【導讀】ⅩⅩ銀行操作風險管理政策

　　

【正文】 、直轄市）范圍內(nèi)中斷 6 小時以上，嚴重影響正常工作開展的事件； （三）盜竊、出賣 、泄漏或丟失涉密資料，可能影響金融穩(wěn)定，造成經(jīng)濟秩序混亂的事件； （四）高管人員嚴重違規(guī)； （五）發(fā)生不可抗力導致嚴重損失，造成直接經(jīng)濟損失 1000 萬元以上的事故、自然災(zāi)害； （六）其他涉及損失金額可能超過 我 行資本凈額 1%的操作風險事件 ； （七）其他銀監(jiān)會規(guī)定需要報告的重大事件。 第 四十 條【配合檢查】 我行應(yīng)積極配合銀監(jiān)會及其派出機構(gòu)對我行及各分支機構(gòu)有關(guān)操作風險的政策、程序和做法進行 的 檢查評估。 第 四十一 條【整改】 對于銀監(jiān)會在監(jiān)管中發(fā)現(xiàn)的有關(guān)操作風險管理的問題，我行應(yīng)當在規(guī)定的時限內(nèi)，提交整改方案并采取 整改措施。 第 五 章 操作風險管理文化 第 四十二 條【 操作風險管理文化 】 我行操作風險管理文化 的 基本內(nèi)容是： （ 1）銀行是管理風險的機構(gòu)，通過對風險的有效管理創(chuàng)造價值，通過合理地承受風險來獲取與風險相匹配的回報。 （ 2） 主動合規(guī)， 合規(guī)零容忍。 （ 3）銀行 最大的風險是缺乏風險意識 和責任意識 。 （ 4）風險無處不在，風險管理人人有責。 （ 5）風險的早期預(yù)警有利于減少損失。 第 四十三 條【 傳達 】 我行必須運用足夠的資源及利用內(nèi)部各種溝通渠道，將操作風險的概念、政策及 管理 制度傳達到各級人員，樹立良好的操作風險管理創(chuàng)造價值的 理念，建立良好的風險管理環(huán)境，提升風險管理文化。 第 四十 四 條【業(yè)務(wù)培訓】 員工業(yè)務(wù)培訓不充分、對業(yè)務(wù)操作流程不熟悉是導致操作風險損失事件發(fā)生的重要原因之一，我行應(yīng)通過對員工的持續(xù)培訓，保證全體員工熟悉、了解本人所從事的工作的 業(yè)務(wù) 要求，以有效降低因人員不合格所造成的操作風險暴露。 第 四十 五 條【操作風險管理人員培訓】 風險管理部門和培訓部門每年應(yīng)制定 操作風險管理 人員培訓計劃，對風險管理部門 操作風險管理人員及各單位的專兼職操作風險管理 人員進行充分的培訓，內(nèi)容應(yīng)該包括 操作風險管理理論、操作風險管理技術(shù)、我行的操作風 險管理政策及程序等。 第 四十 六 條【全員操作風險管理培訓】 為 提升操作風險管理 文化及員工 操作風險管理水平 ，風險管理部門、培訓部門及各相關(guān)單位每年應(yīng)制訂 操作風險管理 培訓計劃對全行員工進行相應(yīng)的 操作風險管理 培訓。培訓計劃應(yīng)結(jié)合風險管理部門、培訓部門及部門負責人意見。 第四十 七 條 【操作風險管理考核及獎懲】 我行建立 并落實 操作風險考核及獎懲機制，通過公開、公平、公正的考核及獎懲機制，鼓勵積極推動操作風險管理并取得良好的管理效果的單位和個人，并對怠于推動操作風險管理或在操作風險管理工作失職的單位和個人 進行懲罰 ： （ 1） 總行風險管理部門負責牽頭在全行績效考核的總體框架下制定對總行各部門及各分支行的操作風險管理的考核方案，并逐步通過經(jīng)濟資本管理、關(guān)鍵風險指標等管理工具進一步完善對操作風險管理的考核。 （ 2）對于操作風險損失事件個案中負有責任的個人嚴格按照我行全員問責制度進行問責 ，并可通過技術(shù)培訓、調(diào)整崗位、調(diào)整授權(quán)等方式，有效降低該崗位的操作風險 ； （ 3）對各單位的操作風險管理狀況進行全面考核，并根據(jù)考核結(jié)果進行獎懲，考核指標應(yīng)綜合操作風險管控體系建設(shè)情況 及 重大操作風險損失事件的發(fā)生情況 等指標 ，對于考核結(jié)果較差的機構(gòu)，必要時 還要通過調(diào)整授權(quán)權(quán)限、限制部分業(yè)務(wù)的開展等手段督促其提高操作風險管理水平 。 第六章 附則 第 四十 八 條【 重檢 】 本政策由風險管理部門每年進行檢討及提出修訂建議，并向高級管理層報告檢討結(jié)果。任何重大修訂必須由董事會風險管理委員會通過。 第 四十 九 條【 解釋 】 本政策由總行負責解釋。 第 五十 條【實施】 本政策自頒布之日起實施。 自本政策實施之日起原《中國 ⅩⅩ 銀行操作風險管理政策（ 2020 版 ）》自動失效。 附件 ：名詞解釋 一、操作風險來源 根據(jù)本政策關(guān)于操作風險的定義，操作風險來源主要包括四個方面： （一）內(nèi)部程序 因 銀行業(yè)務(wù)流程、制度管理存在不當或偏差而沒有及時完善，導致操作或執(zhí)行困難，甚至給蓄意不法者留下漏洞造成損失的風險。 （二）人員因素 人員風險源于主觀和客觀因素，前者為銀行員工不遵守職業(yè)道德，違法、違規(guī)或違章操作，單獨或參與騙取、盜用銀行資產(chǎn)和客戶資產(chǎn)，或工作疏忽等行為導致?lián)p失的風險；后者為人員數(shù)量配備不足或員工的自身能力與崗位對人員素質(zhì)要求不符而導致?lián)p失的風險。 （三）系統(tǒng)因素 IT 技術(shù)系統(tǒng)、機具設(shè)備因技術(shù)故障、設(shè)備失靈造成系統(tǒng)服務(wù)中斷或錯誤服務(wù)，以及由于系統(tǒng)數(shù)據(jù)風險影響業(yè)務(wù)正常運行而導致?lián)p失的風險。 （四） 外部事件 由于外部主觀或客觀的破壞性因素導致?lián)p失的風險。外部事件既包括外部人員的主觀行為，又包括外部環(huán)境造成的客觀事件。 二、 固有風險與剩余風險 固有風險 指在沒有考慮控制活動的有效性或其他減小風險的措施沒有付諸實施之前已經(jīng)存在的操作風險。 剩余風險 指在現(xiàn)有的控制活動或其他風險減輕措施所不能完全清除的操作風險。 三、可能性和影響性 可能性和影響性是描述和測度操作風險的兩個最為常見的參數(shù)。其中可能性用 于 對事件發(fā)生概率或頻率的定性 或定量 描述 ，通常以 頻率 （以規(guī)定的時間內(nèi)發(fā)生次數(shù)來表達事件發(fā)生率的量度）或 概率 （ 以特定 事件或結(jié)果與可能發(fā)生事件或結(jié)果的總數(shù)之比來量度的特定事件或結(jié)果的可能性 ）表示 。影響性是以定量或定性的方式表示的一個事件的結(jié)果。 四、 操作風險應(yīng)對措施 操作風險應(yīng)對措施是指對于確定的操作風險點，根據(jù)風險發(fā)生的可能性及影響程度并結(jié)合銀行的風險偏好、風險控制能力等因素所確定的應(yīng)對風險的方案。一般而言，根據(jù)風險發(fā)生的可能性和影響性，可以分別采取以下四種不同的應(yīng)對措施：對于高頻（發(fā)生可能性，下同）高危（一旦發(fā)生的影響程度，下同）風險采用規(guī)避風險的方式；對于高頻低危的風險采用控制風險（降低發(fā)生可能性）的方式；對于低頻高 危的風險采用轉(zhuǎn)移風險（如保險、外包、計提準備等）；對于低頻低危的風險采用接受風險（暫不采取具體措施，加強跟蹤監(jiān)控）的方式。但是上述原則并非絕對的，我行應(yīng)根據(jù)業(yè)務(wù)的戰(zhàn)略重要性、風險容忍度、風險管理技術(shù)能力等因素綜合判斷，選擇對于特定操作風險最為合理的應(yīng)對措施。 五 、關(guān)鍵風險指標（ Key Risk Indicator， KRI） 關(guān)鍵風險指標是指對業(yè)務(wù)活動和控制環(huán)境進行日常監(jiān)控的指標體系。關(guān)鍵風險指標能夠反映系統(tǒng)、過程、產(chǎn)品、人員等信息的變化情況。關(guān)鍵風險指標對于風險預(yù)警、日常監(jiān)控具有重要作用。 關(guān)鍵風險指標必須 具有風險敏感性，能夠準確反映風險的變動情況。關(guān)鍵風險指標應(yīng)當根據(jù)業(yè)務(wù)運行中潛在的風險因素、內(nèi)外部損失事件的記錄以及對操作風險充分識別與評估的結(jié)果，由經(jīng)驗豐富的業(yè)務(wù)經(jīng)理和風險經(jīng)理共同制定。 六 、 風險映射 操作風險管理工具之一。即在梳理標準化操作流程和進行全面的風險識別、評估的基礎(chǔ)上，將特定的風險點映射到具體的操作環(huán)節(jié)上，在特定風險點（包含風險類型、風險等級、防控措施、責任主體等要素）與操作環(huán)節(jié)之間建立映射關(guān)系，以便于對操作風險進行針對性的管理。 七、操作風險控制自我評估（ RCSA） 指根據(jù)操作風險管理的基本原 理，按照規(guī)定的工作流程，采用一定的方法，由對業(yè)務(wù)操作風險負直接責任的機構(gòu)和部門組織 對操作風險狀況與控制效果進行的內(nèi)部評價活動，是操作風險管理持續(xù)改進的基礎(chǔ)工作和關(guān)鍵環(huán)節(jié)。 我行參考國際領(lǐng)先銀行的做法，通過前期試點和全行范圍內(nèi)的逐步推廣，初步構(gòu)建起我行的操作風險控制自我評估體系，該體系有以下特點： 統(tǒng)一流程、分層實施。即在總行統(tǒng)一規(guī)劃下，全行采用統(tǒng)一的評估流程、統(tǒng)一的工作語言、統(tǒng)一的工具模版、統(tǒng)一的評估標準，在總分行層面由各級業(yè)務(wù)單位分別組織實施。 風險評估、控制評估和控制策劃的同步進行。即既對固有風 險進行評估，又對現(xiàn)有控制措施進行評價，在此基礎(chǔ)上再對控制缺乏或控制不足的環(huán)節(jié)提出控制改進建議，形成比較完整的封閉循環(huán)。 風險識別、評估與風險映射方法的有機結(jié)合。即綜合運用風險識別評估技術(shù)和風險映射技術(shù)，從標準作業(yè)流程出發(fā)開展風險識別、評估，最后又回到標準作業(yè)流程 ，使得風險的識別、評估緊密圍繞作業(yè)流程進行。 八、 操作風險損失（事件）數(shù)據(jù)庫 損失 （事件） 數(shù)據(jù)庫是對歷史損失數(shù)據(jù)的全面信息進行有條理地收集和整理的工具，包括內(nèi)部損失數(shù)據(jù)庫和外部損失數(shù)據(jù)庫。內(nèi)部損失數(shù)據(jù)庫記錄銀行發(fā)生的各種操作風險損失事件。內(nèi)部損失 數(shù)據(jù)庫從損失事件名稱、發(fā)生地、發(fā)生發(fā)現(xiàn)時間、損失事件類型、產(chǎn)品線、風險點、風險成因、損失金額、損失回收情況等多個維度對損失數(shù)據(jù)進行記錄。外部損失數(shù)據(jù)庫記錄其他金融機構(gòu)的重大損失事件信息。至少包括損失事件發(fā)生時間，實際損失金額數(shù)據(jù)、發(fā)生損失事件的業(yè)務(wù)范圍信息、損失事件的起因和情況以及其他有助于評估其他銀行損失事件的相關(guān)性信息。 損失（事件）數(shù)據(jù)庫對于操作風險管理的價值主要體現(xiàn)在以下幾個方面：其一，作為知識庫，可以幫助發(fā)現(xiàn)操作風險管理的重點環(huán)節(jié)，并且可以作為員工培訓的素材；其二，可以與關(guān)鍵風險指標等工具結(jié)合，實 現(xiàn)對操作風險的事先預(yù)警和防范；其三，作為使用高級計量法進行 操作風險在險值（ VaR）等計算的數(shù)據(jù)基礎(chǔ)。 九 、風險地圖（ Risk Map） 風險地圖也叫風險熱圖，是一種用圖形技術(shù)表示識別出的風險信息，直觀地展現(xiàn)風險的發(fā)展趨勢，方便風險管理者考慮采取何種風險控制措施的操作風險管理工具。 在操作風險管理中，可以使用風險地圖，將業(yè)務(wù)單位、機構(gòu)職能部門或程序與風險類別之間建立起的對應(yīng)關(guān)系。從而直觀地暴露出操作風險管理弱點所在，并且有助于突出后續(xù)管理行動的重點。 最常用的操作風險地圖有兩種： （ 1）可能性 影響程度分布 圖 即 分別以操作風險發(fā)生的可能性和事件發(fā)生后的影響程度為坐標軸，構(gòu)建二維矩陣，反映風險點的分布情況。 （ 2）類型 產(chǎn)品線操作風險狀況圖 即分別以操作風險類型和產(chǎn)品線為坐標軸，構(gòu)建二維矩陣，反映矩陣中各個區(qū)域的風險狀況。如按照 Basel II 規(guī)定的 7 個操作風險大類和 8 條產(chǎn)品線，可以將 矩陣劃分為 56 個區(qū)域，并可依根據(jù)自我評估結(jié)果、風險指標監(jiān)測結(jié)果等對區(qū)域風險程度進行標注，以向高級管理層或其他人員展現(xiàn)全行操作風險的總體情況。