第四章 风险管理流程和方法
第二十五条 银行保险机构应当根据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效性,分析剩余风险发生的可能性和影响程度,划定操作风险等级,确定接受、降低、转移、规避等应对策略,有效分配管理资源。
第二十六条 银行保险机构应当结合风险识别、评估结果,实施控制、缓释措施,将操作风险控制在风险偏好内。
银行保险机构应当根据风险等级,对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施,持续监督执行情况,建立良好的内部控制环境。
银行保险机构通过购买保险、业务外包等措施缓释操作风险的,应当确保缓释措施实质有效。
第二十七条 银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括:
(一)明确部门间职责分工,避免利益冲突;
(二)密切监测风险偏好及其传导机制的执行情况;
(三)加强各类业务授权和信息系统权限管理;
(四)建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制;
(五)加强不相容岗位管理,有效隔离重要业务部门和关键岗位,建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度;
(六)加强员工行为管理,重点关注关键岗位员工行为;
(七)对交易和账户进行定期对账;
(八)建立内部员工揭发检举的奖励和保护机制;
(九)配置适当的员工并进行有效培训;
(十)建立操作风险管理的激励约束机制;
(十一)其他内部控制措施。
第二十八条 银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划,有效应对导致业务中断的突发事件,最大限度减少业务中断影响。
银行保险机构应当定期开展业务连续性应急预案演练评估,验证应急预案及备用资源的可用性,提高员工应急意识及处置能力,测试关键服务供应商的持续运营能力,确保业务连续性计划满足业务恢复目标,有效应对内外部威胁及风险。
第二十九条 银行保险机构应当制定网络安全管理制度,履行网络安全保护义务,执行网络安全等级保护制度要求,采取必要的管理和技术措施,监测、防御、处置网络安全风险和威胁,有效应对网络安全事件,保障网络安全、稳定运行,防范网络违法犯罪活动。
第三十条 银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,采取保护措施,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人信息保护,规范数据处理活动,依法合理利用数据。
第三十一条 银行保险机构应当制定与业务外包有关的风险管理制度,确保有严谨的业务外包合同和服务协议,明确各方责任义务,加强对外包方的监督管理。
第三十二条 银行保险机构应当定期监测操作风险状况和重大损失情况,对风险持续扩大的情形建立预警机制,及时采取措施控制、缓释风险。
第三十三条 银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。
银行保险机构应当在每年四月底前按照监管职责归属向国家金融监督管理总局或其派出机构报送前一年度操作风险管理情况。
第三十四条 银行保险机构应当建立重大操作风险事件报告机制,及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。
第三十五条 银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,或者开发其他管理工具。
银行保险机构应当运用各项风险管理工具进行交叉校验,定期重检、优化操作风险管理工具。
第三十六条 银行保险机构存在以下重大变更情形的,应当强化操作风险的事前识别、评估等工作:
(一)开发新业务、新产品;
(二)新设境内外分支机构、附属机构;
(三)拓展新业务范围、形成新商业模式;
(四)业务流程、信息科技系统等发生重大变更;
(五)其他重大变更情形。
第三十七条 银行保险机构应当建立操作风险压力测试机制,定期开展操作风险压力测试,在开展其他压力测试过程中应当充分考虑操作风险的影响,针对压力测试中识别的潜在风险点和薄弱环节,及时采取应对措施。
第三十八条 银行机构应当按照国家金融监督管理总局关于资本监管的要求,对承担的操作风险计提充足资本。