银行操作风险管理办法模版

操作风险管理办法

编制部门：

版次号：

生效日期：xx年0xx月10日

目录

15748

修改与审批记录

3

8719

第一章总则

4

22345

第二章组织职责

5

16444

第三章操作风险识别与评估

10

6128

第四章操作风险的监测、监控与缓释

11

5079

第五章操作风险损失事件与损失数据收集

14

9992

第六章操作风险的报告和信息披露

15

26866

第七章操作风险资本计量

18

16430

第八章内部监控和外部审计

18

30017

第九章附则

19

12454

附件

19

总则

为加强银行（以下简称“本行”）操作风险管理，建立健全本行操作风险管理体系，提高操作风险管理水平，满足内外部监管要求，根据中国银行业监督管理委员会（以下简称“银监会”）《商业银行资本管理办法（试行）》、《商业银行操作风险管理指引》以及其他相关法律和行政法规，制定本办法。

本办法所称操作风险，是指由不完善或有问题的内部程序、职工或员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

本办法所指法律风险包括但不限于以下风险：

签订的协议因违反法律或行政法规可能被依法撤销或者确认无效的风险；

因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的风险；

业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的风险。

本办法所称操作风险管理，是指商业银行依照监管要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和监控/缓释操作风险的全过程。

本行操作风险管理目标，是通过建立健全操作风险管理框架，实现对操作风险的有效管理，实现操作风险损失的最小化。

本行操作风险管理应遵循以下原则：

有效性原则：操作风险管理制度应符合董事会战略规划要求，依照点面结合的管理模式，确保得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部监控约束，内部监控存在的问题应当能够得到及时反馈和纠正；

全面性原则：操作风险的管理要渗透到所有业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体职工或员工参加，任何决策或操作均应当有案可查；

审慎性原则：操作风险管理要以防范风险、审慎经营为出发点，所有经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“内控优先”的原则，建立和完善相关规章制度和流程设计；

成本效益原则：操作风险管理要做好重大风险点的排查和识别，突出重点，充分发挥各部门及广大职工或员工的工作积极性，尽量降低操作风险管理成本，保证以合理的监控成本达到最佳的监控效果。

本办法适用于本行各级、各部门及本行全体人员。

组织职责

本行操作风险管理组织体系由董事会、监事会、高级管理层、、内审办公室、各部门及分支机构有风险管理职能的岗位构成。

董事会、监事会、高级管理层构成本行操作风险管理的领导、监督机构。

各部门及分支机构有风险管理职能的岗位、、内审办公室构成本行操作风险管理的“三道防线”。

董事会应将操作风险作为本行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括：

负责审批全行操作风险管理框架，确保其与本行的总体业务战略和重大策略相一致；

定时听取董事会风险管理委员会关于全行操作风险管理工作执行情况的汇报；

负责向高级管理层提供关于本行操作风险战略实施的方向性指导建议或意见。

董事会授权其下设风险管理委员会履行以下操作风险管理职责：

制定与本行战略目标相一致且适用于全行的操作风险管理框架；

通过审批及检查高级管理层关于操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的所有业务面临的操作风险监控在可以承受的范围内；

定时审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；

确保高级管理层采取必要的措施有效地识别、评估、监测和监控/缓释操作风险；

审定与操作风险管理相关的其他重大事项。

本行监事会负责监督董事会和高级管理层在操作风险管理方面的履职情况，并提出相关建议。

本行高级管理层负责执行董事会批准的操作风险管理框架，在操作风险的日常管理方面，对董事会负最终责任，其主要职责包括：

负责执行由董事会批准的操作风险管理政策，定时检查和监督执行情况，并定时向董事会风险管理委员会提交操作风险总体情况的报告；

全面掌握本行操作风险管理的总体状况，特别是所有重大的操作风险事件或项目；

明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；

为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职位所必需的权限等；

负责审批和审查本行操作风险资本测算和分配方案；

及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、职工或员工及外部事件和其他因素发生变化所造成的操作风险损失事件；

确保本行操作风险管理体系接受内审部门的有效审查与监督。

高级管理层风险管理委员会负责沟通协调和监督各部门/分支机构的操作风险管理工作，履行以下职责：

负责监督操作风险管理体系在各部门/分支机构的有效运行；

负责审核和批准各部门/分支机构的操作风险管理具体实施细则或规程，以确保政策符合银行内外部监管要求；

负责沟通协调本行相关业务部门/分支机构在操作风险管理中的分工和协作；

制定与操作风险管理相适应的薪酬绩效政策，确保薪酬绩效政策与本行操作风险管理框架相一致，有效推动操作风险管理体系的xx。

负责全行操作风险管理体系的建立和实施，与其他部门保持独立，确保全行范围内操作风险管理的一致性和有效性。主要职责包括：

结合本行业务性质、规模、复杂程度和风险特征及总体业务发展战略、管理能力、资本实力、财务回报要求和能够承担的总体风险水平，依据本行操作风险管理框架，制定本行操作风险管理政策和程序，根据要求报董事会或其专业委员会审议批准；

协助其他部门识别、评估、监测、监控及缓释操作风险；

建立操作风险识别、评估、缓释（包括内部监控措施）和监测方法以及全行的操作风险报告程序，并组织实施；

建立适用全行的操作风险基本监控标准，并指导和沟通协调全行范围内的操作风险管理；

监控全行操作风险管理的有效性，并定时汇总全行操作风险数据，分析全行操作风险状况，确保本行操作风险管理政策和措施得到遵守与落实；

协助为各部门/分支机构提供操作风险管理方面的培训，协助各部门/分支机构提高操作风险管理水平、履行操作风险管理的所有职责；

定时汇总全行各部门/分支机构操作风险报告，形成操作风险综合报告提交高级管理层。

操作风险管理岗负责本行操作风险管理的具体实施，履行以下职责：

拟订全行操作风险管理政策、程序和具体的操作风险规程；

组织对全行各部门/分支机构各类业务经营和管理活动中的操作风险状况进行识别、评估、缓释和延续监控，建立健全全行操作风险防范监测体系；

组织收集、整理和分析各部门/分支机构各项业务或管理活动操作流程的具体风险点、风险监控环节与风险监控措施，对关键风险点做出提示，并提出风险监控措施的改进建议；

定时检查并分析各部门/分支机构的操作风险管理情况；

定时汇总各部门/分支机构操作风险报告。

各部门/分支机构负责人对本部门/机构的操作风险管理情况负直接责任，履行以下职责：

指派专人负责本部门/分支机构操作风险管理，确保操作风险政策、流程和规程在本部门/机构内得到准确、有效的执行；

负责审查本部门/机构的操作风险管理具体实施细则或规程，以确保该实施细则或规程符合总行的操作风险管理政策或规程；

负责加强本部门/分支机构操作风险管理队伍xx。

各部门/分支机构有风险管理职能的岗位负责本部门/机构操作风险管理的具体实施，履行以下职责：

根据总行的操作风险管理政策结合本部门实际，负责制定本部门及系统内所有业务的操作风险管理实施细则或规程，确保其适宜和有效；

根据本行风险管理政策或规程要求，负责本部门操作风险识别和评估的实施，并将结果报总行；

负责本部门/分支机构操作风险日常监测工作；

定时向总行报告本部门/分支机构操作风险管理执行情况，并及时通报重大操作风险事件；

负责对本部门/分支机构进行操作风险培训，提高操作风险管理水平。

、安全保卫部、等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

总行应做好本行操作风险资本计量相关工作。

内审办公室对本行操作风险的管理情况进行检查监督，履行以下职责：

定时检查各部门/分支机构操作风险管理政策的落实和防范措施的执行情况；

定时对关于操作风险管理的履行情况进行监督；

对全行操作风险管理政策、程序和具体的操作规程及其运作情况进行独立评估，并将评估结果报告董事会和高级管理层。

操作风险识别与评估

操作风险识别，是指识别存在的主要操作风险并确定其性质的过程，其范围应涵盖本行各部门/分支机构的业务经营和管理活动。

本行操作风险识别旨在准确识别各业务管理流程存在的主要操作风险事件、风险事件类别、风险原因、影响类型、监控措施等，为操作风险评估、监测、监控/缓释和报告提供基础。

操作风险评估，是指依照本行操作风险评估要求，从操作风险发生的可能性及后果两个维度来评估操作风险，并确定操作风险是否可接受的全过程。

本行操作风险评估应依照统一的标准，对操作风险事件的固有风险暴露、剩余风险暴露和监控有效性等进行评估，并结合对应流程的风险容忍度，确定操作风险暴露是否在可接受范围之内。

本行操作风险识别与评估的范围包括本行所有机构、产品、职能、活动和系统：

新产品、新业务流程和系统推出应用之前，本行应对其中的操作风险予以充分地识别与评估并确定关键风险监控指标；

定时对操作风险损失事件进行风险评估，并将评估结果纳入到操作风险监测和监控范畴。

本行操作风险识别与评估采用风险与监控自我评估（RCSA）的方法。

本行操作风险识别与评估流程：

确定全行业务经营及管理活动的具体流程；

对流程中存在的风险进行辨别和分类；

识别潜在风险和暴露风险；

鉴别分析风险因素和关键点；

评估风险影响程度；

评估对风险的监控能力。

操作风险的监测、监控与缓释

本行操作风险监测是对关键风险指标（KRI，KeyRiskIndicators）设定、跟踪、分析评估及报告的全过程，是建立操作风险预警机制的有效手段，包括：

通过设置并监测关键风险指标，动态、延续的监测操作风险状况及其监控/缓释措施的质量；

快速发现政策、流程和内部监控出现的问题并采取相应的补救措施。

关键风险指标，是指代表某一风险领域变化情况并可定时监控的统计指标。该指标可用于监测可能造成损失事件的所有风险及监控措施，并作为反映风险变化情况的早期预警指标。

关键风险指标监测不意味着预测事件，关键风险指标在某个具体流程中最能起到早期预警的作用，以防止事件的发生。

本行操作风险监控与缓释，是指根据操作风险评估或监测结果，制订并组织实施操作风险监控/缓释行动计划的过程，其目的是通过流程监控、行为监控、电子化、保险、外包等一系列监控手段或缓释方法，对操作风险进行规避、预防、缓释、转移，将操作风险暴露降低至可接受的范围之内。

本行应定时通过人工方式或系统导入方式收集关键风险指标监测数据。各部门/分支机构应指派专人定时监控关键风险指标的变化，根据关键风险指标所处区间进行原因分析并及时采取相应措施。

各部门/分支机构应及时向本级操作风险管理岗位/部门提交关键指标监测数据。总行依据全行关键风险指标变化情况，汇总、分析形成全行关键风险指标监测报告按要求向高级管理层报告。

本行应当将加强内部监控作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：

明确和规范全行业务经营和管理活动的流程；

密切监测遵守指派风险限额或权限的情况；

对接触和使用本行资产的记录进行安全监控；

督促职工或员工具有与其从事业务相适应的业务能力并对职工或员工进行相关培训；

识别与合理预期收益不符及存在隐患的业务或产品；

定时对交易和账户进行复核和对账；

建立营业部主任及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；

对重要岗位或敏感环节职工或员工八小时内外行为规范定时进行排查；

建立基层职工或员工署名揭发违法违规问题的激励和保护制度；

建立案件查处和相应的信息披露制度；

建立对基层操作风险管控奖惩兼顾的激励约束机制。

操作风险监控措施应当随着本行业务发展和技术水平提高而不断丰富。

为有效地识别、评估、监测、监控和报告操作风险，本行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和监控措施的自我评估，监测关键风险指标，并可提供操作风险报告的关于内容。

本行各部门/分支机构应定时开展操作风险排查活动，依照人民银行和监管部门相关工作要求以及本行相关工作制度，发现风险事项和风险隐患，对查出的问题督促整改。排查范围应包括但不限于以下内容：

岗位分离和监督约束机制情况；权限管理情况；监控措施情况，包括操作规范、风险管理措施，对资金交易员的管理情况；

代理客户资金业务的管理情况；ATM机的管理情况；代理业务情况；基金托管业务情况；咨询咨询顾问类业务情况；保管箱业务情况等；

前台柜面业务操作风险隐患：对账（包括存放央行、存放同业、同业存款、债券投资业务）情况，其中百万元以上逐笔检查，百万元以下有重点抽查；印、押、证管理情况；柜台人员名章管理情况；印章管理情况；有价单证及重要空白凭证管理情况；特殊业务处理情况；资金证明业务管理情况；业务库、现金尾箱管理情况；账户管理情况等；

资金业务的资金调入、调出，审批手续情况；账外经营、挪用截留收入、收入不入账情况；私设小金库情况；盗用或挪用客户资金的情况；挪用本行内部资金的情况；大额资金取现情况等；

信贷业务中的审批权限和工作程序；贷款用途的审查和监控；银行承兑汇票业务；保函业务等；

监控录像情况；枪支弹药管理情况；上门服务情况等；

IT操作风险及对防控操作风险的支持情况等；

职工或员工行为：营业部主任及关键岗位轮岗轮调、强制性休假制度和离岗审计制度落实情况；重要岗位或敏感环节职工或员工八小时内外行为规范情况；基层职工或员工署名揭发违法违规问题的激励和保护制度落实情况。

操作风险损失事件与损失数据收集

本办法所称操作风险损失事件，是指由不完善或有问题的内部程序、职工或员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和职工或员工的操作事件。操作风险损失事件原则上不包括策略风险和声誉风险事件。

根据银监会《商业银行资本管理办法（试行）》，本行操作风险损失事件包括以下七大类内容：

内部欺诈事件；

外部欺诈事件；

就业制度和工作场所安全事件；

客户、产品和业务活动事件；

实物资产的损毁；

信息科技系统事件；

执行、交割和流程管理事件。

应当组织开展全行范围操作风险损失数据收集工作，根据以下基本原则并结合本行的实际特点，进行操作风险损失数据收集：

重要性原则。在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认；

及时性原则。应及时确认、完整记录、准确统计操作风险损失事件所致使的直接财务损失，避免因提前或延后造成当期统计数据不准确；

统一性原则。操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比；

谨慎性原则。在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。

操作风险的报告和信息披露

本办法所称操作风险报告，是指各部门/分支机构依据本行操作风险管理规定的内容、时间、频率、路径提交操作风险管理报告，并分析和反映本部门/机构操作风险管理状况的报告活动。

本行应建立操作风险报告制度，通过有效的沟通和反馈，使董事会、监事会和高级管理层及关于部门及时了解本行操作风险状况，相应调整风险管理政策和管理措施。

本行应建立操作风险管理信息的收集与积累机制：

各部门/分支机构应广泛地、延续不断地收集与本行各类风险管理相关的信息，以积累内部数据；

对各类操作风险实施监控，对各部门/分支机构提供的各类信息及时进行记录、汇总、分析和处理，并保留风险管理记录。

操作风险报告应涵盖全行各个单位的操作风险信息。各部门/分支机构报告的权限、路径、频率以及内容如下：

总行相关部门应对关键操作风险指标进行监测，定时向通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件；

分支机构应依照各业务条线的操作风险排查要求汇总分析本单位的操作风险事项报总行相关业务部门，相关业务部门结合本部门分析、识别出的操作风险撰写操作风险报告交，报告应包括本业务条线操作风险状况、应采取的措施及今后改进的方向；

定时、不定时向董事会、监事会、高级管理层提交包括操作风险内容的报告。报告应包括本行操作风险状况、操作风险损失事件与数据分析、趋势/预警分析、应采取的措施及今后改进的方向等内容；

各部门/分支机构有风险管理职能的岗位针对业务检查中发现的重大风险隐患可直接形成专项风险报告报，审核后报董事会、监事会、高级管理层。

操作风险报告/披露流程。

操作风险报告流程应包括风险信息的收集、风险信息的加工、风险信息汇总与上报等环节；

操作风险信息披露流程应包括制定操作风险信息披露制度、拟定信息披露报告、批准发布等环节。

风险事件报告:

各部门/分支机构发生下列事件的，应在1小时内向总行业务主管部门、口头报告，并于次日形成书面报告上报总行业务主管部门及；应在接到口头报告后立即上报高级管理层，并会同业务主管部门延续跟进操作风险事件的处置工作，及时向高级管理层汇报：

抢劫本行或运钞车、盗窃本行现金10万元以上的案件，诈骗本行或其他涉案金额100万元以上的案件；

造成本行重要数据、账册、重要空白凭证严重损毁、丢失，造成涉及两个或两个以上分支机构中断业务1小时以上，涉及一个分支机构中断业务2小时以上，严重影响正常工作开展的事件；

盗窃、出卖、泄漏或丢失涉密资料文件资料，可能影响金融稳定，造成经济秩序混乱的事件；

部门/分支机构管理层人员严重违规；

发生不可抗力致使严重损失，造成直接经济损失100万元以上的事故、自然灾害；

涉及损失金额可能超过本行资本净额万分之一的操作风险事件；

本行规定其他需要报告的重大事件。

凡发生以上事件，虽未达到上述金额，各分支机构、业务部门仍应及时报告，并书面告知。

发生下列重大操作风险事件，本行应及时向监管部门报告：

抢劫本行或运钞车、盗窃本行现金30万元以上的案件，诈骗本行或其他涉案金额1000万元以上的案