金融监管总局征求意见

银行保险机构应建立操作风险管理的三道防线

7月28日，国家金融监督管理总局发布《银行保险机构操作风险管理办法（征求意见稿）》（以下简称《办法》），向社会公开征求意见。《办法》要求，银行保险机构应当建立操作风险管理的三道防线。

操作风险是银行保险机构经营管理中面临的主要风险之一。原银监会2007年制定的《商业银行操作风险管理指引》施行后，对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求，建立了保险公司操作风险管理的基本框架。

国家金融监督管理总局有关部门负责人介绍，近年来，操作风险防控形势更加复杂，原有监管规定难以满足风险管理的现实需要，国内银行保险机构在操作风险管理方面既积累了一系列良好做法，也暴露了一些不足，操作风险管理相关的国际规则也进行了修订完善，有必要对原有监管规定进行全面修订。

建立三道防线

修订后的《办法》共六章50条及附录，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则，主要内容包括：

一是明确风险治理和管理责任。明确董事会、监事（会）和高级管理层的责任，界定三道防线的具体范围和职责，特别是明确各级业务和管理部门均属于第一道防线范畴，要求在一级分行（省级分公司）及以上设置第二道防线的操作风险管理专岗。

对于三道防线，《办法》明确，第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。

二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险管理信息系统，培育良好的操作风险管理文化。

三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具。

四是完善监督管理职责。国家金融监督管理总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性，行业协会应当发挥自律和服务作用。

区分规模实行差异化监管

根据《办法》，银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内，按照监管职责归属向国家金融监督管理总局或其派出机构报告：

一是形成预计损失5000万元（含）以上或者超过上年度末资本净额5%（含）以上的事件；

二是形成损失金额1000万元（含）以上或者超过上年度末资本净额1%（含）以上的事件；

三是造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露，已经或者可能造成重大损失和严重影响的事件；

四是重要信息系统出现故障、受到网络攻击，导致在同一省份的营业网点、电子渠道业务中断3小时以上；或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上；

五是因网络欺诈及其他信息安全事件，导致本机构或客户资金损失1000万元以上，或者造成重大社会影响；

六是董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件；

七是严重侵犯公民个人信息安全和合法权益的事件；

八是员工发起、主导或者组织实施非法集资类违法犯罪的事件；

九是其他需要报告的重大操作风险事件。

值得关注的是，《办法》区分规模实行差异化监管：鼓励规模较大的机构提升运营韧性；不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能；明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

《办法》所称的规模较大的银行保险机构，是指按照并表调整后表内外资产（杠杆率分母）达到3000亿元人民币（含等值外币）及以上的银行机构，以及按照并表口径（境内外）表内总资产达到2000亿元人民币（含等值外币）及以上的保险机构。规模较小的银行保险机构是指未达到上述标准的机构。

来源：中国银行保险报

http://www.cbimc.cn/content/2023-07/31/content_490861.html