操作風險監(jiān)測分析報告修訂

1、操作風險監(jiān)測分析報告單位名稱（公章） 簽發(fā)人：主要內(nèi)容：一 基本情況（一） 操作風險定義銀行辦理業(yè)務或內(nèi)部管理出了差錯，必須做出補償或賠償；法律文書有漏洞，被人鉆了空子；內(nèi)部人員監(jiān)守自盜，外部人員欺詐得手；電子系統(tǒng)硬件軟件發(fā)生故障，網(wǎng)絡遭到黑客侵襲；通信、電力中斷；地震、水災、火災、恐怖襲擊；等等，所有這些，都會給商業(yè)銀行帶來損失。這一類的銀行風險，被統(tǒng)稱為操作風險。(二)操作風險管理組織架構(gòu)，權限和責任組織架構(gòu)：各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行權限：中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）依法對商業(yè)銀行的操作風險管理實施監(jiān)督檢查，評價商業(yè)銀行操作風險管理的

2、有效性。責任：商業(yè)銀行董事會應將操作風險作為商業(yè)銀行面對的一項主要風險，并承擔監(jiān)控操作風險管理有效性的最終責任。主要包括：（1）制定與本行戰(zhàn)略目標相一致且適用于全行的操作風險管理戰(zhàn)略和總體政策；（2）通過審批及檢查高級管理層有關操作風險的職責、權限及報告制度，確保全行的操作風險管理決策體系的有效性，并盡可能地確保將本行從事的各項業(yè)務面臨的操作風險控制在可以承受的范圍內(nèi)；（3）定期審閱高級管理層提交的操作風險報告，充分了解本行操作風險管理的總體情況、高級管理層處理重大操作風險事件的有效性以及監(jiān)控和評價日常操作風險管理的有效性；（4）確保高級管理層采取必要的措施有效地識別、評估、監(jiān)測和控制/緩釋操

3、作風險；（5）確保本行操作風險管理體系接受內(nèi)審部門的有效審查與監(jiān)督；（6）制定適當?shù)莫剳椭贫龋谌蟹秶行У赝苿硬僮黠L險管理體系地建設。（三）操作風險管理政策，方法，和程序根據(jù)董事會制定的操作風險管理戰(zhàn)略及總體政策，負責制定、定期審查和監(jiān)督執(zhí)行操作風險管理的政策、程序和具體的操作規(guī)程，并定期向董事會提交操作風險總體情況的報告；（1）全面掌握本行操作風險管理的總體狀況，特別是各項重大的操作風險事件或項目；（2）明確界定各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內(nèi)容，督促各部門切實履行操作風險管理職責，以確保操作風險管理體系的正常運行；（3）為操作風險管理配備適當?shù)馁Y源，包括但不限于

4、提供必要的經(jīng)費、設置必要的崗位、配備合格的人員、為操作風險管理人員提供培訓、賦予操作風險管理人員履行職務所必需的權限等；（4）及時對操作風險管理體系進行檢查和修訂，以便有效地應對內(nèi)部程序、產(chǎn)品、業(yè)務活動、信息科技系統(tǒng)、員工及外部事件和其他因素發(fā)生變化所造成的操作風險損失事件。具體的方法可包括：評估操作風險和內(nèi)部控制、損失事件的報告和數(shù)據(jù)收集、關鍵風險指標的監(jiān)測、新產(chǎn)品和新業(yè)務的風險評估、內(nèi)部控制的測試和審查以及操作風險的報告。商業(yè)銀行應當制定有效的程序，定期監(jiān)測并報告操作風險狀況和重大損失情況。應針對潛在損失不斷增大的風險，建立早期的操作風險預警機制，以便及時采取措施控制、降低風險，降低損失事

5、件的發(fā)生頻率及損失程度（四）監(jiān)測和報告操作風險的方法商業(yè)銀行應當將加強內(nèi)部控制作為操作風險管理的有效手段，與此相關的內(nèi)部措施至少應當包括：（1）部門之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突；（2）密切監(jiān)測遵守指定風險限額或權限的情況；（3）對接觸和使用銀行資產(chǎn)的記錄進行安全監(jiān)控；（4）員工具有與其從事業(yè)務相適應的業(yè)務能力并接受相關培訓；（5）識別與合理預期收益不符及存在隱患的業(yè)務或產(chǎn)品；（6）定期對交易和賬戶進行復核和對賬；（7）主管及關鍵崗位輪崗輪調(diào)、強制性休假制度和離崗審計制度；（8）重要崗位或敏感環(huán)節(jié)員工八小時內(nèi)外行為規(guī)范；（9）建立基層員工署名揭發(fā)違法違規(guī)問題

6、的激勵和保護制度；（10）查案、破案與處分適時、到位的雙重考核制度；（五）處理操作風險事件和薄弱環(huán)節(jié)的措施商業(yè)銀行應及時向銀監(jiān)會或其派出機構(gòu)報告下列重大操作風險事件：（1）搶劫商業(yè)銀行或運鈔車、盜竊銀行業(yè)金融機構(gòu)現(xiàn)金30萬元以上的案件，詐騙商業(yè)銀行或其他涉案金額1000萬元以上的案件；（2）造成商業(yè)銀行重要數(shù)據(jù)、賬冊、重要空白憑證嚴重損毀、丟失，造成在涉及兩個或兩個以上?。ㄗ灾螀^(qū)、直轄市）范圍內(nèi)中斷業(yè)務3小時以上，在涉及一個?。ㄗ灾螀^(qū)、直轄市）范圍內(nèi)中斷業(yè)務6小時以上，嚴重影響正常工作開展的事件；（3）盜竊、出賣、泄漏或丟失涉密資料，可能影響金融穩(wěn)定，造成經(jīng)濟秩序混亂的事件；（4）高管人員嚴重

7、違規(guī)；（5）發(fā)生不可抗力導致嚴重損失，造成直接經(jīng)濟損失1000萬元以上的事故、自然災害；（6）其他涉及損失金額可能超過商業(yè)銀行資本凈額1的操作風險事件；（7）銀監(jiān)會規(guī)定其他需要報告的重大事件。（六）操作風險管理程序中的內(nèi)控，檢查和內(nèi)審程序為有效地識別、評估、監(jiān)測、控制和報告操作風險，商業(yè)銀行應當建立并逐步完善操作風險管理信息系統(tǒng)。管理信息系統(tǒng)至少應當記錄和存儲與操作風險損失相關的數(shù)據(jù)和操作風險事件信息，支持操作風險和控制措施的自我評估，監(jiān)測關鍵風險指標，并可提供操作風險報告的有關內(nèi)容。（七）災難恢復和業(yè)務連續(xù)方案的安排業(yè)銀行應當制定與其業(yè)務規(guī)模和復雜性相適應的應急和業(yè)務連續(xù)方案，建立恢復服務和

8、保證業(yè)務連續(xù)運行的備用機制，并應當定期檢查、測試其災難恢復和業(yè)務連續(xù)機制，確保在出現(xiàn)災難和業(yè)務嚴重中斷時這些方案和機制的正常執(zhí)行。（八）計提操作風險所需資本的規(guī)定商業(yè)銀行初次計量操作風險監(jiān)管資本，必須事先向銀監(jiān)會申請使用標準法（含標準法替代形式）或高低計量法，經(jīng)批準后方可實施。經(jīng)銀監(jiān)會審查不符合高級計量法資格標準的，應采用標準法（含標準法替代形式）計量操作風險監(jiān)管資本，不符合標準法（含標準法替代形式）資格標準的，應采用基本指標法計量操作風險監(jiān)管資本。（九）操作風險管理的其他情況于銀監(jiān)會在監(jiān)管中發(fā)現(xiàn)的有關操作風險管理的問題，商業(yè)銀行應當在規(guī)定的時限內(nèi)，提交整改方案并采取整改措施。對于發(fā)生重大操作

9、風險事件而未在規(guī)定時限內(nèi)采取有效整改措施的商業(yè)銀行，銀監(jiān)會將依法采取相關監(jiān)管措施一 操作風險的特點及主要表現(xiàn)（一） 操作風險的特點（1）操作風險中的風險因素很大比例上來源于銀行的業(yè)務操作,屬于銀行可控范圍內(nèi)的內(nèi)生風險。單個操作風險因素與操作損失之間并不存在清晰的、可以界定的數(shù)量關系。（2）從覆蓋范圍看,操作風險管理幾乎覆蓋了銀行經(jīng)營管理所有方面的不同風險。既包括發(fā)生頻率高、但損失相對較低的日常業(yè)務流程處理上的小紕漏，也包括發(fā)生頻率低、但一旦發(fā)生就會造成極大損失,甚至危及到銀行存亡的自然災害、大規(guī)模舞弊等。因此,試圖用一種方法來覆蓋操作風險的所有領域幾乎是不可能的。（3）對于信用風險和市場風險而

10、言，風險與報酬存在一一映射關系，但這種關系并不一定適用于操作風險。（4）業(yè)務規(guī)模大、交易量大、結(jié)構(gòu)變化迅速的業(yè)務領域，受操作風險沖擊的可能性最大。（5）操作風險是一個涉及面非常廣的范疇，操作風險管理幾乎涉及銀行內(nèi)部的所有部門。因此，操作風險管理不僅僅是風險管理部門和內(nèi)部審計部門的事情。（二）操作風險的主要表現(xiàn)（1）損失事件主要集中在商業(yè)銀行業(yè)務和零售銀行業(yè)務,主要可以歸因于內(nèi)部欺詐、外部欺詐,占到損失事件比例最大的是商業(yè)銀行業(yè)務中的內(nèi)部欺詐。（2）單筆損失金額的均值相差很大，在度量操作風險時,應該分別考慮每個業(yè)務部門和每個風險事件組合下的損失分布情況。（3）損失事件的多少與銀行的總資產(chǎn)規(guī)模成正

11、相關，但損失金額多少與總資產(chǎn)沒有明顯的相關性。（4）從損失事件數(shù)目和損失金額的地區(qū)分布看，操作風險不一定發(fā)生在經(jīng)濟發(fā)達的分支機構(gòu),但是肯定會發(fā)生在管理薄弱、風險控制意識不強的地區(qū) 三，操作風險管理中存在的問題和難點公司治理結(jié)構(gòu)不健全。一是所有者虛位，導致對代理人監(jiān)督不夠。二是內(nèi)部制衡機制不完善。董事會、監(jiān)事會、經(jīng)營管理層之間的制衡機制還未真正建立起來。三是存在“內(nèi)部人”控制現(xiàn)象1. 內(nèi)控制度建設尚不完備。一是沒有形成系統(tǒng)的內(nèi)部控制制度，控制不足與控制分散并存，業(yè)務開拓與內(nèi)控制度建設缺乏同步性，特別是新業(yè)務的開展缺乏必要的制度保障，風險較大。二是內(nèi)控制度的整體性不夠。對所屬分支機構(gòu)控制不力，對決

12、策管理層缺乏有效的監(jiān)督。對業(yè)務人員監(jiān)督得多，而對各級管理人員監(jiān)督得較少、制約力不強。三是內(nèi)控制度的權威性不強。審計資源配置效率低下，稽核審計職能和權威性沒有充分發(fā)揮，內(nèi)部審計部門沒有完全起到查錯防漏、控制操作風險的作用2. 風險管理方法落后，信息技術的運用嚴重滯后。4、員工隊伍管理不到位。銀行管理人員在日常工作中重業(yè)務開拓，輕隊伍建設；重員工使用，輕員工管理，對員工思想動態(tài)掌握不夠，加之舉報機制不健全，使本來可以超前防范的操作風險不能及時發(fā)現(xiàn)和制止。5、與風險控制有沖突的考核激勵政策容易誘導操作風險。6、社會轉(zhuǎn)型及銀行變革容易引發(fā)操作風險。當前社會治安形勢仍然嚴峻，針對銀行的搶劫、詐騙、盜竊等

13、犯罪時有發(fā)生。從銀行內(nèi)部來看，國有銀行正在進行股改，伴隨機構(gòu)撤并，也帶來了大量富余人員消化問題，并導致各種矛盾的尖銳化。四，下一步工作部署安排加大改革力度1、建立完善的公司法人治理結(jié)構(gòu)。我國商業(yè)銀行要建立規(guī)范的股東大會、董事會、監(jiān)事會制度，設立獨立董事，構(gòu)建以股東大會董事會監(jiān)事會行長經(jīng)營層之間的權力劃分和權力制衡有效結(jié)構(gòu)，通過高級管理層權力制衡，抑制“內(nèi)部人”控制、“道德風險”的發(fā)生。2、按照“機構(gòu)扁平化、業(yè)務垂直化”的要求，推進管理架構(gòu)和業(yè)務流程再造，從根本上解決操作風險的控制問題。3、改革考核考評辦法。正確引導分支機構(gòu)在調(diào)整結(jié)構(gòu)和防范風險的基礎上提高經(jīng)營效益，防止重規(guī)模輕效益。要合理確定任

14、務指標，把風險及內(nèi)控管理納入考核體系，切實加強和改善銀行審慎經(jīng)營和管理，嚴防操作風險。不能制定容易引發(fā)偏離既定經(jīng)營目標或違規(guī)經(jīng)營的激勵機制。不斷完善內(nèi)部控制制度商業(yè)銀行在堅持過去行之有效的內(nèi)部控制制度的同時，要把握形勢，緊貼業(yè)務，不斷研究新的操作風險控制點，完善內(nèi)部控制制度，及時有效地評估并控制可能出現(xiàn)的操作風險，把各種安全隱患消除在萌芽狀態(tài)。當前，重點要在以下七個方面完善內(nèi)部控制制度：一是建立相應的授權體系，實行統(tǒng)一法人管理和法人授權；二是建立必要的職責分離，以及橫向與縱向相互監(jiān)督制約關系的制度；三是明確關鍵崗位、特殊崗位、不相容崗位及其控制要求；四是對于重要活動應實施連續(xù)記錄和監(jiān)督檢查；五

15、是對于產(chǎn)品、組織結(jié)構(gòu)、流程、計算機系統(tǒng)的設計過程，應建立有效的控制程序；六是建立信息安全管理體系，對硬件、操作系統(tǒng)和應用程序、數(shù)據(jù)和操作環(huán)境，以及設計、采購、安全和使用實施控制；七是建立并保持應急預案和程序，確保業(yè)務持續(xù)開展。全面落實操作風險管理責任制首先，要通過層層簽訂防范操作風險責任合同，使風險防范責任目標與員工個人利益直接掛鉤，形成各級行一把手負總責，分管領導直接負責，相關部門各司其職、各負其責，一線員工積極參與的大防范工作格局。其次，要真正落實問責制。要明確各級管理者及每位操作人員在防范操作風險中的權力與責任，并進行責任公示。今后銀行發(fā)生大案，既要有人及時問責，又要深入追查事件責任人。

16、對出現(xiàn)大案、要案，或措施不得力的，要從嚴追究高管人員和直接責任人的責任，并相應追究檢查部門、審計部門及人員對檢查發(fā)現(xiàn)的問題隱瞞不報、上報虛假情況或檢查監(jiān)督整改不力的責任。切實改進操作風險管理方法1、不斷摸索，逐步完善操作風險計量方法。雖然對操作風險的計量還沒有一個十分完善的方法，但是隨著商業(yè)銀行全面風險管理的深入開展，準確計量操作風險并計提準備金是一個必然的發(fā)展趨勢。2、加強信息技術應用。在數(shù)據(jù)大集中的進程中，要加強業(yè)務系統(tǒng)操作平臺建設，全面查找設計上的漏洞，完善系統(tǒng)軟件。3、建立健全操作風險識別和評估體系。要借鑒國際先進經(jīng)驗并運用現(xiàn)代科技手段，逐步建立覆蓋所有業(yè)務類別操作風險的監(jiān)控、評價和預

17、警系統(tǒng)，識別和評估所有當前和未來潛在的操作風險及其性質(zhì)。4、建立和完善內(nèi)部信息交流制度。針對多發(fā)的管理人員帶頭實施違規(guī)，強迫命令下屬違規(guī)操作，形成案件和資金風險的問題，銀行要建立和完善員工舉報制度，依靠和發(fā)動一線員工，鼓勵檢舉違法違規(guī)問題，堅決遏制各類案件特別是大案要案的高發(fā)勢頭。加強人員管理一是要牢固樹立以人為本的經(jīng)營思想，充分發(fā)動和依靠廣大員工抓好操作風險管理工作。二是加強思想政治教育。要深入開展矛盾糾紛和不安定因素排查化解工作，多方面、多層次將矛盾糾紛和不安定因素化解在單位內(nèi)部和萌芽狀態(tài)。三是加強風險意識教育。要堅持不懈地進行安全角勢教育、典型案例教育、規(guī)章制度教育，提高全行員工安全防范

18、意識和遵紀守法觀念。四是要及時、深入了解重要崗位人員工作、生活情況，掌握思想和行為變化動態(tài)，對行為失范的員工要及時進行教育疏導和誡免談話，情節(jié)嚴重的，要嚴肅處理。五，針對本機構(gòu)及監(jiān)管部門提出的意見建議（1）加快修改和完善現(xiàn)有的法律、法規(guī)及規(guī)章制度乘這次機構(gòu)調(diào)整，對原有銀行業(yè)的法律、法規(guī)及規(guī)章制度進行清理，對于已經(jīng)過時和不適用的及時廢止，對于存在的法律空白、短缺、模糊和相互矛盾的地方，及時補充、修改和完善。（2）完善非現(xiàn)場監(jiān)管指標體系一是完善非現(xiàn)場監(jiān)管數(shù)據(jù)基礎，實現(xiàn)數(shù)據(jù)的真實全面。監(jiān)管當局應制定統(tǒng)一完善的非現(xiàn)場監(jiān)管數(shù)據(jù)體系，這些數(shù)據(jù)應全面反映銀行的表內(nèi)外資產(chǎn)風險、信貸與非信貸資產(chǎn)風險、盈利狀況、

19、資本充足性、市場風險狀況、股東及關系人貸款情況及管理狀況等方面的信息；進一步完善統(tǒng)計制度和審慎會計準則，數(shù)據(jù)口徑要真實反映銀行的經(jīng)營及風險狀況；要求銀行提供給監(jiān)管部門的報表資料應當和公開披露的數(shù)據(jù)信息一致，銀行的董事會要對此數(shù)據(jù)的真實性和準確性負法律責任，同時要加強對數(shù)據(jù)真實性的檢查核實和責任處理二是完善非現(xiàn)場監(jiān)管指標體系和分析模型。監(jiān)管部門應進一步補充完善非現(xiàn)場監(jiān)管指標和指標生成口徑，充分反映銀行各方面風險狀況；要對法人和分支機構(gòu)建立分層次的非現(xiàn)場監(jiān)管指標體系和標準；針對不同銀行機構(gòu)的業(yè)務特點設定合理的監(jiān)管標準值區(qū)間，允許銀行自主尋找“三性”的平衡點；研究并建立對銀行機構(gòu)和體系的風險評價體系

20、及模型，實現(xiàn)對風險的早期預警。（3）盡快建立監(jiān)管信息系統(tǒng)一是建立網(wǎng)絡化的監(jiān)管信息處理系統(tǒng)，實現(xiàn)對銀行機構(gòu)管理、業(yè)務管理、高級管理人員管理、風險監(jiān)控和市場退出等監(jiān)管信息的集中管理和資源共享，實現(xiàn)監(jiān)管人員通過該系統(tǒng)對金融機構(gòu)的連續(xù)監(jiān)控和動態(tài)分析。二是建立多渠道的監(jiān)管信息采集系統(tǒng)，除現(xiàn)場與非現(xiàn)場監(jiān)管數(shù)據(jù)外，監(jiān)管當局應通過一切可能的渠道收集有關被監(jiān)管金融機構(gòu)的有用信息，對商業(yè)銀行的潛在風險作出早期預警和防范，這些渠道包括：建立與監(jiān)事會、審計署、財政部等其他外部管理部門、銀行內(nèi)部審計稽核部門的信息共享機制，建立與商業(yè)銀行高級管理人員的定期會晤制度，收集來自中介機構(gòu)、評級機構(gòu)、國際金融組織、媒體及其他渠道的信息。三是要求商業(yè)銀行盡快建立和完善履蓋境內(nèi)外全部分支機構(gòu)的風險管理信息系統(tǒng)