您的位置: 首页 » 法律资料网 » 法律法规 »

中国银行业监督管理委员会


中国银监会关于印发《商业银行操作风险管理指引》的通知



各银监局，各政策性银行、国有商业银行、股份制商业银行，邮政储蓄银行：

为加强商业银行的操作风险管理，推动商业银行进一步完善公司治理结构，提升风险管理能力，银监会制定了《商业银行操作风险管理指引》，现印发给你们，请遵照执行。

请各银监局将本通知转发至辖内各城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外资独资银行、中外合资银行和外国银行分行主报告行。


二○○七年五月十四日





商业银行操作风险管理指引



第一章　总　则



第一条　为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条　在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条　本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条　中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。



第二章　操作风险管理



第五条　商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：

（一）董事会的监督控制；

（二）高级管理层的职责；

（三）适当的组织架构；

（四）操作风险管理政策、方法和程序；

（五）计提操作风险所需资本的规定。

第六条　商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括：

（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；

（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；

（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；

（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；

（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

第七条　商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：

（一）在操作风险的日常管理方面，对董事会负最终责任；

（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；

（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；

（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；

（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；

（六）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

第八条　商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立，确保全行范围内操作风险管理的一致性和有效性。主要职责包括：

（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；

（二）协助其他部门识别、评估、监测、控制及缓释操作风险；

（三）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；

（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；

（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；　

（六）定期检查并分析业务部门和其他部门操作风险的管理情况；

（七）定期向高级管理层提交操作风险报告；

（八）确保操作风险制度和措施得到遵守。

第九条　商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括：

（一）指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作规程；

（二）根据本行统一的操作风险管理评估方法，识别、评估本部门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；

（三）在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；

（四）监测关键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。

第十条　商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条　商业银行的内审部门不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。

鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。

第十二条　商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括：

（一）操作风险的定义；

（二）适当的操作风险管理组织架构、权限和责任；

（三）操作风险的识别、评估、监测和控制/缓释程序；

（四）操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；

（五）应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。

第十三条　商业银行应当选择适当的方法对操作风险进行管理。

具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

第十四条　业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法，如使用量化方法对各部门的操作风险进行评估，收集操作风险损失数据，并根据各业务线操作风险的特点有针对性地进行管理。

第十五条　商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。

第十六条　重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。

第十七条　商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：

（一）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；

（二）密切监测遵守指定风险限额或权限的情况；

（三）对接触和使用银行资产的记录进行安全监控；

（四）员工具有与其从事业务相适应的业务能力并接受相关培训；

（五）识别与合理预期收益不符及存在隐患的业务或产品；

（六）定期对交易和账户进行复核和对账；

（七）主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；

（八）重要岗位或敏感环节员工八小时内外行为规范；

（九）建立基层员工署名揭发违法违规问题的激励和保护制度；

（十）查案、破案与处分适时、到位的双重考核制度；

（十一）案件查处和相应的信息披露制度；

（十二）对基层操作风险管控奖惩兼顾的激励约束机制。

第十八条　为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容。

第十九条　商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。

第二十条　商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。

第二十一条　商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。

购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程序。

第二十二条　商业银行应当按照银监会关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本。



第三章　操作风险监管



第二十三条　商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的，还应提交外部审计报告。

第二十四条　商业银行应及时向银监会或其派出机构报告下列重大操作风险事件：

（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；

（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；

（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；

（四）高管人员严重违规；

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；

（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；

（七）银监会规定其他需要报告的重大事件。

第二十五条　银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。主要内容包括：

（一）商业银行操作风险管理程序的有效性；

（二）商业银行监测和报告操作风险的方法，包括关键操作风险指标和操作风险损失数据；

（三）商业银行及时有效处理操作风险事件和薄弱环节的措施；

（四）商业银行操作风险管理程序中的内控、检查和内审程序；

（五）商业银行灾难恢复和业务连续方案的质量和全面性；

（六）计提的抵御操作风险所需资本的充足水平；

（七）操作风险管理的其他情况。

第二十六条　对于银监会在监管中发现的有关操作风险管理的问题，商业银行应当在规定的时限内，提交整改方案并采取整改措施。

对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银行，银监会将依法采取相关监管措施。



第四章　附则



第二十七条　政策性银行、金融资产管理公司、城市信用社、农村信用社、农村合作银行、信托投资公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构等其他银行业金融机构参照本指引执行。

第二十八条　未设董事会的银行业金融机构，应当由其经营决策机构履行本指引规定的董事会的有关操作风险管理职责。

第二十九条　在中华人民共和国境内设立的外国银行分行，应当遵循其总行制定的操作风险管理政策和程序，按照规定向银监会或其派出机构报告重大操作风险事件并接受银监会的监管；其总行未制定操作风险管理政策和程序的，按照本指引的有关要求执行。

第三十条　本指引所涉及的有关名词见附录。

第三十一条　本指引自发布之日起施行。

附录：《商业银行操作风险管理指引》有关名词的说明附录



《商业银行操作风险管理指引》

有关名词的说明



一、操作风险事件

操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件，具体事件包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型（进一步的信息可参阅《统一资本计量和资本标准的国际协议：修订框架》，即巴塞尔新资本协议的“附录7：损失事件分类详表”）。

二、自我风险评估、关键风险指标

商业银行用于识别、评估操作风险的常用工具。

（一）自我风险评估

自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。

（二）关键风险指标

关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施），具体指标例如：每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。

三、法律风险

法律风险包括但不限于下列风险：1.商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的；2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的；3.商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的。



城市公物警察权之分解研究：园林绿化

刘建昆


　　我国关于园林绿化的警察权法规目前特别多，很多省市的《相对集中行政处罚权条例》等地方立法都有这方面的规定。本文则是以现行有效的《城市绿化条例》为依据进行的分析。

　　《城市绿化条例》第二十条是宣示条款：“任何单位和个人都不得损坏城市树木花草和绿化设施。”第四章罚则则具体规定对下列损坏行为进行惩治：

　　（一）损坏城市树木花草的；

　　（二）擅自修剪或者砍伐城市树木的；

　　（三）砍伐、擅自迁移古树名木或者因养护不善致使古树名木受到损伤或者死亡的；

　　（四）损坏城市绿化设施的。

　　未经同意擅自占用城市绿化用地的

　　未经同意擅自在城市公共绿地内开设商业、服务摊点的，

　　虽然没有规定具体的罚款数额，从公物法理论的角度观察，这些罚则条款仍然具有完全的“公物警察权”的属性特点。

　　一．保护内容是城市公物。具体的说，有以下种类的公物受到公物警察权的保护。

　　（1）城市树木花草。

　　现行的《城市绿化条例》第十八条：“城市的公共绿地、风景林地、防护绿地、行道树及干道绿化带的绿化，由城市人民政府城市绿化行政主管部门管理”这些物，是标准的行政公物。

　　（2）城市绿化用地

　　“皮之不存，毛将焉附”。植物绿化必定要使用一定的土地。公共绿化用土地的使用权，一般的说是作为城市人民政府掌控下的国有土地。对这些土地提供公物法上的特别保护是理所当然。然而在立法不完善情况下，容易与其他土地法规形成竞合重叠。同时一般来说，占用绿化用地往往造成地上植物的破坏，在这种情况下，究竟应该并罚还是吸收，法无明文。

　　（3）城市绿化设施

　　设施并不属于树木和绿化的植物，但是也与绿化有密切的关系。这里的绿化设施，应该主要是指城市建设部门建设的关于植物养护的固定设施。设施作为行政权的客体物，并非“公营造物”“公法上的设施”等组织体。在城市绿化方面，类似的“公营造物”组织体是作为政府主管的作为事业单位的园林处，他们以自己的成员和自有的设备，负责城市绿化的“公物负担”。

　　（4）城市古树名木。城市古树名木有其自身的特点，即有时候不属于从行政机关的所有。在这种情况下，行政机关何以仍然对其提供公物警察权的保护？从法理上看，古树名木的列管在法理上已经起到了公用征收征用的效果，或者作为准征用行政机关取得“公物权原”，政府也为私有或集体所有的古树名木提供公物法上的特别“公物负担”，这些古树名木足以构成行政法上的“他有公物”，因而法规可以规定其公物警察权。

　　二、保护权的警察性。

　　（1）公物保护警察权首先是一种是行政权。警察性并不意味着归属于狭义的警察机关。这些破坏公物的违法行为，先期是由城市管理主管机关之行政权加以保护的，只有在一般行政权不足的时候，才会动用人身强制方面的警察权，即《治安管理处罚法》，甚至《刑法》。

　　（2）公物保护警察权具有警察属性。即以使用强制权和处罚权为标志。

　　三、打击的目标是损坏行为。这些损坏、擅自修剪、擅自砍伐、砍伐、擅自占用等，自属于行为罚，擅自，意味者经过行政机关许可得免除其违法性。但是这些行为具有现实的可惩罚性，一般来说仍然需要危害后果的出现才能启动处罚程序。

　　四、责令赔偿法律性质仍待明确。损坏公物的价值的赔偿，是公物法上的空白之处。公物虽然供诸共用，但其财产价值不因供诸公众使用而灭失。损坏公物的行为造成公物价值减损，或者增加行政机关的公物负担之时，行政机关是否仍可在行政处罚之外谋求民事赔偿？此处是具有相当研究价值的和现实意义的。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　二○○九年九月十八日