操作风险管理基本制度1目的本文件规定了XX农村银行（以下简称“本行”）操作风险管理组织架构、职责、原则及政策要求，旨在建立健全与本行业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险，确保本行健康稳健发展。

2适用范围本文件适用于本行所有部门、机构和岗位。

3定义、缩写与分类3.1定义1）操作风险：是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险，但不包括战略风险和声誉风险。

2）操作风险事件：是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件。

3）操作风险管理：是指通过构建操作风险的组织架构，确定董事会、高级经理层和风险管理职能部门的责任，建立和落实操作风险管理政策、方法和程序，并通过不断提升抵御操作风险所需资本的充足水平，来对操作风险进行有效的识别、评估和控制的过程。

3.2缩写无3.3分类1）操作风险分为四大类：a）员工因素。

主要包括：内部欺诈、失职违规、知识/技术匮乏、核心员工流失、违反用工法。

b）内部流程。

主要包括：财务/会计错误、文件/合同缺陷、产品设计缺陷、错误监控/保告、结算/支付错误、交易/定价错误。

c）系统缺陷。

主要包括：数据/信息质量、违反系统安全规定、系统设计/开发的战略风险、系统的稳定性/兼容性/适宜性。

d）外部事件。

主要包括：外部欺诈、洗钱、政治风险、监管规定、业务外包、自然灾害、恐怖威胁。

2）风险事件分为：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型。

4组织结构与职责权限4.1组织结构图4.2职责权限4.2.1董事会职责1）制定与本行战略目标相一致且适用于全辖的操作风险管理战略和总体政策；2）通过审批及检查经营管理层有关操作风险的职责、权限及报告制度，确保本行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可承受的范围内；3）定期审阅经营管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、经营管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的4）确保经营管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；5）确保本行操作风险管理体系接受内部审计部门的有效审查与监督；6）制定适当的奖惩制度，在全辖范围内有效地推动操作风险管理体系建设。

4.2.2监事会职责负责对全辖遵守相关法律法规的情况以及对董事会、经营管理层履行风险管理职责的情况进行监督。

4.2.3经营管理层职责1）在操作风险的日常管理方面，对董事会负最终责任；2）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作流程，并定期向董事会提交操作风险总体情况的报告；3）全面掌握全辖操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；4）明确界定本行各部门、各分支机构的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门、各分支机构切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；5）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；6）及时对操作风险管理体系进行检查和修订，以便有效地应对内部流程、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

4.2.4合规与风险管理部门职责1）拟定本行操作风险管理政策、程序和具体的操作流程，提交经营管理层和董事会审批；2）协助其他部门识别、评估、监测、控制及缓释操作风险；3）建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序；4）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险5）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；6）定期检查并分析业务部门和其他部门操作风险的管理情况；7）定期向经营管理层提交操作风险报告；8）确保操作风险制度和措施得到遵守4.2.5业务主管部门及分支机构职责1)指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作流程；2)根据本行统一的操作风险管理评估方法，识别、评估本部门/机构的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；3)在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；4)监测关键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。

4.2.6其他管理部门职责综合办公、信息科技、安全保卫、人力资源等管理部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

4.2.7合规与风险督导员职责1）负责对本机构的经营管理情况和柜面人员各项业务操作程序的合规性进行检查监督；2）负责对本机构的内部控制制度的健全性和有效性以及内部控制制度执行情况进行检查监督；3）负责收集、识别、评估、监测和报告本机构的操作风险信息，对操作风险的识别、计量、监测和控制程序的适宜性和有效性进行检查评价；4）负责完成本行操作风险主管部门交办的其它工作。

4.2.8内部审计部门职责1）定期检查评估本行的操作风险管理体系运作情况；2）监督操作风险管理政策的执行情况；3）对新出台的操作风险管理政策、程序和具体的操作流程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。

5原则与政策要求5.1原则1）有效性原则：操作风险管理制度应符合董事会战略安排要求，按照点面结合的管理模式，确保得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问题应当能够得到及时反馈和纠正；2）全面性原则：操作风险的管理应渗透到本行各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员工参与，任何决策或操作均应当有案可查；3）审慎性原则：操作风险管理应以防范风险、审慎经营为出发点，各项经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“内控优先”的原则，建立和完善相关规章制度和科学流程设计；4）成本效益原则：操作风险管理要作好重大风险点的排查和识别，突出重点，充分发挥各部门及广大员工的工作积极性，尽量降低操作风险管理成本，保证以合理的控制成本达到最佳的控制效果。

5.2政策要求5.2.1操作风险管理组织体系1）本行操作风险管理体系组织架构，主要由董事会、经营管理层、合规与风险管理部门、相关职能部门、内部审计部门、分支机构组成。

2）本行的合规与风险管理部门为本行的操作风险主管部门，负责本行操作风险管理体系的建立和实施。

并与其他部门应保持独立，确保本行范围内操作风险管理的一致性和有效性。

3）本行相关部门和分支机构负责人对本部门、本机构的操作风险管理情况负直接责任。

4）本行合规与风险督导员负责对本部门、本机构的操作风险进行管理，合规与风险督导员实行双重负责制，既对分支机构负责人负责，又对合规与风险管理部门负责。

操作风险报告实行双线报告，既向部门、分支机构负责人报告，又向合规与风险管理部门报告。

5）本行各岗位员工应严格执行各项内部控制制度，杜绝违规事件的发生。

并按规定程序办理好每一笔业务，严防操作风险的产生。

6）本行内部审计部门应加强对辖内内控制度执行情况进行检查监督，对发现的违规行为应严格按照有关处理规定进行处理。

7）各部门、分支机构在管理好本身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门、分支机构管理操作风险提供相关资源和支持。

5.2.2操作风险的识别与评估1）本行操作风险识别评估应严格按照财政部等六部委制定的《企业内部控制基本规范》、银监会《商业银行内部控制指引》等规章制度为基本要求，并结合本行工作实际，有针对性、重点明确地开展。

2）合规与风险管理部门应制定有效操作风险识别评估程序，主动识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在的操作风险作出充分评估。

3）操作风险识别。

本行各部门、分支机构应按照操作风险识别评估程序，按月组织员工对本机构相关产品、业务、流程及系统内的操作风险进行识别，识别出本单位各项业务及管理活动存在的风险点，并向业务条线风险管理部门和合规与风险管理部门报告。

4）各部门和分支机构，出现以下情况时，应向业务条线风险管理部门和合规与风险管理部门提出操作识别和评估需求：a）新产品和新业务开发；b）新设备和新系统应用；c）IT系统的重大变更；d）操作风险管理政策修改；e）重大事故、险情、案件、隐患发生时；f）业务流程发生较大变化时；g）组织机构变革；h）重要员工流动；i）法律法规、监管要求发生变化；j）外部金融业等相关行业发生新的操作风险损失事件，本行可能面临类似的风险时；k）岗位与人员配置不符；l）其他可能引发操作风险的情况。

5）操作风险评估。

本行操作风险评估实行“授权评估、分级确认”的原则，即所有风险的初评工作授权各职能部门承担；复评工作由合规与风险管理部门负责；复评后风险级别为中等（含）以下的风险控制方案由各责任职能部门负责，经合规与风险管理部门审批；风险等级为中等以上的由合规与风险管理部门组织的风险评估小组负责制定，由风险管理委员会审定。

风险评估小组应由三人以上人员组成，小组成员应包括有业务经历的经办人员、业务管理人员和合规管理人员及其他方面的专家，合规与风险管理部门经理任小组组长。

6）业务条线风险管理部门和合规与风险管理部门应及时将风险评估结果和风险控制方案下发到各部门和分支机构贯彻落实。

7）风险控制方案的制订应充分考虑其风险控制现状、控制目标的需要、法律法规、监管要求，以及技术和财务因素，确保控制方案有效、合理、经济。

8）风险识别评估的结果应留下记录和形成文字材料，上报经营管理层。

作为建立和保持风险管理体系中的各项决策提供基础，为持续改进内控与合规绩效提供衡量基准。

5.2.3操作风险事件监测1）各部门、分支机构对操作风险损失事件的监测应遵循以下原则：a）重要性原则：在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认；b）及时性原则：应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确；c）统一性原则：操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比；d）谨慎性原则：在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。