在整合原有銀行機構和保險機構的操作風險監管規則,并吸收采納相關部委和社會公眾意見后,國家金融監督管理總局2023年12月29日正式發布《銀行保險機構操作風險管理辦法》,并明確新規將自2024年7月1日起施行。

  監管規則的適用范圍也有所擴大,金融租賃公司參照執行。

  “中華人民共和國境內設立的外國銀行分行、保險集團(控股)公司、再保險公司、金融資產管理公司、金融資產投資公司、信托公司、金融租賃公司、財務公司、消費金融公司、汽車金融公司、貨幣經紀公司、理財公司、保險資產管理公司、金融控股公司以及國家金融監督管理總局及其派出機構監管的其他機構參照本辦法執行”。

 國家金融監督管理總局修訂發布《銀行保險機構操作風險管理辦法》

  為進一步完善銀行保險機構操作風險監管規則,提升銀行保險機構的操作風險管理水平,金融監管總局對《商業銀行操作風險管理指引》進行了修訂,形成《銀行保險機構操作風險管理辦法》(以下簡稱《辦法》),現正式發布,于2024年7月1日起施行。

  《辦法》共六章五十二條及附錄,堅持審慎性、全面性、匹配性、有效性原則,主要內容包括:一是明確風險治理和管理責任。明確董事會、監事(會)和高級管理層的責任,界定三道防線的具體范圍和職責,壓實分支機構和附屬機構的操作風險管理責任。二是規定風險管理基本要求。明確銀行保險機構應當建立操作風險管理基本制度、操作風險偏好和傳導機制,建立健全操作風險的管理信息系統,培育良好的操作風險管理文化。三是細化管理流程和管理工具。要求銀行保險機構對操作風險進行全流程管理。規定了內部控制、業務連續性管理、網絡安全、數據安全、業務外包管理等操作風險控制、緩釋措施的基本要求,建立操作風險情況和重大操作風險事件報告機制,應用操作風險損失數據庫等三大基礎管理工具以及新型工具。四是完善監督管理職責。金融監管總局及其派出機構要檢查評估銀行保險機構操作風險管理體系的健全性和有效性,行業協會應當發揮自律和服務作用。五是在《辦法》附錄中對部分規定內容的含義進行了說明和舉例,以便于銀行保險機構落實執行。

  自《辦法》實施之日起,《商業銀行操作風險管理指引》(銀監發〔2007〕42號)、《中國銀行業監督管理委員會關于加大防范操作風險工作力度的通知》(銀監發〔2005〕17號)廢止。

  下一步,金融監管總局將加強督促指導,做好《辦法》貫徹落實工作,引導銀行保險機構提高操作風險管理能力。

  國家金融監督管理總局有關司局負責人就《銀行保險機構操作風險管理辦法》答記者問

  近日,為進一步鞏固防范化解金融風險攻堅戰的成果,金融監管總局制定了《銀行保險機構操作風險管理辦法》(以下簡稱《辦法》)。金融監管總局有關司局負責人就相關問題回答了記者提問。

  一、制定《辦法》的背景和過程是什么?

  答:操作風險是銀行保險機構經營管理中面臨主要風險之一。原銀監會2007年制定的《商業銀行操作風險管理指引》施行后,對規范商業銀行操作風險管理發揮了積極作用!侗kU公司償付能力監管規則》明確了對保險公司操作風險的管理要求,建立了保險公司操作風險管理的基本框架。近年來,操作風險防控形勢更加復雜,原有監管規定難以滿足風險管理的現實需要,操作風險管理相關的國際規則也進行了修訂、完善,有必要結合我國實踐,對原有監管規定進行全面修訂。

  《辦法》制定過程中先后多次征求了相關部委和社會公眾的意見,絕大部分建議已被采納,并對有關規定作了修改完善。修訂后的《辦法》與原銀保監會對操作風險管理的相關要求前后銜接,與剛剛發布的《商業銀行資本管理辦法》相互配套!掇k法》進一步明確銀行保險機構操作風險識別評估、管理控制和工具等要求,完善銀行保險機構操作風險治理框架,更加適應當前防控操作風險的形勢。

  二、《辦法》公開征求意見情況如何?

  答:2023年7月,《辦法》面向社會公開征求意見,共收到建議近200條,大部分建議已被采納,包括調整外部審計和評價的頻次,對規模較大的保險機構給予一年過渡期,兼顧保險機構實施操作風險評估的差異,調整行業協會職責等。部分建議屬于理解不同,《辦法》在附錄中進行了解釋,主要是操作風險偏好指標、操作風險披露機制和考核評價機制等內容。少數未采納建議主要是刪除數據安全相關條款、保險公司無需開展操作風險壓力測試等。

  三、《辦法》的主要內容有哪些?

  答:《辦法》共六章五十二條及附錄,包括總則、風險治理和管理責任、風險管理基本要求、風險管理流程和方法、監督管理、附則,主要內容包括:

  一是強調操作風險管理基本原則。明確銀行保險機構開展操作風險管理應當遵循審慎性、全面性、匹配性、有效性等基本原則。

  二是明確風險治理和管理責任。優化董事會在公司治理中的作用,明確監事(會)監督職責和高級管理層的執行職責,界定三道防線的具體范圍和職責,壓實分支機構和附屬機構的責任。

  三是規定風險管理基本要求。明確銀行保險機構應當建立操作風險管理基本制度、操作風險偏好和傳導機制,建立健全操作風險的管理信息系統,培育良好的操作風險管理文化。

  四是細化管理流程和管理工具。要求銀行保險機構對操作風險進行全流程管理,規定了操作風險控制、緩釋措施的基本要求,建立操作風險報告機制,應用操作風險損失數據庫等三大基礎管理工具以及新型工具,強化變更管理。

  五是完善監督管理職責。規定金融監管總局及其派出機構要檢查評估銀行保險機構操作風險管理體系的健全性和有效性,規定重大操作風險事件報告的具體要求,要求行業協會發揮自律和服務作用。

  四、《辦法》有哪些差異化監管安排?

  答:《辦法》整合原有銀行機構和保險機構的操作風險監管規則,明確統一適用于銀行保險機構的基本要求。同時,《辦法》區分銀行機構和保險機構、規模較大和規模較小的機構,分別適用差異化的監管要求:規定保險公司不適用風險計量、計提資本等方面要求;給予規模較大的保險機構在實施操作風險管理架構和職責、風險管理基本要求方面一年過渡期;明確保險集團(控股)公司、再保險公司等參照執行;鼓勵規模較大的機構提升運營韌性;明確規模較小的機構一級分行(省級分公司)的第二道防線部門可豁免設立操作風險管理專崗或專人,并給予其在實施操作風險管理架構和職責、風險管理基本要求方面兩年過渡期。

  五、《辦法》的實施將對市場有何影響?

  答:《辦法》施行時間為2024年7月1日,給銀行保險機構預留充分時間開展實施工作。同時,《辦法》區分情形進行差異化監管,設置過渡期,并充分征求、采納了各類市場主體的意見!掇k法》的出臺完善了我國銀行保險機構操作風險監管制度,有利于彌補監管制度短板,進一步鞏固防范化解金融風險攻堅戰的成果,規范提升銀行保險機構操作風險管理水平,有利于強化機構監管、行為監管、功能監管、穿透式監管、持續監管。下一步,將進一步發揮行業協會的自律和服務作用,協助引導銀行保險機構持續提高操作風險管理水平。

  銀行保險機構操作風險管理辦法

  (2023年12月27日國家金融監督管理總局令2023年第5號公布 自2024年7月1日起施行)

  第一章  總  則

  第一條  為提高銀行保險機構操作風險管理水平,根據《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》等法律法規,制定本辦法。

  第二條  本辦法所稱操作風險是指由于內部程序、員工、信息科技系統存在問題以及外部事件造成損失的風險,包括法律風險,但不包括戰略風險和聲譽風險。

  第三條  操作風險管理是全面風險管理體系的重要組成部分,目標是有效防范操作風險,降低損失,提升對內外部事件沖擊的應對能力,為業務穩健運營提供保障。

  第四條  操作風險管理應當遵循以下基本原則:

 。ㄒ唬⿲徤餍栽瓌t。操作風險管理應當堅持風險為本的理念,充分重視風險苗頭和潛在隱患,有效識別影響風險管理的不利因素,配置充足資源,及時采取措施,提升前瞻性。

 。ǘ┤嫘栽瓌t。操作風險管理應當覆蓋各業務條線、各分支機構,覆蓋所有部門、崗位、員工和產品,貫穿決策、執行和監督全部過程,充分考量其他內外部風險的相關性和傳染性。

 。ㄈ┢ヅ湫栽瓌t。操作風險管理應當體現多層次、差異化的要求,管理體系、管理資源應當與機構發展戰略、經營規模、復雜性和風險狀況相適應,并根據情況變化及時調整。

 。ㄋ模┯行栽瓌t。機構應當以風險偏好為導向,有效識別、評估、計量、控制、緩釋、監測、報告所面臨的操作風險,將操作風險控制在可承受范圍之內。

  第五條  規模較大的銀行保險機構應當基于良好的治理架構,加強操作風險管理,做好與業務連續性、外包風險管理、網絡安全、數據安全、突發事件應對、恢復與處置計劃等體系機制的有機銜接,提升運營韌性,具備在發生重大風險和外部事件時持續提供關鍵業務和服務的能力。

  第六條  國家金融監督管理總局及其派出機構依法對銀行保險機構操作風險管理實施監管。

  第二章  風險治理和管理責任

  第七條  銀行保險機構董事會應當將操作風險作為本機構面對的主要風險之一,承擔操作風險管理的最終責任。主要職責包括:

 。ㄒ唬⿲徟僮黠L險管理基本制度,確保與戰略目標一致;

 。ǘ⿲徟僮黠L險偏好及其傳導機制,將操作風險控制在可承受范圍之內;

 。ㄈ⿲徟呒壒芾韺佑嘘P操作風險管理職責、權限、報告等機制,確保操作風險管理體系的有效性;

 。ㄋ模┟磕曛辽賹徸h一次高級管理層提交的操作風險管理報告,充分了解、評估操作風險管理總體情況以及高級管理層工作;

 。ㄎ澹┐_保高級管理層建立必要的識別、評估、計量、控制、緩釋、監測、報告操作風險的機制;

 。┐_保操作風險管理體系接受內部審計部門的有效審查與監督;

 。ㄆ撸⿲徟僮黠L險信息披露相關制度;

 。ò耍┐_保建立與操作風險管理要求匹配的風險文化;

 。ň牛┢渌嚓P職責。

  第八條  設立監事(會)的銀行保險機構,其監事(會)應當承擔操作風險管理的監督責任,負責監督檢查董事會和高級管理層的履職盡責情況,及時督促整改,并納入監事(會)工作報告。

  第九條  銀行保險機構高級管理層應當承擔操作風險管理的實施責任。主要職責包括:

 。ㄒ唬┲贫ú僮黠L險管理基本制度和管理辦法;

 。ǘ┟鞔_界定各部門、各級機構的操作風險管理職責和報告要求,督促各部門、各級機構履行操作風險管理職責,確保操作風險管理體系正常運行;

 。ㄈ┰O置操作風險偏好及其傳導機制,督促各部門、各級機構執行操作風險管理制度、風險偏好并定期審查,及時處理突破風險偏好以及其他違反操作風險管理要求的情況;

 。ㄋ模┤嬲莆詹僮黠L險管理總體狀況,特別是重大操作風險事件;

 。ㄎ澹┟磕曛辽傧蚨聲峤灰淮尾僮黠L險管理報告,并報送監事(會);

 。椴僮黠L險管理配備充足財務、人力和信息科技系統等資源;

 。ㄆ撸┩晟撇僮黠L險管理體系,有效應對操作風險事件;

 。ò耍┲贫ú僮黠L險管理考核評價與獎懲機制;

 。ň牛┢渌嚓P職責。

  第十條  銀行保險機構應當建立操作風險管理的三道防線,三道防線之間及各防線內部應當建立完善風險數據和信息共享機制。

  第一道防線包括各級業務和管理部門,是操作風險的直接承擔者和管理者,負責各自領域內的操作風險管理工作。第二道防線包括各級負責操作風險管理和計量的牽頭部門,指導、監督第一道防線的操作風險管理工作。第三道防線包括各級內部審計部門,對第一、二道防線履職情況及有效性進行監督評價。

  第十一條  第一道防線部門主要職責包括:

 。ㄒ唬┲付▽H素撠煵僮黠L險管理工作,投入充足資源;

 。ǘ┌凑诊L險管理評估方法,識別、評估自身操作風險;

 。ㄈ┙⒖刂、緩釋措施,定期評估措施的有效性;

 。ㄋ模┏掷m監測風險,確保符合操作風險偏好;

 。ㄎ澹┒ㄆ趫笏筒僮黠L險管理報告,及時報告重大操作風險事件;

 。┲贫I務流程和制度時充分體現操作風險管理和內部控制的要求;

 。ㄆ撸┢渌嚓P職責。

  第十二條  第二道防線部門應當保持獨立性,持續提升操作風險管理的一致性和有效性。主要職責包括:

 。ㄒ唬┰谝患壏中校ㄊ〖壏止荆┘耙陨显O立操作風險管理專崗或指定專人,為其配備充足的資源;

 。ǘ└櫜僮黠L險管理監管政策規定并組織落實;

 。ㄈ⿺M定操作風險管理基本制度、管理辦法,制定操作風險識別、評估、計量、監測、報告的方法和具體規定;

 。ㄋ模┲笇、協助第一道防線識別、評估、監測、控制、緩釋和報告操作風險,并定期開展監督;

 。ㄎ澹┟磕曛辽傧蚋呒壒芾韺犹峤灰淮尾僮黠L險管理報告;

 。┴撠煵僮黠L險資本計量;

 。ㄆ撸╅_展操作風險管理培訓;

 。ò耍┢渌嚓P職責。

  國家金融監督管理總局或其派出機構按照監管職責歸屬,可以豁免規模較小的銀行保險機構在一級分行(省級分公司)設立操作風險管理專崗或專人的要求。

  第十三條  法律、合規、信息科技、數據管理、消費者權益保護、安全保衛、財務會計、人力資源、精算等部門在承擔本部門操作風險管理職責的同時,應當在職責范圍內為其他部門操作風險管理提供充足資源和支持。

  第十四條  內部審計部門應當至少每三年開展一次操作風險管理專項審計,覆蓋第一道防線、第二道防線操作風險管理情況,審計評價操作風險管理體系運行情況,并向董事會報告。

  內部審計部門在開展其他審計項目時,應當充分關注操作風險管理情況。

  第十五條  規模較大的銀行保險機構應當定期委托第三方機構對其操作風險管理情況進行審計和評價,并向國家金融監督管理總局或其派出機構報送外部審計報告。

  第十六條  銀行保險機構境內分支機構、直接經營業務的部門應當承擔操作風險管理主體責任,并履行以下職責:

 。ㄒ唬楸炯、本條線操作風險管理部門配備充足資源;

 。ǘ﹪栏駡绦胁僮黠L險管理制度、風險偏好以及管理流程等要求;

 。ㄈ┌凑諆韧獠繉徲嫿Y果和監管要求改進操作風險管理;

 。ㄋ模┢渌嚓P職責。

  境外分支機構除滿足前款要求外,還應當符合所在地監管要求。

  第十七條  銀行保險機構應當要求其并表管理范圍內的境內金融附屬機構、金融科技類附屬機構建立符合集團風險偏好,與其業務范圍、風險特征、經營規模及監管要求相適應的操作風險管理體系,建立健全三道防線,制定操作風險管理制度。

  境外附屬機構除滿足前款要求外,還應當符合所在地監管要求。

  第三章  風險管理基本要求

  第十八條  操作風險管理基本制度應當與機構業務性質、規模、復雜程度和風險特征相適應,至少包括以下內容:

 。ㄒ唬┎僮黠L險定義;

 。ǘ┎僮黠L險管理組織架構、權限和責任;

 。ㄈ┎僮黠L險識別、評估、計量、監測、控制、緩釋程序;

 。ㄋ模┎僮黠L險報告機制,包括報告主體、責任、路徑、頻率、時限等。

  銀行保險機構應當在操作風險管理基本制度制定或者修訂后15個工作日內,按照監管職責歸屬報送國家金融監督管理總局或其派出機構。

  第十九條  銀行保險機構應當在整體風險偏好下制定定性、定量指標并重的操作風險偏好,每年開展重檢。風險偏好應當與戰略目標、經營計劃、績效考評和薪酬機制等相銜接。風險偏好指標應當包括監管部門對特定機構確定的操作風險類監測指標要求。

  銀行保險機構應當通過確定操作風險容忍度或者風險限額等方式建立風險偏好傳導機制,對操作風險進行持續監測和及時預警。

  第二十條  銀行保險機構應當建立具備操作風險管理功能的管理信息系統,主要功能包括:

 。ㄒ唬┯涗浐痛鎯p失相關數據和操作風險事件信息;

 。ǘ┲С植僮黠L險和控制措施的自評估;

 。ㄈ┲С株P鍵風險指標監測;

 。ㄋ模┲С植僮黠L險資本計量;

 。ㄎ澹┨峁┎僮黠L險報告相關內容。

  第二十一條  銀行保險機構應當培育良好的操作風險管理文化,明確員工行為規范和職業道德要求。

  第二十二條  銀行保險機構應當建立有效的操作風險管理考核評價機制,考核評價指標應當兼顧操作風險管理過程和結果。薪酬和激勵約束機制應當反映考核評價結果。

  第二十三條  銀行保險機構應當定期開展操作風險管理相關培訓。

  第二十四條  銀行保險機構應當按照國家金融監督管理總局的規定披露操作風險管理情況。

  銀行機構應當按照國家金融監督管理總局的要求披露損失數據等相關信息。

  第四章  風險管理流程和方法

  第二十五條  銀行保險機構應當根據操作風險偏好,識別內外部固有風險,評估控制、緩釋措施的有效性,分析剩余風險發生的可能性和影響程度,劃定操作風險等級,確定接受、降低、轉移、規避等應對策略,有效分配管理資源。

  第二十六條  銀行保險機構應當結合風險識別、評估結果,實施控制、緩釋措施,將操作風險控制在風險偏好內。

  銀行保險機構應當根據風險等級,對業務、產品、流程以及相關管理活動的風險采取控制、緩釋措施,持續監督執行情況,建立良好的內部控制環境。

  銀行保險機構通過購買保險、業務外包等措施緩釋操作風險的,應當確保緩釋措施實質有效。

  第二十七條  銀行保險機構應當將加強內部控制作為操作風險管理的有效手段。內部控制措施至少包括:

 。ㄒ唬┟鞔_部門間職責分工,避免利益沖突;

 。ǘ┟芮斜O測風險偏好及其傳導機制的執行情況;

 。ㄈ┘訌姼黝悩I務授權和信息系統權限管理;

 。ㄋ模┙⒅匾敭a的記錄和保管、定期盤點、賬實核對等日常管理和定期檢查機制;

 。ㄎ澹┘訌姴幌嗳輱徫还芾,有效隔離重要業務部門和關鍵崗位,建立履職回避以及關鍵崗位輪崗、強制休假、離崗審計制度;

 。┘訌妴T工行為管理,重點關注關鍵崗位員工行為;

 。ㄆ撸⿲灰缀唾~戶進行定期對賬;

 。ò耍┙炔繂T工揭發檢舉的獎勵和保護機制;

 。ň牛┡渲眠m當的員工并進行有效培訓;

 。ㄊ┙⒉僮黠L險管理的激勵約束機制;

 。ㄊ唬┢渌麅炔靠刂拼胧。

  第二十八條  銀行保險機構應當制定與其業務規模和復雜性相適應的業務連續性計劃,有效應對導致業務中斷的突發事件,最大限度減少業務中斷影響。

  銀行保險機構應當定期開展業務連續性應急預案演練評估,驗證應急預案及備用資源的可用性,提高員工應急意識及處置能力,測試關鍵服務供應商的持續運營能力,確保業務連續性計劃滿足業務恢復目標,有效應對內外部威脅及風險。

  第二十九條  銀行保險機構應當制定網絡安全管理制度,履行網絡安全保護義務,執行網絡安全等級保護制度要求,采取必要的管理和技術措施,監測、防御、處置網絡安全風險和威脅,有效應對網絡安全事件,保障網絡安全、穩定運行,防范網絡違法犯罪活動。

  第三十條  銀行保險機構應當制定數據安全管理制度,對數據進行分類分級管理,采取保護措施,保護數據免遭篡改、破壞、泄露、丟失或者被非法獲取、非法利用,重點加強個人信息保護,規范數據處理活動,依法合理利用數據。

  第三十一條  銀行保險機構應當制定與業務外包有關的風險管理制度,確保有嚴謹的業務外包合同和服務協議,明確各方責任義務,加強對外包方的監督管理。

  第三十二條  銀行保險機構應當定期監測操作風險狀況和重大損失情況,對風險持續擴大的情形建立預警機制,及時采取措施控制、緩釋風險。

  第三十三條  銀行保險機構應當建立操作風險內部定期報告機制。第一道防線應當向上級對口管理部門和本級操作風險管理部門報告,各級操作風險管理部門匯總本級及所轄機構的情況向上級操作風險管理部門報告。

  銀行保險機構應當在每年四月底前按照監管職責歸屬向國家金融監督管理總局或其派出機構報送前一年度操作風險管理情況。

第三十四條  銀行保險機構應當建立重大操作風險事件報告機制,及時向董事會、高級管理層、監事(會)和其他內部部門報告重大操作風險事件。

  第三十五條  銀行保險機構應當運用操作風險損失數據庫、操作風險自評估、關鍵風險指標等基礎管理工具管理操作風險,可以選擇運用事件管理、控制監測和保證框架、情景分析、基準比較分析等管理工具,或者開發其他管理工具。

  銀行保險機構應當運用各項風險管理工具進行交叉校驗,定期重檢、優化操作風險管理工具。

  第三十六條  銀行保險機構存在以下重大變更情形的,應當強化操作風險的事前識別、評估等工作:

 。ㄒ唬╅_發新業務、新產品;

 。ǘ┬略O境內外分支機構、附屬機構;

 。ㄈ┩卣剐聵I務范圍、形成新商業模式;

 。ㄋ模I務流程、信息科技系統等發生重大變更;

 。ㄎ澹┢渌卮笞兏樾。

  第三十七條  銀行保險機構應當建立操作風險壓力測試機制,定期開展操作風險壓力測試,在開展其他壓力測試過程中應當充分考慮操作風險的影響,針對壓力測試中識別的潛在風險點和薄弱環節,及時采取應對措施。

  第三十八條  銀行機構應當按照國家金融監督管理總局關于資本監管的要求,對承擔的操作風險計提充足資本。

  第五章  監督管理

  第三十九條  國家金融監督管理總局及其派出機構應當將對銀行保險機構操作風險的監督管理納入集團和法人監管體系,檢查評估操作風險管理體系的健全性和有效性。

  國家金融監督管理總局及其派出機構加強與相關部門的監管協作和信息共享,共同防范金融風險跨機構、跨行業、跨區域傳染。

  第四十條  國家金融監督管理總局及其派出機構通過監管評級、風險提示、監管通報、監管會談、與外部審計師會談等非現場監管和現場檢查方式,實施對操作風險管理的持續監管。

  國家金融監督管理總局及其派出機構認為必要時,可以要求銀行保險機構提供第三方機構就其操作風險管理出具的審計或者評價報告。

第四十一條  國家金融監督管理總局及其派出機構發現銀行保險機構操作風險管理存在缺陷和問題時,應當要求其及時整改,并上報整改落實情況。

  國家金融監督管理總局及其派出機構依照職責通報重大操作風險事件和風險管理漏洞。

  第四十二條  銀行保險機構應當在知悉或者應當知悉以下重大操作風險事件5個工作日內,按照監管職責歸屬向國家金融監督管理總局或其派出機構報告:

 。ㄒ唬┬纬深A計損失5000萬元(含)以上或者超過上年度末資本凈額5%(含)以上的事件。

 。ǘ┬纬蓳p失金額1000萬元(含)以上或者超過上年度末資本凈額1%(含)以上的事件。

 。ㄈ┰斐芍匾獢祿、重要賬冊、重要空白憑證、重要資料嚴重損毀、丟失或者泄露,已經或者可能造成重大損失和嚴重影響的事件。

 。ㄋ模┲匾畔⑾到y出現故障、受到網絡攻擊,導致在同一省份的營業網點、電子渠道業務中斷3小時以上;或者在兩個及以上省份的營業網點、電子渠道業務中斷30分鐘以上。

 。ㄎ澹┮蚓W絡欺詐及其他信息安全事件,導致本機構或客戶資金損失1000萬元以上,或者造成重大社會影響。

 。┒、高級管理人員、監事及分支機構負責人被采取監察調查措施、刑事強制措施或者承擔刑事法律責任的事件。

 。ㄆ撸﹪乐厍址腹駛人信息安全和合法權益的事件。

 。ò耍﹩T工涉嫌發起、主導或者組織實施非法集資類違法犯罪被立案的事件。

 。ň牛┢渌枰獔蟾娴闹卮蟛僮黠L險事件。

  對于第一款規定的重大操作風險事件,國家金融監督管理總局在案件管理、突發事件管理等監管規定中另有報告要求的,應當按照有關要求報告,并在報告時注明該事件屬于重大操作風險事件。

  國家金融監督管理總局可以根據監管工作需要,調整第一款規定的重大操作風險事件報告標準。

  第四十三條  銀行保險機構存在以下情形的,國家金融監督管理總局及其派出機構應當責令改正,并視情形依法采取監管措施:

 。ㄒ唬┪窗凑找幎ㄖ贫ɑ蛘邎绦胁僮黠L險管理制度;

 。ǘ┪窗凑找幎ㄔO置或者履行操作風險管理職責;

 。ㄈ┪窗凑找幎ㄔO置操作風險偏好及其傳導機制;

 。ㄋ模┪唇⒒蛘呗鋵嵅僮黠L險管理文化、考核評價機制、培訓;

 。ㄎ澹┪唇⒉僮黠L險管理流程、管理工具和信息系統,或者其設計、應用存在缺陷;

 。┢渌`反監管規定的情形。

  第四十四條  銀行保險機構存在以下情形的,國家金融監督管理總局及其派出機構應當責令改正,并依法實施行政處罰;法律、行政法規沒有規定的,由國家金融監督管理總局及其派出機構責令改正,予以警告、通報批評,或者處以二十萬元以下罰款;涉嫌犯罪的,應當依法移送司法機關:

 。ㄒ唬﹪乐剡`反本辦法相關規定,導致發生第四十二條規定的重大操作風險事件;

 。ǘ┪窗凑毡O管要求整改;

 。ㄈ┎m報、漏報、故意遲報本辦法第四十二條規定的重大操作風險事件,情節嚴重的;

 。ㄋ模┢渌麌乐剡`反監管規定的情形。

  第四十五條  中國銀行業協會、中國保險行業協會等行業協會應當通過組織宣傳、培訓、自律、協調、服務等方式,協助引導會員單位提高操作風險管理水平。

  鼓勵行業協會、學術機構、中介機構等建立相關領域的操作風險事件和損失數據庫。

  第六章  附  則

  第四十六條  本辦法所稱銀行保險機構,是指在中華人民共和國境內依法設立的商業銀行、農村合作銀行、農村信用合作社等吸收公眾存款的金融機構以及開發性金融機構、政策性銀行、保險公司。

  中華人民共和國境內設立的外國銀行分行、保險集團(控股)公司、再保險公司、金融資產管理公司、金融資產投資公司、信托公司、金融租賃公司、財務公司、消費金融公司、汽車金融公司、貨幣經紀公司、理財公司、保險資產管理公司、金融控股公司以及國家金融監督管理總局及其派出機構監管的其他機構參照本辦法執行。

  第四十七條  本辦法所稱的規模較大的銀行保險機構,是指按照并表調整后表內外資產(杠桿率分母)達到3000億元人民幣(含等值外幣)及以上的銀行機構,以及按照并表口徑(境內外)表內總資產達到2000億元人民幣(含等值外幣)及以上的保險機構。

  規模較小的銀行保險機構是指未達到上述標準的機構。

  第四十八條  未設董事會的銀行保險機構,應當由其經營決策機構履行本辦法規定的董事會職責。

  第四十九條  本辦法第四條、第七條、第十條、第十二條、第十八條、第二十條關于計量的規定不適用于保險機構。

  本辦法第二十五條相關規定如與保險公司償付能力監管規則不一致的,按照保險公司償付能力監管規則執行。

  第五十條  關于本辦法第二章、第三章、第四章的規定,規模較大的保險機構自本辦法施行之日起1年內執行;規模較小的銀行保險機構自本辦法施行之日起2年內執行。

  第五十一條  本辦法由國家金融監督管理總局負責解釋修訂,自2024年7月1日起施行。

  第五十二條  《商業銀行操作風險管理指引》(銀監發〔2007〕42號)、《中國銀行業監督管理委員會關于加大防范操作風險工作力度的通知》(銀監發〔2005〕17號)自本辦法施行之日起廢止。

  附錄:名詞解釋及示例

  附錄

  名詞解釋及示例

  一、操作風險事件

  操作風險事件是指由操作風險引發,導致銀行保險機構發生實際或者預計損失的事件。銀行保險機構分別依據商業銀行資本監管規則和保險公司償付能力監管規則進行損失事件分類。

  二、法律風險

  法律風險包括但不限于下列風險:

  1.簽訂的合同因違反法律或者行政法規可能被依法撤銷或者確認無效;

  2.因違約、侵權或者其他事由被提起訴訟或者申請仲裁,依法可能承擔賠償責任;

  3.業務、管理活動違反法律、法規或者監管規定,依法可能承擔刑事責任或者行政責任。

  三、運營韌性

  運營韌性是在發生重大風險和外部事件時,銀行保險機構具備的持續提供關鍵業務和服務的能力。例如,在發生大規模網絡攻擊、大規模傳染病、自然災害等事件時,銀行保險機構通過運營韌性管理機制,能夠持續向客戶提供存取款、轉賬、理賠等關鍵服務。

  四、操作風險管理報告

  第七條、第九條、第十二條規定的操作風險管理報告以及第三十三條規定的操作風險管理情況可以是專項報告,也可以是包括操作風險管理內容的全面風險報告等綜合性報告。

  五、操作風險類監測指標

  第十九條規定的操作風險類監測指標可以包括案件風險率和操作風險損失率。國家金融監督管理總局及其派出機構可以視情形決定,是否確定對特定機構的操作風險類監測指標。

 。ㄒ唬┲笜擞嬎愎

  案件風險率=業內案件涉案金額/年初總資產和年末總資產的平均數×100%。國家金融監督管理總局對于稽查檢查和案件管理制度另有規定的,則從其規定。

  操作風險損失率=操作風險損失事件的損失金額總和/近三年平均營業收入×100%

 。ǘ┌讣L險率

  案件風險率應當保持在監測目標值的合理區間。監測目標值公式為:

  St=Ss+ε

  St為案件風險率監測目標值;Ss為案件風險率基準值,由監管部門根據同類型機構一定期間的案件風險率、特定機構一定期間的案件風險率,并具體選取時間范圍、賦值適當權重后確定。ε為案件風險率調值,由監管部門裁量確定,主要影響因素包括公司治理和激勵約束機制、反洗錢監管情況、風險事件演變情況、內部管理和控制情況、境外機構合規風險事件情況等。

 。ㄈ┎僮黠L險損失率

  操作風險損失率應當保持在監測目標值的合理區間。監測目標值公式為:

  Lt=Ls+ε

  Lt為操作風險損失率監測目標值;Ls為操作風險損失率基準值,監管部門根據同類型機構一定期間的操作風險損失率、特定機構一定期間的實際操作風險損失率,并具體選取時間范圍、賦值適當權重后確定。ε為操作風險損失率調整值,由監管部門裁量確定,主要影響因素包括操作風險內部管理和控制情況、操作風險損失事件數據管理情況、相關事件數量和金額變化情況、經濟金融周期因素等。

  六、風險偏好傳導機制

  第十九條規定的風險偏好傳導機制,是指銀行保險機構根據風險偏好設定容忍度或者風險限額等,并對境內外附屬機構、分支機構或者業務條線等提出相應要求,如對全行(公司)、各附屬機構、各分行(分公司)、各業務條線設定操作風險損失率、操作風險事件數量、信息系統服務可用率等指標或者目標值,并進行持續監測、預警和糾偏。其中,信息系統服務可用率=(信息系統計劃服務時間-非預期停止服務時間)/計劃服務時間×100%。

  七、考核評價指標

  第二十二條規定的考核評價指標,應當兼顧操作風險管理過程和結果,設置過程類指標和結果類指標。例如,操作風險損失率屬于結果類指標,可根據損失率的高低進行評分。操作風險事件報告評分屬于過程類指標,可根據事件是否遲報瞞報、填報信息是否規范、重大事件是否按照要求單獨分析等進行評分。

  八、固有風險、剩余風險

  第二十五條規定的固有風險是指在沒有考慮控制、緩釋措施或者在其付諸實施之前就已經存在的風險。剩余風險是指現有的風險控制、緩釋措施不能消除的風險。

  本條所指固有風險與保險公司償付能力監管規則不一致,償付能力監管規則中的固有風險是指在現有正常保險行業物質技術條件和生產組織方式下,保險公司在經營和管理活動中必然存在的、客觀的償付能力相關風險。

  九、操作風險等級

  第二十五條規定的操作風險等級由銀行保險機構自行劃分。例如,通?蓜澐譃槿齻等級:發生可能性(頻率)低、影響(損失)程度低的,風險等級為低;發生可能性(頻率)高、影響(損失)程度低的,風險等級為中;發生可能性(頻率)低、影響(損失)程度高或者發生可能性(頻率)高、影響(損失)程度高的,風險等級為高。

  十、緩釋操作風險

  第二十六條規定的購買保險是指,銀行保險機構通過購買保險,在自然災害或者意外事故導致形成實物資產損失時,獲得保險賠付,收回部分或者全部損失,有效緩釋風險。其中,保險公司向本機構和關聯機構購買保險不屬于有效緩釋風險。

  十一、操作風險損失數據庫、操作風險自評估、關鍵風險指標

  第三十五條規定的操作風險損失數據庫、操作風險自評估、關鍵風險指標是銀行保險機構用于管理操作風險的基礎工具。

 。ㄒ唬┎僮黠L險損失數據庫

  操作風險損失數據庫(保險公司償付能力監管規則稱為操作風險損失事件庫)是指按統一的操作風險分類標準,收集匯總相應操作風險事件信息。操作風險損失數據庫應當結合管理需要,收集一定金額以上的操作風險事件信息,收集范圍應當至少包括內部損失事件,必要時可收集幾近損失事件和外部損失事件。

  內部損失事件是指,形成實際或者預計財務損失的操作風險事件,包括通過保險及其他手段收回部分或者全部損失的操作風險事件,以及與信用風險、市場風險等其他風險相關的操作風險事件。

  幾近損失事件是指,事件已發生,但未造成實際或者預計的財務損失。例如,銀行保險機構因過錯造成客戶損失,有可能被索賠,但因及時采取補救措施彌補了客戶損失,客戶諒解并未進行索賠。

  外部損失事件是指,業內其他金融機構出現的大額監管處罰、案件等操作風險事件。

 。ǘ┎僮黠L險自評估

  操作風險自評估是指,識別業務、產品及管理活動中的固有操作風險,分析控制措施有效性,確定剩余操作風險,確定操作風險等級。

 。ㄈ╆P鍵風險指標

  關鍵風險指標是指,依據操作風險識別、評估結果,設定相應指標,全面反映機構的操作風險敞口、控制措施有效性及風險變化趨勢等情況,并應當具有一定前瞻性。例如,從人員、系統、外部事件等維度制定業內案件數量、業外案件涉案金額等作為關鍵風險指標并設定閾值。

  十二、事件管理、控制監測和保證框架、情景分析、基準比較分析

  第三十五條規定的可以選擇運用的操作風險管理工具,包括:

 。ㄒ唬┦录芾

  事件管理是指,對新發生的、對管理有較大影響的操作風險事件進行分析,識別風險成因、評估控制缺陷,并制定控制優化方案,防止類似事件再次發生。例如,發生操作風險事件后,要求第一道防線開展事件調查分析,查清業務或者管理存在的問題并進行整改。

 。ǘ┛刂票O測和保證框架

  控制監測和保證框架是指,對操作風險自評估等工具識別的關鍵控制措施進行持續分析、動態優化,確保關鍵控制措施的有效性。例如,利用控制監測和保證框架對關鍵控制措施進行評估、重檢、持續監測和驗證。

 。ㄈ┣榫胺治

  情景分析是指對假設情景進行識別、分析和計量。情景可以包括發生可能性(頻率)低、影響程度(損失)高的事件。

  情景分析的基本假設可以引用操作風險損失數據庫、操作風險自評估、關鍵風險指標、控制監測和保證框架等工具獲取的數據信息。運用情景分析可發現潛在風險事件的影響和風險管理的效果,并可對其他風險工具進行完善。

  情景分析可以與恢復與處置計劃結合,用于測試運營韌性。例如,假設銀行保險機構發生數據中心無法運行也無法恢復、必須由異地災備中心接替的情景,具體運用專家判斷評估可能造成的損失和影響,制定業務恢復的優先順序和恢復時間等目標,分析需要配置的資源保障。

 。ㄋ模┗鶞时容^分析

  基準比較分析,一方面是指將內外部監督檢查結果、同業操作風險狀況與本機構的操作風險識別、評估結果進行比對,對于偏離度較大的,需重啟操作風險識別、評估工作。另一方面是指操作風險管理工具之間互相驗證,例如,將操作風險損失數據與操作風險自評估結果進行比較,確定管理工具是否有效運行。