银行操作风险管理实施办法YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】ⅩⅩ银行操作风险管理实施办法第一章总则第一条为建立和完善ⅩⅩ银行股份有限公司（以下简称“本行”操作风险管理体系，加强对操作风险的管理，促进全面风险管理体系建设，全面贯彻和落实《ⅩⅩ银行股份有限公司操作风险管理政策》（交银董〔2010〕13号，下称“管理政策”）的有关规定，特制定本办法。

第二条本办法是操作风险管理政策的延伸，由总行风险管理部根据操作风险管理政策的相关原则进行制定与更新，并由总行风险管理委员会批准。

第二章组织架构及职责分工第三条操作风险管理的组织架构分为公司治理层面和职能管理层面两个层次。

公司治理层面由董事会、监事会、高级管理层组成操作风险管理的领导机构。

职能管理层面由业务经营部门、条线管理部门、风险管理部门和内部审计部门组成操作风险管理“四道防线”。

上述机构和部门的职责分工按照《ⅩⅩ银行股份有限公司操作风险管理政策》（交银董〔2010〕13号）的有关规定设置执行。

第四条为有效落实操作风险管理工作，总行风险管理部下设操作风险管理二级部门，专职负责全行操作风险的管理工作；分行风险管理部下设操作风险管理岗，负责分行层面的操作风险管理工作；总行条线管理部门应指定相关的二级部门，承担本条线操作风险的日常管理工作；分行条线管理部门也应指定具有一定业务和风险管理经验的人员负责具体的操作风险管理。

第五条总行风险管理部下操作风险二级部的主要职责包括：(一）拟订本行的操作风险管理政策、实施办法和程序，并在总分行范围内组织落实操作风险管理政策及其办法的实施；(二）作为全行操作风险管理的牵头部门，组织协调、协助总行各业务管理部门、各分行，对操作风险进行识别、评估、控制、缓释、监测与报告；(三）牵头拟定及修订全行层面的操作风险偏好和关键风险指标，审核全行层面的操作风险容忍度；(四）监测全行操作风险并牵头管理重大操作风险事件；(五）推动操作风险管理工具在本行的实施，制定操作风险管理工具的方法论，并对其进行持续研究和更新；(六）针对条线管理部门的新产品/新业务自评估结果进行审查，并提出相关意见；(七）按照监管规定和本行实际状况制定操作风险资本计量的具体方法，为未来操作风险资本的高级法计量做好准备；(八）建立操作风险管理信息系统，并负责系统的日常运行和维护；(九）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平；(十）有效识别、评估、控制/缓释、监测和报告操作风险, 汇总分析总行各业务部门和分行提交的操作风险评估报告，定期编制全行层面的操作风险评估报告提交高级管理层、董事会；(十一）制定和维护全行范围内业务连续性管理的办法；制定业务连续性计划的编制方法；指导各部门制定和维护业务连续性计划和灾难恢复计划；定期审查各部门业务连续性计划和灾难恢复计划；(十二）指导和定期检查各部门的操作风险管理工作，并提出相关意见和建议。

第六条分行风险管理部操作风险管理岗的主要职责包括：(一)拟定全辖操作风险管理实施办法和细则；(二）对分行各部门和辖内机构操作风险管理工作进行检查、评估，并提供支持；(三）汇总分行层面的操作风险容忍度的边界值和关键风险指标的门槛值，汇总和整理全辖及分行的操作风险损失数据、组织分行进行操作风险与控制评估及结果分析、指导分行业务部门对关键风险指标进行监控，对操作风险管理工具的应用向总行风险管理部提出改进建议；(四）监督行动计划的实施进度和效果，统筹、协调跨部门行动计划的实施；(五）根据操作风险评估报告要求，对全辖及分行操作风险进行整体评估，对操作风险暴露及损失进行分析，形成操作风险评估报告，定期报送总行风险管理部；(六）为分行各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平；(七）统筹管理本行的业务连续性计划，检查各部门危机管理计划、恢复策略、定期演练和备份方案。

第七条总行条线管理部门操作风险管理职责包括：(一)根据本行操作风险管理的政策、程序和具体的操作规程，或结合条线实际情况制定实施细则；在制定本条线业务流程和相关业务制度时，充分考虑操作风险管理和内部控制的要求，确保与操作风险管理总体政策的一致性；(二）履行本条线、部门内部以及与总行风险管理部、其他部门在操作风险管理方面的沟通、协调职责；(三）制定本条线业务流程的操作风险容忍度全行层级的边界值以及不同类型分行适用的操作风险容忍度边界值，牵头组织和指导部门内及本条线的操作风险识别和评估工作；(四）监控本条线的操作风险管理工作，对操作风险三大工具的应用提出改进建议，定期编制并提交操作风险评估报告；(五）参加操作风险管理培训，并组织本条线的操作风险管理的培训；(六）制定流程层级关键风险指标和全行门槛值，监测本条线的关键风险指标，及时通报重大操作风险事件和重大损失事件；(七）收集和积累本部门自身操作风险的损失数据，为未来操作风险资本的高级计量法测算提供数据基础；(八）根据实际情况制定本条线的业务连续性计划或灾难恢复计划，定期测试和演练，保证持续经营，将重大或较大业务中断事件发生时导致的业务中断影响最小化。

第八条分行条线管理部门的操作风险管理职责包括：(一)宣传、推广操作风险管理文化，保证操作风险管理实施办法和本分行操作风险管理实施细则的落实；(二）牵头组织操作风险管理工具在本部门的实施，包括调整或细化本条线业务流程操作风险容忍度分行层级的边界值、流程层级关键风险指标分行门槛值、组织本部门员工进行风险与控制自我评估、保证本部门损失数据的及时收集和报送、监测本部门流程层级关键风险指标等；(三）牵头开展本部门行动计划的实施，保证进度及实施效果，并作为跨部门行动计划的联系人，积极协调、配合跨部门行动计划的顺利实施；(四）定期总结分析本部门操作风险工作成果和现状，向总行条线管理部门和分行风险管理部汇报；(五)参加分行层面的操作风险培训，并在部门内组织培训。

第九条内部审计部门在操作风险管理中承担对总分行操作风险管理执行情况进行审计的工作，全面反映总分行各层面操作风险管理的执行情况。

第三章操作风险偏好和容忍度第十条本行的操作风险偏好强调业务规模、获利与风险承受度的匹配，在实现股东价值最大化的同时注重操作风险的管理，持续强化操作风险管理体系，落实内部控制制度。

第十一条本行通过确定操作风险容忍度、操作风险评估内容、关键风险指标、损失数据收集等手段将操作风险偏好落实到实际管理层面。

第十二条本行根据操作风险偏好和业务规模，釆用设置风险边界的方法，设定操作风险容忍度。

第十三条本行的操作风险容忍度区域分为四个等级，分别以绿色、黄色、橙色、红色加以区分。

(一)绿色区域：表示操作风险暴露落在安全区域。

基于风险管理、成本与效益的考虑，不必釆取额外的控制措施来降低操作风险暴露。

(二）黄色区域：表示操作风险暴露落在加强监控的范围内，相关单位应加强管理及监控的力度。

(三）橙色区域：表示操作风险暴露巳落在警戒范围内，相关单位应该立刻启动行动计划,将操作风险迅速降低至安全区域。

(四）红色区域：表示操作风险暴露巳落在不可忍受的范围内，应立刻启动行动计划，将操作风险迅速降低至安全区域，同时启动责任认定程序，必要时追究相关人员责任。

第十四条操作风险容忍度分为全行和分行二个层次，分别由总行条线管理单位和分行业务条线牵头制定。

(一)总行条线管理单位针对主要业务流程的操作风险暴露制定本条线全行层级的操作风险容忍度。

全行层级操作风险容忍度由总行条线管理部门提出，风险管理部审核，并报风险管理委员会批准生效。

(二）分行各业务条线可依据总行制定的风险容忍度边界值，结合本条线的具体情况进行调整，由分行风险管理部审核，分行行长核准后实行，并提交总行条线管理部门报备。

分行风险容忍度边界值原则上不得逾越总行制定的边界值，如确有特殊原因超越的，由分行部门经分行行长核准后，提交总行条线管理部门批准。

第十五条根据本行的操作风险偏好，在执行操作风险评估时，除评估操作风险事件对评估单位的财务影响外，至少应同时评估以下类型的影响。

(一)对业务持续运营的影响；(二）对广大客户服务质量的影响；(三）对本行声誉的影响；(四）对本行客户或员工人身安全的威胁；(五）监管机关对本行釆取监管行动的可能性。

第十六条总行风险管理部应依据本行的操作风险偏好，牵头制定和监测全行层级的关键风险指标。

指标监测内容至少应包括员工道德操守、员工上岗能力、合规、服务质量、营业场所与工作环境安全、信息系统安全与稳定等。

第十七条总行风险管理部应在银监会监管规定的基础上，综合考虑本行风险管理工作的成本与效益，制定全行一致的操作风险事件收集范围及损失数据收集门槛。

收集范围包含银监会规定的范围、本行特别关注的重大操作风险事件，以及其他损失金额达到特定门槛以上的事件。

第十八条总行业务条线可依据管理的需求，扩大操作风险事件收集范围或降低损失数据收集门槛。

分行损失数据的收集范围与门槛，应遵循总行所下发的《ⅩⅩ银行损失数据收集管理暂行办法》(交银办〔2010〕90号）第四章操作风险分类架构第十九条为实现操作风险管理和数据釆集的标准化，构建全行统一的操作风险管理体系，本行将操作风险的损失事件、风险因子、影响类型、事件形态以及操作风险控制措施进行架构化分类，形成全行层面的操作风险与控制字典。

第二十条总行风险管理部负责牵头建立全行层面的操作风险与控制字典。

操作风险与控制字典将另行下发，并由总行风险管理部负责定期或不定期更新。

第二十一条在日常操作风险管理过程中，若现有字典需要补充或修改的，应提出申请。

(一)总行层级由总行条线部门发起更新需求，经总行风险管理部审核后维护。

(二）分行层级由分行风险管理部汇总各部门意见后向总行风险管理部提出申请，总行风险管理部会同相关部门审核后进行维护。

第二十二条在新产品/新业务上线前，若在识别操作风险与控制措施过程中，发现现有字典不足，由产品或业务牵头部门发起更新需求，经总行风险管理部审核后进行维护。

第二十三条当外部环境变化时（包括但不限于：宏观形势的变化、监管法规的更新、发生重大外部操作风险事件等）若发现操作风险字典或控制字典需要完善时，业务条线部门向总行风险管理部发起字典的检查和修订工作。

第二十四条总行风险管理部应定期将全行的操作风险字典、控制字典的更新情况向操作风险管理委员会汇报。

第五章管理工具实施的基本要求第二十五条根据巴塞尔新资本协议和银监会有关指引中对操作风险管理体系建设的要求，目前本行主要应用的操作风险管理工具包括风险与控制自我评估（RCSA )、关键风险指标（KRI) 以及损失数据收集（LDC)(下称“管理工具第二十六条风险与控制自我评估、关键风险指标以及损失—10 —数据收集管理工具，应在总行各部门、分行及辖下所有分支机构实施。