浅谈我国银行操作风险管理

经济学系 10Z国贸 088330133 罗文亚

摘要：随着金融管制的放松，银行经营业务范围及产品进一步多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理迫在眉睫。目前，我国银行业普遍存在着内部控制不完善的问题，导致了操作风险的频发，主要原因是银行业内部体制不健全，操作风险管理意识薄弱，因此，应在内部控制体系的构建入手，设计出一套适合我国商业银行操作风险的管理体系。

关键词：操作风险；公司治理结构；内部控制

长期以来，社会各界对银行业的风险管理都聚焦于信用风险和市场风险，而对操作风险并未予以足够的重视，对其认识和管理都处于较低水平。然而，随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理也迫在眉睫。在此背景下，20xx年的巴塞尔新资本协议规范了操作风险的定义①，并提出操作风险的最低资本要求，为各国银行业加强操作风险管理敲响警钟和提供指导；中国银监会于20xx年6月发布了《商业银行操作风险管理指引》（以下简称《指引》），为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。

一、我国银行业操作风险危机四伏

受旧体制等不利影响，我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。

通过综合分析我国银行业操作风险损失事件，其具有的特点主要有：

1 操作风险主要形式是欺诈。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈，其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式，并且这种类型的损失事件一旦发生，就具有单笔损失金额大和社会影响力大的特点。

2 操作风险大都发生在基层分支机构，且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构，总、分行则更偏重于行使管理职能，当分支机构距离较远、受到的监管较弱时，分支机构的一些违规操作就不易被发现，操作风险发生的可能性就更大。

二、我国银行业操作风险的影响因素

目前，我国银行业普遍存在内部控制制度不完善的问题，这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在：

1．操作风险管理意识薄弱。目前，我国银行业的主营业务仍以信贷为主，因此银行风险管理的焦点都集中于信用风险，而对于操作风险，从管理层到基层员工对其管理的意识都有待于提高。

2．操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门，对其管理主要是依靠非专业部门负责，以定性管理为主，主要依赖专家的主观判断，缺乏科学和专业的管理。此外，根据巴塞尔新资本协议，用于计算监管资本的内部操作风险计量法，必须建立在对内部损失数据至少5年的观察基础上，而我国由于缺乏数据，很少采用定量分析控制操作风险的科学方法。

3．分行制的组织形式不利于监管。我国银行主要采用分行制，该体制下的直线管理职能削弱了内部控制的力度和有效性，各层次的负责人横向权利过大，为操作风险的孕育提供了空间。

4．管理体系不完善。我国银行业普遍存在管理层次多而繁杂，各层次权责不清，缺乏相互制衡、权责明晰和相互独立的管理体系，容易出现管理的真空地带和重复低效管理。

5．管理制度不健全。我国银行业风险管理所需的制度建设不健全，现有的制度大都流于形式，存在不切实际、难以执行的问题，此外，仍有部分正常经营所必备的规章制度缺位，导致管理盲点的存在。

三、完善我国银行业操作风险管理体系

由于我国银行业对操作风险的重视长期不足，导致银行对操作风险的管理长期处于低效率和不足的水平。因此，克服各种不利因素，及时建立完善的操作风险管理体系，具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系，因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合ＣＯＳＯ委员会关于内部控制五要素的阐述和银监会发布的《指引》，设计一套适合我国银行业操作风险管理的体系。ＣＯＳＯ委员会所述的内部控制包括五要素：控制环境、风险评估、控制活动、信息与沟通和监控，以下分别从这五方面构建操作风险管理体系。

（一）控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化，影响银行内部各成员的风险意识，关系着风险管理控制制度的贯彻和执行。

《指引》指出，操作风险管理需要创造一个良好的控制环境。首先，银行董事会应充分了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类别，努力促进这种公司文化的建立，并且提供充足的资源支持在各职能部门实施操作风险管理，还应当把操作风险管理纳入到业绩评估程序中，强调风险管理为银行关注重点。其次，应建立一个能够有效执行操作风险管理框架要求的组织架构，该组织架构应明确界定各职能部门的责权关系、上下级报告关系，并且制定严格的监管审计制度。最后，应根据本行对操作风险的承受能力，制定规范的操作风险管理政策，该政策应对存在于本行各类业务中的操作风险进行界定，列明本行操作风险的具体构成，应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。

（二）风险评估

风险评估是指操作风险管理部根据职能部门的信息，识别、量化和分析相关风险以实现既定目标，从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统：

1．风险识别子系统

风险识别子系统的作用是将操作风险进行定义和分类，它的主要部分是“知识库”。“知识库”是一种风险映射，将职能部门的业务与风险类别之间建立对应关系。具体来说，“知识库”将银行业务分为若干个风险档次，并将所有的业务归类到相应的风险档次之中，并存储在数据库的相应位置。

2．风险计量子系统

风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上，利用“模型库”中的风险计量模型对风险进行量化，将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险，“模型库”再将风险计量模型计算机程序化，即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标，在“模型库”计算出风险值之后，“预警库”就可以对实际风险承担与预先设定的风险限额自动比较，若发生超限额的情况，“预警库”会将该信息同时反馈到风险评价子系统中，实现实时风险监控的功能。

3．风险评价子系统

风险评价子系统主要提供风险汇总报告，并对各职能部门风险承担状况进行评价，为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果，根据指定的报告模式进行综合汇总，为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析，通过对具体风险的分析评价，提出风险改进意见。

总的说来，风险评估系统中，风险识别子系统归类操作风险，风险计量子系统量化操作风险，评价子系统评价并报告操作风险。这一系列活动的完成，关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点，设计出自己的风险管理程序，或者直接从专业公司引进成熟又适合自身的风险管理系统。

（三）控制活动

控制活动是指那些有助于管理层决策顺利实施的政策和程序，主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。

首先，《指引》明确规定了各组织层次在操作风险管理系统中的职责，以便整个系统有条不紊的运作，各层次的职责具体为：银行高层负责制定操作风险管理的战略和总体政策；风险管理委员会建立风险管理的操作方法；各职能部门具体实施。

其次，对各职能部门活动的控制分为两个层次：第一个层次是各职能部门，应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况，及时通报重大操作风险事件；第二个层次是操作风险管理部门应当提供风险预警指标，将风险限额建立在各业务部门的不同的层面，然后为每个关键风险指标设定门槛值，一旦风险值超过门槛值则启动预警系统。最后，操作风险部门应当对于超过门槛值的采取必要的整改措施，及时修正执行中的偏差。

（四）信息与沟通

各职能部门的信息沟通是整个操作风险系统的基础，系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部，才能及时进行信息分类。《指引》规定，职能部门应当根据统一的操作风险管理评估方法，建立持续、有效的操作风险报告程序，从制度上建立有效的信息和沟通机制。此外，《指引》要求建立案件查处和相应的信息披露制度，通过对案件查处的信息披露有良好的警示作用，对案件的及时总结能有效地避免同类风险事件的发生。

（五）监控

监控的核心在于监控的制度性和监控的独立性。《指引》规定，监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系，清晰的监控系统可以明确监管者的责任范围，而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立，不能存在从属关系，应当受董事会或其下属的审计委员会直接领导。

与此同时，银行还需要对其内部监管人员进行严格培训，使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控，及时预见潜在风险并极力阻止其发生，实现银行操作风险的有效管理。

第二篇：银行操作风险管理(BORM)解决方案

银行操作风险管理(BORM）

解决方案

20##年05月

第一章概述-- 1

1.1 背景简述-- 1

1.2 操作风险概要-- 1

1.2.1 定义界定--- 1

1.2.2 特点及分类--- 2

1.2.3 问题及现状--- 3

1.3 方案意义-- 5

1.4 预期目标-- 6

1.5 参考依据-- 7

第二章总体规划-- 8

2.1 建设原则-- 8

2.1.1 操作风险管理指导原则--- 8

2.1.2 建设设计原则--- 9

2.2 建设内容-- 9

2.3 建设意义-- 10

第三章总体方案-- 12

3.1 总体架构-- 12

3.2 业务框架-- 12

3.2.1 风险控管策略--- 12

3.2.2 总体业务框架--- 13

3.2.3 风险管理标准、政策及规范--- 13

3.2.3.1 标准规范制定原则--- 14

3.2.3.2 标准规范建设内容--- 14

3.2.4 风险管控组织体系--- 15

3.2.5 风险管控流程--- 17

3.2.6 风险信息库模型--- 18

3.2.7 风险管理平台访问结构--- 19

3.3 功能体系-- 20

3.3.1 风险管控--- 20

3.3.1.1 风险识别--- 20

3.3.1.1.1 风险定义分类--- 20

3.3.1.1.2 风险调查--- 21

3.3.1.1.3 风险映射--- 21

3.3.1.1.4 风险定级--- 21

3.3.1.2 风险评估--- 22

3.3.1.2.1 关键风险点--- 22

3.3.1.2.2 风险评估模型--- 22

3.3.1.2.3 评估情景模拟--- 23

3.3.1.2.4 风险全景地图--- 23

3.3.1.3 风险损失数据--- 23

3.3.1.3.1 损失数据采集--- 23

3.3.1.3.2 损失数据审查--- 23

3.3.1.3.3 损失数据分配--- 23

3.3.1.4 风险预警--- 24

3.3.1.4.1 关键风险指标--- 24

3.3.1.4.2 风险趋势模拟--- 24

3.3.1.4.3 风险计划映射--- 24

3.3.1.5 资本计量--- 24

3.3.1.5.1 资本计量模型--- 24

3.3.1.5.2 风险资本分配--- 25

3.3.1.6 风险缓释--- 25

3.3.1.6.1 风险缓释模型--- 25

3.3.1.6.2 风险执行计划--- 26

3.3.1.7 风险监管--- 26

3.3.1.7.1 风险流程监管--- 26

3.3.1.7.2 风险趋势监管--- 26

3.3.1.7.3 计划执行监控--- 26

3.3.1.7.4 损失事件析查--- 26

3.3.1.7.5 风险跟踪日志--- 27

3.3.1.7.6 风险报告--- 27

3.3.1.8 风险数据分析--- 27

3.3.1.8.1 风险分布分析--- 27

3.3.1.8.2 损失分布分析--- 27

3.3.1.8.3 风险趋势分析--- 27

3.3.1.8.4 风管状况分析--- 28

3.3.1.9 风险应急处理--- 28

3.3.1.9.1 应急事件处理--- 28

3.3.1.9.2 风险应急预案--- 28

3.3.1.9.3 应急模型模拟--- 28

3.3.1.9.4 应急数据分析--- 28

3.3.2 风险文化--- 28

3.3.2.1 风险约束--- 29

3.3.2.2 在线学培--- 29

3.3.2.3 风险信息索引--- 29

3.3.2.4 风险举报--- 29

3.3.3 辅助工具--- 29

3.3.3.1 内部邮件--- 30

3.3.3.2 短信平台--- 30

3.3.3.3 即时通讯--- 30

3.3.3.4 个人知识库--- 30

3.3.4 系统管理--- 30

3.3.4.1 组织机构管理--- 31

3.3.4.2 用户管理--- 31

3.3.4.3 权限管理--- 31

3.3.4.4 数据字典--- 31

3.3.4.5 配置管理--- 31

3.3.4.6 流程管理--- 31

3.3.4.7 日志管理--- 32

第四章技术路线规划-- 33

4.1 总体思路-- 33

4.1.1 以金融基本支撑平台为基础--- 33

4.1.2 标准开放的技术体系--- 33

4.1.3 采用先进成熟的技术和产品--- 33

4.1.4 平台化、模块化、组件化--- 33

4.1.5 安全保密--- 33

4.1.6 分层设计--- 33

4.1.7 企业服务总线（ESB）--- 34

4.1.8 企业应用集成（EAI）--- 34

4.2 技术路线-- 34

4.2.1 采用开放标准的技术路线--- 34

4.2.2 采用面向服务构架（SOA）的技术路线--- 34

4.2.3 采用全程建模的技术路线--- 34

4.2.4 采用基于大颗粒构件复用和基于平台的技术路线--- 34

4.2.5 采用Web Service技术实现系统跨平台--- 35

4.3 设计约束-- 35

4.3.1 架构约束--- 35

4.3.2 构件约束--- 35

4.3.3 接口约束--- 35

第五章系统平台建设路线规划-- 36

第一章概述

1.1 背景简述

随着金融服务的全球化以及近年来信息技术在金融业的应用和发展，随着银行规模不断扩大、交易金额迅速放大、经营复杂程度不断加剧，银行业所面临的风险变得更加复杂。由操作风险管理不足引发的风险损失事件层出不穷，对金融机构的操作风险管理提出了严峻的挑战。

巴塞尔银行监管委员会于20##年6月发布了《巴塞尔新资本协议》，将操作风险正式纳入风险管理框架之内，并对国际银行业操作风险的度量和管理提出了更深层次的要求。目前，实施新资本协议的国家都按照新协议要求，明确将操作风险纳入资本监管范畴，国际上已形成了对操作风险加强监管的共识，已经形成了相关制度和监管标准。

为推进巴塞尔新资本协议在中国的实施，推动商业银行增强风险管理能力，提升资本监管有效性，中国银监会印发了《中国银行业实施新资本协议指导意见》，要求商业银行应实施巴塞尔新资本协议。并在近年来出台了一系列关于操作风险管理的监管规章和指引，20##年出台《商业银行操作风险管理指引》，为我国境内商业银行建立操作风险管理体系提出了应对策略和方向。

1.2 操作风险概要

1.2.1 定义界定

操作风险已经成为国际银行界关注的焦点，同市场风险和信用风险并列为三大风险，但对于其定义的界定却一直未能达成一致。目前，在国际上最具有代表性的有三种对于操作风险的定义，它们分别来自巴塞尔委员会，全球风险专业人员协会（Global Association of Risk Professional，GARP）以及英国银行家协会（British Banker Association，BBA）。

根据20##年公布的巴塞尔新资本协议，操作风险定义为由于不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险，包括法律风险，但不包括战略和声誉风险。在此定义之下，操作风险损失事件被分成了七类：内部欺诈、外部欺诈、雇员活动和工作场所安全性、客户产品及业务操作、实物资产损坏、业务中断和系统问题、以及执行、交易及流程管理。来自全球风险专业人员协会（GARP）的定义则将操作风险分为了操作失败风险和操作战略风险。操作失败风险是指在操作业务过程中发生失败而导致损失的可能性，操作战略风险则指的是由于环境的变化而导致业务或者流程失败的可能性。在两大类的下面，GARP又将操作风险细分为16类具体风险。英国银行家协会（BBA）则从操作风险产生的来源将操作风险定义为“由于内部程序、人员、系统的不完善或失误，或外部事件造成直接和间接损失的风险”，并且从因素、行为和具体事件三个层次给出了操作风险损失事件的分类。

1.2.2 特点及分类

与信用风险和市场风险相比，操作风险主要有以下几个特点：

l 内生性

除自然灾害等外部事件引起的操作风险损失外，操作风险大多是在银行可控范围内的内生风险。

l 广泛性

操作风险的覆盖的范围相当广泛，与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同，操作风险普遍存在于商业银行的业务和管理中。

l 风险收益无关性

对于信用风险和市场风险来说，风险越高，收益越高，存在风险与收益的对应关系，而操作风险和收益没有太多联系。

虽然对于操作风险的定义界定存在着几种不同的认识，但总的来说，具有一个共识，即操作风险的来源可以划分为四类因素：人员、流程、系统以及外部事件。因此，据此操作风险主要表现为以下需加以识别和管理的四种类型。

（一）、人员因素

主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好（如涉毒、涉赌、涉黄）引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的，如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征，因而非常难以防范。人员因素引发的操作风险，有的是作为，如主观违规，有的是不作为，如业务不熟出错，疏忽大意。

（二）、流程因素

包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上，流程越简单越易于操作，流程越短越便于管理，设计越合理越利于控制。这样才能适应变化，确保效率和风险管理，流程设计不合理，有瑕疵，往往容易出现风险隐患。

（三）、系统因素

信息系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控，都离不开信息系统紧密支持。但商业银行高度依赖信息系统，信息数据高度集中也给银行带来新的风险管理难题，如系统安全稳定、IT技术风险防范、数据和信息质量，系统设计和开发战略风险等等。系统出现如故障、瘫痪，系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外，从操作风险发生的门径来看，当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。

（四）、外部环境因素

银行经营都是处于一定的政治、社会、经济环境中的，经营环境的变化、外部突发事件都会影响到银行的经营活动，甚至会产生损失。外部事件引起银行损失的范围非常广泛，包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一，而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。

1.2.3 问题及现状

目前，实施巴塞尔新资本协议的国家都按照新协议要求，明确将操作风险纳入资本监管范畴，国际上已形成了对操作风险加强监管的共识，已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现，也是加强全面风险管理方面的新要求。

目前，我国操作风险管理与监管尚处在一个较为初期的发展阶段，我国商业银行操作风险管理还存在着自身特殊的问题及现状：

（一）、对操作风险存在认识偏差

各商业银行普遍制定了一定的操作风险防范和控制措施，建立了授权审批制度、岗位分离制度、重要环节控制制度、对账制度、内部审计制度等，在管理流程和业务运营方面也有严格的操作规范，但目前基层商业银行操作风险管理仍然处于初级阶段，对操作风险没有形成一个全面、系统的认识。如误认为操作风险就是前台柜面人员操作上的行为风险，或者只是直接面对各项业务操作的经营性风险，认为各种风险操作事件往往具有突发性、偶然性，难以预测，也毫无联系，因而无法计量等。同时，一些商业银行认为操作风险管理职责只存在于会计结算部门或内部审计部门，与安全保卫部门、科技部门、后勤事务部门等无关，这种认识上的局限性，造成了国内银行业对操作风险理解上的误区，成为制约我国银行业操作风险管理发展的主要因素，是我国商业银行操作风险损失不断发生的意识根源。

（二）、操作风险管理理念错误

对操作风险认识不足，导致普遍存在管理理念不健全和管理手段单一缺陷。一是不能平衡业务发展与操作风险管理之间的关系，要么片面强调业务发展、资产规模和市场占有率，而忽略建立与之相适应的操作风险管理程序；要么强调操作风险管理和内控，而放松市场开拓和业务发展；二是由于商业银行从以前的国有企业制度延续下来的层层上报方式，致使操作风险管理存在“重基层、轻高层；重事后、轻事前；重个案、轻全面；重信任、轻原则”等现象，从而引发了大量的操作风险。

（三）、操作风险管理框架体系不健全

健全的风险管理框架体系是实现全面风险管理的前提。目前，国内商业银行设置统一的操作风险管理机构的并不太多，只有个别商业银行设立了委员会形式的管理机构。大多商业银行的操作风险管理职责分散在诸如风险管理部、内部审计部门、法律与法规部门等部门，缺乏统一的操作风险管理体系，这种分散管理的模式，导致各相关部门的管理职责不清，沟通协调不顺畅，无法建立持续监控的操作风险管理机制。操作风险管理和内部控制缺乏系统性、计划性和操作性，没有形成科学、完整的管理体系。从目前的情况看，我国银行业在操作风险管理框架上的缺陷表现在：一是管理职责分散，缺乏专门的管理部门；二是基层分支机构操作风险管理职能缺失；三是对银行的某些活动缺乏足够的风险评估；四是内部审计部门权威性不强。

（四）、操作风险管理制度不完备

制度是员工行为的准则和业务操作的规范，商业银行的一切活动都要严格按照制度的规定执行。银行在操作风险管理方面的制度不完备导致不少基层行员工缺乏风险防范意识，有章不循、麻痹大意较为普遍，违规经营、越权操作时有发生，以信任代替管理、以习惯代替制度、以情面代替纪律，致使制度防线失控。此外，一些制度本身就存在问题，有的不够精细化，对某些关键风险点的规定存在遗漏；有的更新迟缓，未能与业务拓展和产品创新保持同步；有的制度之间缺乏衔接，甚至相互矛盾。

（五）、操作风险管理方法落后、技术滞后

我国银行在操作风险管理方面的管理模式，管理手法相对还比较单一，主要依靠内部审计的力量，电子化手段缺乏，在管理上较多地依赖规章制度来约束员工的行为，执行制度不力，问责不严。目前，国际性大银行已大量采用数理统计模型、金融工程等先进手段，而我国商业银行在技术上相对滞后，致使我国银行业操作风险管理所需的大量损失事件与损失数据欠缺，无法建立相应的操作风险管理模型，从而影响了银行操作风险管理决策的科学性。

（六）、操作风险管理的专业人才短缺

目前，与国外商业银行大多拥有一支专业的操作风险管理队伍相比，我国商业银行风险管理人才严重匮乏。现有的风险人员仍专注于信用风险，对操作风险尚未有深入研究，还不具备专业操作风险管理人员的一般条件。人才的缺乏将成为国内商业银行操作风险管理进程中的最大制约因素。

（七）、操作风险管理外部环境不健全

商业银行操作风险管理是一项系统工程，不仅是商业银行自身的事情，还需要一系列外部环境因素的支持，即主要包括保险市场、审计中介机构和信用环境，但目前国内情况不容乐观。一是，操作风险保险市场尚不发达，保险公司推出的针对操作风险的保险产品十分缺乏，这将在很大程度上制约商业银行对操作风险的缓释和转移；二是，外部审计机构还未形成强大力量，其独立性、专业性和权威性尚需提高，这将制约商业银行对风险信息的收集以及对内部审计所存缺陷的弥补；三是，社会信用环境不容乐观，信用缺失问题严重，从而在很大程度上影响商业银行操作风险管理的开展。如何克服外部环境因素的制约是国内商业银行操作风险管理实践中面临的一大问题。

我国银监会发布《关于加大防范操作风险工作力度的通知》以及《商业银行操作风险管理指引》，研究操作风险、界定、度量操作风险，深刻分析其产生的理论根源和现实起因，并结合我国商业银行操作风险管理的特殊性，提出相应地商业银行操作风险管理的对策，对操作风险管理的理论和实践、金融业的健康运行乃至整个国民经济的平稳健康运行都具有非常重要的意义。在未来几年内，我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。

1.3 方案意义

90年代以来，一系列由操作风险引发的严重损失事件使得操作风险受到了前所未有的关注。巴塞尔新资本协议将操作风险（Operational Risk）与市场风险、信用风险一起定位为金融业面临的三大风险之一，并且要求配置资本金，充分体现了对于操作风险的重视。与此同时，几乎所有的国际活跃金融机构都已经或者正在建立自己的操作风险管理架构。据德勤20##年统计，92％的西方商业银行已经着手操作风险管理，很多已经进入了开发风险量化技术或将操作风险纳入日常管理的阶段。

我国正处于经济的转轨时期，存在着很多体制和法规上的缺陷，使得我国商业银行不仅面临着更大的操作风险，同时由于这些操作风险的表现形式和形成原因与国际上存在很大差异，使得我国商业银行操作风险的管理又不能完全照搬国外的形式方法和模式，如何在当前形势下，适应金融监管国内外发展趋势，尽快建立适合我国商业银行现状的操作风险管理框架体系，为构建和完善我国商业银行操作风险管理的长效机制奠定根基，对于我国银行业的改革和发展具有重要意义！

银行操作风险管理解决方案的提出在于协助国内商业银行建立全面的操作风险管理框架，包括管理与合规性组织结构、评估工具、风险跟踪与管理、风险上报、风险分析和用于降低操作风险的风险控制模型引擎。在支持新巴塞尔协议合规及监管要求的同时，通过研究国内外操作风险管理理论和最佳实践，结合国内金融机构操作风险管理建设过程中积累的经验，操作风险管理解决方案能够完全符合本土金融机构管理模式，有效协助用户开展风险管理活动，协助国内金融机构解决实施全面操作风险管理时所面临的一些迫切问题并促进风险管理水平的持续提升。

1.4 预期目标

操作风险管理是银行全面风险管理的重要组成部分，操作风险管理的总体业务目标可以归并为以下四点：

（一）、降低操作风险的不确定性,将操作风险发生的概率和可能造成的损失控制在可接受的合理范围内；

（二）、提高服务效率，实现流程优化，促进业务健康发展；

（三）、降低管理成本，提高收益水平；

（四）、降低突发性事件的影响，保证业务正常和持续开展。

基于以上银行操作风险管控总体业务目标，银行操作风险管理解决方案拟实现以下预期目标：

1）、依据国际银行操作风险管理协议及规范，基于我国银监会等相关管理部门颁布的法规和指引，协助商业银行建立适于自身的操作风险管理标准及规范；

2）、基于《商业银行操作风险管理指引》等要求，协助国内商业银行及其它金融机构构建符合监管要求并且与其自身业务性质、规模和复杂程度相适应的操作风险管理框架体系；

3）、辅助国内商业银行及相关金融机构建立合理的操作风险管理流程及处理机制；

4）、构建全面满足操作风险管理体系运作要求的信息化支持系统，建立完善的操作风险管理和监管信息化平台，有效地识别、评估、监测、控制、缓释操作风险。建立起有效的风险事件汇报机制及全面的风险数据分析体系；

5）、逐步建立和完善商业银行操作风险损失信息库，为将来建立更加完善的操作风险控管方法和处理模型奠定基础；

6）、建立包含辅助于信息及时传达、实时披露等在内的辅助工具平台，为操作风险控管工作、信息共享和沟通提供快速机制和手段；

7）、辅助商业银行建立有效的政策知会和学习平台，建立操作风险管理信息索引库，为员工自身风险意识的学习和提升提供平台，逐步建立起稳固的银行风险控管文化；

8）、建立与内控、合规等成熟系统体系的信息交互和协作机制，基于全局策略的角度完善和补益银行风险管理体系；

9）、实现完善的银行操作风险管理安全体系，从内外部环境、系统实施服务及安全界定等多方面构建起有效且安全的操作风险管理安全体系。

1.5 参考依据

〔1〕中国银行业监督管理委员会《商业银行操作风险管理指引》，20##年

〔2〕中国银行业监督管理委员会《中国银行业实施新资本协议指导意见》，2007

〔3〕中国银行业监督管理委员会《商业银行操作风险资本计量指引》，2008

〔4〕张吉光《商业银行操作风险识别与管理》，中国人民大学出版社，20##年

〔5〕巴曙松《巴塞尔新资本协议研究》，北京，中国金融出版社，20##年

〔6〕其他网络文献资料

第二章总体规划

2.1 建设原则

2.1.1 操作风险管理指导原则

操作风险管理与信贷风险管理、市场风险管理体系相比，其发展较为落后。国际国内就操作风险管理的体系建设也一直处在不断的探索过程中，各个银行之间也因为存在所处地域、经营规模、业务类别的差异存在不同的风险环境，所以无法完全遵循一个标准的定义。但总体来说，已经形成了一些比较成熟的指导原则和建设思想，总体来说操作风险管理应遵循“全面管理、职责明确、分级控制、责任落实”的原则：

1）、全面管理

操作风险管理应覆盖银行各级机构、岗位、经营管理活动和操作环节。操作风险管理理念、政策体系、制度规范以及监控目标要能有效的传达到各级员工。

2）、预防为重

风险管理的重要原则之一是事前管理。根据自身或其他商业银行已发生的各类操作风险或案件，防范相同或类似的操作风险再次发生。

3）、权责独立

风险管理部门与其他部门之间职责清晰、分工明确，能够及时、准确获得相关风险事件与各类检查结果。

4）、分级控制

应根据操作风险的特征，实行各业务条线指导与监督下的、总分支行分层级控制模式。

5）、专业

操作风险管理人员应具备相关的专业知识和技能，充分了解和掌握本行承担的各类操作风险，排查操作风险管理重点。

6）、成本与收益匹配

操作风险管理措施应与自身业务规模、复杂程度和特点相适应，以合理的成本实现操作风险管理目标。

7）、需求导向

坚持以实际操作风险管理需求为导向，从实际可行的情况出发，突出重点，注重实效，稳步推进。

8）、统筹规划

要在国家和业内统一规划和要求下，按照统一的规范和标准建设，明确建设目标和重点，充分发挥各方面的积极性，分类推进，分步实施。

9）、安全保密

坚持以建立完善的安全保障体系为基础和根本，实现操作风险管理体系建设，坚持积极防御、综合防范的方针，以安全保发展，在发展中求安全。

2.1.2 建设设计原则

在银行操作风险管理方案的实施建设全过程中，必须坚持以下建设设计原则：

l 实用

以实际业务需求为基础，在充分梳理当前国内商业银行相关业务流程的基础上、充分考虑未来发展的前景需求来确定系统规模，充分利用现有资源。

l 满足监管要求

操作风险管理解决方案基于新巴塞尔协议，满足银监会的相关要求。

l 覆盖全面

在当前现有认识基础下，建立完善的操作风险管理和监管信息化平台，有效地识别、评估、监测、控制、缓释操作风险，建立完备的风险地图体系。

l 安全

提供安全有效的防护手段，确保信息和数据的完整性和保密性，保证关键数据不被非法窃取、篡改或泄漏；提供完善的备份、恢复和日志跟踪与统计分析功能。

l 简单易用

系统简单易用、操作友好，要切实实现“软件系统简化人的劳动”这一目标。

l 成熟先进

系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。

l 灵活适应

操作风险管理解决方案能够适应不同类型、不同规模银行的组织结构、流程、系统特征，满足开放性与兼容性的现实需要。

l 可扩充、可扩展、可持续改进

不仅能够支持现有环境下应用需求，随着业务发展和流程变化，还要能够做到系统可扩充可扩展，可持续的改进更新。

l 可管理、易维护

系统应易于管理，易于维护，操作简单，降低系统管理员的负担。

2.2 建设内容

银行操作风险管理解决方案建设内容包含以下部分：

l 操作风险管理标准、政策及规范：协助银行建立适于自身的操作风险管理标准、政策及规范，作为操作风险管理的业务处理及行为准则。

l 操作风险管理框架体系：协助国内商业银行及其它金融机构构建符合监管要求并且与其自身业务性质、规模和复杂程度相适应的操作风险管理框架体系。

l 操作风险管理流程及处理机制：辅助国内商业银行及相关金融机构梳理业务流程及内控合规体系，建立合理的操作风险管理组织、管理流程及处理机制。

l 操作风险损失信息库：逐步建立和完善商业银行操作风险损失信息库，通过不断积累和完善，形成商业银行操作风险管理、监测和缓释的数据支撑，为将来建立更加完善的操作风险控管方法和处理模型奠定基础。

l 操作风险管理平台：构建全面满足操作风险管理体系运作要求的信息化支持系统，建立完善的操作风险管理和监管信息化平台，有效地识别、评估、监测、控制、缓释操作风险，并逐步建立起有效的风险事件汇报机制及全面的风险数据分析体系。

l 操作风险管控工具体系：包含辅助于信息及时传达、信息实时披露等在内的辅助工具平台，为操作风险控管工作、信息共享和沟通提供快速机制和手段，包括即时通讯、邮件、短信平台及风险控管信息宣传及共享论坛等。

l 操作风险索引库：辅助商业银行建立操作风险管理信息索引库，建立有效的政策知会和学习平台，为员工自身风险意识的学习和提升提供平台，逐步建立起稳固的银行风险控管文化。

l 风险控管信息协作平台及驾驶舱：建立与内控、合规等成熟系统体系的信息交互和协作机制，建立基于全局策略的角度的银行风险管理信息协作平台，建立完善信息驾驶舱，为高层风险控管提供信息基础和数据依据。

l 安全保障体系：健全安全防护体系、管理调控体系、评价考核体系等信息化保障体系。建立适用的平台身份验证及权限授权机制，健全信息的全过程跟踪记录、安全加密手段及防范机制，最大限度保证系统的安全有效。

2.3 建设意义

根据目前商业银行“转型、提升、发展”的经营管理思路，依据国内商业银行援引和借鉴国际经验完善自身风险控管体系的契机，通过整合内控、合规与操作风险管理架构，培养专业化管理的人才队伍，建设动态的信息化交互平台，为实现内控规范合规和操作风险管理双达标奠定坚实基础，促进银行内控合规及操作风险管理持续优化，逐步建立专业化、标准化、信息化的操作风险管理体系。通过操作风险管理体系的建设实施，完成完善我国商业银行风险控管：

l 提升员工的业务操作技能和风控水平。通过操作风险的识别及评估，将关键风险点与外部法规一一对应，形成风险信息索引，便于员工更清晰学习、掌握风险点、风险大小及对应的控制措施，有利于提高员工的业务技能，依法合规操作。

l 提升管理部门的管理效率和风险监控能力。通过开发操作风险全流程管理功能的信息支持系统体系，为全行各机构、各部门和人员提供流程应用的学习作业平台，多维度记录、分析、监测和展示风险信息，实现监督信息的共享与及时反馈，提升管理效率；通过流程控制环节与业务岗位名称对应，进一步明确操作和管理责任；通过建立关键风险指标和预警机制以及基层网点风险报告机制，管理部门可了解掌握各级机构的风险情况，有利于及时采取行动、化解风险。

l 提升主线部门的资源配置水平。通过加强流程管理，优化人员准入及劳动组合，有利于各主线部门提高资源配置能力，更好地形成流程管理、产品服务和风险管理三者的有机结合。

l 提升合规审计检查的针对性。根据获取的信息，可更好地评估风险，有针对性地安排审计检查，对缺陷整改情况进行跟踪，依托系统监督各级部门在流程中的履职行为，及时掌握银行控管体系运行状况。

l 提升对管理层决策的服务支持能力。通过构建风险地图，建立完善银行风险控管信息驾驶舱，可以向管理层完整展示机构、条线风险状况，以快速、便捷的方式报告风险的整体状况和分布，为高管层平衡业务发展与风险控制提供决策支持。

l 提升全行业务管理水平。通过规范全行业务流程工作、建立管理台账、完善自我评估程序、改进缺陷等手段，完成有效性、适当性自我评价，降低风险防控成本，优化控管环境，逐步形成计划、组织、执行、整改的良性循环。

第三章总体方案

3.1 总体架构

银行操作风险管理（BORM）总体架构示意图：

3.2 业务框架

3.2.1 风险控管策略

“银行的全部在于管理风险，而不是消除风险”。商业银行业务发展与稳健经营面临诸多不确定因素的影响，风险管理成为商业银行生存的生命线。巴塞尔委员会认为，银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用，银行内部的沟通流程应当建立一个一致的操作风险管理文化。20##年，中国银监会颁布的《商业银行操作风险管理指引》第十五条规定：“商业银行应当制订有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度”。因此，如何建立一套科学、先进的识别风险、衡量风险、治理风险的全面风险管理体系，成为我国银行业经营发展的主题。

在以往的管理当中，我们推崇的是“避免出错文化”，认为错误是可以免除的，任何程度的错误都是不可接受的，而风险管理文化则重点强调的是风险管理、而非消除风险。也就是说，只要是有业务处理，就会有错误发生，对于错误所引发的风险我们应正视，应对其进行认真分析，依据自己银行的风险偏好和风险容忍度制定出自己的操作风险管理的风险战略，并将风险管理制度化，将该项工作进行规范管理，并允许业务处理部门有一个合理水平的错误。

根据目前国内商业银行及金融机构的实际情况，为保证操作风险的有效管理，应建立事前风险预警评估、事后稽核监督跟踪、共同执行同一风险管控体系的风险管理框架。

3.2.2 总体业务框架

银行操作风险管理总体业务框架简图：

3.2.3 风险管理标准、政策及规范

在操作风险管理平台建设过程中，依据国家相关文件、指引、法律法规及管理规范，结合银行自身规范体系，建立起操作风险管理业务及技术规范，标准规范体系的确立是基础性工作，它将各个业务环节有机地连接起来，并为彼此间的协同提供技术准则。通过标准化的协调和优化功能保证信息化建设少走弯路，提高效率，确保系统的安全可靠。

3.2.3.1 标准规范制定原则

l 切实可行，准确实用

标准和规范必须根据实际情况而制订和修改，使标准符合实际。标准的制订和修订要求准确实用，使执行者易于理解和执行，具有较强的可操作性。

l 遵循国家标准、行业标准、国际标准

标准和规范的制订继承和贯彻国家标准、行业标准，参考国际标准和国外先进标准。

l 前瞻性强，易于扩展

银行操作风险管理平台的建设应该着眼于一个开拓性建设，涵盖广泛，包容复杂，因此标准的制订和采用应具有前瞻性并成熟可用，满足易于扩展的需求，使之能适应变化。

l 统一组织，各级参与

标准和规范建设涉及面广，在标准的制订过程中必须调动各相关部门的积极性，特别是业务数据标准的制订，必须有各级业务部门的业务人员的参与。在标准和规范的执行过程中，也需要各级业务部门的配合。在统一采集数据的基础上，建立系统的、分层次的管理指标规范。

3.2.3.2 标准规范建设内容

标准规范体系建设由总体标准、信息资源标准规范、应用业务标准、应用支撑标准、信息安全标准、网络基础设施标准和管理标准七大部分组成。

3.2.4 风险管控组织体系

操作风险管理应按照巴塞尔委员会的建议，由各级高层管理人员组成操作风险管理委员会，制定操作风险管理政策，负责审定ORM目标计划及定期研究ORM的策略，组织ORM计划实施，推崇风险管理文化，建立自我评估、风险评判及稽核体系，对全行操作风险进行有效管理。在各级网点设立风险经理，负责网点操作风险控制的具体管理，进行网点风险自我评估，组织网点对评估中或内、外部检查中发现的问题进行纠正。

合理的组织结构对风险管理效率至关重要。目前国际银行界的一般做法是：在集团层面设置独立的操作风险管理委员会；在各部门设操作风险经理。由于操作风险成因多样，复杂多变，其带来的损失非常严重，因此设立专门的风险管理委员会对其进行集中化、专业化管理非常必要。此外，各部门的风险经理将对各条业务线上的操作风险进行监控，并向风险主管进行汇报。

l 董事会

董事会明确操作风险管理范畴，并承担监控操作风险管理有效性的最终责任。

（一）审定与银行业务发展目标相一致的操作风险管理战略、政策与风险偏好，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；

（二）审查高级管理层操作风险管理的职责及有关制度，确保全行的操作风险管理决策体系的有效性；

（三）审阅高级管理层提交的操作风险报告，充分了解操作风险管理的总体状况；

（四）确保高级管理层采取必要的措施有效地识别、评估、监测、控制和缓释操作风险；

（五）确保操作风险管理体系接受内审部门的有效审查与监督。

l 管理层

管理层是操作风险管理政策的组织实施者，对操作风险管理工作负责。

（一）根据董事会制定的操作风险管理战略，审查和监督操作风险管理的规章制度和具体操作规程，并向董事会提交操作风险总体情况的报告；

（二）全面掌握银行操作风险管理的总体状况，特别是各项重大的操作风险事件；

（三）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行。

（四）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；

（五）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

l 操作风险管理委员会

操作风险管理委员会按照董事会整体风险政策，由董事会授权，对全行操作风险进行管理。定期向董事会汇报工作情况。

（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；

（二）协助其他部门识别、评估、监测、控制及缓释操作风险；

（三）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；

（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；

（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；

（六）定期检查并分析业务部门和其他部门操作风险的管理情况；

（七）定期向高级管理层提交操作风险报告；

（八）确保操作风险制度和措施得到遵守。

l 首席风险官

负责具体协调、指导、评估、监督操作风险管理活动。

（一）组织实施操作风险基本政策和方法的落实，推进各业务条线进行识别、评估、监测、计量、培训；

（二）监督、检查全行操作风险管理情况；

（三）汇总全行操作风险管理状况报告，定期向操作风险管理委员会提交。

l 操作风险主管

对所辖业务及经营管理活动中的操作风险有管理职责。

（一）负责在制定及修订所辖各项业务的管理制度和流程时，充分考虑并落实操作风险管理的各项要求；

（二）负责识别、评估所辖各项业务的操作风险，制定并实施控制、缓释措施，不断优化流程，完善内控措施，保证业务健康持续发展；

（三）负责辅导分支机构理解各项操作风险控制措施，督导建立操作风险管理制度，完善操作风险管理流程；

（四）负责对所辖业务及经营管理活动中的操作风险状况进行监控、汇总、整理和分析，定期报送操作风险管理委员会。

l 分支机构操作风险经理

管理和监控本机构操作风险状况。

（一）执行上级机构制定的各项操作风险管理政策和制度，可根据本机构实际情况，制定本机构操作风险管理的制度和流程；

（二）负责监控辖内操作风险状况；

（三）负责辖内操作风险损失事件的汇总统计和分析；

（四）各级分支机构按照总行管理部门的要求开展工作；

（五）定期或不定期向上级报告风险状况，保证风险损失数据的真实性、准确性和时效性；

（六）运用操作风险管理工具识别、评估操作风险，在授权范围内采取适当措施控制/缓释操作风险。

3.2.5 风险管控流程

操作风险管理流程包括风险识别、风险分析、风险计划、风险跟踪、风险应对和监督考评等多个方面，根据巴塞尔委员会在20##年2月份发布的《操作风险管理与监管的稳健做法》中的建议，操作风险的管理框架可用下图表示：

在此流程中，首先由董事会及高级管理层根据自己银行的风险偏好和风险容忍度制定出操作风险管理的风险战略。战略的主要内容包括制定评估操作风险管理的政策、程序和流程，实施用于识别、评估、监测操作风险的的基本原则，建立合适的操作风险管理组织结构等。在风险战略确定的基础上，具体的风险管理部门将完成操作风险管理的一系列流程。

1、风险识别是整个流程的开始，也是接下来的评估、控制、度量等过程的基础。在风险识别中，银行应根据本银行的操作风险定义，详细说明自己银行每项业务、流程以及部门所面临的风险状况和风险程度。

2、风险识别之后是风险评估，它的目的是通过对风险识别结果的评估，决定哪些风险在可容忍的范围之内。对那些银行不能接受或超出机构风险偏好的风险暴露，选择合适的缓解机制并对需要缓解的风险进行优先排序。一些操作风险的定性和量化技术在风险评估中得到应用。

3、在对操作风险进行评估之后，银行应构建有效的内部控制体系对操作风险进行控制和管理。严格的内部控制制度应包括一个可控的环境、及时的风险评测、有效的控制活动、完整的会计、信息即通讯交流系统和完善的自我评估监测机制等。同时，银行应采用合理的风险缓释和转移技术对没有能力控制又具有低频高位特性的风险进行控制。风险监测和度量用来对上述的步骤进行监控，主要内容包括对本银行操作风险的定性和定量的操作风险管理进行监控，评估风险缓释活动是否有效、确保风险控制和管理系统的正常运行。为了达到较好的监测效果，银行应设置风险衡量的标准或“关键风险指标”（Key Risk Indicator,KRI）。KRI的设置将使得银行可以对风险进行日常监测，为风险管理提供预警。

4、操作风险管理流程的最后一步是向银行董事会和管理层做出风险报告。风险报告必须提供银行的主要风险来源和整体风险状况，同时对银行的风险管理提出建议。风险报告必须注重内部人员报告和外部人员的报告的结合，以确保风险报告的全面性和客观性。

上面是一般操作风险的管理流程，可在此基础上加以细化。在管理流程中，需要强调几个问题。第一是操作风险计量方法的选择。巴塞尔新资本协议给出了基本指标法、标准法和高级计量法等计量方法。第二是内部控制问题。国内外的银行业的实践表明，内部控制是防范操作风险最有效和最重要的手段，而国内银行的内部控制体系比较薄弱，应从多方面对内控制度进行重点改进和加强。第三是风险指标的选择问题。风险指标的选择应该具有代表性、敏感性和实用性的特点，能够有效对风险状况进行监测。

3.2.6 风险信息库模型

操作风险管理信息库是操作风险管理系统平台的核心，是贮存基本信息的记忆库。考虑到操作风险管理平台面向的用户、对数据的利用、数据吞吐量以及性能等各方面的要求，操作风险信息库模型可以按照以下规划来实现。

基于操作风险管理系统平台建立起基础数据管理信息库，操作风险业务操作信息库及关联数据信息库，逐步采集和完善风险损失数据库，为将来的操作风险管控模型和方法的改善积累数据。在此基础上，逐步建立风险信息索引库，通过基础数据信息的加工、抽取及提炼实现对操作风险管理体系、业务流程及人员管控的基础支撑，辅助建立良好的银行操作风险管理文化。

3.2.7 风险管理平台访问结构

在操作风险管理平台访问层面，考虑到当前的流行模式以及未来的发展情况，着重实现平台的管理门户及桌面，通过搭建ESB服务总线完成对数据共享和集成的需要，择机实现手机等手持终端设备的访问途径。

3.3 功能体系

银行操作风险管理系统平台业务功能体系结构图：

3.3.1 风险管控

风险管控是银行操作风险管理系统平台的核心业务体系，涵盖操作风险管控主流程的实现以及主流程内各个环节的业务核心功能实现，在此过程和基础上积累起风险损失数据，通过建立合理的数据分析模型实现整个银行操作风险管理控制的决策层数据依据和支持。另外还涉及到银行操作风险应急处理等。

3.3.1.1 风险识别

3.3.1.1.1 风险定义分类

风险定义及分类是实施操作风险管理工作的第一步，是整个操作风险管理流程体系的基础。其主要工作是对操作风险进行采集、定义及合理分类。目前，银行业界对操作风险的分类比较权威的参考是银监会的四分法和巴塞尔委员会的七分法，但与现实中商业银行所面对的操作风险都有一些出入，操作风险管理系统平台提供合理的设计和灵活的定义及分类方案，协助商业银行通过系统平台结合自身情况，合理划分并定义自身操作风险。

3.3.1.1.2 风险调查

制定风险调查业务方式、流程及风险调查资料，可以通过在线风险调查或离线风险调查，以调查报告形式完成总体风险采集识别情况，作为风险定义、分类及评估的基础信息及增益补充。

3.3.1.1.3 风险映射

操作风险的识别过程实际上就是对金融机构业务活动的各个阶段进行风险映射(risk mapping)，从而识别操作过程中的关键风险因素。风险映射作为操作风险管理的基础，它与市场风险和信用风险不同，需要对全过程有一个深入的理解，风险映射方法的设计要求它能够识别和包含所有相关的风险，这样可以使金融机构在分析操作失败的原因的同时，能够把产生的财务损失后果连结到问题源头的组织。这是商业银行对操作风险进行透明化衡量和报告、对与商业银行风险偏好不相符合的风险暴露进行预测和采取行动的关键。

风险映射是一种系统方法，它能够提炼出针对特定任务的关于过程失败的相关信息，同时它也能够提炼多维的风险衡量与管理的指示信息。

风险映射对于操作风险管理具有重要的意义。第一，通过风险映射过程可以使我们对特定操作风险事件的成因和后果有一个深入的理解：具体是什么资源失败了(人、过程或系统)；问题产生于组织中的哪一部分，组织的其他部分会受到什么影响；这一问题的后果是什么(包括财务及其他后果)。第二，可以通过风险映射活动建立操作风险数据库，或至少是可量化的信息，并用于衡量和管理操作风险：运用统计方法对操作风险的概率和损失后果进行直观的衡量；按照每一个风险的相对重要性，设计关键控制活动，配置相应的资源；识别和计算关键风险指标(key risk indicator，简称KRI)，以便预测风险暴露的变化，对可能产生的问题作出迅捷的反应。

3.3.1.1.4 风险定级

综合风险定义、分类、风险影射及后期的风险综合评估为银行操作风险进行定级，从整体风险分类上对风险制定适合的风险应对。

系统平台提供灵活的风险定级评定策略和手段，提供灵活的定级模型和流程。

3.3.1.2 风险评估

在对操作风险进行识别后，商业银行就需要评估所面临的操作风险，以确定哪些风险是银行可以承担的，哪些风险是银行不能够接受的，从而确定操作风险管理和转移的策略。在整个操作风险管理流程体系中，操作风险评估工作起着承上启下的作用，操作风险评估的结果可以作为操作风险监测和检查的参考。

3.3.1.2.1 关键风险点

银行操作风险贯穿于银行各部门各业务的全过程，仅以业务单位为基础分析操作风险也是不够的，在实际业务活动中，过程某一环节的失败可能导致其他环节的失败，并会使不同的业务单位由于它们介入了同样的业务过程而同时产生损失。

通过对操作风险的全面分析以及操作风险关键风险指标的对应，需要识别关键活动(过程映射)，通过对业务操作风险全过程实施的业务活动、由哪些部门参与、如何实施等事项关键点的清晰描绘，风险管理者能够专注于检查业务过程，而不至于迷失于组织结构或内部政策，便于风险管理者识别操作过程的关键元素、潜在缺陷和非效率性，更有效的制定操作风险的应对措施和缓释模型。

3.3.1.2.2 风险评估模型

在对操作风险予以清晰界定与识别基础上，就要在内部经济资本和外部监管资本约束意义上为商业银行的操作风险管理分配资本，这就必然涉及到对操作风险资本的精确计量。

国际活跃银行一致认为操作风险需要通过定性和定量相结合的方法进行测量。定性方法主要是依靠内外部审计报告、管理报告、财务报告、政策规定，由专家评估操作风险，估计风险损失大小。定量方法的关键——操作风险计量技术目前仍处摸索阶段，但向信用风险和市场风险的计量方法看齐的发展方向十分明确。为此，巴塞尔委员会在积极采纳国际先进银行关于对操作风险量化管理成功做法基础上，根据不同国家和不同管理水平，为商业银行提供了三种可供选择的关于给操作风险分配资本的计算方法，即基本指标法、标准法和高级计量法。国际活跃银行还提出了其他一些模型方案，比较著名的有损失分布法、因果关系模型法等。但整个银行业至今没有形成统一的测量模型，其主要因为操作风险的模型基本由各家银行自行研究建立，所依赖的内部历史数据与其他银行区别很大，对各类操作风险发生概率和损失大小的分析判断都不尽相同。

系统平台提供全面的操作风险评估模型，并针对不同的银行体系和需要定制符合自身业务发展和管理需要的风险评估模型，为有效的操作风险资本计量提供计量方法和模型。

3.3.1.2.3 评估情景模拟

在操作风险评估计量模型的基础上，设定不同的模型情景条件和约束，进行测试模拟，通过变化情景条件和约束，推演模拟不同条件下风险走势和发展，据此制定完善的风险应对计划和缓释方案。

3.3.1.2.4 风险全景地图

根据风险识别以及对全行风险关键点的积累，绘制银行风险全景地图，按照不同的风险等级、风险发展趋势、风险预期损失程度、风险发生频率等条件勾勒出银行风险全景地图，也可按照不同业务线及业务部门进行勾勒，为高层制定风险管控战略策略及应对方案提供基础数据依据，也为风险监管提供可量化数据基础。

3.3.1.3 风险损失数据

3.3.1.3.1 损失数据采集

操作风险损失事件数据是银行制定风险计量模型、制定风险应对策略、分配风险管理资本的基础，也是一个持续的过程，需要充分保证损失事件数据的全面性、充分性、关联性和完整性，操作风险管理系统平台应提供在线及离线两种方式相结合的形式充分保证损失事件数据的采集和积累，制定完善的损失事件数据标准及形式，逐步建立起操作风险损失事件数据信息库。

3.3.1.3.2 损失数据审查

操作风险损失事件数据的采集是一个严谨的业务过程，要在完善的采集数据流程下逐环节实现对数据的审查和控制工作，保证损失事件数据的合理性，为后期提供合理的数据分析、推演正确的风险走势及制定合理的操作风险应对计划提供基本依据。

3.3.1.3.3 损失数据分配

操作风险损失事件涉及到跨越整个事件所延伸和涉及的业务部门及业务线，可以通过不同的风险事件损失分配机制将损失数据分配到不同的业务线和环节点，为制定更加准确的风险管理资本提供数据计划依据。

3.3.1.4 风险预警

3.3.1.4.1 关键风险指标

风险损失数据库是一个回溯检视工具，能表示在过去何处出现损失，损失的规模有多大，但无法预测及反映当前的风险是什么、将会有什么损失。关键风险指标体系的建立，则可以为操作风险管理者提供反映当前特定业务部门中风险水平的相关数据。

操作风险关键风险指标体系是反映操作风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施）。关键风险指标应该随着时间而变化。新风险出现，需要更换新的关键风险指标。当风险管理者对业务更为熟悉时，可以进一步追溯因果关系链。操作风险关键风险指标体系的确立是一个反复进行的过程，最终我们将得到一套精确的指标体系。

3.3.1.4.2 风险趋势模拟

操作风险关键风险指标体系的确立，为操作风险监测提供了基础，监测工作也多半通过对关键风险指标的跟踪来预测操作风险的变化，实现针对性应对和管理。

风险趋势模拟提供一种机制，针对某种操作风险指标，设定其发展环境和条件，来判定关键风险指标定期定量趋势分析，使得可在相应操作风险关键风险指标有异常变化之初就能判定其走势和取向，获得最佳的风险控制条件和环境。

3.3.1.4.3 风险计划映射

实现操作风险向风险执行计划的映射，当操作风险发生及变化时，有效的识别出关键操作风险环节和指标，触发风险执行计划，做出风险预警。

3.3.1.5 资本计量

3.3.1.5.1 资本计量模型

在对操作风险予以清晰界定与识别基础上，就要在内部经济资本和外部监管资本约束意义上为商业银行的操作风险管理分配资本，这就必然涉及到对操作风险资本的精确计量。为此，巴塞尔委员会在积极采纳国际先进银行关于对操作风险量化管理成功做法基础上，根据不同国家和不同管理水平，为商业银行提供了三种可供选择的关于给操作风险分配资本的计算方法，即基本指标法、标准法和高级计量法。

在各种利益管理中从新资本协议对商业银行操作风险管理的基本方法、实施基础、管理框架、管理文化、汇报体系等五个方面提出的充分必要条件看，国内银行业在操作风险管理方面尚处在起步阶段，就采用何种计量方法为操作风险分配资本尚未有统一的成熟条件和环境。还需要在基本指标法、标准法和高级计量法之间根据自身银行实际情况做出合理选择，需要在如何控制外部监管资本，如何降低资本占用及如何提高经济资本使用效率之间做出权衡。

操作风险管理系统平台提供尽可能灵活的风险计量方法模型，并保持高度灵活的未来计量模型扩展性，使银行可根据自身情况定制选择符合自身发展的资本计量模型。

3.3.1.5.2 风险资本分配

操作风险资本计量模型作为商业银行风险计量方法，一定程度上提供了一种资本计量的手段，但商业银行合理的资本分配还需要多方面条件的综合考虑，商业银行需要在提升经济资本使用效率与提高风险管理水平之间做出权衡，在追求提高各类资产质量与降低操作风险管理成本之间做出权衡。要将风险文化、风险敏感度和计量成本这三要素之间进行权衡。基于这些指标和条件，制定出合理的风险资本分配。

3.3.1.6 风险缓释

3.3.1.6.1 风险缓释模型

风险缓释是指根据风险评估的结果，对不同的操作风险所采取的风险态度。如果风险管理价值为负，说明该类操作风险无法通过管理有效缓释，应进行回避，反之，如果风险管理价值为正，则说明通过该类操作风险的管理，可以为银行带来一定的收益，应与承担，并须实施相应的管理措施。

操作风险应对的管理措施主要包括内部控制、保险、外包和资本准备。内部控制是商业银行实施的主动风险管理，是商业银行管理操作风险最主要和最基本的措施；保险、外包和资本准备则是商业银行采取的被动式的风险管理措施，其中，保险是借助保险公司对无法预计的操作风险损失实施的一种较为有限的或然保障，外包是根据比较优势原则将相关业务外包的同时局部地转移了相应的风险。资本准备是从价值上对无法预计的操作风险损失进行的补充准备。

基于以上不同的风险应对措施，应建立起不同侧重的风险缓释模型，并将操作风险按照不同的分类向风险缓释模型映射，明确不同操作风险有效的应对机制和缓释策略。

3.3.1.6.2 风险执行计划

基于全面的操作风险评估、风险报告和风险缓释模型的映射，针对不同的操作风险制定有效的策略，定义风险执行计划，作为风险监测异常时的有效应对。

3.3.1.7 风险监管

综合操作风险、关键风险指标和应对措施，商业银行要对风险暴露情况进行定期的监测和检查。内容包括控制是否发生作用、风险暴露是否变动和是否需要采取相应行动，涉及到流程监管、趋势监管、执行监控等，在商业银行日常工作中，需要定期对风险诱因、关键风险指标、内外部损失数据、因果模型、操作风险资本计量模型以及绩效测评方法等进行监测，以更好的应对不断变化的操作风险管理环境。

3.3.1.7.1 风险流程监管

主要针对操作风险的关键处理流程进行跟踪监管，保证流程各个关键环节的有效性和及时性。

3.3.1.7.2 风险趋势监管

对操作风险出现后的变化趋势进行监管，以保证风险变化在银行操作风险控制管理的容忍度和喜好度之内，对异常趋势变化风险能够进行前期预警提醒和控制。

3.3.1.7.3 计划执行监控

对操作风险应对执行计划进行监控，对计划执行的过程进行跟踪，确保风险应对计划执行的及时性和完整性。

3.3.1.7.4 损失事件析查

针对操作风险损失事件数据进行分析和追查，按照业务环节、岗位、金额、时间等不同指标分析银行发生的操作风险损失事件（案件），形成损失事件调查报告，使损失与风险监管指标，应对计划进行有效的映射和对应，为将来的操作风险损失事件管理工作积累数据基础。

3.3.1.7.5 风险跟踪日志

全程记录风险业务及处理操作日志，作为平台可查验和分析的记录依据。包括处理风险人员日志和系统自动进行的全过程跟踪痕迹。

3.3.1.7.6 风险报告

操作风险报告制度是实现操作风险管理工作信息沟通与反馈的主要桥梁。根据及时充分的风险报告，管理者可以适时做出反映，并将管理信息及时传递出去，确保操作风险能够得到最有效的管理和控制。目前，商业银行操作风险报告工作主要包括两个纬度，一个纬度是商业银行系统内的操作风险报告，包括下级机构对上级机构的汇报、主管机构对管理层的定期报告等；另一个纬度是商业银行按照监管要求的对外报告，其主要包括向银监会的报告和相关市场信息披露等。商业银行应根据不同的管理需要设定不同的风险报告内容。风险定义、风险识别、风险评估、风险应对、风险监测/检查的成果都是很好的风险报告信息来源。

操作风险系统平台应在操作风险管理流程体系的基础上制定风险报告的管理机制和处理流程，保证风险报告的上传下达和披露公开。

3.3.1.8 风险数据分析

3.3.1.8.1 风险分布分析

按照不同的业务维度、风险指标及风险控制体系对银行风险整体分布进行分析和解读，形成风险分布报表及图表，为高层决策者提供决策依据和政策基础。

3.3.1.8.2 损失分布分析

按照业务环节、岗位、金额、时间、损失事件的程度、频率、影响度等不同指标和纬度分析银行发生的操作风险损失事件（案件）及其分布情况，对损失事件的发展进行预估，形成损失分布情况的报表和图表，为制定风险应对计划和方案提供依据。

3.3.1.8.3 风险趋势分析

对不同的操作风险变化趋势进行分析归纳，形成趋势分析报表或风险趋势分析报告，为审查和评估风险应对计划和措施的有效性提供依据。

3.3.1.8.4 风管状况分析

按照不同的维度全面解读分析银行操作风险管理控制情况，包括风险的业务线分布、不同风险应对计划涵盖的风险控制点、风险管理人力物力及资本的安排状况等。

3.3.1.9 风险应急处理

3.3.1.9.1 应急事件处理

操作风险管理不仅体现在对人员、系统、流程的管理，还体现在对突发性事件的应急管理。应急管理就是要确保突发性事件（如自然灾害、系统故障、通讯中断、人为破坏、服务提供者出现故障以及其他环境因素等）发生时，银行能及时做出应对，一方面保证业务得以继续开展或尽快恢复正常运作，将损失减至最低。另外更重要的是形成一套完整的应急时间处理机制及预案，对事件进行跟踪记录和处理。

3.3.1.9.2 风险应急预案

针对银行操作风险中可能遇到的应急事件，除了制定相应的策略、政策以及灾备等环境条件应对紧急突发事件外，从操作风险管理控制本身的角度出发也应制定一套应急和危机管理预案，开展员工培训，组织方案演练，定期检查应急准备和管理情况，确保能够有效应对。

3.3.1.9.3 应急模型模拟

操作风险管理系统平台提供应急预案模型模拟，可以设定紧急突发事件环境和条件，组织培训和模拟演练，检测风险应急预案的有效性和针对性。

3.3.1.9.4 应急数据分析

对操作风险应急突发事件全数据进行分析归纳，形成分析报表或分析报告，为制定银行紧急突发事件处理应对计划和措施提供依据。

3.3.2 风险文化

商业银行必须自上而下建立、倡导、执行操作风险管理文化。

以董事会和高级管理层为代表的银行高层人员应首先提高对操作风险的认识程度，把操作风险作为风险管理的核心内容和基础工作，制定出有效的适用的操作风险管理政策、制度和指导措施，在全行内部倡导操作风险管理的理念，把操作风险管理作为事关银行业务永续发展的重要工作进行宣传。

尤其是通过学培体系建设，风险信息索引积累逐步建立起相对完善的风险学习认知平台，对各管理层次、各部门、各岗位开展操作风险培训，培育和提高每一个人的操作风险意识，使之掌握识别、分析、度量和控制操作风险的基本方法。应将操作风险管理落实在每一个员工的职责、行为中，加强监督和考评，辅以有效的激励奖励机制，逐步完善银行的风险文化。

3.3.2.1 风险约束

提供合适的信息发布和披露手段，协助进行对银行风险战略、决策、制度、法规以及操作风险相关规范的发布和传递，除了这些文件决议性的信息外，风险约束还包含银行操作风险管理所涉及的一些关键流程、控制以及风险模型介绍。

3.3.2.2 在线学培

提供多种学培手段和信息相结合的在线学培平台，为辅助建立完善的操作风险管理信息知识传达和业务认知提供途径，可以管理基于某项法规政策、指导原则或者风控经验的专项课程，可以支持虚拟教室、在线学习、在线考核等学习活动，支持知识资源的下载。

按照实际需要，可考虑按照统一学习和自助学习等不同形式的实现。

3.3.2.3 风险信息索引

建立全平台操作风险信息资料库，运用有效的手段进行风险信息分类、归并和关联，组织起风险信息全索引，在此基础上提供关键属性检索、属性组合检索和全文检索。

3.3.2.4 风险举报

通过合理的风险举报上进下达流程、便捷的风险举报业务入口以及合理的线上线下激励措施建立有效的风险举报手段和机制。使各条业务线及时的发现总结实际业务中出现的风险趋势点和关键环节以及由此带来的风险损失度量，是各项操作风险能及时的进行向上汇报和反馈，有效的得到补救和针对性应对。并通过不过的发现、举报、审计这些日常业务线的风险点，更完善的积累起整个银行的风险信息地图。

3.3.3 辅助工具

辅助工具体系是操作风险管理系统平台进行业务执行，信息传达的有效辅助，包括内部邮件，短信服务，即时通讯以及个人知识库等。

3.3.3.1 内部邮件

建立操作风险管理机构体系内的内部邮件平台，辅助进行信息传达，可以作为独立的信息配送方式，也可以与业务及流程结合，实现信息的自动回复和提醒。支持常用收发邮件功能，包括邮件收取、撰写、发送、转发、回复等。支持 SMTP、ESMTP、POP3 等邮件收发协议，既可以作为系统内部信息传递机制，也可以与现有邮件系统进行整合，支持邮件互通。

3.3.3.2 短信平台

建立短信平台实现手机短信的定制及收发，作为辅助信息传达的有效手段，可以与操作风险管理系统平台业务体系集成，进行重要邮件、会议、通知、公告消息的短信通知。可以对个人任务或备忘录进行有效提醒。与业务工作流密切结合，对各种业务流程环节及重要审批进行通知等，也可以与系统管理及安全保障体系结合，利用短信方式进行验证工作，是实现系统平台与移动互联的主要辅助信息手段。

3.3.3.3 即时通讯

实现操作风险管理系统平台组织体系内人员即时通讯，进行工作协同沟通及文件传递等，与银行操作风险管理框架组织紧密结合与集成，限于体系内部人员通讯。实现方式类似MSN、QQ等即时通讯工具，可与业务信息紧密衔接，实现业务信息的及时提醒。

3.3.3.4 个人知识库

在风险文化体系建设的基础上，提供个人知识库，为个人风险意识、知识、实际操控能力以及经验共享提供平台。

个人可以在操作风险管理系统平台风险文化信息体系尤其是风险信息索引的基础上建立并管理个人风险相关资料目录的创建、划分及归并等，并提供良好的检索和共享机制，方便风险资料、知识的检索、传递和共享。

3.3.4 系统管理

操作风险管理系统平台配置运行环境核心体系，是整个系统得以正常运作的基础支撑。包括组织机构管理，用户管理，权限管理，配置管理等。

3.3.4.1 组织机构管理

通过系统中良好的组织机构管理，将平台用户与用户环境的组织机构关联起来，使得系统平台用户体系良好的映射到实际行政业务体系，方便用户管理，权限管理等。平台管理员对使用管理平台系统的所有部门进行管理，具体功能包括新增、维护等。

在银行操作风险管理平台系统中，组织机构管理分为两个方面：

一是整个银行金融体系的组织系统管理；

二是银行操作风险管理框架体系的组织系统管理。

3.3.4.2 用户管理

提供对所有使用平台的人员进行控制和管理，包括：用户账号信息管理、用户基本属性管理、用户扩展属性管理、用户平台角色管理、用户权限委派和用户分类检索等功能。

3.3.4.3 权限管理

不同职责，处在组织体系中不同岗位的人员，对于系统操作的权限是不同的。通过权限管理来实现访问权限分配、准入和检测，让经过授权的用户可以正常合法的使用已授权功能，而对那些未经授权的“非法用户”拒之门外。

权限分为两部分：功能权限和资源权限。在实际的权限管理实现中，一般采用权限、角色和组的映射和对应来管理。

3.3.4.4 数据字典

为操作风险管理系统平台提供基础元数据字典管理，包括元数据的增删改查等操作，对元数据提供必要的数据缓存和优化处理机制。

3.3.4.5 配置管理

提供基础的软件配置工具和配置门户页面，维护支撑操作风险管理系统平台正常运行的基本参数，调整系统平台运行的相关业务处理机制等。

3.3.4.6 流程管理

对操作风险管理系统平台中各业务功能中的业务流程进行版本控制，流程模拟和跟踪等流程管理。

3.3.4.7 日志管理

进行日志管理和分析，便于系统运行状态的跟踪和排错、监控。日志分为系统日志、操作日志等。

第四章技术路线规划

4.1 总体思路

总体设计思路基于以下几点：

4.1.1 以金融基本支撑平台为基础

以多年积累的金融基本支撑平台为基础，采用统一的规范、技术体系和建设理念，维系金融平台的整体性和可拓展性。

4.1.2 标准开放的技术体系

在系统设计和实施过程中尽可能遵循相关标准和规范，包括国际标准、国家标准等。采用软件工业化的标准，遵从技术规范；采用开放的、标准的、主流的、成熟的系统平台、开发手段与信息技术规范。采用符合行业标准的应用集成技术。

4.1.3 采用先进成熟的技术和产品

采用先进、成熟的技术降低风险，保证系统的可用性，在此基础之上追求技术的相对先进性。

4.1.4 平台化、模块化、组件化

按照平台化、模块化、组件化的思路，解决因管理流程变化而需要不断开发或重建系统的难题。通过对应用中一些共性问题的归纳，提炼出一些与应用系统相对独立的、通用性的组件及管理工具，通过组件的拼接与复用，提高应对变化的灵活性。

4.1.5 安全保密

完整的进行信息系统的安全规划是操作风险管理系统平台实现的基础和根本，将贯穿研发实施的整个阶段。

4.1.6 分层设计

构建高效的应用软件架构，应具备良好的层次结构，各功能层次间的调用关系定义清晰，各层次的功能扩展与调整相对独立，不同的层次结构间的耦合关系尽可能的小。

4.1.7 企业服务总线（ESB）

借助企业服务总线（ESB）实现通信、互连、转换、可移植性和安全性标准接口。

4.1.8 企业应用集成（EAI）

操作风险管理系统平台涉及到要和其他银行业务系统进行数据集成和对接，借助企业应用集成（EAI）技术集成对接各种业务相关的系统、应用以及数据源，满足重要系统之间无缝共享和交换数据的需要。

4.2 技术路线

4.2.1 采用开放标准的技术路线

应充分考虑“标准和开放”的原则，要支持各种相应的软硬件接口，使之具有灵活性和扩展性，具备与多种系统互连互通的特性，在结构上实现真正开放。在系统建设中广泛采用遵循国际国内标准的系统和产品以便于平台的互联和扩展，综合反映在可移植性、互操作性和集成性上。

4.2.2 采用面向服务构架（SOA）的技术路线

面向服务的体系结构（service-oriented architecture，SOA）是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义的接口和契约联系起来。接口是采用中立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语言。使得构建在各种系统中的服务可以以一种统一和通用的方式进行交互。

SOA技术思想为松耦合提供了一种很好的解决方案。对松耦合的系统的需要来源于业务应用程序需要根据业务的需要变得更加灵活，以适应不断变化的环境，SOA可以从一个局部做起，以渐进的方式向SOA架构演进，最大程度地规避项目风险，降低初期投入。

4.2.3 采用全程建模的技术路线

模型是现实世界中的某些事物的一种抽象表示。采用全程建模的方式完成软件从业务到设计的全过程，保证产品全过程的可控制、可视化。

4.2.4 采用基于大颗粒构件复用和基于平台的技术路线

将公用的部分抽象成为应用的基础平台，对应用系统进行集中、统一的规划，制定相应的技术标准，并在此基础上进行系统的开发与管理。

4.2.5 采用Web Service技术实现系统跨平台

采用基于XML和Web Service的异构系统综合服务解决方案。从而解决系统的跨平台问题。Web Service是实现应用程序间互操作的一种全新机制，通过网络实现不同应用系统问的整合和远程过程调用。Web Service可以在基于不同操作系统、不同程序语言之上的分布式应用系统之间进行信息交换和互操作。

4.3 设计约束

4.3.1 架构约束

架构约束包括应用架构约束、数据架构约束、基础设施架构约束等部分内容。

l 应用架构约束

基于分层，接口明确。

l 数据架构约束

数据库设计遵循关系数据库的规范化理论，数据库建模基于统一的元数据管理机制。

l 基础设施架构约束

满足系统对安全、效率的需求，并可进行各种数据的传输。

4.3.2 构件约束

对于构件，应按通用程度分类、接口和实现充分分离以及明确接口的原则加以确定。将构件分成基础构件、通用构件和领域构件三种类型，根据实际情况确定并加以实现。同时，明确所使用的构件的特性，提供其在部署时的策略。

4.3.3 接口约束

接口遵守XML标准和服务调用SOAP等标准，数据采用XML的方法提供给各系统。

第五章系统平台建设路线规划

银行操作风险管理系统平台建设可按照“统筹规划、分期建设、逐步完善、相互促进”的建设原则：

前期侧重建立基础支撑平台，建立基本风险管控体系，逐步建立风险损失信息库；

在逐步完善基本风险控管业务流程，逐步积累风险损失信息的基础上，持续完善建立操作风险计量模型，并使得风险管控体系趋于完善。建立辅助工具体系，为操作风险管理提供日常工具支撑；

后期在逐步积累的风险信息数据库的基础上，逐步完善风险数据分析体系，完善风控领导决策支撑和风险应对预案，真正建立起全面完善的银行操作风险管控平台。

相关推荐