发布时间 : 星期二 文章《银行业操作风险管理指引》银监发[2007]42号更新完毕开始阅读e9edb7c64028915f804dc2de
第十三条 商业银行应当选择适当的方法对操作风险进行管理。
具体的方法可包括:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。
第十四条 业务复杂及规模较大的商业银行,应采用更加先进的风险管理方法,如使用量化方法对各部门的操作风险进行评估,收集操作风险损失数据,并根据各业务线操作风险的特点有针对性地进行管理。
第十五条 商业银行应当制定有效的程序,定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度。
第十六条 重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。
第十七条 商业银行应当将加强内部控制作为操作风险管理的有效手段,与此相关的内部措施至少应当包括:
(一)部门之间具有明确的职责分工以及相关职能的适当分离,以避免潜在的利益冲突;
(二)密切监测遵守指定风险限额或权限的情况;
(三)对接触和使用银行资产的记录进行安全监控;
(四)员工具有与其从事业务相适应的业务能力并接受相关培训;
(五)识别与合理预期收益不符及存在隐患的业务或产品;
(六)定期对交易和账户进行复核和对账;
(七)主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度;
(八)重要岗位或敏感环节员工八小时内外行为规范;
(九)建立基层员工署名揭发违法违规问题的激励和保护制度;
(十)查案、破案与处分适时、到位的双重考核制度;
(十一)案件查处和相应的信息披露制度;
(十二)对基层操作风险管控奖惩兼顾的激励约束机制.
第十八条 为有效地识别、评估、监测、控制和报告操作风险,商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和
操作风险事件信息,支持操作风险和控制措施的自我评估,监测关键风险指标,并可提供操作风险报告的有关内容。
第十九条 商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并应当定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行。
第二十条 商业银行应当制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。
第二十一条 商业银行可购买保险以及与第三方签订合同,并将其作为缓释操作风险的一种方法,但不应因此忽视控制措施的重要作用。
购买保险等方式缓释操作风险的商业银行,应当制定相关的书面政策和程序。
第二十二条 商业银行应当按照银监会关于商业银行资本充足率管理的要求,为所承担的操作风险提取充足的资本。
第三章 操作风险监管
第二十三条 商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的,还应提交外部审计报告。
第二十四条 商业银行应及时向银监会或其派出机构报告下列重大操作风险事件:
(一)抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;
(二)造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;
(三)盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;
(四)高管人员严重违规;
(五)发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;
(六)其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件;
(七)银监会规定其他需要报告的重大事件。
第二十五条 银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。主要内容包括:
(一)商业银行操作风险管理程序的有效性;
(二)商业银行监测和报告操作风险的方法,包括关键操作风险指标和操作风险损失数据;
(三)商业银行及时有效处理操作风险事件和薄弱环节的措施;
(四)商业银行操作风险管理程序中的内控、检查和内审程序;
(五)商业银行灾难恢复和业务连续方案的质量和全面性;
(六)计提的抵御操作风险所需资本的充足水平;
(七)操作风险管理的其他情况。
第二十六条 对于银监会在监管中发现的有关操作风险管理的问题,商业银行应当在规定的时限内,提交整改方案并采取整改措施。
对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银行,银监会将依法采取相关监管措施。
第四章 附则
第二十七条 政策性银行、金融资产管理公司、城市信用社、农村信用社、农村合作银行、信托投资公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构等其他银行业金融机构参照本指引执行。
第二十八条 未设董事会的银行业金融机构,应当由其经营决策机构履行本指引规定的董事会的有关操作风险管理职责。
第二十九条 在中华人民共和国境内设立的外国银行分行,应当遵循其总行制定的操作风险管理政策和程序,按照规定向银监会或其派出机构报告重大操作风险事件并接受银监会的监管;其总行未制定操作风险管理政策和程序的,按照本指引的有关要求执行。
第三十条 本指引所涉及的有关名词见附录。
第三十一条 本指引自发布之日起施行。 附录:
《商业银行操作风险管理指引》有关名词的说明
一、操作风险事件
操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件,具体事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全,客户、产品和业务活动,实物资产的损坏,营业中断和信息技术系统瘫痪,执行、交割和流程管理七种类型(进一步的信息可参阅《统一资本计量和资本标准的国际协议:修订框架》,即巴塞尔新资本协议的“附录7:损失事件分类详表”)。 二、自我风险评估、关键风险指标
商业银行用于识别、评估操作风险的常用工具。
(一)自我风险评估
自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。
(二)关键风险指标
关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标(高级管理层可据此迅速采取措施),具体指标例如:每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。
三、法律风险
法律风险包括但不限于下列风险:1.商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的;2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的;3.商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的。