第二章 风险治理和管理责任
第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括:
(一)审批操作风险管理基本制度,确保与战略目标一致;
(二)审批操作风险偏好及其传导机制,将操作风险控制在可承受范围之内;
(三)审批高级管理层有关操作风险管理职责、权限、报告等机制,确保操作风险管理体系的有效性;
(四)每年至少审议一次高级管理层提交的操作风险管理报告,充分了解、评估操作风险管理总体情况以及高级管理层工作;
(五)确保高级管理层建立必要的识别、评估、计量、控制、缓释、监测、报告操作风险的机制;
(六)确保操作风险管理体系接受内部审计部门的有效审查与监督;
(七)审批操作风险信息披露相关制度;
(八)确保建立与操作风险管理要求匹配的风险文化;
(九)其他相关职责。
第八条 设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。
第九条 银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括:
(一)制定操作风险管理基本制度和管理办法;
(二)明确界定各部门、各级机构的操作风险管理职责和报告要求,督促各部门、各级机构履行操作风险管理职责,确保操作风险管理体系正常运行;
(三)设置操作风险偏好及其传导机制,督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查,及时处理突破风险偏好以及其他违反操作风险管理要求的情况;
(四)全面掌握操作风险管理总体状况,特别是重大操作风险事件;
(五)每年至少向董事会提交一次操作风险管理报告,并报送监事(会);
(六)为操作风险管理配备充足财务、人力和信息科技系统等资源;
(七)完善操作风险管理体系,有效应对操作风险事件;
(八)制定操作风险管理考核评价与奖惩机制;
(九)其他相关职责。
第十条 银行保险机构应当建立操作风险管理的三道防线,三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。
第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括各级负责操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线包括各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。
第十一条 第一道防线部门主要职责包括:
(一)指定专人负责操作风险管理工作,投入充足资源;
(二)按照风险管理评估方法,识别、评估自身操作风险;
(三)建立控制、缓释措施,定期评估措施的有效性;
(四)持续监测风险,确保符合操作风险偏好;
(五)定期报送操作风险管理报告,及时报告重大操作风险事件;
(六)制定业务流程和制度时充分体现操作风险管理和内部控制的要求;
(七)其他相关职责。
第十二条 第二道防线部门应当保持独立性,持续提升操作风险管理的一致性和有效性。主要职责包括:
(一)在一级分行(省级分公司)及以上设立操作风险管理专岗或指定专人,为其配备充足的资源;
(二)跟踪操作风险管理监管政策规定并组织落实;
(三)拟定操作风险管理基本制度、管理办法,制定操作风险识别、评估、计量、监测、报告的方法和具体规定;
(四)指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险,并定期开展监督;
(五)每年至少向高级管理层提交一次操作风险管理报告;
(六)负责操作风险资本计量;
(七)开展操作风险管理培训;
(八)其他相关职责。
国家金融监督管理总局或其派出机构按照监管职责归属,可以豁免规模较小的银行保险机构在一级分行(省级分公司)设立操作风险管理专岗或专人的要求。
第十三条 法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时,应当在职责范围内为其他部门操作风险管理提供充足资源和支持。
第十四条 内部审计部门应当至少每三年开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,审计评价操作风险管理体系运行情况,并向董事会报告。
内部审计部门在开展其他审计项目时,应当充分关注操作风险管理情况。
第十五条 规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价,并向国家金融监督管理总局或其派出机构报送外部审计报告。
第十六条 银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任,并履行以下职责:
(一)为本级、本条线操作风险管理部门配备充足资源;
(二)严格执行操作风险管理制度、风险偏好以及管理流程等要求;
(三)按照内外部审计结果和监管要求改进操作风险管理;
(四)其他相关职责。
境外分支机构除满足前款要求外,还应当符合所在地监管要求。
第十七条 银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其业务范围、风险特征、经营规模及监管要求相适应的操作风险管理体系,建立健全三道防线,制定操作风险管理制度。
境外附属机构除满足前款要求外,还应当符合所在地监管要求。