证券股份有限公司操作风险管理办法模版.doc

1、 **证券股份有限公司 **证券股份有限公司操作风险管理办法(修订稿) 第一章 总则 第一条 为加强公司操作风险管理，明确操作风险管理的组织架构、程序和方 法等管理体系，依据有关《证券公司全面风险管理规范（修订稿）》及《**证券风险 管理基本制度》，拟定本办法。 第二条 公司操作风险管理的目标是建立全面的操作风险管理体系，确保操作 风险可测、可控、可承受。 第三条 公司操作风险管理应遵循以下原则： （一）全面性原则。公司操作风险管理应当由董事会、管理层以及全体职工或员工共同 参加，并全面覆盖所有部门、分支机构及子公司，管理内容涵盖所有经营管理活动、 各岗位和操作环节、

2、各业务产品、业务流程和系统，各部门、分支机构和岗位是监控 操作风险的第一道防线，承担操作风险管理第一责任。 （二）有效性原则。依照权利义务分明、相互制约的原则设置操作风险的管理措施， 公司定时或不定时对操作风险的管理进行评估。 （三）审慎性原则。公司董事会、管理层和各部门负责人进行业务和风险应对 决策时应当充份考虑操作风险因素，审慎评估操作风险。 （四）适时性原则。操作风险应紧跟公司经营变化、*场变更和业务发展等内 外部环境，及时更新操作风险管理的有关措施。 （五）成本效益原则：操作风险管理应权衡实施成本与预期效益，力争以合理 的成本实现对操作风险的有效管理。 第四条 本办

3、法适用于公司面临操作风险的所有部门、分支机构及子公司。 第五条 公司所有子公司以及比照子公司管理的各类孙公司（以下简称“子公 司”）应当参照本办法在公司整体操作风险管理制度框架下，建立自身的操作风险管 理组织架构、制度流程，保障操作风险管理的一致性和有效性。 第二章 操作风险的定义和分类 第六条 本办法所称操作风险是指由不完善或有问题的内部程序、人员和技术 系统，以及外部事件造成损失的风险,本定义所指操作风险不含战略风险和声誉风 **证券股份有限公司 险。 第七条 操作风险事件是指由不完善或有问题的内部程序、职工或员工和信息科技系 统，以及外部事件造成财务损

4、失或影响公司、客户和职工或员工的操作事件。 详细操作风险事件分类主要有七项，包括：内部欺诈，外部欺诈，就业制度和 工作场所安全，客户、产品和业务活动，实物资产损毁，营业中断和信息技术系统 瘫痪，执行、交割和流程管理七种类型。 第三章 职责与权限 第八条 公司操作风险管理组织架构包括四个层级：董事会及其风险管理委员 会、监事会；管理层及下级各专业委员会；风险管理职能部门；各业务部门、分支 机构及子公司。管理层公司董事会将操作风险作为公司面对的主要风险之一，承担 操作风险管理有效性的最终责任，审议批准操作风险偏好，推进操作风险文化建设。 公司监事会承担操作风险管理的监督职责，负责

5、监督检查董事会和管理层在操 作风险管理方面的履职尽责情形并督促整改。 公司管理层对董事会负责，负责组织实施公司操作风险管理工作，建立健全与 公司自身发展战略相适应的有效的操作风险管理架构及操作风险偏好，审批重要操 作风险管理制度及重大风险事项的决策等。 风险管理部依据有关风险管理职能负责设定风险管理政策和框架，独立的评估、报 告风险管理情形，详细职责如下： （一）起草、完善公司操作风险管理政策、方法； （二）督导各部门、分支机构及子公司对操作风险的管理； （三）建立公司操作风险报告流程，汇总各部门和分支机构操作风险的管理状 况和损失事件情形，向管理层提交操作风险总体情形报告

6、 （四）协助各单位进行操作风险管理方面的培训，提升其操作风险管理水平。 公司法律合规部、运营管理总部、信息技术总部、办公室、人力资源总部等部门， 应在管理好本部门操作风险的同时，分别牵头公司法律事务、运营管理、信息系统、 安全保卫、人力资源等方面的操作风险管理，并为公司其他部门提供有关支持。 公司各部门、分支机构及子公司作为执行单位是操作风险的第一责任人，负责 识别和监控在业务开展和执行过程中所涉及的操作风险，对本条线和本机构操作风 险管理情形负直接责任。主要职责包括： **证券股份有限公司 （一）公司各部门、分支机构及子公司是操作风险的直接承担者和管理者，

7、负有 对操作风险进行管理的第一责任,贯彻公司操作风险管理政策； （二）建立本单位识别、评估、监控、缓释、监测和报告操作风险的制度与程 序，组织实施并定时组织重检；在拟定经营管理流程和有关制度时，确保与操作风 险管理总体政策相一致； （三）在开展新业务、产品、服务，上线新的信息系统前，确保对操作风险进 行了充份的识别和评估； （四）建立并延续监测关键风险指标，收集、分析和报告本单位操作风险事件、 损失数据及异常关键风险指标； （五）确保本单位全体人员，充份认识到其自身所承担的操作风险管理责任，组织 本单位的操作风险管理培训。 稽核部对公司各单位负责审计与监督，检查评估公司操

8、作风险管理体系运行情 况，并向公司董事会、管理层报告。 第四章 操作风险管理的程序和方法 第九条 公司操作风险管理的程序包括操作风险识别与评估、监测、监控和缓 释、报告。 第十条 操作风险识别是指公司对各管理条线、分支机构及子公司的业务产品、 经营管理活动、业务流程及系统中可能存在的风险及其特征进行定义和描述。操作 风险评估是指对风险影响程度、发生频率与监控效率进行分析和评估。 第十一条 操作风险监测是指对各类型操作风险区分不同风险等级进行延续监 测，并对风险预防措施和风险补救措施的效果进行监测，确保监控充份和操作风险 管理体系正常运转。 第十二条 操作风险监控和缓释是指

9、公司在全面、客观的评估风险监控和缓释 工具能力后，综合考虑风险管理成本以及各类风险监控和缓释措施应用时的可操作 性，针对不同类型的操作风险事件采取不同的操作风险监控和缓释措施，以接受、 限制、转移和降低操作风险。 公司将加强内部监控作为操作风险的有效管理手段。公司可采取购买保险和与第 三方签订协议等方式缓释操作风险，但不应因此忽视监控措施的重要作用。 操作风险缓释措施应提交公司管理层审议，使用操作风险缓释工具应遵循审慎性 **证券股份有限公司 原则，充份考虑工具使用致使新风险造成或产生的可能性，充份评估有关附加风险。 第十三条 操作风险报告是指公司各单位依据有

10、关规定的内容、时间和程序，对操作 风险事件和操作风险整体状态进行描述、分析和评估，并依照规定的报告路线进行报 送。 公司应建立完整的操作风险报告体系，及时向董事会和管理层报告全公司操作 风险状况和重大操作风险事件。 公司应逐步建立损失数据收集及报告机制，明确报告的种类、路线、内容、格 式和频率。各部门、分支机构及子公司应当依据有关报告制度规定，及时、准确、真实地 提交操作风险报告，并对报告内容负责。 第十四条 公司应当建立操作风险突发事件应急管理机制，明确各业务操作风 险应急触发条件、应急处置的组织体系、措施、方法和程序，并通过应急演练等持 续强化风险处置机制。 当发生操

11、作风险突发事件时，各业务部门、分支机构及子公司应当及时报告首 席风险官和风险管理部。 第十五条 公司操作风险管理的方法主要包括：操作风险与监控自我评估、损 失事件收集、关键风险指标监测等三大工具。 第十六条 操作风险与监控自我评估是指公司各部门、分支机构及子公司识别 和评估业务活动潜在操作风险及内部监控措施的适当程度和有效性，从而改善监控 措施的操作风险管理工具。 公司风险管理部定时组织各部门评估主要业务流程的操作风险，并将评估结果 应用到风险评估和考核、流程优化和风险报告中。 认为有必要或发生重大风险事件时，公司各部门、分支机构及子公司应主动发 起与之有关的自评工作。

12、第十七条 操作风险损失事件收集是指公司各部门、分支机及子公司构依照既 定要求和流程收集操作风险损失事件，将损失事件依据有关不同分类维度进行分析并制 定必要的改进方案的操作风险管理工具。 操作风险损失事件统计内容应至少包括：损失事件发生的时间、发现的时间及 损失确定的时间、业务条线名称、损失事件类型、涉及金额、损失金额、缓释金额、 非财务影响、与信用风险、*场风险、流动性风险的交叉关系等。 公司风险管理部应逐步建立和维护操作风险损失事件库，包括操作风险内部损失 **证券股份有限公司 事件和操作风险外部损失事件库。 第十八条 关键风险指标监测是指开发可监测的、代表

13、重要操作风险领域变 化情形的统计指标，用于监测可能造成损失事件的重要操作风险，反应操作风险变 化情形并拟定必要的改进方案的操作风险管理工具。 公司各部门、分支机构及子公司依据有关损失事件及操作风险与自我评估结果等 信息开发本条线的关键风险指标，建立风险指标体系并进行监测。 第十九条 为有效管理操作风险，公司不断建立和完善有关业务及管理系统， 强化系统监控,提升操作风险管理能力。 第五章 附则 第二十条 对违反本办法规定而造成负面影响的行为，将依据有关公司职工或员工违规违 纪行为处理的有关制度规定，追究有关责任人的责任，并依纪依规进行处理。 第二十一条 本办法由公司风险管理委员会负责审议与修订,风险管理部负 责说明。 第二十二条 本办法自下发之日起实施。 5 / 5