银行操作风险管理办法-模版.docx

1、银行操作风险管理办法 第一章 总 则 第一条 为加强银行（以下简称“本行”）操作风险管理，根据中华人民共和国商业银行法、商业银行操作风险管理指引、银行操作风险管理政策等有关规定，结合本行实际，特制定本办法。 第二条 本办法所称操作风险（Operational risk）是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本办法所指操作风险包括法律风险，但不包括策略风险和声誉风险。 第三条 本行进行操作风险管理要遵循以下原则： （一） 有效性原则：操作风险管理制度应适时修订和完善，并保证得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问

2、题应当能够得到及时反馈和纠正； （二） 全面性原则：操作风险的管理要渗透到各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员工参与； （三） 成本效益原则：操作风险管理应权衡成本与预期效益，力争以合理的成本实现对操作风险的有效控制。 第四条 本行应选择适当的方法对操作风险进行管理。具体的方法可包括：操作风险与控制自我评估（RCSA）、关键风险指标的监测（KRI）、操作损失事件数据收集（LDC）、操作风险业务连续性计划（BCP）。 第五条 本办法适用于本行各级机构及所有人员。 第二章 操作风险管理组织架构 第六条 本行操作风险管理组织架构包括高级管理层、内部控制与风险管理委员会、各级操

3、作风险管理部门、各级条线管理部门、操作风险管理岗（专职及兼职）。 （一） 总行：风险管理部设专职操作风险管理岗，其他条线管理部门设专职或兼职操作风险管理岗； （二） 各分行：在法律合规部设专职操作风险管理岗，其它部门和支行（营业部）设专职或兼职操作风险管理岗； （三） 各中心支行：在风险管理部、其他部门和支行（营业部）设兼职操作风险管理岗； （四） 总行营业部：在综合管理部和其他部门设兼职操作风险管理岗。 第七条 总行操作风险管理部门职责主要包括： （一） 在全面风险管理框架下，负责全行操作风险管理政策拟定； （二） 负责根据本行操作风险管理政策和操作风险管理体系，确定操作风险管理的具体程序，

4、并提交高级管理层审批； （三） 负责建立并组织实施操作风险识别、评估、监测、控制/缓释及报告工作； （四） 负责定期检查并分析业务部门与其他部门操作风险的管理情况，确保操作风险制度和措施得到遵守； （五） 根据监管部门要求及本行业务特点，负责研究、开发和维护操作风险识别评估、监测分析和计量的方法、模型、工具； （六） 负责组织全行操作风险管理方面的培训，提高全行操作风险管理水平； （七） 负责就本行操作风险管理事务与监管机构联络； （八） 其它操作风险管理职责。 第八条 各分行、中心支行操作风险管理部门职责主要包括： （一） 负责建立并组织实施本机构操作风险识别、评估、监测、控制/缓释及报告工

5、作； （二） 负责定期检查并分析业务部门与其他部门操作风险的管理情况，确保操作风险制度和措施得到遵守； （三） 负责组织本机构操作风险管理方面的培训，提高本机构操作风险管理水平； （四） 其它操作风险管理职责。 第九条 各级条线管理部门对操作风险的管理情况负直接责任。主要职责包括： （一） 负责根据本行统一的操作风险管理识别评估方法，识别、评估本条线的操作风险，并建立持续、有效的操作风险控制、监测及报告程序，并组织实施； （二） 负责在制定本条线管理制度和业务流程时，充分考虑操作风险管理和内部控制的要求，保证操作风险管理人员参与各项重要的程序、控制措施和政策的审批，确保与操作风险管理总体政策保

6、持一致； （三） 监测关键风险指标变动情况，定期向相应层级操作风险管理部门报告本条线操作风险管理的总体状况，并及时通报重大操作风险事件； （四） 其它操作风险管理职责。 第十条 各支行操作风险管理主要职责包括： （一） 负责严格执行操作风险管理的制度和程序，具体承担识别、评估、监测和控制本机构操作风险； （二） 负责定期报告本机构的操作风险状况； （三） 其它操作风险管理职责。 第十一条 操作风险管理岗（含兼职操作风险管理岗）职责主要包括： （一） 根据本行确立的操作风险管理目标，辅助本机构或条线有效执行操作风险控制方案及制度、流程，督促本机构或条线全体员工严格执行； （二） 负责牵头组织本机

7、构或条线对经营管理过程中的操作风险进行识别、评估和监测； （三） 负责对可能或已经出现的操作风险事件报告，及时采取应对措施； （四） 负责牵头组织对本机构或条线员工开展操作风险的教育和培训； （五） 其它操作风险管理职责。 第十二条 各级条线管理部门在管理自身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。 第三章 操作风险与控制识别评估 第十三条 根据中国银监会有关规定，参照巴塞尔委员会有关技术要求，并结合本行工作实际，本行采用操作风险与控制自我评估（Risk and Control Self Assessment，简称“自我评估”或“RCSA”

8、）方法有针对性地开展操作风险识别评估。 第十四条 操作风险与控制自我评估是一种操作风险管理方法，用于识别和评估自身的潜在操作风险，以及自身业务活动控制措施的适当性和有效性。包括“操作风险暴露”评估以及“控制有效性”评估。 （一） 操作风险暴露评估包括事件发生频率和严重程度两个维度评估，分为“固有风险暴露评估”和“剩余风险暴露评估”； （二） 控制有效性评估是在识别关键控制措施的基础上评估其有效性，评估结果包括控制有效、控制基本有效、控制不足和控制过度四种类型。 第十五条 本行自我评估工作以流程作为实施对象，所有业务流程、重要的管理流程均应纳入自我评估的范围内。 第十六条 本行应制定标准操作风险

9、识别评估程序，定期识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在操作风险作出充分评估。操作风险及控制识别评估具体步骤和要求，参见银行操作风险识别评估及控制评估作业指导书。 第十七条 非常规事件发生时，包括但不限于操作风险政策调整、组织机构变革、流程变更、重要人员变更、重大操作风险事件发生、同业发生新案例等，应根据变化情况调整相应流程，并及时开展自我评估工作。 第十八条 各条线管理部门、分支机构应及时向操作风险管理部门提交操作风险的识别与评估结果。总行操作风险管理部门汇总操作风险识别评估结果按要求向高级管理层报告。 第四章 操作风险监测管理 第十九条

10、本行操作风险监测管理是对关键风险指标（KRI，Key Risk Indicators）设定、跟踪、分析评估及报告的全过程，是建立操作风险预警机制的有效手段。 第二十条 关键风险指标，是指代表某一风险领域变化情况并可定期监控的统计指标。该指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标。 关键风险指标监测不意味着预测事件，关键风险指标在某个具体流程中最能起到早期预警的作用，以防止事件的发生。 第二十一条 本行应借鉴同业经验，结合本行实际情况设定关键风险指标。关键风险指标设定至少应包括关键风险指标的名称与基本要素、关键风险指标的数据收集计划、关键风险指标和风

11、险与控制的关联性、关键风险指标的监控预警值及其阈值等内容。操作风险关键风险指标设立监测具体步骤和要求，参见银行操作风险关键指标设立与监测作业指导书。 关键风险指标设定之后，还应根据实际管理需要进行定期评估、更新。 第二十二条 本行应定期通过人工方式或系统导入方式收集关键风险指标监测数据。 第二十三条 各条线管理部门、分支机构应指定专人定期监控关键风险指标的变化，根据关键风险指标所处区间进行原因分析并及时采取相应措施。 第二十四条 各条线管理部门、分支机构应及时向本级操作风险管理部门提交关键指标监测报告。总行操作风险管理部门依据全行关键风险指标变化情况，汇总、分析形成全行关键风险指标监测报告按要

12、求向高级管理层报告。 第五章 操作风险报告管理 第二十五条 本办法所称操作风险报告，是指各报告主体按照所授权限不同，根据操作风险管理规定的内容、时间和程序进行描述、汇总、分析和报告。 第二十六条 本行应建立有效的操作风险报告管理机制，规范报告种类、内容、程序、路线等事项，明确各报告主体职责。本行操作风险报告采取矩阵式报告路线，即横向（操作操作风险管理部门）路线和纵向（条线管理部门）路线相结合。详见银行操作风险报告管理办法。 第六章 操作风险损失事件收集管理 第二十七条 本办法所称操作风险损失事件，是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户

13、和员工的操作事件。操作风险损失事件原则上不包括策略风险和声誉风险事件。 第二十八条 本行应建立有效的操作风险损失事件管理机制，明确损失事件收集类型、损失形态、认定标准、职责分工及报告路径。详见银行操作风险事件及损失数据收集管理办法。 第七章 业务连续性管理及行动计划 第二十九条 本行应持续建立健全业务连续性管理体系，制定与本行业务规模和复杂性相适应的应急和业务连续性方案，定期检查、测试和演练，并针对发现的问题持续完善，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。 第三十条 各级条线管理部门应针对操作风险识别评估、监测中发现的问题，会同操作风险管理部门对流程、产品拟定优化改进建议及行

14、动计划方案，经有权机构审批决策后组织实施，并对控制优化改进效果进行汇总报告。各级操作风险管理部门应监督条线管理部门改进措施落实情况。 第八章 与监管机构联络 第三十一条 本行操作风险管理部门是有关操作风险管理与监管机构联络的归口部门，负责向监管机构报送、接收相关信息，跟踪、评估、考核监管意见和监管要求的落实情况。 第三十二条 本行的操作风险管理政策和程序应根据银监会或其派出机构的要求备案并报送与操作风险有关的报告。 第三十三条 本行在委托社会中介机构对操作风险管理体系进行审计后，应向当地银监局提交外部审计报告。 第三十四条 当发生重大操作风险事件时，本行应及时向监管机构报告。 第九章 考核与奖惩 第三十五条 本行应建立有效的操作风险管理考核评价机制，并将其纳入全行绩效考核体系。 第三十六条 对严格履行操作风险管理职责，特别是及时报告风险、提出切实有效的应对措施，对防范和化解操作风险作出重大贡献的机构和个人，给予适当奖励。 第三十七条 对于未充分有效履行操作风险管理职责，特别是隐瞒不报、歪曲风险事实、遗漏或延误操作风险报告、泄露操作风险信息，导致本行遭受经济损失或形成不良影响的有关责任人员，将依据银行员工尽职调查与问责管理办法相关规定追究责任。 第十章 附 则 第三十八条 本办法由银行总行负责制订、解释和修改。 第三十九条 本办法自发布之日起施行。