杨志国、赵琦｜全面加强操 作风险管理，积极迎接操作 风险新规

        2023年12月27日，国家金融监督管理总局修订发布了《银行保险机构操作风险管理办法》（以下简称“办法”），该办法旨在通过统一规范金融保险机构相关操作风险管理活动，有效防范操作风险，降低损失，提升金融保险机构对内外部事件冲击的应对能力，为其业务稳健运营提供保障。该办法于2024年7月1日起施行。



 

一、多方面规范操作风险管理活动

        根据办法规定，操作风险是指金融保险机构由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险，其包括法律风险，但不包括战略风险和声誉风险。该定义澄清了操作风险应包含法律风险（后者包含合规风险），消除了当下操作风险是否包含合规风险的实务争议；此外，尽管该定义明确表明操作风险不包含战略风险和声誉风险，但是在适当情况下，银行保险机构的操作风险管理部门还需要考虑战略风险和声誉风险管理，而不能将这些风险割裂对待和管理。

        在风险治理和管理责任方面，办法要求金融保险机构构建一个自上而下、全面覆盖的操作风险管理体系：董事会应当批准并定期审查操作风险管理框架，审批操作风险偏好及其传导机制，并确保高级管理层有效落实操作风险管理框架的政策、流程和系统；高级管理层负责落实和管理银行保险机构所有重大产品、活动、流程和系统的操作风险有关政策、流程和系统，以符合银行保险机构的风险偏好，并应定期向董事会提交操作风险管理报告；同时，办法还明确了监事（会）对操作风险管理的监督职责；此外，办法规定银行保险机构应建立操作风险管理的三道防线：第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，银行保险机构应将其完全纳入操作风险管理流程，第二道防线包括负责各级操作风险管理和计量的牵头部门，负责对第一道防线进行指导和监督，而第三道防线是各级内部审计部门，负责独立审查以及定期开展操作风险专项审计。根据办法有关要求，银行保险机构应该保证每道防线在预算、工具和人员方面配置充足的资源，明确每一道防线的功能和职责，并且在三道防线之间及各防线内部建立完善的风险数据和信息共享机制，打破信息壁垒。

        在风险管理基本要求方面，办法要求银行保险机构应当制定、实施和维护一个融入银行总体风险管理流程的操作风险管理制度；银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检；此外，银行保险机构还应建立或集成具备操作风险管理功能的管理信息系统，同时培育良好的操作风险管理文化，并确保员工接受适当的考核和培训；最后，银行保险机构还需要进行操作风险信息披露。根据办法关于风险偏好设定的要求，银行保险机构应该在整体风险偏好下，结合机构自身短期及长期战略以及财务规划设定其操作风险偏好，如案件风险率、操作风险损失率、监管处罚金额等，并通过风险限额、容忍度、绩效考核等方式向各个境内外附属机构、分支机构或者业务条线进行传导，将操作风险管理有机地融入到日常经营管理活动中来；另外，办法提出的操作风险管理文化培育和员工考核要求也值得关注，银行保险机构应当努力建立强有力的操作风险管理文化，并为专业和负责任的行为制定标准和考核与奖励措施，而这也将会是银行保险机构所要面临的一项持久任务，各银行保险机构应认真对待，不得流于形式。

        在管理流程和管理工具方面，办法就操作风险识别、评估、控制、缓释、监测、报告和资本计提的全流程提出了监管要求，同时也就内部控制、业务连续性管理、数据安全管理、业务外包管理、重大事件报告、变更管理以及压力测试等方面做出了规定；此外，办法还规定了以三大基本工具为主的管理工具体系，并提出了创新管理工具建议。其中，办法关于内部控制的要求在总体上与现行的《商业银行内部控制指引》、《保险公司内部控制基本准则》等监管规定保持了一致，但同时，办法就操作风险管理作出了更为具体的规定，例如风险偏好及其传导机制、授权管理、检查管理、履职回避以及员工行为管理等，这要求银行保险机构应该根据新规定有关要求，及时梳理并对应调整其现行内部控制，做到对办法要求的全面覆盖；在业务连续性管理、数据安全管理以及变更管理等方面，办法也参考了国际监管规则并进行了对应规范，体现出了与国际监管理念的接轨，同时也适应了新环境下的新变化，银行保险机构应对网络与信息技术等新型操作风险管理内容予以足够重视，并在从事新活动、开发新产品等变更活动时进行全周期的变更管理。

查看完整文章请下载附件。