解读新规：聚焦中国银行保险机构操作风险管理

全球风险管理专业人士协会（GARP）致力于为风险管理条线上的各级人员，包括各大金融机构的风险管理从业者和监管机构人员提供风险教育和行业资讯。GARP China微信公众号将陆续刊登宏观经济和政策解读文章，介绍金融政策动向、宏观调控、气候风险管理等领域对操作风险、信用风险、市场风险和资产负债管理的影响。让我们一起全面认识风险，防范风险，化解风险。

为进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平，国家金融监督总局于2023年12月29日修订发布《银行保险机构操作风险管理办法》（以下简称《办法》），要求银行保险机构优化操作风险治理框架，规定操作风险管理基本要求，细化操作风险管理流程和管理工具，完善相关政策制度和流程管理。

国家金融监管总局有关司局负责人在答记者问时表示，《办法》将于2024年7月1日起施行，给银行保险机构预留充分时间开展实施工作，而原银监会于2007颁布的《商业银行操作风险管理指引》将同日废止。同时，《办法》区分情形进行差异化监管，设置一定的过渡期，并充分征求和采纳了各类市场主体的意见。

《办法》建立了中国金融行业统一的操作风险管理指引，完善了中国银行保险机构操作风险管理监管制度，进一步巩固了防范化解金融风险攻坚战的成果，从而规范提升银行保险机构操作风险管理水平。

一、操作风险无处不在

《办法》称操作风险是指，由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。操作风险包括法律风险，但不包括战略风险和声誉风险。

操作风险事件在银行保险机构的经营管理中极为常见。简言之，银行保险机构只要营业，就可能面临各种由于人员、系统、流程或者外部事件所带来的风险。例如，客户的欺诈、伪造、纠纷等风险，内部人员的工作差错、盗窃的风险，以及产品瑕疵、系统故障、管理不当等风险。

与信用风险和市场风险不同，操作风险涉及到银行保险机构的每一项业务及相关人员，并且是影响并危及银行保险机构运营的至主要风险。但由于国际银行业在过去的一段时间内对于操作风险的认识较为模糊，操作风险管理经常会被机构管理层有意或无意地“忽视”。

从国际上来看，银行操作风险事件屡见不鲜。比较著名的有1995年，英国巴林银行的一名操作员违规擅自从事股指期权交易亏损近13亿美元，导致了有233年历史的巴林银行破产。类似的还有2001年UBS（瑞银）交易事件中一位交易员把 “每股61万日圆，卖出16股” 打成 “每股16日圆，卖出61万股” ，几秒钟内使公司损失7100万英镑。再比如，2012年桑坦德银行违规洗钱事件，2016年Wells Fargo银行的虚假账户丑闻，以及HSBC违反了反洗钱法规等。

近二十年以来，中国国内也有银行曾经历过一些影响比较大的操作风险事件。其中，2004年中国农业银行因内部控制不力和贷款违约问题引发的事件，2007年中国银行因外汇业务风险管理不善而遭遇外汇交易损失的操作风险事件，以及2015年招商银行信用卡系统故障导致客户账户异常的事件，都对国内银行业产生了较大的影响。因此，国内外商业银行在日常经营管理中都不断面临着操作风险管理的挑战，也体现了监管机构对银行操作风险管理进行严格监督的必要性。

二、银行保险机构操作风险管理的关键焦点

《办法》总体上接轨了国际监管规则的新发展，充分吸收了国内金融机构在操作风险管理方面的一些良好实践，针对机构经营实务中遇到的问题提出了更加全面的要求，体现了强监管、严监管、穿透式监管的导向。《办法》主要从风险治理结构、风险管理基本要求、管理流程和管理工具、风险监督管理四个维度全面完善了银行保险机构的操作风险防控体系。

1.   风险治理结构：完善高层责任，设立三道防线

《办法》明确了董事会承担操作风险管理的至终责任，负责审批公司操作风险管理基本制度、操作风险偏好及其传导机制、审批操作风险信息披露制度，按年度审议操作风险管理报告；强调了监事会将操作风险管理履职情况纳入监事会工作报告；界定了高管层承担操作风险管理的实施责任，设置操作风险偏好及其传导机制，督促各部门尽职履责，并及时处理突破风险偏好及违反操作风险管理制度的情况。

针对操作风险管理实践中三道防线职责不清晰和管理视角不独立的问题，《办法》明确提出操作风险管理的“三道防线”，并定义每道防线的范围和职责边界。第一道防线包括各级业务和管理部门，负责各自领域内的操作风险管理工作；第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作；第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。

2.   风险管理基本要求：推进操作风险偏好管理，建立有效的考核评价机制

在操作风险管理流程中，设定操作风险偏好指标并有效传导监控长期以来一直是一个挑战。

有些机构只能使用定性方法来描述操作风险偏好，而无法将这些偏好量化为可衡量的指标，并难以建立有效的监控系统来跟踪这些指标。《办法》提出银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险监测指标要求，其中可以包括案件风险率和操作风险损失率。

《办法》注重银行保险机构内部培育操作风险管理文化的软约束，进一步提升操作风险管理的内生动力。此外，要求机构建立有效的操作风险管理考核评价机制，考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当与考核评价结果对应，以确保机构内部的激励机制与操作风险管理的绩效紧密相连。

3.   风险管理流程和方法：运用多项管理工具，加强全流程管理

《办法》要求银行保险机构对操作风险进行全流程管理。重点规定了内部控制、业务连续性管理、业务外包管理等操作风险控制和缓释措施的基本要求，并建立操作风险情况和重大操作风险事件报告机制。

值得注意的是，《办法》拓展了操作风险管理的外延，首次将网络安全、数据安全纳入操作风险管理范畴。银行保险机构需制定网络安全管理制度，履行网络安全保护义务，执行网络安全等级保护制度要求，采取必要的管理和技术措施，监测、防御、处置网络安全风险和威胁，重点加强信息保护等。

操作风险损失数据库、自我风险评估、关键风险指标监测是银行管理操作风险的常用工具。《办法》提出要在持续优化操作风险三大管理工具的基础上，鼓励选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，或者开发其他管理工具来不断创新管理手段，提升管理效能。

4.   风险监督管理：完善监督职责，升级监管力度

《办法》明确指出金融监管总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式，实施对操作风险管理的持续监管，监管方式更为直接和明确。在违规处罚方面，《办法》上调了操作风险违规行为罚款金额上限（二十万元），提高了机构的违规成本。

《办法》通过细化各类操作风险报告的时限要求来压实各层级的职责：如操作风险管理报告明确为每年向监管机构报告、内部操作风险专项审计规范为至少每三年开展一次、重大操作风险事件5个工作日内报告等。其中，重大操作风险事件的符合条件包括：预计损失5000万元以上或资本净额5%（含）以上的事件、损失1000万元以上或资本净额1%的事件、严重侵犯公民个人信息及其他权益的事件、员工涉及非法集资类犯罪的事件等。

总的来说，《办法》的出台为中国银行保险机构建立更加健全的操作风险管理体系提供了明确的制度框架和指导，将进一步推动银行保险机构加强操作风险管理，并提升金融体系的稳定性和健康发展。在此背景下，银行保险金融机构应基于机构性质、规模、业务复杂程度和风险特征等要素，制定落实操作风险新规的策略，明确操作风险新规达标的实施路径，建立与机构业务性质、规模和复杂程度相匹配的操作风险管理体系。

以上文章来源于GARP ，如有侵权请联系删除。