1、银行股份有限公司操作风险管理政策 第一章 总则第一条 宗旨为建立和健全银行股份有限公司(以下简称本行)操作风险管理框架,提高操作风险管理水平,有效管理操作风险并降低操作风险损失,根据商业银行操作风险管理指引相关要求并借鉴巴塞尔新资本协议,特制定本政策。第二条 目标操作风险管理的主要目标是通过建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系,有效地识别、评估、监测和控制或缓释操作风险。第三条 定义操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。法律风险包括但不限于下列风险:(一)商业
2、银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的;(二)商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的;(三)商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的。操作风险管理指对操作风险进行主动识别、评估、监测、控制或缓释、报告的过程。关键风险指标指代表某一风险领域变化情况并可定期监控的统计指标。操作风险缓释是指通过业务外包、购买保险等方式转移或降低操作风险。第四条 适用范围本政策框架适用于总行和全行所有机构。第五条 理念本行操作风险管理遵循以下理念:(一)全面管理,即操作风险管理制度渗透到各项业务过程和各个操作环节,覆盖所有
3、部门、分支机构和岗位,并由全体人员执行。(二)统一管理,树立全行统一的操作风险管理文化,建立全行上下一致的操作风险管理标准。(三)审慎管理,以防范风险、审慎经营为出发点,通过持续不断的风险评估和监测,不断完善的内控体系,辅以审慎的持续经营管理计划,将各项业务和操作的操作风险控制在本行可接受的范围内。(四)及时调整,即操作风险管理与本行面临内外部环境相适应,并根据经营战略、理念、外部经济、政治及监管环境变化及时调整和完善。(五)成本与收益匹配,即操作风险管理措施与具体业务规模、复杂程度和特点相适应,并在风险管理成本和收益之间寻求合理平衡。第六条 基本原则为确保有效控制经营管理活动中的操作风险,本
4、行操作风险管理贯彻、执行以下基本原则:(一)必须定期评估操作风险的控制措施或其它缓释措施是否充分,并确定实施这些措施后的操作风险是否可接受;(二)如操作风险不可接受且决定采取整改措施的,必须正式记录该操作风险及整改措施,明确整改责任的承担者,定期监控整改措施的落实情况,确保在整改时限内解决该操作风险问题;(三)如操作风险不可接受且不采取整改措施的,必须被批准并正式记录;(四)必须定期检查并确认操作风险的控制措施或其它缓释措施是否有效;(五)必须严格遵守与操作风险有关的报告要求;(六)必须建立适当激励约束机制促进操作风险管理基本原则得以严格遵守。 第二章 操作风险管理组织架构和职责分工第七条 组
5、织架构本行投入相应资源在全行范围内建立和维护与自身业务规模、复杂程度相适应的符合监管要求的操作风险管理组织架构。本行操作风险管理部门、专门职能部门、其他相关部门和分支机构设立专(兼)职人员开展操作风险识别、评估、监测、控制或缓释、报告工作。第八条 董事会的定位及职责董事会承担监控操作风险管理有效性的最终责任,其主要职责为:根据全行风险状况和外部环境,制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体制度;通过审批及检查高级管理层有关操作风险管理的职责、权限及其他制度,确保全行操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;定期审议
6、、批准本行操作风险管理报告,及时、充分掌握本行总体操作风险情况及管理水平,了解高级管理层处理重大操作风险事件的有效性,监控和评价日常操作风险管理的有效性,并提出完善本行操作风险管理和内部控制的意见;确保高级管理层采取必要的措施,在本行推行适当的政策和程序以有效地识别、评估、监测和控制/缓释操作风险;确保本行操作风险管理体系接受内审部门及监管机构的有效审查与监督;制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系的建设。第九条 风险管理委员会的定位及职责作为董事会专门委员会,其主要职责为:对高级经营管理层在操作风险等方面的风险控制情况进行监督;对本行风险及管理状况和风险承受能力及水平进行定
7、期评估;对本行内部审计部门的工作程序和工作效果进行评价;提出完善本行风险管理和内部控制的意见;本行董事会授权的其他事宜。第十条 审计委员会的定位及职责审计委员会根据董事会授权,对本行的内部控制进行监督和评估,并确保本行内审部门工作的独立性和有效性,其主要职责为:促进管理层确保内部审计在本行内部获有足够资源运作并具有适当的地位;检查本行操作风险状况;检查、监督、考核和评价内部审计在操作风险管理方面的工作,确保其工作的独立性、有效性;通过内外部审计对本行内部控制体系健全性和有效性的评估,掌握本行内控体系的现状以及存在的重大问题。本行董事会授权的其他事宜。第十一条 高级管理层的定位及职责高级管理层在
8、操作风险的日常管理方面对董事会负最终责任,其主要职责为:负责执行经董事会批准的操作风险管理战略、总体制度和体系,负责制定、定期审查和监督执行本行操作风险管理的策略、政策、程序和具体的操作规程;全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目,并定期向董事会提交操作风险总体情况的报告;明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;为操作风险管理配备适当的资源,包括但不限于提供必要的经费、组织建设操作风险信息系统、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险
9、管理人员履行职务所必需的权限等;及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。第十二条 操作风险管理牵头部门本行风险管理部负责牵头全行操作风险管理体系的建立和实施,确保全行范围内操作风险管理的一致性和有效性,其主要职责为:拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序;建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理;协调全行的操作风险管理,并协
10、助其他部门识别、评估、监测、控制及缓释操作风险;为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责; 定期检查并分析业务部门和其他部门操作风险的管理情况;定期向董事会、高级管理层提交操作风险报告;确保操作风险制度和措施得到遵守。第十三条 操作风险管理专门职能部门的定位及职责以下部门在管理本部门、本条线操作风险的同时,就涉及其职责分工及专业特长的范围内为其他相关部门管理操作风险提供相关资源和支持:(一)董事会办公室牵头管理信息披露风险;(二)行长办公室负责牵头管理应急方案和业务持续经营计划;(三)风险管理部牵头管理法律风险; (四)信息技术部牵头管理I
11、T、灾难恢复和信息安全风险;(五)保卫部牵头管理经营场所安全与外部欺诈风险;(六)监察室牵头管理内部欺诈风险;(七)人力资源部牵头管理人员风险;(八)计划财务部牵头管理操作风险的资本计量和配置。操作风险管理专门职能部门管理本部门、本条线操作风险时,其主要职责适用本政策第十四条的规定。第十四条 其他相关部门的定位及职责本行除操作风险管理牵头部门、专门职能部门和审计部之外的其他相关部门作为操作风险所有人,负责对其所有的操作风险进行日常管理,并承担直接责任,其主要职责为:指定专(兼)职人员负责操作风险管理,其中包括遵守操作风险管理的政策、程序和具体的操作规程;根据本行统一的操作风险管理评估方法,识别
12、、评估本条线的操作风险,并建立、实施持续、有效的操作风险监测、控制或缓释、报告程序;在制定本条线业务流程和相关业务政策时,要充分考虑操作风险管理和内部控制的要求,保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性;检查内控措施的充分性和有效性,并持续确定和审查剩余操作风险的可接受性;监测关键风险指标,定期向操作风险管理牵头部门、操作风险管理专门职能部门通报本部门操作风险管理总体状况,并及时通报相关重大操作风险事件。第十五条 审计部的定位及职责审计部为本行的内审部门,不直接参与其他部门的操作风险管理,其主要职责为:对本行现有的操作风险管理政策、
13、程序和具体的操作规程进行独立评估;定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况;向董事会和审计委员会报告操作风险管理体系运行效果的评估情况。第十六条 分支行的定位及职责分支行负责根据上级行下发的政策规定开展操作风险管理,并向上级行进行报告:贯彻执行上级行下发的操作风险政策、程序、规程等,将操作风险管理落实到每个部门的日常工作中;按要求开展操作风险的识别、评估、监测、控制、缓释,并向上级行报告操作风险管理的结果;定期总结本行操作风险的现状及管理状况,形成操作风险管理报告。 第三章 操作风险管理第十七条 操作风险分类本行从操作风险原因、操作风险事件及其影响等方面分类操
14、作风险,以为全行建立统一、一致的操作风险管理“共同语言”。操作风险事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全,客户、产品和业务活动,实物资产的损坏,营业中断和信息技术系统瘫痪,执行、交割和流程管理等七种类型。第十八条 操作风险管理流程为更好地识别、评估、监测、控制或缓释、报告操作风险,本行逐步建立和维护以下相关操作风险管理流程:(一)风险与控制自我评估流程;(二)关键风险指标监控流程;(三)操作风险损失数据收集流程;(四)检查工作流程;(五)操作风险整改跟踪流程;(六)新产品管理流程;(七)业务应急方案和业务持续经营计划流程;(八)服务外包管理流程;(九)操作风险管理信息系统;(十)
15、操作风险和重大操作风险事件报告流程;(十一)资本计量流程;(十二)其他操作风险管理流程。第十九条 资本计量本行使用标准法或其替代法计量操作风险资本,并逐步过渡到高级法来计量操作风险资本。使用标准法计量操作风险监管资本时,本行的业务分为八个业务条线,即:公司金融、交易和销售、零售银行业务、商业银行业务、支付和清算、代理服务、资产管理和零售经纪。第二十条 操作风险的报告有效的操作风险报告机制,是本行整体内部控制和操作风险管理体系的重要组成部分。本行各报告主体区别操作风险的性质、影响、频率及严重程度和高低等级按规定流程向董事会、高级管理层、有关部门或上级机构报告操作风险相关情况。本行操作风险管理报告
16、路线包括:(一)高级管理层向董事会报告; (二)总行风险管理部向高级管理层报告并抄送审计部;(三)总行操作风险管理专门职能部门、其他相关部门向总行风险管理部报告。(四)分行操作风险管理牵头部门向本级机构管理层和总行风险管理部报告;(五)分行操作风险管理专门职能部门、其他相关部门向分行操作风险管理牵头部门和总行主管部门报告。第二十一条 操作风险管理文化建设董事会和高级管理层重视操作风险管理,营造由全员共同参与的操作风险管理环境,建立科学、有效激励约束机制,培育和完善基于诚信的内部控制文化,提高员工的风险意识和职业道德素质,并合理安排操作风险管理所需资源。总行各部门和分支机构加强操作风险管理培训,
17、保证各级员工获得操作风险管理方面的足够知识和技能,以提高各级员工操作风险管理意识。对新入行员工要进行上岗前操作风险管理相关培训。第二十二条 内部控制与操作风险管理本行将加强内部控制作为操作风险管理的有效手段,与此相关的内部措施至少包括:(一)部门之间具有明确的职责分工以及相关职能的适当分离,以避免潜在的利益冲突;(二)密切监测遵守指定风险限额或权限的情况;(三)对接触和使用银行资产的记录进行安全监控;(四)员工具有与其从事业务相适应的业务能力并接受相关培训;(五)识别与合理预期收益不符及存在隐患的业务或产品;(六)定期对交易和账户进行复核和对账;(七)主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度;(八)重要岗位或敏感环节员工八小时内外行为规范;(九)建立基层员工署名揭发违法违规问题的激励和保护制度;(十)查案、破案与处分适时、到位的双重考核制度;(十一)案件查处和相应的信息披露制度;(十二)对基层操作风险管控奖惩兼顾的激励约束机制。 第四章 附则第二十三条 本政策由银行股份有限公司负责解释和修订。第二十四条 本政策自发布之日起生效。