(2023年12月27日国家金融监督管理总局令2023年第5号公布 自2024年7月1日起施行) 第一章 总 则 第三条 操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。 (二)全面性原则。操作风险管理应当覆盖各业务条线、各分支机构,覆盖所有部门、岗位、员工和产品,贯穿决策、执行和监督全部过程,充分考量其他内外部风险的相关性和传染性。 (三)匹配性原则。操作风险管理应当体现多层次、差异化的要求,管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应,并根据情况变化及时调整。 (四)有效性原则。机构应当以风险偏好为导向,有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险,将操作风险控制在可承受范围之内。 第五条 规模较大的银行保险机构应当基于良好的治理架构,加强操作风险管理,做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接,提升运营韧性,具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。 第六条 国家金融监督管理总局及其派出机构依法对银行保险机构操作风险管理实施监管。 第二章 风险治理和管理责任 第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括: 第八条 设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。 第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。 第二道防线包括各级负责操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。 第三道防线包括各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。 第十一条 第一道防线部门主要职责包括: 第十四条 内部审计部门应当至少每三年开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,审计评价操作风险管理体系运行情况,并向董事会报告。 内部审计部门在开展其他审计项目时,应当充分关注操作风险管理情况。 第十五条 规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价,并向国家金融监督管理总局或其派出机构报送外部审计报告。 境外分支机构除满足前款要求外,还应当符合所在地监管要求。 第十七条 银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其业务范围、风险特征、经营规模及监管要求相适应的操作风险管理体系,建立健全三道防线,制定操作风险管理制度。 境外附属机构除满足前款要求外,还应当符合所在地监管要求。 第三章 风险管理基本要求 第十八条 操作风险管理基本制度应当与机构业务性质、规模、复杂程度和风险特征相适应,至少包括以下内容: 银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送国家金融监督管理总局或其派出机构。 银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警。 第二十条 银行保险机构应当建立具备操作风险管理功能的管理信息系统,主要功能包括: 第二十一条 银行保险机构应当培育良好的操作风险管理文化,明确员工行为规范和职业道德要求。 第二十二条 银行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当反映考核评价结果。 第二十三条 银行保险机构应当定期开展操作风险管理相关培训。 第二十四条 银行保险机构应当按照国家金融监督管理总局的规定披露操作风险管理情况。 银行机构应当按照国家金融监督管理总局的要求披露损失数据等相关信息。 第四章 风险管理流程和方法 银行保险机构应当根据风险等级,对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施,持续监督执行情况,建立良好的内部控制环境。 银行保险机构通过购买保险、业务外包等措施缓释操作风险的,应当确保缓释措施实质有效。 第二十七条 银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括: 第二十八条 银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划,有效应对导致业务中断的突发事件,最大限度减少业务中断影响。 银行保险机构应当定期开展业务连续性应急预案演练评估,验证应急预案及备用资源的可用性,提高员工应急意识及处置能力,测试关键服务供应商的持续运营能力,确保业务连续性计划满足业务恢复目标,有效应对内外部威胁及风险。 第二十九条 银行保险机构应当制定网络安全管理制度,履行网络安全保护义务,执行网络安全等级保护制度要求,采取必要的管理和技术措施,监测、防御、处置网络安全风险和威胁,有效应对网络安全事件,保障网络安全、稳定运行,防范网络违法犯罪活动。 第三十条 银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,采取保护措施,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人信息保护,规范数据处理活动,依法合理利用数据。 第三十一条 银行保险机构应当制定与业务外包有关的风险管理制度,确保有严谨的业务外包合同和服务协议,明确各方责任义务,加强对外包方的监督管理。 第三十二条 银行保险机构应当定期监测操作风险状况和重大损失情况,对风险持续扩大的情形建立预警机制,及时采取措施控制、缓释风险。 第三十三条 银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。 银行保险机构应当在每年四月底前按照监管职责归属向国家金融监督管理总局或其派出机构报送前一年度操作风险管理情况。 第三十四条 银行保险机构应当建立重大操作风险事件报告机制,及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。 第三十五条 银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,或者开发其他管理工具。 银行保险机构应当运用各项风险管理工具进行交叉校验,定期重检、优化操作风险管理工具。 第三十七条 银行保险机构应当建立操作风险压力测试机制,定期开展操作风险压力测试,在开展其他压力测试过程中应当充分考虑操作风险的影响,针对压力测试中识别的潜在风险点和薄弱环节,及时采取应对措施。 第三十八条 银行机构应当按照国家金融监督管理总局关于资本监管的要求,对承担的操作风险计提充足资本。 第五章 监督管理 国家金融监督管理总局及其派出机构加强与相关部门的监管协作和信息共享,共同防范金融风险跨机构、跨行业、跨区域传染。 第四十条 国家金融监督管理总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式,实施对操作风险管理的持续监管。 国家金融监督管理总局及其派出机构认为必要时,可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。 第四十一条 国家金融监督管理总局及其派出机构发现银行保险机构操作风险管理存在缺陷和问题时,应当要求其及时整改,并上报整改落实情况。 国家金融监督管理总局及其派出机构依照职责通报重大操作风险事件和风险管理漏洞。 对于第一款规定的重大操作风险事件,国家金融监督管理总局在案件管理、突发事件管理等监管规定中另有报告要求的,应当按照有关要求报告,并在报告时注明该事件属于重大操作风险事件。 国家金融监督管理总局可以根据监管工作需要,调整第一款规定的重大操作风险事件报告标准。 第四十四条 银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并依法实施行政处罚;法律、行政法规没有规定的,由国家金融监督管理总局及其派出机构责令改正,予以警告、通报批评,或者处以二十万元以下罚款;涉嫌犯罪的,应当依法移送司法机关: (一)严重违反本办法相关规定,导致发生第四十二条规定的重大操作风险事件; 第四十五条 中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式,协助引导会员单位提高操作风险管理水平。 鼓励行业协会、学术机构、中介机构等建立相关领域的操作风险事件和损失数据库。 第六章 附 则 第四十七条 本办法所称的规模较大的银行保险机构,是指按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的银行机构,以及按照并表口径(境内外)表内总资产达到2000亿元人民币(含等值外币)及以上的保险机构。 规模较小的银行保险机构是指未达到上述标准的机构。 第四十八条 未设董事会的银行保险机构,应当由其经营决策机构履行本办法规定的董事会职责。 第四十九条 本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。 本办法第二十五条相关规定如与保险公司偿付能力监管规则不一致的,按照保险公司偿付能力监管规则执行。 第五十条 关于本办法第二章、第三章、第四章的规定,规模较大的保险机构自本办法施行之日起1年内执行;规模较小的银行保险机构自本办法施行之日起2年内执行。 第五十一条 本办法由国家金融监督管理总局负责解释修订,自2024年7月1日起施行。 第五十二条 《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)自本办法施行之日起废止。 操作风险事件是指由操作风险引发,导致银行保险机构发生实际或者预计损失的事件。银行保险机构分别依据商业银行资本监管规则和保险公司偿付能力监管规则进行损失事件分类。 二、法律风险 法律风险包括但不限于下列风险: 1.签订的合同因违反法律或者行政法规可能被依法撤销或者确认无效; 三、运营韧性 运营韧性是在发生重大风险和外部事件时,银行保险机构具备的持续提供关键业务和服务的能力。例如,在发生大规模网络攻击、大规模传染病、自然灾害等事件时,银行保险机构通过运营韧性管理机制,能够持续向客户提供存取款、转账、理赔等关键服务。 四、操作风险管理报告 第七条、第九条、第十二条规定的操作风险管理报告以及第三十三条规定的操作风险管理情况可以是专项报告,也可以是包括操作风险管理内容的全面风险报告等综合性报告。 五、操作风险类监测指标 第十九条规定的操作风险类监测指标可以包括案件风险率和操作风险损失率。国家金融监督管理总局及其派出机构可以视情形决定,是否确定对特定机构的操作风险类监测指标。 (一)指标计算公式 案件风险率=业内案件涉案金额/年初总资产和年末总资产的平均数×100%。国家金融监督管理总局对于稽查检查和案件管理制度另有规定的,则从其规定。 操作风险损失率=操作风险损失事件的损失金额总和/近三年平均营业收入×100% (二)案件风险率 案件风险率应当保持在监测目标值的合理区间。监测目标值公式为: St为案件风险率监测目标值; Ss为案件风险率基准值,由监管部门根据同类型机构一定期间的案件风险率、特定机构一定期间的案件风险率,并具体选取时间范围、赋值适当权重后确定。 ε为案件风险率调值,由监管部门裁量确定,主要影响因素包括公司治理和激励约束机制、反洗钱监管情况、风险事件演变情况、内部管理和控制情况、境外机构合规风险事件情况等。 (三)操作风险损失率 操作风险损失率应当保持在监测目标值的合理区间。监测目标值公式为: Lt为操作风险损失率监测目标值; Ls为操作风险损失率基准值,监管部门根据同类型机构一定期间的操作风险损失率、特定机构一定期间的实际操作风险损失率,并具体选取时间范围、赋值适当权重后确定。 ε为操作风险损失率调整值,由监管部门裁量确定,主要影响因素包括操作风险内部管理和控制情况、操作风险损失事件数据管理情况、相关事件数量和金额变化情况、经济金融周期因素等。 六、风险偏好传导机制 第十九条规定的风险偏好传导机制,是指银行保险机构根据风险偏好设定容忍度或者风险限额等,并对境内外附属机构、分支机构或者业务条线等提出相应要求,如对全行(公司)、各附属机构、各分行(分公司)、各业务条线设定操作风险损失率、操作风险事件数量、信息系统服务可用率等指标或者目标值,并进行持续监测、预警和纠偏。 其中,信息系统服务可用率=(信息系统计划服务时间-非预期停止服务时间)/计划服务时间×100%。 七、考核评价指标 第二十二条规定的考核评价指标,应当兼顾操作风险管理过程和结果,设置过程类指标和结果类指标。例如,操作风险损失率属于结果类指标,可根据损失率的高低进行评分。操作风险事件报告评分属于过程类指标,可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否按照要求单独分析等进行评分。 八、固有风险、剩余风险 第二十五条规定的固有风险是指在没有考虑控制、缓释措施或者在其付诸实施之前就已经存在的风险。剩余风险是指现有的风险控制、缓释措施不能消除的风险。 本条所指固有风险与保险公司偿付能力监管规则不一致,偿付能力监管规则中的固有风险是指在现有正常保险行业物质技术条件和生产组织方式下,保险公司在经营和管理活动中必然存在的、客观的偿付能力相关风险。 九、操作风险等级 第二十五条规定的操作风险等级由银行保险机构自行划分。例如,通常可划分为三个等级:发生可能性(频率)低、影响(损失)程度低的,风险等级为低;发生可能性(频率)高、影响(损失)程度低的,风险等级为中;发生可能性(频率)低、影响(损失)程度高或者发生可能性(频率)高、影响(损失)程度高的,风险等级为高。 十、缓释操作风险 第二十六条规定的购买保险是指,银行保险机构通过购买保险,在自然灾害或者意外事故导致形成实物资产损失时,获得保险赔付,收回部分或者全部损失,有效缓释风险。其中,保险公司向本机构和关联机构购买保险不属于有效缓释风险。 十一、操作风险损失数据库、操作风险自评估、关键风险指标 第三十五条规定的操作风险损失数据库、操作风险自评估、关键风险指标是银行保险机构用于管理操作风险的基础工具。 (一)操作风险损失数据库 操作风险损失数据库(保险公司偿付能力监管规则称为操作风险损失事件库)是指按统一的操作风险分类标准,收集汇总相应操作风险事件信息。操作风险损失数据库应当结合管理需要,收集一定金额以上的操作风险事件信息,收集范围应当至少包括内部损失事件,必要时可收集几近损失事件和外部损失事件。 内部损失事件是指,形成实际或者预计财务损失的操作风险事件,包括通过保险及其他手段收回部分或者全部损失的操作风险事件,以及与信用风险、市场风险等其他风险相关的操作风险事件。 几近损失事件是指,事件已发生,但未造成实际或者预计的财务损失。例如,银行保险机构因过错造成客户损失,有可能被索赔,但因及时采取补救措施弥补了客户损失,客户谅解并未进行索赔。 外部损失事件是指,业内其他金融机构出现的大额监管处罚、案件等操作风险事件。 (二)操作风险自评估 操作风险自评估是指,识别业务、产品及管理活动中的固有操作风险,分析控制措施有效性,确定剩余操作风险,确定操作风险等级。 (三)关键风险指标 关键风险指标是指,依据操作风险识别、评估结果,设定相应指标,全面反映机构的操作风险敞口、控制措施有效性及风险变化趋势等情况,并应当具有一定前瞻性。例如,从人员、系统、外部事件等维度制定业内案件数量、业外案件涉案金额等作为关键风险指标并设定阈值。 十二、事件管理、控制监测和保证框架、情景分析、基准比较分析 第三十五条规定的可以选择运用的操作风险管理工具,包括: (一)事件管理 事件管理是指,对新发生的、对管理有较大影响的操作风险事件进行分析,识别风险成因、评估控制缺陷,并制定控制优化方案,防止类似事件再次发生。例如,发生操作风险事件后,要求第一道防线开展事件调查分析,查清业务或者管理存在的问题并进行整改。 (二)控制监测和保证框架 控制监测和保证框架是指,对操作风险自评估等工具识别的关键控制措施进行持续分析、动态优化,确保关键控制措施的有效性。例如,利用控制监测和保证框架对关键控制措施进行评估、重检、持续监测和验证。 (三)情景分析 情景分析是指对假设情景进行识别、分析和计量。情景可以包括发生可能性(频率)低、影响程度(损失)高的事件。 情景分析的基本假设可以引用操作风险损失数据库、操作风险自评估、关键风险指标、控制监测和保证框架等工具获取的数据信息。运用情景分析可发现潜在风险事件的影响和风险管理的效果,并可对其他风险工具进行完善。 情景分析可以与恢复与处置计划结合,用于测试运营韧性。例如,假设银行保险机构发生数据中心无法运行也无法恢复、必须由异地灾备中心接替的情景,具体运用专家判断评估可能造成的损失和影响,制定业务恢复的优先顺序和恢复时间等目标,分析需要配置的资源保障。 (四)基准比较分析 |
|