操作风险管理办法.doc

操作风险管理办法版次：A/0编号： 第 21 页 共 21 页 操作风险管理办法文件编号： 版次号：A/0第一章总则3第二章操作风险管理的组织架构4第三章操作风险的识别与评估9第四章操作风险事件的监测11第五章操作风险的控制13第六章操作风险事件的报告15第七章外部机构操作风险的管理17第八章与监管机构的联络18第九章考核与奖惩19第十章附则20内外部规章制度索引20 第一章 总则第一条 为规范和加强XX商业银行（以下简称“本行”）的操作风险管理工作，依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行操作风险管理指引以及其他有关法律法规，制定本办法。第二条 本办法所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本办法所指操作风险包括法律风险，但不包括策略风险和声誉风险。第三条 本行进行操作风险管理要遵循以下原则：（一） 有效性原则：操作风险管理制度应符合董事会战略安排要求，按照点面结合的管理模式，确保得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问题应当能够得到及时反馈和纠正；（二） 全面性原则：操作风险的管理要渗透到各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员工参与，任何决策或操作均应当有案可查；（三） 审慎性原则：操作风险管理要以防范风险、审慎经营为出发点，各项经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“内控优先”的原则，建立和完善相关规章制度和科学流程设计；（四） 成本效益原则：操作风险管理要作好重大风险点的排查和识别，突出重点，充分发挥各部门及广大职员的工作积极性，尽量降低操作风险管理成本，保证以合理的控制成本达到最佳的控制效果。第四条 本行应当选择适当的方法对操作风险进行管理。具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。第五条 本办法适用于本行各级、各部门及本行所有人员。第二章 操作风险管理的组织架构第六条 本行操作风险的组织架构包括董事会、行长/高级管理层、风险管理部、合规部及其它相关部门、各分支机构。第七条 本行董事会是本行操作风险管理的最高管理机构，承担监控操作风险管理有效性的最终责任。董事会授权下设的风险管理委员会履行其操作风险管理的职责，具体职责包括：（一） 制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；（二） 审批及检查高级管理层、各有关部门和分支机构有关操作风险的职责、权限及报告制度，确保全行的操作风险管理体系的有效性，将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（三） 定期审阅合规部、风险管理部等操作风险相关部门提交的操作风险报告，充分了解本行操作风险管理的总体情况，评价重大操作风险事件处理的有效性，监控和评价日常操作风险管理的有效性；（四） 确保本行各职能部门、分支机构采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；（五） 确保本行操作风险管理体系接受内审部门的有效审查与监督；（六） 制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系建设；（七） 审定与操作风险管理相关的其他重大事项。第八条 行长/高级管理层的主要职责包括：（一） 根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；（二） 全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；（三） 明确界定本行各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责；（四） 为本行操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；（五） 及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件；（六） 协调处理各部门和分支机构有关操作风险管理的重大事项。第九条 总行风险管理部职责主要包括：（一） 在全面风险管理框架下，负责全行操作风险管理政策拟定和操作风险管理体系的建设；（二） 协助各部门建立与其业务要求相适应的操作风险识别、评估、监测、控制及缓释操作风险；（三） 根据监管部门要求及我行业务特点，负责研究、开发和维护操作风险度量、分析和报告的方法、模型、工具。第十条 总行合规部的职责主要包括：（一） 根据本行操作风险管理政策和操作风险管理体系，确定操作风险管理的具体程序和操作规程；（二） 建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；（三） 定期检查并分析业务部门和其他部门操作风险的管理情况，确保操作风险制度和措施得到遵守；（四） 负责组织全行操作风险管理方面的培训，提高全行操作风险管理水平；（五） 负责就本行操作风险管理事务与监管机构联络。第十一条 本行各相关部门、各分支机构对操作风险的管理情况负直接责任。主要职责包括：（一） 建立专门机构或指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作规程；（二） 根据本行统一的操作风险管理评估方法，识别、评估本部门、本分支机构的操作风险，并建立持续、有效的操作风险监测、控制及报告程序，并组织实施；（三） 在制定本部门、本分支机构业务流程时，充分考虑操作风险管理和内部控制的要求，应保证操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；（四） 监测关键风险指标，定期向总行合规部通报本部门、本分支机构操作风险管理的总体状况，并及时通报重大操作风险事件。第十二条 各部门、分支机构在管理好本身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门、分支机构管理操作风险提供相关资源和支持。第十三条 审计部门对操作风险的管理情况进行检查监督。其具体职责包括：（一） 定期检查各部门操作风险管理政策的落实和防范措施的执行情况；（二） 定期对合规部、风险管理部关于操作风险管理的履行情况进行监督；（三） 对操作风险管理政策、程序和具体的操作规程及其运作情况进行独立评估，并将评估结果报告董事会和高级管理层。第三章 操作风险的识别与评估第十四条 本行操作风险识别评估要严格按照财政部等六部委制定的企业内部控制基本规范、银监会商业银行内部控制指引等规章制度为基本要求，并结合本行工作实际，有针对性、重点明确地开展。第十五条 合规部应制定有效操作风险识别评估程序，主动识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在的操作风险作出充分评估。第十六条 风险管理部应建立适用全行的操作风险基本控制标准，并应相关部门的要求提供相关技术支持。第十七条 本行各部门应在合规部的组织下，按年定期对相关产品、业务、流程及系统内的操作风险进行识别评估。识别评估方法主要采用流程分析法，根据各项工作的开展流程、历史运营情况、同业案例分析、经验判断、损失额度及影响等方法进行综合分析。第十八条 出现以下情况时，各部门和分支机构应立即向合规部提出操作风险控制评估计划：（一） 新产品和新业务开发；（二） 新设备和新系统应用；（三） IT系统的重大变更；（四） 操作风险管理政策修改；（五） 重大事故、险情、案件、隐患发生时；（六） 业务流程发生较大变化时；（七） 组织机构变革；（八） 重要员工流动；（九） 法律法规、监管要求发生变化；（十） 外部金融业等相关行业发生新的操作风险损失事件，本行可能面临类似的风险时；（十一） 岗位与人员配置不符；（十二） 其他可能引发操作风险的情况。第十九条 各部门、分支机构要针对对实现工作目标有负面影响的各类显性及隐性因素制订相应的控制措施。第二十条 各部门、分支机构应及时向合规部提交操作风险的识别与评估结果。合规部应及时对操作风险识别评估结果进行汇总，并报告高级管理层。第四章 操作风险事件的监测第二十一条 各部门、分支机构对操作风险损失事件的监测应遵循以下原则：(一) 重要性原则：在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认；(二) 及时性原则：应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确；(三) 统一性原则：操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比；(四) 谨慎性原则：在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。第二十二条 本行各部门、分支机构应定期监测操作风险状况和重大损失情况，并向合规部门报告。第二十三条 各部门、分支机构要根据自身业务特点，建立相应的操作风险预警机制并报备合规部门，针对潜在损失不断增大的风险，及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。第二十四条 总行合规部应根据本行业务发展要求，针对操作风险损失情况和外部信息逐步补充完善操作风险关键监测指标。第二十五条 总行合规部会同风险管理部和其他部门建立并逐步完善操作风险管理系统，系统性地收集、整理、跟踪和分析与操作风险相关的数据和事件信息。各部门、各分支机构应针对产品、业务、流程及系统内产生的操作风险的损失数据要进行收集，并报送合规部审核后进入操作风险损失数据库，定期根据损失数据进行风险评估。第二十六条 操作风险损失事件统计内容应至少包含：损失事件发生的时间、发现的时间及损失确认时间、业务名称、损失事件类型、损失形态、涉及金额、损失金额、非财务影响、与信用风险和市场风险的交叉关系等。第二十七条 操作风险损失事件类型包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理等。第二十八条 操作风险损失形态包括：法律成本，监管罚没，资产损失，对外赔偿，追索失败，账面减值，其他损失等。第二十九条 本行应根据操作风险损失事件统计工作的重要性原则，合理确定操作风险损失事件统计的金额起点。对设定金额起点以下的操作风险损失事件和未发生财务损失的操作风险事件也可进行记录和积累。第三十条 在统计操作风险损失事件时，应合理区分操作风险损失和其他风险损失界限。对于跨地区、跨业务种类的操作风险损失事件，合规部应确定损失统计原则，避免重复统计。第五章 操作风险的控制第三十一条 对识别评估出的操作风险点，合规部应组织相关部门和分支机构提出相应的控制措施，其控制措施种类包括但不限于以下内容：(一) 高层审核：上级管理者对照预算、预测、过往业绩和竞争者的情况对相关业务或经营情况进行审核；(二) 直接的职能或活动管理：如审核业绩报告、新业务数据，关注合规问题，调节资金头寸等；(三) 信息处理：通过一系列的核对与批准保证交易的准确性、完整性和已授权；(四) 实物控制：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全；(五) 业绩指标分析：综合一系列的指标，通过因素分析、对比分析、趋势分析等方法，发现存在的问题，及时查明原因并加以改进；(六) 不相容职责分离：全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制；(七) 绩效考评控制、预算控制、信息系统控制和其他。第三十二条 本行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部控制措施包括但不限于：(一) 对各项业务活动制订严格规范的流程管理，各部门、各岗位间划清业务边界；(二) 部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；(三) 密切监测遵守指定风险限额或权限的情况；(四) 对接触和使用银行资产的记录进行安全监控；(五) 识别与合理预期收益不符及存在隐患的业务或产品；(六) 定期对交易和账户进行复核和对账；(七) 主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；(八) 员工具有与其从事业务相适应的业务能力并接受相关培训；(九) 重要岗位或敏感环节员工八小时内外行为规范；(十) 建立基层员工署名揭发违法违规问题的激励和保护制度；(十一) 查案、破案与处分适时、到位的双重考核制度；(十二) 案件查处和相应的信息披露制度；(十三) 对基层操作风险管控奖惩兼顾的激励约束机制。第三十三条 合规部门应会同信息科技部门、安全保卫部门制定与本行业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。第三十四条 风险管理部门可以会同计划财务、合规部门研究，将购买保险以及与第三方签订合同作为缓释操作风险的一种方法。使用购买保险等方式缓释操作风险时，应当制定相关的书面政策和程序。第六章 操作风险事件的报告第三十五条 本行建立有效的操作风险报告机制，合规部、风险管理部和其他相关部门人员发现操作风险问题，均应有畅通的报告渠道和有效的纠正措施。操作风险报告应满足以下要求：(一) 真实性：客观、真实、准确地反应操作风险状况；(二) 及时性：及时分析报告重大操作风险事件；(三) 准确性：提出准确有效的操作风险控制措施，应讲究实效、切实可行；(四) 保密性：操作风险报告要遵守有关保密管理及信息披露规定。第三十六条 操作风险事件报告的内容包括但不限于发生的时间、发现的时间及损失确认的时间、业务名称、损失事件类型、业务金额、损失金额、涉案人员、对操作风险事件的描述和非财务影响等。第三十七条 操作风险事件实行定期、不定期相结合的报告制度。对日常操作风险监测报告实行定期报告；当发生重大操作风险事件时，要立即报告。第三十八条 本行建立有效的操作风险事件汇报路线，具体路线为：(一) 各部门、分支机构要按季向总行合规部报送操作风险状况分析报告；(二) 发生重大操作风险事件时，各部门、分支机构要在发现当日立即向总行合规部汇报，并在职权范围内采取相应措施控制操作风险，防止风险经济或非经济损失的扩大和蔓延;(三) 针对重大操作风险事件要建立事件后续报告制度;(四) 总行合规部向分管行长或总行风险管理委员会报告，同时抄送总行风险管理部；(五) 审计部门对操作风险管理工作进行监控检查的结果向董事会和高级管理层报告，同时抄送总行合规部和风险管理部；(六) 发生中国银监会规定的重大操作风险事项时，各部门和分支机构应立即上报总行合规部，由总行合规部向总行主管行长汇报。第七章 外部机构操作风险的管理第三十九条 各部门、分支机构在将法律、合规、信息科技、安全保卫、人力资源等业务外包时，应当充分考虑本行面临的风险，制定有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。第四十条 各部门、分支机构在从事授信、金融市场业务等活动时，应当对交易对象的操作风险管理情况进行尽职调查。对交易对象操作风险管理的尽职调查内容包括但不限于：(一) 适当的操作风险管理组织架构、权限和责任；(二) 操作风险的识别、评估、监测和控制/缓释程序；(三) 操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；(四) 应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。第四十一条 对交易对象的操作风险进行尽职调查时，应通过与交易对象高级管理层、各部门及其员工交谈，查阅董事会、总经理办公会等会议记录、交易对象各项业务及管理规章制度等方法，分析评价交易对象是否有积极的操作风险控制环境、完备的操作风险控制措施、畅通的操作风险信息沟通、有效的操作风险监控体系。第四十二条 对交易对象的操作风险进行尽职调查时，还应重点考察其过往操作风险事件及其应对情况。第八章 与监管机构的联络第四十三条 合规部是本行有关操作风险管理与监管机构联络的归口部门，负责向监管机构报送、接收相关信息，跟踪、评估、考核监管意见和监管要求的落实情况，以及行领导交办的其他事项工作。第四十四条 本行的操作风险管理政策和程序应根据银监会或其派出机构的要求备案并报送与操作风险有关的报告。第四十五条 本行在委托社会中介机构对操作风险管理体系进行审计后，应向当地银监局提交外部审计报告。第四十六条 当发生下列重大操作风险事件时，合规部应及时向当地银监局报告：(一) 抢劫本行或运钞车的案件，