7月28日，国家金融监督管理总局发布《银行保险机构操作风险管理办法（征求意见稿）》，《办法》共6章50条，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则。其中，在数据安全方面，《办法》明确银行保险机构应当制定数据安全管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，促进依法合理利用数据。

《银行保险机构操作风险管理办法（征求意见稿）》

第一章 总则

第一条 【立法目的及依据】为提高银行保险机构操作风险管理水平，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规，制定本办法。

第二条 【定义】本办法所称操作风险，是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。本定义所指操作风险包括法律风险，但不包括战略风险和声誉风险。

第三条 【总体目标】操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险，降低损失，提升对内外部事件冲击的应对能力，为业务稳健运营提供保障。

第四条 【基本原则】操作风险管理应当遵循以下基本原则：

（一）审慎性原则。操作风险管理应当坚持风险为本的理念，充分重视风险苗头和潜在隐患，有效识别影响风险管理的不利因素，配置充足资源，及时采取措施，提升前瞻性。

（二）全面性原则。操作风险管理应当覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。

（三）匹配性原则。操作风险管理应当体现多层次、差异化的要求，管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应，并根据情况变化及时调整。

（四）有效性原则。银行保险机构应当以风险偏好为导向，有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险，将操作风险控制在可承受范围之内。

第五条 【运营韧性】规模较大的银行保险机构应当基于良好的治理架构，加强操作风险管理，统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制，结合恢复与处置计划工作，提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。

第六条 【监管职责】国家金融监督管理总局（以下简称金融监管总局）及其派出机构依法对银行保险机构操作风险管理实施监管。

第二章 风险治理和管理责任

第七条 【董事会职责】银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一，承担操作风险管理的最终责任。主要职责包括：

（一）审批操作风险管理基本制度，确保与战略目标一致；

（二）审批操作风险偏好及其传导机制，将操作风险控制在可承受范围之内；

（三）审批高级管理层有关操作风险管理职责、权限、报告等制度，确保操作风险管理体系的有效性；

（四）每年至少审议一次高级管理层提交的操作风险管理报告，充分了解、评估操作风险管理总体情况以及高级管理层工作；

（五）确保高级管理层采取必要措施有效识别、评估、计量、控制、缓释、监测、报告操作风险；

（六）确保操作风险管理体系接受内部审计部门的有效审查与监督；

（七）审批操作风险信息披露制度；

（八）确保建立与操作风险管理要求匹配的风险文化；

（九）其他有关职责。

第八条 【监事（会）职责】设立监事（会）的银行保险机构，其监事（会）应当承担操作风险管理的监督责任，负责监督检查董事会和高级管理层的履职尽责情况，及时督促整改，并纳入监事（会）工作报告。

未设立监事（会）的银行保险机构，由依法行使监事（会）职权的组织机构承担操作风险管理的监督责任。

第九条 【高级管理层职责】银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括：

（一）制定操作风险管理基本制度和管理办法；

（二）明确界定各部门、各级机构的操作风险管理职责和报告要求，督促各部门、各级机构履行操作风险管理职责，确保操作风险管理体系正常运行；

（三）设置操作风险偏好及其传导机制，督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查，及时处理突破风险偏好以及其他违反操作风险管理要求的情况；

（四）全面掌握操作风险管理总体状况，特别是重大操作风险事件；

（五）每年至少向董事会提交一次操作风险管理报告，并报送监事（会）；

（六）为操作风险管理配备充足财务、人力和信息科技系统等资源；

（七）检查并完善操作风险管理体系，有效应对操作风险事件；

（八）制定操作风险管理考核评价与奖惩机制；

（九）其他相关职责。

第十条 【三道防线】银行保险机构应当建立操作风险管理的三道防线。

第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。

第十一条 【第一道防线职责】第一道防线部门主要职责包括：

（一）指定专人负责操作风险管理工作，投入充足资源；

（二）按照风险管理评估方法，识别、评估自身操作风险；

（三）建立控制、缓释措施，定期评估措施的有效性；

（四）持续监测风险，确保符合操作风险偏好；

（五）定期报送操作风险管理报告，及时报告重大操作风险事件；

（六）制定业务流程和制度时充分体现操作风险管理和内部控制的要求；

（七）其他相关职责。

第十二条 【第二道防线职责】第二道防线部门应当保持独立性，持续提升操作风险管理的一致性和有效性。主要职责包括：

（一）在一级分行（省级分公司）及以上设立操作风险管理专岗，为其配备充足的财务、人力等资源；

（二）跟踪操作风险管理监管政策规定并组织落实；

（三）拟定操作风险管理基本制度、管理办法，制定操作风险识别、评估、计量、监测、报告的方法和具体规定；

（四）指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险，并定期开展监督；

（五）每年至少向高级管理层提交一次操作风险管理报告；

（六）计量操作风险；

（七）开展操作风险管理培训；

（八）其他相关职责。

规模较小的银行保险机构可不设立前款第（一）项规定的操作风险管理专岗，金融监管总局或其派出机构另有要求的除外。

第十三条 【专业部门职责】法律、合规、信息科技、数据管理、消费者权益保护、安全保卫、财务会计、人力资源、精算等部门在承担本部门操作风险管理职责的同时，应当在职责范围内为其他部门操作风险管理提供充足资源和支持。

第十四条 【第三道防线职责】内部审计部门应当每三年至少开展一次操作风险管理专项审计，覆盖第一道防线、第二道防线操作风险管理情况，检查评估操作风险管理体系运行情况，并向董事会报告。

内部审计部门在开展其他审计项目时，应当充分关注操作风险管理情况。

第十五条 【外部审计和评价】规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价，并向金融监管总局或其派出机构报送外部审计报告。

第十六条 【机构主体责任】银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任，并履行以下职责：

（一）为本级、本条线操作风险管理部门配备充足资源；

（二）严格执行操作风险管理制度、风险偏好以及管理流程等要求；

（三）按照内外部审计结果和监管要求改进操作风险管理；

（四）其他相关职责。

境外分支机构除满足前款要求外，还应当符合所在地监管要求。

第十七条 【附属机构职责】银行保险机构应当要求其并表管理范围内的境内金融附属机构、金融科技类附属机构建立符合集团风险偏好，与其业务范围、风险特征、经营规模、监管要求相适应的操作风险管理体系，建立健全三道防线，制定操作风险管理制度。

境外附属机构除满足前款要求外，还应当符合所在地监管要求。

第三章 风险管理基本要求

第十八条 【制度】操作风险管理基本制度应当与业务性质、规模、复杂程度和风险特征相适应，至少包括以下内容：

（一）操作风险定义；

（二）操作风险管理组织架构、权限和责任；

（三）操作风险识别、评估、计量、监测、控制、缓释程序；

（四）操作风险报告机制，包括报告主体、责任、路径、频率、时限等。

银行保险机构应当在操作风险管理基本制度制定或者修订后15个工作日内,按照监管职责归属报送金融监管总局或其派出机构。

第十九条 【偏好及传导】银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。

风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。

银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制，对操作风险进行持续监测和及时预警。

第二十条 【管理信息系统】银行保险机构应当建立具备操作风险管理功能的管理信息系统，主要功能包括：

（一）记录和存储损失相关数据和操作风险事件信息；

（二）支持操作风险和控制措施的自评估；

（三）支持关键风险指标监测；

（四）支持操作风险计量；

（五）提供操作风险报告相关内容。

第二十一条 【风险文化】银行保险机构应当培育良好的操作风险管理文化，明确员工行为规范和职业道德要求。

第二十二条 【考核评价】银行保险机构应当建立有效的操作风险管理考核评价机制，考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当有效反映考核评价结果。

第二十三条 【培训】银行保险机构应当定期开展操作风险管理相关培训。

第二十四条 【信息披露】银行保险机构应当按照金融监管总局的规定披露操作风险管理情况。

银行机构应当按照监管要求披露损失数据等相关信息。

第四章 风险管理流程和方法

第二十五条 【识别、评估】银行保险机构应当根据操作风险偏好，识别内外部固有风险，评估控制、缓释措施的有效性，分析剩余风险发生的可能性和影响程度，划定操作风险等级，确定接受、降低、转移、规避等应对策略，有效分配管理资源。

第二十六条 【控制、缓释】银行保险机构应当结合风险识别、评估结果，实施控制、缓释措施，将操作风险控制在风险偏好内。

银行保险机构应当根据风险等级，对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施，持续监督执行情况，建立良好的内部控制环境。

银行保险机构通过购买保险、业务外包等措施缓释操作风险的，应当确保缓释措施实质有效。

第二十七条 【内部控制要求】银行保险机构应当将加强内部控制作为操作风险管理的有效手段。内部控制措施至少包括：

（一）明确部门间职责分工，避免利益冲突；

（二）密切监测风险偏好及其传导机制的执行情况；

（三）加强各类业务授权和信息系统权限管理；

（四）建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制；

（五）加强不相容岗位管理，有效隔离重要业务部门和关键岗位，建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度；

（六）加强员工行为管理，重点关注关键岗位员工行为；

（七）对交易和账户进行定期对账；

（八）建立内部员工揭发检举的奖励和保护机制；

（九）配置适当的员工并进行有效培训；

（十）建立操作风险管理的激励约束机制；

（十一）其他内部控制措施。

第二十八条 【业务连续性管理】银行保险机构应当制定与其业务规模和复杂性相适应的业务连续性计划，有效应对导致业务中断的突发事件，最大限度减少业务中断影响。

银行保险机构应当定期开展业务连续性应急预案演练评估，验证应急预案及备用资源的可用性，提高员工应急意识及处置能力，测试关键服务供应商的持续运营能力，确保业务连续性计划满足业务恢复目标，有效应对内外部威胁及风险。

第二十九条 【数据安全管理】银行保险机构应当制定数据安全管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，促进依法合理利用数据。

第三十条 【业务外包管理】银行保险机构应当制定与业务外包有关的风险管理制度，确保有严谨的业务外包合同和服务协议，明确各方责任义务，加强对外包方的监督管理。

第三十一条 【风险监测】银行保险机构应当定期监测操作风险状况和重大损失情况，对风险持续扩大的情形建立预警机制，及时采取措施控制、缓释风险。

第三十二条 【操作风险管理报告】银行保险机构应当建立操作风险内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告，各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。

银行保险机构应当在每年四月底前按照监管职责归属向金融监管总局或其派出机构报送前一年度操作风险管理情况。

第三十三条 【重大事件报告】银行保险机构应当建立重大操作风险事件报告机制，及时向董事会、高级管理层、监事（会）和其他内部部门报告重大操作风险事件。

第三十四条 【管理工具】银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险，可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，或者开发其他管理工具。

银行保险机构应当运用各项风险管理工具进行交叉校验，定期重检、优化操作风险管理工具。

第三十五条 【变更管理】银行保险机构存在以下重大变更情形的，应当强化操作风险的事前识别、评估等工作：

（一）开发新业务、新产品；

（二）新设境内外分支机构、附属机构；

（三）拓展新业务范围、形成新商业模式；

（四）业务流程、信息科技系统等发生重大变更；

（五）其他重大变更情形。

第三十六条 【资本计提】银行机构应当按照金融监管总局关于资本监管的要求，对承担的操作风险计提充足资本。

第三十七条 【压力测试】银行保险机构应当建立操作风险压力测试机制，定期开展操作风险压力测试，在开展其他压力测试过程中应当充分考虑操作风险的影响，针对压力测试中识别的潜在风险点和薄弱环节，及时采取应对措施。

第五章 监督管理

第三十八条 【检查评估】金融监管总局及其派出机构应当将银行保险机构操作风险管理纳入集团和法人监管体系中，检查评估操作风险管理体系的健全性和有效性。

金融监管总局加强与相关部门的监管协作和信息共享，共同防范金融风险跨机构、跨行业传染。

第三十九条 【监管方式】金融监管总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式，实施对操作风险管理的持续监管。

金融监管总局及其派出机构认为必要时，可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。

第四十条 【整改通报】金融监管总局及其派出机构发现操作风险管理缺陷和问题的，应当要求银行保险机构及时整改。

金融监管总局及其派出机构依照职责通报重大操作风险事件和风险管理漏洞。

第四十一条 【重大事件报告】银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内，按照监管职责归属向金融监管总局或其派出机构报告：

（一）形成预计损失5000万元（含）以上或者超过上年度末资本净额5%（含）以上的事件；

（二）形成损失金额1000万元（含）以上或者超过上年度末资本净额1%（含）以上的事件；

（三）造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露，已经或者可能造成重大损失和严重影响的事件；

（四）重要信息系统出现故障、受到网络攻击，导致在同一省份的营业网点、电子渠道业务中断3小时以上；或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上；

（五）因网络欺诈及其它信息安全事件，导致本机构或客户资金损失1000万元以上，或者造成重大社会影响；

（六）董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件；

（七）严重侵犯公民个人信息安全和合法权益的事件；

（八）员工发起、主导或者组织实施非法集资类违法犯罪的事件；

（九）其他需要报告的重大操作风险事件。

对于第一款规定的重大操作风险事件，金融监管总局在案件管理、突发事件管理等监管规定中另有报告要求的，应当按照有关要求及时报告，并在报告时注明该事件属于重大操作风险事件。

金融监管总局可以根据监管工作需要，调整第一款规定的重大操作风险事件报告标准。

第四十二条 【监管措施】银行保险机构存在以下情形的，金融监管总局及其派出机构应当责令改正，并视情形依法采取监管措施：

（一）未按照规定制定或者执行操作风险管理制度；

（二）未按照规定设置或者履行操作风险管理职责；

（三）未按照规定设置操作风险偏好及其传导机制；

（四）未建立或者落实操作风险管理文化、考核评价机制、培训；

（五）未建立操作风险管理流程、管理工具和信息系统，或者其设计、应用存在缺陷。

第四十三条 【法律责任】银行保险机构存在以下情形的，金融监管总局及其派出机构应当责令改正，并依法实施行政处罚；法律、行政法规没有规定的，由金融监管总局及其派出机构责令改正，予以警告、通报批评，或者处以十万元以下罚款；涉嫌犯罪的，应当依法移送司法机关：

（一）存在本办法第四十二条规定的情形，并造成重大损失或者其他严重后果；

（二）操作风险事件造成重大损失或者其他严重后果，因不可抗力导致的除外；

（三）未按照监管要求整改；

（四）未按照本办法第四十一条的规定报送重大操作风险事件；

（五）其他严重违反监管规定的情形。

第四十四条 【行业协会职责】中国银行业协会、中国保险行业协会等行业社团组织应当通过宣传、培训、自律、协调、服务等方式，建立本行业操作风险事件和损失数据库，协助引导会员单位提高操作风险管理水平。

第六章 附 则

第四十五条 【适用范围】本办法所称银行保险机构，是指在中华人民共和国境内依法设立的商业银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司。

中华人民共和国境内设立的外国银行分行、保险集团（控股）公司、再保险公司、金融资产管理公司、消费金融公司、货币经纪公司以及金融监管总局及其派出机构监管的其他机构参照本办法执行。

第四十六条 【规模标准】本办法所称的规模较大的银行保险机构，是指按照并表调整后表内外资产（杠杆率分母）达到3000亿元人民币（含等值外币）及以上的银行机构，以及按照并表口径（境内外）表内总资产达到2000亿元人民币（含等值外币）及以上的保险机构。规模较小的银行保险机构是指未达到上述标准的机构。

第四十七条 【特殊规定】未设董事会的银行保险机构，应当由其经营决策机构履行本办法规定的董事会职责。

第四十八条 【保险机构例外】本办法第四条、第七条、第十条、第十二条、第十八条、第二十条关于计量的规定不适用于保险机构。

规模较小的银行保险机构执行本办法第二章、第三章的相关规定有两年过渡期，过渡期为办法施行之日起2年内。

第四十九条 【施行时间】本办法由金融监管总局负责解释修订，自 年 月 日起施行。

第五十条 【废止】《商业银行操作风险管理指引》（银监发〔2007〕42号）、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》（银监发〔2005〕17号）同时废止。

近日，为进一步巩固防范化解金融风险攻坚战的成果，国家金融监督管理总局制定了《银行保险机构操作风险管理办法（征求意见稿）》（下称《办法》），并就相关问题回答了记者提问。

一、《办法》制定的背景是什么？

操作风险是银行保险机构经营管理中面临主要风险之一。原银监会2007年制定的《商业银行操作风险管理指引》施行后，对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求，建立了保险公司操作风险管理的基本框架。近年来，操作风险防控形势更加复杂，原有监管规定难以满足风险管理的现实需要，国内银行保险机构在操作风险管理方面既积累了一系列良好做法，也暴露了一些不足，操作风险管理相关的国际规则也进行了修订、完善，有必要对原有监管规定进行全面修订。

二、《办法》对操作风险管理提出哪些原则？

《办法》明确操作风险管理应当遵循以下基本原则：

一是审慎性原则。操作风险管理应当坚持风险为本的理念，充分重视风险苗头和潜在隐患，有效识别影响风险管理的不利因素，配置充足资源，及时采取措施，提升前瞻性。

二是全面性原则。操作风险管理应当覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。

三是匹配性原则。操作风险管理应当体现多层次、差异化的要求，管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应，并根据情况变化及时调整。

四是有效性原则。银行保险机构应当以风险偏好为导向，有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险，将操作风险控制在可承受范围之内。

三、《办法》的主要内容是什么？

《办法》共六章五十条及附录，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则，主要内容包括：

一是明确风险治理和管理责任。优化董事会在公司治理中的作用，明确监事（会）监督职责和高级管理层的执行职责。界定三道防线的具体范围和职责，特别是明确各级业务和管理部门均属于第一道防线范畴，要求在一级分行（省级分公司）及以上设置第二道防线的操作风险管理专岗。要求压实分支机构和附属机构的责任。

二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险的管理信息系统，培育良好的操作风险管理文化。风险管理考核评价指标应当兼顾操作风险管理过程和结果，薪酬和激励约束机制应当有效反映考核评价结果。规定操作风险管理的培训和信息披露要求。

三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

四是完善监督管理职责。规定金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性。针对监管发现的有关问题，监管部门应当要求银行保险机构及时整改。规定重大操作风险事件报告的具体要求。要求行业协会发挥自律和服务作用。

四、此次制定的《办法》有哪些主要特点？

一是银行保险机构适用统一的监管规则。《办法》整合原有银行机构的操作风险监管规则与保险机构的操作风险管理要求，明确操作风险的治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理等基本要求统一适用于银行和保险机构。同时，考虑到保险行业未将操作风险作为可量化风险进行管理，规定保险机构不适用风险计量、计提资本等方面要求，明确保险集团（控股）公司、再保险公司等参照执行。

二是区分规模实行差异化监管。参照制定恢复和处置计划机构的认定标准，《办法》划分规模较大和规模较小的银行保险机构，分别适用差异化的监管要求：鼓励规模较大的机构提升运营韧性；不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能；明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。