渤海銀行操作風險管理系統(tǒng)（一期）建設項目 用戶需求說明書終稿1210評審

1、本資料僅供內部使用！操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書修改記錄制定日期生效日期制定 / 修訂 內容摘要頁數(shù)版本擬稿審查批準2008-11-13建立用戶需求說明書的文檔結構0.1彭澤飛2008-11-29完成各分部分內容初稿0.2魏永超、王勝、遲睿、劉田林、羅強2008-12-1合并文檔初稿0.3彭澤飛2008-12-4合并文檔修改稿0.7彭澤飛2008-12-9完成文檔終稿1.0彭澤飛 目錄 i 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書目 錄1文檔簡介文檔簡介 .11.1用戶需求說明書目的.11.2說明書范圍.11.3縮略語解釋

2、.21.4參考文件.22本系統(tǒng)概述本系統(tǒng)概述 .32.1系統(tǒng)建設背景.32.2系統(tǒng)目標.32.3系統(tǒng)使用者.42.4本期系統(tǒng)范圍.43本行操作風險管理業(yè)務描述本行操作風險管理業(yè)務描述 .53.1操作風險管理組織結構.53.2渤海銀行操作風險管理主要活動介紹.74渤海銀行操作風險管理系統(tǒng)整體描述渤海銀行操作風險管理系統(tǒng)整體描述 .104.1系統(tǒng)層次結構.104.1.1應用層.114.1.2引擎層.124.1.3應用數(shù)據(jù)層.124.1.4基礎數(shù)據(jù)層.134.1.5操作風險管理高端數(shù)據(jù)流.144.2渤海銀行操作風險（一期）的核心業(yè)務需求簡述.164.2.13k基礎數(shù)據(jù)庫.164.2.2風險及控制評估

3、.184.2.3風險上報.204.2.4風險處置行動計劃.214.2.5統(tǒng)計報表.214.2.6管理層聲明.225操作風險管理系統(tǒng)功能（一期）需求說明操作風險管理系統(tǒng)功能（一期）需求說明 .245.1系統(tǒng)基礎數(shù)據(jù)管理.245.1.1管理維度數(shù)據(jù)維護.245.1.2操作風險組織結構維護.305.23k 標準庫維護.325.2.1規(guī)章制度資料庫的維護.325.2.2kcs標準庫維護.415.2.3kcsa標準庫維護.515.2.4kri標準庫維護.615.3評估與檢查模塊.715.3.1一線自我評估.71 目錄 ii 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書5.3.2指定日評估.905.3.

4、3二線檢查.1095.3.4專項檢查.1235.3.5評估與檢查查詢.1385.4風險事件上報模塊.1415.4.1處理流程描述.1415.4.2風險事件基本頁面及數(shù)據(jù)項說明.1465.4.3風險事件任務列表.1545.4.4風險事件維護.1565.4.5風險事件審核.1625.4.6重啟已結束報告.1655.4.7突發(fā)風險事件上報.1665.4.8風險事件查詢.1695.5風險事件跟蹤與行動計劃管理.1735.5.1行動計劃制定.1745.5.2實施結果錄入.1775.5.3行動計劃延后.1795.5.4風險事件關閉.1805.6管理層聲明.1815.6.1管理層聲明問題設置.1815.6.

5、2發(fā)起管理層聲明.1845.6.3查詢管理層聲明.1855.7報表統(tǒng)計模塊.1875.7.1操作風險管理人員統(tǒng)計.1875.7.2操作風險管理工具統(tǒng)計.1885.7.3一線檢查總體情況.1905.7.4二線檢查總體情況.1915.7.5全行操作風險損失報告.1935.7.6十大操作風險.1955.7.7操作風險解決情況.1965.7.814類操作風險的狀態(tài).1976銀監(jiān)會指引相關要求銀監(jiān)會指引相關要求 .1986.1操作風險損失事件類型.1986.2商業(yè)銀行業(yè)務條線歸類.202附錄附錄 a 術語術語.204 1 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書1文檔簡介文檔簡介本章將簡要地說明用

6、戶需求說明書(以下簡稱本需求)的目的、范圍、名詞定義和參考文件。1.1 用戶需求說明書目的用戶需求說明書目的本需求的目的在于闡明渤海銀行操作風險管理系統(tǒng)(以下簡稱本系統(tǒng))的各項需求，并給出本系統(tǒng)的總體設計。本需求為編制如下文檔提供基本依據(jù)：“軟件概要設計規(guī)格”“軟件開發(fā)計劃”“軟件詳細設計規(guī)格”“軟件測試計劃”“軟件測試說明”“軟件操作手冊”“系統(tǒng)安裝手冊”“系統(tǒng)運行維護手冊”本需求與“軟件詳細設計規(guī)格”一起，為編程、元件測試、組件測試及軟件集成測試提供基本依據(jù)；本需求為編制其它有關文件提供基本依據(jù)本需求為軟件質量保證人員提供工作依據(jù)本需求將作為日后軟件確認測試和系統(tǒng)驗收之準則本需求與“軟件詳

7、細設計規(guī)格”一起，將作為日后系統(tǒng)維護工作基準文件1.2 說明書范圍說明書范圍本需求的內容涵蓋了本系統(tǒng)的業(yè)務描述的、系統(tǒng)整體描述、功能需求。本需求的閱讀、使用者包括：1.項目管理人員2.業(yè)務人員 2 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書3.軟件設計人員4.編程人員5.軟件測試人員6.軟件質量控制人員7.軟件維護人員1.3 縮略語縮略語解釋解釋1.rp：responsible person，一線檢查人員；2.borm：business operational risk manager，總行的操作風險經(jīng)理，負責條線；或分行的操作風險經(jīng)理，負責分行部門；3.uorm：unit operati

8、onal risk manager，單位操作風險經(jīng)理，比 rp 高一層級；4.cro：chief risk operator 首席風險官；5.kcs：key control standard，關鍵控制標準；6.kcsa：key control standard assess，關鍵控制標準檢查指標；7.kri：key risk indicator，關鍵風險指標；8.3k 標準：包括 kcs、kcsa、kri 檢查標準簡稱，又叫 3k 檢查指標。1.4 參考文件參考文件標題標題文件號文件號發(fā)布日期發(fā)布日期出版單位出版單位渤海銀行操作風險管理政策2008-4-11渤海銀行商業(yè)銀行操作風險管理指引20

9、07-5-14中國銀監(jiān)會商業(yè)銀行操作風險監(jiān)管資本計量指引2008-10-1中國銀監(jiān)會巴塞爾新資本協(xié)議2004 年巴塞爾銀行監(jiān)管委員會 3 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書2本系統(tǒng)概述本系統(tǒng)概述2.1 系統(tǒng)建設背景系統(tǒng)建設背景2004 年出臺的新巴塞爾資本協(xié)議 ，對銀行業(yè)提出了資本充足率、監(jiān)督檢查和市場約束三大要求，并且添加了操作風險和測算操作風險的方法。 新巴塞爾資本協(xié)議傳遞了一種先進銀行經(jīng)營管理的理念，該協(xié)議為全球銀行優(yōu)化銀行資本、提高風險抵御能力提出了新的指引，已逐步成為國際銀行業(yè)普遍認可的業(yè)內協(xié)議。推行或達到新巴塞爾資本協(xié)議的要求，對于國內銀行參與國際競爭，具有非常重要的意

10、義。如何提升操作風險的管理理念，如何健全操作風險的管理框架，以及如何利用信息化電子化的管理手段對操作風險進行量化和控制，是商業(yè)銀行必須解決的問題。渤海銀行自開業(yè)之初，就引進了國際銀行在操作風險管理上的先進理論和經(jīng)驗，并參考戰(zhàn)略投資者渣打銀行的操作風險管理模式，在本行組織架構中設置了操作風險管理的專門機構，在日常工作中逐步推廣國際化銀行操作風險管理的理念和方法，以實現(xiàn)風險計量與管控并重的管理目標。目前經(jīng)過 2 年多的有效工作，其管理理念、管理工具和管理經(jīng)驗等均在國內屬于領先地位。2.2 系統(tǒng)目標系統(tǒng)目標該系統(tǒng)是基于渤海銀行操作風險管理體系的框架，參考西方商業(yè)銀行操作風險管理系統(tǒng)的設計特點建立的，

11、總體目標在于實現(xiàn)有效的精細化的操作風險控制，實現(xiàn)銀行操作風險管理的信息化，規(guī)范化，使風險數(shù)據(jù)便于統(tǒng)計匯總和分析，并能監(jiān)督化解風險所采取的行動的結果。該系統(tǒng)能夠在參考巴塞爾協(xié)議有關操作風險規(guī)定的基礎上，使我行逐步建立相關的歷史風險數(shù)據(jù)庫，并建立操作風險損失計量的模型。為提高未來本系統(tǒng)的使用靈活性和便利性，本系統(tǒng)的建設時將以實現(xiàn)參數(shù)化管理、并保證系統(tǒng)的可擴展性為重要使用目標。在使用過程中，根據(jù)操作風險管理體系的不斷完善、風險控管水平和精細度的不斷提高，渤海銀行可以在系統(tǒng)基礎框架內，方便地通過調整參數(shù)設置來適應業(yè)務管理要求的變化。各級用戶在使用本系統(tǒng)時，能夠充分利用系統(tǒng)的這一特性，實現(xiàn)風險管理規(guī)范化

12、、錄入信息便利化，統(tǒng)計查詢多樣化，業(yè)務操作便利化。 4 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書2.3 系統(tǒng)使用者系統(tǒng)使用者該系統(tǒng)的使用者為總行高管、操作風險部成員、各機構主要負責人以及遍布全行各部門、機構的專職或兼職的操作風險管理人員。目前總用戶數(shù)量達到 200 人以上，已經(jīng)累計了 2 年半的風險報告，記錄風險近千條，未來將根據(jù)分支機構建設進度用戶將有所增加，規(guī)劃中使用操作風險管理系統(tǒng)的人員應達到員工總數(shù)的 80-90。系統(tǒng)使用者包括如下：1、 系統(tǒng)使用者包括操作風險管理體系內的各層級人員，包括 cro、操作風險管理部總經(jīng)理、borm、uorm、風險主任、rp 等。2、 系統(tǒng)使用者還包

13、括：高級管理層、總行各部門總經(jīng)理（以及下屬部門或業(yè)務團隊的負責人（高級經(jīng)理） ） 、分行行級領導、支行行長等各級機構的負責人。2.4 本期系統(tǒng)范圍本期系統(tǒng)范圍操作風險管理系統(tǒng)分成多期建設，一期主要建設內容包括：1、 建立操作風險管理系統(tǒng)的基礎框架建立起操作風險管理所需要的基礎系統(tǒng)框架，包括權限管理、安全控制、流程控制等基礎功能，還包括建立起全行的組織結構、操作風險管理的組織結構、業(yè)務線結構，以及其他基礎參數(shù)維護功能。同時一期的系統(tǒng)建設應該能滿足系統(tǒng)后續(xù)建設靈活擴展的需要，同時系統(tǒng)一期的功能能夠與后續(xù)實現(xiàn)的功能有效銜接。2、 實現(xiàn)操作風險報告管理功能a)操作風險報告報送的流程控制b)操作風險報告

14、的處理過程跟蹤3、 實現(xiàn) 3k 標準管理和自我評估功能a)3k 標準庫維護功能b)kcsa 和 kri 的一線自我評估管理功能c)二線評估管理功能d)專項報告管理功能4、 相關風險報告和 3k 評估內容的統(tǒng)計查詢功能a)針對風險事件報告和 3k 評估內容進行統(tǒng)計匯總和查詢 5 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書3本行操作風險管理業(yè)務描述本行操作風險管理業(yè)務描述3.1 操作風險管理組織結構操作風險管理組織結構渤海銀行建立了全行的操作風險管理的組織結構。具體的組織結構體系如下：結構圖說明：本結構圖包括了渤海銀行目前的組織結構（見實框部分）和未來的規(guī)劃的組織結構（見虛框部分） 。1、 董

15、事會渤海銀行董事會應將操作風險作為渤海銀行面對的一項主要風險，并對監(jiān)控操作風險管理的有效性承擔最終責任，主要職責是：a)制定與本行戰(zhàn)略目標相一致且適用于全行的操作風險管理戰(zhàn)略和總體政策；b)通過審批及檢查高級管理層有關操作風險的職責、權限及報告制度，確保全行的操作風險管理決策體系的有效性，并盡可能地確保將本行從事的各項業(yè)務面臨的操作風險控制在可以承受的范圍內；c)定期審閱高級管理層提交的操作風險報告，充分了解本行操作風險管理的總體情況、高級 6 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書管理層處理重大操作風險事件的有效性以及監(jiān)控和評價日常操作風險管理的有效性；d)確保高級管理層采取必要的措

16、施，有效地識別、評估、監(jiān)測和控制/緩釋操作風險；e)確保本行操作風險管理體系接受內審部門的有效審查與監(jiān)督；f)制定適當?shù)莫剳椭贫?，在全行范圍有效地推動操作風險管理體系的建設。2、 ceo（高級管理層）：負責執(zhí)行董事會批準的操作風險管理戰(zhàn)略、總體政策及體系；根據(jù)董事會制定的操作風險管理戰(zhàn)略及總體政策，負責制定、定期審查和監(jiān)督執(zhí)行操作風險管理的政策、程序和具體的操作規(guī)程，并定期向董事會提交操作風險總體情況的報告。高級管理層的具體職責見渤海銀行操作風險管理政策第八條。3、 法律合規(guī)與操作風險委員會：是高級管理層下設的專業(yè)風險管理委員會，主要負責管理本行法律合規(guī)及操作風險，確保本行經(jīng)營管理符合中國法律

17、、監(jiān)管要求和本行的規(guī)章制度。該委員會對高級管理層負責，代理行使高級管理層在操作風險管理方面的職責。法律合規(guī)與操作風險委員會的具體職責見渤海銀行操作風險管理政策第九條。4、 cro（首席風險官）：負責全行的風險管理，包括市場風險、信用風險、操作風險，負責向高級管理層和法律合規(guī)與風險委員會匯報工作。5、 操作風險工作委員會：是法律合規(guī)及操作風險委員會下設的專門委員會，根據(jù)法律合規(guī)及操作風險委員會授權管理本行的操作風險，并對法律合規(guī)及操作風險委員會負責和報告。操作風險工作委員會的具體職責見渤海銀行操作風險管理政策第十條。6、 分行操作風險委員會：是法律合規(guī)及操作風險委員會下設的專門委員會，根據(jù)法律合

18、規(guī)及操作風險委員會授權管理本分行的操作風險，并對法律合規(guī)及操作風險委員會負責和報告。7、 操作風險部總經(jīng)理：負責操作風險部的全面工作。操作風險部獨立于業(yè)務線設置，承擔獨立的操作風險管理職能，主要負責建立全行的風險管理標準，獨立審批和評估業(yè)務單元的風險管理框架、工具方法、流程和信息系統(tǒng)，對業(yè)務單元的風險承擔活動提供支持。8、 高級 borm：總行操作風險高級經(jīng)理，負責某一個或幾個業(yè)務條線的操作風險管理工作，或負責某幾個分行的操作風險管理工作。9、 borm（操作風險經(jīng)理）：根據(jù)負責的業(yè)務條線或分行的不同，分為總行業(yè)務條線 borm 和分行 borm。負責本業(yè)務條線或本分行操作風險的識別、風險事件

19、的上報、風險行動計劃的制定和實施；具體描述如下：a)總行部門 borm：負責總行業(yè)務條線各部門操作風險管理或者某一特定操作風險管理領域（如 bcp、fcr）的工作；指導所分管的總行部門 uorm 的工作；向操作風險部總經(jīng) 7 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書理（或高級 borm）匯報工作。b)分行 borm：負責分行及其下屬各部門和支行的操作風險管理。指導下屬分行 uorm 的工作；向操作風險部總經(jīng)理（或高級 borm）匯報工作。10、操作風險主任：協(xié)助總行或分行的 borm 進行操作風險管理工作。11、uorm：單位操作風險經(jīng)理i.總行部門 uorm：負責總行某一個部門的操作風

20、險管理；向總行 borm（或操作風險主任）上報操作風險報告和評估結果。ii.分行部門 uorm：負責分行某一個部門的操作風險管理；負責向分行 borm 或分行操作風險主任上報操作風險報告和評估結果。iii.支行 uorm：負責支行的操作風險管理；負責向所屬分行 borm 或操作風險主任上報操作風險報告和評估結果。12、rp：一線檢查員負責本單位風險的識別，風險事件的上報，按照 3k 標準對本機構的風險控制情況進行評估，并向所屬 uorm 上報評估結果。13、業(yè)務線檢查員操作風險組織結構中規(guī)劃的業(yè)務線檢查員是屬于具體的業(yè)務人員，負責收集和上報本機構在業(yè)務運行過程中的生產(chǎn)數(shù)據(jù)和過程數(shù)據(jù)。目前考慮對

21、每個機構的業(yè)務線檢查員分成三個角色：業(yè)務員、業(yè)務主管、業(yè)務經(jīng)理。3.2 渤海銀行操作風險管理主要活動介紹渤海銀行操作風險管理主要活動介紹1.建立操作風險管理標準和操作風險管理業(yè)務資料知識庫a)3k 檢查標準：檢查標準：渤海銀行建立起了 kcs、kcsa、kri 的操作風險控制標準，作為各級機構和部門操作風險控制的檢查標準，未來還會增加 cs 控制標準。總行會制定全行的 3k標準，各個分行和部門可以在總行的 3k 基礎上制定適用于本機構的 3k 標準，最后通過總行的統(tǒng)一確認后施行。b)業(yè)務資料知識庫：業(yè)務資料知識庫：是渤海銀行操作風險管理人員逐步積累、完善的知識庫，包括外部規(guī)章制度、內部規(guī)章制度

22、、業(yè)務流程要點記錄、業(yè)務系統(tǒng)控管措施記錄等內容，是建立、維護3k 標準，進行專項檢查等工作的基礎，同時為全行內控管理措施的制定、業(yè)務流程關鍵環(huán)節(jié)的確認等提供幫助。 8 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書2.操作風險識別和評估a)零線檢查：零線檢查：零線檢查是由業(yè)務人員收集關鍵業(yè)務數(shù)據(jù)，通過對這些關鍵業(yè)務數(shù)據(jù)的計算分析，來發(fā)現(xiàn)業(yè)務活動中可能存在的操作風險。當然這些關鍵業(yè)務數(shù)據(jù)需要進行業(yè)務部門主管或其他審核人員確認。b)一線自我評估：一線自我評估：一線檢查是操作風險管理和控制的一項重要工具，是一項按照不同檢查周期定期進行操作風險檢查的業(yè)務活動。具體過程是：利用 3k 檢查標準，rp 對

23、各個部門的操作風險控制現(xiàn)狀進行檢查，檢查完的結果發(fā)送到單位操作風險經(jīng)理進行審核。通過定期的一線檢查，來發(fā)現(xiàn)業(yè)務管理控制環(huán)節(jié)可能存在的操作風險。c)一線指定日評估：一線指定日評估：一線指定日評估又叫一線抽查。全行維護一份統(tǒng)一的指定日評估單，檢查單的內容是來自于 kcsa 指標。總行可以指定某一個單位執(zhí)行指定日評估，則相應的rp 在結束指定日評估內容后，將檢查結果錄入到系統(tǒng)中。一線指定日評估的結果歸集到該機構的一線檢查內容中。d)二線檢查：二線檢查：二線檢查是針對某種現(xiàn)象或特定的目的而發(fā)起的，不定期的檢查活動。二線檢查的檢查內容可以是來自于 3k 標準，也可以是來自于非 3k 標準。通常情況下，二

24、線檢查是由 borm 發(fā)起，由多人參與具體檢查過程。專項檢查是一種針對特定目而發(fā)起的檢查活動，比如金融犯罪調查、開業(yè)檢查等活動，也可以認為是二線檢查的一種。e)三線檢查：三線檢查：三線檢查是由一線、二線以外的調查人員開展的審計和檢查活動，例如：內部審計、外部審計、監(jiān)管機構檢查等。3.操作風險報告：基于定期或實時方式，通過對各類風險事件的統(tǒng)計、分析，及時產(chǎn)生各種形式的操作風險管理報告/報表，向管理層通報操作風險管理的狀況。a)3k 檢查結果報告檢查結果報告：一線操作風險人員對本機構、條線等周期性檢查的結果報告。b)kri 監(jiān)控：監(jiān)控：通過 kri 監(jiān)控指標的計算標準，對指定的關鍵業(yè)務數(shù)據(jù)進行記錄

25、，并按照一定的規(guī)則進行統(tǒng)計、分析，將結果與閥值進行比較，從而發(fā)現(xiàn)、預警各類操作風險，并記錄風險變化的規(guī)律和趨勢。c)風險上報：風險上報：通過風險上報流程對一線檢查、二線檢查、三線檢查、專項檢查等方式發(fā)現(xiàn)的風險隱患、潛在風險事件，或已經(jīng)發(fā)生的風險損失事件進行逐級上報。操作風險管理體系內部人員（未來應可以包括行內任何人）發(fā)現(xiàn)需要上報的風險事件后，都可以進行上報，由上級進行審核確認，同時發(fā)送給相應的業(yè)務線主管。d)突發(fā)風險事件上報突發(fā)風險事件上報：當任何人（系統(tǒng)使用者）發(fā)現(xiàn)突發(fā)風險事件或者其他需要緊急報告的 9 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書操作風險后，可以將該事件直接報告給一人或多

26、人。收到突發(fā)風險事件上報的人，可以查看相應的報告內容。e)管理層聲明：管理層聲明：各級部門的主管（總行部門總經(jīng)理、分行行長、分行部門經(jīng)理、支行行長）等管理者，作為一線業(yè)務的負責人，應當對本機構的操作風險管理承擔主要責任，為此，需要定期了解了本部門的整體操作風險現(xiàn)狀，并通過簽署“管理層聲明”的形式體現(xiàn)。f)風險評級：風險評級：通過對各個部門操作風險檢查結果，包括一線檢查、二線檢查，風險事件上報情況、行動計劃執(zhí)行情況、操作風險損失情況等進行數(shù)據(jù)統(tǒng)計分析，根據(jù)某種計算模型對各個部門的操作風險現(xiàn)狀進行風險評級。模型的指標和權重可以根據(jù)機構不同進行調整。4.操作風險化解與控制操作風險化解與控制a)行動計

27、劃管理：行動計劃管理：對于潛在的操作風險隱患，或已經(jīng)發(fā)生的操作風險損失，需要制定相應行動計劃來使得風險消除，或者使之處于受控狀態(tài)。操作風險部要對行動計劃的實施過程進行跟蹤，以確保計劃能夠被有效執(zhí)行，同時保證行動計劃的執(zhí)行效果。b)風險處理情況跟蹤：風險處理情況跟蹤：對于在 3k 標準維護、風險評估與檢查、各類事件上報與審批、行動計劃處理等各個管理環(huán)節(jié)，風險管理人員通過對相關系統(tǒng)日志信息的查詢和統(tǒng)計，跟蹤在風險管理各個階段各級相關人員的處理動作、風險狀態(tài)等，實現(xiàn)對操作風險生命周期的全過程的跟蹤。5.操作風險損失管理：操作風險損失管理：a)計量模型。計量模型。通過標準法、替代標準法、高級法對本行的

28、操作風險進行計量，從而得出操作風險經(jīng)濟資本需求。由于采用高級法是一個長期的趨勢和目標，因此還需要建立起本行的內部操作風險損失數(shù)據(jù)庫和外部操作風險損失數(shù)據(jù)庫。b)情景分析和壓力測試：情景分析和壓力測試：通過建立操作風險的情景數(shù)據(jù)和壓力測試環(huán)境，利用情景分析模型分析本行在各種情況下的操作風險損失，從而針對各種潛在損失情況提前采取行動計劃。c)風險損失數(shù)據(jù)整理：風險損失數(shù)據(jù)整理：根據(jù)積累的內外部風險事件，按照模型計算的要求建立風險損失庫，并對其中的數(shù)據(jù)可以進行整理。風險損失的數(shù)據(jù)來源可以是風險事件、fcr 報告、檢查結果、人工錄入并經(jīng)過審批的風險損失等等。d)風險損失審批流程：風險損失審批流程：根據(jù)

29、風險事件報告的情況，建立風險損失的管理流程，包括損失上報、審核、確認等，并能夠與財務系統(tǒng)、核心系統(tǒng)等業(yè)務系統(tǒng)的有關業(yè)務數(shù)據(jù)相關聯(lián)。6.其他工作其他工作a)業(yè)務應急預案：業(yè)務應急預案：各個部門需要根據(jù)本部門可能存在的操作風險損失事件，根據(jù)估計的嚴重 10 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書程度，建立起相應的業(yè)務應急預案庫，并且需要對應急預案進行演練。操作風險部需要對業(yè)務應急預案庫和預案的演練情況進行管理。b)預防金融犯罪管理（預防金融犯罪管理（fcr）：）：對本行發(fā)生的各種涉嫌金融犯罪及違規(guī)信息進行管理，包括預防金融犯罪管理的數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)發(fā)布、處理過程、處理結果、檔案管理

30、。c)4渤海銀行操作風險管理系統(tǒng)整體描述渤海銀行操作風險管理系統(tǒng)整體描述4.1 系統(tǒng)層次結構系統(tǒng)層次結構架構圖說明：本架構圖包括渤海銀行操作風險管理系統(tǒng)的整體規(guī)劃，包括一期實現(xiàn)的功能（分界線左邊深色區(qū)域）和一期以后可能實現(xiàn)的功能（分界線右邊灰色區(qū)域） 。系統(tǒng)的應用層次分成四層：1.最底層是基礎數(shù)據(jù)層，作為操作風險管理的基礎維度數(shù)據(jù)；2.在基礎數(shù)據(jù)層之上是應用數(shù)據(jù)層，包括各種與應用相關的數(shù)據(jù)；3.引擎層，是為在應用數(shù)據(jù)層之上，為應用提供各種計算服務、流轉控制功能；4.應用層，為用戶提供的各種應用功能模塊。 11 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書4.1.1應用層應用層在“渤海銀行操作

31、風險管理系統(tǒng)應用架構”中，其應用層描述的內容是面向最終用戶使用的應用功能，涵蓋了目前正在開展的操作風險管理業(yè)務，也包括了規(guī)劃中的操作風險管理業(yè)務。在一期的功能中，重點實現(xiàn)了 3k 的管理、一線檢查、二線檢查、風險上報、行動計劃和報表功能，簡介如下：1.3k 檢查標準維護：檢查標準維護：在一期的功能中會實現(xiàn)對 kcs、kcsa、kri 的操作風險控制標準進行維護，和規(guī)章制度資料數(shù)據(jù)庫的維護。未來會增加 cs 控制標準維護功能。2.一線檢查：一線檢查：一線檢查是操作風險管理和控制的一項重要工具，具體過程是：利用 3k 檢查標準，rp 對各個部門的操作風險控制現(xiàn)狀進行檢查，檢查完的結果發(fā)送到 uor

32、m 進行審核。3.二線檢查：二線檢查：borm 發(fā)起二線檢查任務，制定檢查項（可以來自與 3k 標準和非 3k 標準） ，指定相應的檢查人，各個檢查人完成檢查后，將結果錄入到系統(tǒng)中。系統(tǒng)對檢查結果、檢查的過程文件、相關附件進行管理。4.風險事件上報：風險事件上報：操作風險管理體系中的任何人通過風險上報模塊進行上報，由上級進行審核確認，同時還要發(fā)送給相應的業(yè)務線主管。5.管理層聲明：管理層聲明：各級部門的主管（總行部門總經(jīng)理、分行行長、分行部門經(jīng)理、支行行長）每個月了解了本部門的操作風險現(xiàn)狀以后，通過簽署“管理層聲明”來確認本部門的操作風險狀況。6.風險處置行動方案管理：風險處置行動方案管理：對

33、于潛在的操作風險隱患，或已經(jīng)發(fā)生的操作風險損失，需要確定風險管理策略，制定相應行動計劃來使得風險消除，或者處于受控狀態(tài)。系統(tǒng)提供對行動計劃實施過程的跟蹤，可以記錄行動計劃的執(zhí)行過程信息和最終的效果信息。7.統(tǒng)計匯總和查詢：統(tǒng)計匯總和查詢：系統(tǒng)提供各種詳細數(shù)據(jù)的查詢和統(tǒng)計匯總功能。以下模塊是一期以后實現(xiàn)的應用：1.零線檢查：零線檢查：零線檢查是由業(yè)務人員收集關鍵業(yè)務數(shù)據(jù)，可以通過對這些關鍵業(yè)務數(shù)據(jù)的計算分析，來發(fā)現(xiàn)業(yè)務活動中可能存在的操作風險。當然這些關鍵業(yè)務數(shù)據(jù)需要進行業(yè)務部門主管或其他審核人員確認。2.三線檢查：三線檢查：三線檢查是由外部調查人員開展的外部審計活動。3.kri 監(jiān)控與預警：監(jiān)

34、控與預警：通過 kri 監(jiān)控指標的計算標準，可以對業(yè)務數(shù)據(jù)進行計算分析，將計算結果與 kri 的閥值進行比較，從而發(fā)現(xiàn)潛在的操作風險。4.風險評級：風險評級：通過對各個部門操作風險檢查結果，包括一線檢查、二線檢查，風險事件上報情況， 12 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書行動計劃執(zhí)行情況進行數(shù)據(jù)統(tǒng)計分析，根據(jù)某種計算模型對各個部門的操作風險現(xiàn)狀進行風險評級。模型的指標和權重可以根據(jù)機構不同進行調整。5.業(yè)務應急預案：業(yè)務應急預案：各個部門需要根據(jù)本部門可能存在的突發(fā)事件，根據(jù)估計的嚴重程度，建立起相應的業(yè)務應急預案庫，并且需要對應急預案進行演練。操作風險部需要對業(yè)務應急預案庫和預

35、案的演練情況進行管理。6.預防金融犯罪管理（預防金融犯罪管理（fcr）：）：對本行發(fā)生的各種金融犯罪信息進行管理，包括預防金融犯罪管理的數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)發(fā)布、處理過程、處理結果、檔案管理。7.操作風險計量：操作風險計量：通過標準法、替代標準法、高級法對本行的操作風險進行計量，從而得出操作風險經(jīng)濟資本需求。由于采用高級法是一個長期的趨勢和目標，因此還需要建立起本行的內部操作風險損失數(shù)據(jù)庫和外部操作風險損失數(shù)據(jù)庫。8.情景分析：情景分析：建立操作風險的情景數(shù)據(jù)和極端的壓力測試模型，利用情景分析模型，來分析本行在各種情況下的操作風險損失。4.1.2引擎層引擎層引擎層是給系統(tǒng)運行、數(shù)據(jù)復雜計算

36、、數(shù)據(jù)分析等功能提供底層運算支持。引擎層包括：數(shù)據(jù)分析引擎，流程引擎，情景分析引擎，資本計量引擎。根據(jù)系統(tǒng)實現(xiàn)功能的需要，引擎層的建設也將分成多期實現(xiàn)。具體描述如下：數(shù)據(jù)分析引擎：數(shù)據(jù)分析引擎：為數(shù)據(jù)的統(tǒng)計匯總提供計算支持，包括匯總統(tǒng)計和靈活查詢、分析、報告、儀表盤顯示等；流程引擎：流程引擎：為操作風險管理過程中的流程控制提供支持，包括進行組織建模、應用接口、任務分配和任務推送，從而實現(xiàn)流程的驅動和控制；情景分析引擎：情景分析引擎：為操作風險的壓力測試和情景模擬的建模和模擬分析提供計算支持，功能包括情景建模和情景分析；該引擎將在一期以后進行實現(xiàn)；資本計量引擎：資本計量引擎：為操作風險的經(jīng)濟資本

37、計算提供支持，該引擎當中，應該能夠對操作風險計算常用計算方法提供支持，包括巴塞爾協(xié)議建議的基礎法、標準法、高級計量法的損失分步法和極值理論。4.1.3應用數(shù)據(jù)層應用數(shù)據(jù)層系統(tǒng)將針對各種應用需求，建立起相對應的應用數(shù)據(jù)庫結構，來存儲操作風險管理的各種業(yè) 13 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書務數(shù)據(jù)。具體內容如下：1.3k 基礎數(shù)據(jù)庫：用于存儲 kcs、kcsa、kri 的操作風險控制標準庫和規(guī)章制度資料數(shù)據(jù)庫；2.一線評估數(shù)據(jù)：用于存儲一線 rp 檢查人員根據(jù) kcsa、kri 的檢查評估結果數(shù)據(jù)和指定日評估數(shù)據(jù)；3.二線評估數(shù)據(jù)：用于存儲二線評估的數(shù)據(jù)和專項評估的數(shù)據(jù)；4.風險上

38、報數(shù)據(jù)：用于存儲各級機構上報上來的風險數(shù)據(jù)；5.風險跟蹤數(shù)據(jù)：用于存儲風險處理過程中的過程跟蹤數(shù)據(jù)；6.統(tǒng)計匯總數(shù)據(jù)：用于存儲各種統(tǒng)計匯總數(shù)據(jù)。根據(jù)操作風險管理業(yè)務發(fā)展和系統(tǒng)建設需要，未來在應用數(shù)據(jù)層還會增加如下的數(shù)據(jù)庫：1.零線檢查數(shù)據(jù)：用于存儲零線檢查錄入的數(shù)據(jù)；2.kri 業(yè)務監(jiān)控數(shù)據(jù)：用于存儲 kri 對業(yè)務數(shù)據(jù)的分析結果數(shù)據(jù)；3.三線檢查數(shù)據(jù)：用于存儲三線檢查的數(shù)據(jù)；4.應急預案庫：用于存儲各個業(yè)務條線、分支機構制定的針對各種突發(fā)事件的處理應急預案信息，以及應急預案的演練信息；5.金融犯罪及違規(guī)庫：用于存儲本行的各種金融犯罪信息、黑名單等信息。6.情景庫：用于存儲操作風險情景模擬和壓

39、力測試場景的數(shù)據(jù)庫；7.內部損失數(shù)據(jù)庫：用于存儲本行發(fā)生的操作風險損失事件數(shù)據(jù)信息；8.外部損失數(shù)據(jù)庫：用于存儲其它銀行發(fā)生的操作風險損失事件信息；9.資本計量數(shù)據(jù)：用于存儲本行操作風險經(jīng)濟資本計量所需要的基礎數(shù)據(jù)、計算過程數(shù)據(jù)和計算結果數(shù)據(jù)。4.1.4基礎數(shù)據(jù)層基礎數(shù)據(jù)層基礎數(shù)據(jù)層是構成操作風險運行的核心基礎結構數(shù)據(jù)，能夠支持本系統(tǒng)在一期的應用和未來的應用需求?；A數(shù)據(jù)層包括的內容如下：a)全行組織結構：全行組織結構：用于描述全行業(yè)務單元的組織結構，采用樹形結構表示。b)操作風險組織結構：操作風險組織結構：用于描述本行操作風險管理的組織結構，采用樹形結構表示。c)業(yè)務線數(shù)據(jù)：業(yè)務線數(shù)據(jù)：用于

40、描述本行業(yè)務線劃分的層級結構，用于樹形結構表示。d)業(yè)務流程數(shù)據(jù)：業(yè)務流程數(shù)據(jù)：用于描述本行的業(yè)務活動中，各業(yè)務的流程信息，采用樹形結構表示。 14 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書e)產(chǎn)品線數(shù)據(jù)：產(chǎn)品線數(shù)據(jù)：用于描述本行的各條產(chǎn)品線的劃分信息，采用樹形結構表示。f)it 系統(tǒng)：系統(tǒng)：包括應用軟件、網(wǎng)絡、硬件等信息資產(chǎn)。以上描述的基礎數(shù)據(jù)結構將在一期建設中實現(xiàn)，這些結構將應用于各個功能模塊中，建立起各個功能模塊與全行管理維度的屬性關系。以下的業(yè)務運行基礎數(shù)據(jù)業(yè)務運行基礎數(shù)據(jù)將主要用于二期的 kri風險監(jiān)控，具體描述如下：g)業(yè)務運行基礎數(shù)據(jù)：業(yè)務運行基礎數(shù)據(jù)：在基礎數(shù)據(jù)層中，還包

41、括業(yè)務運行基礎數(shù)據(jù)，它的用途和來源描述如下：i.用途：可以利用 kri 的監(jiān)控指標，通過 kri 計算公式對業(yè)務系統(tǒng)的運行數(shù)據(jù)進行分析，來發(fā)現(xiàn)業(yè)務運行中的操作風險；ii.來源：從業(yè)務基礎數(shù)據(jù)的來源方式上，分成兩種：一種是通過接口從其它業(yè)務系統(tǒng)中自動獲得數(shù)據(jù)；一種是由業(yè)務人員錄入到系統(tǒng)中。4.1.5操作風險管理高端數(shù)據(jù)流操作風險管理高端數(shù)據(jù)流上圖為操作風險管理的高端數(shù)據(jù)流，描述了主要的操作風險管理數(shù)據(jù)的產(chǎn)生和流轉過程。圖中深色區(qū)域是在一期建設中將實現(xiàn)的數(shù)據(jù)流，淺色區(qū)域是在一期以后逐步實現(xiàn)的內容。下面對幾個主要的數(shù)據(jù)流進行說明：1.3k 檢查數(shù)據(jù)流 15 操作風險管理系統(tǒng)（一期）建設項目用戶需求說

42、明書a)通過 cs 維護、kcs 維護、kcsa 維護、kri 維護，建立起控制標準庫；b)控制標準庫中的每一條標準，與管理制度庫進行關聯(lián)，表示每一條控制標準的來源或控制依據(jù)；2.風險控制評估數(shù)據(jù)流a)一線評估：利用 3k 控制標準進行一線評估，評估的結果存儲到 kcsa 評估數(shù)據(jù)庫；b)二線檢查：利用 3k 標準或非 3k 標準進行二線評估，存儲到二線評估數(shù)據(jù)庫；c)專項檢查：專項檢查的結果，存儲到專項檢查數(shù)據(jù)庫；3.kri 監(jiān)控數(shù)據(jù)流a)通過零線檢查或其它業(yè)務系統(tǒng)的接口，建立業(yè)務基礎數(shù)據(jù)庫；b)利用 kri 指標，對業(yè)務基礎數(shù)據(jù)進行監(jiān)控，將分析結果存入到 kri 監(jiān)控數(shù)據(jù)庫。4.風險事件上

43、報a)風險事件（包括潛在風險）的來源是：一線檢查、二線檢查、專項檢查、kri 檢查的檢查結果中發(fā)現(xiàn)的風險，或其它途徑發(fā)現(xiàn)的風險；b)風險上報以后，形成風險事件數(shù)據(jù)庫和行動計劃數(shù)據(jù)；c)通過行動計劃的執(zhí)行，會形成本行的操作風險緩釋數(shù)據(jù)。5.經(jīng)濟資本計量數(shù)據(jù)流a)從風險事件數(shù)據(jù)庫中的損失事件中，進行分析后形成內部風險損失數(shù)據(jù)；b)通過獲取外部損失事件建立外部風險損失數(shù)據(jù)；c)在內部損失數(shù)據(jù)、外部損失數(shù)據(jù)、3k 檢查結果、kri 監(jiān)控數(shù)據(jù)基礎上構造情景數(shù)據(jù)；d)通過內部損失數(shù)據(jù)、外部損失數(shù)據(jù)、情景數(shù)據(jù)庫，形成損失分布曲線，利用操作風險的高級計量法（例如：損失分布法和極值理論法） ，進行操作風險經(jīng)濟資

44、本的計算。 16 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書4.2 渤海銀行操作風險（一期）的核心業(yè)務需求簡述渤海銀行操作風險（一期）的核心業(yè)務需求簡述4.2.13k 基礎數(shù)據(jù)庫基礎數(shù)據(jù)庫渤海銀行 3k 基礎數(shù)據(jù)庫是全行操作風險識別和控制的基礎指標。3k 標準包括：kcs、kcsa、kri。kcs（關鍵控制標準）是一個定性標準，由管理層用來強調需要遵守的最低控制（與風險狀況相適應）標準，確保在相關的業(yè)務/職能部門內有效地控制主要風險。關鍵控制標準包括：基本控制標準（gkcs）和專有控制標準（bkcs）兩類。目前有數(shù)百條，未來會有大量增加。kcsa（關鍵控制自我評估指標）是在 kcs 的定性

45、標準上建立的一系列細化指標。按照提問回答的形式，評估 kcs 是否被遵守和執(zhí)行。一般是按照約定的頻率和比例抽取業(yè)務、交易文件，作為檢查樣本。根據(jù) kcsa 的回答判定風險控制的有效性。kcsa 條目的數(shù)量以千條計，未來會有大量增長。kri 是從定量的角度衡量操作風險，指出業(yè)務、職能或流程的特定領域中的風險水平。操作風險管理人員在使用 kri 量化風險水平的同時，還可以對 kri 指標進行注釋性說明。該指標目前有百余條，均由手工錄入，未來將會實現(xiàn)手工錄入和自動獲取兩種風險數(shù)據(jù)獲取方式，并按照參數(shù)化設置的閥值進行自動預警。根據(jù) 3k 標準適用范圍的不同，分為 g3k（基本控制標準）和 b3k（專有

46、控制標準） 。g3k 17 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書標準是適用于全行的操作風險控制指標，b3k 是適用于某一個部門或分支機構的操作風險控制指標。1、 g3k：g3k 標準是適用于全行的操作風險控制指標體系，由 gkcs、gkcsa、gkri 構成。a)gkcs：是操作風險主政策，屬于指導性的政策，它的適用面廣，沒有指定特定的部門和業(yè)務線。gkcs 由總行操作風險部進行統(tǒng)一管理和維護。b)gkcsa：各個業(yè)務部門或分行根據(jù)總行的 gkcs，將每一條落實為本部門具體的檢查指標，稱為 gkcsa。gkcsa 的制定完后，需要各機構與總行操作風險部進行審核確認，確認完后由總行操作

47、風險部統(tǒng)一維護到系統(tǒng)中。c)gkri：各個業(yè)務部門或分行根據(jù)總行的 gkcs，制定本機構的 gkri。gkri 的制定完后，需要各機構與總行操作風險部進行審核確認，確認完后由總行操作風險部統(tǒng)一維護到系統(tǒng)中。2、 b3k：b3k 標準是適用于某一個業(yè)務線、部門或分行的操作風險控制指標體系，由bkcs、bkcsa、bkri 構成。a)bkcs：是適用于某一個業(yè)務線、部門或分行的關鍵控制指標。由各業(yè)務條線、分行在總行操作風險部的指導下自行制定，制定完后由總行操作風險部審核后生效。b)bkcsa：是適用于某一個業(yè)務線、部門或分行的關鍵控制檢查標準。由各業(yè)務條線在總行操作風險部的指導下自行制定，制定完后

48、由總行操作風險部審核確認后生效。c)bkri：是適用于某一個業(yè)務線、部門或分行的定量控制標準。由各業(yè)務條線在總行操作風險部的指導下自行制定，制定完后由總行操作風險部審核確認后生效。3、 規(guī)章制度庫：用于存儲本行的各種管理規(guī)章制度。作為一個簡單的文檔管理模塊，對規(guī)章制度采用附件的方式進行上傳管理，同時添加對該規(guī)章制度的說明屬性。在一期的實現(xiàn)中，本模塊不提供對規(guī)章制度的全文檢索等功能。4、 cs 基礎庫：控制標準庫，cs 基礎庫的管理在二期提供，在本文不做詳細描述。5、 3k 標準的產(chǎn)生過程a)g3k 的產(chǎn)生過程：總行操作風險部維護 gkcs。各機構在制定本機構 gkcsa 和gkri 的時候，原

49、則上需要完全根據(jù)總行操作風險部的 gkcs，細化為本機構的gkcsa，同時還可以根據(jù)本機構的具體情況，制定適用于本機構的 kcsa 檢查項。kcsa 制定完成后，由總行操作風險部 borm 審核以后生效。 18 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書b)b3k 的產(chǎn)生過程：各業(yè)務條線在總行操作風險部的指導下，制定本業(yè)務條線的bkcs、bkcsa、bkri，分支行條線的 b3k 也是總行操作風險部來制定完成。制定完成后，上報給各條線 borm，各條線 borm 審核以后生效。6、 系統(tǒng)對 3k 標準庫維護的支持需求3k 標準形成過程的交流、討論、確認工作在系統(tǒng)外進行，最后形成總行操作風險

50、部確認的 excel 標準文檔，系統(tǒng)提供批量導入；a)錄入總行錄入總行 3k 標準標準：系統(tǒng)提供對總行 kcs、kcsa、kri 標準的單條錄入和批量導入功能，每一條 3k 標準都有自己的“適用范圍”：適用范圍根據(jù)全行業(yè)務組織架構的層級進行設定，基本層級包括全行、總行、分行、支行，未來可以根據(jù)操作風險管理境況將其細化到業(yè)務組或者崗位一級。 ；b)錄入分行和業(yè)務條線錄入分行和業(yè)務條線 3k 標準標準：系統(tǒng)提供對分行或業(yè)務條線 kcs、kcsa、kri 標準的單條錄入和批量導入功能；c)跟蹤跟蹤：系統(tǒng)提供對 3k 標準修改過程的歷史記錄跟蹤；d)修改修改：對于 3k 的修改，系統(tǒng)提供根據(jù)查詢條件批

51、量導出到 excel，在 excel 中修改以后，系統(tǒng)提供將修改后的內容批量導入；e)生效控制生效控制：某個 3k 標準，修改以后可以設定暫時不生效，在評估過程中仍然使用舊的 3k 標準。當需要對指標生效的時候，系統(tǒng)提供“生效”設定功能。f)檢查指標分配檢查指標分配：uorm 在系統(tǒng)中，可以將本機構范圍內的 kcsa、kri 檢查項給具體的某一個 rp。根據(jù)檢查頻率，系統(tǒng)就能夠自動為 rp 生成其應該進行的檢查內容。4.2.2風險及控制評估風險及控制評估風險及控制評估是根據(jù) 3k 標準庫的檢查標準，對某個機構的風險控制情況進行檢查，然后將檢查內容進行逐級上報的過程。評估有五種形式：零線檢查、一

52、線檢查、二線檢查、專項檢查、三線檢查。1、 零線檢查a)簡要說明：零線檢查作為業(yè)務控管與警示的功能，其核心是收集業(yè)務運行數(shù)據(jù)，然后利用 kri 定量指標，對業(yè)務數(shù)據(jù)按照 kri 的計算規(guī)則進行分析，將 kri 的計算結果與設定的閥值進行比較，從而自動判斷風險程度大小。b）零線檢查在一期不實現(xiàn)，在本文中不進行詳細描述。 19 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書2、 一線檢查a)簡要說明：一線檢查采用 3k 標準進行自我評估，是操作風險管理的核心內容。一線檢查是使用頻率最高的一個部分，是本系統(tǒng)的核心內容。一線評估按照提問回答的形式，評估各項控制要求是否被遵守和執(zhí)行。檢查方式為指定人員按

53、照預先設定的檢查工作要求的時限、內容等進行檢查，并將結果記錄在系統(tǒng)中，系統(tǒng)自動匯總檢查記錄，追蹤檢查進度。b)過程說明：i.系統(tǒng)自動生成評估表單：系統(tǒng)自動生成評估表單：rp 選擇此子模塊后，系統(tǒng)自動根據(jù)該用戶所在的機構、角色、當前日期等信息（根據(jù)在 kcsa 標準庫中的設定）從系統(tǒng)中自動抽取應由其完成的檢查條目，各條目均按照設定的格式顯示給 rp，其中，系統(tǒng)已經(jīng)有的信息由系統(tǒng)直接調用并顯示；ii.rp 錄入評估結果：錄入評估結果：其他需要用戶填寫的部分設定了固定的格式和填報內容選項，用戶按照頁面顯示的要求負責執(zhí)行檢查動作，填寫檢查結果；iii.復核：復核：完成后提交給下一環(huán)節(jié)的用戶進行復核。3

54、、 一線指定日評估a)簡要說明：一線指定日評估又叫一線抽查。全行制定一份統(tǒng)一的指定日評估單，檢查單的內容是來自于 kcsa。總行操作風險部可以指定某一個單位執(zhí)行指定日評估，則相應的rp 在結束指定日評估內容后，提交檢查結果。一線指定日評估的結果歸集到該機構的一線檢查內容中。b)實現(xiàn)過程說明：i.維護指定日評估單：維護指定日評估單：在 3k 標準的檢查頻次中，有一個“指定日”屬性，在指定日進行檢查的內容不會出現(xiàn)在定期檢查的內容中。borm 對“指定日”屬性進行維護。ii.rp 錄入檢查結果：錄入檢查結果：rp 根據(jù)總行操作風險部要求，選擇合適的時間對指定日的業(yè)務活動進行檢查（該檢查活動手動進行）

55、 ，檢查結束后，將檢查結果錄入到系統(tǒng)中。iii.uorm 審核審核：uorm 對上報的檢查結果進行審核。iv.檢查結果查詢：檢查結果查詢：rp 以上的各級管理人員，包括 uorm、分行操作風險主任、borm、總經(jīng)理都可以查看到指定日評估的結果。v.統(tǒng)計歸集到一線檢查：統(tǒng)計歸集到一線檢查：一線指定日評估的結果，在統(tǒng)計的時候，歸集到該機構或 rp的一線檢查內容當中。4、 二線檢查（專項檢查） 20 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書a)簡要說明：二線檢查是由 borm 不定期發(fā)起的檢查任務，檢查的依據(jù)并不限于 3k 標準。任務發(fā)起后指定相應的操作人去執(zhí)行檢查，檢查完后將檢查結果錄入，最

56、后進行統(tǒng)一的匯總。b)過程說明：i.任務發(fā)起：1.由總行 borm 發(fā)起，在系統(tǒng)中設置一個工作任務，并為該檢查指定名稱，輸入該任務的基本信息，該環(huán)節(jié)可以增加領導批復文件、調查模板等說明材料；2.檢查內容設置，對 3k 部分內容可以通過點擊 3k 管理庫中的某些內容，將 3k 信息作為檢查內容。點擊時，可以根據(jù)業(yè)務類別、或者機構等進行分類，例如，開始對現(xiàn)金管理進行二線檢查，則可以將各個機構中的有關現(xiàn)金管理的條目全部搜索出來，根據(jù)需要選中，生成現(xiàn)金管理的二線檢查表；非 3k 檢查標準的內容可以手工添加。3.檢查人員設置：用戶可以在系統(tǒng)中就某一條檢查內容設置檢查人員和復核人員。4.還可以添加自定義的

57、一些檢查內容，形成最后檢查要點。所有檢查底稿記錄、調閱的檔案都在系統(tǒng)內自動保存并供查詢。檢查援引的文件均從系統(tǒng)資料知識庫中建立鏈接。ii.檢查結果匯總：最后由任務執(zhí)行人錄入任務檢查結果匯總信息，錄入檢查結果時可以添加附件。iii.由相應的復核人對每一條錄入的檢查內容進行復核。iv.檢查出來的問題，可以直接轉到問題上報模塊。5、 三線檢查：三線檢查是由一線、二線以外的調查人員開展的審計和檢查活動，例如：內部審計、外部審計、監(jiān)管機構檢查等。三線檢查在本期不實現(xiàn)，它的詳細描述略。4.2.3風險上報風險上報1、 業(yè)務描述對于在零線檢查、一線檢查、二線檢查中發(fā)現(xiàn)的風險，或其它的風險事件，都可以通過風險上

58、報模塊進行上報。2、 系統(tǒng)對實現(xiàn)過程的支持描述a)操作風險管理組織結構中的 rp、uorm、borm、操作風險部總經(jīng)理發(fā)現(xiàn)風險以后，都 21 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書可以在系統(tǒng)中將風險上報；b)上報上來的風險，需要經(jīng)過上級管理人員的審核，比如：rp 錄入的風險，需要由 uorm進行審核；uorm 錄入的風險，需要 borm 進行審核；borm 錄入的風險，需要操作風險部總經(jīng)理進行審核；c)每一級的審核人員，可以根據(jù)風險程度的大小，來選擇是否繼續(xù)上報，或在本級采取行動計劃進行處理；d)每一級審核人員可以修改風險上報相關信息的描述，系統(tǒng)需要對修改的記錄進行記錄；e)需要對風險

59、處理過程的信息進行跟蹤記錄。4.2.4風險處置行動計劃風險處置行動計劃1、 業(yè)務描述行動計劃是針對發(fā)現(xiàn)的風險所采取的解決措施，行動的目的是減少或消除風險，或使風險處于受控狀態(tài)。在風險上報過程中，根據(jù)風險等級的不同，各級別的風險管理人員可以制定相應的行動計劃，并負責對行動處理過程的跟蹤。2、 系統(tǒng)對行動計劃管理的支持a)行動計劃的制定：針對某一項風險，制定一個或多個行動計劃，設定行動計劃的內容、執(zhí)行人、完成時間等信息；b)行動計劃處理過程的跟蹤：錄入行動計劃處理過程的信息；c)行動計劃延期：行動計劃如果不能按期完成的話，可以設定延期日期；d)行動計劃結束：在行動計劃結束的時候，可以錄入行動計劃的

60、結果，同時錄入所對應的風險的風險狀態(tài)。4.2.5統(tǒng)計報表統(tǒng)計報表統(tǒng)計報表功能是對操作風險管理系統(tǒng)中的業(yè)務數(shù)據(jù)，根據(jù)管理需要，從不同的維護和統(tǒng)計時間進行統(tǒng)計匯總，形成各種統(tǒng)計報表。具體需求如下：1. 3k 統(tǒng)計匯總表：按照每個單位的情況進行統(tǒng)計，能夠看出全行每個單位 3k 是否建立。如果要求 3k 至少每年維護一次，那么通過該報告能夠看出是否進行了及時維護。2. kcsa 有效性評價表 22 操作風險管理系統(tǒng)（一期）建設項目用戶需求說明書i.kcsa 評估中增加一個屬性“該 kcsa 對機構控制的有效性” ，由 uorm 在審核的時候，對每一條評估記錄，設定該屬性的值“有效/無效” 。ii.每個