附录三 操作风险损失数据收集规则

商业银行操作风险本钱计量指引〔第二次征求定见稿2021年4月〕第一章总那么第一条为尺度商业银行操作风险监管本钱计量，按照中华人民共和国银行业监督办理法、中华人民共和国商业银行法及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的实施新本钱协议的商业银行法人机构适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损掉的风险。

本定义所指操作风险包罗法律风险，但不包罗策略风险和声誉风险。

第四条中国银行业监督办理委员会〔以下简称银监会〕依法对商业银行的操作风险的监管本钱计量实施监督查抄。

第五条商业银行计量操作风险监管本钱的方法包罗〔按计量复杂程度从初级到高级排序〕：底子指标法、尺度法〔含尺度法替代形式〕、高级计量法。

银监会鼓励商业银行使用更高级的计量方法。

商业银行初度计量操作风险监管本钱，必需事先向银监会申请使用尺度法〔含尺度法替代形式〕或高级计量法，经批准前方可实施。

经银监会审查不符合高级计量法资格尺度的，应采用尺度法〔含尺度法替代形式〕计量操作风险监管本钱；不符合尺度法〔含尺度法替代形式〕资格尺度的，应采用底子指标法计量操作风险监管本钱。

第二章底子指标法第六条商业银行采用底子指标法计量操作风险监管本钱要求，应按照银监会发布的商业银行操作风险办理指引的要求，成立操作风险办理框架，将操作风险办理作为主要风险办理本能机能纳入全行风险办理体系。

第七条总收入定义为净利息收入与净非利息收入之和。

总收入中不扣除各项损掉筹办和营业费用，但应扣除银行账户上“持有至到期日〞和“可供出售〞证券实现的损益、非正常工程收入和保险业务收入〔总收入计量参考规那么见附录一〕。

底子指标法关于总收入的定义同样适用于尺度法和尺度法替代形式，也适用于尺度法和尺度法替代形式中各业务条线总收入的定义。

第八条底子指标法下，操作风险监管本钱等于银行前三年中各年正的总收入之和乘以15%的算术平均值。

银行操作风险事件及损失数据收集（LDC）管理办法(1.0版，xxx年)第一章总则第一条为进一步规范我行操作风险事件及损失数据收集与报告工作，以便全面、及时掌握我行操作风险及损失情况，有效防范和控制操作风险、减低损失，根据中国银行业监督管理委员会（以下简称“银监会”）下发的《商业银行操作风险管理指引》及《商业银行资本管理办法（试行）》等相关规定，制定本办法。

第二条操作风险事件是指由不完善或有问题的内部程序、员工、信息科技系统，以及外部事件所造成财务损失或非财务影响的事件，包括法律风险事件，但不包括策略风险事件和声誉风险事件。

操作风险事件包括操作风险损失事件和操作风险非损失事件。

操作风险损失事件是指给我行造成了直接经济损失的操作风险事件。

操作风险非损失事件是指虽未对我行造成直接的经济损失，但对我行营运、客户、监管、声誉等方面造成了非财务负面影响的操作风险事件。

第三条操作风险事件及损失数据收集应遵循“全面性、及时性、重要性、完整性、统一性、谨慎性、保密性”的基本原则。

（一）全面性原则。

对于本办法中规定应收集的操作风险事件及损失数据均需收集，不得瞒报、漏报。

（二）及时性原则。

应及时确认、完整记录、准确统计操作风险事件所导致的财务损失或造成的非财务影响，避免因时效问题造成当期统计数据不准确。

（三）重要性原则。

在统计操作风险事件及损失数据时，要对损失金额较大、非财务影响较严重以及发生频率较高的事件进行重点关注和整改。

（四）完整性原则。

收集操作风险事件及损失数据，应详尽收集所有必要信息，确保信息的准确性，并如实进行完整记录及上报。

（五）统一性原则。

全行对于操作风险事件及损失数据的统计标准、收集范围、程序和方法应保持相对一致，确保统计结果客观、准确，并具有可比性。

（六）谨慎性原则。

应审慎确认操作风险损失，进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。

（七）保密性原则。

对于收集管理过程中的保密信息，未经批准不得擅自对外提供或披露，避免对我行造成不良影响。

以下哪些事件应纳入操作风险损失事件收集范围？
2010年某支行柜员因病未能来行上班，支行多次联系后，称在家中不慎跌倒，摔
伤，需静养休息。
2008年某分行员工在陪客户用餐途中，被本行员工驾驶的他人车辆撞伤，经抢救
无效死亡。
2013年12月某支行员工因昨晚与朋友喝酒，导致第二天旷工，无法正常上班。
实物资产损 失
对外赔偿
账面减值
权益丧失
监管罚没
法律成本
由于疏忽、事故 或自然灾害等事 件造成实物资产 的直接毁坏和价 值的减少。
由于内部操作风 险事件，导致商 业银行未能履行 应承担的责任造 成对外的赔偿。
由于工作失误、 失职或内部事件， 由于偷盗、欺诈、 使原本能够追偿 因操作风险事件 未经授权活动等 但最终无法追偿 所遭受的监管部 操作风险事件所 所导致的损失， 门或有权机关罚 导致的资产账面 或因有关方不履 款及其他处罚。 价值直接减少。 行相应义务导致 追索失败所造成 的损失。
重要性
要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注 和确认。 要遵循全行一致的损失数据收集标准、范围、程序和方法，以确保结 果客观、准确及可比。 损失事件发生后，要及时确认、记录和报送损失事件，避免因处理延 后造成当期统计数据不准确。 在对操作风险损失进行确认时，要保持必要的谨慎，进行客观、公允 统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况
2011年某支行发现，由于我行的理财产品收益明显低于他行平均水平，导致客户
纷纷选择他行产品，导致我行对私客户最近大量流失；
操作风险损失事件收集内容
需要收集的操作风险损失事件的判断标准是什么？若损失都被挽回、获得保
险公司的全额赔付、全部由员工或第三方承担，相关事件还需要收集吗？

银行操作风险事件及损失数据收集（LDC）管理办法(1.0版，xxx年)第一章总则第一条为进一步规范我行操作风险事件及损失数据收集与报告工作，以便全面、及时掌握我行操作风险及损失情况，有效防范和控制操作风险、减低损失，根据中国银行业监督管理委员会（以下简称“银监会”）下发的《商业银行操作风险管理指引》及《商业银行资本管理办法（试行）》等相关规定，制定本办法。

第二条操作风险事件是指由不完善或有问题的内部程序、员工、信息科技系统，以及外部事件所造成财务损失或非财务影响的事件，包括法律风险事件，但不包括策略风险事件和声誉风险事件。

操作风险事件包括操作风险损失事件和操作风险非损失事件。

操作风险损失事件是指给我行造成了直接经济损失的操作风险事件。

操作风险非损失事件是指虽未对我行造成直接的经济损失，但对我行营运、客户、监管、声誉等方面造成了非财务负面影响的操作风险事件。

第三条操作风险事件及损失数据收集应遵循“全面性、及时性、重要性、完整性、统一性、谨慎性、保密性”的基本原则。

（一）全面性原则。

对于本办法中规定应收集的操作风险事件及损失数据均需收集，不得瞒报、漏报。

（二）及时性原则。

应及时确认、完整记录、准确统计操作风险事件所导致的财务损失或造成的非财务影响，避免因时效问题造成当期统计数据不准确。

（三）重要性原则。

在统计操作风险事件及损失数据时，要对损失金额较大、非财务影响较严重以及发生频率较高的事件进行重点关注和整改。

（四）完整性原则。

收集操作风险事件及损失数据，应详尽收集所有必要信息，确保信息的准确性，并如实进行完整记录及上报。

（五）统一性原则。

全行对于操作风险事件及损失数据的统计标准、收集范围、程序和方法应保持相对一致，确保统计结果客观、准确，并具有可比性。

（六）谨慎性原则。

应审慎确认操作风险损失，进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。

（七）保密性原则。

对于收集管理过程中的保密信息，未经批准不得擅自对外提供或披露，避免对我行造成不良影响。

商业银行操作风险管理指引第一章总则第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。

操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：(一)董事会的监督控制；(二)高级管理层的职责；(三)适当的组织架构；(四)操作风险管理政策、方法和程序；(五)计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。

主要职责包括：(一)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；(三)定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；(四)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；(五)确保本行操作风险管理体系接受内审部门的有效审查与监督；(六)制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

操作风险损失事件填报共性问题总结一、损失事件填报问题总结：1.大部分分公司“发现部门”填写错误，有大量分公司针对行政处罚决定书，填写的发现部门是其支公司。

在此统一填报要求，针对内部审计发现的问题，“发现部门”都应填写审计部门；针对外部监管发现的问题，“发现部门”都应填写分公司风险管理部门。

2.有部分分公司对审计发现的问题进行选择性填报，没有填报审计报告涉及的所有操作风险损失事件。

例如有分公司针对审计报告发现的问题只选择性录入了两条损失事件，对审计报告中指出的“个别会计科目列支不规范”、“投保单填写欠规范”等其他问题没有进行录入。

希望各分公司、营业部以后对审计报告发现的问题进行完整填报。

3.在“发现时间”填写上需要统一标准。

针对监管处罚发现的问题，部分分公司按照监管机构进场时间填写“发现时间”，部分分公司按照收文时间填写“发现时间”。

在此统一“发现时间”的填报标准，一律采用行政处罚决定书的收文时间。

4.部分分公司对操作风险损失事件的“发现途径”填写错误。

部分分公司针对当地保监局的行政处罚决定书填报的“发现途径”是“保监会发现”或者“外部举报”，实际上应当填写保监局发现。

5.部分分公司将两个监管处罚报告涉及的同一损失事件进行拆分填报，存在问题。

很多保监局针对一项违法行为连续下达多个行政处罚决定书，既有针对机构，也有针对责任人。

在填报过程中，对于一个操作风险损失事件的损失金额要将这些行政处罚决定书中的处罚金额加总，而不是按照行政处罚决定书的数量拆分成多个同样的事件。

6.针对同一监管处罚决定书涉及的两个以上操作风险损失事件，部分分公司在每个损失事件的损失金额确定上存在问题。

例如某保监局的行政处罚决定书涉及“将没有兼业代理资格的车商代理业务虚挂为个人代理业务”以及“不严格执行条款费率”两个操作风险损失事件，针对第一项违法行为，保监局决定对分公司罚款6万元；针对第二项违法行为，保监局决定对分公司罚款11万元；综合以上情况，保监局决定对该分公司罚款17万元。

ⅩⅩ银行损失数据收集管理暂行办法第一章总则第一条为全面贯彻和落实《ⅩⅩ银行股份有限公司操作风险管理政策》（ⅩⅩ董〔2010〕13号，下称“政策”）和《ⅩⅩ银行操作风险管理实施办法》（ⅩⅩ办〔2010〕89号）对损失数据收集的有关规定，特制定本办法。

第二条本办法是操作风险管理政策的延伸，由总行风险管理部根据操作风险管理政策的相关原则进行制定与更新，并由总行风险管理委员会批准。

第三条本办法所谓损失数据收集，是指依据银监会监管指引规定以及本行操作风险偏好与管理需求所定义的收集范围，针对操作风险事件的相关信息，进行数据收集、内容分析、整改分析设计与执行、损失分配、内外部报告等工作过程。

第四条在操作风险管理体系建设初期，本办法所规范的损失数据收集主要针对内部损失数据。

第五条损失数据收集应遵循以下原则：(一）重要性原则。

在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。

(二）及时性原则。

应及时确认、完整记录和准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确。

—20—第1 / 184页(三）统一性原则。

操作风险损失事件的统计程序和方法要保持一致，以确保统计结果客观、准确及可比。

(四）谨慎性原则。

在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。

第二章职责分工第六条本行所有部门、单位、员工原则上均有收集和报送损失数据的职责和权利。

第七条总行风险管理部的具体职责包括：(一）制定损失数据收集管理办法，包括数据收集范围、标准和流程等具体规定。

(二）督促全行各业务单位损失数据收集工作的开展。

(三）定期汇总分析全行范围损失数据报告，分析重大或多发事件原因并釆取相应措施。

(四）监控重大损失事件所启动行动计划的实施进度。

第八条总行条线管理部门的具体职责包括：(一)审议通过本业务条线损失数据收集认定起点金额，并提交风险管理部备案。

操作风险事件及损失数据收集管理办法操作风险是指在组织或企业的运营过程中，由于人员操作不当、程序或系统错误或失误等原因，导致的损失或风险。

在这种情况下，管理人员需要及时采取措施来避免潜在的损失和风险。

因此，操作风险事件及损失数据收集管理办法是非常重要的。

一、定义操作风险事件操作风险事件包括但不限于以下几种情况：1.人为误操作，如误按、伪造、转移、泄露等；2.系统错误，如程序故障、网络故障等；3.外部战略环境变化，如政策限制、市场环境变化等；4.其他风险事件，如自然灾害等。

二、操作风险事件的管理1.建立风险管理制度建立针对操作风险事件的风险管理制度，包括制定操作风险事件的辨识、评估、控制和监管机制；2.风险辨识在操作风险管理过程中，首先需要对风险进行辨识和分类。

辨识风险的方法包括检查和审查现有程序、系统和工具，分析过去的事件并收集相关数据；3.风险评估评估风险的方法包括量化和定性分析，并通过确定影响风险大小的因素来确定风险等级。

4.风险控制控制风险的方法取决于操作风险的类型和特征。

对于人为误操作，主要通过加强对员工的培训和教育、加强监管控制等方式进行风险控制；对于系统错误，则需要通过技术措施进行防范和控制；对于外部战略环境变化，则需要制定应对措施；5.风险监管应建立一套完整的监管机制，通过监视和检查以及判断风险变化来进行检测和风险管理。

此外，也需要定期进行风险评估和控制，适时提出相关的改善意见。

三、操作风险事件及损失数据的收集管理1.数据收集收集操作风险事件及损失数据，包括定期整理相关数据和记录，以便进行风险分析和评估；2.数据分类对收集的操作风险事件及损失数据进行分类，并对数据进行相关性分析，以便进行风险评估；3.分析数据通过数据分析，找到操作风险的根本原因，并采取相应的措施进行风险控制和风险防范；4.数据报告通过相关数据报告，及时向决策者汇报操作风险管理情况，以便更加有效地进行管理控制。

总的来说，操作风险事件及损失数据收集管理办法是保障企业正常运转和利润稳定的关键。

银行业从业人员资格考试风险管理模拟42一、单选题(以下各小题所给的四个选项中只有一项符合题目要求，请选择相应选项)1. 操作风险损失数据的收集要遵循的原则。

A.客观性、全面性、动态性、标准化B.主观性、全面性、静态性、标准化C.主观性、全面性、动态性、标准化D.客观性、全面性、静态性、标准化答案：A[解答] 操作风险损失数据的收集是按照客观性、全面性、动态性、标准化的原则进行的，故正确答案为A。

2. 在操作风险经济资本计量的方法中，是指商业银行在满足巴塞尔委员会提出的资格要求以及定性和定量标准的前提下，通过内部操作风险计量系统计算监管资本要求。

A.内部评级法B.基本指标法C.标准法D.高级计量法答案：D[解答] 高级计量法是指商业银行在满足巴塞尔委员会提出的资格要求以及定性和定量标准的前提下，通过内部操作风险计量系统计算监管资本要求。

3. 下列关于风险管理文化的表述，正确的是。

A.风险管理文化一般由风险管理理念、知识和制度三个层次组成B.制度是风险管理文化的精神核心，是风险文化中最为重要和最高层次的因素C.风险管理的目标是消除风险并获取最大收益D.风险管理文化和企业文化是两个不同的范畴答案：A[解答] 风险文化，又称为风险管理文化，是企业文化的重要组成部分，是公司在经营管理活动中逐步形成的风险管理理念、哲学和价值，通过公司的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种公司文化。

风险管理文化一般由风险管理理念、知识和制度三个层次组成，其中风险管理理念是风险文化的精神核心。

风险管理的目标不是消除风险，而是通过主动的风险管理过程实现风险与收益的平衡。

4. 某商业银行2010年度资产负债表显示，其在中国人民银行超额准备金存款为58亿元，库存现金为10亿元，人民币各项存款期末余额为2688亿元，则该银行人民币超额准备金率为。

A.2.53%B.2.16%C.2.15%D.1.78%答案：A[解答] 人民币超额准备金率=(在中国人民银行超额准备金存款+库存现金)/人民。

附件12：操作风险资本计量监管要求一、基本指标法总收入定义总收入为净利息收入与净非利息收入之和。

总收入构成说明见表1。

二、标准法实施条件及业务条线归类（一）实施条件—1 —商业银行采用标准法，应当符合以下条件：1.商业银行应当建立清晰的操作风险管理组织架构、政策、工具、流程和报告路线。

董事会应承担监控操作风险管理有效性的最终责任，高级管理层应负责执行董事会批准的操作风险管理策略、总体政策及体系。

商业银行应指定部门专门负责全行操作风险管理体系的建设，组织实施操作风险的识别、监测、评估、计量、控制、缓释、监督与报告等。

商业银行应在全行范围内建立激励机制鼓励改进操作风险管理。

2.商业银行应当建立与本行的业务性质、规模和产品复杂程度相适应的操作风险管理系统。

该管理系统应能够记录和存储与操作风险损失相关的数据和操作风险事件信息，能够支持操作风险及控制措施的自我评估和对关键风险指标的监测。

该管理系统应配备完整的制度文件，规定对未遵守制度的情况进行合理的处置和补救。

3.商业银行应当系统性地收集、跟踪和分析与操作风险相关的数据，包括各业务条线的操作风险损失金额和损失频率。

商业银行收集内部损失数据应符合本附件第四部分的规定。

4.商业银行应当制定操作风险评估机制，将风险评估整合入业务处理流程，建立操作风险和控制自我评估或其他评估工具，定期评估主要业务条线的操作风险，并将评估结果应用到风险考核、流程优化和风险报告中。

5.商业银行应当建立关键风险指标体系，实时监测相关指标，并建立指标突破阈值情况的处理流程，积极开展风险预警管控。

6.商业银行应当制定全行统一的业务连续性管理政策措施，建立业务连续性管理应急计划。

7.商业银行负责操作风险管理的部门应定期向高级管理层和董—2 —事会提交全行的操作风险管理与控制情况报告，报告中应包括主要操作风险事件的详细信息、已确认或潜在的重大操作风险损失等信息、操作风险及控制措施的评估结果、关键风险指标监测结果，并制定流程对报告中反映的信息采取有效行动。

操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件，具体事件包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型（进一步的信息可参阅《统一资本计量和资本标准的国际协议：修订框架》，即巴塞尔新资本协议的“附录7：损失事件分类详表”）。

二、自我风险评估、关键风险指标商业银行用于识别、评估操作风险的常用工具。

（一）自我风险评估自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。

（二）关键风险指标关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。

关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施），具体指标例如：每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。

三、法律风险法律风险包括但不限于下列风险：1.商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的；2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的；3.商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的。

商业银行操作风险监管资本计量方法：标准法、替代标准法、高级计量法一，标准法1.每年的各个业务条线乘β系数的得a 。

2.每年的各个a 相加，以上各业务条线监管资本相加为负数的，当年的操作风险监管资本用零表示。

得b3.三年的b 相加，在除3K TSA= { 1-3年 max[(GI1-9×1-9),0]}/3其中:K TSA 为商业银行用标准法计算的操作风险资本要求；{ 1-3年 max[(GI1-9×1-9),0]} /3的含义是前三年操作风险监管资本的算术平均数；max[(GI1-9×1-9),0]的含义是当年的操作风险资本要求为负数的，用零表示；GI1-9 = 各业务条线当年的总收入；1-9 = 各业务条线对应的系数。

附录三操作风险损失数据收集规则一、操作风险损失事件定义本规则所称操作风险损失事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成银行发生直接财务损失的操作事件。

操作风险损失事件原则上不包括策略风险和声誉风险事件。

二、操作风险损失事件统计原则（一）重要性原则。

在统计操作风险损失事件时，要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。

（二）及时性原则。

应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确。

（三）统一性原则。

操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比。

（四）谨慎性原则。

对操作风险损失进行确认时，要保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，不得出现多计或少计操作风险损失的情况。

三、操作风险损失事件类型（一）内部欺诈。

指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括性别/种族歧视事件。

（二）外部欺诈。

指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行IT系统或逃避法律监管导致的损失事件。

（三）就业制度和工作场所安全事件。

指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视导致的损失事件。

（四）客户、产品和业务活动事件。

指因未按有关规定造成未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失事件。

（五）实物资产的损坏。

因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件。

（六）IT系统事件。

因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件。

（七）执行、交割和流程管理事件。

因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。

附录三操作风险损失数据收集规则一、操作风险损失事件定义本规则所称操作风险损失事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成银行发生直接财务损失的操作事件。

操作风险损失事件原则上不包括策略风险和声誉风险事件。

二、操作风险损失事件统计原则（一）重要性原则。

在统计操作风险损失事件时，要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。

（二）及时性原则。

应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确。

（三）统一性原则。

操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比。

（四）谨慎性原则。

对操作风险损失进行确认时，要保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，不得出现多计或少计操作风险损失的情况。

三、操作风险损失事件类型（一）内部欺诈。

指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括性别/种族歧视事件。

（二）外部欺诈。

指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行IT系统或逃避法律监管导致的损失事件。

（三）就业制度和工作场所安全事件。

指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视导致的损失事件。

（四）客户、产品和业务活动事件。

指因未按有关规定造成未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失事件。

（五）实物资产的损坏。

因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件。

（六）IT系统事件。

因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件。

（七）执行、交割和流程管理事件。

因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。

商业银行操作风险管理指引第一章总则第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。

操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：（一）董事会的监督控制；（二）高级管理层的职责；（三）适当的组织架构；（四）操作风险管理政策、方法和程序；（五）计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。

主要职责包括：（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

2021银行业初级《风险管理》章节详解第五章(2)第五章操作风险管理第二节操作风险评估商业银行须评估所有已经识别出来的操作风险的影响水准和发生概率，以决定哪些风险能够接受，哪些风险不能接受且理应即时加以转移或规避。

商业银行通常采取定量和定性相结合的方法来对操作风险的发生频率和影响水准做出评估。

操作风险与内部控制自我评估是使用一定的方法协助业务部门理解和评估其自身的操作风险状况，从而有针对性地采取优化措施。

由业务部门自己识别评估自身的操作风险确定需要重点管理和控制的风险发现遗漏的风险和不适当的控制措施解决问题，实行优化完善（一）操作风险评估要素和原则内部操作风险损失事件数据包括操作风险损失事件发生后能够标识、计量和描述该风险事件的各项数据信息，涵盖商业银行所有机构和所有重要的业务活动，反映商业银行的操作风险状况。

内部操作风险损失数据理应是客观已发生的操作风险的损失数据，而非预期的损失数据。

外部相关损失数据可能危及商业银行安全的低频率、高损失事件相当稀少，所以商业银行理应利用外部相关损失数据（无论是公开数据还是行业整合数据）来解决多数商业银行评估操作风险时因内部损失数据有限、样本数过少而导致统计结果失真的问题。

情境分析业务经营环境和内部控制因素操作风险评估通常从业务管理和风险管理两个角度展开，遵循由表及里、自下而上、从已知到未知的原则。

操作风险评估原则（二）操作风险评估方法1.自我评估法操作风险评估的主要方法有自我评估法、损失分布法和风险地图法等。

其中，自我评估法使用最广泛、最成熟。

风险评估的工作流程：全员风险识别与报告，作业流程分析和风险识别与评估，控制措施评估，制定与实施控制优化方案以及报告自我评估工作与日常监控五个阶段。

商业银行在全行范围内展开操作风险的自我评估，有助于：（1）建立覆盖商业银行各项经营管理活动和业务环节的操作风险动态识别和评估机制，实现操作风险的主动识别与内部控制持续优化；（2）优化和完善各项作业流程，平衡风险与收益，提升服务效率和盈利水平；（3）在自我评估的基础上建立操作风险事件数据库，构建操作风险管理的基础平台；（4）为建立操作风险管理的关键风险指标体系和操作风险计量奠定基础；（5）为案件防查工作提供方法和技术支持；（6）促动风险管理文化的转变，提升员工参与操作风险管理的主动性和积极性。

XX操作风险管理办法第一章总则第一条为规范和加强本行的操作风险管理工作，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行操作风险管理指引》以及其他有关法律法规，制定本办法。

第二条通过确定本行操作风险管理总体架构，明确操作风险管理职责，并逐步建立起对操作风险损失的测度、分类、统计、分析、考核评价制度，建立和健全操作风险管理体系，加强操作风险管理，有效缓释和控制操作风险，降低操作风险带来的损失。

第三条本办法适用于本行各分支机构、各业务部门及全体员工。

第四条本办法所称操作风险是指由于不完善或有问题的内部程序、人员、系统以及外部事件给本行造成损失的风险，包括法律风险（如商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效；商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任；商业银行的业务活动违反法律或行政法规，依法可能承担刑事责任、行政责任或者民事责任），但不包括策略风险和声誉风险。

操作风险引发的损失指某一操作风险事件发生后，按照本行适用的法律、法规反映在本行法定财务报表的损失，损失包括所有与该操作风险事件相联系的成本支出，但不包括为避免后续操作风险损失实施的相关成本支出。

第五条本行操作风险管理遵循全面管理、及时调整、有效缓解与控制、成本与效益匹配、责任追究的原则及以下的方针：（一）本行把操作风险作为影响银行安全和效益的重要风险进行专门管理，操作风险管理应符合监管当局的监管要求、与全行发展战略、方针相适应。

（二）操作风险存在于全员、全过程，要确保全员了解操作风险管理文化，形成对操作风险定义的一致性理解并具备良好的操作风险管理意识。

各业务及管理部门的负责人和承担操作风险管理职责的人员是操作风险管理的主要责任人，负责防范和化解风险的各项活动；操作风险管理范围应涵盖所有机构、产品、活动、流程和系统。

（三）合规风险部是全行操作风险管理的牵头部门；各业务部门是操作风险管理的第一道防线，承担着操作风险日常的重要管控职责。