银行操作风险和控制自我评估管理办法第一章总则第一条宗旨和依据为健全银行股份有限公司（以下简称“本行”）操作风险管理体系，规范操作风险与控制评估工作，持续、动态管理本行操作风险状况，提升内部控制水平，依据银监会《商业银行操作风险监管资本计量指引》、《商业银行操作风险管理指引》等监管规定及《银行股份有限公司操作风险管理政策》，制定本办法。第二条定义本办法所称操作风险与控制评估（RCSA），是指业务流程的参与者、活动的实施者采用一定的方法，持续识别、评估并报告业务领域或业务流程的操作风险及其控制状况的过程。本办法所称固有风险，是指未考虑现有控制及其作用时的风险。本办法所称剩余风险，是指在考虑现有控制及其作用后的风险。第三条作用主动、持续地识别评估业务领域、业务流程中的潜在风险并采取优化方案，使防范风险、扼制大要案件的关口前移；重点关注高风险领域和关键流程，当发生、发现重大操作风险事件、外部极端操作风险事件、重大内部控制问题等情况，及时启动RCSA流程对相应业务流程进行评估，以强化、完善风险控制；定期审查、更新评估记录情况，及时反映操作风险的变化趋势和控制措施的适当性和有效性；对识别、评估出的操作风险进行梳理和优先级别排序，定期向风险管理委员会报告操作风险整体状况和重大操作风险。第四条基本原则本行风险与控制评估遵循以下原则：（一）业务流程所有人负第一评估责任原则；（二）动态管理原则；（三）评估实施与结果运用并重原则；（四）重要性原则，即应优先识别和评估对本行业务目标和管理目标有重大影响的操作风险；（五）定期检查原则。第二章职责分工第五条总行风险管理部全行操作风险管理的牵头部门，主要职责包括：（一）定期组织全行操作风险和控制自我评估；（二）组织研讨会对全行操作风险和控制自我评估进行讨论确定；（三）对全行操作风险和控制自我评估进行指导和日常监督检查；（四）定期向高级管理层和董事会报告关于操作风险和控制自我评估的结果；（五）协调总行各职能部门制定年度评估计划，并对总行各部门、分行提供技术指导和培训。第六条分行风险管理部门（一）组织研讨会对本行操作风险和控制自我评估进行讨论确定；（二）定期向分行高级管理层和总行报告关于本行操作风险和控制自我评估的结果。第七条各级业务及操作部门负责本部门操作风险的日常管理和报告。包括开展本部门所涉及流程的风险与控制自我评估。其中，总行各部门还负责指导其下级部门进行风险和控制自我评估，汇总其下级部门上报的风险与控制自我评估结果，统一向总行风险管理部报送。第三章风险和控制自我评估第八条操作风险存在于各个业务单元、业务线，其产生来源主要有以下四个方面：（一）内部程序：业务流程或交易过程失败所带来的风险。（二）人员：银行人员不履行适当的行为、工作效率低、低效的人力资本管理所带来的风险。（三）系统：不健全的信息技术/通讯系统、不可靠或不完整的数据所带来的风险。（四）外部事件：我行无法直接控制的外部事件对银行产生负面影响所带来的风险。第九条我行操作风险和控制自我评估采用风险和控制自我评估工具（或称RCSA评估工具，RCSA即”RiskandControlSelf-Assessment”的缩写），RCSA由三个主要部分组成：固有风险评估、控制评估、剩余风险评估。第十条工作流程操作风险与控制评估工作流程包括准备阶段、评估阶段和报告阶段等三个阶段。总行各职能部门、各分行应当按照下述工作流程实施评估：准备阶段：包括确认评估对象、绘制流程图、收集整理操作风险信息三个步骤。评估阶段：包括识别和评估固有风险、识别和评估现有控制、评估剩余风险、提出优化方案四个步骤。评估人员应首先识别操作流程中所存在的主要风险，根据风险发生的可能性与影响程度对风险进行评估；然后结合所识别的固有风险，确定所对应的风险控制措施，根据控制措施的设计有效性与执行有效性对控制进行有效性评估。根据固有风险评估结果以及相对应的控制措施有效性，对剩余风险进行评级并提出优化方案。报告阶段：包括整合评估成果和提交报告两个步骤。第十一条评估方法与报告路线我行操作风险和控制自我评估采用综合法，即首先采用自下而上的自我评估流程，最后由风险管理部召开研讨会讨论确定。分行各专业部门根据要求对本部门所涉及操作风险和控制进行评估后，报送总行本条线管理部门，同时抄报同级风险管理部门。分行风险管理部组织研讨会汇总后形成分行RCSA结果，并将之作为分行操作风险管理报告的组成部分，供分行管理层审阅。总行各业务条线管理部门对本部门所涉及操作风险和控制进行评估，并汇总本部门RCSA及条线各下级部门上报的RCSA，形成本业务条线的RCSA结果，报送总行风险管理部。总行风险管理部组织各部门召开研讨会，讨论确定全行最终的RCSA结果。第十二条定期评估总行各职能部门、各分行应每年针对业务领域或业务流程进行操作