银行内控、合规与操作风险管理系统管理办法 模版

银行内控、合规与操作风险管理系统管理办法第一章总则第一条为加强银行股份有限公司（下称“本行”）内控、合规与操作风险管理系统（下称GRC系统）的管理，规范系统的使用，明确各级机构和用户的职责，保证系统安全正常运行，根据本行有关系统管理规定，特制定本办法。第二条本办法所称GRC系统是指内控、合规与操作风险的基础管理平台，相关的数据、文字等信息通过系统予以集中记载、归集和管理。系统功能模块主要包括：外规管理、内规管理、风险管理、检查与问题整改、积分管理、问责管理、内控评价、合规考试、流程优化等。第三条本办法适用于总行各部门及分支机构。第二章组织职责第四条总行风险管理部作为GRC系统的应用主管部门，承担以下职责：负责牵头组织设计GRC系统功能模块，并进行系统运行维护；负责建立健全GRC系统管理制度并组织实施；负责全行用户的角色分配（功能权限设置），用户组分配（数据权限设置）；负责系统正常运行所需的数据字典、目录树、工作台、用户等系统基础设置；负责收集、整理和汇总GRC系统功能需求，并开展可行性分析；负责本条线相关数据的录入；负责与信息技术部、系统供应商的协调与沟通，以及系统模块功能的咨询；负责系统管理要求的传导以及系统使用的培训工作；负责GRC系统相关的其他工作。第五条总行信息技术部作为GRC系统的技术主管部门，承担以下职责：负责GRC系统的运行环境、硬件配置和通信网络的维修、维护；负责GRC系统数据库备份及应急处理；负责GRC系统的持续开发改进；（四）负责GRC系统相关的其他工作。第六条总行各条线管理部门、各分支机构作为GRC系统的使用部门和单位，承担以下职责：负责本条线、本机构数据的录入；负责提出GRC系统功能需求；负责配合牵头管理部门开展功能模块测试；负责确认辖内系统角色分配变更需求，并提交至系统管理员；负责确认辖内数据变更需求，并提交至系统管理员；负责系统管理要求的传导以及系统使用的培训工作；负责GRC系统相关的其他工作。第三章用户管理第七条GRC系统用户为全行所有人员，用户信息数据来源为OA系统，用户名与OA系统的用户名相同。第八条GRC系统的用户角色设置必须与用户实际岗位职责一致，并按用户不同的职责范围赋予其不同的权限。第九条新增用户的管理全行新增用户，GRC系统自动从OA系统中进行同步，同步后，用户登录密码默认为初始密码000aaa，权限默认一般浏览用户权限；超出一般浏览权限的用户，由所在分支机构系统管理员填写《GRC系统用户权限变更表》（见附录1），并向总行系统管理员提出申请，由总行系统管理员在系统中进行用户权限的角色分配和设定。第十条用户调动（离职）的管理用户的调动（离职），GRC系统自动从OA系统中进行同步，在系统中予以变更（删除）。用户由于角色不同，区别以下情形进行处理：一般浏览权限用户的调动（离职）一般浏览权限用户调动（离职），无需进行系统操作；超出一般浏览权限用户的调动（离职）超出一般浏览权限用户的调动（离职），由所在分支机构系统管理员填写《GRC系统用户权限变更表》，并向总行系统管理员提出申请，由总行系统管理员进行角色变更和注销。第四章系统开发及维护第十一条系统需求提出GRC系统各具体模块管理人员根据管理需要，结合系统使用部门和单位的意见和建议，提出系统优化完善需求，填写《银行应用系统开发(维护)申请报告》（见附录2），并提交至总行风险管理部系统管理员，由系统管理员进行汇总、整理，并开展可行性分析论证，报经部门负责人审核同意后，提交至总行信息技术部实施。第十二条系统开发和维护GRC系统的开发及维护由总行信息技术部根据本行计算机应用系统开发维护相关制度规定进行实施。第十三条功能模块测试系统功能模块开发完成后，各具体模块管理人员应组织开展测试工作，并出具测试报告，测试通过后方可上线使用。第十四条功能模块角色设置系统相关功能模块上线前，各具体模块管理人员应根据模块功能需要，制定角色划分规则，并提交系统管理员。系统功能模块上线后，总行系统管理员在系统中进行用户权限的角色分配。第十五条涉及GRC系统重大改造的需求，列入本行金融电子化建设项目，视同新系统开发履行项目审批程序。第五章数据管理第十六条数据的录入各级机构和用户应按照《GRC系统操作手册》及相关文件规定，根据各自职责权限，及时录入相应的数据，并确保数据的真实性和准确性。第十七条数据的维护数据维护是指对系统数据进行修改和删除。（一）数据维护申请总行各条线管理部门需进行数据维护时，由各部门提交《GRC系统数据修改申请表》（见附录3），提交至总行风险管理部。分、支行需进行数据维护时，填报《系统数据修改申请表》，经分支行法律合规部（风险管理部）审核后，报请总行风险管理部。（二）数据的维护总行风险管理部根据各部门、各分支行的申请，视情况进行数据维护，或提交总行信息技术部进行数据维护。第十八条任何用户不得擅自修改、删除GRC系统数据信息。第十九条各级用户在系统使用过程中遇到操作问题时应查看《GRC系统操作手册》，如无法解决应及时上报上级GRC系统管理部门。第六章系统安全与保密管理第二十条GRC系统管理员分为总行系统管理员、分支机构系统管理员。总行系统管理员设在总行风险管理部，由总行风险管理部专职内控合规与操作风险管理岗担任；分支机构系统管理员设在分支机构法律合规部（风险管理部），由专职内控合规与操作风险管理岗担任。第二十一条总行系统管理员应按照安全控制要求，统筹设置用户级别权限，设置终端与之相匹配的应用菜单，不得随意修改、删除、变更其他用户的安全级别、用户属性等信息。第二十二条GRC系统各用户应遵循保密原则，不得向他人出借、泄露登录密码。第二十三条GRC系统数据属于本行商业机密，任何机构、个人非经有权人员同意，不得对无关人员和行外单位、个人提供GRC系统中的数据。第七章系统管理要求第二十四条各部门，各分支机构应加强GRC系统使用，凡系统功能支持的工作必须通过线上予以开展。第二十五条各系统管理员应实时关注系统的运行情况和使用情况，及时发现、收集功能问题与优化需求。第二十六条各具体模块管理人员实时关注模块功能的运行情况，督促和指导系统使用部门和单位及时、准确录入数据。第二十七条各部门各分支机构具体操作人员应及时将工作中的各项数据录入GRC系统，通过系统加以归集与记载，充分发挥系统功效。第八章罚则第二十八条对未及时录入相关信息、信息录入错误、信息录入存在缺漏等情况，将按照本行《违规积分管理办法》及相应积分标准进行积分。第二十九条违反GRC系统管理办法，情节严重、造成重大不良影响的，严格按照本行《员工尽职调查与问责管理办法》的规定进行问责处理。第九章附则第三十条本办法由银行负责制定、解释和修改。第三十一条各分支机构可根据本办法，制定相应的实施细则。第三十二条本办法自发布之日起执行。附录：1.GRC系统用户权限变更表银行应用系统开发(维护)申请报告GRC系统数据修改申请表附录1：GRC系统用户权限变更表□新增□注销□变更________________________姓名：工号：所属机构：岗位：手机号码：岗位设置：□分行法律合规部内控合规岗□中心支行风险管理部内控合规岗□分行其他部门内控合规岗□中心支行其他部门内控合规岗□分行法律合规部负责人□中心支行风险管理部负责人□其他_________________________________申请机构部门负责人意见：申请日期：填表人：所在机构风险管理部（法律合规部）意见：总行风险管理部意见：附录2：银行应用系统开发(维护)申请报告填表日期：年月日编号：提交部门(盖章)提出申请时间：年月日要求完成时间：年月日项目名称GRC系统项目类型□开发新应用系统□现有应用系统增加新业务功能□修改完善现有应用系统□维护调整现有应用系统功能或性能□其他项目内容及业务需求概要填表人签名:部门负责人签名:有关部门会签年月日信息技术部意见年月日行领导（或电子化领导小组）签批