附件:
某银行操作风险与控制自我评估管理办法
(2.0版,2015年)
第一章 总则
第一条为及时识别我行经营管理中的操作风险,准确评估风险等级,提供风险管理决策参考,提升我行操作风险管理水平,根据中国银监会《商业银行操作风险管理指引》、《某银行操作风险管理政策》等规定,制定本办法。
第二条本办法所称操作风险与控制自我评估(Risk andControl Self-Assessment,RCSA)是指我行各部门、分支机构对自身经营管理中存在的操作风险点进行识别,评估固有风险,再通过分析现有控制活动的有效性,判断剩余风险,并提出优化控制措施的过程。
第三条固有风险指在未采取控制措施或其他风险缓释措施之前本身就存在的风险。
控制活动是指能够避免或减少风险发生可能性或者不利影响的所有流程和行动。
1
剩余风险是指采取现有的控制活动或其他风险缓释措施后仍存在的风险。
第四条自我评估的目标是建立覆盖我行各项经营活动的操作风险动态识别、评估、防控机制。自我评估单位要及时识别面临的风险点,避免违规操作,控制风险隐患,并为操作风险管理决策提供依据。
第五条自我评估遵循以下原则:
(一)全面性。自我评估范围应包括各相关部门、分支机构、各业务品种、各流程环节和风险点。
(二)及时性。自我评估工作应及时开展,评估结果应及时
报送,优化措施应及时实施,实施效果应及时检查。
(三)客观性。自我评估工作应当谨慎、客观,并充分考虑我行内、外部环境变化因素。
第二章自我评估流程
第六条 自我评估的流程包括(不限于)制定自我评估方案、组织相关部门实施、制订控制优化措施、后续跟踪检查四个阶段。
第七条总行法律与合规部、各业务管理部门、分支机构为
2
自我评估发起单位,负责制定自我评估方案,按照有关内部控制的要求和频率开展实施。
第八条总行法律与合规部主要针对政策、法规和监管部门要求以及内外部审计检查发现的风险隐患提出自我评估要求。
各业务管理部门应针对本业务条线操作风险管理的重点,提出自我评估要求,并根据评估结果制订优化措施。
分支机构应根据有关规章制度规定提出自我评估要求,并将评估结果、优化措施建议及时报告各业务管理部门以及上级行的法律与合规部。
第九条自我评估方案内容主要包括:自我评估目的、评估单位、评估内容范围、时间安排、评估方式及评估人员组成等。
第十条评估单位应注重日常资料收集和风险点监控工作,梳理相关业务制度和流程步骤图表,确定关键控制环节和风险点。
第十一条识别风险点时应重点关注:
(一)业务管理流程、操作规程各环节中存在的风险点,特别应在新业务、新产品开发过程中识别。
(二)信息科技系统(包括业务处理系统、管理信息系统等)存在的缺陷。
(三)制度缺乏或因客观原因难以执行、实际控制失效的制度
3
规定。
(四)实际操作过程中易发生误操作或差错频繁发生的环节。
(五)关键岗位人员操作风险。
(六)监管要求、检查发现以及外部环境变化。 第十二条评估风险时应重点关注:
(一)固有风险评估。对我行所面临的每个操作风险点都必须评估其固有风险。根据操作风险事件的发生频率、损失严重程度组合确定相应风险等级。
(二)控制有效性评估。评估控制活动有效性应从制度设计和实际控制实施两方面进行,确定控制有效性等级。
(三)剩余风险评估。综合考虑固有风险等级和控制有效性等级,确定剩余风险等级。
第十三条评估单位应当以书面形式如实记录自评过程,汇总、分析评估成果并形成自评报告。自评报告的内容主要包括自评工作开展情况、自评的结果、分析风险因素和风险类型、自评中发现的问题及控制优化措施建议、自评工作底稿等。
第十四条各评估单位负责人应及时、全面掌握本单位自我评估工作开展情况,对所有风险点的自我评估结果进行审核并签字确认。自我评估完成后,各评估单位应在规定时间内向发
4
