1、银行操作风险管理政策目 录第一章 总则 4第一条 【宗旨】 4第二条【定义】 4第三条【操作风险的主要类别】 4第四条【适用范围】 5第五条【操作风险管理的工作目标】 5第二章 操作风险管理的组织框架与职责分工 6第六条【架构原则】 6第七条【董事会及其风险管理委员会】 6第八条【高级管理层】 7第九条【分行管理层】 8第十条【风险管理部】 8第十一条【各业务条线和职能部门】 9第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】 10第十三条【内部审计部门和纪检监察部门】 10第三章 操作风险管理制度 11第十四条【范畴】 11第十五条【制度体系】 11第十六条【操作风险管理政
2、策】 11第十七条【操作风险管理基本制度】 12第十八条【内部控制制度】 12第十九条【紧急事故应急处理制度】 12第二十条【业务(操作风险管理)细则】 13第二十一条【对分支行业务(操作风险管理)细则的特别规定】 13第四章 操作风险管理流程和技术 13第一节 业务标准操作流程管理 13第二十二条【基本思路】 13第二十三条【职责】 14第二节 操作风险识别与评估 14第二十四条【操作风险识别】 14第二十五条【操作风险评估】 15第二十六条【操作风险控制自我评估(RCSA) 】 15第三节 操作风险控制与缓释 15第二十七条【操作风险应对措施】 15第二十八条【外包】 16第二十九条【保险
3、】 16第四节 操作风险监测与报告 16第三十条【操作风险监测】 16第三十一条【关键风险指标】 16第三十二条【操作风险报告】 17第三十三条【操作风险预警】 17第三十四条【操作风险事件举报】 17第五节 操作风险管理系统 18第三十五条【操作风险管理系统】 18第六节 操作风险资本管理 18第三十六条【监管资本】 18第三十七条【经济资本】 18第七节 配合监管 19第三十八条【政策程序报备】 19第三十九条【提交报告】 19第四十条【配合检查】 19第四十一条【整改】 19第五章 操作风险管理文化 20第四十二条【操作风险管理文化】 20第四十三条【传达】 20第四十四条【业务培训】
4、20第四十五条【操作风险管理人员培训】 20第四十六条【全员操作风险管理培训】 21第四十七条【操作风险管理考核及奖惩】 21第六章 附则 21第四十八条【重检】 21第四十九条【解释】 21第五十条【实施】 22附件:名词解释 23一、操作风险来源 23二、固有风险与剩余风险 23三、可能性和影响性 24四、操作风险应对措施 24五、关键风险指标(Key Risk Indicator,KRI) 24六、风险映射 25七、操作风险控制自我评估(RCSA) 25八、操作风险损失(事件)数据库 26九、风险地图(Risk Map) 26第一章 总则第一条 【宗旨】根据董事会确定的发展战略和风险管理
5、总目标,以及中国银行业监督管理委员会商业银行操作风险管理指引 ,参考国际银行业操作风险管理的经验,特制定本操作风险管理政策。制定操作风险管理政策的主要目的是建立科学、完善的操作风险管理体系,指导和规范我行的各类业务活动和操作风险管理工作,实现对操作风险及时、全面、统一、有效的监控,将其控制在可承受的范围内,使我行获取经风险调整后的最大经营回报。第二条【定义】操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。本定义包括法律风险,但不包括策略风险和声誉风险。第三条【操作风险的主要类别】我行所面对的主要操作风险,包括但不限于以下几类:(1)内部欺诈:指因至少涉及我行内部
6、一名员工的故意欺诈、盗用我行资产或违反法律/条例/银行政策等而造成损失的风险。(2)外界诈骗:指因外界人员故意欺诈、盗用我行资产或违反法律而造成损失的风险。(3)雇佣事项及工作场所安全性:因违反雇佣、健康、安全的法例或协议而造成损失,以及因支付个人伤亡索偿等行为而造成损失的风险。(4)客户、产品及业务方式:因疏忽或非故意差错而未按专业守则对待指定客户(包括信托及恰当性方面的要求) 、或因产品的性质/设计上的问题等造成损失的风险。(5)有形资产的损坏:因自然灾害或其它事故导致实物资产损坏或人员伤亡造成损失的风险。(6)业务中断及系统故障:因业务中断或系统故障而造成损失的风险。(7)操作流程管理:
7、 因在我行操作流程中由于操作差错或流程设计、维护失误,或由于不充分或失败的内部工作流程所造成的风险。第四条【适用范围】本政策适用于中国银行全辖。第五条【操作风险管理的工作目标】我行操作风险管理的基本目标是在坚持依法合规经营、加强内部控制的基础上,进一步完善操作风险衡量方法、管理工具及政策体系,减少或缓解操作风险损失,将操作风险控制在适当水平,为业务发展提供健康的内部运营环境。具体目标包括:(1)充分识别和持续监测我行面临的各类操作风险,清晰了解操作风险管理的状况及存在的问题;(2)在合理评估的基础上,合理应对各类操作风险,保证风险与收益的平衡;(3)建立操作风险关键风险指标体系,实现对操作风险
8、的分析、预警,事先风险控制的前移;(4)通过建立和完善操作风险损失事件数据库及操作风险管理计量模型来实现操作风险管理能力的提升,并通过更为精确的资本计量来有效节约资本;(5)降低突发性事件的冲击,保证业务正常和持续开展。第二章 操作风险管理的组织框架与职责分工第六条【架构原则】操作风险管理体系是我行全面风险管理体系的组成部分。根据监管要求和本行全面风险管理体系建设的总体规划,对于操作风险管理,我行采取在董事会确定的操作风险管理政策指导下和高级管理层领导下的、三道防线为基础的、层次化的操作风险管理架构: (一)董事会为操作风险管理的最终负责人, 高级管理层领导全行的操作风险管理工作,分(支)行管
9、理层负责本机构范围内的操作风险管理,分行行长是操作风险管理的第一责任人;(二)总分行各业务部门、职能部门作为防范操作风险的第一道防线,是本部门/条线操作风险的直接承担者和管理者,负有对操作风险进行管理的第一责任;(三)总分行风险管理部(含风险条线派驻各业务条线的机构) 、法律合规部等作为防范操作风险的第二道防线,负责操作风险管理体系的构建和相关操作风险管理工作的统筹、支持和督促工作;(四)内部审计部门和纪检监察部门作为防范操作风险的第三道防线,其中内部审计部门负责对操作风险管理体系的运行情况进行审计,并依照规定揭示和报告审计过程中发现的问题。纪检监察部门对有关案件进行查处和责任认定,并对有关责
10、任人进行问责。第七条【董事会及其风险管理委员会】董事会应将操作风险作为我行面对的一项主要风险加以管理,对操作风险管理体系实施有效监控,并承担操作风险管理的最终责任。主要职责包括:(1)制定与整体战略目标相一致、适用于全行的操作风险管理战略,并确定本行可以承受的操作风险水平(风险偏好) ;(2)批准并定期审核全行的操作风险管理政策,确定有效的操作风险管理组织架构,架构中应涵盖清晰的职责划分以及明确的报告流程;(3)定期审阅高级管理层提交的操作风险报告,了解本行操作风险管理的总体状况及重大操作风险事件,监控和评价操作风险管理的全面性、有效性;(4)督促和确保高级管理层采取必要的措施有效地识别、评估
11、、监测和控制/ 缓释操作风险;(5)确保本行操作风险管理体系受到内审部门的有效监督;(6)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系建设。董事会可授权其风险管理委员会履行以上部分职能。第八条【高级管理层】高级管理层负责执行董事会批准的操作风险管理战略和政策。主要职责包括:(1)根据董事会制定的操作风险管理战略,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程;(2)及时了解本行操作风险管理的总体状况及重大操作风险事件,并定期向董事会提交操作风险报告;(3)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责;(
12、4)及时了解操作风险水平及其管理状况,并为操作风险管理配备适当的资源,确保银行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类操作风险;(5)在外部市场及其他环境发生重大变化或出现新的产品、业务、信息科技系统时,及时对操作风险管理体系进行检查和修订;(6)审批重大操作风险控制/缓释方案。主管风险副行长按照高级管理层的内部分工直接领导全行的操作风险管理工作,其在操作风险管理中的主要职责包括:(1)根据授权审核、审批操作风险相关制度、工作方案;(2)监督操作风险管理状况及成效,定期向行长及董事会风险管理委员会报告操作风险管理状况及成效
13、;(3)牵头组织落实操作风险管理体系建设的重要措施;(4)根据行长授权协调重要的跨部门操作风险管理工作;(5)负责推动操作风险管理队伍建设。其他行领导直接领导所主管业务范围内的操作风险管理工作,其在操作风险管理中的主要职责包括:(1)制定主管范围内各条线和职能部门改善操作风险管理的工作重点;(2)督促主管范围内各条线和职能部门配备适当的资源并按照要求进行操作风险管理;(3)对主管范围内各条线和职能部门制定的业务操作风险管理细则、操作风险事件处理方案等进行审批。第九条【分行管理层】分行行长作为分行操作风险管理的第一负责人,负责建立分行层面的操作风险管理体制;提升操作风险报告的全面性、及时性和有效
14、性;推进操作风险与控制自我评估等操作风险管理工作在分行层面的贯彻落实。分行风险总监作为专业风险管理者,应协助分行行长开展操作风险管理工作。分行其他行领导直接领导所主管业务范围内的操作风险管理工作。第十条【风险管理部】总行风险管理部作为操作风险管理的牵头部门,主要职责包括:(1)负责拟定、回顾、修订我行操作风险管理政策,报资产负债管理委员会及董事会风险管理委员会批准实施;(2)根据董事会确定的战略与政策,协调、指导、督促各部门识别、评估、监测和控制操作风险;(3)建立操作风险管理报告机制,收集及分析操作风险事件及损失数据,定期及不定期编制操作风险统计和分析报告,并就如何弥补损失提出建议,使董事会
15、及高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响,以能采取有效的防范及降低风险的措施;(4) 根据银行业监管机构的要求,研究、落实应用计量操作风险的技术方法及程序。总行风险条线向各业务条线派驻的风险管理机构/岗位,应组织、指导、督促相应条线识别、评估、监测和控制操作风险,并按照双线报告的要求进行报告。分行风险管理部应组织、指导、督促分行各条线及职能部门识别、评估、监测和控制操作风险,并及时将风险状况按照风险管理报告机制向总行风险管理部进行报告。第十一条【各业务条线和职能部门】总分行各业务条线和职能部门对业务范围内的操作风险管理承担首要责任,各业务条线和职能部门负责人对本职范围
16、内的操作风险管理负全责。各业务条线和职能部门有以下主要职责:(1)在业务条线和职能部门内设立操作风险管理岗位,牵头负责操作风险管理的日常工作;(2)制定并定期重检本部门的业务流程、内部控制制度、关键风险指标和相关业务政策,并确保其与全行操作风险管理政策的一致性;(3)识别、评估、监测及控制本部门的操作风险,并督导下级行对口部门履行操作风险管理职责;(4)及时、准确地按照风险管理报告机制向同级风险管理部门通报操作风险状况。各业务条线和职能部门的操作风险管理岗人员的职责包括:(1)在日常操作风险管理工作上,作为与本级风险管理部门沟通的主要联络人;(2)牵头组织部内及本条线操作风险的识别和评估,并协
17、助部门负责人拟订相应操作风险管理工作计划;(3)对本部门起草/制定的、与操作风险管理相关的制度及实施细则进行审查并加签意见;(4)统筹本部门操作风险监控及报告工作;(5)参加风险管理部举行的操作风险管理会议及培训;(6)其他与操作风险管理有关的职责。各业务条线和职能部门的操作风险管理岗原则上由业务条线和职能部门从具备以下条件中的人员中任命(分支行可适当放宽):(1)不少于五年的银行工作经验,在本部门业务领域任职(含本行及他行)一般不少于两年;(2)熟悉本部门的主要业务(包括主要的产品、业务操作流程、计算机应用系统等) ;(3)对银行操作风险管理尤其是我行的操作风险管理政策、操作风险控制自我评估
18、方法、操作风险报告制度等有一定的了解;(4)管理序列副处长(含)以上或业务序列业务副经理(含)以上职级。各业务条线和职能部门任命或调整操作风险管理岗需及时报本级行风险管理部门备案。风险管理部门根据各部门操作风险管理岗人员的工作完成情况,认为现行人选不适任的,有权向该部门提出人员调整建议,该部门一般应及时进行调整。第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】总分行法律合规、运营管理、信息科技、安全保卫、人力资源等部门,应在管理好本部门操作风险的同时,分别牵头负责总分行法律事务、运营管理、信息系统、安全保卫、人力资源等方面的操作风险管理,并为本行其他部门提供相关信息和支持。第
19、十三条【内部审计部门和纪检监察部门】内部审计部门负责对银行操作风险管理体系的有效性进行审计,并向董事会报告操作风险管理体系的审计情况。纪检监察部门负责对有关案件进行查处和责任认定,并对有关责任人进行问责。触犯刑法的,移送司法机关追究法律责任。第三章 操作风险管理制度第十四条【范畴】本政策所称“操作风险管理制度”主要指单纯与操作风险相关的政策、制度及实施细则,对于涉及操作风险管理的内容但主要针对信用风险和或市场风险的政策、制度及实施细则,原则上按照授信风险管理政策和/或市场风险管理政策的管理程序进行管理。第十五条【制度体系】操作风险管理制度是指在前条所述范畴内规范我行操作风险管理各个方面的政策、
20、制度、规程等规范性文件,它既包括对操作风险管理的流程、技术等进行规范的专门性规定,亦包括为了对各项业务中的操作风险点进行控制而单独编写或包含在有关业务办法、操作规程中的操作风险控制规范。与操作风险层次化管理原则相适应,我行的操作风险管理制度亦进行分层化管理。我行的操作风险管理制度体系分为以下三个层次:(1)操作风险管理政策;(2)操作风险管理基本制度;(3)业务操作风险管理细则。第十六条【操作风险管理政策】操作风险管理政策,即本政策,是我行操作风险管理的纲领性文件,构成我行其他操作风险管理制度制定的依据。本政策经董事会风险管理委员会审批通过后颁布施行,风险管理部应不断研究操作风险的识别、评估、
21、控制、监测的方法和操作风险的管理机制,并对本政策的实施效果进行评估,以便及时向高级管理层和董事会提出本政策的修改建议。第十七条【操作风险管理基本制度】操作风险管理基本制度是针对操作风险管理基本流程的某些环节或特定类型的操作风险制定的综合性制度文件,具体分为两个部分:(1)针对操作风险管理流程的某些环节制定的基本制度,如操作风险自我评估制度、操作风险报告制度、操作风险关键风险指标管理制度等,原则上由风险管理部起草,经会签各相关部门后,报总行资产负债管理委员会审批后发布;(2)针对特定类型的操作风险制定的基本制度,如内部控制制度、法律风险管理制度、会计操作风险管理基本制度、信息科技风险管理基本制度
22、、紧急事故应急处理制度等,由总行各职能部门起草,经会签风险管理部及其他相关部门后,报总行资产负债管理委员会审批后发布。第十八条【内部控制制度】内部控制制度是操作风险管理制度的重要组成部分。 中国银行内部控制管理制度由总行法律合规部牵头制订和重检,各业务条线和职能部门应根据中国银行内部控制制度的规定,制定本部门/条线的内部控制细则。第十九条【紧急事故应急处理制度】紧急事故应急处理制度是操作风险管理制度的重要组成部分,其目的在于保证我行在发生紧急事故时,可及时应变,采取措施,使业务得以继续运作,将影响和损失降到最低。我行设总行突发事件应急处置领导小组(下称“领导小组” ) ,其主要职责是根据我行制
23、定的紧急事故应变方案,在重大紧急事故发生时,指挥执行应变计划;领导全行各单位应急工作的开展及落实,保障我行员工生命安全及公司财产安全。总行领导小组下设办公室,日常事务管理由办公室负责。总行领导小组办公室可根据银行业突发事件的处置需要设定相关的专业小组,如情报信息、新闻报道、专家咨询、法律顾问等小组,其具体职能可由相关职能部门承担。各部门应根据本身的实际情况,制定独立的紧急事故应变方案;并成立本单位的应急工作组,作为本单位突发事件应对工作的领导机构,负责统筹、策划、培训、测试、更新及执行应变方案。各部门应按其主要业务及/或紧急事故的分类及性质,预先设计好向相关业务及职能部门要求协助处理的计划,以
24、保证事发时及时沟通信息,解决问题,必要时通过领导小组协调解决跨部门问题。第二十条【业务(操作风险管理)细则】业务(操作风险管理)细则是指针对具体业务中的操作风险点制定的控制/管理规范。各部门在制定各类业务细则时应充分考虑相关的操作风险管理的要求,并包含相关操作风险管理的内容。同时,各部门应定期对各项业务的操作风险进行识别和评估,并根据风险识别和评估的结果定期对业务(操作风险管理)细则进行重检和修订。业务(操作风险管理)细则由各产品、业务的归口管理部门负责起草并经部门操作风险管理岗人员加签意见后,报本部门主管行领导审批同意后发布(其中不需要发布、仅限部门内部使用的细则,经部门负责人审批通过即可)
25、 。业务(操作风险管理)细则下发前一般应征求分行意见。第二十一条【对分支行业务(操作风险管理)细则的特别规定】各分支行可以根据总行的统一规定结合本行的实际制定有关业务(操作风险管理)细则,分支行业务(操作风险管理)细则不得违背总行的统一规定,确有必要突破的,应报经总行批准。第四章 操作风险管理流程和技术第一节 业务标准操作流程管理第二十二条【基本思路】针对各类活动建立标准化的、可操作的和可追踪的操作流程并定期进行重检和修订是操作风险管理的重要基础。我行应建立针对各项产品、服务以及管理性、支持性活动的标准操作流程,并定期进行重检和修订。标准作业流程一般由文字版业务管理办法或操作规程和附流程图的操
26、作及合规索引文件共同构成,两者配套使用,并以文字版业务管理办法或操作规程为准。第二十三条【职责】文字版业务管理办法或操作规程的起草、会签、审批、发布和修订、解释按照中国银行授信风险管理政策 中国银行市场风险管理政策以及本政策规定的有关职责进行。附流程图的产品/业务操作及合规索引文件的制作和管理近期暂以风险管理部集中制作、业务部门提供内容并全面审核为原则,具体管理制度另行发布。第二节 操作风险识别与评估第二十四条【操作风险识别】操作风险识别是指对我行经营活动和业务流程中可能影响银行经营绩效,可能给银行带来财务或非财务损失的所有内部或外部操作风险因素的识别,以便对其进行控制和管理。操作风险识别是有
27、效管理操作风险的基础环节,我行应当逐步建立和完善操作风险识别制度。各级机构和部门应当按照操作风险管理的相关制度要求,采用适当的工具,定期或不定期地进行操作风险识别。操作风险识别应当保证及时性和充分性,同时建立相应的识别制度和机制:(一)操作风险识别过程应当认真判断和分析银行所面临的内部因素(如银行的结构、战略目标、人力资源、组织机构、产品和服务、新设备和新系统的应用、人员流动等)和外部环境因素(技术进步、法律法规变化、行业变化、市场结构调整、经济周期性波动等) ; (二)各级机构和部门应当确保新产品、活动、流程和系统在实施推广前,对其相关的操作风险进行充分识别;(三)对于操作风险事件损失影响程
28、度较大或发生频率上升较快的产品,应当及时进行操作风险重检;(四)对于外包的产品或活动,应当进行充分的操作风险识别;(五)各业务、产品的重要操作流程在新制订或做重大修订时,应当进行操作风险识别。第二十五条【操作风险评估】操作风险评估是针对识别出的操作风险点进行衡量的过程。风险评估可以通过业务人员自我评估、内部独立评价、外部独立评价等方法来进行,风险评估的目的是提供对全行操作风险及操作风险管理总体状况的判断,并确定操作风险管理关注的重点领域和环节。我行应当通过定性与定量相结合的方法,评估各类操作风险,通过采用关键风险指标、自我评估、外部独立评估和测试以及损失分布模拟等方法,建立操作风险评估体系。第
29、二十六条【操作风险控制自我评估(RCSA) 】操作风险控制自我评估(Risk &control self-assessment) ,指根据操作风险管理的基本原理,按照规定的工作流程,采用一定的方法,由对业务操作风险负直接责任的机构和部门组织对操作风险状况与控制效果进行的内部评价活动,是操作风险管理持续改进的基础工作和关键环节。为构建操作风险管理长效机制,准确识别、评估和控制操作风险,有效降低我行面临的操作风险,我行应建立并推行操作风险控制自我评估制度,并作为操作风险识别评估的基本工具。有关制度办法由总行另行制定下发。第三节 操作风险控制与缓释第二十七条【操作风险应对措施】各单位(总行各部门及各
30、分支行)应根据风险识别及评估的结果对识别出来的操作风险点采取不同的管理方式:(1)接受。对于根据我行的风险偏好认为可以接受的风险,可以接受并持续进行监控;(2)控制。对于不可接受的风险,可以通过改进控制措施等方法来更好的控制风险水平,使之降到我行可接受的风险水平范围内;(3)转移。在条件允许时,可以通过外包或保险将风险转移到银行外部;(4)规避。即对于不可接受的风险且无法更好的控制时,可以采用放弃业务、改变业务模式等方式来规避风险。为保证所识别的操作风险得到妥善的应对,我行应建立操作风险管理行动方案机制,对于通过操作风险控制自我评估、关键风险指标、损失事件收集等工具发现的重要操作风险点或控制薄
31、弱环节,及时制定相应的行动方案,并对方案的落实情况进行跟踪监测。第二十八条【外包】在业务外包时,应确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确,有效防范外包带来的操作及其他风险。第二十九条【保险】我行可根据自身操作风险大小选择购买保险,并将其作为缓释操作风险的一种方法,但不应因此忽视对操作风险的控制措施。第四节 操作风险监测与报告第三十条【操作风险监测】操作风险监测是指通过对各类与操作风险相关的状况及信息的日常监测,对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。我行应逐步开发并使用损失数据库、关键风险指标等工具监测操作风险。第三十一条【关键风险指标】我行应逐步建立操
32、作风险关键风险指标体系,并通过对关键风险指标的持续监测和报告,为操作风险管理提供早期预警。各业务条线和职能部门及风险管理部门均应加强对关键风险指标的研究,鼓励各部门尝试引入关键风险指标对本部门/条线的操作风险进行监测和报告。关键风险指标的选择应遵循以下原则:(1)前瞻性原则,可以提供对操作风险的预测;(2)敏感性原则,能深入分析损失组合的变动情况;(3)可操作性原则,指标应易于理解并能方便获取所需数据;(4)全面性原则,尽量覆盖各主要业务条线及各主要的支持、辅助性活动;(5)重要性原则,在全面性原则下,应突出重要性原则,重点针对主要的风险领域。第三十二条【操作风险报告】操作风险报告指各报告单位
33、根据规定的内容、时间和程序,对操作风险事件和操作风险整体状态进行描述、分析和评价,并按照规定的报告路线进行报送。操作风险报告包括操作风险事件报告和操作风险综合报告。操作风险报告的具体要求见中国银行操作风险报告制度 。第三十三条【操作风险预警】对于重大操作风险事件应及时向总分行风险预警委员会报告,具体规定另行下发。第三十四条【操作风险事件举报】我行每一个单位、每一位员工在各自的业务活动中都必须全面贯彻“操作风险管理人人有责”的原则,通过全行高度警觉的操作风险意识和审慎的业务操作来最大限度地控制和减轻操作风险。同时任何单位和员工在认为有必要时均可直接向总行风险管理部门报告操作风险管理方面的异常情况
34、。各单位和员工亦可通过其他渠道举报与操作风险有关的违规、违纪或其他重要信息,包括但不限于信访渠道、高管接待等。接到投诉或举报的部门、人员应及时进行处理。第五节 操作风险管理系统第三十五条【操作风险管理系统】建设操作风险管理的 IT 系统是加强操作风险管理、提高操作风险管理水平的重要途径。我行应逐步推进操作风险管理的 IT 系统建设,构建与我行业务规模、业务发展程度相适应的操作风险管理 IT 系统。我行的操作风险管理系统应以具备以下全部功能为努力的目标,并根据具体条件逐步建立和完善:(1)支持操作风险控制自我评估的在线操作,及评估结果的在线汇总、分析;(2)与我行数据仓库系统及相关业务系统实现数
35、据交换,支持对关键风险指标的实时监控;(3)满足根据监管机构要求进行操作风险计量及资本计提的需求;(4)构建操作风险数据库及操作风险计量模型,支持对操作风险精细化管理的需求。第六节 操作风险资本管理第三十六条【监管资本】我行应当按照银监会关于商业银行资本充足率管理的要求,为所承担的操作风险提取充足的资本,具体计提方法按照银监会颁布商业银行操作风险监管资本计量指引执行。第三十七条【经济资本】根据我行经济资本管理体系的建设目标,我行的操作风险资本管理应面向高级计量法进行努力,在近期以标准法作为过渡,力争通过资本管理和资本约束,以实现经营目标、满足股东回报要求并促进长期价值创造为主要任务,坚持和完善
36、经济增加值、经济资本两个核心机制,追求风险和收益的平衡。第七节 配合监管第三十八条【政策程序报备】我行应按照银行业监管机构的要求及时向银监会报备操作风险管理政策和程序。在报备前,应履行必要的审批程序以保证在满足监管机构要求的同时,有效保护我行的知识产权及商业秘密。第三十九条【提交报告】我行应按照银行业监管机构的要求向银监会或其派出机构报送与操作风险有关的报告。并及时向银监会或其派出机构报告下列重大操作风险事件:(一)我行机构或运钞车被抢劫、我行现金被盗窃 30 万元以上的案件,我行被诈骗或其他涉案金额 1000 万元以上的案件;(二)造成我行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉
37、及两个或两个以上省(自治区、直辖市)范围内中断 3 小时以上,在涉及一个省(自治区、直辖市)范围内中断 6 小时以上,严重影响正常工作开展的事件;(三)盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;(四)高管人员严重违规;(五)发生不可抗力导致严重损失,造成直接经济损失 1000 万元以上的事故、自然灾害;(六)其他涉及损失金额可能超过我行资本净额 1%的操作风险事件;(七)其他银监会规定需要报告的重大事件。第四十条【配合检查】我行应积极配合银监会及其派出机构对我行及各分支机构有关操作风险的政策、程序和做法进行的检查评估。第四十一条【整改】对于银监会在监管中发现的有
38、关操作风险管理的问题,我行应当在规定的时限内,提交整改方案并采取整改措施。第五章 操作风险管理文化第四十二条【操作风险管理文化】我行操作风险管理文化的基本内容是:(1)银行是管理风险的机构,通过对风险的有效管理创造价值,通过合理地承受风险来获取与风险相匹配的回报。(2)主动合规,合规零容忍。(3)银行最大的风险是缺乏风险意识和责任意识。(4)风险无处不在,风险管理人人有责。(5)风险的早期预警有利于减少损失。第四十三条【传达】我行必须运用足够的资源及利用内部各种沟通渠道,将操作风险的概念、政策及管理制度传达到各级人员,树立良好的操作风险管理创造价值的理念,建立良好的风险管理环境,提升风险管理文
39、化。第四十四条【业务培训】员工业务培训不充分、对业务操作流程不熟悉是导致操作风险损失事件发生的重要原因之一,我行应通过对员工的持续培训,保证全体员工熟悉、了解本人所从事的工作的业务要求,以有效降低因人员不合格所造成的操作风险暴露。第四十五条【操作风险管理人员培训】风险管理部门和培训部门每年应制定操作风险管理人员培训计划,对风险管理部门操作风险管理人员及各单位的专兼职操作风险管理人员进行充分的培训,内容应该包括操作风险管理理论、操作风险管理技术、我行的操作风险管理政策及程序等。第四十六条【全员操作风险管理培训】为提升操作风险管理文化及员工操作风险管理水平,风险管理部门、培训部门及各相关单位每年应
40、制订操作风险管理培训计划对全行员工进行相应的操作风险管理培训。培训计划应结合风险管理部门、培训部门及部门负责人意见。第四十七条【操作风险管理考核及奖惩】我行建立并落实操作风险考核及奖惩机制,通过公开、公平、公正的考核及奖惩机制,鼓励积极推动操作风险管理并取得良好的管理效果的单位和个人,并对怠于推动操作风险管理或在操作风险管理工作失职的单位和个人进行惩罚:(1)总行风险管理部门负责牵头在全行绩效考核的总体框架下制定对总行各部门及各分支行的操作风险管理的考核方案,并逐步通过经济资本管理、关键风险指标等管理工具进一步完善对操作风险管理的考核。(2)对于操作风险损失事件个案中负有责任的个人严格按照我行
41、全员问责制度进行问责,并可通过技术培训、调整岗位、调整授权等方式,有效降低该岗位的操作风险;(3)对各单位的操作风险管理状况进行全面考核,并根据考核结果进行奖惩,考核指标应综合操作风险管控体系建设情况及重大操作风险损失事件的发生情况等指标,对于考核结果较差的机构,必要时还要通过调整授权权限、限制部分业务的开展等手段督促其提高操作风险管理水平。第六章 附则第四十八条【重检】本政策由风险管理部门每年进行检讨及提出修订建议,并向高级管理层报告检讨结果。任何重大修订必须由董事会风险管理委员会通过。第四十九条【解释】本政策由总行负责解释。第五十条【实施】本政策自颁布之日起实施。自本政策实施之日起原中国银
42、行操作风险管理政策(2008 版) 自动失效。附件:名词解释一、操作风险来源根据本政策关于操作风险的定义,操作风险来源主要包括四个方面:(一)内部程序因银行业务流程、制度管理存在不当或偏差而没有及时完善,导致操作或执行困难,甚至给蓄意不法者留下漏洞造成损失的风险。(二)人员因素人员风险源于主观和客观因素,前者为银行员工不遵守职业道德,违法、违规或违章操作,单独或参与骗取、盗用银行资产和客户资产,或工作疏忽等行为导致损失的风险;后者为人员数量配备不足或员工的自身能力与岗位对人员素质要求不符而导致损失的风险。(三)系统因素IT 技术系统、机具设备因技术故障、设备失灵造成系统服务中断或错误服务,以及
43、由于系统数据风险影响业务正常运行而导致损失的风险。(四)外部事件由于外部主观或客观的破坏性因素导致损失的风险。外部事件既包括外部人员的主观行为,又包括外部环境造成的客观事件。 二、固有风险与剩余风险固有风险指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的操作风险。剩余风险指在现有的控制活动或其他风险减轻措施所不能完全清除的操作风险。三、可能性和影响性可能性和影响性是描述和测度操作风险的两个最为常见的参数。其中可能性用于对事件发生概率或频率的定性或定量描述,通常以频率(以规定的时间内发生次数来表达事件发生率的量度)或概率(以特定事件或结果与可能发生事件或结果的总数之比来
44、量度的特定事件或结果的可能性)表示。影响性是以定量或定性的方式表示的一个事件的结果。四、操作风险应对措施操作风险应对措施是指对于确定的操作风险点,根据风险发生的可能性及影响程度并结合银行的风险偏好、风险控制能力等因素所确定的应对风险的方案。一般而言,根据风险发生的可能性和影响性,可以分别采取以下四种不同的应对措施:对于高频(发生可能性,下同)高危(一旦发生的影响程度,下同)风险采用规避风险的方式;对于高频低危的风险采用控制风险(降低发生可能性)的方式;对于低频高危的风险采用转移风险(如保险、外包、计提准备等) ;对于低频低危的风险采用接受风险(暂不采取具体措施,加强跟踪监控)的方式。但是上述原
45、则并非绝对的,我行应根据业务的战略重要性、风险容忍度、风险管理技术能力等因素综合判断,选择对于特定操作风险最为合理的应对措施。五、关键风险指标(Key Risk Indicator,KRI)关键风险指标是指对业务活动和控制环境进行日常监控的指标体系。关键风险指标能够反映系统、过程、产品、人员等信息的变化情况。关键风险指标对于风险预警、日常监控具有重要作用。关键风险指标必须具有风险敏感性,能够准确反映风险的变动情况。关键风险指标应当根据业务运行中潜在的风险因素、内外部损失事件的记录以及对操作风险充分识别与评估的结果,由经验丰富的业务经理和风险经理共同制定。六、风险映射操作风险管理工具之一。即在梳
46、理标准化操作流程和进行全面的风险识别、评估的基础上,将特定的风险点映射到具体的操作环节上,在特定风险点(包含风险类型、风险等级、防控措施、责任主体等要素)与操作环节之间建立映射关系,以便于对操作风险进行针对性的管理。七、操作风险控制自我评估(RCSA)指根据操作风险管理的基本原理,按照规定的工作流程,采用一定的方法,由对业务操作风险负直接责任的机构和部门组织对操作风险状况与控制效果进行的内部评价活动,是操作风险管理持续改进的基础工作和关键环节。我行参考国际领先银行的做法,通过前期试点和全行范围内的逐步推广,初步构建起我行的操作风险控制自我评估体系,该体系有以下特点:1、统一流程、分层实施。即在
47、总行统一规划下,全行采用统一的评估流程、统一的工作语言、统一的工具模版、统一的评估标准,在总分行层面由各级业务单位分别组织实施。2、风险评估、控制评估和控制策划的同步进行。即既对固有风险进行评估,又对现有控制措施进行评价,在此基础上再对控制缺乏或控制不足的环节提出控制改进建议,形成比较完整的封闭循环。3、风险识别、评估与风险映射方法的有机结合。即综合运用风险识别评估技术和风险映射技术,从标准作业流程出发开展风险识别、评估,最后又回到标准作业流程,使得风险的识别、评估紧密围绕作业流程进行。八、操作风险损失(事件)数据库损失(事件)数据库是对历史损失数据的全面信息进行有条理地收集和整理的工具,包括
48、内部损失数据库和外部损失数据库。内部损失数据库记录银行发生的各种操作风险损失事件。内部损失数据库从损失事件名称、发生地、发生发现时间、损失事件类型、产品线、风险点、风险成因、损失金额、损失回收情况等多个维度对损失数据进行记录。外部损失数据库记录其他金融机构的重大损失事件信息。至少包括损失事件发生时间,实际损失金额数据、发生损失事件的业务范围信息、损失事件的起因和情况以及其他有助于评估其他银行损失事件的相关性信息。损失(事件)数据库对于操作风险管理的价值主要体现在以下几个方面:其一,作为知识库,可以帮助发现操作风险管理的重点环节,并且可以作为员工培训的素材;其二,可以与关键风险指标等工具结合,实
49、现对操作风险的事先预警和防范;其三,作为使用高级计量法进行操作风险在险值(VaR)等计算的数据基础。九、风险地图(Risk Map)风险地图也叫风险热图,是一种用图形技术表示识别出的风险信息,直观地展现风险的发展趋势,方便风险管理者考虑采取何种风险控制措施的操作风险管理工具。在操作风险管理中,可以使用风险地图,将业务单位、机构职能部门或程序与风险类别之间建立起的对应关系。从而直观地暴露出操作风险管理弱点所在,并且有助于突出后续管理行动的重点。 最常用的操作风险地图有两种:(1)可能性-影响程度分布图即分别以操作风险发生的可能性和事件发生后的影响程度为坐标轴,构建二维矩阵,反映风险点的分布情况。(2)类型-产品线操作风险状况图即分别以操作风险类型和产品线为坐标轴,构建二维矩阵,反映矩阵中各个区域的风险状况。如按照 Basel II 规定的 7 个操作风险大类和 8 条产品线,可以将矩阵划分为 56 个区域,并可依根据自我评估结果、风险指标监测结果等对区域风险程度进行标注,以向高级管理层或其他人员展现全行操作风险的总体情况。
