銀行保險機構操作風險管理辦法

2023年7月28日，國家金融監督管理總局發布公告。為進一步完善銀行保險機構操作風險監管規則，提升銀行保險機構的操作風險管理水平，國家金融監督管理總局起草了《銀行保險機構操作風險管理辦法（徵求意見稿）》，現向社會公開徵求意見。

第一條 【立法目的及依據】為提高銀行保險機構操作風險管理水平，根據《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》等法律法規，制定本辦法。

第二條 【定義】本辦法所稱操作風險，是指由於內部程式、員工、信息科技系統存在問題以及外部事件造成損失的風險。本定義所指操作風險包括法律風險，但不包括戰略風險和聲譽風險。

第三條 【總體目標】操作風險管理是全面風險管理體系的重要組成部分,目標是有效防範操作風險，降低損失，提升對內外部事件衝擊的應對能力，為業務穩健運營提供保障。

第四條 【基本原則】操作風險管理應當遵循以下基本原則：

（一）審慎性原則。操作風險管理應當堅持風險為本的理念，充分重視風險苗頭和潛在隱患，有效識別影響風險管理的不利因素，配置充足資源，及時採取措施，提升前瞻性。

（二）全面性原則。操作風險管理應當覆蓋各業務條線、各分支機構，覆蓋所有部門、崗位、員工和產品，貫穿決策、執行和監督全部過程，充分考量其他內外部風險的相關性和傳染性。

（三）匹配性原則。操作風險管理應當體現多層次、差異化的要求，管理體系、管理資源應當與機構發展戰略、經營規模、複雜性和風險狀況相適應，並根據情況變化及時調整。

（四）有效性原則。銀行保險機構應當以風險偏好為導向，有效識別、評估、計量、控制、緩釋、監測、報告所面臨的操作風險，將操作風險控制在可承受範圍之內。

第五條 【運營韌性】規模較大的銀行保險機構應當基於良好的治理架構，加強操作風險管理，統籌協調業務連續性、外包風險管理、網路安全、數據安全管理和突發事件應對等機制，結合恢復與處置計畫工作，提升運營韌性，具備在發生重大風險和外部事件時持續提供關鍵業務和服務的能力。

第六條 【監管職責】國家金融監督管理總局（以下簡稱金融監管總局）及其派出機構依法對銀行保險機構操作風險管理實施監管。

第二章 風險治理和管理責任

第七條 【董事會職責】銀行保險機構董事會應當將操作風險作為本機構面對的主要風險之一，承擔操作風險管理的最終責任。主要職責包括：

（一）審批操作風險管理基本制度，確保與戰略目標一致；

（二）審批操作風險偏好及其傳導機制，將操作風險控制在可承受範圍之內；

（三）審批高級管理層有關操作風險管理職責、許可權、報告等制度，確保操作風險管理體系的有效性；

（四）每年至少審議一次高級管理層提交的操作風險管理報告，充分了解、評估操作風險管理總體情況以及高級管理層工作；

（五）確保高級管理層採取必要措施有效識別、評估、計量、控制、緩釋、監測、報告操作風險；

（六）確保操作風險管理體系接受內部審計部門的有效審查與監督；

（七）審批操作風險信息披露制度；

（八）確保建立與操作風險管理要求匹配的風險文化；

（九）其他有關職責。

第八條 【監事（會）職責】設立監事（會）的銀行保險機構，其監事（會）應當承擔操作風險管理的監督責任，負責監督檢查董事會和高級管理層的履職盡責情況，及時督促整改，並納入監事（會）工作報告。

未設立監事（會）的銀行保險機構，由依法行使監事（會）職權的組織機構承擔操作風險管理的監督責任。

第九條 【高級管理層職責】銀行保險機構高級管理層應當承擔操作風險管理的實施責任。主要職責包括：

（一）制定操作風險管理基本制度和管理辦法；

（二）明確界定各部門、各級機構的操作風險管理職責和報告要求，督促各部門、各級機構履行操作風險管理職責，確保操作風險管理體系正常運行；

（三）設定操作風險偏好及其傳導機制，督促各部門、各級機構執行操作風險管理制度、風險偏好並定期審查，及時處理突破風險偏好以及其他違反操作風險管理要求的情況；

（四）全面掌握操作風險管理總體狀況，特別是重大操作風險事件；

（五）每年至少向董事會提交一次操作風險管理報告，並報送監事（會）；

（六）為操作風險管理配備充足財務、人力和信息科技系統等資源；

（七）檢查並完善操作風險管理體系，有效應對操作風險事件；

（八）制定操作風險管理考核評價與獎懲機制；

（九）其他相關職責。

第十條 【三道防線】銀行保險機構應當建立操作風險管理的三道防線。

第一道防線包括各級業務和管理部門，是操作風險的直接承擔者和管理者，負責各自領域內的操作風險管理工作。第二道防線包括負責各級操作風險管理和計量的牽頭部門，指導、監督第一道防線的操作風險管理工作。第三道防線是各級內部審計部門，對第一、二道防線履職情況及有效性進行監督評價。

三道防線之間及各防線內部應當建立完善風險數據和信息共享機制。

第十一條 【第一道防線職責】第一道防線部門主要職責包括：

（一）指定專人負責操作風險管理工作，投入充足資源；

（二）按照風險管理評估方法，識別、評估自身操作風險；

（三）建立控制、緩釋措施，定期評估措施的有效性；

（四）持續監測風險，確保符合操作風險偏好；

（五）定期報送操作風險管理報告，及時報告重大操作風險事件；

（六）制定業務流程和制度時充分體現操作風險管理和內部控制的要求；

（七）其他相關職責。

第十二條 【第二道防線職責】第二道防線部門應當保持獨立性，持續提升操作風險管理的一致性和有效性。主要職責包括：

（一）在一級分行（省級分公司）及以上設立操作風險管理專崗，為其配備充足的財務、人力等資源；

（二）跟蹤操作風險管理監管政策規定並組織落實；

（三）擬定操作風險管理基本制度、管理辦法，制定操作風險識別、評估、計量、監測、報告的方法和具體規定；

（四）指導、協助第一道防線識別、評估、監測、控制、緩釋和報告操作風險，並定期開展監督；

（五）每年至少向高級管理層提交一次操作風險管理報告；

（六）計量操作風險；

（七）開展操作風險管理培訓；

（八）其他相關職責。

規模較小的銀行保險機構可不設立前款第（一）項規定的操作風險管理專崗，金融監管總局或其派出機構另有要求的除外。

第十三條 【專業部門職責】法律、合規、信息科技、數據管理、消費者權益保護、安全保衛、財務會計、人力資源、精算等部門在承擔本部門操作風險管理職責的同時，應當在職責範圍內為其他部門操作風險管理提供充足資源和支持。

第十四條 【第三道防線職責】內部審計部門應當每三年至少開展一次操作風險管理專項審計，覆蓋第一道防線、第二道防線操作風險管理情況，檢查評估操作風險管理體系運行情況，並向董事會報告。

內部審計部門在開展其他審計項目時，應當充分關注操作風險管理情況。

第十五條 【外部審計和評價】規模較大的銀行保險機構應當至少每三年一次委託第三方機構對其操作風險管理情況進行審計和評價，並向金融監管總局或其派出機構報送外部審計報告。

第十六條 【機構主體責任】銀行保險機構境內分支機構、直接經營業務的部門應當承擔操作風險管理主體責任，並履行以下職責：

（一）為本級、本條線操作風險管理部門配備充足資源；

（二）嚴格執行操作風險管理制度、風險偏好以及管理流程等要求；

（三）按照內外部審計結果和監管要求改進操作風險管理；

（四）其他相關職責。

境外分支機構除滿足前款要求外，還應當符合所在地監管要求。

第十七條 【附屬機構職責】銀行保險機構應當要求其並表管理範圍內的境內金融附屬機構、金融科技類附屬機構建立符合集團風險偏好，與其業務範圍、風險特徵、經營規模、監管要求相適應的操作風險管理體系，建立健全三道防線，制定操作風險管理制度。

境外附屬機構除滿足前款要求外，還應當符合所在地監管要求。

第三章 風險管理基本要求

第十八條 【制度】操作風險管理基本制度應當與業務性質、規模、複雜程度和風險特徵相適應，至少包括以下內容：

（一）操作風險定義；

（二）操作風險管理組織架構、許可權和責任；

（三）操作風險識別、評估、計量、監測、控制、緩釋程式；

（四）操作風險報告機制，包括報告主體、責任、路徑、頻率、時限等。

銀行保險機構應當在操作風險管理基本制度制定或者修訂後15個工作日內,按照監管職責歸屬報送金融監管總局或其派出機構。

第十九條 【偏好及傳導】銀行保險機構應當在整體風險偏好下制定定性、定量指標並重的操作風險偏好，每年開展重檢。風險偏好應當與戰略目標、經營計畫、績效考評和薪酬機制等相銜接。

風險偏好指標應當包括監管部門對特定機構確定的操作風險類監測指標要求。

銀行保險機構應當通過確定操作風險容忍度或者風險限額等方式建立風險偏好傳導機制，對操作風險進行持續監測和及時預警。

第二十條 【管理信息系統】銀行保險機構應當建立具備操作風險管理功能的管理信息系統，主要功能包括：

（一）記錄和存儲損失相關數據和操作風險事件信息；

（二）支持操作風險和控制措施的自評估；

（三）支持關鍵風險指標監測；

（四）支持操作風險計量；

（五）提供操作風險報告相關內容。

第二十一條 【風險文化】銀行保險機構應當培育良好的操作風險管理文化，明確員工行為規範和職業道德要求。

第二十二條 【考核評價】銀行保險機構應當建立有效的操作風險管理考核評價機制，考核評價指標應當兼顧操作風險管理過程和結果。薪酬和激勵約束機制應當有效反映考核評價結果。

第二十三條 【培訓】銀行保險機構應當定期開展操作風險管理相關培訓。

第二十四條 【信息披露】銀行保險機構應當按照金融監管總局的規定披露操作風險管理情況。

銀行機構應當按照監管要求披露損失數據等相關信息。

第四章 風險管理流程和方法

第二十五條 【識別、評估】銀行保險機構應當根據操作風險偏好，識別內外部固有風險，評估控制、緩釋措施的有效性，分析剩餘風險發生的可能性和影響程度，劃定操作風險等級，確定接受、降低、轉移、規避等應對策略，有效分配管理資源。

第二十六條 【控制、緩釋】銀行保險機構應當結合風險識別、評估結果，實施控制、緩釋措施，將操作風險控制在風險偏好內。

銀行保險機構應當根據風險等級，對業務、產品、流程以及相關管理活動的風險採取控制、緩釋措施，持續監督執行情況，建立良好的內部控制環境。

銀行保險機構通過購買保險、業務外包等措施緩釋操作風險的，應當確保緩釋措施實質有效。

第二十七條 【內部控制要求】銀行保險機構應當將加強內部控制作為操作風險管理的有效手段。內部控制措施至少包括：

（一）明確部門間職責分工，避免利益衝突；

（二）密切監測風險偏好及其傳導機制的執行情況；

（三）加強各類業務授權和信息系統許可權管理；

（四）建立重要財產的記錄和保管、定期盤點、賬實核對等日常管理和定期檢查機制；

（五）加強不相容崗位管理，有效隔離重要業務部門和關鍵崗位，建立履職迴避以及關鍵崗位輪崗、強制休假、離崗審計制度；

（六）加強員工行為管理，重點關注關鍵崗位員工行為；

（七）對交易和賬戶進行定期對賬；

（八）建立內部員工揭發檢舉的獎勵和保護機制；

（九）配置適當的員工並進行有效培訓；

（十）建立操作風險管理的激勵約束機制；

（十一）其他內部控制措施。

第二十八條 【業務連續性管理】銀行保險機構應當制定與其業務規模和複雜性相適應的業務連續性計畫，有效應對導致業務中斷的突發事件，最大限度減少業務中斷影響。

銀行保險機構應當定期開展業務連續性應急預案演練評估，驗證應急預案及備用資源的可用性，提高員工應急意識及處置能力，測試關鍵服務供應商的持續運營能力，確保業務連續性計畫滿足業務恢複目標，有效應對內外部威脅及風險。

第二十九條 【數據安全管理】銀行保險機構應當制定數據安全管理制度，對數據進行分類分級管理，採取保護措施，保護數據免遭篡改、破壞、泄露、丟失或者被非法獲取、非法利用，重點加強個人信息保護，規範數據處理活動，促進依法合理利用數據。

第三十條 【業務外包管理】銀行保險機構應當制定與業務外包有關的風險管理制度，確保有嚴謹的業務外包契約和服務協定，明確各方責任義務，加強對外包方的監督管理。

第三十一條 【風險監測】銀行保險機構應當定期監測操作風險狀況和重大損失情況，對風險持續擴大的情形建立預警機制，及時採取措施控制、緩釋風險。

第三十二條 【操作風險管理報告】銀行保險機構應當建立操作風險內部定期報告機制。第一道防線應當向上級對口管理部門和本級操作風險管理部門報告，各級操作風險管理部門匯總本級及所轄機構的情況向上級操作風險管理部門報告。

銀行保險機構應當在每年四月底前按照監管職責歸屬向金融監管總局或其派出機構報送前一年度操作風險管理情況。

第三十三條 【重大事件報告】銀行保險機構應當建立重大操作風險事件報告機制，及時向董事會、高級管理層、監事（會）和其他內部部門報告重大操作風險事件。

第三十四條 【管理工具】銀行保險機構應當運用操作風險損失資料庫、操作風險自評估、關鍵風險指標等基礎管理工具管理操作風險，可以選擇運用事件管理、控制監測和保證框架、情景分析、基準比較分析等管理工具，或者開發其他管理工具。

銀行保險機構應當運用各項風險管理工具進行交叉校驗，定期重檢、最佳化操作風險管理工具。

第三十五條 【變更管理】銀行保險機構存在以下重大變更情形的，應當強化操作風險的事前識別、評估等工作：

（一）開發新業務、新產品；

（二）新設境內外分支機構、附屬機構；

（三）拓展新業務範圍、形成新商業模式；

（四）業務流程、信息科技系統等發生重大變更；

（五）其他重大變更情形。

第三十六條 【資本計提】銀行機構應當按照金融監管總局關於資本監管的要求，對承擔的操作風險計提充足資本。

第三十七條 【壓力測試】銀行保險機構應當建立操作風險壓力測試機制，定期開展操作風險壓力測試，在開展其他壓力測試過程中應當充分考慮操作風險的影響，針對壓力測試中識別的潛在風險點和薄弱環節，及時採取應對措施。

第五章 監督管理

第三十八條 【檢查評估】金融監管總局及其派出機構應當將銀行保險機構操作風險管理納入集團和法人監管體系中，檢查評估操作風險管理體系的健全性和有效性。

金融監管總局加強與相關部門的監管協作和信息共享，共同防範金融風險跨機構、跨行業傳染。

第三十九條 【監管方式】金融監管總局及其派出機構通過監管評級、風險提示、監管通報、監管會談、與外部審計師會談等非現場監管和現場檢查方式，實施對操作風險管理的持續監管。

金融監管總局及其派出機構認為必要時，可以要求銀行保險機構提供第三方機構就其操作風險管理出具的審計或者評價報告。

第四十條 【整改通報】金融監管總局及其派出機構發現操作風險管理缺陷和問題的，應當要求銀行保險機構及時整改。

金融監管總局及其派出機構依照職責通報重大操作風險事件和風險管理漏洞。

第四十一條 【重大事件報告】銀行保險機構應當在知悉或者應當知悉以下重大操作風險事件5個工作日內，按照監管職責歸屬向金融監管總局或其派出機構報告：

（一）形成預計損失5000萬元（含）以上或者超過上年度末資本淨額5%（含）以上的事件；

（二）形成損失金額1000萬元（含）以上或者超過上年度末資本淨額1%（含）以上的事件；

（三）造成重要數據、重要賬冊、重要空白憑證、重要資料嚴重損毀、丟失或者泄露，已經或者可能造成重大損失和嚴重影響的事件；

（四）重要信息系統出現故障、受到網路攻擊，導致在同一省份的營業網點、電子渠道業務中斷3小時以上；或者在兩個及以上省份的營業網點、電子渠道業務中斷30分鐘以上；

（五）因網路欺詐及其它信息安全事件，導致本機構或客戶資金損失1000萬元以上，或者造成重大社會影響；

（六）董事、高級管理人員、監事及分支機構負責人被採取監察調查措施、刑事強制措施或者承擔刑事法律責任的事件；

（七）嚴重侵犯公民個人信息安全和合法權益的事件；

（八）員工發起、主導或者組織實施非法集資類違法犯罪的事件；

（九）其他需要報告的重大操作風險事件。

對於第一款規定的重大操作風險事件，金融監管總局在案件管理、突發事件管理等監管規定中另有報告要求的，應當按照有關要求及時報告，並在報告時註明該事件屬於重大操作風險事件。

金融監管總局可以根據監管工作需要，調整第一款規定的重大操作風險事件報告標準。

第四十二條 【監管措施】銀行保險機構存在以下情形的，金融監管總局及其派出機構應當責令改正，並視情形依法採取監管措施：

（一）未按照規定製定或者執行操作風險管理制度；

（二）未按照規定設定或者履行操作風險管理職責；

（三）未按照規定設定操作風險偏好及其傳導機制；

（四）未建立或者落實操作風險管理文化、考核評價機制、培訓；

（五）未建立操作風險管理流程、管理工具和信息系統，或者其設計、套用存在缺陷。

第四十三條 【法律責任】銀行保險機構存在以下情形的，金融監管總局及其派出機構應當責令改正，並依法實施行政處罰；法律、行政法規沒有規定的，由金融監管總局及其派出機構責令改正，予以警告、通報批評，或者處以十萬元以下罰款；涉嫌犯罪的，應當依法移送司法機關：

（一）存在本辦法第四十二條規定的情形，並造成重大損失或者其他嚴重後果；

（二）操作風險事件造成重大損失或者其他嚴重後果，因不可抗力導致的除外；

（三）未按照監管要求整改；

（四）未按照本辦法第四十一條的規定報送重大操作風險事件；

（五）其他嚴重違反監管規定的情形。

第四十四條 【行業協會職責】中國銀行業協會、中國保險行業協會等行業社團組織應當通過宣傳、培訓、自律、協調、服務等方式，建立本行業操作風險事件和損失資料庫，協助引導會員單位提高操作風險管理水平。

第六章 附 則

第四十五條 【適用範圍】本辦法所稱銀行保險機構，是指在中華人民共和國境內依法設立的商業銀行、農村信用合作社等吸收公眾存款的金融機構以及開發性金融機構、政策性銀行、保險公司。

中華人民共和國境內設立的外國銀行分行、保險集團（控股）公司、再保險公司、金融資產管理公司、消費金融公司、貨幣經紀公司以及金融監管總局及其派出機構監管的其他機構參照本辦法執行。

第四十六條 【規模標準】本辦法所稱的規模較大的銀行保險機構，是指按照並表調整後表內外資產（槓桿率分母）達到3000億元人民幣（含等值外幣）及以上的銀行機構，以及按照並表口徑（境內外）表內總資產達到2000億元人民幣（含等值外幣）及以上的保險機構。規模較小的銀行保險機構是指未達到上述標準的機構。

第四十七條 【特殊規定】未設董事會的銀行保險機構，應當由其經營決策機構履行本辦法規定的董事會職責。

第四十八條 【保險機構例外】本辦法第四條、第七條、第十條、第十二條、第十八條、第二十條關於計量的規定不適用於保險機構。

規模較小的銀行保險機構執行本辦法第二章、第三章的相關規定有兩年過渡期，過渡期為辦法施行之日起2年內。

第四十九條 【施行時間】本辦法由金融監管總局負責解釋修訂，自 年 月 日起施行。

第五十條 【廢止】《商業銀行操作風險管理指引》（銀監發〔2007〕42號）、《中國銀行業監督管理委員會關於加大防範操作風險工作力度的通知》（銀監發〔2005〕17號）同時廢止。

附錄：名詞解釋及示例

名詞解釋及示例

操作風險事件是指由操作風險引發，導致銀行保險機構發生實際或者預計損失的事件。銀行保險機構分別依據商業銀行資本監管規則和保險業償付能力監管規則進行損失事件分類。

法律風險包括但不限於下列風險：

1.簽訂的契約因違反法律或者行政法規可能被依法撤銷或者確認無效的；

2.因違約、侵權或者其他事由被提起訴訟或者申請仲裁，依法可能承擔賠償責任的；

3.業務、管理活動違反法律、法規或者監管規定，依法可能承擔刑事責任或者行政責任。

運營韌性是在發生重大風險和外部事件時，銀行保險機構具備的持續提供關鍵業務和服務的能力。例如，在發生大規模網路攻擊、大規模傳染病、自然災害等事件時，銀行保險機構通過運營韌性管理機制，能夠持續向客戶提供存取款、轉賬、理賠等關鍵服務。

第七條、第九條、第十二條規定的操作風險管理報告可以是專項報告，也可以是包括操作風險管理內容的全面風險報告等綜合性報告。

第十九條規定的操作風險類監測指標可以包括案件風險率和操作風險損失率。金融監管總局及其派出機構可以視情形決定是否確定對特定機構的操作風險類監測指標。

（一）指標計算公式

案件風險率=業內案件涉案金額/年初總資產和年末總資產的平均數×100%，其中，業內案件定義參照金融監管總局涉刑案件的監管規定。

操作風險損失率=操作風險損失事件的損失金額總和/近三年平均營業收入×100%

（二）案件風險率

案件風險率應當保持在監測目標值的合理區間。監測目標值公式為：

St＝Ss＋ε

St為案件風險率監測目標值；Ss為案件風險率基準值，由監管部門根據同類型機構一定期間的案件風險率、特定機構一定期間的案件風險率，並具體選取時間範圍、賦值適當權重後確定。ε為案件風險率調值，由監管部門裁量確定，主要影響因素包括公司治理和激勵約束機制、反洗錢監管情況、風險事件演變情況、內部管理和控制情況、境外機構合規風險事件情況等。

（三）操作風險損失率

操作風險損失率應當保持在監測目標值的合理區間。監測目標值公式為：

Lt＝Ls＋ε

Lt為操作風險損失率監測目標值；Ls為操作風險損失率基準值，監管部門根據同類型機構一定期間的操作風險損失率、特定機構一定期間的實際操作風險損失率，並具體選取時間範圍、賦值適當權重後確定。ε為操作風險損失率調整值，由監管部門裁量確定，主要影響因素包括操作風險內部管理和控制情況、操作風險損失事件數據管理情況、相關事件數量和金額變化情況、經濟金融周期因素等。

第十九條規定的風險偏好傳導機制，是指銀行保險機構根據風險偏好設定容忍度或者風險限額等，並對境內外附屬機構、分支機構或者業務條線等提出相應要求，如對全行（公司）、各附屬機構、各分行、各業務條線設定操作風險損失率、操作風險事件數量、信息系統可用率等指標或者目標值，並進行持續監測、預警和糾偏。

第二十二條規定的考核評價指標，應當兼顧操作風險管理過程和結果，設定過程類指標和結果類指標。例如，操作風險損失率屬於結果類指標，考核操作風險牽頭管理部門，並分解考核各級機構。操作風險事件報告評分屬於過程類指標，可根據事件是否遲報瞞報、填報信息是否規範、重大事件是否按照要求單獨分析等進行評分。

第二十五條規定的固有風險是指在沒有考慮控制、緩釋措施或者在其付諸實施之前就已經存在的風險。剩餘風險是指現有的風險控制、緩釋措施不能消除的風險。

第二十五條規定的操作風險等級由銀行保險機構自行劃分。例如，通常可劃分為三個等級：發生可能性（頻率）低、影響（損失）程度低的，風險等級為低；發生可能性高、影響（損失）程度低的，風險等級為中；發生可能性低、影響（損失）程度高或者發生可能性高、影響（損失）程度高的，風險等級為高。

第二十六條規定的購買保險是指，銀行保險機構通過購買保險，在自然災害或者意外事故導致形成實物資產損失時，獲得保險賠付，收回部分或者全部損失，有效緩釋風險。其中，保險公司向本機構和關在線上構購買保險不屬於有效緩釋風險。

第三十四條規定的操作風險損失資料庫、操作風險自評估、關鍵風險指標是銀行保險機構用於管理操作風險的基礎工具。

（一）操作風險損失資料庫

操作風險損失資料庫（保險公司償付能力監管規定為操作風險損失事件庫）是指按統一的操作風險分類標準，收集匯總相應操作風險事件信息。操作風險損失資料庫應當結合管理需要收集一定金額以上的操作風險事件信息，收集範圍應當至少包括內部損失事件，必要時可收集幾近損失事件和外部損失事件。

內部損失事件是指，形成實際或者預計財務損失的操作風險事件，包括通過保險及其他手段收回部分或者全部損失的操作風險事件，以及與信用風險、市場風險等其它風險相關的操作風險事件。

幾近損失事件是指，事件已發生，但未造成實際或者預計的財務損失。例如，銀行保險機構因過錯造成客戶損失，有可能被索賠，但因及時採取補救措施彌補了客戶損失，客戶諒解並未進行索賠。

外部損失事件是指，業內其他金融機構出現的大額監管處罰、案件等操作風險事件。

（二）操作風險自評估

操作風險自評估是指，識別業務、產品及管理活動中的固有操作風險，分析控制措施有效性，確定剩餘操作風險，確定操作風險等級。

（三）關鍵風險指標

關鍵風險指標是指，依據操作風險識別、評估結果，設定相應指標，全面反映機構的操作風險敞口、控制措施有效性及風險變化趨勢等情況，並應當具有一定前瞻性。例如，從人員、系統、外部事件等維度制定業內案件數量、生產數據下載率、業外案件涉案金額等作為關鍵風險指標並設定閾值。

第三十四條規定其他操作風險管理工具，包括：

（一）事件管理

事件管理是指，對新發生的、對管理有較大影響的操作風險事件進行分析，識別風險成因、評估控制缺陷，並制定控制最佳化方案，防止類似事件再次發生。例如，發生操作風險事件後，要求第一道防線開展事件調查分析，查清業務或者管理存在的問題並進行整改。

（二）控制監測和保證框架

控制監測和保證框架是指，對操作風險自評估等工具識別的關鍵控制措施進行持續分析、動態最佳化，確保關鍵控制措施的有效性。例如，利用控制監測和保證框架對關鍵控制措施進行評估、重檢、持續監測和驗證。

（三）情景分析

情景分析是指對假設情景進行識別、分析和計量。情景可以包括發生可能性低、影響程度高的事件。

情景分析的基本假設可以引用操作風險損失資料庫、操作風險自評估、關鍵風險指標、控制監測和保證框架等工具獲取的數據信息。運用情景分析可發現潛在風險事件的影響和風險管理的效果，並可對其他風險工具進行完善。

情景分析可以與恢復與處置計畫結合，用於測試運營韌性。例如，假設銀行保險機構發生數據中心無法運行也無法恢復、必須由異地災備中心接替的情景，具體運用專家判斷評估可能造成的損失和影響，制定業務恢復的優先順序和恢復時間等目標，分析需要配置的資源保障。

（四）基準比較分析

基準比較分析，一方面是指將內外部監督檢查結果、同業操作風險狀況與本機構的操作風險識別、評估結果進行比對，對於偏離度較大的，需重啟操作風險識別、評估工作。另一方面是指操作風險管理工具之間互相驗證，例如，將操作風險損失數據與操作風險自評估結果進行比較,確定管理工具是否有效運行。

一、《辦法》制定的背景是什麼

答：操作風險是銀行保險機構經營管理中面臨主要風險之一。原銀監會2007年制定的《商業銀行操作風險管理指引》施行後，對規範商業銀行操作風險管理髮揮了積極作用。《保險公司償付能力監管規則》明確了對保險公司操作風險的管理要求，建立了保險公司操作風險管理的基本框架。近年來，操作風險防控形勢更加複雜，原有監管規定難以滿足風險管理的現實需要，國內銀行保險機構在操作風險管理方面既積累了一系列良好做法，也暴露了一些不足，操作風險管理相關的國際規則也進行了修訂、完善，有必要對原有監管規定進行全面修訂。

二、《辦法》對操作風險管理提出哪些原則

答：《辦法》明確操作風險管理應當遵循以下基本原則：

一是審慎性原則。操作風險管理應當堅持風險為本的理念，充分重視風險苗頭和潛在隱患，有效識別影響風險管理的不利因素，配置充足資源，及時採取措施，提升前瞻性。

二是全面性原則。操作風險管理應當覆蓋各業務條線、各分支機構，覆蓋所有部門、崗位、員工和產品，貫穿決策、執行和監督全部過程，充分考量其他內外部風險的相關性和傳染性。

三是匹配性原則。操作風險管理應當體現多層次、差異化的要求，管理體系、管理資源應當與機構發展戰略、經營規模、複雜性和風險狀況相適應，並根據情況變化及時調整。

四是有效性原則。銀行保險機構應當以風險偏好為導向，有效識別、評估、計量、控制、緩釋、監測、報告所面臨的操作風險，將操作風險控制在可承受範圍之內。

三、《辦法》的主要內容是什麼

答：《辦法》共六章五十條及附錄，包括總則、風險治理和管理責任、風險管理基本要求、風險管理流程和方法、監督管理、附則，主要內容包括：

一是明確風險治理和管理責任。最佳化董事會在公司治理中的作用，明確監事（會）監督職責和高級管理層的執行職責。界定三道防線的具體範圍和職責，特別是明確各級業務和管理部門均屬於第一道防線範疇，要求在一級分行（省級分公司）及以上設定第二道防線的操作風險管理專崗。要求壓實分支機構和附屬機構的責任。

二是規定風險管理基本要求。明確銀行保險機構應當建立操作風險管理基本制度、操作風險偏好和傳導機制，建立健全操作風險的管理信息系統，培育良好的操作風險管理文化。風險管理考核評價指標應當兼顧操作風險管理過程和結果，薪酬和激勵約束機制應當有效反映考核評價結果。規定操作風險管理的培訓和信息披露要求。

三是細化管理流程和管理工具。要求銀行保險機構對操作風險進行全流程管理。規定了內部控制、業務連續性管理、數據安全、業務外包管理等操作風險控制、緩釋措施的基本要求，建立操作風險情況和重大操作風險事件報告機制，套用操作風險損失資料庫等三大基礎管理工具以及新型工具，強化變更管理。

四是完善監督管理職責。規定金融監管總局及其派出機構要檢查評估銀行保險機構操作風險管理體系的健全性和有效性。針對監管發現的有關問題，監管部門應當要求銀行保險機構及時整改。規定重大操作風險事件報告的具體要求。要求行業協會發揮自律和服務作用。

四、此次制定的《辦法》有哪些主要特點

答：一是銀行保險機構適用統一的監管規則。《辦法》整合原有銀行機構的操作風險監管規則與保險機構的操作風險管理要求，明確操作風險的治理和管理責任、風險管理基本要求、風險管理流程和方法、監督管理等基本要求統一適用於銀行和保險機構。同時，考慮到保險行業未將操作風險作為可量化風險進行管理，規定保險機構不適用風險計量、計提資本等方面要求，明確保險集團（控股）公司、再保險公司等參照執行。

二是區分規模實行差異化監管。參照制定恢復和處置計畫機構的認定標準，《辦法》劃分規模較大和規模較小的銀行保險機構，分別適用差異化的監管要求：鼓勵規模較大的機構提升運營韌性；不強制要求銀行保險機構建立獨立的操作風險管理信息系統，但要求其相關信息系統應具備操作風險管理功能；明確規模較小機構的第二道防線部門可不設立操作風險管理專崗，並給予其在實施操作風險管理架構和職責、風險管理基本要求方面兩年過渡期。