银行操作风险和控制自我评估

管理办法

第一章 总则

第一条 宗旨和依据

为健全银行股份有限公司（以下简称“本行”）操作风险管理体系，规范操作风险与控制评估工作，持续、动态管理本行操作风险状况，提升内部控制水平，依据银监会《商业银行操作风险监管资本计量指引》、《商业银行操作风险管理指引》等监管规定及《银行股份有限公司操作风险管理政策》，制定本办法。

第二条 定义

本办法所称操作风险与控制评估（RCSA），是指业务流程的参与者、活动的实施者采用一定的方法，持续识别、评估并报告业务领域或业务流程的操作风险及其控制状况的过程。

本办法所称固有风险，是指未考虑现有控制及其作用时的风险。 本办法所称剩余风险，是指在考虑现有控制及其作用后的风险。 第三条 作用

主动、持续地识别评估业务领域、业务流程中的潜在风险并采取优化方案，使防范风险、扼制大要案件的关口前移；

重点关注高风险领域和关键流程，当发生、发现重大操作风险事件、外部极端操作风险事件、重大内部控制问题等情况，及时启动RCSA流程对相应业务流程进行评估，以强化、完善风险控制；

定期审查、更新评估记录情况，及时反映操作风险的变化趋势和控制措施的适当性和有效性；

对识别、评估出的操作风险进行梳理和优先级别排序，定期向风险管理委员会报告操作风险整体状况和重大操作风险。

第四条 基本原则

本行风险与控制评估遵循以下原则：

（一）业务流程所有人负第一评估责任原则； （二）动态管理原则；

（三）评估实施与结果运用并重原则； （四）重要性原则，即应优先识别和评估对本行业务目标和管理目标有重大影响的操作风险；

（五）定期检查原则。

第二章 职责分工

第五条 总行风险管理部

全行操作风险管理的牵头部门，主要职责包括： （一）定期组织全行操作风险和控制自我评估；

（二）组织研讨会对全行操作风险和控制自我评估进行讨论确定； （三）对全行操作风险和控制自我评估进行指导和日常监督检查； （四）定期向高级管理层和董事会报告关于操作风险和控制自我评估的结果； （五）协调总行各职能部门制定年度评估计划，并对总行各部门、分行提供技术指导和培训。

第六条 分行风险管理部门

（一）组织研讨会对本行操作风险和控制自我评估进行讨论确定；

（二）定期向分行高级管理层和总行报告关于本行操作风险和控制自我评估的结果。

第七条 各级业务及操作部门

负责本部门操作风险的日常管理和报告。包括开展本部门所涉及流程的风险与控制自我评估。

其中，总行各部门还负责指导其下级部门进行风险和控制自我评估，汇总其下级部门上报的风险与控制自我评估结果，统一向总行风险管理部报送。

第三章 风险和控制自我评估

第八条 操作风险存在于各个业务单元、业务线，其产生来源主要有以下四个方面：

（一）内部程序：业务流程或交易过程失败所带来的风险。

（二）人员：银行人员不履行适当的行为、工作效率低、低效的人力资本管理所带来的风险。

（三）系统：不健全的信息技术/通讯系统、不可靠或不完整的数据所带来的风险。

（四）外部事件：我行无法直接控制的外部事件对银行产生负面影响所带来的风险。

第九条 我行操作风险和控制自我评估采用风险和控制自我评估工具（或称RCSA评估工具，RCSA即”Risk and Control Self-Assessment”的缩写），RCSA由三个主要部分组成：固有风险评估、控制评估、剩余风险评估。

第十条 工作流程

操作风险与控制评估工作流程包括准备阶段、评估阶段和报告阶段等三个阶段。总行各职能部门、各分行应当按照下述工作流程实施评估：

准备阶段：包括确认评估对象、绘制流程图、收集整理操作风险信息三个步骤。

评估阶段：包括识别和评估固有风险、识别和评估现有控制、评估剩余风险、提出优化方案四个步骤。评估人员应首先识别操作流程中所存在的主要风险，根据风险发生的可能性与影响程度对风险进行评估；然后结合所识别的固有风险，确定所对应的风险控制措施，根据控制措施的设计有效性与执行有效性对控制进行有效性评估。根据固有风险评估结果以及相对应的控制措施有效性，对剩余风险进行评级并提出优化方案。

报告阶段：包括整合评估成果和提交报告两个步骤。 第十一条 评估方法与报告路线

我行操作风险和控制自我评估采用综合法，即首先采用自下而上的自我评估流程，最后由风险管理部召开研讨会讨论确定。

分行各专业部门根据要求对本部门所涉及操作风险和控制进行评估后，报送总行本条线管理部门，同时抄报同级风险管理部门。

分行风险管理部组织研讨会汇总后形成分行RCSA结果，并将之作为分行操作风险管理报告的组成部分，供分行管理层审阅。

总行各业务条线管理部门对本部门所涉及操作风险和控制进行评估，并汇总本部门RCSA及条线各下级部门上报的RCSA，形成本业务条线的RCSA结果，报送总行风险管理部。总行风险管理部组织各部门召开研讨会，讨论确定全行最终的RCSA结果。

第十二条 定期评估 总行各职能部门、各分行应每年针对业务领域或业务流程进行操作风险与控

制评估，确保评估覆盖本行面临的主要操作风险。

第十三条 触发式评估

触发式评估指当我行操作风险状况有重大变化，或是注意到重大操作风险事件频发、关键风险指标的触发线频繁被突破、控制措施无效等情况时，有关部门可随时发起风险和控制自我评估流程。触发式评估应报送总行风险管理部，由其决定是否应对全行操作风险和控制进行重新评估。

总行各职能部门、分行应在触发情形发生后二个月内启动触发式评估，并确定需进行触发式评估的业务流程环节、业务流程或业务领域，并在评估开始之日起2个月内按照本办法规定的报告路线进行报告。触发式评估可采用讨论组会议方式。

触发情形涉及多个职能部门的，由相关部门协商确定触发式评估的牵头部门；协商不成的，由本级机构操作风险管理牵头部门予以协调；经协调仍不能确定的，由本级机构风险管理委员会指定牵头部门进行触发式评估。

在以下情形应发起触发式评估工作：

（一）同业重大案件或本职能条线发生系统性操作风险； （二）总行IT系统发生重大变化； （三）推行新业务/产品； （四）业务流程发生重大变化； （五）监管机构或管理层要求发起。 第十四条 年度评估计划

总行年度评估计划由总行操作风险管理牵头部门协调总行各职能部门制定，并下发全行执行。

总行各职能部门、各分行负责执行总行年度评估计划中涉及本部门、分行的评估工作。

年度评估计划的主要内容包括：当年需进行评估的业务领域或业务流程、组织方式、时间安排及质量控制措施等。

第十五条 剩余风险评估决策 总行职能部门、各分行职能部门应确定是否接受剩余风险。操作风险管理牵头部门可就剩余风险接受问题提出独立建议。

第十六条 评估信息管理 总行各职能部门、各分行在风险与控制评估过程中，应当保持清晰的评估过程记录及其证明资料，主要包括：

（一）操作风险信息的支持性文件； （二）评估结果；

（三）分析报告结果等。 第十七条 应用

操作风险自我评估结果有助于识别高风险领域，确定管理的优先次序和相应的管理方案，同时可为我行制定关键风险指标提供基础信息。

操作风险和控制自我评估结果应反映在我行操作风险管理报告中，以便高级管理层了解我行操作风险轮廓，采取有效措施对操作风险进行管理。

操作风险与控制评估结果可应用于优化业务流程和控制、内控检查与评价、基层机构自查、风险提示等。总行鼓励各级职能部门、各分行主动探讨、总结其他有益应用途径。

第四章 附则

第十八条 本办法适用于我行总行、各分支机构，涉及我行所有产品、业务

活动、程序及信息系统。

第十九条 本办法由总行风险管理部负责解释。 第二十条 本办法自发布之日起施行。 附表1