银行操作风险管理暂行办法.docx

银行操作风险管理暂行办法第一章 总 则第一条 为建立健全操作风险管理体系，加强操作风险管理，完善操作风险管理机制，提高操作风险管理水平，根据商业银行操作风险管理指引等法律法规，参照巴塞尔新资本协议的技术标准，制定本办法。第二条 本办法所称操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括战略风险和声誉风险。第三条 操作风险管理应遵循“全面管理、分工负责、逐步完善、责任追究”的原则。（一）“全面管理”是指操作风险管理应涵盖全行各部门、各级机构、各项经营管理活动、各个岗位和操作环节。各部门、各级机构都应完善操作风险管理，建立相应的操作风险管理制度，控制操作风险损失。（二）“分工负责”是指操作风险管理应通过明晰的制度，确定各级机构、各个岗位和操作环节的责任，明确各项业务活动的责任人。各级机构和所有员工，都应承担特定的操作风险控制责任。各级机构的主要负责人是辖内操作风险管理的第一责任人。（三）“逐步完善”是指根据操作风险识别、监测、计量、控制要求及高度分散特征，逐步完善操作风险管理政策和各业务条线分层级操作风险控制体系。（四）“责任追究”是指依照内外部管理规定，查明操作风险事件的原因，认定事件的性质和损失程度，并严格按规定对违反制度的责任人和负有领导责任的管理人员进行问责。第二章操作风险分类第四条根据巴塞尔新资本协议，结合本行实际，按照风险成因或损失事件等标准进行分类。第五条按照风险成因将操作风险分为人员风险因素、流程风险因素、系统风险因素和外部事件风险因素。（一）人员风险因素人员风险源于主观和客观因素，主观因素为员工不遵守职业道德，违法、违规或违章操作，单独或参与骗取、盗用银行资产和客户资产，或工作疏忽，其行为给我行造成直接经济损失；客观因素为员工的自身能力与岗位对人员素质要求不符给我行造成的直接经济损失。（二）流程风险因素因业务流程或制度管理存在不当或偏差而没有及时给予完善，导致操作或执行发生困难，甚至给蓄意不法者留下漏洞，从而给我行造成经济损失。（三）系统风险因素系统因素是指科技信息部门或服务供应商提供的 IT 技术系统、机具设备因技术故障、设备失灵造成系统服务中断或造成错误的服务，或由于系统数据风险影响业务的正常运行，从而造成的直接经济损失。（四）外部事件风险因素外部事件指的是由于外部主观或客观的破坏性因素给我行造成的直接经济损失。外部事件既包括外部人员的主观行为，又包括外部环境造成的客观事件。第六条按损失事件分类以损失事件为标准，操作风险可分为内部违规、外部欺诈、违约和产品缺陷、其他外部事件、系统失灵和设备故障、流程管理、劳动保护等七类。（一）内部违规内部人员因主观故意或过失，违反法律、法规、监管规定或银行规章制度而造成损失的行为，包括未经授权的业务或交易行为以及超越授权的活动，滥用授权，超过业务限额，涉及内部人员一方的内外勾结事件。（二）外部欺诈外部人员故意骗取、盗用财产或逃避法律而给商业银行造成损失的行为，包括外部的盗窃、抢劫、涉枪行为；伪造、变造多户头支票，骗贷等欺诈行为。（三）违约和产品缺陷银行因疏忽未履行对客户的应尽义务、因侵权等不适当行为或产品性质及设计缺陷导致的损失。（四）其他外部事件因自然灾害、政治法律因素（不包括宏观政策调整因素）或其他外部事件导致的损失。（五）系统失灵和设备故障因 IT 系统失灵和一般设备非人为因素故障导致的损失。（六）流程管理因流程管理、交易执行失败所导致的损失。（七）劳动保护银行违反就业、健康或安全方面的法律或协议，或者因性别、种族歧视事件导致的损失。第三章组织体系与职责分工第七条操作风险管理的组织体系包括：（一）董事会；（二）监事会；（三）高级管理层及其下设职能部门和分支机构：1、操作风险主要职能管理部门包括风险管理部、合规部、人力资源部、科技信息部、监察保卫部、审计部；2、其他业务管理部门；3、各级分支机构。第八条董事会承担监控操作风险管理有效性的最终责任。主要职责：（一）制定全行操作风险管理战略和总体政策；（二）审批及检查高级管理层有关操作风险的职责、权限及报告制度，监控操作风险应在可以承受的范围内；（三）定期审阅高级管理层提交的操作风险报告，充分了解操作风险管理总体情况、高级管理层有效处理重大操作风险事件以及有效监控和评价日常操作风险管理；（四）督促高级管理层采取必要措施有效地识别、评估、监测和控制/缓释操作风险；（五）负责督促审计部门审查与监督操作风险管理体系的有效性；（六）负责制定适当的奖惩制度，有效地推动操作风险管理体系的建设；（七）委托社会中介机构对操作风险管理体系定期审计和评价。第九条监事会负责监督董事会和高级管理层在操作风险管理方面履职情况。第十条高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：（一）在操作风险的日常管理方面，对董事会负最终责任；（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设臵必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；（六）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。第十一条风险管理部主要职责包括：（一）负责设计全行操作风险管理框架；（二）负责研究和拟定全行操作风险管理办法；（三）负责协调、指导、评估、监督各部门的操作风险管理活动；（四）负责监督操作风险政策的执行情况，分析全行操作风险状况；（五）负责牵头组织设计、开发、维护操作风险管理工具（风险评估、风险指标、损失数据库等）；（六）负责操作风险管理知识培训和教育；（七）负责定期向行长和风险管理委员会提交操作风险状况分析报告。第十二条合规部主要职责（一）负责全行合规经营监督检查；（二）负责牵头组织制定各项业务合规操作手册；（三）负责对新业务推出进行法规审核，为本行依法合规经营提供法律咨询；（四）负责对发生的操作风险事件进行责任认定，提出并落实整改措施。第十三条总行人力资源部主要职责（一）负责按银行教育培训管理暂行办法规划并组织业务人员培训，提高业务人员的操作能力、法律意识、制度观念和职业道德；（二）对员工岗位合理配臵，降低因操作人员业务技能低、管理人员管理水平差或员工对政策、制度、法律不了解等原因所造成的操作风险；（三）负责按照相关制度规定，落实重要岗位员工强制休假制度及岗位轮换制度。第十四条总行科技信息部主要负责各种交易系统和信息系统的安全和正常有效运转，为业务部门和其他部门提供技术支持和科技保障，制定应急预案，防范各种因系统不完善所造成的操作风险。第十五条 各业务部门主要职责包括：（一）负责识别、监测和管理本部门的操作风险，拟定关键性风险指标，建立重大事件应急预案，建立持续、有效的操作风险监测、控制/缓释及报告程序，并负责组织实施；（二）负责制定本部门业务操作流程和风险控制/缓释措施，保证各类人员按照统一标准进行业务操作；（三）负责指定专人管理本部门操作风险，定期汇总分析并向风险管理部、合规部报告，重大操作风险事件还应逐级报告。第十六条监察保卫部主要职责（一）查处和督查有关案件，并进行责任追究；（二）除履行本办法第十五条规定的职责外，还应制定应急预案，对本行员工异常行为进行排查、对违反操作风险管理规定行为进行责任追究。第十七条审计部主要职责（一）负责定期检查评估操作风险管理体系运行情况；（二）监督操作风险管理政策执行情况；（三）负责对操作风险管理政策、程序和规程进行独立评价；（四）负责向董事会、监事会报告操作风险管理体系的有效性和完整性。第十八条各级分支机构（一）各级分支机构负责本级机构的操作风险管理，主要负责人是管理辖内操作风险的第一责任人；（二）执行上级机构制定的各项操作风险管理制度，汇集、监控、管理和报告辖内操作风险情况；（三）负责制定本级机构各项业务的操作风险管理细则和流程，并确保其适宜有效，并对辖内各级机构的操作风险管理进行指导和检查；（四）通过自我评估等工具识别、评估操作风险点、风险控制效果，提出操作风险管理优化建议，采取适当措施防范和化解操作风险；（五）汇总分析辖内操作风险损失情况，保证数据的真实性、准确性和时效性。第四章操作风险管理程序第十九条操作风险管理主要程序为识别、评估、监测和控制/缓释。第二十条操作风险的识别操作风险识别是对可能影响本行经营绩效、可能给本行带来财务或非财务损失的所有内部或外部操作风险因素加以识别，并对其进行控制和管理。操作风险识别过程一般以当前和未来潜在的两个方面为重点，应包括以下因素：（一）潜在操作风险的整体状况；（二）所处的内外部环境；（三）战略目标；（四）提供的产品和服务；（五）独立环境因素；（六）内外部变化及其变化速度。第二十一条操作风险评估操作风险的评估是指采用一定的方法，对风险影响程度、发生频率与控制效率进行分析和评价。应逐步建立和完善操作风险评估制度。风险评估工作可采用委托外部机构、组织内部机构进行自我评估、与外部机构合作等多种模式，应以内部评估为主。风险控制自我评估工作是操作风险评估的一个重要方法。风险控制自我评估工作应当遵循“统一领导，分工合作；条线为主，条块结合；突出重点，逐步完善；激励为主，奖惩分明”的原则。应当通过定性与定量相结合的方法，评估各类操作风险。通过采用关键风险指标、自我评估问卷和损失数据分布等方法，建立操作风险评估体系。第二十二条操作风险监测主要从内部因素和外部因素两个方面加以监测。内部因素主要包括人员、流程、系统及组织结构引起的操作风险。外部因素主要包括外部经营环境变化、外部欺诈、外部突发事件和经营场所安全所引起的操作风险。以下是操作风险监测关键指标：（一）人员风险指标1、人员在当前部门的工作年限；2、员工人均培训费用；3、客户投诉占比；4、失败交易数量占比；5、柜员平均工作量。（二）流程风险指标1、交易结果和财务核算结果间差异；2、前后台交易不匹配占比。（三）系统风险指标1、系统故障时间；2、系统数量。（四）外部风险指标反洗钱警报占比；第二十三条操作风险控制/缓释（一）健全的内部控制体系是有效控制操作风险的重要手段，操作风险控制应体现以下目标：1、监控操作风险的定性和定量评估；2、评估操作风险缓释活动是否有效和适当，包括可识别的风险能在多大程度上被转移到本行外部；3、确保控制充分、风险管理系统正常运行。（二）操作风险内部控制程序应由各个业务单位建立，由风险管理部门指导并将实施的责任进行分配。操作风险控制/缓释措施应包括以下方面：1、连续营业方案；2、业务外包；3、保险。第五章 操作风险量化管理第二十四条 借鉴巴塞尔新资本协议操作风险度量框架思路和国内外活跃银行的实践经验，依据监管当局对操作风险量化管理要求，结合本行全面风险管理体系建立，应规划构建本行适宜的操作风险计量模型。第二十五条 应依据风险管理规划，进行操作风险量化建模，对业务流程进行分析，研究操作风险造成的损失，计算预期损失、非预期损失、操作风险 VaR 值和超额风险值。第二十六条操作风险量化管理应逐步实现以下目标（一）提供业务流程分析和风险因子量化评估工具；（二）按业务条线计量操作风险VaR 值，为操作风险分配资本；（三）提供操作风险预测、控制/缓释工具；（四）按巴塞尔新资本协议要求收集并逐步构建操作风险损失数据库。第六章操作风险资本充足管理第二十七条巴塞尔银行监管委员会提供了三种可供银行选择的操作风险资本计算方法，即基本指标法、标准法和高级计量法。第二十八条本行应按监管部门关于商业银行资本充足率的要求，为所承担的操作风险按照规定的最低计量标准逐步计提抵御风险所需充足的资本。第七章操作风险的报告、评价与责任追究第二十九条应建立全面、严格、及时的操作风险报告制度，向业务管理层、高级管理层、董事会反映操作风险管理的整体情况，提供决策支持。第三十条操作风险报告的内容包括，操作风险类型、操作风险事件和损失原因， 关键风险指标、自我评估问卷结果、操作损失分析结果及改进建议。第三十一条各业务条线的风险窗口管理人员，应当向其上级报告所负责业务的 操作风险管理情况，各部门需要向同级风险管理部门提供本部门的操作风险管理情况。第三十二条本行发生下列重大操作风险事件单位，应在第一时间逐级向上级行和对口管理部门报告。高级管理层应及时向董事会及监事会报告。（一）抢劫案件或运钞车、盗窃、诈骗案件；（二）造成重要数据、账册、重要空白凭证严重损毁、丢失，造成中断业务，严重影响正常工作开展的事件；（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；（四）高级管理人员及其他重要岗位人员严重违规；（五）发生不可抗力导致严重损失并造成经济损失事故、自然灾害；（六）其他需要报告的重大事件。发生下列重大操作风险事件，经营层应及时向董事会报告并同时向监管部门报告：（一）抢劫银行或运钞车、盗窃银行业金融机构现金 30 万元以上的案件，诈骗银行或其他涉案金额 1000 万元以上的案件；（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及全行范围内中断业务 6 小时以上，严重影响正常工作开展的事件；（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；（四）高级管理人员严重违规；（五）发生不可抗力导致严重损失，造成直接经济损失 1000 万元以上的事故、自然灾害；（六）其他涉及损失金额可能超过商业银行资本净额 1的操作风险事件；（七）银监会规定其他需要报告的重大事件。第三十三条各级报告单位应按照规定时间报告，并对报告中涉及内容的准确性、完整性和时效性负责。第三十四条相关管理部门或分行对于审计部在监督检查中发现有关操作风险管理的问题，应当在规定的时限内制定整改措施并提交整改方案。第三十五条 对于发生重大操作风险事件或未在规定时限内采取有效整改措施的，合规部对相关责任部门或人员进行责任认定，监察保卫部依据有关规定对相关责任部门或人员进行责任追究。第八章 风险管理文化建设第三十六条 全行应树立“稳健、审慎、理性”的风险文化，树立“风险管理创造价值、风险管理节约成本、风险管理带来收益”的风险理念。第三十七条 建立对基层操作风险管控奖惩兼顾的激励约束机制。营造由全体人员共同参与的操作风险管理环境，建立科学、有效的激励约束机制，培育和完善基于诚信的内部控制文化，提高员工的风险意识和职业道德素质。第三十八条 营造良好的操作风险管理环境，利用内部各种沟通渠道，将操作风险管理的理念、政策体系、制度规范以及监控目标传达到各级员工。第三十九条 本行应采取有效措施，确保各级人员获得足够的培训，获得与岗位相应的执业能力。第四十条建立并逐步完善操作风险管理信息系统，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容。第四十一条建立恢复服务和保证业务连续运行的应急预案，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。第九章制度建设第四十二条健全的操作风险制度是有效识别和防范操作风险的重要手段，必须强化内控意识，树立内控优先的理念，不断建立和完善内部控制制度和措施。第四十三条建立和完善风险限额、统一授权制度，遵守指定风险限额或授权权限规定。第四十四条完善本行资产安全监控制度。第四十五条建立和完善员工培训制度。第四十六条建立与合理预期收益不符及存在隐患的业务或产品监督检查制度。第四十七条建立定期对交易和账户进行复核和对账制度。第四十八条完善主要及关键岗位轮岗、强制性休假制度和离岗审计制度； 第四十九条完善重要岗位或敏感环节员工八小时内外行为规范制度；第五十条建立基层员工署名揭发违法违规问题的激励和保护制度。第五十一条建立查案、破案与处分适时、到位的双重考核制度。 第五十二条建立和完善案件查处和相应的信息披露制度。第五十三条建立和完善其他有关操作风险管理制度。第十章附 则第五十四条 本办法由银行总行负责解释和修订。第五十五条本办法自印发之日起施行。