国家金融监督管理总局令2023年第5号 银行保险机构操作风险管理办法

　　第五章 监督管理

　　第三十九条 国家金融监督管理总局及其派出机构应当将对银行保险机构操作风险的监督管理纳入集团和法人监管体系，检查评估操作风险管理体系的健全性和有效性。

　　国家金融监督管理总局及其派出机构加强与相关部门的监管协作和信息共享，共同防范金融风险跨机构、跨行业、跨区域传染。

　　第四十条 国家金融监督管理总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式，实施对操作风险管理的持续监管。

　　国家金融监督管理总局及其派出机构认为必要时，可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。

　　第四十一条 国家金融监督管理总局及其派出机构发现银行保险机构操作风险管理存在缺陷和问题时，应当要求其及时整改，并上报整改落实情况。

　　国家金融监督管理总局及其派出机构依照职责通报重大操作风险事件和风险管理漏洞。

　　第四十二条 银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内，按照监管职责归属向国家金融监督管理总局或其派出机构报告：

　　(一)形成预计损失5000万元(含)以上或者超过上年度末资本净额5%(含)以上的事件。

　　(二)形成损失金额1000万元(含)以上或者超过上年度末资本净额1%(含)以上的事件。

　　(三)造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露，已经或者可能造成重大损失和严重影响的事件。

　　(四)重要信息系统出现故障、受到网络攻击，导致在同一省份的营业网点、电子渠道业务中断3小时以上;或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上。

　　(五)因网络欺诈及其他信息安全事件，导致本机构或客户资金损失1000万元以上，或者造成重大社会影响。

　　(六)董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件。

　　(七)严重侵犯公民个人信息安全和合法权益的事件。

　　(八)员工涉嫌发起、主导或者组织实施非法集资类违法犯罪被立案的事件。

　　(九)其他需要报告的重大操作风险事件。

　　对于第一款规定的重大操作风险事件，国家金融监督管理总局在案件管理、突发事件管理等监管规定中另有报告要求的，应当按照有关要求报告，并在报告时注明该事件属于重大操作风险事件。

　　国家金融监督管理总局可以根据监管工作需要，调整第一款规定的重大操作风险事件报告标准。

　　第四十三条 银行保险机构存在以下情形的，国家金融监督管理总局及其派出机构应当责令改正，并视情形依法采取监管措施：

　　(一)未按照规定制定或者执行操作风险管理制度;

　　(二)未按照规定设置或者履行操作风险管理职责;

　　(三)未按照规定设置操作风险偏好及其传导机制;

　　(四)未建立或者落实操作风险管理文化、考核评价机制、培训;

　　(五)未建立操作风险管理流程、管理工具和信息系统，或者其设计、应用存在缺陷;

　　(六)其他违反监管规定的情形。

　　第四十四条 银行保险机构存在以下情形的，国家金融监督管理总局及其派出机构应当责令改正，并依法实施行政处罚;法律、行政法规没有规定的，由国家金融监督管理总局及其派出机构责令改正，予以警告、通报批评，或者处以二十万元以下罚款;涉嫌犯罪的，应当依法移送司法机关：

　　(一)严重违反本办法相关规定，导致发生第四十二条规定的重大操作风险事件;

　　(二)未按照监管要求整改;

　　(三)瞒报、漏报、故意迟报本办法第四十二条规定的重大操作风险事件，情节严重的;

　　(四)其他严重违反监管规定的情形。

　　第四十五条 中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式，协助引导会员单位提高操作风险管理水平。

　　鼓励行业协会、学术机构、中介机构等建立相关领域的操作风险事件和损失数据库。

　　第六章 附则

　　第四十六条 本办法所称银行保险机构，是指在中华人民共和国境内依法设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司。

　　中华人民共和国境内设立的外国银行分行、保险集团(控股)公司、再保险公司、金融资产管理公司、金融资产投资公司、信托公司、金融租赁公司、财务公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、保险资产管理公司、金融控股公司以及国家金融监督管理总局及其派出机构监管的其他机构参照本办法执行。

　　第四十七条 本办法所称的规模较大的银行保险机构，是指按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的银行机构，以及按照并表口径(境内外)表内总资产达到2000亿元人民币(含等值外币)及以上的保险机构。

　　规模较小的银行保险机构是指未达到上述标准的机构。

　　第四十八条 未设董事会的银行保险机构，应当由其经营决策机构履行本办法规定的董事会职责。

　　第四十九条 本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。

　　本办法第二十五条 相关规定如与保险公司偿付能力监管规则不一致的，按照保险公司偿付能力监管规则执行。

　　第五十条 关于本办法第二章、第三章、第四章的规定，规模较大的保险机构自本办法施行之日起1年内执行;规模较小的银行保险机构自本办法施行之日起2年内执行。

　　第五十一条 本办法由国家金融监督管理总局负责解释修订，自2024年7月1日起施行。

　　第五十二条 《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)自本办法施行之日起废止。