银行操作风险管理办法.docx

《银行操作风险管理办法.docx》由会员分享，可在线阅读，更多相关《银行操作风险管理办法.docx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、X银行操作风险管理方法第一章总那么第一条 为建立和完善X银行（以下简称“本行”）操作风 险管理体系，加强操作风险管理，完善内部控制，促进全面风险 管理体系建设，根据相关法律法规、规范性文件，制定本方法。第二条 操作风险是指由不完善或有问题的内部程序、人 员、信息科技系统或外部事件所造成损失的风险。本定义所指操 作风险包括法律风险，但不包括战略风险和声誉风险。基于全面 风险管理体系设计，信息科技风险已作为单独风险种类进行管 理，本行操作风险管理不包括信息科技风险管理方面内容。第三条操作风险分类管理为强化专业化管理，落实管理责任，本行将操作风险细分为 12类风险：内部欺诈风险、外部欺诈风险、流程失

2、效风险、误销 售风险、合规风险、财务风险、税务风险、人员健康平安风险、 实物资产平安风险、法律风险、人员风险和供应商风险。第四条操作风险管理目标（一）建立并不断完善符合本行实际的操作风险管理体系， 以防控案件及重大操作风险事件的发生为管理目标，持续地为本 行实现经营管理目标提供合理保证。接责任，各业务条线、职能管理部门对本条线操作风险管理负管 理责任。主要职责包括：（一）建立并维护本业务条线、职能部门内的操作风险管理 架构，确定本业务条线、职能部门操作风险管理岗位人员；负责 推动本业务条线、职能部门管理领域内从本行到支行操作风险管 理体系的建立和完善；（二）按照“制度为先”原那么，可根据监管要

3、求及管理需要 制定、完善相应管理制度、流程、职责，及时识别职能范围、专 业管理领域内的操作风险，按照总行的控制措施和控制标准，对 风险的有效识别和控制；负责推动相应制度规范在全行的实施, 推动本行制定相应的实施方法；（三）根据职责分工，建立并不断完善相应的业务流程及管 理程序，根据政策、管理制度、监管要求等，在流程中配以合理 的关键控制措施和控制标准，防控风险，降低损失；对流程执行 情况进行监督管理及检查评估，保证风险得到有效控制；（四）根据本方法确定的分工，组织推动全行范围内对应某 类操作风险或某类操作风险对应内容的管理，保证对相关风险的 有效覆盖和控制；（五）按照职能分工维护本业务条线、部

4、门各类关键控制标准（KCS）、关键控制自我评估（KCSA）、关键风险指标（KRI） 等操作风险管理工具；（六）按照要求履行一线自查职责，及时落实整改问责；按 照职能分工，履行对辖属各部门、各机构和经营团队的职能管理, 落实检查评估，推动整改问责，履行防控职责，确保相关风险隐 患得到有效控制；（七）根据要求完成其他操作风险管理工作。第十四条各单位负责管理本单位的操作风险，单位负责人 对本单位的操作风险管理负第一责任。业务条线及职能管理部门 应按照规定配备相应岗位人员，共同遵循总行的操作风险政策、 制度和程序，运用统一的操作风险管理方法、技术和工具，组织 条线各经营管理单位实施操作风险的识别、评估

5、、监测、控制/ 缓释和报告。第四章操作风险管理主要工作第十五条本行操作风险管理工作，按照相关规制和总行管 理要求建立并不断完善操作风险管理体系（包括组织架构、制度 流程等），通过科学有效的管理工具，加强事前预防、事中控制、 事后监督等工作，落实二道防线责任主体在流程执行、职能管理、 二线督查等方面的职责，有效识别、计量、评估、监测、报告、 控制或缓释所承当的操作风险，确保将各类操作风险控制在总行 规定的风险偏好之内，确保满足监管要求。第十六条 加强制度流程管理本行在操作风险管理中坚持“制度为先”。各业务条线、职 能部门、分支机构在经营管理活动中应以管理制度为依据，及时 评估识别职责范围内的风险

6、隐患，根据相关规制、监管要求中的 管控要求和标准，在业务流程、管理环节中设定合理的关键控制 点和控制措施，保证业务开展及管理活动的规范性，防范或降低 风险损失。各业务条线、职能部门制定公布的制度、流程等须报 经内控合规部履行合规性审核。在各项经营管理活动中应发挥管理制度、业务流程、岗位职 责的规范和制衡效用，确保对应的操作风险、损失可控。第十七条加强员工行为管理各单位在操作风险管理中应按照监管要求、本行管理需要及 运行特点等，持续加强对员工的行为管理。人力资源部应依照总 本行人员招聘、薪酬、培训、考核、奖惩等方面的制度，规范员 工管理，制定本行管理人员、重要岗位员工的管理制度。各业务 条线、职

7、能部门应按照整体要求明晰制定本业务条线和职能部门 相应岗位职责、员工行为方法，落实对本条线、部门管理人员的 重要岗位员工管理要求，防止“逆流程，超授权”，按照“谁主 管、谁负责”的原那么加强对本部门员工的行为管理和排查。内控 合规部负责按照总行下发的员工行为管理规定，组织全行完成员 工异常行为排查，加强对重要岗位轮岗交流执行情况、重点环节 及岗位离岗离任的稽核检查。第十八条落实各类操作风险具体管理要求本行12类操作风险所对应某类风险或某类风险对应内容的 职能管理部门，应履行该类风险的牵头管理职责，按照总行相应 管理制度、操作流程、岗位职责，以及相应的控制措施、控制标 准等，加强对该类风险的日常

8、管理监督、评估优化工作。本行各单位应按照各类操作风险相关制度流程及牵头部门 具体要求，落实案件防控、合规管理、误销售管理、财务及税务 管理、人员健康平安管理、实物资产管理、法律事务管理、流程 控制、人员管理、供应商管理（含外包管理事项）等方面的职责 和具体工作要求，确保对相关风险的控制和管理。第十九条流程执行在各项业务及管理活动中，各业务及管理单位、各相关岗位 及人员应严格落实相关制度、流程、职责，执行规定流程及授权 等。各单位应加强对经办、复核、审批等环节的控制，加强对大 额、异常交易的审核，加强对重要岗位及员工的管理，加强风险 预警、投诉管理等。各类流程制定部门应对全行相关流程执行情 况进

9、行监督检查，确保各项流程控制及执行的有效性。第二十条 一线自查及职能部门检查本行各单位应根据本单位的设置情况,，设立本单位操作风险经理或检查责任岗位，按照要求履行职责，完成定期的一线自查, 按要求报告自查发现问题并催促落实整改问责。本行各业务条线、职能管理部门应按照职能管理要求，组织 对职能领域内的业务、机构等进行定期或不定期检查，按要求报 告检查发现问题并推动落实整改问责。检查内容包括制度、流程、 职责执行情况、重要岗位及人员管理情况、一线自查有效性、问 题整改落实情况等。第二H一条二线检查督查内控合规部按照风险导向原那么，对全行的操作风险管理工作 进行二线检查督查，检查督查内容包括：已公布

10、的管理制度、业 务流程是否覆盖其经营管理活动，执行中是否存在重大缺失等管 理隐患；在经营管理活动中一线单位履行操作风险管理职责的有 效性。根据总行要求，通过常规或专项检查，对各单位操作风险 管理情况作出综合评价，并对其提出改进建议。被检查单位应积 极配合操作风险二线检查督查工作，包括及时提供相关资料信 息、安排人员接受访谈、及时反应检查意见、及时对检查发现问 题进行整改问责等。第二十二条落实整改问责对于内外部各类检查发现的问题，全行各级责任主体应认真 组织进行整改，防止屡查屡犯、此查彼犯等情况。各单位承当具 体问题的整改落实责任。本行各业务条线、职能部门除关注具体 问题整改外，还应审视相关职能

11、及操作风险管理中的缺陷与不 足，进行优化完善。内控合规部门对问题的整改情况进行持续追踪，对于整改进度不达标、没有在目标日期内完成整改且未申请 延期等情况，内控合规部门可进行督办、处分，必要时可启动后 续督查。对于各类内外部检查发现的问题，各单位要坚持“尽职免责、 失职问责”原那么，根据相关制度、流程、职责进行责任认定。对 于存在失职渎职或违法违规的，要严格追究相应责任，对责任人 员进行问责。第二十三条操作风险报告本行建立系统、完善的操作风险管理信息及报告制度。内控 合规部根据总行要求汇总分析各部门、各支行操作风险管理信 息，以及操作风险分类风险管理情况，并根据总行要求编制操作 风险报告。各单位

12、应按照规定要求及时、准确的向内控合规部门 及管理层分析报告本单位当期操作风险管理情况。第二十四条 操作风险损失数据收集及运用本行根据总行要求通过内外部操作风险事件及案例的收集 分析，持续加强操作风险管理，防范操作风险损失。在对内外部 事件及损失影响的分析中，可有效运用情景分析，识别新的低频 高危风险并加强相应风险控制措施。同时通过压力测试，系统性 检测违规带来的集中压力及低频高危事件的承受能力。第五章操作风险管理工具和系统第二十五条管理工具类型本行现有的操作风险管理工具包括关键控制标准(Key Control Standard , KCS)、关键控制自我评估(Key Control Self

13、Assessment , KCSA)、关键风险指标(Key Risk Indicator , KRI)、 损失数据收集(Loss Data Collection, LDC) o根据关键控制 标准、关键控制自我评估、关键风险指标等三类工具适用程度将 其细分为基本(General)、业务/职能专有(Business)、分支 机构(Local)专有三个层面。根据损失数据来源分为内部损失 数据收集、外部损失数据收集两类。第二十六条各单位应按照总行内控合规部内外部损失数据统一标准要求，及时收集上报各类操作风险损失数据，同时加强对损失案例分析,结合损失案例暴露的流程及管理缺陷等加强对相关业务的排查、整改。

14、第二十七条 对于操作风险隐患及事件，本行从可能造成的 影响和发生的可能性两个方面对其风险级别进行评估。根据评估 结果，可以将风险确定为极高、高、中、低、极低等级(见附件 一)。当发生风险事件且损失超过相应风险限额时，相应职能管 理部门应按相关要求报告并立即组织整改，将相关风险控制在风 险偏好之内。如无法整改导致长期突破风险限额，应向总行进行 报告。第六章操作风险管理岗位及人员第二十八条 内控合规部门是本行操作风险管理牵头部门。内控合规部应设立专门的操作风险岗位，根据需要配备充分的操 作风险管理人员，履行体系维护、日常风险管理、制度审核、一 线检查督察等方面的职能。第二十九条 本行各部门、各机构

15、、各经营团队是各自管辖 范围内操作风险的责任主体，对本单位操作风险管理承当直接责 任。应通过事前预防、事中控制、事后检查等方式，对操作风险 进行系统有效的管理，按要求落实制度、流程、职责，落实每个 岗位和人员的责任。各单位应根据本单位内业务（管理）单元的设置情况，设立 单位操作风险经理和单位自查人员。单位操作风险经理负责统筹 本单位的操作风险自查、报告及整改等活动，单位自查人负责按 照要求完成定期的自查。各单位应按照制度要求，指定相应的操 作风险经理和单位自查人员，并对其履职情况进行考核监督，确 保一线自查职能的有效发挥。第三十条本行各业务条线、职能部门应根据矩阵管理需 要，设立一个独立于交易

16、处理的检查岗位，该岗位负责对本条线、 部门制定政策、流程在全行的落实情况和本业务条线、职能部门 对全行各类政策的落实情况等进行检查。该岗位作为条线、部门 内的第一道操作风险管理防线，负责组织完成部门内的关键控制自我评估工作；根据职能分工，对本条线相关制度流程执行情况 进行检查监督。第七章操作风险管理文化第三十一条本行通过“制度为先、流程至上、以人为本、 重在执行”的长效合规管理理念，推进操作风险管理文化建设， 在“主动管理、履职尽责、即查即改、防微杜渐、违规必处、屡 犯必纠”的管理实践中不断丰富其内容。第三十二条.本行管理层在经营管理活动中，必须身体力 行，以身作那么，自觉践行并自上而下推广操

17、作风险文化。本行可 通过培训、会议、知识竞赛等方式，推广操作风险文化和知识， 促进各级员工对操作风险管理的认知和遵从。第三十三条本行建立并不断完善操作风险管理工作的考 核及奖惩机制，将操作风险管理内容纳入对机构、部门及员工的 绩效考核中，鼓励一道防线通过关键控制自我评估发现、报告并 化解操作风险。建立并不断完善违规违纪行为处分制度，对各类 违规违纪行为严格进行问责处理。第八章附那么第三十四条本方法由本行内控合规部负责制定、修改并解释。第三十五条 本方法自2021年12月1日起执行。（二）使用业内通行的工具和方法，对全行操作风险隐患进 行全面、统一管理。满足监管当局对操作风险管理的有关要求， 并

18、将各类操作风险控制在总行确定的风险偏好容忍度之内。（三）各单位（包括本行各部门、各机构、各经营团队，下 同）在经营管理活动中既是产生操作风险的直接主体，也是防控 操作风险最直接的责任主体，须严格执行总本行制定的相关制 度、流程和职责，提高在岗人员业务技能，减少操作失误，防止 银行损失。（四）在全行建立和推广先进的操作风险管理文化，充分调 动本行员工主动、自觉、长效融入合规管理之中，各单位分别从 专业职能管理、属地管理双维度履行操作风险管理的主体责任， 积极倡导并促进本行各项经营管理有序、健康、开展。第五条操作风险的管理原那么（一）全面化原那么。操作风险管理应当贯穿决策、执行和监 督全过程，覆盖

19、各项业务流程和经营管理活动，覆盖所有的机构、 部门和岗位人员。（二）责任化原那么。操作风险管理有明确的职责分工，从管 理层、职能部门、各分支行到每一个员工，都应切实履行相应制 度、流程和职责，承当相应责任。对因失职、渎职、未履职等造 成操作风险损失的员工，严格进行问责。附件操作风险分级表型漂Ma刈架ew几乎发生已经发生或在未来的6个月中几乎肯定发生5低中中高极高可能性高一有可能在未来 的12个月之内发生。主要为 易受外部因素影响的操作风 险。4低低中高高有可能性有可能在未来12年内发生3极低低中中高可能性低一在23年内不太可能发生一次2极低极低低中高极小在3年内几乎不太 可能发生，但不排除在极

20、其意 外情况下发生的可能性。1极低极低低低中12345极低-单一事件，风险可控。预期没有财务损失。应该在1 天之内完成风险确实认和整 改方案制定。人民币10万人民币10万-人民币25万人民币25万-人民币50万人民币50万一人民币100万人民币100万低-风险可控。应该在3天之 内完成风险确实认和整改方 案制定。影响极小单一合规问题。面临戒勉 类监管提示（包括：监管 约谈、通报批评和责令整 改等）。单一严重合规问题。面 临行政处分（包括：没 收违法所得、罚款、处 理责任人等）系统性的严重合规问 题。面临较严重的行 政处分（包括：业务 资格限制、机构审批 限制、股东权利限制、 调整高级管理人员

21、等）面临严重行政和刑事 处分（包括：停业整顿、 被接管和重组、撤消金 融许可证、追究刑事责 任等）；中-有超出风险偏好的危险。应该在当日进行报告，并在3 天之内完成风险确实认和整 改方案制定。未被媒体 报道。客 户投诉增 加。有限的本地或行业媒体 报道。客户投诉增加且可 能销户。有限的媒体报道。大量 客户投诉。损失一些客 户。监管机构发出非正 式质询。可能对股价产 生负面影响。持续的媒体报道。客 户流失严重。监管机 构给予正式调查或质 询。对股价产生负面 影响。涉及到高级管 理层。持续的负面媒体报道。大量客户流失。监管机 构进行正式干涉并罚 款。对股价产生严重影 响。直接涉及到高级管 理层。极

22、高/高-超出风险偏好。应 即时进行报告，并采取控制措 施防止损失的扩大或发生。极小的影响较小的伤害，调查后无明 显个人责任问题。需要对 客户质疑进行回应。需要就医。涉及到个人责任问题。对一个或多个人造成 中度不可恢复残疾或 损伤。短期拘留。重 大个人责任。造成单人死亡及/或对 一个或多个人造成严 重的不可恢复残疾。在 很长时间内丧失人身 自由。队热5H岷对不同风险等级的风险采取的措施事件的影响注意：1.如果风险组合是多方面的,谨慎的措施应做调整。2.对于重复发生的事件,应关注财务损失的乘数影响。（三）审慎性原那么。操作风险管理应当表达在全行的各类经 营管理活动之中，坚持风险为本、审慎经营的理念

23、，增设新网点 或开办新业务均应坚持制度先行、流程为本，建立健全相应的制 度、流程、职责，并使之得到切实落实，防控操作风险隐患和损 失的形成。（四）独立性原那么。操作风险管理条线独立于其他业务职能 管理部门，各单位自查检查人员独立于被检查业务或单元，任何 人不能阻碍、干扰操作风险管控过程，严防隐患影响及损失结果 的扩大。（五）重要性原那么。在操作风险管理中应贯彻重要性原那么， 加强对重点机构、重点岗位、重点人员、重点业务、重点产品、 重点环节等的检查监督。对于检查发现的风险隐患，应按照管控 程序和标准，按照风险等级对重要风险进行重点管理，各单位负 责问题隐患的整改问责，严防案件及重大操作风险等隐

24、患。（六）动态化原那么。本行在不断优化完善识别、评估、监测、 控制/缓释、报告等操作风险管理实践中，动态提升应对化解各 类操作风险的能力水平；同时加强同业案例、外部资源的借鉴吸 收和学习，持续对本行的操作风险管理体系、工具和具体管理行 为进行改进，以适应本行的经营管理需求。第二章操作风险管理体系第六条本行推动建立并不断完善与本行的业务性质、规模 和复杂程度相适应的操作风险管理体系，有效地识别、评估、监 测和控制/缓释操作风险。本行操作风险管理体系主要包括但不 限于以下要素：（一）明确本行管理层组织实施操作风险管理的职责；（二）根据总行要求建立由流程执行、职能管理、二线督查 组成的操作风险管理二

25、道防线体系；（三）本行各类操作风险牵头管理部门根据总行对操作风险 的分类和条线管理职能要求，开展操作风险各项工作；（四）建立操作风险管理方法、流程、方法；第七条本行管理层承当操作风险管理的实施职责，主要职 责包括：（一）在总行管理要求下建立健全本行操作风险管理体系， 保证有效识别、评估、监测和控制缓释操作风险，确保操作风险 水平控制在本行可承受范围内；（二）根据总行制定的操作风险管理总体政策，审核本行操 作风险相关管理制度；（三）按照总行管理要求落实各职能部门的操作风险管理职 责以及操作风险报告的路径、频率、内容，催促各职能部门切实 履行操作风险管理职责，以确保操作风险管理体系的正常运行；（四

26、）全面掌握本行操作风险管理的总体状况，特别是各项 重大的操作风险事件或情况；通过操作风险报告监控全行的操作 风险状况，保证本行各类操作风险符合总行风险偏好；（五）及时对操作风险管理体系进行检查和修订，以便有效 地应对内部程序、产品、业务活动、信息科技系统、员工及外部 事件和其他因素发生变化所造成的操作风险损失事件。第八条为有效管理控制操作风险，本行根据总行要求建立 由流程执行、职能管理、二线督查组成的操作风险管理二道防线 体系。第一道防线包括流程执行和职能管理。流程执行指在各项经 营管理活动中，各单位按照制度、流程及职责分工，通过具体的 操作、复核、审批等流程控制和定期自查，确保业务操作和经营

27、 管理活动的规范、合规。职能管理指本行职能管理部门按照其职 能分工，履行其制度、流程、职责规范、授权审批控制、岗位配 置人员管理、日常管理监督等方面的职责，保证将本行该项经营 管理活动操作风险事前、事中、事后得到有效管理，控制在合理 范围之内。第二道防线是二线督查，由内控合规部履行相应职责。内控 合规部通过对制度流程的合规性审核、对业务和机构的操作风险 检查，及时发现操作风险隐患，构筑防范操作风险的第二道防线, 催促第一道防线及时落实整改并完善操作风险隐患管控。第九条本行12类操作风险与相关业务管理职能存在较强 对应关系。相关业务条线、职能部门按照管理职能分工，负责全 行范围内对应某类风险或某

28、类风险对应内容的牵头管理，包括管 理体系确实立、相应制度、流程、职责和基本控制标准的制定、 管理和处置操作风险、重大问题应急处置及协调解决，以及相应 整体风险状况评估和报告等。第十条本行根据操作风险管理需要、监管规定及总本行风 险管理体系整体要求，不断完善操作风险管理制度、流程、维护 操作风险管理系统等，促进操作风险管理的系统化、规范化。（一）本行管理层根据总行操作风险管理战略、总体政策及 体系，对本行操作风险管理体系、基本原那么、职责分工、主要工 作、管理工具等进行明确；（二）各职能管理部门结合本专业管理及操作风险的表现类 别，通过总行各相应专业制度和管理要点，对相应类别风险进行 管理，防控

29、相应风险；（三）本行操作风险管理工具包括关键控制标准（KCS）、 关键控制自我评估（KCSA）、关键风险指标（KRI）、操作风险损失 数据收集（LDC）等。第三章分工及职责第十一条 本行内控合规部为全行操作风险管理牵头部门，负责全行操作风险管理体系的建立和实施，为操作风险管理的第 二道防线，主要职责包括：（一）根据总本行管理层要求，推动建立并不断完善全行操 作风险管理体系，推动各职能部门、各分支行落实主体责任，履 行操作风险管理职责；（二）根据总行要求推动并完善本行的操作风险管理制度体 系，拟定并维护本行操作风险管理类政策、制度、流程等，按规 定提交审批后发布执行；（三）根据总行要求推动并不断

30、维护本行操作风险管理工 具，根据总行要求对关键控制标准（KCS）、关键控制自我评估 （KCSA）、关键风险指标（KRI）等进行定期维护，并在全行运 用操作风险管理工具，改进操作风险管理方法；（四）对本行规章制度和流程进行操作风险审核，提出操作 风险方面意见；（五）根据风险导向原那么和总行要求，对本行业务、机构、 人员等进行操作风险二线检查，对流程执行及一线自查有效性等 进行评价；（六）根据总行要求维护全行操作风险报告体系，收集、汇 总、分析全行各类操作风险信息，完成全行各类操作风险报告， 掌握本行操作风险管理的总体状况；（七）按照部门职能及各类操作风险专业分工，牵头组织内 部欺诈风险、合规风险

31、、员工异常行为等管理工作，完成职责范 围内其他管理工作；（八）组织维护操作风险管理系统用户，并提供相应的咨询 服务；（九）组织完成其他操作风险管理工作。第十二条按照操作风险12种类型与相关业务管理职能的 对应关系，相应业务条线、职能部门应按照管理职能和专业分工， 负责全行范围内对应某类风险或某类风险对应内容的牵头管理。（一）误销售风险，分别由公司业务管理部、个人金融部、 消费金融中心、同业业务营销中心、投资银行部、金融科技部等 业务职能部门对相应业务经营管理活动中涉及的风险负责牵头 管理监督；（二）内部欺诈风险，由内控合规部牵头，各业务条线、职 能部门负责职能范围内的内部欺诈风险管理监督；（三

32、）外部欺诈风险，由综合管理（保卫）部牵头，各业务 条线、职能部门负责职能范围内的外部欺诈风险管理监督；（四）财务风险，由财务部负责组织管理监督；（五）人员健康平安风险，由综合管理（保卫）部、综合管理（保卫）部（行政事务局部）按照职能分工进行管理监督;（六）实物资产平安风险，由综合管理（保卫）部、综合管 理（保卫）部（行政事务局部）、信息科技部按照职能分工负责 管理监督；（七）流程失效风险，按照流程归属，各业务条线、职能部 门负责各自职能范围内的流程控制及管理监督；（A）合规风险，由内控合规部牵头，各业务条线、职能部 门负责职能范围内的合规风险管理监督；（九）税务风险，由财务部、人力资源部按照税

33、种分工分别 进行管理监督；（十）法律风险，由内控合规部负责组织管理监督；（十一）供应商风险（含外包管理事项），由综合管理（保 卫）部（行政事务局部）牵头，相关业务条线、职能部门负责职 能范围内的供应商风险管理监督；（十二）人员风险，由人力资源部牵头组织，相关业务条线、 职能部门配合进行管理监督。第十三条本行实行矩阵式管理，本行各业务条线、职能部 门在总行管理要求下除了对本部门的操作风险管理承当直接责 任外，还负责推动该业务条线、职能部门管理的专业领域内从本 级到分支机构操作风险管理体系的完善，并根据职责分工负责全 行范围内对应某类风险或某类风险对应内容的牵头管理监督。本 行各部门、各机构和经营团队负责人对本单位操作风险管理负直