logo風險報告風險報告定期報告種類頻率負責人報告路線報告內容載體日報每日1次風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管牽頭操作風險管理的風險管理部門日常風險狀況和態勢、相關風險點情況電子周報每周1次風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管牽頭操作風險管理的風險管理部門每周風險狀況和態勢、相關風險點情況電子和書面季報每季1次風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管牽頭操作風險管理的風險管理部門高管層每季風險狀況和態勢、相關風險點情況、相關風險分析電子和書面年報每年1

33、次風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管牽頭操作風險管理的風險管理部門高管層董事會、監事會、股東大會每年風險狀況和態勢、相關風險點情況、相關風險分析、下年風險預測電子和書面專題報告自我評估報告不定期風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管風險主管高管層風險節點、管控措施、整改措施有效性和操作風險管理戰略規劃有效性的評估電子和書面風險總報告不定期風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管風險主管高管層董事會、監事會、股東大會整體風險概況評估、風險規劃和風險管理措施評估等電子和書面信貸環節報告不定期風險管理部門牽頭，業務部門參與，相

34、關配套部門支持負責人上級主管風險主管高管層整個信貸環節的操作風險狀況和管理措施的評估電子和書面市場交易報告不定期風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管風險主管高管層整個市場交易環節的操作風險狀況和管理措施的評估電子和書面風險事件報告不定期風險管理部門牽頭，業務部門參與，相關配套部門支持負責人上級主管風險主管高管層董事會根據規定要上報的嚴重操作風險損失事件電子和書面Company Logo基礎設施基礎設施l 操作風險管理基礎設施是構成操作風險管理框架的基礎，是操作風險管理活動賴以開展的前提條件，為操作風險管理過程提供組織的、數據的、方法的、操作的、系統的支持。l 基礎設施

35、包括內容一個完整且權責明確的風險管理組織結構，該結構應包含一個獨立的操作風險管理中心（部門）。真實、準確的風險數據和信息，可能要求銀行建立必要的數據庫。一致的風險測量和管理方法。廣泛的管理報告交流風險狀況。風險管理所需要的信息技術。Company Logo基礎設施基礎設施商業銀行董事會層級1層級2商業銀行高管層層級3負責操作風險管理的相關部門或牽頭部門*內審部門或外審法律、合規、信息科技、安保、人力資源部門業務部門業務部門業務部門業務部門業務部門業務部門業務部門業務部門*：考慮到中國商業銀行現狀，我們對商業銀行不作單獨設立操作風險管理部門的硬性要求，但商業銀行必須有相應的部門或牽頭部門獨立行使

36、操作風險管理職能-引自商業銀行操作風險管理指引組織架構參考示意圖Company Logo基礎設施基礎設施董事會總行總行風險管理委員會總行操作風險管理部操作風險管理部分行總行其它業務部門其它業務部門操作風險管理崗分行其它業務部門其它業務部門操作風險管理崗基層其它業務部門其它業務部門操作風險管理崗操作風險管理部基層行操作風險總監操作風險主管操作風險經理操作風險管理總體組織架構圖Company Logo基礎設施基礎設施董事會主要職責*承擔監控操作風險管理有效性的最終責任制定審查審閱了解確保操作風險管理戰略、總體政策以及獎懲制度等高管層的操作風險職責、權限和報告制度高管層提交的操作風險報告操作風險管理

37、的總體情況、高管層處理重大操作風險事件的有效性全行的操作風險管理決策體系的有效性；本行從事的各項業務面臨的操作風險控制在可以承受的范圍內 ；高管層采取必要的措施有效地識別、評估、監測和控制/緩釋操作風險；操作風險管理體系接受內審部門的有效審查與監督；全行范圍有效地推動操作風險管理體系地建設。*：引自商業銀行操作風險管理指引Company Logo基礎設施基礎設施高級管理層主要職責*負責執行董事會批準的操作風險管理戰略、總體政策及體系在操作風險的日常管理方面，對董事會負最終責任 根據董事會制定的操作風險管理戰略及總體政策，負責制定、定期審查和監督執行操作風險管理的政策、程序和具體的操作規程，并定

38、期向董事會提交操作風險總體情況的報告 全面掌握本行操作風險管理的總體狀況，特別是各項重大的操作風險事件或項目 明確界定各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內容，督促各部門切實履行操作風險管理職責，以確保操作風險管理體系的正常運行 為操作風險管理配備適當的資源，包括但不限于提供必要的經費、 設置必要的崗位、配備合格的人員、為操作風險管理人員提供培訓、賦予操作風險管理人員履行職務所必需的權限等 及時對操作風險管理體系進行檢查和修訂，以便有效地應對內部程序、產品、業務活動、信息科技系統、員工及外部事件和其他因素發生變化而所造成的操作風險損失事件*：引自商業銀行操作風險管理指引Com

39、pany Logo基礎設施基礎設施負責體系的建立和實施，保持獨立，確保其一致性和有效性 擬定政策、程序和具體的操作規程，提交高級管理層和董事會審批 協助其他部門識別、評估、監測、控制及緩釋操作風險 建立并組織實施識別、評估、緩釋（包括內部控制措施）和監測方法以及報告程序 建立基本控制標準，并指導和協調操作風險管理 提供培訓，協助各部門提高管理水平、切實履行各項職責 定期檢查并分析業務部門和其他部門操作風險的管理情況 定期向高級管理層提交操作風險報告 確保操作風險制度和措施得到遵守 操作風險管理牽頭部門主要職責*：引自商業銀行操作風險管理指引Company Logo基礎設施基礎設施業務部門主要職

40、責*：引自商業銀行操作風險管理指引指定專人負責操作風險管理，其中包括政策、程序和具體的操作規程 根據管理評估方法，識別評估操作風險，并建立持續、有效的監測和控制/緩釋及報告程序，并組織實施 在制定本部門業務流程和相關業務政策時，充分考慮操作風險管理和內部控制的要求 監測關鍵風險指標，定期向負責部門或牽頭部門通報本部門操作風險管理的總體狀況，并及時通報重大事件Company Logo基礎設施基礎設施其他支持部門主要職責*法律合規信息科技安全保衛人力資源內部控制內部審計人員人員在管理好本部門操作風險的同時，應在涉及其職責分工及專業特長的范圍內為其他部門管理操作風險提供相關資源和支持。*：引自商業銀行操作風險管理指引Company Logo基礎設施基礎設施內審部門不直接負責或參與其他部門的