国家金融监督管理总局令2023年第5号 银行保险机构操作风险管理办法

　　附录：

名词解释及示例

　　一、操作风险事件

　　操作风险事件是指由操作风险引发，导致银行保险机构发生实际或者预计损失的事件。银行保险机构分别依据商业银行资本监管规则和保险公司偿付能力监管规则进行损失事件分类。

　　二、法律风险

　　法律风险包括但不限于下列风险：

　　1.签订的合同因违反法律或者行政法规可能被依法撤销或者确认无效;

　　2.因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任;

　　3.业务、管理活动违反法律、法规或者监管规定，依法可能承担刑事责任或者行政责任。

　　三、运营韧性

　　运营韧性是在发生重大风险和外部事件时，银行保险机构具备的持续提供关键业务和服务的能力。例如，在发生大规模网络攻击、大规模传染病、自然灾害等事件时，银行保险机构通过运营韧性管理机制，能够持续向客户提供存取款、转账、理赔等关键服务。

　　四、操作风险管理报告

　　第七条、第九条、第十二条规定的操作风险管理报告以及第三十三条规定的操作风险管理情况可以是专项报告，也可以是包括操作风险管理内容的全面风险报告等综合性报告。

　　五、操作风险类监测指标

　　第十九条规定的操作风险类监测指标可以包括案件风险率和操作风险损失率。国家金融监督管理总局及其派出机构可以视情形决定，是否确定对特定机构的操作风险类监测指标。

　　(一)指标计算公式

　　案件风险率=业内案件涉案金额/年初总资产和年末总资产的平均数×100%。国家金融监督管理总局对于稽查检查和案件管理制度另有规定的，则从其规定。

　　操作风险损失率=操作风险损失事件的损失金额总和/近三年平均营业收入×100%

　　(二)案件风险率

　　案件风险率应当保持在监测目标值的合理区间。监测目标值公式为：

　　St=Ss+ε

　　St为案件风险率监测目标值;Ss为案件风险率基准值，由监管部门根据同类型机构一定期间的案件风险率、特定机构一定期间的案件风险率，并具体选取时间范围、赋值适当权重后确定。ε为案件风险率调值，由监管部门裁量确定，主要影响因素包括公司治理和激励约束机制、反洗钱监管情况、风险事件演变情况、内部管理和控制情况、境外机构合规风险事件情况等。

　　(三)操作风险损失率

　　操作风险损失率应当保持在监测目标值的合理区间。监测目标值公式为：

　　Lt=Ls+ε

　　Lt为操作风险损失率监测目标值;Ls为操作风险损失率基准值，监管部门根据同类型机构一定期间的操作风险损失率、特定机构一定期间的实际操作风险损失率，并具体选取时间范围、赋值适当权重后确定。ε为操作风险损失率调整值，由监管部门裁量确定，主要影响因素包括操作风险内部管理和控制情况、操作风险损失事件数据管理情况、相关事件数量和金额变化情况、经济金融周期因素等。

　　六、风险偏好传导机制

　　第十九条规定的风险偏好传导机制，是指银行保险机构根据风险偏好设定容忍度或者风险限额等，并对境内外附属机构、分支机构或者业务条线等提出相应要求，如对全行(公司)、各附属机构、各分行(分公司)、各业务条线设定操作风险损失率、操作风险事件数量、信息系统服务可用率等指标或者目标值，并进行持续监测、预警和纠偏。其中，信息系统服务可用率=(信息系统计划服务时间-非预期停止服务时间)/计划服务时间×100%。

　　七、考核评价指标

　　第二十二条规定的考核评价指标，应当兼顾操作风险管理过程和结果，设置过程类指标和结果类指标。例如，操作风险损失率属于结果类指标，可根据损失率的高低进行评分。操作风险事件报告评分属于过程类指标，可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否按照要求单独分析等进行评分。

　　八、固有风险、剩余风险

　　第二十五条规定的固有风险是指在没有考虑控制、缓释措施或者在其付诸实施之前就已经存在的风险。剩余风险是指现有的风险控制、缓释措施不能消除的风险。

　　本条所指固有风险与保险公司偿付能力监管规则不一致，偿付能力监管规则中的固有风险是指在现有正常保险行业物质技术条件和生产组织方式下，保险公司在经营和管理活动中必然存在的、客观的偿付能力相关风险。

　　九、操作风险等级

　　第二十五条规定的操作风险等级由银行保险机构自行划分。例如，通常可划分为三个等级：发生可能性(频率)低、影响(损失)程度低的，风险等级为低;发生可能性(频率)高、影响(损失)程度低的，风险等级为中;发生可能性(频率)低、影响(损失)程度高或者发生可能性(频率)高、影响(损失)程度高的，风险等级为高。

　　十、缓释操作风险

　　第二十六条规定的购买保险是指，银行保险机构通过购买保险，在自然灾害或者意外事故导致形成实物资产损失时，获得保险赔付，收回部分或者全部损失，有效缓释风险。其中，保险公司向本机构和关联机构购买保险不属于有效缓释风险。

　　十一、操作风险损失数据库、操作风险自评估、关键风险指标

　　第三十五条规定的操作风险损失数据库、操作风险自评估、关键风险指标是银行保险机构用于管理操作风险的基础工具。

　　(一)操作风险损失数据库

　　操作风险损失数据库(保险公司偿付能力监管规则称为操作风险损失事件库)是指按统一的操作风险分类标准，收集汇总相应操作风险事件信息。操作风险损失数据库应当结合管理需要，收集一定金额以上的操作风险事件信息，收集范围应当至少包括内部损失事件，必要时可收集几近损失事件和外部损失事件。

　　内部损失事件是指，形成实际或者预计财务损失的操作风险事件，包括通过保险及其他手段收回部分或者全部损失的操作风险事件，以及与信用风险、市场风险等其他风险相关的操作风险事件。

　　几近损失事件是指，事件已发生，但未造成实际或者预计的财务损失。例如，银行保险机构因过错造成客户损失，有可能被索赔，但因及时采取补救措施弥补了客户损失，客户谅解并未进行索赔。

　　外部损失事件是指，业内其他金融机构出现的大额监管处罚、案件等操作风险事件。

　　(二)操作风险自评估

　　操作风险自评估是指，识别业务、产品及管理活动中的固有操作风险，分析控制措施有效性，确定剩余操作风险，确定操作风险等级。

　　(三)关键风险指标

　　关键风险指标是指，依据操作风险识别、评估结果，设定相应指标，全面反映机构的操作风险敞口、控制措施有效性及风险变化趋势等情况，并应当具有一定前瞻性。例如，从人员、系统、外部事件等维度制定业内案件数量、业外案件涉案金额等作为关键风险指标并设定阈值。

　　十二、事件管理、控制监测和保证框架、情景分析、基准比较分析

　　第三十五条规定的可以选择运用的操作风险管理工具，包括：

　　(一)事件管理

　　事件管理是指，对新发生的、对管理有较大影响的操作风险事件进行分析，识别风险成因、评估控制缺陷，并制定控制优化方案，防止类似事件再次发生。例如，发生操作风险事件后，要求第一道防线开展事件调查分析，查清业务或者管理存在的问题并进行整改。

　　(二)控制监测和保证框架

　　控制监测和保证框架是指，对操作风险自评估等工具识别的关键控制措施进行持续分析、动态优化，确保关键控制措施的有效性。例如，利用控制监测和保证框架对关键控制措施进行评估、重检、持续监测和验证。

　　(三)情景分析

　　情景分析是指对假设情景进行识别、分析和计量。情景可以包括发生可能性(频率)低、影响程度(损失)高的事件。

　　情景分析的基本假设可以引用操作风险损失数据库、操作风险自评估、关键风险指标、控制监测和保证框架等工具获取的数据信息。运用情景分析可发现潜在风险事件的影响和风险管理的效果，并可对其他风险工具进行完善。

　　情景分析可以与恢复与处置计划结合，用于测试运营韧性。例如，假设银行保险机构发生数据中心无法运行也无法恢复、必须由异地灾备中心接替的情景，具体运用专家判断评估可能造成的损失和影响，制定业务恢复的优先顺序和恢复时间等目标，分析需要配置的资源保障。

　　(四)基准比较分析

　　基准比较分析，一方面是指将内外部监督检查结果、同业操作风险状况与本机构的操作风险识别、评估结果进行比对，对于偏离度较大的，需重启操作风险识别、评估工作。另一方面是指操作风险管理工具之间互相验证，例如，将操作风险损失数据与操作风险自评估结果进行比较,确定管理工具是否有效运行。

国家金融监督管理总局有关司局负责人就《银行保险机构操作风险管理办法》答记者问

　　近日，为进一步巩固防范化解金融风险攻坚战的成果，金融监管总局制定了《银行保险机构操作风险管理办法》(以下简称《办法》)。金融监管总局有关司局负责人就相关问题回答了记者提问。

　　一、制定《办法》的背景和过程是什么?

　　答：操作风险是银行保险机构经营管理中面临主要风险之一。原银监会2007年制定的《商业银行操作风险管理指引》施行后，对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求，建立了保险公司操作风险管理的基本框架。近年来，操作风险防控形势更加复杂，原有监管规定难以满足风险管理的现实需要，操作风险管理相关的国际规则也进行了修订、完善，有必要结合我国实践，对原有监管规定进行全面修订。

　　《办法》制定过程中先后多次征求了相关部委和社会公众的意见，绝大部分建议已被采纳，并对有关规定作了修改完善。修订后的《办法》与原银保监会对操作风险管理的相关要求前后衔接，与刚刚发布的《商业银行资本管理办法》相互配套。《办法》进一步明确银行保险机构操作风险识别评估、管理控制和工具等要求，完善银行保险机构操作风险治理框架，更加适应当前防控操作风险的形势。

　　二、《办法》公开征求意见情况如何?

　　答：2023年7月，《办法》面向社会公开征求意见，共收到建议近200条，大部分建议已被采纳，包括调整外部审计和评价的频次，对规模较大的保险机构给予一年过渡期，兼顾保险机构实施操作风险评估的差异，调整行业协会职责等。部分建议属于理解不同，《办法》在附录中进行了解释，主要是操作风险偏好指标、操作风险披露机制和考核评价机制等内容。少数未采纳建议主要是删除数据安全相关条款、保险公司无需开展操作风险压力测试等。

　　三、《办法》的主要内容有哪些?

　　答：《办法》共六章 五十二条及附录，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则，主要内容包括：

　　一是强调操作风险管理基本原则。明确银行保险机构开展操作风险管理应当遵循审慎性、全面性、匹配性、有效性等基本原则。

　　二是明确风险治理和管理责任。优化董事会在公司治理中的作用，明确监事(会)监督职责和高级管理层的执行职责，界定三道防线的具体范围和职责，压实分支机构和附属机构的责任。

　　三是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险的管理信息系统，培育良好的操作风险管理文化。

　　四是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理，规定了操作风险控制、缓释措施的基本要求，建立操作风险报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

　　五是完善监督管理职责。规定金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性，规定重大操作风险事件报告的具体要求，要求行业协会发挥自律和服务作用。

　　四、《办法》有哪些差异化监管安排?

　　答：《办法》整合原有银行机构和保险机构的操作风险监管规则，明确统一适用于银行保险机构的基本要求。同时，《办法》区分银行机构和保险机构、规模较大和规模较小的机构，分别适用差异化的监管要求：规定保险公司不适用风险计量、计提资本等方面要求;给予规模较大的保险机构在实施操作风险管理架构和职责、风险管理基本要求方面一年过渡期;明确保险集团(控股)公司、再保险公司等参照执行;鼓励规模较大的机构提升运营韧性;明确规模较小的机构一级分行(省级分公司)的第二道防线部门可豁免设立操作风险管理专岗或专人，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

　　五、《办法》的实施将对市场有何影响?

　　答：《办法》施行时间为2024年7月1日，给银行保险机构预留充分时间开展实施工作。同时，《办法》区分情形进行差异化监管，设置过渡期，并充分征求、采纳了各类市场主体的意见。《办法》的出台完善了我国银行保险机构操作风险监管制度，有利于弥补监管制度短板，进一步巩固防范化解金融风险攻坚战的成果，规范提升银行保险机构操作风险管理水平，有利于强化机构监管、行为监管、功能监管、穿透式监管、持续监管。下一步，将进一步发挥行业协会的自律和服务作用，协助引导银行保险机构持续提高操作风险管理水平。