村镇银行操作风险管理暂行办法.docx
- 文档编号:18927984
- 上传时间:2024-02-16
- 格式:DOCX
- 页数:28
- 大小:30.96KB
村镇银行操作风险管理暂行办法.docx
《村镇银行操作风险管理暂行办法.docx》由会员分享,可在线阅读,更多相关《村镇银行操作风险管理暂行办法.docx(28页珍藏版)》请在冰点文库上搜索。
村镇银行操作风险管理暂行办法
第一章总则
第一条制定目的
通过本办法的制定、实施、监督检查,为本行操作风险的管理活动提供基本准则和导向,指导本行操作风险的组织体系、制度体系、指标体系和管理工具与手段的建立与完善,确立适合本行的操作风险管理体制和机制,健全和完善全面风险管理体系。
第二条制定依据
依据《商业银行资本管理办法(试行)》(以下简称《资本管理办法》)、《商业银行操作风险管理指引》、《商业银行内部控制指引》、《商业银行信息科技风险管理指引》、《银行业金融机构外包风险管理指引》等文件,并结合外部监管要求与本行实际,制定本办法。
第三条相关定义
操作风险的定义:
操作风险是由不完善或有问题的内部程序、员工、信息科技系统,以及外部事件所造成损失的风险。
本行的操作风险范畴包括法律与合规风险,但不包括策略风险和声誉风险。
操作风险管理的定义:
操作风险管理是指识别、评估、监测和控制操作风险的全过程。
第四条管理目标
通过有效的管理和控制,将操作风险给本行带来损失的可能性降到最低程度。
第五条政策取向
本行操作风险管理政策取向是稳健。
即本行应长期重视并持续强化对操作风险的管理,通过采取一切必要的、有针对性的措施和手段,切实防范和有效控制各类操作风险,确保将由于操作风险引发损失的可能性降到最低程度。
第六条管理理念
(一)自上而下、全员参与。
即强调省联社、本行应建立自上而下、垂直的操作风险管理组织结构,科学设定在操作风险管理中的职责和权限,在此基础上自上而下设定和分解操作风险管理目标;并强调操作风险管理环节所涉及的每位员工都能正确理解和有效履行其在操作风险管理方面的职责。
(二)全程管理、动态管理。
即强调操作风险管理是由识别、评估、监测,到控制操作风险的循环往复、持续不断的过程。
并强调本行应在经营策略、业务规模、风险管理能力等内部影响因素和宏观经济金融环境、监管环境和风险管理技术等外部影响因素发生变化时,适时调整操作风险管理的策略,不断完善风险管理方法和手段,确保操作风险管理的充分性和有效性。
(三)管理风险、创造价值。
银行是经营风险的特殊企业,承担风险、管理风险并在风险管理过程中实现收益是金融机构存在与发展的基础。
本行通过建立完善的操作风险管理体系,实施有效的操作风险管理手段,将操作风险引发损失的可能性降至最低,实现风险可控基础上的收益最大化。
(四)制度先行、预防为主。
即强调本行在开展各项业务前,应当建立、健全相应的规章制度,确保各项业务的开展有法可依、有章可循;同时本行应充分识别和有效评估业务流程与管理流程中的关键岗位、关键风险点、关键控制点,并制定详细的尽职标准与尽职要求,通过对关键岗位、关键风险点、关键控制点的有效控制和防范,实现对可识别和可预见的各类操作风险进行事前预防。
第二章操作风险管理的组织与管理职责
第七条董事会、监事会及高级管理层的操作风险管理职责
(一)董事会的操作风险管理职责
1.董事会承担对操作风险管理实施监控的最终责任,确保本行有效地识别、评估、监测和控制各类操作风险;
2.董事会负责审批操作风险管理的战略、政策和程序,督促高级管理层采取必要的措施识别、评估、监测和控制操作风险,并定期获得操作风险状况的报告,监控和评价本行操作风险管理的全面性、有效性以及高级管理层在操作风险管理方面的履职情况;
3.董事会可授权其下设的风险管理委员会履行上述部分职能,风险管理委员会定期向董事会提交有关报告。
(二)监事会的操作风险管理职责
1.监事会负责监督董事会在承担对本行操作风险管理实施监控责任的履职情况;
2.监事会负责监督高级管理层在制定、定期审查和监督执行本行操作风险管理的政策、程序和具体操作规程等操作风险管理活动中的履职情况。
(三)高级管理层的操作风险管理职责
1.高级管理层负责对本行操作风险管理体系实施有效监控;
2.高级管理层负责制定、定期审查和监督执行操作风险管理的政策、程序以及具体的操作规程;
3.高级管理层应及时了解操作风险及其管理状况,并确保本行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、评估、监测和控制各类操作风险。
第八条操作风险管理部门及职责
(一)操作风险管理部门设立原则
1.本行建立各部门齐抓共管的操作风险管理体系,构建操作风险管理的“三道防线”:
第一道防线,各个业务部门,是操作风险的直接承担者和管理者,负有对本条线操作风险进行管理的重要职责;第二道防线,操作风险管理职能部门,由信贷管理部牵头负责协调、指导、评估、监督各业务部门及后台保障部门的操作风险管理活动;第三道防线,审计、纪检监察部门等部门,负责对操作风险管理、控制、监督体系进行再监督和责任追究。
2.信贷管理部为本行操作风险牵头管理部门,负责操作风险管理体系的建立和实施,确保操作风险管理的一致性和有效性。
3.操作风险牵头管理部门接受高级管理层的领导,对高级管理层负责。
(二)操作风险牵头管理部门的职责
1.拟订本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;
2.协助其他部门识别、评估、监测、控制及缓释操作风险;
3.建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及操作风险报告程序;
4.建立适用本行的操作风险基本控制标准,并指导和协调各部门、分支机构的操作风险管理;
5.为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责;
6.定期检查并分析业务部门和其他部门操作风险的管理情况;
7.定期向高级管理层提交操作风险报告;
8.确保操作风险制度和措施得到遵守;
9.其他有关职责。
操作风险管理部门的具体职责由高级管理层根据本行承担操作风险的业务发展状况、操作风险管理的工具、手段和能力、人力资源状况等实际情况,结合监管机构的具体要求进行确定,并逐步健全和完善。
第九条相关管理部门的职责
1.相关管理部门是指除信贷管理部之外其他所有具有操作风险管理职责的部门,包括人力资源部、科技信息部、电子银行部、财务会计部、资产管理部、审计稽核部、监察保卫部及其他相关管理部门。
2.相关管理部门应当指定专人负责操作风险管理,其中包括遵守操作风险管理的政策、程序和具体的操作规程。
3.相关管理部门应当根据本行统一的操作风险管理评估方法,识别、评估本部门的操作风险,并建立持续、有效的操作风险监测、控制/缓释及报告程序,并组织实施。
4.相关管理部门在制定本部门业务流程和相关业务政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性。
5.相关管理部门应当监测关键风险指标,定期向负责操作风险牵头管理部门通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件。
6.合规风险、科技信息、监察保卫、人力资源等部门在管理好本部门操作风险的同时,还应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。
第十条各部门和分支机构的职责
(一)各部门和分支机构应当严格执行有关操作风险管理的制度和程序,具体承担识别、评估、监测和控制本部门和本机构操作风险的职责。
(二)各部门和分支机构应当定期报告本部门和本机构的操作风险状况。
(三)各部门和分支机构应当为本部门和本行操作风险所带来的损失承担相应责任。
第三章本行操作风险的主要类型
根据操作风险的定义,结合本行实际,从人员、系统、内部流程和外部事件四个方面对本行操作风险的主要类型作列示。
由于操作风险的广泛性、差异性和复杂性,因此难以穷尽操作风险的全部类型,本行今后应根据内外部环境的变化,适时进行补充识别。
第十一条人员的操作风险
本行的正常运营在很大程度上取决于人员因素,因此本行所面临的操作风险绝大多数与人员相关。
涉及人员的操作风险主要包括:
(一)人员的道德风险。
人员的道德风险是指员工违反职业道德和操守,以内部欺诈和内外勾结的方式,进行骗取、盗取银行或客户资产等违法犯罪活动而给本行带来损失的风险。
员工的不道德行为可能引发操作风险事件,从而可能给本行带来损失。
(二)人员的职业技能匮乏。
人员的职业技能匮乏是指员工的知识和技能达不到岗位要求。
员工的职业技能匮乏可能导致业务操作和管理决策的错误,从而可能给本行带来损失。
(三)人员的不尽职。
人员的不尽职是指员工不能恪尽职守,以及不能严格遵守和执行本行的规章制度及流程的行为。
员工的不尽职行为可能引发操作风险事件,从而可能给本行带来损失。
(四)人员的操作失误。
人员的操作失误是指员工在业务操作过程中因非主观因素而造成差错的行为。
员工的操作失误可能引发操作风险事件,从而可能给本行带来损失。
(五)人员的越权。
人员的越权是指员工超越授权范围或未经授权而办理业务、事务的行为。
越权将可能使行为人超过其能力范围而做出错误的判断或行为,从而可能给本行带来损失。
(六)人员的流失。
人员的流失是指员工在劳动合同期限内,主动与本行解除劳动合同关系的行为。
员工的流失可能会引起培训成本增加、工作流程中断、客户满意度下降,较高的人员流失率还可能会导致本行声誉的降低、员工士气低落。
尤其核心雇员的流失,将可能导致本行核心技术、知识、信息和客户等资源的流失,从而可能给本行带来损失。
(七)主管人员对下级的不正当干预。
主管人员对下级的不正当干预是指主管人员利用职务对下级的控制和影响,通过指令、暗示等不正当的干预迫使下级在违反自己意愿的情况下做出违反规章制度甚至违法事件的行为,从而可能给本行带来损失。
(八)薪酬激励不恰当。
薪酬激励不恰当是指薪酬政策和制度过分注重数量指标和短期目标,弱化或忽视质量指标和长期目标。
不恰当的薪酬激励政策和制度可能导致业务部门及其员工冒险激进,甚至违规违法,从而可能引发操作风险事件,进而可能给本行带来损失。
薪酬激励不恰当也指薪酬政策和制度不合理,使得员工薪酬水平过低,致使其劳动价值得不到充分体现,在此情形下可能导致员工消极懈怠、不尽职,从而可能引发操作风险事件,进而可能给本行带来损失。
(九)岗位设置不恰当。
1.岗位任务超限。
岗位任务超限是指岗位职责和岗位工作任务超过员工正常能力承受范围。
岗位任务超限可能导致员工无法正常完成工作,或即使能正常完成也可能使工作质量下降,从而可能引发操作风险事件,进而可能给本行带来损失。
2.不相容职务未适当分离。
不相容职务未适当分离是指应当分设并相互制约监督的岗位未实行分设,也指一人同时兼任两个或两个以上本应由不同人员分别担任并应相互制约监督职务的行为。
不相容职务未适当分离可能致使关键岗位无法起到相互牵制、相互监督的作用,从而可能引发操作风险事件,进而可能给本行带来损失。
3.岗位缺失。
岗位缺失是指应当设置岗位承担某项工作职责而未设置。
岗位缺失直接导致某项工作职责既无岗位也无人员履行,致使经营管理工作的某个领域或某个环节存在缺失或隐患,从而可能引发操作风险事件,进而可能给本行带来损失。
4.人员与岗位不匹配。
人员与岗位不匹配是指在人力资源配置时,人员素质和能力达不到岗位履职要求,可能导致工作效率和质量得不到保证,从而可能引发操作风险事件,进而可能给本行带来损失。
人员与岗位不匹配也指在人力资源配置时,人员素质和能力远远超过岗位履职要求,在此情形下将直接导致人力资源成本浪费,也可能导致员工消极怠工,甚至会导致员工利用岗位及流程中可能存在的缺陷从事内部欺诈,从而可能引发操作风险事件,进而可能给本行带来损失。
(十)本行人员操作风险由人力资源部负责。
第十二条系统的操作风险
本行的正常管理和安全运营高度依赖于信息系统,信息系统的完善设计和稳定运行是保障本行正常运行的基本要素。
涉及系统的操作风险主要包括:
(一)总体风险。
总体风险是指信息系统在机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
总体风险将会影响本行业务、事务的正常运行,导致本行不能正常营业,甚至造成本行系统的全面瘫痪,从而可能给本行带来损失。
(二)研发风险。
研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
研发风险可能会引起业务应用系统存在潜在错误,导致系统不能正常运行,影响业务的正常开展,从而可能给本行带来损失。
(三)运行维护风险。
运行维护风险是指信息系统在运行与维护过程中,操作管理、变更管理、机房管理和事件管理等环节产生的风险。
运行维护风险将会影响系统的正常运行,使业务不能正常开展,从而可能给本行带来损失。
(四)外包风险。
外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
信息系统外包可能会使本行失去对供应商的控制,数据的安全性得不到保证,从而可能给本行带来损失。
(五)本行系统操作风险由信息科技部负责。
第十三条内部流程的操作风险
制度和程序是识别和控制本行经营管理中各类风险的主要载体。
涉及内部流程的操作风险主要包括:
(一)流程设计不恰当
1.缺失重要的环节。
在某项业务、事务的流程设计中,缺少一个或多个重要环节,导致相应的风险识别和控制流程缺失或中断,从而可能引发操作风险事件,进而可能给本行带来损失。
2.错误的流程设计。
在某项业务、事务的流程设计中,由于某一个或多个环节的流程设计错误,致使相应的风险识别和控制流程不发生作用,甚至发生反向作用,从而可能引发操作风险事件,进而可能给本行带来损失。
3.流程设计不充分。
在某项业务、事务的流程设计中,虽未缺失重要环节,但在某些重要环节上,实体的要求和标准不能完全满足该环节在识别和控制风险上的要求,致使相应的流程设计不能达到预期目的,从而可能引发操作风险事件,进而可能给本行带来损失。
4.流程更新维护不及时。
流程未能根据业务、事务的内外部环境和核心风险特征的变化适时作相应的更新完善,以致不能满足有效识别和控制风险的需要,从而可能引发操作风险事件,进而可能给本行带来损失。
(二)流程未被严格执行
1.缩减步骤。
在某项业务、事务办理过程中,流程未被完整执行,某些重要环节被越过,致使这些环节所对应的风险不能被有效识别和控制,从而可能引发操作风险事件,进而可能给本行带来损失。
2.执行错误或偏差。
在某项业务、事务办理过程中,虽然流程得到完整执行,但是在某些重要环节,实体的要求和标准被全部或部分错误执行,导致相应环节的风险不能被有效识别和控制,从而可能引发操作风险事件,进而可能给本行带来损失。
3.逆流程操作。
在某项业务、事务办理过程中,虽然流程在表面上得到完整执行,但某一个或多个应后于履行的环节被提前执行,并且其在风险识别和控制上的结论与判断不仅失去应先于履行环节的必要支持,甚至反作用于应先于履行环节的独立、客观判断,可能导致最终结论和判断的错误或偏差,从而可能引发操作风险事件,进而可能给本行带来损失。
(三)涉及流程的操作风险由各相关职能部门具体负责。
第十四条外部事件的操作风险
(一)本行的经营管理处于一定的政治、经济和社会环境中,外部环境变化、外部突发事件等都会直接或间接影响本行的经营管理活动,甚至会导致产生一定的损失。
涉及外部事件的操作风险主要包括:
1.外部犯罪事件。
包括外部人员针对本行的欺诈、盗窃、抢劫、纵火、爆炸等犯罪活动,也包括虽非直接针对本行,但其犯罪过程和后果直接影响本行财产和正常营业的事件。
外部犯罪事件可能直接给本行造成财产损失,也可能引起营业中断,影响正常营业,可能给本行带来其他损失。
2.公共卫生事件。
主要包括传染病疫情、群体性不明原因疾病、食品安全和职业危害、动物疫情、以及其他严重影响公众健康和生命安全的事件。
由于本行是服务性行业,服务对象主要是社会公众,当本行或本行分支机构所在地区发生公共卫生事件时,本行的正常营业将受到局部或全部的冲击,从而可能给本行带来损失。
3.事故灾难。
主要包括工矿商贸等企业的各类安全事故、交通运输事故、公共设施和设备事故、环境污染和生态破坏事件等。
当事故的发生地点邻近本行的办公、营业场所或事故波及本行时,可能会影响本行的正常营业,从而可能给本行带来损失;同时为本行持续提供资源的供应商发生事故灾难而不能持续供应时,也可能会影响本行的正常营业,从而可能给本行带来损失。
4.社会安全事件。
主要包括恐怖袭击事件、经济安全事件和涉外突发事件等。
当恐怖袭击事件和涉外突发事件发生在本行营业场所或邻近本行营业场所,将有可能引起营业中断,从而可能给本行带来损失;经济安全事件将有可能导致本行市场风险、信用风险、流动性风险产生连锁反应,从而可能给本行带来损失。
5.自然灾害。
自然灾害主要包括水旱灾害、气象灾害、地震灾害、地质灾害、海洋灾害、生物灾害和森林草原火灾等。
当自然灾害发生在本行办公营业场所所在地区时,既可能造成本行财产损失,也可能影响本行正常营业,从而可能给本行带来损失。
(二)涉及外部事件的操作风险根据事件性质由本行相关部门负责。
第四章操作风险管理策略
第十五条规避策略。
规避策略是一种事前的操作风险控制手段,是指在操作风险发生之前,操作风险管理人员及时发现可能导致操作风险事件发生的诱因和因素,而有意识采取的必要措施,控制和杜绝相应的风险事件发生而采取的操作风险管理策略。
第十六条预防策略。
预防策略是指在操作风险发生的事前或操作风险发生时采取一定的方法和手段,以减少操作风险产生的损失而进行的操作风险管理策略。
第十七条缓释策略。
缓释策略是指在操作风险管理过程中,通过对操作风险有效的识别和评估,采取必要措施,使操作风险的诱因或操作风险本身得到缓解,从而降低操作风险发生的可能程度和操作风险发生后的损失程度。
第十八条保险策略。
保险策略是指金融机构在对自身面临的操作风险程度作出评估的基础上,采取通过支付一定的保险费而将自身的操作风险转移出去的策略。
保险策略将逐步成为本行考虑采用的操作风险管理策略。
第十九条其他策略。
即本行为管理操作风险而采取的其他策略。
第五章操作风险管理的控制要点
本行应根据操作风险的具体类型及可能产生的后果,有针对性地采取相应的控制措施加以管理。
第二十条针对人员操作风险的控制要点
(一)重视员工的道德教育。
本行应重视和加强员工整体公众道德、职业道德的教育,明确员工的行为准则,提高全体员工的职业道德修养;对较高职位和关键职位人员的选任,除考察其职业技能外,还应重点考察其职业道德水平,通过制定并贯彻落实本行的职业道德规范和企业价值准则,从而有效预防和控制由于员工的不道德行为可能引发的操作风险。
(二)建立终身的职业培训和专业岗位任职资格制度。
本行应建立并实施全员终身职业培训制度,对技术性、专业性要求较高的岗位实行持续的考试考核准入制度及资格认证制度。
通过制定并贯彻职业培训制度和岗位任职资格制度提高员工的职业技能,使员工能够适应岗位工作要求,有效预防和控制由于员工的职业技能匮乏可能引发的操作风险。
(三)重视人员的考核,建立严格的问责制度。
本行应建立必要的定期考核机制,重视和加强对人员日常行为的考核监督,对关键岗位人员,应扩大考核范围,加大考核频次;同时本行还应配套建立严格的尽职问责机制,促进全员尽职勤勉,提高全员主动尽职水平,使员工能够恪尽职守,严格遵守和执行本行的规章制度及流程,有效预防和控制由于员工的不尽职可能引发的操作风险。
(四)严格遵守劳动法规。
本行应严格遵守有关劳动法规,注重必要的劳动保护,不断提高员工福利待遇,并根据岗位特性和工作量等特点,合理安排员工的工作,保障员工的法定休假,有效预防和控制由于员工的操作失误、劳动争议、职工人身安全等因素可能引发的操作风险。
(五)施行关键岗位定期轮换和强制休假制度。
本行应对各级关键岗位和主管岗位制定并严格执行必要和恰当的定期轮岗制度和强制休假制度,从而有效预防和控制由于关键岗位人员不道德行为可能引发的操作风险。
(六)员工职业生涯的规划和合理的薪酬制度。
本行应重视和加强对员工职业生涯的规划和实施,营造健康、进取、团结的企业文化氛围,做到事业留人、待遇留人、感情留人,从而有效预防和控制由于员工流失特别是核心雇员流失可能引发的操作风险;同时本行应实行并保持具有一定同业竞争力的薪酬福利制度,并确保薪酬结构设计恰当合理,短期和长期目标相结合、数量和质量指标相结合,从而避免由于薪酬激励不恰当可能引发的操作风险。
(七)建立垂直的管理体系。
本行应逐步建立包括风险管理在内的各项管理活动的垂直组织体系,实现管理职能和经营职能的必要分离,确保各级组织和岗位的有效制衡和相互监督,从而有效预防和控制由于各类不尽职和不正当干预可能引发的操作风险。
(八)加强与员工的沟通和交流。
领导应当加强与员工的沟通和交流,关心员工的工作、学习、生活,掌握员工的思想行为动态,及时发现可能引发操作风险的诱因,主动采取相应的、有针对性的措施加以管理和控制,从而有效预防和控制由于人员因素可能引发的各类操作风险。
(九)恰当的职岗设计和不相容职务分离。
本行应当设计并完善一个高低有序、相互制衡、报告关系清晰的职务和岗位体系,并根据职务和岗位职能甄别其操作风险程度或等级,为分类管理和控制人员的操作风险奠定基础;同时应确保不相容职务适当分离,从而有效预防和控制由于岗位设置不恰当引发的操作风险。
(十)为管理人员操作风险而采取的其他必要措施。
第二十一条针对系统操作风险的控制要点
(一)严格的机房建设和管理。
信息系统数据中心机房应符合国家有关计算机场所、环境、供配电等技术标准。
本行数据中心应达到监管部门规定的国家标准。
数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
(二)重视知识产权保护和产品自主研发。
应重视知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本行信息化成果。
(三)严格的电子设备采购和管理。
电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。
信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
(四)规范的网络设计。
网络应参照相关的标准和规范设计建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
(五)严格的网络安全管理。
本行应加强网络安全管理。
生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 村镇 银行 操作 风险 管理 暂行办法