1、银行操作风险管理制度（职责、原则等）编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 操作风险管理基本制度1目的本文件规定了XXXX银行（以下简称“本行”）操作风险管理组织架构、职责、原则及政策要求，旨在建立健全与本行业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险，确保本行健康稳健发展。2适用范围 本文件适用于本行所有部门、机构和岗位。3定义、缩写与分类3.1定义1）操作风险：是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险2、，但不包括战略风险和声誉风险。2）操作风险事件：是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件。 3）操作风险管理：是指通过构建操作风险的组织架构，确定董事会、高级经理层和风险管理职能部门的责任，建立和落实操作风险管理政策、方法和程序，并通过不断提升抵御操作风险所需资本的充足水平，来对操作风险进行有效的识别、评估和控制的过程。3.2缩写无3.3分类1）操作风险分为四大类：a）员工因素。主要包括：内部欺诈、失职违规、知识/技术匮乏、核心员工流失、违反用工法。b）内部流程。主要包括：财务/会计错误、文件/合同缺陷、产品设计缺陷、错3、误监控/保告、结算/支付错误、交易/定价错误。c）系统缺陷。主要包括：数据/信息质量、违反系统安全规定、系统设计/开发的战略风险、系统的稳定性/兼容性/适宜性。d）外部事件。主要包括：外部欺诈、洗钱、政治风险、监管规定、业务外包、自然灾害、恐怖威胁。2）风险事件分为：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型。4组织结构与职责权限4.1组织结构图4.2职责权限4.2.1董事会职责1）制定与本行战略目标相一致且适用于全辖的操作风险管理战略和总体政策；2）通过审批及检查经营管理层有关操作风险的职责、权限4、及报告制度，确保本行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可承受的范围内；3）定期审阅经营管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、经营管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；4）确保经营管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；5）确保本行操作风险管理体系接受内部审计部门的有效审查与监督；6）制定适当的奖惩制度，在全辖范围内有效地推动操作风险管理体系建设。4.2.2监事会职责负责对全辖遵守相关法律法规的情况以及对董事会、经营管理层履行风险管理职责的情况进行监督。4.2.5、3经营管理层职责1）在操作风险的日常管理方面，对董事会负最终责任；2）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作流程，并定期向董事会提交操作风险总体情况的报告；3）全面掌握全辖操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；4）明确界定本行各部门、各分支机构的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门、各分支机构切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；5）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操6、作风险管理人员履行职务所必需的权限等；6）及时对操作风险管理体系进行检查和修订，以便有效地应对内部流程、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。合规与风险管理部门职责1）拟定本行操作风险管理政策、程序和具体的操作流程，提交经营管理层和董事会审批；2）协助其他部门识别、评估、监测、控制及缓释操作风险；3）建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序；4）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；5）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履7、行操作风险管理的各项职责；6）定期检查并分析业务部门和其他部门操作风险的管理情况；7）定期向经营管理层提交操作风险报告；8）确保操作风险制度和措施得到遵守业务主管部门及分支机构职责1)指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作流程；2)根据本行统一的操作风险管理评估方法，识别、评估本部门/机构的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；3)在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；4)监测关8、键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。其他管理部门职责综合办公、信息科技、安全保卫、人力资源等管理部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。4.2.7合规与风险督导员职责1）负责对本机构的经营管理情况和柜面人员各项业务操作程序的合规性进行检查监督；2）负责对本机构的内部控制制度的健全性和有效性以及内部控制制度执行情况进行检查监督；3）负责收集、识别、评估、监测和报告本机构的操作风险信息，对操作风险的识别、计量、监测和控制程序的适宜性和有效性进行检查评价9、；4）负责完成本行操作风险主管部门交办的其它工作。4.2.8内部审计部门职责1）定期检查评估本行的操作风险管理体系运作情况；2）监督操作风险管理政策的执行情况；3）对新出台的操作风险管理政策、程序和具体的操作流程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。5原则与政策要求5.1原则1）有效性原则：操作风险管理制度应符合董事会战略安排要求，按照点面结合的管理模式，确保得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问题应当能够得到及时反馈和纠正；2）全面性原则：操作风险的管理应渗透到本行各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员10、工参与，任何决策或操作均应当有案可查；3）审慎性原则：操作风险管理应以防范风险、审慎经营为出发点，各项经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“内控优先”的原则，建立和完善相关规章制度和科学流程设计；4）成本效益原则：操作风险管理要作好重大风险点的排查和识别，突出重点，充分发挥各部门及广大员工的工作积极性，尽量降低操作风险管理成本，保证以合理的控制成本达到最佳的控制效果。5.2政策要求5.2.1操作风险管理组织体系1）本行操作风险管理体系组织架构，主要由董事会、经营管理层、合规与风险管理部门、相关职能部门、内部审计部门、分支机构组成。2）本行的合规与风险管理部门11、为本行的操作风险主管部门，负责本行操作风险管理体系的建立和实施。并与其他部门应保持独立，确保本行范围内操作风险管理的一致性和有效性。3）本行相关部门和分支机构负责人对本部门、本机构的操作风险管理情况负直接责任。4）本行合规与风险督导员负责对本部门、本机构的操作风险进行管理，合规与风险督导员实行双重负责制，既对分支机构负责人负责，又对合规与风险管理部门负责。操作风险报告实行双线报告，既向部门、分支机构负责人报告，又向合规与风险管理部门报告。5）本行各岗位员工应严格执行各项内部控制制度，杜绝违规事件的发生。并按规定程序办理好每一笔业务，严防操作风险的产生。6）本行内部审计部门应加强对辖内内控制度执12、行情况进行检查监督，对发现的违规行为应严格按照有关处理规定进行处理。7）各部门、分支机构在管理好本身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门、分支机构管理操作风险提供相关资源和支持。5.2.2操作风险的识别与评估1）本行操作风险识别评估应严格按照财政部等六部委制定的企业内部控制基本规范、银监会商业银行内部控制指引等规章制度为基本要求，并结合本行工作实际，有针对性、重点明确地开展。2）合规与风险管理部门应制定有效操作风险识别评估程序，主动识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在的操作风险作出充分评估。3）操作风险识别。本行各13、部门、分支机构应按照操作风险识别评估程序，按月组织员工对本机构相关产品、业务、流程及系统内的操作风险进行识别，识别出本单位各项业务及管理活动存在的风险点，并向业务条线风险管理部门和合规与风险管理部门报告。4）各部门和分支机构，出现以下情况时，应向业务条线风险管理部门和合规与风险管理部门提出操作识别和评估需求：a）新产品和新业务开发；b）新设备和新系统应用；c）IT系统的重大变更；d）操作风险管理政策修改；e）重大事故、险情、案件、隐患发生时；f）业务流程发生较大变化时；g）组织机构变革；h）重要员工流动；i）法律法规、监管要求发生变化；j）外部金融业等相关行业发生新的操作风险损失事件，本行可能14、面临类似的风险时；k）岗位与人员配置不符；l）其他可能引发操作风险的情况。5）操作风险评估。本行操作风险评估实行“授权评估、分级确认”的原则，即所有风险的初评工作授权各职能部门承担；复评工作由合规与风险管理部门负责；复评后风险级别为中等（含）以下的风险控制方案由各责任职能部门负责，经合规与风险管理部门审批；风险等级为中等以上的由合规与风险管理部门组织的风险评估小组负责制定，由风险管理委员会审定。风险评估小组应由三人以上人员组成，小组成员应包括有业务经历的经办人员、业务管理人员和合规管理人员及其他方面的专家，合规与风险管理部门经理任小组组长。6）业务条线风险管理部门和合规与风险管理部门应及时将风15、险评估结果和风险控制方案下发到各部门和分支机构贯彻落实。7）风险控制方案的制订应充分考虑其风险控制现状、控制目标的需要、法律法规、监管要求，以及技术和财务因素，确保控制方案有效、合理、经济。8）风险识别评估的结果应留下记录和形成文字材料，上报经营管理层。作为建立和保持风险管理体系中的各项决策提供基础，为持续改进内控与合规绩效提供衡量基准。5.2.3操作风险事件监测1）各部门、分支机构对操作风险损失事件的监测应遵循以下原则：a）重要性原则：在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认；b）及时性原则：应及时确认、完整记录、准确统计操作风险损失事件所16、导致的直接财务损失，避免因提前或延后造成当期统计数据不准确；c）统一性原则：操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比；d）谨慎性原则：在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。2）本行各部门、分支机构应定期监测操作风险状况和重大损失情况，并向合规与风险管理部门报告。3）各部门、分支机构要根据自身业务特点，建立相应的操作风险预警机制并报备合规与风险管理部门，针对潜在损失不断增大的风险，及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。4）本行合规与风险管理部17、门应根据本行业务发展要求，针对操作风险损失情况和外部信息逐步补充完善操作风险关键监测指标。5）本行合规与风险管理部门应会同其他部门建立并逐步完善操作风险管理系统，系统性地收集、整理、跟踪和分析与操作风险相关的数据和事件信息。各部门、各分支机构应针对产品、业务、流程及系统内产生的操作风险的损失数据要进行收集，并报送合规与风险管理部门审核后进入操作风险损失数据库，定期根据损失数据进行风险评估。6）操作风险损失事件统计内容应至少包含：损失事件发生的时间、发现的时间及损失确认时间、业务名称、损失事件类型、损失形态、涉及金额、损失金额、非财务影响、与信用风险和市场风险的交叉关系等。7）操作风险损失事件类18、型包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理等。8）操作风险损失形态包括：法律成本，监管罚没，资产损失，对外赔偿，追索失败，账面减值，其他损失等。9）本行应根据操作风险损失事件统计工作的重要性原则，合理确定操作风险损失事件统计的金额起点。对设定金额起点以下的操作风险损失事件和未发生财务损失的操作风险事件也可进行记录和积累。10）在统计操作风险损失事件时，应合理区分操作风险损失和其他风险损失界限。对于跨地区、跨业务种类的操作风险损失事件，合规与风险管理部门应确定损失统计原则，避免重复统计。5.2.4操作19、风险的控制1）对识别评估出的操作风险点，合规与风险管理部门应组织相关部门和分支机构提出相应的控制措施，其控制措施种类包括但不限于以下方面：a）高层审核：管理者对照预算、预测、过往业绩和竞争者的情况对相关业务或经营情况进行审核；b）直接的职能或活动管理：如审核业绩报告、新业务数据，关注合规问题，调节资金头寸等；c）信息处理：通过一系列的核对与批准保证交易的准确性、完整性和已授权；d）实物控制：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全；e）业绩指标分析：综合一系列的指标，通过因素分析、对比分析、趋势分析等方法，发现存在的问题，及时查明原因并20、加以改进；f）不相容职责分离：全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制；g）绩效考评控制、预算控制、信息系统控制和其他。2）本行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部控制措施包括但不限于：a）对各项业务活动制订严格规范的流程管理，各部门、各岗位间划清业务边界；b）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；c）密切监测遵守指定风险限额或权限的情况；d）对接触和使用本行资产的记录进行安全监控；e）识别与合理预期收益不符及存在隐患的业务或产品；f）定期对交易和账户进行复核和对账21、；g）主管及关键岗位轮岗轮调、强制性休假和离岗审计制度；h）员工具有与其从事业务相适应的业务能力并接受相关培训；i）重要岗位或敏感环节员工八小时内外行为规范；j）建立基层员工署名揭发违法违规问题的激励和保护制度；k）查案、破案与处分适时、到位的双重考核制度；l）案件查处和相应的信息披露制度；m）对基层操作风险管控奖惩兼顾的激励约束机制。3)合规与风险管理部门应会同信息科技部门、安全保卫部门制定与本行业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。4）合规与风险22、管理部门应会同计划财务部门共同研究，将购买保险以及与第三方签订合同作为缓释操作风险的一种方法。使用购买保险等方式缓释操作风险时，应当制定相关的书面政策和程序。5.2.5操作风险事件的报告1）本行建立有效的操作风险报告机制，合规与风险管理部门和其他相关部门人员发现操作风险问题，均应有畅通的报告渠道和有效的纠正措施。操作风险报告应满足以下要求：a）真实性：客观、真实、准确地反应操作风险状况；b）及时性：及时分析报告重大操作风险事件；c）准确性：提出准确有效的操作风险控制措施，应讲究实效、切实可行；d）保密性：操作风险报告要遵守有关保密管理及信息披露规定。2)操作风险事件报告的内容包括但不限于发生的23、时间、发现的时间及损失确认的时间、业务名称、损失事件类型、业务金额、损失金额、涉案人员、对操作风险事件的描述和非财务影响等。3)操作风险事件实行定期、不定期相结合的报告制度。对日常操作风险监测的操作风险综合报告实行按季报告；当发生重大操作风险事件时，要立即报告。4)本行建立有效的操作风险报告路线，具体路线为：a)各部门、分支机构合规与风险督导员要按季向本部门、分支机构负责人和合规与风险管理部门报送操作风险综合报告；b)发生重大操作风险事件时，各部门、分支机构合规与风险督导员要在发现当日立即向本部门、分支机构负责人和合规与风险管理部门报告，并在职权范围内采取相应措施控制操作风险，防止风险或损失的24、扩大和蔓延;c）针对重大操作风险事件要建立事件后续报告制度;d）本行合规与风险管理部门向经营管理层或风险管理委员会报告，经营管理层应向董事会、省联社和监管部门报告；e）内部审计部门对操作风险管理工作进行监控检查的结果向董事会和经营管理层报告，同时抄送本行合规与风险管理部门；f）发生中国银监会规定的重大操作风险事项时，各部门和分支机构应立即上报本行合规与风险管理部门，由合规与风险管理部门向主管行长汇报。5.2.6外部机构操作风险的管理1）各部门、分支机构在将法律、合规、信息科技、安全保卫、人力资源等业务外包时，应当充分考虑本行面临的风险，制定有关的风险管理政策，确保业务外包有严谨的合同和服务协议25、各方的责任义务规定明确。2）各部门、分支机构在从事授信、金融市场业务等活动时，应当对交易对象的操作风险管理情况进行尽职调查。对交易对象操作风险管理的尽职调查内容包括但不限于：a）适当的操作风险管理组织架构、权限和责任；b）操作风险的识别、评估、监测和控制/缓释程序；c）操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；d）应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。3)对交易对象的操作风险进行尽职调查时，应通过与交易对象经营管理层、各部门及其员工交谈，查阅董事会、总经理办公会等会议记录、26、交易对象各项业务及管理规章制度等方法，分析评价交易对象是否有积极的操作风险控制环境、完备的操作风险控制措施、畅通的操作风险信息沟通、有效的操作风险监控体系。4)对交易对象的操作风险进行尽职调查时，还应重点考察其过往操作风险事件及其应对情况。5.2.7与监管机构的联络1)合规与风险管理部门是本行有关操作风险管理与监管机构联络的归口部门，负责向监管机构报送、接收相关信息，跟踪、评估、考核监管意见和监管要求的落实情况，以及本行领导交办的其他事项工作。2）本行的操作风险管理政策和程序应根据银监会或其派出机构的要求备案并报送与操作风险有关的报告。3）本行在委托社会中介机构对操作风险管理体系进行审计后，应27、向当地银监局提交外部审计报告。4）当发生下列重大操作风险事件时，合规与风险管理部门应及时向当地银监局报告：a）抢劫本行或运钞车的案件，盗窃和诈骗案件；b）造成本行重要数据、账册、凭证严重损毁、丢失，造成在涉及两个或两个以上支行范围内中断业务3小时以上，在涉及一个支行范围内中断业务6小时以上，严重影响正常工作开展的事件；c）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件； d）高级管理人员严重违规，业已证实的；e）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；f）其他涉及损失金额可能超过本行资本净额1的操作风险事件；g）银监会及其派出机构规28、定其他需要报告的重大事件。5.2.8考核与奖惩1)操作风险管理的考核应与绩效考核相挂钩，建立有效的内部考核评价制度。2)本行合规与风险管理部门应会同人力资源部门定期对各部门、分支机构管理操作风险的能力和效果进行考核评价，并依据考核结果对相关人员施行奖惩。3）对严格履行操作风险管理职责，特别是及时报告风险、提出切实有效的应对措施，对防范和化解操作风险作出重大贡献的部门和个人，给予适当奖励。在必要时，应当对署名揭发违法违规问题的基层员工给予适当的保护。4）对于未充分有效履行操作风险管理职责，特别是隐瞒不报、歪曲风险事实、遗漏或延误操作风险报告、泄露操作风险信息，导致本行遭受经济损失或形成不良影响的有关责任人员，将根据相关制度予以处理。6检查监督牵头检查部门检查内容检查频次报告路线检查结果利用各业务主管部门对全辖本业务条线的操作风险情况进行检查一年至少一次分管领导和审计部门风险评估，对存在的风险制定防范措施合规与风险管理部门对全辖操作风险管理相关制度执行情况及其有效性进行检查一年至少一次经营管理层进一步加强操作风险管理内部审计部门操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策程序和具体的操作流程进行独立评估。一年一次董事会纠正存在问题，加强操作风险管理。7相关文件（略）