银行操作风险分类分级标准模版.doc

《银行操作风险分类分级标准模版.doc》由会员分享，可在线阅读，更多相关《银行操作风险分类分级标准模版.doc（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、x银行操作风险分类分级标准第一章 总则第一条 为规范全行操作风险管理，推动新资本协议实施，统一操作风险语言和数据标准，根据银监会商业银行操作风险管理指引、商业银行操作风险监管资本计量指引等文件，参照巴塞尔新资本协议相关规定，制定本标准。第二条 操作风险分类分级标准是x银行风险管理政策的组成部分，是全行操作风险定义、数据标准和分类分级的基本规范。x银行依据本标准对操作风险实行规范化、标准化和精细化管理。第三条 各级行、各部门要按照本标准对操作风险进行分类分级报告、分析、管理和处置，并确保本机构或部门各项操作风险相关制度、工具和系统中的操作风险定义、数据标准及分类分级符合本标准。第四条 操作风险分

2、类分级应遵循以下原则：（一）客观性原则。操作风险分类分级要客观公正，以引发操作风险的原因和造成的损失为依据。（二）及时性原则。对操作风险事件（项）的情况变化要进行持续跟踪，并及时对分类分级结果进行动态调整。（三）谨慎性原则。对同时满足高、低两个分级标准的操作风险事件（项），应遵循“就高不就低”的分级原则。第二章 定义及数据标准第五条 操作风险定义。操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件造成损失的风险，包括法律风险，但不包括策略风险和声誉风险。法律风险包括但不限于下列风险：因签订的合同违反法律或行政法规可能被依法撤销或者确认无效的；因违约、侵权或者其他事由被提起

3、诉讼或者申请仲裁，依法可能承担赔偿责任的；因业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的。声誉风险是指由银行经营、管理及其他行为或外部事件导致利益相关方对银行负面评价的风险。第六条 操作风险事件定义。操作风险事件是指因内部程序、员工和信息科技系统，以及外部事件因素造成x银行资产损失、对外服务中断、受到监管处罚或权益丧失的事件。操作风险事件应至少满足以下特征之一：（一）形成风险金额；（二）存在盗窃、挪用、贪污、受贿等内部欺诈行为；（三）被监管机构处罚，包含受到经济处罚、暂停办理某项业务或受到公开通报批评等；（四）导致我行被起诉或被申请仲裁；（五）造成对外业务经营中断。第七条 案

4、件定义。案件是操作风险事件的特殊表现形式。x银行所称案件指符合银行业金融机构案件信息统计制度的案件，包括两类：（一）内部人员独立实施或共同实施，或与外部人员合伙实施的，以x银行和客户的资金或财产为侵犯对象的，涉嫌触犯刑法，应移送司法机关予以追究刑事责任或已由司法机关立案侦查的案件，一般对应于监察部门向银监会报送的违法违纪案件。（二）x银行遭受外部诈骗、盗窃、抢劫等侵害，并经公安机关立案侦查的案件，一般对应于安全保卫部门向银监会报送的刑事案件。除上述两类案件以外的其他案件，以及x银行发生的民事案件和行政案件，统称为操作风险事件。第八条 操作风险事项定义。操作风险事项指因操作风险因素引发但未构成操

5、作风险事件的内外部风险事项，包括违规事项、未遂刑事案件、负面媒体信息及潜在风险隐患。 违规事项指通过各类内外部检查、审计以及自查等途径发现但未形成风险事件的违规行为。未遂刑事案件指已经着手犯罪，由于犯罪分子以外的原因未得逞的案件。负面媒体信息指在报纸、杂志、电视及网络媒体（含各大门户网站、金融专业网站等）刊载，涉及x银行，且因操作风险事件（项）引起的负面信息。潜在风险隐患是指x银行现有制度、流程和系统中存在的漏洞、缺陷以及未形成风险金额的外部事项。第九条 操作风险点定义。操作风险点是指导致某一业务或管理活动具体流程环节失败的行为或事项，是违规事项、潜在风险隐患的标准化表述形式，是一个包含有产品

6、、流程、风险信号、风险因素等关键要素在内的多维元组。其主要要素如下：（一）业务条线。指操作风险事件涉及的主要业务条线。（二）涉及部门。分为责任承担部门和风险承担部门。（三）涉及产品/管理活动。指导致操作风险事件发生的风险因素所属的主要业务、产品或管理活动。（四）业务流程/操作环节。指导致操作风险事件发生的风险因素所属的主要业务流程和操作环节。（五）风险点名称是对风险因素的概括性表述，一般采用能够准确、鲜明地指出风险因素核心特征的词组或短句来表述。（六）风险因素是指可能导致业务流程、操作环节失败的内外部行为或事项。（七）风险信号是指风险因素表现出来的某些违反常态、常规、制度的行为或现象。（八）风

7、险类别包括内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产损坏，IT系统事件，业务中断或系统失败事件，执行、交割和流程管理。（九）控制意见是经深入分析后针对风险因素、风险信号提出的针对性防控意见。（十）现有控制措施是指现行规章制度中规定或者实际工作中用于控制风险点的具体举措。第十条 操作风险数据标准是指报告、记录操作风险事件（项）时应包含的数据项及其规范，包含以下内容： （一）事发单位。指发生操作风险事件（项）的县级（含）以上分支机构或二级分行以上业务管理部门。（二）事件受理单位。指最先受理或知晓操作风险事件（项）线索的县级（含）以上分支机构或二级分行以上业务管理部门

8、。（三）事件处置单位。指牵头应对、化解和处置操作风险事件（项）的县级（含）以上分支机构或二级分行以上业务管理部门。（四）事件（项）基本情况。指操作风险事件（项）发生的起因、经过、现状。如事件分为多个阶段或连续发生，应描述清楚每一阶段的情况。（五）发生时间。指操作风险事件（项）第一次发生的日期。（六）持续时间。指操作风险事件（项）从第一次发生到事件本身行为结束的整个时间区间。（七）发现时间。指操作风险事件（项）自行暴露的日期或内外部审计、检查发现的日期。（八）结束时间。指操作风险事件（项）处置完毕并最终确认损失结果的时间。（九）涉及金额。指操作风险事件发生过程中累计直接涉及的资金数额。（十）风险

9、金额。指发现操作风险事件时我行仍暴露在外但未确定能否收回的资金数额，即风险暴露金额。该金额不包括事件给客户资金造成的风险，但包括客户要求我行赔偿的金额。（十一）损失金额。指采取损失挽回措施后，仍然无法追偿或弥补的我行资金损失数额，损失表现为法律成本、监管罚款、资产损失、对外赔偿、权益丧失和账面减值六种形式。该金额不包括事件给客户资金造成的损失，但包括客户要求我行赔偿的金额。（十二）损失挽回额（不含保险）。指事件处理过程中通过追索、当事人赔付、资产冻结等手段收回的金额。（十三）保险挽回金额。指事件处理过程中通过保险公司赔付而收回的金额。（十四）客户资金损失金额。指事件造成我行客户资金的损失数额。

10、（十五）非财务影响。指因操作风险事件而产生的内外部人员伤亡，或枪支、重要空白凭证、账册丢失，或业务经营中断，或受到客户投诉及被媒体作为负面新闻报道等。（十六）责任承担部门。对操作风险事件发生应承担管理疏忽、管理失当、监督失效等责任的业务管理部门。当有多个责任承担部门时，分为主要负责部门、次要负责部门。（十七）风险承担部门。指承受操作风险事件影响或损失的业务管理部门。当有多个风险承担部门时，分为主要风险承担部门、次要风险承担部门。（十八）涉及操作风险点。指导致操作风险事件（项）发生的一个或多个操作风险点。第三章 操作风险分类标准第十一条 操作风险按事件类型（包括按事件管理部门分工分类和按新资本协

11、议事件类型分类）、产品线和风险成因分类。 第十二条 事件类型分类（按事件管理部门分工分类）。操作风险事件按风险特征、表现形式和主管部门分工不同分为违法违纪案件、刑事案件、违规事件、被诉案件、信息安全事件、群体性事件、自然灾害和意外事故以及其他操作风险事件。（一）违法违纪案件。指涉及x银行内部人员的贪污、受贿、挪用、违法发放贷款、违规出具金融票据等触犯金融法律法规的案件。（二）刑事案件。指侵害x银行财产及员工人身安全的金融诈骗、盗窃、抢劫、涉枪、爆炸、绑架、纵火、洗钱、计算机案件和其他由公安机关立案侦查的案件。（三）违规事件。指x银行员工违反x银行规章制度且产生风险金额、造成财务损失或受到监管通

12、报的事件。（四）被诉案件。指以x银行为被告、无独立请求权第三人、仲裁被申请人以及被追加或变更为被执行人的案件。（五）信息安全事件。指因软硬件故障、电力中断、网络中断等造成的业务系统中断或业务处理错误的事件。（六）群体性事件。主要包括暴力事件、金融挤兑事件、聚众上访、围攻、冲击x银行机关或营业机构的事件或者内外部人员以x银行名义到国家机关、监管机构聚众上访、示威和围攻的事件。（七）自然灾害和意外事故。主要包括造成x银行人员伤亡、资产损失、局部或大范围营业机构停业的气象灾害、地质灾害、地震灾害等自然灾害和火灾、交通运输事故、公共设施和设备事故、环境污染等意外事故。第十三条 事件类型分类（按新资本协

13、议事件类型分类）。操作风险事件类型分为内部欺诈、外部欺诈、就业制度和工作场所安全、实物资产损坏、IT系统事件、执行、交割和流程管理和客户、产品和业务活动。第十四条 按新资本协议产品线分类。操作风险事件所属产品线分为公司金融（即公司和机构融资、投资银行业务）、交易和销售、零售银行业务、商业银行业务（即对公业务）、支付和结算、代理服务、资产管理、零售经纪和其他。产品线与我行现有产品对应关系见附表1-4。第十五条 按风险成因分类。操作风险事件的风险成因分为员工、内部程序、信息科技系统和外部事件。由多种因素共同作用导致操作风险事件的，首先进行客观分析，确认主要原因和次要原因，能确认主要原因的，按照主要

14、原因归类；无法确认主要原因和次要原因的，按照“先内部后外部，先人员后流程”的原则归类。第四章 操作风险分级标准第一节 操作风险事件分级第十六条 x银行建立全行统一的操作风险分级标准，按照操作风险造成的财务影响和非财务影响大小划分事件级别，并按不同级别制定相应的应急措施、处理流程和报告规定。第十七条 操作风险事件分级。按照事件损失金额、风险金额大小和引起的业务中断程度，操作风险事件分为灾难性事件和非灾难性事件。灾难性事件指因人为或自然的原因，造成经营机构人员及基础设施严重受损，已不能正常对外营业，且无法依靠本地资源恢复正常对外营业。非灾难性事件影响程度分为五级。影响程度达到一级、二级、三级标准的

15、操作风险事件为重大操作风险事件，影响程度达到四级、五级标准的操作风险事件为一般操作风险事件。 （一）满足以下条件之一的为一级操作风险事件：1、造成实际损失金额1000万元以上的事件（“以上”均含本数，“以下”不含本数，下同）；2、形成风险金额3000万元以上的事件；3、由于重要信息系统服务异常，在柜面服务时段导致两个以上省（自治区、直辖市）业务无法正常开展达3小时以上的事件或一个省（自治区、直辖市）业务无法正常开展达6小时以上的事件；4、全行范围内被监管机构暂停办理某项业务或产品的事件。（二）满足以下条件之一的为二级操作风险事件：1、造成实际损失金额500万元以上1000万元以下的事件；2、形

16、成风险金额1000万元以上3000万元以下的事件；3、由于重要信息系统服务异常，在柜面服务时段导致两个以上省（自治区、直辖市）业务无法正常开展达半小时以上3小时以下的事件或一个省（自治区、直辖市）业务无法正常开展达3小时以上6小时以下的事件；4、一级分行被监管机构暂停办理某项业务或产品的事件。（三）满足以下条件之一的为三级操作风险事件：1、造成实际损失金额100万元以上500万元以下的事件；2、形成风险金额500万元以上1000万元以下的事件；3、由于重要信息系统服务异常，在柜面服务时段导致一个省（自治区、直辖市）业务无法正常开展达半小时以上3小时以下的事件；4、二级分行被监管机构暂停办理某项

17、业务或产品的事件。（四）满足以下条件之一的为四级操作风险事件：1、造成实际损失金额10万元以上100万元以下的事件；2、形成风险金额100万元以上500万元以下的事件；3、由于重要信息系统服务异常，在柜面服务时段导致一个省（自治区、直辖市）业务无法正常开展不足半小时的事件或非柜面服务时段业务无法正常开展达1小时以上的事件；4、由于特色信息系统服务异常，在柜面服务时段导致一个省（自治区、直辖市）业务无法正常开展达1小时以上的事件或非柜面服务时段业务无法正常开展达3小时以上的事件；5、被监管机构公开通报批评的事件。（五）满足以下条件之一的为五级操作风险事件：1、造成实际损失金额10万元以下的事件；

18、2、形成风险金额 100万元以下的事件；3、由于重要信息系统服务异常，在柜面服务时段导致一个二级分行全部或部分营业机构业务无法正常开展达3小时以上的事件。第二节 操作风险分级第十八条 风险等级矩阵。风险等级矩阵是通过综合衡量风险发生频率和影响严重程度，评估操作风险大小的管理工具。操作风险发生频率分为五级（极可能、很可能、可能、偶尔、很少），操作风险影响严重程度分为五级（极严重、严重、中等、一般、较小）。风险等级矩阵由操作风险发生频率和影响严重程度的直积构成，为55的等级矩阵（见附表1-6、1-7）。操作风险按风险等级矩阵分为五级，分别为极大风险、高风险、中等风险、低风险和极小风险。第十九条 操

19、作风险点分级。操作风险点风险等级分为五级，一级、二级、三级为关键风险点，四级、五级为一般风险点。风险等级通过风险等级矩阵确定，即通过操作风险点引起的操作风险事件发生次数和风险金额确定。违规事项、潜在风险隐患的分级均以风险点分级的形式表示。第二十条 资产、产品及管理活动风险保护等级。资产、产品及管理活动的风险保护等级分为五级，一级、二级、三级为关键保护等级，四级、五级为一般保护等级，风险防控重要程度和要求依次降低。风险保护等级通过风险等级矩阵确定。第五章 操作风险事件责任分配及风险金额分摊标准第二十一条 操作风险事件按风险防控体系被突破的顺序确定责任承担部门和风险承担部门，如涉及多个部门，分主要

20、、次要责任承担部门和风险承担部门，并分摊责任及风险金额。第二十二条 责任承担部门确定标准。由人员、内部程序、IT系统等内部风险因素而引发的操作风险事件，其责任承担部门为风险防控体系被突破而直接导致风险发生的部门；如因多个部门的风险防控体系被突破而导致操作风险事件发生，风险防控体系最先被突破的部门为主要责任部门，其他部门为次要责任部门。由内外部风险因素共同引起的操作风险事件，如内部风险因素为主因的，其主管部门承担主要责任，如内部风险因素为次因的，其主管部门承担次要责任。由外部风险因素引起的操作风险事件，无责任承担部门；但因管理不当导致损失扩大的，相关部门应承担责任。第二十三条 责任分摊标准。操作

21、风险事件有一个责任承担部门时，如为主要责任部门，则承担全部责任，如为次要责任部门，则承担30%的责任；操作风险事件有两个责任承担部门时，主要责任部门承担70%的责任，次要责任部门承担30%的责任；操作风险事件有三个责任承担部门时，主要责任部门承担60%的责任，次要责任部门各承担20%的责任；操作风险事件有三个以上责任承担部门时，主要责任部门承担50%的责任，次要责任部门平均分摊50%的责任。第二十四条 风险承担部门确定标准。由人员、内部程序、IT系统等内部风险因素引起或内外部风险因素共同引起的操作风险事件，风险承担部门与责任部门相同，且风险承担比例与责任承担比例相同。由外部事件引发的操作风险事

22、件，风险承担部门为外部事件影响或损害的业务、产品或资产的主管部门，风险承担比例为各部门所管理业务、产品或资产发生的风险金额占总风险金额的比例。第二十五条 风险金额分摊标准。操作风险事件风险金额按风险承担比例分摊至相应责任承担部门第六章 操作风险分析标准第二十六条 x银行按统一的操作风险分析框架，对操作风险事件和事项进行分析。第二十七条 操作风险事件分析框架包括：（一）从政策、制度、流程、管理、人员等方面进行全面风险分析。（二）操作风险事件分级。（三）操作风险事件责任承担部门和风险承担部门确定及风险金额分摊。（四）操作风险事件分类分析，要按事件类型、产品线、风险成因分类分析。（五）风险点分析。逐

23、流程、环节分析风险发生的业务条线、涉及部门、业务产品/管理活动、业务流程/操作环节和具体风险点。分析流程见附图1-8。第二十八条 操作风险事项分析框架包括：（一）从政策、制度、流程、管理、人员等方面进行全面风险分析。（二）操作风险事项责任承担部门。（三）操作风险事项分类分析，要按产品线、风险成因分类分析。（四）风险点分析。逐流程、环节分析风险发生的业务条线、涉及部门、业务产品/管理活动、业务流程/操作环节和具体风险点。分析流程见附图1-8。第七章 附则第二十九条 本标准由总行制定并负责解释和修订。第三十条 本标准适用于境内各级机构。境外机构按照孰严原则执行本标准或当地监管机构要求，并报总行批准。附属机构参照本标准制定本机构操作风险分类分级标准。第三十一条 本标准自印发之日起执行。附表1-1：操作风险事件影响程度分级标准附表1-2：操作风险成因分类标准附表1-3：操作风险事件类型分类标准附表1-4：新资本协议产品线分类标准附表1-5：新资本协议产品线、业务条线与部门对应标准附表1-6：操作风险点发生频率和影响程度分级标准附表1-7：操作风险等级矩阵附图1-8：操作风险分析示意图