第九條　商業銀行相關部門對操作風險的管理情況負直接責任。主要職責包括：

　　(一)指定專人負責操作風險管理，其中包括遵守操作風險管理的政策、程序和具體的操作規程；

　　(二)根據本行統一的操作風險管理評估方法，識別、評估本部門的操作風險，并建立持續、有效的操作風險監測、控制/緩釋及報告程序，并組織實施；

　　(三)在制定本部門業務流程和相關業務政策時，充分考慮操作風險管理和內部控制的要求，應保證各級操作風險管理人員參與各項重要的程序、控制措施和政策的審批，以確保與操作風險管理總體政策的一致性；

　　(四)監測關鍵風險指標，定期向負責操作風險管理的部門或牽頭部門通報本部門操作風險管理的總體狀況，并及時通報重大操作風險事件。

　　第十條　商業銀行法律、合規、信息科技、安全保衛、人力資源等部門在管理好本部門操作風險的同時，應在涉及其職責分工及專業特長的范圍內為其他部門管理操作風險提供相關資源和支持。

　　第十一條　商業銀行的內審部門不直接負責或參與其他部門的操作風險管理，但應定期檢查評估本行的操作風險管理體系運作情況，監督操作風險管理政策的執行情況，對新出臺的操作風險管理政策、程序和具體的操作規程進行獨立評估，并向董事會報告操作風險管理體系運行效果的評估情況。

　　鼓勵業務復雜程度較高和規模較大的商業銀行委托社會中介機構對其操作風險管理體系定期進行審計和評價。

　　第十二條　商業銀行應當制定適用于全行的操作風險管理政策。操作風險管理政策應當與銀行的業務性質、規模、復雜程度和風險特征相適應。主要內容包括：

　　(一)操作風險的定義；

　　(二)適當的操作風險管理組織架構、權限和責任；

　　(三)操作風險的識別、評估、監測和控制/緩釋程序；

　　(四)操作風險報告程序，其中包括報告的責任、路徑、頻率，以及對各部門的其他具體要求；

　　(五)應針對現有的和新推出的重要產品、業務活動、業務程序、信息科技系統、人員管理、外部因素及其變動，及時評估操作風險的各項要求。

　　第十三條　商業銀行應當選擇適當的方法對操作風險進行管理。

　　具體的方法可包括：評估操作風險和內部控制、損失事件的報告和數據收集、關鍵風險指標的監測、新產品和新業務的風險評估、內部控制的測試和審查以及操作風險的報告。

　　第十四條　業務復雜及規模較大的商業銀行，應采用更加先進的風險管理方法，如使用量化方法對各部門的操作風險進行評估，收集操作風險損失數據，并根據各業務線操作風險的特點有針對性地進行管理。

　　第十五條　商業銀行應當制定有效的程序，定期監測并報告操作風險狀況和重大損失情況。應針對潛在損失不斷增大的風險，建立早期的操作風險預警機制，以便及時采取措施控制、降低風險，降低損失事件的發生頻率及損失程度。

　　第十六條　重大操作風險事件應當根據本行操作風險管理政策的規定及時向董事會、高級管理層和相關管理人員報告。

　　第十七條　商業銀行應當將加強內部控制作為操作風險管理的有效手段，與此相關的內部措施至少應當包括：

　　(一)部門之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突；

　　(二)密切監測遵守指定風險限額或權限的情況；

　　(三)對接觸和使用銀行資產的記錄進行安全監控；

　　(四)員工具有與其從事業務相適應的業務能力并接受相關培訓；

　　(五)識別與合理預期收益不符及存在隱患的業務或產品；

　　(六)定期對交易和賬戶進行復核和對賬；

　　(七)主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度；

　　(八)重要崗位或敏感環節員工八小時內外行為規范；

　　(九)建立基層員工署名揭發違法違規問題的激勵和保護制度；

　　(十)查案、破案與處分適時、到位的雙重考核制度；

　　(十一)案件查處和相應的信息披露制度；

　　(十二)對基層操作風險管控獎懲兼顧的激勵約束機制。

　　第十八條　為有效地識別、評估、監測、控制和報告操作風險，商業銀行應當建立并逐步完善操作風險管理信息系統。管理信息系統至少應當記錄和存儲與操作風險損失相關的數據和操作風險事件信息，支持操作風險和控制措施的自我評估，監測關鍵風險指標，并可提供操作風險報告的有關內容。

　　第十九條　商業銀行應當制定與其業務規模和復雜性相適應的應急和業務連續方案，建立恢復服務和保證業務連續運行的備用機制，并應當定期檢查、測試其災難恢復和業務連續機制，確保在出現災難和業務嚴重中斷時這些方案和機制的正常執行。

　　第二十條　商業銀行應當制定與外包業務有關的風險管理政策，確保業務外包有嚴謹的合同和服務協議、各方的責任義務規定明確。

　　第二十一條　商業銀行可購買保險以及與第三方簽訂合同，并將其作為緩釋操作風險的一種方法，但不應因此忽視控制措施的重要作用。

　　購買保險等方式緩釋操作風險的商業銀行，應當制定相關的書面政策和程序。

　　第二十二條　商業銀行應當按照銀監會關于商業銀行資本充足率管理的要求，為所承擔的操作風險提取充足的資本。

　　 第三章　操作風險監管

　　第二十三條　商業銀行的操作風險管理政策和程序應報銀監會備案。商業銀行應按照規定向銀監會或其派出機構報送與操作風險有關的報告。委托社會中介機構對其操作風險管理體系進行審計的，還應提交外部審計報告。

[上一頁]  [1]  [2]  [3]  [下一頁]