银行操作风险管理操作规程模版

银行操作风险管理操作规程第一章总则第一条为健全我行操作风险管理体系，提高操作风险管理水平，促进银行业务的健康发展，根据监管要求以及银监会《商业银行操作风险管理指引》和《银行操作风险管理办法》有关内容，结合本行实际情况，特制定《银行操作风险管理操作规程》。第二条本规程阐述银行操作风险管理的具体操作流程，流程主要包括操作风险识别、评估、控制/缓释、监测、报告等环节。第二章操作风险识别及评估第三条操作风险的识别评估是指采用一定的方法，识别商业银行经营活动和业务流程中的操作风险，并对风险影响程度、发生频率与控制效率进行分析和评价，以准确掌握操作风险的分布状况和程度，采取相应的控制/缓释措施，优化流程，降低成本。第四条操作风险的识别和评估是银行操作风险管理流程的起点，也是重要步骤。各部室及各分、支行应当按照操作风险管理的相关制度要求，采用适当的工具，定期或不定期地进行操作风险识别及评估。第五条操作风险识别应当保证及时性和充分性，同时建立相应的识别制度或机制：（一）操作风险识别应当在认真判断和分析银行所面临的内部因素（如银行的结构、战略目标、人力资源、组织机构、产品和服务、新设备和新系统的应用、人员流动等）和外部环境因素（技术进步、法律法规变化、行业变化、市场结构调整、经济周期性波动等）的基础上进行；（二）各部（室）/分支机构应当确保在新产品、活动、流程和系统推广和实施前，对相关的操作风险进行充分识别；（三）对于出现重大操作风险事件或风险事件发生频率上升较快的产品，应当及时进行操作风险重检；（四）对于外包的产品或活动，应当进行充分的操作风险识别。第六条银行操作风险评估主要采用自我识别与评估的方法，建立操作风险管理的持续改进和长效机制，银行操作风险管理流程图如下：（一）建立全员风险识别与报告制度，有效识别操作风险因素。各分、支行（部）每位员工识别本岗位各项工作环节中的风险点。我行操作风险类型，具体详见附件2-1（操作风险事件类型一览表）。（二）总行各部（室）负责本业务线的操作风险日常管理工作，具体的业务条线见附件2-2。各业务管理部门在评估操作风险程度，参照下列发生频率和影响度矩阵来表述,并根据风险等级矩阵表来评定风险等级。1、根据操作风险损失事件历史发生情况、业务检查报告、内部审计报告、外部监管审计报告等资料，以操作风险事件发生频率或可能性评估表为辅助标准，判断操作风险事件的发生频率（概率），见下表。操作风险事件发生频率或可能性评估表等级描述词详细描述概率参考值范围说明5极可能预计大多数情况下发生；或现实中大量发生（0.01，1）发生概率大于0.014很可能很可能会发生;或现实中经常发生(0.001,0.01)发生概率在0.001与0.01(含)之间3可能在某种情况下可能发生;或现实中发生过几次(0.0003,0.001)发生概率在0.0003与0.001(含)之间2不太可能在某种情况下能够发生,但可能性小;现实中偶尔发生(0.00001,0.0003)发生概率在0.00001与0.0003(含)之间1罕见仅在例外情形下发生;或很多年发生一次(0,0.00001)发生概率不大于0.00012、根据操作风险损失事件历史发生情况，以操作风险事件影响评估表为辅助标准，判断操作风险事件的影响程度（损失金额），见下表。操作风险事件影响程度评估表等级描述词详细描述损失金额参考值范围说明5极大极大的损失金额[100,∞)损失金额在100万元(含)以上4较大较大的损失金额[10,100)损失金额在10万元(含)与100万元之间3中等中等的损失金额[1,10)损失金额在1万元(含)与10万元之间2较小较小的损失金额[0.1,1)损失金额在0.1万元(含)与1万元之间1极小极小的损失金额(0,0.1)损失金额在0与0.1万元之间3、从发生频度和影响度两个维度进行评估风险等级矩阵影响程度生发频率5-极大4-较大3-中等2-较小1-极小5-极可能554434-很可能554333-可能543322-不太可能543221-罕见43221风险等级风险程度是否可接受5等级极大风险不可接受4等级高风险不可接受可接受但需关注3等级中等风险不可接受可接受但需关注2等级低风险可接受可接受但需关注1等级极小风险可接受（三）实施操作风险的分析排查。总行各部（室）应按季组织实施操作风险的分析和排查工作，对所有重要业务、流程和系统中可能存在的操作风险因素进行分析和评估，从而持续、全面、动态地对各项具体的潜在操作风险因素进行识别，并将风险点补充进“操作风险识别与评估表”（附件2-4），进行初步的评估和完善。（四）总行风险管理部根据汇总各业务线的报送的操作风险点后，根据操作风险的分类标准，对识别出的操作风险进行分类，评定风险等级，并形成操作风险数据库。（五）总行风险管理部提出优化建议，由各业务部门负责制定优化方案，风险管理部督促优化方案的实施。风险管理部对残余操作风险为非“可接受”的，（残余操作风险是指采取了现有的控制活动或其他风险减轻措施后的现实的风险）以及控制活动有效性、必要性、充分性、合规性存在缺陷的操作风险事件提出优化建议。涉及业务部（室）制定改进和优化控制活动的方案，明确优化方案涉及的部门，填写“控制优化方案执行建议书”（附件2-3）。风险管理部将控制优化方案按涉及的业务线传达至相关业务部（室），由相关业务部门组织具体实施，并将实施结果书面提交风险管理部备案。（六）持续实施跟踪分析和检查评价。风险管理部定期对操作风险管理防控措施的落实情况和执行效果进行检查和评价，及时发现并改进操作风险管理中存在的问题和不足，从而形成操作风险管理的持续改进和长效机制。第三章操作风险控制/缓释第七条操作风险控制/缓释是指通过采取流程控制、行为监控、电子化、保险等一系列控制/缓释方法，对操作风险进行转移、分散、降低、回避，将其调整到可接受的风险水平。第八条对于已识别的重大操作风险，应当决定是采用适当的措施来避免、缓释、转移风险，还是承担风险。第九条各业务主管部（室）应加强对员工操作风险的培训指导，以确保各业务岗位人员充分了解和掌握各项已识别的操作风险因素及其控制化解措施，从而起到风险警示、对照检查、主动防范的作用。第四章操作风险监测第十条操作风险监测是指通过对各类风险指标的日常监测，对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。第十一条在使用操作风险自我评估后、还将建立损失数据库、关键风险指标等工具监测操作风险。第十二条总行风险管理部负责全行损失数据统计工作的汇总、分析和报告工作；各相关职能部门负责所辖职责范围内的操作风险损失数据统计工作，并提交风险管理部。第十三条操作风险损失数据的收集内容包括：损失金额，收集损失事件成因与结果、损失事件形态类别、发生日期、发现日期、结束日期、管理阶层采取的行动、通过保险或其他方式回收的金额等描述性信息。操作风险损失数据库是银行操作风险监测的重要工具，各部门和各分、支行应当对报告损失数据的真实性、准确性、完整性和时效性负责。第十四条关键风险指标是对操作风险情况提供预警的指标体系。使用的关键风险指标应当为风险管理提供预测信息，反映操作风险的潜在问题。风险管理部应区分各业务类型，牵头建立全行的风险指标体系。第十五条各业务部门负责建立本业务线的关键风险指标，并报送至风险管理部建立全行关键风险指标库。第十六条风险管理部将通过对全行操作风险相关指标的跟踪、记录和分析，监控全行总体操作风险状况及损失情况。第五章操作风险报告第十七条银行操作风险报告包括：操作风险识别与评估表报告、操作风险状况报告、重大事件报告。第十八条报告的类型、内容和频次如下：报告内容报告部门时间报告对象频次重大事件报告各分、支行即时总行对口业务部门、抄送风险管理部总行各部门即时风险管理部、高级管理层操作风险识别与评估表各分、支行每月5号前总行对口业务部门、抄送风险管理部月/次总行各部门每月10号前风险管理部月/次操作风险状况报告总行各部门每半年结束后15日内风险管理部半年/次第十九条重大操作风险事项包括：（一）抢劫银行或运钞车、盗窃银行业金融机构现金10万元以上的案件，诈骗银行或其他涉案金额100万元以上的案件；（二）造成银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；（四）人员严重违规；（五）发生不可抗力导致严重损失，造成直接经济损失100万元以上的事故、自然灾害；（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；（七）银监会规定其他需要报告的重大事件。第二十条操作风险状况报告至少包括以下内容：（一）操作风险状况。具体包括：存在的重大操作风险因素及其影响程度；操作风险管理环境的重大变化及其可能产生的影响；应重点关注的操作风险管理事项等；（二）操作风险自我评估的执行情况；（三）主要操作风险事件及其处置措施和进展；（四）操作风险相关指标分析；（五）操作风险管理中存在的问题和不足，以及内外部审计和监管部门的有关意见；（六）下一阶段将采取的操作风险管理措施；（七）其他与操作风险管理有关的重大事项。

第六章附则第二十一条本规程由总行风险管理部负责解释、修订和实施。第二十二条本规程自颁布之日起执行。附件：2-1．操作风险事件类型一览表2-2．部（室）业务线职责划分表2-3．控制优化方案执行建议书2-4．操作风险识别与评估表附件2-1操作风险事件类型一览表1级目录简要解释2级目录3级目录内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件行为未经授权故意隐瞒交易未经授权交易导致资金损失故意错误估价其他盗窃和欺诈欺诈/信用欺诈/不实存款盗窃/勒索/挪用公款/抢劫盗用资产恶意损毁资产伪造支票欺诈走私窃取账户资金/假账/假冒开户人/等等违规纳税/故意逃税贿赂/回扣内幕交易（不用本行的账户）其他外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失盗窃和欺诈盗窃/抢劫伪造支票欺诈其他系统安全性黑客攻击损失窃取信息造成资金损失其他就业制度和工作场所安全事件违反劳动合同法、就业、健康或安全方面的法规或协议，个人工伤赔付或者因歧视及差别待遇事件导致的损失劳资关系薪酬，福利，劳动合同终止后的安排有组织的工会行动其他环境安全性一般性责任（滑倒和坠落等）违反员工健康及安全规定劳方索偿其他歧视及差别待遇事件所有涉及歧视的事件客户、产品和业务活动事件因疏忽未对特定客户履行份内义务（如诚信责任和适当性要求）或产品性质或设计缺陷导致的损失适当性，披露和诚信责任违背诚信责任/违反规章制度适当性/披露问题（了解你的客户等）违规披露零售客户信息泄露隐私强制推销为多收手续费反复操作客户账户保密信息使用不当贷款人责任其他不良的业务或市场行为垄断不良交易/市场行为操纵市场内幕交易（用本行的账户）未经有效批准的业务活动洗钱其他产品瑕疵产品缺陷（未经许可等）模型错误其他客户选择，业务推介和风险暴露未按规定审查客户信用对客户超风险限额其他咨询业务咨询业务产生的纠纷实物资产的损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失灾害和其他事件自然灾害损失外力（恐怖袭击、故意破坏）造成的人员伤亡和损失信息科技风险事件因信息系统软件或硬件故障、人员未按操作标准作业导致业务中断或系统失灵的损失信息技术体系不恰当的体系结构策略风险（平台/供应商）信息系统投资风险未准确理解商业需求与现有系统不兼容硬件过时软件过时其他信息系统发展和应用缺乏充分的容量规划软件容量不足其他信息科技风险事件因信息系统软件或硬件故障、人员未按操作标准作业导致业务中断或系统失灵的损失信息系统容量缺乏充分的容量规划软件容量不足其他信息系统失灵网络风险相互依赖的风险界面失灵硬件失灵软件失灵内部电子通讯失灵其他信息系统安全漏洞外部安全漏洞内部安全漏洞程序欺诈计算机病毒其他执行、交割和流程管理事件交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失交易认定，执行和维护错误传达信息数据录入、维护或登载错误超过最后期限或未履行义务模型/系统误操作账务处理错误/交易归属错误其他任务履行失误交割失误担保品管理失效交易相关数据维护其他监控和报告未履行强制报告职责外部报告不准确导致损失其他招揽客户和文件记录客户许可/免则声明缺失法律文件缺失/不完备其他个人/企业客户账户管理未经批准登录账户客户信息记录错误导致损失因疏忽导致客户资产损坏其他执行、交割和流程管理事件交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失交易对手方与同业交易处理不当与同业交易对手方的争议其他外部销售商和供应商外包与外部销售商的纠纷其他附件2-2部（室）业务线职责划分表1级目录2级目录业务名称示例涉及部门公司金融业务公司存款公司存款、存款证明、公司贷款、银团贷款、贸易融资、贴现、银行承兑汇票、保证业务、信贷证明、信用证、备用信用证等兼并与收购、证券化、短期融资债券、债券承销、非剥离债转股、租赁等公司业务部、授信审批部、风险管理部表内信贷业务表外信贷业务公司融资个人金融业务个人银行业务个人贷款和存款、银行服务等公司/个人卡等网上个人银行、手机银行、电话银行等个人理财零售业务部银行卡业务电子银行业务零售经纪业务资金业务销售自营证券头寸等资金拆借、同业往来、债券回购金融市场部做市自营头寸资金业务支付和结算外部客户票据结算、汇款、托收、资金清算、网上企业银行等债券结算代理、代理外资金融机构外汇清算、代理政策性银行贷款资金结算