XX银行操作风险管理办法(试行)

第一章  总  则

第一条  为规范和加强本行的操作风险管理工作，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行操作风险管理指引》以及其他有关法律法规，制定本办法。

第二条  通过确定本行操作风险管理总体架构，明确操作风险管理职责，并逐步建立起对操作风险损失的测度、分类、统计、分析、考核评价制度，建立和健全操作风险管理体系，加强操作风险管理，有效缓释和控制操作风险，降低操作风险带来的损失。

第三条  本办法适用于本行各分支机构、各业务部门及全体员工。

第四条  本办法所称操作风险是指由于不完善或有问题的内部程序、人员、系统以及外部事件给本行造成损失的风险，包括法律风险（如商业银行签订的合同因违反法律或行规可能被依法撤销或者确认无效；商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任；商业银行的业务活动违反法律或行规，依法可能承担刑事责任、行政责任或者民事责任），但不包括策略风险和声誉风险。

操作风险引发的损失指某一操作风险事件发生后，按照本行适用的法律、法规反映在本行法定财务报表的损失，损失包括所有与该操作风险事件相联系的成本支出，但不包括为避免后续操作风险损失实施的相关成本支出。

第五条  本行操作风险管理遵循全面管理、及时调整、有效缓解与控制、成本与效益匹配、责任追究的原则及以下的方针：

（一）本行把操作风险作为影响银行安全和效益的重要风险进行专门管理，操作风险管理应符合监管当局的监管要求、与全行发展战略、方针相适应。

（二）操作风险存在于全员、全过程，要确保全员了解操作风险管理文化，形成对操作风险定义的一致性理解并具备良好的操作风险管理意识。各业务及管理部门的负责人和承担操作风险管理职责的人员是操作风险管理的主要责任人，负责防范和化解风险的各项活动；操作风险管理范围应涵盖所有机构、产品、活动、流程和系统。

（三）合规风险部是全行操作风险管理的牵头部门；各业务部门是操作风险管理的第一道防线，承担着操作风险日常的重要管控职责。

（四）本行应制定控制和减轻重大操作风险的、流程和程序，并采用一定程序和系统来定期监测操作风险和重大损失暴露；定期审查风险限额和控制战略，根据总体风险承受能力和风险组合状况，采用适当的措施，对操作风险组合进行调整。

（五）本行应制定适当的应急管理程序和针对各类突发紧急事件的应急预案，以确保在发生严重破坏事件时能够继续营业和减少损失。

（六）应定期向董事会和高级管理层报告与支持操作风险的前置管理相关的信息。

（七）本行应确保内审部门对操作风险管理体系的监督评价具有性。

第六条  操作风险管理的应用及维护：

（一）拟订：拟订全行操作风险管理办法。

（二）审定：风险管理委员会负责组织审定各项操作风险管理办法。

（三）实施：各业务部门和分支机构贯彻、执行操作风险管理办法。

（四）检查：合规风险部对操作风险管理办法执行情况进行检查。

（五）监督、评价：稽核监察保卫部对操作风险管理办法的有效性、充分性和合规性角度进行的、全方位的监督和评价。

（六）修改、维护：当外部环境和内部环境发生重大变化以及年度总结时，合规风险部应组织进行系统评估，根据评估结果及时对操作风险管理提出调整意见，并按原程序进行审批。

第二章  操作风险的分类

第七条  本行操作风险分类基于损失事件类型展开，包括七大类。该分类将作为操作风险今后管理分级分类的原则。具体内容包括但不限于：

（一）内部欺诈。

指故意骗取、盗用财产或违反监管规章、法律或本行导致的损失事件，此类事件至少涉及内部一方，但不包括性别、种族歧视事件。

1.内部未经授权的活动，如交易不报告（故意）、交易品种未经授权（存在资金损失）、头寸计价错误（故意）；

2.涉及内部的盗窃和欺诈，如欺诈、信贷欺诈、假存款、盗窃、勒索、挪用资金、抢劫、盗用资产、侵占资产、恶意损毁资产、伪造、多户头支票欺诈、走私、窃取账户资金、假冒开户人、违规纳税、逃税（故意）、贿赂、回扣、内幕交易（不用企业的账户）等。

（二）外部欺诈。

指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行IT系统或逃避法律监管导致的损失事件。

1.涉及外部人员的盗窃和欺诈，如盗窃、抢劫、伪造、多户头支票欺诈；

2.系统安全性导致操作风险，如黑客攻击损失、盗窃信息（存在资金损失）等。

（三）就业制度和工作场所安全事件。

指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别、种族歧视导致的损失事件。

1.劳资关系：薪酬、福利、雇佣合同终止后的安排，有组织的劳工行动；

2.安全性环境：一般责任（如滑倒和坠落）、违反员工健康及安全规定事件、员工的劳保开支等；

3.性别及种族歧视事件：所有涉及歧视的事件。

（四）客户、产品和业务活动事件。

指因未按有关规定造成未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失事件。

1.适当性，披露和信托责任：违背信托责任、违反规章制度、适当性、披露问题（了解你的客户等）、违规披露零售客户信息、泄露私密、冒险销售、为多收手续费反复操作客户账户、保密信息使用不当、贷款人责任等；

2.不良的业务或市场行为：反垄断、不良交易、市场行为、操纵市场、内幕交易（不用企业的账户）、未经有效批准的业务活动、洗钱等；

3.产品瑕疵：产品缺陷（未经授权等）、模型误差等；

4.客户选择，业务提起和风险暴露：未按规定审查客户、超过客户可能承受的风险限额等；

5.咨询业务：咨询业务产生的纠纷。

（五）实物资产的损坏。

因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件。

灾害和其他事件：自然灾害损失、外部原因（恐怖袭击、故意破坏）造成的人员伤亡。

（六）IT系统事件。

因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、网络与通信线路、电力输送损耗或中断、服务提供商等第三方因素，造成系统无法正常办理业务或系统异常所导致的损失事件。

（七）执行、交割和流程管理事件。

因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。

1.交易认定，执行和维持：错误传达信息，数据录入、维护或登载错误、超过最后期限或未履行义务、模型、系统误操作、会计错误、交易方认定记录错误、其他任务履行失误、交割失败、担保品管理失败、交易相关数据维护；

2.监控和报告：未履行强制报告职责、外部报告失准（导致损失）等；

3.招揽客户和文件记录：客户许可、免则声明缺失、法律文件缺失、不完备等；

4.个人、企业客户账户管理：未经批准登录账户、客户记录错误（导致损失）、客户资产因疏忽导致的损失或毁坏等；

5.交易对手方：非客户对手方的失误、与非客户对手方的纠纷等；

6.外部销售商和供应商：外包、与外部销售商的纠纷等。

第三章  操作风险管理的组织架构

第  操作风险管理的组织结构图：

第九条  操作风险管理职责与权限：

（一）董事会。

董事会是本行操作风险管理的最高决策机构，批准实施全行操作风险管理框架，就操作风险管理框架的原则向高级管理层提供明确的方向性指导意见，批准高级管理层拟定的操作风险管理相关办法，监督高级管理层有效履行操作风险管理的职责。

（二）高级管理层。

根据董事会关于操作风险管理框架的指导意见，负责组织设计并组织执行全行操作风险管理框架，明确权责分工和汇报关系，并确保该管理框架适宜有效；组织拟订相应的办法，以实施银行操作风险的管理架构；负责执行董事会及其下设的专门委员会做出的关于操作风险管理的各项决定。

（三）监事会应监督董事会和高级管理层操作风险管理职责的履行情况。

（四）董事会下设的风险管理委员会。

1.根据本行总体战略，审核适用于全行的操作风险管理的总体办法和关键的操作风险管理办法，对其实施情况及效果进行监督和评价，并向董事会提出建议；

2.监督和评价风险管理部门的设置、组织方式、工作程序和效果，并向董事会提出改善意见；

3.对高级管理层操作风险的控制情况进行监督；

4.对本行操作风险及管理状况、本行对操作风险承受能力及水平进行定期评估。

（五）内控与合规委员会。

1.根据外部监管机构有关操作风险管理的规定和本行的实际管理水平，审议本行有关操作风险识别、评估、监测、控制、缓释等具体管理制度和报告制度；

2.定期听取各项业务操作中存在的风险隐患或形成损失的情况报告，评估本行同内部控制体系建设相关的管理制度的有效性，监控相关管理制度的具体实施情况，识别相关管理制度的不足和缺陷，决定本行为完善内部控制体系而采取的重要措施或行动方案；

3.就本行因内部控制体系不完善所引发重大操作风险事件提出应急处理方案；

4.就加强本行内部控制和操作风险管理应履行的其它职责。

（六）合规风险部

合规风险部是操作风险管理的牵头部门。

1.合规风险部负责设计全行操作风险管理框架，逐步建立全行操作风险管理的整体框架；和行内各相关部门密切合作，共同进行操作风险管理的机制建设，牵头建立适用全行的操作风险基本控制标准，设计、维护操作风险管理工具（风险识别、评估、监测、控制、缓释），包括操作风险自我评估、关键风险指标等；负责操作风险信息的汇集，定期或不定期向高级管理层、风险管理委员会汇报；

2.支行由合规专员负责操作风险管理相关信息的汇集，定期或不定期向本支行管理层汇报，并向总行合规风险部报告。

（七）稽核监察保卫部。

1.稽核监察保卫部不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理办法的执行情况，对新出台的操作风险管理办法、程序和具体的操作规程进行评估，并向董事会报告操作风险管理体系运行效果的评估情况。

2.负责对重要岗位、敏感环节员工八小时内外行为规范，对操作风险进行排查以及薄弱环节进行监督整改，对案件专项治理工作监督落实，建立健全对揭发违法违规行为的激励与保护制度，查案破案与处分(处理)适时、到位的双重考核制度，防控案件责任考核制度，案件查处和相应的信息披露制度，制定落实查处重大案件应急方案，防范和化解重大风险；

3.及时向高级管理层、内控与合规委员会通报重大案件和重大违规事件查处情况、发现操作风险重大隐患及整改意见以及查办重大案件应急方案等。

（九）相关部门（包括各条线业务部门、综合管理部门、后台保障部门）。

1.负责确保本行的操作风险管理办法、流程和规程在本部门内得到正确、有效的执行，并配合合规风险部门拟定本部门或本系统操作风险管理工具等，并确保其适宜和有效；

2.根据本行统一的操作风险管理评估方法，识别、评估本部门的操作风险，建立持续、有效的操作风险监测、控制、缓释程序，并组织实施；

3.负责信息、数据的搜集，并按要求向操作风险管理牵头部门提供本部门操作风险管理的相关情况报告；

4.通过对本部门操作风险持续的识别、评估、监测，对发现的问题积极采取缓释和控制措施，及时化解和防范操作风险；

5.具有条线管理职能的部门，负责督导各分支机构相应部门完善操作风险管理制度，建立健全操作风险管理程序，并对本条线管理业务的操作风险状况进行监控、汇总、归集和分析，按要求定期或不定期报送操作风险牵头管理部门；

6.合规风险部、稽核监察保卫部、综合管理部等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源的支持；

7.总行、支行各部门应指定专人负责操作风险管理，包括遵循操作风险管理办法、程序和具体的操作规程；收集损失数据并进行汇总统计后向操作风险牵头管理部门进行操作风险报告；负责监测所在部门的操作风险因素；为所在部门管理操作风险提供协助、培训等。

第四章  操作风险的识别、评估

第十条  操作风险的识别、评估的定义。

操作风险识别是指识别存在的操作风险并确定其性质的过程；操作风险评估是指估计操作风险程度并确定操作风险是否可接受的全过程。

第十一条  操作风险的识别、评估的管理。

（一）应在认真判断和分析本行所面临的内外部环境因素的基础上进行操作风险识别和评估。

（二）操作风险识别和评估范围应当包括所有的产品、业务活动、流程、系统及人员管理中的操作风险。

（三）应当确保在新的产品、业务活动、流程和系统得到推广或实施前，对相关的操作风险进行充分的识别和评估。

第十二条  操作风险的识别、评估的流程和方法。

（一）为及时有效地识别和评估风险，应设计操作风险识别和评估的具体流程和方法。

（二）操作风险识别的具体流程至少应包括以下关键步骤：确定流程阶段，确定对每一流程阶段可能产生的操作风险事件类型（可根据案件和违规清理结果或专业经验判断）；根据事件类型寻找操作风险因素；分析风险来源，确定风险影响范围；将风险因素映射至具体的流程环节；根据流程阶段风险识别的情况从事件类型归纳识别流程主要风险，确定流程的关键控制环节。

（三）操作风险评估的具体流程至少应包括以下关键步骤：根据风险识别清单确定具体风险；分析风险可能性等级和风险后果等级；根据风险可能性和后果等级矩阵分析风险等级；分析流程内部和外部控制措施；分析风险控制结果；确定关键控制环节；提出风险评估最后结论。

（四）操作风险的评估方法包括定性评估和定量评估方法。定性方法是对风险的可能性、后果和风险等级做出定性判断。定量方法是对风险的可能性、后果和风险等级做出定量判断，根据概率（可能性）和损失额（后果）确定预期风险损失。进行操作风险评估应使用一定的分析工具，包括风险和控制自我评估、损失数据库、关键风险指标等。

第五章  操作风险的控制

第十三条  操作风险控制的目标。

各业务及管理部门都应规范、制订业务运行的流程及控制要点,建立相应的管理机制，对所存在的风险进行揭示和排查,同时制定行之有效的预防和控制措施,以达到化解风险的目的。

第十四条  操作风险的控制。

（一）根据对操作风险持续的评估、监测的结果，制订操作风险控制目标和控制方案，做到对操作风险及时发现、及时处理，将风险和损失程度降到最低。

（二）各业务及管理部门应结合实际，对业务的操作环节和流程进行认真梳理，全面考虑，从而制定出有效的控制措施，并按规定审核后实施。

（三）操作风险的控制要持续改进、不断完善，对于流程或操作有变化的业务，应对原有的作持续、及时的更新。

第六章  应急与业务连续方案管理

第十五条  操作风险应急管理的定义。

操作风险应急管理是指针对突发的有可能造成灾难性后果的事件，本行采取的预防和应对的控制过程。

第十六条  操作风险应急管理的目标。

通过制定操作风险应急预案，建立恢复服务和保证业务连续运行的备用机制，提高全行对突发危机事件的应变能力，积极预防和妥善处置各种金融突发事件和重大灾难，并在应对中有效地防范和化解相关风险、减少损失、维护声誉，并尽快恢复工作常态。

第十七条  操作风险应急与业务连续方案管理。

（一）本行应遵循预防为主、先化解后处理的原则，制定明确的应急与业务连续方案；同时，通过定期检查、测试灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。

（二）各相关部门、各级机构应根据可能出现的各种情况，结合本单位的实际，在深入调研的基础上，提出应急与业务连续方案，明确对突发或危机事件进行应急管理的流程及控制要点，客观评估我行经营管理系统中可能出现的各类突发或危机事件，制定措施严密、处置严谨、切实可行、合理有效的应急预案，并加强相关培训和演练；同时，在影响应急预案的内外部环境、条件发生变化时，及时对应急预案进行评估和改进。

（三）各相关部门、各级机构应成立操作风险应急管理领导小组，组织指导本单位操作风险应急管理工作。

第七章  操作风险的监测

第十  操作风险监测的目标。

操作风险监测的目标是对银行面临的所有类型操作风险的定性和定量评估进行监控，以评估风险缓释措施是否有效和适当，确保控制充分,操作风险管理系统正常运行。

第十九条  操作风险监测和检查。

（一）应定期对操作风险管理活动进行监测和检查，监测包括关键风险指标、损失事件的报告和数据收集，操作风险缓释工具的使用情况和效果等，检查的方式包括现场检查和非现场检查。对于操作风险监测和检查的结果须形成书面报告，同时将监测和检查的结果及时反馈被检查单位以作为其进行整改的依据。

（二）应根据管理需要将所有操作风险按照不同风险的等级进行持续监测。同时对风险预防措施和风险补救措施的效果进行监测。

（三）通过监测和检查来判断操作风险管理的充分性、有效性和适宜性，并就此根据银行的整体风险偏好应用适当的战略来调整操作风险管理和措施，进行持续改进。

第八章  操作风险的报告和信息披露

第二十条  操作风险报告。

合规风险部应当定期和不定期向董事会和高级管理层报告与支持操作风险管理相关的信息。同时，本行相关部门应按照银监部门的要求，向其报送与操作风险有关的报告和信息。

第二十一条  目前应定期报送的材料。

书面报告，主要内容包括但不限于：操作风险的整体评价，操作风险应对策略及具体措施，操作风险监测结果，加强操作风险管理的建议，操作风险实际损失、潜在损失的相关数据及损失原因，重大操作风险，监管机构、内外部审计、各条线管理部门以及监察部门检查发现问题以及整改的结果等。

上述报告内容应随着操作风险识别和评估的具体流程、方法等相关制度的正式出台，不断丰富和完善。

第二十二条  报告的频率。

应在每季度后5个工作日内报告操作风险管理的相关信息；对于突发的重大操作风险事件，应按照本行相关规章制度的要求及时报告。

第二十三条  报告的路径。

本行实行路线清晰、运行通畅的操作风险报告体系，报告路线应遵循以下原则：

（一）按层级上报。

（二）按业务管理条线及操作风险管理条线双线报告。

突发的重大操作风险事件，应按照本行相关规章制度的要求及时报告总行有关对口部门，同时知会合规风险部，并在以后每季度按照报告路线就该突发事件的后续处理情况等进行跟踪报告，直至该事件处理完毕或影响消除；涉及银监部门要求报送范围的突发重大操作风险，由相关对口部门向银监部门报告，并抄送合规风险部。

第二十四条  向监管部门报告。

本行应按照银监部门的要求及时向其报送与操作风险有关的报告和信息。对于下列重大操作风险事件，应及时报告：

（一）抢劫本行或运钞车、盗窃本行现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件。

（二）造成本行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；属于信息系统突发事件或灾难性事件的，报告的要求按照相关规定执行。

（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件。

（四）高管人员严重违规。

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害。

（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件。

（七）银监会规定的其他需要报告的重大事件。

第二十五条  操作风险信息披露。

本行应按照银监会《商业银行信息披露办法》等相关规定，向银监部门、股东、相关利益人和公众披露操作风险相关的信息。

第九章  操作风险管理的评价

第二十六条  操作风险评价。

（一）应制定操作风险管理评价相关规定，对操作风险管理办法执行的效能、对操作风险管理框架和的符合性、有效性、充分性进行评价，以合理评价操作风险管理，推动操作风险管理水平的提高和效能的增强，实现操作风险管理的目标。

（二）操作风险管理评价包括两方面：合规风险部对支行和各部门办法执行的有效性进行的评价；稽核监察保卫部门作为相对的第三方对操作风险管理执行情况和办法本身的有效性进行的评价，评价结果直接向董事会和高级管理层汇报。上述两方面的评价至少每年分别实施一次。

第二十七条  操作风险管理体系战略评价。

（一）操作风险管理体系战略评价，是指由高管层根据本行整体发展战略和风险管理战略，根据操作风险管理评价结果，考虑内审部门监督评价的结论，对操作风险管理体系的适宜性、有效性定期进行的全方位评审。

（二）操作风险管理体系战略评价应至少每年完成一次；当有重大策略改变、管理层变动等影响操作风险管理的事件发生时，应及时进行系统评价，并根据评价结果对操作风险管理进行及时调整。

第十章  操作风险管理信息系统、工具和方法的管理

第二十  操作风险管理信息系统。

为加强操作风险管理，应当建立并逐步完善操作风险管理信息系统，以记录和存储与操作风险损失相关的数据和操作风险事件信息，并提供充分的分析工具，包括对操作风险机构分布、业务分布、发展趋势以及控制状态等相关数据进行度分析，为识别、评估、监测、控制和报告操作风险提供有效支持。

第二十九条  操作风险计量工具和方法。

（一）日常经营中各级机构应采用定性和定量方法对所有业务活动、管理活动、支持保障活动过程进行风险评估。

（二）根据监管当局关于资本充足率的相关要求，还应逐步引入并实施操作风险监管资本计量，为所承担的操作风险提取充足的资本。

第三十条  操作风险缓释工具。

根据操作风险管理的成本与收益相匹配原则，针对不同类型操作风险事件可以考虑采取减少业务量、系统安全技术和服务外包，调整流程、购买保险、加强人员培训等不同的操作风险缓释措施。

第三十一条  风险和控制自我评估。

风险和控制自我评估是指使用定性调查的手段来发现和评估业务部门内存在的操作风险和现有控制手段。应建立风险和控制自我评估制度，各级机构据以开展风险和控制自我评估，记录并上报。

第三十二条  内外部损失事件库。

各分支机构应及时识别各种内部操作风险损失事件并将其纳入内部损失事件数据库进行管理；同时，应积极从各种渠道获得相关外部损失事件数据，了解行业经验，并谨慎考察数据信息来源，确保纳入外部损失事件库的数据的准确与业务相关性。

第三十三条  关键风险指标。

各分支机构、各部门应针对各自业务运行中潜在的风险因素，确定关键风险指标，并持续进行监测与预测，定期形成报告并按规定上报。

第三十四条  度分析。

度分析工具指建立基于时间、数量、机构、业务等的图形化分析方法，对本行操作风险的分布、发展趋势、横向比较等方面进行分析，形成结论并纳入操作风险报告。

第十一章  操作风险管理的环境建设

第三十五条  操作风险管理环境建设。

（一）董事会和高级管理层应对操作风险给予足够的重视，营造由全体人员共同参与的操作风险管理环境，建立科学、有效的激励约束机制，培育和完善基于诚信的内部控制文化，提高员工的风险意识和职业道德素质，并对资源投入进行合理安排。

（二）总行各部门、各分支机构应利用内部各种沟通渠道，将操作风险管理的理念、体系、制度规范以及监控目标传达到各级员工，作为全行风险管理文化的一部分自觉贯彻到实际行动中，建立良好的操作风险管理环境。

（三）总行各部门、各分支机构应加强操作风险管理培训，保证全行各级员工获得操作风险管理方面足够的知识和技能，提高各级员工操作风险管理意识。对新入行员工要进行上岗前操作风险管理和道德风险防范等相关培训。

（四）全行所有工作岗位聘任过程中应明确岗位操作职责，及每个岗位承担的操作风险管理的责任和义务。全体员工应严格按照岗位合规要求履行岗位操作职责，并在员工的绩效考核中体现其是否有效地履行防范岗位操作风险的责任和义务。

（五）操作流程的每一个环节须有明确的责任人，总行各部门、各分支机构负责人是本部门或本支行操作风险管理的第一责任人。对违反制度导致发生操作风险或损失的，严格按照有关规定追究相关人员的责任。

第十二章  附  则

第三十六条  本办法由总行负责解释，并将根据实际情况适时进行调整。

第三十七条  本办法自印发之日起试行，报经董事会审议批准后正式实施。

XX股份有限公司

2015年X月X日