国家金融监督管理总局7月28日发布《银行保险机构操作风险管理办法（征求意见稿）》（下称《办法》）。《办法》旨在进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平，巩固防范化解金融风险攻坚战的成果。

《办法》明确了银行保险机构应当建立操作风险管理的三道防线：第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作；第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作；第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部应建立完善风险数据和信息共享机制。

《办法》对操作风险管理提出了审慎性原则、全面性原则、匹配性原则和有效性原则，明确操作风险管理应覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。

《办法》主要包括四方面内容：明确风险治理和管理责任；规定风险管理基本要求；细化管理流程和管理工具；完善监督管理职责。

关于风险管理基本要求，《办法》明确，银行保险机构应建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险的管理信息系统，培育良好的操作风险管理文化。此外，风险管理考核评价指标应兼顾操作风险管理过程和结果，薪酬和激励约束机制应有效反映考核评价结果。

为细化管理流程和管理工具，《办法》要求银行保险机构对操作风险进行全流程管理，并规定内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求。

金融监管总局有关部门负责人表示，《办法》主要有两方面特点：一是银行保险机构适用统一的监管规则；二是区分规模实行差异化监管。《办法》整合了原有银行机构的操作风险监管规则与保险机构的操作风险管理要求。同时，考虑到保险行业未将操作风险作为可量化风险进行管理，规定保险机构不适用风险计量、计提资本等方面要求。

此外，参照制定恢复和处置计划机构的认定标准，《办法》划分了规模较大和规模较小的银行保险机构，分别适用差异化的监管要求。比如，鼓励规模较大的机构提升运营韧性；不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能等。

编辑/樊宏伟