(2023年12月27日国家金融监督管理总局令2023年第5号公布自2024年7月1日起施行)
第一章 总 则
第一条 为提高银行保险机构操作风险管理水平,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规,制定本办法。
第二条 本办法所称操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。
第三条 操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。
第四条 操作风险管理应当遵循以下基本原则:
(一)审慎性原则。操作风险管理应当坚持风险为本的理念,充分重视风险苗头和潜在隐患,有效识别影响风险管理的不利因素,配置充足资源,及时采取措施,提升前瞻性。
(二)全面性原则。操作风险管理应当覆盖各业务条线、各分支机构,覆盖所有部门、岗位、员工和产品,贯穿决策、执行和监督全部过程,充分考量其他内外部风险的相关性和传染性。
(三)匹配性原则。操作风险管理应当体现多层次、差异化的要求,管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应,并根据情况变化及时调整。
(四)有效性原则。机构应当以风险偏好为导向,有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险,将操作风险控制在可承受范围之内。
第五条 规模较大的银行保险机构应当基于良好的治理架构,加强操作风险管理,做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接,提升运营韧性,具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。
第六条 国家金融监督管理总局及其派出机构依法对银行保险机构操作风险管理实施监管。
第二章 风险治理和管理责任
第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括:
(一)审批操作风险管理基本制度,确保与战略目标一致;
(二)审批操作风险偏好及其传导机制,将操作风险控制在可承受范围之内;
(三)审批高级管理层有关操作风险管理职责、权限、报告等机制,确保操作风险管理体系的有效性;
(四)每年至少审议一次高级管理层提交的操作风险管理报告,充分了解、评估操作风险管理总体情况以及高级管理层工作;
(五)确保高级管理层建立必要的识别、评估、计量、控制、缓释、监测、报告操作风险的机制;
(六)确保操作风险管理体系接受内部审计部门的有效审查与监督;
(七)审批操作风险信息披露相关制度;
(八)确保建立与操作风险管理要求匹配的风险文化;
(九)其他相关职责。
第八条 设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。
第九条 银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括:
(一)制定操作风险管理基本制度和管理办法;
(二)明确界定各部门、各级机构的操作风险管理职责和报告要求,督促各部门、各级机构履行操作风险管理职责,确保操作风险管理体系正常运行;
(三)设置操作风险偏好及其传导机制,督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查,及时处理突破风险偏好以及其他违反操作风险管理要求的情况;
(四)全面掌握操作风险管理总体状况,特别是重大操作风险事件;
(五)每年至少向董事会提交一次操作风险管理报告,并报送监事(会);
(六)为操作风险管理配备充足财务、人力和信息科技系统等资源;
(七)完善操作风险管理体系,有效应对操作风险事件;
(八)制定操作风险管理考核评价与奖惩机制;
(九)其他相关职责。
第十条 银行保险机构应当建立操作风险管理的三道防线,三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。
第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括各级负责操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线包括各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。
第十一条 第一道防线部门主要职责包括:
(一)指定专人负责操作风险管理工作,投入充足资源;
(二)按照风险管理评估方法,识别、评估自身操作风险;
(三)建立控制、缓释措施,定期评估措施的有效性;
(四)持续监测风险,确保符合操作风险偏好;
(五)定期报送操作风险管理报告,及时报告重大操作风险事件;
(六)制定业务流程和制度时充分体现操作风险管理和内部控制的要求;
(七)其他相关职责。
第十二条 第二道防线部门应当保持独立性,持续提升操作风险管理的一致性和有效性。主要职责包括:
(一)在一级分行(省级分公司)及以上设立操作风险管理专岗或指定专人,为其配备充足的资源;
(二)跟踪操作风险管理监管政策规定并组织落实;
(三)拟定操作风险管理基本制度、管理办法,制定操作风险识别、评估、计量、监测、报告的方法和具体规定;
(四)指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险,并定期开展监督;
(五)每年至少向高级管理层提交一次操作风险管理报告;
(六)负责操作风险资本计量;
(七)开展操作风险管理培训;
(八)其他相关职责。
国家金融监督管理总局或其派出机构按照监管职责归属,可以豁免规模较小的银行保险机构在一级分行(省级分公司)设立操作风险管理专岗或专人的要求。
第十三条 法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时,应当在职责范围内为其他部门操作风险管理提供充足资源和支持。
第十四条 内部审计部门应当至少每三年开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,审计评价操作风险管理体系运行情况,并向董事会报告。
内部审计部门在开展其他审计项目时,应当充分关注操作风险管理情况。
第十五条 规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价,并向国家金融监督管理总局或其派出机构报送外部审计报告。
第十六条 银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任,并履行以下职责:
(一)为本级、本条线操作风险管理部门配备充足资源;
(二)严格执行操作风险管理制度、风险偏好以及管理流程等要求;
(三)按照内外部审计结果和监管要求改进操作风险管理;
(四)其他相关职责。
境外分支机构除满足前款要求外,还应当符合所在地监管要求。
第十七条 银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其业务范围、风险特征、经营规模及监管要求相适应的操作风险管理体系,建立健全三道防线,制定操作风险管理制度。
境外附属机构除满足前款要求外,还应当符合所在地监管要求。
第三章 风险管理基本要求
第十八条 操作风险管理基本制度应当与机构业务性质、规模、复杂程度和风险特征相适应,至少包括以下内容:
(一)操作风险定义;
(二)操作风险管理组织架构、权限和责任;
(三)操作风险识别、评估、计量、监测、控制、缓释程序;
(四)操作风险报告机制,包括报告主体、责任、路径、频率、时限等。
银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送国家金融监督管理总局或其派出机构。
第十九条 银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。
银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警。
第二十条 银行保险机构应当建立具备操作风险管理功能的管理信息系统,主要功能包括:
(一)记录和存储损失相关数据和操作风险事件信息;
(二)支持操作风险和控制措施的自评估;
(三)支持关键风险指标监测;
(四)支持操作风险资本计量;
(五)提供操作风险报告相关内容。
第二十一条 银行保险机构应当培育良好的操作风险管理文化,明确员工行为规范和职业道德要求。
第二十二条 银行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当反映考核评价结果。
第二十三条 银行保险机构应当定期开展操作风险管理相关培训。
第二十四条 银行保险机构应当按照国家金融监督管理总局的规定披露操作风险管理情况。
银行机构应当按照国家金融监督管理总局的要求披露损失数据等相关信息。
第四章 风险管理流程和方法
第二十五条 银行保险机构应当根据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效性,分析剩余风险发生的可能性和影响程度,划定操作风险等级,确定接受、降低、转移、规避等应对策略,有效分配管理资源。
第二十六条 银行保险机构应当结合风险识别、评估结果,实施控制、缓释措施,将操作风险控制在风险偏好内。
银行保险机构应当根据风险等级,对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施,持续监督执行情况,建立良好的内部控制环境。
银行保险机构通过购买保险、业务外包等措施缓释操作风险的,应当确保缓释措施实质有效。
第二十七条 银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括:
(一)明确部门间职责分工,避免利益冲突;
(二)密切监测风险偏好及其传导机制的执行情况;
(三)加强各类业务授权和信息系统权限管理;
(四)建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制;
(五)加强不相容岗位管理,有效隔离重要业务部门和关键岗位,建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度;
(六)加强员工行为管理,重点关注关键岗位员工行为;
(七)对交易和账户进行定期对账;
(八)建立内部员工揭发检举的奖励和保护机制;
(九)配置适当的员工并进行有效培训;
(十)建立操作风险管理的激励约束机制;
(十一)其他内部控制措施。
第二十八条 银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划,有效应对导致业务中断的突发事件,最大限度减少业务中断影响。
银行保险机构应当定期开展业务连续性应急预案演练评估,验证应急预案及备用资源的可用性,提高员工应急意识及处置能力,测试关键服务供应商的持续运营能力,确保业务连续性计划满足业务恢复目标,有效应对内外部威胁及风险。
第二十九条 银行保险机构应当制定网络安全管理制度,履行网络安全保护义务,执行网络安全等级保护制度要求,采取必要的管理和技术措施,监测、防御、处置网络安全风险和威胁,有效应对网络安全事件,保障网络安全、稳定运行,防范网络违法犯罪活动。
第三十条 银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,采取保护措施,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人信息保护,规范数据处理活动,依法合理利用数据。
第三十一条 银行保险机构应当制定与业务外包有关的风险管理制度,确保有严谨的业务外包合同和服务协议,明确各方责任义务,加强对外包方的监督管理。
第三十二条 银行保险机构应当定期监测操作风险状况和重大损失情况,对风险持续扩大的情形建立预警机制,及时采取措施控制、缓释风险。
第三十三条 银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。
银行保险机构应当在每年四月底前按照监管职责归属向国家金融监督管理总局或其派出机构报送前一年度操作风险管理情况。
第三十四条 银行保险机构应当建立重大操作风险事件报告机制,及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。
第三十五条 银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,或者开发其他管理工具。
银行保险机构应当运用各项风险管理工具进行交叉校验,定期重检、优化操作风险管理工具。
第三十六条 银行保险机构存在以下重大变更情形的,应当强化操作风险的事前识别、评估等工作:
(一)开发新业务、新产品;
(二)新设境内外分支机构、附属机构;
(三)拓展新业务范围、形成新商业模式;
(四)业务流程、信息科技系统等发生重大变更;
(五)其他重大变更情形。
第三十七条 银行保险机构应当建立操作风险压力测试机制,定期开展操作风险压力测试,在开展其他压力测试过程中应当充分考虑操作风险的影响,针对压力测试中识别的潜在风险点和薄弱环节,及时采取应对措施。
第三十八条 银行机构应当按照国家金融监督管理总局关于资本监管的要求,对承担的操作风险计提充足资本。
第五章 监督管理
第三十九条 国家金融监督管理总局及其派出机构应当将对银行保险机构操作风险的监督管理纳入集团和法人监管体系,检查评估操作风险管理体系的健全性和有效性。
国家金融监督管理总局及其派出机构加强与相关部门的监管协作和信息共享,共同防范金融风险跨机构、跨行业、跨区域传染。
第四十条 国家金融监督管理总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式,实施对操作风险管理的持续监管。
国家金融监督管理总局及其派出机构认为必要时,可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。
第四十一条 国家金融监督管理总局及其派出机构发现银行保险机构操作风险管理存在缺陷和问题时,应当要求其及时整改,并上报整改落实情况。
国家金融监督管理总局及其派出机构依照职责通报重大操作风险事件和风险管理漏洞。
第四十二条 银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内,按照监管职责归属向国家金融监督管理总局或其派出机构报告:
(一)形成预计损失5000万元(含)以上或者超过上年度末资本净额5%(含)以上的事件。
(二)形成损失金额1000万元(含)以上或者超过上年度末资本净额1%(含)以上的事件。
(三)造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露,已经或者可能造成重大损失和严重影响的事件。
(四)重要信息系统出现故障、受到网络攻击,导致在同一省份的营业网点、电子渠道业务中断3小时以上;或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上。
(五)因网络欺诈及其他信息安全事件,导致本机构或客户资金损失1000万元以上,或者造成重大社会影响。
(六)董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件。
(七)严重侵犯公民个人信息安全和合法权益的事件。
(八)员工涉嫌发起、主导或者组织实施非法集资类违法犯罪被立案的事件。
(九)其他需要报告的重大操作风险事件。
对于第一款规定的重大操作风险事件,国家金融监督管理总局在案件管理、突发事件管理等监管规定中另有报告要求的,应当按照有关要求报告,并在报告时注明该事件属于重大操作风险事件。
国家金融监督管理总局可以根据监管工作需要,调整第一款规定的重大操作风险事件报告标准。
第四十三条 银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并视情形依法采取监管措施:
(一)未按照规定制定或者执行操作风险管理制度;
(二)未按照规定设置或者履行操作风险管理职责;
(三)未按照规定设置操作风险偏好及其传导机制;
(四)未建立或者落实操作风险管理文化、考核评价机制、培训;
(五)未建立操作风险管理流程、管理工具和信息系统,或者其设计、应用存在缺陷;
(六)其他违反监管规定的情形。
第四十四条 银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并依法实施行政处罚;法律、行政法规没有规定的,由国家金融监督管理总局及其派出机构责令改正,予以警告、通报批评,或者处以二十万元以下罚款;涉嫌犯罪的,应当依法移送司法机关:
(一)严重违反本办法相关规定,导致发生第四十二条规定的重大操作风险事件;
(二)未按照监管要求整改;
(三)瞒报、漏报、故意迟报本办法第四十二条规定的重大操作风险事件,情节严重的;
(四)其他严重违反监管规定的情形。
第四十五条 中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式,协助引导会员单位提高操作风险管理水平。
鼓励行业协会、学术机构、中介机构等建立相关领域的操作风险事件和损失数据库。
第六章 附 则
第四十六条 本办法所称银行保险机构,是指在中华人民共和国境内依法设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司。
中华人民共和国境内设立的外国银行分行、保险集团(控股)公司、再保险公司、金融资产管理公司、金融资产投资公司、信托公司、金融租赁公司、财务公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、保险资产管理公司、金融控股公司以及国家金融监督管理总局及其派出机构监管的其他机构参照本办法执行。
第四十七条 本办法所称的规模较大的银行保险机构,是指按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的银行机构,以及按照并表口径(境内外)表内总资产达到2000亿元人民币(含等值外币)及以上的保险机构。
规模较小的银行保险机构是指未达到上述标准的机构。
第四十八条 未设董事会的银行保险机构,应当由其经营决策机构履行本办法规定的董事会职责。
第四十九条 本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。
本办法第二十五条相关规定如与保险公司偿付能力监管规则不一致的,按照保险公司偿付能力监管规则执行。
第五十条 关于本办法第二章、第三章、第四章的规定,规模较大的保险机构自本办法施行之日起1年内执行;规模较小的银行保险机构自本办法施行之日起2年内执行。
第五十一条 本办法由国家金融监督管理总局负责解释修订,自2024年7月1日起施行。
第五十二条 《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)自本办法施行之日起废止。
附录:名词解释及示例
运营韧性是在发生重大风险和外部事件时,银行保险机构具备的持续提供关键业务和服务的能力。例如,在发生大规模网络攻击、大规模传染病、自然灾害等事件时,银行保险机构通过运营韧性管理机制,能够持续向客户提供存取款、转账、理赔等关键服务。
St为案件风险率监测目标值;Ss为案件风险率基准值,由监管部门根据同类型机构一定期间的案件风险率、特定机构一定期间的案件风险率,并具体选取时间范围、赋值适当权重后确定。ε为案件风险率调值,由监管部门裁量确定,主要影响因素包括公司治理和激励约束机制、反洗钱监管情况、风险事件演变情况、内部管理和控制情况、境外机构合规风险事件情况等。
Lt为操作风险损失率监测目标值;Ls为操作风险损失率基准值,监管部门根据同类型机构一定期间的操作风险损失率、特定机构一定期间的实际操作风险损失率,并具体选取时间范围、赋值适当权重后确定。ε为操作风险损失率调整值,由监管部门裁量确定,主要影响因素包括操作风险内部管理和控制情况、操作风险损失事件数据管理情况、相关事件数量和金额变化情况、经济金融周期因素等。
第十九条规定的风险偏好传导机制,是指银行保险机构根据风险偏好设定容忍度或者风险限额等,并对境内外附属机构、分支机构或者业务条线等提出相应要求,如对全行(公司)、各附属机构、各分行(分公司)、各业务条线设定操作风险损失率、操作风险事件数量、信息系统服务可用率等指标或者目标值,并进行持续监测、预警和纠偏。其中,信息系统服务可用率=(信息系统计划服务时间-非预期停止服务时间)/计划服务时间×100%。
第二十二条规定的考核评价指标,应当兼顾操作风险管理过程和结果,设置过程类指标和结果类指标。例如,操作风险损失率属于结果类指标,可根据损失率的高低进行评分。操作风险事件报告评分属于过程类指标,可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否按照要求单独分析等进行评分。
本条所指固有风险与保险公司偿付能力监管规则不一致,偿付能力监管规则中的固有风险是指在现有正常保险行业物质技术条件和生产组织方式下,保险公司在经营和管理活动中必然存在的、客观的偿付能力相关风险。
第二十五条规定的操作风险等级由银行保险机构自行划分。例如,通常可划分为三个等级:发生可能性(频率)低、影响(损失)程度低的,风险等级为低;发生可能性(频率)高、影响(损失)程度低的,风险等级为中;发生可能性(频率)低、影响(损失)程度高或者发生可能性(频率)高、影响(损失)程度高的,风险等级为高。
第二十六条规定的购买保险是指,银行保险机构通过购买保险,在自然灾害或者意外事故导致形成实物资产损失时,获得保险赔付,收回部分或者全部损失,有效缓释风险。其中,保险公司向本机构和关联机构购买保险不属于有效缓释风险。
操作风险损失数据库(保险公司偿付能力监管规则称为操作风险损失事件库)是指按统一的操作风险分类标准,收集汇总相应操作风险事件信息。操作风险损失数据库应当结合管理需要,收集一定金额以上的操作风险事件信息,收集范围应当至少包括内部损失事件,必要时可收集几近损失事件和外部损失事件。
内部损失事件是指,形成实际或者预计财务损失的操作风险事件,包括通过保险及其他手段收回部分或者全部损失的操作风险事件,以及与信用风险、市场风险等其他风险相关的操作风险事件。
几近损失事件是指,事件已发生,但未造成实际或者预计的财务损失。例如,银行保险机构因过错造成客户损失,有可能被索赔,但因及时采取补救措施弥补了客户损失,客户谅解并未进行索赔。
关键风险指标是指,依据操作风险识别、评估结果,设定相应指标,全面反映机构的操作风险敞口、控制措施有效性及风险变化趋势等情况,并应当具有一定前瞻性。例如,从人员、系统、外部事件等维度制定业内案件数量、业外案件涉案金额等作为关键风险指标并设定阈值。
事件管理是指,对新发生的、对管理有较大影响的操作风险事件进行分析,识别风险成因、评估控制缺陷,并制定控制优化方案,防止类似事件再次发生。例如,发生操作风险事件后,要求第一道防线开展事件调查分析,查清业务或者管理存在的问题并进行整改。
控制监测和保证框架是指,对操作风险自评估等工具识别的关键控制措施进行持续分析、动态优化,确保关键控制措施的有效性。例如,利用控制监测和保证框架对关键控制措施进行评估、重检、持续监测和验证。
情景分析的基本假设可以引用操作风险损失数据库、操作风险自评估、关键风险指标、控制监测和保证框架等工具获取的数据信息。运用情景分析可发现潜在风险事件的影响和风险管理的效果,并可对其他风险工具进行完善。
情景分析可以与恢复与处置计划结合,用于测试运营韧性。例如,假设银行保险机构发生数据中心无法运行也无法恢复、必须由异地灾备中心接替的情景,具体运用专家判断评估可能造成的损失和影响,制定业务恢复的优先顺序和恢复时间等目标,分析需要配置的资源保障。
基准比较分析,一方面是指将内外部监督检查结果、同业操作风险状况与本机构的操作风险识别、评估结果进行比对,对于偏离度较大的,需重启操作风险识别、评估工作。另一方面是指操作风险管理工具之间互相验证,例如,将操作风险损失数据与操作风险自评估结果进行比较,确定管理工具是否有效运行。