第一篇：我国银行操作风险管理论文

摘要：随着金融管制的放松，银行经营业务范围及产品进一步多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理迫在眉睫。目前，我国银行业普遍存在着内部控制不完善的问题，导致了操作风险的频发，主要原因是银行业内部体制不健全，操作风险管理意识薄弱，因此，应在内部控制体系的构建入手，设计出一套适合我国商业银行操作风险的管理体系。

关键词：操作风险；公司治理结构；内部控制

长期以来，社会各界对银行业的风险管理都聚焦于信用风险和市场风险，而对操作风险并未予以足够的重视，对其认识和管理都处于较低水平。然而，随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理也迫在眉睫。在此背景下，2004年的巴塞尔新资本协议规范了操作风险的定义①，并提出操作风险的最低资本要求，为各国银行业加强操作风险管理敲响警钟和提供指导；中国银监会于2007年6月发布了《商业银行操作风险管理指引》（以下简称《指引》），为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。

一、我国银行业操作风险危机四伏

受旧体制等不利影响，我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。

通过综合分析我国银行业操作风险损失事件，其具有的特点主要有：

1．操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈，其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式，并且这种类型的损失事件一旦发生，就具有单笔损失金额大和社会影响力大的特点。

2．操作风险大都发生在基层分支机构，且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构，总、分行则更偏重于行使管理职能，当分支机构距离较远、受到的监管较弱时，分支机构的一些违规操作就不易被发现，操作风险发生的可能性就更大。

二、我国银行业操作风险的影响因素

目前，我国银行业普遍存在内部控制制度不完善的问题，这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在：

1．操作风险管理意识薄弱。目前，我国银行业的主营业务仍以信贷为主，因此银行风险管理的焦点都集中于信用风险，而对于操作风险，从管理层到基层员工对其管理的意识都有待于提高。

2．操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门，对其管理主要是依靠非专业部门负责，以定性管理为主，主要依赖专家的主观判断，缺乏科学和专业的管理。此外，根据巴塞尔新资本协议，用于计算监管资本的内部操作风险计量法，必须建立在对内部损失数据至少5年的观察基础上，而我国由于缺乏数据，很少采用定量分析控制操作风险的科学方法。

3．分行制的组织形式不利于监管。我国银行主要采用分行制，该体制下的直线管理职能削弱了内部控制的力度和有效性，各层次的负责人横向权利过大，为操作风险的孕育提供了空间。

4．管理体系不完善。我国银行业普遍存在管理层次多而繁杂，各层次权责不清，缺乏相互制衡、权责明晰和相互独立的管理体系，容易出现管理的真空地带和重复低效管理。

5．管理制度不健全。我国银行业风险管理所需的制度建设不健全，现有的制度大都流于形式，存在不切实际、难以执行的问题，此外，仍有部分正常经营所必备的规章制度缺位，导致管理盲点的存在。

三、完善我国银行业操作风险管理体系

由于我国银行业对操作风险的重视长期不足，导致银行对操作风险的管理长期处于低效率和不足的水平。因此，克服各种不利因素，及时建立完善的操作风险管理体系，具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系，因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合ＣＯＳＯ委员会关于内部控制五要素的阐述和银监会发布的《指引》，设计一套适合我国银行业操作风险管理的体系。

ＣＯＳＯ委员会所述的内部控制包括五要素：控制环境、风险评估、控制活动、信息与沟通和监控，以下分别从这五方面构建操作风险管理体系。

（一）控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化，影响银行内部各成员的风险意识，关系着风险管理控制制度的贯彻和执行。

《指引》指出，操作风险管理需要创造一个良好的控制环境。首先，银行董事会应充分了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类别，努力促进这种公司文化的建立，并且提供充足的资源支持在各职能部门实施操作风险管理，还应当把操作风险管理纳入到业绩评估程序中，强调风险管理为银行关注重点。其次，应建立一个能够有效执行操作风险管理框架要求的组织架构，该组织架构应明确界定各职能部门的责权关系、上下级报告关系，并且制定严格的监管审计制度。最后，应根据本行对操作风险的承受能力，制定规范的操作风险管理政策，该政策应对存在于本行各类业务中的操作风险进行界定，列明本行操作风险的具体构成，应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。

（二）风险评估

风险评估是指操作风险管理部根据职能部门的信息，识别、量化和分析相关风险以实现既定目标，从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统（如图1所示）：　1．风险识别子系统

风险识别子系统的作用是将操作风险进行定义和分类，它的主要部分是“知识库”。“知识库”是一种风险映射，将职能部门的业务与风险类别之间建立对应关系。具体来说，“知识库”将银行业务分为若干个风险档次，并将所有的业务归类到相应的风险档次之中，并存储在数据库的相应位置。

2．风险计量子系统

风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上，利用“模型库”中的风险计量模型对风险进行量化，将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险，“模型库”再将风险计量模型计算机程序化，即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标，在“模型库”计算出风险值之后，“预警库”就可以对实际风险承担与预先设定的风险限额自动比较，若发生超限额的情况，“预警库”会将该信息同时反馈到风险评价子系统中，实现实时风险监控的功能。

3．风险评价子系统

风险评价子系统主要提供风险汇总报告，并对各职能部门风险承担状况进行评价，为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果，根据指定的报告模式进行综合汇总，为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析，通过对具体风险的分析评价，提出风险改进意见。

总的说来，风险评估系统中，风险识别子系统归类操作风险，风险计量子系统量化操作风险，评价子系统评价并报告操作风险。这一系列活动的完成，关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点，设计出自己的风险管理程序，或者直接从专业公司引进成熟又适合自身的风险管理系统。

（三）控制活动

控制活动是指那些有助于管理层决策顺利实施的政策和程序，主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。

首先，《指引》明确规定了各组织层次在操作风险管理系统中的职责，以便整个系统有条不紊的运作，各层次的职责具体为：银行高层负责制定操作风险管理的战略和总体政策；风险管理委员会建立风险管理的操作方法；各职能部门具体实施。

其次，对各职能部门活动的控制分为两个层次：第一个层次是各职能部门，应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况，及时通报重大操作风险事件；第二个层次是操作风险管理部门应当提供风险预警指标，将风险限额建立在各业务部门的不同的层面，然后为每个关键风险指标设定门槛值，一旦风险值超过门槛值则启动预警系统。

最后，操作风险部门应当对于超过门槛值的采取必要的整改措施，及时修正执行中的偏差。

（四）信息与沟通

各职能部门的信息沟通是整个操作风险系统的基础，系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部，才能及时进行信息分类。《指引》规定，职能部门应当根据统一的操作风险管理评估方法，建立持续、有效的操作风险报告程序，从制度上建立有效的信息和沟通机制。此外，《指引》要求建立案件查处和相应的信息披露制度，通过对案件查处的信息披露有良好的警示作用，对案件的及时总结能有效地避免同类风险事件的发生。

（五）监控

监控的核心在于监控的制度性和监控的独立性。《指引》规定，监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系，清晰的监控系统可以明确监管者的责任范围，而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立，不能存在从属关系，应当受董事会或其下属的审计委员会直接领导。

与此同时，银行还需要对其内部监管人员进行严格培训，使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控，及时预见潜在风险并极力阻止其发生，实现银行操作风险的有效管理。

参考文献：

[1] 阎达五，宁建波．双元控制主体构架下现代企业会计控制的新思考[Ｊ]．会计研究，2000．

[2] 钟伟．论跨国银行操作风险管理模型的新进展[Ｊ]．学术月刊，2004．

[3] 钟伟．新巴塞尔协议和操作风险高级衡量法框架[Ｊ]．金融与经济，2005．

[4] 樊欣，杨晓光．操作风险管理的方法与现状[Ｊ]．证券市场导报，2003，（6）：64－6．

[5] 钟伟，王元．略论新巴塞尔协议的操作风险管理框架[Ｊ]．国际金融研究，2004．

[6] 赵家敏，张倩．银行操作风险计量与管理综合模型研究[Ｊ]．国际金融研究，2004．

第二篇：浅析如何加强银行柜面操作风险管理

如何加强银行柜面操作风险管理

银行柜面操作风险是指银行柜员为客户办理账户开销、现金存取、支付结算等业务过程中，由于风险控制失效使银行或客户资金遭受损失的风险，是银行操作风险的主要领域。

一、银行柜面操作风险的分类和特点

（一）分类。根据《巴塞尔新资本[1.48 0.00%]协议》的定义，操作风险是指由于不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险。在实际工作中，操作风险可以分为四类：一是人员因素引起的操作风险，包括操作失误、违法行为、关键人员流失等情况；二是流程因素引起的操作风险，包括流程设计不合理和流程执行不严格两种情况；三是系统因素引起的操作风险，包括系统失灵和系统漏洞两种情况；四是外部事件引起的操作风险，主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。柜面操作风险一旦发生，损失将是巨大的。只有通过柜面业务流程的再造，建立起防范操作风险的动态管理体系，才能将风险管理执行到位。

（二）特点。银行柜面操作风险主要呈现以下特点：一是多样性。柜面操作风险的形成有的是由于内部的管理机制不健全所造成的，有的是由于柜员风险意识和能力不足所造成的，有的则是内部人员或内外勾结作案，呈现多样化的特征。二是破坏性。柜面操作风险涉及的种类多样，覆盖面广，加上近年来银行柜面风险所引发的案件层出不穷，涉案的金额也越来越大，给社会、金融行业、柜员及客户均带来一定程度的负面影响或损失。三是不可预知性。银行柜面由于人员多、流程多、业务量大，因此其风险也无处不在、无时不有。四是影响大。与信贷风险、政策风险等其他风险相比，柜面业务操作风险带来的经济损失相对较低，但带来的影响却很深远，对外造成的社会影响较为恶劣，对品牌形象损毁巨大。

二、产生银行柜面操作风险的原因

近年银行发生的柜面业务案件的统计结果显示，柜面操作风险的易发环节主要集中在现金、重要物品和账户等三个部位。产生柜面操作风险的原因不外乎主观因素和客观因素两个方面。

（一）主观因素。产生柜面操作风险的主观因素，主要有三个：一是风险意识淡薄。柜员没有养成合规操作理念、忽视制度约束，管理者对风险文化培育不够，银行风险文化没有成型。二是业务素质不高。柜员自身业务素质不能适应业务变化，导致部分员工操作起来力不从心，风险识别和预防能力下降。三是责任 意识不强。表现为玩忽职守、随意操作，柜面管理人员对柜员管理不严，柜员违规违章操作。四是侥幸心理作祟。柜员如有侥幸心理，就会在操作时逐渐进行不合理的简化操作，从而滋生越来越多的操作风险。

（二）客观因素。主要有以下几个方面：一是人员不足。基层机构因人员不足多有兼职多岗和混岗操作的现象，自然存在柜面操作风险。二是存在制度漏洞。各类新业务不断出台，但银行未对旧的制度体系及时更新，造成制度缺陷，进而形成风险隐患。三是系统设计缺陷。随着新制度的实施，系统不能随时联动更新，系统与制度的契合度不够。四是柜员执行力不强。基层机构内部控制管理不善，执行制度或落实措施不到位。此外，柜面操作风险管理体制也会引发柜面操作风险的因素之一，因管理关系不理顺，职责分配不清晰，从而产生柜面操作风险。

三、防范银行柜面操作风险的措施

防范柜面操作风险的重点，是全力构建全员合规的风险防范体系建设，强化业务培训与监督整改，建立一种长效机制。

（一）培育风险理念。在《商业银行操作风险管理指引》框架下，把操作风险作为风险管理的核心内容和基础工作纳入操作风险文化建设规划。同时，加强操作风险管理理念推广，开展操作风险识别、分析、度量和控制培训，提高全员操作风险意识。而在思想认识上，则要引导树立科学的政绩观和发展观，倡导诚信经营、合规经营、稳健经营，树立“控制风险也是创造效益”的意识，推进内部风险控制的长效机制建设。

（二）完善操作风险内控体系。再造柜面交易操作风险控制流程，完善事前控制、事中控制和事后控制系统，实现全程均衡管理。建立严密分级授权体系、机构和岗位操作风险评价机制，对不同业务进行不同层次的业务授权，确保内控涵盖内部治理和经营活动的各个层级和各个环节。及时做好制度梳理工作，增强制度的有效性。要加强创新业务和产品的风险管理，配套制定较为完善的制度和操作规程，有效评估和防范新业务和新产品的风险。

（三）加强员工管理。建立操作风险内控激励机制，实现责任与激励的平衡，健全正向激励机制和责任追究机制。加强业务培训，针对制度、业务、流程特点开展培训，保证柜员熟悉制度要求、业务操作和风险要点。加强理想信念、职业道德和法纪观念教育，加强与员工的交流沟通，增强员工的归属感和责任感。

（四）加快应用信息技术防范柜面操作风险。建立先进的业务处理系统和综合管理系统，提升风险管理的信息化水平，实现事前不相容岗位制约、实时交易 控制、实时业务监测、深度数据分析、风险定位与风险度评估等的自动化处理，有效提高操作风险事后监督效能。提高柜面操作风险的技防水平，配备必要结算器具，推行电子印鉴、支付密码等系统，通过信息技术手段有效防范操作风险的发生。

（作者单位：建行山东省分行）

基层银行“操作风险”的控制

【摘要】笔者基于对某市基层银行的大量调研，分析了基层银行在操作风险管理上存在的四大问题和银行操作风险产生的本质原因，提出了控制基层银行操作风险的对策。

【关键词】操作风险；制度；基层银行

信用风险、市场风险、操作风险是银行业面临的三大风险。长期以来，信用风险、市场风险一直是银行风险管理的主角，只是近年来银行操作风险案件的频发才使操作风险的控制逐渐受到全球银行界的高度重视。如美国所罗门兄弟公司因账务处理错误形成的6000万美元的损失，日本大和银行因操作风险控制制度缺失导致的11亿美元的损失。我国此类案件也不乏其数，如中行的“高山卷款10亿潜逃案”，建行的“吉林5.4亿金融诈骗案”，农行的“邯郸金库5500万被盗案”等。

巴塞尔委员会将商业银行操作风险定义为：由于内部程序、人员、系统的不完善或失效，或由于外部事件的影响，造成直接或间接损失的风险。操作风险的特征是：覆盖范围广，成险概率高，人为因素大。这一风险时刻伴随着商业银行经营过程的始终，关系到商业银行的生存和发展，是不得不研究的课题。而“操作”主要由基层来完成。

一、基层行操作风险管理中存在的主要问题

（一）综合柜员制下的操作风险

1.在综合柜员制下，柜员单人为客户提供金融服务，业务品种增加、业务量增大、劳动强度也不断增大，高强压力下，稍有放松便可能出现差错形成风险。新业务知识和新操作技能的欠缺也是造成操作风险的一个重要原因。

2.职业道德因素引发的操作风险。有些柜员由于工作态度不认真、操作不经心，导致操作失误。柜员之间、柜员和主管授权人员之间互不防范，也造成风险隐患。

3.考核激励模式的偏异性。股改上市后，许多行在经营转型上逐渐向营销创利这一重心转移，对基层网点的考核更注重规模指标和速度指标。这种导向必然造成柜员把主要精力用于营销而忽视业务质量，潜在的风险越积越重。

4.基层网点柜员更换频繁。近几年，新入行的员工大多被安排到操作一线，他们虽然学历较高，但工作能力不强，刚刚熟悉业务，又被充实到其他岗位了。周而复始，基层行成为新员工的培训基地，这也增加了操作风险。

（二）重事后管理，轻事前防范

在这种理念的支配下，银行看重的是对已发生或已存在风险的事后惩处，试图以严厉的处罚遏制风险的出现，而对事前的防范和事中的控制关注较少。

（三）基层行存在有章不循、违章操作的问题

员工由于风险防范意识薄弱，不能严格履行岗位职责，信任代替纪律、习惯代替制度、情面代替管理的现象较普遍。

（四）股改后“人情机制”仍未打破

盘根错节的人际关系网使商业银行难以按照现代商业银行的制度规范进行资源的调配和管理，导致效率低下、风险频发。

二、操作风险产生原因的深层探讨

虽然“基层”是“操作”的前台，但操作风险产生的根本原因，绝不在“基层”本身。

（一）商业银行体制上实现了与国际的接轨，但相关风险监管理念却没有跟进

在封闭经济条件下，商业银行的操作风险并不突出，虽然国有银行也曾因内部控制等的不完备或失效，或某一外部事件的影响，造成直接或间接损失，但无论从损失的额度还是影响力来看，与今天相比都只是小巫见大巫。“接轨”使银行面临巨大的竞争压力，银行不得不迅速拓展业务范围，这为其带来机遇的同时也带来了风险，而风险监管的理念却没有及时跟进。

（二）风险内控制度缺失

操作风险的性质决定其产生大多与内部人为控制因素有关，因此控制操作风险的关键是内部控制制度的完善。而良好的内控制度是建立在良好的内部治理结构基础上的，良好的内部治理结构又依赖于明晰的产权关系。虽然上市的商业银行产权关系相对明晰，但国有体制的惯性还没有彻底消除。

（三）没有形成内部控制文化

操作风险是一种几乎覆盖银行所有部门、所有人员的全方位风险。国内外统计研究发现，大部分的损失事件是由处于业务第一线的工作人员造成的，所以必须制定出全体员工“愿意”遵守的统一的、权威的、全面的规章制度。而这“愿 4 意”是出自心灵、发自肺腑，源于浓厚的企业文化。不形成内部控制的文化，根本无法控制源于每个人、甚至每个岗位的操作风险。

（四）缺乏市场约束和外部监管机制

国外大都有权威的评级机构，通过其对银行各项指标的收集、分析、判断，向公众及时提供有效的信息，从而对银行形成外部监督和约束。同时由于存在发达的控制权市场和经理人市场，市场并购的压力也使高管人员无法对操作风险掉以轻心。而以上两方面我国都不健全，就使得操作风险的控制缺乏外部促动力。

三、基层行控制操作风险的措施

（一）建立适合基层行自身特点的风险管理组织体系

基层行要建立适合自身风险管理的独立的组织体系，增强内控机制的活力；要建立鼓励员工主动发现和报告风险的机制，及时传递风险信息，使风险发生概率降到最低。

（二）健全操作风险管理制度，提高风险管理水平

1.规范业务操作流程。对业务操作全过程应遵守的各类规章制度和操作环节制定出详细、明确的操作流程，达到可控、流畅、细化和可操作。

2.完善和细化岗位责任制，强化风险责任的追究制度。对岗位职责进行科学、严密的划分，完善岗位之间业务结合点的权限、责任，建立一种相互配合、相互监督、相互制约的内控制度。对有章不循和违规操作的要严格地追究、严厉地处罚。

3.建立行之有效的奖惩机制，做好激励引导。通过激励制度使员工的报酬与风险控制挂钩，使员工在追求个人利益最大化的同时实现风险的可控。

（三）将操作风险纳入管理文化建设中，打造基层行操作风险管理文化

基层行要精心打造适合自身特点的操作风险管理文化，建立一种融现代商业银行经营思想、管理理念、风险控制、风险道德标准与风险管理环境要素于一体的企业文化，强化全员风险意识，引导员工树立对风险管理的认同感，使其真正意识到防范操作风险人人有责。

1.加强职业道德教育、提高员工素质，尤其对于新入行员工，要在他们踏上工作岗位的第一天，就将内控文化理念灌输到他们的思想中，为操作风险的防范做好最基本的准备。

2.加强内控安全意识教育。一方面要提高员工对内控安全重要性的认识；另一方面，通过认真解析一些典型案例，强化柜员自觉规范操作的意识。

3.强化内控优先的意识。正确处理业务发展与制度执行的关系，将内控贯穿于业务发展的全过程，克服制度阻碍业务发展的偏见，自觉执行各项规章制度。

（四）建立健全内部监督检查机制，切实消除风险隐患

1.加强运行督导，认真做好网点业务的检查工作。针对工作中存在的薄弱环节，采取定期检查、不定期检查、突击检查、全面检查、重点抽查、监控系统检查等多种检查方式，对大额业务、反交易业务、特殊业务要进行单独检查。

2.明确总会计、营业经理职责，强化业务操作风险的现场监控。总会计、营业经理应坚持对每一笔业务进行科学合理的检查和监管，做好事前控制和事中监管，把好风险防范的关口。

3.认真做好事后监督工作。监督中心要严格按照有关操作规程和规定，认真履行监督职责，加强对重点网点、重要柜员、重点时间、重要业务、重要环节的监督，特别是对大额资金流向、柜员办理本人业务、错账冲正、反交易、内部账户取现等业务做到重点监督。对发现的问题，严厉查处，以防再犯。

4.加强对监督检查人员的管理。对总会计、运行督导员、营业经理等管理人员职责履职情况进行定期或不定期检查并形成制度，以约束其行为、提高风险管理水平。

第三篇：银行操作风险管理政策

ⅩⅩ银行操作风险管理政策

目

录

第一章 总则..............................................................................................3

第一条 【宗旨】.............................................................................................................3

第二条【定义】...............................................................................................................3 第三条【操作风险的主要类别】...................................................................................3 第四条【适用范围】.......................................................................................................4 第五条【操作风险管理的工作目标】...........................................................................4

第二章 操作风险管理的组织框架与职责分工......................................4

第六条【架构原则】.......................................................................................................4

第七条【董事会及其风险管理委员会】.......................................................................5 第八条【高级管理层】...................................................................................................6 第九条【分行管理层】...................................................................................................7 第十条【风险管理部】...................................................................................................7 第十一条【各业务条线和职能部门】...........................................................................7 第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】.......9 第十三条【内部审计部门和纪检监察部门】...............................................................9

第三章 操作风险管理制度......................................................................9

第十四条【范畴】...........................................................................................................9

第十五条【制度体系】...................................................................................................9 第十六条【操作风险管理政策】.................................................................................10 第十七条【操作风险管理基本制度】.........................................................................10 第十八条【内部控制制度】.........................................................................................10 第十九条【紧急事故应急处理制度】.........................................................................10 第二十条【业务（操作风险管理）细则】.................................................................11 第二十一条【对分支行业务（操作风险管理）细则的特别规定】.........................11 第四章 操作风险管理流程和技术........................................................12

第一节 业务标准操作流程管理...........................................................................................12 第二十二条【基本思路】.............................................................................................12 第二十三条【职责】.....................................................................................................12 第二节 操作风险识别与评估...............................................................................................12 第二十四条【操作风险识别】.....................................................................................12 第二十五条【操作风险评估】.....................................................................................13 第二十六条【操作风险控制自我评估（RCSA）】.......................................................13 第三节 操作风险控制与缓释...............................................................................................14 第二十七条【操作风险应对措施】.............................................................................14 第二十八条【外包】.....................................................................................................14 第二十九条【保险】.....................................................................................................14 第四节 操作风险监测与报告...............................................................................................14 第三十条【操作风险监测】.........................................................................................14 第三十一条【关键风险指标】.....................................................................................15 第三十二条【操作风险报告】.....................................................................................15 第三十三条【操作风险预警】.....................................................................................15 第三十四条【操作风险事件举报】.............................................................................15 第五节 操作风险管理系统...................................................................................................16 第三十五条【操作风险管理系统】.............................................................................16 第六节 操作风险资本管理...................................................................................................16 第三十六条【监管资本】.............................................................................................16 第三十七条【经济资本】.............................................................................................16 第七节 配合监管...................................................................................................................17 第三十八条【政策程序报备】.....................................................................................17 第三十九条【提交报告】.............................................................................................17 第四十条【配合检查】.................................................................................................17 第四十一条【整改】.....................................................................................................17 第五章 操作风险管理文化....................................................................18

第四十二条【操作风险管理文化】.............................................................................18 第四十三条【传达】.....................................................................................................18 第四十四条【业务培训】.............................................................................................18 第四十五条【操作风险管理人员培训】.....................................................................18 第四十六条【全员操作风险管理培训】.....................................................................18 第四十七条【操作风险管理考核及奖惩】.................................................................19 第六章 附则............................................................................................19

第四十八条【重检】.....................................................................................................19 第四十九条【解释】.....................................................................................................19 第五十条【实施】.........................................................................................................19 附件：名词解释......................................................................................20

一、操作风险来源.........................................................................................................20

二、固有风险与剩余风险.............................................................................................20

三、可能性和影响性.....................................................................................................21

四、操作风险应对措施.................................................................................................21

五、关键风险指标（Key Risk Indicator，KRI）...................................................21

六、风险映射.................................................................................................................22

七、操作风险控制自我评估（RCSA）.........................................................................22

八、操作风险损失（事件）数据库.............................................................................22

九、风险地图（Risk Map）.........................................................................................23

第一章 总则

第一条 【宗旨】

根据董事会确定的发展战略和风险管理总目标，以及中国银行业监督管理委员会《商业银行操作风险管理指引》，参考国际银行业操作风险管理的经验，特制定本操作风险管理政策。

制定操作风险管理政策的主要目的是建立科学、完善的操作风险管理体系，指导和规范我行的各类业务活动和操作风险管理工作，实现对操作风险及时、全面、统一、有效的监控，将其控制在可承受的范围内，使我行获取经风险调整后的最大经营回报。第二条【定义】

操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险。第三条【操作风险的主要类别】

我行所面对的主要操作风险，包括但不限于以下几类：

（1）内部欺诈：指因至少涉及我行内部一名员工的故意欺诈、盗用我行资产或违反法律/条例/银行政策等而造成损失的风险。

（2）外界诈骗：指因外界人员故意欺诈、盗用我行资产或违反法律而造成损失的风险。

（3）雇佣事项及工作场所安全性：因违反雇佣、健康、安全的法例或协议而造成损失，以及因支付个人伤亡索偿等行为而造成损失的风险。

（4）客户、产品及业务方式：因疏忽或非故意差错而未按专业守则对待指定客户（包括信托及恰当性方面的要求）、或因产品的性质/设计上的问题等造成损失的风险。

（5）有形资产的损坏：因自然灾害或其它事故导致实物资产损坏或人员伤亡造成损失的风险。

（6）业务中断及系统故障：因业务中断或系统故障而造成损失的风险。（7）操作流程管理： 因在我行操作流程中由于操作差错或流程设计、维护失误，或由于不充分或失败的内部工作流程所造成的风险。第四条【适用范围】

本政策适用于中国ⅩⅩ银行全辖。第五条【操作风险管理的工作目标】

我行操作风险管理的基本目标是在坚持依法合规经营、加强内部控制的基础上，进一步完善操作风险衡量方法、管理工具及政策体系，减少或缓解操作风险损失，将操作风险控制在适当水平，为业务发展提供健康的内部运营环境。具体目标包括：

（1）充分识别和持续监测我行面临的各类操作风险，清晰了解操作风险管理的状况及存在的问题；

（2）在合理评估的基础上，合理应对各类操作风险，保证风险与收益的平衡；（3）建立操作风险关键风险指标体系，实现对操作风险的分析、预警，事先风险控制的前移；

（4）通过建立和完善操作风险损失事件数据库及操作风险管理计量模型来实现操作风险管理能力的提升，并通过更为精确的资本计量来有效节约资本；（5）降低突发性事件的冲击，保证业务正常和持续开展。

第二章 操作风险管理的组织框架与职责分工

第六条【架构原则】

操作风险管理体系是我行全面风险管理体系的组成部分。根据监管要求和本行全面风险管理体系建设的总体规划，对于操作风险管理，我行采取在董事会确定的操作风险管理政策指导下和高级管理层领导下的、三道防线为基础的、层次化的操作风险管理架构：

（一）董事会为操作风险管理的最终负责人，高级管理层领导全行的操作风险管理工作，分（支）行管理层负责本机构范围内的操作风险管理，分行行长是操作风险管理的第一责任人；

（二）总分行各业务部门、职能部门作为防范操作风险的第一道防线，是本部门/条线操作风险的直接承担者和管理者，负有对操作风险进行管理的第一责任；

（三）总分行风险管理部（含风险条线派驻各业务条线的机构）、法律合规部等作为防范操作风险的第二道防线，负责操作风险管理体系的构建和相关操作风险管理工作的统筹、支持和督促工作；

（四）内部审计部门和纪检监察部门作为防范操作风险的第三道防线，其中内部审计部门负责对操作风险管理体系的运行情况进行审计，并依照规定揭示和报告审计过程中发现的问题。纪检监察部门对有关案件进行查处和责任认定，并对有关责任人进行问责。

第七条【董事会及其风险管理委员会】

董事会应将操作风险作为我行面对的一项主要风险加以管理，对操作风险管理体系实施有效监控，并承担操作风险管理的最终责任。主要职责包括：（1）制定与整体战略目标相一致、适用于全行的操作风险管理战略，并确定本行可以承受的操作风险水平（风险偏好）；

（2）批准并定期审核全行的操作风险管理政策，确定有效的操作风险管理组织架构，架构中应涵盖清晰的职责划分以及明确的报告流程；

（3）定期审阅高级管理层提交的操作风险报告，了解本行操作风险管理的总体状况及重大操作风险事件，监控和评价操作风险管理的全面性、有效性；（4）督促和确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（5）确保本行操作风险管理体系受到内审部门的有效监督；

（6）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系建设。董事会可授权其风险管理委员会履行以上部分职能。第八条【高级管理层】

高级管理层负责执行董事会批准的操作风险管理战略和政策。主要职责包括：（1）根据董事会制定的操作风险管理战略，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程；

（2）及时了解本行操作风险管理的总体状况及重大操作风险事件，并定期向董事会提交操作风险报告；

（3）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责；

（4）及时了解操作风险水平及其管理状况，并为操作风险管理配备适当的资源，确保银行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类操作风险；（5）在外部市场及其他环境发生重大变化或出现新的产品、业务、信息科技系统时，及时对操作风险管理体系进行检查和修订；（6）审批重大操作风险控制/缓释方案。

主管风险副行长按照高级管理层的内部分工直接领导全行的操作风险管理工作，其在操作风险管理中的主要职责包括：

（1）根据授权审核、审批操作风险相关制度、工作方案；

（2）监督操作风险管理状况及成效，定期向行长及董事会风险管理委员会报告操作风险管理状况及成效；

（3）牵头组织落实操作风险管理体系建设的重要措施；（4）根据行长授权协调重要的跨部门操作风险管理工作；（5）负责推动操作风险管理队伍建设。

其他行领导直接领导所主管业务范围内的操作风险管理工作，其在操作风险管理中的主要职责包括：

（1）制定主管范围内各条线和职能部门改善操作风险管理的工作重点；（2）督促主管范围内各条线和职能部门配备适当的资源并按照要求进行操作风险管理；

（3）对主管范围内各条线和职能部门制定的业务操作风险管理细则、操作风险事件处理方案等进行审批。第九条【分行管理层】

分行行长作为分行操作风险管理的第一负责人，负责建立分行层面的操作风险管理体制；提升操作风险报告的全面性、及时性和有效性；推进操作风险与控制自我评估等操作风险管理工作在分行层面的贯彻落实。

分行风险总监作为专业风险管理者，应协助分行行长开展操作风险管理工作。分行其他行领导直接领导所主管业务范围内的操作风险管理工作。第十条【风险管理部】

总行风险管理部作为操作风险管理的牵头部门，主要职责包括：

（1）负责拟定、回顾、修订我行操作风险管理政策，报资产负债管理委员会及董事会风险管理委员会批准实施；

（2）根据董事会确定的战略与政策，协调、指导、督促各部门识别、评估、监测和控制操作风险；

（3）建立操作风险管理报告机制，收集及分析操作风险事件及损失数据，定期及不定期编制操作风险统计和分析报告，并就如何弥补损失提出建议，使董事会及高级管理层能全面、及时、准确地掌握各项重大操作风险及其成因、影响，以能采取有效的防范及降低风险的措施；

（4）根据银行业监管机构的要求，研究、落实应用计量操作风险的技术方法及程序。

总行风险条线向各业务条线派驻的风险管理机构/岗位，应组织、指导、督促相应条线识别、评估、监测和控制操作风险，并按照双线报告的要求进行报告。分行风险管理部应组织、指导、督促分行各条线及职能部门识别、评估、监测和控制操作风险，并及时将风险状况按照风险管理报告机制向总行风险管理部进行报告。

第十一条【各业务条线和职能部门】

总分行各业务条线和职能部门对业务范围内的操作风险管理承担首要责任，各业务条线和职能部门负责人对本职范围内的操作风险管理负全责。各业务条线和职能部门有以下主要职责：

（1）在业务条线和职能部门内设立操作风险管理岗位，牵头负责操作风险管理的日常工作；

（2）制定并定期重检本部门的业务流程、内部控制制度、关键风险指标和相关业务政策，并确保其与全行操作风险管理政策的一致性；

（3）识别、评估、监测及控制本部门的操作风险，并督导下级行对口部门履行操作风险管理职责；

（4）及时、准确地按照风险管理报告机制向同级风险管理部门通报操作风险状况。

各业务条线和职能部门的操作风险管理岗人员的职责包括：

（1）在日常操作风险管理工作上，作为与本级风险管理部门沟通的主要联络人；

（2）牵头组织部内及本条线操作风险的识别和评估，并协助部门负责人拟订相应操作风险管理工作计划；

（3）对本部门起草/制定的、与操作风险管理相关的制度及实施细则进行审查并加签意见；

（4）统筹本部门操作风险监控及报告工作；

（5）参加风险管理部举行的操作风险管理会议及培训；（6）其他与操作风险管理有关的职责。

各业务条线和职能部门的操作风险管理岗原则上由业务条线和职能部门从具备以下条件中的人员中任命（分支行可适当放宽）：

（1）不少于五年的银行工作经验，在本部门业务领域任职（含本行及他行）一般不少于两年；

（2）熟悉本部门的主要业务（包括主要的产品、业务操作流程、计算机应用系统等）；

（3）对银行操作风险管理尤其是我行的操作风险管理政策、操作风险控制自我评估方法、操作风险报告制度等有一定的了解；

（4）管理序列副处长（含）以上或业务序列业务副经理（含）以上职级。各业务条线和职能部门任命或调整操作风险管理岗需及时报本级行风险管理部门备案。风险管理部门根据各部门操作风险管理岗人员的工作完成情况，认为现行人选不适任的，有权向该部门提出人员调整建议，该部门一般应及时进行调整。第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】 总分行法律合规、运营管理、信息科技、安全保卫、人力资源等部门，应在管理好本部门操作风险的同时，分别牵头负责总分行法律事务、运营管理、信息系统、安全保卫、人力资源等方面的操作风险管理，并为本行其他部门提供相关信息和支持。

第十三条【内部审计部门和纪检监察部门】

内部审计部门负责对银行操作风险管理体系的有效性进行审计，并向董事会报告操作风险管理体系的审计情况。

纪检监察部门负责对有关案件进行查处和责任认定，并对有关责任人进行问责。触犯刑法的，移送司法机关追究法律责任。

第三章 操作风险管理制度

第十四条【范畴】

本政策所称“操作风险管理制度”主要指单纯与操作风险相关的政策、制度及实施细则，对于涉及操作风险管理的内容但主要针对信用风险和／或市场风险的政策、制度及实施细则，原则上按照授信风险管理政策和/或市场风险管理政策的管理程序进行管理。第十五条【制度体系】

操作风险管理制度是指在前条所述范畴内规范我行操作风险管理各个方面的政策、制度、规程等规范性文件，它既包括对操作风险管理的流程、技术等进行规范的专门性规定，亦包括为了对各项业务中的操作风险点进行控制而单独编写或包含在有关业务办法、操作规程中的操作风险控制规范。

与操作风险层次化管理原则相适应，我行的操作风险管理制度亦进行分层化管理。我行的操作风险管理制度体系分为以下三个层次：（1）操作风险管理政策；（2）操作风险管理基本制度；（3）业务操作风险管理细则。第十六条【操作风险管理政策】

操作风险管理政策，即本政策，是我行操作风险管理的纲领性文件，构成我行其他操作风险管理制度制定的依据。

本政策经董事会风险管理委员会审批通过后颁布施行，风险管理部应不断研究操作风险的识别、评估、控制、监测的方法和操作风险的管理机制，并对本政策的实施效果进行评估，以便及时向高级管理层和董事会提出本政策的修改建议。

第十七条【操作风险管理基本制度】

操作风险管理基本制度是针对操作风险管理基本流程的某些环节或特定类型的操作风险制定的综合性制度文件，具体分为两个部分：

（1）针对操作风险管理流程的某些环节制定的基本制度，如操作风险自我评估制度、操作风险报告制度、操作风险关键风险指标管理制度等，原则上由风险管理部起草，经会签各相关部门后，报总行资产负债管理委员会审批后发布；

（2）针对特定类型的操作风险制定的基本制度，如内部控制制度、法律风险管理制度、会计操作风险管理基本制度、信息科技风险管理基本制度、紧急事故应急处理制度等，由总行各职能部门起草，经会签风险管理部及其他相关部门后，报总行资产负债管理委员会审批后发布。第十八条【内部控制制度】

内部控制制度是操作风险管理制度的重要组成部分。《中国ⅩⅩ银行内部控制管理制度》由总行法律合规部牵头制订和重检，各业务条线和职能部门应根据《中国ⅩⅩ银行内部控制制度》的规定，制定本部门/条线的内部控制细则。第十九条【紧急事故应急处理制度】

紧急事故应急处理制度是操作风险管理制度的重要组成部分，其目的在于保证我行在发生紧急事故时，可及时应变，采取措施，使业务得以继续运作，将影响和损失降到最低。我行设总行突发事件应急处置领导小组（下称“领导小组”），其主要职责是根据我行制定的紧急事故应变方案，在重大紧急事故发生时，指挥执行应变计划；领导全行各单位应急工作的开展及落实，保障我行员工生命安全及公司财产安全。

总行领导小组下设办公室，日常事务管理由办公室负责。总行领导小组办公室可根据银行业突发事件的处置需要设定相关的专业小组，如情报信息、新闻报道、专家咨询、法律顾问等小组，其具体职能可由相关职能部门承担。各部门应根据本身的实际情况，制定独立的紧急事故应变方案；并成立本单位的应急工作组，作为本单位突发事件应对工作的领导机构，负责统筹、策划、培训、测试、更新及执行应变方案。

各部门应按其主要业务及/或紧急事故的分类及性质，预先设计好向相关业务及职能部门要求协助处理的计划，以保证事发时及时沟通信息，解决问题，必要时通过领导小组协调解决跨部门问题。第二十条【业务（操作风险管理）细则】

业务（操作风险管理）细则是指针对具体业务中的操作风险点制定的控制/管理规范。各部门在制定各类业务细则时应充分考虑相关的操作风险管理的要求，并包含相关操作风险管理的内容。同时，各部门应定期对各项业务的操作风险进行识别和评估，并根据风险识别和评估的结果定期对业务（操作风险管理）细则进行重检和修订。

业务（操作风险管理）细则由各产品、业务的归口管理部门负责起草并经部门操作风险管理岗人员加签意见后，报本部门主管行领导审批同意后发布（其中不需要发布、仅限部门内部使用的细则，经部门负责人审批通过即可）。业务（操作风险管理）细则下发前一般应征求分行意见。

第二十一条【对分支行业务（操作风险管理）细则的特别规定】

各分支行可以根据总行的统一规定结合本行的实际制定有关业务（操作风险管理）细则，分支行业务（操作风险管理）细则不得违背总行的统一规定，确有必要突破的，应报经总行批准。第四章 操作风险管理流程和技术

第一节 业务标准操作流程管理

第二十二条【基本思路】

针对各类活动建立标准化的、可操作的和可追踪的操作流程并定期进行重检和修订是操作风险管理的重要基础。我行应建立针对各项产品、服务以及管理性、支持性活动的标准操作流程，并定期进行重检和修订。

标准作业流程一般由文字版业务管理办法或操作规程和附流程图的操作及合规索引文件共同构成，两者配套使用，并以文字版业务管理办法或操作规程为准。

第二十三条【职责】

文字版业务管理办法或操作规程的起草、会签、审批、发布和修订、解释按照《中国ⅩⅩ银行授信风险管理政策》《中国ⅩⅩ银行市场风险管理政策》以及本政策规定的有关职责进行。

附流程图的产品/业务操作及合规索引文件的制作和管理近期暂以风险管理部集中制作、业务部门提供内容并全面审核为原则，具体管理制度另行发布。

第二节 操作风险识别与评估

第二十四条【操作风险识别】

操作风险识别是指对我行经营活动和业务流程中可能影响银行经营绩效，可能给银行带来财务或非财务损失的所有内部或外部操作风险因素的识别，以便对其进行控制和管理。

操作风险识别是有效管理操作风险的基础环节，我行应当逐步建立和完善操作风险识别制度。各级机构和部门应当按照操作风险管理的相关制度要求，采用适当的工具，定期或不定期地进行操作风险识别。

操作风险识别应当保证及时性和充分性，同时建立相应的识别制度和机制：

（一）操作风险识别过程应当认真判断和分析银行所面临的内部因素（如银行的结构、战略目标、人力资源、组织机构、产品和服务、新设备和新系统的应用、人员流动等）和外部环境因素（技术进步、法律法规变化、行业变化、市场结构调整、经济周期性波动等）；

（二）各级机构和部门应当确保新产品、活动、流程和系统在实施推广前，对其相关的操作风险进行充分识别；

（三）对于操作风险事件损失影响程度较大或发生频率上升较快的产品，应当及时进行操作风险重检；

（四）对于外包的产品或活动，应当进行充分的操作风险识别;

（五）各业务、产品的重要操作流程在新制订或做重大修订时，应当进行操作风险识别。

第二十五条【操作风险评估】

操作风险评估是针对识别出的操作风险点进行衡量的过程。风险评估可以通过业务人员自我评估、内部独立评价、外部独立评价等方法来进行，风险评估的目的是提供对全行操作风险及操作风险管理总体状况的判断，并确定操作风险管理关注的重点领域和环节。

我行应当通过定性与定量相结合的方法，评估各类操作风险，通过采用关键风险指标、自我评估、外部独立评估和测试以及损失分布模拟等方法，建立操作风险评估体系。

第二十六条【操作风险控制自我评估（RCSA）】

操作风险控制自我评估（Risk &control self-assessment），指根据操作风险管理的基本原理，按照规定的工作流程，采用一定的方法，由对业务操作风险负直接责任的机构和部门组织对操作风险状况与控制效果进行的内部评价活动，是操作风险管理持续改进的基础工作和关键环节。

为构建操作风险管理长效机制，准确识别、评估和控制操作风险，有效降低我行面临的操作风险，我行应建立并推行操作风险控制自我评估制度，并作为操作风险识别评估的基本工具。有关制度办法由总行另行制定下发。

第三节 操作风险控制与缓释

第二十七条【操作风险应对措施】

各单位（总行各部门及各分支行）应根据风险识别及评估的结果对识别出来的操作风险点采取不同的管理方式：

（1）接受。对于根据我行的风险偏好认为可以接受的风险，可以接受并持续进行监控；

（2）控制。对于不可接受的风险，可以通过改进控制措施等方法来更好的控制风险水平，使之降到我行可接受的风险水平范围内；

（3）转移。在条件允许时，可以通过外包或保险将风险转移到银行外部；（4）规避。即对于不可接受的风险且无法更好的控制时，可以采用放弃业务、改变业务模式等方式来规避风险。

为保证所识别的操作风险得到妥善的应对，我行应建立操作风险管理行动方案机制，对于通过操作风险控制自我评估、关键风险指标、损失事件收集等工具发现的重要操作风险点或控制薄弱环节，及时制定相应的行动方案，并对方案的落实情况进行跟踪监测。第二十八条【外包】

在业务外包时，应确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确，有效防范外包带来的操作及其他风险。第二十九条【保险】

我行可根据自身操作风险大小选择购买保险，并将其作为缓释操作风险的一种方法，但不应因此忽视对操作风险的控制措施。

第四节 操作风险监测与报告

第三十条【操作风险监测】

操作风险监测是指通过对各类与操作风险相关的状况及信息的日常监测，对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。

我行应逐步开发并使用损失数据库、关键风险指标等工具监测操作风险。第三十一条【关键风险指标】

我行应逐步建立操作风险关键风险指标体系，并通过对关键风险指标的持续监测和报告，为操作风险管理提供早期预警。

各业务条线和职能部门及风险管理部门均应加强对关键风险指标的研究，鼓励各部门尝试引入关键风险指标对本部门/条线的操作风险进行监测和报告。关键风险指标的选择应遵循以下原则：（1）前瞻性原则，可以提供对操作风险的预测；（2）敏感性原则，能深入分析损失组合的变动情况；（3）可操作性原则，指标应易于理解并能方便获取所需数据；（4）全面性原则，尽量覆盖各主要业务条线及各主要的支持、辅助性活动；（5）重要性原则，在全面性原则下，应突出重要性原则，重点针对主要的风险领域。第三十二条【操作风险报告】

操作风险报告指各报告单位根据规定的内容、时间和程序，对操作风险事件和操作风险整体状态进行描述、分析和评价，并按照规定的报告路线进行报送。操作风险报告包括操作风险事件报告和操作风险综合报告。

操作风险报告的具体要求见《中国ⅩⅩ银行操作风险报告制度》。第三十三条【操作风险预警】

对于重大操作风险事件应及时向总分行风险预警委员会报告，具体规定另行下发。

第三十四条【操作风险事件举报】

我行每一个单位、每一位员工在各自的业务活动中都必须全面贯彻“操作风险管理人人有责”的原则，通过全行高度警觉的操作风险意识和审慎的业务操作来最大限度地控制和减轻操作风险。

同时任何单位和员工在认为有必要时均可直接向总行风险管理部门报告操作风险管理方面的异常情况。各单位和员工亦可通过其他渠道举报与操作风险有关的违规、违纪或其他重要信息，包括但不限于信访渠道、高管接待等。接到投诉或举报的部门、人员应及时进行处理。

第五节 操作风险管理系统

第三十五条【操作风险管理系统】

建设操作风险