交通银行股份有限公司操作风险管理政策.doc

1、交银董13 号有关印发交通银行股份有限企业操作风险管理政策告知各省分行、直属分行，各海外分行，总行各部门： 年3 月30 日，我行第五届董事会第二十三次会议审议同意了交通银行股份有限企业操作风险管理政策，现予印发，请遵照执行。交通银行董事会办公室二一年四月七日交通银行股份有限企业操作风险管理政策第一章 总 则第一条 为建立和完善交通银行股份有限企业（如下简称“本行”）操作风险管理体系，加强操作风险管理，增进全面风险管理体系建设，根据银监会商业银行操作风险管理指导、本行全面风险管理规划等文献规定，结合本行实际状况，特制定本政策。第二条 操作风险定义。操作风险是指由不完善或有问题内部程序、员工和信

2、息科技系统，以及外部事件所导致损失风险。本定义所指操作风险包括法律风险，但不包括方略风险和声誉风险。第三条 操作风险管理战略目。持续改善和完善全行操作风险管理，建立符合本行实际操作风险管理体系。使用国际通行工具和措施，对全行操作风险进行统一全面管理。最大程度减少操作风险事件，减少操作风险损失，维护本行声誉和市场价值。满足新资本协议达标规定和操作风险管理监管规定。第四条 操作风险管理总体规定。操作风险源于人员、程序、系统和外部事件，本行各部门、各单位对操作风险均负有管理职责，操作风险管理应贯穿于本行经营管理过程中每一种环节。同步，要采用自上而下和自下而上措施对重大操作风险和平常操作风险进行分层管

3、理。第五条 操作风险损失事件类型。根据巴塞尔新资本协议和银监会有关指导，损失事件分为内部欺诈事件、外部欺诈事件、就业制度和工作场所安全事件、客户、产品和业务活动事件、实物资产损坏、信息科技系统事件、执行、交割和流程管理事件等类型。本行应根据实际管理需求，针对操作风险事件、事件起因、事件影响效果等进行更细致分类。第二章 操作风险偏好和容忍度第六条 风险偏好是风险与收益权衡。操作风险偏好是在本行总体风险偏好框架下，对操作风险基本态度和企业管理层对操作风险管理承诺。操作风险管理作为重要风险管理职能纳入全面风险管理体系，定期审定关键操作风险环节、领域，重要包括银行所关注操作风险环节、特定领域，乐意并可

4、承受风险程度，以及银行为将操作风险损失控制在可接受范围内所乐意耗用资源及成本。本行倡导实行“积极、稳健、平衡”风险偏好，在经营管理过程中，强调业务规模、获利与风险承受度匹配，在实现股东价值最大化同步重视操作风险管理，持续强化操作风险管理体系，贯彻内部控制制度。第七条 操作风险容忍度是将战略层面操作风险偏好转化至实际管理层面管理工具。在操作风险偏好基础上，通过设定风险边界将操作风险暴露程度划分为不一样等级，到达监控风险暴露与生成预警信息目。第三章 组织架构和职责分工第八条 操作风险管理需要一种完整组织架构来保障，并与银行经营战略相适应。在企业治理层面由董事会、监事会、高级管理层构成操作风险管理领

5、导、监督机构；在职能管理层面由业务经营部门、条线管理部门、风险管理部门和内部审计部门构成操作风险管理“四道防线”。第九条 董事会是本行操作风险管理工作最高领导机构。董事会应将操作风险作为本行面对一项重要风险，并承担监控操作风险管理有效性最终责任。重要职责包括：（一）制定与本行战略目相一致且合用于本行操作风险管理战略和总体政策；（二）通过审批及检查高级管理层有关操作风险职责、权限及汇报制度，保证本行操作风险管理决策体系有效性，并尽量地保证将本行从事各项业务面临操作风险控制在可以承受范围内；（三）定期审阅高级管理层提交操作风险汇报，充足理解本行操作风险管理总体状况、高级管理层处理重大操作风险事件有

6、效性以及监控和评价平常操作风险管理有效性；（四）保证高级管理层采用必要措施有效地识别、评估、监测和控制/缓释操作风险；保证本行操作风险管理体系接受内审部门有效审查与监督；（五）制定合适奖惩制度，在本行范围有效地推进操作风险管理体系建设。第十条 高级管理层负责执行董事会同意操作风险管理战略、总体政策及体系。重要职责包括：（一）在操作风险平常管理方面，对董事会负最终责任；（二）根据董事会制定操作风险管理战略及总体政策，负责制定、审查和监督执行操作风险管理政策、程序和详细操作规程，并定期向董事会提交操作风险总体状况汇报；（三）全面掌握本行操作风险管理总体状况，尤其是各项重大操作风险事件或项目；（四）

7、明确界定各部门操作风险管理职责以及操作风险汇报途径、频率、内容，督促各部门切实履行操作风险管理职责，以保证操作风险管理体系正常运行；（五）为操作风险管理配置合适资源，包括但不限于提供必要经费、设置必要岗位、配置合格人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需权限等。第十一条 监事会负责监督董事会和高级管理层操作风险管理履职尽责状况，并提出有关提议。第十二条 总行风险管理部负责本行操作风险管理体系建立和实行，应与其他部门保持独立，保证本行操作风险管理一致性和有效性。重要职责包括：（一）确定本行操作风险管理政策、程序和详细操作规程，提交高级管理层和董事会审批；（二）定期分析

8、总结本行操作风险管理体系运作状况，持续研究、改善和创新操作风险管理措施、技术和工具；（三）牵头管理重大操作风险，指导、协助总行各条线管理部门识别、评估、监测、控制/缓释和汇报操作风险；（四）负责全行层面操作风险管理培训，协助各条线部门提高操作风险管理水平、履行操作风险管理各项职责；（五）制定和维护全行范围内业务持续性管理措施。制定业务持续性管理计划编制措施；指导各部门制定和维护业务持续性计划和劫难恢复计划；定期审查各部门业务持续性计划和劫难恢复计划；（六）向高级管理层提交操作风险汇报。第十三条 总行各部门负责管理本条线操作风险，部门负责人对本条线操作风险管理状况负责，并指定专门二级部门牵头履行

9、如下职责：（一）在制定本条线业务流程和有关业务制度时，充足考虑操作风险管理和内部控制规定，保证与操作风险管理总体政策一致性；（二）根据本行操作风险管理政策、程序和详细操作规程，或结合条线实际状况制定实行细则后，指导、组织本条线进行持续、有效操作风险识别、评估、监测、控制/缓释及汇报；（三）制定本条线业务持续性计划或劫难恢复计划，并定期测试和演习，保证业务持续性计划或劫难恢复计划完整性、有效性；（四）负责本条线操作风险管理培训，协助本条线各级经营管理部门提高操作风险管理水平、履行操作风险管理各项职责；（五）向总行风险管理部和分管行领导提交操作风险汇报。第十四条 各省直分行负责管理本分行操作风险，

10、分行负责人对本分行操作风险管理状况负责。各分行应指定风险管理部门牵头，其他部门应指定专人配合，共同遵照总行操作风险管理政策、措施和程序，运用统一操作风险管理措施、技术和工具，组织本分行各经营管理单位实行操作风险识别、评估、监测、控制/缓释和汇报。第十五条 各子企业和海外分行负责管理本机构操作风险，机构负责人对本机构操作风险管理状况负责。各机构应指定风险管理部门牵头，机构其他部门应指定专人配合，共同遵照总行操作风险管理政策、措施和程序，运用统一操作风险管理措施、技术和工具，组织本机构各经营管理单位实行操作风险识别、评估、监测、控制/缓释和汇报。各子企业和海外分行属地监管机构或所属行业监管机构规定

11、与总行规定不一致，应及时汇报总行并按总行审批规定执行。第十六条 法律合规部、信息技术管理部、监察室、人力资源部等部门在管理好本部门操作风险同步，应在波及其职责分工及专业专长范围内为其他部门管理操作风险提供有关资源、支持。第十七条 内部审计部门应定期独立审查、监督、评价本行操作风险管理体系运作状况。第四章 操作风险管理流程第十八条 本行操作风险管理流程重要包括操作风险识别、评估、监测、控制/缓释和汇报等，并通过操作风险管理信息系统平台进行整合和实行。第十九条 操作风险识别。操作风险识别指识别存在重要操作风险并确定其性质过程，其范围应涵盖本行各个层面业务流程和管理流程。操作风险识别应具有前瞻性，并

12、应识别出各业务管理流程存在重要操作风险事件、风险因子、影响类型、控制措施等，为操作风险评估、监测、控制/缓释和汇报提供基础。操作风险识别可采用业务流程分析和损失数据搜集等操作风险管理工具。第二十条 操作风险评估。操作风险评估是指评估操作风险暴露程度并确定操作风险与否可接受全过程。操作风险评估应按照统一原则，对操作风险事件固有风险暴露、剩余风险暴露和控制有效性等进行评估，并结合对应流程风险容忍度，确定操作风险暴露与否在可接受范围之内。操作风险评估可采用风险与控制自我评估等操作风险管理工具。第二十一条 操作风险监测。操作风险监测应通过设置并监测各类风险指标，动态、持续监测操作风险状况及其控制/缓释

13、措施质量；迅速发现政策、流程和内部控制出现问题并采用对应补救措施。操作风险监测可采用关键风险指标等操作风险管理工具。第二十二条 操作风险控制/缓释。操作风险控制/缓释是指根据操作风险评估或监测成果，制定并组织实行操作风险控制/缓释行动计划过程。通过流程控制、行为监控、电子化、保险、外包等一系列控制手段或缓释措施，对操作风险进行转移、分散、减少、规避，将操作风险暴露减少至可接受范围之内。第二十三条 操作风险汇报和披露。本行应建立操作风险汇报制度，明确汇报种类、路线、内容、格式和频率。各分支机构和各部门应当根据汇报制度规定，及时、精确、真实地提交操作风险汇报，并对汇报内容负责。对于重大操作风险事件

14、应及时汇报董事会、高级管理层和监管机构。本行应根据法律法规规定及监管规定披露操作风险信息。第二十四条 操作风险管理信息系统。为有效识别、评估、控制/缓释、监测和汇报操作风险，本行应逐渐建立并完善操作风险管理信息系统，为上述流程及对应操作风险管理工具提供整合和实行平台。第五章 业务持续性管理第二十五条 业务持续性管理目是将服务运行中断影响最小化，保证关键业务中断时及时恢复，控制业务中断事件所带来收入和资金损失，保护银行声誉和品牌。重要包括危机管理计划、业务持续性计划和劫难恢复计划。第二十六条 各部门应当制定与其业务规模和复杂性相适应业务持续计划或劫难恢复计划，保证持续经营，将重大或较大业务中断事

15、件发生时导致操作中断对银行业务、产品和服务影响最小化。业务持续性计划和劫难恢复计划至少应考虑系统不可用、人员不可用、办公场所不可用、外部供应商不可用等场景下恢复环节、行动和措施。在业务持续性计划中波及多种部门协同工作时，风险部负责部门间沟通与协调。第二十七条 各部门应建立恢复服务和保证业务持续运行备用机制，定期检查、测试其劫难恢复和业务持续机制，保证在出现劫难和业务严重中断时这些方案和机制正常执行。第六章 新产品、新业务风险评估和外包风险管理第二十八条 在新产品、新业务开发以及流程改造过程中，总行条线管理部门和总行风险管理部应针对其业务流程、信息科技系统、人员管理等方面进行操作风险评估。第二十

16、九条 本行所有业务外包应经授权审批，外包前应充足识别和评估外包潜在操作风险，并制定与外包业务有关风险管理政策，保证业务外包有严谨协议和服务协议，以明确各方责任义务。第三十条 本行可根据自身操作风险状况选择购置保险及与第三方签订协议，并将其作为缓释操作风险一种措施，但不应因此忽视对操作风险控制措施。第七章 操作风险资本计量第三十一条 按照巴塞尔新资本协议和银监会监管规定，结合本行实际状况，现阶段本行采用原则法(The Standard Approach, TSA)计算操作风险监管资本。在积累足够数据基础上，未来将逐渐过渡到操作风险资本高级计量法(Advanced Measurement Appr

17、oach, AMA) 。第三十二条 本行所有部门、分行、子企业、海外分行均应对操作风险资本计量提供必要支持，各子企业、海外分行应定期向总行提供本机构操作风险资本计量有关数据。各子企业、海外分行应采用原则法作为本机构操作风险资本计量措施，属地监管机构或所属行业监管机构规定与本行规定不一致，应及时汇报总行并按总行审批规定执行。第八章 风险文化建设第三十三条 成功操作风险管理架构有赖于良好风险文化。风险文化包括员工对风险意识、态度及行为等。良好操作风险文化原因包括：（一）全体员工明确自身在操作风险管理中职责，每个岗位、员工均是操作风险直接负责人；（二）董事会、高管层对操作风险文化持续推进、宣传；（三

18、）业务、风险管理应由具有有关资质人员完毕；（四）科学合理鼓励机制和充足暴露问题文化。鼓励员工自由揭示、积极汇报操作风险问题，鼓励越级实名举报不法行为。第三十四条 多层次培训对于操作风险管理成功具有关键作用。有关部门应通过不定期培训方式，协助各单位、人员提高操作风险管理水平、履行操作风险管理各项职责，并就操作风险管理内容和形式到达共识。第三十五条 本行建立并贯彻操作风险管理工作考核及奖惩机制，按照公开、公平、公正原则，将操作风险管理有效性纳入各分支机构和各部门绩效考核范围。第九章 附 则第三十六条 本政策合用于总行各部门、境内外分支机构及本行控股子企业。第三十七条 本政策自董事会同意之日起生效。