金融机构操作风险管理指引

1. 结合本职工作,谈谈如何遵守银行业金融机构从业人员职业操守指引

最近我社根据联社要求组织我们全体员工集中学习了《银行业金融机构从业人员职业操守指引》集中学习结束之后我对照《职业操守》又研读了一遍细细回味感触颇多
参加工作之后进入信用社成为一名普通员工要也遵守自己制定《员工守则》这次在全国颁布实施统一《员工职业操守》意义非常深刻它是员工从业履职基本规范和基本行为准则完善现代企业制度、强化依法合规经营和风险防范意识、实行人性化管理与提高员工忠诚度相结合基础上制定这对引导员工正确处理利益冲突进一步加强内部管理提升员工良好社会公信力树立信用社良好社会形象有着积极促进作用通过学习我认为认真执行《员工职业操守》规范员工从业行为、教育和引导员工自我约束、自我激励、提高员工从业素养和职业道德水准需要；积极贯彻《员工职业操守》不仅有利于提高全行员工整体素质加强员工队伍建设而且对构建防范道德风险和操作风险长效机制夯实管理基础培育健康和谐企业文化树立和保持信用社良好形象有着深远意义

这次颁布《员工职业操守》定位准确概念清楚重点突出进一步规范了员工从业履职应遵循职业操守明确了员工职业行为底线和界限是我们信用社从业履职的基本准则和基本要求认真贯彻执行《员工职业操守》对于提高全行员工的整体素质树立和保持信用社良好的形象构建防范道德风险和操作风险的长效机制具有十分重要意义在新形势下广泛开展职业操守教育活动很有必要只有加强员工职业操守建设提升员工的思想境界才能激发员工的工作热情和无私奉献精神使员工更加热爱本职工作努力钻研业务自觉遵纪守法才能确保信用社的改革顺利进行和业务蓬勃发展

一、加强员工职业操守教育是信用社改革发展的需要也是防范风险案件的迫切要求员工是企业的宝贵财富和价值源泉信用社的改革和发展需要一支具备良好职业操守的员工队伍迎接激烈的市场竞争更需要一支高素质的员工队伍如果我们严格规范职业行为工作态度好服务质量高始终坚持忠于职守、诚实守信；依法合规遵章守纪；廉洁从业亲友回避；优质服务公平竞争；以人为本情趣健康我们就会赢得广大顾客的信任和支持促进各项业务的发展同时也增强了信用社的知名度树立了信用社新形象各项工作的开展就会事半功倍因此只有加强员工职业操守建设才能提升员工的思想境界激发员工顺应改革的工作激情和无私奉献精神使员工更加热爱本职工作努力钻研业务遵纪守法始终站在改革的前列确保信用社改革的顺利进行和业务的蓬勃发展

通过学习《指引》倡导了爱岗敬业、客户至上的工作态度诚实守信、遵章守纪的行为规范廉洁从业、勤俭节约的利益观等基本价值理念是员工职业行为的准绳加强职业操守建设能够使员工深刻认识到自己对客户、对本职工作负有的职业责任并内化为内心的道德信念明确自己职业行为的底线和界限明确自己可以做什么、应当做什么和不该做什么预见到自己行为可能带来后果自觉约束自己的职业行为形成以恪守职业操守为荣违背职业操守为耻的企业文化形成防范道德风险和操作风险的长效机制推动信合事业持续健康发展

2. 现代金融风险管理包含的基本知识点有哪些

（1）现代金融风险管理的基本概念和原理；（2）市场风险与资产负债管理的关系；（3）信用风险与资产负债管理的关系；（4）承保风险与资产负债管理的关系。

3. 如何构建商业银行风险管理的组织体系

背景
为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。 该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险管理需求分析
合规性需求：
近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：
2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；
2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；
2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；
2006年6月，国务院国资委出台了《中央企业全面风险管理指引》；
2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；
2009年3月，银监会发布《商业银行信息科技风险管理指引》；
各商业银行如何满足日益严格的各类IT监管要求，成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。

IT风险管理需求
银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：
• 是否对所有潜在的重大IT风险都进行了识别、评估和管理？
• 面对数量众多的IT风险，应如何对其进行管理？
• 如何在全行范围内推行全面IT风险管理？
• 如何将IT风险管理体制与企业日常IT管理和运营相融合？
• IT风险管理的角色、责任和义务是否合理或明确？
• 如何增强风险意识，培育风险管理文化？
组建并管理IT风险管理团队
IT风险管理组织结构建立在IT治理目标组织架构的基础上，遵循IT治理的工作成果，从IT风险管理的主要工作与活动开始，逐步识别并定义IT风险管理的角色，并根据角色模型设计组织架构，确保IT风险管理的各项工作能够得到落实。IT风险管理生命周期以及生命周期各阶段的工作如下图所示：

IT风险生命周期管理

从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计IT风险管理的职能与组织架构。从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计银行业IT风险管理的职能与组织架构。

对于IT风险管理的角色的定位如下图所示。

设计IT风险管理框架体系
IT风险管理框架体系主要包括如下五个体系框架
 IT风险管理策略体系：建立企业IT风险管理策略，明确管理层对信息科技风险管理的期望与承诺，描述对企业信息科技风险进行有效管理的方法，规定人员操作的流程与规范，制定系统配置规格、使用策略等。
 IT风险管理组织体系：建立完成组织信息科技风险管理目标的组织机构，包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。
 IT风险管理运行保障体系：建立日常科技风险运行与维护机制，包括运行监控、问题处理、变更管理等。重点是建立生产运行中安全的问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理运行中的问题，强调执行过程的安全。
 IT风险管理技术保障体系：应用先进成熟的技术手段与产品，降低安全风险，包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。
 应急恢复保障体系：业务连续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT 系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。
 IT风险审计体系：审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。
建设IT风险管理制度与流程
 信息系统的开发和实施
信息系统的采购和开发
信息系统的采购和开发涉及系统的设计、采购/建造和布置，以支持业务目标的实现。制度与流程建设需要建立一套考虑到银行在安全、可用性和处理完整性等方面的要求的生命周期系统开发方法。
采购新的技术基础设施
采购和维护技术基础设施的流程涉及支持应用和通信的系统的设计、采购/建造和布置。基础设施组件，包括服务器、网络和数据库，对于信息处理的安全和可靠是至关重要的。在制度与流程建设中，需要制定并遵守相应的流程，确保基础设施系统，包括网络设备和软件，是根据它们要支持的财务应用程序的需要采购的。
应用系统和技术基础设施的安装和测试
系统安装测试和确认涉及新系统向生产环境的移植，它确保系统可以按照设计意图运行。没有合适的测试，系统将不能按照预想的方式运行，可能提供无效的信息，这将导致信息和报告的不可靠。在制度与流程建设中，需要制定应用软件和技术基础设施相关技术上的测试策略。
 信息系统的变更和维护
开发和维护政策及流程
开发和维护政策及流程涉及软件开发生命周期方法论、采购流程、应用的开发和维护以及相应的文档。这一领域相关的政策和操作程序使得企业能够持续地、有目标地进行商业运作。在制度与流程建设中，需要制定软件开发生命周期方法论和相应的流程、政策。
变更管理
变更管理表明了企业是如何通过调整系统功能来帮助业务活动满足财务报告目标的。在在制度与流程建设中，需要制定应用变动、系统维护的变更管理程序。
系统配置管理
系统配置管理保证安全、可获得的控制在系统中建立起来，并且在其生命周期内得到保持。在这方面的能力不足会导致系统安全和可靠性蒙受风险，并将允许对于系统和数据的非法访问。在制度与流程建设中，需要对系统基础设施，包括防火墙、服务器和其它有关设备，以及对应用软件和数据存储系统等配置管理程序，并建立配置基准。
 系统的操作和运行
操作管理
操作管理的好坏体现了一个组织通过保持可靠的应用系统来记录、处理和报告财务信息的水平。在这方面的能力缺乏将严重影响企业的财务报告。在制度与流程建设中，需要制定IT操作的标准程序，包括账户管理、批处理管理、系统操作管理、数据操作管理等。
服务水平的确定和管理
服务水平的确定和管理决定了企业如何满足其客户对其产品功能和业务操作的期望，进而满足其客户的业务目标。在这方面的能力缺乏将严重影响企业的财务报告和信息披露。在在制度与流程建设中，需要定义和管理服务水平来支持财务报告系统的要求。并定义一种框架，建立关键绩效指标，从内部和外部来管理服务水平协议。
外包服务管理
外包服务管理包括使用外包服务来支持财务应用和相关系统。在制度与流程建设中，需要定义第三方服务管理的程序。
 系统与信息安全管理
信息安全管理策略
系统安全方面的管理包括通过物理和逻辑上的控制来防止非法访问。在制度与流程建设中，需要参照ISO27001和国家信息安全等级保护标准，制定完整的系统安全策略体系。信息安全管理机制包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略涉及以下领域：
（一）安全制度管理。
（二）信息安全组织管理。
（三）资产管理。
（四）人员安全管理。
（五）物理与环境安全管理。
（六）通信与运营管理。
（七）访问控制管理。
（八）系统开发与维护管理。
（九）信息安全事故管理。
（十）业务连续性管理。
（十一）合规性管理。
问题和事故管理
问题和事故管理表明一个企业是如何对异常事件进行鉴别、记录和反应的。在制度与流程建设中，需要制定和执行问题管理系统，来确保所有标准操作之外的操作事件（如事故、问题和错误）都能得到及时的记录、分析和解决。制定安全事故响应流程，以支持对于非法活动的及时反应和调查。
数据管理
数据管理涉及用于管理信息完整性、准确性、授权和有效性的控制和程序，对信息的记录、处理和报告起支持作用。在制度与流程建设中，需要制定相应的政策和流程用于数据的处理、分发、保留和报告的输出。

IT风险管理软件平台方案
IT风险管理已经成为银行风险管理的重要组成部分，急需建立信息化平台支撑IT风险管理的日常工作。风险评估、风险控制、风险监控、监督与审计、风险沟通等工作均涉及大量的日常工作，需要建立相关的系统平台来满足银行IT风险管理相关部门的需求，谷安公司经过多年的行业经验积累，推出了国内首家IT风险管理平台系统。

IT风险管控系列软件目前包括如下主要模块：
风险评估管理-GooRisk
GooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。
风险控制管理-GooISMS
GooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行。
风险运营管理-GooProcess
GooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地。
风险审计管理-GooAudit
GooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理。
风险知识管理-GooAwareness
GooAwareness安全风险知识管理软件为企业提供了信息安全相关知识的管理与共享平台，包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能，方便安全知识的获取与管理，全面提高员工信息安全意识。

软件特色与优势：
完整的行业知识库：提供完整的银行业知识库支持，并且对知识库进行持续更新；知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等。
遵从各类监管要求：紧密结合企业信息安全与内部控制要求，遵从信息科技风险管理指引、ISO27001、等级保护、COBIT等标准，引导公司信息安全与IT控制工作，协助信息安全与IT风险管理体系建立，并管理文档记录、测评、评估、改进、测试等阶段的工作；全面符合国际标准ISO27001、国家标准GB20984《信息安全风险评估规范》，以及公安部等级保护测评要求
统一控制框架： 采取Unified Control Framework设计，可将超过2,000个“既定的”控制目标与等级保护、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等几十个标准和法律法规相挂钩，并可通过全面的可配置性和可扩展性应用到知识库中；
操作简单安全：基于B/S架构，通过浏览器的轻松灵活的使用、导航界面，能够根据组织要求调节界面外观，基于角色授权指派相关人士负责控制工作，轻松添加各种控制与遵从标准版本，支持本机Excel电子数据表输入。

4. 银监会提出的操作风险“十三条意见”、内部控制“十个联动建设”、案件治理的“六个重点环节”分别是什么

“十三条意见”是：
中国银监会制定的防范操作风险的“十三条”规定全文如下：

关于加大防范操作风险工作力度的通知
--------------------------------
各政策性银行，国有商业银行、股份制商业银行，各银监局：

当前，银行机构对操作风险的识别与控制能力不能适应业务发展的问题突出。一些银行机构由于相关制度不健全，或者对制度执行情况缺乏有效监督，对不执行制度规定者查处不力，风险管理和内部控制薄弱，大案、要案屡有发生，导致银行大量资金损失。为此，各银行机构必须加大工作力度，进一步采取措施，有效防范和控制操作风险。各银监局要高度关注银行业金融机构的操作风险问题，切实抓好本通知在基层的监管抽查工作。

一、高度重视防范操作风险的规章制度建设。对无章可循或虽有规章但已不适应当前业务发展和基层行实际管理情况的，上级行应进行专门研究，及时制订或修订。对于基层行和有关部门就规章制度建设提出的问题，总行要认真研究，及时解决，不得延误。对有章不循的，要将责任人调离原岗位，并严肃处理。

二、切实加强稽核建设。要不断完善稽核体制，充实稽核力量，加强对稽核队伍的培训，提高政治业务素质。业务主管部门和稽核部门应对业务单位，特别是基层业务单位组织实施独立的、交叉的突击检查，同时，要建立对疑点和薄弱环节的持续跟踪检查制度；总行及相关上级行要对跟踪检查制度的执行情况进行监督和评价，要强调有效性、严肃性和独立性。

三、加强对基层行的合规性监督。对权力过大而监督管理又不到位的基层行，要重点加强监督，促其及时整改；要强加对权力的监管和监控，防止权力滥用和监督缺位。

四、订立职责制，明确总行及各级分支机构的责任，形成明确的制度保障。各级管理人员特别是各行主要负责人和分管的高管人员，要认真履责，敢抓敢管，以身作则。对出现大案、要案，或措施不得力的，要从严追究高管人员和直接责任人责任，并相应追究稽核部门及人员对检查发现的问题隐瞒不报、上报虚假情况或检查监督整改不力的责任。反复发生大案要案，问题长期得不到有效解决的单位，要从严追究有关高管人员和管理人员的法律责任。

五、坚持相关的行务管理公开制度。对薄弱环节要定期自我评估，并请外审机构进行独立评估。要进一步扩大社会和新闻舆论对银行的监督。对已发生的大案，可以披露的，要加强信息披露工作，及时详细介绍整改规划和具体措施，正确引导公众舆论，争取主动。通过公众监督，防止银行懈怠操作风险管理，防止管理人员玩忽职守和滥用权力。各行高管人员要分工合作，一级抓一级，并注意对基层的抽检，到问题多的地方去，深入调查研究，帮助基层解决问题。

六、建立和实施基层主管轮岗轮调和强制性休假制度，并确保这一安排纳入总行及各级分支机构的人事管理制度。要明确具体的操作程序和规定，并由人事部门按照规定就拟轮岗轮调和休假主管的顶替人员预先做好相应安排。稽核部门应对相关的制度安排和执行情况进行有效审计跟踪。

七、严格规范重要岗位和敏感环节工作人员八小时内外的行为，建立相应的行为失范监察制度。稽核部门应就这些岗位、环节工作人员的买卖股票行为建立内部报告制度，要明确具体操作程序和规定。发现有涉黄、涉赌、涉毒、以及未报告的股票买卖和经商办企业等行为的，要即行调离原岗位，并对其进行审计。要及时、深入了解情况，对行为失范的员工要及时进行教育，情节严重的，要依法依规严肃处理。

八、对举报查实的案件，举报人属于来自基层的员工（包括合同工、临时工）的，要予以重奖；对坚持规章制度、勇于斗争而制止案件发生的，要有特别的激励机制和规定。违法、违规、违纪的管理人员，一经查实，一律调离原工作单位，并严肃处理。

九、加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度，对对账频率、对账对象、可参与对账人员等做出明确规定。同时，要改善管理理念，改进技术手段。

十、加强未达账项和差错处理的环节控制，记账岗位和对账岗位必须严格分开，坚决做到对未达账和账款差错的查核工作不返原岗处理。要设立独立的审核岗，建立责任复核制，必要时可由上一级行对指定岗位进行独立审核，并责成原岗位适时做出说明。

十一、严格印章、密押、凭证的分管与分存及销毁制度，坚决执行制度规定，并对此进行严格检查，对违规者进行严厉惩处。

十二、加强对可能发生的账外经营的监控。当日出单要核对，机器打印的出单要全部核对。要探索手工情况下的有效监控措施，以及网点通存通兑中多部门办理业务等情况下向客户验证复检的有效手段。

对新客户大额存款和开设账户，要严格遵循“了解你的客户”（KYC）和“了解你的客户业务”（KYB）的原则，洞察和了解该客户的一切主要情况，了解其业务及财务管理的基本状况和变化；对大额出账和走账，手续上必须按照不同额度设限，分别由基层行双人验核或由上级行独立进行复审、批准。要建立与该客户两个以上主管热线联系查证制度。对老客户也要做到经常抽检稽审，超过一定金额的，应由上一级行和基层行的非直接业务经办专岗进行，并注意与企业的相关热线联系人验证，获得确认。商业银行要对所有客户出账业务的用途进行认真验核，并严格遵循“了解你的客户业务单据”（KYD）的原则，熟悉并审核所有单据和关键栏目，严格把关。对于不配合的企业，要严格审核以前发生的业务，并采取相应的控制措施。

十三、迅速改进科技信息系统，提高通过技术手段防范操作风险的能力，支持各类管理信息的适时、准确生成，为业务操作复核和稽核部门的稽查提供坚实基础。

各银监局应将本通知转发至辖区内各城市商业银行、城市信用社、农村信用社省级联合社、农村商业银行和农村合作金融机构，要求其参照执行。

中国银行业监督管理委员会

二○○五年三月二十二日

内部控制“十个联动建设”是

防范操作风险的“十个联动”

（一）针对票据业务案件高发，实行按规定收取保证金和推行由他行托管保证金的联动，禁止各银行业金融机构自开、自贴和自管保证金的做法；

（二）一线业务的卡、证、章管理和基层机构行政章的管理联动；

（三）基层行行长、营业网点主任定期进行交流轮岗与会计主管实行委派制的配套与联动；

（四）重要岗位的强制性休假与岗位审计的配套与联动；

（五）激励基层员工揭发举报与对员工保护制度的配套与联动；

（六）贷款“三查”尽职调查与三查档案（纸质或电子介质）妥善保管责任制的配套与联动；

（七）完善审计体制、提升审计职能与加强对审计问责制度建设的配套与联动；

（八）查案、破案同处分到位的双向考核制度建设的配套与联动；

（九）案件查处与信息披露制度建设的配套与联动；

（十）对基层操作风险管控奖（表扬、奖励）惩（惩戒、处分）并举的激励约束机制建设的配套联动；

案件治理的“六个重点环节”是：
防范操作风险的“六个重点环节”

授权卡（柜员卡）、印鉴密押、空白凭证、金库尾箱、查询对账、轮岗休假六个重点环节。

还有
防范操作风险的 “十项措施”

（一）完善相关法律法规，加大对银行业犯罪的打击力度。研究并提请有关部门修订《刑法》相关条款，明确有关司法解释；研究修订《金融违法行为处罚办法》，加大对金融违法违规行为的行政处罚力度；在《企业破产法》中明确有关债权保护条款，充分保障债权机构的合法权益；研究有关延伸检查权问题，增加有效监管手段。

（二）实行重大案件责任追究制度，切实落实各级领导责任。银监会将配合有关部门尽快制定《银行业重大案件责任追究规定》。

（三）加强任职履职管理，对高管人员实行动态监管。进一步完善《银行业金融机构高级管理人员任职资格管理办法》，尽快制定《银行业金融机构高级管理人员履职监管办法》。

（四）加强银行业金融机构内部审计力量，增强自我纠错能力。尽快制定《银行业金融机构内部审计指引》，帮助和督促银行业金融机构解决现阶段内部审计独立性和权威性不够等问题。

（五）加强银行业金融机构信息科技系统建设监管，提高信息科技水平。

（六）完善会计统计相关制度，加强对中介机构管理。

（七）提高银行业金融机构处置突发事件能力，研究制定《案件损害控制办法》，努力控制和减少银行业案件可能造成的经济与声誉的损害，切实维护金融稳定。

（八）积极推进国有商业银行改革，完善公司治理结构。

（九）完善不良资产处置办法，做好资产管理公司案件治理工作。

（十）提高银监会有效监管水平，发挥专业化监管优势。

5. 商业银行合规风险管理的目标是什么

商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。

商业银行合规风险管理指引：

第一条 为加强商业银行合规风险管理，维护商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，制定本指引。


第二条 在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。


在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。


第三条 本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。


本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。


本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。


本指引所称合规管理部门，是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。


第四条 合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。


第五条 商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。


第六条 商业银行应加强合规文化建设，并将合规文化建设融入企业文化建设全过程。


合规是商业银行所有员工的共同责任，并应从商业银行高层做起。


董事会和高级管理层应确定合规的基调，确立全员主动合规、合规创造价值等合规理念，在全行推行诚信与正直的职业操守和价值观念，提高全体员工的合规意识，促进商业银行自身合规与外部监管的有效互动。


第七条 银监会依法对商业银行合规风险管理实施监管，检查和评价商业银行合规风险管理的有效性。

6. 论述题求大神帮忙，结合《银行业金融机构内部审计指引》谈谈你行董事会、审计委员会以及内审部门在内部审

1、确定本行的经营发展战略和重大政策并定期检查、评价其执行情况；
2、聘任和解聘本行的高级管理层成员；
3、制订本行的年度财务预算方案、决算方案、风险资本分配方案、利润分配方案和弥补亏损方案；
4、决定本行的风险管理和内部控制政策， 负责保证本行建立并实施充分而有效的内部控制体系；
5、监督高级管理层的履职情况，确保高级管理层有效履行管理职责；
6、负责本行的信息披露，并对本行的会计和财务报告体系的完整性、准确性承担最终责任；
7、定期评估并完善本行的公司治理状况；
8、负责确保本行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；
9、负责审批组织机构；
10、负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估；
11、负责审议批准合规政策和合规风险管理报告，评价合规风险管理的有效性，并授权董事会下设的风险管理委员会或专门设立的合规管理委员会对本行合规风险管理进行日常监督；
12、负责信息系统的战略规划、重大项目和风险监督管理；
13、负责对信息科技风险管理的战略规划和工作目标、工作任务的方案审议、管理与监督；
14、负责制定金融创新发展战略，并确保其与全行整体战略相一致；

15、负责将金融创新活动的风险管理纳入全行统一的风险管理体系，确保各类金融创新活动与本行的风险管理能力和专业水平相适应；
16、制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；
17、通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；
18、定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；
19、确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；
20、确保本行操作风险管理体系接受内审部门的有效审查与监督；
21、制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系的建设。
22、法律、法规和章程规定的其他职责

-------------------仅供参考-------------------------希望采纳----------

7. 操作风险防范“十三条”所列明的监管要求范围

“十三条意见”是：
中国银监会制定的防范操作风险的“十三条”规定全文如下：

关于加大防范操作风险工作力度的通知
--------------------------------
各政策性银行，国有商业银行、股份制商业银行，各银监局：

当前，银行机构对操作风险的识别与控制能力不能适应业务发展的问题突出。一些银行机构由于相关制度不健全，或者对制度执行情况缺乏有效监督，对不执行制度规定者查处不力，风险管理和内部控制薄弱，大案、要案屡有发生，导致银行大量资金损失。为此，各银行机构必须加大工作力度，进一步采取措施，有效防范和控制操作风险。各银监局要高度关注银行业金融机构的操作风险问题，切实抓好本通知在基层的监管抽查工作。

一、高度重视防范操作风险的规章制度建设。对无章可循或虽有规章但已不适应当前业务发展和基层行实际管理情况的，上级行应进行专门研究，及时制订或修订。对于基层行和有关部门就规章制度建设提出的问题，总行要认真研究，及时解决，不得延误。对有章不循的，要将责任人调离原岗位，并严肃处理。

二、切实加强稽核建设。要不断完善稽核体制，充实稽核力量，加强对稽核队伍的培训，提高政治业务素质。业务主管部门和稽核部门应对业务单位，特别是基层业务单位组织实施独立的、交叉的突击检查，同时，要建立对疑点和薄弱环节的持续跟踪检查制度；总行及相关上级行要对跟踪检查制度的执行情况进行监督和评价，要强调有效性、严肃性和独立性。

三、加强对基层行的合规性监督。对权力过大而监督管理又不到位的基层行，要重点加强监督，促其及时整改；要强加对权力的监管和监控，防止权力滥用和监督缺位。

四、订立职责制，明确总行及各级分支机构的责任，形成明确的制度保障。各级管理人员特别是各行主要负责人和分管的高管人员，要认真履责，敢抓敢管，以身作则。对出现大案、要案，或措施不得力的，要从严追究高管人员和直接责任人责任，并相应追究稽核部门及人员对检查发现的问题隐瞒不报、上报虚假情况或检查监督整改不力的责任。反复发生大案要案，问题长期得不到有效解决的单位，要从严追究有关高管人员和管理人员的法律责任。

五、坚持相关的行务管理公开制度。对薄弱环节要定期自我评估，并请外审机构进行独立评估。要进一步扩大社会和新闻舆论对银行的监督。对已发生的大案，可以披露的，要加强信息披露工作，及时详细介绍整改规划和具体措施，正确引导公众舆论，争取主动。通过公众监督，防止银行懈怠操作风险管理，防止管理人员玩忽职守和滥用权力。各行高管人员要分工合作，一级抓一级，并注意对基层的抽检，到问题多的地方去，深入调查研究，帮助基层解决问题。

六、建立和实施基层主管轮岗轮调和强制性休假制度，并确保这一安排纳入总行及各级分支机构的人事管理制度。要明确具体的操作程序和规定，并由人事部门按照规定就拟轮岗轮调和休假主管的顶替人员预先做好相应安排。稽核部门应对相关的制度安排和执行情况进行有效审计跟踪。

七、严格规范重要岗位和敏感环节工作人员八小时内外的行为，建立相应的行为失范监察制度。稽核部门应就这些岗位、环节工作人员的买卖股票行为建立内部报告制度，要明确具体操作程序和规定。发现有涉黄、涉赌、涉毒、以及未报告的股票买卖和经商办企业等行为的，要即行调离原岗位，并对其进行审计。要及时、深入了解情况，对行为失范的员工要及时进行教育，情节严重的，要依法依规严肃处理。

八、对举报查实的案件，举报人属于来自基层的员工（包括合同工、临时工）的，要予以重奖；对坚持规章制度、勇于斗争而制止案件发生的，要有特别的激励机制和规定。违法、违规、违纪的管理人员，一经查实，一律调离原工作单位，并严肃处理。

九、加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度，对对账频率、对账对象、可参与对账人员等做出明确规定。同时，要改善管理理念，改进技术手段。

十、加强未达账项和差错处理的环节控制，记账岗位和对账岗位必须严格分开，坚决做到对未达账和账款差错的查核工作不返原岗处理。要设立独立的审核岗，建立责任复核制，必要时可由上一级行对指定岗位进行独立审核，并责成原岗位适时做出说明。

十一、严格印章、密押、凭证的分管与分存及销毁制度，坚决执行制度规定，并对此进行严格检查，对违规者进行严厉惩处。

十二、加强对可能发生的账外经营的监控。当日出单要核对，机器打印的出单要全部核对。要探索手工情况下的有效监控措施，以及网点通存通兑中多部门办理业务等情况下向客户验证复检的有效手段。

对新客户大额存款和开设账户，要严格遵循“了解你的客户”（KYC）和“了解你的客户业务”（KYB）的原则，洞察和了解该客户的一切主要情况，了解其业务及财务管理的基本状况和变化；对大额出账和走账，手续上必须按照不同额度设限，分别由基层行双人验核或由上级行独立进行复审、批准。要建立与该客户两个以上主管热线联系查证制度。对老客户也要做到经常抽检稽审，超过一定金额的，应由上一级行和基层行的非直接业务经办专岗进行，并注意与企业的相关热线联系人验证，获得确认。商业银行要对所有客户出账业务的用途进行认真验核，并严格遵循“了解你的客户业务单据”（KYD）的原则，熟悉并审核所有单据和关键栏目，严格把关。对于不配合的企业，要严格审核以前发生的业务，并采取相应的控制措施。

十三、迅速改进科技信息系统，提高通过技术手段防范操作风险的能力，支持各类管理信息的适时、准确生成，为业务操作复核和稽核部门的稽查提供坚实基础。

各银监局应将本通知转发至辖区内各城市商业银行、城市信用社、农村信用社省级联合社、农村商业银行和农村合作金融机构，要求其参照执行。

中国银行业监督管理委员会

二○○五年三月二十二日

内部控制“十个联动建设”是

防范操作风险的“十个联动”

（一）针对票据业务案件高发，实行按规定收取保证金和推行由他行托管保证金的联动，禁止各银行业金融机构自开、自贴和自管保证金的做法；

（二）一线业务的卡、证、章管理和基层机构行政章的管理联动；

（三）基层行行长、营业网点主任定期进行交流轮岗与会计主管实行委派制的配套与联动；

（四）重要岗位的强制性休假与岗位审计的配套与联动；

（五）激励基层员工揭发举报与对员工保护制度的配套与联动；

（六）贷款“三查”尽职调查与三查档案（纸质或电子介质）妥善保管责任制的配套与联动；

（七）完善审计体制、提升审计职能与加强对审计问责制度建设的配套与联动；

（八）查案、破案同处分到位的双向考核制度建设的配套与联动；

（九）案件查处与信息披露制度建设的配套与联动；

（十）对基层操作风险管控奖（表扬、奖励）惩（惩戒、处分）并举的激励约束机制建设的配套联动；

案件治理的“六个重点环节”是：
防范操作风险的“六个重点环节”

授权卡（柜员卡）、印鉴密押、空白凭证、金库尾箱、查询对账、轮岗休假六个重点环节。

还有
防范操作风险的 “十项措施”

（一）完善相关法律法规，加大对银行业犯罪的打击力度。研究并提请有关部门修订《刑法》相关条款，明确有关司法解释；研究修订《金融违法行为处罚办法》，加大对金融违法违规行为的行政处罚力度；在《企业破产法》中明确有关债权保护条款，充分保障债权机构的合法权益；研究有关延伸检查权问题，增加有效监管手段。

（二）实行重大案件责任追究制度，切实落实各级领导责任。银监会将配合有关部门尽快制定《银行业重大案件责任追究规定》。

（三）加强任职履职管理，对高管人员实行动态监管。进一步完善《银行业金融机构高级管理人员任职资格管理办法》，尽快制定《银行业金融机构高级管理人员履职监管办法》。

（四）加强银行业金融机构内部审计力量，增强自我纠错能力。尽快制定《银行业金融机构内部审计指引》，帮助和督促银行业金融机构解决现阶段内部审计独立性和权威性不够等问题。

（五）加强银行业金融机构信息科技系统建设监管，提高信息科技水平。

（六）完善会计统计相关制度，加强对中介机构管理。

（七）提高银行业金融机构处置突发事件能力，研究制定《案件损害控制办法》，努力控制和减少银行业案件可能造成的经济与声誉的损害，切实维护金融稳定。

（八）积极推进国有商业银行改革，完善公司治理结构。

（九）完善不良资产处置办法，做好资产管理公司案件治理工作。

（十）提高银监会有效监管水平，发挥专业化监管优势。

8. 银监会对于员工行为管理四大禁止之一禁止员工个人账户与客户发生资金往来具体是出自哪个文件

《中国银监会关于印发银行业金融机构从业人员行为管理指引的通知》第十五条规定：

银行业金融机构制定的行为守则及其细则应要求全体从业人员遵守法律法规、恪守工作纪律，包括但不限于：

1、不得在任何场所开展未经批准的金融业务；

2、不得销售或推介未经审批的产品；

3、不得代销未持有金融牌照机构发行的产品；

4、不得利用职务和工作之便谋取非法利益。

(8)金融机构操作风险管理指引扩展阅读

银监会对银行业金融机构贯彻行为准则的要求是：加强宣传教育，完善实施细则，接受社会监督，领导以身作则，特别是要把行为准则的贯彻执行情况与部门绩效考核相结合、与从业资格考试认证标准相结合、与新录用人员签订合同相结合、与本单位原有的规章制度相结合。

银监会对监管人员贯彻行为准则的要求是：“严”字当头，加强教育，严格管理，强化监督，严肃惩处。通过巡视、执法监察、内部审计、履职问责、绩效考核、行风评议等方式加强监督检查，有效防止利益冲突，提高监管公信力。

银监会对银行业金融机构贯彻行为准则的要求是：加强宣传教育，完善实施细则，接受社会监督，领导以身作则，特别是要把行为准则的贯彻执行情况与部门绩效考核相结合、与从业资格考试认证标准相结合、与新录用人员签订合同相结合、与本单位原有的规章制度相结合。

9. 商业银行合规风险管理指引的第一章

总 则
第二条 在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。
在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。
第三条 本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。
本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。
本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
本指引所称合规管理部门，是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。
第四条 合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。
第五条 商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。
第六条 商业银行应加强合规文化建设，并将合规文化建设融入企业文化建设全过程。
合规是商业银行所有员工的共同责任，并应从商业银行高层做起。
董事会和高级管理层应确定合规的基调，确立全员主动合规、合规创造价值等合规理念，在全行推行诚信与正直的职业操守和价值观念，提高全体员工的合规意识，促进商业银行自身合规与外部监管的有效互动。
第七条 银监会依法对商业银行合规风险管理实施监管，检查和评价商业银行合规风险管理的有效性。