《商业银行操作风险管理指引》(银监发[2007]42号)

商业银行操作风险管理指引 第一章 总则 第一条 为加强商业银行的操作风险管理，根据中华人民共和 国银行业监督管理法 、 中华人民共和国商业银行法以及其他有关 法律法规，制定本指引。 第二条 在中华人民共和国境内设立的中资商业银行、 外商独资 银行和中外合资银行适用本指引。 第三条 本指引所称操作风险是指由不完善或有问题的内部程 序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义 所指操作风险包括法律风险，但不包括策略风险和声誉风险。 第四条 中国银行业监督管理委员会（以下简称银监会）依法对 商业银行的操作风险管理实施监督检查， 评价商业银行操作风险管理 的有效性。 第二章 操作风险管理 第五条 商业银行应当按照本指引要求，建立与本行的业务性 质、 规模和复杂程度相适应的操作风险管理体系， 有效地识别、 评估、 监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统 一，但至少应包括以下基本要素 （一）董事会的监督控制； （二）高级管理层的职责； （三）适当的组织架构； （四）操作风险管理政策、方法和程序； （五）计提操作风险所需资本的规定。 第六条 商业银行董事会应将操作风险作为商业银行面对的一 项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责 包括 （一） 制定与本行战略目标相一致且适用于全行的操作风险管理 战略和总体政策； （二）通过审批及检查高级管理层有关操作风险的职责、权限及 报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地 确保将本行从事的各项业务面临的操作风险控制在可以承受的范围 内； （三） 定期审阅高级管理层提交的操作风险报告，充分了解本行 操作风险管理的总体情况、 高级管理层处理重大操作风险事件的有效 性以及监控和评价日常操作风险管理的有效性； （四）确保高级管理层采取必要的措施有效地识别、评估、监测 和控制/缓释操作风险； （五） 确保本行操作风险管理体系接受内审部门的有效审查与监 督； （六）制定适当的奖惩制度，在全行范围有效地推动操作风险管 理体系地建设。 第七条 商业银行的高级管理层负责执行董事会批准的操作风 险管理战略、总体政策及体系。主要职责包括 （一）在操作风险的日常管理方面，对董事会负最终责任； （二）根据董事会制定的操作风险管理战略及总体政策，负责制 定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规 程，并定期向董事会提交操作风险总体情况的报告； （三）全面掌握本行操作风险管理的总体状况，特别是各项重大 的操作风险事件或项目； （四） 明确界定各部门的操作风险管理职责以及操作风险报告的 路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保 操作风险管理体系的正常运行； （五）为操作风险管理配备适当的资源，包括但不限于提供必要 的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提 供培训、赋予操作风险管理人员履行职务所必需的权限等； （六）及时对操作风险管理体系进行检查和修订，以便有效地应 对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其 他因素发生变化所造成的操作风险损失事件。 第八条 商业银行应指定部门专门负责全行操作风险管理体系 的建立和实施。该部门与其他部门应保持独立，确保全行范围内操作 风险管理的一致性和有效性。主要职责包括 （一）拟定本行操作风险管理政策、程序和具体的操作规程，提 交高级管理层和董事会审批； （二）协助其他部门识别、评估、监测、控制及缓释操作风险； （三）建立并组织实施操作风险识别、评估、缓释（包括内部控 制措施）和监测方法以及全行的操作风险报告程序； （四）建立适用全行的操作风险基本控制标准，并指导和协调全 行范围内的操作风险管理； （五）为各部门提供操作风险管理方面的培训，协助各部门提高 操作风险管理水平、履行操作风险管理的各项职责； （六）定期检查并分析业务部门和其他部门操作风险的管理情 况； （七）定期向高级管理层提交操作风险报告； （八）确保操作风险制度和措施得到遵守。 第九条 商业银行相关部门对操作风险的管理情况负直接责任。 主要职责包括 （一）指定专人负责操作风险管理，其中包括遵守操作风险管理 的政策、程序和具体的操作规程； （二）根据本行统一的操作风险管理评估方法，识别、评估本部 门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报 告程序，并组织实施； （三）在制定本部门业务流程和相关业务政策时，充分考虑操作 风险管理和内部控制的要求， 应保证各级操作风险管理人员参与各项 重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政 策的一致性； （四）监测关键风险指标，定期向负责操作风险管理的部门或牵 头部门通报本部门操作风险管理的总体状况， 并及时通报重大操作风 险事件。 第十条 商业银行法律、合规、信息科技、安全保卫、人力资源 等部门在管理好本部门操作风险的同时， 应在涉及其职责分工及专业 特长的范围内为其他部门管理操作风险提供相关资源和支持。 第十一条 商业银行的内审部门不直接负责或参与其他部门的 操作风险管理，但应定期检查评估本行的操作风险管理体系运作情 况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政 策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险 管理体系运行效果的评估情况。 鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机 构对其操作风险管理体系定期进行审计和评价。 第十二条 商业银行应当制定适用于全行的操作风险管理政策。 操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特 征相适应。主要内容包括 （一）操作风险的定义； （二）适当的操作风险管理组织架构、权限和责任； （三）操作风险的识别、评估、监测和控制/缓释程序； （四）操作风险报告程序，其中包括报告的责任、路径、频率， 以及对各部门的其他具体要求； （五） 应针对现有的和新推出的重要产品、 业务活动、 业务程序、 信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的 各项要求。 第十三条 商业银行应当选择适当的方法对操作风险进行管理。 具体的方法可包括评估操作风险和内部控制、损失事件的报告 和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内 部控制的测试和审查以及操作风险的报告。 第十四条 业务复杂及规模较大的商业银行， 应采用更加先进的 风险管理方法，如使用量化方法对各部门的操作风险进行评估，收集 操作风险损失数据， 并根据各业务线操作风险的特点有针对性地进行 管理。 第十五条 商业银行应当制定有效的程序， 定期监测并报告操作 风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早 期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损 失事件的发生频率及损失程度。 第十六条 重大操作风险事件应当根据本行操作风险管理政策 的规定及时向董事会、高级管理层和相关管理人员报告。 第十七条 商业银行应当将加强内部控制作为操作风险管理的 有效手段，与此相关的内部措施至少应当包括 （一）部门之间具有明确的职责分工以及相关职能的适当分离， 以避免潜在的利益冲突；