交逕縱行

“NKOFCOAMJIUNICATIONS

EXPO

SHAKGHAJCHHA中國2010年上海世博會全碑合作伙伴

操作風險管理項目

業務手冊

to交通郃行

操作風險管理'BANKOFCOMMUNICATIONS

目錄

一操作風險管理政策辦法.............................1

I交通銀行股份有限公司操作風險管理政策............................2

：交通銀行操作風險管埋實施辦法....................................14

交通銀行風險與控制自我評估管理暫行辦法........................34

交通銀行關鍵風險指標管理暫行辦法..............................46

交通銀行損失數據收集管理暫行辦法..............................54

I交通銀行新產品新業務操作風險自評估管理暫行辦法.................78

二操作風險與控制字典庫...........................84

I操作風險字典庫..................................................84

1.1操作風險因子分類表...........................................84

1.2操作風險事件分類表...........................................86

1.3操作風險事件影響類型分類表..................................97

1.4新資本協議損失事件形態分類表...............................100

!控制字典庫...................................................104

評分標準.....................................................119

3.1操作風險事件發生頻率評估標準...............................119

3.2操作風險事件嚴重程度評估標準...............................119

3.3間接損失評估表..............................................120

3.4控制措施設計的完善程度評估標準.............................121

3.5控制落實度評估標準.........................................121

三操作風險知識連載——漫話版............................122

1什么是操作風險？——熟悉而又陌生的風險.....................122

2操作風險的界定與分類—巴塞爾委員會VS英國銀行家協會......125

3操作風險的界定與分類（續）——我行的方法....................129

4操作風險管理的發展歷程——一項與時俱進的挑戰................131

5誰來管理操作風險？——各司其職、相互協作....................136

6操作風險的管理流程——由軍隊中的管理說起....................139

7操作風險管理工具——RCSA,讓自己充分了解自己...............142

8風險地圖—簡單實用的風險定位方法..........................144

9操作風險管理工具一KRI,及時把握風險變化動態...............148

10操作風險管理工具——LDC,用數據構建管理的基石..............152

11損失數據收集的實踐與探索——路漫漫其修遠兮..................154

12操作風險的計量——從定性向定量的轉變........................158

13操作風險與信用、市場風險—“分”是為了更好的“合”........162

14操作風險管理與內部控制——相輔相成的兩大體系................164

to交通郃行

操作風險管理'BANKOFCOMMUNICATIONS

四操作風險管理項目基礎知識與工具使用常見問題匯總……168

1操作風險管理基本概念........................................168

2風險與控制自我評估（RCSA）....................................173

3操作風險地圖設定——省、直分行適用..........................175

4損失數據收集................................................179

5操作風險與控制本地化一省、直分行適用......................180

操作風險管理

操作風險管理

操作風險管理

操作風險管理

風險管理

風險管理

管理

操作風險管理

第第184頁

交通銀行

交銀董(2010)13號

關于印發《交通銀行股份有限公司

操作風險管理政策》的通知

各省分行、直屬分行，各海外分行，總行各部門：

2010年3月30日，我行第五屆董事會第二十三次會議審議

批準了《交通銀行股份有限公司操作風險管理政策》，現予印發,

請遵照執行。

交通銀行董事會辦公室

二。一。年四月七日

第2/184頁

交通銀行股份有限公司操作風險管理政策

第一章總則

第一條為建立和完善交通銀行股份有限公司（以下簡稱

“本行”）操作風險管理體系，加強操作風險管理，促進全面風險

管理體系建設，根據銀監會《商業銀行操作風險管理指引》、本行

全面風險管理規劃等文件要求，結合本行實際情況，特制定本政

策。

第二條操作風險的定義。操作風險是指由不完善或有問題

的內部程序、員工和信息科技系統，以及外部事件所造成損失的

風險。本定義所指操作風險包括法律風險，但不包括策略風險和

聲譽風險。

第三條操作風險管理的戰略目標。持續改進和完善全行操

作風險的管理，建立符合本行實際的操作風險管理體系。使用國

際通行的工具和方法，對全行操作風險進行統一全面管理。最大

程度減少操作風險事件，降低操作風險損失，維護本行聲譽和市

場價值。滿足新資本協議達標要求和操作風險管理的監管要求。

第四條操作風險管理的總體要求。操作風險源于人員、程

序、系統和外部事件，本行各部門、各單位對操作風險均負有管

理職責，操作風險的管理應貫穿于本行經營管理過程中的每一個

環節。同時，要采取自上而下和自下而上的方法對重大操作風險

和日常操作風險進行分層管理。

—2—

第3/184頁

第五條操作風險損失事件類型。依據巴塞爾新資本協議和

銀監會有關指引，損失事件分為內部欺詐事件、外部欺詐事件、

就業制度和工作場所安全事件、客戶、產品和業務活動事件、實

物資產的損壞、信息科技系統事件、執行、交割和流程管理事件

等類型。本行應依據實際管理的需求，針對操作風險事件、事件

的起因、事件的影響效果等進行更細致的分類。

第二章操作風險偏好和容忍度

第六條風險偏好是風險與收益的權衡。操作風險偏好是在

本行總體風險偏好框架下，對操作風險的基本態度和公司管理層

對操作風險管理的承諾。操作風險管理作為主要風險管理職能納

入全面風險管理體系，定期審定關鍵操作風險環節、領域，主要

包括銀行所關注的操作風險環節、特定的領域，愿意并可承受的

風險程度，以及銀行為將操作風險損失控制在可接受范圍內所愿

意耗用的資源及成本。本行提倡實行“積極、穩健、平衡”的風

險偏好，在經營管理過程中，強調業務規模、獲利與風險承受度

的匹配，在實現股東價值最大化的同時注重操作風險的管理，持

續強化操作風險管理體系，落實內部控制制度。

第七條操作風險容忍度是將戰略層面的操作風險偏好轉

化至實際管理層面的管理工具。在操作風險偏好的基礎上，通過

設定風險邊界將操作風險暴露程度劃分為不同的等級，達到監控

風險暴露與生成預警信息的目的。

——3——

第4/184頁

第三章組織架構和職責分工

第八條操作風險管理需要一個完整的組織架構來保障，并

與銀行的經營戰略相適應。在公司治理層面由董事會、監事會、

高級管理層組成操作風險管理的領導、監督機構；在職能管理層

面由業務經營部門、條線管理部門、風險管理部門和內部審計部

門組成操作風險管理“四道防線”。

第九條董事會是本行操作風險管理工作的最高領導機構。

董事會應將操作風險作為本行面對的一項主要風險，并承擔監控

操作風險管理有效性的最終責任。主耍職責包括：。

（一）制定與本行戰略目標相一致且適用于本行的操作風險

管理戰略和總體政策；

（二）通過審批及檢查高級管理層有關操作風險的職責、權

限及報告制度，確保本行的操作風險管理決策體系的有效性，并

盡可能地確保將本行從事的各項業務面臨的操作風險控制在可以

承受的范圍內；

（三）定期審閱高級管理層提交的操作風險報告，充分了解

本行操作風險管理的總體情況、高級管理層處理重大操作風險事

件的有效性以及監控和評價日常操作風險管理的有效性；

（四）確保高級管理層采取必要的措施有效地識別、評估、

監測和控制/緩釋操作風險；確保本行操作風險管理體系接受內審

部門的有效審查與監督；

（五）制定適當的獎懲制度，在本行范圍有效地推動操作風

4—

笫5/184頁

險管理體系的建設。

第十條高級管理層負責執行董事會批準的操作風險管理

戰略、總體政策及體系。主耍職責包括：

（-）在操作風險的日常管理方面，對董事會負最終責任；

（二）根據董事會制定的操作風險管理戰略及總體政策，負

責制定、審查和監督執行操作風險管理的政策、程序和具體的操

作規程，并定期向董事會提交操作風險總體情況的報告；

（三）全面掌握本行操作風險管理的總體狀況，特別是各項

重大的操作風險事件或項目；

（四）明確界定各部門的操作風險管理職責以及操作風險報

告的路徑、頻率、內容，督促各部門切實履行操作風險管理職責,

以確保操作風險管理體系的正常運行；

（五）為操作風險管理配備適當的資源，包括但不限于提供

必要的經費、設置必要的崗位、配備合格的人員、為操作風險管

理人員提供培訓、賦予操作風險管理人員履行職務所必需的權限

等。

第十一條監事會負責監督董事會和高級管理層操作風險

管理的履職盡責情況，并提出有關建議。

第卜二條總行風險管理部負責本行操作風險管理體系的

建立和實施，應與其他部門保持獨立，確保本行操作風險管理的

一致性和有效性。主要職責包括：

（一）擬定本行操作風險管理政策、程序和具體的操作規程,

——5——

第6/184頁

提交高級管理層和董事會審批；

（二）定期分析總結本行操作風險管理體系運作情況，持續

研究、改進和創新操作風險管理方法、技術和工具；

（三）牽頭管理重大操作風險，指導、協助總行各條線管理

部門識別、評估、監測、控制/緩釋和報告操作風險；

（四）負責全行層面的操作風險管理培訓，協助各條線部門

提高操作風險管理水平、履行操作風險管理的各項職責；

（五）制定和維護全行范圍內業務連續性管理的辦法。制訂

業務連續性管理計劃的編制方法；指導各部門制訂和維護業務連

續性計劃和災難恢復計劃；定期審查各部門業務連續性計劃和災

難恢復計劃；

（六）向高級管理層提交操作風險報告。

第十三條總行各部門負責管理本條線的操作風險，部門負

責人對本條線操作風險管理情況負責，并指定專門的二級部門牽

頭履行以下職責：

（一）在制定本條線業務流程和相關業務制度時，充分考慮

操作風險管理和內部控制的要求，確保與操作風險管理總體政策

的一致性；

（二）根據本行操作風險管理的政策、程序和具體的操作規

程，或結合條線實際情況制定實施細則后，指導、組織本條線進

行持續、有效的操作風險識別、評估、監測、控制/緩釋及報告；

（三）制定本條線的業務連續性計劃或災難恢復計劃，并定

—6—

第7/184頁

期測試和演練，確保業務持續性計劃或災難恢復計劃的完整性、

有效性；

（四）負責本條線的操作風險管理培訓，協助本條線各級經

營管理部門提高操作風險管理水平、履行操作風險管理的各項職

責；

（五）向總行風險管理部和分管行領導提交操作風險報告。

第十四條各省直分行負責管理本分行的操作風險，分行負

責人對本分行的操作風險管理情況負責。各分行應指定風險管理

部門牽頭，其他部門應指定專人配合，共同遵循總行的操作風險

管理政策、辦法和程序，運用統一的操作風險管理方法、技術和

工具，組織本分行各經營管理單位實施操作風險的識別、評估、

監測、控制/緩釋和報告。

第十五條各子公司和海外分行負責管理本機構的操作風

險，機構負責人對本機構的操作風險管理情況負責。各機構應指

定風險管理部門牽頭，機構其他部門應指定專人配合，共同遵循

總行的操作風險管理政策、辦法和程序，運用統一的操作風險管

理方法、技術和工具，組織本機構各經營管理單位實施操作風險

的識別、評估、監測、控制/緩釋和報告。

各子公司和海外分行屬地監管機構或所屬行業監管機構的

規定與總行規定不一致的，應及時報告總行并按總行的審批要求

執行。

第十六條法律合規部、信息技術管理部、監察室、人力資

—7—

笫8/184頁

源部等部門在管理好本部門操作風險的同時，應在涉及其職責分

工及專業特長的范圍內為其他部門管理操作風險提供相關資源、

支持。

第十七條內部審計部門應定期獨立審查、監督、評價本行

的操作風險管理體系運作情況。

第四章操作風險管理流程

第十八條本行操作風險管理流程主要包括操作風險識別、

評估、監測、控制/緩釋和報告等，并通過操作風險管理信息系統

平臺進行整合和實施。

第十九條操作風險識別。操作風險識別指識別存在的主要

操作風險并確定其性質的過程，其范圍應涵蓋本行各個層面的業

務流程和管理流程。操作風險識別應具有前瞻性，并應識別出各

業務管理流程存在的主要操作風險事件、風險因子、影響類型、

控制措施等，為操作風險評估、監測、控制/緩釋和報告提供基礎。

操作風險識別可采用業務流程分析和損失數據收集等操作風險管

理工具。

第二十條操作風險評估。操作風險評估是指評估操作風險

暴露程度并確定操作風險是否可接受的全過程。操作風險評估應

按照統一的標準，對操作風險事件的固有風險暴露、剩余風險暴

露和控制有效性等進行評估，并結合對應流程的風險容忍度，確

定操作風險暴露是否在可接受范圍之內。操作風險評估可采用風

—8—

第9/184頁

險與控制自我評估等操作風險管理工具。

第二十一條操作風險監測。操作風險監測應通過設置并監

測各類風險指標，動態、持續的監測操作風險狀況及其控制/緩釋

措施的質量；快速發現政策、流程和內部控制出現的問題并采取

相應的補救措施。操作風險監測可采用關鍵風險指標等操作風險

管理工具。

第二十二條操作風險控制/緩釋。操作風險控制/緩釋是指

根據操作風險評估或監測結果，制訂并組織實施操作風險控制/

緩釋行動計劃的過程。通過流程控制、行為監控、電子化、保險、

外包等一系列控制手段或緩釋方法，對操作風險進行轉移、分散、

降低、規避，將操作風險暴露降低至可接受的范圍之內。

第二十三條操作風險報告和披露。本行應建立操作風險報

告制度，明確報告的種類、路線、內容、格式和頻率。各分支機

構和各部門應當根據報告制度規定，及時、準確、真實地斃交操

作風險報告，并對報告內容負責。對于重大操作風險事件應及時

報告董事會、高級管理層和監管機構。本行應根據法律法規規定

及監管要求披露操作風險信息。

第二十四條操作風險管理信息系統。為有效識別、評估、

控制/緩釋、監測和報告操作風險，本行應逐步建立并完善操作風

險管理信息系統，為上述流程及相應的操作風險管理工具卷供整

合和實施的平臺。

—9—

第10/184頁

第五章業務連續性管理

第二十五條業務連續性管理的目標是將服務運行中斷的

影響最小化，保證關鍵業務中斷時及時恢復，控制業務中斷事件

所帶來的收入和資金的損失，保護銀行的聲譽和品牌。主要包括

危機管理計劃、業務連續性計劃和災難恢復計劃。

第二十六條各部門應當制定與其業務規模和復雜性相適

應的業務連續計劃或災難恢復計劃，保證持續經營，將重大或較

大業務中斷事件發生時導致的操作中斷對銀行業務、產品和服務

的影響最小化。業務連續性計劃和災難恢復計劃至少應考慮系統

不可用、人員不可用、辦公場所不可用、外部供應商不可用等場

景下的恢復步驟、行動和措施。在業務連續性計劃中涉及多個部

門的協同工作時，風險部負責部門間的溝通與協調。

第二十七條各部門應建立恢復服務和保證業務連續運行

的備用機制，定期檢查、測試其災難恢復和業務連續機制，確保

在出現災難和業務嚴重中斷時這些方案和機制的正常執行。

第六章新產品、新業務風險評估和外包風險管理

第二十八條在新產品、新業務開發以及流程改造過程中，

總行條線管理部門和總行風險管理部應針對其業務流程、信息科

技系統、人員管理等方面進行操作風險的評估。

第二十九條本行所有業務外包應經授權審批，外包前應充

分識別和評估外包潛在的操作風險，并制定與外包業務有關的風

——10—

笫11/184頁

險管理政策，確保業務外包有嚴謹的合同和服務協議，以明確各

方的責任義務。

第三十條本行可根據自身操作風險狀況選擇購買保險及

與第三方簽訂合同，并將其作為緩釋操作風險的一種方法，但不

應因此忽視對操作風險的控制措施。

第七章操作風險資本計量

第三十一條按照巴塞爾新資本協議和銀監會的監管要求，

結合本行的實際情況，現階段本行采用標準法(TheStandard

Approach,TSA)計算操作風險監管資本。在積累足夠數據的基礎

上，未來將逐步過渡到操作風險資本高級計量法(Advanced

MeasurementApproach,AMA)。

第三十二條本行所有部門、分行、子公司、海外分行均應

對操作風險資本計量提供必要的支持，各子公司、海外分行應定

期向總行提供本機構操作風險資本計量相關數據。各子公司、海

外分行應采用標準法作為本機構操作風險資本計量的方法，屬地

監管機構或所屬行業監管機構的規定與本行規定不一致的，應及

時報告總行并按總行的審批要求執行。

第八章風險文化建設

第三十三條成功的操作風險管理架構有賴于良好的風險

文化。風險文化包括員工對風險的意識、態度及行為等。良好的

——11—

第12/184頁

操作風險文化因素包括：

（一）全體員工明確自身在操作風險管理中的職責，每個崗

位、員工均是操作風險的直接責任人；

（二）董事會、高管層對操作風險文化持續推進、宣傳；

（三）業務、風險管理應由具備相關資質的人員完成：

（四）科學合理的激勵機制和充分暴露問題的文化。鼓勵員

工自由揭示、主動報告操作風險問題，鼓勵越級實名舉報不法行

為。

第三十四條多層次培訓對于操作風險管理的成功具有關

鍵作用。相關部門應通過不定期培訓方式，協助各單位、人員提

高操作風險管理水平、履行操作風險管理的各項職責，并就操作

風險管理的內容和形式達成共識。

第三十五條本行建立并落實操作風險管理工作的考核及

獎懲機制，按照公開、公平、公正的原則，將操作風險管理的有

效性納入各分支機構和各部門的績效考核范圍。

第九章附則

第三十六條本政策適用于總行各部門、境內外分支機構及

本行控股子公司。

第三十七條本政策自董事會批準之日起生效。

主題詞：董事會工作操作風險管理政策通知

抄送：監事會。

交通銀行董辦2010年4月9日印發

12-

第13/184頁

交通銀行公

交銀辦(2010)9號

關于印發《交通銀行操作風險管理

》的通知

各省分行、直屬分行，各子公司，各海外機構，總行各部門：

為加強操作風險管理，促進全面風險管理體系建設，現將《交

通銀行操作風險管理實施辦法》印發，請遵照執行。

特此通

交通銀行辦公室

二。一。年四月二十一日

第14/184頁

交通銀行操作風險管理

第一章總則

第一條為建立和完善交通銀行股份有限公司（以下簡稱

“本行”）操作風險管理體系，加強對操作風險的管理，促進全面

風險管理體系建設，全面貫和落實《交通銀行股份有限公司操

作風險管理政策》（交銀董（2010）13號，下稱“管理政策”）的

有關規定，特制定本辦法。

第二條本辦法是操作風險管理政策的，由總行風險管

理部根據操作風險管理政策的相關原則進行制定與更新，并由總

行風險管理員會批準。

第二章組織架構職責分工

第三條操作風險管理的組織架構分為公司治理層面和職

能管理層面個層次。公司治理層面由董事會、監事會、高級管

理層組成操作風險管理的領導機構。職能管理層面由業務經營部

門、條線管理部門、風險管理部門和內部審計部門組成操作風險

管理“四道防線工上述機構和部門的職責分工按照《交通銀行股

份有限公司操作風險管理政策》（交銀董（2010）13號）的有關

規定設置執行。

第四條為有效落實操作風險管理工作，總行風險管理部下

設操作風險管理二級部門，專職負責全行操作風險的管理工作；

—2—

第15/184頁

分行風險管理部下設操作風險管理崗，負責分行層面的操作風險

管理工作；總行條線管理部門應指定相關的二級部門，承擔本條

線操作風險的日常管理工作；分行條線管理部門應指定具有一

定業務和風險管理經的人員負責具體的操作風險管理。

第五條總行風險管理部下操作風險二級部的主要職責包

括：

（一）擬訂本行的操作風險管理政策、實施辦法和程序，并

在總分行范圍內組織落實操作風險管理政策及其辦法的實施；

（二）作為全行操作風險管理的牽頭部門，組織協調、協助

總行各業務管理部門、各分行，對操作風險進行識別、評估、控

制、緩釋、監測與報告；

（三）牽頭擬定及訂全行層面的操作風險偏好和關鍵風險

指標，審核全行層面的操作風險容忍度

（四）監測全行操作風險并牽頭管理重大操作風險事件；

（五）推動操作風險管理工具在本行的實施，制定操作風險

管理工具的方法，并對其進行持續研究和更新；

（六）針對條線管理部門的新產品/新業務自評估結果進行

審查，并提出相關意；

（七）按照監管規定和本行實際狀況制定操作風險資本計量

的具體方法，為未來操作風險資本的高級法計量好準備；

（）建立操作風險管理信息系統，并負責系統的口常運行

和維護；

—3—

第16/184頁

（）為各部門提供操作風險管理方面的培訓，協助各部門

提高操作風險管理水平；

（十）有效識別、評估、控制/緩釋、監測和報告操作風險，

總分析總行各業務部門和分行提交的操作風險評估報告，定期

編制全行層面的操作風險評估報告提交高級管理層、董事會；

（十一）制定和維護全行范圍內業務連續性管理的辦法；制

定業務連續性計劃的編制方法；指導各部門制定和維護業務連續

性計劃和災難恢復計劃；定期審查各部門業務連續性計劃和災難

恢復計劃；

（十二）指導和定期檢查各部門的操作風險管理工作，并提

出相關意和建議。

第六條分行風險管理部操作風險管理崗的主要職責包括：

（-）擬定全操作風險管理實施辦法和細則；

（-）對分行各部門和內機構操作風險管理工作進行檢

查、評估，并提供支持；

（三）總分行層面的操作風險容忍度的邊界值和關鍵風險

指標的門值，總和整理全及分行的操作風險損失數據、組

織分行進行操作風險與控制評估及結果分析、指導分行業務部門

對關鍵風險指標進行監控，對操作風險管理工具的應用向總行風

險管理部提出改進建議；

（四）監督行動計劃的實施進度和效果，統、協調部門

行動計劃的實施；

—4—

第17/184頁

（五）根據操作風險評估報告要求，對全及分行操作風險

進行整體評估，對操作風險暴露及損失進行分析，形成操蚱風險

評估報告，定期報送總行風險管理部；

（六）為分行各部門提供操作風險管理方面的培訓，協助各

部門提高操作風險管理水平；

（七）統管理本行的業務連續性計劃，檢查各部門危機管

理計劃、恢復策略、定期演練和備份方案。

第七條總行條線管理部門操作風險管理職責包括：

（一）根據本行操作風險管理的政策、程序和具體的操作規

程，或結合條線實際情況制定實施細則；在制定本條線業務流程

和相關業務制度時，充分考慮操作風險管理和內部控制的要求，

確保與操作風險管理總體政策的一致性；

（二）履行本條線、部門內部以及與總行風險管理部、其他

部門在操作風險管理方面的溝通、協調職責；

（三）制定本條線業務流程的操作風險容忍度全行層級的邊

界值以及不同類型分行適用的操作風險容忍度邊界值，牽頭組織

和指導部門內及本條線的操作風險識別和評估工作；

（四）監控本條線的操作風險管理工作，對操作風險三大工

具的應用提出改進建議，定期編制并提交操作風險評估報告；

（五）加操作風險管理培訓，并組織本條線的操作風險管

理的培訓；

（六）制定流程層級關鍵風險指標和全行門值，監測本條

——5——

第18/184頁

線的關鍵風險指標，及時通報重大操作風險事件和重大損失事件;

（七）收集和積累本部門自身操作風險的損失數據，為未來

操作風險資本的高級計量法測算提供數據基礎；

（）根據實際情況制定本條線的業務連續性計劃或災難恢

復計劃，定期測試和演練，保證持續經營，將重大或較大業務中

斷事件發生時導致的業務中斷影響最小化。

第八條分行條線管理部門的操作風險管理職責包括：

（-）宣傳、推操作風險管理文化，保證操作風險管理實

施辦法和本分行操作風險管理實施細則的落實；

（二）牽頭組織操作風險管理工具在本部門的實施，包括調

整或細化本條線業務流程操作風險容忍度分行層級的邊界值、流

程層級關鍵風險指標分行門值、組織本部門員工進行風險與控

制自我評估、保證本部門損失數據的及時收集和報送、監測本部

門流程層級關鍵風險指標等；

（三）牽頭開本部門行動計劃的實施，保證進度及實施效

果，并作為部門行動計劃的系人，積極協調、配合部門行

動計劃的利實施；

（四）定期總結分析本部門操作風險工作成果和現狀，向總

行條線管理部門和分行風險管理部報；

（五）加分行層面的操作風險培訓，并在部門內組織培訓。

第九條內部審計部門在操作風險管理中承擔對總分行操

作風險管理執行情況進行審計的工作，全面總分行各層面操

—6—

第19/184頁

作風險管理的執行情況。

第三章操作風險偏好和容忍度

第十條本行的操作風險偏好強調業務規模、獲利與風險承

受度的匹配，在實現股東價值最大化的同時注重操作風險的管理,

持續強化操作風險管理體系，落實內部控制制度。

第十一條本行通過確定操作風險容忍度、操作風險評估內

容、關鍵風險指標、損失數據收集等手段將操作風險偏好落實到

實際管理層面。

第十二條本行根據操作風險偏好和業務規模，采用設置風

險邊界的方法，設定操作風險容忍度。

第十三條本行的操作風險容忍度域分為四個等級，分別

以、、、加以分。

（一）域：示操作風險暴露落在安全域。基于風

險管理、成本與效益的考慮，不必采取外的控制措施來降低操

作風險暴露。

（-）域：示操作風險暴露落在加強監控的范圍內，

相關單位應加強管理及監控的力度。

（三）域：示操作風險暴露落在警范圍內，相

關單位應立動行動計劃，將操作風險速降低至安全域。

（四）域：示操作風險暴露落在不可忍受的范圍

內，應立動行動計劃，將操作風險速降低至安全域，同

—7—

第20/184頁

時動責任定程序，必要時究相關人員責任。

第十四條操作風險容忍度分為全行和分行二個層次，分別

由總行條線管理單位和分行業務條線牽頭制定。

（一）總行條線管理單位針對主要業務流程的操作風險暴露

制定本條線全行層級的操作風險容忍度。全行層級操作風險容忍

度由總行條線管理部門提出，風險管理部審核，并報風險管理

員會批準生效。

（二）分行各業務條線可依據總行制定的風險容忍度邊界

值，結合本條線的具體情況進行調整，由分行風險管理部審核，

分行行長核準后實行，并提交總行條線管理部門報備。分行風險

容忍度邊界值原則上不越總行制定的邊界值，確有特原

因越的，由分行部門經分行行長核準后，提交總行條線管理部

門批準。

第十五條根據本行的操作風險偏好，在執行操作風險評估

時，評估操作風險事件對評估單位的務影響外，至少應同時

評估以下類型的影響。

（-）對業務持續運營的影響；

（二）對大客戶服務質量的影響；

（三）對本行聲譽的影響；

（四）對本行客戶或員工人身安全的；

（五）監管機關對本行采取監管行動的可能性。

第十六條總行風險管理部應依據本行的操作風險偏好，牽

—8—

第21/184頁

頭制定和監測全行層級的關鍵風險指標。指標監測內容至少應包

括員工道操、員工上崗能力、合規、服務質量、營業場所與

工作環境安全、信息系統安全與穩定等。

第十七條總行風險管理部應在銀監會監管規定的基礎上，

合考慮本行風險管理工作的成本與效益，制定全行一致的操作

風險事件收集范圍及損失數據收集門。收集范圍包銀監會規

定的范圍、本行特別關注的重大操作風險事件，以及其他損失金

達到特定門以上的事件。

第十八條總行業務條線可依據管理的需求，大操作風險

事件收集范圍或降低損失數據收集門。分行損失數據的收集范

圍與門，應遵循總行所下發的《交通銀行損失數據收集管理

行辦法》（交銀辦［2010）90號）。

第四章操作風險分架構

第十九條為實現操作風險管理和數據采集的標準化，構建

全行統一的操作風險管理體系，本行將操作風險的損失事件、風

險因子、影響類型、事件形態以及操作風險控制措施進行架構化

分類，形成全行層面的操作風險與控制。

第二十條總行風險管理部負責牽頭建立全行層面的操作

風險與控制。操作風險與控制將行下發，并由總行風

險管理部負責定期或不定期更新。

第二十一條在日常操作風險管理過程中，現有需要

—9—

第22/184頁

補充或改的，應提出請。

（-）總行層級由總行條線部門發起更新需求，經總行風險

管理部審核后維護。

（二）分行層級由分行風險管理部總各部門意后向總行

風險管理部提出請，總行風險管理部會同相關部門審核后進行

維護。

第二十二條在新產品/新業務上線前，在識別操作風險

與控制措施過程中，發現現有不足，由產品或業務牽頭部門

發起更新需求，經總行風險管理部審核后進行維護。

第二十三條當外部環境化時（包括但不限于：形

的化、監管法規的更新、發生重大外部操作風險事件等），發

現操作風險或控制需要完善時，業務條線部門向總行風

險管理部發起的檢查和訂工作。

第二十四條總行風險管理部應定期將全行的操作風險

、控制的更新情況向操作風險管理員會報。

第五章管理工本

第二十五條根據巴塞爾新資本協議和銀監會有關指引中

對操作風險管理體系建設的要求，目前本行主要應用的操蚱風險

管理工具包括風險與控制自我評估（SA）、關鍵風險指標（）

以及損失數據收集（）（下稱“管理工具。

第二十六條風險與控制自我評估、關鍵風險指標以及損失

——10—

第23/184頁

數據收集管理工具，應在總行各部門、分行及下所有分支機構

實施。

第二十七條管理工具的實施方法由總行風險管理部負責

制定，并下發細的實施辦法和操作規程。操作風險管理需

求與技術的更或提，總行風險管理部可在原有的基礎上進行

實施方法強化，經總行風險管理員會同意并完成試后正式實

施。實施方法更新后，相關管理辦法和操作規程應同步更新。

第二十八條管理工具必建立在全行一致的操作風險分

類架構基礎上。具體實施時，包括執行、分析與報告階段，管理

工具之間必相照與支持。

第二十九條管理工具必在業務流程分析的基礎上執行。

流程分析是管理工具的基礎工作，主要目的在于識別主要業務流

程或'業務活動中固有的操作風險事件以及目前本行具備的相應捽

制措施。流程分析工作由總行部門定期發起，原則上以各部門業

務所理的主流程為標的。

第三十條風險與控制自我評估(sandontroSe

Assessment,簡稱“SA”)是商業銀行識別和評估潛在操作風

險以及自身業務活動的控制措施、適當程度及有效性的操咋風險

管理工具。

第三十一條本行自我評估工作以流程為實施對，通過定

期對業務范圍內潛在的操作風險以及目前具備的控制措施的識別

——11—

第24/184頁

與評估，了解業務范圍內所面對的操作風險事件的風險暴露分、

控制失效的原因，據此采取有效的應對措施，將操作風險暴露控

制在能夠忍受的范圍之內。

第三十一條關鍵風險指標（esndcator,簡稱

“”）是指一風險領域化情況并可定期監控的統計指

標。關鍵風險指標可用于監測可能造成損失事件的各項風險及控

制措施，并作為風險化情況的期預警指標。通過對?主要

風險類型的期預警，及時采取應對措施，避重大操作風險事

件的發生。

第三十三條本行通過對關鍵風險指標的監控，掌握本行所

關注的操作風險暴露，并在預警信息產生時，及時采取應對方案。

第三十四條損失數據收集（ossataoecton,簡稱

“”），是指依據銀監會的規定、交行的操作風險偏好與管理需

求所定義的收集范圍，針對操作風險事件的相關信息，進行數據

收集、內容分析、整改方案設計與執行、損失分配、內外部報告

等過程。

第三十五條損失數據收集應遵循重要性、及時性、統一性

和謹性的原則。對損失金較大和發生頻率較高的操作風險損

失事件進行重關注和確；制定收集數據的統一標準，確保統

計結果客、準確及可；及時確、完整和準確統計操作

風險損失事件所導致的直接務損失。

—12—

第25/184頁

第六章操作風險

第三十六條操作風險報告機制包括報告的責任、路徑、頻

率以及對各部門的具體要求。本行應建立完整的操作風險報告體

系，定期向董事會和高級管理層報告。

第三十七條總分行各部門應每度向本部門負責人和本

級風險管理部提交操作風險評估報告。報告內容包括：

（-）本部門操作風險整體評價，可從人員、流程、系統和

外部事件等合維度進行報告，包括但不限于：存在的主要潛在

操作風險因素、重大的項目規劃、操作風險管理環境的重大化

（環境、政策監管動等）對操作風險管理的影響與應重

關注的操作風險管理事項等。

（二）本部門操作風險管理的執行情況，包括但不限于：操

作風險與控制識別和評估的情況，針對操作風險暴露較高的風險

所采取的控制緩釋措施，關鍵風險指標的及時更新、持續改進

和情況，損失數據收集與處理情況等。具體內容《交通

銀行風險與控制自我評估管理行辦法》交銀辦（2010）92號）、

《交通銀行關鍵風險指標管理行辦法》交銀辦（2010）91號）、

《交通銀行損失數據收集管理行辦法》交銀辦（2010）90號）。

（三）本部門操作風險管理的成效、不足和改進方向，操

作風險管理措施的效果、操作風險管理中存在的問題和不足、內

外部審計和監管部門的有關意，以及下一階段的主要操作風險

管理措施等。

——13—

第26/184頁

第三十八條省直分行和海外分行應當將操作風險及其管

理狀況納入風險評估范圍，根據全行風險評估制度的統一要求，

對操作風險進行評估，并定期向本分行風險管理部提交包操作

風險管理狀況在內的風險評估報告，經本分行風險管理員會審

議后同時上報本分行高級管理層和總行風險管理部。省直分行的

風險評估報告應同時包對省行操作風險管理狀況的評估。

第三十九條總行風險管理部應定期對各單位的操作風險

評估報告進行總分析，在此基礎上對全行操作風險進行合評

估，并向總行風險管理員會提交操作風險評估報告。

第四十條子公司操作風險評估報告照總行各部門報告

內容、路徑和頻率執行。

第七章操作風險管理

第四十一條操作風險的緩釋方法包括業務連續性計劃的

制定、服務外包、保險購買等，在采取上述緩釋方法的同時，應

考慮其自身潛在的操作風險，并制定相應的管理辦法。

第四十二條全行各部門和各分行應當根據實際情況制定

與其業務規模和復雜性相適應的業務連續性計劃和災難恢復計

劃，并進行定期測試和演練。

第四十三條為有效緩釋和防范操作風險，各單位可將些

專業性較高的工作外包專業機構執行。服務外包必制定有效

的外包管理制度，服務外包的管理應至少包括以下內容：

——14—

第27/184頁

（-）充分識服務外包的風險性，并將其納入總體安全策

略和風險控制之中。

（二）原則上不能將重要或關鍵銀行業務外包外部機構。

（三）所有外包業務必履行審批手續、并經充分評估后

簽訂面合同或協議，明確方的權利責任。

（四）建立健全外包承包方評估機制，充分審查、評估承包

方的經營狀況、務實力、信、安全資質、技術服務能力

和實際風險控制與責任承擔水平，并進行必要的盡職調查。評估

工作可由監管部門定資質的，具有專業經的獨立機構完

成。

（五）建立完整的外包風險評估與監測程序，審管理外包

產生的風險，提高外包管理的能力，并建立針對外包風險的應

計劃。外包風險評估內容至少包括：確定外包服務的重要性及關

鍵因素；外包服務的成本及收益分析；外包機構的風險狀況分析;

評估重要業務的業務連續性計劃。

（六）將信息以及其他涉及國、商業和客戶

數據的管理與傳等內容進行外包時，應遵國有關法律

法規，符合銀監會的有關規定，經過董事會或其他決策機構批準,

并在實施外包前報銀監會及其出機構和法律法規規定需要報告

的機構備案。外包合終，應及時向外包承包商取所有客戶

資或將資0

（七）與外包承包方建立有效的、溝通和信息交流機制，

——15—

第28/184頁

并制定在意外情況下能夠實現承包方的利更，保證外包服務

不間斷的應預案。

()定期審計機構對特定的外包業務進行審計評價。

第四十四條各單位可按照本單位業務的實際情況選擇適

當的保險公司和險種，有效減少銀行操作風險所造成的損失。保

險緩釋管理至少應包以下內容：

(-)建立保險公司的評估機制，合保險公司的險種特、

能力、信、與本行的合作等，納入定期考核范圍。

應根據本單位實際情況選擇適當的保險公司和險種，所有保工

作必簽訂面合同或協議，明確方的權利義務。

(-)保單位至少應每年一次對保情況進行重檢、復核

及調整。

第八章新產品新業務風險管理

第四十五條在新產品/新業務開發以及流程改造、造過

程中，牽頭的業務部門應對其操作風險狀況進行適當的評估，風

險管理部負責對評估內容進行審查。

第四十六條新產品/新業務的負責人員應具備足夠的資

質，產品負責人員的人員配備、工作經和技術培訓應足以任

新產品/新業務的要求。

第四十七條新產品/新業務的流程設計應成、完備，相

——16—

第29/184頁

關的內部控制應能夠有效地防范操作風險并于在實際的業務環

境中落實。

第四十八條新產品/新業務的系統應安全可，系統中設

置的控制措施應能夠助規避新產品/新業務的操作風險，并且系

統本身應具備技術安全性。

第四十九條新產品/新業務的評估應包括外部環境對新產

品/新業務的影響，新產品/新業務上線前，應合分析環境、

政策及監管動等對新產品/新業務的操作風險管理可能造成的

影響。

第九章操作風險管理和

第五十條本行操作風險管理培訓分為業務培訓、操作風險

管理人員培訓和全員操作風險管理培訓二個層次執行C

(-)業務培訓。總行及分行業務條線單位負責對員工的持

續業務培訓，保證全體員工、掌握所從事工作的業務要求與

技能，有效降低因人員不合格所造成的操作風險暴露。

(二)操作風險管理人員培訓。各級風險管理部和培訓部門

負責每年制定操作風險管理人員培訓計劃，對操作風險管理人員

及各單位的專職操作風險管理人員進行充分的培訓，內容應

包括操作風險管理理、操作風險管理技術、本行的操作風險管

理政策及程序等。

-17-

第30/184頁

(三)全員操作風險管理培訓。總行及各級風險管理部門、

培訓部門負責每年制定操作風險管理培訓計劃和制定更新涪訓

,對全行員工進行相應的操作風險管理培訓。確保所有員工對

于操作風險的管理以及三大工具的運用有正確的識。

第五十一條本行建立并實施操作風險管理工作的績效考

核制度，通過公開、公平、公正的考核及獎懲機制，將操蚱風險

管理工作成果納入各單位的績效考核指標。

第五十二條本行對不履行或不正確履行操作風險管理職

責的各部門及各分行究相應責任。

第章操作風險資本計量

第五十三條本行現階段采用標準法(TheStandard

ApproachesA)計算操作風險監管資本要求。通過建立本行產品

和服務的統一定義，將本行的產品和服務到銀監會《商業銀

行操作風險監管資本計量指引》所規定的9個業務條線，并按照

銀監會的規定和要求計量操作風險監管資本。在積累足夠數據的

基礎上，未來的目標是逐步向操作風險資本高級計量法(Advanced

MeasurementApproach,AMA)過渡。

第五十四條操作風險標準法計算方法下：

(-)操作風險監管資本等于前三年操作風險監管資本的算

術平均數。前三年中每年的操作風險監管資本等于當年以下業務

——18—

第31/184頁

條線監管資本的總和：公司金、交和、銀行、商業

銀行、支和算、理服務、資產管理、經、其他業務

線。以上各業務條線的監管資本相加為負數的，當年的操作風

險監管資本用示。

（二）本行照銀監會下發的《關于印發第一批新資本協議

實施監管指引的通》（銀監發（200）號），并根據實際具體

情況，明確各產品的業務收入與9個業務條線的關系。

（三）業務條線的總收入等于業務條線的利息收入與

利息收入之和。

（四）每年各業務條線的監管資本等于當年業務條線的總

收入與業務條線對應系數的積。

第五十五條每度，總行預算務部應向風險管理部提

供全行的務數據，由風險管理部按照上述方法計算操作風險監

管資本，并報送預算務部。各子公司、海外分行按照行業和

屬地規定自行計算操作風險資本外，應照上述規定向總行斃供

標準法計算的相關數據。

第一章附則

第五十六條本辦法自印發之日起施行。《交通銀行操作風

險管理辦法》（交銀辦（2009）1號）同時。

第五十七條本辦法由總行風險管理部負責解釋和訂。

第五十八條總行各部門、各分行可按照本辦法的相關原則

——19—

第32/184頁

和，結合本單位實際情況，制定本單位的操作風險管理實施

細則，開操作風險的管理工作。

第五十九條各海外機構、子公司應結合當地及行業相關監

管規定，照本辦法制定管理細則，報總行備案。

主題詞：風險管理通知

交通銀行風險部2010年4月23日印發

—20—

第33/184頁

交通銀行公

交銀辦(2010)92號

關于印發《交通銀行風險

管理行》的通知

各省分行、直屬分行，各子公司，各海外機構，總行各部門：

為加強操作風險管理，現將《交通銀行風險與控制自我評估

管理行辦法》印發，請遵照執行。

特此通

交通銀行辦公室

二。一。年四月二十一日

第34/184頁

交通銀行風險管理行

第一章總則

第一條為全面貫和落實《交通銀行股份有限公司操作風

險管理政策》（交銀董（2010）13號）和《交通銀行操作風險管理

實施辦法》（交銀辦［2010）9號，下稱“辦法”）對風險與控制

自我評估的有關規定，特制定本辦法。

第二條本辦法是操作風險管理政策的，由總行風險管

理部根據操作風險管理政策和辦法的相關原則進行制定與更新，

并由總行風險管理員會批準。

第三條風險與控制自我評估（sandontroSe

Assessment,簡稱“自我評估”或“SA”）是一種操作風險管理

工具，用于識別和評估自身的潛在操作風險，以及自身業務活動

控制措施的適當性和有效性。

第二章總

第四條本行自我評估工作以流程作為實施對，本行所有

的業務流程、重要的管理及后臺流程均應納入自我評估的體系范

圍內。

第五條自我評估必包“操作風險暴露”的評估以及“控

制有效性”的評估。

（-）操作風險暴露評估，分為“固有風險暴露”評估和“剩

—2—

第35/184頁

余風險暴露”評估。固有風險暴露是指設不存在任控制措施，

未來一年內發生操作風險損失的可能性和金。剩余風險暴露是

指考慮相關控制措施的影響，操作風險事件發生的可能性和嚴

重程度在控制措施實施后有可能降低的情況下，未來一年內發生

操作風險損失的可能性和金。

操作風險暴露評估應當包括對事件的發生頻率和嚴重程度

的評估。

（二）控制有效性，包括對每項有的控制措施進行“控制

設計有效性"以及"控制落實度”的評估。控制設計有效性是指

項控制措施在設計層面上是否能夠有效降低操作風險事件的發

生頻率和嚴重程度。控制落實度是指項控制措施在執行層面是

否有效落實。

第六條操作風險暴露與控制有效性的評估，至少應達到以

下頻率要求。

（一）固有風險：每年至少評估一次；

（-）剩余風險：每年至少評估一次；

（三）控制設計：每年至少評估一次；

（四）控制落實度：針對每日執行三次以上的控制措施，至

少每月評估一次；針對執行頻率較低的控制措施，至少應每年

評估一次；最長間為每年評估一次。

總行各部門，可以依據管理的要求，在此基礎上加操作風

險暴露或控制有效性的評估次數。

—3—

第36/184頁

第七條新產品（新業務）的操作風險評估，將依據《交通

銀行新產品（新業務）操作風險自評估管理行辦法》（交艱辦

（2010）號）執行。

第八條有其他常規事件發生時，包括但不限于操作風

險政策調整、組織機構、流程更、重要人員更、重大操

作風險事件發生、同業發生新案等，應動對相關流程的

自我評估執行程序。

第三章職責分工

第九條自我評估體系包括組織協調單位、執行單位和核

審計單位。組織協調單位為總分行的風險管理部；執行單位包括

總分行各部門及所有支行和；核審計單位為審計部門。

第十條總行風險管理部的主要職責包括：

（一）擬定本行統一的自我評估管理辦法、評估標準和具體

的操作規程，提交高級管理層審批；

（二）牽頭制定全行自我評估工作的計劃日程，督導并確保

全行自我評估工作按計劃完成；

（三）牽頭制定全行統一的操作風險與控制，并

合總行各部門的意與建議定期進行維護；

（四）協助執行單位開自我評估工作，并在方法和操作

流程等方面予培訓和指導；

4—

笫37/184頁

（五）總和核準總行各條線管理部門提出的全行層級的風

險地；

（六）依據全行自我評估的化狀況，總分析全行自我評

估報告

（七）監控全行的行動計劃實施進度。

第十一條分行風險管理部的主要職責包括：

（-）在全行自我評估工作的計劃日程框架下制定本行自我

評估工作計劃，確保本行自我評估工作按計劃完成；

（二）總分行各部門對操作風險與控制的補充或

改意與建議，向總行風險管理部提出請；

（三）協助本行執行單位開自我評估工作，并在方法和

操作流程等方面予培訓和指導；

（四）總經分行各條線管理部門調整后的風險容忍度邊界

值；

（五）總分行各部門自我評估結果，并向總行風險管理部

提交分行自我評估分析報告。

（六）監控本分行的行動計劃實施進度；

第十二條總行各部門主要職責包括：

（-）定期發起本部門牽頭流程的流程分析工作；

（二）評估全行范圍內識別的每個操作風險事件的固有風

險暴露和剩余風險暴露；

—5—

第38/184頁

（三）評估每項控制措施的控制設計有效性與控制落實度；

（四）向總行風險管理部提出本業務條線風險與控制

的補充或改意與建議；

（五）總、整理并分析本條線各省直分行的自我評估結果，

形成報告后提交至總行風險管理部；

（六）制定本條線業務流程的全行層級操作風險容忍度邊界

值以及不同類型分行適用的操作風險容忍度邊界值；

（七）監控本條線的行動計劃實施進度。

第十三條分行各部門的主要職責包括

（-）按照本分行實際情況，進行本分行風險與控制的識別

工作；

（二）評估本行范圍內識別的每個操作風險事件的固有風

險暴露和剩余風險暴露，并將評估結果報告至總行各對應部門和

分行風險管理部；

（三）評估每項控制措施的控制設計有效性與控制落實度；

（四）向分行風險管理部提出本業務條線風險與控制

的補充或改意與建議；

（五）對本部門自我評估成果進行分析，并分析報告提

交至總行對應部門和分行風險管理部；

（六）依據總行下發的風險容忍度邊界值，并結合本條線的

具體情況調整或細化分行層級的操作風險容忍度邊界值；

-6-

第39/184頁

(七)監控本分行、本條線的行動計劃實施進度。

第十四條支行和的主要職責為：評估本單位范圍內

識別的各項控制措施的控制落實度并實施相應的行動計劃。

第十五條審計部門的主要職責為；定期檢查、證本行的

自我評估體系；檢查自我評估的執行情況。

第四章程

第十六條自我評估的執行程序包括風險與控制識別、評分

計劃定、風險地設定、操作風險暴露與控制有效性