目錄1.風險管理治理架構規劃第4頁2.制度與流程規劃第4頁3.方法論與模型規劃第7頁4.風險引擎規劃第12頁5.風險限額方法論與流程設定規劃6.數據治理與IT系統的規劃7.報告體系與信息披露的規劃8.資本管理的規劃第32頁9.基于經濟資本的RAROC管理體系建設規劃第44頁10.資產增長與結構調整的規劃第59頁11.風險管理治理架構規劃22.制度與流程規劃2.1信用風險制度與流程規劃2.2市場風險制度與流程規劃2.3操作風險制度與流程規劃2.4銀行賬戶利率風險與流動性風險制度與流程規劃2.5其他重大風險政策與流程規劃32.1信用風險制度與流程規劃42.2市場風險制度與流程規劃

風險戰略設定制定業務戰略確定風險總暴露風險概念定義確定資本充足率區分銀行和交易賬戶預算分配止損限額預算分配確定止損限額風險分析衡量方法風險價值盯市價值風險評估限額設定情景分析確定暴露限額確定風險價值限額風險匯報路徑設定制定風險制度監控和管理制度風險限額監控計算限額占用值提交風險監控報告定期檢查檢查限額占用情況考察投資環境變化考察監管政策變化事件調整評估緊急事件影響重設限額52.3操作風險制度與流程規劃

6流程描述風險識別固有風險評估固有風險水平現有控制分析控制評估（制度設計）可能性后果剩余風險評估剩余風險水平可能性后果1234562.4銀行賬戶利率風險與流動性風險制度與流程規劃

72.5其他重大風險政策與流程規劃

IT應急計劃用一套計劃對IT系統、業務程序和設備的破壞及時作出響應，并為恢復正常運行做適當準備。業務持續性計劃集中于維持災難中和災難后機構的業務功能，可以寶航全部的重要業務程序。業務恢復計劃指出了緊急事件后業務流程的恢復，要與災難恢復計劃保持一致。災難恢復計劃主要涉及IT操作，以恢復事故后在備用站點的目標系統、應用程序或電腦設備可操作性。運作持續性計劃集中與恢復機構總部在預備站點的重要功能，并在恢復正常運作前的1個月內履行職能。危機溝通計劃派專人作為有關災難相應的發言人，還包括對發布情況聲明的程序以及發布新聞的模板。支持IT應急計劃一般支持系統的支持計劃和主要應用程序的應急計劃，考慮支持計劃持續性。電腦事故相應計劃建立一定程序以找出對IT系統所進行的攻擊，使安全人會員找出事故原因以盡快恢復運行。居住者應急計劃提供對員工、環境或財產的健康和安全受到威脅（火災、颶風、犯罪）情況下的響應程序。83.方法論與模型規劃9操作風險分類流程風險：財務/會計錯誤文件/合同缺陷交易/定價錯誤結算/支付錯誤錯誤監控/報告產品設計缺陷人員風險內部欺詐違反用工法失職違規知識/技能匱乏核心雇員流失外部風險恐怖威脅外部欺詐/盜竊洗錢政治風險監管規定業務外包自然災害系統風險系統穩定性、兼容性、適宜性系統設計/開發的戰略風險違反系統安全規定數據/信息質量10操作風險流程風險外部風險系統風險人員風險巴塞爾新資本協議的資本計量要求資本計量—基本指標法銀行越大，非利息收入越高，操作風險就越大，分配的經濟資本就越多；3年總收入的平均值作為衡量指標：操作風險的監管成本＝(前三年的總收入X固定百分比加總)÷3；提取總收入的15%作為資本：總收入＝凈利息收入＋凈非利息收入不包括保險收入、銀行賬戶上出售證券實現的盈利11基本指標法標準法高級計量法巴塞爾新資本協議的資本計量要求資本計量—標準法將整個業務分成8條產品線，度量每個業務線的風險，再把風險加總；巴塞爾設定了8種產品線每個產品線的β值（商業銀行在特定產品線的操作風險損失經營值與該產品線總收入之間的關系）；計提的總資本等于各業務分別計提的資本之和；采用標準法的基本要求：董事會和高管層應當積極參與監督操作風險管理架構；具完整而且切實可行的操作風險的管理系統；該擁有充足的資源來支持在主要產品線上和控制及審計領域采用該方法。12業務種類

財務指標計提因子(%)企業融資

總收入

18貿易和銷售

總收入

18零售銀行業務

總收入

12商業銀行業務

總收入

15支付和結算

總收入

18代理服務和托管

總收入

15零售經紀

總收入

12資產管理

總收入

12資本計量—高級計量法a.資格要求；b.定性標準：設置獨立的操作風險管理崗位，負責設計和實施操作風險管理框架；在全行范圍內對主要業務條線分配操作風險資本。必須以正式文件形式制定內部操作風險管理政策、制度和流程，并在文件中明確規定對違規的處理辦法；c.定量標準：表明采用的操作風險計量方法考慮到了潛在的較為嚴重的概率分布“尾部”損失事件；無論采用哪種方法，必須表明操作風險計量方法，與信用風險的內部評級法具有相當的穩健標準；任何操作風險內部計量系統，必須提供與巴塞爾委員會所規定的操作風險范圍和損失事件類型一致的操作風險分類數據；例外：在內部業務實踐過程中，能夠足以準確的計算出預期損失；d.內部數據要求：無論是用于損失計量還是用于驗證，具有至少五年的內部損失數據。對于初次使用高級計量法的商業銀行要求可以適度放寬，允許使用三年的歷史數據；e.外部數據要求：對外部數據配合專家的情景分析，求出嚴重風險事件下的風險暴露，這相當于一個極端情況下的壓力測試；f.業務經營環境和內部控制因素。13資本計量—高級計量法運用操作風險高級計量模型6項標準要求內部數據要求一般標準外部數據要求情景分析要求定性標準定量標準操作風險高級計量法內部衡量法（InternalMeasurementApproaches，IMA）損失分布法（LossDistributionApproach，LDA）評分卡法（ScorecardApproach，SCA）情景高級法（Scenario—basedAMA）因果模型法（CausalModelingApproaches）極值理論（ExtremeValueTheory，EVT）14操作風險衡量模型計量模型基本指標法標準法內部衡量法高級計量法（損失分布法、極值模型法及其他）業務類型和損失事件類型單一業務類別8各業務類別8各業務類別，7個損失事件類型，共56個組合多個業務類別，多個損失事件類型銀行自主劃定模型結構∑（系數X風險暴露X風險分布調整指數）使用損失頻率和損失幅度分布來估計操作風險的風險價值（VaR）；PE、LGE、EI有銀行自定，資本要求轉換系數r由監管當局確定參數選擇單一風險暴露指標EI、比例指標α多個EI（PE、LGE、RPI）多個風險資本比例β監管機構統一劃定監管資本高較高較低

15操作風險管理流程識別RSA/ORAP/Riskmap測量LDC監督和報告KRI控制KORC/CSA操作風險管理的方法論關鍵風險指標風險自我評估其他風險審批過程關鍵操作風險控制損失數據庫風險環境控制環境歷史損失數據調整后分布業務和控制環境預測損失分布模型基于預期ultult歷史損失分布基于事實LikelihoodImpactLossesabsorbedbylossprovisionsLossesabsorbedbycapitalLossesnotabsorbedbycapitalExpectedlossUnexpectedlossCatastrophiclossDefault支柱1：最低資金要求支柱2：監督審查治理結構與政策/框架風險組織架構及原則穩健原則原則5：銀行應定期監督操作風險的輪廓原則4：銀行應識別并評估所有產品、活動和系統的固有操作風險原則4：銀行應確保在新的產品、活動、流程以及系統出現之前，已對操作風險進行充分的評估原則6：銀行應該定期審查其風險限額和控制策略，依據適當的策略調整風險狀況。原則5：銀行應制定一套程序來定期監測操作風險狀況和重大損失風險原則1：董事會應清楚銀行操作風險的主要方面，并將其作為一個獨特的風險類別進行管理，定期核準和監測銀行操作風險管理的框架。原則3：應堅持在整個銀行實施這個結構，各級工作人員應該了解自己在操作風險管理中的職責。工具包連接AMA資本計算操作風險管理框架管理對象ORM治理結構、政策和程序ORM風險偏好識別和評估監測和報告告測量實施和控制基礎框架管理工具IT系統模型管理信息資本計量風險自評(RSA)評審程序(ORAP)損失數據庫(CLD)關鍵風險控制(KORC)關鍵風險指(KRI)業務持續性管理(BCM)ED&PMIn-FraudEx-FraudEP&WSCP&BPDPABD&SF北京天津上海浙江廣東四川風險類型業務線分支行公司融資交易銷售商業銀行零售銀行支付結算代理服務資產管理控制自評：操作風險控制自我評估（RCSA）操作風險控制自我評估（RCSA）

根據操作風險管理的基本原理，按照規定的工作流程，采用一定的方法，對操作風險狀況與控制效果進行的內部評價活動，是操作風險管理持續改進的基礎工作和關鍵環節操作風險控制自我評估的程序不充分的風險識別和評估事故原因問題解決直接誘因缺乏控制風險根源存在事故險情最高限度與RCSA有關的定義(一)可能性用作對事件發生概率或頻率的定性描述。頻率：是以規定的時間內發生次數來表達事件發生率的量度。概率：是以特定事件或結果與可能發生事件或結果的總數之比來量度的特定事件或結果的可能性。概率用數字0至1來表達，0表示一個不可能的事件或結果，而1表示一個必然的事件或結果。影響以定量或定性的方式表示的一個事件的結果（一個事件可能有多個與其相關的結果）

。與RCSA有關的定義(二)風險點指操作風險因素在業務流程中環節的反映和表現。損失指任何財務或其他方面的負面影響。固有風險指在沒有考慮控制活動的有效性或其他減小風險的措施沒有付諸實施之前已經存在的操作風險。剩余風險指在采取控制活動或其他風險減輕措施后所剩余的操作風險。操作風險損失事件分類內部欺詐外部欺詐雇傭關系客戶關系，產品及業務操作對物理資產的損害業務中斷和系統失靈實施、交付和流程管理流程圖：流程描述風險識別風險點/riskpoints專業經驗/professionalexperience本行歷史事件/banksevents其他銀行歷史事件/otherbanks’events損失事件分類表/losseventscategories事件分類（一級）事件分類（二級）事件分類（三級）提示：風險可能發生的環節：職能接口的環節流程銜接的環節人機交互的環節風險識別——風險點與流程對應關系事件類型（一級）事件類型（二級）事件類型（二級）風險點1風險點2風險點3風險點4風險點n固有風險評估——可能性可能性：用作對事件發生的概率或頻率的定性描述。【注1】頻率（frequency）是以規定的時間內發生次數來表達事件發生率的量度?！咀?】概率（probability）是以特定事件或結果與可能發生事件或結果的總數之比來量度的特定事件或結果的可能性。概率用數字0至1來表達，0表示一個不可能的事件或結果，而1表示一個必然的事件或結果?？赡苄栽u估值解釋損失事件發生頻率（參考）極少發生

1在某種情況下能夠發生，但可能性較小；或偶爾發生10年以上很少發生2在某種情況下可能發生；1-10年（含）間歇性發生3在某種情況下很可能會發生；或發生過幾次1個月-1年（含）常見的4在大多數情況下很可能會發生；或經常發生1周-1個月（含）經常周期性發生的5預期大多數情況下發生；或總是發生1周以內（含）固有風險評估——影響后果評估值財務損失

(人民幣)其他相關方對損失事件的反應及對公司造成的影響媒體的態度監管機構行動法律行動員工信息系統很小1較小的財務損失，參考數量級：10萬元級無負面報道或在報紙或網絡上對公司進行簡單的報道監管者認為合規或未發現不合規對公司采取法律行為的可能性很小，或對方勝訴可能性很小員工沒有受到影響，或影響很小信息系統運行安全、穩定，或對偶爾出現的不穩定現象能夠及時處理中等2無法忽略的損失，參考數量級：100萬元級在報紙、電視或網絡上發表批評意見，引起部分負面公眾影響，潛在的導致單一客戶群體的喪失個別方面不合規或偶爾不合規，監管者對公司進行口頭警告對公司違約事件采取單個訴訟，可能庭外和解員工可能受到輕微傷害或者占用正常非工作時間無法登陸信息系統；部分信息被泄漏較大3超乎尋常的損失，參考數量級：1000萬元級多家媒體和/或國家電視臺進行負面報道，引起較廣范圍的負面公眾影響，潛在的導致一些客戶或業務的喪失部分方面不合規或時常不合規，監管者對公司進行監管調查并發出書面整改函對公司違約情況采取單個或數個訴訟，但快速解決的可能性較小不止一個員工受傷，并需要治療；本地裁員信息系統遭到入侵，對業務產生較大影響嚴重4非常嚴重的損失，參考數量級：1億元級多家媒體和/或者國家電視臺的主要新聞節目連續幾天負面報道，引起非常大范圍的負面公眾影響，潛在的導致一些關鍵客戶或業務的喪失在重要方面不合規，或大范圍、持續不合規，導致監管者對公司進行處罰對公司重大違約事件采取集體訴訟，公司敗訴可能性很大，且會遭受重大聲譽損失或經濟損失重傷，可能有死亡；大量裁員系統或其中的數據遭到破壞，對業務產生嚴重影響災難性的5很可能導致破產的損失，參考數量級：10億元級對政府或政治產生影響；公眾對其失去信心嚴重不合規，監管者對公司勒令停業或限制業務、吊銷經營業務牌照（資格）或高額罰款，若構成刑事責任則移交司法機構對公司重大違約事件采取集體訴訟，公司勝訴可能性很小，會遭受嚴重聲譽損失或經濟損失，很可能導致公司破產出現死亡或者對員工生命產生重大影響；大規模裁員系統癱瘓，導致業務中斷后果：

以定量或定性的方式表示的一個事件的影響程度?！咀ⅰ恳粋€事件可能有多個與其相關的后果。

固有風險評估——風險等級風險等級含義極高風險E－Extreme不可接受風險，控制無效。此類風險要求立即引起董事會、公司高層的注意和重視，應立即采取控制措施，這樣的風險極有可能發生并有不可挽回的負面影響；超出公司可承受的能力，形成巨大的財務損失。高風險H－High不可接受風險，控制基本無效。此類風險要求立即引起公司高層的注意和重視，應及時決定適當的控制措施，這樣的風險發生頻率高影響等級較小或不大可能發生但影響等級嚴重；形成較大的財務損失。中等風險M－Moderate不可接受風險，控制不足。此類風險需要進行監控和處理，應采取控制措施，這樣的風險極有可能發生但影響很小或影響嚴重但幾乎不可能發生；有一定的財務損失。低風險L－Low基本可接受風險，控制基本有效。此類風險被視為非常輕微，在現有的控制下可選擇補救方案，發生的頻率較低或影響性較??；形成較小的財務損失。極低風險N－negligible可接受風險，控制有效。此類風險可以視為極小，現有控制措施即可，這類風險不大可能發生并且影響性很小或較??；極小的財務損失，幾乎沒什么影響。風險地圖：固有風險評估——風險水平確定將風險事件的可能性和影響性評估后的兩個評分等級相乘得出的風險等級

后果等級可能性等級1-很小2-較小3-中等4-較大5-嚴重5-極有可能中等風險

(5×1=5)高風險

(5×2=10)極高風險

(5×3=15)極高風險

(5×4=20)極高風險

(5×5=25)4-很可能低風險

(4×1=4)中等風險

(4×2=8)高風險

(4×3=12)極高風險

(4×4=16)極高風險

(4×5=20)3-比較可能低風險

(3×1=3)中等風險

(3×2=6)高風險

(3×3=9)高風險

(3×4=12)極高風險

(3×5=15)2-不大可能極小風險

(2×1=2)低風險

(2×2=4)中等風險

(2×3=6)中等風險

(2×4=8)高風險

(2×5=10)1-幾乎不可能極小風險

(1×1=1)極小風險

(1×2=2)低風險

(1×3=3)低風險

(1×4=4)中等風險

(1×5=5)在多人參與操作風險評估時，一般采取折衷原則（取平均值），但對于風險較大的領域，可以采取悲觀原則（取最大值），一般不采取樂觀原則（取最小值）。固有風險總體分布平均分布固有風險評估控制2控制1控制31432控制45非流程控制5流程內控制控制與風險重合控制環節前置控制環節后置流程外控制其他流程控制（如監控流程控制）非流程控制（如政策控制、責任控制）政策

與流程職責

分離雙重

控制授權

委托確認財務

核對合規性

檢查合同與

交易的

限額控制賬實

核對實施

獨立的

內部審計招募

可靠

人員信息

系統

控制現有控制分析——正式控制與非正式控制現有控制分析——控制類型（僅供確定控制措施時參考）控制類型控制措施描述管理層審查管理層對相關業務或經營情況進行審查和檢查，如本年度上年度對比，本行與同業的對比分析結果，掌握公司經營及內部控制整體狀況。不相容職務分離全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。授權審批根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。權限控制根據風險偏好和風險容忍度，對不同級別員工分配不同的權限，如不同信貸審批人員的授信審批權限、資金交易員的交易權限等會計系統控制嚴格執行國家統一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。財產保護控制建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。運營分析建立運營情況分析制度，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進。預算控制實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算約束?？冃Э荚u控制建立和實施績效考評制度，科學設置考核指標體系，對企業內部各責任單位和全體員工的業績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。固有風險剩余風險剩余風險總體分布風險的變遷剩余風險評估現有控制評估（設計層面）控制有效當采取控制措施后，風險從不可接受（E、H、M）達到I（極小風險）時，可以認為控制有效?？刂苹居行М敳扇】刂拼胧┖?，風險從不可接受（E、H、M）達到L（低風險）時，可以認為控制基本有效?？刂撇蛔惝敳扇】刂拼胧┖螅L險水平雖有所降低，等級仍處于不可接受（E、H、M）時，可以認為控制不足，需要進一步采取控制措施?？刂七^度當采取控制措施后，風險水平能夠從不可接受（E、H、M）達到基本可接受或可接受（L或I），但為此付出的控制的成本過高，適當減少控制時仍能使風險處于可接受狀態，此時可以認為控制過度。操作風險管理工具的定義風險地圖(RiskMap)通過產品、活動、流程、職能、區域等多個維度確立評估單元