国家金融监管总局征求意见：银行保险机构应建立操作风险管理三道防线

　　机构操作风险管理办法（征求意见稿）》公开征求意见。意见反馈截止时间为2023年8月31日。

　　。第一道防线第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。

　　是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。第一道防线部门主要职责包括：

　　（二）按照风险管理评估方法，识别、评估自身操作风险；（三）建立控制、缓释措施，定期评估措施的有效性；

　　部门应当保持独立性，持续提升操作风险管理的一致性和有效性。主要职责包括：

　　（一）在一级分行（省级分公司）及以上设立操作风险管理专岗，为其配备充足的财务、人力等资源；

　　（二）跟踪操作风险管理监管政策规定并组织落实；（三）拟定操作风险管理基本制度、管理办法，制定操作风险识别、评估、计量、监测、报告的方法和具体规定；

　　（四）指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险，并定期开展监督；

　　职责：内部审计部门应当每三年至少开展一次操作风险管理专项审计，覆盖第一道防线、第二道防线操作风险管理情况，检查评估操作风险管理体系运行情况，并向董事会报告。内部审计部门在开展其他审计项目时，应当充分关注操作风险管理情况。

　　：（一）未按照规定制定或者执行操作风险管理制度；（二）未按照规定设置或者履行操作风险管理职责；（三）未按照规定设置操作风险偏好及其传导机制；

　　（五）未建立操作风险管理流程、管理工具和信息系统，或者其设计、应用存在缺陷。

　　银行保险机构存在以下情形的，金融监管总局及其派出机构应当责令改正，并依法实施行政处罚；法律、行政法规没有规定的，由金融监管总局及其派出机构

　　（二）操作风险事件造成重大损失或者其他严重后果，因不可抗力导致的除外；（三）未按照监管要求整改；

　　第一条【立法目的及依据】为提高银行保险机构操作风险管理水平，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规，制定本办法。第二条【定义】本办法所称操作风险，是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。本定义所指操作风险包括法律风险，但不包括战略风险和声誉风险。

　　第三条【总体目标】操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险，降低损失，提升对内外部事件冲击的应对能力，为业务稳健运营提供保障。

　　（一）审慎性原则。操作风险管理应当坚持风险为本的理念，充分重视风险苗头和潜在隐患，有效识别影响风险管理的不利因素，配置充足资源，及时采取措施，提升前瞻性。

　　（二）全面性原则。操作风险管理应当覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。

　　（三）匹配性原则。操作风险管理应当体现多层次、差异化的要求，管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应，并根据情况变化及时调整。

　　（四）有效性原则。银行保险机构应当以风险偏好为导向，有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险，将操作风险控制在可承受范围之内。

　　第五条【运营韧性】规模较大的银行保险机构应当基于良好的治理架构，加强操作风险管理，统筹协调业务连续性、外包风险管理、

　　管理和突发事件应对等机制，结合恢复与处置计划工作，提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。第六条【监管职责】国家金融监督管理总局（以下简称金融监管总局）及其派出机构依法对银行保险机构操作风险管理实施监管。第二章风险治理和管理责任第七条【董事会职责】银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一，承担操作风险管理的最终责任。主要职责包括：

　　（三）审批高级管理层有关操作风险管理职责、权限、报告等制度，确保操作风险管理体系的有效性；

　　（四）每年至少审议一次高级管理层提交的操作风险管理报告，充分了解、评估操作风险管理总体情况以及高级管理层工作；

　　（五）确保高级管理层采取必要措施有效识别、评估、计量、控制、缓释、监测、报告操作风险；

　　第八条【监事（会）职责】设立监事（会）的银行保险机构，其监事（会）应当承担操作风险管理的监督责任，负责监督检查董事会和高级管理层的履职尽责情况，及时督促整改，并纳入监事（会）工作报告。

　　未设立监事（会）的银行保险机构，由依法行使监事（会）职权的组织机构承担操作风险管理的监督责任。

　　第九条【高级管理层职责】银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括：

　　（二）明确界定各部门、各级机构的操作风险管理职责和报告要求，督促各部门、各级机构履行操作风险管理职责，确保操作风险管理体系正常运行；

　　（三）设置操作风险偏好及其传导机制，督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查，及时处理突破风险偏好以及其他违反操作风险管理要求的情况；

　　第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

　　第十二条【第二道防线职责】第二道防线部门应当保持独立性，持续提升操作风险管理的一致性和有效性。主要职责包括：

　　（一）在一级分行（省级分公司）及以上设立操作风险管理专岗，为其配备充足的财务、人力等资源；

　　（三）拟定操作风险管理基本制度、管理办法，制定操作风险识别、评估、计量、监测、报告的方法和具体规定；

　　（四）指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险，并定期开展监督；

　　规模较小的银行保险机构可不设立前款第（一）项规定的操作风险管理专岗，金融监管总局或其派出机构另有要求的除外。

　　第十三条【专业部门职责】法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时，应当在职责范围内为其他部门操作风险管理提供充足资源和支持。

　　第十四条【第三道防线职责】内部审计部门应当每三年至少开展一次操作风险管理专项审计，覆盖第一道防线、第二道防线操作风险管理情况，检查评估操作风险管理体系运行情况，并向董事会报告。

　　第十五条【外部审计和评价】规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价，并向金融监管总局或其派出机构报送外部审计报告。

　　第十六条【机构主体责任】银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任，并履行以下职责：

　　第十七条【附属机构职责】银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好，与其业务范围、风险特征、经营规模、监管要求相适应的操作风险管理体系，建立健全三道防线，制定操作风险管理制度。

　　第十八条【制度】操作风险管理基本制度应当与业务性质、规模、复杂程度和风险特征相适应，至少包括以下内容：

　　银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送金融监管总局或其派出机构。

　　第十九条【偏好及传导】银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。

　　银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制，对操作风险进行持续监测和及时预警。

　　第二十条【管理信息系统】银行保险机构应当建立具备操作风险管理功能的管理信息系统，主要功能包括：

　　第二十一条【风险文化】银行保险机构应当培育良好的操作风险管理文化，明确员工行为规范和职业道德要求。

　　第二十二条【考核评价】银行保险机构应当建立有效的操作风险管理考核评价机制，考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当有效反映考核评价结果。

　　第二十四条【信息披露】银行保险机构应当按照金融监管总局的规定披露操作风险管理情况。

　　第二十五条【识别、评估】银行保险机构应当根据操作风险偏好，识别内外部固有风险，评估控制、缓释措施的有效性，分析剩余风险发生的可能性和影响程度，划定操作风险等级，确定接受、降低、转移、规避等应对策略，有效分配管理资源。

　　第二十六条【控制、缓释】银行保险机构应当结合风险识别、评估结果，实施控制、缓释措施，将操作风险控制在风险偏好内。

　　银行保险机构应当根据风险等级，对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施，持续监督执行情况，建立良好的内部控制环境。

　　银行保险机构通过购买保险、业务外包等措施缓释操作风险的，应当确保缓释措施实质有效。

　　第二十七条【内部控制要求】银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括：

　　（四）建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制；

　　（五）加强不相容岗位管理，有效隔离重要业务部门和关键岗位，建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度；

　　第二十八条【业务连续性管理】银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划，有效应对导致业务中断的突发事件，最大限度减少业务中断影响。

　　银行保险机构应当定期开展业务连续性应急预案演练评估，验证应急预案及备用资源的可用性，提高员工应急意识及处置能力，测试关键服务供应商的持续运营能力，确保业务连续性计划满足业务恢复目标，有效应对内外部威胁及风险。

　　管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，促进依法合理利用数据。

　　第三十条【业务外包管理】银行保险机构应当制定与业务外包有关的风险管理制度，确保有严谨的业务外包和服务协议，明确各方责任义务，加强对外包方的监督管理。第三十一条【风险监测】银行保险机构应当定期监测操作风险状况和重大损失情况，对风险持续扩大的情形建立预警机制，及时采取措施控制、缓释风险。

　　第三十二条【操作风险管理报告】银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告，各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。银行保险机构应当在每年四月底前按照监管职责归属向金融监管总局或其派出机构报送前一年度操作风险管理情况。

　　第三十三条【重大事件报告】银行保险机构应当建立重大操作风险事件报告机制，及时向董事会、高级管理层、监事（会）和其他内部部门报告重大操作风险事件。

　　第三十四条【管理工具】银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险，可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，或者开发其他管理工具。

　　银行保险机构应当运用各项风险管理工具进行交叉校验，定期重检、优化操作风险管理工具。

　　第三十五条【变更管理】银行保险机构存在以下重大变更情形的，应当强化操作风险的事前识别、评估等工作：

　　第三十六条【资本计提】银行机构应当按照金融监管总局关于资本监管的要求，对承担的操作风险计提充足资本。

　　第三十七条【压力测试】银行保险机构应当建立操作风险压力测试机制，定期开展操作风险压力测试，在开展其他压力测试过程中应当充分考虑操作风险的影响，针对压力测试中识别的潜在风险点和薄弱环节，及时采取应对措施。

　　第三十八条【检查评估】金融监管总局及其派出机构应当将银行保险机构操作风险管理纳入集团和法人监管体系中，检查评估操作风险管理体系的健全性和有效性。

　　金融监管总局加强与相关部门的监管协作和信息共享，共同防范金融风险跨机构、跨行业传染。

　　第三十九条【监管方式】金融监管总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式，实施对操作风险管理的持续监管。

　　金融监管总局及其派出机构认为必要时，可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。

　　第四十条【整改通报】金融监管总局及其派出机构发现操作风险管理缺陷和问题的，应当要求银行保险机构及时整改。

　　第四十一条【重大事件报告】银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内，按照监管职责归属向金融监管总局或其派出机构报告：

　　（一）形成预计损失5000万元（含）以上或者超过上年度末资本净额5%（含）以上的事件；

　　（二）形成损失金额1000万元（含）以上或者超过上年度末资本净额1%（含）以上的事件；

　　（三）造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露，已经或者可能造成重大损失和严重影响的事件；

　　（四）重要信息系统出现故障、受到网络攻击，导致在同一省份的营业网点、电子渠道业务中断3小时以上；或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上；

　　（五）因网络欺诈及其它信息安全事件，导致本机构或客户资金损失1000万元以上，或者造成重大社会影响；

　　（六）董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件；

　　对于第一款规定的重大操作风险事件，金融监管总局在案件管理、突发事件管理等监管规定中另有报告要求的，应当按照有关要求及时报告，并在报告时注明该事件属于重大操作风险事件。

　　金融监管总局可以根据监管工作需要，调整第一款规定的重大操作风险事件报告标准。

　　第四十二条【监管措施】银行保险机构存在以下情形的，金融监管总局及其派出机构应当责令改正，并视情形依法采取监管措施：

　　（五）未建立操作风险管理流程、管理工具和信息系统，或者其设计、应用存在缺陷。

　　第四十三条【法律责任】银行保险机构存在以下情形的，金融监管总局及其派出机构应当责令改正，并依法实施行政处罚；法律、行政法规没有规定的，由金融监管总局及其派出机构责令改正，予以警告、通报批评，或者处以十万元以下罚款；涉嫌犯罪的，应当依法移送司法机关：

　　业协会、中国保险行业协会等行业社团组织应当通过宣传、培训、自律、协调、服务等方式，建立本行业操作风险事件和损失数据库，协助引导会员单位提高操作风险管理水平。

　　第六章附则第四十五条【适用范围】本办法所称银行保险机构，是指在中华人民共和国境内依法设立的商业银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司。中华人民共和国境内设立的外国银行分行、保险集团（控股）公司、再保险公司、金融资产管理公司、消费金融公司、

　　第四十六条【规模标准】本办法所称的规模较大的银行保险机构，是指按照并表调整后表内外资产（杠杆率分母）达到3000亿元人民币（含等值外币）及以上的银行机构，以及按照并表口径（境内外）表内总资产达到2000亿元人民币（含等值外币）及以上的保险机构。规模较小的银行保险机构是指未达到上述标准的机构。

　　第四十七条【特殊规定】未设董事会的银行保险机构，应当由其经营决策机构履行本办法规定的董事会职责。第四十八条【保险机构例外】本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。

　　规模较小的银行保险机构执行本办法第二章、第三章的相关规定有两年过渡期，过渡期为办法施行之日起2年内。

　　第四十九条【施行时间】本办法由金融监管总局负责解释修订，自年月日起施行。

　　第五十条【废止】《商业银行操作风险管理指引》（银监发〔2007〕42号）、《

　　业监督管理委员会关于加大防范操作风险工作力度的通知》（银监发〔2005〕17号）同时废止。

　　操作风险事件是指由操作风险引发，导致银行保险机构发生实际或者预计损失的事件。银行保险机构分别依据商业银行资本监管规则和保险业偿付能力监管规则进行损失事件分类。

　　2.因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的；

　　3.业务、管理活动违反法律、法规或者监管规定，依法可能承担刑事责任或者行政责任。

　　运营韧性是在发生重大风险和外部事件时，银行保险机构具备的持续提供关键业务和服务的能力。例如，在发生大规模网络攻击、大规模传染病、自然灾害等事件时，银行保险机构通过运营韧性管理机制，能够持续向客户提供存取款、转账、理赔等关键服务。

　　第七条、第九条、第十二条规定的操作风险管理报告可以是专项报告，也可以是包括操作风险管理内容的全面风险报告等综合性报告。

　　第十九条规定的操作风险类监测指标可以包括案件风险率和操作风险损失率。金融监管总局及其派出机构可以视情形决定是否确定对特定机构的操作风险类监测指标。

　　案件风险率=业内案件涉案金额/年初总资产和年末总资产的平均数×100%，其中，业内案件定义参照金融监管总局涉刑案件的监管规定。

　　案件风险率应当保持在监测目标值的合理区间。监测目标值公式为：St＝Ss＋ε

　　St为案件风险率监测目标值；Ss为案件风险率基准值，由监管部门根据同类型机构一定期间的案件风险率、特定机构一定期间的案件风险率，并具体选取时间范围、赋值适当权重后确定。ε为案件风险率调值，由监管部门裁量确定，主要影响因素包括公司治理和激励约束机制、反洗钱监管情况、风险事件演变情况、内部管理和控制情况、境外机构合规风险事件情况等。

　　Lt为操作风险损失率监测目标值；Ls为操作风险损失率基准值，监管部门根据同类型机构一定期间的操作风险损失率、特定机构一定期间的实际操作风险损失率，并具体选取时间范围、赋值适当权重后确定。ε为操作风险损失率调整值，由监管部门裁量确定，主要影响因素包括操作风险内部管理和控制情况、操作风险损失事件数据管理情况、相关事件数量和金额变化情况、经济金融周期因素等。

　　第十九条规定的风险偏好传导机制，是指银行保险机构根据风险偏好设定容忍度或者风险限额等，并对境内外附属机构、分支机构或者业务条线等提出相应要求，如对全行（公司）、各附属机构、各分行、各业务条线设定操作风险损失率、操作风险事件数量、信息系统可用率等指标或者目标值，并进行持续监测、预警和纠偏。

　　第二十二条规定的考核评价指标，应当兼顾操作风险管理过程和结果，设置过程类指标和结果类指标。例如，操作风险损失率属于结果类指标，考核操作风险牵头管理部门，并分解考核各级机构。操作风险事件报告评分属于过程类指标，可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否按照要求单独分析等进行评分。

　　第二十五条规定的固有风险是指在没有考虑控制、缓释措施或者在其付诸实施之前就已经存在的风险。剩余风险是指现有的风险控制、缓释措施不能消除的风险。

　　第二十五条规定的操作风险等级由银行保险机构自行划分。例如，通常可划分为三个等级：发生可能性（频率）低、影响（损失）程度低的，风险等级为低；发生可能性高、影响（损失）程度低的，风险等级为中；发生可能性低、影响（损失）程度高或者发生可能性高、影响（损失）程度高的，风险等级为高。

　　第二十六条规定的购买保险是指，银行保险机构通过购买保险，在自然灾害或者意外事故导致形成实物资产损失时，获得保险赔付，收回部分或者全部损失，有效缓释风险。其中，保险公司向本机构和关联机构购买保险不属于有效缓释风险。

　　第三十四条规定的操作风险损失数据库、操作风险自评估、关键风险指标是银行保险机构用于管理操作风险的基础工具。

　　操作风险损失数据库（保险公司偿付能力监管规定为操作风险损失事件库）是指按统一的操作风险分类标准，收集汇总相应操作风险事件信息。操作风险损失数据库应当结合管理需要收集一定金额以上的操作风险事件信息，收集范围应当至少包括内部损失事件，必要时可收集几近损失事件和外部损失事件。

　　内部损失事件是指，形成实际或者预计财务损失的操作风险事件，包括通过保险及其他手段收回部分或者全部损失的操作风险事件，以及与信用风险、市场风险等其它风险相关的操作风险事件。

　　几近损失事件是指，事件已发生，但未造成实际或者预计的财务损失。例如，银行保险机构因过错造成客户损失，有可能被索赔，但因及时采取补救措施弥补了客户损失，客户谅解并未进行索赔。

　　外部损失事件是指，业内其他金融机构出现的大额监管处罚、案件等操作风险事件。

　　操作风险自评估是指，识别业务、产品及管理活动中的固有操作风险，分析控制措施有效性，确定剩余操作风险，确定操作风险等级。

　　关键风险指标是指，依据操作风险识别、评估结果，设定相应指标，全面反映机构的操作风险敞口、控制措施有效性及风险变化趋势等情况，并应当具有一定前瞻性。例如，从人员、系统、外部事件等维度制定业内案件数量、生产数据下载率、业外案件涉案金额等作为关键风险指标并设定阈值。

　　事件管理是指，对新发生的、对管理有较大影响的操作风险事件进行分析，识别风险成因、评估控制缺陷，并制定控制优化方案，防止类似事件再次发生。例如，发生操作风险事件后，要求第一道防线开展事件调查分析，查清业务或者管理存在的问题并进行整改。

　　控制监测和保证框架是指，对操作风险自评估等工具识别的关键控制措施进行持续分析、动态优化，确保关键控制措施的有效性。例如，利用控制监测和保证框架对关键控制措施进行评估、重检、持续监测和验证。

　　情景分析是指对假设情景进行识别、分析和计量。情景可以包括发生可能性低、影响程度高的事件。

　　情景分析的基本假设可以引用操作风险损失数据库、操作风险自评估、关键风险指标、控制监测和保证框架等工具获取的数据信息。运用情景分析可发现潜在风险事件的影响和风险管理的效果，并可对其他风险工具进行完善。

　　情景分析可以与恢复与处置计划结合，用于测试运营韧性。例如，假设银行保险机构发生

　　无法运行也无法恢复、必须由异地灾备中心接替的情景，具体运用专家判断评估可能造成的损失和影响，制定业务恢复的优先顺序和恢复时间等目标，分析需要配置的资源保障。

　　（四）基准比较分析基准比较分析，一方面是指将内外部监督检查结果、同业操作风险状况与本机构的操作风险识别、评估结果进行比对，对于偏离度较大的，需重启操作风险识别、评估工作。另一方面是指操作风险管理工具之间互相验证，例如，将操作风险损失数据与操作风险自评估结果进行比较,确定管理工具是否有效运行。（文章来源：大河财立方）