1、操作风险管理办法编制部门: 版 次 号: 生效日期:xx年07月10日目 录修改与审批记录3第一章 总则4第二章 组织职责5第三章 操作风险识别与评估10第四章 操作风险的监测、控制与缓释11第五章 操作风险损失事件与损失数据收集14第六章 操作风险的报告和信息披露15第七章 操作风险资本计量18第八章 内部控制和外部审计18第九章 附则19附件19第一章 总则第一条 为加强银行(以下简称“本行”)操作风险管理,建立健全本行操作风险管理体系,提高操作风险管理水平,满足内外部监管要求,根据中国银行业监督管理委员会(以下简称“银监会”)商业银行资本管理办法(试行)、商业银行操作风险管理指引以及其他
2、相关法律和行政法规,制定本办法。第二条 本办法所称操作风险,是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。本办法所指法律风险包括但不限于以下风险:(一) 签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的风险;(二) 因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的风险;(三) 业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的风险。第三条 本办法所称操作风险管理,是指商业银行按照监管要求,建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系,有效地
3、识别、评估、监测和控制/缓释操作风险的全过程。本行操作风险管理目标,是通过建立健全操作风险管理框架,实现对操作风险的有效管理,实现操作风险损失的最小化。第四条 本行操作风险管理应遵循以下原则:(一) 有效性原则:操作风险管理制度应符合董事会战略规划要求,按照点面结合的管理模式,确保得到全面贯彻执行,任何人在任何岗位办理任何业务均受内部控制约束,内部控制存在的问题应当能够得到及时反馈和纠正;(二) 全面性原则:操作风险的管理要渗透到各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体员工参与,任何决策或操作均应当有案可查;(三) 审慎性原则:操作风险管理要以防范风险、审慎经营为出发点,各项
4、经营管理活动,尤其是涉及相关体制改革、设立新机构、开办新业务时,应当体现“内控优先”的原则,建立和完善相关规章制度和流程设计;(四) 成本效益原则:操作风险管理要做好重大风险点的排查和识别,突出重点,充分发挥各部门及广大员工的工作积极性,尽量降低操作风险管理成本,保证以合理的控制成本达到最佳的控制效果。第五条 本办法适用于本行各级、各部门及本行全体人员。第二章 组织职责第六条 本行操作风险管理组织体系由董事会、监事会、高级管理层、内审办公室、各部门及分支机构有风险管理职能的岗位构成。董事会、监事会、高级管理层构成本行操作风险管理的领导、监督机构。各部门及分支机构有风险管理职能的岗位、内审办公室
5、构成本行操作风险管理的“三道防线”。第七条 董事会应将操作风险作为本行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。主要职责包括:(一) 负责审批全行操作风险管理框架,确保其与本行的总体业务战略和重大策略相一致;(二) 定期听取董事会风险管理委员会关于全行操作风险管理工作执行情况的汇报;(三) 负责向高级管理层提供关于本行操作风险战略实施的方向性指导意见。第八条 董事会授权其下设风险管理委员会履行以下操作风险管理职责:(一) 制定与本行战略目标相一致且适用于全行的操作风险管理框架;(二) 通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保全行的操作风险管理决策体系的
6、有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;(三) 定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;(四) 确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;(五) 审定与操作风险管理相关的其他重大事项。第九条 本行监事会负责监督董事会和高级管理层在操作风险管理方面的履职情况,并提出相关建议。第十条 本行高级管理层负责执行董事会批准的操作风险管理框架,在操作风险的日常管理方面,对董事会负最终责任,其主要职责包括:(一) 负责执行由董事
7、会批准的操作风险管理政策,定期检查和监督执行情况,并定期向董事会风险管理委员会提交操作风险总体情况的报告;(二) 全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目;(三) 明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;(四) 为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;(五) 负责审批和审查本行操作风险资本测算和分配方案;(六) 及时对操作风险管理体系进行检查和修订
8、,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件;(七) 确保本行操作风险管理体系接受内审部门的有效审查与监督。第十一条 高级管理层风险管理委员会负责协调和监督各部门/分支机构的操作风险管理工作,履行以下职责:(一) 负责监督操作风险管理体系在各部门/分支机构的有效运行;(二) 负责审核和批准各部门/分支机构的操作风险管理具体实施细则或规程,以确保政策符合银行内外部监管要求;(三) 负责协调本行相关业务部门/分支机构在操作风险管理中的分工和协作;(四) 制定与操作风险管理相适应的薪酬绩效政策,确保薪酬绩效政策与本行操作风险管理框架
9、相一致,有效推动操作风险管理体系的建设。第十二条 负责全行操作风险管理体系的建立和实施,与其他部门保持独立,确保全行范围内操作风险管理的一致性和有效性。主要职责包括:(一) 结合本行业务性质、规模、复杂程度和风险特征及总体业务发展战略、管理能力、资本实力、财务回报要求和能够承担的总体风险水平,依据本行操作风险管理框架,制定本行操作风险管理政策和程序,根据要求报董事会或其专业委员会审议批准;(二) 协助其他部门识别、评估、监测、控制及缓释操作风险;(三) 建立操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序,并组织实施;(四) 建立适用全行的操作风险基本控制标准,
10、并指导和协调全行范围内的操作风险管理;(五) 监控全行操作风险管理的有效性,并定期汇总全行操作风险数据,分析全行操作风险状况,确保本行操作风险管理政策和措施得到遵守与落实;(六) 协助为各部门/分支机构提供操作风险管理方面的培训,协助各部门/分支机构提高操作风险管理水平、履行操作风险管理的各项职责; (七) 定期汇总全行各部门/分支机构操作风险报告,形成操作风险综合报告提交高级管理层。第十三条 操作风险管理岗负责本行操作风险管理的具体实施,履行以下职责:(一) 拟订全行操作风险管理政策、程序和具体的操作风险规程;(二) 组织对全行各部门/分支机构各类业务经营和管理活动中的操作风险状况进行识别、
11、评估、缓释和持续监控,建立健全全行操作风险防范监测体系;(三) 组织收集、整理和分析各部门/分支机构各项业务或管理活动操作流程的具体风险点、风险控制环节与风险控制措施,对关键风险点做出提示,并提出风险控制措施的改进建议;(四) 定期检查并分析各部门/分支机构的操作风险管理情况;(五) 定期汇总各部门/分支机构操作风险报告。第十四条 各部门/分支机构负责人对本部门/机构的操作风险管理情况负直接责任,履行以下职责:(一) 指定专人负责本部门/分支机构操作风险管理,确保操作风险政策、流程和规程在本部门/机构内得到正确、有效的执行;(二) 负责审查本部门/机构的操作风险管理具体实施细则或规程,以确保该
12、实施细则或规程符合总行的操作风险管理政策或规程;(三) 负责加强本部门/分支机构操作风险管理队伍建设。第十五条 各部门/分支机构有风险管理职能的岗位负责本部门/机构操作风险管理的具体实施,履行以下职责:(一) 根据总行的操作风险管理政策结合本部门实际,负责制定本部门及系统内各项业务的操作风险管理实施细则或规程,确保其适宜和有效;(二) 根据本行风险管理政策或规程要求,负责本部门操作风险识别和评估的实施,并将结果报总行;(三) 负责本部门/分支机构操作风险日常监测工作;(四) 定期向总行报告本部门/分支机构操作风险管理执行情况,并及时通报重大操作风险事件;(五) 负责对本部门/分支机构进行操作风
13、险培训,提高操作风险管理水平。第十六条 、安全保卫部、等部门在管理好本部门操作风险的同时,应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。第十七条 总行应做好本行操作风险资本计量相关工作。第十八条 内审办公室对本行操作风险的管理情况进行检查监督,履行以下职责:(一) 定期检查各部门/分支机构操作风险管理政策的落实和防范措施的执行情况;(二) 定期对关于操作风险管理的履行情况进行监督;(三) 对全行操作风险管理政策、程序和具体的操作规程及其运作情况进行独立评估,并将评估结果报告董事会和高级管理层。第三章 操作风险识别与评估第十九条 操作风险识别,是指识别存在的主要操
14、作风险并确定其性质的过程,其范围应涵盖本行各部门/分支机构的业务经营和管理活动。本行操作风险识别旨在准确识别各业务管理流程存在的主要操作风险事件、风险事件类别、风险原因、影响类型、控制措施等,为操作风险评估、监测、控制/缓释和报告提供基础。第二十条 操作风险评估,是指按照本行操作风险评估要求,从操作风险发生的可能性及后果两个维度来评估操作风险,并确定操作风险是否可接受的全过程。本行操作风险评估应按照统一的标准,对操作风险事件的固有风险暴露、剩余风险暴露和控制有效性等进行评估,并结合对应流程的风险容忍度,确定操作风险暴露是否在可接受范围之内。第二十一条 本行操作风险识别与评估的范围包括本行所有机
15、构、产品、职能、活动和系统:(一) 新产品、新业务流程和系统推出应用之前,本行应对其中的操作风险予以充分地识别与评估并确定关键风险监控指标;(二) 定期对操作风险损失事件进行风险评估,并将评估结果纳入到操作风险监测和控制范畴。第二十二条 本行操作风险识别与评估采用风险与控制自我评估(RCSA)的方法。第二十三条 本行操作风险识别与评估流程:(一) 确定全行业务经营及管理活动的具体流程;(二) 对流程中存在的风险进行辨别和分类;(三) 识别潜在风险和暴露风险;(四) 鉴别分析风险因素和关键点;(五) 评估风险影响程度;(六) 评估对风险的控制能力。第四章 操作风险的监测、控制与缓释第二十四条 本
16、行操作风险监测是对关键风险指标(KRI,Key Risk Indicators)设定、跟踪、分析评估及报告的全过程,是建立操作风险预警机制的有效手段,包括:(一) 通过设置并监测关键风险指标,动态、持续的监测操作风险状况及其控制/缓释措施的质量;(二) 快速发现政策、流程和内部控制出现的问题并采取相应的补救措施。第二十五条 关键风险指标,是指代表某一风险领域变化情况并可定期监控的统计指标。该指标可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标。关键风险指标监测不意味着预测事件,关键风险指标在某个具体流程中最能起到早期预警的作用,以防止事件的发生。第二十六条
17、本行操作风险控制与缓释,是指根据操作风险评估或监测结果,制订并组织实施操作风险控制/缓释行动计划的过程,其目的是通过流程控制、行为监控、电子化、保险、外包等一系列控制手段或缓释方法,对操作风险进行规避、预防、缓释、转移,将操作风险暴露降低至可接受的范围之内。第二十七条 本行应定期通过人工方式或系统导入方式收集关键风险指标监测数据。各部门/分支机构应指定专人定期监控关键风险指标的变化,根据关键风险指标所处区间进行原因分析并及时采取相应措施。第二十八条 各部门/分支机构应及时向本级操作风险管理岗位/部门提交关键指标监测数据。总行依据全行关键风险指标变化情况,汇总、分析形成全行关键风险指标监测报告按
18、要求向高级管理层报告。第二十九条 本行应当将加强内部控制作为操作风险管理的有效手段,与此相关的内部措施至少应当包括:(一) 明确和规范全行业务经营和管理活动的流程;(二) 密切监测遵守指定风险限额或权限的情况;(三) 对接触和使用本行资产的记录进行安全监控;(四) 督促员工具有与其从事业务相适应的业务能力并对员工进行相关培训;(五) 识别与合理预期收益不符及存在隐患的业务或产品;(六) 定期对交易和账户进行复核和对账;(七) 建立营业部主任及关键岗位轮岗轮调、强制性休假制度和离岗审计制度;(八) 对重要岗位或敏感环节员工八小时内外行为规范定期进行排查;(九) 建立基层员工署名揭发违法违规问题的
19、激励和保护制度;(十) 建立案件查处和相应的信息披露制度;(十一) 建立对基层操作风险管控奖惩兼顾的激励约束机制。 操作风险控制措施应当随着本行业务发展和技术水平提高而不断丰富。第三十条 为有效地识别、评估、监测、控制和报告操作风险,本行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息,支持操作风险和控制措施的自我评估,监测关键风险指标,并可提供操作风险报告的有关内容。第三十一条 本行各部门/分支机构应定期开展操作风险排查活动,按照人民银行和监管部门相关工作要求以及本行相关工作制度,发现风险事项和风险隐患,对查出的问题督促整改。排
20、查范围应包括但不限于以下内容:(一) 岗位分离和监督约束机制情况;权限管理情况;控制措施情况,包括操作规范、风险管理措施,对资金交易员的管理情况;(二) 代理客户资金业务的管理情况;ATM机的管理情况;代理业务情况;基金托管业务情况;咨询顾问类业务情况;保管箱业务情况等;(三) 前台柜面业务操作风险隐患:对账(包括存放央行、存放同业、同业存款、债券投资业务)情况,其中百万元以上逐笔检查,百万元以下有重点抽查;印、押、证管理情况;柜台人员名章管理情况;印章管理情况;有价单证及重要空白凭证管理情况;特殊业务处理情况;资金证明业务管理情况;业务库、现金尾箱管理情况;账户管理情况等;(四) 资金业务的
21、资金调入、调出,审批手续情况;账外经营、挪用截留收入、收入不入账情况;私设小金库情况;盗用或挪用客户资金的情况;挪用本行内部资金的情况;大额资金取现情况等;(五) 信贷业务中的审批权限和工作程序;贷款用途的审查和监控;银行承兑汇票业务;保函业务等;(六) 监控录像情况;枪支弹药管理情况;上门服务情况等;(七) IT操作风险及对防控操作风险的支持情况等;(八) 员工行为:营业部主任及关键岗位轮岗轮调、强制性休假制度和离岗审计制度落实情况;重要岗位或敏感环节员工八小时内外行为规范情况;基层员工署名揭发违法违规问题的激励和保护制度落实情况。第五章 操作风险损失事件与损失数据收集第三十二条 本办法所称
22、操作风险损失事件,是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件。操作风险损失事件原则上不包括策略风险和声誉风险事件。第三十三条 根据银监会商业银行资本管理办法(试行),本行操作风险损失事件包括以下七大类内容:(一) 内部欺诈事件;(二) 外部欺诈事件;(三) 就业制度和工作场所安全事件;(四) 客户、产品和业务活动事件;(五) 实物资产的损坏;(六) 信息科技系统事件;(七) 执行、交割和流程管理事件。第三十四条 应当组织开展全行范围操作风险损失数据收集工作,根据以下基本原则并结合本行的实际特点,进行操作风险损失数据收集:(
23、一) 重要性原则。在统计操作风险损失事件时,应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认;(二) 及时性原则。应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失,避免因提前或延后造成当期统计数据不准确;(三) 统一性原则。操作风险损失事件的统计标准、范围、程序和方法要保持一致,以确保统计结果客观、准确及可比;(四) 谨慎性原则。在对操作风险损失进行确认时,应保持必要的谨慎,应进行客观、公允统计,准确计量损失金额,避免出现多计或少计操作风险损失的情况。第六章 操作风险的报告和信息披露第三十五条 本办法所称操作风险报告,是指各部门/分支机构依据本行操作风险管理
24、规定的内容、时间、频率、路径提交操作风险管理报告,并分析和反映本部门/机构操作风险管理状况的报告活动。第三十六条 本行应建立操作风险报告制度,通过有效的沟通和反馈,使董事会、监事会和高级管理层及有关部门及时了解本行操作风险状况,相应调整风险管理政策和管理措施。第三十七条 本行应建立操作风险管理信息的收集与积累机制:(一) 各部门/分支机构应广泛地、持续不断地收集与本行各类风险管理相关的信息,以积累内部数据;(二) 对各类操作风险实施监控,对各部门/分支机构提供的各类信息及时进行记录、汇总、分析和处理,并保留风险管理记录。第三十八条 操作风险报告应涵盖全行各个单位的操作风险信息。各部门/分支机构
25、报告的权限、路径、频率以及内容如下:(一) 总行相关部门应对关键操作风险指标进行监测,定期向通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件;(二) 分支机构应按照各业务条线的操作风险排查要求汇总分析本单位的操作风险事项报总行相关业务部门,相关业务部门结合本部门分析、识别出的操作风险撰写操作风险报告交,报告应包括本业务条线操作风险状况、应采取的措施及今后改进的方向;(三) 定期、不定期向董事会、监事会、高级管理层提交包括操作风险内容的报告。报告应包括本行操作风险状况、操作风险损失事件与数据分析、趋势/预警分析、应采取的措施及今后改进的方向等内容;(四) 各部门/分支机构有风险管理职
26、能的岗位针对业务检查中发现的重大风险隐患可直接形成专项风险报告报,审核后报董事会、监事会、高级管理层。第三十九条 操作风险报告/披露流程。(一) 操作风险报告流程应包括风险信息的收集、风险信息的加工、风险信息汇总与上报等环节; (二) 操作风险信息披露流程应包括制定操作风险信息披露制度、拟定信息披露报告、批准发布等环节。第四十条 风险事件报告:(一) 各部门/分支机构发生下列事件的,应在1小时内向总行业务主管部门、口头报告,并于次日形成书面报告上报总行业务主管部门及;应在接到口头报告后立即上报高级管理层,并会同业务主管部门持续跟进操作风险事件的处置工作,及时向高级管理层汇报:1 抢劫本行或运钞
27、车、盗窃本行现金10万元以上的案件,诈骗本行或其他涉案金额100万元以上的案件;2 造成本行重要数据、账册、重要空白凭证严重损毁、丢失,造成涉及两个或两个以上分支机构中断业务1小时以上,涉及一个分支机构中断业务2小时以上,严重影响正常工作开展的事件;3 盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;4 部门/分支机构管理层人员严重违规;5 发生不可抗力导致严重损失,造成直接经济损失100万元以上的事故、自然灾害;6 涉及损失金额可能超过本行资本净额万分之一的操作风险事件;7 本行规定其他需要报告的重大事件。凡发生以上事件,虽未达到上述金额,各分支机构、业务部门仍应及
28、时报告,并书面告知。(二) 发生下列重大操作风险事件,本行应及时向监管部门报告:1 抢劫本行或运钞车、盗窃本行现金30万元以上的案件,诈骗本行或其他涉案金额1000万元以上的案件;2 造成本行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;3 盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;4 高管人员严重违规;5 发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;6 其他涉及损失金额可能超过本
29、行资本净额1的操作风险事件;7 银监会规定其他需要报告的重大事件。第四十一条 本行按照银监会关于信息披露的有关规定,披露本行操作风险状况的定量和定性信息。相关内容按照监管要求进行披露。第七章 操作风险资本计量第四十二条 操作风险资本计量与分配,是指按照银监会规定的操作风险资本计量方法与要求,对本行操作风险实行资本计量,并合理分配操作风险经济资本的过程。第四十三条 操作风险资本计量可采用基本指标法、标准法或高级计量法。总行应按照银监会的监管要求,结合本行实际情况,采取适合方法进行计量。第四十四条 为实现本行操作风险资本计量与分配管理的长期目标,应按照银监会的要求,建立系统的、持续的收集、整理、跟
30、踪和分析操作风险损失数据机制。第八章 内部控制和外部审计第四十五条 本行应建立完善的操作风险管理内部控制体系,并将其作为整体内部控制体系的有机组成部分,操作风险管理的内部控制必须有利于促进有效的业务运作,促使各级人员严格遵守相关法律、行政法规、部门规章和内部的制度、程序,确保操作风险管理体系的有效运行。第四十六条 内审办公室应当检查评价本行的操作风险管理体系运行情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估。内部审计报告应当提交给董事会。董事会应当督促高级管理层对内部审计所发现的问题提出改进方案或措施。第四十七条 内审办公室应至少每年全面检查评估一次全行的操作风险管理体系运作情况;将操作风险管理情况作为各项日常检查的重要内容,针对发现问题及时提出整改意见并监督执行。第四十八条 内部审计力量不足时,可委托社会中介机构对本行操作风险管理体系定期进行审计和评价。第九章 附则第四十九条 本办法由银行总行负责制定、解释和修改。第五十条 本办法自发布之日起施行。附件 本办法无附件