交银董〔2010〕13 号关于印发《交通银行股份有限公司操作风险管理政策》的通知各省分行、直属分行，各海外分行，总行各部门：2010 年3 月30 日，我行第五届董事会第二十三次会议审议批准了《交通银行股份有限公司操作风险管理政策》，现予印发，请遵照执行。

交通银行董事会办公室二○一○年四月七日交通银行股份有限公司操作风险管理政策第一章总则第一条为建立和完善交通银行股份有限公司（以下简称“本行”）操作风险管理体系，加强操作风险管理，促进全面风险管理体系建设，根据银监会《商业银行操作风险管理指引》、本行全面风险管理规划等文件要求，结合本行实际情况，特制定本政策。

第二条操作风险的定义。

操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第三条操作风险管理的战略目标。

持续改进和完善全行操作风险的管理，建立符合本行实际的操作风险管理体系。

使用国际通行的工具和方法，对全行操作风险进行统一全面管理。

最大程度减少操作风险事件，降低操作风险损失，维护本行声誉和市场价值。

满足新资本协议达标要求和操作风险管理的监管要求。

第四条操作风险管理的总体要求。

操作风险源于人员、程序、系统和外部事件，本行各部门、各单位对操作风险均负有管理职责，操作风险的管理应贯穿于本行经营管理过程中的每一个环节。

同时，要采取自上而下和自下而上的方法对重大操作风险和日常操作风险进行分层管理。

第五条操作风险损失事件类型。

依据巴塞尔新资本协议和银监会有关指引，损失事件分为内部欺诈事件、外部欺诈事件、就业制度和工作场所安全事件、客户、产品和业务活动事件、实物资产的损坏、信息科技系统事件、执行、交割和流程管理事件等类型。

本行应依据实际管理的需求，针对操作风险事件、事件的起因、事件的影响效果等进行更细致的分类。

第二章操作风险偏好和容忍度第六条风险偏好是风险与收益的权衡。

操作风险偏好是在本行总体风险偏好框架下，对操作风险的基本态度和公司管理层对操作风险管理的承诺。

操作风险管理作为主要风险管理职能纳入全面风险管理体系，定期审定关键操作风险环节、领域，主要包括银行所关注的操作风险环节、特定的领域，愿意并可承受的风险程度，以及银行为将操作风险损失控制在可接受范围内所愿意耗用的资源及成本。

本行提倡实行“积极、稳健、平衡”的风险偏好，在经营管理过程中，强调业务规模、获利与风险承受度的匹配，在实现股东价值最大化的同时注重操作风险的管理，持续强化操作风险管理体系，落实内部控制制度。

第七条操作风险容忍度是将战略层面的操作风险偏好转化至实际管理层面的管理工具。

在操作风险偏好的基础上，通过设定风险边界将操作风险暴露程度划分为不同的等级，达到监控风险暴露与生成预警信息的目的。

第三章组织架构和职责分工第八条操作风险管理需要一个完整的组织架构来保障，并与银行的经营战略相适应。

在公司治理层面由董事会、监事会、高级管理层组成操作风险管理的领导、监督机构；在职能管理层面由业务经营部门、条线管理部门、风险管理部门和内部审计部门组成操作风险管理“四道防线”。

第九条董事会是本行操作风险管理工作的最高领导机构。

董事会应将操作风险作为本行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。

主要职责包括：（一）制定与本行战略目标相一致且适用于本行的操作风险管理战略和总体政策；（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保本行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；确保本行操作风险管理体系接受内审部门的有效审查与监督；（五）制定适当的奖惩制度，在本行范围有效地推动操作风险管理体系的建设。

第十条高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。

主要职责包括：（一）在操作风险的日常管理方面，对董事会负最终责任；（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等。

第十一条监事会负责监督董事会和高级管理层操作风险管理的履职尽责情况，并提出有关建议。

第十二条总行风险管理部负责本行操作风险管理体系的建立和实施，应与其他部门保持独立，确保本行操作风险管理的一致性和有效性。

主要职责包括：（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；（二）定期分析总结本行操作风险管理体系运作情况，持续研究、改进和创新操作风险管理方法、技术和工具；（三）牵头管理重大操作风险，指导、协助总行各条线管理部门识别、评估、监测、控制/缓释和报告操作风险；（四）负责全行层面的操作风险管理培训，协助各条线部门提高操作风险管理水平、履行操作风险管理的各项职责；（五）制定和维护全行范围内业务连续性管理的办法。

制订业务连续性管理计划的编制方法；指导各部门制订和维护业务连续性计划和灾难恢复计划；定期审查各部门业务连续性计划和灾难恢复计划；（六）向高级管理层提交操作风险报告。

第十三条总行各部门负责管理本条线的操作风险，部门负责人对本条线操作风险管理情况负责，并指定专门的二级部门牵头履行以下职责：（一）在制定本条线业务流程和相关业务制度时，充分考虑操作风险管理和内部控制的要求，确保与操作风险管理总体政策的一致性；（二）根据本行操作风险管理的政策、程序和具体的操作规程，或结合条线实际情况制定实施细则后，指导、组织本条线进行持续、有效的操作风险识别、评估、监测、控制/缓释及报告；（三）制定本条线的业务连续性计划或灾难恢复计划，并定期测试和演练，确保业务持续性计划或灾难恢复计划的完整性、有效性；（四）负责本条线的操作风险管理培训，协助本条线各级经营管理部门提高操作风险管理水平、履行操作风险管理的各项职责；（五）向总行风险管理部和分管行领导提交操作风险报告。

第十四条各省直分行负责管理本分行的操作风险，分行负责人对本分行的操作风险管理情况负责。

各分行应指定风险管理部门牵头，其他部门应指定专人配合，共同遵循总行的操作风险管理政策、办法和程序，运用统一的操作风险管理方法、技术和工具，组织本分行各经营管理单位实施操作风险的识别、评估、监测、控制/缓释和报告。

第十五条各子公司和海外分行负责管理本机构的操作风险，机构负责人对本机构的操作风险管理情况负责。

各机构应指定风险管理部门牵头，机构其他部门应指定专人配合，共同遵循总行的操作风险管理政策、办法和程序，运用统一的操作风险管理方法、技术和工具，组织本机构各经营管理单位实施操作风险的识别、评估、监测、控制/缓释和报告。

各子公司和海外分行属地监管机构或所属行业监管机构的规定与总行规定不一致的，应及时报告总行并按总行的审批要求执行。

第十六条法律合规部、信息技术管理部、监察室、人力资源部等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源、支持。

第十七条内部审计部门应定期独立审查、监督、评价本行的操作风险管理体系运作情况。

第四章操作风险管理流程第十八条本行操作风险管理流程主要包括操作风险识别、评估、监测、控制/缓释和报告等，并通过操作风险管理信息系统平台进行整合和实施。

第十九条操作风险识别。

操作风险识别指识别存在的主要操作风险并确定其性质的过程，其范围应涵盖本行各个层面的业务流程和管理流程。

操作风险识别应具有前瞻性，并应识别出各业务管理流程存在的主要操作风险事件、风险因子、影响类型、控制措施等，为操作风险评估、监测、控制/缓释和报告提供基础。

操作风险识别可采用业务流程分析和损失数据收集等操作风险管理工具。

第二十条操作风险评估。

操作风险评估是指评估操作风险暴露程度并确定操作风险是否可接受的全过程。

操作风险评估应按照统一的标准，对操作风险事件的固有风险暴露、剩余风险暴露和控制有效性等进行评估，并结合对应流程的风险容忍度，确定操作风险暴露是否在可接受范围之内。

操作风险评估可采用风险与控制自我评估等操作风险管理工具。

第二十一条操作风险监测。

操作风险监测应通过设置并监测各类风险指标，动态、持续的监测操作风险状况及其控制/缓释措施的质量；快速发现政策、流程和内部控制出现的问题并采取相应的补救措施。

操作风险监测可采用关键风险指标等操作风险管理工具。

第二十二条操作风险控制/缓释。

操作风险控制/缓释是指根据操作风险评估或监测结果，制订并组织实施操作风险控制/缓释行动计划的过程。

通过流程控制、行为监控、电子化、保险、外包等一系列控制手段或缓释方法，对操作风险进行转移、分散、降低、规避，将操作风险暴露降低至可接受的范围之内。

第二十三条操作风险报告和披露。

本行应建立操作风险报告制度，明确报告的种类、路线、内容、格式和频率。

各分支机构和各部门应当根据报告制度规定，及时、准确、真实地提交操作风险报告，并对报告内容负责。

对于重大操作风险事件应及时报告董事会、高级管理层和监管机构。

本行应根据法律法规规定及监管要求披露操作风险信息。

第二十四条操作风险管理信息系统。

为有效识别、评估、控制/缓释、监测和报告操作风险，本行应逐步建立并完善操作风险管理信息系统，为上述流程及相应的操作风险管理工具提供整合和实施的平台。

第五章业务连续性管理第二十五条业务连续性管理的目标是将服务运行中断的影响最小化，保证关键业务中断时及时恢复，控制业务中断事件所带来的收入和资金的损失，保护银行的声誉和品牌。

主要包括危机管理计划、业务连续性计划和灾难恢复计划。

第二十六条各部门应当制定与其业务规模和复杂性相适应的业务连续计划或灾难恢复计划，保证持续经营，将重大或较大业务中断事件发生时导致的操作中断对银行业务、产品和服务的影响最小化。

业务连续性计划和灾难恢复计划至少应考虑系统不可用、人员不可用、办公场所不可用、外部供应商不可用等场景下的恢复步骤、行动和措施。