某银行操作风险与控制自我评估管理办法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某银行操作风险与控制自我评估管理办法
某银行操作风险与控制自我评估管理办法
第一章总则
第一条为及时识别我行经营管理中的操作风险,准确评估风险等级,提供风险管理决策参考,提升我行操作风险管理水平,根据中国银监会《商业银行操作风险管理指引》、《某银行操作风险管理政策》等规定,制定本办法。
第二条本办法所称操作风险与控制自我评估(Risk andControl Self-Assessment,RCSA)是指我行各部门、分支机构对自身经营管理中存在的操作风险点进行识别,评估固有风险,再通过分析现有控制活动的有效性,判断剩余风险,并提出优化控制措施的过程。
第三条固有风险指在未采取控制措施或其他风险缓释措施之前本身就存在的风险。
控制活动是指能够避免或减少风险发生可能性或者不利影响的所有流程和行动。
剩余风险是指采取现有的控制活动或其他风险缓释措施后仍存在的风险。
第四条自我评估的目标是建立覆盖我行各项经营活动的操作风险动态识别、评估、防控机制。
自我评估单位要及时识别面临的风险点,避免违规操作,控制风险隐患,并为操作风险管理决策提供依据。
第五条自我评估遵循以下原则:
(一)全面性。
自我评估范围应包括各相关部门、分支机构、各业务品种、各流程环节和风险点。
(二)及时性。
自我评估工作应及时开展,评估结果应及时
报送,优化措施应及时实施,实施效果应及时检查。
(三)客观性。
自我评估工作应当谨慎、客观,并充分考虑我行内、外部环境变化因素。
第二章自我评估流程
第六条自我评估的流程包括(不限于)制定自我评估方案、组织相关部门实施、制订控制优化措施、后续跟踪检查四个阶段。
第七条总行法律与合规部、各业务管理部门、分支机构为自我评估发起单位,负责制定自我评估方案,按照有关内部控制的要求和频率开展实施。
第八条总行法律与合规部主要针对政策、法规和监管部门要求以及内外部审计检查发现的风险隐患提出自我评估要求。
各业务管理部门应针对本业务条线操作风险管理的重点,提出自我评估要求,并根据评估结果制订优化措施。
分支机构应根据有关规章制度规定提出自我评估要求,并将评估结果、优化措施建议及时报告各业务管理部门以及上级行的法律与合规部。
第九条自我评估方案内容主要包括:自我评估目的、评估单位、评估内容范围、时间安排、评估方式及评估人员组成等。
第十条评估单位应注重日常资料收集和风险点监控工作,梳理相关业务制度和流程步骤图表,确定关键控制环节和风险点。
第十一条识别风险点时应重点关注:
(一)业务管理流程、操作规程各环节中存在的风险点,特别应在新业务、新产品开发过程中识别。
(二)信息科技系统(包括业务处理系统、管理信息系统等)存在的缺陷。
(三)制度缺乏或因客观原因难以执行、实际控制失效的制度规定。
(四)实际操作过程中易发生误操作或差错频繁发生的环
节。
(五)关键岗位人员操作风险。
(六)监管要求、检查发现以及外部环境变化。
第十二条评估风险时应重点关注:
(一)固有风险评估。
对我行所面临的每个操作风险点都必须评估其固有风险。
根据操作风险事件的发生频率、损失严重程度组合确定相应风险等级。
(二)控制有效性评估。
评估控制活动有效性应从制度设计和实际控制实施两方面进行,确定控制有效性等级。
(三)剩余风险评估。
综合考虑固有风险等级和控制有效性等级,确定剩余风险等级。
第十三条评估单位应当以书面形式如实记录自评过程,汇总、分析评估成果并形成自评报告。
自评报告的内容主要包括自评工作开展情况、自评的结果、分析风险因素和风险类型、自评中发现的问题及控制优化措施建议、自评工作底稿等。
第十四条各评估单位负责人应及时、全面掌握本单位自我评估工作开展情况,对所有风险点的自我评估结果进行审核并签字确认。
自我评估完成后,各评估单位应在规定时间内向发起单位报送自我评估报告。
第十五条优化措施是根据风险和收益匹配原则,对不同水
平的剩余风险相应采取规避风险、转移风险、降低风险和承担风险等措施。
规避风险是对极高水平(发生频率、损失严重程度均很高)的剩余风险,对之采取管理措施的成本远高于所带来的收益时,可以通过放弃或改变该业务领域来消除风险。
转移风险是对高水平(发生频率低,却可能造成严重损失)的剩余风险,通过保险或业务外包等风险转移或冲抵方式,将风险转移给其他机构。
降低风险是对中水平(发生频率高,但损失程度相对低)的剩余风险,通过采取相应风险管理措施减少风险发生的频率及风险产生的影响,以降低风险水平。
承担风险是对低水平以下(发生频率、损失严重度均低)的剩余风险,当其风险水平与我行的风险偏好相比可以接受时,可以不再进一步采取其他管理措施。
第十六条控制优化措施由各业务管理部门审定后实施,并报总行法律与合规部备案。
第十七条自我评估发起单位应综合考虑业务发展水平、操作风险管理水平等因素,适时组织后续跟踪检查,督促评估单位跟进识别和评估操作风险,并切实采取措施提高控制有效性。
第三章自我评估的组织
第十八条总行法律与合规部每年至少组织开展一次全面的自我评估工作。
各业务管理部门、各分支机构每年至少组织开展两次自我评估工作。
发起单位可根据工作需要提高开展频率。
第十九条各业务管理部门、分支机构应在有新产品或新业务开发,新设备和新系统应用,发生重大事故、案件和损失事件,业务流程发生重大变化,关键岗位员工流动,机构新设立或发生重要变革,法律法规、监管要求发生变化,内外部检查审计发现新风险点等情况下,根据需要及时开展自我评估。
第二十条在开展自我评估的过程中,可根据需要采取不同方法。
(一)调查问卷法。
自我评估发起单位组织人员设计评估调查表,接受调查的员工对调查表中的问题独立、如实填报并及时反馈,自我评估组织人员根据调查结果评估操作风险及其控制状况。
(二)评估研讨会法。
自我评估组织人员召集有关专业的员工代表共同作为自我评估参与人员,就特定的问题或流程进行面谈和讨论。
员工代表应包括管理人员和业务人员等多个层次,以便全面收集相关专业操作风险与控制的信息。
(三)专家经验法。
采用专家经验判断的方式,进行定性
预测。
相关业务专家采用匿名方式发表意见,自我评估组织人员经过反复征询、归纳、修改,最终汇总成专家基本一致的看法作为结果。
第二十一条各业务管理部门根据本专业特点和发展需要,对包括本部门在内的专业操作风险实施自我评估工作,指导和监督下级行对口部门的自我评估工作,形成本专业的自评报告,制定控制优化方案并在本部门职责范围内组织实施。
第二十二条总行法律与合规部对各评估单位自我评估实施情况进行监督,检查控制优化措施的落实情况,提出工作改进建议。
第四章附则
第二十三条本办法由总行法律与合规部负责解释。
第二十四条本办法自发布之日起执行。