操作风险管理规范

阳光财产保险股份有限公司

操作风险管理规范

第一章 总则

第一条 为完善阳光财产保险股份有限公司（以下简称“公司”）全面风险管理体系，保障公司稳健经营，有效控制操作风险，根据《中华人民共和国保险法》、《保险公司偿付能力监管规则（1-17号）》等法律法规以及《阳光保险集团内部控制指引》（阳光保险发[2010]207号）等文件，结合公司实际情况，制定本规范。

第二条 本规范所称操作风险，是指由于不完善的内部操作流程、人员、信息系统或外部事件而导致公司直接或间接损失的风险，包括法律及监管合规风险。

本规范所称操作风险损失事件是指由于不完善的内部操作流程、人员、信息系统或外部事件造成公司资产损失、对外服务中断、受到监管处罚或权益丧失的事件。操作风险损失事件应至少满足以下特征之一：（一）形成风险金额；

（二）存在既遂的盗窃、挪用、贪污、受贿等内部欺诈行为；

（三）受到监管机关行政处罚或公开批评；

（四）公司被起诉或被申请仲裁；

（五）造成对外营业中断。

第三条 公司按照损失事件、业务条线、风险成因、损失形态和后果严重程度等因素，对操作风险进行分类。

第四条 本规范适用于公司各部门、各事业部及各分支机构。

第二章 组织架构及职责分工

第五条 操作风险管理是偿付能力风险管理体系重要组成部分，公司建立相关制度和机制，防范和识别操作风险，应对和处置操作风险事件。公司建立由董事会承担最终责任，高级管理层承担直接责任，风险管理部作为牵头部门，其他职能部门和各分支机构各司其职、密切配合，覆盖所有业务单位的操作风险管理组织体系。

第六条 董事会是公司全面风险管理的最高决策机构，对包括操作风险在内的全面风险管理框架的完整性和有效性承担最终责任。

第七条 高级管理层负责履行操作风险管理的直接责任，在授权范围内实施操作风险管理工作，主要职责包括：

（一）制定并组织执行操作风险管理政策和流程；

（二）明确公司各部门和分支机构在操作风险管理中的职责；

（三）组织制定重大操作风险事件的解决方案；

（四）组织评估操作风险管理体系运行的有效性并不断完善；

（五）组织相关信息系统的开发和应用，确保内控流程嵌入到信息系统中；

（六）审核操作风险报告，充分了解公司操作风险管理的总体情况。

第八条 风险管理部是操作风险管理的牵头部门，统筹负责操作风险管理。各职能部门、渠道和分支机构根据职责分工完成相应工作。作为操作风险管理牵头部门，风险管理部的主要职责包括：

（一）制定、维护并不断完善公司操作风险管理制度和流程；

（二）协调、指导、督促各职能部门、渠道和分支机构组织实施操

作风险识别、评估、控制和监测程序；

（三）建立操作风险管理报告机制，收集及分析操作风险事件及损失数据，定期及不定期编制相关统计及分析报告，并就如何弥补损失提出建议，使高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响，以便能够采取有效的防范及降低风险的措施。

第九条 各职能部门对业务范围内的操作风险管理承担首要责任，各职能部门负责人对本职范围内的操作风险管理负全责：

（一） 制定并定期检视主管范围内操作风险内部控制体系,包括本部门及本业务条线的内部控制制度、业务流程及细则、关键风险指标等，并确保其与公司操作风险管理政策保持一致性；

（二） 识别、评估、控制及监测本部门的操作风险，如有必要可开展操作风险专项检查；

（三） 及时、准确地依照风险管理报告机制向风险管理部通报操作风险状况。

第十条 合规法律部、信息技术管理部门、人力资源部在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条 稽核监察职能部门应定期独立审查、监督、评价公司的操作风险管理体系运作情况。

第十二条 分公司操作风险管理组织架构与职责

（一）在授权范围内实施操作风险管理工作。分公司负责人作为分公司操作风险管理的第一责任人，负责建立分公司层面的操作风险管理体系；督促分公司各职能部门及业务单位全面识别、评估、监测及控制所辖范围内的各项操作风险，建立健全相应的内部控制体系；推进各项操作风险管理工作在分公司层面的贯彻落实。

（二）分公司风险合规管理岗应协助分公司负责人开展操作风险管

理工作，负责组织识别、评估、监测及控制所在机构的操作风险；及时、准确地按照风险管理报告机制向总公司风险管理部通报分公司操作风险状况。

第十三条 组织架构调整与职责变化：本规范所规定的风险管理职责依据公司现行组织架构及职责分工确定。如遇公司组织架构调整或分工变化，相应的风险管理职责由调整或变化后承担相应职责的部门及岗位予以履行。

第三章 操作风险识别与评估

第十四条 风险管理部组织各部门、各分支机构定期开展操作风险识别和评估工作。

各部门、各分支机构在新业务、新产品上线，新系统应用，相关法律法规、监管要求变更，或相关经营管理流程、信息系统等发生重大变化时，应及时开展针对性的操作风险识别和评估工作，并将识别和评估结果报送风险管理部。

第十五条 操作风险识别主要采用流程分析法，根据各项工作的开展流程、历史运营情况、同业案例分析、经验判断等进行识别，主要从以下几个方面开展：

（一）不完善、不规范的内部操作流程，如公司产品开发管理、承保管理、理赔管理、再保险管理、业务单证管理、财务管理等重要业务活动没有制定相应的内部操作流程和控制制度，或操作流程和控制制度不适用不完善，或未能对重要业务事项和高风险领域实施重点控制等；

（二）可能导致操作风险的人员因素，包括招聘、解雇、培训、领导能力和持续发展规划、业绩管理、薪酬等；

（三）信息系统存在的问题和风险，包括系统设计缺陷、软件/硬