商业银行内控合规与操作风险管理系统白皮书目录第1章项目背景 (4)第2章产品优势 (5)2.1技术优势 (5)2.1.1技术架构先进 (5)2.1.2产品开发平台便捷、扩展灵活 (5)2.1.3界面框架友好 (5)2.1.4业务流程管理基于自主产品 (5)2.2功能优势 (6)2.2.1支持流程梳理成果落地 (6)2.2.2建立全行统一的问题库 (6)2.2.3配置化、模板化的报表工具 (6)2.2.4方便实用主流的文档编辑组件 (6)第3章总体设计 (7)3.1应用架构图 (7)3.2功能图 (8)第4章系统主要功能 (8)4.1内控管理模块 (8)4.1.1流程管理 (8)4.1.2流程维护 (9)4.1.3内控评估 (11)4.1.4专项调查问卷 (12)4.1.5内控台账 (12)4.2合规管理模块 (13)4.2.1合规基础信息管理 (13)4.2.2合规风险检查与审查 (18)4.2.5案件管理 (25)4.2.6合规计划 (26)4.3操作风险管理模块 (27)4.3.1风险与控制自我评估（RCSA） (27)4.3.2关键风险指标（KRI） (30)4.3.3风险事件及损失数据收集（LDC） (32)4.3.4资本计量管理 (34)4.3.5行动计划管理 (35)4.4通用管理模块 (36)4.4.1内控、合规与操作风险管理报告 (36)4.4.2统计分析平台 (36)4.4.3我的工作台 (44)4.4.4系统管理 (44)第1章项目背景2012 年 6 月，为推动中国银行业实施国际监管标准，增强银行体系稳健性和国内银行的国际竞争力，银监会发布了《商业银行资本管理办法（试行）》，分别对监管资本要求、资本充足率计算、资本定义、操作风险加权资产计量进行了规范，管理办法于 2013 年 1 月 1 日开始实施，商业银行必须在2018 年底前全面达到管理办法规定的监管要求，并鼓励有条件的银行提前达标。

内控、合规和操作风险管理是银行全面风险管理体系建设的重要基础性工作，均以风险与合规为导向、以内外部规范及流程梳理为基础、以风险点与控制点的识别与评估作为主要手段，通过管理工具的实施及时对银行经营和管理过程中存在的风险隐患和内控缺陷进行识别和排除，并通过对业务流程改进、对内部控制优化、对重点领域和重点环节的操作风险管控，实现银行稳健、良好、快速发展为目标，三者能共享银行既有的管理机制和信息，且在管理办法、工具、流程和系统等方面存在相互交叉、互相承接的内在联系。

信雅达内控合规与操作风险管理系统为提高业务流程效率，动态管控银行的全面风险情况，增强银行对风险的管控能力，构建全面的风险管理体系提供技术保障。

本系统满足《农村中小金融机构风险管理机制建设指引》及《企业内部控制基本规范》等监管要求，体现三道防线建设原则，结合先进的风险管理理论、国内外的活跃商业银行内控合规与操作风险管理最佳实践。

第2章产品优势2.1技术优势2.1.1技术架构先进信雅达公司自成立以来，一直注重技术的创新与发展，本产品在技术研发与工具平台应用上使用公司最新的技术成果，以全文搜索引擎、规则引擎、工作流引擎及报表引擎为基础平台支撑平台构建产品功能，使得系统架构组件化、模块化，更易于系统的拓展和维护。

底层数据库管理层能够自适应主流数据库系统，无需修改程序 sql，减少了代码维护量。

2.1.2产品开发平台便捷、扩展灵活本产品基于信雅达自主知识产权的快速应用开发平台（SUNFAP）实现的，该平台作为产品的核心组件，为系统的功能扩展、性能优化、信息安全提供快速灵活的基础架构，便于二次开发。

本产品所涉及的各个模块均通过菜单管理进行集中管理，在此基础上，还实现了统一的参数化配置的整改扣分管理平台、丰富的统计报表管理平台、完善的工作流平台；使得本产品在整体平台上开发便捷、扩展灵活。

方便商业银行与其他异构系统的对接，以及在此基础上业务应用的二次开发。

2.1.3界面框架友好产品引入了先进的、自适应屏幕和菜单自动归集的界面框架，能够在实达 XPE 瘦客户端上流畅执行。

增强了产品用户界面多样化、个性化，极大提高用户体验，提高产品访问效率。

2.1.4业务流程管理基于自主产品系统集成了信雅达公司自主工作流产品，实现系统各业务流程的灵活定义、参数化配置以及各流程节点的实时动态跟踪查看。

2.2功能优势2.2.1支持流程梳理成果落地系统无缝集成了微软 VISIO 图形化工具、信雅达自主研发流程绘制工具，EXCEL 自动解析为流程图工具，以图形化方式高度耦合无缝集成和展现咨询成果。

将业务流程、管理流程、支持流程视同一体，均已流程图形式展现出来，并将流程、制度、关键词、步骤节点工作描述、风险提示、控制措施、历史问题、整改情况、违规行为条款、责任人、积分信息有机关联起来，从而将制度流程优化和现实中存在的问题有机集成起来，为流程优化提供量化的数据支持。

2.2.2建立全行统一的问题库系统建立全行统一的违规问题库，该问题库可用于存放历史违规数据，为对责任人重复扣分、加倍扣分、初犯扣分提供技术手段。

通过该问题库，可对三道防线过来的所有纳入问题库管理的各类问题进行加工分析，找出问题最多的违规事项并有针对性的改正。

通过历史回放功能找到检查过程中应发现而未发现的责任人。

2.2.3配置化、模板化的报表工具系统提供只需配置界面设计，自行选择展现统计图库，并将业务处理逻辑独立优化，无需撰写代码的报表自动生成工具。

能够实现维度自定义，行列对称转换、钻取、过滤和自动化图表。

2.2.4方便实用主流的文档编辑组件系统封装了主流的文档编辑组件，支持 WPS、WORD 等常用办公软件，实现工作底稿模板化，自动生成工作底稿，大幅提高工作效率。

第3章总体设计3.1应用架构图内控合规及操作风险管理系统分为五层：数据服务层、应用支持层、核心应用层、报表展现层、终端用户。

★数据服务层：接入本系统需要用到的各类业务系统，采集对应的需要计量风险资本的系统数据。

包括：核心、信贷、审计、IT监测类、外部数据、数据仓库系统等。

★应用支撑层：主要为系统提供基础服务包括文档管理、辅助功能、工作流平台、快速开发平台等。

★核心应用层：核心应用层主要实现合规、内控、操作风险三大工具的业务实现，各子系统之间通过规章制度、流程信息作为引用变量，建立以制度、流程为网络，垂直、横向沟通的矩阵式业务管理模式。

★报表展现层：通过对自定义报表工具的拖拉配置，业务核心逻辑的设定，无需编写任何程序，即可展现出实用的报表。

系统提供各类图表库，函数计算指标库，报表设计器等工具供业务人员使用。

★终端用户：终端用户包括行内高层领导、合规风险管理人员、业务部门人员，系统维护人员等。

3.2功能图内控管理中的流程管理和合规管理中的规章制度管理是整个系统的两大基础，规章制度管理为流程管理模块提供内外规信息。

流程管理模块也是操作风险与控制自我评估开展的基础，通过内控管理子系统中的内控梳理，以及操作风险管理子系统中的风险与控制自我评估、风险及损失事件管理、关键风险指标管理模块会发现内控管理工作中存在的问题或缺陷，针对这些问题和缺陷可以启动行动计划，问题和缺陷经认定后，连同内外部检查、监管部门检查发现的问题一并进入问题库。

第4章系统主要功能4.1内控管理模块内控管理模块包含流程管理、内控评估、专项调查问卷和内控台账四大子模块。

4.1.1流程管理通过理清全行业务和管理的流程框架，建立流程、步骤、岗位、风险点、控制措施、外部规章、内部制度的关联关系，全面系统的梳理流程。

以流程图方式直观展现。

流程梳理不仅为全行员工提供了基本同一的工作标准，还是操作风险与控制评估、违规积分等活动开展的基础。

流程管理帮助识别银行服务管理体系所包含的具体流程，主要用于描述银行开展端对端业务的过程，建立业务、产品、岗位、内外规、风险点和控制措施的映射关系并生成便于阅读的流程图，如下图：流程管理主要功能如下：4.1.1.1基础库管理基础库是风险管理活动实现的基础，是按照国际国内监管以及活跃银行实践关于操作风险管理过程中涉及的通用分类标准。

银行开展操作风险管理，首先需要在全行范围内统一操作风险管理的基础定义以及分级分类通用标准，以明确对风险评判标尺和语言不一致问题，为将操作风险管理信息进行有效整合、分析与交流打下坚实基础，进而提高操作风险管理工作的开展效率。

基础库包括风险因子分类表、风险点分类表、资本协议损失事件形态分类表、风险点影响类型分类表表、控制点分类表、操作风险评估评分标准、控制评估评分标准、资本协议业务条线标准、产品库、岗位库等内容的维护和管理。

4.1.2流程维护主要通过文件导入和手工录入两种方式进行流程梳理和操作风险与控制识别。

文件导入是指将系统外部已有的流程文件导入系统，建立业务流程的完整信息，是流程信息系统初始化的工具，初始化工作结束，该工具不再使用。

手工录入是由总行业务条线部门录入相关信息并提交审核。

◼流程梳理：支持将全行业务和管理活动划分为若干主流程，且依次分解出子流程、流程环节和流程步骤。

◼操作风险与控制识别:基于已梳理步骤进行风险点和控制措施识别，并按照基础库录入的统一标准对相关信息进行分类和分析。

流程维护系统界面如下：4.1.2.1流程审核和发布由总行法律合规部门或其他权限审批人对流程信息进行审核、发布。

流程审核环节系统示例界面如下：4.1.2.2流程承接对于总行初次发布的流程和调整较大的流程，分行通过“流程承接”按钮进行承接，如不适用，分行条线部门可业务条线拒绝承接。

如流程与分行部门职责不一致，流程转至分行法律合规部，由法律合规部根据职责重新派发。

4.1.2.3流程本地化分行对承接后流程，按照分行实际情况进行细化流程控制措施、新增流程控制措施、调整和新增评分机构等操作，流程中其他要素不能改动。

4.1.2.4业务流程查询可通过业务类型树、流程名称、流程编号、主管部门等信息对业务流程进行综合查询。

4.1.3内控评估内控评估，是指通过发放问卷形式，定期对公司层级、板块层级、流程层级控制状况进行的自评估活动。

内控评估包括内控评估计划上传和查询、公司层级控制评估、板块层级控制评估、流程层级控制评估（操作风险管理-RCSA 模块中完成）、控制评估校验、内控评估分数汇总和查询等内容。

1.公司层级/板块层级控制评估公司层级/板块层级控制评估问卷需要建立公司层级控制评估问卷库，问卷库问题由公司层级控制点分类表或板块级控制点分类表中“具体要求”内容基础上自动生成问题，总行合规部专职人员可在此基础上进行调整。

2.控制评估校验控制评价校验包括控制评估校验表维护、控制评估校验结果维护功能。

对控制评估检验表历史版进行管理，可查询。

3.内控评估汇总和查询将公司层级、板块层级、流程层级控制评估分数汇总结果集中进行查询和展示。