中国银监会关于印发《商业银行操作风险管理指引》的通知

各银监局，各政策性银行、国有商业银行、股份制商业银行，邮政储蓄银行： 为加强商业银行的操作风险管理，推动商业银行进一步完善公司治理结构，提升风险管理能力，银监会制定了《商业银行操作风险管理指引》，现印发给你们，请遵照执行。

请各银监局将本通知转发至辖内各城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外资独资银行、中外合资银行和外国银行分行主报告行。

二○○七年五月十四日

商业银行操作风险管理指引

第一章 总 则

第一条 为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条 在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条 本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条 中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章 操作风险管理

第五条 商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：

（一）董事会的监督控制；

（二）高级管理层的职责；

（三）适当的组织架构；

（四）操作风险管理政策、方法和程序；

（五）计提操作风险所需资本的规定。

第六条 商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括：

（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；

（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；

（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；

（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；

（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

第七条 商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：

（一）在操作风险的日常管理方面，对董事会负最终责任；

（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；

（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；

（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；

（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；

（六）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

第八条 商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立，确保全行范围内操作风险管理的一致性和有效性。主要职责包括：

（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；

（二）协助其他部门识别、评估、监测、控制及缓释操作风险；

（三）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；

（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；

（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；

（六）定期检查并分析业务部门和其他部门操作风险的管理情况；

（七）定期向高级管理层提交操作风险报告；

（八）确保操作风险制度和措施得到遵守。

第九条 商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括：

（一）指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作规程；

（二）根据本行统一的操作风险管理评估方法，识别、评估本部门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；

（三）在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；

（四）监测关键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。

第十条 商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条 商业银行的内审部门不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。

鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。

第十二条 商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括：

（一）操作风险的定义；

（二）适当的操作风险管理组织架构、权限和责任；

（三）操作风险的识别、评估、监测和控制/缓释程序；

（四）操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；

（五）应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。 第十三条 商业银行应当选择适当的方法对操作风险进行管理。

具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

第十四条 业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法，如使用量化方法对各部门的操作风险进行评估，收集操作风险损失数据，并根据各业务线操作风险的特点有针对性地进行管理。

第十五条 商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。 第十六条 重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。

第十七条 商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：

（一）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；

（二）密切监测遵守指定风险限额或权限的情况；

（三）对接触和使用银行资产的记录进行安全监控；

（四）员工具有与其从事业务相适应的业务能力并接受相关培训；

（五）识别与合理预期收益不符及存在隐患的业务或产品；

（六）定期对交易和账户进行复核和对账；

（七）主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；

（八）重要岗位或敏感环节员工八小时内外行为规范；

（九）建立基层员工署名揭发违法违规问题的激励和保护制度；

（十）查案、破案与处分适时、到位的双重考核制度；

（十一）案件查处和相应的信息披露制度；

（十二）对基层操作风险管控奖惩兼顾的激励约束机制。

第十八条 为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容。

第十九条 商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。

第二十条 商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。

第二十一条 商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。

购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程序。

第二十二条 商业银行应当按照银监会关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本。

第三章 操作风险监管

第二十三条 商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的，还应提交外部审计报告。

第二十四条 商业银行应及时向银监会或其派出机构报告下列重大操作风险事件：

（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；

（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；

（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；

（四）高管人员严重违规；

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；

（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；

（七）银监会规定其他需要报告的重大事件。

第二十五条 银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。主要内容包括：

（一）商业银行操作风险管理程序的有效性；

（二）商业银行监测和报告操作风险的方法，包括关键操作风险指标和操作风险损失数据；

（三）商业银行及时有效处理操作风险事件和薄弱环节的措施；

（四）商业银行操作风险管理程序中的内控、检查和内审程序；

（五）商业银行灾难恢复和业务连续方案的质量和全面性；

（六）计提的抵御操作风险所需资本的充足水平；

（七）操作风险管理的其他情况。

第二十六条 对于银监会在监管中发现的有关操作风险管理的问题，商业银行应当在规定的时限内，提交整改方案并采取整改措施。

对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银行，银监会将依法采取相关监管措施。

第四章 附则

第二十七条 政策性银行、金融资产管理公司、城市信用社、农村信用社、农村合作银行、信托投资公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构等其他银行业金融机构参照本指引执行。

第二十八条 未设董事会的银行业金融机构，应当由其经营决策机构履行本指引规定的董事会的有关操作风险管理职责。

第二十九条 在中华人民共和国境内设立的外国银行分行，应当遵循其总行制定的操作风险管理政策和程序，按照规定向银监会或其派出机构报告重大操作风险事件并接受银监会的监管；其总行未制定操作风险管理政策和程序的，按照本指引的有关要求执行。

第三十条 本指引所涉及的有关名词见附录。

第三十一条 本指引自发布之日起施行。

附录：《商业银行操作风险管理指引》有关名词的说明附录

《商业银行操作风险管理指引》 有关名词的说明

一、操作风险事件

操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件，具体事件包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，

实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型（进一步的信息可参阅《统一资本计量和资本标准的国际协议：修订框架》，即巴塞尔新资本协议的“附录7：损失事件分类详表”）。

二、自我风险评估、关键风险指标

商业银行用于识别、评估操作风险的常用工具。

（一）自我风险评估

自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。

（二）关键风险指标

关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施），具体指标例如：每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。

三、法律风险

法律风险包括但不限于下列风险：1.商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的；2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的；3.商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的。

第二篇：我国商业银行操作风险管理案例分析

我国商业银行操作风险管理案例分析

近年来，随着金融服务的全球化，以及信息技术在金融业的应用和发展，银行业所面临的风险变得更为复杂。在我国，由操作风险引发的大案触目惊心，对金融机构的操作风险提出了严峻的挑战。自上个世纪90年代以来，随着银行规模不断扩大、交易金额迅速放大、经营复杂程度不断加剧，出现了一系列震惊国际金融界的操作风险损失事件。

一、操作风险管理不善引发案件的具体原因分析

案例：某分理处发生多功能借记卡自助质押贷款诈骗案

20xx年中行湖州市分行凤凰分理处因员工严重违规操作：违规办卡、违规放贷，网点员工基于自身利益，合伙违规、隐瞒不报，引发多功能借记卡自助质押贷款诈骗案。经查，涉及金额2599万，形成巨大风险。

案例发生原因分析：

（一）缺乏科学完善的考核机制，利益误导驱使少数员工为完成考核铤而走险。

一方面在业务发展的管理上，该行采取考核与完成任务挂钩的做法，在一定程度上助长了“向钱看”的风气，造成部分风险意识薄弱的员工为了眼前利益而不惜以违规经营的代价来换取一时的经营业绩和利益。另一方面该行对考核办法缺少辅助教育的手段，还提出了一些诸如“谁完成任务好，谁贡献大，谁多拿钱”等不甚科学的提法，没有通过合理的业绩考核和合理的待遇水平来增强员工对单位的归属感和忠诚度，来提高员工的奉献精神以及政策水平和工作能力，避免员工因追逐短期利益而不惜采取违规经营的行为。

（二）缺乏内控制度执行的有效性，没有真正建立起防范约束机制。

该分理处从20xx年初开始违规操作，代办借记卡，不签贷款协议书放贷，在此后长达2年的时间里，一次次的检查，一次次的活动都没有发现，没有排除，清楚地说明该行的内部控制苍白无力，从一线人员的制度执行到二线管理人员对一线人员的监督，再到内控部门对各环节的再监督，这三道防线都失察和疏漏。该行案防教育流于形式，各种检查没有落到

实处，风险防范的意识没有在员工的头脑里深深扎根。对整个监督运行机制缺乏调查分析，对各个层面的执行力也缺少评价，这就很难从根本上保证各种教育活动能落到实处，也很难发挥各种制度和监督机制的约束力。

（三）缺乏科学的发展观和正确的业绩观。一是缺乏正确的经营理念，没有把握和处理好业务发展和风险控制的关系。

基层行一味强调任务的完成率，对下不断压任务，竞赛活动也频繁不断，产生了偏重业务发展，疏忽内部管理和风险防范的偏向；二是缺乏审慎经营的思想，没有把握和处理好业务发展和合法守规的关系。没有把工作重心和主要精力锁定在风险防范上，而是偏面地追求“存款增长幅度”、“市场占有率”、“贷款增加额”等粗放型经营指标上。在这种经营思想指导下，放松了对员工诚实守信的教育和依法合规的文化氛围的建设；三是缺乏对零贷款的管理经验，没有把握和处理好新业务品种的风险点，缺乏对新业务品种必要的操作风险管理。该行习惯于传统的公司业务，没有根据业务发展的实际，把大风险的意识落实到零售业务的发展和管理上来，不注意学习、总结和积累这方面的经验。零售贷款作为新的业务发展品种，对其风险点分析不足，操作风险的评估不到位，特别是在操作过程中没有发现风险、提示风险、防范风险。四是零售贷款的风险系统管理没有建立起完善的风险预警、可控体系，给不法分子以可趁之机，发生案件是不可避免的。

二 、完善我国商业银行操作风险管理的几点建议

目前我国银行正向现代商业银行转型，在商业银行规模越来越多，业务领域越来越广，风险点越来越多的新形势下，再加上我国转轨的制度因素、银行的管理以及员工素质等问题的客观存在，操作风险管理越来越突出，成为与信用风险、市场风险同样重要的银行风险管理的重要内容，而操作风险管理又有着难以计量的特点，加强对操作风险管理就更显重要，也更需要下大工夫。结合我们以上所分析的案例，我们提出完善我国商业银行操作风险管理的四点建议：

（一）注重操作风险评估和控制，健全内部控制制度。

操作风险的评估和控制（RACA）最大的优势在于对于风险能够进行动态控制，其核心内容是通过对风险的识别、评估、决策、监督和报告四个主要环节，进行循环管理，使风险评估与控制成为一个动态的管理过程。

首先是识别风险，这是最基础的，只有认识到风险的存在、正视风险的大小，才能对

风险进行控制，对银行业务进行决策。

其次是对风险进行评估，可分为三个方面的内容：一是对没有进行控制之前的风险进行评估，即不作任何控制时的风险评估；二是对控制措施的充分性和有效性进行评估，如制度设计是否完善等。国内银行通常将制度细化，尤其是管理部门，只要发现有案件后隐患，就“举一反三”地从“责任”角度去细化制度，但对制度的可操作性和有效性却考虑较少，对制度的执行成本问题考虑得更少。由于制度可执行性较弱，所以屡查屡犯的问题几乎在每个行都存在，也直接影响到控制的有效性；三是对剩余风险的评估，即对没有在之前环节考虑到的风险进行评估。这一领域在国内银行尚为空白。

再次为决策环节。按决策的结果划分，分为三个方面：一是通过成本收益分析，对于高风险业务选择规避；二是通过外包、购买保险的方式将操作风险部分转移出去；三是选择从事该项业务，通过将潜在收益与潜在风险进行比较后，认为收益大于风险，并且风险在可以承受的范围内，即接受该风险，并采取一定措施对风险进行控制。

最后是监督和报告环节，这一环节不只对前面各环节情况进行监督和报告，同时还将剩余风险进行监督，因为剩余风险很有可能会随着业务的发展、环境的变化等因素变化而变成主要风险或风险程度加重，此时就要通过监督和报告及时对风险进行正确的重估，作出正确的决策。