XX行操作风险管理办法.doc

1、XX 银 行 制 度操 作 风 险 管 理 办 法文 件 编 号 ： XXXXXXXXX-XXXX编 制 部 门 ： 合 规 管 理 部审 核 ：批 准 ：版 次 号 ： A/0生 效 日 期 ： 年 月 日版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 2 页 共 20 页目 录修 改 记 录 3第 一 章 总 则 .4第 二 章 组 织 与 职 责 .5第 三 章 操 作 风 险 的 识 别 与 评 估 .9第 四 章 操 作 风 险 事 件 的 监 测 .11第 五 章 操 作 风 险 的 控 制 .13第 六 章 操 作 风 险 事 件 的 报 告 .15第 七 章 外

2、部 机 构 操 作 风 险 的 管 理 17第 八 章 与 监 管 机 构 的 联 络 18第 九 章 考 核 与 奖 惩 19第 十 章 附 则 .20版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 3 页 共 20 页修 改 记 录版 次 号 生 效 日 期 修 改 原 因A/0 制 度 文 件 A 版 ，首 次 发 布版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 4 页 共 20 页一一一 总 则一一一 为规 范和加强 XX 银行（以下简称“本行” ）的操作风险管理工作，依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行操作风险管理指引以

3、及其他有关法律法规，制定本办法。一一一 本 办法所称操作风险是指由不完善或有问题的内部程序、员 工和信息科技系统，以及外部事件所造成损失的风险。本办法所指操作风险包括法律风险，但不包括策略风险和声誉风险。一一一 本行 进行操作风险管理要遵循以下原则：一一一 有效性原则：操作风险管理制度应符合董事会战略安排要求，按照点面结合的管理模式，确保得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问题应当能够得到及时反馈和纠正；一一一 全面性原则：操作风险的管理要渗透到各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员工参与，任何决策或操作均应当有案可查；一一一 审

4、慎性原则：操作风险管理要以防范风险、审慎经营为出发点，各项经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“ 内控优先” 的原则 ，建立和完善相关规章制度和科学流程设计；版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 5 页 共 20 页一一一 成本效益原则：操作风险管理要作好重大风险点的排查和识别，突出重点，充分发挥各部门及广大职员的工作积极性，尽量降低操作风险管理成本，保证以合理的控制成本达到最佳的控制效果。一一一 本行应当选择适当的方法对操作风险进行管理。具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和

5、新业务的风险评估、内部控制的测试和审查以及操作风险的报告。一一一 本办法适用于本行各支行、各部门所有人员。一一一 组 织 与 职 责一一一 本行操作 风险的组织架构包括董事会、行长/高级管理层、各 职能部门、各分支机构。一一一 本行董事会是本行操作风险管理的最高管理机构，承担监控操作风险管理有效性的最终责任。董事会授权下设的风险管理与关联交易控制委员会履行其操作风险管理的职责，具体职责包括：一一一 制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；一一一 审批及检查高级管理层、各有关部门和分支机构有关操作风险的职责、权限及报告制度，确保全行的操作风险管理体系的有效性，将本行从事

6、的各项业务面临的操作风险控制在可以承受的范围版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 6 页 共 20 页内；一一一 定期审阅合规管理部、风险管理部等操作风险相关部门提交的操作风险报告，充分了解本行操作风险管理的总体情况，评价重大操作风险事件处理的有效性，监控和评价日常操作风险管理的有效性；一一一 确保本行各职能部门、分支机构采取必要的措施有效地识别、 评估、监测和控制/ 缓释操作风险；一一一 确保本行操作风险管理体系接受内审部门的有效审查与监督；一一一 制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系建设；一一一 审定与操作风险管理相关的其他重大事项。一一一 行

7、长/高级管理层的主要职责包括：一一一 根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的相关制度，并定期向董事会提交操作风险总体情况的报告；一一一 全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；一一一 明确界定本行各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责；一一一 为本行操作风险管理配备适当的资源，包括但不限于提版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 7 页 共 20 页供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理

8、人员履行职务所必需的权限等；一一一 及时对操作风险管理体系进行检查和修订，以便有效地应对规章制度、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件；一一一 协调处理各部门和分支机构有关操作风险管理的重大事项。一一一 总 行风险管理部职责主要包括：一一一 在全面风险管理框架下，负责全行操作风险管理体系的建设；一一一 协助各部门建立与其业务要求相适应的操作风险识别、评估、 监测、控制及缓释的完整体系。一一一 总行合规管理部的职责主要包括：一一一 根据本行操作风险管理政策和操作风险管理体系，确定操作风险管理的办理办法和操作流程；一一一 建立并组织实施操作风险识别

9、、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；一一一 根据 监管部门 要求及我行业务特点，负责研究、开发和维护操作风险度量、分析和报告的方法、模型、工具。一一一 定期检查并分析业务部门和其他部门操作风险的管理情况，确保操作风险制度和措施得到贯彻落实；版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 8 页 共 20 页一一一 负责组织全行操作风险管理方面的培训，提高全行操作风险管理水平；一一一 负责就本行操作风险管理事务与监管机构联络。一一一一 本行各相关部门、各分支机构对操作风险的管理情况负直接责任。主要职责包括：一一一 指定专人负责操作风险管理，贯彻落实

10、操作风险管理的规章制度；一一一 根据本行统一的操作风险管理评估方法，识别、评估本部门、本分支机构的操作风险，建立持续、有效的操作风险监测、控制及报告程序，并组织实施；一一一 在制定本部门、本分支机构业务流程时，充分考虑操作风险管理和内部控制的要求，应保证操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；一一一 监测关键风险指标，定期向总行合规管理部通报本部门、本分支机构操作风险管理的总体状况，并及时通报重大操作风险事件。一一一一 各部门、分支机构在管理好本身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门、分支机构管理操作风险提供相关

11、资源和支持。一一一一 稽核审计部门对操作风险的管理情况进行检查监督。其版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 9 页 共 20 页具体职责包括：一一一 定期检查各部门、分支机构操作风险管理政策的落实和防范措施的执行情况；一一一 定期对合规管理部、风险管理部关于操作风险管理的履行情况进行监督；一一一 对操作风险管理政策、程序和具体的操作规程及其运作情况进行独立评估，并将评估结果报告董事会和高级管理层。一一一 操 作 风 险 的 识 别 与 评 估一一一一 本行操作风险识别评估要严格按照财政部等六部委制定的企业内部控制基本规范、银监会商业银行内部控制指引等规章制度为基本要求，

12、并结合本行工作实际，有针对性、重点明确地开展。一一一一 合规管理部应制定有效操作风险识别评估程序，主动识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在的操作风险作出充分评估。一一一一 风险管理部应建立适用全行的操作风险基本控制标准，并应相关部门的要求提供相关技术支持。一一一一 本行各部门应在合规管理部的组织下，按年定期对相关产品、 业务、流程及系统内的操作风险进行识别评估。识别评估方法版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 10 页 共 20 页主要采用流程分析法，根据各项工作的开展流程、历史运营情况、同业案例分析、经验判断、损失

13、额度及影响等方法进行综合分析。一一一一 出现以下情况时，各部门和分支机构应立即向合规管理部提出操作风险控制评估计划：一一一 新产品和新业务开发；一一一 新设备和新系统应用；一一一 IT 系统的重大变更；一一一 操作风险管理政策修改；一一一 重大事故、险情、案件、隐患发生时；一一一 业务流程发生较大变化时；一一一 组织机构变革；一一一 重要员工流动；一一一 法律法规、监管要求发生变化；一一一 外部金融业等相关行业发生新的操作风险损失事件，本行可能面临类似的风险时；一一一一 岗位与人员配置不符；一一一一 其他可能引发操作风险的情况。一一一一 各部 门、分支机构要针对对实现工作目标有负面影响的各类显

14、性及隐性因素制订相应的控制措施。一一一一 各部 门、分支机构应及时向合规管理部提交操作风险的识别与评估结果。合规管理部应及时对操作风险识别评估结果进行汇版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 11 页 共 20 页总，并报告高级管理层。一一一 操 作 风 险 事 件 的 监 测一一一一一 各部 门、分支机构对操作风险损失事件的监测应遵循以下原则：一一一重要性原则：在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认；一一一及时性原则：应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据

15、不准确；一一一统一性原则：操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比；一一一谨慎性原则：在对操作风险损失进行确认时，应保持必要的谨慎， 应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。一一一一一 本行各部 门、分支机构应定期监测操作风险状况和重大损失情况，并向合规管理部门报告。一一一一一 各部 门、分支机构要根据自身业务特点，建立相应的操作风险预警机制并报备合规管理部，针对潜在损失不断增大的风险，及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 1

16、2 页 共 20 页一一一一一 总行合规管理部应根据本行业务发展要求，针对操作风险损失情况和外部信息逐步补充完善操作风险关键监测指标。一一一一一 总 行合规管理部会同风险管理部和其他部门建立并逐步完善操作风险管理系统，系统性地收集、整理、跟踪和分析与操作风险相关的数据和事件信息。各部门、各分支机构应针对产品、业务、流程及系统内产生的操作风险的损失数据要进行收集，并报送合规管理部审核后进入操作风险损失数据库，定期根据损失数据进行风险评估。一一一一一 操作 风险损失事件统计内容应至少包含：损失事件发生的时间、 发现的时间及损失确认时间、业务名称、损失事件类型、损失形态、涉及金额、损失金额、非财务影

17、响、与信用风险和市场风险的交叉关系等。一一一一一 操作 风险损失事件类型包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理等。一一一一一 操作 风险损失形态包括：法律成本，监管罚没，资产损失，对外赔偿，追索失败，账面减值，其他损失等。一一一一一 本行 应根据操作风险损失事件统计工作的重要性原则，合理确定操作风险损失事件统计的金额起点。对设定金额起点以下的操作风险损失事件和未发生财务损失的操作风险事件也可进行记录和积累。版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 13 页 共 20 页一一一一

18、 在统计操作风险损失事件时，应合理区分操作风险损失和其他风险损失界限。对于跨地区、跨业务种类的操作风险损失事件，合规管理部应确定损失统计原则，避免重复统计。一一一 操 作 风 险 的 控 制一一一一一 对识别评 估出的操作风险点，合规管理部应组织相关部门和分支机构提出相应的控制措施，其控制措施种类包括但不限于以下内容：一一一高层审核：上级管理者对照预算、预测、过往业绩和竞争者的情况对相关业务或经营情况进行审核；一一一直接的职能或活动管理：如审核业绩报告、新业务数据，关注合规问题，调节资金头寸等；一一一信息处理：通过一系列的核对与批准保证交易的准确性、完整性和已授权；一一一实物控制：建立财产日常

19、管理制度和定期清查制度，采取财产记录、 实物保管、定期盘点、账实核对等措施，确保财产安全；一一一业绩指标分析：综合一系列的指标，通过因素分析、对比分析、趋势分析等方法，发现存在的问题，及时查明原因并加以改进；一一一不相容职责分离：全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 14 页 共 20 页互制约的工作机制；一一一绩效考评控制、预算控制、信息系统控制和其他。一一一一一 本行 应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部控制措施包括但不限于：一一一对各项业务活动制

20、订严格规范的流程管理，各部门、各岗位间划清业务边界；一一一部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；一一一密切监测遵守指定风险限额或权限的情况；一一一对接触和使用银行资产的记录进行安全监控；一一一识别与合理预期收益不符及存在隐患的业务或产品；一一一定期对交易和账户进行复核和对账；一一一主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；一一一员工具有与其从事业务相适应的业务能力并接受相关培训；一一一重要岗位或敏感环节员工八小时内外行为规范；一一一建立基层员工署名揭发违法违规问题的激励和保护制度；一一一一 查案、破案与处分适时、到位的双重考核制度；一一一一 案件查

21、处和相应的信息披露制度；版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 15 页 共 20 页一一一一 对基层操作风险管控奖惩兼顾的激励约束机制。一一一一一 合 规管理部门应会同信息科技部门、安全保卫部门制定与本行业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。一一一一一 风险 管理部门可以会同计划财务、合规管理部门研究，将购买保险以及与第三方签订合同作为缓释操作风险的一种方法。使用购买保险等方式缓释操作风险时，应当制定相关的书面政策和程序。一一

22、一 操 作 风 险 事 件 的 报 告一一一一一 本行建立有效的操作风险报告机制，合规管理部、风险管理部和其他相关部门人员发现操作风险问题，均应有畅通的报告渠道和有效的纠正措施。操作风险报告应满足以下要求：一一一 真实 性：客观、真 实、准确地反 应操作 风险状况；一一一 及时 性：及时分析报告重大操作风险事件；一一一 准确性：提出准确有效的操作风险控制措施，应讲究实效、切实可行；一一一 保密性：操作 风险报告要遵守有关保密管理及信息披露版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 16 页 共 20 页规定。一一一一一 操作 风险事件报告的内容包括但不限于发生的时间、发现的时

23、间及损失确认的时间、业务名称、损失事件类型、业务金额、损失金额、涉案人员、对操作风险事件的描述和非财务影响等。一一一一一 操作 风险事件实行定期、不定期相结合的报告制度。对日常操作风险监测报告实行定期报告；当发生重大操作风险事件时，要立即报告。一一一一一 本行建立有效的操作风险事件汇报路线，具体路线为：一一一各部门、分支机构要按季向总行合规管理部报送操作风险状况分析报告；一一一发生重大操作风险事件时，各部门、分支机构要在发现当日立即向总行合规管理部汇报，并在职权范围内采取相应措施控制操作风险，防止风险经济或非经济损失的扩大和蔓延；一一一针对重大操作风险事件要建立事件后续报告制度；一一一总行合规

24、管理部向分管行长或风险管理与关联交易控制委员会报告，同时抄送总行风险管理部；一一一审计稽核部门对操作风险管理工作进行监控检查的结果向董事会和高级管理层报告，同时抄送总行合规管理部和风险管理部；一一一发生中国银监会规定的重大操作风险事项时，各部门和分支机构应立即上报总行合规管理部，由总行合规管理部向总行分管版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 17 页 共 20 页行长汇报。一一一 外 部 机 构 操 作 风 险 的 管 理一一一一一 各部 门、分支机构在将法律、合规、信息科技、安全保卫、人力资源等业务外包时，应当充分考虑本行面临的风险，制定有关的风险管理政策，确保业务外

25、包有严谨的合同和服务协议、各方的责任义务规定明确。一一一一 各部门、分支机构在从事授信、金融市场业务等活动时，应当对交易对象的操作风险管理情况进行尽职调查。对交易对象操作风险管理的尽职调查内容包括但不限于：一一一 适当的操作 风险管理组织架构、权限和责任;一一一 操作 风险的识别、评估、 监测和控制 /缓释程序;一一一 操作 风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求;一一一 应针对现 有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及 时评估操作风险的各项要求。一一一一一 对 交易对象的操作风险进行尽职调查时，应通过与交易对

26、象高级管理层、各部门及其员工交谈，查阅董事会、总经理办公会等会议记录、交易对象各项业务及管理规章制度等方法，分析评价交易版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 18 页 共 20 页对象是否有积极的操作风险控制环境、完备的操作风险控制措施、畅通的操作风险信息沟通、有效的操作风险监控体系。一一一一一 对 交易对象的操作风险进行尽职调查时，还应重点考察其过往操作风险事件及其应对情况。一一一 与 监 管 机 构 的 联 络一一一一一 合 规管理部是本行有关操作风险管理与监管机构联络的归口部门，负责向监管机构报送、接收相关信息，跟踪、评估、考核监管意见和监管要求的落实情况，以及行

27、领导交办的其他事项工作。一一一一一 本行的操作风险管理政策和程序应根据银监会或其派出机构的要求备案并报送与操作风险有关的报告。一一一一一 本行在委托社会中介机构对操作风险管理体系进行审计后， 应向当地银监局提交外部审计报告。一一一一一 当 发生下列重大操作风险事件时，合规管理部应及时向当地银监局报告：一一一 抢劫本行或运钞车的案件，盗窃现金 30 万元以上的案件，诈骗本行的案件或其他涉案金额 1000 万元以上的案件；一一一 造成本行重要数据、账册、凭 证严 重损毁、丢失，造成在涉及两个或两个以上支行范围内中断业务 3 小时以上，在涉及一个支行范围内中断业务 6 小时以上，严重影响正常工作开展

28、的事件；版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 19 页 共 20 页一一一 盗窃、出卖、泄漏或丢失涉密资料，可能影响金融 稳定，造成经济秩序混乱的事件；一一一 高级 管理人员严重违规，业已证实的；一一一 发生不可抗力导致严重损失，造成直接经济损失 1000 万元以上的事故、自然灾害；一一一 其他涉及 损失金额可能超过本行资本净额 1的操作风险事件；一一一 银监 会及其派出机构规定其他需要报告的重大事件。一一一 考 核 与 奖 惩一一一一一 操作 风险管理的考核应与绩效考核相挂钩，建立有效的内部考核评价制度。一一一一一 总 行合规管理部会同计划财务部、风险管理部等建立起定

29、期考核评价各部门、分支机构管理操作风险的能力和效果，并依据考核结果对相关人员施行奖惩。一一一一一 对严 格履行操作风险管理职责，特别是及时报告风险、提出切实有效的应对措施，对防范和化解操作风险作出重大贡献的部门和个人，给予适当奖励。在必要时，应当对署名揭发违法违规问题的基层员工给予适当的保护。一一一一 对于未充分有效履行操作风险管理职责，特别是隐瞒不版 次 ： A/0编 号 ：操 作 风 险 管 理 办 法第 20 页 共 20 页报、歪曲风险事实、遗漏或延误操作风险报告、泄露操作风险信息，导致本行遭受经济损失或形成不良影响的有关责任人员，将根据相关制度予以处理。一一一 附 则一一一一一 本 办法由总行合规管理部负责制定、解释和修改。一一一一一 本 办法自下发之日起施行。