7月28日，国家金融监督管理总局（下称金融监管总局）就《银行保险机构操作风险管理办法（征求意见稿）》（下称《办法》）公开征求意见。

《办法》内容包括六章五十条及附录，涉及风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理等方面。《办法》指出，操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。

金融监管总局有关部门负责人介绍，《办法》明确了风险治理和管理责任，界定三道防线的具体范围和职责，特别是明确各级业务和管理部门均属于第一道防线范畴，要求在一级分行（省级分公司）及以上设置第二道防线的操作风险管理专岗。

(资料图)

银行保险机构建立操作风险管理三道防线，其中，第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

在管理流程和管理工具方面，《办法》做了进一步细化，要求银行保险机构对操作风险进行全流程管理。《办法》规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

监管职责也有进一步完善。《办法》明确，金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性。针对监管发现的有关问题，监管部门应当要求银行保险机构及时整改。规定重大操作风险事件报告的具体要求。要求行业协会发挥自律和服务作用。

上述负责人表示，《办法》将原有的《商业银行操作风险管理指引》和《保险公司偿付能力监管规则》整合为一，明确操作风险的治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理等基本要求统一适用于银行和保险机构。

不过，该负责人也指出，考虑到保险行业未将操作风险作为可量化风险进行管理，《办法》规定保险机构不适用风险计量、计提资本等方面要求，明确保险集团（控股）公司、再保险公司等参照执行。

此外，本次修订《办法》的另一特点在于区分规模实行差异化监管：鼓励规模较大的机构提升运营韧性；不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能；明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

其中，规模较大的银行保险机构，是指按照并表调整后表内外资产（杠杆率分母）达到3000亿元人民币（含等值外币）及以上的银行机构，以及按照并表口径（境内外）表内总资产达到2000亿元人民币（含等值外币）及以上的保险机构。规模较小的银行保险机构是指未达到上述标准的机构。