商业银行操作风险管理指引的附录

1. 商业银行操作风险管理指引的附录

 《商业银行操作风险管理指引》有关名词的说明操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件，具体事件包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型（进一步的信息可参阅《统一资本计量和资本标准的国际协议：修订框架》，即巴塞尔新资本协议的“附录7：损失事件分类详表”）。 商业银行用于识别、评估操作风险的常用工具。（一）自我风险评估自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。（二）关键风险指标关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施），具体指标例如：每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。 法律风险包括但不限于下列风险：1.商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的；2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的；3.商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的。

2. 商业银行个人理财业务风险管理指引的第三章

综合理财服务的风险管理第三十二条 商业银行的董事会和高级管理层应当充分了解和认识综合理财服务的高风险性，建立健全综合理财服务的内部管理与监督体系、客户授权检查与管理体系和风险评估与报告体系，并及时对相关体系的运行情况进行检查。第三十三条 商业银行应定期对内部风险监控和审计程序的独立性、充分性、有效性进行审核和测试，商业银行内部监督部门应向董事会和高级管理层提供独立的综合理财业务风险管理评估报告。第三十四条 商业银行应综合分析所销售的投资产品可能对客户产生的影响，确定不同投资产品或理财计划的销售起点。保证收益理财计划的起点金额，人民币应在5万元以上，外币应在5千美元（或等值外币）以上；其他理财计划和投资产品的销售起点金额应不低于保证收益理财计划的起点金额，并依据潜在客户群的风险认识和承受能力确定。第三十五条 商业银行应当建立必要的委托投资跟踪审计制度，保证商业银行代理客户的投资活动符合与客户的事先约定。未经客户书面许可，商业银行不得擅自变更客户资金的投资方向、范围或方式。第三十六条 商业银行的董事会和高级管理层应根据商业银行的经营战略、风险管理能力和人力资源状况等，慎重研究决定商业银行是否销售以及销售哪些类型的理财计划。第三十七条 商业银行在销售任何理财计划时，应事前对拟销售的理财计划进行全面的风险评估，制定主要风险的管控措施，并建立分级审核批准制度。第三十八条 商业银行的董事会或高级管理层应根据本行理财计划的发展策略、资本实力和管理能力，确定本行理财计划所能承受的总体风险程度，并明确每个理财计划所能承受的风险程度。可承受的风险程度应当是量化指标，可以与商业银行的资本总额相联系，也可以与个人理财业务收入等其他指标相联系。第三十九条 商业银行的董事会或高级管理层应确保理财计划的风险管理能够按照规定的程序和方法实施，并明确划分相关部门或人员在理财计划风险管理方面的权限与责任，建立内部独立审计监督机制。第四十条 商业银行的董事会或高级管理层应当根据理财计划及其所包含的投资产品的性质、销售规模和投资的复杂程度，针对理财计划面临的各类风险，制定清晰、全面的风险限额管理制度，建立相应的管理体系。理财计划涉及的有关交易工具的风险限额，同时应纳入相应的交易工具的总体风险限额管理。第四十一条 商业银行应采用多重指标管理市场风险限额，市场风险的限额可以采用交易限额、止损限额、错配限额、期权限额和风险价值限额等。但在所采用的风险限额指标中，至少应包括风险价值限额。第四十二条 商业银行除应制定银行总体可承受的市场风险限额外，还应当按照风险管理权限，制定不同的交易部门和交易人员的风险限额，并确定每一理财计划或产品的风险限额。第四十三条 商业银行对信用风险限额的管理，应当包括结算前信用风险限额和结算信用风险限额。结算前信用风险限额可采用传统信贷业务信用额度的计算方式，根据交易对手的信用状况计算；结算信用风险限额应根据理财计划所涉及的交易工具的实际结算方式计算。第四十四条 商业银行可根据实际业务情况确定流动性风险限额的管理，但流动性风险限额应至少包括期限错配限额，并应根据市场风险和信用风险可能对银行流动性产生的影响，制定相应的限额指标。第四十五条 商业银行的各相关部门都应当在规定的限额内进行交易，任何突破限额的交易都应当按照有关内部管理规定事先审批。对于未事先审批而突破交易限额的交易，应予以记录并调查处理。第四十六条 商业银行对相关风险的评估测算，应当按照有关规定采用适宜、有效的方法，并应保证相关风险评估测算的一致性。第四十七条 商业银行应清楚划分相关业务运作部门的职责，采取充分的隔离措施，避免利益冲突可能给客户造成的损害。理财计划风险分析部门、研究部门应当与理财计划的销售部门、交易部门分开，保证有关风险评估分析、市场研究等的客观性。第四十八条 商业银行应当将负责理财计划或产品相关交易工具的交易人员，与负责银行自营交易的交易人员相分离，并定期检查、比较两类交易人员的交易状况。第四十九条 理财计划的内部监督部门和审计部门应当独立于理财计划的运营部门，适时对理财计划的运营情况进行监督检查和审计，并直接向董事会和高级管理层报告。第五十条 商业银行应当充分、清晰、准确地向客户提示综合理财服务和理财计划的风险。对于保证收益理财计划和保本浮动收益理财计划，风险提示的内容应至少包括以下语句：“本理财计划有投资风险，您只能获得合同明确承诺的收益，您应充分认识投资风险，谨慎投资”。第五十一条 对于非保本浮动收益理财计划，风险提示的内容应至少包括以下语句：“本理财计划是高风险投资产品，您的本金可能会因市场变动而蒙受重大损失，您应充分认识投资风险，谨慎投资”。

3. 商业银行合规风险管理指引的第三章

合规管理部门职责第十八条 合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险，履行以下基本职责：（一）持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律、规则和准则对商业银行经营的影响，及时为高级管理层提供合规建议；（二）制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等；（三）审核评价商业银行各项政策、程序和操作指南的合规性，组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订，确保各项政策、程序和操作指南符合法律、规则和准则的要求；（四）协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门；（五）组织制定合规管理程序以及合规手册、员工行为准则等合规指南，并评估合规管理程序和合规指南的适当性，为员工恰当执行法律、规则和准则提供指导；（六）积极主动地识别和评估与商业银行经营活动相关的合规风险，包括为新产品和新业务的开发提供必要的合规性审核和测试，识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险；（七）收集、筛选可能预示潜在合规问题的数据，如消费者投诉的增长数、异常交易等，建立合规风险监测指标，按照风险矩阵衡量合规风险发生的可能性和影响，确定合规风险的优先考虑序列；（八）实施充分且有代表性的合规风险评估和测试，包括通过现场审核对各项政策和程序的合规性进行测试，询问政策和程序存在的缺陷，并进行相应的调查。合规性测试结果应按照商业银行的内部风险管理程序，通过合规风险报告路线向上报告，以确保各项政策和程序符合法律、规则和准则的要求；（九）保持与监管机构日常的工作联系，跟踪和评估监管意见和监管要求的落实情况。第十九条 商业银行应为合规管理部门配备有效履行合规管理职能的资源。合规管理人员应具备与履行职责相匹配的资质、经验、专业技能和个人素质。商业银行应定期为合规管理人员提供系统的专业技能培训，尤其是在正确把握法律、规则和准则的最新发展及其对商业银行经营的影响等方面的技能培训。第二十条 商业银行各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任。商业银行应根据业务条线和分支机构的经营范围、业务规模设立相应的合规管理部门。各业务条线和分支机构合规管理部门应根据合规管理程序主动识别和管理合规风险，按照合规风险的报告路线和报告要求及时报告。第二十一条 商业银行应建立合规管理部门与风险管理部门在合规管理方面的协作机制。第二十二条 商业银行合规管理职能应与内部审计职能分离，合规管理职能的履行情况应受到内部审计部门定期的独立评价。内部审计部门应负责商业银行各项经营活动的合规性审计。内部审计方案应包括合规管理职能适当性和有效性的审计评价，内部审计的风险评估方法应包括对合规风险的评估。商业银行应明确合规管理部门与内部审计部门在合规风险评估和合规性测试方面的职责。内部审计部门应随时将合规性审计结果告知合规负责人。第二十三条 商业银行应明确合规风险报告路线以及合规风险报告的要素、格式和频率。第二十四条 商业银行境外分支机构或附属机构应加强合规管理职能，合规管理职能的组织结构应符合当地的法律和监管要求。第二十五条 董事会和高级管理层应对合规管理部门工作的外包遵循法律、规则和准则负责。商业银行应确保任何合规管理部门工作的外包安排都受到合规负责人的适当监督，不妨碍银监会的有效监管。

4. 商业银行个人理财业务风险管理指引的第四章

个人理财业务产品风险管理第五十二条 商业银行开展个人理财业务涉及代理销售其他金融机构的投资产品时，应对产品提供者的信用状况、经营管理能力、市场投资能力和风险处置能力等进行评估，并明确界定双方的权利与义务，划分相关风险的承担责任和转移方式。第五十三条 商业银行应要求提供代销产品的金融机构提供详细的产品介绍、相关的市场分析报告和风险收益测算报告。第五十四条 商业银行提供的理财产品组合中如包括代理销售产品，应对所代理的产品进行充分的分析，对相关产品的风险收益预测数据进行必要的验证。商业银行应根据产品提供者提供的有关材料和对产品的分析情况，按照审慎原则重新编写有关产品介绍材料和宣传材料。第五十五条 商业银行个人理财业务部门销售商业银行原有产品时，应当要求产品开发部门提供产品介绍材料和宣传材料。个人理财业务部门认为有必要对以上材料进行重新编写时，应注意所编写的相关材料应与原有产品介绍和宣传材料保持一致。第五十六条 商业银行根据理财业务发展需要研发的新投资产品的介绍和宣传材料，应当按照内部管理有关规定经相关部门审核批准。第五十七条 商业银行在编写有关产品介绍和宣传材料时，应进行充分的风险揭示，提供必要的举例说明，并根据有关管理规定将需要报告的材料及时向中国银行业监督管理委员会报告。第五十八条 商业银行研发新的投资产品，应当制定产品开发审批程序与规范，在进行任何新的投资产品开发之前，都应当就产品开发的背景、可行性、拟销售的潜在目标客户群等进行分析，并报董事会或高级管理层批准。第五十九条 新产品的开发应当编制产品开发报告，并经各相关部门审核签字。产品开发报告应详细说明新产品的定义、性质与特征，目标客户及销售方式，主要风险及其测算和控制方法，风险限额，风险控制部门对相关风险的管理权力与责任，会计核算与财务管理方法，后续服务，应急计划等。第六十条 商业银行应当建立新产品风险的跟踪评估制度，在新产品推出后，对新产品的风险状况进行定期评估。

5. 商业银行金融创新指引的第五章 风险管理

第三十五条  商业银行董事会和高级管理层应将金融创新活动的风险管理纳入全行统一的风险管理体系。董事会下设的风险管理委员会应将金融创新活动的风险和其他传统业务的风险进行统一管理，制定恰当的风险管理程序和风险控制措施，清楚地界定各业务条线和相关部门的具体责任。第三十六条  商业银行应制定完善的风险管理政策、程序和风险限额，确保各类金融创新活动能与本行的管理能力和专业水平相适应。第三十七条  商业银行应通过有效的管理信息系统，建立健全风险管理架构，充分识别、计量、监测和控制各类金融创新活动带来的风险。第三十八条  商业银行应建立与各类金融创新业务性质及规模相适应的完善的内部控制制度, 通过独立的内部和外部审计检查内控制度的建立与执行情况。第三十九条  商业银行应对计划开展的金融创新活动进行严格的合规性审查，准确界定其所包含的各种法律关系，明确可能涉及的法律、政策，研究制定相应的解决办法，切实防范合规风险。第四十条 商业银行应结合政策调整和市场环境变化，针对金融创新活动的特点，定期对关键模型、假设条件和模型参数进行验证和修正，制定风险预警和风险处置预案。董事会与高级管理层应负责制定业务应急性计划和连续性计划。

6. 请论述商业银行建立操作风险管理框架的基本要求。

(1)商业银行董事会应承担监控操作风险管理有效性的最终责任，高级管理层负责执行董事会批准的操作风险管理战略、政策及制度。(2)商业银行必须建立与本行的业务性质、规模和产品复杂程度相适应的内部操作风险管理系统。(3)商业银行必须定期向业务条线或部门主管、_级管理层和董事会报告操作风险管理报告。(4)商业银行必须系统性地收集、整理并跟踪操作风险相关数据，包括业务条线的操作风险损失金额和损失频率，定期对损失数据进行风险评估，并将评估结果纳入全行的风险管理流程。(5)商业银行必须确保有充足的人力和物力资源支持在全行和各业务条线实施操作风险管理、内部控制和内部审计。(6)商业银行的操作风险管理流程和系统必须接受验证和定期独立审查，审查必须涵盖各业务条线和操作风险管理环节。(7)商业银行的操作风险管理系统和内部验证程序应定期接受外部审计和监管当局的监督检_。

7. 商业银行流动性风险管理指引的第五章 附则

第八十四条 农村合作银行、外国银行分行和城市信用社、农村信用社等其他银行业金融机构参照本指引执行。法律法规另有规定的，适用其规定。第八十五条 本指引由银监会负责解释。第八十六条 本指引自2009年11月1日起施行。商业银行最迟应于2010年底前达到本指引要求。因系统开发等特殊原因无法在上述时限内达标的，经银监会同意后可适当延期。

8. 商业银行操作风险管理指引的介绍

为加强商业银行的操作风险管理，推动商业银行进一步完善公司治理结构，提升风险管理能力，银监会制定了《商业银行操作风险管理指引》，现印发给你们，请遵照执行。