—1—附件12:操作风险资本计量监管要求一、基本指标法总收入定义总收入为净利息收入与净非利息收入之和。总收入构成说明见表1。表1总收入构成说明项目内容1利息收入金融机构往来利息收入,贷款、投资利息收入,其他利息收入等2利息支出金融机构往来利息支出、客户存款利息支出、其他借入资金利息支出等3净利息收入1-24手续费和佣金净收入手续费及佣金收入-手续费及佣金支出5净交易损益汇兑与汇率产品损益、贵金属与其他商品交易损益、利率产品交易损益、权益衍生产品交易损益等6证券投资净损益证券投资净损益等,但不包括:银行账户“拥有至到期日”和“可供出售”两类证券出售实现的损益7其他营业收入股利收入、投资物业公允价值变动等8净非利息收入4+5+6+79总收入3+8二、标准法实施条件及业务条线归类(一)实施条件—2—商业银行采用标准法,应当符合以下条件:1.商业银行应当建立清晰的操作风险管理组织架构、政策、工具、流程和报告路线。董事会应承担监控操作风险管理有效性的最终责任,高级管理层应负责执行董事会批准的操作风险管理策略、总体政策及体系。商业银行应指定部门专门负责全行操作风险管理体系的建设,组织实施操作风险的识别、监测、评估、计量、控制、缓释、监督与报告等。商业银行应在全行范围内建立激励机制鼓励改进操作风险管理。2.商业银行应当建立与本行的业务性质、规模和产品复杂程度相适应的操作风险管理系统。该管理系统应能够记录和存储与操作风险损失相关的数据和操作风险事件信息,能够支持操作风险及控制措施的自我评估和对关键风险指标的监测。该管理系统应配备完整的制度文件,规定对未遵守制度的情况进行合理的处置和补救。3.商业银行应当系统性地收集、跟踪和分析与操作风险相关的数据,包括各业务条线的操作风险损失金额和损失频率。商业银行收集内部损失数据应符合本附件第四部分的规定。4.商业银行应当制定操作风险评估机制,将风险评估整合入业务处理流程,建立操作风险和控制自我评估或其他评估工具,定期评估主要业务条线的操作风险,并将评估结果应用到风险考核、流程优化和风险报告中。5.商业银行应当建立关键风险指标体系,实时监测相关指标,并建立指标突破阈值情况的处理流程,积极开展风险预警管控。6.商业银行应当制定全行统一的业务连续性管理政策措施,建立业务连续性管理应急计划。7.商业银行负责操作风险管理的部门应定期向高级管理层和董—3—事会提交全行的操作风险管理与控制情况报告,报告中应包括主要操作风险事件的详细信息、已确认或潜在的重大操作风险损失等信息、操作风险及控制措施的评估结果、关键风险指标监测结果,并制定流程对报告中反映的信息采取有效行动。8.商业银行的操作风险管理系统和流程应接受内部独立审查,内部审查应覆盖业务部门活动和全行各层次的操作风险管理活动。9.商业银行应当投入充足的人力和物力支持在业务条线实施操作风险管理,并确保内部控制和内部审计的有效性。10.商业银行的操作风险管理体系及其审查情况应接受银监会的监督检查。(二)业务条线归类原则1.商业银行应当根据总收入定义,识别出符合总收入定义的会计子科目和核算码。2.商业银行应当将被识别为符合总收入定义的子科目按照其所记录的业务活动性质逐项归类至适当业务条线。3.若出现某个业务活动涉及两个或两个以上业务条线时,应归入β系数值较高的业务条线。4.商业银行应当规定所有符合总收入定义的会计子科目的分配方案。5.商业银行业务条线总收入应符合以下要求:一是商业银行计算的各业务条线的总收入之和应等于商业银行的总收入;二是商业银行计算业务条线净利息收入时,应按各业务条线的资金占用比例分摊利息成本。6.商业银行将业务活动归类到上述业务条线时,应确保与信用—4—风险或市场风险计量时所采用的业务条线分类定义一致,如有差异,应提供详细的书面说明。7.商业银行应当书面记录所有业务条线的总收入归类明细。表2业务条线归类目录1级目录2级目录业务种类示例公司金融公司和机构融资并购重组服务、包销、承销、上市服务、退市服务、证券化,研究和信息服务,债务融资,股权融资,银团贷款安排服务,公开发行新股服务、配股及定向增发服务、咨询见证、债务重组服务、财务顾问与咨询,其他公司金融服务等。政府融资投资银行咨询服务交易和销售销售交易账户人民币理财产品、外币理财产品、在银行间债券市场做市、自营贵金属买卖业务、自营衍生金融工具买卖业务、外汇买卖业务、存放同业、证券回购、资金拆借、外资金融机构客户融资、贵金属租赁业务、资产支持证券、远期利率合约、货币利率掉期、利率期权、远期汇率合约、利率掉期、掉期期权、外汇期权、远期结售汇、债券投资、现金及银行存款、中央银行往来、系统内往来、其他资金管理等。做市商交易自营业务资金管理零售银行零售业务零售贷款、零售存款、个人收入证明、个人结售汇、旅行支票、其他零售服务。私人银行业务高端贷款、高端客户存款收费、高端客户理财、投资咨询、其他私人银行服务。—5—1级目录2级目录业务种类示例银行卡业务信用卡、借记卡、准贷记卡、收单、其他银行卡服务。商业银行商业银行业务单位贷款、单位存款、项目融资、贴现、信贷资产买断卖断、担保、保函、承兑、委托贷款、进出口贸易融资、不动产服务、保理、租赁、单位存款证明、转贷款服务、担保/承诺类、信用证、银行信贷证明、债券投资(银行账户)、其他商业银行业务。支付和结算〔注〕客户债券结算代理、代理外资金融机构外汇清算、代理政策性银行贷款资金结算、银证转账、代理其他商业银行办理银行汇票、代理外资金融机构人民币清算、支票、企业电子银行、商业汇票、结售汇、证券资金清算、彩票资金结算、黄金交易资金清算、期货交易资金清算、个人电子汇款,银行汇票、本票、汇兑、托收承付、托收交易、其他支付结算业务。代理服务托管证券投资基金托管、QFII托管、QDII托管、企业年金托管、其他各项资产托管、交易资金第三方账户托管、代保管、保管箱业务、其他相关业务。公司代理服务代收代扣业务、代理政策性银行贷款、代理财政授权支付、对公理财业务、代客外汇买卖、代客—6—1级目录2级目录业务种类示例衍生金融工具业务、代理证券业务、代理买卖贵金属业务、代理保险业务、代收税款、代发工资、代理企业年金业务、其他对公代理业务。公司受托业务企业年金受托人业务、其他受托代理业务。资产管理全权委托的资金管理投资基金管理、委托资产管理、私募股权基金、其他全权委托的资金管理。非全权委托的资金管理投资基金管理、委托资产管理、企业年金管理、其他全权委托的资金管理。零售经纪零售经纪业务执行指令服务、代销基金、代理保险、个人理财、代理投资、代理储蓄国债、代理个人黄金业务、代理外汇买卖、其他零售经纪业务其他业务其他业务无法归入以上八个业务条线的业务种类。注:为银行自身业务提供支付结算服务时产生的操作风险损失,归入行内接受支付结算服务的业务条线。三、高级计量法实施条件和计量规则商业银行使用高级计量法,应符合本附件规定的标准法实施条件外,以及在治理结构、数据处理、模型建立等方面的要求:(一)治理结构1.商业银行的操作风险计量应成为操作风险管理流程的重要组成部分,相关计量体系应能促进商业银行改进全行和各业务条线的操作风险管理,支持向各业务条线配置相应的资本。—7—2.商业银行应当根据本办法附件16的要求,建立对操作风险资本计量系统严格的独立验证程序。验证应包括操作风险高级计量模型及支持体系,证明高级计量模型能够充分反映低频高损事件风险,审慎计量操作风险的监管资本。商业银行的操作风险管理系统和流程应接受第三方的验证,验证应覆盖业务条线和全行的操作风险管理,验证的标准和程序应符合本办法的规定。(二)数据处理商业银行操作风险计量系统的建立应基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制等四个基本要素,并对其在操作风险计量系统中的作用和权重做出书面合理界定。上述四项基本要素应分别至少符合以下要求:1.内部损失数据(1)商业银行应当具备至少5年观测期的内部损失数据。初次使用高级计量法的商业银行,可使用3年期的内部损失数据。(2)商业银行应当书面规定对内部损失数据进行加工、调整的方法、程序和权限,有效处理数据质量问题。(3)商业银行的内部损失数据应全面覆盖对全行风险评估有重大影响的所有重要业务活动,并应设置合理的损失事件统计金额起点。(4)商业银行操作风险计量系统使用的内部损失数据应与本附件规定的业务条线归类目录和损失事件类型目录建立对应关系。(5)商业银行除收集损失金额信息外,还应收集损失事件发生时间、损失事件发生的原因等信息。(6)商业银行对由一个中心控制部门(如信息科技部门)或由跨业务条线及跨期事件引起的操作风险损失,应制定合理具体的损—8—失分配标准。(7)商业银行应当建立对损失事件的跟踪和检查机制,及时更新损失事件状态和损失金额等的变化情况。(8)商业银行应当收集记录没有造成任何损失影响或带来收益的事件,此类事件可不用于建模,但应通过情景分析等方法评估其风险及损失。(9)商业银行对因操作风险事件(如抵押品管理缺陷)引起的信用风险损失,如已将其反映在信用风险数据库中,应视其为信用风险损失,不纳入操作风险监管资本计量,但应将此类事件在操作风险内部损失数据库中单独做出标记说明。(10)商业银行对因操作风险事件引起的市场风险损失,应反映在操作风险的内部损失数据库中,纳入操作风险监管资本计量。(11)商业银行的操作风险内部损失数据收集情况及评估结果应接受银监会的监督检查。2.外部损失数据(1)商业银行的操作风险计量系统应使用相关的外部数据,包括公开数据、银行业共享数据等。(2)商业银行应书面规定外部数据加工、调整的方法、程序和权限,有效处理外部数据应用于本行的适应性问题。(3)外部数据应包含实际损失金额、发生损失事件的业务规模、损失事件的原因和背景等信息。(4)实施高级计量法的商业银行之间可以适当的形式共享内部数据,作为操作风险计量的外部数据来源。商业银行之间汇总、管理和共享使用内部数据,应遵循事先确定的书面规则。有关规则和运行管理机制应事先报告银监会。—9—(5)商业银行对外部数据的使用情况应接受银监会的监督检查。3.情景分析(1)商业银行应当综合运用外部数据及情景分析来估计潜在的操作风险大额损失。(2)商业银行应当对操作风险计量系统所使用的相关性假设进行情景分析。商业银行应及时将事后真实的损失结果与情景分析进行对比,不断提高情景分析的合理性。4.业务经营环境和内部控制因素商业银行在运用内部、外部损失数据和情景分析方法计量操作风险时,还应考虑到可能使操作风险状况发生变化的业务经营环境、内部控制因素,并将这些因素转换成为可计量的定量指标纳入操作风险计量系统。(三)模型建立和计量1.商业银行用于计量操作风险资本要求模型的置信度应不低于99.9%,观测期为1年。2.操作风险计量系统应具有较高的精确度,考虑到了非常严重和极端损失事件发生的频率和损失的金额。3.商业银行如不能向银监会证明已准确计算出了预期损失并充分反映在当期损益中,应在计量操作风险资本时综合考虑预期损失和非预期损失之和。4.商业银行在加总不同类型的操作风险资本时,可以自行确定相关系数,但要书面证明所估计的各项操作风险损失之间相关系数的合理性。5.商业银行可以将保险作为操作风险高级计量法的缓释因素。—10—保险的缓释最高不超过操作风险资本要求的20%。四、操作风险损失事件统计要求(一)操作风险损失事件类型1.内部欺诈事件。指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件。2.外部欺诈事件。指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件。3.就业制度和工作场所安全事件。指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件。4.客户、产品和业务活动事件。指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件。5.实物资产的损坏。指因自然灾