1、银行股份有限公司操作风险管理政策 第一章 总 则 第一条 为进一步完善银行股份有限公司(以下简称“本行”)全面风险管理体系,保障本行安全稳健运行,根据中国银行业监督管理委员会商业银行操作风险管理指引,结合本行实际情况,制定本政策。 本政策为操作风险管理活动提供基本准则和导向,指导本行操作风险管理的组织体系、制度体系、指标体系和管理工具、手段的建立与完善,确立适合本行的操作风险管理体制和机制,健全和完善全面风险管理体系。 第二条 本政策所称操作风险(Operational risk)是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,
2、但不包括策略风险和声誉风险。 本政策所称操作风险管理,是指识别、评估、监测、控制/ 缓释和报告操作风险的全过程。 第三条 本行操作风险管理目标,是通过建立健全操作风险管理框架,实现对操作风险的有效管理,将操作风险给本行带来损失降到最低程度。 第二章 操作风险偏好、管理理念与管理策略 第四条 操作风险偏好,是指本行在总体风险偏好框架下对操作风险的基本态度,即本行在操作风险管理过程中,愿意并可承受的风险程度,以及将操作风险损失控制在可接受范围内所愿意耗用的资源和成本。 本行实行“稳健、平衡”的风险偏好,即在经营管理过程中,持续完善操作风险管理体系,落实内部控制制度,强调业务规模、获利与风险承受度的
3、匹配。 第五条 操作风险管理理念 (一) 自上而下、全员参与。即强调本行应在董事会确立的操作风险政策偏好下,各级机构和员工正确理解和有效履行其在操作风险管理方面的职责。 (二) 全程管理、动态管理。即强调操作风险管理是识别、评估、监测和控制的循环往复、持续不断过程。 (三) 管理风险、创造价值。即通过实施有效的操作风险管理手段,将操作风险引发损失的可能性降至最低,实现风险可控基础上的收益最大化。 (四) 制度先行、预防为主。即强调本行应建立、健全规章制度,确保各项业务开展有法可依、有章可循;同时本行应通过对关键风险点、关键控制点、关键岗位识别、评估和有效控制,实现对可识别、可预见操作风险的事前
4、预防。 第六条 操作风险管理策略 (一)事前规避、预防策略:指在事前及时发现可能导致操作风险事件发生的诱因和因素,有意识采取必要措施,控制和杜绝相应的风险事件发生。(二)事中缓释策略:指在操作风险管理过程中,通过对操作风险事件评估,并采取必要措施,降低操作风险事件的损失程度。 (三) 风险转移策略:指在对自身面临风险程度做出评估的基础上,通过与交易方或第三方以合同或非合同的形式将自身风险转移。 (四) 其他策略:即本行为管理操作风险而采取的其他策略。 第三章 操作风险管理架构与职责 第七条 本行操作风险管理架构由董事会、监事会、董事会风险管理委员会、高级管理层、操作风险管理部门、各业务条线部门
5、、内部审计部门及操作风险管理岗等组成,涵盖总分支各级机构。 公司治理层面由董事会、监事会、高级管理层构成操作风险管理的领导、监督机构。 经营管理层面由各业务条线部门、操作风险管理部门、内部审计部门构成操作风险管理“三道防线”。 第八条 董事会承担本行操作风险管理的最终职责。具体职责包括: (一) 建立并完善分工合理、职责明确、相互制衡、报告关系清晰的操作风险治理组织结构; (二) 审查批准操作风险管理战略,确保其与本行的总体业务战略和重大策略相一致;(三)动态掌握操作风险管理政策和操作风险管理战略规划的执行情况以及操作风险的整体状况; (四)定期听取专门委员会工作事项的执行情况。 第九条 董事
6、会授权风险管理委员会行使以下职责: (一) 制定与本行战略目标相一致且适用于本行的操作风险管理战略和总体政策; (二) 通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保本行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内; (三) 定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性; (四) 确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险; (五) 确保本行操作风险管理体系接受内审部门的有效审查与监督;
7、 (六) 制定适当的奖惩制度,在本行范围有效地推动操作风险管理体系的建设; (七) 履行董事会授权的其他操作风险管理职能。 第十条 监事会行使以下职责: 监事会负责监督董事会和高级管理层操作风险管理的履职尽责情况,并提出相关建议。 第十一条 高级管理层行使以下职责:(一)负责贯彻执行由董事会批准的操作风险管理政策,定期检查和监督执行情况,并定期向董事会提交操作风险总体情况的报告; (二) 负责明确操作风险管理的组织架构和职责,为操作风险管理配备充分和适当的资源,确保操作风险管理体系的正常运行; (三) 全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目; (四) 负责及时对
8、操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件; (五) 其它操作风险管理职能。 第四章 操作风险管理程序和方法 第十二条 本行操作风险管理程序包括但不限于:操作风险识别、评估、监测、控制/缓释和报告等,并通过操作风险管理信息系统平台进行整合和实施。 第十三条 本行操作风险识别。指识别存在的主要操作风险并确定其性质的过程,其范围应涵盖本行各个层面的业务流程和管理流程。操作风险识别应具有前瞻性,并应识别出各业务管理流程存在的主要操作风险事件、风险事件类别、风险原因、影响类型、控制措施等,为操作风险评估
9、、监测、控制/缓释和报告提供基础。 第十四条 本行操作风险评估。指评估操作风险暴露程度并确定操作风险是否可接受的全过程。操作风险评估应按照统一的标准,对操作风险事件的固有风险暴露、剩余风险暴露和控制有效性等进行评估,并结合对应流程的风险容忍度,确定操作风险暴露是否在可接受范围之内。 第十五条 本行操作风险监测。应通过设置并监测各类风险指标,动态、持续的监测操作风险状况及其控制/缓释措施的质量;快速发现政策、流程和内部控制出现的问题并采取相应的补救措施。 第十六条 本行操作风险控制/缓释。指根据操作风险评估或监测结果,制订并组织实施操作风险控制/缓释行动计划的过程。通过流程控制、行为监控、电子化
10、、保险、外包等一系列控制手段或缓释方法,对操作风险进行规避、预防、缓释、转移,将操作风险暴露降低至可接受的范围之内。 第十七条 操作风险管理信息系统。为有效识别、评估、控制/缓释、监测和报告操作风险,本行应逐步建立并完善操作风险管理信息系统,为上述流程及相应的操作风险管理工具提供整合和实施的平台。 第十八条 在新产品、新业务开发及流程优化过程中,本行应针对业务流程、信息科技系统、人员管理、外部因素等方面进行操作风险评估。 第十九条 操作风险管理方法包括但不限于:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告
11、。 第五章 操作风险资本计量 第二十条 本行应持续完善操作风险管理架构、政策、工具、流程和管理系统,逐步满足监管机构关于操作风险资本计量的监管要求。 第二十一条 操作风险资本计量可采用基本指标法、标准法或高级计量法。本行应按照银监会的监管要求,结合本行的实际情况,逐步实施标准法。 第六章 操作风险报告及披露 第二十二条 本行应建立操作风险报告制度,明确报告的种类、路线、内容、格式和频率。各报告主体应当根据报告制度规定,及时、准确、真实地提交操作风险报告,并注重保密要求及对报告内容负责。 第二十三条 操作风险事件报告的内容应包含发生时间、发现时间及损失确认时间、业务名称、损失事件类型、业务金额、
12、损失金额、涉案人员、对操作风险事件的描述和非财务影响等信息。 第二十四条 本行的操作风险管理政策和程序应根据银监会或其派出机构的要求备案并报送与操作风险有关的报告。 第二十五条 本行在委托社会中介机构对操作风险管理体系进行审计后,应向当地银监局提交外部审计报告。 第二十六条 重大操作风险事件应及时报告董事会、高级管理层和监管机构,并根据法律法规及监管要求披露操作风险信息。 第七章 操作风险绩效考核与问责 第二十七条 本行高级管理层应建立科学的操作风险绩效考核机制,将其纳入全面风险管理考核体系,有效提升业务发展质量,保障本行健康可持续发展。 第二十八条 本行高级管理层应建立合理的操作风险问责管理机制,规范问责程序和方法,并通过有效实施不断提升惩处的威慑力,确保本行合法合规经营。 第八章 附 则 第二十九条 本政策仅在本行内适用。本行以外的其他任何单位或个人均不得引用政策,证明本行或员工的行为无效、违法或违约,也不得援引政策的任何条款向本行行使权利或对抗本行的权利请求或减免其责任。 第三十条 本政策由银行股份有限公司董事会风险管理委员会负责制定、解释和修改。