金融租赁公司操作风险管理规定模版.docx

操作风险管理规定 第一章 总则 第一条 为健全公司操作风险管理体系，完善操作风险管理机制、提高操作风险管理水平，促进公司业务持续稳定发展，制定本规定。 第二条 操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。战略风险和声誉风险带来的损失、潜在收入损失、由操作风险引起的间接损失、为加强风险管理和控制、减少未来操作风险事件的发生而投入的成本、与现金流出无关的会计调整不计入操作风险损失。 第三条 为满足监管机构的监管要求和公司操作风险管理的需要，操作风险按照风险成因分为人员因素、系统因素、流程因素和外部事件因素四类，具体风险成因分类框架见附件。 第四条 操作风险管理是公司全面风险管理的重要组成部分，其管理目标是： (一)充分识别、评估和持续监测公司面临的各类操作风险，清晰了解公司操作风险管理的状况及存在的问题。 (二)降低公司面临的操作风险的不确定性，将操作风险控制在公司可接受的合理范围内。 (三)提高服务效率，实现流程优化，提升内部控制，增强防范和应对操作风险的能力，促进公司业务的持续健康发展。 (四)降低管理成本，提高收益水平，支持基于风险的绩效管理和产品定价，从而提高公司的整体运营能力和盈利能力。 (五)降低突发事件的冲击，保证业务正常和持续发展。 (六)提升公司市场竞争能力，最终实现股东价值的增值。 第五条 公司操作风险管理遵循“集中控制、分层管理、职责清晰、奖惩分明”的原则。 (一)集中控制是指由风险管理部制定全公司统一的操作风险管理基本政策和管理制度，对公司的操作风险定义、分类、识别、评估、计量、监测、报告、风险偏好以及信息批露等建立统一、标准化的管理要求和工具模板。 (二)分层管理是指公司各业务和职能部门在遵循集中管理控制的基础上，在各部门的具体职责范围内，对本部门所面临的操作风险实施具体管理工作，使操作风险管理覆盖到公司的各个业务领域、经营活动和操作环节，确保公司的操作风险管理策略和偏好在各个管理层面上得到一致和有效的执行。 (三)职责清晰是指公司通过建立多层级的、完善的操作风险管理制度体系，充分明确各层级的在操作风险管理工作中的分工和具体责任。 (四)奖惩分明是指公司鼓励各部门和人员主动管理和报告操作风险，对于及时报告操作风险、有效规避或降低损失的行为给与奖励；而对于故意隐瞒、虚假报告而导致操作风险加剧或恶化的责任人，将按照有关规定严格问责。 第二章 操作风险管理职责分工 第六条 公司操作风险管理组织架构在董事会和高级管理层的领导下，按照风险管理三道防线的基本原则进行构建，即： (一)各业务部门作为防范操作风险管理的第一道防线，是本部门操作风险的直接承担部门，负有对操作风险进行管理的第一责任。 (二)各相关风险管理部门作为防范操作风险管理的第二道防线，负责操作风险管理体系的构建和相关操作风险管理工作的组织、统筹和支持保障。 (三)审计部门作为防范操作风险管理的第三道防线，负责对操作风险管理体系的运行情况进行独立的监督和评价。 第七条 董事会及其下设的风险控制委员会承担监控操作风险有效性的监督责任，其主要职责包括： (一)审核批准操作风险管理体系、操作风险偏好、操作风险管理目标、政策、方法、流程、管理系统及工具等。 (二)监督高级管理层在风险管理体系内对操作风险进行管理和控制，督促高级管理层制定适当的制度和流程以有效监控和控制操作风险。 (三)根据内外部审计的结果及时调整和完善有关操作风险管理的政策和程序，并督促高级管理层针对内外部审计发现的问题采取及时有效的补救和改进措施。 （四）全面掌握公司操作风险管理的总体状况，特别是各项重大的操作风险事件或项目。 第八条 公司高级管理层承担操作风险日常管理工作，并对董事会负最终责任，其具体职责包括： (一)负责全面组织实施操作风险战略和风险偏好，落实操作风险管理政策、程序和措施，承担业务经营中产生的操作风险。 (二)根据董事会制定的操作风险管理战略及总体政策，审批操作风险管理办法及相关的实施细则。 第九条 风险管理部是公司操作风险管理的第二道防线，专门负责操作风险管理体系的建立，并牵头组织操作风险管理工作的实施，其主要职责包括： (一)负责组织拟定并落实操作风险管理的基本政策、制度、流程和风险评价标准。 (二)牵头制定全公司的操作风险偏好，定期检查并评估风险偏好执行情况。 (三)开发和建立操作风险识别、评估、控制和缓释、监测及报告的方法、工具以及模板。 (四)牵头组织各业务和职能部门开展全公司范围内的操作风险的识别、评估、控制和缓释、监测及报告工作，指导和协调公司范围内的操作风险管理，定期分析公司操作风险及其管理情况。 (五)分析研究各类操作风险资本计量方法，不断推进公司在资本计量方面的改进，并组织开展相应的操作风险资本计量试算工作。 (六)定期检查和评价各业务部门和职能部门的操作风险管理情况。 第十条 公司各业务和职能部门是操作风险管理的第一道防线，直接负责对本部门操作风险的日常管理，对操作风险负直接责任，其主要职责包括： （一）根据公司统一的操作风险管理评估方法，识别、评估本部门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施。 （二）收集本部门相关的操作风险损失数据，监测相关关键风险指标，定期向风险管理部通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。 （三）在制定本部门业务流程和相关制度时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性。 （四)定期收集本部门的操作风险信息及时向风险管理部和高级管理层提交操作风险专题报告，通报本部门相关的重大操作风险事件。 第十一条 计划财务部、资金管理部和法律合规部在按照上述一般要求管理好本部门操作风险的同时，还应在其职责分工范围内为公司整体操作风险管理提供相关支持。 第十二条 审计稽核部作为操作风险管理的第三道防线不直接负责或参与其他部门的操作风险管理，但负责对操作风险管理体系的运行状况和效果进行独立的监督与评价，其主要职责包括： （一）监督操作风险管理各项政策制度的实际执行情况。 （二）定期检查和评估公司操作风险管理体系及其有效性，并向董事会报告。 第三章 操作风险偏好 第十三条 操作风险偏好是公司在执行经营策略的过程中愿意接受的操作风险程度的一种表达和分配方式，是为了实现战略目标而愿意承受的高/低操作风险水平和波动性的一种意愿的表达。 第十四条 风险管理部将根据上年度操作风险偏好的实际执行情况，结合下一年度的经营计划、盈利要求和市场环境，对本年度的操作风险偏好视需要提出调整建议。 第十五条 公司的操作风险偏好可采用定性或定量的方式描述，在可能的范围内，公司将尽量使用明确的、定量的指标来描述公司的操作风险偏好。 第四章 操作风险管理流程 第十六条 本规定所指的操作风险管理流程包括对操作风险的识别、评估、控制与缓释、监测以及报告等。 第十七条 操作风险识别是指对公司经营活动和业务流程中可能影响公司经营绩效，可能给公司带来财务或非财务损失的所有内部或外部操作风险因素的识别，以便对其进行控制和管理。 第十八条 为保证公司操作风险识别的及时性和充分性，公司将逐步建立完善的操作风险识别机制，包括但不限于以下内容： (一)在全公司范围内有组织，有次序的开展操作风险和控制自我评估工作，全面系统的识别和分析公司所面临的各类操作风险。 (二)基于操作风险和控制自我评估的成果，依据整体的操作风险分类框架，建立全公司的操作风险数据库，并定期对操作风险数据库进行更新和完善。 (三)在全公司范围内开展操作风险损失数据收集工作，并通过对损失数据进行分析，识别我公司面临的各项操作风险。 (四)对于操作风险损失程度较大或发生频率较高的产品和业务，应作为风险识别的重点，加大操作风险和控制自我评估的频率和范围。 (五)在全公司范围内确保所有新业务、新系统在实施和推广前，相关部门已经对其相应的操作风险进行充分的识别和判断。 (六)在全公司范围内确保已有业务流程在发生重大变更时，相关部门已经对其可能导致的操作风险进行充分识别。 (七)在全公司范围内确保所有外包活动中的操作风险在业务开展之前已经得到充分的识别。 第十九条 操作风险评估是指采用一定的评估方法，对操作风险影响程度，发生频率与控制效率进行分析和评价。 第二十条 为保证公司操作风险评估的准确性，公司将逐步建立完善的操作风险评估机制，包括但不限于以下内容： (一)公司将通过定性与定量相结合的方式，综合运用操作风险与控制自我评估和操作风险损失数据收集等工具，评估公司面临的各类操作风险。 (二)公司将结合整体的操作风险偏好，制定全公司统一的操作风险定量评估标准，包括频率标准和损失程度标准，为公司评估操作风险水平提供明确的依据。 第二十一条 操作风险控制与缓释是指根据操作风险识别评估的结果，结合公司发展战略、业务规模与复杂性程度，通过采取流程控制、行为监控、电子化、保险等一系列控制或缓释的方法，对操作风险进行转移、分散、降低和规避，将其调整到公司可接受的水平。 第二十二条 公司针对识别出的所有操作风险，应在对其进行有效评估的基础上，选择适当的操作风险控制或缓释策略。 第二十三条 公司鼓励各业务与职能部门以内部控制作为操作风险管理的有效手段。与操作风险相关的控制措施包括但不限于以下内容： (一)要求部门之间具有明确的职责分工以及相关职能的适当分离，杜绝不相容岗位混岗办理业务，以避免潜在的利益冲突。 (二)增加控制措施、优化业务流程，如将个别业务集中处理、增加复核或审批环节、建立系统控制等。 (三)调整人力资源配置，确保员工具有与其从事业务相适应的业务能力并接受相关培训及考核。 (四)制定并密切监测风险限额和权限的情况。 (五)对接触和使用公司资产的记录进行安全监控。 (六)识别与合理预期收益不符及存在隐患的业务。 (七)定期对交易和账户进行复核和对账。 (八)主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度。 (九)重要岗位或敏感环节员工八小时内外行为规范，查处涉黄、涉赌、涉毒以及大额举债、经商办企业等行为。 (十)建立基层员工署名揭发违法违规问题的激励和保护制度。 第二十四条 公司将操作风险缓释工具作为操作风险管理的补充手段，公司在使用操作风险缓释工具时秉承审慎性的原则，全面、客观的评价风险缓释工具降低风险的能力，但不夸大缓释工具的作用，不以缓释工具代替自身进行内部控制和操作风险管理的责任。 第二十五条 在采用缓释工具管理操作风险时，公司将主要根据成本效益和预期损失相匹配原则，并综合考虑风险缓释措施的可操作性，针对不同类型操作风险采取外包或购买保险等操作风险缓释工具。 第二十六条 公司将定期对操作风险缓释工具的使用情况和使用效果进行分析与评估。 第二十七条 操作风险监测是指通过对各类操作风险相关的定量和定性信息的持续收集和分析，对操作风险状况及控制缓释措施的实施效果进行持续和动态的管理。 第二十八条 公司将在全公司范围内建立集成操作风险监测体系，并主要使用关键风险指标作为监测操作风险的工具。 第二十九条 操作风险报告是指各报告部门进行操作风险信息收集、加工与传输、汇总与报告的过程。各报告部门通过对面临的各类操作风险进行研究和分析，并按照相应的报告制度及时、全面、真实地向风险管理部、高级管理层和董事会提供操作风险管理的信息，为公司合理配置资本和制定发展战略提供决策支持。 第三十条 操作风险报告按照主要内容和功能分为管理报告和专题报告两类。 第三十一条 操作风险管理报告主要用于对公司日常操作风险的状况和操作风险管理工作的总结和报告。 第三十二条 操作风险管理报告至少应包括以下内容： (一)操作风险状况回顾：总结回顾在报告周期内本部门/公司操作风险状况及操作风险管理情况，包括但不限于操作风险损失数据收集情况、风险与控制自我评估工作开展情况、关键风险指标监测情况、操作风险缓释工具的使用情况以及行动方案的制定和执行情况等。 (二)操作风险趋势分析：结合本部门/公司操作风险状况和其他内外部操作风险管理环境因素，分析操作风险的变动趋势。 (三)主要问题：分析总结本部门/公司在操作风险管理工作中遇到的主要问题，并分析问题产生的主要原因。 (四)工作建议：针对本部门/公司在操作风险管理工作中面临的主要问题及分析结果，提出整体工作建议。 第三十三条 操作风险专题报告主要用于对公司发生的重大操作风险事项进行的专门汇报，报告采用一事一报。专题报告由操作风险事项所在部门编制，报风险管理部和高级管理层审阅。 第三十四条 重大操作风险事件是指对公司可能或已经造成严重后果，或者存在潜在重大影响的操作风险事件。 第三十五条 公司充分重视员工在操作风险管理中的作用，鼓励员工将发现的操作风险事件及操作风险管理中存在的问题直接向风险管理部或高管层汇报。 第五章 操作风险管理工具 第三十六条 操作风险管理工具指在操作风险管理流程中所使用对操作风险进行识别、评估、分析、监测报告和缓释等一系列工具的总称，包括但不限于操作风险和控制自我评估、操作风险损失数据收集、操作风险关键风险指标、操作风险压力测试、业务连续性管理、外包和保险等。 第三十七条 操作风险与控制自我评估（以下简称“自评”或“RCSA”）是指公司识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。 第三十八条 公司将自评作为识别和评估操作风险的主要工具，并使其覆盖到公司的所有业务和管理部门，通过开展自评，公司将更加准确地描述整体操作风险的状况及其分布，并制定相应的行动方案，使公司操作风险水平始终保持在可接受的范围内。 第三十九条 操作风险损失数据收集（以下简称“损失数据”或“LDC”）是指按照既定要求和流程收集内外部操作风险损失事件相关数据的操作风险管理工具。其中，外部损失数据的来源除自行收集外，还可通过购买外部数据库的方式获取。 第四十条 公司将损失数据作为识别和评估操作风险的补充工具，通过对损失数据的分析来发现公司操作风险的状况和变化，进而制定相应行动方案来改善公司内部操作风险管理，同时为未来采用高级法计量操作风险资本做准备。 第四十一条 公司将建立规范的损失数据收集标准和操作风险损失数据库，对收集到的内、外部损失数据进行集中管理和统一维护。 第四十二条 操作风险关键风险指标（以下简称“关键指标”或“KRI”）是指代表某一风险领域变化情况并可定期监控的统计指标，关键风险指标可用于监测可能造成损失事件的各项操作风险及控制措施，并作为反映操作风险变化情况的早期预警工具。 第四十三条 公司将关键指标作为操作风险监测的重要工具，基于操作风险识别和评估的结果确定需要监控的操作风险领域，并选择恰当的指标对其进行监控。公司通过对指标的监控来观察操作风险的状况和变化，进而制定相应的行动方案来改善公司内部的操作风险管理。 第四十四条 操作风险压力测试（以下简称“压力测试”）是一种以定量分析为主的操作风险分析方法，通过测算公司在遇到假定的小概率事件等极端不利情况下可能发生的损失，分析这些损失对公司盈利能力和资本金带来的负面影响，并采取必要措施。 第四十五条 公司将压力测试作为对极端操作风险情形进行识别、评估和管理的主要工具，根据外部经营环境和内在管理需求组织开展相关工作，并综合考虑操作风险与其他风险之间的相互作用和共同影响。 第四十六条 业务连续性管理是指公司为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体。 第四十七条 公司将业务连续性管理作为对重大和极端操作风险事件应对的重要手段，并通过应急准备、应急处置以及对业务连续性进行持续评估和改进等工作来保证公司的业务连续性水平始终保持在可接受的范围内。 第四十八条 外包是指公司将原本由自身负责处理的某些业务活动委托给外包服务供应商进行持续处理的行为。 第四十九条 公司将外包作为操作风险缓释的一项重要工具，将对外包的范围进行明确的规定和严格的管理，并通过对外包服务供应商的准入管理、日常管理、评估和退出管理等来综合控制由于外包而可能产生的其他风险。 第五十条 保险是指投保人根据合同约定，向保险人支付保险费，保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任的行为。 第五十一条 公司将保险作为操作风险缓释的一项重要工具，对于公司面临的操作风险，主要是人员、系统和外部事件相关的操作风险，相关管理部门可根据成本效益和预期损失相匹配原则分析是否可采用保险作为风险缓释的手段，并经相关审批后予以实施。 第六章 操作风险资本计量 第五十二条 操作风险资本计量是指按照银监会关于金融租赁公司资本管理的监管要求，计量公司承担操作风险所需要的资本。 第五十三条 公司将结合业务性质、规模和复杂程度以及风险管理水平选择采用基本指标法、标准法或高级计量法来计量操作风险监管资本，进而按照既定的方法组织相关部门开展操作风险资本计量工作。 第五十四条 公司将不断推进操作风险资本计量方法的优化和改进，使其更加准确地反映公司的实际资本需求。 第七章 操作风险信息批露 第五十五条 操作风险信息披露指依据相关法律法规的要求，将公司与操作风险相关的信息向金融监管机构、政府主管部门、投资者、债权人或社会公众等进行报告或公示。 第五十六条 公司操作风险信息披露应遵守监管部门、政府主管部门等相关部门对信息披露的规定，遵循及时、全面、可靠、可比性、重要性以及公司相关规章制度中有关保密的规定。 第五十七条 公司操作风险对外信息披露实行授权制度，各部门和人员应严格按照公司对外信息批露相关管理程序执行，严禁任何人员在无授权或超授权情况下对外公开发表与公司操作风险状况相关的任何信息。 第八章 操作风险信息管理系统 第五十八条 公司将逐步建立操作风险管理系统，以提高操作风险识别、评估、监测、控制和报告的质量和管理效率，该系统应拥有以下功能： (一)记录和存储与操作风险损失相关的数据和操作风险事件信息。 (二)支持操作风险与控制自我评估。 (三)支持关键风险指标监控。 (四)支持多维度的操作风险分析和报告。 (五)支持操作风险资本计量。 第九章 操作风险监督与评价 第五十九条 操作风险管理监督评价是指为实现公司操作风险管理的目标和战略，对操作风险管理体系本身及其运行效果进行定期检查和综合评定的过程。 第六十条 操作风险管理监督评价包括以下两类： (一)对全公司操作风险管理体系的监督评价。 (二)对各个业务和职能部门操作风险管理情况的监督评价。 第六十一条 审计稽核部作为相对独立的第三方，直接负责对公司操作风险管理体系进行监督评价，根据监督评价结果对公司操作风险管理提供有价值的改进意见和建议，并向董事会报告。 第六十二条 风险管理部作为操作风险管理的第二道防线，直接负责对公司各部门操作风险管理情况进行监督评价，并向高级管理层报告。 第十章 附则 第六十三条 本规定由风险管理部负责解释和修订。 第六十四条 本规定自发布之日起施行。