新闻中心
据国家金融监督管理总局消息,为进一步完善银行保险机构操作风险监管规则,提升银行保险机构的操作风险管理水平,金融监管总局对《商业银行操作风险管理指引》(以下简称《指引》)进行了修订,形成《银行保险机构操作风险管理办法》(以下简称《办法》),现正式发布,于2024年7月1日起施行。
《办法》共六章五十二条及附录,坚持审慎性、全面性、匹配性、有效性原则,主要内容包括:一是明确风险治理和管理责任。明确董事会、监事(会)和高级管理层的责任,界定三道防线的具体范围和职责,压实分支机构和附属机构的操作风险管理责任。二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制,建立健全操作风险的管理信息系统,培育良好的操作风险管理文化。三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、网络安全、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求,建立操作风险情况和重大操作风险事件报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具。四是完善监督管理职责。金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性,行业协会应当发挥自律和服务作用。五是在《办法》附录中对部分规定内容的含义进行了说明和举例,以便于银行保险机构落实执行。
自《办法》实施之日起,《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)废止。
下一步,金融监管总局将加强督促指导,做好《办法》贯彻落实工作,引导银行保险机构提高操作风险管理能力。
近日,为进一步巩固防范化解金融风险攻坚战的成果,金融监管总局制定了《银行保险机构操作风险管理办法》(以下简称《办法》)。金融监管总局有关司局负责人就相关问题回答了记者提问。
答:操作风险是银行保险机构经营管理中面临主要风险之一。原银监会2007年制定的《商业银行操作风险管理指引》施行后,对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求,建立了保险公司操作风险管理的基本框架。近年来,操作风险防控形势更加复杂,原有监管规定难以满足风险管理的现实需要,操作风险管理相关的国际规则也进行了修订、完善,有必要结合我国实践,对原有监管规定进行全面修订。
《办法》制定过程中先后多次征求了相关部委和社会公众的意见,绝大部分建议已被采纳,并对有关规定作了修改完善。修订后的《办法》与原银保监会对操作风险管理的相关要求前后衔接,与刚刚发布的《商业银行资本管理办法》相互配套。《办法》进一步明确银行保险机构操作风险识别评估、管理控制和工具等要求,完善银行保险机构操作风险治理框架,更加适应当前防控操作风险的形势。
答:2023年7月,《办法》面向社会公开征求意见,共收到建议近200条,大部分建议已被采纳,包括调整外部审计和评价的频次,对规模较大的保险机构给予一年过渡期,兼顾保险机构实施操作风险评估的差异,调整行业协会职责等。部分建议属于理解不同,《办法》在附录中进行了解释,主要是操作风险偏好指标、操作风险披露机制和考核评价机制等内容。少数未采纳建议主要是删除数据安全相关条款、保险公司无需开展操作风险压力测试等。
答:《办法》共六章五十二条及附录,包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则,主要内容包括:
一是强调操作风险管理基本原则。明确银行保险机构开展操作风险管理应当遵循审慎性、全面性、匹配性、有效性等基本原则。
二是明确风险治理和管理责任。优化董事会在公司治理中的作用,明确监事(会)监督职责和高级管理层的执行职责,界定三道防线的具体范围和职责,压实分支机构和附属机构的责任。
三是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制,建立健全操作风险的管理信息系统,培育良好的操作风险管理文化。
四是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理,规定了操作风险控制、缓释措施的基本要求,建立操作风险报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具,强化变更管理。
五是完善监督管理职责。规定金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性,规定重大操作风险事件报告的具体要求,要求行业协会发挥自律和服务作用。
答:《办法》整合原有银行机构和保险机构的操作风险监管规则,明确统一适用于银行保险机构的基本要求。同时,《办法》区分银行机构和保险机构、规模较大和规模较小的机构,分别适用差异化的监管要求:规定保险公司不适用风险计量、计提资本等方面要求;给予规模较大的保险机构在实施操作风险管理架构和职责、风险管理基本要求方面一年过渡期;明确保险集团(控股)公司、再保险公司等参照执行;鼓励规模较大的机构提升运营韧性;明确规模较小的机构一级分行(省级分公司)的第二道防线部门可豁免设立操作风险管理专岗或专人,并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。
答:《办法》施行时间为2024年7月1日,给银行保险机构预留充分时间开展实施工作。同时,《办法》区分情形进行差异化监管,设置过渡期,并充分征求、采纳了各类市场主体的意见。《办法》的出台完善了我国银行保险机构操作风险监管制度,有利于弥补监管制度短板,进一步巩固防范化解金融风险攻坚战的成果,规范提升银行保险机构操作风险管理水平,有利于强化机构监管、行为监管、功能监管、穿透式监管、持续监管。下一步,将进一步发挥行业协会的自律和服务作用,协助引导银行保险机构持续提高操作风险管理水平。
(2023年12月27日国家金融监督管理总局令2023年第5号公布 自2024年7月1日起施行)
第一条 为提高银行保险机构操作风险管理水平,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规,制定本办法。
第二条 本办法所称操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。
第三条 操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。
(一)审慎性原则。操作风险管理应当坚持风险为本的理念,充分重视风险苗头和潜在隐患,有效识别影响风险管理的不利因素,配置充足资源,及时采取措施,提升前瞻性。
(二)全面性原则。操作风险管理应当覆盖各业务条线、各分支机构,覆盖所有部门、岗位、员工和产品,贯穿决策、执行和监督全部过程,充分考量其他内外部风险的相关性和传染性。
(三)匹配性原则。操作风险管理应当体现多层次、差异化的要求,管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应,并根据情况变化及时调整。
(四)有效性原则。机构应当以风险偏好为导向,有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险,将操作风险控制在可承受范围之内。
第五条 规模较大的银行保险机构应当基于良好的治理架构,加强操作风险管理,做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接,提升运营韧性,具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。
第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括:
(四)每年至少审议一次高级管理层提交的操作风险管理报告,充分了解、评估操作风险管理总体情况以及高级管理层工作;
第八条 设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。
(二)明确界定各部门、各级机构的操作风险管理职责和报告要求,督促各部门、各级机构履行操作风险管理职责,确保操作风险管理体系正常运行;
(三)设置操作风险偏好及其传导机制,督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查,及时处理突破风险偏好以及其他违反操作风险管理要求的情况;
第十条 银行保险机构应当建立操作风险管理的三道防线,三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。
第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括各级负责操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线包括各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。
第十二条 第二道防线部门应当保持独立性,持续提升操作风险管理的一致性和有效性。主要职责包括:
(三)拟定操作风险管理基本制度、管理办法,制定操作风险识别、评估、计量、监测、报告的方法和具体规定;
国家金融监督管理总局或其派出机构按照监管职责归属,可以豁免规模较小的银行保险机构在一级分行(省级分公司)设立操作风险管理专岗或专人的要求。
第十三条 法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时,应当在职责范围内为其他部门操作风险管理提供充足资源和支持。
第十四条 内部审计部门应当至少每三年开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,审计评价操作风险管理体系运行情况,并向董事会报告。
第十五条 规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价,并向国家金融监督管理总局或其派出机构报送外部审计报告。
第十六条 银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任,并履行以下职责:
第十七条 银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其业务范围、风险特征、经营规模及监管要求相适应的操作风险管理体系,建立健全三道防线,制定操作风险管理制度。
第十八条 操作风险管理基本制度应当与机构业务性质、规模、复杂程度和风险特征相适应,至少包括以下内容:
银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送国家金融监督管理总局或其派出机构。
第十九条 银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。
银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警。
第二十二条 银行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当反映考核评价结果。
第二十五条 银行保险机构应当根据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效。