银行风险与控制自我评估管理暂行办法

银行风险与控制自我评估管理暂行办法第一章总 理政策(交银董儿1013号)和银行操作风险管理 实施办 法(交银办201089 号，下称“办法”)对风险与控制 自我评估 的有关规定，特制定本办法。 第二条本办法是操作风险管理政策的延伸，由总行风险管 根据操作风险管理政策和办法的相关原则进行制定与更新，并由总 行风险管理委员会批准。 第三条风险与控制自我评估(Risk ControlSelf Assessment, 简称“自我评估”或“RCSA”)是一种操作风险管理 工具，用于识 别和评估自身的潜在操作风险，以及自身业务活动 控制措施的适当 性和有效性。 第二章总体要求 第四条本行自我评估工作以流程作为实施对象，本行所有 有效性”的评估。(一)操作风险暴露评估，分为“固有风险暴露”评估和“剩 佘风险暴露”评估。固有风险暴露是指假设不存在任何控制措施， 未来一年内发生操作风险损失的可能性和金额。剩佘风险暴露是 度在控制措施实施后有可能降低的情况下，未来一年内发生操作风 险损失的可能性和金额。 操作风险暴露评估应当包括对事件的发生频率和严重程度 (二)控制有效性，包括对每项已有的控制措施进行“控制设计 有效性”以及“控制落实度”的评估。控制设计有效性是指 某项控 制措施在设计层面上是否能够有效降低操作风险事件的发 生频率和 严重程度。控制落实度是指某项控制措施在执行层面是 否有效落实。 第六条操作风险暴露与控制有效性的评估，至少应达到以 率要求。(一)固有风险:每年至少评估一次; (二)剩佘风险:每半年至少评估一次; (三)控制设计:每半年至少评估一次; (四)控制落实度:针对每日执行三次以上的控制措施，至 月评估一次;针对执行频率较低的控制措施，至少应每半年评估一 次;最长区间为每年评估一次。 总行各部门，可以依据管理的要求，在此基础上增加操作风 暴露或控制有效性的评估次数。第七条新产品(新业务)的操作风险评估，将依据 银行 新产品(新业务)操作风险自评估管理暂行办法(交银办 2010 88 号)执行。 第八条若有其他非常规事件发生时，包括但不限于操作风 策调整、组织机构变革、流程变更、重要人员变更、重大操作风险 事件发生、同业发生新案例等，都应该启动对相关流程的 自我评估 执行程序。 第三章职责分工 第九条自我评估体系包括组织协调单位、执行单位和稽核 审计 单位。组织协调单位为总分行的风险管理部;执行单位包括 总分行 各部门及所有支行和网点;稽核审计单位为审计部门。 第十条总行 风险管理部的主要职责包括: (一)拟定本行统一的自我评估管理办法、评估标准和具体 作规程，提交高级管理层审批;(二)牵头制定全行自我评估工作的计划日程，督导并确保 全行 自我评估工作按计划完成; (三)牵头制定全行统一的操作风险字典与控制字典，并综 行各部门的意见与建议定期进行维护;(四)协助执行单位开展自我评估工作，并在方法论和操作 流程 等方面给予培训和指导; 险地图; (六)依据全行自我评估的变化状况，汇总分析全行自我评 (七)监控全行的行动计划实施进度。第十一条分行风险管理部的主要职责包括: (一)在全行自我评估工作的计划日程框架下制定本行自我 评估 工作计划，确保本行自我评估工作按计划完成; (二)汇总分行各部门对操作风险字典与控制字典的补充或 修改 意见与建议，向总行风险管理部提出申请; (三)协助本行执行单位开展自我评估工作，并在方法论和 操作 流程等方面给予培训和指导; (四)汇总经分行各条线管理部门调整后的风险容忍度边界 (五)汇总分行各部门自我评估结果，并向总行风险管理部提交 分行自我评估分析报告。 (六)监控本分行的行动计划实施进度; 第十二条总行各部门主要职责包括: (一)定期发起本部门牵头流程的流程分析工作; (二)评估全行范围内已识别的每个操作风险事件的固有风 露和剩佘风险暴露;(三)评估每项控制措施的控制设计有效性与控制落实度; (四)向总行风险管理部提出本业务条线风险字典与控制字 补充或修改意见与建议;(五)汇总、整理并分析本条线各省直分行的自我评估结果, 形成 报告后提交至总行风险管理部; (六)制定本条线业务流程的全行层级操作风险容忍度边界 及不同类型分行适用的操作风险容忍度边界值;(七)监控本条线的行动计划实施进度。 第十三条分行各部门的主要职责包括: (一)按照本分行实际情况，进行本分行风险与控制的识别 工作; (二)评估本行范围内已识别的每个操作风险事件的固有风 露和剩佘风险暴露，并将评估结果报告至总行各对应部门和分行风 险管理部; (三)评估每项控制措施的控制设计有效性与控制落实度; (四)向分行风险管理部提出本业务条线风险字典与控制字 补充或修改意见与建议;(五)对本部门自我评估成果进行分析，并撰写分析报告提 总行对应部门和分行风险管理部;(六)依据总行下发的风险容忍度边界值，并结合本条线的 具体 情况调整或细化分行层级的操作风险容忍度边界值; (七)监控本分行、本条线的行动计划实施进度。 第十四条支行和网点的主要职责为:评估本单位范围内巳 识别的各项控制措施的控制落实度并实施相应的行动计划。 第十五条审计部门的主要职责为:定期检查、验证本行的 自我评估体系;检查自我评估的执行情况。 第四章执行程序 第十六条自我评估的执行程序包括风险与控制识别、评分 计划 排定、风险地图设定、操作风险暴露与控制有效性评估、评 估结果 分析与调整以及行动计划的制定与执行六个主要阶段。 第十七条风险与控制识别包括总行和分行两个层次。 (一)每年第四季度，总行部门针对由本部门牵头的主流程 进行 流程分析工作，对业务经营过程中所面对的固有操作风险以 及目前 所配备的控制措施进行重新识别和更新。在流程分析过程 中，总行 部门可发起对风险字典的更新和维护工作，并报总行风 险管理部审 批，审批通过后由总行风险管理部执行。 (二)每年第四季度，分行依据本行实际情况进行本分行操 作风 险与控制措施的调整与更新工作，并按条线将调整与更新结 果报总 行条线管理部门审定。 第十八条总分行业务管理部门应于每年第四季度制定次 (一)设定评分频率。在遵循本办法第六条的原则下，总行流程 牵头部门负责设定每项操作风险事件的评分频率，总行制度 设计部 门负责设定控制设计与控制落实度的评分频率。分行部门 在遵循总 行对于评分频率的指导原则下，可依据自身管理的需求, 调高评分的 执行频率。总分行业务管理部门操作风险与控制的评 分频率均须经 本部门审批同意，并分别提交总分行风险管理部备 (二)指定评分与复核人员。评分和复核人员应具备丰富的业务 经验和较强的操作风险意识。总行部门的评分人员以及评分 结果复 核人员由本部门指定，并由部门审批同意。分行部门及其 管辖范围 内的评分人员与评分结果复核人员，由本部门指定。评 分与复核人 员确定后，分别提交总分行风险管理部备案。 (三)指定评分日程。总分行风险管理部负责汇总总分行不 同业 务条线或部门的自我评估执行日程。分行的自我评估执行日 程规划 应在全行日程规划框架下完成，并提交总行风险管理部备 第十九条设定风险地图是指由评估对象根据其风险偏好确定风 险容忍度边界，以此反映其操作风险暴露状况。 (一)设定全行主流程的风险地图。总行主流程牵头部门负 定全行层级的操作风险容忍度边界值以及不同类型分行适用的操作 风险容忍度边界值。全行层级的风险地图由总行条线管理 部门提出 后，经总行风险管理部审核后提交风险管理委员会批准 生效。 (二)设定分行各项主流程的风险地图。分行部门可依据总 发的风险容忍度边界值，结合本条线的具体情况进行调整，但不得 逾越总行所定的边界值。分行各业务条线的风险容忍度边 分行风险管理部审核，经分行行长核准后实行，并提交总行条线管 理部门报备。分行业务条线的风险容忍度边界值如确 有特殊原因超 越总行下发的边界值，则由分行部门经分行行长核 准后，提交总行 条线管理部门批准。 第二十条操作风险暴露与控制有效性评估包括:(一)操作风险暴露与控制有效性的沟通与讨论。操作风险 暴露、 控制设计有效性与控制落实度的评估部门在决定最终评分 织自我评估讨论会针对操作风险暴露与控制有效性的实际状况进行 充分的交流与讨论，讨论会可根据需要在部门内或跨 部门进行。 (二)操作风险暴露与控制有效性的评估。总行、分行及网 据排定的日程及针对操作风险暴露与控制有效性实际状况的讨论结 果，由评分与复核人员分别进行评分结果的录入与复核工 效性评估完成后，自我评估的参与人员应结合业务经验对剩佘风险 暴露在风险地图中的落点进行合理性分析，如落点明显不 合理应对 评分结果或操作风险容忍度边界值进行调整。 第二十二条完成风险与控制自我评估后，应对评估结果进 析与研究，并针对操作风险管控的薄弱环节，制定相应的行动计划。 (一)分行层级的行动计划，由分行各部门牵头制定相应的 行动 计划，在分行部门审批后执行。分行风险管理部应监控本行 及管辖 分行行动计划的进展状况和实际成果。 (二)总行层级的行动计划，由总行各部门牵头制定相应的 行动 计划，在本部门审批后执行。总行风险管理部应监控总行层 级行动 计划的进展状况和实际成果。 第五章分析与报告 第二十三条自我评估工作完成后，对操作风险暴露、控制 措施、 行动计划等进行持续有效的监测、分析，形成自我评估分 析报告， 是自我评估管理的一项重点工作。 第二十四条自我评估分析报告是操作风险评估报告内容 的重要 组成部分,应在每季度的操作风险评估报告中重点阐述。 (一)总行与分行部门应每季度针对管辖范围内的自我评估 工作 进行分析，并分别提交分析报告至总分行风险管理部。 (二)分行风险管理部应每季度针对本分行的自我评估工作 进行 综合分析，提交报告至总行风险管理部。 (三)总行风险管理部应依据全行的自我评估执行情况，汇 作全行的自我评估分析报告，并将结果提交至总行风险管理委员会。 第二十五条自我评估分析报告至少应包含以下内容: (一)每年第一季度的报告应包含当年度的自我评估计划， 之后的季度报告应包含自我评估计划的执行情况; (二)操作风险暴露达到警戒范围或不能容忍范围的操作风 型、造成的原因以及应对措施;(三)设计不完善或是落实度较差的控制措施、造成的原因 以及 应对措施; (四)管辖范围内，操作风险暴露普遍较高的潜在风险或控 效性普遍较弱的成因分析以及应对计划;(五)启动的行动计划、执行进度以及实际效果。 第六章附 第二十六条本办法自印发之日起施行。第二十七条本办法由总行风险管理部负责解释和修订。 第二十八条总行各部门、境内各分行应按照本办法的相关 规定， 开展风险与控制自我评估的实施和管理工作。 第二十九条海外机构、各子公司应结合当地及行业相关监。山东银行业金融机构 合规风险管理评估暂行办法 第一章 总 则 第一条 为科学评价辖内银行业金融机构以下简称“银行”合规风险管理的有效性依据商业银行合规风险管理指引和山东银行业金融机构合规风险管理机制建设指导意见等相关规定制定本办法。 第二条 本办法适用于山东银监局辖区各类银行业金融机构包括政策性银行、国有商业银行、邮政储蓄银行、股份制商业银行、城市商业银行、农村中小金融机构等。金融资产管理公司、信托投资公司和财务公司等参照执行。 第三条 银行合规风险管理评估的总体目标是 银行通过适时有效开展合规风险管理评估工作 全面梳理自身合规风险管理状况及时解决合规缺陷和问题持续改进和强化合规风险管理机制不断夯实依法合规经营和案件风险防控的坚实基础。 第四条 银行合规风险管理评估的内容主要包括合规机制建设情况、合规履职情况及合规管理效果等三个方面。 第五条 银行开展合规风险管理评估应坚持依法、独立、客观、公正、公平的原则。 第六条 银行应定期和不定期组织开展合规风险管理评估工作并纳入银行合规风险管理计划。银行应根据经营规模、业务复杂程度、内控风险状况等合理确定合规风险管理评估的重点、范围和频度每年应至少开展一次全面合规风险管理自我评估。 对新实施的政策和程序、新产品和新业务的开发新业务方式的拓展、 新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险管理应适时开展专项评估工作。第二章 评估程序与要求 第七条 银行合规风险管理评估分为评估准备、评估实施、评估报告三个阶段。 第八条 评估准备阶段。银行应成立合规风险管理评估小组小组成员应当熟悉银行业务能够正确理解与银行有关的法律、规则和准则及对银行经营活动的影响。 银行应制定评估实施方案明确评估目的、内容、范围、重点、要求等全面收集评估期内与合规风险管理相关的文件、工作记录、有关数据等资料。 6 三银行可聘请外部机构承担部分内容的评估工作但银行应监督其评估过程确保其合规性并承担其评估结果及相关责任。 第九条 评估实施阶段。 一评估小组应通过查阅资料、现场询问、符合性测试、问卷调查、合规检查等方法逐项对照评估内容对相关信息资料进行梳理、分析审核各项政策和程序的合规性测试法律、规则、准则在业务活动中的贯彻执行情况确认风险控制点和关键环节操作的合规性。 通过分析可能预示潜在合规问题的有关数据和运行指标如消费者投诉的增长数、异常交易等对潜在的合规缺陷和违规事项进行识别和确认。 三评估小组应详细记录评估过程和发现的相关问题并作进一步分析核实和调查确认最终做出客观、准确的判断。 第十条 评估报告阶段。 一评估小组根据评估实施情况在全面整理、深入分析基础上撰写合规风险管理评估报告。评估报告包括但不限于以下内容评估工作组织开展情况、报告期内合规风险管理状况及变化、已识别的违规事件和合规缺陷、已经采取或建议采取的纠正措施等。 合规风险管理评估报告要准确定性和积极量化银行因政策、制度、程序及客户、产品、服务所引发的合规风险以及特定机构、部门、业务或经营活动的风险暴露形成对合规风险管理状况的明确评估结果。 第十一条 银行应以合规管理行为对应的充分书面资料作为得出评估结论的适当证据。 书面资料可包括正式发布的文件资料和非正式发布但经有效程序审核认定的书面记录或描述。 第十二条 银行应加强合规风险管理评估工作的制度化、 规范化建设不断完善合规风险管理评估方法与程序着力提高银行合规风险管理评估工作的有效性。 第十三条 银行应加强识别、计量、监测和评估合规风险的方法和途径研究探索建立合规风险监测指标体系和评估模型做到科学评估银行的合规风险。 第三章 合规机制建设情况评估 第十四条 合规机制建设情况评估包括合规风险管理组织体系构建情况、合规管理制度建设情况两个方面。 第十五条 合规风险管理组织体系构建情况 主要指合规部门设置、人员配备、职能分工、保障机制等情况。 一是否按要求设立合规管理部门包括根据要求设立相对独立的合规部门或设置合规岗位。 8 合规管理部门是否配备充足和合格的合规管理人员合规管理人员资质、经验、专业技能、个人素质是否与所履行的职责相匹配。 三合规管理部门职能和负责人职责是否明确、清晰、完整职责内容设定是否符合监管规定。 四 是否赋予合规管理部门和人员履职所必需的权限和地位包括但不限于以下方面 1是否享有与银行任何员工进行沟通并获取履职所需的任何记录或档案资料的权利 2是否有权对违反合规政策的事件进行调查并可要求内部相关部门进行协助 3合规管理负责人是否能独立与银行董理事会、高级管理层沟通各级合规管理部门能否及时、通畅地反映合规问题和建议等。 五 是否明确和采取保证合规负责人和合规管理部门独立性的各项措施包括但不限于以下方面 1银行合规管理职能是否与内部审计职能做到分离 2合规负责人和合规管理人员的合规管理职责与其承担的任何其他职责之间是否存在可能的利益冲突 3合规管理部门及其工作人员是否承担经营性考核指标任务 9 4合规部门职员的薪酬是否与其履行合规职责的业务条线的盈亏状况相挂钩 5合规负责人是否分管业务条线等。是否明确合规风险报告的路线是否包括银行业务部门向合规部门、各级合规部门向上级合规部门、合规部门向高级管理层、法人机构高管层向董事会等报告合规风险的路线是否明确合规风险报告所涉及人员的职责是否明确报告要素、格式和频率等。 第十六条 合规管理制度体系建设情况 主要指合规管理政策、合规风险识别管理流程、合规问责、考核制度等建设及适时修订完善情况。 一是否制定书面的合规政策内容是否符合监管规定对总行和地区总部未制定有关合规政策和程序的 辖内银行高级管理层是否制定本机构合规制度和操作规程。 是否根据银行业务发展变化、合规风险管理状况以及法律、规则和准则的变化情况适时修订合规政策或合规制度等。 是否制定合规管理程序以及合规手册、员工行为准则等合规指南是否明确合规风险识别管理流程是否不断评估合规管理程序和合规指南的适当性及时进行完善改进。 是否建立合规风险管理考核制度是否将合规风险管理情况作为银行各部门、 业务条线和分支机构考核评价管理人员工作业绩的重要依据。 四是否建立合规问责制度是否体现按不同违规情节分别规定不同处理措施的原则 是否对主动报告和隐瞒不报的情形分别规定相应减轻或加重措施。 五是否建立诚信举报制度是否体现鼓励举报的原则是否规定保护举报人的相关措施。 六是否建立符合合规理念的经营绩效考核制度体系经营绩效考核指标是否体现倡导合规、 惩戒违规的价值理念和导向作用是否存在鼓励违规、诱发风险的经营考核指标。 第四章 合规履职情况评估 第十七条 合规履职情况评估包括对银行高层合规职责落实情况、银行合规管理部门职责落实情况、业务条线合规职责落实情况三个方面。 第十八条 银行高层的合规职责落实情况 主要指董事会对机构合规性负最终责任职责、 高级管理层有效管理合规风险职责和监事会监督合规管理职责落实情况等。 一董事会是否对本行的合规政策进行审议批准是否根据银行风险战略、组织结构及资产规模批准设立相应的合规部 11 门 是否授权或专门设立有关组织对商业银行合规风险管理进行日常监督。 董事会和高级管理层是否主动监督合规政策实施是如何具体开展或采取何种形式来有效履行监督职责的。 三 董事会是否审议批准高级管理层提交的合规风险管理报告是否至少每年评估一次银行合规风险管理的有效程度高级管理层是否至少每年评估一次银行所面临的主要合规风险 是否至少每年一次向董事会提交合规风险管理报告。高级管理层是否按程序确定合规负责人是否确保合规负责人独立地推动各项措施的落实 是否就合规负责人就职或离任情况组织向当地监管部门备案。 五 高级管理层是否审议批准并督促落实合规部门提交的合规风险管理计划是否及时向董事会或其下设委员会、监事会报告任何重大违规事件。监事会是否主动监督董事会和高级管理层合规管理职责的履行情况 具体是如何开展或采取何种形式来有效履行监督职责的是否留存监督过程和结果的有关书面记录。 第十九条 银行合规管理部门职责落实情况 主要指合规管理部门协助高级管理层 通过制定合规方案和建立合规风险报告路线等有效识别和管理合规风险的情况。是否制定合规风险管理计划或合规方案内容是否符合监管规定是否按计划开展合规风险管理工作合规负责人是否监督合规管理部门根据合规风险管理计划履行职责。 是否组织审核评价银行各项政策、程序和操作指南的合规性是否组织、协调和督促各业务条线和内部控制部门及时梳理整合和修订银行的规章制度和操作规程确保各项政策、程序和操作指南符合法律、法规和准则要求。是否主动识别、监测和评估与银行经营活动相关的合规风险包括但不限于以下方面 1是否为新产品和新业务的开发提供必要的合规性审核和测试 2是否识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险等。 四是否组织收集、筛选可能预示潜在合规问题的数据是否建立合规风险监测指标 是否运用有效方法衡量合规风险发生的可能性和影响并确定合规风险的优先考虑序列。 五是否对合规性测试的结果按照内部风险管理程序通过合规风险报告路线向上报告 是否定期向高级管理层提交合规风险评估报告报告要素是否符合监管规定。 第二十条 业务条线合规职责落实情况 主要指业务条线对本条线经营活动的合规性负首要责任 主动识别和管理合规风险的情况。 一是否组织对本条线相关的各项政策、程序和操作指南进行梳理和修订使其符合法律、规则和准则的要求。 是否主动开展日常和定期的条线合规自查并向合规管理部门提供合规风险信息和风险点。是否根据合规管理程序主动识别和管理条线合规风险是否按合规风险报告的路线和相关要求及时报告。 第五章 合规管理效果评估 第二十一条 合规管理效果评估包括对监管法规及内控制度传导机制建设和运行情况、 经营活动合规性日常监督保障机制建设和运行情况、合规文化建设情况三个方面。 第二十二条 监管法规及内控制度传导机制建设和运行情况主要指传导机制建设、合规培训和与监管部门的有效互动等情况。 一是否建立监管法规传导机制是否通过有效途径持续关注法律、规则和准则的最新发展准确把握法律、规则和准则对银行经营的影响 是否及时将监管审慎规章转化为银行内部业务制度。是否建立内控制度传导机制是否通过有效途径使银行合规理念、合规政策、管理程序和操作指南等得以在内部充分传递传播为员工恰当执行法律、规则和准则提供保障。银行是否定期为合规人员提供系统的合规规则和专业技能培训培训内容是否突出对法律、规则和准则的最新发展及其对商业银行经营影响的正确把握。 四 合规部门是否协助相关教育培训部门对员工进行合规培训 培训范围是否包括对所有员工的定期合规培训 以及新入、转岗等类员工的适时合规培训。 五 合规部门是否采取有效形式保持与监管机构日常的工作联系是否向监管部门定期报告合规风险管理事项应报告事项有无遗漏是否跟踪和评估监管意见和监管要求的落实情况。 第二十三条 经营活动合规性日常监督保障机制建设和运行情况主要指监督保障机制建立、监督工作开展、违规责任追究、风险防控和内审部门独立评价等方面。 一是否建立经营活动合规性日常监督保障机制是否针对经营管理和业务操作建立日常合规检查制度和纠正机制 银行管理信息系统是否设立相应的合规风险监测指标 为合规部门和业务条线实施监测提供技术支持。 15 是否开展经营活动合规性日常监督工作