操作风险管理培训资料课件.ppt

《操作风险管理培训资料课件.ppt》由会员分享，可在线阅读，更多相关《操作风险管理培训资料课件.ppt（54页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、江苏银行操作风险管理理论培训材料江苏银行操作风险管理理论培训材料操作风险管理操作风险管理营运部2023/2/141 1操作风险管理操作风险管理l发展阶段l稳健做法l管理框架风险战略管理流程l风险识别l风险评估l控制/缓释l监测/计量l风险报告基础设施风险环境l操作风险管理差距目录目录2023/2/142 2Company Logo发展阶段发展阶段传统阶段传统阶段识别阶段识别阶段监测阶段监测阶段定量阶段定量阶段整合阶段整合阶段123452023/2/143 3Company Logo只有内部控制，缺乏正规的操作风险管理架构传统阶段传统阶段 专人负责操作风险管理，制定了相应的制度，能实施自我评估，

2、收集损失事件的数据识别阶段识别阶段能跟踪收集相关数据，制定了定性和定量指标，实施打分卡策略，形成综合报告体系，系统性培训监测阶段监测阶段 具备全面综合的数据库，能借助数理模型深入分析带来的影响定量阶段定量阶段操作风险管理、战略规划、质量控制和经济资本管理有机结合，提高股东价值整合阶段整合阶段发展阶段发展阶段2023/2/144 4Company Logo稳健做法稳健做法2023/2/145 5Company Logo管理框架管理框架2023/2/146 6Company Logo风险战略风险战略l风险偏好核心内容l根据发展规划和现有的业务能力和风险控制能力，银行确定下来的风险容忍程度。一般可分

3、为积极型、中性和保守型。积极型风险偏好：是指银行制定积极型发展规划，在推行这一规划时同时主动积极的承担相应的风险，进行风险套利，推进风险主动动态配置。中性风险偏好：是指银行制定比较稳妥的发展规划，在推行这一规划的同时承担相应的风险，不进行风险套利，也不主动规避某些风险，推进风险中性配置。保守型风险偏好：是指银行制定比较保守的发展规划，在推行这一规划的同时尽量规避相应的风险，不进行风险套利，推进风险被动保守配置。2023/2/147 7Company Logo风险战略风险战略l风险分解l根据业务发展战略和风险战略，结合风险控制能力，将操作风险目标任务根据不同的划分方法分解，将操作风险目标任务直接

4、落实到员工和业务条线上。l分解方法：将操作风险视为流程风险，根据既定的目标，按照事件类型、业务条线、影响程度等划分方法对涉及这一管理流程上的所有环节和要素及因素进行相应的划分并配置相应的操作风险管理任务和风险值，确保操作风险管理任务得到有效落实。2023/2/148 8Company Logo风险战略风险战略l风险政策l是指对操作风险管理中各个相关部门所负有的职责、所采用的技术和方法等问题的具体规定。l政策应包括以下内容操作风险管理目标操作风险定义及其管理流程操作风险管理架构及其相应的作用、责任操作风险管理工具和报告运用的预期效果l与之配套的制度银行高层对银行风险管理目标执行情况的定期审查制度

5、风险管理部门对风险管理控制措施遵守情况的检查制度审查、处理和解决违规问题的相关政策、程序和步骤操作风险各管理层责任明确的成文的审批和授权制度2023/2/149 9Company Logo管理流程管理流程风险识别风险评估控制/缓释检验/再评估监测/计量风险报告反馈操作风险管理流程（循环）2023/2/141010Company Logo风险识别风险识别l风险识别：是指通过一定得标准和手段，鉴别分析业务活动中一切可能导致操作风险的因素和产生风险的环节点，确定风险的性质和种类以及风险产生的原因与影响的过程。事前识别事后识别l识别内容潜在风险识别：银行通常会对所有重要产品、活动、程序和系统中内含的潜

6、在操作风险进行定期识别；在引进新产品、采取新程序和系统之前，或者上述内容发生重大变化时，须对其潜在操作风险进行单独识别。已暴露风险识别：银行针对已发生的风险事件所做的鉴别分析，包括事件性质、造成影响（直接或间接损失）、以及事件产生的深层次原因。找出风险产生的原因是风险识别的重点，将对缓释控制风险有重要的导向作用。l识别依据明确的操作风险定义科学的操作风险事件分类体系2023/2/141111Company Logo风险识别风险识别第一条主线第二条主线第三条主线风险因素识别（原因）风险事件识别（类型）风险影响识别（后果）。风险所在和事件性质。风险识别方法分层次、分步骤逐步深入分析2023/2/1

7、41212Company Logo风险识别风险识别l风险识别考虑的因素潜在操作风险的整体情况银行运行所处的内外部环境银行的战略目标银行提供的产品和服务银行独特的环境内外部的变化以及变化的速度l风险识别的常用工具内部损失/事件数据库外部损失/事件数据库情景分析流程图2023/2/141313Company Logo风险评估风险评估l风险评估：是指根据损失经验、假设分析等逐一测评所有被识别出来的内部或外部操作风险因素的影响程度，以确定哪些风险可接受，哪些风险不可接受，需加以控制或转移。l评估内容固有风险：指在没有任何管理控制措施的情况下，经营管理过程本身所具有的风险。它是与业务经营或管理活动相伴存

8、在的，是内部控制活动的对象。控制风险：指对操作风险没有良好的内部控制，或内部控制无效，导致经营活动中的操作风险不能被及时发现而造成损失。剩余风险：指在实施了旨在改变风险可能性和影响强度的管理控制活动后，仍然保留的风险。固有风险-控制风险=剩余风险l评估依据风险识别结果2023/2/141414Company Logo风险评估风险评估l风险评估应考虑的因素操作风险因素的发生频率操作风险因素的影响程度操作风险等级风险的可接受程度控制的有效性l操作风险的评估过程一般以业务管理和风险管理两个层面相结合展开，在定性分析的基础上，对操作风险因素可能损失的合理估计。l操作风险识别与评估的一般原则由表及里自下

9、而上从已知到未知l操作风险识别与评估方法操作风险与内部控制自我评估损失事件数据方法流程图2023/2/141515Company Logo风险评估风险评估l评估方法之自我评估l是在银行内部控制体系基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险度大小。同时，识别这些风险点是否有控制活动，并评估控制活动质量，进而提出优化控制活动的方案。l自我评估目标：鼓励各级机构承担责任及主动对操作风险进行识别管理。l自我评估运用方法流程分析法情景模拟法引导会议法德尔菲法调查问卷法l借助资料和工具操作风险定义及损失事件分类操作风险损失事件历史数据各类业务检

10、查报告内部审计报告外部监管、审计报告2023/2/141616Company Logo风险评估风险评估全员风险识别与报告作业流程分析和风险识别与评估控制活动识别与评估制定与实施控制优化方案报告自我评估工作于日常监控自我评估工作流程2023/2/141717Company Logo风险评估风险评估等级等级描述词描述词详细描述详细描述概率参考值（会计业务条线）概率参考值（会计业务条线）范围范围说明说明1 1极可能极可能预计大多数情况下发生；或预计大多数情况下发生；或现实中大量发生现实中大量发生(0.01(0.01，11发生概率大于发生概率大于0.010.012 2很可能很可能很可能会发生；或现实中

11、经很可能会发生；或现实中经常发生常发生(0.001(0.001，0.010.01发生概率在发生概率在0.0010.001与与0.010.01（含）（含）之间之间3 3可能可能在某种情况下可能发生；或在某种情况下可能发生；或现实中发生过几次现实中发生过几次(0.0003,0.001(0.0003,0.001发生概率在发生概率在0.00030.0003与与0.0010.001（含）（含）之间之间4 4不太可能不太可能在某种情况下能够发生，但在某种情况下能够发生，但可能性小；现实中偶尔可能性小；现实中偶尔发生发生(0.00001,0.0003(0.00001,0.0003发生概率在发生概率在0.00

12、0010.00001与与0.00030.0003（含）（含）之间之间5 5罕见罕见仅在例外情形下发生；或很仅在例外情形下发生；或很多年发生一次多年发生一次(0(0，0.000010.00001发生概率不大于发生概率不大于0.000010.00001操作风险事件发生频率或可能性评估表2023/2/141818Company Logo风险评估风险评估等级等级描述词描述词详细描述详细描述损失金额参考值损失金额参考值 （会计业务条线）（会计业务条线）范围范围说明说明1 1极大极大极大的损失极大的损失金额金额100100，)损失金额在损失金额在100100万元（含）以上万元（含）以上2 2较大较大较大的

13、损失较大的损失金额金额1010，100)100)损失金额在损失金额在1010万元（含）与万元（含）与100100万元之万元之间间3 3中等中等中等的损失中等的损失金额金额11，10)10)损失金额在损失金额在1 1万元（含）与万元（含）与1010万元之间万元之间4 4较小较小较小的损失较小的损失金额金额0.10.1，1)1)损失金额在损失金额在0.10.1万元（含）与万元（含）与1 1万元之间万元之间5 5极小极小极小的损失极小的损失金额金额(0(0，0.1)0.1)损失金额在损失金额在0 0与与0.10.1万元之间万元之间操作风险事件影响程度评估表2023/2/141919Company L

14、ogo风险评估风险评估影响程影响程度度发生频率发生频率5-5-极小极小4-4-较小较小3-3-中等中等2-2-较大较大1-1-极大极大1-1-极可能极可能3 32 22 21 11 12-2-很可能很可能3 33 32 21 11 13-3-可能可能4 43 33 32 21 14-4-不太可能不太可能4 44 43 32 21 15-5-罕见罕见5 54 44 43 32 2操作风险等级矩阵表1-extreme,极大风险，不可接受；2-high,高风险，不可接受；3-medium,中等风险，不可接受；4-low,低风险，可接受；5-ignore,极小风险，可接受。2023/2/142020C

15、ompany Logo风险评估风险评估现有控制质量评估表等级等级描述词描述词详细描述详细描述1 1控制有效控制有效OptimizedOptimized监控机制确保标准化操作程序的执行，监控反馈的信息被有效用于优化和增进控制措施以适应环境变化。当采取控制措施后，风险等级从不可接受（1、2、3级）降至5级（极小风险）时，可以认为控制有效。2 2控制基本有效控制基本有效ManagedManaged对标准化的控制措施配套了有效的监控机制，监控所获信息被用于优化控制。当采取控制措施后，风险等级从不可接受（1、2、3级）降至4级（低风险）时，可以认为控制基本有效。3 3控制不足控制不足InitialIni

16、tial临时性控制或者当采取控制措施后，风险等级仍处于不可接受（1、2、3级）时，可以认为控制不足，需要进一步采取控制措施。4 4控制过度控制过度Over-controlOver-control当采取控制措施后，风险等级从不可接受（1、2、3级）降至可接受（4、5级），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。2023/2/142121Company Logo风险评估风险评估序号序号风险点编号风险点编号风险点风险点描述描述所在业务所在业务流程流程风险类型风险类型固有风险固有风险等级等级流程内控流程内控制措施制措施流程外控制流程外控制措施措施残余风

17、险等残余风险等级级是否需要控是否需要控制优化制优化1 1DKJ7212-02-DKJ7212-02-01-101-1票据真票据真实性实性现金支票现金支票业务业务2.1.22.1.2：外部欺诈：外部欺诈-盗窃和欺诈盗窃和欺诈-伪造、诈骗伪造、诈骗3-3-中等风中等风险险复核、即复核、即时业务授时业务授权权会计稽核、会计稽核、会计检查会计检查4-4-低风险低风险2 2DKJ7212-02-DKJ7212-02-01-201-2记账错记账错误误现金支票现金支票业务业务7.2.17.2.1：流程管理和：流程管理和执行合规性执行合规性-交易执交易执行行-交易数据记录错交易数据记录错误误3-3-中等风中等

18、风险险复核、即复核、即时业务授时业务授权权会计稽核、会计稽核、会计检查会计检查4-4-低风险低风险3 3DKJ7212-02-DKJ7212-02-01-301-3付款错付款错误误现金支票现金支票业务业务4-4-低风险低风险双人付款双人付款录像监控录像监控5-5-极小风险极小风险是是4 4DKJ7212-02-DKJ7212-02-01-401-4违反监违反监管规定管规定现金支票现金支票业务业务3-3-中等风中等风险险票据审查票据审查、授权、授权会计稽核、会计稽核、会计检查会计检查4-4-低风险低风险是是5 5DKJ-YW-01DKJ-YW-01印鉴卡印鉴卡保管保管非流程风非流程风险险3-3-

19、中等风中等风险险无无分岗保管、分岗保管、主管检查主管检查4-4-低风险低风险6 6DKJ-XT-01DKJ-XT-01系统缺系统缺陷陷非流程风非流程风险险6.1.26.1.2：系统失灵和：系统失灵和设备故障设备故障-IT-IT系统系统-软件软件2-2-高风险高风险无无无无2-2-高风险高风险是是7 7DKJ-RY-01DKJ-RY-01混岗操混岗操作作非流程风非流程风险险3-3-中等风中等风险险无无无无3-3-中等风险中等风险是是操作风险与内部控制自我评估工作汇总表2023/2/142222Company Logo风险评估风险评估低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影

20、响（LFLI）高频率/低影响（HFLI）低高低高频率影响严重关注、彻底避免积极重视、强化管理作为日常管理、列入成本引入外部数据库，保险，进行风险转移风险评估结果的意义2023/2/142323Company Logo控制控制/缓释缓释l控制/缓释：是指根据操作风险识别评估的结果，结合发展战略、业务规模与复杂性，通过采取流程控制、行为监控、电子化、保险等一系列控制/缓释方法，将其调整到可接受的风险水平。l控制/缓释工具：l内部控制良好的控制环境有效的风险控制体系有效的内部控制措施完善的内部信息管理体系l保险一揽子保险错误与遗漏保险经理与高级职员责任险未授权交易保险电子保险l信息技术系统l应急和连

21、续营业机制l外包l组织文化2023/2/142424Company Logo控制控制/缓释缓释成本收益决策控制成本增加的处理时间实施的成本效率的损失对客户使用该服务能力的潜在影响银行需确保风险控制水平与所面临的风险相匹配，并且实施的成本能够由程序改善所带来的收益弥补。不恰当的控制成本超过了潜在损失导致客户流失未能改善高成本高风险的低效程序2023/2/142525Company Logo控制控制/缓释缓释全过程分析根据业务目标，将客户服务（过程）从起始一直分析到结束。全过程分析要分析客户服务中的所有活动，而不仅仅是单一业务过程。就客户而言，服务过程应该是无缝的，而不是一系列不相关的事件。服务链

22、的任何中断都会对客户产生直接影响。全过程分析的典型方法六西格玛，它是一种基于统计学的方法，用来计量业务过程中“缺陷”的个数，并系统地消除每个缺陷。2023/2/142626Company Logo控制控制/缓释缓释低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影响（LFLI）高频率/低影响（HFLI）低高低高频率影响避免策略（调整风险容忍度、减少或停做此类业务）缓释策略(加强内部控制、加大技术投入）承担策略转移策略（业务外包、保险）控制/缓释一般性策略选择2023/2/142727Company Logo控制控制/缓释缓释加强内部控制*职责分工以及相关职能的适当分离密切监测遵守

23、指定风险限额或权限的情况 对接触和使用银行资产的记录进行安全监控 员工具有与其从事业务相适应的业务能力并接受相关培训识别与合理预期收益不符及存在隐患的业务或产品 定期对交易和账户进行复核和对账 主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度 重要岗位或敏感环节员工八小时内外行为规范 建立基层员工署名揭发违法违纪问题的激励和保护制度 查案、破案与处分适时、到位的双重考核制度 案件查处和相应的信息披露制度 对基层操作风险管控奖惩兼顾的激励约束机制*：参照1998年9月的BCBS的银行内部控制基本原则，引自商业银行操作风险管理指引2023/2/142828Company Logo控制控制/缓释

24、缓释应急和连续营业机制*制定与其业务规模和复杂性相适应的应急和业务连续方案 建立恢复服务和保证业务连续运行的备用机制 定期检查、测试其灾难恢复和业务连续机制 确保在出现灾难和业务严重中断时这些方案和机制的正常执行*：引自商业银行操作风险管理指引2023/2/142929Company Logo控制控制/缓释缓释风险缓释*商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程

25、序。*：引自商业银行操作风险管理指引2023/2/143030Company Logo监测监测/计量计量l风险监测：是指通过对各类风险指标的日常监测，对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。l监测目的对银行面临的所有类型操作风险的定性和定量评估进行监控评估缓释活动是否有效和适当，包括可识别的风险能在多大程度上被转移至银行外部确保控制充分、风险管理系统的正常运行l监测工具风险图：是一组用以描述风险种类及其发生频率和强度的散点图，其数据主要来源于自我评估结果或损失事件历史数据。风险图中的数据通常采用对数表示。风险监测指标：在对风险点准确识别的基础上，通过设定一些可度量的变量来反

26、映特定风险的暴露情况，变量值的变化反映风险水平的变化。监测指标一般都设有门槛值，称作“放大机制”、“触发水平”，表示指标的变化限度或容忍限度。l监测指标的标准有效性可比性敏感性便用性2023/2/143131Company Logo监测监测/计量计量l风险计量自上而下法：是将操作风险与总收入、总支出等目标变量相联系，根据两者之间确定的函数关系来计量操作风险值的方法。自下而上法：是将目标变量分解为一个个具体的目标变量，分别考虑风险因素和损失事件对它们的影响，分别估计操作风险值，然后再计算总体操作风险值的方法。l新资本协议提供了三种操作风险计算方法基本指标法标准法高级计量法l内部衡量法l损失分布法

27、l极值理论模型l记分卡法2023/2/143232Company Logo监测监测/计量计量操作风险度量模型分类比较度量模型 基本指标法标准法高级计量法内部衡量法损失分布法极值理论模型记分卡法其他业务类别和事故类型单一业务类型多个业务类型（8个）多个业务类型、多个事故类型由监管机构统一划定银行自主划定结构（系数风险暴露指标）使用损失频率和损失幅度的概率分布来估计操作风险的在险价值（VaR）使用的参数单一的风险暴露指标（EI）多个EI(PELGERPI)监管机构统一划定监管资本高较高较低2023/2/143333Company Logo监测监测/计量计量损失事件数据库（LED）：在标准化的操作风

28、险事件分类基础上，对银行已发生的风险事件进行确认和记录，并采用结构化的方式进行存储。内部损失数据库外部损失数据库发生时间风险事件类型风险点发生时间地点损失金额产品线风险成因损失回收发生损失事件的业务范围损失金额损失起因2023/2/143434Company Logo监测监测/计量计量1、内部数据和外部数据的收集、分析和检验对数据的一致性、完整性和相关性进行检查剔除重复数据2、使内部数据和外部数据相匹配、整合情景分析方法补充损失数据3、运用损失数据进行操作风险的量化、自我评估、风险分析和报告风险侧面图损失事件数据库LED运作程序2023/2/143535Company Logo监测监测/计量计

29、量风险原因人员程序系统外部事件风险事件风险影响内部欺诈外部欺诈就业政策和工作场所安全实物资产损坏业务中断和系统失败客户、产品和业务操作执行、交付和流程管理法律责任调整、服从和税收惩罚资产损失或损害赔偿丧失追索权丧失信誉风险损失数据分类风险损失数据分类2023/2/143636Company Logo监测监测/计量计量损失事件数据库功能对经营管理中主要的操作风险点进行分类，识别操作风险中的“热点”问题作为数据输入建立操作风险的量化模型，并用于监管资本和经济资本计算有效地对整体操作风险状况进行自我评估，并在总结探索的基础上提出有价值建议使银行的操作风险损失具有透明度，作为历史资料还可以用于经验分析

30、与同业状况进行比较，有利于引导正确的行动以改善控制环境为国际性学术交流和管理实践提供帮助为有关管理报告提供基础性的、具有较高实用性信息，提高决策的针对性和有效性吸收和引进外部数据，在多家银行间实现数据共享比较准确反映银行操作风险管理的状况和进展多层面加深全员对操作风险源的认识，增强风险意识和责任意识最终降低未来操作风险损失的频率和严重性，实践操作风险管理和控制的预期目标2023/2/143737Company Logo监测监测/计量计量关键风险监测指标（KRI）：是一些可以用来考察和掌握银行操作风险状况的统计数字财务方面，这些指标被周期性审查，以使银行对可能存在的操作风险变化保持警觉。KRI体

31、系建立原则重要性原则指标选择覆盖当前整体范围内的操作风险重点环节，必须抓住操作风险易发的区域或风险严重的区域开放性原则根据银行业务发展和风险偏好的转移，不断调整和完善相应指标事前预警和事后计量结合原则部分指标要对操作风险有预先警示作用，部分指标要在事后对操作风险事件的损失情况有所计量风险容忍原则对部分操作风险可以不进行监测但其损失必须进行计量2023/2/143838Company Logo监测监测/计量计量业务线、风险分类和业务功能单位三维模式KRI实质上是一个三维模型，模型中的每一个组合决定一个操作风险点，每一个风险点都对应一个KRI，对该风险点风险水平进行度量，反映风险发生的频率或损失强

32、度或兼而有之。2023/2/143939Company Logo风险报告风险报告l风险报告：在对自身的操作风险进行识别、评估、监测和缓释等相关管理工作时，形成的文档化材料或电子材料，按照相关程序报送相关部门或负责人，使得相关部门或负责人可以及时有效地对操作风险状况进行了解和控制管理的行为。l为确保风险报告的有效执行，须确定操作风险报告方式、频率、路径、内容、载体和负责人等相关事宜。l报告内容定性信息：是对操作风险暴露的评论和对风险的主观评价。定量信息：是基于数量指标，并附有建立于风险容忍度和门槛值基础上的客观评价。2023/2/144040Company Logo风险报告风险报告内部损失数据风

33、险指标风险评估风险识别风险评估损失事件风险诱因关键指标资本分析压力测试外部损失数据同业比较资本分析业务目标分析制定/调整政策配置资源跟踪反馈风险财务策略业务部门业务部门操作风险报告操作风险报告高级管理层高级管理层操作风险报告流程风险管理部门风险管理部门2023/2/144141Company Logo风险报告风险报告定期报告种类频率负责人报告路线报告内容载体日报每日1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管牵头操作风险管理的风险管理部门日常风险状况和态势、相关风险点情况电子周报每周1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管牵头操作风险管理的风险管

34、理部门每周风险状况和态势、相关风险点情况电子和书面季报每季1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管牵头操作风险管理的风险管理部门高管层每季风险状况和态势、相关风险点情况、相关风险分析电子和书面年报每年1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管牵头操作风险管理的风险管理部门高管层董事会、监事会、股东大会每年风险状况和态势、相关风险点情况、相关风险分析、下年风险预测电子和书面专题报告自我评估报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管风险主管高管层风险节点、管控措施、整改措施有效性和操作风险管理战略规划有效性的评估电子和

35、书面风险总报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管风险主管高管层董事会、监事会、股东大会整体风险概况评估、风险规划和风险管理措施评估等电子和书面信贷环节报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管风险主管高管层整个信贷环节的操作风险状况和管理措施的评估电子和书面市场交易报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管风险主管高管层整个市场交易环节的操作风险状况和管理措施的评估电子和书面风险事件报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人上级主管风险主管高管层董事会根据规定要上报的严重操作风险

36、损失事件电子和书面2023/2/144242Company Logo基础设施基础设施l操作风险管理基础设施是构成操作风险管理框架的基础，是操作风险管理活动赖以开展的前提条件，为操作风险管理过程提供组织的、数据的、方法的、操作的、系统的支持。l基础设施包括内容一个完整且权责明确的风险管理组织结构，该结构应包含一个独立的操作风险管理中心（部门）。真实、准确的风险数据和信息，可能要求银行建立必要的数据库。一致的风险测量和管理方法。广泛的管理报告交流风险状况。风险管理所需要的信息技术。2023/2/144343Company Logo基础设施基础设施商业银行董事会层级1层级2商业银行高管层层级3负责操

37、作风险管理的相关部门或牵头部门*内审部门或外审法律、合规、信息科技、安保、人力资源部门业务部门业务部门业务部门业务部门业务部门业务部门业务部门业务部门*：考虑到中国商业银行现状，我们对商业银行不作单独设立操作风险管理部门的硬性要求，但商业银行必须有相应的部门或牵头部门独立行使操作风险管理职能-引自商业银行操作风险管理指引组织架构参考示意图2023/2/144444Company Logo基础设施基础设施董事会总行总行风险管理委员会总行操作风险管理部操作风险管理部分行总行其它业务部门其它业务部门操作风险管理岗分行其它业务部门其它业务部门操作风险管理岗基层其它业务部门其它业务部门操作风险管理岗操作

38、风险管理部基层行操作风险总监操作风险主管操作风险经理操作风险管理总体组织架构图2023/2/144545Company Logo基础设施基础设施董事会主要职责*承担监控操作风险管理有效性的最终责任制定审查审阅了解确保操作风险管理战略、总体政策以及奖惩制度等高管层的操作风险职责、权限和报告制度高管层提交的操作风险报告操作风险管理的总体情况、高管层处理重大操作风险事件的有效性全行的操作风险管理决策体系的有效性；本行从事的各项业务面临的操作风险控制在可以承受的范围内；高管层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；操作风险管理体系接受内审部门的有效审查与监督；全行范围有效地推动操作风

39、险管理体系地建设。*：引自商业银行操作风险管理指引2023/2/144646Company Logo基础设施基础设施高级管理层主要职责*负责执行董事会批准的操作风险管理战略、总体政策及体系在操作风险的日常管理方面，对董事会负最终责任 根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告 全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目 明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行

40、为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等 及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化而所造成的操作风险损失事件*：引自商业银行操作风险管理指引2023/2/144747Company Logo基础设施基础设施负责体系的建立和实施，保持独立，确保其一致性和有效性 拟定政策、程序和具体的操作规程，提交高级管理层和董事会审批 协助其他部门识别、评估、监测、控制及缓释操作风险 建立并组织实施识别、评估、

41、缓释（包括内部控制措施）和监测方法以及报告程序 建立基本控制标准，并指导和协调操作风险管理 提供培训，协助各部门提高管理水平、切实履行各项职责 定期检查并分析业务部门和其他部门操作风险的管理情况 定期向高级管理层提交操作风险报告 确保操作风险制度和措施得到遵守 操作风险管理牵头部门主要职责*：引自商业银行操作风险管理指引2023/2/144848Company Logo基础设施基础设施业务部门主要职责*：引自商业银行操作风险管理指引指定专人负责操作风险管理，其中包括政策、程序和具体的操作规程 根据管理评估方法，识别评估操作风险，并建立持续、有效的监测和控制/缓释及报告程序，并组织实施 在制定本

42、部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求 监测关键风险指标，定期向负责部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大事件2023/2/144949Company Logo基础设施基础设施其他支持部门主要职责*法律合规信息科技安全保卫人力资源内部控制内部审计人员人员在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。*：引自商业银行操作风险管理指引2023/2/145050Company Logo基础设施基础设施不直接负责或参与其他部门的操作风险管理 定期检查评估本行的操作风险管理体系运作情况 监督

43、操作风险管理政策的执行情况 对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估 向董事会报告操作风险管理体系运行效果的评估情况 其他支持部门主要职责*银监会鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价*：引自商业银行操作风险管理指引2023/2/145151Company Logo风险环境风险环境风险环境是指风险管理活动所影响的范围或风险管理行为风险环境是指风险管理活动所影响的范围或风险管理行为所面临的境况。其中风险管理文化是最重要的组成部分。所面临的境况。其中风险管理文化是最重要的组成部分。风险管理文化塑造先进的风险文化充分发挥人的

44、主导作用创建学习型组织树立正确的风险管理理念加强管理层的驱动作用2023/2/145252Company Logo操作风险管理差距操作风险管理差距操作风险管理内容国际大银行的标准我国银行目前的差距理念和政策统一明确的管理政策；明确界定和分类；并在全行范围内建立综合统一的方法和流程来监测、预防对操作风险缺乏统一的认识；什么是或不是操作风险？要不要对操作风险进行统一管理？没有成文的管理政策、流程治理结构董事会批准的统一的管理框架；完全独立的审计部门监督和汇报操作政策和程序是否有效实施；集中的风险管理部门负责维护管理工具、协调和汇报风险，业务部门负责具体监控，数据收集和工具的实施尚没有董事会或对等机

45、构来批准统一的管理框架；总行相关部门分布负责一些工作，但部门之间缺乏协调和清楚的报告关系（管理部门内分别向各自上级汇报）风险评估银行采取一种或多种方法评估：风险自评、流程风险映射、关键风险指标、风险打分卡、历史跟踪和量化风险数据尚未做过正式的自评；未建立正式的关键风险指标体系，更无与其挂钩的风险预警；尚未设计和实施打分卡风险缓释工具的使用应急方案及业务恢复计划银行投入适当的风险缓释工具，如保险、系统安全技术和服务外包等对风险缓释工具的效果进行系统的评价，对外部服务质量严格控制并有备用方案对使用流程技术和保险来缓释风险的举措缺乏统一规定，个别分行有一定的措施对风险缓释的效果无系统的跟踪评价202

46、3/2/145353Company Logo操作风险管理差距操作风险管理差距操作风险管理内容国际大银行的标准我国银行目前的差距与管理流程整合定期报告，报告应传达给所有相关的管理层和部门；银行应有一整套的监控流程和程序来保证内控政策得到遵守和实施没有合规披露及监管披露管理的机制和方式，以足够使投资者能够对其管理效果做出合理判断尚没有披露机制和方式、系统和数据业务；部门没有关于操作风险的报告；目前的审计报告缺乏连续性和全面性，主要侧重已出现问题的业务应急方案及业务恢复计划针对银行可能面对的不同灾害情况，制定相应的应急方案和业务恢复计划，对业务恢复计划进行定期评价和修订在对服务外包商的尽职调查和准备应急方案方面无统一规定；没有较完整的应急方案和业务恢复计划系统和数据建立集中式的中央数据库，并与分析工具、映射工具和文件报告工具联系；存储足够历史数据以支持对模型的后台测试尚没有的信息系统和数据支持2023/2/145454Company Logo