ⅩⅩ银行操作风险管理政策目录第一章总则 (4)第一条【宗旨】 (4)第二条【定义】 (4)第三条【操作风险的主要类别】 (4)第四条【适用范围】 (5)第五条【操作风险管理的工作目标】 (5)第二章操作风险管理的组织框架与职责分工 (5)第六条【架构原则】 (5)第七条【董事会及其风险管理委员会】 (6)第八条【高级管理层】 (7)第九条【分行管理层】 (8)第十条【风险管理部】 (8)第十一条【各业务条线和职能部门】 (8)第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】.. 10 第十三条【内部审计部门和纪检监察部门】 (10)第三章操作风险管理制度 (10)第十四条【范畴】 (10)第十五条【制度体系】 (11)第十六条【操作风险管理政策】 (11)第十七条【操作风险管理基本制度】 (11)第十八条【内部控制制度】 (12)第十九条【紧急事故应急处理制度】 (12)第二十条【业务(操作风险管理)细则】 (12)第二十一条【对分支行业务(操作风险管理)细则的特别规定】 (13)第四章操作风险管理流程和技术 (13)第一节业务标准操作流程管理 (13)第二十二条【基本思路】 (13)第二十三条【职责】 (13)第二节操作风险识别与评估 (14)第二十四条【操作风险识别】 (14)第二十五条【操作风险评估】 (14)第二十六条【操作风险控制自我评估(RCSA)】 (15)第三节操作风险控制与缓释 (15)第二十七条【操作风险应对措施】 (15)第二十八条【外包】 (15)第二十九条【保险】 (16)第四节操作风险监测与报告 (16)第三十条【操作风险监测】 (16)第三十一条【关键风险指标】 (16)第三十二条【操作风险报告】 (16)第三十三条【操作风险预警】 (16)第三十四条【操作风险事件举报】 (17)第五节操作风险管理系统 (17)第三十五条【操作风险管理系统】 (17)第六节操作风险资本管理 (17)第三十六条【监管资本】 (17)第三十七条【经济资本】 (18)第七节配合监管 (18)第三十八条【政策程序报备】 (18)第三十九条【提交报告】 (18)第四十条【配合检查】 (19)第四十一条【整改】 (19)第五章操作风险管理文化 (19)第四十二条【操作风险管理文化】 (19)第四十三条【传达】 (19)第四十四条【业务培训】 (19)第四十五条【操作风险管理人员培训】 (20)第四十六条【全员操作风险管理培训】 (20)第四十七条【操作风险管理考核及奖惩】 (20)第六章附则 (20)第四十八条【重检】 (20)第四十九条【解释】 (21)第五十条【实施】 (21)附件:名词解释 (22)一、操作风险来源 (22)二、固有风险与剩余风险 (22)三、可能性和影响性 (23)四、操作风险应对措施 (23)五、关键风险指标(Key Risk Indicator,KRI) (23)六、风险映射 (24)七、操作风险控制自我评估(RCSA) (24)八、操作风险损失(事件)数据库 (24)九、风险地图(Risk Map) (25)第一章总则第一条【宗旨】根据董事会确定的发展战略和风险管理总目标,以及中国银行业监督管理委员会《商业银行操作风险管理指引》,参考国际银行业操作风险管理的经验,特制定本操作风险管理政策。
制定操作风险管理政策的主要目的是建立科学、完善的操作风险管理体系,指导和规范我行的各类业务活动和操作风险管理工作,实现对操作风险及时、全面、统一、有效的监控,将其控制在可承受的范围内,使我行获取经风险调整后的最大经营回报。
第二条【定义】操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。
本定义包括法律风险,但不包括策略风险和声誉风险。
第三条【操作风险的主要类别】我行所面对的主要操作风险,包括但不限于以下几类:(1)内部欺诈:指因至少涉及我行内部一名员工的故意欺诈、盗用我行资产或违反法律/条例/银行政策等而造成损失的风险。
(2)外界诈骗:指因外界人员故意欺诈、盗用我行资产或违反法律而造成损失的风险。
(3)雇佣事项及工作场所安全性:因违反雇佣、健康、安全的法例或协议而造成损失,以及因支付个人伤亡索偿等行为而造成损失的风险。
(4)客户、产品及业务方式:因疏忽或非故意差错而未按专业守则对待指定客户(包括信托及恰当性方面的要求)、或因产品的性质/设计上的问题等造成损失的风险。
(5)有形资产的损坏:因自然灾害或其它事故导致实物资产损坏或人员伤亡造成损失的风险。
(6)业务中断及系统故障:因业务中断或系统故障而造成损失的风险。
(7)操作流程管理:因在我行操作流程中由于操作差错或流程设计、维护失误,或由于不充分或失败的内部工作流程所造成的风险。
第四条【适用范围】本政策适用于中国ⅩⅩ银行全辖。
第五条【操作风险管理的工作目标】我行操作风险管理的基本目标是在坚持依法合规经营、加强内部控制的基础上,进一步完善操作风险衡量方法、管理工具及政策体系,减少或缓解操作风险损失,将操作风险控制在适当水平,为业务发展提供健康的内部运营环境。
具体目标包括:(1)充分识别和持续监测我行面临的各类操作风险,清晰了解操作风险管理的状况及存在的问题;(2)在合理评估的基础上,合理应对各类操作风险,保证风险与收益的平衡;(3)建立操作风险关键风险指标体系,实现对操作风险的分析、预警,事先风险控制的前移;(4)通过建立和完善操作风险损失事件数据库及操作风险管理计量模型来实现操作风险管理能力的提升,并通过更为精确的资本计量来有效节约资本;(5)降低突发性事件的冲击,保证业务正常和持续开展。
第二章操作风险管理的组织框架与职责分工第六条【架构原则】操作风险管理体系是我行全面风险管理体系的组成部分。
根据监管要求和本行全面风险管理体系建设的总体规划,对于操作风险管理,我行采取在董事会确定的操作风险管理政策指导下和高级管理层领导下的、三道防线为基础的、层次化的操作风险管理架构:(一)董事会为操作风险管理的最终负责人,高级管理层领导全行的操作风险管理工作,分(支)行管理层负责本机构范围内的操作风险管理,分行行长是操作风险管理的第一责任人;(二)总分行各业务部门、职能部门作为防范操作风险的第一道防线,是本部门/条线操作风险的直接承担者和管理者,负有对操作风险进行管理的第一责任;(三)总分行风险管理部(含风险条线派驻各业务条线的机构)、法律合规部等作为防范操作风险的第二道防线,负责操作风险管理体系的构建和相关操作风险管理工作的统筹、支持和督促工作;(四)内部审计部门和纪检监察部门作为防范操作风险的第三道防线,其中内部审计部门负责对操作风险管理体系的运行情况进行审计,并依照规定揭示和报告审计过程中发现的问题。
纪检监察部门对有关案件进行查处和责任认定,并对有关责任人进行问责。
第七条【董事会及其风险管理委员会】董事会应将操作风险作为我行面对的一项主要风险加以管理,对操作风险管理体系实施有效监控,并承担操作风险管理的最终责任。
主要职责包括:(1)制定与整体战略目标相一致、适用于全行的操作风险管理战略,并确定本行可以承受的操作风险水平(风险偏好);(2)批准并定期审核全行的操作风险管理政策,确定有效的操作风险管理组织架构,架构中应涵盖清晰的职责划分以及明确的报告流程;(3)定期审阅高级管理层提交的操作风险报告,了解本行操作风险管理的总体状况及重大操作风险事件,监控和评价操作风险管理的全面性、有效性;(4)督促和确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;(5)确保本行操作风险管理体系受到内审部门的有效监督;(6)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系建设。
董事会可授权其风险管理委员会履行以上部分职能。
高级管理层负责执行董事会批准的操作风险管理战略和政策。
主要职责包括:(1)根据董事会制定的操作风险管理战略,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程;(2)及时了解本行操作风险管理的总体状况及重大操作风险事件,并定期向董事会提交操作风险报告;(3)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责;(4)及时了解操作风险水平及其管理状况,并为操作风险管理配备适当的资源,确保银行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类操作风险;(5)在外部市场及其他环境发生重大变化或出现新的产品、业务、信息科技系统时,及时对操作风险管理体系进行检查和修订;(6)审批重大操作风险控制/缓释方案。
主管风险副行长按照高级管理层的内部分工直接领导全行的操作风险管理工作,其在操作风险管理中的主要职责包括:(1)根据授权审核、审批操作风险相关制度、工作方案;(2)监督操作风险管理状况及成效,定期向行长及董事会风险管理委员会报告操作风险管理状况及成效;(3)牵头组织落实操作风险管理体系建设的重要措施;(4)根据行长授权协调重要的跨部门操作风险管理工作;(5)负责推动操作风险管理队伍建设。
其他行领导直接领导所主管业务范围内的操作风险管理工作,其在操作风险管理中的主要职责包括:(1)制定主管范围内各条线和职能部门改善操作风险管理的工作重点;(2)督促主管范围内各条线和职能部门配备适当的资源并按照要求进行操作风险管理;(3)对主管范围内各条线和职能部门制定的业务操作风险管理细则、操作风险事件处理方案等进行审批。
分行行长作为分行操作风险管理的第一负责人,负责建立分行层面的操作风险管理体制;提升操作风险报告的全面性、及时性和有效性;推进操作风险与控制自我评估等操作风险管理工作在分行层面的贯彻落实。
分行风险总监作为专业风险管理者,应协助分行行长开展操作风险管理工作。
分行其他行领导直接领导所主管业务范围内的操作风险管理工作。
第十条【风险管理部】总行风险管理部作为操作风险管理的牵头部门,主要职责包括:(1)负责拟定、回顾、修订我行操作风险管理政策,报资产负债管理委员会及董事会风险管理委员会批准实施;(2)根据董事会确定的战略与政策,协调、指导、督促各部门识别、评估、监测和控制操作风险;(3)建立操作风险管理报告机制,收集及分析操作风险事件及损失数据,定期及不定期编制操作风险统计和分析报告,并就如何弥补损失提出建议,使董事会及高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响,以能采取有效的防范及降低风险的措施;(4)根据银行业监管机构的要求,研究、落实应用计量操作风险的技术方法及程序。
总行风险条线向各业务条线派驻的风险管理机构/岗位,应组织、指导、督促相应条线识别、评估、监测和控制操作风险,并按照双线报告的要求进行报告。