《银行保险机构操作风险管理办法（征求意见稿）》解读-上篇

一、前言

2023年7月28日国家金融监督管理总局就《银行保险机构操作风险管理办法（征求意见稿）》（下称《办法》或“操风新规”）公开征求意见，统一了银行保险金融机构操作风险监管规则，同时区分规模实行差异化监管，以应对当前更为复杂的操作风险防控形势，提升银行保险机构的操作风险管理水平。

图：《银行保险机构操作风险管理办法（征求意见稿）》整体框架

 

二、变革思路与特点

（1）接轨国际监管，吸收借鉴巴塞尔委员会《操作风险稳健管理原则》

巴塞尔委员会于2003年发布了《操作风险稳健管理原则》（以下简称《原则》），随后于2011年对其进行了修订，以吸收2007-2009年金融危机的教训。2014年，巴塞尔委员会审查了《原则》的落实情况，并在此基础上于2021年修订发布了新一版《原则》，新的《原则》同时还兼顾了巴塞尔协议Ⅲ的改革框架并引入了新的信息科技风险相关原则。

《办法》充分借鉴吸收了《原则》的核心内容，包括操作风险定义、风险治理、三道防线模式、管理工具与方法及监管角色等方面。尤其值得注意的是，《办法》中首次提出的运营韧性和控制与保证框架、基准比较分析等新工具均源自《原则》的相关内容，体现了国际监管的领先理念及国际金融同业的良好做法，对于提升我国金融机构的操作风险管理水平具有重要参考借鉴价值。

图：《操作风险稳健管理原则》整体框架

 

图：《操作风险稳健管理原则》具体原则

（2）承接现有监管规范，求同存异，统一银行保险金融机构监管规则

银行业方面，现行《商业银行操作风险管理指引》（下称《操风指引》）与《商业银行资本管理办法（试行）》（下称《资本办法》）是规范操作风险管理的主要监管规则；保险业方面，核心监管规则是《保险公司偿付能力监管规则》。两者在风险计量方法上差异较大，但操作风险管理体系方面的规则总体趋同。《办法》的制定一定程度上承接沿袭了部分原有监管规则，构建了一套统一适用银行保险机构的操作风险管理监管规则，并在风险计量方面对银行、保险区分适用要求，同时区分规模实行差异化监管，对于规模较小的银行保险金融机构（即表内外资产小于3000亿元人民币银行机构和表内总资产小于2000亿元人民币的保险机构）在遵循“风险治理和管理责任”、“风险管理基本要求”相关规定时设定了两年过渡期。

图：银行业与保险业现行操作风险管理监管规则比较分析

 

三、关键要素解析

（1）重构了操作风险管理框架

《办法》为银行保险金融机构提供了一个更为完善的操风管理框架，包括治理架构、制度规范、风险偏好、管理流程与方法、保障支持与信息系统六大层面。

图：操作风险管理框架

 

治理架构

《办法》充分体现了公司治理的领先理念，为银行保险金融机构操作风险管理明确了顶层风险治理架构并厘清了各层级、各条线、各部门、各机构的管理责任，首次界定操作风险管理三道防线机制。

• 董监高：董事会承担最终责任，以履行审批审议职责为主；监事（会）承担监督责任，以履行监督检查职责为主；高级管理层承担实施责任，以履行操作风险管理建设落实职责为主。
• 三道防线：明确了各道防线的角色定位、资源配备要求、职责分工，划分边界的同时又提出了协同合作要求，即“三道防线之间及各防线内部应当建立完善风险数据和信息共享机制”，以提升管理能效、减少资源浪费及重复建设。需要注意的是，《办法》要求内部审计部门每三年至少开展一次操风专项审计，强化了三道防线履行监督职责的要求。
• 专业部门：除了二道防线中承担操风管理和计量的牵头部门的组织协调督导外，也需要专业部门提供资源与支持。
• 分支机构：明确了分支机构、经营单位的主体责任，压实管理责任。
• 附属机构：明确了附属机构范围，即并表范围内的金融附属机构、金融科技类附属机构；明确了操作风险管理四项基本要求，即偏好、管理体系、三道防线、制度。

制度规范

《办法》明确了操作风险制度的基本内容，同时在第二章的相关规定中提出了基本制度与管理办法的制度层级安排，实践中各金融机构也可以结合自身情况设计层级结构更为精细的制度体系。

风险偏好

结合《银行业金融机构全面风险管理指引》的要求，《办法》在操作风险这一单一类别风险管理的规则体系中体现全面风险管理中的风险偏好相关要求，通过风险偏好、限额指标和传导机制，贯彻风险管理策略、持续监测预警操作风险。

管理流程与方法

系统地阐述了操作风险管理的流程、相关工具与方法及管控机制。

• 管理流程：系统阐述了包括识别与评估、控制与缓释、监测、报告在内的操作风险管理基本流程要求及其基本方法。 
• 管理工具：除了基础的操作风险管理三大工具外，《办法》还借鉴《原则》的相关内容引入了控制监测和保证框架、情景分析、基准比较分析等其他管理工具，以协助更好地开展操作风险识别、评估、计量、测试、控制、缓释等相关工作。此外，《办法》强调了“银行保险机构应当运用各项风险管理工具进行交叉校验，定期重检、优化操作风险管理工具”，防止工具运用孤立、僵化。
• 管控机制：除了内部控制、业务连续性、外包管理、压力测试等在银行业金融机构中相对比较成熟的操作风险管控机制外，《办法》还引入了数据安全管理、变更管理等新要求；其中变更管理源自《原则》中的相关内容，扩大了原新产品新业务风险评估方法的适用范围，作为一项覆盖更多场景的管理机制提出。

保障支持

《办法》从风险文化、教育培训、考核评价、外部审计与评价、信息披露等方面提出了监管规定，为操作风险有效管理提供保障支持。

• 风险文化：员工行为规范和职业道德要求是文化建设的重要落脚点。
• 教育培训：建立常态化培训机制，要“定期”开展操作风险相关培训。
• 考核评价：首次提出考核评价机制建设要求，明确了考核指标设置要求，即兼顾过程与结果，并要求薪酬和激励约束机制有效反映考核评价结果，以切实实现考核的导向作用。
• 外部审计与评价：规模较大的银行保险机构适用这一新要求，《办法》首次强制要求每三年至少开展一次外部审计与评价。需要注意的是，外部审计适用的范围和频次将受到第三十九条【监管方式】的规定的影响，该条规定：“金融监管总局及其派出机构认为必要时，可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。”，即规模较小的银行保险机构在监管要求下，也需要开展外部审计与评价。
• 信息披露：银行机构的操作风险信息披露主要参考《商业银行信息披露办法》《商业银行资本管理办法》（尚未正式发布，下称“资本新规“）中的信息披露要求实施；其中根据资本新规的要求，银行按其分档情况适用不同的披露标准，第一档商业银行需要披露的内容包括定性和定量两类信息、四张报表，定性报表包括操作风险管理基本情况，定量报表包括损失数据和业务指标等资本计量相关数据；保险机构的信息披露主要参考《保险公司偿付能力监管规则第15号：偿付能力信息公开披露》的相关要求。

信息系统

《办法》规定了操作风险管理信息系统的主要功能，以支持操作风险基础管理工具运行、资本计量和报告等操作风险管理基本工作。

• 记录和存储损失相关数据和操作风险事件信息
• 支持操作风险和控制措施的自评估
• 支持关键风险指标监测
• 支持操作风险计量
• 提供操作风险报告相关内容

 

（2）强化监管与行业自律

强化监管

《办法》提出了“检查评估”、 “整改通报”、“重大事件报告”等监管举措，同时明确了具体“监管方式”、“监管措施”和“法律责任”，全面地阐述了监管机构的监督管理规则，第四十三条【法律责任】中甚至规定在法律、行政法规无规定的情况下可对存在相关情形的机构处以十万元以下罚款，可见监管力度之强。

行业自律

《办法》提出了行业协会的职责，并要求建立行业操作风险事件和损失数据库，该项工作未来如何落实有待观察，涉及数据收集、报送、共享各环节。如能实现行业数据的共享，将对于压力测试、风险监测预警和其他基于事件、数据的管理工具与方法的研发与应用有较大助力作用。

四、影响简析

根据《办法》第四十五条【适用范围】规定，“境内依法设立的商业银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司”为《办法》所指的银行保险金融机构（下称“适用机构”），此外，“境内设立的外国银行分行、保险集团（控股）公司、再保险公司、金融资产管理公司、消费金融公司、货币经纪公司以及金融监管总局及其派出机构监管的其他机构”为参照执行的金融机构（下称“参照执行机构”）。整体上，《办法》的出台进一步拉齐了银行保险机构的监管规则，为行业后续的操作风险管理体系建设、优化升级提出了方向和指引。两类机构的简要影响分析与应对如下：

（1）适用机构

银行机构

主要包括商业银行、农村信用合作社、开发性金融机构（即国家开发银行）、政策性银行（即中国农业发展银行、中国进出口银行）等机构。相对而言，商业银行操作风险管理体系的成熟度较高，合规差距较小，此前已经根据《操风指引》《资本办法》等要求开展了操作风险管理体系建设，近几年来也根据巴塞尔协议Ⅲ资本新规对操作风险计量管理体系进行改造升级，后续落地主要是结合《办法》要求对现有工具体系进行升级改造、探索开发新工具、夯实三道防线履职机制等工作。

保险机构

保险机构通过《保险公司偿付能力监管规则》的落地实施，基本已建立操作风险框架，但与银行机构相比成熟度有待提高，与《办法》要求相比也存在一定差距，后续落地重点是对标《办法》梳理合规差距、补齐工具与机制短板并进一步探索管理信息化、量化分析、业务连续性与运营韧性管理等管控手段，提升操作风险管理实效。

（2）参照执行机构

外国银行分行

外国银行分行应根据母行要求实施操作风险管理，同时参照《办法》要求重点落实机构主体责任，为操作风险管理配备充足资源，根据本行业务范围、规模与复杂度及风险特征视需建立本级操作风险管理制度。

保险集团（控股）公司

保险集团（控股）公司应在遵循《保险集团公司监督管理办法》《金融控股公司监督管理试行办法》（如适用）相关要求基础上，立足集团管控角色，从集团层面建立统一的风险偏好及传导机制与策略、操作风险管理基本制度，明确操作风险管理流程与方法的一般标准，统筹数据、系统等基础设施的建设和合规共享，重点防范机构间的风险传染、外部事件多头影响的应对等。

其他非银机构

包括金融资产管理公司、消费金融公司、货币经纪公司及金融监管总局及其派出机构监管的其他机构。非银机构普遍尚未建立健全的操作风险管理体系，短期内建议参照《办法》中关于规模较小银行金融机构的要求建立操作风险管理框架，并根据自身业务特点、风险特征持续探索有效的管理工具与方法及配套机制的建设，避免简单地用操作风险管理系统建设代替操作风险管理体系建设。

德勤在本篇文章中就操作风险管理监管规则变革的背景及具体的监管规则进行了解析，并在即将发布的中篇和下篇中根据德勤多年累积的咨询实施经验就各类银行保险机构落地实施操风新规及管控机制的建立健全提出建议，敬请关注后续更新。