農村商業(yè)銀行操作風險管理暫行辦法

1、農村商業(yè)銀行操作風險管理暫行辦法第一章 總則第一條 為進一步促進農村商業(yè)銀行股份有限公司（以下簡稱“本行”）各項業(yè)務健康、持續(xù)、規(guī)范發(fā)展，有效控制和規(guī)范操作風險，根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商業(yè)銀行法、中國銀行業(yè)監(jiān)督管理委員會商業(yè)銀行操作風險管理指引以及其它有關法律和行政法規(guī)，制定本辦法。第二條 本辦法適用于本行各級機構及各業(yè)務條線。第三條 操作風險是指由不完善或有問題的內部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險。第四條 本辦法所稱操作風險事項主要包括以下方面：（一）內部欺詐。有機構內部人員參與的

2、詐騙、盜用資產、違反法律以及本行的規(guī)章制度的行為。（二）外部欺詐。第三方的詐騙、盜用資產、違犯法律的行為。（三）雇用合同以及工作狀況帶來的風險事件。由于不履行合同，或者不符合勞動健康、安全法規(guī)所引起的賠償要求。（四）客戶、產品以及商業(yè)行為引起的風險事件。有意或無意造成的無法滿足某一客戶的特定需求,或者是由于產品的性質、設計問題造成的失誤。（五）有形資產的損失。由于災難性事件或其他事件引起的有形資產的損壞或損失。（六）經營中斷和系統(tǒng)出錯。例如，軟件或者硬件錯誤、通信問題以及設備老化。（七）涉及執(zhí)行、交割以及交易過程管理的風險事件。例如，交易失敗、與合作伙伴的合作失敗、交易數(shù)據(jù)輸入錯誤、不完備的法

3、律文件、未經批準訪問客戶賬戶，以及賣方糾紛等。 第二章 組織架構及職責第五條 本行董事會承擔監(jiān)控操作風險管理有效性的最終責任。主要職責包括：（一）制定與本行戰(zhàn)略目標相一致且適用于全行的操作風險管理戰(zhàn)略和總體政策；（二）通過審批及檢查高級管理層有關操作風險的職責、權限及報告制度，確保全行的操作風險管理決策體系的有效性，并盡可能地確保將本行從事的各項業(yè)務面臨的操作風險控制在可以承受的范圍內；（三）定期審閱高級管理層提交的操作風險報告，充分了解本行操作風險管理的總體情況、高級管理層處理重大操作風險事件的有效性以及監(jiān)控和評價日常操作風險管理的有效性；（四）確保高級管理層采取必要的措施有效地識別、評估、

4、監(jiān)測和控制/緩釋操作風險；（五）確保本行操作風險管理體系接受內審部門的有效審查與監(jiān)督；（六）制定適當?shù)莫剳椭贫龋谌蟹秶行У赝苿硬僮黠L險管理體系地建設。（七）法律、法規(guī)規(guī)定的其他職責。第六條 本行高級管理層負責執(zhí)行董事會批準的操作風險管理戰(zhàn)略、總體政策及體系。主要職責包括：（一）在操作風險的日常管理方面，對董事會負最終責任；（二）根據(jù)董事會制定的操作風險管理戰(zhàn)略及總體政策，負責制定、定期審查和監(jiān)督執(zhí)行操作風險管理的政策、程序和具體的操作規(guī)程，并定期向董事會提交操作風險總體情況的報告；（三）全面掌握本行操作風險管理的總體狀況，特別是各項重大的操作風險事件或項目；（四）明確界定各部門的操作風險

5、管理職責以及操作風險報告的路徑、頻率、內容，督促各部門切實履行操作風險管理職責，以確保操作風險管理體系的正常運行；（五）為操作風險管理配備適當?shù)馁Y源，包括但不限于提供必要的經費、設置必要的崗位、配備合格的人員、為操作風險管理人員提供培訓、賦予操作風險管理人員履行職務所必需的權限等；（六）及時對操作風險管理體系進行檢查和修訂，以便有效地應對內部程序、產品、業(yè)務活動、信息科技系統(tǒng)、員工及外部事件和其他因素發(fā)生變化所造成的操作風險損失事件。（七）法律、法規(guī)規(guī)定的其他職責。第七條 本行風險管理部專門負責全行操作風險管理體系的建立和實施。主要職責包括：（一）擬定本行操作風險管理政策、程序和具體的操作規(guī)程

6、，提交高級管理層和董事會審批；（二）協(xié)助其他部門識別、評估、監(jiān)測、控制及緩釋操作風險；（三）建立并組織實施操作風險識別、評估、緩釋（包括內部控制措施）和監(jiān)測方法以及全行的操作風險報告程序；（四）建立適用全行的操作風險基本控制標準，并指導和協(xié)調全行范圍內的操作風險管理；（五）為各部門提供操作風險管理方面的培訓，協(xié)助各部門提高操作風險管理水平、履行操作風險管理的各項職責；（六）定期檢查并分析業(yè)務部門和其他部門操作風險的管理情況；（七）定期向高級管理層提交操作風險報告；（八）確保操作風險制度和措施得到遵守。第八條 本行各相關部門對操作風險的管理情況負直接責任。主要職責包括：（一）指定專人負責操作風險

7、管理，其中包括遵守操作風險管理的政策、程序和具體的操作規(guī)程；（二）根據(jù)本行統(tǒng)一的操作風險管理評估方法，識別、評估本部門的操作風險，并建立持續(xù)、有效的操作風險監(jiān)測、控制/緩釋及報告程序，并組織實施；（三）在制定本部門業(yè)務流程和相關業(yè)務政策時，充分考慮操作風險管理和內部控制的要求，應保證各級操作風險管理人員參與各項重要的程序、控制措施和政策的審批，以確保與操作風險管理總體政策的一致性；（四）監(jiān)測關鍵風險指標，定期向負責操作風險管理的部門或牽頭部門通報本部門操作風險管理的總體狀況，并及時通報重大操作風險事件。第九條 本行法律、合規(guī)、信息科技、安全保衛(wèi)、人力資源等部門在管理好本部門操作風險的同時，應在

8、涉及其職責分工及專業(yè)特長的范圍內為其他部門管理操作風險提供相關資源和支持。第十條 本行的內審部門不直接負責或參與其他部門的操作風險管理，但應定期檢查評估本行的操作風險管理體系運作情況，監(jiān)督操作風險管理政策的執(zhí)行情況，對新出臺的操作風險管理政策、程序和具體的操作規(guī)程進行獨立評估，并向董事會報告操作風險管理體系運行效果的評估情況。第三章 管理政策和方法第十一條 本行對操作風險進行管理的具體方法包括：（一）評估操作風險和內部控制；（二）損失事件的報告和數(shù)據(jù)收集；（三）關鍵風險指標的監(jiān)測；（四）新產品和新業(yè)務的風險評估；（五）內部控制的測試和審查；（六）操作風險的報告。第十二條 本行應定期監(jiān)測并報告操

9、作風險狀況和重大損失情況。針對潛在損失不斷增大的風險，建立早期的操作風險預警機制，及時采取措施控制、降低風險，降低損失事件的發(fā)生頻率及損失程度。第十三條 重大操作風險事件應當及時向董事會、高級管理層和相關管理人員報告。第十四條 本行應當將加強內部控制作為操作風險管理的有效手段，與此相關的內部措施至少應當包括：（一）各崗位之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突；（二）密切監(jiān)測遵守指定風險限額或權限的情況；（三）對接觸和使用銀行資產的記錄進行安全監(jiān)控；（四）員工具有與其從事業(yè)務相適應的業(yè)務能力并接受相關培訓；（五）識別與合理預期收益不符及存在隱患的業(yè)務或產品；（六）定期

10、對交易和賬戶進行復核和對賬；（七）主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度；（八）重要崗位或敏感環(huán)節(jié)員工的行為規(guī)范；（九）建立基層員工署名揭發(fā)違法違規(guī)問題的激勵和保護制度；（十）查案、破案與處分適時、到位的雙重考核制度；（十一）案件查處和相應的信息披露制度；（十二）對基層操作風險管控獎懲兼顧的激勵約束機制。第十五條 為有效地識別、評估、監(jiān)測、控制和報告操作風險，必要時，本行應當根據(jù)發(fā)展和管理的需要建立并逐步完善操作風險管理信息系統(tǒng)。第十六條 本行應當制定與業(yè)務規(guī)模和復雜性相適應的應急和業(yè)務連續(xù)方案，建立恢復服務和保證業(yè)務連續(xù)運行的備用機制，并應當定期檢查、測試其災難恢復和業(yè)務連續(xù)機

11、制，確保在出現(xiàn)災難和業(yè)務嚴重中斷時這些方案和機制的正常執(zhí)行。第十七條 本行應當制定與外包業(yè)務有關的風險管理政策，確保業(yè)務外包有嚴謹?shù)暮贤头諈f(xié)議、各方的責任義務規(guī)定明確。第十八條 本行可購買保險以及與第三方簽訂合同，并將其作為緩釋操作風險的一種方法，但不應因此忽視控制措施的重要作用。第十九條 本行應當按照銀監(jiān)會關于商業(yè)銀行資本充足率管理的要求，為所承擔的操作風險提取充足的資本。第四章 風險事項報告第二十條 操作風險事項報告分為即時報告和后續(xù)報告兩類。第二十一條 操作風險事項即時報告是指重大操作風險事項發(fā)生后，對重大操作風險事項進行描述、分析并提出應對措施的報告。主要內容包括：（一）事項描述。

12、包括：風險事由、發(fā)生時間、地點、發(fā)生部位、風險類型、當前狀況等。（二）原因分析及趨勢預測。包括：發(fā)生的原因、風險環(huán)節(jié)分析、預計形成的財務損失、其他不良影響、事態(tài)分析及預測等。（三）已采取的補救措施及結果，擬采取的措施及工作建議。第二十二條 操作風險事項后續(xù)報告是指已上報即時報告的事項情況發(fā)生重要變化、處理措施取得重要進展或事項已有明確的結果時所作的報告。主要內容包括：（一）事態(tài)變化情況。事項基本情況，事件發(fā)展過程，事項重大變化情況等。 （二）損失變化情況。損失變化情況、已形成的實際財務損失及不良影響。（三）事項處理進展或結果。已采取的減少損失或挽回不良影響等糾正措施的實施情況和實施效果，針對暴露出的操作風險環(huán)節(jié)采取的整改措施，下一步避免風險事項發(fā)生的預防措施等。第二十三條 本行應按照規(guī)定向當?shù)劂y監(jiān)局報送與操作風險有關的報告。第二十四條 本行應及時向當?shù)劂y監(jiān)局報告下列重大操作風險事件：（一）搶劫銀行或運鈔車、盜竊銀行現(xiàn)金30萬元以上的案件，詐騙銀行或其他涉案金額1000萬元以上的案件；（二）造成銀行重要數(shù)據(jù)、賬冊、重要空白憑證嚴重損毀、丟失，嚴重影響正常工作開展的事件；（三）盜竊、出賣、泄漏或丟失涉密資料，可能影響金融穩(wěn)定，造成經濟秩序混亂的事件；（四）高管人員嚴重違規(guī)；（