1、村镇银行操作风险管理暂行办法第一章 总则第一条 制定目的 通过本办法的制定、实施、监督检查,为本行操作风险的管理活动提供基本准则和导向,指导本行操作风险的组织体系、制度体系、指标体系和管理工具与手段的建立与完善,确立适合本行的操作风险管理体制和机制,健全和完善全面风险管理体系。 第二条 制定依据 依据商业银行资本管理办法(试行)(以下简称资本管理办法)、商业银行操作风险管理指引、商业银行内部控制指引、商业银行信息科技风险管理指引、银行业金融机构外包风险管理指引等文件,并结合外部监管要求与本行实际,制定本办法。 第三条 相关定义 操作风险的定义:操作风险是由不完善或有问题的内部程序、员工、信息科
2、技系统,以及外部事件所造成损失的风险。本行的操作风险范畴包括法律与合规风险,但不包括策略风险和声誉风险。操作风险管理的定义:操作风险管理是指识别、评估、监测和控制操作风险的全过程。 第四条 管理目标 通过有效的管理和控制,将操作风险给本行带来损失的可能性降到最低程度。 第五条 政策取向 本行操作风险管理政策取向是稳健。即本行应长期重视并持续强化对操作风险的管理,通过采取一切必要的、有针对性的措施和手段,切实防范和有效控制各类操作风险,确保将由于操作风险引发损失的可能性降到最低程度。 第六条 管理理念 (一)自上而下、全员参与。即强调省联社、本行应建立自上而下、垂直的操作风险管理组织结构,科学设
3、定在操作风险管理中的职责和权限,在此基础上自上而下设定和分解操作风险管理目标;并强调操作风险管理环节所涉及的每位员工都能正确理解和有效履行其在操作风险管理方面的职责。 (二)全程管理、动态管理。即强调操作风险管理是由识别、评估、监测,到控制操作风险的循环往复、持续不断的过程。并强调本行应在经营策略、业务规模、风险管理能力等内部影响因素和宏观经济金融环境、监管环境和风险管理技术等外部影响因素发生变化时,适时调整操作风险管理的策略,不断完善风险管理方法和手段,确保操作风险管理的充分性和有效性。 (三)管理风险、创造价值。银行是经营风险的特殊企业,承担风险、管理风险并在风险管理过程中实现收益是金融机
4、构存在与发展的基础。本行通过建立完善的操作风险管理体系,实施有效的操作风险管理手段,将操作风险引发损失的可能性降至最低,实现风险可控基础上的收益最大化。 (四)制度先行、预防为主。即强调本行在开展各项业务前,应当建立、健全相应的规章制度,确保各项业务的开展有法可依、有章可循;同时本行应充分识别和有效评估业务流程与管理流程中的关键岗位、关键风险点、关键控制点,并制定详细的尽职标准与尽职要求,通过对关键岗位、关键风险点、关键控制点的有效控制和防范,实现对可识别和可预见的各类操作风险进行事前预防。 第二章 操作风险管理的组织与管理职责第七条 董事会、监事会及高级管理层的操作风险管理职责 (一)董事会
5、的操作风险管理职责 1董事会承担对操作风险管理实施监控的最终责任,确保本行有效地识别、评估、监测和控制各类操作风险; 2董事会负责审批操作风险管理的战略、政策和程序,督促高级管理层采取必要的措施识别、评估、监测和控制操作风险,并定期获得操作风险状况的报告,监控和评价本行操作风险管理的全面性、有效性以及高级管理层在操作风险管理方面的履职情况;3董事会可授权其下设的风险管理委员会履行上述部分职能,风险管理委员会定期向董事会提交有关报告。 (二)监事会的操作风险管理职责 1监事会负责监督董事会在承担对本行操作风险管理实施监控责任的履职情况;2监事会负责监督高级管理层在制定、定期审查和监督执行本行操作
6、风险管理的政策、程序和具体操作规程等操作风险管理活动中的履职情况。 (三)高级管理层的操作风险管理职责 1高级管理层负责对本行操作风险管理体系实施有效监控; 2高级管理层负责制定、定期审查和监督执行操作风险管理的政策、程序以及具体的操作规程; 3高级管理层应及时了解操作风险及其管理状况,并确保本行具备足够的人力、物力以及恰当的组织结构、管理信息系统和技术水平来有效地识别、评估、监测和控制各类操作风险。 第八条 操作风险管理部门及职责 (一)操作风险管理部门设立原则 1本行建立各部门齐抓共管的操作风险管理体系,构建操作风险管理的“三道防线”:第一道防线,各个业务部门,是操作风险的直接承担者和管理
7、者,负有对本条线操作风险进行管理的重要职责;第二道防线,操作风险管理职能部门,由信贷管理部牵头负责协调、指导、评估、监督各业务部门及后台保障部门的操作风险管理活动;第三道防线,审计、纪检监察部门等部门,负责对操作风险管理、控制、监督体系进行再监督和责任追究。 2信贷管理部为本行操作风险牵头管理部门,负责操作风险管理体系的建立和实施,确保操作风险管理的一致性和有效性。 3操作风险牵头管理部门接受高级管理层的领导,对高级管理层负责。 (二)操作风险牵头管理部门的职责 1拟订本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批; 2协助其他部门识别、评估、监测、控制及缓释操作风险;
8、 3建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及操作风险报告程序; 4建立适用本行的操作风险基本控制标准,并指导和协调各部门、分支机构的操作风险管理; 5为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责; 6定期检查并分析业务部门和其他部门操作风险的管理情况; 7定期向高级管理层提交操作风险报告; 8确保操作风险制度和措施得到遵守; 9其他有关职责。 操作风险管理部门的具体职责由高级管理层根据本行承担操作风险的业务发展状况、操作风险管理的工具、手段和能力、人力资源状况等实际情况,结合监管机构的具体要求进行确定,并逐步健全
9、和完善。 第九条 相关管理部门的职责 1相关管理部门是指除信贷管理部之外其他所有具有操作风险管理职责的部门,包括人力资源部、科技信息部、电子银行部、财务会计部、资产管理部、审计稽核部、监察保卫部及其他相关管理部门。2相关管理部门应当指定专人负责操作风险管理,其中包括遵守操作风险管理的政策、程序和具体的操作规程。 3相关管理部门应当根据本行统一的操作风险管理评估方法,识别、评估本部门的操作风险,并建立持续、有效的操作风险监测、控制/缓释及报告程序,并组织实施。 4相关管理部门在制定本部门业务流程和相关业务政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、
10、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性。 5相关管理部门应当监测关键风险指标,定期向负责操作风险牵头管理部门通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件。 6合规风险、科技信息、监察保卫、人力资源等部门在管理好本部门操作风险的同时,还应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。第十条 各部门和分支机构的职责 (一)各部门和分支机构应当严格执行有关操作风险管理的制度和程序,具体承担识别、评估、监测和控制本部门和本机构操作风险的职责。 (二)各部门和分支机构应当定期报告本部门和本机构的操作风险状况。 (三)各部门和分支机构应当为
11、本部门和本行操作风险所带来的损失承担相应责任。 第三章 本行操作风险的主要类型根据操作风险的定义,结合本行实际,从人员、系统、内部流程和外部事件四个方面对本行操作风险的主要类型作列示。由于操作风险的广泛性、差异性和复杂性,因此难以穷尽操作风险的全部类型,本行今后应根据内外部环境的变化,适时进行补充识别。第十一条 人员的操作风险 本行的正常运营在很大程度上取决于人员因素,因此本行所面临的操作风险绝大多数与人员相关。涉及人员的操作风险主要包括: (一)人员的道德风险。人员的道德风险是指员工违反职业道德和操守,以内部欺诈和内外勾结的方式,进行骗取、盗取银行或客户资产等违法犯罪活动而给本行带来损失的风
12、险。员工的不道德行为可能引发操作风险事件,从而可能给本行带来损失。 (二)人员的职业技能匮乏。人员的职业技能匮乏是指员工的知识和技能达不到岗位要求。员工的职业技能匮乏可能导致业务操作和管理决策的错误,从而可能给本行带来损失。(三)人员的不尽职。人员的不尽职是指员工不能恪尽职守,以及不能严格遵守和执行本行的规章制度及流程的行为。员工的不尽职行为可能引发操作风险事件,从而可能给本行带来损失。 (四)人员的操作失误。人员的操作失误是指员工在业务操作过程中因非主观因素而造成差错的行为。员工的操作失误可能引发操作风险事件,从而可能给本行带来损失。(五)人员的越权。人员的越权是指员工超越授权范围或未经授权
13、而办理业务、事务的行为。越权将可能使行为人超过其能力范围而做出错误的判断或行为,从而可能给本行带来损失。 (六)人员的流失。人员的流失是指员工在劳动合同期限内,主动与本行解除劳动合同关系的行为。员工的流失可能会引起培训成本增加、工作流程中断、客户满意度下降,较高的人员流失率还可能会导致本行声誉的降低、员工士气低落。尤其核心雇员的流失,将可能导致本行核心技术、知识、信息和客户等资源的流失,从而可能给本行带来损失。 (七)主管人员对下级的不正当干预。主管人员对下级的不正当干预是指主管人员利用职务对下级的控制和影响,通过指令、暗示等不正当的干预迫使下级在违反自己意愿的情况下做出违反规章制度甚至违法事
14、件的行为,从而可能给本行带来损失。 (八)薪酬激励不恰当。薪酬激励不恰当是指薪酬政策和制度过分注重数量指标和短期目标,弱化或忽视质量指标和长期目标。不恰当的薪酬激励政策和制度可能导致业务部门及其员工冒险激进,甚至违规违法,从而可能引发操作风险事件,进而可能给本行带来损失。 薪酬激励不恰当也指薪酬政策和制度不合理,使得员工薪酬水平过低,致使其劳动价值得不到充分体现,在此情形下可能导致员工消极懈怠、不尽职,从而可能引发操作风险事件,进而可能给本行带来损失。 (九)岗位设置不恰当。 1岗位任务超限。岗位任务超限是指岗位职责和岗位工作任务超过员工正常能力承受范围。岗位任务超限可能导致员工无法正常完成工
15、作,或即使能正常完成也可能使工作质量下降,从而可能引发操作风险事件,进而可能给本行带来损失。 2不相容职务未适当分离。不相容职务未适当分离是指应当分设并相互制约监督的岗位未实行分设,也指一人同时兼任两个或两个以上本应由不同人员分别担任并应相互制约监督职务的行为。不相容职务未适当分离可能致使关键岗位无法起到相互牵制、 相互监督的作用,从而可能引发操作风险事件,进而可能给本行带来损失。 3岗位缺失。岗位缺失是指应当设置岗位承担某项工作职责而未设置。岗位缺失直接导致某项工作职责既无岗位也无人员履行,致使经营管理工作的某个领域或某个环节存在缺失或隐患,从而可能引发操作风险事件,进而可能给本行带来损失。
16、 4人员与岗位不匹配。人员与岗位不匹配是指在人力资源配置时,人员素质和能力达不到岗位履职要求,可能导致工作效率和质量得不到保证,从而可能引发操作风险事件,进而可能给本行带来损失。 人员与岗位不匹配也指在人力资源配置时,人员素质和能力远远超过岗位履职要求,在此情形下将直接导致人力资源成本浪费,也可能导致员工消极怠工,甚至会导致员工利用岗位及流程中可能存在的缺陷从事内部欺诈,从而可能引发操作风险事件,进而可能给本行带来损失。 (十)本行人员操作风险由人力资源部负责。 第十二条 系统的操作风险 本行的正常管理和安全运营高度依赖于信息系统,信息系统的完善设计和稳定运行是保障本行正常运行的基本要素。涉及
17、系统的操作风险主要包括: (一)总体风险。总体风险是指信息系统在机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。总体风险将会影响本行业务、事务的正常运行,导致本行不能正常营业,甚至造成本行系统的全面瘫痪,从而可能给本行带来损失。 (二)研发风险。研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。研发风险可能会引起业务应用系统存在潜在错误,导致系统不能正常运行,影响业务的正常开展,从而可能给本行带来损失。 (三)运行维护风险。运行维护风险是指信息系统在运行与维护过程中,操作管理、变更管理、机房管理和事件管理等环节产生的风险。运行维护风险
18、将会影响系统的正常运行,使业务不能正常开展,从而可能给本行带来损失。 (四)外包风险。外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。信息系统外包可能会使本行失去对供应商的控制,数据的安全性得不到保证,从而可能给本行带来损失。(五)本行系统操作风险由信息科技部负责。 第十三条 内部流程的操作风险 制度和程序是识别和控制本行经营管理中各类风险的主要载体。涉及内部流程的操作风险主要包括: (一)流程设计不恰当1缺失重要的环节。在某项业务、事务的流程设计中,缺少一个或多个重要环节,导致相应的风险识别和控制流程缺失或中断,从而可
19、能引发操作风险事件,进而可能给本行带来损失。 2错误的流程设计。在某项业务、事务的流程设计中,由于某一个或多个环节的流程设计错误,致使相应的风险识别和控制流程不发生作用,甚至发生反向作用,从而可能引发操作风险事件,进而可能给本行带来损失。 3流程设计不充分。在某项业务、事务的流程设计中,虽未缺失重要环节,但在某些重要环节上,实体的要求和标准不能完全满足该环节在识别和控制风险上的要求,致使相应的流程设计不能达到预期目的,从而可能引发操作风险事件,进而可能给本行带来损失。4流程更新维护不及时。流程未能根据业务、事务的内外部环境和核心风险特征的变化适时作相应的更新完善,以致不能满足有效识别和控制风险
20、的需要,从而可能引发操作风险事件,进而可能给本行带来损失。 (二)流程未被严格执行 1缩减步骤。在某项业务、事务办理过程中,流程未被完整执行,某些重要环节被越过,致使这些环节所对应的风险不能被有效识别和控制,从而可能引发操作风险事件,进而可能给本行带来损失。 2执行错误或偏差。在某项业务、事务办理过程中,虽然流程得到完整执行,但是在某些重要环节,实体的要求和标准被全部或部分错误执行,导致相应环节的风险不能被有效识别和控制,从而可能引发操作风险事件,进而可能给本行带来损失。 3逆流程操作。在某项业务、事务办理过程中,虽然流程在表面上得到完整执行,但某一个或多个应后于履行的环节被提前执行,并且其在
21、风险识别和控制上的结论与判断不仅失去应先于履行环节的必要支持,甚至反作用于应先于履行环节的独立、客观判断,可能导致最终结论和判断的错误或偏差,从而可能引发操作风险事件,进而可能给本行带来损失。(三)涉及流程的操作风险由各相关职能部门具体负责。 第十四条 外部事件的操作风险 (一)本行的经营管理处于一定的政治、经济和社会环境中,外部环境变化、外部突发事件等都会直接或间接影响本行的经营管理活动,甚至会导致产生一定的损失。涉及外部事件的操作风险主要包括: 1外部犯罪事件。包括外部人员针对本行的欺诈、盗窃、抢劫、纵火、爆炸等犯罪活动,也包括虽非直接针对本行,但其犯罪过程和后果直接影响本行财产和正常营业
22、的事件。外部犯罪事件可能直接给本行造成财产损失,也可能引起营业中断,影响正常营业,可能给本行带来其他损失。 2公共卫生事件。主要包括传染病疫情、群体性不明原因疾病、食品安全和职业危害、动物疫情、以及其他严重影响公众健康和生命安全的事件。由于本行是服务性行业,服务对象主要是社会公众,当本行或本行分支机构所在地区发生公共卫生事件时,本行的正常营业将受到局部或全部的冲击,从而可能给本行带来损失。 3事故灾难。主要包括工矿商贸等企业的各类安全事故、交通运输事故、公共设施和设备事故、环境污染和生态破坏事件等。当事故的发生地点邻近本行的办公、营业场所或事故波及本行时,可能会影响本行的正常营业,从而可能给本
23、行带来损失;同时为本行持续提供资源的供应商发生事故灾难而不能持续供应时,也可能会影响本行的正常营业,从而可能给本行带来损失。 4社会安全事件。主要包括恐怖袭击事件、经济安全事件和涉外突发事件等。当恐怖袭击事件和涉外突发事件发生在本行营业场所或邻近本行营业场所,将有可能引起营业中断,从而可能给本行带来损失;经济安全事件将有可能导致本行市场风险、信用风险、流动性风险产生连锁反应,从而可能给本行带来损失。 5自然灾害。自然灾害主要包括水旱灾害、气象灾害、地震灾害、地质灾害、海洋灾害、生物灾害和森林草原火灾等。当自然灾害发生在本行办公营业场所所在地区时,既可能造成本行财产损失,也可能影响本行正常营业,
24、从而可能给本行带来损失。(二)涉及外部事件的操作风险根据事件性质由本行相关部门负责。 第四章 操作风险管理策略第十五条 规避策略。规避策略是一种事前的操作风险控制手段,是指在操作风险发生之前,操作风险管理人员及时发现可能导致操作风险事件发生的诱因和因素,而有意识采取的必要措施,控制和杜绝相应的风险事件发生而采取的操作风险管理策略。 第十六条 预防策略。预防策略是指在操作风险发生的事前或操作风险发生时采取一定的方法和手段,以减少操作风险产生的损失而进行的操作风险管理策略。 第十七条 缓释策略。缓释策略是指在操作风险管理过程中,通过对操作风险有效的识别和评估,采取必要措施,使操作风险的诱因或操作风
25、险本身得到缓解,从而降低操作风险发生的可能程度和操作风险发生后的损失程度。 第十八条 保险策略。保险策略是指金融机构在对自身面临的操作风险程度作出评估的基础上,采取通过支付一定的保险费而将自身的操作风险转移出去的策略。保险策略将逐步成为本行考虑采用的操作风险管理策略。 第十九条 其他策略。即本行为管理操作风险而采取的其他策略。 第五章 操作风险管理的控制要点本行应根据操作风险的具体类型及可能产生的后果,有针对性地采取相应的控制措施加以管理。 第二十条 针对人员操作风险的控制要点 (一)重视员工的道德教育。本行应重视和加强员工整体公众道德、职业道德的教育,明确员工的行为准则,提高全体员工的职业道
26、德修养;对较高职位和关键职位人员的选任,除考察其职业技能外,还应重点考察其职业道德水平,通过制定并贯彻落实本行的职业道德规范和企业价值准则,从而有效预防和控制由于员工的不道德行为可能引发的操作风险。 (二)建立终身的职业培训和专业岗位任职资格制度。 本行应建立并实施全员终身职业培训制度,对技术性、专业性要求较高的岗位实行持续的考试考核准入制度及资格认证制度。通过制定并贯彻职业培训制度和岗位任职资格制度提高员工的职业技能,使员工能够适应岗位工作要求,有效预防和控制由于员工的职业技能匮乏可能引发的操作风险。(三)重视人员的考核,建立严格的问责制度。本行应建立必要的定期考核机制,重视和加强对人员日常
27、行为的考核监督,对关键岗位人员,应扩大考核范围,加大考核频次;同时本行还应配套建立严格的尽职问责机制,促进全员尽职勤勉,提高全员主动尽职水平,使员工能够恪尽职守,严格遵守和执行本行的规章制度及流程,有效预防和控制由于员工的不尽职可能引发的操作风险。 (四)严格遵守劳动法规。本行应严格遵守有关劳动法规,注重必要的劳动保护,不断提高员工福利待遇,并根据岗位特性和工作量等特点,合理安排员工的工作,保障员工的法定休假,有效预防和控制由于员工的操作失误、劳动争议、职工人身安全等因素可能引发的操作风险。 (五)施行关键岗位定期轮换和强制休假制度。本行应对各级关键岗位和主管岗位制定并严格执行必要和恰当的定期
28、轮岗制度和强制休假制度,从而有效预防和控制由于关键岗位人员不道德行为可能引发的操作风险。 (六)员工职业生涯的规划和合理的薪酬制度。本行应重视和加强对员工职业生涯的规划和实施,营造健康、进取、团结的企业文化氛围,做到事业留人、待遇留人、感情留人,从而有效预防和控制由于员工流失特别是核心雇员流失可能引发的操作风险;同时本行应实行并保持具有一定同业竞争力的薪酬福利制度,并确保薪酬结构设计恰当合理,短期和长期目标相结合、数量和质量指标相结合,从而避免由于薪酬激励不恰当可能引发的操作风险。 (七)建立垂直的管理体系。本行应逐步建立包括风险管理在内的各项管理活动的垂直组织体系,实现管理职能和经营职能的必
29、要分离,确保各级组织和岗位的有效制衡和相互监督,从而有效预防和控制由于各类不尽职和不正当干预可能引发的操作风险。(八)加强与员工的沟通和交流。领导应当加强与员工的沟通和交流,关心员工的工作、学习、生活,掌握员工的思想行为动态,及时发现可能引发操作风险的诱因,主动采取相应的、有针对性的措施加以管理和控制,从而有效预防和控制由于人员因素可能引发的各类操作风险。 (九)恰当的职岗设计和不相容职务分离。本行应当设计并完善一个高低有序、相互制衡、报告关系清晰的职务和岗位体系,并根据职务和岗位职能甄别其操作风险程度或等级,为分类管理和控制人员的操作风险奠定基础;同时应确保不相容职务适当分离,从而有效预防和
30、控制由于岗位设置不恰当引发的操作风险。 (十)为管理人员操作风险而采取的其他必要措施。 第二十一条 针对系统操作风险的控制要点 (一)严格的机房建设和管理。信息系统数据中心机房应符合国家有关计算机场所、环境、供配电等技术标准。本行数据中心应达到监管部门规定的国家标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。 (二)重视知识产权保护和产品自主研发。应重视知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本行信息化成果。 (三)严格的电子设备采购和管理。电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,
31、选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。 (四)规范的网络设计。网络应参照相关的标准和规范设计建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。 (五)严格的网络安全管理。本行应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、
32、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。 (六)严格的加密要素和设备管理。应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。 (七)规范的数据管理。应加强数据采集、存储、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。 (八)严格的参数配置管理。应对
33、信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。 (九)建立健全信息系统应急预案。应制定信息系统应急预案,并定期演练、评审和修订。本行应实现异地数据实时备份。 (十)规范的技术文档资料和重要数据管理。应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。(十一)健全的系统研发机制。信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务
34、人员、技术人员和管理人员组成,具体负责整个项目的开发工作。项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。 (十二)健全的项目测试机制。应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。 -94- (十三)编写必要文档和计划。业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案业务连续性计划、投产计划、应急回退计划,并进行演练。 (十四)严格的运行与
35、维护职责分离。信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。(十五)健全的信息系统运行机制。应制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;提供机房环境、设备使用、网络运行、系统运行等监控信息;记录运行值班过程中所有现象、操作过程等信息。 (十六)健全的信息系统维护机制。应对信息系统设备和系统环境进行维护,对软件或数据
36、的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库直接操作;应具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;提供维护的统计和报表打印功能。 (十七)健全的信息系统变更机制。应制定严密的变更处理程序,明确变更控制中各岗位的职责,并遵循程序实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更作;应根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;应采取软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容
37、核实清单。 (十八)规范的系统投产后维护。信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。 (十九)规范的机房维护。应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理程序和预案,有实时交易服务的数据中心应实行24小时值班。(二十)健全的系统外包管理机制。在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担
38、水平,并进行必要的尽职调查。应建立完善的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本行对外包管理的能力。 (二十一)为管理系统操作风险而采取的其他必要措施。 第二十二条 针对内部流程操作风险的控制要点 (一)建立规范严密的流程设计和维护制度。本行应建立严格的流程管理制度,以规范本行内部流程的设计和维护。制度需涵盖流程设计、论证、批准等各个主要环节;制度应明确业务部门、操作风险牵头管理部门和操作风险相关管理部门在流程设计中的职责分工和权限,以规范的流程管理制度来保障流程设计的规范;制度还应对流程的定期检验机制作出规定,确保随着业务、事务的内外部环境、核心风险特征发生变化,内部流
39、程能够及时得到更新维护,保证内部流程的适时性和有效性,从而有效预防和控制内部流程可能引发的操作风险。 (二)建立专业化的流程设计团队。本行应致力于培养和建立专业化的流程管理专家和跨部门协作的流程设计团队;在流程设计过程中应结合本行实际情况,并注重借鉴先进银行成功经验,提高流程设计的科学性、合理性、准确性,从而有效预防和控制内部流程可能引发的操作风险。 (三)流程的精细化与标准化。本行应建立清晰、明确、具有可操作性的业务、事务流程;流程应能够明确提示关键风险环节,关键控制要点和相应的尽职要求和尽职标准,确保流程设计的充分准确,从而有效预防和控制内部流程可能引发的操作风险。 (四)实体内容和程序性
40、规定执行并重。本行应倡导流程实体内容和程序性规定执行并重的理念,将严格执行流程作为全体员工行为准则的重要内容,明确禁止逆程序和越程序的行为,并且在各项业务和事务的规章制度中同样加以明确规定和严格执行,并为其设计相应的问责机制,确保流程执行的完整性、准确性,从而有效预防和控制内部流程可能引发的操作风险。 (五)建立规范的新业务和新产品设计流程。本行应建立规范的新业务和新产品设计管理制度,管理制度应涵盖新业务和新产品设计的整个过程,进而能够充分有效识别和评估可能出现的操作风险,并有针对性地采取相应措施,从而有效预防和控制新业务、新产品中的操作风险。 (六)为管理内部流程操作风险而采取的其他必要措施
41、。 第二十三条 针对外部事件的风险控制要点 (一)制定切实可行的应急预案。根据本行所处的内外部环境,预计可能发生的外部事件,并分析可能产生的后果,在充分预计和识别的基础上,针对不同的事件建立切实可行的应急方案,对其中具备条件可以演练的预案应当模拟情形加以演练,确保当外部事件发生时可从容应对。 (二)高效的应急处理。当外部事件发生时,本行应及时启动相关的应急预案,针对不同的事件高效应对和处置,确保将外部事件给本行带来的损失降到最低程度。 第二十四条 针对外包活动的风险控制要点 (一)尽职调查。本行在进行外包活动时应当对服务提供商进行尽职调查,尽职调查应当包括以下事项:管理能力和行业地位;财务稳健
42、性;经营声誉和企业文化;技术实力和服务质量;突发事件应对能力;对银行业的熟悉程度;对其他银行业金融机构提供服务的情况;本行认为重要的其他事项。外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。 (二)明确双方的权利义务。开展外包活动时应当签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:外包服务的范围和标准;外包服务的保密性和安全性的安排;外包服务的业务连续性的安排;外包服务的审计和检查;外包争端的解决机制;合同或协议变更或终止的过渡安排;违约责任。对于具有专业技术性的外包活动,可签订服务标准协议。 (三)外包服务提供商管理。本行应当要求外包服务提
43、供商承诺以下事项:定期通报外包活动的有关事项;及时通报外包活动的突发性事件;配合本行接受银行业监督管理机构的检查;保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,本行有权随时终止外包合同;不得以本行的名义开展活动;本行认为应当承诺的其他事项。(四)分包与转包管理。本行应当关注外包服务提供商分包的风险,并明确以下事项:服务提供商分包的规则;分包服务提供商应当严格遵守主服务提供商与本行确定的外包合同或协议中的相关条款;主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;不得将外包活动的主要业务分包。外包服务提供商不得将外包活动转包或变相转包。第六章 操作风险报告体系第二十五
44、条 本行内部的操作风险报告体系 (一)报告渠道 1各部门和机构应定期、及时向主管的相关管理部门和高级管理层报告分类的操作风险状况,并同时报送操作风险管理部门; 2相关管理部门应定期向操作风险牵头管理部门和高级管理层报告分管业务、事务线条上的操作风险状况; 3操作风险牵头管理部门应定期向董事会、监事会和高级管理层报告本行总体的操作风险状况; 4本行重大操作风险事件,应及时报告高级管理层和董事会。 (二)报告的主要内容 1按业务、部门、地区和风险类别分别汇总的操作风险状况; 2操作风险识别、评估、监测和控制方法及程序的变更情况; 3操作风险管理政策、程序和制度的遵守情况; 4操作风险管理政策、程序
45、和制度的有效性; 5内部和外部审计情况; 6对改进操作风险管理政策、程序、制度以及操作风险应急方案的建议;7操作风险管理的其他情况。 (三)不同层次和种类的报告所遵循的发送范围、程序和频率,应根据董事会及高级管理层的相应规定执行。 第二十六条 对监管机构的操作风险报告 (一)本行的操作风险管理政策和程序应报监管机构备案。 (二)本行应向监管机构报送与操作风险有关的文件、资料和其他报告。 (三)本行委托社会中介机构对操作风险的状况及操作风险管理体系进行审计的,应提交外部审计报告。 (四)对于监管机构在监管中发现的有关本行操作风险管理的问题,或监管机构对本行的操作风险管理体系提出整改建议,本行应在
46、规定的时限内提交整改方案并采取整改措施。 (五)本行发生涉案金额巨大或造成重大影响操作风险事件的,应及时向监管机构报告。 第二十七条 操作风险信息披露 本行应按照监管机构关于信息披露的有关规定,披露有关本行操作风险管理状况的信息。 第七章 操作风险管理的人力资源和信息系统 第二十八条 本行应为操作风险管理部门配备足够的人员并配备所需的物力和财力资源,确保操作风险管理工作的有效开展。 第二十九条 操作风险管理人员应当具备相关的专业知识和技能,并充分了解本行与操作风险有关的业务、所承担的各类操作风险以及相应的风险识别、评估、控制方法和技术。第三十条 本行应在技术可能的范围内,逐步通过系统实现对部分操作风险的有效控制。 第八章 操作风险管理的内外部审计 第三十一条 内部审计 (一)本行操作风险管理职能应与内部审计职能分离。本行的内部审计部门应当定期对操作风险管理体系各个组成部分和环节的准确性、可靠性、充分性和有效性进行独立的审查和评
