銀行保險機構(gòu)操作風險管理辦法

銀行保險機構(gòu)操作風險管理辦法

(2023年12月27日國家金融監(jiān)督管理總局令2023年第5號公布 自2024年7月1日起施行)

第一章 總 則

第一條 為提高銀行保險機構(gòu)操作風險管理水平，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國保險法》等法律法規(guī)，制定本辦法。

第二條 本辦法所稱操作風險是指由于內(nèi)部程序、員工、信息科技系統(tǒng)存在問題以及外部事件造成損失的風險，包括法律風險，但不包括戰(zhàn)略風險和聲譽風險。

第三條 操作風險管理是全面風險管理體系的重要組成部分，目標是有效防范操作風險，降低損失，提升對內(nèi)外部事件沖擊的應(yīng)對能力，為業(yè)務(wù)穩(wěn)健運營提供保障。

第四條 操作風險管理應(yīng)當遵循以下基本原則：

(一)審慎性原則。操作風險管理應(yīng)當堅持風險為本的理念，充分重視風險苗頭和潛在隱患，有效識別影響風險管理的不利因素，配置充足資源，及時采取措施，提升前瞻性。

(二)全面性原則。操作風險管理應(yīng)當覆蓋各業(yè)務(wù)條線、各分支機構(gòu)，覆蓋所有部門、崗位、員工和產(chǎn)品，貫穿決策、執(zhí)行和監(jiān)督全部過程，充分考量其他內(nèi)外部風險的相關(guān)性和傳染性。

(三)匹配性原則。操作風險管理應(yīng)當體現(xiàn)多層次、差異化的要求，管理體系、管理資源應(yīng)當與機構(gòu)發(fā)展戰(zhàn)略、經(jīng)營規(guī)模、復(fù)雜性和風險狀況相適應(yīng)，并根據(jù)情況變化及時調(diào)整。

(四)有效性原則。機構(gòu)應(yīng)當以風險偏好為導(dǎo)向，有效識別、評估、計量、控制、緩釋、監(jiān)測、報告所面臨的操作風險，將操作風險控制在可承受范圍之內(nèi)。

第五條 規(guī)模較大的銀行保險機構(gòu)應(yīng)當基于良好的治理架構(gòu)，加強操作風險管理，做好與業(yè)務(wù)連續(xù)性、外包風險管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、突發(fā)事件應(yīng)對、恢復(fù)與處置計劃等體系機制的有機銜接，提升運營韌性，具備在發(fā)生重大風險和外部事件時持續(xù)提供關(guān)鍵業(yè)務(wù)和服務(wù)的能力。

第六條 國家金融監(jiān)督管理總局及其派出機構(gòu)依法對銀行保險機構(gòu)操作風險管理實施監(jiān)管。

第二章 風險治理和管理責任

第七條 銀行保險機構(gòu)董事會應(yīng)當將操作風險作為本機構(gòu)面對的主要風險之一，承擔操作風險管理的最終責任。主要職責包括：

(一)審批操作風險管理基本制度，確保與戰(zhàn)略目標一致;

(二)審批操作風險偏好及其傳導(dǎo)機制，將操作風險控制在可承受范圍之內(nèi);

(三)審批高級管理層有關(guān)操作風險管理職責、權(quán)限、報告等機制，確保操作風險管理體系的有效性;

(四)每年至少審議一次高級管理層提交的操作風險管理報告，充分了解、評估操作風險管理總體情況以及高級管理層工作;

(五)確保高級管理層建立必要的識別、評估、計量、控制、緩釋、監(jiān)測、報告操作風險的機制;

(六)確保操作風險管理體系接受內(nèi)部審計部門的有效審查與監(jiān)督;

(七)審批操作風險信息披露相關(guān)制度;

(八)確保建立與操作風險管理要求匹配的風險文化;

(九)其他相關(guān)職責。

第八條 設(shè)立監(jiān)事(會)的銀行保險機構(gòu)，其監(jiān)事(會)應(yīng)當承擔操作風險管理的監(jiān)督責任，負責監(jiān)督檢查董事會和高級管理層的履職盡責情況，及時督促整改，并納入監(jiān)事(會)工作報告。

第九條 銀行保險機構(gòu)高級管理層應(yīng)當承擔操作風險管理的實施責任。主要職責包括：

(一)制定操作風險管理基本制度和管理辦法;

(二)明確界定各部門、各級機構(gòu)的操作風險管理職責和報告要求，督促各部門、各級機構(gòu)履行操作風險管理職責，確保操作風險管理體系正常運行;

(三)設(shè)置操作風險偏好及其傳導(dǎo)機制，督促各部門、各級機構(gòu)執(zhí)行操作風險管理制度、風險偏好并定期審查，及時處理突破風險偏好以及其他違反操作風險管理要求的情況;

(四)全面掌握操作風險管理總體狀況，特別是重大操作風險事件;

(五)每年至少向董事會提交一次操作風險管理報告，并報送監(jiān)事(會);

(六)為操作風險管理配備充足財務(wù)、人力和信息科技系統(tǒng)等資源;

(七)完善操作風險管理體系，有效應(yīng)對操作風險事件;

(八)制定操作風險管理考核評價與獎懲機制;

(九)其他相關(guān)職責。

第十條 銀行保險機構(gòu)應(yīng)當建立操作風險管理的三道防線，三道防線之間及各防線內(nèi)部應(yīng)當建立完善風險數(shù)據(jù)和信息共享機制。

第一道防線包括各級業(yè)務(wù)和管理部門，是操作風險的直接承擔者和管理者，負責各自領(lǐng)域內(nèi)的操作風險管理工作。第二道防線包括各級負責操作風險管理和計量的牽頭部門，指導(dǎo)、監(jiān)督第一道防線的操作風險管理工作。第三道防線包括各級內(nèi)部審計部門，對第一、二道防線履職情況及有效性進行監(jiān)督評價。

第十一條 第一道防線部門主要職責包括：

(一)指定專人負責操作風險管理工作，投入充足資源;

(二)按照風險管理評估方法，識別、評估自身操作風險;

(三)建立控制、緩釋措施，定期評估措施的有效性;

(四)持續(xù)監(jiān)測風險，確保符合操作風險偏好;

(五)定期報送操作風險管理報告，及時報告重大操作風險事件;

(六)制定業(yè)務(wù)流程和制度時充分體現(xiàn)操作風險管理和內(nèi)部控制的要求;

(七)其他相關(guān)職責。

第十二條 第二道防線部門應(yīng)當保持獨立性，持續(xù)提升操作風險管理的一致性和有效性。主要職責包括：

(一)在一級分行(省級分公司)及以上設(shè)立操作風險管理專崗或指定專人，為其配備充足的資源;

(二)跟蹤操作風險管理監(jiān)管政策規(guī)定并組織落實;

(三)擬定操作風險管理基本制度、管理辦法，制定操作風險識別、評估、計量、監(jiān)測、報告的方法和具體規(guī)定;

(四)指導(dǎo)、協(xié)助第一道防線識別、評估、監(jiān)測、控制、緩釋和報告操作風險，并定期開展監(jiān)督;

(五)每年至少向高級管理層提交一次操作風險管理報告;

(六)負責操作風險資本計量;

(七)開展操作風險管理培訓(xùn);

(八)其他相關(guān)職責。

國家金融監(jiān)督管理總局或其派出機構(gòu)按照監(jiān)管職責歸屬，可以豁免規(guī)模較小的銀行保險機構(gòu)在一級分行(省級分公司)設(shè)立操作風險管理專崗或?qū)Ｈ说囊蟆?/p>

第十三條 法律、合規(guī)、信息科技、數(shù)據(jù)管理、消費者權(quán)益保護、安全保衛(wèi)、財務(wù)會計、人力資源、精算等部門在承擔本部門操作風險管理職責的同時，應(yīng)當在職責范圍內(nèi)為其他部門操作風險管理提供充足資源和支持。

第十四條 內(nèi)部審計部門應(yīng)當至少每三年開展一次操作風險管理專項審計，覆蓋第一道防線、第二道防線操作風險管理情況，審計評價操作風險管理體系運行情況，并向董事會報告。

內(nèi)部審計部門在開展其他審計項目時，應(yīng)當充分關(guān)注操作風險管理情況。

第十五條 規(guī)模較大的銀行保險機構(gòu)應(yīng)當定期委托第三方機構(gòu)對其操作風險管理情況進行審計和評價，并向國家金融監(jiān)督管理總局或其派出機構(gòu)報送外部審計報告。

第十六條 銀行保險機構(gòu)境內(nèi)分支機構(gòu)、直接經(jīng)營業(yè)務(wù)的部門應(yīng)當承擔操作風險管理主體責任，并履行以下職責：

(一)為本級、本條線操作風險管理部門配備充足資源;

(二)嚴格執(zhí)行操作風險管理制度、風險偏好以及管理流程等要求;

(三)按照內(nèi)外部審計結(jié)果和監(jiān)管要求改進操作風險管理;

(四)其他相關(guān)職責。

境外分支機構(gòu)除滿足前款要求外，還應(yīng)當符合所在地監(jiān)管要求。

第十七條 銀行保險機構(gòu)應(yīng)當要求其并表管理范圍內(nèi)的境內(nèi)金融附屬機構(gòu)、金融科技類附屬機構(gòu)建立符合集團風險偏好，與其業(yè)務(wù)范圍、風險特征、經(jīng)營規(guī)模及監(jiān)管要求相適應(yīng)的操作風險管理體系，建立健全三道防線，制定操作風險管理制度。

境外附屬機構(gòu)除滿足前款要求外，還應(yīng)當符合所在地監(jiān)管要求。

第三章 風險管理基本要求

第十八條 操作風險管理基本制度應(yīng)當與機構(gòu)業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜程度和風險特征相適應(yīng)，至少包括以下內(nèi)容：

(一)操作風險定義;

(二)操作風險管理組織架構(gòu)、權(quán)限和責任;

(三)操作風險識別、評估、計量、監(jiān)測、控制、緩釋程序;

(四)操作風險報告機制，包括報告主體、責任、路徑、頻率、時限等。

銀行保險機構(gòu)應(yīng)當在操作風險管理基本制度制定或者修訂后15個工作日內(nèi),按照監(jiān)管職責歸屬報送國家金融監(jiān)督管理總局或其派出機構(gòu)。

第十九條 銀行保險機構(gòu)應(yīng)當在整體風險偏好下制定定性、定量指標并重的操作風險偏好，每年開展重檢。風險偏好應(yīng)當與戰(zhàn)略目標、經(jīng)營計劃、績效考評和薪酬機制等相銜接。風險偏好指標應(yīng)當包括監(jiān)管部門對特定機構(gòu)確定的操作風險類監(jiān)測指標要求。

銀行保險機構(gòu)應(yīng)當通過確定操作風險容忍度或者風險限額等方式建立風險偏好傳導(dǎo)機制，對操作風險進行持續(xù)監(jiān)測和及時預(yù)警。

第二十條 銀行保險機構(gòu)應(yīng)當建立具備操作風險管理功能的管理信息系統(tǒng)，主要功能包括：

(一)記錄和存儲損失相關(guān)數(shù)據(jù)和操作風險事件信息;

(二)支持操作風險和控制措施的自評估;

(三)支持關(guān)鍵風險指標監(jiān)測;

(四)支持操作風險資本計量;

(五)提供操作風險報告相關(guān)內(nèi)容。

第二十一條 銀行保險機構(gòu)應(yīng)當培育良好的操作風險管理文化，明確員工行為規(guī)范和職業(yè)道德要求。

第二十二條 銀行保險機構(gòu)應(yīng)當建立有效的操作風險管理考核評價機制，考核評價指標應(yīng)當兼顧操作風險管理過程和結(jié)果。薪酬和激勵約束機制應(yīng)當反映考核評價結(jié)果。

第二十三條 銀行保險機構(gòu)應(yīng)當定期開展操作風險管理相關(guān)培訓(xùn)。

第二十四條 銀行保險機構(gòu)應(yīng)當按照國家金融監(jiān)督管理總局的規(guī)定披露操作風險管理情況。

銀行機構(gòu)應(yīng)當按照國家金融監(jiān)督管理總局的要求披露損失數(shù)據(jù)等相關(guān)信息。

第四章 風險管理流程和方法

第二十五條 銀行保險機構(gòu)應(yīng)當根據(jù)操作風險偏好，識別內(nèi)外部固有風險，評估控制、緩釋措施的有效性，分析剩余風險發(fā)生的可能性和影響程度，劃定操作風險等級，確定接受、降低、轉(zhuǎn)移、規(guī)避等應(yīng)對策略，有效分配管理資源。

第二十六條 銀行保險機構(gòu)應(yīng)當結(jié)合風險識別、評估結(jié)果，實施控制、緩釋措施，將操作風險控制在風險偏好內(nèi)。

銀行保險機構(gòu)應(yīng)當根據(jù)風險等級，對業(yè)務(wù)、產(chǎn)品、流程以及相關(guān)管理活動的風險采取控制、緩釋措施，持續(xù)監(jiān)督執(zhí)行情況，建立良好的內(nèi)部控制環(huán)境。

銀行保險機構(gòu)通過購買保險、業(yè)務(wù)外包等措施緩釋操作風險的，應(yīng)當確保緩釋措施實質(zhì)有效。

第二十七條 銀行保險機構(gòu)應(yīng)當將加強內(nèi)部控制作為操作風險管理的有效手段。內(nèi)部控制措施至少包括：

(一)明確部門間職責分工，避免利益沖突;

(二)密切監(jiān)測風險偏好及其傳導(dǎo)機制的執(zhí)行情況;

(三)加強各類業(yè)務(wù)授權(quán)和信息系統(tǒng)權(quán)限管理;

(四)建立重要財產(chǎn)的記錄和保管、定期盤點、賬實核對等日常管理和定期檢查機制;

(五)加強不相容崗位管理，有效隔離重要業(yè)務(wù)部門和關(guān)鍵崗位，建立履職回避以及關(guān)鍵崗位輪崗、強制休假、離崗審計制度;

(六)加強員工行為管理，重點關(guān)注關(guān)鍵崗位員工行為;

(七)對交易和賬戶進行定期對賬;

(八)建立內(nèi)部員工揭發(fā)檢舉的獎勵和保護機制;

(九)配置適當?shù)膯T工并進行有效培訓(xùn);

(十)建立操作風險管理的激勵約束機制;

(十一)其他內(nèi)部控制措施。

第二十八條 銀行保險機構(gòu)應(yīng)當制定與其業(yè)務(wù)規(guī)模和復(fù)雜性相適應(yīng)的業(yè)務(wù)連續(xù)性計劃，有效應(yīng)對導(dǎo)致業(yè)務(wù)中斷的突發(fā)事件，最大限度減少業(yè)務(wù)中斷影響。

銀行保險機構(gòu)應(yīng)當定期開展業(yè)務(wù)連續(xù)性應(yīng)急預(yù)案演練評估，驗證應(yīng)急預(yù)案及備用資源的可用性，提高員工應(yīng)急意識及處置能力，測試關(guān)鍵服務(wù)供應(yīng)商的持續(xù)運營能力，確保業(yè)務(wù)連續(xù)性計劃滿足業(yè)務(wù)恢復(fù)目標，有效應(yīng)對內(nèi)外部威脅及風險。

第二十九條 銀行保險機構(gòu)應(yīng)當制定網(wǎng)絡(luò)安全管理制度，履行網(wǎng)絡(luò)安全保護義務(wù)，執(zhí)行網(wǎng)絡(luò)安全等級保護制度要求，采取必要的管理和技術(shù)措施，監(jiān)測、防御、處置網(wǎng)絡(luò)安全風險和威脅，有效應(yīng)對網(wǎng)絡(luò)安全事件，保障網(wǎng)絡(luò)安全、穩(wěn)定運行，防范網(wǎng)絡(luò)違法犯罪活動。

第三十條 銀行保險機構(gòu)應(yīng)當制定數(shù)據(jù)安全管理制度，對數(shù)據(jù)進行分類分級管理，采取保護措施，保護數(shù)據(jù)免遭篡改、破壞、泄露、丟失或者被非法獲取、非法利用，重點加強個人信息保護，規(guī)范數(shù)據(jù)處理活動，依法合理利用數(shù)據(jù)。

第三十一條 銀行保險機構(gòu)應(yīng)當制定與業(yè)務(wù)外包有關(guān)的風險管理制度，確保有嚴謹?shù)臉I(yè)務(wù)外包合同和服務(wù)協(xié)議，明確各方責任義務(wù)，加強對外包方的監(jiān)督管理。

第三十二條 銀行保險機構(gòu)應(yīng)當定期監(jiān)測操作風險狀況和重大損失情況，對風險持續(xù)擴大的情形建立預(yù)警機制，及時采取措施控制、緩釋風險。

第三十三條 銀行保險機構(gòu)應(yīng)當建立操作風險內(nèi)部定期報告機制。第一道防線應(yīng)當向上級對口管理部門和本級操作風險管理部門報告，各級操作風險管理部門匯總本級及所轄機構(gòu)的情況向上級操作風險管理部門報告。

銀行保險機構(gòu)應(yīng)當在每年四月底前按照監(jiān)管職責歸屬向國家金融監(jiān)督管理總局或其派出機構(gòu)報送前一年度操作風險管理情況。

第三十四條 銀行保險機構(gòu)應(yīng)當建立重大操作風險事件報告機制，及時向董事會、高級管理層、監(jiān)事(會)和其他內(nèi)部部門報告重大操作風險事件。

第三十五條 銀行保險機構(gòu)應(yīng)當運用操作風險損失數(shù)據(jù)庫、操作風險自評估、關(guān)鍵風險指標等基礎(chǔ)管理工具管理操作風險，可以選擇運用事件管理、控制監(jiān)測和保證框架、情景分析、基準比較分析等管理工具，或者開發(fā)其他管理工具。

銀行保險機構(gòu)應(yīng)當運用各項風險管理工具進行交叉校驗，定期重檢、優(yōu)化操作風險管理工具。

第三十六條 銀行保險機構(gòu)存在以下重大變更情形的，應(yīng)當強化操作風險的事前識別、評估等工作：

(一)開發(fā)新業(yè)務(wù)、新產(chǎn)品;

(二)新設(shè)境內(nèi)外分支機構(gòu)、附屬機構(gòu);

(三)拓展新業(yè)務(wù)范圍、形成新商業(yè)模式;

(四)業(yè)務(wù)流程、信息科技系統(tǒng)等發(fā)生重大變更;

(五)其他重大變更情形。

第三十七條 銀行保險機構(gòu)應(yīng)當建立操作風險壓力測試機制，定期開展操作風險壓力測試，在開展其他壓力測試過程中應(yīng)當充分考慮操作風險的影響，針對壓力測試中識別的潛在風險點和薄弱環(huán)節(jié)，及時采取應(yīng)對措施。

第三十八條 銀行機構(gòu)應(yīng)當按照國家金融監(jiān)督管理總局關(guān)于資本監(jiān)管的要求，對承擔的操作風險計提充足資本。

第五章 監(jiān)督管理

第三十九條 國家金融監(jiān)督管理總局及其派出機構(gòu)應(yīng)當將對銀行保險機構(gòu)操作風險的監(jiān)督管理納入集團和法人監(jiān)管體系，檢查評估操作風險管理體系的健全性和有效性。

國家金融監(jiān)督管理總局及其派出機構(gòu)加強與相關(guān)部門的監(jiān)管協(xié)作和信息共享，共同防范金融風險跨機構(gòu)、跨行業(yè)、跨區(qū)域傳染。

第四十條 國家金融監(jiān)督管理總局及其派出機構(gòu)通過監(jiān)管評級、風險提示、監(jiān)管通報、監(jiān)管會談、與外部審計師會談等非現(xiàn)場監(jiān)管和現(xiàn)場檢查方式，實施對操作風險管理的持續(xù)監(jiān)管。

國家金融監(jiān)督管理總局及其派出機構(gòu)認為必要時，可以要求銀行保險機構(gòu)提供第三方機構(gòu)就其操作風險管理出具的審計或者評價報告。

第四十一條 國家金融監(jiān)督管理總局及其派出機構(gòu)發(fā)現(xiàn)銀行保險機構(gòu)操作風險管理存在缺陷和問題時，應(yīng)當要求其及時整改，并上報整改落實情況。

國家金融監(jiān)督管理總局及其派出機構(gòu)依照職責通報重大操作風險事件和風險管理漏洞。

第四十二條 銀行保險機構(gòu)應(yīng)當在知悉或者應(yīng)當知悉以下重大操作風險事件5個工作日內(nèi)，按照監(jiān)管職責歸屬向國家金融監(jiān)督管理總局或其派出機構(gòu)報告：

(一)形成預(yù)計損失5000萬元(含)以上或者超過上年度末資本凈額5%(含)以上的事件。

(二)形成損失金額1000萬元(含)以上或者超過上年度末資本凈額1%(含)以上的事件。

(三)造成重要數(shù)據(jù)、重要賬冊、重要空白憑證、重要資料嚴重損毀、丟失或者泄露，已經(jīng)或者可能造成重大損失和嚴重影響的事件。

(四)重要信息系統(tǒng)出現(xiàn)故障、受到網(wǎng)絡(luò)攻擊，導(dǎo)致在同一省份的營業(yè)網(wǎng)點、電子渠道業(yè)務(wù)中斷3小時以上;或者在兩個及以上省份的營業(yè)網(wǎng)點、電子渠道業(yè)務(wù)中斷30分鐘以上。

(五)因網(wǎng)絡(luò)欺詐及其他信息安全事件，導(dǎo)致本機構(gòu)或客戶資金損失1000萬元以上，或者造成重大社會影響。

(六)董事、高級管理人員、監(jiān)事及分支機構(gòu)負責人被采取監(jiān)察調(diào)查措施、刑事強制措施或者承擔刑事法律責任的事件。

(七)嚴重侵犯公民個人信息安全和合法權(quán)益的事件。

(八)員工涉嫌發(fā)起、主導(dǎo)或者組織實施非法集資類違法犯罪被立案的事件。

(九)其他需要報告的重大操作風險事件。

對于第一款規(guī)定的重大操作風險事件，國家金融監(jiān)督管理總局在案件管理、突發(fā)事件管理等監(jiān)管規(guī)定中另有報告要求的，應(yīng)當按照有關(guān)要求報告，并在報告時注明該事件屬于重大操作風險事件。

國家金融監(jiān)督管理總局可以根據(jù)監(jiān)管工作需要，調(diào)整第一款規(guī)定的重大操作風險事件報告標準。

第四十三條 銀行保險機構(gòu)存在以下情形的，國家金融監(jiān)督管理總局及其派出機構(gòu)應(yīng)當責令改正，并視情形依法采取監(jiān)管措施：

(一)未按照規(guī)定制定或者執(zhí)行操作風險管理制度;

(二)未按照規(guī)定設(shè)置或者履行操作風險管理職責;

(三)未按照規(guī)定設(shè)置操作風險偏好及其傳導(dǎo)機制;

(四)未建立或者落實操作風險管理文化、考核評價機制、培訓(xùn);

(五)未建立操作風險管理流程、管理工具和信息系統(tǒng)，或者其設(shè)計、應(yīng)用存在缺陷;

(六)其他違反監(jiān)管規(guī)定的情形。

第四十四條 銀行保險機構(gòu)存在以下情形的，國家金融監(jiān)督管理總局及其派出機構(gòu)應(yīng)當責令改正，并依法實施行政處罰;法律、行政法規(guī)沒有規(guī)定的，由國家金融監(jiān)督管理總局及其派出機構(gòu)責令改正，予以警告、通報批評，或者處以二十萬元以下罰款;涉嫌犯罪的，應(yīng)當依法移送司法機關(guān)：

(一)嚴重違反本辦法相關(guān)規(guī)定，導(dǎo)致發(fā)生第四十二條規(guī)定的重大操作風險事件;

(二)未按照監(jiān)管要求整改;

(三)瞞報、漏報、故意遲報本辦法第四十二條規(guī)定的重大操作風險事件，情節(jié)嚴重的;

(四)其他嚴重違反監(jiān)管規(guī)定的情形。

第四十五條 中國銀行業(yè)協(xié)會、中國保險行業(yè)協(xié)會等行業(yè)協(xié)會應(yīng)當通過組織宣傳、培訓(xùn)、自律、協(xié)調(diào)、服務(wù)等方式，協(xié)助引導(dǎo)會員單位提高操作風險管理水平。

鼓勵行業(yè)協(xié)會、學術(shù)機構(gòu)、中介機構(gòu)等建立相關(guān)領(lǐng)域的操作風險事件和損失數(shù)據(jù)庫。

第六章 附 則

第四十六條 本辦法所稱銀行保險機構(gòu)，是指在中華人民共和國境內(nèi)依法設(shè)立的商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構(gòu)以及開發(fā)性金融機構(gòu)、政策性銀行、保險公司。

中華人民共和國境內(nèi)設(shè)立的外國銀行分行、保險集團(控股)公司、再保險公司、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、信托公司、金融租賃公司、財務(wù)公司、消費金融公司、汽車金融公司、貨幣經(jīng)紀公司、理財公司、保險資產(chǎn)管理公司、金融控股公司以及國家金融監(jiān)督管理總局及其派出機構(gòu)監(jiān)管的其他機構(gòu)參照本辦法執(zhí)行。

第四十七條 本辦法所稱的規(guī)模較大的銀行保險機構(gòu)，是指按照并表調(diào)整后表內(nèi)外資產(chǎn)(杠桿率分母)達到3000億元人民幣(含等值外幣)及以上的銀行機構(gòu)，以及按照并表口徑(境內(nèi)外)表內(nèi)總資產(chǎn)達到2000億元人民幣(含等值外幣)及以上的保險機構(gòu)。

規(guī)模較小的銀行保險機構(gòu)是指未達到上述標準的機構(gòu)。

第四十八條 未設(shè)董事會的銀行保險機構(gòu)，應(yīng)當由其經(jīng)營決策機構(gòu)履行本辦法規(guī)定的董事會職責。

第四十九條 本辦法第四條、第七條、第十條、第十二條、第十八條、第二十條關(guān)于計量的規(guī)定不適用于保險機構(gòu)。

本辦法第二十五條相關(guān)規(guī)定如與保險公司償付能力監(jiān)管規(guī)則不一致的，按照保險公司償付能力監(jiān)管規(guī)則執(zhí)行。

第五十條 關(guān)于本辦法第二章、第三章、第四章的規(guī)定，規(guī)模較大的保險機構(gòu)自本辦法施行之日起1年內(nèi)執(zhí)行;規(guī)模較小的銀行保險機構(gòu)自本辦法施行之日起2年內(nèi)執(zhí)行。

第五十一條 本辦法由國家金融監(jiān)督管理總局負責解釋修訂，自2024年7月1日起施行。

第五十二條 《商業(yè)銀行操作風險管理指引》(銀監(jiān)發(fā)〔2007〕42號)、《中國銀行業(yè)監(jiān)督管理委員會關(guān)于加大防范操作風險工作力度的通知》(銀監(jiān)發(fā)〔2005〕17號)自本辦法施行之日起廢止。

附錄：名詞解釋及示例

附錄

名詞解釋及示例

一、操作風險事件

操作風險事件是指由操作風險引發(fā)，導(dǎo)致銀行保險機構(gòu)發(fā)生實際或者預(yù)計損失的事件。銀行保險機構(gòu)分別依據(jù)商業(yè)銀行資本監(jiān)管規(guī)則和保險公司償付能力監(jiān)管規(guī)則進行損失事件分類。

二、法律風險

法律風險包括但不限于下列風險：

1.簽訂的合同因違反法律或者行政法規(guī)可能被依法撤銷或者確認無效;

2.因違約、侵權(quán)或者其他事由被提起訴訟或者申請仲裁，依法可能承擔賠償責任;

3.業(yè)務(wù)、管理活動違反法律、法規(guī)或者監(jiān)管規(guī)定，依法可能承擔刑事責任或者行政責任。

三、運營韌性

運營韌性是在發(fā)生重大風險和外部事件時，銀行保險機構(gòu)具備的持續(xù)提供關(guān)鍵業(yè)務(wù)和服務(wù)的能力。例如，在發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊、大規(guī)模傳染病、自然災(zāi)害等事件時，銀行保險機構(gòu)通過運營韌性管理機制，能夠持續(xù)向客戶提供存取款、轉(zhuǎn)賬、理賠等關(guān)鍵服務(wù)。

四、操作風險管理報告

第七條、第九條、第十二條規(guī)定的操作風險管理報告以及第三十三條規(guī)定的操作風險管理情況可以是專項報告，也可以是包括操作風險管理內(nèi)容的全面風險報告等綜合性報告。

五、操作風險類監(jiān)測指標

第十九條規(guī)定的操作風險類監(jiān)測指標可以包括案件風險率和操作風險損失率。國家金融監(jiān)督管理總局及其派出機構(gòu)可以視情形決定，是否確定對特定機構(gòu)的操作風險類監(jiān)測指標。

(一)指標計算公式

案件風險率=業(yè)內(nèi)案件涉案金額/年初總資產(chǎn)和年末總資產(chǎn)的平均數(shù)×100%。國家金融監(jiān)督管理總局對于稽查檢查和案件管理制度另有規(guī)定的，則從其規(guī)定。

操作風險損失率=操作風險損失事件的損失金額總和/近三年平均營業(yè)收入×100%

(二)案件風險率

案件風險率應(yīng)當保持在監(jiān)測目標值的合理區(qū)間。監(jiān)測目標值公式為：

St=Ss+ε

St為案件風險率監(jiān)測目標值;Ss為案件風險率基準值，由監(jiān)管部門根據(jù)同類型機構(gòu)一定期間的案件風險率、特定機構(gòu)一定期間的案件風險率，并具體選取時間范圍、賦值適當權(quán)重后確定。ε為案件風險率調(diào)值，由監(jiān)管部門裁量確定，主要影響因素包括公司治理和激勵約束機制、反洗錢監(jiān)管情況、風險事件演變情況、內(nèi)部管理和控制情況、境外機構(gòu)合規(guī)風險事件情況等。

(三)操作風險損失率

操作風險損失率應(yīng)當保持在監(jiān)測目標值的合理區(qū)間。監(jiān)測目標值公式為：

Lt=Ls+ε

Lt為操作風險損失率監(jiān)測目標值;Ls為操作風險損失率基準值，監(jiān)管部門根據(jù)同類型機構(gòu)一定期間的操作風險損失率、特定機構(gòu)一定期間的實際操作風險損失率，并具體選取時間范圍、賦值適當權(quán)重后確定。ε為操作風險損失率調(diào)整值，由監(jiān)管部門裁量確定，主要影響因素包括操作風險內(nèi)部管理和控制情況、操作風險損失事件數(shù)據(jù)管理情況、相關(guān)事件數(shù)量和金額變化情況、經(jīng)濟金融周期因素等。

六、風險偏好傳導(dǎo)機制

第十九條規(guī)定的風險偏好傳導(dǎo)機制，是指銀行保險機構(gòu)根據(jù)風險偏好設(shè)定容忍度或者風險限額等，并對境內(nèi)外附屬機構(gòu)、分支機構(gòu)或者業(yè)務(wù)條線等提出相應(yīng)要求，如對全行(公司)、各附屬機構(gòu)、各分行(分公司)、各業(yè)務(wù)條線設(shè)定操作風險損失率、操作風險事件數(shù)量、信息系統(tǒng)服務(wù)可用率等指標或者目標值，并進行持續(xù)監(jiān)測、預(yù)警和糾偏。其中，信息系統(tǒng)服務(wù)可用率=(信息系統(tǒng)計劃服務(wù)時間-非預(yù)期停止服務(wù)時間)/計劃服務(wù)時間×100%。

七、考核評價指標

第二十二條規(guī)定的考核評價指標，應(yīng)當兼顧操作風險管理過程和結(jié)果，設(shè)置過程類指標和結(jié)果類指標。例如，操作風險損失率屬于結(jié)果類指標，可根據(jù)損失率的高低進行評分。操作風險事件報告評分屬于過程類指標，可根據(jù)事件是否遲報瞞報、填報信息是否規(guī)范、重大事件是否按照要求單獨分析等進行評分。

八、固有風險、剩余風險

第二十五條規(guī)定的固有風險是指在沒有考慮控制、緩釋措施或者在其付諸實施之前就已經(jīng)存在的風險。剩余風險是指現(xiàn)有的風險控制、緩釋措施不能消除的風險。

本條所指固有風險與保險公司償付能力監(jiān)管規(guī)則不一致，償付能力監(jiān)管規(guī)則中的固有風險是指在現(xiàn)有正常保險行業(yè)物質(zhì)技術(shù)條件和生產(chǎn)組織方式下，保險公司在經(jīng)營和管理活動中必然存在的、客觀的償付能力相關(guān)風險。

九、操作風險等級

第二十五條規(guī)定的操作風險等級由銀行保險機構(gòu)自行劃分。例如，通常可劃分為三個等級：發(fā)生可能性(頻率)低、影響(損失)程度低的，風險等級為低;發(fā)生可能性(頻率)高、影響(損失)程度低的，風險等級為中;發(fā)生可能性(頻率)低、影響(損失)程度高或者發(fā)生可能性(頻率)高、影響(損失)程度高的，風險等級為高。

十、緩釋操作風險

第二十六條規(guī)定的購買保險是指，銀行保險機構(gòu)通過購買保險，在自然災(zāi)害或者意外事故導(dǎo)致形成實物資產(chǎn)損失時，獲得保險賠付，收回部分或者全部損失，有效緩釋風險。其中，保險公司向本機構(gòu)和關(guān)聯(lián)機構(gòu)購買保險不屬于有效緩釋風險。

十一、操作風險損失數(shù)據(jù)庫、操作風險自評估、關(guān)鍵風險指標

第三十五條規(guī)定的操作風險損失數(shù)據(jù)庫、操作風險自評估、關(guān)鍵風險指標是銀行保險機構(gòu)用于管理操作風險的基礎(chǔ)工具。

(一)操作風險損失數(shù)據(jù)庫

操作風險損失數(shù)據(jù)庫(保險公司償付能力監(jiān)管規(guī)則稱為操作風險損失事件庫)是指按統(tǒng)一的操作風險分類標準，收集匯總相應(yīng)操作風險事件信息。操作風險損失數(shù)據(jù)庫應(yīng)當結(jié)合管理需要，收集一定金額以上的操作風險事件信息，收集范圍應(yīng)當至少包括內(nèi)部損失事件，必要時可收集幾近損失事件和外部損失事件。

內(nèi)部損失事件是指，形成實際或者預(yù)計財務(wù)損失的操作風險事件，包括通過保險及其他手段收回部分或者全部損失的操作風險事件，以及與信用風險、市場風險等其他風險相關(guān)的操作風險事件。

幾近損失事件是指，事件已發(fā)生，但未造成實際或者預(yù)計的財務(wù)損失。例如，銀行保險機構(gòu)因過錯造成客戶損失，有可能被索賠，但因及時采取補救措施彌補了客戶損失，客戶諒解并未進行索賠。

外部損失事件是指，業(yè)內(nèi)其他金融機構(gòu)出現(xiàn)的大額監(jiān)管處罰、案件等操作風險事件。

(二)操作風險自評估

操作風險自評估是指，識別業(yè)務(wù)、產(chǎn)品及管理活動中的固有操作風險，分析控制措施有效性，確定剩余操作風險，確定操作風險等級。

(三)關(guān)鍵風險指標

關(guān)鍵風險指標是指，依據(jù)操作風險識別、評估結(jié)果，設(shè)定相應(yīng)指標，全面反映機構(gòu)的操作風險敞口、控制措施有效性及風險變化趨勢等情況，并應(yīng)當具有一定前瞻性。例如，從人員、系統(tǒng)、外部事件等維度制定業(yè)內(nèi)案件數(shù)量、業(yè)外案件涉案金額等作為關(guān)鍵風險指標并設(shè)定閾值。

十二、事件管理、控制監(jiān)測和保證框架、情景分析、基準比較分析

第三十五條規(guī)定的可以選擇運用的操作風險管理工具，包括：

(一)事件管理

事件管理是指，對新發(fā)生的、對管理有較大影響的操作風險事件進行分析，識別風險成因、評估控制缺陷，并制定控制優(yōu)化方案，防止類似事件再次發(fā)生。例如，發(fā)生操作風險事件后，要求第一道防線開展事件調(diào)查分析，查清業(yè)務(wù)或者管理存在的問題并進行整改。

(二)控制監(jiān)測和保證框架

控制監(jiān)測和保證框架是指，對操作風險自評估等工具識別的關(guān)鍵控制措施進行持續(xù)分析、動態(tài)優(yōu)化，確保關(guān)鍵控制措施的有效性。例如，利用控制監(jiān)測和保證框架對關(guān)鍵控制措施進行評估、重檢、持續(xù)監(jiān)測和驗證。

(三)情景分析

情景分析是指對假設(shè)情景進行識別、分析和計量。情景可以包括發(fā)生可能性(頻率)低、影響程度(損失)高的事件。

情景分析的基本假設(shè)可以引用操作風險損失數(shù)據(jù)庫、操作風險自評估、關(guān)鍵風險指標、控制監(jiān)測和保證框架等工具獲取的數(shù)據(jù)信息。運用情景分析可發(fā)現(xiàn)潛在風險事件的影響和風險管理的效果，并可對其他風險工具進行完善。

情景分析可以與恢復(fù)與處置計劃結(jié)合，用于測試運營韌性。例如，假設(shè)銀行保險機構(gòu)發(fā)生數(shù)據(jù)中心無法運行也無法恢復(fù)、必須由異地災(zāi)備中心接替的情景，具體運用專家判斷評估可能造成的損失和影響，制定業(yè)務(wù)恢復(fù)的優(yōu)先順序和恢復(fù)時間等目標，分析需要配置的資源保障。

(四)基準比較分析

基準比較分析，一方面是指將內(nèi)外部監(jiān)督檢查結(jié)果、同業(yè)操作風險狀況與本機構(gòu)的操作風險識別、評估結(jié)果進行比對，對于偏離度較大的，需重啟操作風險識別、評估工作。另一方面是指操作風險管理工具之間互相驗證，例如，將操作風險損失數(shù)據(jù)與操作風險自評估結(jié)果進行比較,確定管理工具是否有效運行。