首页 银行保险机构操作风险管理办法 银行保险机构操作风险管理办法(2023年) 发布机关 金融监管总局 效力 现行有效 第一章 总则 第一条 为提高银行保险机构操作风险管理水平,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国保险法》等法律法规,制定本办法。 第二条 本办法所称操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。 第三条 操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。 第四条 操作风险管理应当遵循以下基本原则: 第五条 规模较大的银行保险机构应当基于良好的治理架构,加强操作风险管理,做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机… 第六条 国家金融监督管理总局及其派出机构依法对银行保险机构操作风险管理实施监管。 第二章 风险治理和管理责任 第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。主要职责包括: 第八条 设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。 第九条 银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括: 第十条 银行保险机构应当建立操作风险管理的三道防线,三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。 第十一条 第一道防线部门主要职责包括: 第十二条 第二道防线部门应当保持独立性,持续提升操作风险管理的一致性和有效性。主要职责包括: 第十三条 法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时,应当在职责范围内为其他部门操作风险管… 第十四条 内部审计部门应当至少每三年开展一次操作风险管理专项审计,覆盖第一道防线、第二道防线操作风险管理情况,审计评价操作风险管理体系运行情况,并向董事会报告。 第十五条 规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价,并向国家金融监督管理总局或其派出机构报送外部审计报告。 第十六条 银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任,并履行以下职责: 第十七条 银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好,与其业务范围、风险特征、经营规模及监管要求相适应的操作风险管理体… 第三章 风险管理基本要求 第十八条 操作风险管理基本制度应当与机构业务性质、规模、复杂程度和风险特征相适应,至少包括以下内容: 第十九条 银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应… 第二十条 银行保险机构应当建立具备操作风险管理功能的管理信息系统,主要功能包括: 第二十一条 银行保险机构应当培育良好的操作风险管理文化,明确员工行为规范和职业道德要求。 第二十二条 银行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当反映考核评价结果。 第二十三条 银行保险机构应当定期开展操作风险管理相关培训。 第二十四条 银行保险机构应当按照国家金融监督管理总局的规定披露操作风险管理情况。 第四章 风险管理流程和方法 第二十五条 银行保险机构应当根据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效性,分析剩余风险发生的可能性和影响程度,划定操作风险等级,确定接受、降低、转移、规… 第二十六条 银行保险机构应当结合风险识别、评估结果,实施控制、缓释措施,将操作风险控制在风险偏好内。 第二十七条 银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括: 第二十八条 银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划,有效应对导致业务中断的突发事件,最大限度减少业务中断影响。 第二十九条 银行保险机构应当制定网络安全管理制度,履行网络安全保护义务,执行网络安全等级保护制度要求,采取必要的管理和技术措施,监测、防御、处置网络安全风险和威胁,有效应对… 第三十条 银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,采取保护措施,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人信息保护,规… 第三十一条 银行保险机构应当制定与业务外包有关的风险管理制度,确保有严谨的业务外包合同和服务协议,明确各方责任义务,加强对外包方的监督管理。 第三十二条 银行保险机构应当定期监测操作风险状况和重大损失情况,对风险持续扩大的情形建立预警机制,及时采取措施控制、缓释风险。 第三十三条 银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作… 第三十四条 银行保险机构应当建立重大操作风险事件报告机制,及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。 第三十五条 银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析… 第三十六条 银行保险机构存在以下重大变更情形的,应当强化操作风险的事前识别、评估等工作: 第三十七条 银行保险机构应当建立操作风险压力测试机制,定期开展操作风险压力测试,在开展其他压力测试过程中应当充分考虑操作风险的影响,针对压力测试中识别的潜在风险点和薄弱环节… 第三十八条 银行机构应当按照国家金融监督管理总局关于资本监管的要求,对承担的操作风险计提充足资本。 第五章 监督管理 第三十九条 国家金融监督管理总局及其派出机构应当将对银行保险机构操作风险的监督管理纳入集团和法人监管体系,检查评估操作风险管理体系的健全性和有效性。 第四十条 国家金融监督管理总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式,实施对操作风险管理的持续监管。 第四十一条 国家金融监督管理总局及其派出机构发现银行保险机构操作风险管理存在缺陷和问题时,应当要求其及时整改,并上报整改落实情况。 第四十二条 银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内,按照监管职责归属向国家金融监督管理总局或其派出机构报告: 第四十三条 银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并视情形依法采取监管措施: 第四十四条 银行保险机构存在以下情形的,国家金融监督管理总局及其派出机构应当责令改正,并依法实施行政处罚;法律、行政法规没有规定的,由国家金融监督管理总局及其派出机构责令改… 第四十五条 中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式,协助引导会员单位提高操作风险管理水平。 第六章 附则 第四十六条 本办法所称银行保险机构,是指在中华人民共和国境内依法设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司… 第四十七条 本办法所称的规模较大的银行保险机构,是指按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的银行机构,以及按照并表口径(境内外)表… 第四十八条 未设董事会的银行保险机构,应当由其经营决策机构履行本办法规定的董事会职责。 第四十九条 本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。 第五十条 关于本办法第二章、第三章、第四章的规定,规模较大的保险机构自本办法施行之日起1年内执行;规模较小的银行保险机构自本办法施行之日起2年内执行。 第五十一条 本办法由国家金融监督管理总局负责解释修订,自2024年7月1日起施行。 第五十二条 《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)自本办法施行… 附录: 名词解释及示例 附录 一、 操作风险事件 二、 法律风险 1. 签订的合同因违反法律或者行政法规可能被依法撤销或者确认无效; 2. 因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任; 3. 业务、管理活动违反法律、法规或者监管规定,依法可能承担刑事责任或者行政责任。 三、 运营韧性 四、 操作风险管理报告 五、 操作风险类监测指标 (一) 指标计算公式 (二) 案件风险率 (三) 操作风险损失率 六、 风险偏好传导机制 七、 考核评价指标 八、 固有风险、剩余风险 九、 操作风险等级 十、 缓释操作风险 十一、 操作风险损失数据库、操作风险自评估、关键风险指标 (一) 操作风险损失数据库 (二) 操作风险自评估 (三) 关键风险指标 十二、 事件管理、控制监测和保证框架、情景分析、基准比较分析 (一) 事件管理 (二) 控制监测和保证框架 (三) 情景分析 (四) 基准比较分析