1、商業銀行操作風險管理指引第一章 總 則第一條 為加強商業銀行的操作風險管理， 根據中華人民共和國銀行業監督管理法 中華人民共和國商業銀行法以及其他有關法律法規，制定本指引。第二條 在中華人民共和國境內設立的中資商業銀行、 外商獨資銀行和中外合資銀行適 用本指引。第三條 本指引所稱操作風險是指由不完善或有問題的內部程序、員工和信息科技系 統，以及外部事件所造成損失的風險。 本定義所指操作風險包括法律風險， 但不包括策略風 險和聲譽風險。第四條 中國銀行業監督管理委員會 （以下簡稱銀監會 ）依法對商業銀行的操作風險管 理實施監督檢查，評價商業銀行操作風險管理的有效性。第二章 操作風險管理第五條 商

2、業銀行應當按照本指引要求， 建立與本行的業務性質、 規模和復雜程度相適 應的操作風險管理體系，有效地識別、評估、監測和控制/緩釋操作風險。操作風險管理體系的具體形式不要求統一，但至少應包括以下基本要素：（一）董事會的監督控制；（二）高級管理層的職責；（三）適當的組織架構；（四）操作風險管理政策、方法和程序；（五）計提操作風險所需資本的規定。第六條 商業銀行董事會應將操作風險作為商業銀行面對的一項主要風險， 并承擔監控 操作風險管理有效性的最終責任。主要職責包括：（一）制定與本行戰略目標相一致且適用于全行的操作風險管理戰略和總體政策；（二）通過審批及檢查高級管理層有關操作風險的職責、權限及報告制

3、度，確保全行的操 作風險管理決策體系的有效性， 并盡可能地確保將本行從事的各項業務面臨的操作風險控制 在可以承受的范圍內；（三）定期審閱高級管理層提交的操作風險報告，充分了解本行操作風險管理的總體情 況、高級管理層處理重大操作風險事件的有效性以及監控和評價日常操作風險管理的有效性；（四 ）確保高級管理層采取必要的措施有效地識別、評估、監測和控制/緩釋操作風險；（五）確保本行操作風險管理體系接受內審部門的有效審查與監督；（六）制定適當的獎懲制度，在全行范圍有效地推動操作風險管理體系地建設。第七條 商業銀行的高級管理層負責執行董事會批準的操作風險管理戰略、 總體政策及 體系。主要職責包括：（一）在

4、操作風險的日常管理方面，對董事會負最終責任；（二）根據董事會制定的操作風險管理戰略及總體政策，負責制定、定期審查和監督執行 操作風險管理的政策、 程序和具體的操作規程， 并定期向董事會提交操作風險總體情況的報（三）全面掌握本行操作風險管理的總體狀況，特別是各項重大的操作風險事件或項目；（四）明確界定各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內容，督促 各部門切實履行操作風險管理職責，以確保操作風險管理體系的正常運行；（五 ）為操作風險管理配備適當的資源， 包括但不限于提供必要的經費、 設置必要的崗位、 配備合格的人員、 為操作風險管理人員提供培訓、 賦予操作風險管理人員履行職務所必

5、需的 權限等；（六）及時對操作風險管理體系進行檢查和修訂，以便有效地應對內部程序、產品、業務 活動、信息科技系統、員工及外部事件和其他因素發生變化所造成的操作風險損失事件。第八條 商業銀行應指定部門專門負責全行操作風險管理體系的建立和實施。 該部門與 其他部門應保持獨立，確保全行范圍內操作風險管理的一致性和有效性。主要職責包括：（一）擬定本行操作風險管理政策、程序和具體的操作規程，提交高級管理層和董事會審 批；（二）協助其他部門識別、評估、監測、控制及緩釋操作風險；（三 ）建立并組織實施操作風險識別、評估、緩釋（包括內部控制措施 ）和監測方法以及全行的操作風險報告程序；（四）建立適用全行的操作

6、風險基本控制標準，并指導和協調全行范圍內的操作風險管 理；（五）為各部門提供操作風險管理方面的培訓，協助各部門提高操作風險管理水平、履行操作風險管理的各項職責；（六）定期檢查并分析業務部門和其他部門操作風險的管理情況；（七）定期向高級管理層提交操作風險報告；（八）確保操作風險制度和措施得到遵守。第九條 商業銀行相關部門對操作風險的管理情況負直接責任。主要職責包括：（一）指定專人負責操作風險管理，其中包括遵守操作風險管理的政策、程序和具體的操 作規程；（二）根據本行統一的操作風險管理評估方法，識別、評估本部門的操作風險，并建立持 續、有效的操作風險監測、控制 / 緩釋及報告程序，并組織實施；（三

7、 ）在制定本部門業務流程和相關業務政策時，充分考慮操作風險管理和內部控制的要求，應保證各級操作風險管理人員參與各項重要的程序、 控制措施和政策的審批， 以確保與 操作風險管理總體政策的一致性；（四）監測關鍵風險指標，定期向負責操作風險管理的部門或牽頭部門通報本部門操作風 險管理的總體狀況，并及時通報重大操作風險事件。第十條 商業銀行法律、合規、 信息科技、 安全保衛、 人力資源等部門在管理好本部門 操作風險的同時， 應在涉及其職責分工及專業特長的范圍內為其他部門管理操作風險提供相 關資源和支持。第十一條 商業銀行的內審部門不直接負責或參與其他部門的操作風險管理， 但應定期 檢查評估本行的操作風

8、險管理體系運作情況， 監督操作風險管理政策的執行情況， 對新出臺 的操作風險管理政策、 程序和具體的操作規程進行獨立評估， 并向董事會報告操作風險管理 體系運行效果的評估情況。鼓勵業務復雜程度較高和規模較大的商業銀行委托社會中介機構對其操作風險管理體 系定期進行審計和評價。第十二條 商業銀行應當制定適用于全行的操作風險管理政策。 操作風險管理政策應當 與銀行的業務性質、規模、復雜程度和風險特征相適應。主要內容包括：（一）操作風險的定義；（二）適當的操作風險管理組織架構、權限和責任；（三 ）操作風險的識別、評估、監測和控制 /緩釋程序；（四）操作風險報告程序，其中包括報告的責任、路徑、頻率，以及

9、對各部門的其他具體 要求；（五）應針對現有的和新推出的重要產品、業務活動、業務程序、信息科技系統、人員管 理、外部因素及其變動，及時評估操作風險的各項要求。第十三條 商業銀行應當選擇適當的方法對操作風險進行管理。具體的方法可包括： 評估操作風險和內部控制、 損失事件的報告和數據收集、 關鍵風險 指標的監測、新產品和新業務的風險評估、內部控制的測試和審查以及操作風險的報告。第十四條 業務復雜及規模較大的商業銀行， 應采用更加先進的風險管理方法， 如使用 量化方法對各部門的操作風險進行評估， 收集操作風險損失數據， 并根據各業務線操作風險 的特點有針對性地進行管理。第十五條 商業銀行應當制定有效的

10、程序， 定期監測并報告操作風險狀況和重大損失情 況。應針對潛在損失不斷增大的風險， 建立早期的操作風險預警機制， 以便及時采取措施控 制、降低風險，降低損失事件的發生頻率及損失程度。第十六條 重大操作風險事件應當根據本行操作風險管理政策的規定及時向董事會、 高 級管理層和相關管理人員報告。第十七條 商業銀行應當將加強內部控制作為操作風險管理的有效手段， 與此相關的內 部措施至少應當包括：（一）部門之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突；（二）密切監測遵守指定風險限額或權限的情況；（三）對接觸和使用銀行資產的記錄進行安全監控；（四）員工具有與其從事業務相適應的業務能力

11、并接受相關培訓；（五）識別與合理預期收益不符及存在隱患的業務或產品；（六）定期對交易和賬戶進行復核和對賬；（七）主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度；（八）重要崗位或敏感環節員工八小時內外行為規范；（九）建立基層員工署名揭發違法違規問題的激勵和保護制度；（十）查案、破案與處分適時、到位的雙重考核制度；（十一 ）案件查處和相應的信息披露制度；（十二 ）對基層操作風險管控獎懲兼顧的激勵約束機制。第十八條 為有效地識別、 評估、監測、控制和報告操作風險， 商業銀行應當建立并逐 步完善操作風險管理信息系統。 管理信息系統至少應當記錄和存儲與操作風險損失相關的數 據和操作風險事件信息，

12、支持操作風險和控制措施的自我評估， 監測關鍵風險指標， 并可提 供操作風險報告的有關內容。第十九條 商業銀行應當制定與其業務規模和復雜性相適應的應急和業務連續方案， 建 立恢復服務和保證業務連續運行的備用機制， 并應當定期檢查、 測試其災難恢復和業務連續 機制，確保在出現災難和業務嚴重中斷時這些方案和機制的正常執行。第二十條 商業銀行應當制定與外包業務有關的風險管理政策， 確保業務外包有嚴謹的 合同和服務協議、各方的責任義務規定明確。第二十一條 商業銀行可購買保險以及與第三方簽訂合同， 并將其作為緩釋操作風險的 一種方法，但不應因此忽視控制措施的重要作用。購買保險等方式緩釋操作風險的商業銀行，

13、應當制定相關的書面政策和程序。第二十二條 商業銀行應當按照銀監會關于商業銀行資本充足率管理的要求， 為所承擔 的操作風險提取充足的資本。第三章 操作風險監管第二十三條 商業銀行的操作風險管理政策和程序應報銀監會備案。 商業銀行應按照規 定向銀監會或其派出機構報送與操作風險有關的報告。 委托社會中介機構對其操作風險管理 體系進行審計的，還應提交外部審計報告。第二十四條 商業銀行應及時向銀監會或其派出機構報告下列重大操作風險事件：（一 ）搶劫商業銀行或運鈔車、盜竊銀行業金融機構現金30 萬元以上的案件，詐騙商業銀行或其他涉案金額 1000 萬元以上的案件；（二）造成商業銀行重要數據、賬冊、重要空白

14、憑證嚴重損毀、丟失，造成在涉及兩個或 兩個以上省 （自治區、直轄市 ）范圍內中斷業務 3 小時以上，在涉及一個省 （自治區、直轄市 ） 范圍內中斷業務 6 小時以上，嚴重影響正常工作開展的事件；（三）盜竊、 出賣、泄漏或丟失涉密資料， 可能影響金融穩定， 造成經濟秩序混亂的事件；（四）高管人員嚴重違規；（五 ）發生不可抗力導致嚴重損失，造成直接經濟損失1000 萬元以上的事故、自然災害；（六） 其他涉及損失金額可能超過商業銀行資本凈額1 %。的操作風險事件；（七）銀監會規定其他需要報告的重大事件。第二十五條 銀監會對商業銀行有關操作風險管理的政策、 程序和做法進行定期的檢查 評估。主要內容包括

15、：（一）商業銀行操作風險管理程序的有效性；（二）商業銀行監測和報告操作風險的方法，包括關鍵操作風險指標和操作風險損失數 據；（三）商業銀行及時有效處理操作風險事件和薄弱環節的措施；（四）商業銀行操作風險管理程序中的內控、檢查和內審程序；（五）商業銀行災難恢復和業務連續方案的質量和全面性；（六）計提的抵御操作風險所需資本的充足水平；（七）操作風險管理的其他情況。第二十六條 對于銀監會在監管中發現的有關操作風險管理的問題， 商業銀行應當在規 定的時限內，提交整改方案并采取整改措施。對于發生重大操作風險事件而未在規定時限內采取有效整改措施的商業銀行，銀監會將依法采取相關監管措施。第四章 附則第二十七

16、條 政策性銀行、 金融資產管理公司、城市信用社、 農村信用社、農村合作銀 行、信托投資公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、郵政儲蓄機 構等其他銀行業金融機構參照本指引執行。第二十八條 未設董事會的銀行業金融機構， 應當由其經營決策機構履行本指引規定的 董事會的有關操作風險管理職責。第二十九條 在中華人民共和國境內設立的外國銀行分行， 應當遵循其總行制定的操作 風險管理政策和程序， 按照規定向銀監會或其派出機構報告重大操作風險事件并接受銀監會 的監管；其總行未制定操作風險管理政策和程序的，按照本指引的有關要求執行。第三十條 本指引所涉及的有關名詞見附錄。第三十一條 本指引自

17、發布之日起施行。附錄：商業銀行操作風險管理指引有關名詞的說明附錄商業銀行操作風險管理指引有關名詞的說明一、操作風險事件操作風險事件是指由不完善或有問題的內部程序、 員工和信息科技系統， 以及外部因素 所造成財務損失或影響銀行聲譽、客戶和員工的操作事件，具體事件包括： 內部欺詐， 外部 欺詐，就業制度和工作場所安全，客戶、產品和業務活動，實物資產的損壞，營業中斷和信 息技術系統癱瘓，執行、交割和流程管理七種類型（進一步的信息可參閱統一資本計量和資本標準的國際協議：修訂框架 ，即巴塞爾新資本協議的“附錄 7：損失事件分類詳表” ）。、自我風險評估、關鍵風險指標商業銀行用于識別、評估操作風險的常用工具。（一）自我風險評估自我風險評估是指商業銀行識別和評估潛在操作風險以及自身業務活動的控制措施、 適 當程度及有效性的操作風險管理工具。（二 ）關鍵風險指標關鍵風險指標是指代表某一風險領域變化情況并可定期監控的統計指標。 關鍵風險指標 可用于監測可能造成損失事件的各項風險及控制措施， 并作為反映風險變