银行操作风险管理政策

第一篇：银行操作风险管理政策

银行全面风险管理政策

宁城农商银行全面风险管理政策

第一章 总则

第一条 为完善风险管理体系和控制机制，全面提升风险管理能力，有效维护本行的稳健运行和持续发展，根据《中华人民共和国商业银行法》、《商业银行公司治理指引》和《银行业金融机构全面风险管理指引》等法律法规和监管文件，结合本行实际和章程要求，制定本政策。

第二条 风险是导致商业银行的资本、价值或收益遭受损失的可能性和影响程度。通过风险识别机制，定期对所面临的各类风险进行全面识别，并在各类风险中认定主要风险。主要风险是指可能导致重大损失的风险，以及独立评估风险程度不高、但与其他风险相互作用可能导致重大损失的风险。本行面临的主要风险包括：信用风险、市场风险、 操作风险(含信息科技风险、法律风险)、合规风险、流动性风险、集中度风险、声誉风险等。

第三条 风险管理是识别、计量、监测和控制风险的全过程。 全面风险管理是指本行围绕发展战略及风险偏好，建立和完善覆盖所有主要风险的全面风险管理体系，全面、有效地实施风险管理，确保发展战略、经营目标的实现。本行全面风险管理体系由风险文化和组织、政策、流程、技术管理体系等构成，主要包括以下要素：

(一)有效的董事会和高级管理层监督。

(二)适当的风险管理政策、程序和限额。

(三)全面、及时地识别、计量、监测和控制风险。

(四)完善的内部控制和有效的监督机制。

(五)适当的风险资本分配机制。

(六)有效的危机处理机制。本行通过内部资本充足评估程序实现资本要求与风险水平和风险管理能力的密切结合，有效维护本行的稳健运行和持续发展，提高 抵御风险的能力。

第四条 本行全面风险管理原则

(一)风险管理创造价值原则。全面风险管理目标应与发展战略目标一致，风险管理应平衡风险与收益，确保银行业务健康发展，实现股东价值的最大化。

(二)独立性原则。清晰界定业务部门和风险管理部门的职责和 报告路线，并确保风险管理部门的独立性。

(三)全面性原则。风险管理覆盖银行整体及各产品、各业务条线、各业务环节，覆盖所有的部门和岗位，对每一类风险都有效地管理。

(四)全员参与原则。建立全员参与的风险文化和配套机制，董事会、高级管理层及所属全体经营管理人员都应按照其工作职责参与风险管理工作，承担相应风险管理职责。

(五)匹配性原则。确保资本水平与承担的风险相匹配、收益与承担的风险相匹配，资产规模与风险管理能力相匹配，在适度风险水平下开展经营活动。

(六)审慎性原则。严格遵守审慎经营规则。

(七)有效融合原则。在确保风险管理相对独立的基础上，使风险管理更加贴近市场和业务，促进风险管理人员和业务人员充分合作，共谋发展、共担风险。

第五条 全面风险管理目标。本行建立和完善与发展战略、经营目标及财务状况相适应的，并与本行内部资本充足评估程序相互衔接和配合的全面风险管理体系，控制本行承担的风险在可承受的风险限度内，确保收益与承担的风险相匹配，实现股东价值的最大化。

第二章 风险战略和风险偏好

第六条 本行须根据风险状况和外部环境，确定与本行发展战略相适应的风险战略和风险偏好，并建立和完善风险战略和风险偏好的形成、传导和定期回顾机制。风险战略是本行根据自身条件和外部环境，为了实现发展战略进行的总体性、指导性规划，包括确定风险偏好、风险容忍度、风险管理有效性标准等风险管理目标和选择适合的风险管理工具等。风险偏好是建立于全行层面的，反映本行愿意承受的风险程度的总体观点。

第七条 董事会根据股东要求及本行发展战略、监管约束、资本总量和业务特长、管理能力等, 确定风险承担总量、种类、结构以及目标风险轮廓等，选择确定银行风险偏好。董事会定期听取关于风险战略和风险偏好体系执行情况的报告。高级管理层负责实施董事会确定的风险战略和风险偏好。根据不同风险对象的市场发展潜力和自身比较优势, 选择目标风险, 制定业务计划和配臵资源, 制定主要风险的管理政策、程序和限额等，确保各项限额与风险偏好保持一致，并与资本水平、资产、收益及总体风险水平等相匹配，通过将限额等风险容忍度指标体系分配至各业务条线、风险类型和产品线，使风险偏好贯彻于全行的所有层面，并确保风险偏好得到有效执行。各业务部门、分支机构等根据职能分工，以客户准入标准、信贷政策、信贷审批标准、投资指引、风险限额体系、定价和绩效评估等为载体，在日常经营管理活动中传导风险偏好。本行须定期对风险战略和风险偏好体系进行有效性和合理性审查，并根据内外部环境变化对风险战略和风险偏好体系进行调整。

第八条 本行须围绕发展战略、风险战略和风险偏好，建立和不断完善全面风险管理体系，通过风险偏好的有效传导来实现对各类主要风险的管理。

第三章 风险管理组织

第九条 本行建立董事会领导下的分工合理、职责明确、相互 制衡、报告关系清晰的风险管理组织体系。董事会和高级管理层对全面风险管理体系的有效性负主要责任。本行风险管理组织体系由董事会、高级管理层、总行职能部门、分支机构等层面组成。

第十条 本行建立风险管理组织体系的基本原则：

(一)建立有效的风险治理机制，清晰界定董事会、高级管理层、相关职能部门的风险管理职责及报告路线，形成职能清晰、独立运作、有效制衡的风险治理机制，建立良好的风险治理环境。

(二)建立总体上划分为三道防线的风险管理组织框架

1、第一道防线由各条线业务部门、各支行和各分理处组成，在业务前端识别、评估、应对、监控与报告风险。

2、第二道防线由风险合规部组成，通过监控、识别、评估和提示风险,对第一道防线的风险防控进行督促检查，协调配合，确保各层次风险管理职能的独立性。

3、第三道防线由稽核监察部组成，针对本行已经建立的风险管理流程和各项风险的控制程序和活动进行监督、评价。

(三)投入足够资源。全面覆盖各类风险本行须根据自身业务规模和复杂程度选择合适的风险管理组织架构，确保对银行总体风险和各业务条线、各分支机构和附属机构的风险进行有效识别、计量、监测和控制。本行应投入足够的资源以保证风险管理的有效性，不应因业务发展和市场竞争而影响风险管理组织架构的完整性。

第十一条 董事会负责保证本行建立完善的风险管理体系并有效运行，承担本行经营和管理的最终责任。董事会是本行风险管理的最高决策机构，确定本行的发展战略和风险战略，决定本行的风险管理政策，设定风险偏好，并监督战略与政策的执行。本行董事会下设风险管理委员会，负责拟定本行风险战略和可接 受的总体风险水平，报董事会批准后实施;对高级管理人员在信用、市场、操作风险等方面的风险控制情况进行监督;对本行风险管理基本制度和风险管理机制进行评估，并向董事会提出完善本行风险管理的意见;定期向董事会提交风险管理报告等。

第十二条 高级管理层负责实施董事会确定的发展战略、风险战略和风险管理政策，完善风险管理组织体系，制定风险管理制度和业务细则，建立识别、计量、监测和控制风险的程序和标准，对各类风险进行管理，保证本行的业务活动与董事会通过的风险战略、风险偏好和风险政策相符。本行高级管理层设立资产负债管理小组、风险管理小组、内控合规风险预警小组等专业组织。资产负债管理小组负责全行资产负债的综合管理和结构调整，负责流动性风险管理。风险管理小组负责全行风险管理工作，负责建立并维护全行风险管理体系，组织协调全行各项风险管理工作。内控合规风险预警小组负责全行内部控制及合规风险管理工作，负责建立并维护全行内部控制及合规风险管理体系，组织协调全行各项内控及合规管理工作。

第十三条 本行须清晰界定业务部门和风险管理职能部门的职责划分和报告路线，并确保各层次风险管理职能的独立性。 本行业务部门、风险管理职能部门、审计部门和运营支持管理部门(科技信息、人力资源、综合管理)等须相互独立，相互制衡。本行在统一的风险管理理念、原则基础上，按照信用风险垂直化管理、市场风险集中化管理、操作风险层次化管理原则，根据不同业务条线(部门)的业务规模、产品数量、业务复杂程度、风险特征、人员配臵等方面的不同，采取差别化的风险管理组织模式，包括直接参与模式、风险派驻模式和窗口指导等模式。

(一)本行业务部门负责各类业务的开展及其风险管理，作为风 险管理的第一道防线，在开展业务的过程中遵循风险管理政策、程序和限额等，对本条线部门的业务承担首要的风险管理责任。

(二)本行设立独立于业务部门的风险管理职能部门，根据职责 分工，对所负责的风险类别进行日常风险管理，监控风险管理政策、程序和限额的实施，并进行风险报告。

(三)本行运营支持管理部门负责各项业务操作流程的支持和监督，确保具备相应的系统和人力资源等配套设施按规定职责实施风险管理，并承担相应的监督责任。

(四)本行审计部门对全行各部门及机构、岗位和各项业务实施全面的监督和评价，包括检查、评价、报告风险管理的充分性和有效性，对董事会负责。

第十四条 本行分别指定具体部门，在高级管理层领导下， 对各类主要风险进行统筹管理。

(一)本行信用风险管理由业务发展部、三农服务部和各支行以及派驻各网点的风险监督员等统筹负责。

(二)本行市场风险(不含银行账户利率风险)管理由金融市场部及其团队统筹负责，并负责全行市场风险交易的执行，银行账户利率风险管理由计划财务部统筹负责。

(三)本行操作风险、合规风险管理由风险合规部统筹负责。

(四)本行信息科技风险管理由科技信息部统筹负责。

(五)本行法律风险管理由不良资产与法律事物部统筹负责。

(六)本行流动性风险管理由计划财务部统筹负责。

(七)本行银行账户风险暴露的集中度风险管理由计划财务部和派驻各网点风险监督员及其团队等统筹负责，交易账户风险暴露的集中度风险管理由金融市场部及其团队统筹负责。

(八)本行同业业务风险暴露的信用风险管理、市场风险管理、 流动性风险管理等由金融市场部及其团队、计划财务部等统筹负责。

(九)本行声誉风险管理由综合办公室统筹负责。 第十五条 对分支机构的风险管理 支行行长主持所在支行的全面风险管理工作，负责创造良好的风险管理环境，确保风险管理体系的有效性和风险管理目标的实现。本行对支行实行派驻风险监督员制度，由总行垂直领导，同时向所在支行行长汇报，并接受总行风险合规部、业务发展部、不良资产和法律事物部等的业务指导，保证风险管理的相对独立性。支行风险监督员负责所在行的信用风险管理以及授权权限内的授信审查工作，并协助支行行长开展操作风险、合规风险管理工作。

第四章 风险管理政策

第十六条 本行须从持续、前瞻的角度，建立与本行发展战略、经营目标和财务状况相适应，并与本行业务性质、规模、复杂程度和风险特征相适应的风险管理政策体系。本行风险管理政策体系按照分层管理原则，分为风险战略、风险管理政策、风险管理制度和风险管理细则等四个层级，涵盖各类主要风险。

第十七条 本行风险管理政策层级划分

(一)第一层级：风险战略和风险偏好、全面风险管理政策。

(二)第二层级：风险管理政策是针对各类主要风险分别制定的基本风险管理政策。 风险管理政策构成各类风险管理制度及业务细则制定的依据。风 险管理政策原则上包括风险管理组织框架与职责分工、风险管理政策制度体系、风险管理流程和技术等规定。本行按照信用风险管理、市场风险管理、操作风险管理、合规风险管理、流动性风险管理、声誉风险管理等主要风险类别，分别制定相应的风险管理政策。本行同时针对风险模型管理、风险数据管理、风险信息系统管理等方面，制定相应的风险管理政策。

(三)第三层级：风险管理制度。风险管理制度是对各风险管理政策在操作与执行层面的进一步细化，是针对风险管理基本流程的某些环节或特定类型的风险制定的综合性制度文件，包括有关风险管理组织架构、流程、各环节职责、以及每一环节中应遵守的操作准则、风险控制要求等。

(四)第四层级：风险管理细则。风险管理细则(单独制定或包括在业务管理办法中)，是针对具体产品、具体业务、具体客户或具体工作等制定的风险管理办法、操作规程和实施细则等。

第十八条 本行风险政策管理程序

(一)本行风险战略和风险偏好由董事会风险管理委员会拟定或审核同意，报董事会批准后实施。

(二)本行风险管理政策由风险合规部牵头起草或修订，经高级管理层审核同意后，报董事会或董事会风险管理委员会批准后执行。

(三)本行风险管理制度由风险合规部牵头起草或修订 (或审核同意)，报高级管理层批准后执行。

(四)本行风险管理细则由各条线业务部门起草或修订，风险合规部及其他相关部门会签同意，报高级管理层批准后执行。

第十九条 本行风险管理政策体系实行分层管理，低层级的管理制度、细则应遵守高层级政策制度。低层级制度、细则的调整如与高层级政策制度相冲突，应首先进行高层级风险管理政策、制度的修订，并按照政策管理程序报经批准修订后，才能继续进行下一步调整。

第二十条 本行在开展新产品和新业务之前须充分识别和评 估风险，制定相应风险管理政策、制度或细则，并按照政策管理程序获得董事会或其授权的专门委员会、高级管理层的批准。

第二十一条 本行须根据外部经济形势变化、市场变化、本行风险管理水平等情况，并在综合考虑业务发展、技术更新等因素的基础上，对风险战略、风险管理政策、制度和细则等定期重检和修订。

第五章 风险管理流程

第二十二条 本行须建立和健全风险管理流程，按照审慎性原则，全面、及时地识别、计量、监测和控制本行整体及在各产品、各业务条线、各业务环节、各层机构中的风险。本行须充分识别、计量、监测和控制各类产品存在的主要风险，也要充分关注在主要风险之外同时存在的其他风险类别，如交易账户 的信用风险，非交易业务的市场风险等。

第二十三条 本行建立风险管理流程应实现以下目标

(一)覆盖全行层面和单个业务条线层面，全面及时地识别、计量、监测、缓释和控制信贷、投资、交易、表外等重要业务的风险。

(二)风险管理流程能够充分识别主要风险暴露的经济实质。

(三)确保清晰的报告职责和报告线路，使各级管理层及时掌握风险情况，并根据规定程序采取相应措施。

(四)确保对新业务、新产品的风险管理和控制。新业务、新产品经风险评估，确保本行具备足够的风险管控能力，才能办理。

(五)建立定期评估和更新机制，确保风险流程和限额的合理性。

第二十四条 风险识别。本行须建立和完善风险识别制度和机制，设定主要风险的判断标准，采用适当的工具进行风险识别，描述风险的特征，系统分析风险发生的原因、风险的驱动因素和条件等，确保相关风险得到及时和充分地识别。

第二十五条 风险计量/评估。本行须从风险发生的可能性和影响程度两个维度进行风险计量、评估，并包括不同风险之间的关系分析。本行应确保计量、评估程序的合理性，风险计量的一致性、客观性和准确性;并充分考虑风险计量的主要假设和局限性，确保管理决策信息充分可靠。

第二十六条 风险监测。本行须建立和完善风险监测指标，对风险状况及其控制措施的质量实施动态、持续地监测。针对监测活动中发现的风险管理薄弱环节，及时进行改进。本行须建立和完善风险预警体系，监控风险变化，实现对风险的 全面预警、及时报告和快速反应。本行须建立标准化的风险报告体系，及时报告风险状况和重大损失情况。

第二十七条 风险控制。本行须根据自身条件和外部环境，根据确定的风险偏好，针对不同风险性质及风险特征，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具，采取适当的措施降低风险。

第二十八条 应急机制。本行须对重大事件、重大风险和重要业务流程建立应急机制，保证本行在发生紧急事故时，可及时应变，采取措施，使业务得以继续运作，将影响和损失降到最低。 本行制定重大风险应急预案实施程序，应包括监测预警、报告、 启动、实施与终止。应急预案的启动、报告与实施应采取分级负责、逐级上报的原则。

第二十九条 本行须定期对风险管理流程进行检查，使其能够充分 识别主要风险暴露的经济实质，实现对新业务、新产品的风险管理和控制，确保其完整性、准确性和合理性。同时，也应避免流程中存在 过时的措施、过度的控制，对本行资源产生不必要的消耗。

第六章 风险管理技术

第三十条 本行须建立和完善风险管理技术体系，在实践经验 和科学理论有效结合的基础上设计开发各类技术工具，并将其应用于包括识别、计量、监测、缓释、控制及组合管理的全面风险管理过程。 本行风险管理技术主要包括：日常的风险监测，数据测算、风险报告等，限于人员、技术、资金、系统等因素影响，无法进行高技术含量的风险预测。

第三十一条 对于主要风险，本行均应在管理实践和科学理论的基础上，通过定量与定性结合的分析方法，设计开发风险计量工具(包括模型及打分卡等)，并将其有效应用于业务实践。在一定数据积累的基础上，本行风险计量方法侧重于定量分析，同时辅以一定的定性方法，并将审慎的人工干预作为有效补充;对于数据积累相对有限的情况，应基于专家经验和定性分析设计风险计量工具。

第三十二条 本行须持续推动风险计量技术的精细化，持续提升风险识别及量化的精确性和可靠性。对于风险计量工具的开发、投产、应用及变更等，本行须严格遵循“三道防线”的内控体系，包括风险计量工具的开发、验证和审计。

第三十三条 本行对于主要风险的风险暴露，均须正确应用各类风险计量工具进行风险评估，并将风险评估结果作为风险管理的重要依据之一;本行将必要的风险计量技术作为开办新业务、拓展新领域的前提。

第三十四条 本行须积极推进经济资本计量体系建设，结合压力测试等方法，全面深化组合管理技术在资源配臵、风险定价、风险绩效评价等方面的应用，将组合管理技术作为系统性风险评估、集中度 风险管理、限额管理的重要手段。

第三十五条 本行须针对各类主要风险建设风险管理信息系统， 并持续推动风险管理全过程的电子化，通过全面深入的系统应用提升 风险管理的信息化程度，强化政策、限额及程序的执行力，强化过程 控制、降低操作风险。

第三十六条 对于已经建立信息系统的各类主要风险，其风险暴 露整个生命周期内各阶段的关键管理活动及管理信息均应在信息系 统中准确体现。各单位均须全面、准确、及时地在风险管理信息系统 录入相关信息，规范执行系统应用的各项要求，严格控制系统外业务 审批及交易操作的情况。

第三十七条 本行须建设开发具备相当深度、广度和可靠性的数 据管理系统，收集和存储风险暴露整个生命周期内的关键数据以支持 全面的统计分析，满足全面风险管理需要。

第三十八条 本行须对风险数据实施全面的质量管控，遵循“谁录入、谁负责”的原则，各单位均须从数据录入源头确保数据质量及 效率、及时更正数据差错，各条线归口部门对数据管理进行监控和督导。

第七章 主要风险的管理 第一节 信用风险管理

第三十九条 本行须按照信用风险垂直管理原则建立信用风险管理体系，并按照审贷分离、分级审批原则设立授信审批机构，确保授 信审批的独立性，并建立科学严谨的授信审批授权管理机制。 本行对授信业务须实行全流程管理，建立有效的岗位制衡机制， 将授信受理与调查、风险评估与审批、合同签订、发放和支付、授信 后管理等授信业务管理各环节的责任、工作标准和尽职要求等落实到 具体部门和岗位，并建立相应的考核和问责机制。 第四十一条 本行实施统一授信制度，本行所有银行账户信用风 险暴露和交易账户信用风险暴露，包括信贷业务和非信贷业务，所有 授信方式和授信品种，均纳入统一授信管理，并由获得相应授信审批 授权的审批机构或审批人审批。部分交易账户信用风险暴露可通过在 投资方案中明确准入标准和控制规模总量等方式进行管理。 第四十二条 本行须充分识别和评估各类表外风险暴露的潜在 影响，以及关联产生的声誉风险等。上述表外风险暴露包括合同性风 险、非合同性承诺和本行提供了隐形支持等情况。 对于融资机构的信用风险将导致本行重大声誉风险和本行提供 了隐形支持等的各类表外风险暴露，应根据业务开展情况、业务风险 程度及风险管理需要等，逐步纳入统一授信管理;尚未纳入统一授信 16 管理的，需制定明确的业务管理规定和业务审批程序，充分识别和评 估表外风险暴露的潜在影响，按照业务授权权限审慎审批批准后办 理。 本行须建立和完善对于各类表外风险暴露的风险监测程序和报 告程序。 第四十三条 本行主要采用内部评级法计量信用风险及其对应 的资本要求。本行须建立能够有效识别信用风险，具备稳健的风险区 分和排序能力，并准确量化风险的内部评级体系。 本行须评估采用信用风险缓释技术可能存在的剩余信用风险，评 估信用风险缓释管理的政策、流程、估值和信息系统的管理和合规要 求。本行采用压力测试和其他非统计计量方法进行补充，重视定性评 价在信用风险度量中的重要作用。 第四十四条 本行在单一与组合两个层面上对信用风险进行计 量与评估。本行须从行业、客户等维度，有效识别、计量、监测和控 制集中度风险，并根据本行经营规模和业务复杂程度对集中度风险确 定适当的限额，建立集中度风险报告制度，并定期对面临的主要集中 度风险进行压力测试。 第二节 市场风险管理 第四十五条 本行须按照市场风险集中化管理原则，将业务经营 中所面临的市场风险交易全部集中于总行资金部及其他授权机构进 行，其他机构未经高级管理层批准不得进行资金市场交易活动。 第四十六条 本行须按照规定将金融资产划分为交易帐户和银 行帐户，并根据交易帐户和银行帐户的不同性质和特点，采取相应的 市场风险识别、计量、监测和控制方法。 17 本行须建立和完善市场风险管理内部控制体系，确保前台交易人 员不得参与交易的正式确认、对账、重新估值、交易结算和款项收付。 第四十七条 本行须对每项业务和产品中的市场风险因素进行 分解和分析，及时、准确地识别所有交易和非交易业务中市场风险的 类别和性质。同时，关注市场风险与其他风险之间的相关性。 本行在技术系统和模型验证得到认可后，使用内部模型法进行市 场风险计量，并采用压力测试、返回检验和其他非统计类计量方法等 其他分析手段进行补充。 第四十八条 本行须对市场风险实施限额管理，包括交易限额、 风险限额及止损限额等，明确各类和各级限额的内部审批程序和操作 规程，根据业务性质、规模、复杂程度和风险承受能力设定、定期审 查和更新限额，对超限额情况制定监控和处理程序。 第四十九条 本行须选用适当的方法计量银行账户和交易账户 中不同类别的市场风险，对银行账户中的可供出售类资产进行定期估 值，对交易账户头寸按市值每日至少重估一次价值。 本行须建立有效的治理结构和控制程序确保估值的客观、准确和 一致，规范金融工具的估值，治理结构和控制程序应当同时适用于风 险管理和会计报告目的。市值重估应当由与前台相独立的中台、后台、 财务会计部门负责。用于重估的定价因素应当从独立于前台的渠道获 取或者经过独立的验证。 第五十条 本行须建立和完善市场风险监测和报告程序，对全行 总体市场风险头寸、风险水平、盈亏状况、市场风险限额执行情况等 进行持续监测和报告。 第三节 银行账户利率风险管理 18 第五十一条 本行须建立和完善与业务性质、规模和复杂程度相 适应的利率风险管理体系，熨平收益波动，确保本行在可接受的利率 风险范围内经营业务，平衡利率风险与收益，实现股东价值最大化。 本行利率风险管理遵循以下原则：

(一)审慎性原则：审慎评估和承担利率风险，充分识别潜在的 不利因素，严格遵循限额体系、及时有效地控制风险。

(二)全面性原则：充分识别利率风险来源，全面覆盖与利率风 险相关的业务领域。

(三)独立性原则：风险管理与风险承担相互分离，风险管理与 交易对冲相互分离，风险管理与内部控制相互分离，避免各主体间潜 在的利益冲突。

(四)适应性原则：利率风险管理应适应国内宏观经济、金融环 境和我行业务特点。 第五十二条 银行账户利率风险管理在法人和集团并表两个层 面上实施，境内分行的利率风险通过内部资金转移定价集中至总行统 一管理。 第五十三条 本行从外部环境、风险来源、影响程度、业务来源 进行利率风险识别，从整体收益和经济价值两个角度计量银行账户利 率风险。整体收益角度侧重计量利率波动的短期影响，经济价值角度 侧重计量利率波动的长期影响。本行的银行账户利率风险计量以整体 收益计量为主，经济价值计量为辅。 银行账户利率风险的常用计量方法包括但不限于缺口分析、久期 分析、敏感性分析、情景模拟及压力测试等。本行逐步开发和使用风 险计量模型来计量银行账户利率风险，合理选择、定期审查和调整模 19 型技术，对所承担的风险进行计量。同时，本行采用压力测试和其他 非统计类计量方法进行补充。 第五十四条 本行对银行账户利率风险实施限额管理，根据业务 性质、规模、复杂程度和风险承受能力设定限额并定期分析调整。 第五十五条 本行通过表内调节和表外对冲两种方式进行银行 账户利率风险控制。表内调节包括通过调整资产、负债的业务规模、 期限结构和利率特性来调节风险敞口，规避利率风险。表外对冲：运 用衍生工具，构造与原利率风险头寸相反的头寸，消除或缓释当前的 利率风险。 本行须对全行总体银行账户利率风险头寸、风险水平、风险限额 执行情况等进行持续监测并报告。 第四节 操作风险管理 第五十六条 本行操作风险管理的基本目标是在坚持依法合规 经营、加强内部控制的基础上，进一步完善操作风险衡量方法、管理 工具及政策体系，减少或缓解操作风险损失，将操作风险控制在适当 水平，为业务发展提供健康的内部运营环境。具体而言，本行的操作 风险管理应：

(一)以全面风险管理体系为依托;

(二)以强化内部控制和落实合规管理为基础;

(三)以操作风险管理体系建设和操作风险管理工具为支撑;

(四)以业务持续性管理和应急管理为补充;

(五)以内部审计监督为后盾。 第五十七条 本行的操作风险管理应以三道防线为基础，实施层 次化的管理，其中： 20

(一)总分行各业务部门、职能部门作为防范操作风险的第一道 防线，是本部门/条线操作风险的直接承担者和管理者，负有对操作 风险进行管理的第一责任;

(二)总分行风险管理部门、内控合规管理部门等作为防范操作 风险的第二道防线，其中总分行风险管理部门负责操作风险管理体系 的构建、操作风险管理工具的开发和相关操作风险管理工作的统筹、 支持和督促工作，总分行内控合规管理部门负责强化合规管理和内控 管理，为操作风险管理的落实提供支持;

(三)内部审计部门和纪检监察部门作为防范操作风险的第三道 防线，其中内部审计部门负责对操作风险管理体系的运行情况进行审 计，并依照规定揭示和报告审计过程中发现的问题，纪检监察部门对 有关案件进行查处和责任认定，并对有关责任人进行问责。 第五十八条 本行的操作风险管理应嵌入并依托全面风险管理 体系，借助信用、市场、流动性等风险相对成熟的管理流程、机制、 方法、系统实现对相关业务的操作风险管理。 第五十九条 本行的操作风险管理应以强化内部控制和落实合 规管理为基础，并以内部审计监督为后盾。通过有效的内部控制和合 规管理，确保操作风险识别、评估、控制/缓释、监测、报告工作的 落实，并通过内部审计监督，确保操作风险管理体系的有效性。 风险管理部门、内控合规管理部门、监察保卫部门以及审计部门 等应各司其职并加强联动和对接，统一工作重点、协调工作措施、分 享工作成果，共同促进本行操作风险管理能力的有效提升。 第六十条 本行的操作风险管理应以业务持续性管理和应急管 理为补充。通过不断完善突发事件应急处理机制，保证本行在发生紧 21 急事故时，可及时应变，采取措施，使业务得以继续运作，将影响和 损失降到最低。与此同时，应稳步推进业务持续性管理体系的规划和 建设，建立和完善恢复服务和保证业务连续运行的备用机制。 第五节 信息科技风险管理 第六十一条 本行将信息科技风险作为操作风险的一个组成部 分纳入全面风险管理体系，参照操作风险层次化管理的基本理念，从 文化、组织、制度、流程与技术五个维度进行信息科技风险管理体系 的构建，并不断完善。 第六十二条 信息科技风险管理应遵循本行操作风险统一的组 织管理架构;

(一)信息科技部门及相关信息科技基础设施和系统的使用部 门，作为防范信息科技风险的第一道防线，是本部门职责范围内的信 息科技风险的直接承担者和管理者，对信息科技风险管理承担第一责 任;

(二)风险管理部作为防范信息科技风险的第二道防线，负责信 息科技风险管理体系的构建和对信息科技风险管理的支持和督促工 作;

(三)审计部作为防范信息科技风险的第三道防线，负责对信息 科技风险管理体系的运行情况进行审计，并依照规定揭示和报告审计 过程中发现的问题。 第六节 合规风险管理 第六十三条 本行须建立在本政策和合规风险管理政策指导下 和合规负责人直接领导下的分层合规风险管理架构。通过建立健全合 规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险 22 管理体系建设，确保依法合规经营。

(一)董事会和高级管理层应高度重视合规风险管理工作，配备 有效履行合规管理职能的资源，保障合规管理的独立性和权威性。

(二)本行应建立合规风险监测、识别、评估及预警机制，并通 过合规风险管理有效性指引，推动各单位建立有效的合规风险管理体 系。

(三)各条线/部门应对本条线/部门的合规风险管理负首要责 任，应在具体经营中发挥相应的自我管理合规风险的作用。

(四)合规管理部门应积极主动地全面履行合规管理职能，并督 促、协调、指导各相关部门履行合规职能，主动发现、全面筛查、提 前预警合规风险。 第六十四条 本行须确立全员主动合规、合规创造价值等合规理 念，在全行推行诚信与正直的职业操守和价值观念，提高全体员工的 合规意识;并逐步建立科学、合理的合规绩效考核制度，建立有效的 合规问责制度，建立诚信举报制度等。 第七节 流动性风险管理 第六十五条 本行须坚持审慎性原则，充分识别、有效计量、持 续监测和适当控制银行整体及在各产品、各业务条线、各业务环节、 各层机构中的流动性风险，确保银行在正常及压力状态下均有必要的 资金应对资产增长和到期债务支付，保持盈利目标与流动性风险的动 态平衡。 第六十六条 本行须根据经营战略、业务特点和风险偏好测定自 身流动性风险承受能力，并以此为基础制定流动性风险管理策略、政 策和程序。风险承受能力用定量方式表达，包括在正常情况和压力状 23 况下银行可以承受的未经缓释的流动性风险水平。 第六十七条 本行须根据监管要求和风险偏好设定流动性风险 限额，并根据限额的性质确定相应的监测频度。 第六十八条 本行须根据经营和现金流量管理情况设定并监控 银行内外部流动性预警指标，分析面临的潜在流动性风险。 第六十九条 本行须针对流动性风险管理建立明确的内部评价 考核机制，将各分支机构或主要业务条线形成的流动性风险与其收益 挂钩，从而有效地防范因过度追求短期内业务扩张和会计利润而放松 对流动性风险的控制。 第七十条 本行须按照审慎原则定期开展流动性压力测试，评估 流动性储备的充足性，确定其应当采取的风险缓释策略和流动性应急 措施。 第七十一条 本行须根据本行业务规模、复杂程度、风险水平和 组织框架等制定流动性应急计划，并确保应急计划与流动性监控、预 警、压力测试等有效衔接。 第八节 集中度风险管理 第七十二条 本行须充分识别和评估各类集中度风险，包括识别 和评估不同业务条线的类似暴露所导致的整体集中度风险，充分考虑 各类风险之间的关联产生的集中度风险，包括信用风险与市场风险、 流动性风险、声誉风险等各类风险相互作用产生的风险;并充分评估 在压力市场条件下、经济下行和市场不具备流动性情况下可能产生的 集中度风险。 集中度风险应涵盖银行账户和交易账户、表内和表外项目的所有 风险暴露，包括：交易对手或借款人集中风险、地区集中风险、行业 24 集中风险、信用风险缓释工具集中风险、资产集中风险、表外项目集 中风险、其他可能给本行带来损失的单个风险暴露或风险暴露组合。 第七十三条 本行集中度风险管理须遵循以下原则：

(一)组合管理原则。通过风险限额及资本分配等手段，主动调 整及优化组合结构，对集中度风险实施主动的组合管理。

(二)适度分散原则。逐步实现风险暴露在国家、行业、地区、 产品、客户、期限和币种等维度上的适度分散。

(三)前瞻性原则。对未来经营环境可能发生的重大变动及其影 响进行前瞻性的定性或定量分析，充分评估可能产生的集中度风险。 第七十四条 本行对集中度风险实施限额管理，根据业务性质、 规模、复杂程度和风险承受能力设定适当的限额并定期重检和调整， 并采取有效的措施确保限额在经营管理中得到遵循，逐步建立多维度 的集中度风险限额管理体系。 第七十五条 本行须采用多种技术手段并从多个角度识别、计量 和评估面临的主要集中度风险。本行须定期对面临的主要集中度风险 进行压力测试，识别可能对本行经营带来不利影响的潜在因素，并根 据压力测试结果采取相应的处臵措施。 第七十六条 本行须对集中度风险进行持续监测，监测内容包括 限额执行情况、影响因素及变化趋势等;及时采取限额调整、调整业 务发展策略、资产转让与证券化等措施控制集中度风险。 第七十七条 本行须建立和完善集中度风险报告程序，对全行集 中度风险的主要风险因素变化情况、风险水平、限额执行情况等，定 期对或不定期向董事会和高级管理层进行报告。 25 第九节 资产证券化风险管理 第七十八条 本行须建立与业务性质、规模和复杂程度相适应的 资产证券化风险管理流程，有效识别、计量、控制、监测和报告资产 证券化风险，将资产证券化风险控制在本行可以承受的范围内。 资产证券化风险暴露包括但不限于资产支持证券、信用增级、流 动性便利、利率互换、货币互换、信用衍生工具和分档次抵补等。 资产证券化风险包括各类资产证券化产品的信用风险、市场风 险、流动性风险和声誉风险等;证券化基础资产的拖欠和损失风险; 对特殊目的机构的信用支持和流动性支持风险;保险机构及其他第三 方提供担保的风险等。 第七十九条 本行对资产证券化业务实施限额管理，制定各类和 各级限额的内部审批程序和操作规程。 本行作为资产证券化交易的发起行时，应当评估资产证券化风险 转移的程度，尤其是评估通过非合同形式对资产证券化提供的隐性支 持。对于未能实质性转移风险的或提供了隐性支持的资产证券化交 易，本行应持有与未证券化风险暴露相当的监管资本。 本行投资于资产证券化产品时，须持续进行基础风险分析，不能 完全依赖外部评级机构的信用评级进行投资决策。 第八十条 本行须逐步开发必要的量化分析工具、估值模型和成 熟的压力测试技术等计量/评估所有相关风险。 本行须在单个交易、同一业务条线以及跨业务条线等多层面计量 /评估资产证券化的信用风险。 本行须建立和完善资产证券化风险监测程序和报告程序，对全行 26 资产证券化风险的风险水平、限额执行情况等进行持续监测并报告。 第十节 声誉风险管理 第八十一条 本行须建立声誉风险管理体系，主动、有效地防范 声誉风险和应对声誉事件，减少对社会公众造成的损失和负面影响。 第八十二条 本行须着力建设良好的公共关系基础，建立及持续 维护良好的公众形象。 第八十三条 本行须建立全面的声誉风险监测和控制体系，包 括：

(一)声誉风险排查，分析声誉风险和声誉事件的发生因素和传 导途径。

(二)舆情信息监测及识别，实时监测分析舆情信息，及时澄清 虚假信息或不完整信息。

(三)投诉处理监督评估,从维护客户关系、履行告知义务、解 决客户问题、确保客户合法权益、提升客户满意度等方面实施监督和 评估。

(四)声誉事件分类分级管理，明确管理权限、职责和报告路径。 第八十四条 本行须建立声誉风险事件的应急机制，保障声誉风 险事件能够得到迅速识别、报告、决策和响应。 本行应对可能发生的各类声誉事件进行情景分析，制定预案并开 展演练。 第八十五条 本行须对信息发布和新闻工作实施集中归口管理， 及时准确地向公众发布信息。 第八十六条 本行须建立声誉风险管理内部激励和约束机制，对 声誉风险管理实施后评价，对声誉事件应对措施的有效性及时进行评 27 估和问责。 第十一节 战略风险管理 第八十七条 本行须逐步建立与自身业务规模和产品复杂程度 相适应的战略风险管理体系，对战略风险进行有效的识别、评估、监 测、控制和报告。 第八十八条 本行须持续强化外部环境及趋势的研究分析能力， 包括宏观经济周期、国家政策、行业发展等，为战略决策提供有效支 持。 第八十九条 本行所设定的战略目标，从外部角度，应统筹兼顾 利益相关方、外部环境及宏观经济趋势;从内部角度，应与企业文化、 组织架构、基础设施、管理能力、人力资源、系统及内控能力相匹配。 第九十条 本行须逐步建立全行广泛参与的战略风险监测及反 馈机制，能够及时汇总、分析来自不同来源的有关宏观经济和政策变 化等信息，并将战略风险因素及时报告至高管层和董事会。 第九十一条 本行须逐步建立战略规划评估及监督体系，评估宏 观经济和政策变化对银行战略目标和计划的影响，根据外部环境变化 及时评估战略目标的合理性和一致性，并采取有效措施控制战略风 险，必要时对目标和计划进行调整。 第八章 风险管理报告 第九十二条 本行须建立和健全风险报告体系，针对不同类型的 风险明确风险报告职责和报告程序、报告内容和频率。定期监测和报 告本行风险水平和主要影响因素的变化趋势，对银行的风险现状进行 汇总、分析，对各种风险管理政策的实施效果进行分析，形成定期、 不定期综合及专题报告，确保董事会及其风险管理委员会、高级管理 28 层及时监控本行各类风险，采取有效措施防范和化解风险。 本行风险管理报告原则上均采取纵向与横向结合的矩阵式路线 报送，及时、准确、可靠地报送各级风险决策机构。 第九章 风险信息披露 第九十三条 本行风险信息披露须遵守国家法律法规、财务会计 制度、监管规定等有关信息披露的规定和要求，按照准确性和及时性 原则进行，并遵守本行有关保密制度规定。 本行须建立和完善风险信息披露政策和程序，包括决定风险信息 披露内容的方法和信息披露的内部控制，保证所披露信息的真实、准 确、完整。 第十章 风险管理文化 第九十四条 本行应致力于建立良好、诚信的企业文化和价值准 则，树立“通过对风险的有效管理创造价值”的主动型风险管理文化 理念，倡导“互信、合作、融入、共担”的风险文化。 第九十五条 本行须将风险文化建设融入企业文化建设的全过 程，通过高层表率、持续培训、激励机制和考核体系等的配合，建立 良好的风险管理环境，将风险管理意识转化为员工的共同认识和自觉 行动，促进企业风险管理水平和员工风险管理素质的提升，促进本行 建立系统、规范、高效的风险管理机制。 本行须运用足够的资源及利用内部各种沟通渠道，将风险管理理 念、政策及管理制度传达到各级人员，以确保各级人员及时和准确地 了解董事会和高级管理层的意图，正确履行所承担的职责;本行须充 分重视员工在风险管理中的作用，支持员工将发现的风险及风险管理 29 中存在问题及时向管理层进行报告。 本行须建立并落实公开、公平、公正的风险考核及奖惩机制。 第十一章 附则 第九十六条 本政策经董事会风险管理委员会审议通过后发布 实施，并根据经济发展趋势、市场变化、本行发展战略、经营目标和 其它资源变化等情况，定期(通常为每年)重检与修订。 第九十七条 本政策自颁布之日起实施。 附件：主要风险的定义 30 附件： 主要风险的定义

1、信用风险是指由于借款人或交易对手违约而产生损失的风险。

2、市场风险是指因市场价格因子(利率、汇率、股票价格和商 品价格)的不利变动而使银行表内和表外业务发生损失的风险。

3、操作风险是指由不完善或有问题的内部程序、人员、系统以 及外部事件所造成损失的风险。操作风险包括法律风险和信息科技风 险。 法律风险是指因监管措施和解决民商事争议而支付罚金、罚款、 处罚赔偿金所导致的风险。 信息科技风险是指计算机、通信、微电子和软件工程等现代信息 技术，在银行业务交易处理、经营管理和内部控制等方面的应用过程 中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作风险。

4、合规风险是指银行因没有遵循法律、规则和准则可能遭受法 律制裁、监管处罚、重大财务损失和声誉损失的风险。

5、流动性风险是指商业银行虽然有清偿能力，但无法及时获得 充足资金或无法以合理成本及时获得充足资金以应对资产增长或支 付到期债务的风险。

6、银行账户利率风险是指利率水平、期限结构等要素变动导致 银行账户整体收益和经济价值遭受或有损失的风险。

7、集中度风险是单个风险暴露或风险暴露组合可能给银行带来 重大损失或导致银行风险轮廓发生实质性变化的风险。

8、资产证券化风险是指银行在参与资产证券化交易过程形成的 风险。资产证券化风险暴露包括但不限于资产支持证券、信用增级、 31 流动性便利、利率互换、货币互换、信用衍生工具和分档次抵补等各 类资产证券化业务形成的表内外风险暴露。

9、国别风险是指由于某一国家或地区经济、政治、社会变化及 事件，导致该国家或地区借款人或债务人没有能力或者拒绝偿付银行 业金融机构债务，或使银行业金融机构在该国家或地区的商业存在遭 受损失，或使银行业金融机构遭受其他损失的风险。

10、声誉风险是指由商业银行经营、管理及其他行为或外部事件 导致利益相关方对商业银行负面评价的风险。

11、战略风险是指商业银行经营策略不适当或外部经营环境变化 而导致的风险。

第二篇：银行柜面操作风险

1风险:人员，系统，流程，外部事件导致银行和客户资金财产损失(内部，外部) 2类型:操作失误，主观违规，内部案件，外部欺诈，技术风险

3操作风险:声誉影响，管理影响，发展影响

4任何岗位都应该有岗位责任制的订立

5“三清原则”：客户认清，钞券点清，一笔一清

6禁止：假作废，假遗失凭证，私留废纸的凭证，违规跳号使用，先在凭证上加盖印章私自将凭证带离营业场所，不按规定运送凭证。

7账户违规：销户后不销毁凭证，违规办理查询冻结解冻扣划，虚增存款调剂库存擅自垫款

压款无理退票，长款私拿，短款自补，以长补短。违规揽存，虚假宣传，

8三先三后：先卡大数，后点细数先点主币，后点辅币先点大面额票币，后点小面额 9会计印章：专匣保管，固定存放，临时离岗，人离章收。错用，串用，提前过期使用。 10柜员短暂离柜5分钟之内，可不签退，但必须将现金抽屉，票夹门上锁。

11受理票据业务：一听，二看(双色底纹印刷，渗透性油墨)，三摸(纸张挺括感，水印凹

凸感，下排流水号凹凸感)，四测(看颜色，规格，暗记，填写规范)

12装现取钞：同装同取同清点，钱箱启闭符合:同开同闭同加锁。

13柜面业务规范:一核(三见面三核对，账折，账款，凭证款项)二平，三定，四准卡点卡， 五清，六发现差错三立一定(立即清点，立即分析原因立即采取措施，定期总结经验) 14严格执行，印，押，证分管。

1票据行为:产生票据权利和义务的法律事实。

2票据特征：金钱有价完全证券(谁占有归谁)，要式证券(类型和格式，内容有法律规定)，

无因证券(无条件支付)，流通证券(背书转让)，文意证券(由出票人定大小)，

设权证券(权利可以创设)，融资证券工具(可以贴现)

3票据权利(付款请求权，票据追索权)，请求权对象(付款人或代理)，追索权对象(承兑

人，前手，连带债务人)，权利补救(申请止付，公示催告)

1存款经济概念:银行的货币信用行为，法律概念：契约行为。

2管理部门，银监会，人民银行，外管局。管理制度：准备金，基准利率，利率公告 账户管理，实名存款，分类开户，大额预约。反洗钱管理,大额现金，可疑现金。

3金融犯罪，指行为人违反国家金融法，根据刑法应受刑事惩罚的行为。社会危害性，刑事

违法性，应受惩罚性。

第三篇：商业银行操作风险管理

华北金融

浅议商业银行操作风险的管理

孙波涛

摘要：操作风险是银行需要管理的最基础的风险之一，它是与银行的业务相依相存的。在金融业全面开放，国有商业银行加快推进股份制改造步伐的新形势下，必须有效加强基础管理，防范操作风险，建立风险防范长效机制，不断增强操作风险识别和控制能力，提高内控管理水平。

关键词 《巴塞尔新资本协议》 操作风险管理现状 操作风险文化 内部控制体系

商业银行在社会发展中具有支持经济发展、实现自身利润最大化、承担社会责任的角色。商业银行是经营风险的企业，风险管理能力是其核心能力。相对于信用风险和市场风险的管理，操作风险管理从理念、手段、技术应用等各方面都存在明显差距，操作风险的影响力和破坏力日益显现，因此对操作风险的研究和管理也迫在眉睫。

一、 操作风险的产生及定义

巴塞尔银行监管委员会对操作风险的定义是：操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。《巴塞尔新资本协议》把操作风险分为由人员、系统、流程和外部事件所引发的四类风险，并将其归纳为七种表现形

1式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。我国银监会明确指出，操作风险与信用风险、市场风险等并列，在于银行内部控制及公司治理机制的失效。可见，操作风险更多来自于内部不当程序和操作，有着内生性、广泛性、复杂性的特点。

二、当前商业银行操作风险管理的不足

(一)操作风险意识不强，合规文化相对缺失。基层行对操作风险管理缺乏系统认识，对操作风险管理功能的职责界定不清，基层合规文化建设和教育相对落后，制度建设相对滞后，操作风险管理职能分散于业务条块中，职能相对分散而弱化，全面风险观念尚未从根本上得以贯彻和重视。

(二)操作风险管理方式和技术手段落后。没有建立如风险评估、关键风险指标、损失事件、风险数据库、情景分析等相关的科学管理手段，缺乏有效的事前防范和事中控制，对易发生操作风险的环节、岗位缺乏有效的防范措施，发生操作风险后，只是突击检查、查找漏洞、进行整改、处理有关责任人。

(三)操作风险管理体系不完整。没有完全覆盖操作风险的识别、评估、监测、缓释、控制和报告等程序和环节，基层行只能在控制和报告环节被动工作，对于新产品、活动和系统推出过程中的风险控制显得盲目被动。

(四)专业人才匮乏。尤其在一些数据模型、预测分析工具应用过程中，专业人才匮乏。

三、加强商业银行操作风险防范的对策

(一)认真贯彻落实银监会要求商业银行进一步防范操作风险的13条指导意见。 严格按照《关于加大防范操作风险工作力度的通知》要求，切实采取有效的贯彻执行措施。

(二)在文化上，践行稳健合规的经营管理理念，建立操作风险管理的先进合规文化，夯实操作风险管理的基础。 一是要树立风险控制优先的理念，注重预防，强化风险的过程控制;二是建立操作风险管理的先进合规文化，要坚持速度、规模、质量和效益的协调发展;三是要坚持业务发展与内部管理并重，加强精细化经营管理，强化内控，形成事前防范、事中控制、事后监督和纠正的动态风险防范机制。

(三)在体制机制上，继续深化改革，为操作风险管理提供根本保障。 一要构建系统、透明、文件化的操作风险控制体系，提升管理层次，实时、连续、有效地控制;二要优化业务流程和管理流程，确保对条线内的人员、产品、岗位、系统以及活动进行有效控制，并充分识别、及时报告和有效处置重大风险隐患;三是要前移风险控制关口，健全委派会计主管、风险经理和纪检监察特派员等组织体系，探索建立垂直化的管理体制，确保风险控制和监督人员独立、有效的履行职责;四是要改进考核评价机制，把风险及内控管理纳入考核体系，有效引导各级机构树立正确的业绩观;五是根据发展战略、业务规模和对风险的预测，灵活运用风险转移、分散、降低、规避等策略，完善风险缓释工具。

(四)在管理上，提高控制能力和操作风险管理的有效性。一是要加强对各级管理人员的管理，正确处理好局部与全局、当前与长远的关系;二是要重点加强对基层机构负责人的选配、考核、评价及日常管理，在强调品德、知识、业务拓展能力的同时，把管控能力作为

基层机构负责人选拔与评价的重要标准;三是要加强对员工队伍的管理、监督和约束，严格执行重要岗位轮换、强制休假等制度，认真开展员工行为排查等各项活动。

(五)在执行上，认真遵守各项制度，提高操作风险管理水平。操作风险管理不仅要与产权改革、完善法人治理结构相结合，使经营者与风险承担者统一起来。同时健全内控制度，包括岗位责任制度、授权审批制度、业务操作制度、责任追究制度、相关业务配套控制制度、突发事件控制制度等在内的一系列制度，对各类业务的流程进行基于风险管理的再造。

(六)在信息技术上，完善现代管理工具，提高操作风险管理的信息化水平。一要推进信息技术建设，完善数据仓库，建立覆盖所有操作风险的监控体系;采用具有前瞻性的关键风险指标，提供早期预警;建立和保持信息交流机制，确保操作风险监测的全面性，运用技术手段提升管理水平和风险控制能力;二要加快对营业网点的监控联网，实施远程、实时、集中监控，建立新的监督检查平台，提升防范操作风险的科技水平;三要加强信息安全体系建设，完善信息安全基础平台，确保与信息安全相关的资源、技术、管理等因素始终处于受控状态。制定和完善应急预案，提高预防能力，严防信息技术管理风险和案件的发生。

参考文献

【1】董建军 刘楠 李金泽.《商业银行内部控制指引》导读[M].北京：中国言实出版社，2002 ：1-60

【2】覃正 郝晓玲 方一丹. IT操作风险管理理论与实务[M].北京：清华大学出版社，2009：7-20

作者简介：孙波涛，(1968年—)，男，河北永清人，硕士研究生，办公室主任，经济师，供职于中国建设银行股份有限公司廊坊分行

第四篇：我国银行操作风险管理论文

摘要：随着金融管制的放松，银行经营业务范围及产品进一步多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理迫在眉睫。目前，我国银行业普遍存在着内部控制不完善的问题，导致了操作风险的频发，主要原因是银行业内部体制不健全，操作风险管理意识薄弱，因此，应在内部控制体系的构建入手，设计出一套适合我国商业银行操作风险的管理体系。

关键词：操作风险；公司治理结构；内部控制

长期以来，社会各界对银行业的风险管理都聚焦于信用风险和市场风险，而对操作风险并未予以足够的重视，对其认识和管理都处于较低水平。然而，随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理也迫在眉睫。在此背景下，2004年的巴塞尔新资本协议规范了操作风险的定义①，并提出操作风险的最低资本要求，为各国银行业加强操作风险管理敲响警钟和提供指导；中国银监会于2007年6月发布了《商业银行操作风险管理指引》（以下简称《指引》），为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。

一、我国银行业操作风险危机四伏

受旧体制等不利影响，我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。

通过综合分析我国银行业操作风险损失事件，其具有的特点主要有：

1．操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈，其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式，并且这种类型的损失事件一旦发生，就具有单笔损失金额大和社会影响力大的特点。

2．操作风险大都发生在基层分支机构，且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构，总、分行则更偏重于行使管理职能，当分支机构距离较远、受到的监管较弱时，分支机构的一些违规操作就不易被发现，操作风险发生的可能性就更大。

二、我国银行业操作风险的影响因素

目前，我国银行业普遍存在内部控制制度不完善的问题，这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在：

1．操作风险管理意识薄弱。目前，我国银行业的主营业务仍以信贷为主，因此银行风险管理的焦点都集中于信用风险，而对于操作风险，从管理层到基层员工对其管理的意识都有待于提高。

2．操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门，对其管理主要是依靠非专业部门负责，以定性管理为主，主要依赖专家的主观判断，缺乏科学和专业的管理。此外，根据巴塞尔新资本协议，用于计算监管资本的内部操作风险计量法，必须建立在对内部损失数据至少5年的观察基础上，而我国由于缺乏数据，很少采用定量分析控制操作风险的科学方法。

3．分行制的组织形式不利于监管。我国银行主要采用分行制，该体制下的直线管理职能削弱了内部控制的力度和有效性，各层次的负责人横向权利过大，为操作风险的孕育提供了空间。

4．管理体系不完善。我国银行业普遍存在管理层次多而繁杂，各层次权责不清，缺乏相互制衡、权责明晰和相互独立的管理体系，容易出现管理的真空地带和重复低效管理。

5．管理制度不健全。我国银行业风险管理所需的制度建设不健全，现有的制度大都流于形式，存在不切实际、难以执行的问题，此外，仍有部分正常经营所必备的规章制度缺位，导致管理盲点的存在。

三、完善我国银行业操作风险管理体系

由于我国银行业对操作风险的重视长期不足，导致银行对操作风险的管理长期处于低效率和不足的水平。因此，克服各种不利因素，及时建立完善的操作风险管理体系，具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系，因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合ＣＯＳＯ委员会关于内部控制五要素的阐述和银监会发布的《指引》，设计一套适合我国银行业操作风险管理的体系。

ＣＯＳＯ委员会所述的内部控制包括五要素：控制环境、风险评估、控制活动、信息与沟通和监控，以下分别从这五方面构建操作风险管理体系。

（一）控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化，影响银行内部各成员的风险意识，关系着风险管理控制制度的贯彻和执行。

《指引》指出，操作风险管理需要创造一个良好的控制环境。首先，银行董事会应充分了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类别，努力促进这种公司文化的建立，并且提供充足的资源支持在各职能部门实施操作风险管理，还应当把操作风险管理纳入到业绩评估程序中，强调风险管理为银行关注重点。其次，应建立一个能够有效执行操作风险管理框架要求的组织架构，该组织架构应明确界定各职能部门的责权关系、上下级报告关系，并且制定严格的监管审计制度。最后，应根据本行对操作风险的承受能力，制定规范的操作风险管理政策，该政策应对存在于本行各类业务中的操作风险进行界定，列明本行操作风险的具体构成，应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。

（二）风险评估

风险评估是指操作风险管理部根据职能部门的信息，识别、量化和分析相关风险以实现既定目标，从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统（如图1所示）：　1．风险识别子系统

风险识别子系统的作用是将操作风险进行定义和分类，它的主要部分是“知识库”。“知识库”是一种风险映射，将职能部门的业务与风险类别之间建立对应关系。具体来说，“知识库”将银行业务分为若干个风险档次，并将所有的业务归类到相应的风险档次之中，并存储在数据库的相应位置。

2．风险计量子系统

风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上，利用“模型库”中的风险计量模型对风险进行量化，将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险，“模型库”再将风险计量模型计算机程序化，即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标，在“模型库”计算出风险值之后，“预警库”就可以对实际风险承担与预先设定的风险限额自动比较，若发生超限额的情况，“预警库”会将该信息同时反馈到风险评价子系统中，实现实时风险监控的功能。

3．风险评价子系统

风险评价子系统主要提供风险汇总报告，并对各职能部门风险承担状况进行评价，为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果，根据指定的报告模式进行综合汇总，为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析，通过对具体风险的分析评价，提出风险改进意见。

总的说来，风险评估系统中，风险识别子系统归类操作风险，风险计量子系统量化操作风险，评价子系统评价并报告操作风险。这一系列活动的完成，关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点，设计出自己的风险管理程序，或者直接从专业公司引进成熟又适合自身的风险管理系统。

（三）控制活动

控制活动是指那些有助于管理层决策顺利实施的政策和程序，主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。

首先，《指引》明确规定了各组织层次在操作风险管理系统中的职责，以便整个系统有条不紊的运作，各层次的职责具体为：银行高层负责制定操作风险管理的战略和总体政策；风险管理委员会建立风险管理的操作方法；各职能部门具体实施。

其次，对各职能部门活动的控制分为两个层次：第一个层次是各职能部门，应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况，及时通报重大操作风险事件；第二个层次是操作风险管理部门应当提供风险预警指标，将风险限额建立在各业务部门的不同的层面，然后为每个关键风险指标设定门槛值，一旦风险值超过门槛值则启动预警系统。

最后，操作风险部门应当对于超过门槛值的采取必要的整改措施，及时修正执行中的偏差。

（四）信息与沟通

各职能部门的信息沟通是整个操作风险系统的基础，系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部，才能及时进行信息分类。《指引》规定，职能部门应当根据统一的操作风险管理评估方法，建立持续、有效的操作风险报告程序，从制度上建立有效的信息和沟通机制。此外，《指引》要求建立案件查处和相应的信息披露制度，通过对案件查处的信息披露有良好的警示作用，对案件的及时总结能有效地避免同类风险事件的发生。

（五）监控

监控的核心在于监控的制度性和监控的独立性。《指引》规定，监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系，清晰的监控系统可以明确监管者的责任范围，而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立，不能存在从属关系，应当受董事会或其下属的审计委员会直接领导。

与此同时，银行还需要对其内部监管人员进行严格培训，使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控，及时预见潜在风险并极力阻止其发生，实现银行操作风险的有效管理。

参考文献：

[1] 阎达五，宁建波．双元控制主体构架下现代企业会计控制的新思考[Ｊ]．会计研究，2000．

[2] 钟伟．论跨国银行操作风险管理模型的新进展[Ｊ]．学术月刊，2004．

[3] 钟伟．新巴塞尔协议和操作风险高级衡量法框架[Ｊ]．金融与经济，2005．

[4] 樊欣，杨晓光．操作风险管理的方法与现状[Ｊ]．证券市场导报，2003，（6）：64－6．

[5] 钟伟，王元．略论新巴塞尔协议的操作风险管理框架[Ｊ]．国际金融研究，2004．

[6] 赵家敏，张倩．银行操作风险计量与管理综合模型研究[Ｊ]．国际金融研究，2004．

第五篇：南京银行信息科技风险管理政策

南京银行股份有限公司信息科技风险管理政策

第一章 总则

第一条 为进一步完善南京银行股份有限公司（以下简称“本行”）全面风险管

理体系，保证本行业务的可持续发展，依据中国银行业监督管理委员会《商业银行

信息科技风险管理指引》并结合本行实际，制定本政策。

第二条 本政策所称信息科技风险是指本行在运用信息科技过程中，由于自然

因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第三条 本行信息科技风险政策取向是：稳健。实行规避、预防、缓释、抵补

等管理策略。

第四条 本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、

制定有效的风险管理制度和操作流程等措施，持续推动信息科技风险管理工作的开

展。

第五条 本行信息科技风险管理的管理原则是：全员参与、协调统

一、预防为

主、动态管理。

第六条 本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管

理机制，实现对信息科技风险的识别、评估、计量、监测和控制，促进本行安全、

持续、稳健运行，推动业务创新，提高本行信息技术使用水平，增强核心竞争力和

可持续发展能力。

第二章 信息科技风险的组织架构和职责

第七条 本行建立与信息科技风险特点相适应的组织架构，包括董事会、董事会

风险管理委员会、高级管理层。

第八条 董事会承担本行信息科技风险管理的最终职责。具体职责包括：

（一）建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技

治理组织结构；

（二）审查批准信息科技战略，确保其与本行的总体业务战略和重大策略相一

致；

（三）动态掌握信息科技风险政策和信息科技战略规划的执行情况、信息科技

预算和实际支出情况及信息科技的整体状况；

（四）定期听取专门委员会工作事项的执行情况。2 第九条 董事会授权风险管理委员会行使以下职责：

（一）依据本行信息科技战略，制定信息科技风险管理政策；

（二）监督高级管理层制定具体有效的信息科技风险管理制度和操作流程；

（三）按年度听取高级管理层的信息科技风险监测报告，评估信息科技风险管

理工作的总体效果和效率并提出完善的建议和意见；

（四）配合银监会及其派出机构做好信息科技风险监督检查工作，及时决策本

行发生的重大信息科技事故或突发事件，向银监会及其派出机构报送信息科技风险

管理的年度报告；

（五）确保内外部审计部门独立有效的进行信息科技风险审计，并确认审计报

告；

（六）履行董事会授权的其他信息科技风险管理职能。

第十条 高级管理层行使以下职责：

（一）负责执行本行信息科技风险政策和发展战略；

（二）制定具体的信息科技风险管理制度及具体的操作流程，确定可接受的信

息科技风险级别，确保境内外信息科技风险能够被识别、评估、计量、监测和控制，

统一协调各经营部门有效开展信息科技风险管理工作；

（三）确保本行信息科技系统正常运行，有效防范跨境风险；

（四）规范职业道德行为和廉洁标准，增强内部企业文化建设，提高全体人员

对信息科技风险管理重要性的认识；

（五）组织专业培训，加强信息科技专业队伍的建设，建立人才激励机制；

（六） 对董事会风险管理委员会确认的信息科技风险内外部审计报告，落实具

体的整改措施；

（七）配合银监会及其派出机构做好信息科技风险监督检查工作，并落实整改

措施，及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件，

并按相关预案快速响应；

（八）其他信息科技风险的管理职能。

第三章 信息科技风险管理的内容

第十一条 本行信息科技风险管理的内容包括但不限于：信息安全管理、信息系

统开发、测试和维护管理、信息科技运行管理、业务连续性管理和外包管理等方面。

第十二条 本行通过制定各类有效的信息科技管理制度，优化风险管理流程，提3 高制度约束的执行力水平，不断完善信息安全管理机制，最终实现信息的持续安全

管理。

第十三条 本行在信息系统开发中，采取适当的系统开发方法，充分评估信息科

技项目风险，合理安排信息科技项目的排序、立项、审批和控制；在测试和维护中，

强化数据的完整性、保密性和可用性，确保系统的可靠性、完整性和可维护性，合

理控制信息系统的生命周期。

第十四条 本行在信息系统运行过程中，实施必要的隔离措施，建立应急的信息

系统运行事故管理机制。

第十五条 本行在业务连续性管理过程中，通过制定适当的业务连续性规划，确

保信息系统在无法预见的中断时能够有效的运行。

第十六条 本行实施重要信息科技外包(如数据中心和信息科技基础设施等)时，

坚持谨慎原则，经必要的分析、论证和审查程序，不得将信息科技管理责任外包；

适时谨慎的履行监督外包职能；在外包管理过程中，确保本行的客户资料等敏感信

息的安全。

第四章 信息科技风险管理的程序

第十七条 高级管理层按年度向董事会风险管理委员会出具本行信息科技风险

管理书面监测报告，详细说明信息科技风险管理情况和下一步完善措施。

第十八条 对本行重大的信息科技风险事件，在第一时间向董事会风险管理委员

会和监管部门报告。

第十九条 对监管部门现场检查和内外部审计机构审计中发现的问题，落实整改

措施并及时向董事会风险管理委员会报告。

第五章 考核与奖惩

第二十条 本行董事会将信息科技风险年度管理情况纳入到对董事、高级管理层

的年度履职考核中。

第二十一条 高级管理层通过建立科学的信息科技风险管理问责制度，将信息科

技风险管理的考核指标纳入全面风险管理考核体系，以推动业务发展质量的全面提

升。

第六章 附则

第二十二条 本政策由南京银行股份有限公司董事会风险管理委员会负责解释。

第二十三条 本办法自董事会批准之日起执行。