银行操作风险原因分类框架模版.docx

银行操作风险原因分类框架 序 号 一级 目录 定义 序 号 二级目录 定义 举例/说明 1 组织 模糊或不当的组织设置，包括相关的责任、义务和治理结 构。 1.1 工作目标、职权、责任和义务不清晰、不适宜或不相容，包括不充分的职责分离 工作任务、责任和权力不清晰或没有清晰地分配，不适宜（与职员的职责不符）或不相容（职责分离不足） 工作目标、责任和权力没有清晰地分配/在工作描述中没有清晰反映/没有清晰传达 工作目标、责任和权力没有适当的考虑到实际情况（例如，不符合员工的职能层级，不符合员工经验） 前后台工作职能没有分离 操作与记账没有分离 1.2 内部治理结构不完善 在组织/单元/ 主体中不合理或不透明内部治理结构 不清楚/不一致/模棱两可的使命、愿景、战略、政策、目标、宗旨 战略、目标、宗旨沟通不足 （自上而下和自下而上） 缺乏对相互之间利益、需求、期望的理解（画地为牢） 不完善的组织结构 单元之间在优先合作/战略/决策和行动上不一致/不协调 单元之间的利益冲突 过长的决策线路（官僚作风） 组织的/与组织沟通的边界不清晰（例如，企业价值、经营理念、行为准则） 程序、产品、系统的管理者不明 不完善的报告路线 缺乏责任感/责任感不足 1.3 管理无效/ 不当 组织/单元/实体中无效/不当的管理 缺少领导或指示 风险意识不足 人员管理不足 （高级）管理层参与业务不足 不合时宜的/反复无常的/不完善的决策 1.4 其他组织结构不完善 1.1-1.3 之外的与组织设计不完善相关的情形 过度的工作量 没有风险控制/审计职能 没有危机管理组织机构 2 人力 资源 对人力资 源和/ 或业绩不佳的工作人员管理 不足 2.1 员工诚信缺失 员工诚信度低 没有（遵守）关于员工诚信 （如收礼、内幕交易）的行为准则 风险意识不足 新员工筛选不充分 2.2 员工对他人不尊重 员工对他人尊重程度低 没有（遵循）行为准则（如，性别骚扰、歧视） 2.3 对员工行为 /态度管理不足 员工行为/态度管理不足（即没有建设性、激励 /士气低、缺乏责罚） 管理层不重视员工激励制度 （表扬和奖励） 员工评价不足 员工评价不清晰（不清晰的目标设定、不切实际的目标、业绩目标没有设定或遵循） 缺乏对工作职责重要性或对业绩不佳结果的理解 员工评价不公平（不一致/不平等的员工待遇） 管理层不倾听员工的建议 2.4 存在问题的招聘 无力招聘符合知识、技术、胜任要求的可靠员工 选拔流程或程序不完善 新员工筛选不充分 补偿方案不适宜或不具竞争性 没有吸引力的工作场所或办公位置不便、工作不具吸引力、价值不被认可 缺少人力资源支持 对特定工作/任务所要求的知识、技术及胜任条件的要求不清晰 员工职业规划不清晰 2.5 员工能力 （知识和技术）发展不充分 员工培训与教育不足（关于产品、流程、系统和关系的知识、经验和技术/能力） 人力资源战略/政策缺失或不足 对员工没有培训计划 引入新产品/系统时对员工培训不够 在新产品、系统、流程初始阶段没有充分参与 对员工系统使用培训不足 知识/经验分享不够 2.6 员工能力不足 员工能力不足 执行任务的资源不足 人员储备计划不足 员工工作压力大 员工计划和预算不完整 2.7 对员工健康和（人身）安全不够重 对员工健康和 （人身）安全不够重视 恶劣的工作环境 视 2.8 关键人员储备不足 关键员工没有适当储备 对运作的连续性和员工储备不够重视 相关信息分享和记录不足 缺少轮岗制度 3 4 IT 信息技术 不完善的 IT 战略、 IT 政策或标准或 IT 应用中的 缺陷 3.1 IT 战略、 IT 政策或标准不完善 IT 战略、IT 政策或标准的内容没有实用性或有缺陷 缺少 IT 战略、IT 政策或标准 IT 战略与企业目标、业务需求或 IT 的发展水平不充分一致 沟通不完善，缺乏对 IT战略、政策或标准的理解 IT 标准没有被执行/遵守 3.2 IT 解决方 案不完善 IT 系统不完善的设计、发展、测试或整合过程，或对这些活动不完善的管理 系统发展缺乏整合的方法 匮乏的组合与项目管理导致交付品与战略重点或业务要求不匹配（如，投放市场的时间、成本、实用性） 不完善的设计导致 IT 系统或基础设施不具足够的持续性、安全性、良好的用户关系、控制性或易于审计。 由于测试不足（包括测试环境）遗留了未被发现的问题 在流程中系统的整合度不足 （包括变更管理者） 不完善的系统档案（包括版本控制） 3.3 4.1 IT 开发/支持不完善 IT 系统操作、支持或维护不完善（包括内部或外部的服务提供者） 流程设计不完善 服务水平缺乏/不足/不完善 对外部服务提供者控制有限 服务监控不完善，包括控制与审计 不完善的生产计划、安全管理或计算机操作 不完善的问题和变更管理 不完善的容量规划 流程 业务流程设置不完善或没有严守与业务流 流程设计不完善 业务架构层级不可用或不完善 在业务架构中对操作风险控制重视不够 业务单元对新流程、产品或系统的参与不够（如，在开发时、在实施时） 已有流程和新流程之间统一性不足 人工干预/处理流程 程相关的 控制 交易复杂性 4.2 不可用或不完善的程序 /内部控制 与业务流程有关的程序/内部控制不可用或不完善 不完善/无效率/不适用/过期的程序和指引 不完善的程序文件 程序与银行政策或外部要求不符 员工不易利用程序 缺少内部控制（如，双重控制、分层、对账、物理安全） 系统不充分支持内部控制 （如，系统不强制执行双重控制） 劳动终止合同程序不完善（包括返还银行资产） 业务连续性计划（如，火灾、地震等）不足 4.3 没有有效遵守内部程序 /内部控制/ 政策/外部法规（的监控） 与业务流程相关程序/内部控制 /外部法规没有被遵循（有意的或无意的）或缺乏对程序/内部控制遵循的监控 偶然的人员过失（操作意外事故） 与客户的协议没有妥善记录或监控 蓄意规避程序，可能是为了欺诈银行（内部欺诈） 管理层对遵循程序的监控缺失或不足（合规监控） 异常监测/报告缺失或不足 （如，系统覆盖） 没有定期的独立审计 4.4 不当模型或模型的不当使用 使用不完善的模型或模型没有恰当地使用 不完善的定价模型 模型测试或升级不完善 估值模型的不当使用 4.5 对关键内部 /外部供应商的依赖性没有足够重视 对内部/外部供应商过于依赖，造成当供应商没有履职时业务中断 与供应商约定不清晰（服务协议） 对少数供应商过于依赖 忽视供应商有问题/不履职的可能性 对供应商业务连续性计划没有或不够重视 外部供应商对银行程序的知识有欠缺 5 信息 不完善的信息或对信息的不当使 5.1 私人或机密信息控制不完善 机密数据或信息（包括银行和客户信息）控制不完善，导致机密信息（偶然或蓄意地）不必要的泄露给银行内部 传输或存储敏感信息时缺乏保护，包括电子的（例如，加密、登录控制）或实物的 （如，锁柜、碎纸） 对机密信息的安全印制、分发和销毁关注不足 系统登录安全性不足（浏览权 用 或外部未经授权的人 限） 对系统黑客防范不足 防火墙隔离不足 随便处理机密信息 5.2 对信息的完整性（可靠性）控制不完善 对确保数据或信息的完全、准确或合时控制不足 对交易数据的可靠性控制不完善，包括电子的（如数字签名、真实性检查）或实物的 （如真实性证明、交易单依序编号） 系统登录安全（进入/升级）控制不足 对系统黑客防范不足 硬件/软件完整性控制不完善 管理信息不完善 5.3 对信息有效性控制不完善 确保数据或信息有效性的控制不足 不完善的备份和恢复 文件存档不完善 对系统可用性（包括恢复次数）重视不足 管理信息不完善 充分的执行任务所需的信息不足 新的或变更的规章/指引/程序的有关信息无效 6 外部 破坏 组织外部未料 到/不可控的因素，它会中断银行的运营能力。当控制不足或失灵成为事件的原因时，这个 6.1 无法预料的自然灾害 无法预见的自然灾害，如地震、暴风、闪电等 一定程度的地震（如，里氏 x 级） 6.2 无法预料的偶然灾难 无法预见的意外灾难，如爆炸、火灾等 无法预料的意外事故（如爆炸、火灾），尽管施加了所有合理控制 6.3 无法预料的社会、法律、或政治环境的变化 一国法律或政治环境无法预见的改变 6.4 无法预料的业务中断 无法预见，不是由以上三类原因导致的银行操作流程的中断 第三方服务突然失效，尽管施加了所有合理控制 （本地）市场上意料之外的金融危机 6.5 无法控制的犯罪袭击。当控制不足或失灵是事件的原因时，它就应当划分为此类 未被阻止的犯罪袭击，尽管施加了所有（合理）控制 无法控制的外部欺诈 无法控制的洗钱 无法控制的对银行员工的偷窃 /抢劫/袭击 无法控制的恐怖主义/蓄意破坏 原因 应当 划分 到这 里。