《银行保险机构操作风险管理办法(征求意见稿).doc》由会员分享,可在线阅读,更多相关《银行保险机构操作风险管理办法(征求意见稿).doc(29页珍藏版)》请在金锄头文库上搜索。
1、银行保险机构操作风险管理办法(征求意见稿)第一章 总则第一条 【立法目的及依据】为提高银行保险机构操作风险管理水平,根据中华人民共和国银行业监督管理法中华人民共和国商业银行法中华人民共和国保险法等法律法规,制定本办法。第二条 【定义】本办法所称操作风险,是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。本定义所指操作风险包括法律风险,但不包括战略风险和声誉风险。第三条 【总体目标】操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。第四条 【基本原则】操作风险管理应当遵循以下基本原则:(一
2、) 审慎性原则。操作风险管理应当坚持风险为本的理念,充分重视风险苗头和潜在隐患,有效识别影响风险管理的不利因素,配置充足资源,及时采取措施,提升前瞻性。(二) 全面性原则。操作风险管理应当覆盖各业务条线、各分支机构,覆盖所有部门、岗位、员工和产品,贯穿决策、执行和监督全部过程,充分考量其他内外部风险的相关性和传染性。(三) 匹配性原则。操作风险管理应当体现多层次、差异化的要求,管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应,并根据情况变化及时调整。(四) 有效性原则。银行保险机构应当以风险偏好为导向,有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险,将操作风
3、险控制在可承受范围之内。第五条 【运营韧性】规模较大的银行保险机构应当基于良好的治理架构,加强操作风险管理,统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制,结合恢复与处置计划工作,提升运营韧性,具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。第六条 【监管职责】国家金融监督管理总局(以下简称金融监管总局)及其派出机构依法对银行保险机构操作风险管理实施监管。第二章 风险治理和管理责任第七条 【董事会职责】银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括:(一)审批操作风险管理基本制度,确保与战略目标一
4、致;(二)审批操作风险偏好及其传导机制,将操作风险控制在可承受范围之内;(三)审批高级管理层有关操作风险管理职责、权限、报告等制度,确保操作风险管理体系的有效性;(四)每年至少审议一次高级管理层提交的操作风险管理报告,充分了解、评估操作风险管理总体情况以及高级管理层工作;(五)确保高级管理层采取必要措施有效识别、评估、计量、控制、缓释、监测、报告操作风险;(六)确保操作风险管理体系接受内部审计部门的有效审查与监督;(七)审批操作风险信息披露制度;(八)确保建立与操作风险管理要求匹配的风险文化;(九)其他有关职责。第八条 【监事(会)职责】设立监事(会)的银行保险机构,其监事(会)应当承担操作风
5、险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。未设立监事(会)的银行保险机构,由依法行使监事(会)职权的组织机构承担操作风险管理的监督责任。第九条 【高级管理层职责】银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括:(一)制定操作风险管理基本制度和管理办法;(二)明确界定各部门、各级机构的操作风险管理职责和报告要求,督促各部门、各级机构履行操作风险管理职责,确保操作风险管理体系正常运行;(三)设置操作风险偏好及其传导机制,督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查,及时处理突破风险偏好以及其他违反操作
6、风险管理要求的情况;(四)全面掌握操作风险管理总体状况,特别是重大操作风险事件;(五)每年至少向董事会提交一次操作风险管理报告,并报送监事(会);(六)为操作风险管理配备充足财务、人力和信息科技系统等资源;(七)检查并完善操作风险管理体系,有效应对操作风险事件;(八)制定操作风险管理考核评价与奖惩机制;(九)其他相关职责。第十条 【三道防线】银行保险机构应当建立操作风险管理的三道防线。第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部
7、审计部门,对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。第十一条 【第一道防线职责】第一道防线部门主要职责包括:(一)指定专人负责操作风险管理工作,投入充足资源;(二)按照风险管理评估方法,识别、评估自身操作风险;(三)建立控制、缓释措施,定期评估措施的有效性;(四)持续监测风险,确保符合操作风险偏好;(五)定期报送操作风险管理报告,及时报告重大操作风险事件;(六)制定业务流程和制度时充分体现操作风险管理和内部控制的要求;(七)其他相关职责。第十二条 【第二道防线职责】第二道防线部门应当保持独立性,持续提升操作风险管理的一致性和有效性
8、。主要职责包括:(一)在一级分行(省级分公司)及以上设立操作风险管理专岗,为其配备充足的财务、人力等资源;(二)跟踪操作风险管理监管政策规定并组织落实;(三)拟定操作风险管理基本制度、管理办法,制定操作风险识别、评估、计量、监测、报告的方法和具体规定;(四)指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险,并定期开展监督;(五)每年至少向高级管理层提交一次操作风险管理报告;(六)计量操作风险;(七)开展操作风险管理培训;(八)其他相关职责。规模较小的银行保险机构可不设立前款第(一)项规定的操作风险管理专岗,金融监管总局或其派出机构另有要求的除外。第十三条 【专业部门职责】法律、合
9、规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时,应当在职责范围内为其他部门操作风险管理提供充足资源和支持。第十四条 【第三道防线职责】内部审计部门应当每三年至少开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,检查评估操作风险管理体系运行情况,并向董事会报告。内部审计部门在开展其他审计项目时,应当充分关注操作风险管理情况。第十五条 【外部审计和评价】规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价,并向金融监管总局或其派出机构报送外部审计报告。第十六条 【机构主体
10、责任】银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任,并履行以下职责:(一) 为本级、本条线操作风险管理部门配备充足资源;(二) 严格执行操作风险管理制度、风险偏好以及管理流程等要求;(三) 按照内外部审计结果和监管要求改进操作风险管理;(四) 其他相关职责。境外分支机构除满足前款要求外,还应当符合所在地监管要求。第十七条 【附属机构职责】银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其业务范围、风险特征、经营规模、监管要求相适应的操作风险管理体系,建立健全三道防线,制定操作风险管理制度。境外附属机构除满足前款要求外
11、,还应当符合所在地监管要求。第三章 风险管理基本要求第十八条 【制度】操作风险管理基本制度应当与业务性质、规模、复杂程度和风险特征相适应,至少包括以下内容:(一)操作风险定义;(二)操作风险管理组织架构、权限和责任;(三)操作风险识别、评估、计量、监测、控制、缓释程序;(四)操作风险报告机制,包括报告主体、责任、路径、频率、时限等。银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送金融监管总局或其派出机构。第十九条 【偏好及传导】银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和
12、薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警。第二十条 【管理信息系统】银行保险机构应当建立具备操作风险管理功能的管理信息系统,主要功能包括:(一) 记录和存储损失相关数据和操作风险事件信息;(二) 支持操作风险和控制措施的自评估;(三) 支持关键风险指标监测;(四) 支持操作风险计量;(五) 提供操作风险报告相关内容。第二十一条 【风险文化】银行保险机构应当培育良好的操作风险管理文化,明确员工行为规范和职业道德要求。第二十二条 【考核评价】银
13、行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当有效反映考核评价结果。第二十三条 【培训】银行保险机构应当定期开展操作风险管理相关培训。第二十四条 【信息披露】银行保险机构应当按照金融监管总局的规定披露操作风险管理情况。银行机构应当按照监管要求披露损失数据等相关信息。第四章 风险管理流程和方法第二十五条 【识别、评估】银行保险机构应当根据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效性,分析剩余风险发生的可能性和影响程度,划定操作风险等级,确定接受、降低、转移、规避等应对策略,有效分配管理资源。第二十六条 【控制、
14、缓释】银行保险机构应当结合风险识别、评估结果,实施控制、缓释措施,将操作风险控制在风险偏好内。银行保险机构应当根据风险等级,对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施,持续监督执行情况,建立良好的内部控制环境。银行保险机构通过购买保险、业务外包等措施缓释操作风险的,应当确保缓释措施实质有效。第二十七条 【内部控制要求】银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括:(一)明确部门间职责分工,避免利益冲突;(二)密切监测风险偏好及其传导机制的执行情况;(三)加强各类业务授权和信息系统权限管理;(四)建立重要财产的记录和保管、定期盘点、账实核对等日常
15、管理和定期检查机制;(五)加强不相容岗位管理,有效隔离重要业务部门和关键岗位,建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度;(六)加强员工行为管理,重点关注关键岗位员工行为;(七)对交易和账户进行定期对账;(八)建立内部员工揭发检举的奖励和保护机制;(九)配置适当的员工并进行有效培训;(十)建立操作风险管理的激励约束机制;(十一)其他内部控制措施。第二十八条 【业务连续性管理】银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划,有效应对导致业务中断的突发事件,最大限度减少业务中断影响。银行保险机构应当定期开展业务连续性应急预案演练评估,验证应急预案及备用资源的可用性,提高员工应急意识及处置能力,测试关键服务供应商的持续运营能力,确保业务连续性计划满足业务恢复目标,有效应对内外部威胁及风险。第二十九条 【数据安全管理】银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,采取保护措施,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人信息保护,规范数据处理活动,促进依法合理利用数据。第三十条 【业务外包管理】银行保险机构应当制定与业务外包有关的风险管理制度,确保有严谨的业务外包合同和服务协议,明确各方责任义务,加强对外包方的监督管理。第三十一条 【
