银行操作风险治理方法

第一章总那末
第一条为标准和增强本行的操作风险管理工作，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行操作风险管理指引》和其他有关法律法规，制定本方法。

第二条通过确信本行操作风险管理整体架构，明确操作风险管理职责，并慢慢成立起对操作风险损失的测度、分类、统计、分析、考核评判制度，成立和健全操作风险管理体系，增强操作风险管理，有效缓释和控制操作风险，降低操作风险带来的损失。

第三条本方法合用于本行各分支机构、各业务部门及全部员工。

第四条本方法所称操作风险是指由于不完善或者有问题的内部程序、人员、系统和外部事件给本行造成损失的风险，包括法律风险(如商业银行签定的合同因违背法律或者行政法规可能被依法撤销或者确认无效；商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担补偿责任；商业银行的业务活动违背法律或者行政法规，依法可能承担刑事责任、行政责任或者民事责任) ，但不包括策略风险和声誉风险。

操作风险引起的损失指某一操作风险事件发生后，依照本行合用的法律、法规反映在本行法定财务报表的损失，损失包括所有与该操作风险事件相联系的本钱支出，但不包括为避免后续操作风险损失实施的相关本钱支出。

第五条本行操作风险管理遵循全面管理、及时调整、有效减缓与控制、本钱与效益匹配、责任追究的原那末及以下的方针：
(一)本行把操作风险作为妨碍银行安全和效益的重要风险进行专门管理，操作风险管理应符合监管当局的监管要求、与全行发展战略、方针相适应。

(二)操作风险存在于全员、全进程，要确保全员了解操作风险管理文化，形成对操作风险概念的一致性明白得并具有良好的操作风险管理意识。

各业务及管理部门的负责人和承担操作风险管理职责的人员是操作风险管理的要紧责任人，负责防范和化解风险的各项活动；操作风险管理范围应涵盖所有机构、产品、活动、流程和系统。

(三)合规风险部是全行操作风险管理的牵头部门；各业务部门是操作风险管理的第一道防线，承担着操作风险日常的重要管控职责。

(四)本行应制定控制和减轻重大操作风险的政策、流程和程序，并采用必然程序和系统来按期监测操作风险和重大损失暴露；按期审查风险限额和控制战略，依照整体风险
经受能力和风险组合状况，采用适当的方法，对操作风险组合进行调整。

(五)本行应制定适当的应急管理程序和针对各类突发紧急事件的应急预案，以确保在发生严峻破坏事件时能够继续营业和减少损失。

(六)应按期向董事会和高级管理层报告与支持操作风险的前置管理相关的信息。

(七)本行应确保内审部门对操作风险管理体系的监督评判具有独立性。

第六条操作风险管理政策的应用及保护：
(一)拟订：拟订全行操作风险管理方法。

(二)审定：风险管理委员会负责组织审定各项操作风险管理方法。

(三)实施：各业务部门和分支机构贯彻、执行操作风险管理方法。

(四)检查：合规风险部对操作风险管理方法执行情形进行检查。

(五)监督、评判：稽核监察捍卫部对操作风险管理方法的有效性、充分性和合规性角度进行独立的、全方位的监督和评判。

(六)修改、保护：当外部环境和内部环境发生重大转变和年度总结时，合规风险部应组织进行系统评估，依照评
估结果及时对操作风险管理政策提出调整意见，并按原程序进行审批。

第二章操作风险的分类
第七条本行操作风险分类基于损出事件类型展开，包括七大类。

该分类将作为操作风险尔后管理分级分类的原那么。

具体内容包括但不限于：
(一)内部讹诈。

指故意骗取、盗用财产或者违背监管规章、法律或者本行政策导致的损出事件，此类事件至少涉及内部一方，但不包括性别、种族歧视事件。

1.内部未经授权的活动，如交易不报告(故意)、交易品种未经授权(存在资金损失)、头寸计价错误(故意) ；
2.涉及内部的盗窃和讹诈，如讹诈、信贷讹诈、假存款、盗窃、敲诈、挪用资金、抢劫、盗用资产、侵占资产、歹意损毁资产、伪造、多户头支票讹诈、走私、窃取账户资金、冒充开户人、违规纳税、逃税(故意) 、行贿、回扣、黑幕交易(不用企业的账户)等。

(二)外部讹诈。

指第三方故意骗取、盗用、抢劫财产、伪造要件、解决商业银行 IT 系统或者逃避法律监管导致的损出事件。

1.涉及外部人员的盗窃和讹诈，如盗窃、抢劫、伪造、
多户头支票讹诈；
2.系统安全性导致操作风险，如黑客解决损失、盗窃信息(存在资金损失)等。

(三)就业制度和工作场所安全事件。

指违背就业、健康或者安全方面的法律或者协议，个人工伤赔付或者因性别、种族歧视导致的损出事件。

1.劳资关系：薪酬、福利、雇佣合同终止后的安排，有组织的劳工行动；
2.安全性环境：一样责任(如滑倒和坠落)、违背员工健康及安全规定事件、员工的劳保开支等；
3.性别及种族歧视事件：所有涉及歧视的事件。

(四)客户、产品和业务活动事件。

指因未按有关规定造成未对特定客户履行份内义务(如信托责任和适当性要求)或者产品性质或者设计缺点导致的损出事件。

1.适当性，披露和信托责任：违抗信托责任、违背规章制度、适当性、披露问题(了解你的客户等) 、违规披露零售客户信息、泄露私密、冒险销售、为多收手续费反复操作客户账户、保密信息利用不妥、贷款人责任等；
2.不良的业务或者市场行为：反垄断、不良交易、市场行为、控制市场、黑幕交易(不用企业的账户) 、未经有效批准的业务活动、洗钱等；
3.产品瑕疵：产品缺点(未经授权等)、模型误差等；
4.客户选择，业务提起和风险暴露：未按规定审查客户、超过客户可能经受的风险限额等；
5.咨询业务：咨询业务产生的纠纷。

(五)实物资产的损坏。

因自然灾害或者其他事件(如恐怖攻击)导致实物资产丢失或者损坏的损出事件。

灾害和其他事件：自然灾害损失、外部缘故 (恐怖攻击、故意破坏)造成的人员伤亡。

(六) IT 系统事件。

因信息科技系统生产运行、应用开辟、安全管理和由于软件产品、硬件设备、网络与通信路线、电力输送损耗或者中断、效劳提供商等第三方因素，造成系统无法正常办理业务或者系统异样所导致的损出事件。

(七)执行、交割和流程管理事件。

因交易处置或者流程管理失败，和与交易对手方、外部供给商及销售商发生纠纷导致的损出事件。

1.交易认定，执行和维持：错误转达信息，数据录入、保护或者登载错误、超过最后期限或者未履行义务、模型、系统误操作、会计错误、交易方认定记录错误、其他任务履行失误、交割失败、担保品管理失败、交易相关数据保护；
2.监控和报告：未履行强制报告职责、外部报告失准 (致
使损失)等；
3.招揽客户和文件记录：客户许可、免那末声明缺失、
法律文件缺失、不完备等；
4.个人、企业客户账户管理：未经批准登录账户、客户
记录错误(导致损失) 、客户资产因疏忽导致的损失或者损
坏等；
5.交易对手方：非客户对手方的失误、与非客户对手方
的纠纷等；
6.外部销售商和供给商：外包、与外部销售商的纠纷等。

第三章操作风险管理的组织架构
第八条操作风险管理的组织结构图：
后台保障部门
操作风险
管理
董事会监事会
风险管理委员
高级管理层
内控与合规委员会
稽核监察保卫部合规风险部各条线业务部门营业部及支行
操作风险牵头管理操作风险
管理
操作风险
管理
第九条操作风险管理职责与权限：
(一)董事会。

董事会是本行操作风险管理的最高决策机构，批准实施全行操作风险管理框架，就操作风险管理框架的原那末向高级管理层提供明确的方向性指导意见，批准高级管理层拟定的操作风险管理相关方法，监督高级管理层有效履行操作风险管理的职责。

(二)高级管理层。

依照董事会关于操作风险管理框架的指导意见，负责组织设计并组织执行全行操作风险管理框架，明确权责分工和汇报关系，并确保该管理框架适宜有效；组织拟订相应的方法，以实施银行操作风险的管理架构；负责执行董事会及其下设的专门委员会做出的关于操作风险管理的各项决定。

(三)监事会应监督董事会和高级管理层操作风险管理职责的履行情形。

(四)董事会下设的风险管理委员会。

1.依照本行整体战略，审核合用于全行的操作风险管理的整体方法和关键的操作风险管理方法，对其实施情形及成效进行监督和评判，并向董事会提出建议；
2.监督和评判风险管理部门的设置、组织方式、工作程序和成效，并向董事会提出改善意见；
3.对高级管理层操作风险的操纵情形进行监督；
4.对本行操作风险及管理状况、本行对操作风险经受能力及水平进行按期评估。

(五)内控与合规委员会。

1.依照外部监管机构有关操作风险管理的规定和本行的实际管理水平，审议本行有关操作风险识别、评估、监测、控制、缓释等具体管理制度和报告制度；
2.按期听取各项业务操作中存在的风险隐患或者形成损失的情形报告，评估本行同内部控制体系建设相关的管理制度的有效性，监控相关管理制度的具体实施情形，识别相关治理制度的不足和缺点，决定本行为完善内部控制体系而采取的重要方法或者行动方案；
3.就本行因内部控制体系不完善所引起重大操作风险事件提出应急处置方案；
4.就增强本行内部控制和操作风险管理应履行的其它职责。

(六)合规风险部
合规风险部是操作风险管理的牵头部门。

1.合规风险部负责设计全行操作风险管理框架，慢慢成
立全行操作风险管理的整体框架；和行内各相关部门密切合作，一起进行操作风险管理的机制建设，牵头成立合用全行的操作风险大体控制标准，设计、保护操作风险管理工具(风险识别、评估、监测、控制、缓释) ，包括操作风险自我评估、关键风险指标等；负责操作风险信息的会萃，按期或者不按期向高级管理层、风险管理委员会汇报；
2.支行由合规专员负责操作风险管理相关信息的会萃，
按期或者不按期向本支行管理层汇报，并向总行合规风险部报告。

(七)稽核监察捍卫部。

1.稽核监察捍卫部不直接负责或者参预其他部门的操作
风险管理，但应按期检查评估本行的操作风险管理体系运
作情形，监督操作风险管理方法的执行情形，对新出台的
操作风险管理方法、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行成效的评估情形。

2.负责对重要职位、灵敏环节员工八小时内外行为标准，对操作风险进行排查和薄弱环节进行监督整改，对案件专项
管理工作监督落实，成立健全对揭发违法违规行为的鼓励与爱惜制度，查案破案与处分 (处置)适时、到位的双重考核制度，防控案件责任考核制度，案件查处和相应的信息披露制度，制定落实查处重大案件应急方案，防范和化解重大风险；
3.及时向高级管理层、内控与合规委员会通报重大案件
和重大违规事件查处情形、发觉操作风险重大隐患及整改意见和查办重大案件应急方案等。

(九) 相关部门 (包括各条线业务部门、综合管理部门、后台保障部门)。

1.负责确保本行的操作风险管理方法、流程和规程在本
部门内取得正确、有效的执行，并配合合规风险部门拟定本部门或者本系统操作风险管理工具等，并确保其适宜和有效；
2.依照本行统一的操作风险管理评估方式，识别、评估
本部门的操作风险，成立持续、有效的操作风险监测、控制、缓释程序，并组织实施；
3.负责信息、数据的搜集，并按要求向操作风险管理牵
头部门提供本部门操作风险管理的相关情形报告；
4.通过对本部门操作风险持续的识别、评估、监测，对
发觉的问题踊跃采取缓释和控制方法，及时化解和防范操作风险；
5.具有条线管理职能的部门，负责督导各分支机构相应
部门完善操作风险管理制度，成立健全操作风险管理程序，
并对本条线管理业务的操作风险状况进行监控、汇总、归集和分析，按要求按期或者不按期报送操作风险牵头管理部门；
6.合规风险部、稽核监察捍卫部、综合管理部等部门在
管理好本部门操作风险的同时，应在涉及其职责分工及专
业特长的范围内为其他部门管理操作风险提供相关资源的
支持；
7.总行、支行各部门应指定专人负责操作风险管理，包
括遵循操作风险管理方法、程序和具体的操作规程；搜集损失数据并进行汇总统计后向操作风险牵头管理部门进行操
作风险报告；负责监测所在部门的操作风险因素；为所在部门管理操作风险提供协助、培训等。

第四章操作风险的识别、评估
第十条操作风险的识别、评估的概念。

操作风险识别是指识别存在的操作风险并确信其性质
的进程；操作风险评估是指估计操作风险程度并确信操作风险是不是可允许的全进程。

第十一条操作风险的识别、评估的管理。

(一)应在认真判定和分析本行所面临的内外部环境因
素的基础上进行操作风险识别和评估。

(二)操作风险识别和评估范围应当包括所有的产品、
业务活动、流程、系统及人员管理中的操作风险。

(三)应当确保在新的产品、业务活动、流程和系统取
得推行或者实施前，对相关的操作风险进行充分的识别和
评估。

第十二条操作风险的识别、评估的流程和方式。

(一)为及时有效地识别和评估风险，应设计操作风险
识别和评估的具体流程和方式。

(二)操作风险识别的具体流程至少应包括以下关键步骤：确信流程时期，确信对每一流程时期可能产生的操作风
险事件类型(可依照案件和违规清理结果或者专业体味判定)；依照事件类型寻觅操作风险因素；分析风险来源，确信风险
妨碍范围；将风险因素映射至具体的流程环节；依照流程时
期风险识别的情形从事件类型归纳识别流程要紧风险，确信
流程的关键控制环节。

(三)操作风险评估的具体流程至少应包括以下关键步骤：依照风险识别清单确信具体风险；分析风险可能性品级
和风险后果品级；依照风险可能性和后果品级矩阵分析风险
品级；分析流程内部和外部控制方法；分析风险控制结果；
确信关键控制环节；提出风险评估最后结论。

(四)操作风险的评估方式包括定性评估和定量评估方式。

定性方式是对风险的可能性、后果和风险品级做出定性
判定。

定量方式是对风险的可能性、后果和风险品级做出定
量判定，依照概率(可能性)和损失额(后果)确信预期风
险损失。

进行操作风险评估应利用必然的分析工具，包括风险和控制自我评估、损失数据库、关键风险指标等。

第五章操作风险的控制
第十三条操作风险控制的目标。

各业务及管理部门都应标准、制订业务运行的流程及操纵要点,成立相应的管理机制，对所存在的风险进行揭露和排查,同时制定行之有效的预防和控制方法 ,以达到化解风险的目的。

第十四条操作风险的控制。

(一)依照对操作风险持续的评估、监测的结果，制订操作风险控制目标和控制方案，做到对操作风险及时发觉、及时处置，将风险和损失程度降到最低。

(二)各业务及管理部门应结合实际，对业务的操作环节和流程进行认真梳理，全面考虑，从而制定出有效的控制方法，并按规定审核后实施。

(三)操作风险的控制要持续改良、不断完善，关于流程或者操作有转变的业务，对付原有的政策作持续、及时的更新。

第六章应急与业务持续方案管理
第十五条操作风险应急管理的概念。

操作风险应急管理是指针对突发的有可能造成灾难性
后果的事件，本行采取的预防和对付的控制进程。

第十六条操作风险应急管理的目标。

通过制定操作风险应急预案，成立恢复效劳和保证业务持续运行的备用机制，提高全行对突发危机事件的应变能力，踊跃预防和妥帖处置各类金融突发事件和重大灾难，并在对付中有效地防范和化解相关风险、减少损失、保护声誉，并尽快恢复工作常态。

第十七条操作风险应急与业务持续方案管理。

(一)本行应遵循预防为主、先化解后处置的原那末，制定明确的应急与业务持续方案；同时，通过按期检查、测试灾难恢复和业务持续机制，确保在显现灾难和业务严峻中断时这些方案和机制的正常执行。

(二)各相关部门、各级机构应依照可能显现的各类情形，结合本单位的实际，在深切调研的基础上，提出应急与业务持续方案，明确对突发或者危机事件进行应急管理的流程及控制要点，客观评估我行经营管理系统中可能显现的各类突发或者危机事件，制定方法精密、处置严谨、切实可行、合理有效的应急预案，并增强相关培训和演练；同时，在妨碍应急预案的内外部环境、条件发生转变时，及时对应急预案进行评估和改良。

(三)各相关部门、各级机构应成立操作风险应急管理领导小组，组织指导本单位操作风险应急管理工作。

第七章操作风险的监测
第十八条操作风险监测的目标。

操作风险监测的目标是对银行面临的所有类型操作风险的定性和定量评估进行监控，以评估风险缓释方法是不是有效和适当，确保控制充分,操作风险管理系统正常运行。

第十九条操作风险监测和检查。

(一)应按期对操作风险管理活动进行监测和检查，监测包括关键风险指标、损出事件的报告和数据搜集，操作风险缓释工具的利用情形和成效等，检查的方式包括现场检查和非现场检查。

关于操作风险监测和检查的结果须形成书面报告，同时将监测和检查的结果及时反馈被检查单位以作为其进行整改的依据。

(二)应依照管理需要将所有操作风险依照不同风险的品级进行持续监测。

同时对风险预防方法和风险补救方法的成效进行监测。

(三)通过监测和检查来判定操作风险管理的充分性、有效性和适宜性，并就此依照银行的整体风险偏好应用适当的战略来调整操作风险管理政策和方法，进行持续改良。

第八章操作风险的报告和信息披露
第二十条操作风险报告。

合规风险部应当按期和不按期向董事会和高级管理层
报告与支持操作风险管理相关的信息。

同时，本行相关部门应依照银监部门的要求，向其报送与操作风险有关的报告和信息。

第二十一条目前应按期报送的材料。

书面报告，要紧内容包括但不限于：操作风险的整体评判，操作风险应计谋略及具体方法，操作风险监测结果，增强操作风险管理的建议，操作风险实际损失、潜在损失的相关数据及损失缘故，重大操作风险，监管机构、内外部审计、各条线管理部门和监察部门检查发觉问题和整改的结果等。

上述报告内容应随着操作风险识别和评估的具体流程、方式等相关制度的正式出台，不断丰硕和完善。

第二十二条报告的频率。

应在每季度后 5 个工作日内报告操作风险管理的相关信息；关于突发的重大操作风险事件，应依照本行相关规章制度的要求及时报告。

第二十三条报告的途径。

本行实行路线清晰、运行通畅的操作风险报告体系，报告路线应遵循以下原那末：
(一)按层级上报。

(二)按业务管理条线及操作风险管理条线双线报告。

突发的重大操作风险事件，应依照本行相关规章制度的要求及时报告总行有关对口部门，同时知会合规风险部，并
在以后每季度依照报告路线就该突发事件的后续处置情形
等进行跟踪报告，直至该事件处置完毕或者妨碍排除；涉及
银监部门要求报送范围的突发重大操作风险，由相关对口
部门向银监部门报告，并抄送合规风险部。

第二十四条向监管部门报告。

本行应依照银监部门的要求及时向其报送与操作风险
有关的报告和信息。

关于以下重大操作风险事件，应及时报告：
(一)抢劫本行或者运钞车、盗窃本行现金 30 万元以
上的案件，诈骗商业银行或者其他涉案金额 1000 万元以
上的案件。

(二)造本钱行重要数据、账册、重要空白凭证严峻损毁、丢失，造成在涉及两个或者两个以上省 (自治区、直辖市) 范围内中断业务 3 小时以上，在涉及一个省(自治区、直辖市)范围内中断业务 6 小时以上，严峻妨碍正常工作开展的
事件；属于信息系统突发事件或者灾难性事件的，报告的要
求依照像关规定执行。

(三)盗窃、出卖、泄漏或者丢失涉密资料，可能妨碍
金融稳固，造成经济秩序混乱的事件。

(四)高管人员严峻违规。

(五)发生不可抗力导致严峻损失，造成直接经济损失1000 万元以上的事故、自然灾害。

(六)其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件。

(七)银监会规定的其他需要报告的重大事件。

第二十五条操作风险信息披露政策。

本行应依照银监会《商业银行信息披露方法》等相关规定，向银监部门、股东、相关利益人和公众披露操作风险相关的信息。

第九章操作风险管理的评判
第二十六条操作风险评判。

(一)应制定操作风险管理评判相关规定，对操作风险管理方法执行的效能、对操作风险管理框架和政策的符合性、有效性、充分性进行评判，以合理评判操作风险管理，推动操作风险管理水平的提高和效能的增强，实现操作风险管理的目标。

(二)操作风险管理评判包括两方面：合规风险部对支行和各部门方法执行的有效性进行的评判；稽核监察捍卫部门作为相对独立的第三方对操作风险管理执行情形和方法本身的有效性进行的评判，评判结果直接向董事会和高级治理层汇报。

上述两方面的评判至少每一年别离实施一次。

第二十七条操作风险管理体系战略评判。

(一)操作风险管理体系战略评判，是指由高管层依照。