1、x银行全面风险管理体系建设规划项目全面风险管理评估与差距分析报告x年12月 1. 风险管理现状评估与初步改进建议1.1. 操作风险管理 1.1.1. 现状总结1.1.1.1. 风险定义x银行尚未对操作风险有明确的定义,行内对于操作风险的理解仅限于各业务条线的操作流程中的操作错误。1.1.1.2. 组织架构与职责分工x银行尚未明确操作风险管理的组织架构及操作风险管理牵头部门及三道防线设置。目前前台柜面的操作风险管理由运营管理部负责,法律与合规部牵头负责法律风险、合规风险及案件防控管理。风险管理部中风险监控官负责授信业务经办人员的操作风险管理工作。审计部门每年根据银监会防范操作风险十三条规定开展操
2、作风险内部审计工作。计划财务部负责操作风险资本计量。1.1.1.3. 风险管理政策制度目前x银行尚未出具整合的专项操作风险管理办法,但针对操作风险的各项管理措施,制定了以下管理办法: 在x银行风险监控官管理暂行办法中规定了授信业务风险监控官应对授信发放过程中的操作风险实行监控和管理,对已获批准的授信业务在发放前对文件的合法性、合规性、完整性及有效性进行审查。此外,风险管理部在小企业信贷中心、金融市场部、国际业务部及信息科技部设有风险监控官,其中信息科技部风险监控官需定期或不定期开展全面的信息科技风险评估活动,定期进行运行环境下操作风险和管理控制的检查,审核检查评估结果,督促落实发现问题的整改工
3、作。在x银行总行风险监控官业务操作实施细则中明确了风险管理部政策规划组应分析研究操作风险、组织建立操作风险、法律风险管理制度并督导落实。 运营管理部在2012年制定了针对前台柜面的x银行操作风险应急预案,内容包含操作风险的触发机制、应对方案、压力测试及汇报路线。该制度中规定了发生操作风险后,经办人员需在两小时之内向上一级应急处置领导小组汇报,如遇上级应急处置领导小组无法解决,应立即上报总行应急处置领导小组。整个事件处理过程中,事发单位应及时保持与总行应急处置领导小组联系。 目前,x银行还尚未明确制定关于新产品操作风险管理的规章制度,但x银行股份有限公司合规政策中明确规定了法律与合规部负责审查新
4、产品和新业务的合规性,同时总行各部门在新产品和新业务开发中,需确保新产品和新业务符合合规规则。在x银行股份有限公司内部控制基本制度资金业务的内部控制环节,有如下要求:本行资金业务新产品的开发和经营必须经过高级管理层授权批准,在风险充分评估,风险控制制度和操作规程完备、人员合格和设备齐全的情况下,交易部门才能全面开展新产品的交易。 x银行信息科技部牵头制定了x银行信息科技外包管理办法,明确了信息科技部及各外包服务使用部门在外包过程中应履行的职责,外包供应商选择及管理等内容。此外,x银行风险监控官管理暂行办法中规定信息科技部风险监控官需定期开展重要信息系统的外包检查和外包风险评估,督促落实发现问题
5、的整改工作。 对于业务连续性管理,x银行风险管理部制定了x银行业务连续性管理委员会工作制度及x银行业务连续性管理制度,制度中明确了业务连续性管理主管部门、执行部门及保障部分的分工与相应职责,及业务连续性计划、应急演练等工作流程。1.1.1.4. 操作风险管理措施操作风险基础标准目前x银行还未设立操作风险基础标准,如风险程度评估标准、控制水平评估标准、事件影响程度评估标准、操作风险事件分类标准等。操作风险管理工具x银行尚未开展全行统一的操作风险与控制自我评估、关键风险指标监测及损失数据收集工作。目前运营管理部在操作风险的管理中有各类登记簿,如差错登记簿、长短款登记簿、冲账、抺账、挂账登记簿、AT
6、M机巡查、交接登记簿等,作为操作风险事件的初步记录。运营管理部通过现场与非现场检查,开展操作风险的管理工作:非现场检查涉及到服务检查和凭证检查: 服务检查:通过每天调阅监控的方式对全行(含分行)各网点进行抽查,检查范围包括优质化服务及业务操作的规范性,如授权时密码是否遮挡,印章是否及时入柜。在检查中发现的问题以周报的形式进行公告。 凭证检查:凭证检查是运营管理部开展的非现场的对于前台业务的检查,由于后督管理没有系统支持,目前只能通过手工翻阅凭证进行抽查,由于只有1人负责凭证检查,目前涉及的检查区域仅限于x市区。现场检查为条线的检查,属于二道防线的管理:运管管理部每年采取抽查的形式开展1-2次的
7、现场检查,确保检查的分行覆盖率达到50%,并在两年完成全部分行的现场检查;检查支行的覆盖率为30%,并在三年完成全部支行的现场检查,现场检查的内容包括业务和服务检查。运营管理部现在的检查频率与审计部一致,与审计部分批完成现场检查,检查内容有相同的地方。现场检查有相应的检查方案,检查完成后会通过办公系统发文向全行通报检查结果(作为检查报告)。检查发现的问题有相应的整改计划及问题跟踪机制,对于整改发现的问题一般要求相关部门在半个月内完成整改,没有完成整改的部门及相关人员会在通报里做出处罚,并纳入绩效考核。分行运管主管部门完成下辖的相关检查内容。新产品新业务风险管理x银行尚未开展新产品新业务的风险评
8、估工作,法律与合规部只在新产品新业务的制度层面做合规性审查,尚未出具与业务创新相关的合规审查意见。由于行内目前没有设定新产品新业务风险管理牵头部门,缺乏相关制度明确新产品新业务的风险评估流程与评估方法,一般由业务部门自主与相关部门一并联合以会议形式进行沟通。业务连续性管理目前风险管理部作为业务连续性管理的主管部门,制定了x银行业务连续性管理委员会工作制度及x银行业务连续性管理制度,明确业务连续性管理的职责权限:风险管理部负责组织制定全行业务连续性计划,确定重要业务的恢复目标和恢复策略,组织开展业务连续性计划的演练、评估与改进工作;各条线部门与信息科技部作为业务连续性的管理执行部门,负责本条线风
9、险评估、业务影响分析及重要业务应急响应与恢复;办公室、人力资源部、计划财务部、法律与合规部及保卫部作为业务连续性管理的保障部门,为业务连续性日常管理提供人力、物力、财力及安全保障和法律咨询服务。x银行业务连续性管理制度中对应急处置组织架构有清晰的规划:由高级管理人员组成应急决策层,决定应急处置重大事宜。由业务连续性管理主管部门、执行部门和保障部门组成应急指挥层,负责运营中断事件处置应急指挥和组织协调,督导应急处置实施。由业务连续性管理执行部门组成应急执行层,负责业务条线与信息技术应急处置工作。由业务连续性管理保障部门组成应急保障层,负责应急处置所需人力、物力和财力等资源的保障。x银行业务连续性
10、管理制度要求开展业务影响分析、从而识别重要业务、评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,实现差异化管理。制定业务连续性计划及重要业务专项应急预案,并进行业务连续性计划演练,检验应急预案的完整性、可操作性和有效性,提高运营中断事件的综合处置能力。在实际业务连续性管理中,虽确定了风险管理部作为业务连续性管理牵头部门,制定了相关制度,但由于业务连续性涉及到多个部门且各个业务部门对业务连续性了解较少,尚未开展各自的业务影响分析,行内目前也没有指定规范化的模板。目前已经开始制定业务连续性规划方案,要求各业务部门提出信息系统恢复时间目标(信息系统RTO)及信息系统恢复点目标(信息系统R
11、PO),根据这些指标规划业务系统需要满足的基础设施需求。信息科技部已开展了业务连续性方面的桌面演练,2013年,信息科技部计划开展应急演练10余次,覆盖所有重要信息系统和电力供应等基础设施项目,目前已经完成两场应急演练, 个贷系统应急演练和数据中心停电应急演练。灾备建设方面,由于行内的核心系统托管在兴业银行的上海信息中心,x银行已与兴业银行一起在上海建立了应用级的同城灾备。同时在x地区建立了一个T+1的核心系统异地数据管理中心,已有开发测试环境,预计实际发生情况时能在一天内正式工作。另外,村镇银行的核心系统托管在x,现已在南昌分行建立了一个数据的备份,并计划建立一个村镇银行的应用级核心备份。目
12、前x银行的同城数据异地存放的恢复能力已达到信息安全技术 信息系统灾难恢复规范中规定的4级标准,即电子传输及完整设备支持,对应的RTO小于等于2天,RPO小于1天。核心系统的恢复能力达到RPO基本等于0,PTO小于8小时。运营管理部目前初步建立了x银行操作风险应急预案,以应对业务操作过程中的突发事件,防止风险的扩散和蔓延。应急预案中明确了预防及预警机制,突发事件报告要求和程序及处置预案,处置预案根据突发事件情况分为轻度压力下、中度压力下及重度压力下的应急预案,并有相应的处置流程。因行内今年才开展业务连续性管理,运营管理部建立应急预案后尚未开展应急预案演练。外包风险管理x银行信息科技部制定了x银行
13、信息科技外包管理办法,该办法规定了信息科技方面的外包适用范围及策略、外包供应商评估与选择、商务谈判、合同审核与签署、外包服务过程管理,人员使用管理、交付物验收及管理、外包风险管理等内容。其中外包风险管理要求外包管理部门对每个项目制定信息科技外包应急方案,外包服务使用部门应定期评估成本风险,外包管理部门应严格控制外包过程中的数据安全、保密、知识产权等因素相关的风险。目前x银行对于外包风险管理还仅限于初步的服务水平管理,在选择外包商时,主要考虑供应商的金融行业经验,及与我行需求的吻合度,暂时没有考虑项目风险管控能力等方面。随着外包业务的逐渐增多,x银行目前正逐步建立外包服务商管理体系,从2012年
14、开始,信息科技部联合多个部门共同对行内的外包服务进行了检查及评价,但行内目前没有完整的外包商评价表。今年已经出台了外包商的准入、退出机制,但尚未实施。信息科技部今年计划对所有供应商的情况进行管理,包括定期资质更新,服务商专业性评价等。风险管理报告由于目前尚未设置操作风险管理牵头部门,全行没有出具操作风险管理报告。风险管理部作为全面风险管理牵头部门,尚未开展全面风险管理报告工作。内控评价及整改x银行在x银行股份有限公司内部控制管理基本制度中针对内部环境、风险评估、控制活动、信息与沟通及内部监督五方面制定了相关要求,并指出总行各部门是内部控制的建设、执行部门,负责各自职责范围内的内控体系建设。总行
15、法律与合规部作为内控管理的牵头部门,承担内控建设的组织工作。总行审计部是内部控制的监督、评价部门,负责对各业务条线和分支机构的内部控制状况进行监督和评价,出具独立评价意见。法律与合规部于x年开始开展内控评价工作,但尚未形成内控评价手册。目前各部门根据本部门制度及相关管理办法中梳理的风险点进行自查,同时法律与合规部根据监管检查督促责任部门整改,并每月跟踪各部门整改进度。目前运营管理部发现的问题、整改的情况和检查的台账需上报至法律合规部及审计部,由法律合规部牵头汇总检查结果,审计部要求每发生一个通报(检查报告的具体形式)要及时报送,法律合规部仅要求每季度报送问题台账及整改情况。1.1.1.5. 操
16、作风险计量模型目前x银行的操作风险计量采用基本指标法。1.1.1.6. 合规风险管理与操作风险的关系目前行内尚未明确合规风险在管理过程中与操作风险的关联性管理,如管理工具或管理流程的共用。组织架构与职责分工x银行股份有限公司合规政策中对x银行合规风险的组织架构进行了相关的规定,具体如下: 董事会对银行经营活动的合规性负最终责任。主要职责包括:审议批准合规政策,并监督合规政策的实施;审议批准高级管理层提交的合规风险管理报告,并对管理合规风险的有效性作出评价,以使合规缺陷得到及时有效的解决;授权高级管理层对合规风险进行日常监督。 监事会监督董事会和高级管理层合规职责的履行情况。 高级管理层的主要职
17、责包括:组织制定和修订合规政策,报经董事会审议批准后传达给全体员工;贯彻执行合规政策,确保发现违规事件时及时采取纠正措施,并追究违规责任人的相应责任;为合规部门履行职责配备充分和适当的合规管理人员,并确保合规部门的独立性;识别和评估主要合规风险,审核批准合规管理计划,确保合规部门与风险管理部门、审计部门及其他部门之间的工作协调;每年向董事会提交合规风险管理报告;及时向董事会报告重大违规事件。 总行法律与合规组织部各部门开展合规管理工作和管理本条线的合规风险,主要职责包括:提出制定和适时修订合规政策的建议,报高级管理层批准;根据合规规则和x银行实际情况制定并执行合规管理计划和合规管理具体制度;持
18、续跟踪与x银行利益相关的合规规则的更新情况,及时提供合规建议和风险提示; 审查规章制度、新产品和新业务的合规性;就合规规则适用问题提供合规咨询意见,协助有关部门开展合规培训;对各部门和分支机构合规管理工作进行监督检查;及时妥善处理本条线发生的违规事件,最大限度减少经济损失和维护良好声誉;向总行高级管理层提交合规报告。此外总行各业务条线及直属支行均设有兼职合规经理,各分行设有法律与合规部或者专(兼)职合规岗,主要负责法律性文件审查、内外规监测、撰写合规报告及诉讼案件档案管理。各分支机构负责人对本机构经营管理活动的合规性负责。风险管理措施针对合规风险管理,x银行制定了x银行合规管理流程,办法中除了
19、上述职责架构的要求外,还涵盖了合规风险管理的报告制度、合规检查和合规审查及问责与考核制度等方面的制度要求。自2013年开展合规风险管理体系建设以来,法律与合规部主要进行了以下合规风险管理工作: 合规风险制度建设:法律与合规部于2013年9月建立合规文库,涵盖全行业务流程涉及到的主要外规,内容包括银监会、人民银行、法院、地方政府、财政税务等外部监管机构提出的各项主要监管要求。并收集了部分内规,与外规进行了初步对应。目前已开始进行内外规的对应梳理,暂未开展内外规的映射。 合规风险监测:由各机构部门合规经理定期监测外规的变化与新增情况,上报至法律与合规部并更新到合规文库中。分行及总行条线部门需每年制
20、定合规管理计划,汇总至法律与合规部并上报高管层,合规计划由报送机构自行落实。 合规风险预警:法律与合规部针对全行业务出具合规风险提示单,但尚未开展合规风险的识别与评估工作。 新产品新业务、外包的合规管理:目前法律与合规部在新产品新业务及外包管理的制度层面开展外部制度的合规审查,没有具体的开展合规风险评估工作,没有要求法律合规部出具与业务创新相关的合规审查意见。 合规风险管理报告:每个季度各部门出具合规风险管理报告,法律与合规部汇总后形成全行合规风险管理报告,汇报至行长室。 合规风险管理监督及后评价:对于经发现的问责事项,法律与合规部定期汇总纳入合规经营类指标,作为绩效考核的扣分项。1.1.1.
21、7. 案件防控管理x银行针对案件防控管理制定了x银行案防工作管理办法,实现“统一管理、分工明确、查防并举、鼓励自纠”的管理原则。董事会风险管理委员根据董事会的授权,审议批准案防工作总体政策,推动案防管理体系建设。监事会负责监督董事会和高级管理层案防工作职责履行情况,可根据需要开展案防工作专项监督检查。高级管理层负责制定年度案防工作计划,行长为案防制度制度和执行的第一责任人,总行各分管行领导是其所管理的条线部门案件防控的第一责任人,合规总监牵头负责案防工作,定期审查、检查和监督执行案防政策、制度和操作规程,并向董事会风险管理委员会报告案防工作。法律与合规部作为全行案防工作的牵头部门,负责拟定全行
22、案防管理政策、制度和操作规程,确保案防管理体系的正常运行。法律与合规部作为案件防控的牵头部门,目前以银监会每年提出的案防主题活动要求作为检查重点,将案防检查嵌入到年度业务检查过程中,并根据检查结果形成汇总报告。对于案件防控的检查已达到网点覆盖率达到30%以上。1.1.2. 监管要求和行业实践1.1.2.1. 风险定义银监会下发的商业银行操作风险管理指引明确指出:“操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。”1.1.2.2. 组织架构与职责分工银监会商业银行操作风险管理指引中对商业银行操作
23、风险管理的组织构架和职责分工进行了规定,归纳如下:董事会商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。主要职责包括: 制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策。 审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保操作风险管理有效、可控。 定期审阅高级管理层提交的操作风险报告,监控和评价日常操作风险管理的有效性。 确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险。 确保本行操作风险管理体系接受内审部门的有效审查与监督。 制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。高级管
24、理层商业银行的高级管理层负责董事会批准的操作风险管理战略、总体政策及体系。主要职责包括: 在操作风险的日常管理方面,对董事会负最终责任。 制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会报告。 全面掌握本行操作风险管理的总体状况。 明确界定各部门的操作风险管理职责以及报告的路径、频率、内容,督促各部门切实履行。 为操作风险管理配备适当的资源。 及时对操作风险管理体系进行检查和修订。操作风险管理部门商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门保持独立,确保全行范围内操作风险管理的一致性和有效性。主要职责包括: 拟定本行操作风险管理政
25、策、程序和具体的操作规程,提交高级管理层和董事会审批。 协助其他部门识别、评估、检测、控制及缓释操作风险。 建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和检测方法以及全行的操作风险报告程序。 建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理。 为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责。 定期检查并分析业务部门和其他部门操作风险的管理情况。 定期向高级管理层提交风险报告。 确保操作风险制度和措施得到遵守。业务条线商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括: 指定专人负责操作风险管理,其中
26、包括遵守操作风险管理的政策、程序和具体的操作规程。 根据本行统一的操作风险管理评估办法,识别、评估本部门的操作风险,并建立持续、有效的操作风险监测、控制/缓释及报告程序,并组织实施。 在制定本部门业务流程和相关政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性。 监测关键风险指标,定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件。此外,银监会操作风险资本计量监管要求指出“商业银行应当投入充足的人力和物力支持在业务条线实施操作风险管理,并确保内部控
27、制和内部审计的有效性。”审计部门商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估本行的操作风险管理体系运行情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。同时,银监会操作风险资本计量监管要求指出:“商业银行的操作风险管理系统和流程应接受内部独立审查,内部审查应覆盖业务部门活动和全行各层次的操作风险管理活动。”后台保障部门及分支机构商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时,应在涉及其职责分工及专业特长的范围内为其他部门管理操作风
28、险提供相关资源和支持。此外,银监会的商业银行操作风险管理指引和商业银行资本管理办法(试行)附件十二操作风险资本计量监管要求中要求,银行所建立的操作风险管理体系应与本银行的业务性质、规模和产品复杂程度相适应。同时,根据巴塞尔委员会要求及行业实践,银行应适时建立操作风险管理三道防线体系,具体包括:将业务条线对风险的监督作为风险管理的第一道防线;在总行和分支机构中负有独立监测和控制的特定风险管理部门、合规部门和支持性部门作为风险管理的第二道防线;稽核审计职能部门是银行风险管理的第三道防线。1.1.2.3. 风险管理政策制度银监会下发的商业银行操作风险管理指引和商业银行资本管理办法附件十二商业银行操作
29、风险监管资本计量要求对操作风险管理的进行了一般性要求,包括操作风险的定义,范围以及操作风险管理构架,职责分工,管理措施等。并且,还规定商业银行应当为操作风险管理体系配备完整的制度文件。 银监会商业银行操作风险管理指引指出银行“应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动,及时评估操作风险的各项要求。”;商业银行应当选择适当的方法对操作风险进行管理。具体的方法可包括新产品和新业务的风险评估。 银监会印发银行业金融机构外包风险管理指引,对商业银行及金融机构在外包过程中应承担的外包风险管理职责进行规定。 银监会商业银行业务连续性监管指引中,对商业银行业
30、务连续性的日常管理组织架构,应急处置组织架构,业务影响分析,业务连续性计划、建设、演练与持续改进,运营中断处置的环节进行规定。并要求商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。1.1.2.4. 操作风险管理措施操作风险基础标准商业银行操作风险管理指引中明确指出:“应建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理。”风险控制与自我评估商业银行操作风险管理指引中要求:“商业银行应当选择适当的方法对操作风险进行管理。其中包括:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测。”操作风险资本计量监管要求中规定商业银行在使用标准法进行资
31、本计量时,应“指定部门专门负责全行操作风险管理体系的建设,组织实施操作风险的识别、监测、评估、计量、控制、缓释、监督与报告等。”还应当制定操作风险评估机制,建立操作风险和控制自我评估或其他评估工具,将评估结果应用到风险考核、流程优化和风险报告中。关键风险指标根据商业银行操作风险管理指引和操作风险资本计量监管要求的要求,商业银行应当制定有效的程序,定期监测并报告操作风险状况和重大损失情况。针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度。并建立关键风险指标体系,实时监测相关指标,并建立指标突破阈值情况的处理流程,积极开展风险
32、预警管控。损失数据收集银监会在操作风险资本计量监管要求中要求商业银行应系统性地收集、整理、跟踪和分析操作风险相关数据,包括业务条线的操作风险损失金额和损失频率,定期根据损失数据进行风险评估,并将评估结果纳入操作风险监测和控制。新产品新业务管理银监会商业银行操作风险管理指引中银行“应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动,及时评估操作风险的各项要求。”;“商业银行应当选择适当的方法对操作风险进行管理。具体的方法可包括:新产品和新业务的风险评估。”从行业实践看,国内较先进城商行的新产品管理架构主要包括在总行设置由行长负责的产品创新工作领导小组,定
33、期或不定期的召开新产品委员会;总行各业务条线作为本条线产品创新管理的归口管理部门,组织实施全行性、区域性产品创新;总分行相关风险控制、会计、法律、信息技术部门参与相关审批。此外,国内较先进城商行均会制定统一的与新产品管理有关的政策、制度和流程,明确定义新产品、对新产品的风险评估和管理进行统一规范,并定期更新。有关新产品的政策会确定各相关部门在新产品管理中的职责。关于新产品审批部门的选择,综合国内外银行的优秀行业实践,新产品往往由风险管理部门牵头组织审批,具体形式一般采用专家委员会的方式集体决策。委员会一般有各相关部门的负责人组成,定期召开会议。为了提高对业务的支持响应效率和专业水平,委员会可以
34、成立多个风险论坛,一般一个业务线组建一个风险论坛。风险论坛的组成部门与新产品委员会的组成部门基本一致,但人员通常是一些部门专业人员,有风险部们负责人或产品线风险经理担任牵头人。风险论坛的主要职责是按照新产品委员会的授权审批新产品,并为新产品委员会提供专业支持。风险论坛会从专业角度进行深入分析和讨论,并进行决策,不能决策的事项由风险论坛提交新产品委员会审批。一般大多数的新产品由风险论坛审批,但每次新产品委员会会议都会审议上个月的非标准 / 新产品审批以及交易执行情况,新产品委员会有权否决风险论坛审议通过的交易。应急和业务连续性管理银监会在商业银行操作风险管理指引中指出:“商业银行应当制定与其业务
35、规模和复杂性相适应的应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并应当定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时方案和机制正常执行。”外包风险管理银监会在商业银行操作风险管理指引中指出:“商业银行应当制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。”风险管理报告银监会在商业银行资本管理办法(试行)附件十二操作风险资本计量监管要求中指出商业银行应建立清晰的操作风险内部报告路线。商业银行负责操作风险管理的部门应定期向高级管理层和董事会提交全行的操作风险管理报告,报告中应包括主要操作风险事件的详细详息、已确认
36、或潜在的重大操作风险损失等信息、操作风险及控制措施的评估结果、关键风险指标监测结果,并制定流程对报告中反映的信息采取有效行动。银监会在商业银行操作风险管理指引中指出商业银行应当制定适用于全行的操作风险管理政策。主要内容需要覆盖操作风险报告程序,其中包括报告的责任、路径、频率,以及对各部门的其他具体要求。同时规定重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。应报告的重大操作风险事件包括: 抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件。 造成商业银行重要数据、账册、重要空白凭证严重损
37、毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件。 盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件。 高管人员严重违规。 发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害。 其他涉及损失金额可能超过商业银行资本净额1的操作风险事件。 银监会规定其他需要报告的重大事件。整改银监会要求新资本协议银行建立的操作风险管理体系能够有效地控制/缓释操作风险,并且规定:对于银监会在监管中发现的有关操作风险管理的问题,商业银行应当在规定的时限内,
38、提交整改方案并采取整改措施。1.1.2.5. 操作风险计量模型银监会在商业银行资本管理办法(试行)中明确商业银行可采用基本指标法、标准法或高级计量法计量操作风险资本要求。且商业银行计量操作风险资本要求应经银监会核准。未经银监会批准,商业银行不得变更操作风险资本计量方法。银监会在操作风险资本计量监管要求中指出对于计划采用高级计量法的银行,应具备至少5年观测期的内部损失数据。初次使用高级计量法的商业银行,可使用3年期的内部损失数据。在行业实践中,国际领先银行一般使用标准法或高级计量法来计算操作风险资本要求,国内较先进城商行一般使用标准法。此外,银行在进行操作风险标准法资本计量时,通常会明确计量的职
39、责分工,方法,制定计量的具体流程及计量模板。1.1.2.6. 合规风险管理与操作风险管理的关系银监会在商业银行合规风险管理指引中指出:“合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。”同时,合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险,市场风险,操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。组织架构与职责分工银监会商业银行合规风险管理指引中对银行合规风险的组织架构与职责分工进行了相关的规定,归纳如下:董事会应对商业银行经营活动的合规性负最终责任,履行以下合规管理职责: 审议批准商业银行
40、的合规政策,并监督合规政策的实施。 审议批准高级管理层提交的合规风险管理报告,并对商业银行管理合规风险的有效性作出评价,以使合规缺陷得到及时有效的解决。 授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对商业银行合规风险管理进行日常监督。 商业银行章程规定的其他合规管理职责。负责日常监督商业银行合规风险管理的董事会下设委员会应通过各种途径了解合规政策的实施情况和存在的问题,及时向董事会或高级管理层提出相应的意见和建议,监督合规政策的有效实施。高级管理层应有效管理商业银行的合规风险,其合规管理职责包括: 制定书面的合规政策,并根据合规风险管理状况以及法律、规则和准则的变化情况
41、适时修订合规政策,报经董事会审议批准后传达给全体员工。 贯彻执行合规政策,确保发现违规事件时及时采取适当的纠正措施,并追究违规责任人的相应责任。 任命合规负责人,并确保合规负责人的独立性。 明确合规管理部门及其组织结构,为其履行职责配备充分和适当的合规管理人员,并确保合规管理部门的独立性。 识别商业银行所面临的主要合规风险,审核批准合规风险管理计划,确保合规管理部门与风险管理部门、内部审计部门以及其他相关部门之间的工作协调。 每年向董事会提交合规风险管理报告,报告应提供充分依据并有助于董事会成员判断高级管理层管理合规风险的有效性。 及时向董事会或其下设委员会、监事会报告任何重大违规事件。监事会
42、应监督董事会和高级管理层合规管理职责的履行情况。合规负责人应全面协调商业银行合规风险的识别和管理,监督合规管理部门根据合规风险管理计划履行职责,定期向高级管理层提交合规风险评估报告。合规负责人不得分管业务条线。银行应根据业务条线和分支机构的经营范围、业务规模设立相应的合规管理部门。合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险,履行以下基本职责: 持续关注法律、规则和准则的最新发展,正确理解法律、规则和准则的规定及其精神,并准确对商业银行经营的影响,及时为高级管理层提供合规建议。 制定并执行风险为本的合规管理计划,包括特定政策和程序的实施与评价、合规风险
43、评估、合规性测试、合规培训与教育等。 审核评价商业银行各项政策、程序和操作指南的合规性,组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订,并确保符合法律、规则和准则的要求。 协助相关培训和教育部门对员工进行合规培训,包括新员工的合规培训,以及所有员工的定期合规培训,并成为员工咨询有关合规问题的内部联络部门。 组织制定合规管理程序以及合规手册、员工行为准则等合规指南,并评估适当性,为员工恰当执行法律、规则和准则提供指导。 积极主动地识别和评估与商业银行经营活动相关的合规风险,识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风
44、险。 收集、筛选可能预示潜在合规问题的数据,建立合规风险监测指标,按照风险矩阵衡量合规风险发生的可能性和影响,确定合规风险的优先考虑序列。 实施充分且有代表性的合规风险评估和测试。合规性测试结果应按照商业银行的内部风险管理程序,通过合规风险报告路线向上报告,以确保各项政策和程序符合法律、规则和准则的要求。 保持与监管机构日常的工作联系,跟踪和评估监管意见和监管要求的落实情况。银行各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任。各业务条线和分支机构合规管理部门应根据合规管理程序主动识别和管理合规风险,按照合规风险的报告路线和报告要求及时报告。商业银行合规管理职能应与内部
45、审计职能分离,合规管理职能的履行情况应受到内部审计部门定期的独立评价。风险管理措施银监会商业银行合规风险管理指引中明确指出,商业银行应建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系,主要包括以下基本要素: 合规政策。 合规管理部门的组织结构和资源。 合规风险管理计划。 合规风险识别和管理流程。 合规培训与教育制度。银行应为合规管理部门配备有效履行合规管理职能的资源。合规管理人员应具备与履行职责相匹配的资质、经验、专业技能和个人素质,银行应定期为合规管理人员提供系统的专业技能培训。银监会商业银行合规风险管理指引中指出完整的合规风险管理体系还应包括合规风险的识别,评估,监控的流程。同
46、时,银行应建立合规问责,考核制度及诚信举报制度。此外,银行应明确合规风险报告路线以及合规风险报告的要素、格式和频率,并对合规风险评估报的内容进行明确,即合规风险评估报告的内容应包括但不限于: 报告期合规风险状况的变化情况。 已识别的违规事件和合规缺陷。 已采取的或建议采取的纠正措施等。商业银行应建立合规管理部门与风险管理部门在合规管理方面的协作机制。1.1.2.7. 案件防控管理组织架构与职责分工银监会于2010年下发的银行业金融机构案件处置工作规程中明确规定:“银行业金融机构对案件处置工作负直接责任。银行业金融机构应当制定本机构案件处置政策和制度,并有效落实和执行。”同时,银行业金融机构案件
47、处置工作包括案件信息报送及登记、案件调查、案件审结和后续处置。此外,银行业金融机构应当针对每个案件制定相应承办部门和主办人员。银行业金融机构案件的调查实行专案负责制。银行业金融机构在发生案件后,应当根据案件的性质和金额组成由相应层级的管理人员负责的专案组,承担案件的调查工作。2013年中国银监会办公厅下发的银行业金融机构案防工作办法增加了针对案防组织架构与职责分工的管理办法要求,归纳如下: 董事会应当将案件风险作为银行业金融机构的一项重要风险,将董事长列为案件风险防范第一责任人。主要职责包括:审议批准案防工作总体政策,推动案防管理体系建设;明确高级管理层有关案防职责及权限,确保高级管理层采取必要措施有效监测、预警和处置案件风险;提出案防工作整体要求,审议案防工作报告;考核评估本机构案防工作有效性;确保内审稽核对案防工作进行有效审查和监督。 监事会或监事应当监督董事会和高级管理层案防工作职责履行情况,监事长是案防工作监督的第一责任人。 高级管理层应当有效管理本机构案件风险,行长(或总经理等,下同)是案防制度制定和执行的第一责任人。高级管理层应当明确各部门及分支机构案防工作的职责分工,确保专人负责,并研
浙ICP备2021020529号-1 | 浙B2-20240490 
