1、银行操作风险管理政策目 录第一章 总则 .4第一条 【宗旨】 .4第二条【定义】 .4第三条【操作风险的主要类别】 .4第四条【适用范围】 .5第五条【操作风险管理的工作目标】 .5第二章 操作风险管理的组织框架与职责分工 .6第六条【架构原则】 .6第七条【董事会及其风险管理委员会】 .6第八条【高级管理层】 .7第九条【分行管理层】 .8第十条【风险管理部】 .8第十一条【各业务条线和职能部门】 .9第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】 .10第十三条【内部审计部门和纪检监察部门】 .10第三章 操作风险管理制度 .11第十四条【范畴】 .11第十五条【制度体
2、系】 .11第十六条【操作风险管理政策】 .11第十七条【操作风险管理基本制度】 .12第十八条【内部控制制度】 .12第十九条【紧急事故应急处理制度】 .12第二十条【业务(操作风险管理)细则】 .13第二十一条【对分支行业务(操作风险管理)细则的特别规定】 .13第四章 操作风险管理流程和技术 .13第一节 业务标准操作流程管理 .13第二十二条【基本思路】 .13第二十三条【职责】 .14第二节 操作风险识别与评估 .14第二十四条【操作风险识别】 .14第二十五条【操作风险评估】 .15第二十六条【操作风险控制自我评估(RCSA) 】 .15第三节 操作风险控制与缓释 .15第二十七条
3、【操作风险应对措施】 .15第二十八条【外包】 .16第二十九条【保险】 .16第四节 操作风险监测与报告 .16第三十条【操作风险监测】 .16第三十一条【关键风险指标】 .16第三十二条【操作风险报告】 .17第三十三条【操作风险预警】 .17第三十四条【操作风险事件举报】 .17第五节 操作风险管理系统 .18第三十五条【操作风险管理系统】 .18第六节 操作风险资本管理 .18第三十六条【监管资本】 .18第三十七条【经济资本】 .18第七节 配合监管 .19第三十八条【政策程序报备】 .19第三十九条【提交报告】 .19第四十条【配合检查】 .19第四十一条【整改】 .19第五章 操
4、作风险管理文化 .20第四十二条【操作风险管理文化】 .20第四十三条【传达】 .20第四十四条【业务培训】 .20第四十五条【操作风险管理人员培训】 .20第四十六条【全员操作风险管理培训】 .21第四十七条【操作风险管理考核及奖惩】 .21第六章 附则 .21第四十八条【重检】 .21第四十九条【解释】 .21第五十条【实施】 .22附件:名词解释 .23一、操作风险来源 .23二、固有风险与剩余风险 .23三、可能性和影响性 .24四、操作风险应对措施 .24五、关键风险指标(Key Risk Indicator,KRI) .24六、风险映射 .25七、操作风险控制自我评估(RCSA)
5、.25八、操作风险损失(事件)数据库 .26九、风险地图(Risk Map) .26第一章 总则第一条 【宗旨】根据董事会确定的发展战略和风险管理总目标,以及中国银行业监督管理委员会商业银行操作风险管理指引 ,参考国际银行业操作风险管理的经验,特制定本操作风险管理政策。制定操作风险管理政策的主要目的是建立科学、完善的操作风险管理体系,指导和规范我行的各类业务活动和操作风险管理工作,实现对操作风险及时、全面、统一、有效的监控,将其控制在可承受的范围内,使我行获取经风险调整后的最大经营回报。第二条【定义】操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。本定义包括法律
6、风险,但不包括策略风险和声誉风险。第三条【操作风险的主要类别】我行所面对的主要操作风险,包括但不限于以下几类:(1)内部欺诈:指因至少涉及我行内部一名员工的故意欺诈、盗用我行资产或违反法律/条例/银行政策等而造成损失的风险。(2)外界诈骗:指因外界人员故意欺诈、盗用我行资产或违反法律而造成损失的风险。(3)雇佣事项及工作场所安全性:因违反雇佣、健康、安全的法例或协议而造成损失,以及因支付个人伤亡索偿等行为而造成损失的风险。(4)客户、产品及业务方式:因疏忽或非故意差错而未按专业守则对待指定客户(包括信托及恰当性方面的要求) 、或因产品的性质/设计上的问题等造成损失的风险。(5)有形资产的损坏:
7、因自然灾害或其它事故导致实物资产损坏或人员伤亡造成损失的风险。(6)业务中断及系统故障:因业务中断或系统故障而造成损失的风险。(7)操作流程管理: 因在我行操作流程中由于操作差错或流程设计、维护失误,或由于不充分或失败的内部工作流程所造成的风险。第四条【适用范围】本政策适用于中国银行全辖。第五条【操作风险管理的工作目标】我行操作风险管理的基本目标是在坚持依法合规经营、加强内部控制的基础上,进一步完善操作风险衡量方法、管理工具及政策体系,减少或缓解操作风险损失,将操作风险控制在适当水平,为业务发展提供健康的内部运营环境。具体目标包括:(1)充分识别和持续监测我行面临的各类操作风险,清晰了解操作风
8、险管理的状况及存在的问题;(2)在合理评估的基础上,合理应对各类操作风险,保证风险与收益的平衡;(3)建立操作风险关键风险指标体系,实现对操作风险的分析、预警,事先风险控制的前移;(4)通过建立和完善操作风险损失事件数据库及操作风险管理计量模型来实现操作风险管理能力的提升,并通过更为精确的资本计量来有效节约资本;(5)降低突发性事件的冲击,保证业务正常和持续开展。第二章 操作风险管理的组织框架与职责分工第六条【架构原则】操作风险管理体系是我行全面风险管理体系的组成部分。根据监管要求和本行全面风险管理体系建设的总体规划,对于操作风险管理,我行采取在董事会确定的操作风险管理政策指导下和高级管理层领
9、导下的、三道防线为基础的、层次化的操作风险管理架构: (一)董事会为操作风险管理的最终负责人, 高级管理层领导全行的操作风险管理工作,分(支)行管理层负责本机构范围内的操作风险管理,分行行长是操作风险管理的第一责任人;(二)总分行各业务部门、职能部门作为防范操作风险的第一道防线,是本部门/条线操作风险的直接承担者和管理者,负有对操作风险进行管理的第一责任;(三)总分行风险管理部(含风险条线派驻各业务条线的机构) 、法律合规部等作为防范操作风险的第二道防线,负责操作风险管理体系的构建和相关操作风险管理工作的统筹、支持和督促工作;(四)内部审计部门和纪检监察部门作为防范操作风险的第三道防线,其中内
10、部审计部门负责对操作风险管理体系的运行情况进行审计,并依照规定揭示和报告审计过程中发现的问题。纪检监察部门对有关案件进行查处和责任认定,并对有关责任人进行问责。第七条【董事会及其风险管理委员会】董事会应将操作风险作为我行面对的一项主要风险加以管理,对操作风险管理体系实施有效监控,并承担操作风险管理的最终责任。主要职责包括:(1)制定与整体战略目标相一致、适用于全行的操作风险管理战略,并确定本行可以承受的操作风险水平(风险偏好) ;(2)批准并定期审核全行的操作风险管理政策,确定有效的操作风险管理组织架构,架构中应涵盖清晰的职责划分以及明确的报告流程;(3)定期审阅高级管理层提交的操作风险报告,
11、了解本行操作风险管理的总体状况及重大操作风险事件,监控和评价操作风险管理的全面性、有效性;(4)督促和确保高级管理层采取必要的措施有效地识别、评估、监测和控制/ 缓释操作风险;(5)确保本行操作风险管理体系受到内审部门的有效监督;(6)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系建设。董事会可授权其风险管理委员会履行以上部分职能。第八条【高级管理层】高级管理层负责执行董事会批准的操作风险管理战略和政策。主要职责包括:(1)根据董事会制定的操作风险管理战略,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程;(2)及时了解本行操作风险管理的总体状况及重大操作风险事件
12、,并定期向董事会提交操作风险报告;(3)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责;(4)及时了解操作风险水平及其管理状况,并为操作风险管理配备适当的资源,确保银行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类操作风险;(5)在外部市场及其他环境发生重大变化或出现新的产品、业务、信息科技系统时,及时对操作风险管理体系进行检查和修订;(6)审批重大操作风险控制/缓释方案。主管风险副行长按照高级管理层的内部分工直接领导全行的操作风险管理工作,其在操作风险管理中的主要职责包括
13、:(1)根据授权审核、审批操作风险相关制度、工作方案;(2)监督操作风险管理状况及成效,定期向行长及董事会风险管理委员会报告操作风险管理状况及成效;(3)牵头组织落实操作风险管理体系建设的重要措施;(4)根据行长授权协调重要的跨部门操作风险管理工作;(5)负责推动操作风险管理队伍建设。其他行领导直接领导所主管业务范围内的操作风险管理工作,其在操作风险管理中的主要职责包括:(1)制定主管范围内各条线和职能部门改善操作风险管理的工作重点;(2)督促主管范围内各条线和职能部门配备适当的资源并按照要求进行操作风险管理;(3)对主管范围内各条线和职能部门制定的业务操作风险管理细则、操作风险事件处理方案等
14、进行审批。第九条【分行管理层】分行行长作为分行操作风险管理的第一负责人,负责建立分行层面的操作风险管理体制;提升操作风险报告的全面性、及时性和有效性;推进操作风险与控制自我评估等操作风险管理工作在分行层面的贯彻落实。分行风险总监作为专业风险管理者,应协助分行行长开展操作风险管理工作。分行其他行领导直接领导所主管业务范围内的操作风险管理工作。第十条【风险管理部】总行风险管理部作为操作风险管理的牵头部门,主要职责包括:(1)负责拟定、回顾、修订我行操作风险管理政策,报资产负债管理委员会及董事会风险管理委员会批准实施;(2)根据董事会确定的战略与政策,协调、指导、督促各部门识别、评估、监测和控制操作
15、风险;(3)建立操作风险管理报告机制,收集及分析操作风险事件及损失数据,定期及不定期编制操作风险统计和分析报告,并就如何弥补损失提出建议,使董事会及高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响,以能采取有效的防范及降低风险的措施;(4) 根据银行业监管机构的要求,研究、落实应用计量操作风险的技术方法及程序。总行风险条线向各业务条线派驻的风险管理机构/岗位,应组织、指导、督促相应条线识别、评估、监测和控制操作风险,并按照双线报告的要求进行报告。分行风险管理部应组织、指导、督促分行各条线及职能部门识别、评估、监测和控制操作风险,并及时将风险状况按照风险管理报告机制向总行风险管理
16、部进行报告。第十一条【各业务条线和职能部门】总分行各业务条线和职能部门对业务范围内的操作风险管理承担首要责任,各业务条线和职能部门负责人对本职范围内的操作风险管理负全责。各业务条线和职能部门有以下主要职责:(1)在业务条线和职能部门内设立操作风险管理岗位,牵头负责操作风险管理的日常工作;(2)制定并定期重检本部门的业务流程、内部控制制度、关键风险指标和相关业务政策,并确保其与全行操作风险管理政策的一致性;(3)识别、评估、监测及控制本部门的操作风险,并督导下级行对口部门履行操作风险管理职责;(4)及时、准确地按照风险管理报告机制向同级风险管理部门通报操作风险状况。各业务条线和职能部门的操作风险
17、管理岗人员的职责包括:(1)在日常操作风险管理工作上,作为与本级风险管理部门沟通的主要联络人;(2)牵头组织部内及本条线操作风险的识别和评估,并协助部门负责人拟订相应操作风险管理工作计划;(3)对本部门起草/制定的、与操作风险管理相关的制度及实施细则进行审查并加签意见;(4)统筹本部门操作风险监控及报告工作;(5)参加风险管理部举行的操作风险管理会议及培训;(6)其他与操作风险管理有关的职责。各业务条线和职能部门的操作风险管理岗原则上由业务条线和职能部门从具备以下条件中的人员中任命(分支行可适当放宽):(1)不少于五年的银行工作经验,在本部门业务领域任职(含本行及他行)一般不少于两年;(2)熟
18、悉本部门的主要业务(包括主要的产品、业务操作流程、计算机应用系统等) ;(3)对银行操作风险管理尤其是我行的操作风险管理政策、操作风险控制自我评估方法、操作风险报告制度等有一定的了解;(4)管理序列副处长(含)以上或业务序列业务副经理(含)以上职级。各业务条线和职能部门任命或调整操作风险管理岗需及时报本级行风险管理部门备案。风险管理部门根据各部门操作风险管理岗人员的工作完成情况,认为现行人选不适任的,有权向该部门提出人员调整建议,该部门一般应及时进行调整。第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】总分行法律合规、运营管理、信息科技、安全保卫、人力资源等部门,应在管理好本
19、部门操作风险的同时,分别牵头负责总分行法律事务、运营管理、信息系统、安全保卫、人力资源等方面的操作风险管理,并为本行其他部门提供相关信息和支持。第十三条【内部审计部门和纪检监察部门】内部审计部门负责对银行操作风险管理体系的有效性进行审计,并向董事会报告操作风险管理体系的审计情况。纪检监察部门负责对有关案件进行查处和责任认定,并对有关责任人进行问责。触犯刑法的,移送司法机关追究法律责任。第三章 操作风险管理制度第十四条【范畴】本政策所称“操作风险管理制度”主要指单纯与操作风险相关的政策、制度及实施细则,对于涉及操作风险管理的内容但主要针对信用风险和或市场风险的政策、制度及实施细则,原则上按照授信
20、风险管理政策和/或市场风险管理政策的管理程序进行管理。第十五条【制度体系】操作风险管理制度是指在前条所述范畴内规范我行操作风险管理各个方面的政策、制度、规程等规范性文件,它既包括对操作风险管理的流程、技术等进行规范的专门性规定,亦包括为了对各项业务中的操作风险点进行控制而单独编写或包含在有关业务办法、操作规程中的操作风险控制规范。与操作风险层次化管理原则相适应,我行的操作风险管理制度亦进行分层化管理。我行的操作风险管理制度体系分为以下三个层次:(1)操作风险管理政策;(2)操作风险管理基本制度;(3)业务操作风险管理细则。第十六条【操作风险管理政策】操作风险管理政策,即本政策,是我行操作风险管
21、理的纲领性文件,构成我行其他操作风险管理制度制定的依据。本政策经董事会风险管理委员会审批通过后颁布施行,风险管理部应不断研究操作风险的识别、评估、控制、监测的方法和操作风险的管理机制,并对本政策的实施效果进行评估,以便及时向高级管理层和董事会提出本政策的修改建议。第十七条【操作风险管理基本制度】操作风险管理基本制度是针对操作风险管理基本流程的某些环节或特定类型的操作风险制定的综合性制度文件,具体分为两个部分:(1)针对操作风险管理流程的某些环节制定的基本制度,如操作风险自我评估制度、操作风险报告制度、操作风险关键风险指标管理制度等,原则上由风险管理部起草,经会签各相关部门后,报总行资产负债管理委员会审批后发布;(2)针对特定类型的操作风险制定的基本制度,如内部控制制度、法律风险管理制度、会计操作风险管理基本制度、信息科技风险管理基本制度、紧急事故应急处理制度等,由总行各职能部门起草,经会签风险管理部及其他相关部门后,报总行资产负债管理委员会审批后发布。
