阳光财产保险股份有限公司操作风险管理规范第一章 总则第一条 为完善阳光财产保险股份有限公司（以下简称“公司”）全面风险管理体系，保障公司稳健经营，有效控制操作风险，根据《中华人民共和国保险法》、《保险公司偿付能力监管规则（1-17号）》等法律法规以及《阳光保险集团内部控制指引》（阳光保险发[2010]207号）等文件，结合公司实际情况，制定本规范。

第二条 本规范所称操作风险，是指由于不完善的内部操作流程、人员、信息系统或外部事件而导致公司直接或间接损失的风险，包括法律及监管合规风险。

本规范所称操作风险损失事件是指由于不完善的内部操作流程、人员、信息系统或外部事件造成公司资产损失、对外服务中断、受到监管处罚或权益丧失的事件。

操作风险损失事件应至少满足以下特征之一：（一）形成风险金额；（二）存在既遂的盗窃、挪用、贪污、受贿等内部欺诈行为；（三）受到监管机关行政处罚或公开批评；（四）公司被起诉或被申请仲裁；（五）造成对外营业中断。

第三条 公司按照损失事件、业务条线、风险成因、损失形态和后果严重程度等因素，对操作风险进行分类。

第四条 本规范适用于公司各部门、各事业部及各分支机构。

第二章 组织架构及职责分工第五条 操作风险管理是偿付能力风险管理体系重要组成部分，公司建立相关制度和机制，防范和识别操作风险，应对和处置操作风险事件。

公司建立由董事会承担最终责任，高级管理层承担直接责任，风险管理部作为牵头部门，其他职能部门和各分支机构各司其职、密切配合，覆盖所有业务单位的操作风险管理组织体系。

第六条 董事会是公司全面风险管理的最高决策机构，对包括操作风险在内的全面风险管理框架的完整性和有效性承担最终责任。

第七条 高级管理层负责履行操作风险管理的直接责任，在授权范围内实施操作风险管理工作，主要职责包括：（一）制定并组织执行操作风险管理政策和流程；（二）明确公司各部门和分支机构在操作风险管理中的职责；（三）组织制定重大操作风险事件的解决方案；（四）组织评估操作风险管理体系运行的有效性并不断完善；（五）组织相关信息系统的开发和应用，确保内控流程嵌入到信息系统中；（六）审核操作风险报告，充分了解公司操作风险管理的总体情况。

第八条 风险管理部是操作风险管理的牵头部门，统筹负责操作风险管理。

各职能部门、渠道和分支机构根据职责分工完成相应工作。

作为操作风险管理牵头部门，风险管理部的主要职责包括：（一）制定、维护并不断完善公司操作风险管理制度和流程；（二）协调、指导、督促各职能部门、渠道和分支机构组织实施操作风险识别、评估、控制和监测程序；（三）建立操作风险管理报告机制，收集及分析操作风险事件及损失数据，定期及不定期编制相关统计及分析报告，并就如何弥补损失提出建议，使高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响，以便能够采取有效的防范及降低风险的措施。

第九条 各职能部门对业务范围内的操作风险管理承担首要责任，各职能部门负责人对本职范围内的操作风险管理负全责：（一） 制定并定期检视主管范围内操作风险内部控制体系,包括本部门及本业务条线的内部控制制度、业务流程及细则、关键风险指标等，并确保其与公司操作风险管理政策保持一致性；（二） 识别、评估、控制及监测本部门的操作风险，如有必要可开展操作风险专项检查；（三） 及时、准确地依照风险管理报告机制向风险管理部通报操作风险状况。

第十条 合规法律部、信息技术管理部门、人力资源部在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条 稽核监察职能部门应定期独立审查、监督、评价公司的操作风险管理体系运作情况。

第十二条 分公司操作风险管理组织架构与职责（一）在授权范围内实施操作风险管理工作。

分公司负责人作为分公司操作风险管理的第一责任人，负责建立分公司层面的操作风险管理体系；督促分公司各职能部门及业务单位全面识别、评估、监测及控制所辖范围内的各项操作风险，建立健全相应的内部控制体系；推进各项操作风险管理工作在分公司层面的贯彻落实。

（二）分公司风险合规管理岗应协助分公司负责人开展操作风险管理工作，负责组织识别、评估、监测及控制所在机构的操作风险；及时、准确地按照风险管理报告机制向总公司风险管理部通报分公司操作风险状况。

第十三条 组织架构调整与职责变化：本规范所规定的风险管理职责依据公司现行组织架构及职责分工确定。

如遇公司组织架构调整或分工变化，相应的风险管理职责由调整或变化后承担相应职责的部门及岗位予以履行。

第三章 操作风险识别与评估第十四条 风险管理部组织各部门、各分支机构定期开展操作风险识别和评估工作。

各部门、各分支机构在新业务、新产品上线，新系统应用，相关法律法规、监管要求变更，或相关经营管理流程、信息系统等发生重大变化时，应及时开展针对性的操作风险识别和评估工作，并将识别和评估结果报送风险管理部。

第十五条 操作风险识别主要采用流程分析法，根据各项工作的开展流程、历史运营情况、同业案例分析、经验判断等进行识别，主要从以下几个方面开展：（一）不完善、不规范的内部操作流程，如公司产品开发管理、承保管理、理赔管理、再保险管理、业务单证管理、财务管理等重要业务活动没有制定相应的内部操作流程和控制制度，或操作流程和控制制度不适用不完善，或未能对重要业务事项和高风险领域实施重点控制等；（二）可能导致操作风险的人员因素，包括招聘、解雇、培训、领导能力和持续发展规划、业绩管理、薪酬等；（三）信息系统存在的问题和风险，包括系统设计缺陷、软件/硬件故障或缺陷、信息安全和数据质量等方面的风险；（四）可能导致操作风险的外部因素，包括法律法规、监管政策、不可抗力等；（五）其他可能引发操作风险的情形。

第十六条 除了已知的风险，还应识别和监控潜在的风险。

这些风险可能由政治、法律、技术、监管或者社会驱动。

这种前瞻性的分析是风险识别的一个关键组成部分。

第十七条 公司应当通过定性与定量相结合的方法，评估各类操作风险，通过采用关键风险指标、自我评估、外部独立评估等方法，建立操作风险评估体系。

第十八条 对已识别的风险应从风险影响程度、发生频率与控制效率等方面进行分析和评估。

判断风险是否处于容忍度范围内，形成风险评估结果并作为风险管理的依据。

第十九条 进行公司整体风险评估时，还须考虑风险因素之间的因果联系、相关性，公司采用一致的风险矩阵方法，评估风险影响和发生概率。

（一） 风险影响：如果风险发生，对公司和内外部利益相关者造成的影响（包括财务损失、财务错报、声誉影响、客户影响等方面），按照风险孰高原则确定风险影响等级；（二） 发生概率：未来一年内风险发生的可能性，或者风险发生的频率；（三） 对于控制措施有效性的评估，应从控制措施设计的充分性和执行的有效性两个方面来进行。

第二十条 风险评估结果：（一） 绿色，表示"可接受风险"：剩余风险处于容忍度范围内，无需进一步采取控制措施；（二） 橙色，表示"需关注风险"：剩余风险超出容忍度范围，但存在充分有效的控制措施，风险水平将逐步改善，预计在既定时间内回到容忍度范围内。

（三） 红色，表示"不可接受风险"：剩余风险远超出容忍度范围，需制定新的控制措施并强力执行，才能使之回到容忍度范围内。

第二十一条 任何重大风险和重大风险事件的评估必须包括对财务和声誉影响的评估：（一） 财务影响是指如果风险形成，可能出现可量化的财务损失；（二） 财务错报的影响是指对财务报告中失误和疏忽的定性和定量分析，包括内部和外部；（三） 声誉影响是指如果风险形成，对公司声誉损害的估计；（四） 行为影响是指如果风险形成，对客户的可能损害；（五） 每个重大操作风险应设置一个容忍度。

容忍度水平应该根据影响和可能性进行评估。

容忍度水平是指职能部门、渠道或业务领域负责人所能接受的风险程度。

第二十二条 对识别评估出的风险点，各职能部门、渠道和分支机构应：（一） 以适当的方式进行汇总，形成公司统一的操作风险分类框架，并建立适当的维护机制；（二） 与相关流程建立关联，并作为操作风险评估的基础；（三） 与损失数据收集、关键风险指标等工具建立映射关系。

第二十三条 对识别评估出的风险点，风险管理部协助相关部门、渠道、分支机构提出并执行相应的控制措施，控制措施种类包括但不限于以下内容：（一）制度完善：修订各项内部管理制度和操作流程，明确各岗位、各部门职责边界；（二）层级审批：通过授权和层级审批机制，形成合力制约和有效监督；（三）实物控制：建立财产日常管理制度和定期清查制度等措施，确保财产安全；（四）指标监测：制定关键风险指标，通过关键风险指标监测及分析及时发现问题、查明原因并加以改进；（五）职责分离：对于业务流程中不相容职务实施分离措施，形成各司其职、互相制约的工作机制；（六）系统控制、轮岗制度、培训制度和其他相关措施。

第四章 操作风险监测第二十四条 风险管理部牵头公司各部门、渠道、各分支机构逐步研究建立操作风险损失事件库，制定并组织落实操作风险损失事件的收集和报告机制。

第二十五条 风险管理部牵头组织各部门、渠道、各分支机构建立操作风险关键指标库并定期维护、完善操作风险关键指标。

风险管理部研究制定操作风险关键指标监测、报送机制，相关部门应根据要求定期将监测结果反馈风险管理部，风险管理部根据各相关部门的监测结果，从风险影响程度、发生频率与控制效率等方面进行整体分析和评价。

第五章 报告第二十六条 公司操作风险管理实行定期、不定期相结合的报告机制。

对日常操作风险监测、操作风险管理状况评估等实行定期报告；对于重大操作风险损失事件，应在发生后立即报告。

当面临操作风险时，公司确保有畅通的报告路径。

操作风险报告要满足真实性、及时性、准确性和保密性等要求。

具体报送路径及要求由风险管理部另行制定。

第二十七条 风险管理部每半年向高级管理层报告一次操作风险管理情况。

报告可以包括以下内容：（1） 关键风险指标监测情况；（2） 操作风险识别与评估情况；（3） 控制措施的执行情况；（4） 重大操作风险损失事件的处置情况；（五）其它相关情况。

第六章 信息披露第二十八条 企划部根据《保险公司偿付能力监管规则第13号：偿付能力信息公开披露》的规定，建立健全偿付能力信息公开披露制度，覆盖信息的生成、采集、审核和披露等各个环节，明确各环节的责任部门和责任人，确保信息披露的充分性、及时性、真实性和公平性。

第七章 考核与奖惩第二十九条 风险管理部会同企划部、人力资源部逐步建立公司操作风险内部考核评价机制，将操作风险管理考核与绩效考核挂钩。

第三十条 对严格履行操作风险管理职责，特别是及时报告风险、提出切实有效应对措施，对防范和化解操作风险作出重大贡献的部门和个人，将根据公司相关制度给予适当奖励。