XX银行制度操作风险管理办法文件编号：XXXXXXXXX-XXXX编制部门：合规管理部审核：批准：版次号：A/0生效日期：年月日目录修改记录 (3)第一章总则 (4)第二章组织与职责 (5)第三章操作风险的识别与评估 (11)第四章操作风险事件的监测 (13)第五章操作风险的控制 (16)第六章操作风险事件的报告 (19)第七章外部机构操作风险的管理 (21)第八章与监管机构的联络 (22)第九章考核与奖惩 (24)第十章附则 (25)修改记录第一章总则第一条为规范和加强XX银行（以下简称“本行”）的操作风险管理工作，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行操作风险管理指引》以及其他有关法律法规，制定本办法。

第二条本办法所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本办法所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第三条本行进行操作风险管理要遵循以下原则：（一）有效性原则：操作风险管理制度应符合董事会战略安排要求，按照点面结合的管理模式，确保得到全面贯彻执行，任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问题应当能够得到及时反馈和纠正；（二）全面性原则：操作风险的管理要渗透到各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员工参与，任何决策或操作均应当有案可查；（三）审慎性原则：操作风险管理要以防范风险、审慎经营为出发点，各项经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“内控优先”的原则，建立和完善相关规章制度和科学流程设计；（四）成本效益原则：操作风险管理要作好重大风险点的排查和识别，突出重点，充分发挥各部门及广大职员的工作积极性，尽量降低操作风险管理成本，保证以合理的控制成本达到最佳的控制效果。

第四条本行应当选择适当的方法对操作风险进行管理。

具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

第五条本办法适用于本行各支行、各部门所有人员。

第二章组织与职责第六条本行操作风险的组织架构包括董事会、行长/高级管理层、各职能部门、各分支机构。

第七条本行董事会是本行操作风险管理的最高管理机构，承担监控操作风险管理有效性的最终责任。

董事会授权下设的风险管理与关联交易控制委员会履行其操作风险管理的职责，具体职责包括：（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；（二）审批及检查高级管理层、各有关部门和分支机构有关操作风险的职责、权限及报告制度，确保全行的操作风险管理体系的有效性，将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（三）定期审阅合规管理部、风险管理部等操作风险相关部门提交的操作风险报告，充分了解本行操作风险管理的总体情况，评价重大操作风险事件处理的有效性，监控和评价日常操作风险管理的有效性；（四）确保本行各职能部门、分支机构采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系建设；（七）审定与操作风险管理相关的其他重大事项。

第八条行长/高级管理层的主要职责包括：（一）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的相关制度，并定期向董事会提交操作风险总体情况的报告；（二）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；（三）明确界定本行各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责；（四）为本行操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；（五）及时对操作风险管理体系进行检查和修订，以便有效地应对规章制度、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件；（六）协调处理各部门和分支机构有关操作风险管理的重大事项。

第九条总行风险管理部职责主要包括：（一）在全面风险管理框架下，负责全行操作风险管理体系的建设；（二）协助各部门建立与其业务要求相适应的操作风险识别、评估、监测、控制及缓释的完整体系。

第十条总行合规管理部的职责主要包括：（一）根据本行操作风险管理政策和操作风险管理体系，确定操作风险管理的办理办法和操作流程；（二）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；（三）根据监管部门要求及我行业务特点，负责研究、开发和维护操作风险度量、分析和报告的方法、模型、工具。

（四）定期检查并分析业务部门和其他部门操作风险的管理情况，确保操作风险制度和措施得到贯彻落实；（五）负责组织全行操作风险管理方面的培训，提高全行操作风险管理水平；（六）负责就本行操作风险管理事务与监管机构联络。

第十一条本行各相关部门、各分支机构对操作风险的管理情况负直接责任。

主要职责包括：（一）指定专人负责操作风险管理，贯彻落实操作风险管理的规章制度；（二）根据本行统一的操作风险管理评估方法，识别、评估本部门、本分支机构的操作风险，建立持续、有效的操作风险监测、控制及报告程序，并组织实施；（三）在制定本部门、本分支机构业务流程时，充分考虑操作风险管理和内部控制的要求，应保证操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；（四）监测关键风险指标，定期向总行合规管理部通报本部门、本分支机构操作风险管理的总体状况，并及时通报重大操作风险事件。

第十二条各部门、分支机构在管理好本身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门、分支机构管理操作风险提供相关资源和支持。

第十三条稽核审计部门对操作风险的管理情况进行检查监督。

其具体职责包括：（一）定期检查各部门、分支机构操作风险管理政策的落实和防范措施的执行情况；（二）定期对合规管理部、风险管理部关于操作风险管理的履行情况进行监督；（三）对操作风险管理政策、程序和具体的操作规程及其运作情况进行独立评估，并将评估结果报告董事会和高级管理层。

第三章操作风险的识别与评估第十四条本行操作风险识别评估要严格按照财政部等六部委制定的《企业内部控制基本规范》、银监会《商业银行内部控制指引》等规章制度为基本要求，并结合本行工作实际，有针对性、重点明确地开展。

第十五条合规管理部应制定有效操作风险识别评估程序，主动识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在的操作风险作出充分评估。

第十六条风险管理部应建立适用全行的操作风险基本控制标准，并应相关部门的要求提供相关技术支持。

第十七条本行各部门应在合规管理部的组织下，按年定期对相关产品、业务、流程及系统内的操作风险进行识别评估。

识别评估方法主要采用流程分析法，根据各项工作的开展流程、历史运营情况、同业案例分析、经验判断、损失额度及影响等方法进行综合分析。

第十八条出现以下情况时，各部门和分支机构应立即向合规管理部提出操作风险控制评估计划：（一）新产品和新业务开发；（二）新设备和新系统应用；（三）IT系统的重大变更；（四）操作风险管理政策修改；（五）重大事故、险情、案件、隐患发生时；（六）业务流程发生较大变化时；（七）组织机构变革；（八）重要员工流动；（九）法律法规、监管要求发生变化；（十）外部金融业等相关行业发生新的操作风险损失事件，本行可能面临类似的风险时；（十一）岗位与人员配置不符；（十二）其他可能引发操作风险的情况。

第十九条各部门、分支机构要针对对实现工作目标有负面影响的各类显性及隐性因素制订相应的控制措施。

第二十条各部门、分支机构应及时向合规管理部提交操作风险的识别与评估结果。

合规管理部应及时对操作风险识别评估结果进行汇总，并报告高级管理层。

第四章操作风险事件的监测第二十一条各部门、分支机构对操作风险损失事件的监测应遵循以下原则：（一）重要性原则：在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认；（二）及时性原则：应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确；（三）统一性原则：操作风险损失事件的统计标准、范围、程序和方法要保持一致，以确保统计结果客观、准确及可比；（四）谨慎性原则：在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。

第二十二条本行各部门、分支机构应定期监测操作风险状况和重大损失情况，并向合规管理部门报告。

第二十三条各部门、分支机构要根据自身业务特点，建立相应的操作风险预警机制并报备合规管理部，针对潜在损失不断增大的风险，及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。

第二十四条总行合规管理部应根据本行业务发展要求，针对操作风险损失情况和外部信息逐步补充完善操作风险关键监测指标。

第二十五条总行合规管理部会同风险管理部和其他部门建立并逐步完善操作风险管理系统，系统性地收集、整理、跟踪和分析与操作风险相关的数据和事件信息。

各部门、各分支机构应针对产品、业务、流程及系统内产生的操作风险的损失数据要进行收集，并报送合规管理部审核后进入操作风险损失数据库，定期根据损失数据进行风险评估。

第二十六条操作风险损失事件统计内容应至少包含：损失事件发生的时间、发现的时间及损失确认时间、业务名称、损失事件类型、损失形态、涉及金额、损失金额、非财务影响、与信用风险和市场风险的交叉关系等。

第二十七条操作风险损失事件类型包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理等。

第二十八条操作风险损失形态包括：法律成本，监管罚没，资产损失，对外赔偿，追索失败，账面减值，其他损失等。

第二十九条本行应根据操作风险损失事件统计工作的重要性原则，合理确定操作风险损失事件统计的金额起点。

对设定金额起点以下的操作风险损失事件和未发生财务损失的操作风险事件也可进行记录和积累。

第三十条在统计操作风险损失事件时，应合理区分操作风险损失和其他风险损失界限。

对于跨地区、跨业务种类的操作风险损失事件，合规管理部应确定损失统计原则，避免重复统计。

第五章操作风险的控制第三十一条对识别评估出的操作风险点，合规管理部应组织相关部门和分支机构提出相应的控制措施，其控制措施种类包括但不限于以下内容：（一）高层审核：上级管理者对照预算、预测、过往业绩和竞争者的情况对相关业务或经营情况进行审核；（二）直接的职能或活动管理：如审核业绩报告、新业务数据，关注合规问题，调节资金头寸等；（三）信息处理：通过一系列的核对与批准保证交易的准确性、完整性和已授权；（四）实物控制：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全；（五）业绩指标分析：综合一系列的指标，通过因素分析、对比分析、趋势分析等方法，发现存在的问题，及时查明原因并加以改进；（六）不相容职责分离：全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制；（七）绩效考评控制、预算控制、信息系统控制和其他。