各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行:
為加強商業銀行的操作風險管理,推動商業銀行進一步完善公司治理結構,提升風險管理能力,銀監會制定了《商業銀行操作風險管理指引》,現印發給你們,請遵照執行。
請各銀監局將本通知轉發至轄內各城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、城市信用社、外資獨資銀行、中外合資銀行和外國銀行分行主報告行。
二○○七年五月十四日
商業銀行操作風險管理指引
第一章 總 則
第一條 為加強商業銀行的操作風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》以及其他有關法律法規,制定本指引。
第二條 在中華人民共和國境內設立的中資商業銀行、外商獨資銀行和中外合資銀行適用本指引。
第三條 本指引所稱操作風險是指由不完善或有問題的內部程式、員工和信息科技系統,以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險,但不包括策略風險和聲譽風險。
第四條 中國銀行業監督管理委員會(以下簡稱銀監會)依法對商業銀行的操作風險管理實施監督檢查,評價商業銀行操作風險管理的有效性。
第二章 操作風險管理
第五條 商業銀行應當按照本指引要求,建立與本行的業務性質、規模和複雜程度相適應的操作風險管理體系,有效地識別、評估、監測和控制/緩釋操作風險。操作風險管理體系的具體形式不要求統一,但至少應包括以下基本要素:
(一)董事會的監督控制;
(二)高級管理層的職責;
(三)適當的組織架構;
(四)操作風險管理政策、方法和程式;
(五)計提操作風險所需資本的規定。
第六條 商業銀行董事會應將操作風險作為商業銀行面對的一項主要風險,並承擔監控操作風險管理有效性的最終責任。主要職責包括:
(一)制定與本行戰略目標相一致且適用於全行的操作風險管理戰略和總體政策;
(二)通過審批及檢查高級管理層有關操作風險的職責、許可權及報告制度,確保全行的操作風險管理決策體系的有效性,並儘可能地確保將本行從事的各項業務面臨的操作風險控制在可以承受的範圍內;
(三)定期審閱高級管理層提交的操作風險報告,充分了解本行操作風險管理的總體情況、高級管理層處理重大操作風險事件的有效性以及監控和評價日常操作風險管理的有效性;
(四)確保高級管理層採取必要的措施有效地識別、評估、監測和控制/緩釋操作風險;
(五)確保本行操作風險管理體系接受內審部門的有效審查與監督;
(六)制定適當的獎懲制度,在全行範圍有效地推動操作風險管理體系地建設。
第七條 商業銀行的高級管理層負責執行董事會批准的操作風險管理戰略、總體政策及體系。主要職責包括:
(一)在操作風險的日常管理方面,對董事會負最終責任;
(二)根據董事會制定的操作風險管理戰略及總體政策,負責制定、定期審查和監督執行操作風險管理的政策、程式和具體的操作規程,並定期向董事會提交操作風險總體情況的報告;
(三)全面掌握本行操作風險管理的總體狀況,特別是各項重大的操作風險事件或項目;
(四)明確界定各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內容,督促各部門切實履行操作風險管理職責,以確保操作風險管理體系的正常運行;
(五)為操作風險管理配備適當的資源,包括但不限於提供必要的經費、設定必要的崗位、配備合格的人員、為操作風險管理人員提供培訓、賦予操作風險管理人員履行職務所必需的許可權等;
(六)及時對操作風險管理體系進行檢查和修訂,以便有效地應對內部程式、產品、業務活動、信息科技系統、員工及外部事件和其他因素髮生變化所造成的操作風險損失事件。
第八條 商業銀行應指定部門專門負責全行操作風險管理體系的建立和實施。該部門與其他部門應保持獨立,確保全行範圍內操作風險管理的一致性和有效性。主要職責包括:
(一)擬定本行操作風險管理政策、程式和具體的操作規程,提交高級管理層和董事會審批;
(二)協助其他部門識別、評估、監測、控制及緩釋操作風險;
(三)建立並組織實施操作風險識別、評估、緩釋(包括內部控制措施)和監測方法以及全行的操作風險報告程式;
(四)建立適用全行的操作風險基本控制標準,並指導和協調全行範圍內的操作風險管理;
(五)為各部門提供操作風險管理方面的培訓,協助各部門提高操作風險管理水平、履行操作風險管理的各項職責;
(六)定期檢查並分析業務部門和其他部門操作風險的管理情況;
(七)定期向高級管理層提交操作風險報告;
(八)確保操作風險制度和措施得到遵守。
第九條 商業銀行相關部門對操作風險的管理情況負直接責任。主要職責包括:
(一)指定專人負責操作風險管理,其中包括遵守操作風險管理的政策、程式和具體的操作規程;
(二)根據本行統一的操作風險管理評估方法,識別、評估本部門的操作風險,並建立持續、有效的操作風險監測、控制/緩釋及報告程式,並組織實施;
(三)在制定本部門業務流程和相關業務政策時,充分考慮操作風險管理和內部控制的要求,應保證各級操作風險管理人員參與各項重要的程式、控制措施和政策的審批,以確保與操作風險管理總體政策的一致性;
(四)監測關鍵風險指標,定期向負責操作風險管理的部門或牽頭部門通報本部門操作風險管理的總體狀況,並及時通報重大操作風險事件。
第十條 商業銀行法律、合規、信息科技、安全保衛、人力資源等部門在管理好本部門操作風險的同時,應在涉及其職責分工及專業特長的範圍內為其他部門管理操作風險提供相關資源和支持。
第十一條 商業銀行的內審部門不直接負責或參與其他部門的操作風險管理,但應定期檢查評估本行的操作風險管理體系運作情況,監督操作風險管理政策的執行情況,對新出台的操作風險管理政策、程式和具體的操作規程進行獨立評估,並向董事會報告操作風險管理體系運行效果的評估情況。
鼓勵業務複雜程度較高和規模較大的商業銀行委託社會中介機構對其操作風險管理體系定期進行審計和評價。
第十二條 商業銀行應當制定適用於全行的操作風險管理政策。操作風險管理政策應當與銀行的業務性質、規模、複雜程度和風險特徵相適應。主要內容包括:
(一)操作風險的定義;
(二)適當的操作風險管理組織架構、許可權和責任;
(三)操作風險的識別、評估、監測和控制/緩釋程式;
(四)操作風險報告程式,其中包括報告的責任、路徑、頻率,以及對各部門的其他具體要求;
(五)應針對現有的和新推出的重要產品、業務活動、業務程式、信息科技系統、人員管理、外部因素及其變動,及時評估操作風險的各項要求。
第十三條 商業銀行應當選擇適當的方法對操作風險進行管理。
具體的方法可包括:評估操作風險和內部控制、損失事件的報告和數據收集、關鍵風險指標的監測、新產品和新業務的風險評估、內部控制的測試和審查以及操作風險的報告。
第十四條 業務複雜及規模較大的商業銀行,應採用更加先進的風險管理方法,如使用量化方法對各部門的操作風險進行評估,收集操作風險損失數據,並根據各業務線操作風險的特點有針對性地進行管理。
第十五條 商業銀行應當制定有效的程式,定期監測並報告操作風險狀況和重大損失情況。應針對潛在損失不斷增大的風險,建立早期的操作風險預警機制,以便及時採取措施控制、降低風險,降低損失事件的發生頻率及損失程度。
第十六條 重大操作風險事件應當根據本行操作風險管理政策的規定及時向董事會、高級管理層和相關管理人員報告。
第十七條 商業銀行應當將加強內部控制作為操作風險管理的有效手段,與此相關的內部措施至少應當包括:
(一)部門之間具有明確的職責分工以及相關職能的適當分離,以避免潛在的利益衝突;
(二)密切監測遵守指定風險限額或許可權的情況;
(三)對接觸和使用銀行資產的記錄進行安全監控;
(四)員工具有與其從事業務相適應的業務能力並接受相關培訓;
(五)識別與合理預期收益不符及存在隱患的業務或產品;
(六)定期對交易和賬戶進行覆核和對賬;
(七)主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度;
(八)重要崗位或敏感環節員工八小時內外行為規範;
(九)建立基層員工署名揭發違法違規問題的激勵和保護制度;
(十)查案、破案與處分適時、到位的雙重考核制度;
(十一)案件查處和相應的信息披露制度;
(十二)對基層操作風險管控獎懲兼顧的激勵約束機制。
第十八條 為有效地識別、評估、監測、控制和報告操作風險,商業銀行應當建立並逐步完善操作風險管理信息系統。管理信息系統至少應當記錄和存儲與操作風險損失相關的數據和操作風險事件信息,支持操作風險和控制措施的自我評估,監測關鍵風險指標,並可提供操作風險報告的有關內容。
第十九條 商業銀行應當制定與其業務規模和複雜性相適應的應急和業務連續方案,建立恢復服務和保證業務連續運行的備用機制,並應當定期檢查、測試其災難恢復和業務連續機制,確保在出現災難和業務嚴重中斷時這些方案和機制的正常執行。
第二十條 商業銀行應當制定與外包業務有關的風險管理政策,確保業務外包有嚴謹的契約和服務協定、各方的責任義務規定明確。
第二十一條 商業銀行可購買保險以及與第三方簽訂契約,並將其作為緩釋操作風險的一種方法,但不應因此忽視控制措施的重要作用。
購買保險等方式緩釋操作風險的商業銀行,應當制定相關的書面政策和程式。
第二十二條 商業銀行應當按照銀監會關於商業銀行資本充足率管理的要求,為所承擔的操作風險提取充足的資本。
第三章 操作風險監管
第二十三條 商業銀行的操作風險管理政策和程式應報銀監會備案。商業銀行應按照規定向銀監會或其派出機構報送與操作風險有關的報告。委託社會中介機構對其操作風險管理體系進行審計的,還應提交外部審計報告。
第二十四條 商業銀行應及時向銀監會或其派出機構報告下列重大操作風險事件:
(一)搶劫商業銀行或運鈔車、盜竊銀行業金融機構現金30萬元以上的案件,詐騙商業銀行或其他涉案金額1000萬元以上的案件;
(二)造成商業銀行重要數據、賬冊、重要空白憑證嚴重損毀、丟失,造成在涉及兩個或兩個以上省(自治區、直轄市)範圍內中斷業務3小時以上,在涉及一個省(自治區、直轄市)範圍內中斷業務6小時以上,嚴重影響正常工作開展的事件;
(三)盜竊、出賣、泄漏或丟失涉密資料,可能影響金融穩定,造成經濟秩序混亂的事件;
(四)高管人員嚴重違規;
(五)發生不可抗力導致嚴重損失,造成直接經濟損失1000萬元以上的事故、自然災害;
(六)其他涉及損失金額可能超過商業銀行資本淨額1‰的操作風險事件;
(七)銀監會規定其他需要報告的重大事件。
第二十五條 銀監會對商業銀行有關操作風險管理的政策、程式和做法進行定期的檢查評估。主要內容包括:
(一)商業銀行操作風險管理程式的有效性;
(二)商業銀行監測和報告操作風險的方法,包括關鍵操作風險指標和操作風險損失數據;
(三)商業銀行及時有效處理操作風險事件和薄弱環節的措施;
(四)商業銀行操作風險管理程式中的內控、檢查和內審程式;
(五)商業銀行災難恢復和業務連續方案的質量和全面性;
(六)計提的抵禦操作風險所需資本的充足水平;
(七)操作風險管理的其他情況。
第二十六條 對於銀監會在監管中發現的有關操作風險管理的問題,商業銀行應當在規定的時限內,提交整改方案並採取整改措施。
對於發生重大操作風險事件而未在規定時限內採取有效整改措施的商業銀行,銀監會將依法採取相關監管措施。
第四章 附則
第二十七條 政策性銀行、金融資產管理公司、城市信用社、農村信用社、農村合作銀行、信託投資公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、郵政儲蓄機構等其他銀行業金融機構參照本指引執行。
第二十八條 未設董事會的銀行業金融機構,應當由其經營決策機構履行本指引規定的董事會的有關操作風險管理職責。
第二十九條 在中華人民共和國境內設立的外國銀行分行,應當遵循其總行制定的操作風險管理政策和程式,按照規定向銀監會或其派出機構報告重大操作風險事件並接受銀監會的監管;其總行未制定操作風險管理政策和程式的,按照本指引的有關要求執行。
第三十條 本指引所涉及的有關名詞見附錄。
第三十一條 本指引自發布之日起施行。
附錄:《商業銀行操作風險管理指引》有關名詞的說明附錄
《商業銀行操作風險管理指引》
有關名詞的說明
一、操作風險事件
操作風險事件是指由不完善或有問題的內部程式、員工和信息科技系統,以及外部因素所造成財務損失或影響銀行聲譽、客戶和員工的操作事件,具體事件包括:內部欺詐,外部欺詐,就業制度和工作場所安全,客戶、產品和業務活動,實物資產的損壞,營業中斷和信息技術系統癱瘓,執行、交割和流程管理七種類型(進一步的信息可參閱《統一資本計量和資本標準的國際協定:修訂框架》,即巴塞爾新資本協定的“附錄7:損失事件分類詳表”)。
二、自我風險評估、關鍵風險指標
商業銀行用於識別、評估操作風險的常用工具。
(一)自我風險評估
自我風險評估是指商業銀行識別和評估潛在操作風險以及自身業務活動的控制措施、適當程度及有效性的操作風險管理工具。
(二)關鍵風險指標
關鍵風險指標是指代表某一風險領域變化情況並可定期監控的統計指標。關鍵風險指標可用於監測可能造成損失事件的各項風險及控制措施,並作為反映風險變化情況的早期預警指標(高級管理層可據此迅速採取措施),具體指標例如:每億元資產損失率、每萬人案件發生率、百萬元以上案件發生比率、超過一定期限尚未確認的交易數量、失敗交易占總交易數量的比例、員工流動率、客戶投訴次數、錯誤和遺漏的頻率以及嚴重程度等。
三、法律風險
法律風險包括但不限於下列風險:1.商業銀行簽訂的契約因違反法律或行政法規可能被依法撤銷或者確認無效的;2.商業銀行因違約、侵權或者其他事由被提起訴訟或者申請仲裁,依法可能承擔賠償責任的;3.商業銀行的業務活動違反法律或行政法規,依法可能承擔行政責任或者刑事責任的。