銀監(jiān)發(fā)[2007]42號
第一章 總則
第一條 為加強商業(yè)銀行的操作風險管理,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》以及其他有關(guān)法律法規(guī)�,制定本指引。
第二條 在中華人民共和國境內(nèi)設(shè)立的中資商業(yè)銀行�、外商獨資銀行和中外合資銀行適用本指引。
第三條 本指引所稱操作風險是指由不完善或有問題的內(nèi)部程序��、員工和信息科技系統(tǒng)���,以及外部事件所造成損失的風險��。本定義所指操作風險包括法律風險�,但不包括策略風險和聲譽風險�。
第四條 中國銀行業(yè)監(jiān)督管理委員會(以下簡稱銀監(jiān)會)依法對商業(yè)銀行的操作風險管理實施監(jiān)督檢查,評價商業(yè)銀行操作風險管理的有效性�。
第二章 操作風險管理
第五條 商業(yè)銀行應(yīng)當按照本指引要求,建立與本行的業(yè)務(wù)性質(zhì)�、規(guī)模和復(fù)雜程度相適應(yīng)的操作風險管理體系,有效地識別�、評估、監(jiān)測和控制/緩釋操作風險��。操作風險管理體系的具體形式不要求統(tǒng)一����,但至少應(yīng)包括以下基本要素:
(一)董事會的監(jiān)督控制�����;
(二)高級管理層的職責����;
(三)適當?shù)慕M織架構(gòu)��;
(四)操作風險管理政策���、方法和程序��;
(五)計提操作風險所需資本的規(guī)定。
第六條 商業(yè)銀行董事會應(yīng)將操作風險作為商業(yè)銀行面對的一項主要風險�,并承擔監(jiān)控操作風險管理有效性的最終責任。主要職責包括:
(一)制定與本行戰(zhàn)略目標相一致且適用于全行的操作風險管理戰(zhàn)略和總體政策����;
(二)通過審批及檢查高級管理層有關(guān)操作風險的職責、權(quán)限及報告制度�����,確保全行的操作風險管理決策體系的有效性�,并盡可能地確保將本行從事的各項業(yè)務(wù)面臨的操作風險控制在可以承受的范圍內(nèi)��;
(三)定期審閱高級管理層提交的操作風險報告�,充分了解本行操作風險管理的總體情況��、高級管理層處理重大操作風險事件的有效性以及監(jiān)控和評價日常操作風險管理的有效性��;
(四)確保高級管理層采取必要的措施有效地識別���、評估��、監(jiān)測和控制/緩釋操作風險��;
(五)確保本行操作風險管理體系接受內(nèi)審部門的有效審查與監(jiān)督����;
(六)制定適當?shù)莫剳椭贫?���,在全行范圍有效地推動操作風險管理體系地建設(shè)。
第七條 商業(yè)銀行的高級管理層負責執(zhí)行董事會批準的操作風險管理戰(zhàn)略���、總體政策及體系�。主要職責包括:
(一)在操作風險的日常管理方面���,對董事會負最終責任��;
(二)根據(jù)董事會制定的操作風險管理戰(zhàn)略及總體政策����,負責制定、定期審查和監(jiān)督執(zhí)行操作風險管理的政策�、程序和具體的操作規(guī)程,并定期向董事會提交操作風險總體情況的報告��;
(三)全面掌握本行操作風險管理的總體狀況����,特別是各項重大的操作風險事件或項目;
(四)明確界定各部門的操作風險管理職責以及操作風險報告的路徑���、頻率、內(nèi)容�,督促各部門切實履行操作風險管理職責,以確保操作風險管理體系的正常運行���;
(五)為操作風險管理配備適當?shù)馁Y源�����,包括但不限于提供必要的經(jīng)費�、設(shè)置必要的崗位、配備合格的人員����、為操作風險管理人員提供培訓(xùn)、賦予操作風險管理人員履行職務(wù)所必需的權(quán)限等��;
(六)及時對操作風險管理體系進行檢查和修訂�,以便有效地應(yīng)對內(nèi)部程序、產(chǎn)品���、業(yè)務(wù)活動��、信息科技系統(tǒng)����、員工及外部事件和其他因素發(fā)生變化所造成的操作風險損失事件�����。
第八條 商業(yè)銀行應(yīng)指定部門專門負責全行操作風險管理體系的建立和實施����。該部門與其他部門應(yīng)保持獨立�,確保全行范圍內(nèi)操作風險管理的一致性和有效性���。主要職責包括:
(一)擬定本行操作風險管理政策��、程序和具體的操作規(guī)程�,提交高級管理層和董事會審批��;
(二)協(xié)助其他部門識別��、評估�����、監(jiān)測�、控制及緩釋操作風險;
(三)建立并組織實施操作風險識別����、評估、緩釋(包括內(nèi)部控制措施)和監(jiān)測方法以及全行的操作風險報告程序�;
(四)建立適用全行的操作風險基本控制標準�����,并指導(dǎo)和協(xié)調(diào)全行范圍內(nèi)的操作風險管理;
(五)為各部門提供操作風險管理方面的培訓(xùn)����,協(xié)助各部門提高操作風險管理水平、履行操作風險管理的各項職責����;
(六)定期檢查并分析業(yè)務(wù)部門和其他部門操作風險的管理情況;
(七)定期向高級管理層提交操作風險報告��;
(八)確保操作風險制度和措施得到遵守�����。
第九條 商業(yè)銀行相關(guān)部門對操作風險的管理情況負直接責任��。主要職責包括:
(一)指定專人負責操作風險管理���,其中包括遵守操作風險管理的政策��、程序和具體的操作規(guī)程��;
(二)根據(jù)本行統(tǒng)一的操作風險管理評估方法��,識別����、評估本部門的操作風險,并建立持續(xù)���、有效的操作風險監(jiān)測�、控制/緩釋及報告程序��,并組織實施��;
(三)在制定本部門業(yè)務(wù)流程和相關(guān)業(yè)務(wù)政策時��,充分考慮操作風險管理和內(nèi)部控制的要求���,應(yīng)保證各級操作風險管理人員參與各項重要的程序�����、控制措施和政策的審批����,以確保與操作風險管理總體政策的一致性�����;
(四)監(jiān)測關(guān)鍵風險指標����,定期向負責操作風險管理的部門或牽頭部門通報本部門操作風險管理的總體狀況,并及時通報重大操作風險事件����。
第十條 商業(yè)銀行法律、合規(guī)��、信息科技����、安全保衛(wèi)、人力資源等部門在管理好本部門操作風險的同時�,應(yīng)在涉及其職責分工及專業(yè)特長的范圍內(nèi)為其他部門管理操作風險提供相關(guān)資源和支持。
第十一條 商業(yè)銀行的內(nèi)審部門不直接負責或參與其他部門的操作風險管理����,但應(yīng)定期檢查評估本行的操作風險管理體系運作情況,監(jiān)督操作風險管理政策的執(zhí)行情況��,對新出臺的操作風險管理政策�����、程序和具體的操作規(guī)程進行獨立評估,并向董事會報告操作風險管理體系運行效果的評估情況�����。
鼓勵業(yè)務(wù)復(fù)雜程度較高和規(guī)模較大的商業(yè)銀行委托社會中介機構(gòu)對其操作風險管理體系定期進行審計和評價�。
第十二條 商業(yè)銀行應(yīng)當制定適用于全行的操作風險管理政策。操作風險管理政策應(yīng)當與銀行的業(yè)務(wù)性質(zhì)���、規(guī)模���、復(fù)雜程度和風險特征相適應(yīng)。主要內(nèi)容包括:
(一)操作風險的定義��;
(二)適當?shù)牟僮黠L險管理組織架構(gòu)����、權(quán)限和責任;
(三)操作風險的識別��、評估��、監(jiān)測和控制/緩釋程序����;
(四)操作風險報告程序��,其中包括報告的責任����、路徑����、頻率���,以及對各部門的其他具體要求����;
(五)應(yīng)針對現(xiàn)有的和新推出的重要產(chǎn)品�、業(yè)務(wù)活動、業(yè)務(wù)程序��、信息科技系統(tǒng)�����、人員管理���、外部因素及其變動�����,及時評估操作風險的各項要求���。
第十三條 商業(yè)銀行應(yīng)當選擇適當?shù)姆椒▽Σ僮黠L險進行管理���。
具體的方法可包括:評估操作風險和內(nèi)部控制、損失事件的報告和數(shù)據(jù)收集����、關(guān)鍵風險指標的監(jiān)測、新產(chǎn)品和新業(yè)務(wù)的風險評估�����、內(nèi)部控制的測試和審查以及操作風險的報告�。
第十四條 業(yè)務(wù)復(fù)雜及規(guī)模較大的商業(yè)銀行,應(yīng)采用更加先進的風險管理方法����,如使用量化方法對各部門的操作風險進行評估,收集操作風險損失數(shù)據(jù)����,并根據(jù)各業(yè)務(wù)線操作風險的特點有針對性地進行管理��。
第十五條 商業(yè)銀行應(yīng)當制定有效的程序�����,定期監(jiān)測并報告操作風險狀況和重大損失情況��。應(yīng)針對潛在損失不斷增大的風險��,建立早期的操作風險預(yù)警機制,以便及時采取措施控制��、降低風險����,降低損失事件的發(fā)生頻率及損失程度。
第十六條 重大操作風險事件應(yīng)當根據(jù)本行操作風險管理政策的規(guī)定及時向董事會���、高級管理層和相關(guān)管理人員報告��。
第十七條 商業(yè)銀行應(yīng)當將加強內(nèi)部控制作為操作風險管理的有效手段���,與此相關(guān)的內(nèi)部措施至少應(yīng)當包括:
(一)部門之間具有明確的職責分工以及相關(guān)職能的適當分離����,以避免潛在的利益沖突��;
(二)密切監(jiān)測遵守指定風險限額或權(quán)限的情況�;
(三)對接觸和使用銀行資產(chǎn)的記錄進行安全監(jiān)控;
(四)員工具有與其從事業(yè)務(wù)相適應(yīng)的業(yè)務(wù)能力并接受相關(guān)培訓(xùn)����;
(五)識別與合理預(yù)期收益不符及存在隱患的業(yè)務(wù)或產(chǎn)品;
(六)定期對交易和賬戶進行復(fù)核和對賬����;
(七)主管及關(guān)鍵崗位輪崗輪調(diào)、強制性休假制度和離崗審計制度���;
(八)重要崗位或敏感環(huán)節(jié)員工八小時內(nèi)外行為規(guī)范����;
(九)建立基層員工署名揭發(fā)違法違規(guī)問題的激勵和保護制度���;
(十)查案��、破案與處分適時��、到位的雙重考核制度�;
(十一)案件查處和相應(yīng)的信息披露制度;
(十二)對基層操作風險管控獎懲兼顧的激勵約束機制�����。
第十八條 為有效地識別����、評估、監(jiān)測���、控制和報告操作風險����,商業(yè)銀行應(yīng)當建立并逐步完善操作風險管理信息系統(tǒng)�。管理信息系統(tǒng)至少應(yīng)當記錄和存儲與操作風險損失相關(guān)的數(shù)據(jù)和操作風險事件信息��,支持操作風險和控制措施的自我評估��,監(jiān)測關(guān)鍵風險指標���,并可提供操作風險報告的有關(guān)內(nèi)容���。
第十九條 商業(yè)銀行應(yīng)當制定與其業(yè)務(wù)規(guī)模和復(fù)雜性相適應(yīng)的應(yīng)急和業(yè)務(wù)連續(xù)方案�����,建立恢復(fù)服務(wù)和保證業(yè)務(wù)連續(xù)運行的備用機制���,并應(yīng)當定期檢查、測試其災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)機制��,確保在出現(xiàn)災(zāi)難和業(yè)務(wù)嚴重中斷時這些方案和機制的正常執(zhí)行���。
第二十條 商業(yè)銀行應(yīng)當制定與外包業(yè)務(wù)有關(guān)的風險管理政策���,確保業(yè)務(wù)外包有嚴謹?shù)暮贤头?wù)協(xié)議、各方的責任義務(wù)規(guī)定明確��。
第二十一條 商業(yè)銀行可購買保險以及與第三方簽訂合同����,并將其作為緩釋操作風險的一種方法,但不應(yīng)因此忽視控制措施的重要作用��。
購買保險等方式緩釋操作風險的商業(yè)銀行,應(yīng)當制定相關(guān)的書面政策和程序���。
第二十二條 商業(yè)銀行應(yīng)當按照銀監(jiān)會關(guān)于商業(yè)銀行資本充足率管理的要求�,為所承擔的操作風險提取充足的資本�����。
第三章 操作風險監(jiān)管
第二十三條 商業(yè)銀行的操作風險管理政策和程序應(yīng)報銀監(jiān)會備案�。商業(yè)銀行應(yīng)按照規(guī)定向銀監(jiān)會或其派出機構(gòu)報送與操作風險有關(guān)的報告。委托社會中介機構(gòu)對其操作風險管理體系進行審計的����,還應(yīng)提交外部審計報告。
第二十四條 商業(yè)銀行應(yīng)及時向銀監(jiān)會或其派出機構(gòu)報告下列重大操作風險事件:
(一)搶劫商業(yè)銀行或運鈔車�、盜竊銀行業(yè)金融機構(gòu)現(xiàn)金30萬元以上的案件,詐騙商業(yè)銀行或其他涉案金額1000萬元以上的案件��;
(二)造成商業(yè)銀行重要數(shù)據(jù)��、賬冊�����、重要空白憑證嚴重損毀��、丟失�����,造成在涉及兩個或兩個以上?��。ㄗ灾螀^(qū)���、直轄市)范圍內(nèi)中斷業(yè)務(wù)3小時以上,在涉及一個?�。ㄗ灾螀^(qū)��、直轄市)范圍內(nèi)中斷業(yè)務(wù)6小時以上��,嚴重影響正常工作開展的事件���;
(三)盜竊�、出賣��、泄漏或丟失涉密資料���,可能影響金融穩(wěn)定,造成經(jīng)濟秩序混亂的事件�����;
(四)高管人員嚴重違規(guī)����;
(五)發(fā)生不可抗力導(dǎo)致嚴重損失,造成直接經(jīng)濟損失1000萬元以上的事故���、自然災(zāi)害���;
(六)其他涉及損失金額可能超過商業(yè)銀行資本凈額1‰的操作風險事件;
(七)銀監(jiān)會規(guī)定其他需要報告的重大事件��。
第二十五條 銀監(jiān)會對商業(yè)銀行有關(guān)操作風險管理的政策、程序和做法進行定期的檢查評估�。主要內(nèi)容包括:
(一)商業(yè)銀行操作風險管理程序的有效性����;
(二)商業(yè)銀行監(jiān)測和報告操作風險的方法��,包括關(guān)鍵操作風險指標和操作風險損失數(shù)據(jù)���;
(三)商業(yè)銀行及時有效處理操作風險事件和薄弱環(huán)節(jié)的措施����;
(四)商業(yè)銀行操作風險管理程序中的內(nèi)控、檢查和內(nèi)審程序��;
(五)商業(yè)銀行災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)方案的質(zhì)量和全面性��;
(六)計提的抵御操作風險所需資本的充足水平����;
(七)操作風險管理的其他情況。
第二十六條 對于銀監(jiān)會在監(jiān)管中發(fā)現(xiàn)的有關(guān)操作風險管理的問題�����,商業(yè)銀行應(yīng)當在規(guī)定的時限內(nèi)�����,提交整改方案并采取整改措施�����。
對于發(fā)生重大操作風險事件而未在規(guī)定時限內(nèi)采取有效整改措施的商業(yè)銀行�����,銀監(jiān)會將依法采取相關(guān)監(jiān)管措施�。
第四章 附則
第二十七條 政策性銀行�����、金融資產(chǎn)管理公司�����、城市信用社、農(nóng)村信用社��、農(nóng)村合作銀行�����、信托投資公司�、財務(wù)公司����、金融租賃公司����、汽車金融公司、貨幣經(jīng)紀公司�、郵政儲蓄機構(gòu)等其他銀行業(yè)金融機構(gòu)參照本指引執(zhí)行。
第二十八條 未設(shè)董事會的銀行業(yè)金融機構(gòu)���,應(yīng)當由其經(jīng)營決策機構(gòu)履行本指引規(guī)定的董事會的有關(guān)操作風險管理職責�。
第二十九條 在中華人民共和國境內(nèi)設(shè)立的外國銀行分行���,應(yīng)當遵循其總行制定的操作風險管理政策和程序,按照規(guī)定向銀監(jiān)會或其派出機構(gòu)報告重大操作風險事件并接受銀監(jiān)會的監(jiān)管�;其總行未制定操作風險管理政策和程序的,按照本指引的有關(guān)要求執(zhí)行���。
第三十條 本指引所涉及的有關(guān)名詞見附錄��。
第三十一條 本指引自發(fā)布之日起施行�。
附錄:《商業(yè)銀行操作風險管理指引》有關(guān)名詞的說明附錄
《商業(yè)銀行操作風險管理指引》有關(guān)名詞的說明
一�����、操作風險事件
操作風險事件是指由不完善或有問題的內(nèi)部程序��、員工和信息科技系統(tǒng)��,以及外部因素所造成財務(wù)損失或影響銀行聲譽、客戶和員工的操作事件��,具體事件包括:內(nèi)部欺詐�����,外部欺詐�,就業(yè)制度和工作場所安全,客戶����、產(chǎn)品和業(yè)務(wù)活動,實物資產(chǎn)的損壞����,營業(yè)中斷和信息技術(shù)系統(tǒng)癱瘓,執(zhí)行��、交割和流程管理七種類型(進一步的信息可參閱《統(tǒng)一資本計量和資本標準的國際協(xié)議:修訂框架》�����,即巴塞爾新資本協(xié)議的“附錄7:損失事件分類詳表”)�����。
二、自我風險評估��、關(guān)鍵風險指標
商業(yè)銀行用于識別�、評估操作風險的常用工具。
(一)自我風險評估
自我風險評估是指商業(yè)銀行識別和評估潛在操作風險以及自身業(yè)務(wù)活動的控制措施�、適當程度及有效性的操作風險管理工具。
(二)關(guān)鍵風險指標
關(guān)鍵風險指標是指代表某一風險領(lǐng)域變化情況并可定期監(jiān)控的統(tǒng)計指標����。關(guān)鍵風險指標可用于監(jiān)測可能造成損失事件的各項風險及控制措施,并作為反映風險變化情況的早期預(yù)警指標(高級管理層可據(jù)此迅速采取措施)���,具體指標例如:每億元資產(chǎn)損失率、每萬人案件發(fā)生率��、百萬元以上案件發(fā)生比率�����、超過一定期限尚未確認的交易數(shù)量���、失敗交易占總交易數(shù)量的比例�、員工流動率���、客戶投訴次數(shù)�����、錯誤和遺漏的頻率以及嚴重程度等�����。
三���、法律風險
法律風險包括但不限于下列風險:1.商業(yè)銀行簽訂的合同因違反法律或行政法規(guī)可能被依法撤銷或者確認無效的��;2.商業(yè)銀行因違約���、侵權(quán)或者其他事由被提起訴訟或者申請仲裁,依法可能承擔賠償責任的�����;3.商業(yè)銀行的業(yè)務(wù)活動違反法律或行政法規(guī)��,依法可能承擔行政責任或者刑事責任的��。
