国家金融监督管理总局令2023年第5号 银行保险机构操作风险管理办法

银行保险机构操作风险管理办法

国家金融监督管理总局令2023年第5号     2023-12-27

(2023年12月27日国家金融监督管理总局令2023年第5号公布自2024年7月1日起施行)

　　第一章 总则

　　第一条 为提高银行保险机构操作风险管理水平，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规，制定本办法。

　　第二条 本办法所称操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。

　　第三条 操作风险管理是全面风险管理体系的重要组成部分，目标是有效防范操作风险，降低损失，提升对内外部事件冲击的应对能力，为业务稳健运营提供保障。

　　第四条 操作风险管理应当遵循以下基本原则：

　　(一)审慎性原则。操作风险管理应当坚持风险为本的理念，充分重视风险苗头和潜在隐患，有效识别影响风险管理的不利因素，配置充足资源，及时采取措施，提升前瞻性。

　　(二)全面性原则。操作风险管理应当覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。

　　(三)匹配性原则。操作风险管理应当体现多层次、差异化的要求，管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应，并根据情况变化及时调整。

　　(四)有效性原则。机构应当以风险偏好为导向，有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险，将操作风险控制在可承受范围之内。

　　第五条 规模较大的银行保险机构应当基于良好的治理架构，加强操作风险管理，做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接，提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。

　　第六条 国家金融监督管理总局及其派出机构依法对银行保险机构操作风险管理实施监管。

　　第二章 风险治理和管理责任

　　第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一，承担操作风险管理的最终责任。主要职责包括：

　　(一)审批操作风险管理基本制度，确保与战略目标一致;

　　(二)审批操作风险偏好及其传导机制，将操作风险控制在可承受范围之内;

　　(三)审批高级管理层有关操作风险管理职责、权限、报告等机制，确保操作风险管理体系的有效性;

　　(四)每年至少审议一次高级管理层提交的操作风险管理报告，充分了解、评估操作风险管理总体情况以及高级管理层工作;

　　(五)确保高级管理层建立必要的识别、评估、计量、控制、缓释、监测、报告操作风险的机制;

　　(六)确保操作风险管理体系接受内部审计部门的有效审查与监督;

　　(七)审批操作风险信息披露相关制度;

　　(八)确保建立与操作风险管理要求匹配的风险文化;

　　(九)其他相关职责。

　　第八条 设立监事(会)的银行保险机构，其监事(会)应当承担操作风险管理的监督责任，负责监督检查董事会和高级管理层的履职尽责情况，及时督促整改，并纳入监事(会)工作报告。

　　第九条 银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括：

　　(一)制定操作风险管理基本制度和管理办法;

　　(二)明确界定各部门、各级机构的操作风险管理职责和报告要求，督促各部门、各级机构履行操作风险管理职责，确保操作风险管理体系正常运行;

　　(三)设置操作风险偏好及其传导机制，督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查，及时处理突破风险偏好以及其他违反操作风险管理要求的情况;

　　(四)全面掌握操作风险管理总体状况，特别是重大操作风险事件;

　　(五)每年至少向董事会提交一次操作风险管理报告，并报送监事(会);

　　(六)为操作风险管理配备充足财务、人力和信息科技系统等资源;

　　(七)完善操作风险管理体系，有效应对操作风险事件;

　　(八)制定操作风险管理考核评价与奖惩机制;

　　(九)其他相关职责。

　　第十条 银行保险机构应当建立操作风险管理的三道防线，三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。

　　第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括各级负责操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线包括各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

　　第十一条 第一道防线部门主要职责包括：

　　(一)指定专人负责操作风险管理工作，投入充足资源;

　　(二)按照风险管理评估方法，识别、评估自身操作风险;

　　(三)建立控制、缓释措施，定期评估措施的有效性;

　　(四)持续监测风险，确保符合操作风险偏好;

　　(五)定期报送操作风险管理报告，及时报告重大操作风险事件;

　　(六)制定业务流程和制度时充分体现操作风险管理和内部控制的要求;

　　(七)其他相关职责。

　　第十二条 第二道防线部门应当保持独立性，持续提升操作风险管理的一致性和有效性。主要职责包括：

　　(一)在一级分行(省级分公司)及以上设立操作风险管理专岗或指定专人，为其配备充足的资源;

　　(二)跟踪操作风险管理监管政策规定并组织落实;

　　(三)拟定操作风险管理基本制度、管理办法，制定操作风险识别、评估、计量、监测、报告的方法和具体规定;

　　(四)指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险，并定期开展监督;

　　(五)每年至少向高级管理层提交一次操作风险管理报告;

　　(六)负责操作风险资本计量;

　　(七)开展操作风险管理培训;

　　(八)其他相关职责。

　　国家金融监督管理总局或其派出机构按照监管职责归属，可以豁免规模较小的银行保险机构在一级分行(省级分公司)设立操作风险管理专岗或专人的要求。

　　第十三条 法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时，应当在职责范围内为其他部门操作风险管理提供充足资源和支持。

　　第十四条 内部审计部门应当至少每三年开展一次操作风险管理专项审计，覆盖第一道防线、第二道防线操作风险管理情况，审计评价操作风险管理体系运行情况，并向董事会报告。

　　内部审计部门在开展其他审计项目时，应当充分关注操作风险管理情况。

　　第十五条 规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价，并向国家金融监督管理总局或其派出机构报送外部审计报告。

　　第十六条 银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任，并履行以下职责：

　　(一)为本级、本条 线操作风险管理部门配备充足资源;

　　(二)严格执行操作风险管理制度、风险偏好以及管理流程等要求;

　　(三)按照内外部审计结果和监管要求改进操作风险管理;

　　(四)其他相关职责。

　　境外分支机构除满足前款要求外，还应当符合所在地监管要求。

　　第十七条 银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好，与其业务范围、风险特征、经营规模及监管要求相适应的操作风险管理体系，建立健全三道防线，制定操作风险管理制度。

　　境外附属机构除满足前款要求外，还应当符合所在地监管要求。

　　第三章 风险管理基本要求

　　第十八条 操作风险管理基本制度应当与机构业务性质、规模、复杂程度和风险特征相适应，至少包括以下内容：

　　(一)操作风险定义;

　　(二)操作风险管理组织架构、权限和责任;

　　(三)操作风险识别、评估、计量、监测、控制、缓释程序;

　　(四)操作风险报告机制，包括报告主体、责任、路径、频率、时限等。

　　银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送国家金融监督管理总局或其派出机构。

　　第十九条 银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。

　　银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制，对操作风险进行持续监测和及时预警。

　　第二十条 银行保险机构应当建立具备操作风险管理功能的管理信息系统，主要功能包括：

　　(一)记录和存储损失相关数据和操作风险事件信息;

　　(二)支持操作风险和控制措施的自评估;

　　(三)支持关键风险指标监测;

　　(四)支持操作风险资本计量;

　　(五)提供操作风险报告相关内容。

　　第二十一条 银行保险机构应当培育良好的操作风险管理文化，明确员工行为规范和职业道德要求。

　　第二十二条 银行保险机构应当建立有效的操作风险管理考核评价机制，考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当反映考核评价结果。

　　第二十三条 银行保险机构应当定期开展操作风险管理相关培训。

　　第二十四条 银行保险机构应当按照国家金融监督管理总局的规定披露操作风险管理情况。

　　银行机构应当按照国家金融监督管理总局的要求披露损失数据等相关信息。

　　第四章 风险管理流程和方法

　　第二十五条 银行保险机构应当根据操作风险偏好，识别内外部固有风险，评估控制、缓释措施的有效性，分析剩余风险发生的可能性和影响程度，划定操作风险等级，确定接受、降低、转移、规避等应对策略，有效分配管理资源。

　　第二十六条 银行保险机构应当结合风险识别、评估结果，实施控制、缓释措施，将操作风险控制在风险偏好内。

　　银行保险机构应当根据风险等级，对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施，持续监督执行情况，建立良好的内部控制环境。

　　银行保险机构通过购买保险、业务外包等措施缓释操作风险的，应当确保缓释措施实质有效。

　　第二十七条 银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括：

　　(一)明确部门间职责分工，避免利益冲突;

　　(二)密切监测风险偏好及其传导机制的执行情况;

　　(三)加强各类业务授权和信息系统权限管理;

　　(四)建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制;

　　(五)加强不相容岗位管理，有效隔离重要业务部门和关键岗位，建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度;

　　(六)加强员工行为管理，重点关注关键岗位员工行为;

　　(七)对交易和账户进行定期对账;

　　(八)建立内部员工揭发检举的奖励和保护机制;

　　(九)配置适当的员工并进行有效培训;

　　(十)建立操作风险管理的激励约束机制;

　　(十一)其他内部控制措施。

　　第二十八条 银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划，有效应对导致业务中断的突发事件，最大限度减少业务中断影响。

　　银行保险机构应当定期开展业务连续性应急预案演练评估，验证应急预案及备用资源的可用性，提高员工应急意识及处置能力，测试关键服务供应商的持续运营能力，确保业务连续性计划满足业务恢复目标，有效应对内外部威胁及风险。

　　第二十九条 银行保险机构应当制定网络安全管理制度，履行网络安全保护义务，执行网络安全等级保护制度要求，采取必要的管理和技术措施，监测、防御、处置网络安全风险和威胁，有效应对网络安全事件，保障网络安全、稳定运行，防范网络违法犯罪活动。

　　第三十条 银行保险机构应当制定数据安全管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，依法合理利用数据。

　　第三十一条 银行保险机构应当制定与业务外包有关的风险管理制度，确保有严谨的业务外包合同和服务协议，明确各方责任义务，加强对外包方的监督管理。

　　第三十二条 银行保险机构应当定期监测操作风险状况和重大损失情况，对风险持续扩大的情形建立预警机制，及时采取措施控制、缓释风险。

　　第三十三条 银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告，各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。

　　银行保险机构应当在每年四月底前按照监管职责归属向国家金融监督管理总局或其派出机构报送前一年度操作风险管理情况。

　　第三十四条 银行保险机构应当建立重大操作风险事件报告机制，及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。

　　第三十五条 银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险，可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，或者开发其他管理工具。

　　银行保险机构应当运用各项风险管理工具进行交叉校验，定期重检、优化操作风险管理工具。

　　第三十六条 银行保险机构存在以下重大变更情形的，应当强化操作风险的事前识别、评估等工作：

　　(一)开发新业务、新产品;

　　(二)新设境内外分支机构、附属机构;

　　(三)拓展新业务范围、形成新商业模式;

　　(四)业务流程、信息科技系统等发生重大变更;

　　(五)其他重大变更情形。

　　第三十七条 银行保险机构应当建立操作风险压力测试机制，定期开展操作风险压力测试，在开展其他压力测试过程中应当充分考虑操作风险的影响，针对压力测试中识别的潜在风险点和薄弱环节，及时采取应对措施。

　　第三十八条 银行机构应当按照国家金融监督管理总局关于资本监管的要求，对承担的操作风险计提充足资本。