某银行评估管理办法

1 附件 某银行操作风险与控制自我评估 管理办 法 2 0 版 2015 年 第一章总 则 第一条 为及时识别我行经营管理中的操作风险 准确评 估风险等级 提供风险管理决策参考 提升我行操作风险管理 水平 根据中国银监会 商业银行操作风险管理指引 某银 行操作风险管理政策 等规定 制定本办法 第二条 本办法所称操作风险与控制自我评估 Risk and Control Self Assessment RCSA 是指我行各部门 分支机构 对自身经营管理中存在的操作风险点进行识别 评估固有风险 再通过分析现有控制活动的有效性 判断剩余风险 并提出优 化控制措施的过程 第三条 固有风险指在未采取控制措施或其他风险缓释措 施之前本身就存在的风险 控制活动是指能够避免或减少风险发生可能性或者不利影 2 响的所有流程和行动 剩余风险是指采取现有的控制活动或其他风险缓释措施后 仍存在的风险 第四条 自我评估的目标是建立覆盖我行各项经营活动的 操作风险动态识别 评估 防控机制 自我评估单位要及时识 别面临的风险点 避免违规操作 控制风险隐患 并为操作风 险管理决策提供依据 第五条 自我评估遵循以下原则 一 全面性 自我评估范围应包括各相关部门 分支机 构 各业务品种 各流程环节和风险点 二 及时性 自我评估工作应及时开展 评估结果应及 时 报送 优化措施应及时实施 实施效果应及时检查 三 客观性 自我评估工作应当谨慎 客观 并充分考 虑我行内 外部环境变化因素 第二章 自我评估流程 第六条 自我评估的流程包括 不限于 制定自我评估方 案 组织相关部门实施 制订控制优化措施 后续跟踪检查四 个阶段 3 第七条 总行法律与合规部 各业务管理部门 分支机构 为自我评估发起单位 负责制定自我评估方案 按照有关内部 控制的要求和频率开展实施 第八条 总行法律与合规部主要针对政策 法规和监管部 门要求以及内外部审计检查发现的风险隐患提出自我评估要求 各业务管理部门应针对本业务条线操作风险管理的重点 提出自我评估要求 并根据评估结果制订优化措施 分支机构应根据有关规章制度规定提出自我评估要求 并 将评估结果 优化措施建议及时报告各业务管理部门以及上级 行的法律与合规部 第九条 自我评估方案内容主要包括 自我评估目的 评 估单位 评估内容范围 时间安排 评估方式及评估人员组成 等 第十条 评估单位应注重日常资料收集和风险点监控工作 梳理相关业务制度和流程步骤图表 确定关键控制环节和风险 点 第十一条 识别风险点时应重点关注 一 业务管理流程 操作规程各环节中存在的风险点 特别应在新业务 新产品开发过程中识别 4 二 信息科技系统 包括业务处理系统 管理信息系统 等 存在的缺陷 三 制度缺乏或因客观原因难以执行 实际控制失效的 制度规定 四 实际操作过程中易发生误操作或差错频繁发生的环 节 五 关键岗位人员操作风险 六 监管要求 检查发现以及外部环境变化 第十二条 评估风险时应重点关注 一 固有风险评估 对我行所面临的每个操作风险点都 必须评估其固有风险 根据操作风险事件的发生频率 损失严 重程度组合确定相应风险等级 二 控制有效性评估 评估控制活动有效性应从制度设 计和实际控制实施两方面进行 确定控制有效性等级 三 剩余风险评估 综合考虑固有风险等级和控制有效 性等级 确定剩余风险等级 第十三条 评估单位应当以书面形式如实记录自评过程 汇总 分析评估成果并形成自评报告 自评报告的内容主要包 括自评工作开展情况 自评的结果 分析风险因素和风险类型 自评中发现的问题及控制优化措施建议 自评工作底稿等 5 第十四条 各评估单位负责人应及时 全面掌握本单位自 我评估工作开展情况 对所有风险点的自我评估结果进行审核 并签字确认 自我评估完成后 各评估单位应在规定时间内向 发起单位报送自我评估报告 第十五条 优化措施是根据风险和收益匹配原则 对不同 水平的剩余风险相应采取规避风险 转移风险 降低风险和承 担风险等措施 规避风险是对极高水平 发生频率 损失严重程度均很高 的剩余风险 对之采取管理措施的成本远高于所带来的收益时 可以通过放弃或改变该业务领域来消除风险 转移风险是对高水平 发生频率低 却可能造成严重损失 的剩余风险 通过保险或业务外包等风险转移或冲抵方式 将 风险转移给其他机构 降低风险是对中水平 发生频率高 但损失程度相对低 的剩余风险 通过采取相应风险管理措施减少风险发生的频率 及风险产生的影响 以降低风险水平 承担风险是对低水平以下 发生频率 损失严重度均低 的剩余风险 当其风险水平与我行的风险偏好相比可以接受时 可以不再进一步采取其他管理措施 第十六条 控制优化措施由各业务管理部门审定后实施 6 并报总行法律与合规部备案 第十七条 自我评估发起单位应综合考虑业务发展水平 操作风险管理水平等因素 适时组织后续跟踪检查 督促评估 单位跟进识别和评估操作风险 并切实采取措施提高控制有效 性 第三章 自我评估的组织 第十八条 总行法律与合规部每年至少组织开展一次全面 的自我评估工作 各业务管理部门 各分支机构每年至少组织 开展两次自我评估工作 发起单位可根据工作需要提高开展频 率 第十九条 各业务管理部门 分支机构应在有新产品或新 业务开发 新设备和新系统应用 发生重大事故 案件和损失 事件 业务流程发生重大变化 关键岗位员工流动 机构新设 立或发生重要变革 法律法规 监管要求发生变化 内外部检 查审计发现新风险点等情况下 根据需要及时开展自我评估 第二十条 在开展自我评估的过程中 可根据需要采取不 同方法 一 调查问卷法 自我评估发起单位组织人员设计评估 调查表 接受调查的员工对调查表中的问题独立 如实填报并 7 及时反馈 自我评估组织人员根据调查结果评估操作风险及其 控制状况 二 评估研讨会法 自我评估组织人员召集有关专业的 员工代表共同作为自我评估参与人员 就特定的问题或流程进 行面谈和讨论 员工代表应包括管理人员和业务人员等多个层 次 以便全面收集相关专业操作风险与控制的信息 三 专家经验法 采用专家经验判断的方式 进行定性 预测 相关业务专家采用匿名方式发表意见 自我评估组织人 员经过反复征询 归纳 修改 最终汇总成专家基本一致的看 法作为结果 第二十一条 各业务管理部门根据本专业特点和发展需要 对包括本部门在内的专业操作风险实施自我评估工作 指导和 监督下级行对口部门的自我评估工作 形