内蒙古托克托农村商业银行操作风险管理办法.docx

《内蒙古托克托农村商业银行操作风险管理办法.docx》由会员分享，可在线阅读，更多相关《内蒙古托克托农村商业银行操作风险管理办法.docx（13页珍藏版）》请在三一办公上搜索。

1、内蒙古托克托农村商业银行操作风险管理办法内蒙古托克托农村商业银行 操作风险管理办法 第一章 总则 第一条 为规范和加强内蒙古托克托农村商业银行的操作风险管理工作，依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行操作风险管理指引以及其他有关法律法规，制定本办法。 第二条 本办法所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本办法所指操作风险包括法律风险，但不包括策略风险和声誉风险。 第三条 本行进行操作风险管理要遵循以下原则： 有效性原则：操作风险管理制度应符合董事会战略安排要求，按照点面结合的管理模式，确保得到全面贯彻执行，

2、任何人在任何岗位办理任何业务均受内部控制约束，内部控制存在的问题应当能够得到及时反馈和纠正； 全面性原则：操作风险的管理要渗透到各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体员工参与，任何决策或操作均应当有案可查； 审慎性原则：操作风险管理要以防范风险、审慎经营为出发点，各项经营管理活动，尤其是涉及相关体制改革、设立新机构、开办新业务时，应当体现“内控优先”的原则，建立和完善相关规章制度和科学流程设计； 成本效益原则：操作风险管理要作好重大风险点的排查和识别，突出重点，充分发挥各部门及广大职员的工作积极性，尽量降低操作风险管理成本，保证以合理的控制成本达到最佳的控制效果。 第四条

3、本行应当选择适当的方法对操作风险进行管理。具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。 第五条 本办法适用于本行各支行、各部门所有人员。 第二章 组织与职责 第六条 本行操作风险的组织架构包括董事会、行长/高级管理层、各职能部门、各分支机构。 第七条 本行董事会是本行操作风险管理的最高管理机构，承担监控操作风险管理有效性的最终责任。董事会授权下设的风险管理与关联交易控制委员会履行其操作风险管理的职责，具体职责包括： 制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策； 审

4、批及检查高级管理层、各有关部门和分支机构有关操作风险的职责、权限及报告制度，确保全行的操作风险管理体系的有效性，将本行从事的各项业务面临的操作风险控制在可以承受的范围内； 定期审阅合规管理部、风险管理部等操作风险相关部门提交的操作风险报告，充分了解本行操作风险管理的总体情况，评价重大操作风险事件处理的有效性，监控和评价日常操作风险管理的有效性； 确保本行各职能部门、分支机构采取必要的措施有效地识别、评估、监测和控制/缓释操作风险； 确保本行操作风险管理体系接受内审部门的有效审查与监督； 制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系建设； 审定与操作风险管理相关的其他重大事项。 第八

5、条 行长/高级管理层的主要职责包括： 根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的相关制度，并定期向董事会提交操作风险总体情况的报告； 全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目； 明确界定本行各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责； 为本行操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等； 及时对操作风险管理体系进行检查和修订，以便有效地应对规章制度、产品、业

6、务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件； 协调处理各部门和分支机构有关操作风险管理的重大事项。 第九条 总行风险管理部职责主要包括： 在全面风险管理框架下，负责全行操作风险管理体系的建设； 协助各部门建立与其业务要求相适应的操作风险识别、评估、监测、控制及缓释的完整体系。 第十条 总行合规管理部的职责主要包括： 根据本行操作风险管理政策和操作风险管理体系，确定操作风险管理的办理办法和操作流程； 建立并组织实施操作风险识别、评估、缓释和监测方法以及全行的操作风险报告程序； 根据监管部门要求及我行业务特点，负责研究、开发和维护操作风险度量、分析和报告的方法、

7、模型、工具。 定期检查并分析业务部门和其他部门操作风险的管理情况，确保操作风险制度和措施得到贯彻落实； 负责组织全行操作风险管理方面的培训，提高全行操作风险管理水平； 负责就本行操作风险管理事务与监管机构联络。 第十一条 本行各相关部门、各分支机构对操作风险的管理情况负直接责任。主要职责包括： 指定专人负责操作风险管理，贯彻落实操作风险管理的规章制度； 根据本行统一的操作风险管理评估方法，识别、评估本部门、本分支机构的操作风险，建立持续、有效的操作风险监测、控制及报告程序，并组织实施； 在制定本部门、本分支机构业务流程时，充分考虑操作风险管理和内部控制的要求，应保证操作风险管理人员参与各项重要

8、的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性； 监测关键风险指标，定期向总行合规管理部通报本部门、本分支机构操作风险管理的总体状况，并及时通报重大操作风险事件。 第十二条 各部门、分支机构在管理好本身操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门、分支机构管理操作风险提供相关资源和支持。 第十三条 稽核审计部门对操作风险的管理情况进行检查监督。其具体职责包括： 定期检查各部门、分支机构操作风险管理政策的落实和防范措施的执行情况； 定期对合规管理部、风险管理部关于操作风险管理的履行情况进行监督； 对操作风险管理政策、程序和具体的操作规程及其运作情况进行独立评

9、估，并将评估结果报告董事会和高级管理层。 第三章 操作风险的识别与评估 第十四条 本行操作风险识别评估要严格按照财政部等六部委制定的企业内部控制基本规范、银监会商业银行内部控制指引等规章制度为基本要求，并结合本行工作实际，有针对性、重点明确地开展。 第十五条 合规管理部应制定有效操作风险识别评估程序，主动识别存在于业务、流程及系统内的操作风险，并确保在推出新的产品、业务、流程及系统前，对其内在的操作风险作出充分评估。 第十六条 风险管理部应建立适用全行的操作风险基本控制标准，并应相关部门的要求提供相关技术支持。 第十七条 本行各部门应在合规管理部的组织下，按年定期对相关产品、业务、流程及系统内

10、的操作风险进行识别评估。识别评估方法主要采用流程分析法，根据各项工作的开展流程、历史运营情况、同业案例分析、经验判断、损失额度及影响等方法进行综合分析。 第十八条 出现以下情况时，各部门和分支机构应立即向合规管理部提出操作风险控制评估计划： 新产品和新业务开发； 新设备和新系统应用； IT系统的重大变更； 操作风险管理政策修改； 重大事故、险情、案件、隐患发生时； 业务流程发生较大变化时； 组织机构变革； 重要员工流动； 法律法规、监管要求发生变化； 外部金融业等相关行业发生新的操作风险损失事件，本行可能面临类似的风险时； 岗位与人员配置不符； 其他可能引发操作风险的情况。 第十九条 各部门、

11、分支机构要针对对实现工作目标有负面影响的各类显性及隐性因素制订相应的控制措施。 第二十条 各部门、分支机构应及时向合规管理部提交操作风险的识别与评估结果。合规管理部应及时对操作风险识别评估结果进行汇总，并报告高级管理层。 第四章 操作风险事件的监测 第二十一条 各部门、分支机构对操作风险损失事件的监测应遵循以下原则： 重要性原则：在统计操作风险损失事件时，应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认； 及时性原则：应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失，避免因提前或延后造成当期统计数据不准确； 统一性原则：操作风险损失事件的统计标准、范围、程序

12、和方法要保持一致，以确保统计结果客观、准确及可比； 谨慎性原则：在对操作风险损失进行确认时，应保持必要的谨慎，应进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。 第二十二条 本行各部门、分支机构应定期监测操作风险状况和重大损失情况，并向合规管理部门报告。 第二十三条 各部门、分支机构要根据自身业务特点，建立相应的操作风险预警机制并报备合规管理部，针对潜在损失不断增大的风险，及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。 第二十四条 总行合规管理部应根据本行业务发展要求，针对操作风险损失情况和外部信息逐步补充完善操作风险关键监测指标。 第二十五条 总行

13、合规管理部会同风险管理部和其他部门建立并逐步完善操作风险管理系统，系统性地收集、整理、跟踪和分析与操作风险相关的数据和事件信息。各部门、各分支机构应针对产品、业务、流程及系统内产生的操作风险的损失数据要进行收集，并报送合规管理部审核后进入操作风险损失数据库，定期根据损失数据进行风险评估。 第二十六条 操作风险损失事件统计内容应至少包含：损失事件发生的时间、发现的时间及损失确认时间、业务名称、损失事件类型、损失形态、涉及金额、损失金额、非财务影响、与信用风险和市场风险的交叉关系等。 第二十七条 操作风险损失事件类型包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的

14、损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理等。 第二十八条 操作风险损失形态包括：法律成本，监管罚没，资产损失，对外赔偿，追索失败，账面减值，其他损失等。 第二十九条 本行应根据操作风险损失事件统计工作的重要性原则，合理确定操作风险损失事件统计的金额起点。对设定金额起点以下的操作风险损失事件和未发生财务损失的操作风险事件也可进行记录和积累。 第三十条 在统计操作风险损失事件时，应合理区分操作风险损失和其他风险损失界限。对于跨地区、跨业务种类的操作风险损失事件，合规管理部应确定损失统计原则，避免重复统计。 第五章 操作风险的控制 第三十一条 对识别评估出的操作风险点，合规管理部应组织

15、相关部门和分支机构提出相应的控制措施，其控制措施种类包括但不限于以下内容： 高层审核：上级管理者对照预算、预测、过往业绩和竞争者的情况对相关业务或经营情况进行审核； 直接的职能或活动管理：如审核业绩报告、新业务数据，关注合规问题，调节资金头寸等； 信息处理：通过一系列的核对与批准保证交易的准确性、完整性和已授权； 实物控制：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全； 业绩指标分析：综合一系列的指标，通过因素分析、对比分析、趋势分析等方法，发现存在的问题，及时查明原因并加以改进； 不相容职责分离：全面系统地分析、梳理业务流程中所涉及的不相

16、容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制； 绩效考评控制、预算控制、信息系统控制和其他。 第三十二条 本行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部控制措施包括但不限于： 对各项业务活动制订严格规范的流程管理，各部门、各岗位间划清业务边界； 部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突； 密切监测遵守指定风险限额或权限的情况； 对接触和使用银行资产的记录进行安全监控； 识别与合理预期收益不符及存在隐患的业务或产品； 定期对交易和账户进行复核和对账； 主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度； 员工具有与其从事

17、业务相适应的业务能力并接受相关培训； 重要岗位或敏感环节员工八小时内外行为规范； 建立基层员工署名揭发违法违规问题的激励和保护制度； 查案、破案与处分适时、到位的双重考核制度； 案件查处和相应的信息披露制度； 对基层操作风险管控奖惩兼顾的激励约束机制。 第三十三条 合规管理部门应会同信息科技部门、安全保卫部门制定与本行业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。 第三十四条 风险管理部门可以会同计划财务、合规管理部门研究，将购买保险以及与第三方签订合同作为

18、缓释操作风险的一种方法。使用购买保险等方式缓释操作风险时，应当制定相关的书面政策和程序。 第六章 操作风险事件的报告 第三十五条 本行建立有效的操作风险报告机制，合规管理部、风险管理部和其他相关部门人员发现操作风险问题，均应有畅通的报告渠道和有效的纠正措施。操作风险报告应满足以下要求： 真实性：客观、真实、准确地反应操作风险状况； 及时性：及时分析报告重大操作风险事件； 准确性：提出准确有效的操作风险控制措施，应讲究实效、切实可行； 保密性：操作风险报告要遵守有关保密管理及信息披露规定。 第三十六条 操作风险事件报告的内容包括但不限于发生的时间、发现的时间及损失确认的时间、业务名称、损失事件类

19、型、业务金额、损失金额、涉案人员、对操作风险事件的描述和非财务影响等。 第三十七条 操作风险事件实行定期、不定期相结合的报告制度。对日常操作风险监测报告实行定期报告；当发生重大操作风险事件时，要立即报告。 第三十八条 本行建立有效的操作风险事件汇报路线，具体路线为： 各部门、分支机构要按季向总行合规管理部报送操作风险状况分析报告； 发生重大操作风险事件时，各部门、分支机构要在发现当日立即向总行合规管理部汇报，并在职权范围内采取相应措施控制操作风险，防止风险经济或非经济损失的扩大和蔓延； 针对重大操作风险事件要建立事件后续报告制度； 总行合规管理部向分管行长或风险管理与关联交易控制委员会报告，同

20、时抄送总行风险管理部； 审计稽核部门对操作风险管理工作进行监控检查的结果向董事会和高级管理层报告，同时抄送总行合规管理部和风险管理部； 发生中国银监会规定的重大操作风险事项时，各部门和分支机构应立即上报总行合规管理部，由总行合规管理部向总行分管行长汇报。 第七章 外部机构操作风险的管理 第三十九条 各部门、分支机构在将法律、合规、信息科技、安全保卫、人力资源等业务外包时，应当充分考虑本行面临的风险，制定有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。 第四十条 各部门、分支机构在从事授信、金融市场业务等活动时，应当对交易对象的操作风险管理情况进行尽职调查。对交易

21、对象操作风险管理的尽职调查内容包括但不限于： 适当的操作风险管理组织架构、权限和责任; 操作风险的识别、评估、监测和控制/缓释程序; 操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求; 应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。 第四十一条 对交易对象的操作风险进行尽职调查时，应通过与交易对象高级管理层、各部门及其员工交谈，查阅董事会、总经理办公会等会议记录、交易对象各项业务及管理规章制度等方法，分析评价交易对象是否有积极的操作风险控制环境、完备的操作风险控制措施、畅通的操作风险信息沟通

22、、有效的操作风险监控体系。 第四十二条 对交易对象的操作风险进行尽职调查时，还应重点考察其过往操作风险事件及其应对情况。 第八章 与监管机构的联络 第四十三条 合规管理部是本行有关操作风险管理与监管机构联络的归口部门，负责向监管机构报送、接收相关信息，跟踪、评估、考核监管意见和监管要求的落实情况，以及行领导交办的其他事项工作。 第四十四条 本行的操作风险管理政策和程序应根据银监会或其派出机构的要求备案并报送与操作风险有关的报告。 第四十五条 本行在委托社会中介机构对操作风险管理体系进行审计后，应向当地银监局提交外部审计报告。 第四十六条 当发生下列重大操作风险事件时，合规管理部应及时向当地银监

23、局报告： 抢劫本行或运钞车的案件，盗窃现金30万元以上的案件，诈骗本行的案件或其他涉案金额1000万元以上的案件； 造成本行重要数据、账册、凭证严重损毁、丢失，造成在涉及两个或两个以上支行范围内中断业务3小时以上，在涉及一个支行范围内中断业务6小时以上，严重影响正常工作开展的事件； 盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件； 高级管理人员严重违规，业已证实的； 发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害； 其他涉及损失金额可能超过本行资本净额1的操作风险事件； 银监会及其派出机构规定其他需要报告的重大事件。 第九章 考核与奖惩 第

24、四十七条 操作风险管理的考核应与绩效考核相挂钩，建立有效的内部考核评价制度。 第四十八条 总行合规管理部会同计划财务部、风险管理部等建立起定期考核评价各部门、分支机构管理操作风险的能力和效果，并依据考核结果对相关人员施行奖惩。 第四十九条 对严格履行操作风险管理职责，特别是及时报告风险、提出切实有效的应对措施，对防范和化解操作风险作出重大贡献的部门和个人，给予适当奖励。在必要时，应当对署名揭发违法违规问题的基层员工给予适当的保护。 第五十条 对于未充分有效履行操作风险管理职责，特别是隐瞒不报、歪曲风险事实、遗漏或延误操作风险报告、泄露操作风险信息，导致本行遭受经济损失或形成不良影响的有关责任人员，将根据相关制度予以处理。 第十章 附则 第五十一条 本办法由总行合规管理部负责制定、解释和修改。 第五十二条 本办法自下发之日起施行。