21世纪经济报道 记者李愿 北京报道

12月29日，金融监管总局正式发布《银行保险机构操作风险管理办法》（下称《办法》），旨在进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平。《办法》共六章五十二条及附录，施行时间为2024年7月1日。

今年7月28日，金融监管总局曾就《办法》公开征求意见，金融监管总局有关司局负责人表示，《办法》公开征求意见后共收到建议近200条，大部分建议已被采纳，包括调整外部审计和评价的频次，对规模较大的保险机构给予一年过渡期，兼顾保险机构实施操作风险评估的差异，调整行业协会职责等。

“部分建议属于理解不同，《办法》在附录中进行了解释，主要是操作风险偏好指标、操作风险披露机制和考核评价机制等内容。少数未采纳建议主要是删除数据安全相关条款、保险公司无需开展操作风险压力测试等。”金融监管总局有关司局负责人称。

据了解，修订后的《办法》与原银保监会对操作风险管理的相关要求前后衔接，与刚刚发布的《商业银行资本管理办法》相互配套。《办法》进一步明确银行保险机构操作风险识别评估、管理控制和工具等要求，完善银行保险机构操作风险治理框架，更加适应当前防控操作风险的形势。

“有利于弥补监管制度短板，进一步巩固防范化解金融风险攻坚战的成果，规范提升银行保险机构操作风险管理水平，有利于强化机构监管、行为监管、功能监管、穿透式监管、持续监管。”金融监管总局有关司局负责人表示。

操作风险管理应遵循四项原则

操作风险是银行保险机构经营管理中面临主要风险之一，是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。

“近年来，操作风险防控形势更加复杂，原有监管规定难以满足风险管理的现实需要，操作风险管理相关的国际规则也进行了修订、完善，有必要结合我国实践，对原有监管规定进行全面修订。”金融监管总局有关司局负责人解释《办法》修订的背景时表示。

修订后的《办法》明确操作风险管理应当遵循审慎性原则、全面性原则、匹配性原则、有效性原则。

《办法》主要包括五方面的内容：一是明确风险治理和管理责任，二是规定风险管理基本要求，三是细化管理流程和管理工具，四是完善监督管理职责，五是在《办法》附录中对部分规定内容的含义进行了说明和举例以便于银行保险机构落实执行。

例如在风险管理流程方面，《办法》第26条明确，银行保险机构应当结合风险识别、评估结果，实施控制、缓释措施，将操作风险控制在风险偏好内。银行保险机构应当根据风险等级，对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施，持续监督执行情况，建立良好的内部控制环境。银行保险机构通过购买保险、业务外包等措施缓释操作风险的，应当确保缓释措施实质有效。

附录包括名词解释及示例，共12条。例如，对《办法》第22条规定的考核评价指标，应当兼顾操作风险管理过程和结果，设置过程类指标和结果类指标。“操作风险损失率属于结果类指标，可根据损失率的高低进行评分；操作风险事件报告评分属于过程类指标，可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否按照要求单独分析等进行评分。”附录明确。

实施差异化监管

金融监管总局有关司局负责人表示，《办法》整合原有银行机构和保险机构的操作风险监管规则，明确统一适用于银行保险机构的基本要求。同时，给银行保险机构预留充分时间开展实施工作，同时区分情形进行差异化监管，设置过渡期。

差异化监管体现在区分银行机构和保险机构、规模较大和规模较小的机构，分别适用差异化的监管要求：规定保险公司不适用风险计量、计提资本等方面要求；给予规模较大的保险机构在实施操作风险管理架构和职责、风险管理基本要求方面一年过渡期；明确保险集团（控股）公司、再保险公司等参照执行；鼓励规模较大的机构提升运营韧性；明确规模较小的机构一级分行（省级分公司）的第二道防线部门可豁免设立操作风险管理专岗或专人，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

《办法》调整了外部审计和评价的频次，征求意见稿显示，规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价，而《办法》仅表示规模较大的银行保险机构应当定期委托第三方机构对其操作风险管理情况进行审计和评价，对于“定期”未明确周期。

《办法》还调整了行业协会的职责，征求意见稿显示，中国银行业协会、中国保险行业协会等行业社团组织应当通过宣传、培训、自律、协调、服务等方式，建立本行业操作风险事件和损失数据库，协助引导会员单位提高操作风险管理水平。《办法》仅表示，中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式，协助引导会员单位提高操作风险管理水平。鼓励行业协会、学术机构、中介机构等建立相关领域的操作风险事件和损失数据库。