银行操作风险管理实施办法

银行操作风险管理实施办法第一章总 则第一条为建立和完善银行股份有限公司（以下简称 “本行”操作风险管理体系，加强对操作风险的管理，促进全面 风险管理体系建设，全面贯彻和落实银行股份有限公司操 作风险管理政策（交银董201013号，下称“管理政策”）的 有关规定，特制定本办法。第二条本办法是操作风险管理政策的延伸，由总行风险管 理部根据操作风险管理政策的相关原则进行制定与更新，并由总 行风险管理委员会批准。第二章组织架构及职责分工第三条操作风险管理的组织架构分为公司治理层面和职 能管理层面两个层次。公司治理层面由董事会、监事会、高级管 理层组成操作风险管理的领导机构。职能管理层面由业务经营部 门、条线管理部门、风险管理部门和内部审计部门组成操作风险 管理“四道防线”。上述机构和部门的职责分工按照银行股 份有限公司操作风险管理政策（交银董201013号）的有关 规定设置执行。第四条为有效落实操作风险管理工作，总行风险管理部下 设操作风险管理二级部门，专职负责全行操作风险的管理工作； 分行风险管理部下设操作风险管理岗，负责分行层面的操作风险 管理工作；总行条线管理部门应指定相关的二级部门，承担本条 线操作风险的日常管理工作；分行条线管理部门也应指定具有一 定业务和风险管理经验的人员负责具体的操作风险管理。第五条总行风险管理部下操作风险二级部的主要职责包括：(一）拟订本行的操作风险管理政策、实施办法和程序，并 在总分行范围内组织落实操作风险管理政策及其办法的实施；(二）作为全行操作风险管理的牵头部门，组织协调、协助 总行各业务管理部门、各分行，对操作风险进行识别、评估、控 制、缓释、监测与报告；(三）牵头拟定及修订全行层面的操作风险偏好和关键风险 指标，审核全行层面的操作风险容忍度；(四）监测全行操作风险并牵头管理重大操作风险事件；(五）推动操作风险管理工具在本行的实施，制定操作风险 管理工具的方法论，并对其进行持续研究和更新；(六）针对条线管理部门的新产品/新业务自评估结果进行 审查，并提出相关意见；(七）按照监管规定和本行实际状况制定操作风险资本计量 的具体方法，为未来操作风险资本的高级法计量做好准备；(八）建立操作风险管理信息系统，并负责系统的日常运行 和维护；(九）为各部门提供操作风险管理方面的培训，协助各部门 提高操作风险管理水平；(十）有效识别、评估、控制/缓释、监测和报告操作风险, 汇总分析总行各业务部门和分行提交的操作风险评估报告，定期 编制全行层面的操作风险评估报告提交高级管理层、董事会；(十一）制定和维护全行范围内业务连续性管理的办法；制 定业务连续性计划的编制方法；指导各部门制定和维护业务连续 性计划和灾难恢复计划；定期审查各部门业务连续性计划和灾难 恢复计划；(十二）指导和定期检查各部门的操作风险管理工作，并提 出相关意见和建议。第六条分行风险管理部操作风险管理岗的主要职责包括：(一)拟定全辖操作风险管理实施办法和细则；(二）对分行各部门和辖内机构操作风险管理工作进行检 查、评估，并提供支持；(三）汇总分行层面的操作风险容忍度的边界值和关键风险 指标的门槛值，汇总和整理全辖及分行的操作风险损失数据、组 织分行进行操作风险与控制评估及结果分析、指导分行业务部门 对关键风险指标进行监控，对操作风险管理工具的应用向总行风 险管理部提出改进建议；(四）监督行动计划的实施进度和效果，统筹、协调跨部门 行动计划的实施；(五）根据操作风险评估报告要求，对全辖及分行操作风险 进行整体评估，对操作风险暴露及损失进行分析，形成操作风险 评估报告，定期报送总行风险管理部；(六）为分行各部门提供操作风险管理方面的培训，协助各 部门提高操作风险管理水平；(七）统筹管理本行的业务连续性计划，检查各部门危机管 理计划、恢复策略、定期演练和备份方案。第七条总行条线管理部门操作风险管理职责包括：(一)根据本行操作风险管理的政策、程序和具体的操作规 程，或结合条线实际情况制定实施细则；在制定本条线业务流程 和相关业务制度时，充分考虑操作风险管理和内部控制的要求， 确保与操作风险管理总体政策的一致性；(二）履行本条线、部门内部以及与总行风险管理部、其他 部门在操作风险管理方面的沟通、协调职责；(三）制定本条线业务流程的操作风险容忍度全行层级的边 界值以及不同类型分行适用的操作风险容忍度边界值，牵头组织 和指导部门内及本条线的操作风险识别和评估工作；(四）监控本条线的操作风险管理工作，对操作风险三大工 具的应用提出改进建议，定期编制并提交操作风险评估报告；(五）参加操作风险管理培训，并组织本条线的操作风险管 理的培训；(六）制定流程层级关键风险指标和全行门槛值，监测本条线的关键风险指标，及时通报重大操作风险事件和重大损失事件；(七）收集和积累本部门自身操作风险的损失数据，为未来 操作风险资本的高级计量法测算提供数据基础；(八）根据实际情况制定本条线的业务连续性计划或灾难恢 复计划，定期测试和演练，保证持续经营，将重大或较大业务中 断事件发生时导致的业务中断影响最小化。第八条分行条线管理部门的操作风险管理职责包括：(一)宣传、推广操作风险管理文化，保证操作风险管理实 施办法和本分行操作风险管理实施细则的落实；(二）牵头组织操作风险管理工具在本部门的实施，包括调 整或细化本条线业务流程操作风险容忍度分行层级的边界值、流 程层级关键风险指标分行门槛值、组织本部门员工进行风险与控 制自我评估、保证本部门损失数据的及时收集和报送、监测本部 门流程层级关键风险指标等；(三）牵头开展本部门行动计划的实施，保证进度及实施效 果，并作为跨部门行动计划的联系人，积极协调、配合跨部门行 动计划的顺利实施；(四）定期总结分析本部门操作风险工作成果和现状，向总 行条线管理部门和分行风险管理部汇报；(五)参加分行层面的操作风险培训，并在部门内组织培训。 第九条内部审计部门在操作风险管理中承担对总分行操作风险管理执行情况进行审计的工作，全面反映总分行各层面操 作风险管理的执行情况。第三章操作风险偏好和容忍度第十条本行的操作风险偏好强调业务规模、获利与风险承 受度的匹配，在实现股东价值最大化的同时注重操作风险的管理， 持续强化操作风险管理体系，落实内部控制制度。第十一条本行通过确定操作风险容忍度、操作风险评估内 容、关键风险指标、损失数据收集等手段将操作风险偏好落实到 实际管理层面。第十二条本行根据操作风险偏好和业务规模，釆用设置风 险边界的方法，设定操作风险容忍度。第十三条本行的操作风险容忍度区域分为四个等级，分别 以绿色、黄色、橙色、红色加以区分。(一)绿色区域：表示操作风险暴露落在安全区域。基于风 险管理、成本与效益的考虑，不必釆取额外的控制措施来降低操 作风险暴露。(二）黄色区域：表示操作风险暴露落在加强监控的范围内， 相关单位应加强管理及监控的力度。(三）橙色区域：表示操作风险暴露巳落在警戒范围内，相 关单位应该立刻启动行动计划,将操作风险迅速降低至安全区域。(四）红色区域：表示操作风险暴露巳落在不可忍受的范围 内，应立刻启动行动计划，将操作风险迅速降低至安全区域，同时启动责任认定程序，必要时追究相关人员责任。第十四条操作风险容忍度分为全行和分行二个层次，分别 由总行条线管理单位和分行业务条线牵头制定。(一)总行条线管理单位针对主要业务流程的操作风险暴露 制定本条线全行层级的操作风险容忍度。全行层级操作风险容忍 度由总行条线管理部门提出，风险管理部审核，并报风险管理委 员会批准生效。(二）分行各业务条线可依据总行制定的风险容忍度边界 值，结合本条线的具体情况进行调整，由分行风险管理部审核， 分行行长核准后实行，并提交总行条线管理部门报备。分行风险 容忍度边界值原则上不得逾越总行制定的边界值，如确有特殊原 因超越的，由分行部门经分行行长核准后，提交总行条线管理部 门批准。第十五条根据本行的操作风险偏好，在执行操作风险评估 时，除评估操作风险事件对评估单位的财务影响外，至少应同时 评估以下类型的影响。(一)对业务持续运营的影响；(二）对广大客户服务质量的影响；(三）对本行声誉的影响；(四）对本行客户或员工人身安全的威胁；(五）监管机关对本行釆取监管行动的可能性。第十六条总行风险管理部应依据本行的操作风险偏好，牵 头制定和监测全行层级的关键风险指标。指标监测内容至少应包 括员工道德操守、员工上岗能力、合规、服务质量、营业场所与 工作环境安全、信息系统安全与稳定等。第十七条总行风险管理部应在银监会监管规定的基础上， 综合考虑本行风险管理工作的成本与效益，制定全行一致的操作 风险事件收集范围及损失数据收集门槛。收集范围包含银监会规 定的范围、本行特别关注的重大操作风险事件，以及其他损失金 额达到特定门槛以上的事件。第十八条总行业务条线可依据管理的需求，扩大操作风险 事件收集范围或降低损失数据收集门槛。分行损失数据的收集范 围与门槛，应遵循总行所下发的银行损失数据收集管理暂 行办法(交银办201090号）第四章操作风险分类架构第十九条为实现操作风险管理和数据釆集的标准化，构建 全行统一的操作风险管理体系，本行将操作风险的损失事件、风 险因子、影响类型、事件形态以及操作风险控制措施进行架构化 分类，形成全行层面的操作风险与控制字典。第二十条总行风险管理部负责牵头建立全行层面的操作 风险与控制字典。操作风险与控制字典将另行下发，并由总行风 险管理部负责定期或不定期更新。第二十一条在日常操作风险管理过程中，若现有字典需要 补充或修改的，应提出申请。(一)总行层级由总行条线部门发起更新需求，经总行风险 管理部审核后维护。(二）分行层级由分行风险管理部汇总各部门意见后向总行 风险管理部提出申请，总行风险管理部会同相关部门审核后进行 维护。第二十二条在新产品/新业务上线前，若在识别操作风险 与控制措施过程中，发现现有字典不足，由产品或业务牵头部门 发起更新需求，经总行风险管理部审核后进行维护。第二十三条当外部环境变化时（包括但不限于：宏观形势 的变化、监管法规的更新、发生重大外部操作风险事件等）若发 现操作风险字典或控制字典需要完善时，业务条线部门向总行风 险管理部发起字典的检查和修订工作。第二十四条总行风险管理部应定期将全行的操作风险字 典、控制字典的更新情况向操作风险管理委员会汇报。第五章管理工具实施的基本要求第二十五条根据巴塞尔新资本协议和银监会有关指引中 对操作风险管理体系建设的要求，目前本行主要应用的操作风险 管理工具包括风险与控制自我评估（RCSA )、关键风险指标（KRI) 以及损失数据收集（LDC)(下称“管理工具第二十六条风险与控制自我评估、关键风险指标以及损失 10 数据收集管理工具，应在总行各部门、分行及辖下所有分支机构 实施。第二十七条管理工具的实施方法由总行风险管理部负责 制定，并下发详细的实施办法和操作规程。随着操作风险管理需 求与技术的变更或提升，总行风险管理部可在原有的基础上进行 实施方法强化，经总行风险管理委员会同意并完成试点后正式实 施。实施方法更新后，相关管理办法和操作规程应同步更新。第二十八条管理工具必须建立在全行一致的操作风险分 类架构基础上。具体实施时，包括执行、分析与报告阶段，管理 工具之间必须互相参照与支持。第二十九条管理工具必须在业务流程分析的基础上执行。 流程分析是管理工具的基础工作，主要目的在于识别主要业务流 程或业务活动中固有的操作风险事件以及目前本行具备的相应控 制措施。流程分析工作由总行部门定期发起，原则上以各部门业 务所梳理的主流程为标的。第三十条风险与控制自我评估（Risk and Control Self Assessment,简称“RCSA”）是商业银行识别和评估潜在操作风 险以及自身业务活动的控制措施、适当程度及有效性的操作风险 管理工具。第三十一条本行自我评估工作以流程为实施对象，通过定 期对业务范围内潜在的操作风险以及目前具备的控制措施的识别 与评估，了解业务范围内所面对的操作风险事件的风险暴露分布、 控制失效的原因，据此釆取有效的应对措施，将操作风险暴露控 制在能够忍受的范围之内。第三十二条关键风险指标（Key Risk Indicator,简称 “KRI” )是指代表某一风险领域变化情况并可定期监控的统计指 标。关键风险指标可用于监测可能造成损失事件的各项风险及控 制措施，并作为反映风险变化情况的早期预警指标。通过对主要 风险类型的早期预警，及时釆取应对措施，避免重大操作风险事 件的发生。第三十三条本行通过对关键风险指标的监控，掌握本行所 关注的操作风险暴露，并在预警信息产生时，及时釆取应对方案。第三十四条损失数据收集（Loss Data Collection,简称 “LDC” ),是指依据银监会的规定、交行的操作风险偏好与管理需 求所定义的收集范围，针对操作风险事件的相关信息，进行数据 收集、内容分析、整改方案设计与执行、损失分配、内外部报告 等过程。第三十五条损失数据收集应遵循重要性、及时性、统一性 和谨慎性的原则。对损失金额较大和发生频率较高的操作风险损 失事件进行重点关注和确认；制定收集数据的统一标准，确保统 计结果客观、准确及可比；及时确认、完整记录和准确统计操作 风险损失事件所导致的直接财务损失。 第六章操作风险报告第三十六条操作风险报告机制包括报告的责任、路径、频 率以及对各部门的具体要求。本行应建立完整的操作风险报告体 系，定期向董事会和高级管理层报告。第三十七条总分行各部门应每季度向本部门负责人和本 级风险管理部提交操作风险评估报告。报告内容包括：(一）本部门操作风险整体评价，可从人员、流程、系统和 外部事件等综合维度进行报告，包括但不限于：存在的主要潜在 操作风险因素、重大的项目规划、操作风险管理环境的重大变化(如宏观环境、政策监管变动等）对操作风险管理的影响与应重 点关注的操作风险管理事项等。(二）本部门操作风险管理的执行情况，包括但不限于：操 作风险与控制识别和评估的情况，针对操作风险暴露较高的风险 点所釆取的控制缓释措施，关键风险指标的及时更新、持续改进 和跟踪情况，损失数据收集与处理情况等。具体内容详见 银行风险与控制自我评估管理暂行办法（交银办201092号）银行关键风险指标管理暂行办法（交银办2G1G91号）银行损失数据收集管理暂行办法（交银办2G1G9G号）(三）本部门操作风险管理的成效、不足和改进方向，如操 作风险管理措施的效果、操作风险管理中存在的问题和不足、内 外部审计和监管部门的有关意见，以及下一阶段的主要操作风险 管理措施等。第三十八条省直分行和海外分行应当将操作风险及其管 理状况纳入风险评估范围，根据全行风险评估制度的统一要求， 对操作风险进行评估，并定期向本分行风险管理部提交包含操作 风险管理状况在内的风险评估报告，经本分行风险管理委员会审 议后同时上报本分行高级管理层和总行风险管理部。省直分行的 风险评估报告应同时包含对省辖行操作风险管理状况的评估。第三十九条总行风险管理部应定期对各单位的操作风险 评估报告进行汇总分析，在此基础上对全行操作风险进行综合评 估，并向总行风险管理委员会提交操作风险评估报告。第四十条子公司操作风险评估报告参照总行各部门报告 内容、路径和频率执行。第七章操作风险的缓释管理第四十一条操作风险的缓释方法包括业务连续性计划的 制定、服务外包、保险购买等，在釆取上述缓释方法的同时，应 考虑其自身潜在的操作风险，并制定相应的管理办法。第四十二条全行各部门和各分行应当根据实际情况制定 与其业务规模和复杂性相适应的业务连续性计划和灾难恢复计 划，并进行定期测试和演练。第四十三条为有效缓释和防范操作风险，各单位可将某些 专业性较高的工作外包给专业机构执行。服务外包必须制定有效 的外包管理制度，服务外包的管理应至少包括以下内容：(一)充分认识服务外包的风险性，并将其纳入总体安全策 略和风险控制之中。(二）原则上不能将重要或关键银行业务外包给外部机构。(三）所有外包业务都必须履行审批手续、并经充分评估后 签订书面合同或协议，明确双方的权利责任。(四）建立健全外包承包方评估机制，充分审查、评估承包 方的经营状况、财务实力、诚信历史、安全资质、技术服务能力 和实际风险控制与责任承担水平，并进行必要的尽职调查。评估 工作可委托由监管部门认定资质的，具有专业经验的独立机构完 成。(五）建立完整的外包风险评估与监测程序，审慎管理外包 产生的风险，提高外包管理的能力，并建立针对外包风险的应急 计划。外包风险评估内容至少包括：确定外包服务的重要性及关 键因素；外包服务的成本及收益分析；外包机构的风险状况分析； 评估重要业务的业务连续性计划。(六）将敏感信息以及其他涉及国家秘密、商业秘密和客户 隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律 法规，符合银监会的有关规定，经过董事会或其他决策机构批准， 并在实施外包前报银监会及其派出机构和法律法规规定需要报告 的机构备案。外包合约终止，应及时向外包承包商取回所有客户 资料或将资料销毁。(七）与外包承包方建立有效的联络、沟通和信息交流机制， 并制定在意外情况下能够实现承包方的顺利变更，保证外包服务 不间断的应急预案。(八）定期委托审计机构对特定的外包业务进行审计评价。 第四十四条各单位可按照本单位业务的实际情况选择适 当的保险公司和险种，有效减少银行操作风险所造成的损失。保 险缓释管理至少应包含以下内容：(一)建立保险公司的评估机制，综合保险公司的险种特征、 赔付能力、诚信记录、与本行的合作历史等，纳入定期考核范围。 应根据本单位实际情况选择适当的保险公司和险种，所有投保工 作都必须签订书面合同或协议，明确双方的权利义务。(二）投保单位至少应每年一次对投保情况进行重检、复核 及调整。第八章新产品/新业务风险管理第四十五条在新产品/新业务开发以及流程改造、再造过 程中，牵头的业务部门应对其操作风险状况进行适当的评估，风 险管理部负责对评估内容进行审查。第四十六条新产品/新业务的负责人员应具备足够的资 质，产品负责人员的人员配备、工作经验和技术培训应足以胜任 新产品/新业务的要求。第四十七条新产品/新业务的流程设计应成熟、完备，相 关的内部控制应能够有效地防范操作风险并易于在实际的业务环 境中落实。第四十八条新产品/新业务的系统应安全可靠，系统中设 置的控制措施应能够帮助规避新产品/新业务的操作风险,并且系 统本身应具备技术安全性。第四十九条新产品/新业务的评估应包括外部环境对新产 品/新业务的影响，新产品/新业务上线前，应综合分析宏观环境、 政策及监管变动等对新产品/新业务的操作风险管理可能造成的 影响。第九章操作风险管理培训和绩效考核第五十条本行操作风险管理培训分为业务培训、操作风险 管理人员培训和全员操作风险管理培训三个层次执行。(一)业务培训。总行及分行业务条线单位负责对员工的持 续业务培训，保证全体员工熟悉、掌握所从事工作的业务要求与 技能，有效降低因人员不合格所造成的操作风险暴露。(二）操作风险管理人员培训。各级风险管理部和培训部门 负责每年制定操作风险管理人员培训计划，对操作风险管理人员 及各单位的专兼职操作风险管理人员进行充分的培训，内容应该 包括操作风险管理理论、操作风险管理技术、本行的操作风险管 理政策及程序等。(三）全员操作风险管理培训。总行及各级风险管理部门、 培训部门负责每年制定操作风险管理培训计划和制定更新培训教 材，对全行员工进行相应的操作风险管理培训。确保所有员工对 于操作风险的管理以及三大工具的运用有正确的认识。第五十一条本行建立并实施操作风险管理工作的绩效考 核制度，通过公开、公平、公正的考核及奖惩机制，将操作风险 管理工作成果纳入各单位的绩效考核指标。第五十二条