1、精選優質文檔-傾情為你奉上XX銀行制度操作風險管理辦法文件編號：XXXXXXXXX-XXXX編制部門：合規管理部審 核：批 準：版 次 號：A/0生效日期： 年 月 日目 錄修改記錄版次號生效日期修改原因A/0制度文件A版 ，首次發布第一章 總則第一條 為規范和加強XX銀行（以下簡稱“本行”）的操作風險管理工作，依據中華人民共和國銀行業監督管理法、中華人民共和國商業銀行法、商業銀行操作風險管理指引以及其他有關法律法規，制定本辦法。第二條 本辦法所稱操作風險是指由不完善或有問題的內部程序、員工和信息科技系統，以及外部事件所造成損失的風險。本辦法所指操作風險包括法律風險，但不包括策略風險和聲譽風險

2、。第三條 本行進行操作風險管理要遵循以下原則：（一） 有效性原則：操作風險管理制度應符合董事會戰略安排要求，按照點面結合的管理模式，確保得到全面貫徹執行，任何人在任何崗位辦理任何業務均受內部控制約束，內部控制存在的問題應當能夠得到及時反饋和糾正；（二） 全面性原則：操作風險的管理要滲透到各項業務過程和各個操作環節，覆蓋所有的部門和崗位，并由全體員工參與，任何決策或操作均應當有案可查；（三） 審慎性原則：操作風險管理要以防范風險、審慎經營為出發點，各項經營管理活動，尤其是涉及相關體制改革、設立新機構、開辦新業務時，應當體現“內控優先”的原則，建立和完善相關規章制度和科學流程設計；（四） 成本效益

3、原則：操作風險管理要作好重大風險點的排查和識別，突出重點，充分發揮各部門及廣大職員的工作積極性，盡量降低操作風險管理成本，保證以合理的控制成本達到最佳的控制效果。第四條 本行應當選擇適當的方法對操作風險進行管理。具體的方法可包括：評估操作風險和內部控制、損失事件的報告和數據收集、關鍵風險指標的監測、新產品和新業務的風險評估、內部控制的測試和審查以及操作風險的報告。第五條 本辦法適用于本行各支行、各部門所有人員。第二章 組織與職責第六條 本行操作風險的組織架構包括董事會、行長/高級管理層、各職能部門、各分支機構。第七條 本行董事會是本行操作風險管理的最高管理機構，承擔監控操作風險管理有效性的最終

4、責任。董事會授權下設的風險管理與關聯交易控制委員會履行其操作風險管理的職責，具體職責包括：（一） 制定與本行戰略目標相一致且適用于全行的操作風險管理戰略和總體政策；（二） 審批及檢查高級管理層、各有關部門和分支機構有關操作風險的職責、權限及報告制度，確保全行的操作風險管理體系的有效性，將本行從事的各項業務面臨的操作風險控制在可以承受的范圍內；（三） 定期審閱合規管理部、風險管理部等操作風險相關部門提交的操作風險報告，充分了解本行操作風險管理的總體情況，評價重大操作風險事件處理的有效性，監控和評價日常操作風險管理的有效性；（四） 確保本行各職能部門、分支機構采取必要的措施有效地識別、評估、監測和

5、控制/緩釋操作風險；（五） 確保本行操作風險管理體系接受內審部門的有效審查與監督；（六） 制定適當的獎懲制度，在全行范圍有效地推動操作風險管理體系建設；（七） 審定與操作風險管理相關的其他重大事項。第八條 行長/高級管理層的主要職責包括：（一） 根據董事會制定的操作風險管理戰略及總體政策，負責制定、定期審查和監督執行操作風險管理的相關制度，并定期向董事會提交操作風險總體情況的報告；（二） 全面掌握本行操作風險管理的總體狀況，特別是各項重大的操作風險事件或項目；（三） 明確界定本行各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內容，督促各部門切實履行操作風險管理職責；（四） 為本行操作風

6、險管理配備適當的資源，包括但不限于提供必要的經費、設置必要的崗位、配備合格的人員、為操作風險管理人員提供培訓、賦予操作風險管理人員履行職務所必需的權限等；（五） 及時對操作風險管理體系進行檢查和修訂，以便有效地應對規章制度、產品、業務活動、信息科技系統、員工及外部事件和其他因素發生變化所造成的操作風險損失事件；（六） 協調處理各部門和分支機構有關操作風險管理的重大事項。第九條 總行風險管理部職責主要包括：（一） 在全面風險管理框架下，負責全行操作風險管理體系的建設；（二） 協助各部門建立與其業務要求相適應的操作風險識別、評估、監測、控制及緩釋的完整體系。第十條 總行合規管理部的職責主要包括：（

7、一） 根據本行操作風險管理政策和操作風險管理體系，確定操作風險管理的辦理辦法和操作流程；（二） 建立并組織實施操作風險識別、評估、緩釋（包括內部控制措施）和監測方法以及全行的操作風險報告程序；（三） 根據監管部門要求及我行業務特點，負責研究、開發和維護操作風險度量、分析和報告的方法、模型、工具。（四） 定期檢查并分析業務部門和其他部門操作風險的管理情況，確保操作風險制度和措施得到貫徹落實；（五） 負責組織全行操作風險管理方面的培訓，提高全行操作風險管理水平；（六） 負責就本行操作風險管理事務與監管機構聯絡。第十一條 本行各相關部門、各分支機構對操作風險的管理情況負直接責任。主要職責包括：（一）

8、 指定專人負責操作風險管理，貫徹落實操作風險管理的規章制度；（二） 根據本行統一的操作風險管理評估方法，識別、評估本部門、本分支機構的操作風險，建立持續、有效的操作風險監測、控制及報告程序，并組織實施；（三） 在制定本部門、本分支機構業務流程時，充分考慮操作風險管理和內部控制的要求，應保證操作風險管理人員參與各項重要的程序、控制措施和政策的審批，以確保與操作風險管理總體政策的一致性；（四） 監測關鍵風險指標，定期向總行合規管理部通報本部門、本分支機構操作風險管理的總體狀況，并及時通報重大操作風險事件。第十二條 各部門、分支機構在管理好本身操作風險的同時，應在涉及其職責分工及專業特長的范圍內為其

9、他部門、分支機構管理操作風險提供相關資源和支持。第十三條 稽核審計部門對操作風險的管理情況進行檢查監督。其具體職責包括：（一） 定期檢查各部門、分支機構操作風險管理政策的落實和防范措施的執行情況；（二） 定期對合規管理部、風險管理部關于操作風險管理的履行情況進行監督；（三） 對操作風險管理政策、程序和具體的操作規程及其運作情況進行獨立評估，并將評估結果報告董事會和高級管理層。第三章 操作風險的識別與評估第十四條 本行操作風險識別評估要嚴格按照財政部等六部委制定的企業內部控制基本規范、銀監會商業銀行內部控制指引等規章制度為基本要求，并結合本行工作實際，有針對性、重點明確地開展。第十五條 合規管理

10、部應制定有效操作風險識別評估程序，主動識別存在于業務、流程及系統內的操作風險，并確保在推出新的產品、業務、流程及系統前，對其內在的操作風險作出充分評估。第十六條 風險管理部應建立適用全行的操作風險基本控制標準，并應相關部門的要求提供相關技術支持。第十七條 本行各部門應在合規管理部的組織下，按年定期對相關產品、業務、流程及系統內的操作風險進行識別評估。識別評估方法主要采用流程分析法，根據各項工作的開展流程、歷史運營情況、同業案例分析、經驗判斷、損失額度及影響等方法進行綜合分析。第十八條 出現以下情況時，各部門和分支機構應立即向合規管理部提出操作風險控制評估計劃：（一） 新產品和新業務開發；（二）

11、 新設備和新系統應用；（三） IT系統的重大變更；（四） 操作風險管理政策修改；（五） 重大事故、險情、案件、隱患發生時；（六） 業務流程發生較大變化時；（七） 組織機構變革；（八） 重要員工流動；（九） 法律法規、監管要求發生變化；（十） 外部金融業等相關行業發生新的操作風險損失事件，本行可能面臨類似的風險時；（十一） 崗位與人員配置不符；（十二） 其他可能引發操作風險的情況。第十九條 各部門、分支機構要針對對實現工作目標有負面影響的各類顯性及隱性因素制訂相應的控制措施。第二十條 各部門、分支機構應及時向合規管理部提交操作風險的識別與評估結果。合規管理部應及時對操作風險識別評估結果進行匯總，

12、并報告高級管理層。第四章 操作風險事件的監測第二十一條 各部門、分支機構對操作風險損失事件的監測應遵循以下原則：（一） 重要性原則：在統計操作風險損失事件時，應對損失金額較大和發生頻率較高的操作風險損失事件進行重點關注和確認；（二） 及時性原則：應及時確認、完整記錄、準確統計操作風險損失事件所導致的直接財務損失，避免因提前或延后造成當期統計數據不準確；（三） 統一性原則：操作風險損失事件的統計標準、范圍、程序和方法要保持一致，以確保統計結果客觀、準確及可比；（四） 謹慎性原則：在對操作風險損失進行確認時，應保持必要的謹慎，應進行客觀、公允統計，準確計量損失金額，避免出現多計或少計操作風險損失的

13、情況。第二十二條 本行各部門、分支機構應定期監測操作風險狀況和重大損失情況，并向合規管理部門報告。第二十三條 各部門、分支機構要根據自身業務特點，建立相應的操作風險預警機制并報備合規管理部，針對潛在損失不斷增大的風險，及時采取措施控制、降低風險，降低損失事件的發生頻率及損失程度。第二十四條 總行合規管理部應根據本行業務發展要求，針對操作風險損失情況和外部信息逐步補充完善操作風險關鍵監測指標。第二十五條 總行合規管理部會同風險管理部和其他部門建立并逐步完善操作風險管理系統，系統性地收集、整理、跟蹤和分析與操作風險相關的數據和事件信息。各部門、各分支機構應針對產品、業務、流程及系統內產生的操作風險

14、的損失數據要進行收集，并報送合規管理部審核后進入操作風險損失數據庫，定期根據損失數據進行風險評估。第二十六條 操作風險損失事件統計內容應至少包含：損失事件發生的時間、發現的時間及損失確認時間、業務名稱、損失事件類型、損失形態、涉及金額、損失金額、非財務影響、與信用風險和市場風險的交叉關系等。第二十七條 操作風險損失事件類型包括：內部欺詐，外部欺詐，就業制度和工作場所安全，客戶、產品和業務活動，實物資產的損壞，營業中斷和信息技術系統癱瘓，執行、交割和流程管理等。第二十八條 操作風險損失形態包括：法律成本，監管罰沒，資產損失，對外賠償，追索失敗，賬面減值，其他損失等。第二十九條 本行應根據操作風險

15、損失事件統計工作的重要性原則，合理確定操作風險損失事件統計的金額起點。對設定金額起點以下的操作風險損失事件和未發生財務損失的操作風險事件也可進行記錄和積累。第三十條 在統計操作風險損失事件時，應合理區分操作風險損失和其他風險損失界限。對于跨地區、跨業務種類的操作風險損失事件，合規管理部應確定損失統計原則，避免重復統計。第五章 操作風險的控制第三十一條 對識別評估出的操作風險點，合規管理部應組織相關部門和分支機構提出相應的控制措施，其控制措施種類包括但不限于以下內容：（一） 高層審核：上級管理者對照預算、預測、過往業績和競爭者的情況對相關業務或經營情況進行審核；（二） 直接的職能或活動管理：如審

16、核業績報告、新業務數據，關注合規問題，調節資金頭寸等；（三） 信息處理：通過一系列的核對與批準保證交易的準確性、完整性和已授權；（四） 實物控制：建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全；（五） 業績指標分析：綜合一系列的指標，通過因素分析、對比分析、趨勢分析等方法，發現存在的問題，及時查明原因并加以改進；（六） 不相容職責分離：全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制；（七） 績效考評控制、預算控制、信息系統控制和其他。第三十二條 本行應當將加強內部控制作為操作風

17、險管理的有效手段，與此相關的內部控制措施包括但不限于：（一） 對各項業務活動制訂嚴格規范的流程管理，各部門、各崗位間劃清業務邊界；（二） 部門之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突；（三） 密切監測遵守指定風險限額或權限的情況；（四） 對接觸和使用銀行資產的記錄進行安全監控；（五） 識別與合理預期收益不符及存在隱患的業務或產品；（六） 定期對交易和賬戶進行復核和對賬；（七） 主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度；（八） 員工具有與其從事業務相適應的業務能力并接受相關培訓；（九） 重要崗位或敏感環節員工八小時內外行為規范；（十） 建立基層員工署名揭發違

18、法違規問題的激勵和保護制度；（十一） 查案、破案與處分適時、到位的雙重考核制度；（十二） 案件查處和相應的信息披露制度；（十三） 對基層操作風險管控獎懲兼顧的激勵約束機制。第三十三條 合規管理部門應會同信息科技部門、安全保衛部門制定與本行業務規模和復雜性相適應的應急和業務連續方案，建立恢復服務和保證業務連續運行的備用機制，并定期檢查、測試其災難恢復和業務連續機制，確保在出現災難和業務嚴重中斷時這些方案和機制的正常執行。第三十四條 風險管理部門可以會同計劃財務、合規管理部門研究，將購買保險以及與第三方簽訂合同作為緩釋操作風險的一種方法。使用購買保險等方式緩釋操作風險時，應當制定相關的書面政策和程

19、序。第六章 操作風險事件的報告第三十五條 本行建立有效的操作風險報告機制，合規管理部、風險管理部和其他相關部門人員發現操作風險問題，均應有暢通的報告渠道和有效的糾正措施。操作風險報告應滿足以下要求：（一） 真實性：客觀、真實、準確地反應操作風險狀況；（二） 及時性：及時分析報告重大操作風險事件；（三） 準確性：提出準確有效的操作風險控制措施，應講究實效、切實可行；（四） 保密性：操作風險報告要遵守有關保密管理及信息披露規定。第三十六條 操作風險事件報告的內容包括但不限于發生的時間、發現的時間及損失確認的時間、業務名稱、損失事件類型、業務金額、損失金額、涉案人員、對操作風險事件的描述和非財務影響

20、等。第三十七條 操作風險事件實行定期、不定期相結合的報告制度。對日常操作風險監測報告實行定期報告；當發生重大操作風險事件時，要立即報告。第三十八條 本行建立有效的操作風險事件匯報路線，具體路線為：（一） 各部門、分支機構要按季向總行合規管理部報送操作風險狀況分析報告；（二） 發生重大操作風險事件時，各部門、分支機構要在發現當日立即向總行合規管理部匯報，并在職權范圍內采取相應措施控制操作風險，防止風險經濟或非經濟損失的擴大和蔓延；（三） 針對重大操作風險事件要建立事件后續報告制度；（四） 總行合規管理部向分管行長或風險管理與關聯交易控制委員會報告，同時抄送總行風險管理部；（五） 審計稽核部門對操

21、作風險管理工作進行監控檢查的結果向董事會和高級管理層報告，同時抄送總行合規管理部和風險管理部；（六） 發生中國銀監會規定的重大操作風險事項時，各部門和分支機構應立即上報總行合規管理部，由總行合規管理部向總行分管行長匯報。第七章 外部機構操作風險的管理第三十九條 各部門、分支機構在將法律、合規、信息科技、安全保衛、人力資源等業務外包時，應當充分考慮本行面臨的風險，制定有關的風險管理政策，確保業務外包有嚴謹的合同和服務協議、各方的責任義務規定明確。第四十條 各部門、分支機構在從事授信、金融市場業務等活動時，應當對交易對象的操作風險管理情況進行盡職調查。對交易對象操作風險管理的盡職調查內容包括但不限

22、于：（一） 適當的操作風險管理組織架構、權限和責任;（二） 操作風險的識別、評估、監測和控制/緩釋程序;（三） 操作風險報告程序，其中包括報告的責任、路徑、頻率，以及對各部門的其他具體要求;（四） 應針對現有的和新推出的重要產品、業務活動、業務程序、信息科技系統、人員管理、外部因素及其變動，及時評估操作風險的各項要求。第四十一條 對交易對象的操作風險進行盡職調查時，應通過與交易對象高級管理層、各部門及其員工交談，查閱董事會、總經理辦公會等會議記錄、交易對象各項業務及管理規章制度等方法，分析評價交易對象是否有積極的操作風險控制環境、完備的操作風險控制措施、暢通的操作風險信息溝通、有效的操作風險監控體系。第四十二條 對交易對象的操作風險進行盡職調查時，還應重點考察其過往操作風險事件及其應對情況。第八章 與監管機構的聯絡第四十三條 合規管理部是本行有關操作風險管理與監管機構聯絡的歸口部門，負責向監管機構報送、接收相關信息，跟蹤、評估、考核監管意見和監管要求的落實情況，以及行領導交辦的其他事項工作。第四十四條 本行的操作風險管理政策和程序應根據銀監會或其派出機構的要求備案并報送與操作風險有關的報告。第四十五條 本行在委托社會中介