银行操作风险管理

银行操作风险管理（精选6篇）

篇1：银行操作风险管理

论文关键词：信用风险；风险；操作风险 论文摘要：传统的风险是指信用风险与市场风险，事实上这两种风险很早就已引起机构的重视。按照巴塞尔银行业委员会的估计，在银行业所有风险中，操作风险所造成的损失已经发展到仅次于信用风险的地步。因此。操作风险是当今中国银行业风险的重中之重，是当下乃至今后一段时间内现代商业银行必须高度重视，并着手狠抓的一项重要任务。从19世纪70～80年代开始，银行业就已经逐步形成了较为成熟的风险管理技术。但是，对操作风险来说，尽管该概念提出有很长的，但把操作风险作为银行风险管理的三大风险之一则是最近几年的事情。本文从操作风险的基本概念人手，分析了现代商业银行在操作风险管理方面所存在的问题，并对症下，寻求防范操作风险的有效途径。

一、操作风险的定义和类型 巴塞尔银行监管委员会对操作风险的正式定义是：由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险。按照发生的频率和损失大小，巴塞尔委员会将操作风险分为七类：(1)内部欺诈。有机构内部人员参与的诈骗、盗用资产、违犯以及公司的规章制度的行为。(2)外部欺诈。第三方的诈骗、盗用资产、违犯法律的行为。(3)雇用以及工作状况带来的风险事件。由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。(4)客户、产品以及商业行为引起的风险事件。有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。(5)有形资产的损失。由于灾难性事件或其他事件引起的有形资产的损坏或损失。(6)经营中断和系统出错。例如，软件或者硬件错误、问题以及设备老化。(7)涉及执行、交割以及交易过程管理的风险事件。例如，交易失败、与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。从操作风险的定义和分类方法中我们不难发现，操作风险的来源不外乎以下两个方面：一是人为操作性的操作风险，二是非操作性的操作风险。从我国各商业银行在操作风险管理方面的现状来看，目前各商业银行对操作风险的管理尚不完善，在操作风险管理理念、管理框架、管理手段等方面都存在着很大的缺陷，即使部分商业银行对操作风险有所关注，也还只是停留在操作性的操作风险层面。

二、商业银行在操作风险管理方面存在的问题 我国银行业对操作风险的关注较晚，真正意义上的标志性事件应是中国银行业监督管理委员会在2005年3月22日发布的《关于加大防范操作风险工作力度的通知》，在这一通知中，银监会明确提出了操作风险概念。但由于理论准备和实践经验不足，对操作风险尚处于学习认识阶段，国内商业银行对操作风险尚未有一个全面、系统的认识，从而制约了我国商业银行对操作风险管理的实践。操作风险事故在我国银行界从来没有间断过。(一)我国商业银行内部对操作风险的意识比较薄弱，对操作风险的认识存在偏差，因此未能正确处理好风险管理与市场、市场开拓的关系 银行管理人员在日常工作中重业务开拓，轻队伍建设；重员工使用，轻员工管理，对员工思想动态掌握不够，加之举报机制不健全，使本来可以超前防范的操作风险不能及时发现和制止。商业银行往往把加强风险管理与拓展业务、实现效益对立起来，在业务拓展和风险防范的抉择中，侧重于抓规模、抓效益，忽略了对违规违章现象的防范。(二)我国商业银行系统方面也存在着不少操作风险 在整个操作风险管理过程中行之有效的自动预警系统是关键的环节，普遍缺少网络在线监控和风险自动预警系统是目前国内商业银行控制风险的一大软肋。由于我国金融市场起步较晚，刚形成衍生金融产品市场的雏形，还不是真正意义的衍生金融产品市场，相当一部分基层营业机构已沉淀了多年的风险产品，由于没有可供转移的避险工具，不得不被动维持现状，承担相当大的风险。(三)商业银行内部制度建设缺乏规范性，部分内部控制制度僵化，制度传递不及时 我国商业银行内部各种规章制度名目繁多，发文管理欠规范。有些业务没有一个明确的规定，缺少性较强的文件；有些业务制度既存在着重复控制，又存在着控制盲点。对规章制度的完善工作相对滞后，未及时进行调整，表现出业务与控制在时间上的脱节。在新兴业务方面，并没有落实“内控先行”的原则。还有一些制度管理部门在制订制度时，比较注重控制风险，没有考虑制度实施的可行性，使许多制度在基层营业网点难以完全执行，流于形式。(四)商业银行内部的监督检查缺乏系统性，存在检查不到位，处罚力度不够的现象，不能有效的防范操作风险近些年，由于银行业金融案件不断发生，银监局和各商业银行内部都加大了对辖属网点的监督管理。因此，各种类型的检查项目比较多，但并不是每一次检查都能切切实实达到效果。有些检查由于照顾情面，得过且过，检查质量、检查深度不尽人意，对被检查单位没有威慑力，起不到应有的警戒作用；有的检查由于时间紧，人员配备问题，匆忙上阵，检查深度和有效性不强；有的检查对发现的问题不及时处理，整改不落实。因此，检查工作的质量和效果受到影响，达不到应有的效果。各类检查的严肃性不够，处罚力度不强，也影响了操作风险的有效防范。事实上，有了严格完善的规章制度，还需要有严格的“执法”相匹配，这样才能真正起到风险防范的作用。(五)商业内部人员流动过大，部分员习自觉性不强，业务技能、知识水平不能满足要求，按章操作观念淡化，以至于有章不循、违章操作。带来操作风险 随着业竞争的加剧，对人才的需求也在不断加大，因此各商业银行内部人员的流动性加剧。因此，技术性风险错误或事故难以根绝，这也是我们在日常内部中出现频率最高的问题。新老员工的频繁替换造成违规操作在新员工中不断出现。另外。部分员工素质不高，风险意识薄弱，没有取得相关资格和认证，工作效率和质量不高，违章操作，带来操作风险。

三、防范与化解操作风险的具体对策 我国商业银行操作风险无论是在风险意识、管理机制、管理手段等多方面都远远落后于国外银行，这是个无可争议的事实。问题的关键在于，我们如何采取行之有效的措施来改变这种局面。(一)商业银行全体干部员工必须更新风险防范理念，增强操作风险的紧迫感 改变传统的经营理念，加深对风险管理的理解，将操作风险的管理和防范纳入到整个银行风险防范的关注范围。通过、培训、目标管理等多种方式，切实提高全员，特别是领导层的风险意识和责任意识，深入理解风险和效益的关系，使操作风险意识贯彻整个系统，并具体落实每位员工。(二)不断完善内部控制制度。商业银行在坚持过去行之有效的内部控制制度的同时，要把握形势，紧贴业务，不断研究新的操作风险控制点，完善内部控制制度，及时有效地评估并控制可能出现的操作风险，把各种安全隐患消除在萌芽状态 防范操作风险的第一道防线应该是严格的内部控制制度和有效的风险管理。现代商业银行应制定行之有效的规章制度和各种操作规程，切实落实责任，形成系统的风险控制制度和奖惩制度。(三)再造业务流程，将操作风险控制在可以防范的有效范围内 商业银行内部各管理部门应该承担起业务流程再造的任务，深入研究本业务范围内的操作流程是否符合风险控制的要求。是否在有效防范风险的前提下，提高效率，促进业务发展。操作环节按系统提示进行操作，将使业务处理流程简单化、程序化、规范化、大大降低操作风险。(四)进一步完善检查目的，改进检查方法，严肃检查结果。提高整改落实的效果 我们知道，检查的最终目的不是查问题，而是通过对业务操作层的辅导，提高银行内部防范风险的能力，促进业务的不断发展。检查要善于抓住重点，对容易导致事故、案件和造成资产损失的薄弱环节、部门和岗位要进行重点监控。在检查过程中。标准应该严格，结果应分轻重，对于马上整改的问题应作为建议提出，提醒被检查部门提高重视，注意这一类问题的再次发生。同时，不仅要检查出现存在的问题，还要出现问题的环节是否属于一个风险点，并对风险进行区分，分析原因，在检查报告中予以列示。风险管理的有效性还依赖于对问题的态度和对问题的整改落实度。各项检查不能仅仅停留在揭露问题这一层面，要帮助被检查对象提高对存在问题的认识和制定整改措施，从加强管理的角度提出管理建议，并对出现问题的部门、网点进行持续关注、持续检查，以使问题得到彻底解决，降低风险。(五)加强对商业银行现有信息系统的管理，利用现有条件。完善风险监督预警与风险防范控制机制 我国商业银行现有网络正逐步强大，应进一步推广和加强行内行外信息资源的共享。通过数据查询，及时掌握商业银行各项业务的开展情况，了解其中的风险隐患，加快研制、完善操作风险预警系统，对操作风险实施动态管理；不断创新操作风险管理方法，采取量化管理和模型化管理手段，运用现代分析手段，让监督部门能在最短的时间内发现问题，及时防范，最大限度地降低风险、减少损失。目前，我国商业银行的操作风险和防范存在诸多弊端，造成金融案件层出不断。通过对银行工作人员操作风险意识的强化教育，完善操作风险内部控制制度，加大对风险管理人才的开发并相应跟进操作风险预警系统，将是我国商业银行防范和化解操作风险的努力方向。

篇2：银行操作风险管理

目

录

第一章 总则..............................................................................................3

第一条 【宗旨】.............................................................................................................3

第二条【定义】...............................................................................................................3 第三条【操作风险的主要类别】...................................................................................3 第四条【适用范围】.......................................................................................................4 第五条【操作风险管理的工作目标】...........................................................................4

第二章 操作风险管理的组织框架与职责分工......................................4

第六条【架构原则】.......................................................................................................4

第七条【董事会及其风险管理委员会】.......................................................................5 第八条【高级管理层】...................................................................................................6 第九条【分行管理层】...................................................................................................7 第十条【风险管理部】...................................................................................................7 第十一条【各业务条线和职能部门】...........................................................................7 第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】.......9 第十三条【内部审计部门和纪检监察部门】...............................................................9

第三章 操作风险管理制度......................................................................9

第十四条【范畴】...........................................................................................................9

第十五条【制度体系】...................................................................................................9 第十六条【操作风险管理政策】.................................................................................10 第十七条【操作风险管理基本制度】.........................................................................10 第十八条【内部控制制度】.........................................................................................10 第十九条【紧急事故应急处理制度】.........................................................................10 第二十条【业务（操作风险管理）细则】.................................................................11 第二十一条【对分支行业务（操作风险管理）细则的特别规定】.........................11 第四章 操作风险管理流程和技术........................................................12

第一节 业务标准操作流程管理...........................................................................................12 第二十二条【基本思路】.............................................................................................12 第二十三条【职责】.....................................................................................................12 第二节 操作风险识别与评估...............................................................................................12 第二十四条【操作风险识别】.....................................................................................12 第二十五条【操作风险评估】.....................................................................................13 第二十六条【操作风险控制自我评估（RCSA）】.......................................................13 第三节 操作风险控制与缓释...............................................................................................14 第二十七条【操作风险应对措施】.............................................................................14 第二十八条【外包】.....................................................................................................14 第二十九条【保险】.....................................................................................................14 第四节 操作风险监测与报告...............................................................................................14 第三十条【操作风险监测】.........................................................................................14 第三十一条【关键风险指标】.....................................................................................15 第三十二条【操作风险报告】.....................................................................................15 第三十三条【操作风险预警】.....................................................................................15 第三十四条【操作风险事件举报】.............................................................................15 第五节 操作风险管理系统...................................................................................................16 第三十五条【操作风险管理系统】.............................................................................16 第六节 操作风险资本管理...................................................................................................16 第三十六条【监管资本】.............................................................................................16 第三十七条【经济资本】.............................................................................................16 第七节 配合监管...................................................................................................................17 第三十八条【政策程序报备】.....................................................................................17 第三十九条【提交报告】.............................................................................................17 第四十条【配合检查】.................................................................................................17 第四十一条【整改】.....................................................................................................17 第五章 操作风险管理文化....................................................................18

第四十二条【操作风险管理文化】.............................................................................18 第四十三条【传达】.....................................................................................................18 第四十四条【业务培训】.............................................................................................18 第四十五条【操作风险管理人员培训】.....................................................................18 第四十六条【全员操作风险管理培训】.....................................................................18 第四十七条【操作风险管理考核及奖惩】.................................................................19 第六章 附则............................................................................................19

第四十八条【重检】.....................................................................................................19 第四十九条【解释】.....................................................................................................19 第五十条【实施】.........................................................................................................19 附件：名词解释......................................................................................20

一、操作风险来源.........................................................................................................20

二、固有风险与剩余风险.............................................................................................20

三、可能性和影响性.....................................................................................................21

四、操作风险应对措施.................................................................................................21

五、关键风险指标（Key Risk Indicator，KRI）...................................................21

六、风险映射.................................................................................................................22

七、操作风险控制自我评估（RCSA）.........................................................................22

八、操作风险损失（事件）数据库.............................................................................22

九、风险地图（Risk Map）.........................................................................................23

第一章 总则

第一条 【宗旨】

根据董事会确定的发展战略和风险管理总目标，以及中国银行业监督管理委员会《商业银行操作风险管理指引》，参考国际银行业操作风险管理的经验，特制定本操作风险管理政策。

制定操作风险管理政策的主要目的是建立科学、完善的操作风险管理体系，指导和规范我行的各类业务活动和操作风险管理工作，实现对操作风险及时、全面、统一、有效的监控，将其控制在可承受的范围内，使我行获取经风险调整后的最大经营回报。第二条【定义】

操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险。第三条【操作风险的主要类别】

我行所面对的主要操作风险，包括但不限于以下几类：

（1）内部欺诈：指因至少涉及我行内部一名员工的故意欺诈、盗用我行资产或违反法律/条例/银行政策等而造成损失的风险。

（2）外界诈骗：指因外界人员故意欺诈、盗用我行资产或违反法律而造成损失的风险。

（3）雇佣事项及工作场所安全性：因违反雇佣、健康、安全的法例或协议而造成损失，以及因支付个人伤亡索偿等行为而造成损失的风险。

（4）客户、产品及业务方式：因疏忽或非故意差错而未按专业守则对待指定客户（包括信托及恰当性方面的要求）、或因产品的性质/设计上的问题等造成损失的风险。

（5）有形资产的损坏：因自然灾害或其它事故导致实物资产损坏或人员伤亡造成损失的风险。

（6）业务中断及系统故障：因业务中断或系统故障而造成损失的风险。（7）操作流程管理： 因在我行操作流程中由于操作差错或流程设计、维护失误，或由于不充分或失败的内部工作流程所造成的风险。第四条【适用范围】

本政策适用于中国ⅩⅩ银行全辖。第五条【操作风险管理的工作目标】

我行操作风险管理的基本目标是在坚持依法合规经营、加强内部控制的基础上，进一步完善操作风险衡量方法、管理工具及政策体系，减少或缓解操作风险损失，将操作风险控制在适当水平，为业务发展提供健康的内部运营环境。具体目标包括：

（1）充分识别和持续监测我行面临的各类操作风险，清晰了解操作风险管理的状况及存在的问题；

（2）在合理评估的基础上，合理应对各类操作风险，保证风险与收益的平衡；（3）建立操作风险关键风险指标体系，实现对操作风险的分析、预警，事先风险控制的前移；

（4）通过建立和完善操作风险损失事件数据库及操作风险管理计量模型来实现操作风险管理能力的提升，并通过更为精确的资本计量来有效节约资本；（5）降低突发性事件的冲击，保证业务正常和持续开展。

第二章 操作风险管理的组织框架与职责分工

第六条【架构原则】

操作风险管理体系是我行全面风险管理体系的组成部分。根据监管要求和本行全面风险管理体系建设的总体规划，对于操作风险管理，我行采取在董事会确定的操作风险管理政策指导下和高级管理层领导下的、三道防线为基础的、层次化的操作风险管理架构：

（一）董事会为操作风险管理的最终负责人，高级管理层领导全行的操作风险管理工作，分（支）行管理层负责本机构范围内的操作风险管理，分行行长是操作风险管理的第一责任人；

（二）总分行各业务部门、职能部门作为防范操作风险的第一道防线，是本部门/条线操作风险的直接承担者和管理者，负有对操作风险进行管理的第一责任；

（三）总分行风险管理部（含风险条线派驻各业务条线的机构）、法律合规部等作为防范操作风险的第二道防线，负责操作风险管理体系的构建和相关操作风险管理工作的统筹、支持和督促工作；

（四）内部审计部门和纪检监察部门作为防范操作风险的第三道防线，其中内部审计部门负责对操作风险管理体系的运行情况进行审计，并依照规定揭示和报告审计过程中发现的问题。纪检监察部门对有关案件进行查处和责任认定，并对有关责任人进行问责。

第七条【董事会及其风险管理委员会】

董事会应将操作风险作为我行面对的一项主要风险加以管理，对操作风险管理体系实施有效监控，并承担操作风险管理的最终责任。主要职责包括：（1）制定与整体战略目标相一致、适用于全行的操作风险管理战略，并确定本行可以承受的操作风险水平（风险偏好）；

（2）批准并定期审核全行的操作风险管理政策，确定有效的操作风险管理组织架构，架构中应涵盖清晰的职责划分以及明确的报告流程；

（3）定期审阅高级管理层提交的操作风险报告，了解本行操作风险管理的总体状况及重大操作风险事件，监控和评价操作风险管理的全面性、有效性；（4）督促和确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（5）确保本行操作风险管理体系受到内审部门的有效监督；

（6）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系建设。董事会可授权其风险管理委员会履行以上部分职能。第八条【高级管理层】

高级管理层负责执行董事会批准的操作风险管理战略和政策。主要职责包括：（1）根据董事会制定的操作风险管理战略，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程；

（2）及时了解本行操作风险管理的总体状况及重大操作风险事件，并定期向董事会提交操作风险报告；

（3）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责；

（4）及时了解操作风险水平及其管理状况，并为操作风险管理配备适当的资源，确保银行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类操作风险；（5）在外部市场及其他环境发生重大变化或出现新的产品、业务、信息科技系统时，及时对操作风险管理体系进行检查和修订；（6）审批重大操作风险控制/缓释方案。

主管风险副行长按照高级管理层的内部分工直接领导全行的操作风险管理工作，其在操作风险管理中的主要职责包括：

（1）根据授权审核、审批操作风险相关制度、工作方案；

（2）监督操作风险管理状况及成效，定期向行长及董事会风险管理委员会报告操作风险管理状况及成效；

（3）牵头组织落实操作风险管理体系建设的重要措施；（4）根据行长授权协调重要的跨部门操作风险管理工作；（5）负责推动操作风险管理队伍建设。

其他行领导直接领导所主管业务范围内的操作风险管理工作，其在操作风险管理中的主要职责包括：

（1）制定主管范围内各条线和职能部门改善操作风险管理的工作重点；（2）督促主管范围内各条线和职能部门配备适当的资源并按照要求进行操作风险管理；

（3）对主管范围内各条线和职能部门制定的业务操作风险管理细则、操作风险事件处理方案等进行审批。第九条【分行管理层】

分行行长作为分行操作风险管理的第一负责人，负责建立分行层面的操作风险管理体制；提升操作风险报告的全面性、及时性和有效性；推进操作风险与控制自我评估等操作风险管理工作在分行层面的贯彻落实。

分行风险总监作为专业风险管理者，应协助分行行长开展操作风险管理工作。分行其他行领导直接领导所主管业务范围内的操作风险管理工作。第十条【风险管理部】

总行风险管理部作为操作风险管理的牵头部门，主要职责包括：

（1）负责拟定、回顾、修订我行操作风险管理政策，报资产负债管理委员会及董事会风险管理委员会批准实施；

（2）根据董事会确定的战略与政策，协调、指导、督促各部门识别、评估、监测和控制操作风险；

（3）建立操作风险管理报告机制，收集及分析操作风险事件及损失数据，定期及不定期编制操作风险统计和分析报告，并就如何弥补损失提出建议，使董事会及高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响，以能采取有效的防范及降低风险的措施；

（4）根据银行业监管机构的要求，研究、落实应用计量操作风险的技术方法及程序。

总行风险条线向各业务条线派驻的风险管理机构/岗位，应组织、指导、督促相应条线识别、评估、监测和控制操作风险，并按照双线报告的要求进行报告。分行风险管理部应组织、指导、督促分行各条线及职能部门识别、评估、监测和控制操作风险，并及时将风险状况按照风险管理报告机制向总行风险管理部进行报告。

第十一条【各业务条线和职能部门】

总分行各业务条线和职能部门对业务范围内的操作风险管理承担首要责任，各业务条线和职能部门负责人对本职范围内的操作风险管理负全责。各业务条线和职能部门有以下主要职责：

（1）在业务条线和职能部门内设立操作风险管理岗位，牵头负责操作风险管理的日常工作；

（2）制定并定期重检本部门的业务流程、内部控制制度、关键风险指标和相关业务政策，并确保其与全行操作风险管理政策的一致性；

（3）识别、评估、监测及控制本部门的操作风险，并督导下级行对口部门履行操作风险管理职责；

（4）及时、准确地按照风险管理报告机制向同级风险管理部门通报操作风险状况。

各业务条线和职能部门的操作风险管理岗人员的职责包括：

（1）在日常操作风险管理工作上，作为与本级风险管理部门沟通的主要联络人；

（2）牵头组织部内及本条线操作风险的识别和评估，并协助部门负责人拟订相应操作风险管理工作计划；

（3）对本部门起草/制定的、与操作风险管理相关的制度及实施细则进行审查并加签意见；

（4）统筹本部门操作风险监控及报告工作；

（5）参加风险管理部举行的操作风险管理会议及培训；（6）其他与操作风险管理有关的职责。

各业务条线和职能部门的操作风险管理岗原则上由业务条线和职能部门从具备以下条件中的人员中任命（分支行可适当放宽）：

（1）不少于五年的银行工作经验，在本部门业务领域任职（含本行及他行）一般不少于两年；

（2）熟悉本部门的主要业务（包括主要的产品、业务操作流程、计算机应用系统等）；

（3）对银行操作风险管理尤其是我行的操作风险管理政策、操作风险控制自我评估方法、操作风险报告制度等有一定的了解；

（4）管理序列副处长（含）以上或业务序列业务副经理（含）以上职级。各业务条线和职能部门任命或调整操作风险管理岗需及时报本级行风险管理部门备案。风险管理部门根据各部门操作风险管理岗人员的工作完成情况，认为现行人选不适任的，有权向该部门提出人员调整建议，该部门一般应及时进行调整。第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】 总分行法律合规、运营管理、信息科技、安全保卫、人力资源等部门，应在管理好本部门操作风险的同时，分别牵头负责总分行法律事务、运营管理、信息系统、安全保卫、人力资源等方面的操作风险管理，并为本行其他部门提供相关信息和支持。

第十三条【内部审计部门和纪检监察部门】

内部审计部门负责对银行操作风险管理体系的有效性进行审计，并向董事会报告操作风险管理体系的审计情况。

纪检监察部门负责对有关案件进行查处和责任认定，并对有关责任人进行问责。触犯刑法的，移送司法机关追究法律责任。

第三章 操作风险管理制度

第十四条【范畴】

本政策所称“操作风险管理制度”主要指单纯与操作风险相关的政策、制度及实施细则，对于涉及操作风险管理的内容但主要针对信用风险和／或市场风险的政策、制度及实施细则，原则上按照授信风险管理政策和/或市场风险管理政策的管理程序进行管理。第十五条【制度体系】

操作风险管理制度是指在前条所述范畴内规范我行操作风险管理各个方面的政策、制度、规程等规范性文件，它既包括对操作风险管理的流程、技术等进行规范的专门性规定，亦包括为了对各项业务中的操作风险点进行控制而单独编写或包含在有关业务办法、操作规程中的操作风险控制规范。

与操作风险层次化管理原则相适应，我行的操作风险管理制度亦进行分层化管理。我行的操作风险管理制度体系分为以下三个层次：（1）操作风险管理政策；（2）操作风险管理基本制度；（3）业务操作风险管理细则。第十六条【操作风险管理政策】

操作风险管理政策，即本政策，是我行操作风险管理的纲领性文件，构成我行其他操作风险管理制度制定的依据。

本政策经董事会风险管理委员会审批通过后颁布施行，风险管理部应不断研究操作风险的识别、评估、控制、监测的方法和操作风险的管理机制，并对本政策的实施效果进行评估，以便及时向高级管理层和董事会提出本政策的修改建议。

第十七条【操作风险管理基本制度】

操作风险管理基本制度是针对操作风险管理基本流程的某些环节或特定类型的操作风险制定的综合性制度文件，具体分为两个部分：

（1）针对操作风险管理流程的某些环节制定的基本制度，如操作风险自我评估制度、操作风险报告制度、操作风险关键风险指标管理制度等，原则上由风险管理部起草，经会签各相关部门后，报总行资产负债管理委员会审批后发布；

（2）针对特定类型的操作风险制定的基本制度，如内部控制制度、法律风险管理制度、会计操作风险管理基本制度、信息科技风险管理基本制度、紧急事故应急处理制度等，由总行各职能部门起草，经会签风险管理部及其他相关部门后，报总行资产负债管理委员会审批后发布。第十八条【内部控制制度】

内部控制制度是操作风险管理制度的重要组成部分。《中国ⅩⅩ银行内部控制管理制度》由总行法律合规部牵头制订和重检，各业务条线和职能部门应根据《中国ⅩⅩ银行内部控制制度》的规定，制定本部门/条线的内部控制细则。第十九条【紧急事故应急处理制度】

紧急事故应急处理制度是操作风险管理制度的重要组成部分，其目的在于保证我行在发生紧急事故时，可及时应变，采取措施，使业务得以继续运作，将影响和损失降到最低。我行设总行突发事件应急处置领导小组（下称“领导小组”），其主要职责是根据我行制定的紧急事故应变方案，在重大紧急事故发生时，指挥执行应变计划；领导全行各单位应急工作的开展及落实，保障我行员工生命安全及公司财产安全。

总行领导小组下设办公室，日常事务管理由办公室负责。总行领导小组办公室可根据银行业突发事件的处置需要设定相关的专业小组，如情报信息、新闻报道、专家咨询、法律顾问等小组，其具体职能可由相关职能部门承担。各部门应根据本身的实际情况，制定独立的紧急事故应变方案；并成立本单位的应急工作组，作为本单位突发事件应对工作的领导机构，负责统筹、策划、培训、测试、更新及执行应变方案。

各部门应按其主要业务及/或紧急事故的分类及性质，预先设计好向相关业务及职能部门要求协助处理的计划，以保证事发时及时沟通信息，解决问题，必要时通过领导小组协调解决跨部门问题。第二十条【业务（操作风险管理）细则】

业务（操作风险管理）细则是指针对具体业务中的操作风险点制定的控制/管理规范。各部门在制定各类业务细则时应充分考虑相关的操作风险管理的要求，并包含相关操作风险管理的内容。同时，各部门应定期对各项业务的操作风险进行识别和评估，并根据风险识别和评估的结果定期对业务（操作风险管理）细则进行重检和修订。

业务（操作风险管理）细则由各产品、业务的归口管理部门负责起草并经部门操作风险管理岗人员加签意见后，报本部门主管行领导审批同意后发布（其中不需要发布、仅限部门内部使用的细则，经部门负责人审批通过即可）。业务（操作风险管理）细则下发前一般应征求分行意见。

第二十一条【对分支行业务（操作风险管理）细则的特别规定】

各分支行可以根据总行的统一规定结合本行的实际制定有关业务（操作风险管理）细则，分支行业务（操作风险管理）细则不得违背总行的统一规定，确有必要突破的，应报经总行批准。第四章 操作风险管理流程和技术

第一节 业务标准操作流程管理

第二十二条【基本思路】

针对各类活动建立标准化的、可操作的和可追踪的操作流程并定期进行重检和修订是操作风险管理的重要基础。我行应建立针对各项产品、服务以及管理性、支持性活动的标准操作流程，并定期进行重检和修订。

标准作业流程一般由文字版业务管理办法或操作规程和附流程图的操作及合规索引文件共同构成，两者配套使用，并以文字版业务管理办法或操作规程为准。

第二十三条【职责】

文字版业务管理办法或操作规程的起草、会签、审批、发布和修订、解释按照《中国ⅩⅩ银行授信风险管理政策》《中国ⅩⅩ银行市场风险管理政策》以及本政策规定的有关职责进行。

附流程图的产品/业务操作及合规索引文件的制作和管理近期暂以风险管理部集中制作、业务部门提供内容并全面审核为原则，具体管理制度另行发布。

第二节 操作风险识别与评估

第二十四条【操作风险识别】

操作风险识别是指对我行经营活动和业务流程中可能影响银行经营绩效，可能给银行带来财务或非财务损失的所有内部或外部操作风险因素的识别，以便对其进行控制和管理。

操作风险识别是有效管理操作风险的基础环节，我行应当逐步建立和完善操作风险识别制度。各级机构和部门应当按照操作风险管理的相关制度要求，采用适当的工具，定期或不定期地进行操作风险识别。

操作风险识别应当保证及时性和充分性，同时建立相应的识别制度和机制：

（一）操作风险识别过程应当认真判断和分析银行所面临的内部因素（如银行的结构、战略目标、人力资源、组织机构、产品和服务、新设备和新系统的应用、人员流动等）和外部环境因素（技术进步、法律法规变化、行业变化、市场结构调整、经济周期性波动等）；

（二）各级机构和部门应当确保新产品、活动、流程和系统在实施推广前，对其相关的操作风险进行充分识别；

（三）对于操作风险事件损失影响程度较大或发生频率上升较快的产品，应当及时进行操作风险重检；

（四）对于外包的产品或活动，应当进行充分的操作风险识别;

（五）各业务、产品的重要操作流程在新制订或做重大修订时，应当进行操作风险识别。

第二十五条【操作风险评估】

操作风险评估是针对识别出的操作风险点进行衡量的过程。风险评估可以通过业务人员自我评估、内部独立评价、外部独立评价等方法来进行，风险评估的目的是提供对全行操作风险及操作风险管理总体状况的判断，并确定操作风险管理关注的重点领域和环节。

我行应当通过定性与定量相结合的方法，评估各类操作风险，通过采用关键风险指标、自我评估、外部独立评估和测试以及损失分布模拟等方法，建立操作风险评估体系。

第二十六条【操作风险控制自我评估（RCSA）】

操作风险控制自我评估（Risk &control self-assessment），指根据操作风险管理的基本原理，按照规定的工作流程，采用一定的方法，由对业务操作风险负直接责任的机构和部门组织对操作风险状况与控制效果进行的内部评价活动，是操作风险管理持续改进的基础工作和关键环节。

为构建操作风险管理长效机制，准确识别、评估和控制操作风险，有效降低我行面临的操作风险，我行应建立并推行操作风险控制自我评估制度，并作为操作风险识别评估的基本工具。有关制度办法由总行另行制定下发。

第三节 操作风险控制与缓释

第二十七条【操作风险应对措施】

各单位（总行各部门及各分支行）应根据风险识别及评估的结果对识别出来的操作风险点采取不同的管理方式：

（1）接受。对于根据我行的风险偏好认为可以接受的风险，可以接受并持续进行监控；

（2）控制。对于不可接受的风险，可以通过改进控制措施等方法来更好的控制风险水平，使之降到我行可接受的风险水平范围内；

（3）转移。在条件允许时，可以通过外包或保险将风险转移到银行外部；（4）规避。即对于不可接受的风险且无法更好的控制时，可以采用放弃业务、改变业务模式等方式来规避风险。

为保证所识别的操作风险得到妥善的应对，我行应建立操作风险管理行动方案机制，对于通过操作风险控制自我评估、关键风险指标、损失事件收集等工具发现的重要操作风险点或控制薄弱环节，及时制定相应的行动方案，并对方案的落实情况进行跟踪监测。第二十八条【外包】

在业务外包时，应确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确，有效防范外包带来的操作及其他风险。第二十九条【保险】

我行可根据自身操作风险大小选择购买保险，并将其作为缓释操作风险的一种方法，但不应因此忽视对操作风险的控制措施。

第四节 操作风险监测与报告

第三十条【操作风险监测】

操作风险监测是指通过对各类与操作风险相关的状况及信息的日常监测，对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。

我行应逐步开发并使用损失数据库、关键风险指标等工具监测操作风险。第三十一条【关键风险指标】

我行应逐步建立操作风险关键风险指标体系，并通过对关键风险指标的持续监测和报告，为操作风险管理提供早期预警。

各业务条线和职能部门及风险管理部门均应加强对关键风险指标的研究，鼓励各部门尝试引入关键风险指标对本部门/条线的操作风险进行监测和报告。关键风险指标的选择应遵循以下原则：（1）前瞻性原则，可以提供对操作风险的预测；（2）敏感性原则，能深入分析损失组合的变动情况；（3）可操作性原则，指标应易于理解并能方便获取所需数据；（4）全面性原则，尽量覆盖各主要业务条线及各主要的支持、辅助性活动；（5）重要性原则，在全面性原则下，应突出重要性原则，重点针对主要的风险领域。第三十二条【操作风险报告】

操作风险报告指各报告单位根据规定的内容、时间和程序，对操作风险事件和操作风险整体状态进行描述、分析和评价，并按照规定的报告路线进行报送。操作风险报告包括操作风险事件报告和操作风险综合报告。

操作风险报告的具体要求见《中国ⅩⅩ银行操作风险报告制度》。第三十三条【操作风险预警】

对于重大操作风险事件应及时向总分行风险预警委员会报告，具体规定另行下发。

第三十四条【操作风险事件举报】

我行每一个单位、每一位员工在各自的业务活动中都必须全面贯彻“操作风险管理人人有责”的原则，通过全行高度警觉的操作风险意识和审慎的业务操作来最大限度地控制和减轻操作风险。

同时任何单位和员工在认为有必要时均可直接向总行风险管理部门报告操作风险管理方面的异常情况。各单位和员工亦可通过其他渠道举报与操作风险有关的违规、违纪或其他重要信息，包括但不限于信访渠道、高管接待等。接到投诉或举报的部门、人员应及时进行处理。

第五节 操作风险管理系统

第三十五条【操作风险管理系统】

建设操作风险管理的IT系统是加强操作风险管理、提高操作风险管理水平的重要途径。我行应逐步推进操作风险管理的IT系统建设，构建与我行业务规模、业务发展程度相适应的操作风险管理IT系统。

我行的操作风险管理系统应以具备以下全部功能为努力的目标，并根据具体条件逐步建立和完善：

（1）支持操作风险控制自我评估的在线操作，及评估结果的在线汇总、分析；

（2）与我行数据仓库系统及相关业务系统实现数据交换，支持对关键风险指标的实时监控；

（3）满足根据监管机构要求进行操作风险计量及资本计提的需求；（4）构建操作风险数据库及操作风险计量模型，支持对操作风险精细化管理的需求。

第六节 操作风险资本管理

第三十六条【监管资本】

我行应当按照银监会关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本，具体计提方法按照银监会颁布《商业银行操作风险监管资本计量指引》执行。第三十七条【经济资本】

根据我行经济资本管理体系的建设目标，我行的操作风险资本管理应面向高级计量法进行努力，在近期以标准法作为过渡，力争通过资本管理和资本约束，以实现经营目标、满足股东回报要求并促进长期价值创造为主要任务，坚持和完善经济增加值、经济资本两个核心机制，追求风险和收益的平衡。

第七节 配合监管

第三十八条【政策程序报备】

我行应按照银行业监管机构的要求及时向银监会报备操作风险管理政策和程序。在报备前，应履行必要的审批程序以保证在满足监管机构要求的同时，有效保护我行的知识产权及商业秘密。第三十九条【提交报告】

我行应按照银行业监管机构的要求向银监会或其派出机构报送与操作风险有关的报告。并及时向银监会或其派出机构报告下列重大操作风险事件：

（一）我行机构或运钞车被抢劫、我行现金被盗窃30万元以上的案件，我行被诈骗或其他涉案金额1000万元以上的案件；

（二）造成我行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断3小时以上，在涉及一个省（自治区、直辖市）范围内中断6小时以上，严重影响正常工作开展的事件；

（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；

（四）高管人员严重违规；

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；

（六）其他涉及损失金额可能超过我行资本净额1%的操作风险事件；

（七）其他银监会规定需要报告的重大事件。第四十条【配合检查】

我行应积极配合银监会及其派出机构对我行及各分支机构有关操作风险的政策、程序和做法进行的检查评估。第四十一条【整改】

对于银监会在监管中发现的有关操作风险管理的问题，我行应当在规定的时限内，提交整改方案并采取整改措施。

第五章 操作风险管理文化

第四十二条【操作风险管理文化】 我行操作风险管理文化的基本内容是：

（1）银行是管理风险的机构，通过对风险的有效管理创造价值，通过合理地承受风险来获取与风险相匹配的回报。

（2）主动合规，合规零容忍。

（3）银行最大的风险是缺乏风险意识和责任意识。（4）风险无处不在，风险管理人人有责。（5）风险的早期预警有利于减少损失。第四十三条【传达】

我行必须运用足够的资源及利用内部各种沟通渠道，将操作风险的概念、政策及管理制度传达到各级人员，树立良好的操作风险管理创造价值的理念，建立良好的风险管理环境，提升风险管理文化。第四十四条【业务培训】

员工业务培训不充分、对业务操作流程不熟悉是导致操作风险损失事件发生的重要原因之一，我行应通过对员工的持续培训，保证全体员工熟悉、了解本人所从事的工作的业务要求，以有效降低因人员不合格所造成的操作风险暴露。第四十五条【操作风险管理人员培训】

风险管理部门和培训部门每年应制定操作风险管理人员培训计划，对风险管理部门操作风险管理人员及各单位的专兼职操作风险管理人员进行充分的培训，内容应该包括操作风险管理理论、操作风险管理技术、我行的操作风险管理政策及程序等。

第四十六条【全员操作风险管理培训】

为提升操作风险管理文化及员工操作风险管理水平，风险管理部门、培训部门及各相关单位每年应制订操作风险管理培训计划对全行员工进行相应的操作风险管理培训。培训计划应结合风险管理部门、培训部门及部门负责人意见。第四十七条【操作风险管理考核及奖惩】

我行建立并落实操作风险考核及奖惩机制，通过公开、公平、公正的考核及奖惩机制，鼓励积极推动操作风险管理并取得良好的管理效果的单位和个人，并对怠于推动操作风险管理或在操作风险管理工作失职的单位和个人进行惩罚：（1）总行风险管理部门负责牵头在全行绩效考核的总体框架下制定对总行各部门及各分支行的操作风险管理的考核方案，并逐步通过经济资本管理、关键风险指标等管理工具进一步完善对操作风险管理的考核。

（2）对于操作风险损失事件个案中负有责任的个人严格按照我行全员问责制度进行问责，并可通过技术培训、调整岗位、调整授权等方式，有效降低该岗位的操作风险；

（3）对各单位的操作风险管理状况进行全面考核，并根据考核结果进行奖惩，考核指标应综合操作风险管控体系建设情况及重大操作风险损失事件的发生情况等指标，对于考核结果较差的机构，必要时还要通过调整授权权限、限制部分业务的开展等手段督促其提高操作风险管理水平。

第六章 附则

第四十八条【重检】

本政策由风险管理部门每年进行检讨及提出修订建议，并向高级管理层报告检讨结果。任何重大修订必须由董事会风险管理委员会通过。第四十九条【解释】 本政策由总行负责解释。第五十条【实施】

本政策自颁布之日起实施。自本政策实施之日起原《中国ⅩⅩ银行操作风险管理政策（2008版）》自动失效。

附件：名词解释

一、操作风险来源

根据本政策关于操作风险的定义，操作风险来源主要包括四个方面：

（一）内部程序

因银行业务流程、制度管理存在不当或偏差而没有及时完善，导致操作或执行困难，甚至给蓄意不法者留下漏洞造成损失的风险。

（二）人员因素

人员风险源于主观和客观因素，前者为银行员工不遵守职业道德，违法、违规或违章操作，单独或参与骗取、盗用银行资产和客户资产，或工作疏忽等行为导致损失的风险；后者为人员数量配备不足或员工的自身能力与岗位对人员素质要求不符而导致损失的风险。

（三）系统因素

IT技术系统、机具设备因技术故障、设备失灵造成系统服务中断或错误服务，以及由于系统数据风险影响业务正常运行而导致损失的风险。

（四）外部事件

由于外部主观或客观的破坏性因素导致损失的风险。外部事件既包括外部人员的主观行为，又包括外部环境造成的客观事件。

二、固有风险与剩余风险

固有风险指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的操作风险。剩余风险指在现有的控制活动或其他风险减轻措施所不能完全清除的操作风险。

三、可能性和影响性

可能性和影响性是描述和测度操作风险的两个最为常见的参数。其中可能性用于对事件发生概率或频率的定性或定量描述，通常以频率（以规定的时间内发生次数来表达事件发生率的量度）或概率（以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性）表示。影响性是以定量或定性的方式表示的一个事件的结果。

四、操作风险应对措施

操作风险应对措施是指对于确定的操作风险点，根据风险发生的可能性及影响程度并结合银行的风险偏好、风险控制能力等因素所确定的应对风险的方案。一般而言，根据风险发生的可能性和影响性，可以分别采取以下四种不同的应对措施：对于高频（发生可能性，下同）高危（一旦发生的影响程度，下同）风险采用规避风险的方式；对于高频低危的风险采用控制风险（降低发生可能性）的方式；对于低频高危的风险采用转移风险（如保险、外包、计提准备等）；对于低频低危的风险采用接受风险（暂不采取具体措施，加强跟踪监控）的方式。但是上述原则并非绝对的，我行应根据业务的战略重要性、风险容忍度、风险管理技术能力等因素综合判断，选择对于特定操作风险最为合理的应对措施。

五、关键风险指标（Key Risk Indicator，KRI）

关键风险指标是指对业务活动和控制环境进行日常监控的指标体系。关键风险指标能够反映系统、过程、产品、人员等信息的变化情况。关键风险指标对于风险预警、日常监控具有重要作用。

关键风险指标必须具有风险敏感性，能够准确反映风险的变动情况。关键风险指标应当根据业务运行中潜在的风险因素、内外部损失事件的记录以及对操作风险充分识别与评估的结果，由经验丰富的业务经理和风险经理共同制定。

六、风险映射

操作风险管理工具之一。即在梳理标准化操作流程和进行全面的风险识别、评估的基础上，将特定的风险点映射到具体的操作环节上，在特定风险点（包含风险类型、风险等级、防控措施、责任主体等要素）与操作环节之间建立映射关系，以便于对操作风险进行针对性的管理。

七、操作风险控制自我评估（RCSA）

指根据操作风险管理的基本原理，按照规定的工作流程，采用一定的方法，由对业务操作风险负直接责任的机构和部门组织对操作风险状况与控制效果进行的内部评价活动，是操作风险管理持续改进的基础工作和关键环节。

我行参考国际领先银行的做法，通过前期试点和全行范围内的逐步推广，初步构建起我行的操作风险控制自我评估体系，该体系有以下特点：

1、统一流程、分层实施。即在总行统一规划下，全行采用统一的评估流程、统一的工作语言、统一的工具模版、统一的评估标准，在总分行层面由各级业务单位分别组织实施。

2、风险评估、控制评估和控制策划的同步进行。即既对固有风险进行评估，又对现有控制措施进行评价，在此基础上再对控制缺乏或控制不足的环节提出控制改进建议，形成比较完整的封闭循环。

3、风险识别、评估与风险映射方法的有机结合。即综合运用风险识别评估技术和风险映射技术，从标准作业流程出发开展风险识别、评估，最后又回到标准作业流程，使得风险的识别、评估紧密围绕作业流程进行。

八、操作风险损失（事件）数据库

损失（事件）数据库是对历史损失数据的全面信息进行有条理地收集和整理的工具，包括内部损失数据库和外部损失数据库。内部损失数据库记录银行发生的各种操作风险损失事件。内部损失数据库从损失事件名称、发生地、发生发现时间、损失事件类型、产品线、风险点、风险成因、损失金额、损失回收情况等多个维度对损失数据进行记录。外部损失数据库记录其他金融机构的重大损失事件信息。至少包括损失事件发生时间，实际损失金额数据、发生损失事件的业务范围信息、损失事件的起因和情况以及其他有助于评估其他银行损失事件的相关性信息。

损失（事件）数据库对于操作风险管理的价值主要体现在以下几个方面：其一，作为知识库，可以帮助发现操作风险管理的重点环节，并且可以作为员工培训的素材；其二，可以与关键风险指标等工具结合，实现对操作风险的事先预警和防范；其三，作为使用高级计量法进行操作风险在险值（VaR）等计算的数据基础。

九、风险地图（Risk Map）

风险地图也叫风险热图，是一种用图形技术表示识别出的风险信息，直观地展现风险的发展趋势，方便风险管理者考虑采取何种风险控制措施的操作风险管理工具。

在操作风险管理中，可以使用风险地图，将业务单位、机构职能部门或程序与风险类别之间建立起的对应关系。从而直观地暴露出操作风险管理弱点所在，并且有助于突出后续管理行动的重点。

最常用的操作风险地图有两种：（1）可能性-影响程度分布图

即分别以操作风险发生的可能性和事件发生后的影响程度为坐标轴，构建二维矩阵，反映风险点的分布情况。

（2）类型-产品线操作风险状况图

篇3：商业银行操作风险管理浅析

操作风险贯穿于整个银行发展的始终, 自银行兴办以来便伴随着风险的产生, 但长期以来大家都对其缺乏足够的重视。近年来, 随着我国银行业务的快速发展, 商业银行面临的运营风险也在不断增加。其中, 作为商业银行常见的三大金融风险之一的操作风险更是频频凸显。据统计, 仅2003—2007年, 通过媒体公开报道可以搜集到的操作风险案件就达174件。2011年, 中国银监会发布的《银监会2010年年报》指出, 2011年中国银行业仍存在诸多风险挑战, 其中之一便是“部分金融机构操作风险管理意识弱化”。该报告指出:“2010年底, 部分银行业金融机构案件出现反弹。齐鲁银行案件等多数案件发生在基层网点和所谓低风险业务领域, 且多为内部人员作案, 这反映出部分银行内在风险管理机制存在缺陷。”

随着现代经济的不断发展, 在银行业中, 由于其自身具备国际化的发展机制、规模化的组织机构、电子化的业务操作、模糊化的产权边界等特点, 再加上受到其他外界因素的影响, 如来自国家的监管、恐怖势力的威胁、自然灾害等, 造成对商业银行的操作风险管理难度加大, 致使许多的商业银行在操作风险的管理方面存在许多漏洞, 即使是一些具有良好口碑和声誉的国际性商业银行, 如巴林银行、住友银行、大和银行等也存在操作风险。因此相关的金融机构及监管部门必须加强对这方面的重视, 加大对操作风险的管理及防范。

二、概述

长期以来, 我国的商业银行都偏重于对市场风险和信用风险的管理, 而操作风险的管理没有受到广泛的重视, 无论是从制度管理方法上还是从认识水平上, 考虑都比较缺乏。许多商业银行的管理高层都没有将操作风险当作一个相对独立的风险来进行管理, 不能很好地对其风险边界进行掌握, 只是把操作风险的管理停留在审计和内控的层次上, 无法将操作风险进行量化的计算, 也无法对经济资本进行分配。在银行内部缺乏理, 缺乏科学的管理措施和统一的政策实施标准, 各部门之间缺乏必要的协调和沟通, 导致操作风险的管理处于割裂、分散的状态, 无法发挥对操作风险进行管理的作用。同时, 在总分支行制度的施行条件下, 商业银行的内控力度遭到了极大的削弱, 各级负责人的横向权利却得到了增长, 在一定程度上也会引起操作风险的产生。

三、我国商业银行操作风险管理的现状

1、操作风险的管理理念过于陈旧

目前, 我国的商业银行在管理方面主要存在以下方面的问题:一是注重对基层操作人员的管理, 但缺乏对高层人员的管理。由于受到总行管理半径的限制, 支行和分行的行长存在着权利过大的现象, 也缺乏必要的管理措施对上述高管人员的业务操作流程实施监控;在现实环境中, 许多银行的高层管理人员都掌握着财力、人力和物力等方面的大权, 容易引发内外勾结的操作风险。同时, 某些银行的高级管理人员不能严格履行其管理职责, 对自身的岗位责任缺乏承担意识, 当风险存在时不能采取积极有效的措施进行控制, 而是一味地进行责任的躲避和推委。二是注重对事后的管理, 缺乏对事前的防范。当某些操作风险发生之后, 花大力气进行内部的检查和加强相关方面的防范措施, 而在日常的操作过程中却没有形成严格的防范和管理操作风险的意识。三是注重对个案的严厉查处, 缺乏对问题的全面分析。在以往的操作过程中, 对商业银行进行业务检查和案件查办时, 存在就事论事的现象, 而缺乏对问题的全面了解和分析, 屡查屡犯的情况时有发生。

2、缺乏健全的操作风险管理结构

(1) 管理职责过于分散。商业银行操作风险主要是由外部事件、流程、系统和人员等因素引起的, 与银行中的各个职能部门密切相关。但在我国的银行运作过程中, 不同的业务部门负责不同的操作风险, 缺乏一个协调统一的管理部门。在这种分散管理的模式下, 银行的操作系统缺乏对操作风险的统一管理, 造成了许多的管理“盲区”, 高层管理人员也难以对银行的操作风险进行很好的整体把握, 不能及时地采取防治措施。

(2) 基层分支机构缺乏对操作风险的管理。在国外的许多银行都会选择在基层的分支机构进行风险管理职位的设置, 主要是负责监督和管理总行的风险管理政策的实施情况, 并时刻保持与总行的信息沟通。在我国的商业银行中, 大多没有进行这一职位的设置, 操作风险的管理主要是由内部的审计部门进行负责, 基层机构也没有其分支。部分商业银行虽已开始基层机构操作风险管理的尝试, 但就目前运行情况来看, 尚处于起步阶段, 在实际监督和实施上的操作风险管理尚有较大差距。

(3) 内部审计部门缺乏权威性。在我国许多的商业银行内部, 其操作风险管理部门就是内部的审计部门, 缺乏管理的权威性, 与其他职能部门处于平行的设置, 导致许多监督稽核工作难以顺利地得以展开。部分商业银行虽然已开始设立独立的操作风险管理部门, 但在实际监督与控制过程中, 与国际金融同业的管理水平尚存在较大差距。

3、操作风险管理的手段落后

在对操作风险进行管理的过程中, 其手段相对落后, 主要表现在:一是内部审计存在严重的形式化现象, 问责制缺乏实施力度;二是电子化技术的运用相对落后, 主要体现在基于信息技术的风险管理平台搭建不足, 操作人员的素质需要进一步提高等方面;三是对相关的操作风险数据缺乏积累, 再加上信息及产权披露制度的不健全, 存在着对风险事件进行隐藏的动机。

四、对我国商业银行的操作风险管理进行改进的主要措施

1、制定并实施统一的风险管理政策

制定并实施对操作风险进行管理的统一性政策, 其主要内容包括:一是制定基本的指导性方针及开展性原则;二是建立与我国国情相适应且与国际接轨的风险事件分类处理标准;三是从商业银行自身的业务情况、行业特点及内外部环境等出发, 制定出与各类业务相符的具体操作流程;四是对资本分配及风险计量的方法加以确定, 制定各类的风险操作应急措施。

2、进一步提高操作风险的管理技术

对新巴塞尔协议中所提出的建议进行有效的选择和利用, 在努力做好系统设计和数据收集的基础上, 进一步开发与本行特点相符的风险计量管理模式。对信贷管理、资金管理、财务管理、人力资源管理、客户信息管理等各个系统的信息进行整合, 并深度挖掘其内在价值, 以对本行的信息资源进行充分的运用。同时, 还可以借助现代信息技术, 一是建立起操作风险的历史性数据库, 为风险的测量、资本的分配及模型的设计提供必要的数据基础;二是根据业务条线建立操作风险预警模型, 对日常工作中出现的操作风险及时进行监测;三是建立操作风险专项检查模型, 实现各业务系统间风险数据的自动比对, 加大对操作风险的监督力度。

3、增强对操作风险的管理组织建设

建立一个可以实现集中管理风险的机构, 其主要措施如下:设立一个与交易、市场等部门相分离的独立操作部门, 对操作风险进行管理, 同时保持其在管理决策、分析判断方面的独立性;对风险控制进行垂直化的流程管理;明确各职能部门的职责和定位, 处理好管理层、内控部门、业务部门、审计部门等同操作风险管理部门的关系。

4、建设立足岗位差异的多元化激励制度

逐步建立员工个人价值与银行发展价值间的正向关系, 充分发挥人力资本在操作风险管理中的积极效能。一是依据岗位工作的业务复杂程度和岗位职责的责任大小, 合理确定岗位激励系数, 突出对业务复杂程度高、岗位职责重的员工激励。同时, 注重实施不同岗位的不同收入限额制, 并尽量将总行与分支行之间相同岗位或近似岗位的收入差距控制在合理范围。二是针对高官人员、核心岗位人员和业绩显著的员工, 探索丰富的激励手段, 特别是要强化除薪酬激励之外的满足多层次需求的激励体系, 例如实行多元化的弹性福利制度、增加股权激励等方式, 注重对员工的激励要实现短期与长期两个维度的良好相合。鼓励员工开展风险管理方式方法的探索, 对于做出积极贡献和显著成绩的员工予以一定的物质和精神奖励。

5、进一步强化操作风险的管理意识

在商业银行内部, 自上而下进行对操作风险管理的宣传, 以董事会及高层管理人员为代表, 进一步提高全员对操作风险的管理意识及认识程度, 将操作风险的管理工作作为一项基础性的风险管理工作。同时, 还需在管理高层、各职能部门、各岗位成员中进行操作风险管理的相关培训, 努力培育并提高全员的操作风险管理意识, 并让其对操作风险进行识别、掌握、分析及度量, 以更好地对操作风险进行控制。此外, 还要将操作风险的管理有效地落实到每一位银行职员的行为、职责中, 让操作风险管理可以持续有效的顺利进行, 将操作风险控制在萌芽状态。

参考文献

[1]县莉:从“中国银行北京分行巨额骗贷案”浅析我国商业银行操作风险法律对策[D].兰州大学, 2011.

[2]邴康泰:基于CSA的商业银行操作风险内部控制价值评估模型研究[D].合肥工业大学, 2010.

[3]胡海滨:基于满意度调查的中国银行金城支行员工激励模式改进研究[D].兰州大学, 2011.

[4]朱睿博:我国商业银行操作风险管理与实证研究[D].西南财经大学, 2010.

篇4：银行操作风险管理

关键词：网上银行 操作风险 管理

网上银行是通过网络技术并将客户的终端与银行相联，实现了客户可以直接在自己的终端电脑前进行相关的银行业务办理的服务系统。它不但可以为客户提供正常的开、销户，还可以为其提供相关的查询、对账、转账、网上证券等传统银行业务，它打破了空间与实物媒介的限制，使客户可以随时随地的享受到银行更多的服务功能。网上银行不但代表着银行业务的全新拓展，也是其未来的主要发展方向。为了能更好的提高网上银行操作效率，降低商业银行运营成本，预防网上银行操作的风险，商业银行必须重视网上银行操作系统带来的风险，并要提出有效的解决措施，从而强化网上操作系统的可行性，这样才能确保商业银行得到可持续的发展。

1 概述商业银行网上银行操作带来的风险

1.1 网上银行操作技术风险现状与分析 目前在商业银行的网上银行操作流程过程中，大部分网上银行操作流程只需身份数字验证，即可进行网上银行操作流程，由此导致伪造客户身份进行交易的问题越来越频繁，并且由于客户在网上银行操作时，互联网的防御系统被攻击，造成客户身份资料泄露的现象也颇为严重。

总的来说，网上银行风险主要有三大种类:首先，黑客、病毒等。此类风险主要是黑客或是不法分子利用木马病毒等破坏性程序，通过不正当手段加载至客户的计算机终端，利用其程序非法盗取客户的银行账号及密码，并加以利用。一旦受到黑客攻击，计算机中的密码、文件、个人资料等都会被盗取，严重的还会导致计算机整个系统瘫痪。其次，钓鱼网站。不法分子或是集团化的犯罪伙团利用与网络银行极其相似的网址、网页，制造出虚假的钓鱼网站，以骗取客户的银行帐号及密码，进行疯狂盗用。第三，网上银行的信息泄漏。不法分子利用网络聊天或是其他通信设备在赢得客户的信任之后，并从客户手中骗取相关的网上银行的账号、密码等，对其网上银行内的资金进行非法盗用。除了上述情况，网上银行操作系统本身存在着诸多的不足，如资源数据信息防御系统不强，网络安全存在隐患，客户身份认证系统有缺陷等原因都会为网上银行操作带来风险。

1.2 网上银行的第三方风险现状与分析 网上银行操作的第三方风险，主要是服务提供商所造成的。近几年我国虽然也采取了有效的措施，对服务提供商进行了监督与管理，但是由于第三方的专业技术水平不强、安全意识浅薄，导致网上银行操作系统无法得到保障，还造成网上银行交易存在漏洞。与此同时，部分的商业银行将网上银行操作系统分包给服务商进行管理，虽然专业技术可以得到保障，但是一旦管理存在漏洞，就会引发网上银行操作风险[1]。

1.3 网上银行客户操作风险 目前，我国的网上银行操作系统还处于发展期，很多客户对网上银行操作技术水平较低，并且由于用户个人安全防范意识的欠缺，特别是文化水平相对低的客户人群，更是引发网上银行操作风险的主要对象。这样不仅会为个人带来财产安全，还会为商业银行带来网上银行操作流程管理的难度。与此同时，由于客户自身的安全防范意识不高，对于个人的保密密码都是设置一些较为好记的数字，如自己的身份证号码，手机号码，节日日期等，这些用户密码过于简单的现状，导致在网上银行操作的过程中，很容易受到黑客的攻击，使其造成用户密码的泄露。

1.4 商业银行内部操作风险 在商业银行网上银行操作的过程中，内部管理工作是重要组成部分，主要是对银行交易的数据进行审计和核查，对网上银行操作流程的合理管理与监督，对网上银行产生的操作风险进行处理，所以商业银行内部组织就显得尤为重要。但是，目前我国缺乏对网上银行内部审计及监督控制能力，相关的网上银行业务人员自身就缺乏风险管理意识，导致了网上银行在运作过程中，风险控制的力度不够，从而导致一些不必要的风险发生。其次，商业银行内部组织管理制度还不太完善，导致岗位职责处于混乱的现象，这样不仅会影响到网上银行业务的操作流程，还会降低商业银行内部组织的管理水平。另外，由于商业银行内部组织绩效考核存在漏洞与不合理，导致商业银行信息系统没有作用。

2 完善网上银行操作风险有效对策

2.1 控制网上银行操作风险的外部框架 网上银行操作风险的外部框架是用来构建网上银行业务安全网络的基础。在控制网上银行操作风险的外部框架时，作为管理人员应要对网上银行业务所有环节都进行控制，并采取先进的金融监管模式进行科学合理的管理。这样不仅形成科学合理的网上银行操作风险的外部框架结构，且还能健全网上银行业务的监督管理体系[2]。

2.2 优化网上银行业务管理理念 新时期背景下的商业银行网上银行操作工作，已被越来越多的人员所重视，为了完善银行业务，促进网上银行操作风险控制成效的提升，作为农信社的网银操作风险监管人员，就必须优化商业银行工序中网上银行业务的管理模式，并通过设立或更新网上银行业务的监管指标和评估体系，确保网上银行业务的管理体系得到优化。这样不仅会降低网上银行操作风险，还可提高网上银行运行的专业技术水平。

2.3 建立健全网上银行监管体系 为了确保网上银行监管体系得到进一步的完善，对于网上银行新开办的业务，就应进行严格的审批，并按照相关规定对新开办的网上银行业务进行风险评估，使其提高网上银行业务的安全性。与此同时，还应对网上银行系统的电子数据要进行合理的统计，并建立健全网上银行监督体系，使其确保电子数据具有一定的可操作性，从而提高网上银行业务的效率。此外，还应对网上银行业务管理组织职业技能进行完善，并强化工作人员在网上银行风险监管知识技能方面的培训，从而可提高工作人员的判断力和实力，提高网上银行业务的监管水平。

2.4 建立有效的网上银行业务信息系统 为了提高网上银行业务的安全性和真实性，建立有效的网上银行业务信息系统是关键部分。为了使网上银行业务信息系统得到优化，首先应对相关数据的审核工作进行严格监督与管理，并要详细的做好每一笔的数据记录，从而可确保相关信息具有一定的真实性。其次，对网上银行内部结构进行简化，使其可提高信息资源传递的效率。再次，完善网上信息系统的安全工作，通过对数据资源进行核对、优化系统维护、系统开发等环节进行有效的控制，从而可提高网上银行系统的操作安全性能。最后，加强网上银行业务的事前、事中流程的管理工作，使其可确保网上银行操作流程顺利开展，这样不仅可节约商业银行的经营成本，还可降低网上银行操作的风险。

2.5 完善网上银行业务内部管理体系 由于商业银行正处于转型和更新阶段，导致网上银行业务内部管理工作难以有效的开展，从而影响到网上银行相关数据传递的效率，增加网上银行操作安全风险。通过完善网上银行业务内部管理体系，可有效的解决操作风险问题的发生。欲想让网上银行更安全、健康的发展与运行，则必须建立一整套科学、合理、有效的内部控制体系，并实现其内部操作及管理的科学化、制度化与规范化。同时，对网上银行实行有效的安全管理，不但可以解决其安全漏洞问题，还可以避免引发各部门间的利益冲突。完善的内部控制体系也是网络银行健康发展与运行的基础保障。具体来说，首先应对网上银行业务的安全防范部门、风险管理部门、风险审计部门等相关部门进行严格的管理，并要定期或不定期的对该部门的工作进行审查，确保网上银行操作系统管理的有效性。另外，对主要的网上银行风险部门，必须加强风险评估工作的开展，提高风险防御效率，培训风险判断与评估的专业技术人员，使其可对网上银行操作风险进行科学合理的控制。这样不仅可提高网上银行系统的工作效率，还可维护用户的切身利益[3]。

3 结语

综上所述，商业银行的网上银行操作系统，可有效的节约商业银行的经营成本，并可对商业银行内部活动和传统操作流程进行科学合理的更新。以上通过对网上银行操作流程的现状进行讲解，对商业银行操作流程存在问题进行分析，并提出有效来优化商业银行网上操作系统的对策，希望能够使网上银行业务客户的个人资料得到维护，降低网上银行的操作风险，从而促进商业银行未来的发展和稳定。

参考文献：

[1]吴建.我国商业银行网上银行操作风险管理研究[J].浙江金融，2011，10:45-49.

[2]钱浩辉，徐学锋.我国商业银行操作风险管理问题解析[J].浙江金融，2011，12:27-29+33.

[3]朱日莫图.我国商业银行网上银行业务的风险管理分析及对策[J].北方经济，2012，19:95-96.

篇5：银行操作风险报告

商业银行操作风险的产生始于商业银行的诞生。但商业银行对操作风险的认识和管理却与其年龄极不相称。巴塞尔委员会在新资本协议中将操作风险定义为：由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险。它和信用风险、市场风险并称为商业银行面临的三大主要风险。我国目前采用的也是这一定义。

1、操作风险不容忽视

近年来，国内银行业不断有大案曝光，均给商业银行造成了严重的损失。根据有关统计数据显示，相比国际活跃银行操作风险主要集中在外部欺诈方面，我国操作风险高发的是人员风险。违规操作、内外勾结导致的操作风险在国内更多。国内操作风险的另一个“多发地带”是IT系统，由于银行对信息技术的依存度已相当高，一旦IT系统出现问题，商业银行可能面临业务瘫痪的局面，国内很多银行在过去的几年中都曾出现过业务系统故障，在影响业务运行的同时，也损害了银行声誉。我们不得不承认，操作风险已成为直接威胁商业银行生存与发展的重大风险。

2、商业银行操作风险管理的现状

对操作风险来说，尽管这一概念的提出已有很长的历史，但把操作风险作为银行三大风险之一进行风险管控的时间并不长。由于对操作风险的认知比较晚，因此，国际银行业在操作风险方面的研究远不及信用风险、市场风险那样深入，各国对操作风险的概念定义也不统一，对于操作风险的管理实践仅处于起步阶段。国内商业银行将操作风险作为独立的风险进行专门管理仅短短几年的时间。目前，尽管操作风险为银行业普遍认知，但它仍然没有引起足够重视，对操作风险的研究还不够深入。如业界对于操作风险的定义、衡量标准、计量技术等尚未达成共识，没有可以公开获取的数据库、缺乏成熟的控制技术和相应软件。从操作风险的计量方法看，国际上主要有三种方法：基本指标法、标准法和高级计量法。不同于信用风险和市场风险，操作风险的量化工作比较困难，如高级计量法非常复杂，对银行的要求很高，其中最主要的是需要非常详细的数据储备，国际上采用的并不多。国内大多数银行采用的是标准法，即按照银行的产品线，分别计算出每个产品线上发生操作风险的概率。这些都导致操作风险管理实施起来较为困难。

3、加强操作风险研究，探索适合国情的操作风险管理模式

操作风险与生俱来的内生性、具体性、模糊性、多样性和不对称性等特征表明，操作风险与具体的环境密切相关，因此，研究我国商业银行操作风险管理模式必须结合我国的实际情况。我国商业银行操作风险发生频率最高、损失程度最大的操作风险事件类型是内部欺诈，其根源在于我国银行业特别是国有商业银行公司治理结构不完善、内部控制系统不健全及由此产生的权责不清晰。因此，根据目前的实际状况，我国商业银行操作风险管理的关键不是从技术层面上进行防范,而必须从体制和机制改革入手。为减少和杜绝内部欺诈事件的发生,有效规避和控制操作风险损失，除了要加快完善公司治理结构外，更为现实的是建立一个能够较好解决内部控制问题的操作风险管理系统。这一系统应该包括构建适宜的风险管理环境包括；对面临的操作风险能够准确认知并评估；设计并实施控制操作风险的措施，以化解评估确定的风险；对操作风险管理进行有效监督以及建立快速反应的报告反馈制度等

银行选用何种具体办法管理操作风险，基于多种因素，包括自身的规模大小、组织复杂性、业务的性质和范围。然而，尽管有这些不同，明晰的战略、董事会及高管人员的监督、对操作风险和内部控制的认真程度，以及完备的内部报告制度和应变计划，是任何规模和范围的银行有效管理操作风险的关键因素。从银行整体范围来看，从操作风险管理理念的认同、政策框架的具体实践、组织结构的优化设计，到操作风险管理识别、评估、监测、报告、持续改进机制的建立，以及操作风险损失数据库的构建和操作风险资本计量分配模型的研究开发，我国的商业银行与国际活跃银行操作风险管理实践经验还有不小的差距。

篇6：加强银行柜面操作风险管理

操作风险是由于不正确的内部操作流程、人员、系统或外部事件导致的直接或间接损失的风险。银行柜面操作风险是指银行通过传统柜台交易渠道办理各种业务过程中，由于控制失效使银行或客户资金遭受损失的风险，通常是由于制度不完善、人为失误、系统故障或外部事件等原因引起，具有内生性、多样性和损失不确定性的特点。防范银行柜面操作风险近年来已成为监管机构以及银行的重要课题。

银行柜面操作风险的主要表现形式有几种。一是操作失误型。这类风险事件较为普遍，通过事中、事后控制能够及时发现并纠正，形成损失不大。二是主观违规型。这类风险事件总量不多, 但带来损失相对较大。三是内部欺诈型。损失金额较大。四是外部欺诈型。内部欺诈、外部欺诈统称为欺诈,也包扩内外部勾结欺诈。欺诈是最突出的前台业务操作风险表现形式,一旦成功，造成损失非常巨大。

目前对防范此类风险工作还有待加强。具体包括：操作风险管理理念未有效建立。一是柜面操作风险管理理念没有建立，对柜面操作风险的普遍性、长期性、顽固性缺乏足够的认识，把柜面操作风险看成是偶然、孤立、局部的事件，存在侥幸心理。二是经营指导思想存在误区。“稳健经营”和“全面风险管理”理念没有真正贯彻到经营实际，对速度和规模关注多，对质量和安全考虑少；对信用和市场风险关注多，对操作风险研究少。

柜面操作风险控制机制不健全。商业银行创新动力来源于两方面，产品与服务创新、机制和体制改革、流程与制度再造都是为适应外部竞争和内部管理需要。创新的不均衡性也体现在内控机制建设与操作风险防控要求的差距上。如：操作风险管理运做机制有待完善。事前、事中、事后的操作风险控制不协调，在柜面操作风险控制问题上，重事中、事后，轻事前管理；重检查，轻辅导培训；重处罚，轻正向激励引导；重人防，轻机控、技防。业务发展与制度规范、操作流程、信息系统建设普遍存在“错位”现象。规章制度政出多门、频繁修改，业务执行标准不尽一致，催化了操作风险的发生；业务流程频繁整合，岗位人员经常变动，致使岗位制约难以有效落实。

人员因素对操作风险防控的影响。一是员工数量与业务量不匹配，导致“操作疲劳”，对风险事项的识别能力下降；二是员工素质不适应业务要求。三是职业操守教育开展少。四是激励约束机制不健全，柜面员工考核激励办法不科学。

科技应用水平不高。这表现为银行业务处理和综合管理系统还处于持续优化完善过程中；操作风险防控的信息化水平不高，依托计算机技术的操作风险预警和实时监控尚处于起步阶段，制约操作风险识别控制效率；柜面风险事项机控、技控水平低，影响了业务处理效率和风险识别控制。

要更好地防范柜面操作风险，首先要建立操作风险管理理念。要在《商业银行操作风险管理指引》框架下，建立先进的操作风险管理文化,把操作风险作为风险管理的核心内容和基础工作纳入操作风险文化建设规划。要加强操作风险管理理念推广。操作风险管理部门在加强操作风险研究基础上，针对不同层级、部门职能人员开展操作风险识别、分析、度量和控制培训，提高全员操作风险意识。要引导树立科学的政绩观和发展观，倡导诚信经营、合规经营、稳健经营，树立“控制风险也是创造效益”的意识，推进内部风险控制的长效机制建设。

完善操作风险内控体系。再造柜面交易操作风险控制流程，强化事前控制，优化事中控制，合理进行事后控制，实现“前、中、后”全程均衡管理。建立严密分级授权体系，建立机构和岗位操作风险评价机制，区分风险度和管理目标，对不同业务进行不同层次的业务授权，确保内控涵盖内部治理和经营活动的各个层级和各个环节。结合业务发展变化和管理要求对相应制度及时做好制度梳理工作，该废止的废止，该修订的修订，增强制度的有效性。要加强创新业务和产品的风险管理，配套制定较为完善的制度和操作规程，有效评估和防范新业务和新产品的风险。

加强员工管理。要建立操作风险内控激励机制，实现责任与激励的平衡，合理计量合规价值创造，健全正向激励机制和责任追究机制。加强业务培训，针对制度、业务、流程特点开展培训，保证柜面人员熟悉制度要求、业务操作和风险要点。营造合规文化氛围，加强包括理想信念、职业道德和法纪观念等内容的综合性教育。坚持人本思想，实行科学管理、人文管理，增强员工的归属感和责任感。加强与员工的交流沟通，关注员工思想动态和行为表现，通过定期对员工行为排查，达到了解员工的目的。