|
交银董〔2010〕13 号
关于印发《交通银行股份有限公司操作风险管理政策》的通知
各省分行、直属分行,各海外分行,总行各部门:
2010 年3 月30 日,我行第五届董事会第二十三次会议审议
批准了《交通银行股份有限公司操作风险管理政策》,现予印发,
请遵照执行。
交通银行董事会办公室
二○一○年四月七日
交通银行股份有限公司操作风险管理政策
第一章 总 则
第一条 为建立和完善交通银行股份有限公司(以下简称“本行”)操作风险管理体系,加强操作风险管理,促进全面风险管理体系建设,根据银监会《商业银行操作风险管理指引》、本行全面风险管理规划等文件要求,结合本行实际情况,特制定本政策。
第二条 操作风险的定义。操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。
第三条 操作风险管理的战略目标。持续改进和完善全行操作风险的管理,建立符合本行实际的操作风险管理体系。使用国际通行的工具和方法,对全行操作风险进行统一全面管理。最大程度减少操作风险事件,降低操作风险损失,维护本行声誉和市场价值。满足新资本协议达标要求和操作风险管理的监管要求。
第四条 操作风险管理的总体要求。操作风险源于人员、程序、系统和外部事件,本行各部门、各单位对操作风险均负有管理职责,操作风险的管理应贯穿于本行经营管理过程中的每一个环节。同时,要采取自上而下和自下而上的方法对重大操作风险和日常操作风险进行分层管理。
第五条 操作风险损失事件类型。依据巴塞尔新资本协议和银监会有关指引,损失事件分为内部欺诈事件、外部欺诈事件、就业制度和工作场所安全事件、客户、产品和业务活动事件、实物资产的损坏、信息科技系统事件、执行、交割和流程管理事件等类型。本行应依据实际管理的需求,针对操作风险事件、事件的起因、事件的影响效果等进行更细致的分类。
第二章 操作风险偏好和容忍度
第六条 风险偏好是风险与收益的权衡。操作风险偏好是在本行总体风险偏好框架下,对操作风险的基本态度和公司管理层对操作风险管理的承诺。操作风险管理作为主要风险管理职能纳入全面风险管理体系,定期审定关键操作风险环节、领域,主要包括银行所关注的操作风险环节、特定的领域,愿意并可承受的风险程度,以及银行为将操作风险损失控制在可接受范围内所愿意耗用的资源及成本。本行提倡实行“积极、稳健、平衡”的风险偏好,在经营管理过程中,强调业务规模、获利与风险承受度的匹配,在实现股东价值最大化的同时注重操作风险的管理,持续强化操作风险管理体系,落实内部控制制度。
第七条 操作风险容忍度是将战略层面的操作风险偏好转化至实际管理层面的管理工具。在操作风险偏好的基础上,通过设定风险边界将操作风险暴露程度划分为不同的等级,达到监控风险暴露与生成预警信息的目的。
第三章 组织架构和职责分工
第八条 操作风险管理需要一个完整的组织架构来保障,并与银行的经营战略相适应。在公司治理层面由董事会、监事会、高级管理层组成操作风险管理的领导、监督机构;在职能管理层面由业务经营部门、条线管理部门、风险管理部门和内部审计部门组成操作风险管理“四道防线”。
第九条 董事会是本行操作风险管理工作的最高领导机构。董事会应将操作风险作为本行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。主要职责包括:(一)制定与本行战略目标相一致且适用于本行的操作风险管理战略和总体政策;(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保本行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;(三)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;(四)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;确保本行操作风险管理体系接受内审部门的有效审查与监督;(五)制定适当的奖惩制度,在本行范围有效地推动操作风险管理体系的建设。
第十条 高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括:(一)在操作风险的日常管理方面,对董事会负最终责任;(二)根据董事会制定的操作风险管理战略及总体政策,负责制定、审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会提交操作风险总体情况的报告;(三)全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目;(四)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;(五)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等。
第十一条 监事会负责监督董事会和高级管理层操作风险管理的履职尽责情况,并提出有关建议。
第十二条 总行风险管理部负责本行操作风险管理体系的建立和实施,应与其他部门保持独立,确保本行操作风险管理的一致性和有效性。主要职责包括:(一)拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;(二)定期分析总结本行操作风险管理体系运作情况,持续研究、改进和创新操作风险管理方法、技术和工具;(三)牵头管理重大操作风险,指导、协助总行各条线管理部门识别、评估、监测、控制/缓释和报告操作风险;(四)负责全行层面的操作风险管理培训,协助各条线部门提高操作风险管理水平、履行操作风险管理的各项职责;(五)制定和维护全行范围内业务连续性管理的办法。制订业务连续性管理计划的编制方法;指导各部门制订和维护业务连续性计划和灾难恢复计划;定期审查各部门业务连续性计划和灾难恢复计划;(六)向高级管理层提交操作风险报告。
第十三条 总行各部门负责管理本条线的操作风险,部门负责人对本条线操作风险管理情况负责,并指定专门的二级部门牵头履行以下职责:(一)在制定本条线业务流程和相关业务制度时,充分考虑操作风险管理和内部控制的要求,确保与操作风险管理总体政策的一致性;(二)根据本行操作风险管理的政策、程序和具体的操作规程,或结合条线实际情况制定实施细则后,指导、组织本条线进行持续、有效的操作风险识别、评估、监测、控制/缓释及报告;(三)制定本条线的业务连续性计划或灾难恢复计划,并定期测试和演练,确保业务持续性计划或灾难恢复计划的完整性、有效性;(四)负责本条线的操作风险管理培训,协助本条线各级经营管理部门提高操作风险管理水平、履行操作风险管理的各项职责;(五)向总行风险管理部和分管行领导提交操作风险报告。
第十四条 各省直分行负责管理本分行的操作风险,分行负责人对本分行的操作风险管理情况负责。各分行应指定风险管理部门牵头,其他部门应指定专人配合,共同遵循总行的操作风险管理政策、办法和程序,运用统一的操作风险管理方法、技术和工具,组织本分行各经营管理单位实施操作风险的识别、评估、监测、控制/缓释和报告。
第十五条 各子公司和海外分行负责管理本机构的操作风险,机构负责人对本机构的操作风险管理情况负责。各机构应指定风险管理部门牵头,机构其他部门应指定专人配合,共同遵循总行的操作风险管理政策、办法和程序,运用统一的操作风险管理方法、技术和工具,组织本机构各经营管理单位实施操作风险的识别、评估、监测、控制/缓释和报告。各子公司和海外分行属地监管机构或所属行业监管机构的规定与总行规定不一致的,应及时报告总行并按总行的审批要求执行。
第十六条 法律合规部、信息技术管理部、监察室、人力资源部等部门在管理好本部门操作风险的同时,应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源、支持。
第十七条 内部审计部门应定期独立审查、监督、评价本行的操作风险管理体系运作情况。
第四章 操作风险管理流程
第十八条 本行操作风险管理流程主要包括操作风险识别、评估、监测、控制/缓释和报告等,并通过操作风险管理信息系统平台进行整合和实施。
第十九条 操作风险识别。操作风险识别指识别存在的主要操作风险并确定其性质的过程,其范围应涵盖本行各个层面的业务流程和管理流程。操作风险识别应具有前瞻性,并应识别出各业务管理流程存在的主要操作风险事件、风险因子、影响类型、控制措施等,为操作风险评估、监测、控制/缓释和报告提供基础。操作风险识别可采用业务流程分析和损失数据收集等操作风险管理工具。
第二十条 操作风险评估。操作风险评估是指评估操作风险暴露程度并确定操作风险是否可接受的全过程。操作风险评估应按照统一的标准,对操作风险事件的固有风险暴露、剩余风险暴露和控制有效性等进行评估,并结合对应流程的风险容忍度,确定操作风险暴露是否在可接受范围之内。操作风险评估可采用风险与控制自我评估等操作风险管理工具。
第二十一条 操作风险监测。操作风险监测应通过设置并监测各类风险指标,动态、持续的监测操作风险状况及其控制/缓释措施的质量;快速发现政策、流程和内部控制出现的问题并采取相应的补救措施。操作风险监测可采用关键风险指标等操作风险管理工具。
第二十二条 操作风险控制/缓释。操作风险控制/缓释是指根据操作风险评估或监测结果,制订并组织实施操作风险控制/缓释行动计划的过程。通过流程控制、行为监控、电子化、保险、外包等一系列控制手段或缓释方法,对操作风险进行转移、分散、降低、规避,将操作风险暴露降低至可接受的范围之内。
第二十三条 操作风险报告和披露。本行应建立操作风险报告制度,明确报告的种类、路线、内容、格式和频率。各分支机构和各部门应当根据报告制度规定,及时、准确、真实地提交操作风险报告,并对报告内容负责。对于重大操作风险事件应及时报告董事会、高级管理层和监管机构。本行应根据法律法规规定及监管要求披露操作风险信息。
第二十四条 操作风险管理信息系统。为有效识别、评估、控制/缓释、监测和报告操作风险,本行应逐步建立并完善操作风险管理信息系统,为上述流程及相应的操作风险管理工具提供整合和实施的平台。
第五章 业务连续性管理
第二十五条 业务连续性管理的目标是将服务运行中断的影响最小化,保证关键业务中断时及时恢复,控制业务中断事件所带来的收入和资金的损失,保护银行的声誉和品牌。主要包括危机管理计划、业务连续性计划和灾难恢复计划。
第二十六条 各部门应当制定与其业务规模和复杂性相适应的业务连续计划或灾难恢复计划,保证持续经营,将重大或较大业务中断事件发生时导致的操作中断对银行业务、产品和服务的影响最小化。业务连续性计划和灾难恢复计划至少应考虑系统不可用、人员不可用、办公场所不可用、外部供应商不可用等场景下的恢复步骤、行动和措施。在业务连续性计划中涉及多个部门的协同工作时,风险部负责部门间的沟通与协调。
第二十七条 各部门应建立恢复服务和保证业务连续运行的备用机制,定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行。
第六章 新产品、新业务风险评估和外包风险管理
第二十八条 在新产品、新业务开发以及流程改造过程中,总行条线管理部门和总行风险管理部应针对其业务流程、信息科技系统、人员管理等方面进行操作风险的评估。
第二十九条 本行所有业务外包应经授权审批,外包前应充分识别和评估外包潜在的操作风险,并制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议,以明确各方的责任义务。
第三十条 本行可根据自身操作风险状况选择购买保险及与第三方签订合同,并将其作为缓释操作风险的一种方法,但不应因此忽视对操作风险的控制措施。
第七章 操作风险资本计量
第三十一条 按照巴塞尔新资本协议和银监会的监管要求,结合本行的实际情况,现阶段本行采用标准法(The Standard Approach, TSA)计算操作风险监管资本。在积累足够数据的基础上,未来将逐步过渡到操作风险资本高级计量法(Advanced Measurement Approach, AMA) 。
第三十二条 本行所有部门、分行、子公司、海外分行均应对操作风险资本计量提供必要的支持,各子公司、海外分行应定期向总行提供本机构操作风险资本计量相关数据。各子公司、海外分行应采用标准法作为本机构操作风险资本计量的方法,属地监管机构或所属行业监管机构的规定与本行规定不一致的,应及时报告总行并按总行的审批要求执行。
第八章 风险文化建设
第三十三条 成功的操作风险管理架构有赖于良好的风险文化。风险文化包括员工对风险的意识、态度及行为等。良好的操作风险文化因素包括:(一)全体员工明确自身在操作风险管理中的职责,每个岗位、员工均是操作风险的直接责任人;(二)董事会、高管层对操作风险文化持续推进、宣传;(三)业务、风险管理应由具备相关资质的人员完成;(四)科学合理的激励机制和充分暴露问题的文化。鼓励员工自由揭示、主动报告操作风险问题,鼓励越级实名举报不法行为。
第三十四条 多层次培训对于操作风险管理的成功具有关键作用。相关部门应通过不定期培训方式,协助各单位、人员提高操作风险管理水平、履行操作风险管理的各项职责,并就操作风险管理的内容和形式达成共识。
第三十五条 本行建立并落实操作风险管理工作的考核及奖惩机制,按照公开、公平、公正的原则,将操作风险管理的有效性纳入各分支机构和各部门的绩效考核范围。
第九章 附 则
第三十六条 本政策适用于总行各部门、境内外分支机构及本行控股子公司。
第三十七条 本政策自董事会批准之日起生效。
|
