银行损失数据收集管理暂行办法.doc

银行损失数据收集管理暂行办法第一章总 则第一条为全面贯彻和落实银行股份有限公司操作风 险管理政策（交银董201013号，下称“政策”）和银 行操作风险管理实施办法（交银办201089号）对损失数据 收集的有关规定，特制定本办法。第二条本办法是操作风险管理政策的延伸，由总行风险管 理部根据操作风险管理政策的相关原则进行制定与更新，并由总 行风险管理委员会批准。第三条本办法所谓损失数据收集，是指依据银监会监管指 引规定以及本行操作风险偏好与管理需求所定义的收集范围，针 对操作风险事件的相关信息，进行数据收集、内容分析、整改分 析设计与执行、损失分配、内外部报告等工作过程。第四条在操作风险管理体系建设初期，本办法所规范的损 失数据收集主要针对内部损失数据。第五条损失数据收集应遵循以下原则：(一）重要性原则。在统计操作风险损失事件时，应对损失 金额较大和发生频率较高的操作风险损失事件进行重点关注和确 认。(二）及时性原则。应及时确认、完整记录和准确统计操作 风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确。(三）统一性原则。操作风险损失事件的统计程序和方法要 保持一致，以确保统计结果客观、准确及可比。(四）谨慎性原则。在对操作风险损失进行确认时，应保持 必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免 出现多计或少计操作风险损失的情况。第二章职责分工第六条本行所有部门、单位、员工原则上均有收集和报送 损失数据的职责和权利。第七条总行风险管理部的具体职责包括：(一）制定损失数据收集管理办法，包括数据收集范围、标 准和流程等具体规定。(二）督促全行各业务单位损失数据收集工作的开展。(三）定期汇总分析全行范围损失数据报告，分析重大或多 发事件原因并釆取相应措施。(四）监控重大损失事件所启动行动计划的实施进度。 第八条总行条线管理部门的具体职责包括：(一)审议通过本业务条线损失数据收集认定起点金额，并 提交风险管理部备案。(二）牵头组织本业务条线各业务单位损失数据收集工作的开展。(三）定期汇总分析本业务条线损失数据报告，分析本业务 条线损失事件原因并釆取相应措施。(四）确保本业务条线重大损失事件所启动行动计划的执行。第九条分行风险管理部的具体职责包括：(一）按照损失数据收集管理办法，结合本分行实际，制定 损失数据收集实施细则。(二）牵头组织本分行各业务单位损失数据收集工作的开 展，汇总本行损失数据收集报告，向总行风险管理部提出意见和 建议。(三）协调本分行重大操作风险事件的认定、报告和处理工作。(四）确保本分行重大损失事件所启动行动计划的执行。 第十条分行条线管理部门的具体职责包括：(一)在本业务条线损失数据收集认定起点金额和范围框架 内，根据本部门实际，降低起点金额或扩大损失数据收集范围。(二）确保管辖范围内损失数据收集工作的开展。(三）对管辖范围内发生的重大操作风险事件进行原因调 查、报告和分析总结工作(四）确保管辖范围内损失事件收集所启动行动计划的执第三章收集范围第十一条银监会规定收集内容。依据银监会印发的商业 银行操作风险管理指引（银监发200742号）当发生以下类 型的重大操作风险事件时，本行应当收集并及时向银监会或其派 出机构报告：(一)抢劫商业银行或运钞车、盗窃银行业金融机构现金30 万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的 案件；(二）造成商业银行重要数据、账册、重要空白凭证严重损 毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围 内中断业务3小时以上，在涉及一个省（自治区、直辖市)范围内 中断业务6小时以上，严重影响正常工作开展的事件；(三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳 定，造成经济秩序混乱的事件；(四）高管人员严重违规；(五）发生不可抗力导致严重损失，造成直接经济损失1000 万元以上的事故、自然灾害；(六）其他涉及损失金额可能超过商业银行资本净额1%的 操作风险事件；(七）银监会规定其他需要报告的重大事件。第十二条重大操作风险事件。以下操作风险事件不论有无 实际的财务损失，均须纳入损失数据收集范围。(一)监管机关处分事件；(二）员工欺诈事件；(三）员工安全事件；(四）核心业务服务中断事件；(五）重大信息系统安全或中断事件；(六）影响本行对广大客户的服务质量以及严重影响本行声 誉的事件；(七）外部欺诈事件。第十三条除上述第十一、第十二条规定之外，凡损失金额 达到下述起点的其他操作风险事件也应纳入本行损失数据收集范 围。(一)会计类业务超过10,000元损失的事件；(二）公司信贷类业务超过100,000元损失的事件；(三）公司中间业务超过50,000元损失的事件；(四）资产保全业务超过50,000元损失的事件；(五）国际业务类超过100,000元损失的事件；(六）年金与托管类业务超过100,000元损失的事件；(七）零售信贷类业务超过50,000元损失的事件；(八）个金业务类超过50,000元损失的事件；(九）资金业务类超过100,000元损失的事件；(十）电子银行业务类超过50,000元损失的事件；(十一）自动化设备类超过10,000元损失的事件； (十二）信息科技类超过100, 000元损失的事件；(十三）信用卡类超过10,000元损失的事件；(十四）实物资产损坏超过50, 000元事件。总行各部门可依据自身管理需求，调低上述事件认定起点或 扩大事件收集范围。第十四条未造成损失的一般操作差错不列入本办法收集 范围。第四章收集流程第十五条损失事件上报。损失事件发生后，与之直接相 关的操作单位负责人必须在第一时间通过操作风险管理信息系统 进行上报。如果损失事件影响多个部门，由事件发生的源头部门负责上报。第十六条其他员工发现操作风险损失事件后，也有责任和 权利通过操作风险管理信息系统直接上报。分行风险管理部应督促所有操作风险损失事件及时上报。第十七条损失事件确认。按照损失事件的发生地点釆用不 同的确认方式。(一)对于发生在分行的损失事件，分行风险管理部会同相 关业务部门展开调查与确认工作。(二）对于发生在总行的损失事件，与之直接相关的总行条 线管理部门操作风险管理岗负责本项损失事件的调查与确认工 作。在获得本部门范围内可能有损失事件发生的通知后，应于当 日立即展开调查与确认工作，并在获得通知一周内完成相关的调 查与确认。总分行风险管理部负责监控本层级各项可能的损失事件是 否巳被完整地调查与确认。第十八条确认复杂损失事件时，需要合理分配损失金额。(一)对于跨业务条线事件损失，根据最终责任认定结果确 认的主要责任部门，并结合监管部门规定的八大产品线分配损失 权重。(二）对于与信用风险、市场风险存在交叉关系的操作风险 损失，应在损失事件收集时进行标注，避免风险资本重复计量。第十九条损失事件汇报与处理。(一)当总分行部门的操作风险管理人员确认损失事件后， 应于当日将该事件汇报至本部门负责人。(二）部门负责人或部门负责人指定的高级经理以上的人 员，应组织成立事件处理小组，解决事件所衍生的相关问题。若 事件属于重大操作风险事件，分行的部门负责人应及时将该事件 汇报至分行行长、总行条线管理部门负责人并同时通知总、分行 风险管理部。(三）总行条线管理部门及分行风险管理部在获悉重大操作风险事件后，均应及时将该事件汇报至总行风险管理部负责人。(四）总行风险管理部负责人在评估事件的等级及影响后， 将事件呈报至高级管理层并通报监察室。第二十条损失数据信息录入与审核。(一)分行条线管理部门操作风险管理人员，在损失事件汇 报与处理的过程中，依据损失数据录入字段要求，录入本部门及 管辖范围内的损失事件的基础信息。包括事件发生单位、发现单 位、发生时间、发现时间等信息，由本部门负责人负责审核。(二）分行风险管理部操作风险岗，依据条线部门提供的信 息和损失数据录入的字段要求，录入事件的详细信息。包括事件 所映射的新资本协议损失形态（见附件）损失金额与新资本协议 业务类别的映射关系、操作风险缓释、账务处理等信息，由本部 门负责人及事件主要相关部门负责人审核。(三)总行部门操作风险管理人员：录入本部门损失事件的基 础信息，由本部门负责人审核。(四）总行风险管理部操作风险管理岗：针对巳经录入的基 础事件信息录入事件的详细信息，并在必要时进行完善或补充，例如建立不同损失事件的关联性等，由本部门负责人审核。第二十一条操作风险损失事件的数据收集内容，由总行风 险管理部依据银监会的要求以及本行操作风险管理的需求制定， 并将定义于操作风险管理信息系统内。全行应依据操作风险管理信息系统内损失数据模块对于损 失事件录入的要求，进行损失数据的收集工作。第二十二条操作风险损失事件自被识别开始，相关的业务 部门与风险管理部应负责监测事件的处理流程，务必确保事件巳 被妥善处理。第二十三条总行风险管理部将定期针对全行的操作风险 损失事件，进行内容真实性与完整性的验证。若操作风险损失事 件的实际状况及处理方式与操作风险管理信息系统内的上报内容 有严重差距，总行风险管理部将提出纠正与改善意见，并将验证 报告与问责建议汇报至高级管理层。第二十四条总行风险管理部负责依据银监会的要求，定期 或不定期地提交包含损失事件信息的相关报告。第五章行动计划第二十五条损失事件发生后，除了针对事件本身进行处 理，流程牵头部门应认真检讨事件原因，并制定相应行动计划进 行整改。第二十六条行动计划内容应由部门的操作风险管理人员 录入操作风险管理信息系统，以确保行动计划的执行被有效地监控。第二十七条针对分行或网点发生的损失事件，分行流程牵 头部门应负责进行原因分析并制定及落实行动计划。行动计划应 由部门负责人审核、分行行长审批。针对重大操作风险事件的行动计划，在分行行长审批后，应 再提交总行风险管理部审批。第二十八条针对在总行部门发生的损失事件，本部门的操 作风险管理人员负责制定并牵头落实行动计划。行动计划由本部 门高级经理进行审核、本部门负责人进行审批。针对重大操作风险事件的行动计划，在本部门负责人审批 后，应再提交总行风险管理部负责人审批。第二十九条行动计划制定后，相关业务部门及总分行风险 管理部应针对行动计划的执行状况进行监控，务必确保行动计划 能落实执行，达到改善管理状况并预防损失事件再次发生的目的。第三十条损失事件涉及多个部门的，由风险管理部组织各 相关部门共同制定行动计划。跨部门行动计划进度由风险管理部 总体负责督办，涉及部门定期报告本部门负责的工作进度。第六章报告与奖惩第三十一条损失数据的分析与报告是操作风险评估报告 内容的重要组成部分,应在每季度的操作风险评估报告中重点阐述。(一)总行与分行部门应每季针对管辖范围内的损失事件进 行分析，并分别提交管理报告至总分行风险管理部。(二）分行风险管理部亦应每季针对本分行的损失事件进行 综合分析，提交报告至总行风险管理部。(三）总行风险管理部应依据全行的损失事件，汇总制作全 行的损失数据分析报告，并将结果提交至总行风险管理委员会。 第三十二条损失事件报告应至少包含但不限于以下内容：(一)重大操作风险事件的内容、原因分析、处理方式与处 理阶段以及整改方案；(二）依据损失事件的类型进行笔数、损失金额的汇总与分 析。针对具有一定共性的问题，应特别说明主要原因及应对方案;(三）与损失事件相关的行动计划以及进度说明。第三十三条损失数据收集工作是本行每位员工的责任。对 于蓄意瞒报、漏报损失数据的单位和个人，根据银行员工 违规行为处理办法（试行)（交银发20079号）经由总行风 险管理部认定，将对损失事件的直接责任人和发生单位的负责人 进行问责。第七章附 则第三十四条本办法由总行风险管理部负责解释和修订。 第三十五条本办法自印发之日起施行。第三十六条总行各部门、各分行应按照本办法的相关规 定，开展损失数据收集。第三十七条各海外机构、子公司可结合当地及行业相关监 管规定，参照本办法制定实施细则，报总行备案。 巴塞尔新资本协议损失事件形态分类表-级目录二级目录三级目录A0101未经报告交易01越权A0102交易未经授权（擅自开办新业务或业务超权限）A0103头寸标价错误(故意)A0104其他A0201内部欺诈/信用欺诈/虚假存款A0202内部盗窃/勒索/挪用公款/抢劫A0203盗用资产（有形资产/无形资产）A0204恶意损毁资产(有形资产/无形资产）A0205内部伪造/变造A内部欺02内部盗窃和A0206内部签发空头支票诈欺诈，蓄意破A0207走私坏A0208窃取账户资金/假冒开户人等A0209违规纳税/逃税(故意)A0210贿赂/回扣A0211内幕交易（使用非行内账户)A0212关联方/利害关系人交易（使用非行内账户）A0213其他03内部系统安 全A0301牟利性破坏内部系统安全A0302非牟利性破坏内部系统安全A0303其他B外部欺B0401外部盗窃/抢劫诈04外部盗窃和B0402外部伪造欺诈B0403支票欺诈B0404其他05破坏系统安 全B0501黑客攻击损失B0502盗窃信息(造成资金损失)B0503其他C0601薪酬，福利，解聘纠纷C0602有组织的员工行动06劳资关系C0603违反劳动法的行为C0604关键人员流失C就业政C0605拟聘人员调查策和工C0606其他作场所 安全C0701 般责任（滑倒和坠落，等等）07环境安全性C0702违反员工健康及安全规定事件C0703员工的劳保补偿C0704其他08歧视及差别 待遇事件C0801所有涉及歧视的事件D客户、D0901违背信托责任/违反规章制度产品和 业务活 动事件D0902适当性/披露问题D0903违规披露零售客户信息D0904泄露私密09适当性，披D0905强行销售露和诚信责任D0906为多收手续费反复操作客户账户D0907保密信息使用不当D0908违背放款人责任D0909客户流失D0910其他10不适当的业D1001行业垄断务或市场行为D1002不良交易/市场行为D1003操纵市场D1004内幕交易（使用本行内的账户）13 第 16/184页D1005关联方/利害关系人交易（使用本行内的账户)D1006未经当局有效批准的业务活动D1007洗钱D1008其他D1101产品缺陷11产品瑕疵和D1102模型误差风险D1103项目泛滥D1104其他12客户选择，D1201未按规定审查客户业务推介和风D1202超过客户的风险暴露限额险暴露D1203其他13咨询业务D1301咨询业务产生的纠纷D1401资产征收风险14政治/政策 变更D1402交易无法进行D1403税收政策变更风险