于变局中开新局，银行保险机构操作风险监管规则全面修订：《银行保险机构操作风险管理办法》（征求意见稿）监管解读篇

为进一步巩固防范化解金融风险攻坚战的成果，应对更加复杂的操作风险防控形势，近日国家金融监督管理总局发布了《银行保险机构操作风险管理办法（征求意见稿）》（下称《办法》），并向社会公开征求意见。《办法》充分考虑银行保险机构在管理实践中面临的痛点与难点，明确了操作风险管理总体目标，完善了操作风险管理体系框架，细化了操作风险管理流程和方法，在考虑机构特性与规模差异的前提下，形成了银行保险机构统一的操作风险监管规则。壹引其纲，万目皆张，银行保险机构应充分吸收《办法》中的管理要求，主动响应监管变革，构建有效的管理流程，根植操作风险文化，实现操作风险的长效治理。

一、操作风险管理的监管趋势

操作风险作为银行保险机构面临的最主要风险之一，本次《办法》的修订体现了金融监管机构对于银行保险机构的审慎经营、强化风险管理能力的要求，守住不发生系统性风险的底线。

【统一监管】

从适用范围来看，保险机构与银行机构适用同一套操作风险监管规则，对于原偿二代监管规制之下的保险机构操作风险管理提出了更高的要求，拉齐保险机构、银行机构的操作风险管理水平。

【审慎监管】

考虑行业差异、规模差异提出更为审慎的监管要求，如对规模较大的机构提出运营韧性、专岗设置、外部审计等要求，并为规模较小的机构设置两年的合规过渡期。同时，要求操作风险管理体系建设应与机构业务范围、风险特征、经营规模相匹配。

【全面监管】

全面解构操作风险管理程序，从风险管理全流程提出监管要求，创新操作风险管理工具，并以基本要求丰富操作风险管理框架。整体来看，操作风险管理体系更加全面、要求更加细化、标准更加清晰，缩减了银行主观判断、模糊管理的空间。

二、操作风险管理新规的主要变化

《办法》主体部分共计六章、五十条，明确规范了操作风险管理体系搭建的总体框架。《办法》主要内容包括：

总则。提出了操作风险管理的总体目标与四项原则，并对较大规模银行保险机构提出运营韧性要求。

风险治理与管理责任。明确风险治理和管理责任，从治理层、经营层、三道防线、分支机构、附属机构等维度全面压实操作风险管理职责。

风险管理基本要求。构建操作风险管理的七项基本要素，向上承接管理架构和职责的延伸，向下支持风险管理流程和方法的落地。

风险管理流程和方法。全面厘清操作风险管理流程，并对各环节适用的工具和方法进行规范，对操作风险管理提出更具指导性的监管规则。

监督管理。操作风险管理相关的“执法”安排更加完整，涵盖监管口径、监管方式、监管重点、法律责任等与监管执法相关的各项事宜。

附则。明确适用范围，并以清晰的标准明确界定规模较大机构的范围，体现审慎监管思路。

整体来说，《办法》中关于操作风险管理的相关规定主要体现了如下四方面的变化：

1、强化风险管理架构，提振理念与压实责任并行

1）提出高层引领与充足资源配置的管理理念

《办法》细化了董事会、高级管理层职责分工，新引入监事（会）监督职责，进一步强调了操作风险管理的高层引领，凸显了自上而下建立操作风险管理体系的理念。

《办法》将原操作风险指引中资源配置的用词由“适当”调整为“充足”，并要求规模较大的银行保险机构在一级分行（省级分公司）及以上设立操作风险管理专岗，引导银行保险机构强化操作风险资源配置，为操作风险体系建设与运行提供有效的资源保障。

2）横纵结合以压实操作风险管理责任

《办法》明确规范各级机构与部门的职责，横向清晰构建操作风险管理的三道防线，纵向贯穿提出分支机构、业务直接经营部门、附属机构的职责要求，全面构建 “横到边、纵到底”的操作风险治理要求。

一方面，《办法》要求将操作风险管理责任内嵌于三道防线，界定了三道防线的具体范围和职责，并要求三道防线之间及各防线内部建立完善风险数据和信息共享机制，强调三道防线协同管理。

另一方面，《办法》指出银行保险机构境内分支机构、直接经营业务的部门应当承担操作风险管理主体责任，并表管理范围内的境内金融附属机构、金融科技类附属机构应当建立符合集团风险偏好、具备适应性的操作风险管理体系，厘清集团口径下的操作风险责任体系划分，充分传导操作风险管理要求。

2、完善风险管理框架，注入风险管理内生动力

1）提出操作风险管理的基本要素

《办法》借鉴全面风险管理指引中的风险管理框架，引入操作风险管理基本要求的七项关键要素，涵盖管理制度、风险偏好及传导、管理信息系统、风险文化、考核评价、培训、信息披露。以制度为规范，以偏好为引领，以系统为抓手，辅以文化、考核、培训、披露为支撑，实现对于银行保险机构操作风险管理流程运行的基本保障。

2）明确风险偏好的总体引领作用

《办法》要求银行保险机构在整体风险偏好下制定定性与定量指标并重的操作风险偏好，并建立风险偏好传导机制对操作风险进行监测预警。自上而下、谋篇布局，以全局视野部署全机构范围内的操作风险管理。

3）规范各项基本要素的原则性要求

除风险偏好外，《办法》对各项基本要素均明确了原则性要求。银行保险机构应建立并定期报送操作风险管理基本制度，构建至少覆盖三大工具、资本计量和报告的信息系统，建立兼顾操作风险管理过程和结果类指标的考核评价机制，强化风险文化的培育、定期培训的开展、信息披露的执行。

3、构建风险管理全流程，规范与创新并重

1）解构操作风险管理全流程

《办法》顺承全面风险管理指引中对于风险管理方法和程序的要求，从风险管理的全流程视角明确了操作风险识别、评估、控制、缓释、监测、报告、计量的全流程管理要求，既体现了监管规制之间的“一脉相承”，亦是对操作风险管理体系、监管框架的进一步完善。值得注意的是，《办法》将内部控制要求、业务连续性管理、数据安全管理、业务外包管理作为操作风险控制与缓释的手段，进一步拓展了操作风险管理的外延，也提出了操作风险管理体系与其他管理体系整合应用的新命题。

2）谋势三大工具管理变革

《办法》将操作风险损失数据库、操作风险自评估、关键风险指标定位为“应当应用”的操作风险基础管理工具，在重申三大工具重要管理意义的同时积极思变，例如，打造“内外兼备”的操作风险损失数据库、挖掘“前瞻敏感”的关键风险指标等均是银行保险机构落地应用过程中的挑战。

3）创新操作风险管理工具

《办法》在原操作风险三大工具基础之上结合国际监管规则进行了工具创新，指出银行保险机构可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，或者开发其他管理工具，并在附录中对各项工具的内涵进行了说明，缩减主观判断的同时鼓励管理创新。为打造提升操作风险管理效能的强劲引擎，《办法》还对运用各项管理工具提出了交叉校验、定期重检、持续优化的要求，银行保险机构应在管理工具落地应用和持续优化的同时，进一步探索管理工具的数据沉淀与机制整合。

4、健全监管“执法”安排，全面升级监管力度

相较于过往操作风险监管规则，《办法》中关于操作风险监管的“执法”安排更加清晰、完整。《办法》明确了操作风险管理制度、年度管理报告、重大操作风险事件、外部审计报告（仅规模较大的银行保险机构使用）等材料的监管报送要求，同时还对监管口径、监管方式、监管重点、法律责任等与监管执法相关的各项事宜进行了清晰的安排，全面升级监管力度。

三、《办法》带来的影响和挑战

《办法》将进一步推动银行保险机构持续完善操作风险管理体系，提升操作风险管理成效。对于大型商业银行来说，《办法》的推出，连同操作风险计量要求的革新将促进其进一步完善操作风险数据治理、拓展操作风险工具运用，推进操作风险管理提质增效。对于中小银行和保险机构来说，进一步建立健全操作风险管理体系，全面有序实现操作风险管理合规达标为当务之急。

在后续“同业应对篇”，毕马威将针对保险业和银行业深入分享操作风险管理的重点、热点和难点话题，助力各类金融机构有效借助此次新规出台的契机，标齐监管要求补足管理短板并全面重塑操作风险管理体系。

【本文作者】

葛怡婷 毕马威中国 金融业治理、合规与风险咨询服务合伙人