银行风险与控制自我评估管理暂行办法.docVIP

银行风险与控制自我评估管理暂行办法第一章总 则第一条为全面贯彻和落实银行股份有限公司操作风 险管理政策（交银董儿1013号)和银行操作风险管理 实施办法（交银办201089号，下称“办法”)对风险与控制 自我评估的有关规定，特制定本办法。第二条本办法是操作风险管理政策的延伸，由总行风险管 理部根据操作风险管理政策和办法的相关原则进行制定与更新， 并由总行风险管理委员会批准。第三条风险与控制自我评估（Risk and Control Self Assessment,简称“自我评估”或“RCSA”）是一种操作风险管理 工具，用于识别和评估自身的潜在操作风险，以及自身业务活动 控制措施的适当性和有效性。第二章总体要求第四条本行自我评估工作以流程作为实施对象，本行所有 的业务流程、重要的管理及后台流程均应纳入自我评估的体系范 围内。第五条自我评估必须包含“操作风险暴露”的评估以及“控 制有效性”的评估。(一）操作风险暴露评估，分为“固有风险暴露”评估和“剩 佘风险暴露”评估。固有风险暴露是指假设不存在任何控制措施， 未来一年内发生操作风险损失的可能性和金额。剩佘风险暴露是 指考虑相关控制措施的影响，即操作风险事件发生的可能性和严 重程度在控制措施实施后有可能降低的情况下，未来一年内发生 操作风险损失的可能性和金额。操作风险暴露评估应当包括对事件的发生频率和严重程度 的评估。(二）控制有效性，包括对每项已有的控制措施进行“控制 设计有效性”以及“控制落实度”的评估。控制设计有效性是指 某项控制措施在设计层面上是否能够有效降低操作风险事件的发 生频率和严重程度。控制落实度是指某项控制措施在执行层面是 否有效落实。第六条操作风险暴露与控制有效性的评估，至少应达到以 下频率要求。(一)固有风险：每年至少评估一次；(二）剩佘风险：每半年至少评估一次；(三）控制设计：每半年至少评估一次；(四）控制落实度：针对每日执行三次以上的控制措施，至 少每月评估一次；针对执行频率较低的控制措施，至少应每半年 评估一次；最长区间为每年评估一次。总行各部门，可以依据管理的要求，在此基础上增加操作风 险暴露或控制有效性的评估次数。第七条新产品（新业务）的操作风险评估，将依据 银行新产品（新业务）操作风险自评估管理暂行办法（交银办 201088 号)执行。第八条若有其他非常规事件发生时，包括但不限于操作风 险政策调整、组织机构变革、流程变更、重要人员变更、重大操 作风险事件发生、同业发生新案例等，都应该启动对相关流程的 自我评估执行程序。第三章职责分工第九条自我评估体系包括组织协调单位、执行单位和稽核 审计单位。组织协调单位为总分行的风险管理部；执行单位包括 总分行各部门及所有支行和网点；稽核审计单位为审计部门。 第十条总行风险管理部的主要职责包括：(一)拟定本行统一的自我评估管理办法、评估标准和具体 的操作规程，提交高级管理层审批；(二）牵头制定全行自我评估工作的计划日程，督导并确保 全行自我评估工作按计划完成；(三）牵头制定全行统一的操作风险字典与控制字典，并综 合总行各部门的意见与建议定期进行维护；(四）协助执行单位开展自我评估工作，并在方法论和操作 流程等方面给予培训和指导； 险地图；(六）依据全行自我评估的变化状况，汇总分析全行自我评 估报告(七）监控全行的行动计划实施进度。第十一条分行风险管理部的主要职责包括：(一)在全行自我评估工作的计划日程框架下制定本行自我 评估工作计划，确保本行自我评估工作按计划完成；(二）汇总分行各部门对操作风险字典与控制字典的补充或 修改意见与建议，向总行风险管理部提出申请；(三）协助本行执行单位开展自我评估工作，并在方法论和 操作流程等方面给予培训和指导；(四）汇总经分行各条线管理部门调整后的风险容忍度边界值；(五）汇总分行各部门自我评估结果，并向总行风险管理部 提交分行自我评估分析报告。(六）监控本分行的行动计划实施进度；第十二条总行各部门主要职责包括：(一)定期发起本部门牵头流程的流程分析工作；(二）评估全行范围内已识别的每个操作风险事件的固有风 险暴露和剩佘风险暴露； (三）评估每项控制措施的控制设计有效性与控制落实度；(四）向总行风险管理部提出本业务条线风险字典与控制字 典的补充或修改意见与建议；(五）汇总、整理并分析本条线各省直分行的自我评估结果, 形成报告后提交至总行风险管理部；(六）制定本条线业务流程的全行层级操作风险容忍度边界 值以及不同类型分行适用的操作风险容忍度边界值；(七）监控本条线的行动计划实施进度。第十三条分行各部门的主要职责包括：(一）按照本分行实际情况，进行本分行风险与控制的识别工作；(二）评估本行范围内已识别的每个操作风险事件的固有风 险暴露和剩佘风险暴露，并将评估结果报告至总行各对应部门和 分行风险管理部；(三）评估每项控制措施的控制设计有效性与控制落实度；(四）向分行风险管理部提出本业务条线风险字典与控制字 典的补充或修改意见与建议；(五）对本部门自我评估成果进行分析，并撰写分析报告提 交至总行对应部门和分行风险管理部；(六）依据总行下发的风险容忍度边界值，并结合本条线的 具体情况调整或细化分行层级的操作风险容忍度边界值；(七）监控本分行、本条线的行动计划实施进度。第十四条支行和网点的主要职责为：评估本单位范围内巳识别的各项控制措施的控制落实度并实施相应的行动计划。第十五条审计部门的主要职责为：定期检查、验证本行的自我评估体系；检查自我评估的执行情况。第四章执行程序第十六条自我评估的执行程序包括风险与控制识别、评分 计划排定、风险地图设定、操作风险暴露与控制有效性评估、评 估结果分析与调整以及行动计划的制定与执行六个主要阶段。第十七条风险与控制识别包括总行和分行两个层次。(一)每年第四季度，总行部门针对由本部门牵头的主流程 进行流程分析工作，对业务经营过程中所面对的固有操作风险以 及目前所配备的控制措施进行重新识别和更新。在流程分析过程 中，总行部门可发起对风险字典的更新和维护工作，并报总行风 险管理部审批，审批通过后由总行风险管理部执行。(二）每年第四季度，分行依据本行实际情况进行本分行操 作风险与控制措施的调整与更新工作，并按条线将调整与更新结 果报总行条线管理部门审定。第十八条总分行业务管理部门应于每年第四季度制定次 年的评分计划，并报送总分行风险管理部审核。排定评分计划包 括：(一）设定评分频率。在遵循本办法第六条的原则下，总行 流程牵头部门负责设定每项操作风险事件的评分频率，总行制度 设计部门负责设定控制设计与控制落实度的评分频率。分行部门 在遵循总行对于评分频率的指导原则下，可依据自身管理的需求, 调高评分的执行频率。总分行业务管理部门操作风险与控制的评 分频率均须经本部门审批同意，并分别提交总分行风险管理部备 案。(二）指定评分与复核人员。评分和复核人员应具备丰富的 业务经验和较强的操作风险意识。总行部门的评分人员以及评分 结果复核人员由本部门指定，并由部门审批同意。分行部门及其 管辖范围内的评分人员与评分结果复核人员，由本部门指定。评 分与复核人员确定后，分别提交总分行风险管理部备案。(三）指定评分日程。总分行风险管理部负责汇总总分行不 同业务条线或部门的自我评估执行日程。分行的自我评估执行日 程规划应在全行日程规划框架下完成，并提交总行风险管理部备 案。第十九条设定风险地图是指由评估对象根据其风险偏好 确定风险容忍度边界，以此反映其操作风险暴露状况。(一)设定全行主流程的风险地图。总行主流程牵头部门负 责制定全行层级的操作风险容忍度边界值以及不同类型分行适用 的操作风险容忍度边界值。全行层级的风险地图由总行条线管理 部门提出后，经总行风险管理部审核后提交风险管理委员会批准生效。(二）设定分行各项主流程的风险地图。分行部门可依据总 行下发的风险容忍度边界值，结合本条线的具体情况进行调整， 但不得逾越总行所定的边界值。分行各业务条线的风险容忍度边 界值，由分行风险管理部审核，经分行行长核准后实行，并提交 总行条线管理部门报备。分行业务条线的风险容忍度边界值如确 有特殊原因超越总行下发的边界值，则由分行部门经分行行长核 准后，提交总行条线管理部门批准。第二十条操作风险暴露与控制有效性评估包括：(一)操作风险暴露与控制有效性的沟通与讨论。操作风险 暴露、控制设计有效性与控制落实度的评估部门在决定最终评分 前，应组织自我评估讨论会针对操作风险暴露与控制有效性的实 际状况进行充分的交流与讨论，讨论会可根据需要在部门内或跨 部门进行。(二）操作风险暴露与控制有效性的评估。总行、分行及网 点依据排定的日程及针对操作风险暴露与控制有效性实际状况的 讨论结果，由评分与复核人员分别进行评分结果的录入与复核工 作。第二十一条评估结果分析及调整。操作风险暴露评估与控 制有效性评估完成后，自我评估的参与人员应结合业务经验对剩 佘风险暴露在风险地图中的落点进行合理性分析，如落点明显不 合理应对评分结果或操作风险容忍度边界值进行调整。第二十二条完成风险与控制自我评估后，应对评估结果进 行分析与研究，并针对操作风险管控的薄弱环节，制定相应的行 动计划。(一)分行层级的行动计划，由分行各部门牵头制定相应的 行动计划，在分行部门审批后执行。分行风险管理部应监控本行 及管辖分行行动计划的进展状况和实际成果。(二）总行层级的行动计划，由总行各部门牵头制定相应的 行动计划，在本部门审批后执行。总行风险管理部应监控总行层 级行动计划的进展状况和实际成果。第五章分析与报告第二十三条自我评估工作完成后，对操作风险暴露、控制 措施、行动计划等进行持续有效的监测、分析，形成自我评估分 析报告，是自我评估管理的一项重点工作。第二十四条自我评估分析报告是操作风险评估报告内容 的重要组成部分,应在每季度的操作风险评估报告中重点阐述。(一)总行与分行部门应每季度针对管辖范围内的自我评估 工作进行分析，并分别提交分析报告至总分行风险管理部。(二）分行风险管理部应每季度针对本分行的自我评估工作 进行综合分析，提交报告至总行风险管理部。(三）总行风险管理部应依据全行的自我评估执行情况，汇 总制作全行的自我评估分析报告，并将结果提交至总行风险管理 委员会。第二十五条自我评估分析报告至少应包含以下内容：(一)每年第一季度的报告应包含当年度的自我评估计划，之后的季度报告应包含自我评估计划的执行情况；(二）操作风险暴露达到警戒范围或不能容忍范围的操作风 险类型、造成的原因以及应对措施；(三）设计不完善或是落实度较差的控