国家金融监督管理总局规章 银行保险机构操作风险管理办法 (2023年12月27日国家金融监督管理总局令2023年第5号 公布自2024年7月1日起施行) 第一章总则 第一条 为提高银行保险机构操作风险管理水平,根据 《中华人民共和国银行业监督管理法》《中华人民共和国商业 银行法》《中华人民共和国保险法》等法律法规,制定本办 法。 第二条 本办法所称操作风险是指由于内部程序、员工、 信息科技系统存在问题以及外部事件造成损失的风险,包括法 律风险,但不包括战略风险和声誉风险。 第三条 操作风险管理是全面风险管理体系的重要组成部 分,目标是有效防范操作风险,降低损失,提升对内外部事件冲 击的应对能力,为业务稳健运营提供保障。 第四条操作风险管理应当遵循以下基本原则: (一)审慎性原则。操作风险管理应当坚持风险为本的理 念,充分重视风险苗头和潜在隐患,有效识别影响风险管理的不 利因素,配置充足资源,及时采取措施,提升前瞻性。 (二)全面性原则。操作风险管理应当覆盖各业务条线、各 分支机构,覆盖所有部门、岗位、员工和产品,贯穿决策、执行 -1- 国家金融监督管理总局发布 下载更多保险资料请到 国家金融监督管理总局规章 和监督全部过程,充分考量其他内外部风险的相关性和传染 性。 (三)匹配性原则。操作风险管理应当体现多层次、差异化 的要求,管理体系、管理资源应当与机构发展战略、经营规 模、复杂性和风险状况相适应,并根据情况变化及时调整。 (四)有效性原则。机构应当以风险偏好为导向,有效识 别、评估、计量、控制、缓释、监测、报告所面临的操作风 险,将操作风险控制在可承受范围之内。 第五条 规模较大的银行保险机构应当基于良好的治理架 构,加强操作风险管理,做好与业务连续性、外包风险管理、网 络安全、数据安全、突发事件应对、恢复与处置计划等体系机 制的有机衔接,提升运营韧性,具备在发生重大风险和外部事件 时持续提供关键业务和服务的能力。 第六条 国家金融监督管理总局及其派出机构依法对银行 保险机构操作风险管理实施监管。 第二章风险治理和管理责任 第七条 银行保险机构董事会应当将操作风险作为本机构 面对的主要风险之一,承担操作风险管理的最终责任。主要职 责包括: (一)审批操作风险管理基本制度,确保与战略目标一致; (二)审批操作风险偏好及其传导机制,将操作风险控制在 -2- 国家金融监督管理总局发布 下载更多保险资料请到 国家金融监督管理总局规章 可承受范围之内; (三)审批高级管理层有关操作风险管理职责、权限、报告 等机制,确保操作风险管理体系的有效性; (四)每年至少审议一次高级管理层提交的操作风险管理报 告,充分了解、评估操作风险管理总体情况以及高级管理层工 作; (五)确保高级管理层建立必要的识别、评估、计量、控 制、缓释、监测、报告操作风险的机制; (六)确保操作风险管理体系接受内部审计部门的有效审查 与监督; (七)审批操作风险信息披露相关制度; (八)确保建立与操作风险管理要求匹配的风险文化; (九)其他相关职责。 第八条设立监事(会)的银行保险机构,其监事(会)应当 承担操作风险管理的监督责任,负责监督检查董事会和高级管 理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报 告。 第九条 银行保险机构高级管理层应当承担操作风险管理 的实施责任。主要职责包括: (一)制定操作风险管理基本制度和管理办法; (二)明确界定各部门、各级机构的操作风险管理职责和报 -3- 国家金融监督管理总局发布 下载更多保险资料请到 国家金融监督管理总局规章 告要求,督促各部门、各级机构履行操作风险管理职责,确保操 作风险管理体系正常运行; (三)设置操作风险偏好及其传导机制,督促各部门、各级 机构执行操作风险管理制度、风险偏好并定期审查,及时处理 突破风险偏好以及其他违反操作风险管理要求的情况; (四)全面掌握操作风险管理总体状况,特别是重大操作风 险事件; (五)每年至少向董事会提交一次操作风险管理报告,并报 送监事(会); (六)为操作风险管理配备充足财务、人力和信息科技系统 等资源; (七)完善操作风险管理体系,有效应对操作风险事件; (八)制定操作风险管理考核评价与奖惩机制; (九)其他相关职责。 第十条 银行保险机构应当建立操作风险管理的三道防线, 三道防线之间及各防线内部应当建立完善风险数据和信息共享 机制。 第一道防线包括各级业务和管理部门,是操作风险的直接 承担者和管理者,负责各自领域内的操作风险管理工作。第二 道防线包括各级负责操作风险管理和计量的牵头部门,指导、 监督第一道防线的操作风险管理工作。第三道防线包括