银行保险机构拟建立 操作风险管理三防线

每经记者 袁园    每经编辑 张益铭    

近日，国家金融监督管理总局发布消息称，为进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平，国家金融监督管理总局起草了《银行保险机构操作风险管理办法（征求意见稿）》（以下简称《办法》），并向社会公开征求意见。

国家金融监督管理总局表示，下一步将根据公开征求意见情况，进一步修改完善《办法》并适时发布实施。

值得注意的是，《办法》明确了银行保险机构应当建立操作风险管理的三道防线。第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

建操作风险管理三道防线

操作风险是银行保险机构经营管理中面临主要风险之一。原银监会2007年制定的《商业银行操作风险管理指引》施行后，对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求，建立了保险公司操作风险管理的基本框架。

国家金融监督管理总局相关负责人表示，近年来，操作风险防控形势更加复杂，原有监管规定难以满足风险管理的现实需要，国内银行保险机构在操作风险管理方面既积累了一系列良好做法，也暴露了一些不足，操作风险管理相关的国际规则也进行了修订、完善，有必要对原有监管规定进行全面修订。

因此，《办法》明确了银行保险机构应当建立操作风险管理的三道防线。第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

《办法》还要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

《办法》要求银行保险机构应当制定数据安全管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，促进依法合理利用数据。

区分规模实行差异化监管

《办法》共六章五十条及附录，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则，主要内容包括：明确风险治理和管理责任；规定风险管理基本要求；细化管理流程和管理工具；完善监督管理职责。

上述国家金融监督管理总局相关负责人表示，此次制定的《办法》有两大特点：第一，银行保险机构适用统一的监管规则；第二，区分规模实行差异化监管。

《办法》整合原有银行机构的操作风险监管规则与保险机构的操作风险管理要求，明确操作风险的治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理等基本要求统一适用于银行和保险机构。同时，考虑到保险行业未将操作风险作为可量化风险进行管理，规定保险机构不适用风险计量、计提资本等方面要求，明确保险集团（控股）公司、再保险公司等参照执行。

参照制定恢复和处置计划机构的认定标准，《办法》划分规模较大和规模较小的银行保险机构，分别适用差异化的监管要求：鼓励规模较大的机构提升运营韧性；不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能；明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

“《办法》进一步规范了操作管理风险，防范风险。”有业内人士对记者表示，相比之前的管理办法，《办法》更细、更规范了。

据悉，《办法》意见反馈截止时间为2023年8月31日。