《银行保险机构操作风险管理办法》已于2023年6月20日经国家金融监督管理总局2023年第1次局务会议审议通过。现予公布,自2024年7月1日起施行。
第一条为提高银行保险机构操作风险管理上的水准,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国保险法》等法律和法规,制定本办法。
第二条本办法所称操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。
第三条操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。
(一)审慎性原则。操作风险管理应当坚持风险为本的理念,充分重视风险苗头和潜在隐患,有效识别影响风险管理的坏因,配置充足资源,及时采取一定的措施,提升前瞻性。
(二)全面性原则。操作风险管理应当覆盖各业务条线、各分支机构,覆盖所有部门、岗位、员工和产品,贯穿决策、执行和监督全部过程,充分考量其他内外部风险的相关性和传染性。
(三)匹配性原则。操作风险管理应当体现多层次、差异化的要求,管理体系、管理资源应当与机构发展的策略、经营规模、复杂性和风险状况相适应,并依据情况变化及时调整。
(四)有效性原则。机构应当以风险偏好为导向,有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险,将操作风险控制在可承受范围之内。
第五条规模较大的银行保险机构应当基于良好的治理架构,加强操作风险管理,做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接,提升运营韧性,具备在出现重大风险和外部事件时持续提供关键业务和服务的能力。
第六条国家金融监督管理总局及其派出机构依法对银行保险机构操作风险管理实施监管。
第七条银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括:
(三)审批高级管理层有关操作风险管理职责、权限、报告等机制,确保操作风险管理体系的有效性;
(四)每年至少审议一次高级管理层提交的操作风险管理报告,充分了解、评估操作风险管理总体情况及高级管理层工作;
(五)确保高级管理层建立必要的识别、评估、计量、控制、缓释、监测、报告操作风险的机制;
第八条设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。
第九条银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括:
(二)明确界定各部门、各级机构的操作风险管理职责和报告要求,督促各部门、各级机构履行操作风险管理职责,确保操作风险管理体系正常运行;
(三)设置操作风险偏好及其传导机制,督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查,立即处理突破风险偏好以及其他违反操作风险管理要求的情况;
第十条银行保险机构应当建立操作风险管理的三道防线,三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。
第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括各级负责操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线包括各级内部审计部门,对第一、二道防线履职情况及有效性做监督评价。
第十二条第二道防线部门应当保持独立性,持续提升操作风险管理的一致性和有效性。主要职责包括:
(一)在一级分行(省级分公司)及以上设立操作风险管理专岗或指定专人,为其配备充足的资源;
(三)拟定操作风险管理基本制度、管理办法,制定操作风险识别、评估、计量、监测、报告的方法和具体规定;
(四)指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险,并定期开展监督;
国家金融监督管理总局或其派出机构按照监管职责归属,可以豁免规模较小的银行保险机构在一级分行(省级分公司)设立操作风险管理专岗或专人的要求。
第十三条法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时,应当在职责范围内为其他部门操作风险管理提供充足资源和支持。
第十四条内部审计部门应当至少每三年开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,审计评价操作风险管理体系运作情况,并向董事会报告。
第十五条规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况做审计和评价,并向国家金融监督管理总局或其派出机构报送外部审计报告。
第十六条银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任,并履行以下职责:
第十七条银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其经营事物的规模、风险特征、经营规模及监督管理要求相适应的操作风险管理体系,建立健全三道防线,制定操作风险管理制度。
第十八条操作风险管理基本制度应当与机构业务性质、规模、复杂程度和风险特征相适应,至少包括以下内容:
银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送国家金融监督管理总局或其派出机构。
第十九条银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。
银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警。
第二十条银行保险机构应当建立具备操作风险管理功能的管理信息系统,基本功能包括:
第二十一条银行保险机构应当培育良好的操作风险管理文化,明确员工行为规范和职业道德要求。
第二十二条银行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当反映考核评价结果。
第二十四条银行保险机构应当按照国家金融监督管理总局的规定披露操作风险管理情况。
第二十五条银行保险机构应该依据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效性,分析剩余风险发生的可能性和影响程度,划定操作风险等级,确定接受、降低、转移、规避等应对策略,有效分配管理资源。
第二十六条银行保险机构应当结合风险识别、评估结果,实施控制、缓释措施,将操作风险控制在风险偏好内。
银行保险机构应该依据风险等级,对业务、产品、流程和相关管理活动的风险采取控制、缓释措施,持续监督执行情况,建立良好的内部控制环境。
银行保险机构通过购买保险、业务外包等措施缓释操作风险的,应当确保缓释措施实质有效。
第二十七条银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括:
(四)建立重要财产的记录和保管、定期盘点、账实核对等日常管理和按时进行检查机制;
(五)加强不相容岗位管理,有效隔离重要业务部门和关键岗位,建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度;
第二十八条银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划,有效应对导致业务中断的突发事件,最大限度减少业务中断影响。
银行保险机构应当定期开展业务连续性应急预案演练评估,验证应急预案及备用资源的可用性,提升员工应急意识及处置能力,测试关键服务供应商的持续运营能力,确保业务连续性计划满足业务恢复目标,有效应对内外部威胁及风险。
第二十九条银行保险机构应当制定网络安全管理制度,履行网络安全保护义务,执行网络安全等级保护制度要求,采取必要的管理和技术措施,监测、防御、处置网络安全风险和威胁,有效应对网络安全事件,保障网络安全、稳定运行,防范网络违法犯罪活动。
第三十条银行保险机构应当制定数据安全管理制度,对数据来进行分类分级管理,采取保护的方法,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人隐私信息保护,规范数据处理活动,依法合理规划利用数据。
第三十一条银行保险机构应当制定与业务外包有关的风险管理制度,确保有严谨的业务外包合同和服务协议,明确各方责任义务,加强对外包方的监督管理。
第三十二条银行保险机构应当定期监测操作风险状况和重大损失情况,对风险持续扩大的情形建立预警机制,及时采取一定的措施控制、缓释风险。
第三十三条银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。
银行保险机构应当在每年四月底前按照监管职责归属向国家金融监督管理总局或其派出机构报送前一年度操作风险管理情况。
第三十四条银行保险机构应当建立重大操作风险事件报告机制,及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。
第三十五条银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以再一次进行选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,或者开发其他管理工具。
银行保险机构应当运用各项风险管理工具进行交叉校验,定期重检、优化操作风险管理工具。
第三十六条银行保险机构存在以下重大变更情形的,应当强化操作风险的事前识别、评估等工作:
第三十七条银行保险机构应当建立操作风险压力测试机制,定期开展操作风险压力测试,在开展其他压力测试过程中应当最大限度地考虑操作风险的影响,针对压力测试中识别的潜在风险点和薄弱环节,及时采取应对措施。
第三十八条银行机构应当按照国家金融监督管理总局关于资本监管的要求,对承担的操作风险计提充足资本。
第三十九条国家金融监督管理总局及其派出机构应当将对银行保险机构操作风险的监督管理纳入集团和法人监督管理体系,检查评估操作风险管理体系的健全性和有效性。
国家金融监督管理总局及其派出机构加强与有关部门的监管协作和信息共享,共同防范金融风险跨机构、跨行业、跨区域传染。
第四十条国家金融监督管理总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式,实施对操作风险管理的持续监管。
国家金融监督管理总局及其派出机构觉得必要时,能要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。
第四十一条国家金融监督管理总局及其派出机构发现银行保险机构操作风险管理存在缺陷和问题时,应当要求其及时整改,并上报整改落实情况。
国家金融监督管理总局及其派出机构依照职责通报重大操作风险事件和风险管理漏洞。
第四十二条银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内,按照监管职责归属向国家金融监督管理总局或其派出机构报告:
(一)形成预计损失5000万元(含)以上或者超过上年度末资本净额5%(含)以上的事件。
(二)形成损失金额1000万元(含)以上或者超过上年度末资本净额1%(含)以上的事件。
(三)造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露,已经或者会造成重大损失和严重影响的事件。
(四)重要信息系统发生故障、受到网络攻击,导致在同一省份的营业网点、电子渠道业务中断3小时之后;或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上。
(五)因网络欺诈及别的信息安全事件,导致本机构或客户资金损失1000万元以上,或者造成重大社会影响。
(六)董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件。
对于第一款规定的重大操作风险事件,国家金融监督管理总局在案件管理、突发事件管理等监管规定中另有报告要求的,应当按照有关要求报告,并在报告时注明该事件属于重大操作风险事件。
国家金融监督管理总局能够准确的通过监管工作需要,调整第一款规定的重大操作风险事件报告标准。
第四十三条银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并视情形依法采取监管措施:
(五)未建立操作风险管理流程、管理工具和信息系统,或者其设计、应用存在缺陷;
第四十四条银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并依法实施行政处罚;法律、行政法规没有规定的,由国家金融监督管理总局及其派出机构责令改正,予以警告、通报批评,或者处以二十万元以下罚款;涉嫌犯罪的,应当依法移送司法机关:
(一)严重违反本办法相关规定,导致发生第四十二条规定的重大操作风险事件;
(三)瞒报、漏报、故意迟报本办法第四十二条规定的重大操作风险事件,情节严重的;
第四十五条中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式,协助引导会员单位提高操作风险管理水平。
鼓励行业协会、学术机构、中介机构等建立相关领域的操作风险事件和损失数据库。
第四十六条本办法所称银行保险机构,是指在中华人民共和国境内依法设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司。
中华人民共和国境内设立的外国银行分行、保险集团(控股)公司、再保险公司、金融实物资产管理公司、金融资产投资公司、信托公司、金融租赁公司、财务公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、保险资产管理公司、金融控股公司以及国家金融监督管理总局及其派出机构监管的其他机构参照本办法执行。
第四十七条本办法所称的规模较大的银行保险机构,是指按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的银行机构,以及按照并表口径(境内外)表内总资产达到2000亿元人民币(含等值外币)及以上的保险机构。
第四十八条未设董事会的银行保险机构,应当由其经营决策机构履行本办法规定的董事会职责。
第四十九条本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。
本办法第二十五条相关规定如与保险公司偿付能力监管规则不一致的,按照保险公司偿付能力监管规则执行。
第五十条关于本办法第二章、第三章、第四章的规定,规模较大的保险机构自本办法施行之日起1年内执行;规模较小的银行保险机构自本办法施行之日起2年内执行。
第五十一条本办法由国家金融监督管理总局负责解释修订,自2024年7月1日起施行。
第五十二条《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)自本办法施行之日起废止。
操作风险事件是指由操作风险引发,导致银行保险机构发生实际或者预计损失的事件。银行保险机构分别依据商业银行资本监管规则和保险公司偿付能力监管规则进行损失事件分类。
2.因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任;
3.业务、管理活动违反法律、法规或者监管规定,依法可能承担刑事责任或者行政责任。
运营韧性是在出现重大风险和外部事件时,银行保险机构具备的持续提供关键业务和服务的能力。例如,在发生大规模网络攻击、大规模传染病、自然灾害等事件时,银行保险机构通过运营韧性管理机制,能够持续向客户提供存取款、转账、理赔等关键服务。
第七条、第九条、第十二条规定的操作风险管理报告以及第三十三条规定的操作风险管理情况可以是专项报告,也可以是包括操作风险管理内容的全面风险报告等综合性报告。
第十九条规定的操作风险类监测指标可以包括案件风险率和操作风险损失率。国家金融监督管理总局及其派出机构可以视情形决定,是否确定对特定机构的操作风险类监测指标。
案件风险率=业内案件涉案金额/年初总资产和年末总资产的平均数×100%。国家金融监督管理总局对于稽查检查和案件管理制度另有规定的,则从其规定。
操作风险损失率=操作风险损失事件的损失金额总和/近三年平均营业收入×100%
St为案件风险率监测目标值;Ss为案件风险率基准值,由监管部门根据同类型机构一定期间的案件风险率、特定机构一定期间的案件风险率,并具体选取时间范围、赋值适当权重后确定。ε为案件风险率调值,由监管部门裁量确定,主要影响因素包括公司治理和激励约束机制、反洗钱监管情况、风险事件演变情况、内部管理和控制情况、境外机构合规风险事件情况等。
Lt为操作风险损失率监测目标值;Ls为操作风险损失率基准值,监管部门根据同类型机构一定期间的操作风险损失率、特定机构一定期间的实际操作风险损失率,并具体选取时间范围、赋值适当权重后确定。ε为操作风险损失率调整值,由监管部门裁量确定,主要影响因素包括操作风险内部管理和控制情况、操作风险损失事件数据管理情况、相关事件数量和金额变动情况、经济金融周期因素等。
第十九条规定的风险偏好传导机制,是指银行保险机构依据风险偏好设定容忍度或者风险限额等,并对境内外附属机构、分支机构或者业务条线等提出对应要求,如对全行(公司)、各附属机构、各分行(分公司)、各业务条线设定操作风险损失率、操作风险事件数量、信息系统服务可用率等指标或者目标值,并进行持续监测、预警和纠偏。其中,信息系统服务可用率=(信息系统计划服务时间—非预期停止服务时间)/计划服务时间×100%。
第二十二条规定的考核评价指标,应当兼顾操作风险管理过程和结果,设置过程类指标和结果类指标。例如,操作风险损失率属于结果类指标,可根据损失率的高低进行评分。操作风险事件报告评分属于过程类指标,可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否根据相关要求单独分析等进行评分。
第二十五条规定的固有风险是指在没考虑控制、缓释措施或者在其付诸实施之前就已经存在的风险。剩余风险是指现有的风险控制、缓释措施不能消除的风险。
本条所指固有风险与保险公司偿付能力监管规则不一致,偿付能力监管规则中的固有风险是指在现有正常保险行业物质技术条件和生产组织方式下,保险公司在经营和管理活动中必然存在的、客观的偿付能力相关风险。
第二十五条规定的操作风险等级由银行保险机构自行划分。例如,通常可划分为三个等级:发生可能性(频率)低、影响(损失)程度低的,风险等级为低;发生可能性(频率)高、影响(损失)程度低的,风险等级为中;发生可能性(频率)低、影响(损失)程度高或者发生可能性(频率)高、影响(损失)程度高的,风险等级为高。
第二十六条规定的购买保险是指,银行保险机构通过购买保险,在自然灾害或者意外事故导致形成实物资产损失时,获得保险赔付,收回部分或者全部损失,有效缓释风险。其中,保险公司向本机构和关联机构购买保险不属于有效缓释风险。
第三十五条规定的操作风险损失数据库、操作风险自评估、关键风险指标是银行保险机构用于管理操作风险的基础工具。
操作风险损失数据库(保险公司偿付能力监管规则称为操作风险损失事件库)是指按统一的操作风险分类标准,收集汇总相应操作风险事件信息。操作风险损失数据库应当结合管理需要,收集一定金额以上的操作风险事件信息,收集范围应当至少包括内部损失事件,必要时可收集几近损失事件和外部损失事件。
内部损失事件是指,形成实际或者预计财务损失的操作风险事件,包括通过保险及其他手段收回部分或者全部损失的操作风险事件,以及与信用风险、市场风险等其他风险相关的操作风险事件。
几近损失事件是指,事件已发生,但未造成实际或者预计的财务损失。例如,银行保险机构因过错造成客户损失,有可能会被索赔,但因及时采取补救措施弥补了客户损失,客户谅解并未进行索赔。
外部损失事件是指,业内别的金融机构出现的大额监管处罚、案件等操作风险事件。
操作风险自评估是指,识别业务、产品及管理活动中的固有操作风险,分析控制措施有效性,确定剩余操作风险,确定操作风险等级。
关键风险指标是指,依据操作风险识别、评估结果,设定相应指标,全面反映机构的操作风险敞口、控制措施有效性及风险变化趋势等情况,并应当具有一定前瞻性。例如,从人员、系统、外部事件等维度制定业内案件数量、业外案件涉案金额等作为关键风险指标并设定阈值。
事件管理是指,对新发生的、对管理有较大影响的操作风险事件做多元化的分析,识别风险成因、评估控制缺陷,并制定控制优化方案,防止类似事件再次发生。例如,发生操作风险事件后,要求第一道防线开展事件调查分析,查清业务或者管理存在的问题并进行整改。
控制监测和保证框架是指,对操作风险自评估等工具识别的关键控制措施进行持续分析、动态优化,确保关键控制措施的有效性。例如,利用控制监测和保证框架对关键控制措施做评估、重检、持续监测和验证。
情景分析是指对假设情景进行识别、分析和计量。情景可以包括发生可能性(频率)低、影响程度(损失)高的事件。
情景分析的基本假设可以引用操作风险损失数据库、操作风险自评估、关键风险指标、控制监测和保证框架等工具获取的数据信息。运用情景分析可发现潜在风险事件的影响和风险管理的效果,并可对其他风险工具进行完善。
情景分析可以与恢复与处置计划结合,用于测试运营韧性。例如,假设银行保险机构发生数据中心无法运行也没办法恢复、必须由异地灾备中心接替的情景,具体运用专家判断评估会造成的损失和影响,制定业务恢复的优先顺序和恢复时间等目标,分析需要配置的资源保障。
基准比较分析,一种原因是指将内外部监督检查结果、同业操作风险状况与本机构的操作风险识别、评估结果进行比对,对于偏离度较大的,需重启操作风险识别、评估工作。另一方面是指操作风险管理工具之间互相验证,例如,将操作风险损失数据与操作风险自评估结果作比较,确定管理工具是否有效运行。