銀行保險(xiǎn)機(jī)構(gòu)操作風(fēng)險(xiǎn)管理辦法
(2023年12月27日國(guó)家金融監(jiān)督管理總局令2023年第5號(hào)公布 自2024年7月1日起施行)
第一章 總 則
第一條 為提高銀行保險(xiǎn)機(jī)構(gòu)操作風(fēng)險(xiǎn)管理水平,根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》《中華人民共和國(guó)商業(yè)銀行法》《中華人民共和國(guó)保險(xiǎn)法》等法律法規(guī),制定本辦法。
第二條 本辦法所稱操作風(fēng)險(xiǎn)是指由于內(nèi)部程序、員工、信息科技系統(tǒng)存在問題以及外部事件造成損失的風(fēng)險(xiǎn),包括法律風(fēng)險(xiǎn),但不包括戰(zhàn)略風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)。
第三條 操作風(fēng)險(xiǎn)管理是全面風(fēng)險(xiǎn)管理體系的重要組成部分,目標(biāo)是有效防范操作風(fēng)險(xiǎn),降低損失,提升對(duì)內(nèi)外部事件沖擊的應(yīng)對(duì)能力,為業(yè)務(wù)穩(wěn)健運(yùn)營(yíng)提供保障。
第四條 操作風(fēng)險(xiǎn)管理應(yīng)當(dāng)遵循以下基本原則:
(一)審慎性原則。操作風(fēng)險(xiǎn)管理應(yīng)當(dāng)堅(jiān)持風(fēng)險(xiǎn)為本的理念,充分重視風(fēng)險(xiǎn)苗頭和潛在隱患,有效識(shí)別影響風(fēng)險(xiǎn)管理的不利因素,配置充足資源,及時(shí)采取措施,提升前瞻性。
(二)全面性原則。操作風(fēng)險(xiǎn)管理應(yīng)當(dāng)覆蓋各業(yè)務(wù)條線、各分支機(jī)構(gòu),覆蓋所有部門、崗位、員工和產(chǎn)品,貫穿決策、執(zhí)行和監(jiān)督全部過程,充分考量其他內(nèi)外部風(fēng)險(xiǎn)的相關(guān)性和傳染性。
(三)匹配性原則。操作風(fēng)險(xiǎn)管理應(yīng)當(dāng)體現(xiàn)多層次、差異化的要求,管理體系、管理資源應(yīng)當(dāng)與機(jī)構(gòu)發(fā)展戰(zhàn)略、經(jīng)營(yíng)規(guī)模、復(fù)雜性和風(fēng)險(xiǎn)狀況相適應(yīng),并根據(jù)情況變化及時(shí)調(diào)整。
(四)有效性原則。機(jī)構(gòu)應(yīng)當(dāng)以風(fēng)險(xiǎn)偏好為導(dǎo)向,有效識(shí)別、評(píng)估、計(jì)量、控制、緩釋、監(jiān)測(cè)、報(bào)告所面臨的操作風(fēng)險(xiǎn),將操作風(fēng)險(xiǎn)控制在可承受范圍之內(nèi)。
第五條 規(guī)模較大的銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)基于良好的治理架構(gòu),加強(qiáng)操作風(fēng)險(xiǎn)管理,做好與業(yè)務(wù)連續(xù)性、外包風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、突發(fā)事件應(yīng)對(duì)、恢復(fù)與處置計(jì)劃等體系機(jī)制的有機(jī)銜接,提升運(yùn)營(yíng)韌性,具備在發(fā)生重大風(fēng)險(xiǎn)和外部事件時(shí)持續(xù)提供關(guān)鍵業(yè)務(wù)和服務(wù)的能力。
第六條 國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)依法對(duì)銀行保險(xiǎn)機(jī)構(gòu)操作風(fēng)險(xiǎn)管理實(shí)施監(jiān)管。
第二章 風(fēng)險(xiǎn)治理和管理責(zé)任
第七條 銀行保險(xiǎn)機(jī)構(gòu)董事會(huì)應(yīng)當(dāng)將操作風(fēng)險(xiǎn)作為本機(jī)構(gòu)面對(duì)的主要風(fēng)險(xiǎn)之一,承擔(dān)操作風(fēng)險(xiǎn)管理的最終責(zé)任。主要職責(zé)包括:
(一)審批操作風(fēng)險(xiǎn)管理基本制度,確保與戰(zhàn)略目標(biāo)一致;
(二)審批操作風(fēng)險(xiǎn)偏好及其傳導(dǎo)機(jī)制,將操作風(fēng)險(xiǎn)控制在可承受范圍之內(nèi);
(三)審批高級(jí)管理層有關(guān)操作風(fēng)險(xiǎn)管理職責(zé)、權(quán)限、報(bào)告等機(jī)制,確保操作風(fēng)險(xiǎn)管理體系的有效性;
(四)每年至少審議一次高級(jí)管理層提交的操作風(fēng)險(xiǎn)管理報(bào)告,充分了解、評(píng)估操作風(fēng)險(xiǎn)管理總體情況以及高級(jí)管理層工作;
(五)確保高級(jí)管理層建立必要的識(shí)別、評(píng)估、計(jì)量、控制、緩釋、監(jiān)測(cè)、報(bào)告操作風(fēng)險(xiǎn)的機(jī)制;
(六)確保操作風(fēng)險(xiǎn)管理體系接受內(nèi)部審計(jì)部門的有效審查與監(jiān)督;
(七)審批操作風(fēng)險(xiǎn)信息披露相關(guān)制度;
(八)確保建立與操作風(fēng)險(xiǎn)管理要求匹配的風(fēng)險(xiǎn)文化;
(九)其他相關(guān)職責(zé)。
第八條 設(shè)立監(jiān)事(會(huì))的銀行保險(xiǎn)機(jī)構(gòu),其監(jiān)事(會(huì))應(yīng)當(dāng)承擔(dān)操作風(fēng)險(xiǎn)管理的監(jiān)督責(zé)任,負(fù)責(zé)監(jiān)督檢查董事會(huì)和高級(jí)管理層的履職盡責(zé)情況,及時(shí)督促整改,并納入監(jiān)事(會(huì))工作報(bào)告。
第九條 銀行保險(xiǎn)機(jī)構(gòu)高級(jí)管理層應(yīng)當(dāng)承擔(dān)操作風(fēng)險(xiǎn)管理的實(shí)施責(zé)任。主要職責(zé)包括:
(一)制定操作風(fēng)險(xiǎn)管理基本制度和管理辦法;
(二)明確界定各部門、各級(jí)機(jī)構(gòu)的操作風(fēng)險(xiǎn)管理職責(zé)和報(bào)告要求,督促各部門、各級(jí)機(jī)構(gòu)履行操作風(fēng)險(xiǎn)管理職責(zé),確保操作風(fēng)險(xiǎn)管理體系正常運(yùn)行;
(三)設(shè)置操作風(fēng)險(xiǎn)偏好及其傳導(dǎo)機(jī)制,督促各部門、各級(jí)機(jī)構(gòu)執(zhí)行操作風(fēng)險(xiǎn)管理制度、風(fēng)險(xiǎn)偏好并定期審查,及時(shí)處理突破風(fēng)險(xiǎn)偏好以及其他違反操作風(fēng)險(xiǎn)管理要求的情況;
(四)全面掌握操作風(fēng)險(xiǎn)管理總體狀況,特別是重大操作風(fēng)險(xiǎn)事件;
(五)每年至少向董事會(huì)提交一次操作風(fēng)險(xiǎn)管理報(bào)告,并報(bào)送監(jiān)事(會(huì));
(六)為操作風(fēng)險(xiǎn)管理配備充足財(cái)務(wù)、人力和信息科技系統(tǒng)等資源;
(七)完善操作風(fēng)險(xiǎn)管理體系,有效應(yīng)對(duì)操作風(fēng)險(xiǎn)事件;
(八)制定操作風(fēng)險(xiǎn)管理考核評(píng)價(jià)與獎(jiǎng)懲機(jī)制;
(九)其他相關(guān)職責(zé)。
第十條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立操作風(fēng)險(xiǎn)管理的三道防線,三道防線之間及各防線內(nèi)部應(yīng)當(dāng)建立完善風(fēng)險(xiǎn)數(shù)據(jù)和信息共享機(jī)制。
第一道防線包括各級(jí)業(yè)務(wù)和管理部門,是操作風(fēng)險(xiǎn)的直接承擔(dān)者和管理者,負(fù)責(zé)各自領(lǐng)域內(nèi)的操作風(fēng)險(xiǎn)管理工作。第二道防線包括各級(jí)負(fù)責(zé)操作風(fēng)險(xiǎn)管理和計(jì)量的牽頭部門,指導(dǎo)、監(jiān)督第一道防線的操作風(fēng)險(xiǎn)管理工作。第三道防線包括各級(jí)內(nèi)部審計(jì)部門,對(duì)第一、二道防線履職情況及有效性進(jìn)行監(jiān)督評(píng)價(jià)。
第十一條 第一道防線部門主要職責(zé)包括:
(一)指定專人負(fù)責(zé)操作風(fēng)險(xiǎn)管理工作,投入充足資源;
(二)按照風(fēng)險(xiǎn)管理評(píng)估方法,識(shí)別、評(píng)估自身操作風(fēng)險(xiǎn);
(三)建立控制、緩釋措施,定期評(píng)估措施的有效性;
(四)持續(xù)監(jiān)測(cè)風(fēng)險(xiǎn),確保符合操作風(fēng)險(xiǎn)偏好;
(五)定期報(bào)送操作風(fēng)險(xiǎn)管理報(bào)告,及時(shí)報(bào)告重大操作風(fēng)險(xiǎn)事件;
(六)制定業(yè)務(wù)流程和制度時(shí)充分體現(xiàn)操作風(fēng)險(xiǎn)管理和內(nèi)部控制的要求;
(七)其他相關(guān)職責(zé)。
第十二條 第二道防線部門應(yīng)當(dāng)保持獨(dú)立性,持續(xù)提升操作風(fēng)險(xiǎn)管理的一致性和有效性。主要職責(zé)包括:
(一)在一級(jí)分行(省級(jí)分公司)及以上設(shè)立操作風(fēng)險(xiǎn)管理專崗或指定專人,為其配備充足的資源;
(二)跟蹤操作風(fēng)險(xiǎn)管理監(jiān)管政策規(guī)定并組織落實(shí);
(三)擬定操作風(fēng)險(xiǎn)管理基本制度、管理辦法,制定操作風(fēng)險(xiǎn)識(shí)別、評(píng)估、計(jì)量、監(jiān)測(cè)、報(bào)告的方法和具體規(guī)定;
(四)指導(dǎo)、協(xié)助第一道防線識(shí)別、評(píng)估、監(jiān)測(cè)、控制、緩釋和報(bào)告操作風(fēng)險(xiǎn),并定期開展監(jiān)督;
(五)每年至少向高級(jí)管理層提交一次操作風(fēng)險(xiǎn)管理報(bào)告;
(六)負(fù)責(zé)操作風(fēng)險(xiǎn)資本計(jì)量;
(七)開展操作風(fēng)險(xiǎn)管理培訓(xùn);
(八)其他相關(guān)職責(zé)。
國(guó)家金融監(jiān)督管理總局或其派出機(jī)構(gòu)按照監(jiān)管職責(zé)歸屬,可以豁免規(guī)模較小的銀行保險(xiǎn)機(jī)構(gòu)在一級(jí)分行(省級(jí)分公司)設(shè)立操作風(fēng)險(xiǎn)管理專崗或?qū)H说囊蟆?/p>
第十三條 法律、合規(guī)、信息科技、數(shù)據(jù)管理、消費(fèi)者權(quán)益保護(hù)、安全保衛(wèi)、財(cái)務(wù)會(huì)計(jì)、人力資源、精算等部門在承擔(dān)本部門操作風(fēng)險(xiǎn)管理職責(zé)的同時(shí),應(yīng)當(dāng)在職責(zé)范圍內(nèi)為其他部門操作風(fēng)險(xiǎn)管理提供充足資源和支持。
第十四條 內(nèi)部審計(jì)部門應(yīng)當(dāng)至少每三年開展一次操作風(fēng)險(xiǎn)管理專項(xiàng)審計(jì),覆蓋第一道防線、第二道防線操作風(fēng)險(xiǎn)管理情況,審計(jì)評(píng)價(jià)操作風(fēng)險(xiǎn)管理體系運(yùn)行情況,并向董事會(huì)報(bào)告。
內(nèi)部審計(jì)部門在開展其他審計(jì)項(xiàng)目時(shí),應(yīng)當(dāng)充分關(guān)注操作風(fēng)險(xiǎn)管理情況。
第十五條 規(guī)模較大的銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)定期委托第三方機(jī)構(gòu)對(duì)其操作風(fēng)險(xiǎn)管理情況進(jìn)行審計(jì)和評(píng)價(jià),并向國(guó)家金融監(jiān)督管理總局或其派出機(jī)構(gòu)報(bào)送外部審計(jì)報(bào)告。
第十六條 銀行保險(xiǎn)機(jī)構(gòu)境內(nèi)分支機(jī)構(gòu)、直接經(jīng)營(yíng)業(yè)務(wù)的部門應(yīng)當(dāng)承擔(dān)操作風(fēng)險(xiǎn)管理主體責(zé)任,并履行以下職責(zé):
(一)為本級(jí)、本條線操作風(fēng)險(xiǎn)管理部門配備充足資源;
(二)嚴(yán)格執(zhí)行操作風(fēng)險(xiǎn)管理制度、風(fēng)險(xiǎn)偏好以及管理流程等要求;
(三)按照內(nèi)外部審計(jì)結(jié)果和監(jiān)管要求改進(jìn)操作風(fēng)險(xiǎn)管理;
(四)其他相關(guān)職責(zé)。
境外分支機(jī)構(gòu)除滿足前款要求外,還應(yīng)當(dāng)符合所在地監(jiān)管要求。
第十七條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)要求其并表管理范圍內(nèi)的境內(nèi)金融附屬機(jī)構(gòu)、金融科技類附屬機(jī)構(gòu)建立符合集團(tuán)風(fēng)險(xiǎn)偏好,與其業(yè)務(wù)范圍、風(fēng)險(xiǎn)特征、經(jīng)營(yíng)規(guī)模及監(jiān)管要求相適應(yīng)的操作風(fēng)險(xiǎn)管理體系,建立健全三道防線,制定操作風(fēng)險(xiǎn)管理制度。
境外附屬機(jī)構(gòu)除滿足前款要求外,還應(yīng)當(dāng)符合所在地監(jiān)管要求。
第三章 風(fēng)險(xiǎn)管理基本要求
第十八條 操作風(fēng)險(xiǎn)管理基本制度應(yīng)當(dāng)與機(jī)構(gòu)業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜程度和風(fēng)險(xiǎn)特征相適應(yīng),至少包括以下內(nèi)容:
(一)操作風(fēng)險(xiǎn)定義;
(二)操作風(fēng)險(xiǎn)管理組織架構(gòu)、權(quán)限和責(zé)任;
(三)操作風(fēng)險(xiǎn)識(shí)別、評(píng)估、計(jì)量、監(jiān)測(cè)、控制、緩釋程序;
(四)操作風(fēng)險(xiǎn)報(bào)告機(jī)制,包括報(bào)告主體、責(zé)任、路徑、頻率、時(shí)限等。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在操作風(fēng)險(xiǎn)管理基本制度制定或者修訂后15個(gè)工作日內(nèi),按照監(jiān)管職責(zé)歸屬報(bào)送國(guó)家金融監(jiān)督管理總局或其派出機(jī)構(gòu)。
第十九條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在整體風(fēng)險(xiǎn)偏好下制定定性、定量指標(biāo)并重的操作風(fēng)險(xiǎn)偏好,每年開展重檢。風(fēng)險(xiǎn)偏好應(yīng)當(dāng)與戰(zhàn)略目標(biāo)、經(jīng)營(yíng)計(jì)劃、績(jī)效考評(píng)和薪酬機(jī)制等相銜接。風(fēng)險(xiǎn)偏好指標(biāo)應(yīng)當(dāng)包括監(jiān)管部門對(duì)特定機(jī)構(gòu)確定的操作風(fēng)險(xiǎn)類監(jiān)測(cè)指標(biāo)要求。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)通過確定操作風(fēng)險(xiǎn)容忍度或者風(fēng)險(xiǎn)限額等方式建立風(fēng)險(xiǎn)偏好傳導(dǎo)機(jī)制,對(duì)操作風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)和及時(shí)預(yù)警。
第二十條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立具備操作風(fēng)險(xiǎn)管理功能的管理信息系統(tǒng),主要功能包括:
(一)記錄和存儲(chǔ)損失相關(guān)數(shù)據(jù)和操作風(fēng)險(xiǎn)事件信息;
(二)支持操作風(fēng)險(xiǎn)和控制措施的自評(píng)估;
(三)支持關(guān)鍵風(fēng)險(xiǎn)指標(biāo)監(jiān)測(cè);
(四)支持操作風(fēng)險(xiǎn)資本計(jì)量;
(五)提供操作風(fēng)險(xiǎn)報(bào)告相關(guān)內(nèi)容。
第二十一條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)培育良好的操作風(fēng)險(xiǎn)管理文化,明確員工行為規(guī)范和職業(yè)道德要求。
第二十二條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立有效的操作風(fēng)險(xiǎn)管理考核評(píng)價(jià)機(jī)制,考核評(píng)價(jià)指標(biāo)應(yīng)當(dāng)兼顧操作風(fēng)險(xiǎn)管理過程和結(jié)果。薪酬和激勵(lì)約束機(jī)制應(yīng)當(dāng)反映考核評(píng)價(jià)結(jié)果。
第二十三條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)定期開展操作風(fēng)險(xiǎn)管理相關(guān)培訓(xùn)。
第二十四條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家金融監(jiān)督管理總局的規(guī)定披露操作風(fēng)險(xiǎn)管理情況。
銀行機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家金融監(jiān)督管理總局的要求披露損失數(shù)據(jù)等相關(guān)信息。
第四章 風(fēng)險(xiǎn)管理流程和方法
第二十五條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)操作風(fēng)險(xiǎn)偏好,識(shí)別內(nèi)外部固有風(fēng)險(xiǎn),評(píng)估控制、緩釋措施的有效性,分析剩余風(fēng)險(xiǎn)發(fā)生的可能性和影響程度,劃定操作風(fēng)險(xiǎn)等級(jí),確定接受、降低、轉(zhuǎn)移、規(guī)避等應(yīng)對(duì)策略,有效分配管理資源。
第二十六條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)結(jié)合風(fēng)險(xiǎn)識(shí)別、評(píng)估結(jié)果,實(shí)施控制、緩釋措施,將操作風(fēng)險(xiǎn)控制在風(fēng)險(xiǎn)偏好內(nèi)。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)等級(jí),對(duì)業(yè)務(wù)、產(chǎn)品、流程以及相關(guān)管理活動(dòng)的風(fēng)險(xiǎn)采取控制、緩釋措施,持續(xù)監(jiān)督執(zhí)行情況,建立良好的內(nèi)部控制環(huán)境。
銀行保險(xiǎn)機(jī)構(gòu)通過購(gòu)買保險(xiǎn)、業(yè)務(wù)外包等措施緩釋操作風(fēng)險(xiǎn)的,應(yīng)當(dāng)確保緩釋措施實(shí)質(zhì)有效。
第二十七條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)將加強(qiáng)內(nèi)部控制作為操作風(fēng)險(xiǎn)管理的有效手段。內(nèi)部控制措施至少包括:
(一)明確部門間職責(zé)分工,避免利益沖突;
(二)密切監(jiān)測(cè)風(fēng)險(xiǎn)偏好及其傳導(dǎo)機(jī)制的執(zhí)行情況;
(三)加強(qiáng)各類業(yè)務(wù)授權(quán)和信息系統(tǒng)權(quán)限管理;
(四)建立重要財(cái)產(chǎn)的記錄和保管、定期盤點(diǎn)、賬實(shí)核對(duì)等日常管理和定期檢查機(jī)制;
(五)加強(qiáng)不相容崗位管理,有效隔離重要業(yè)務(wù)部門和關(guān)鍵崗位,建立履職回避以及關(guān)鍵崗位輪崗、強(qiáng)制休假、離崗審計(jì)制度;
(六)加強(qiáng)員工行為管理,重點(diǎn)關(guān)注關(guān)鍵崗位員工行為;
(七)對(duì)交易和賬戶進(jìn)行定期對(duì)賬;
(八)建立內(nèi)部員工揭發(fā)檢舉的獎(jiǎng)勵(lì)和保護(hù)機(jī)制;
(九)配置適當(dāng)?shù)膯T工并進(jìn)行有效培訓(xùn);
(十)建立操作風(fēng)險(xiǎn)管理的激勵(lì)約束機(jī)制;
(十一)其他內(nèi)部控制措施。
第二十八條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定與其業(yè)務(wù)規(guī)模和復(fù)雜性相適應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃,有效應(yīng)對(duì)導(dǎo)致業(yè)務(wù)中斷的突發(fā)事件,最大限度減少業(yè)務(wù)中斷影響。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)定期開展業(yè)務(wù)連續(xù)性應(yīng)急預(yù)案演練評(píng)估,驗(yàn)證應(yīng)急預(yù)案及備用資源的可用性,提高員工應(yīng)急意識(shí)及處置能力,測(cè)試關(guān)鍵服務(wù)供應(yīng)商的持續(xù)運(yùn)營(yíng)能力,確保業(yè)務(wù)連續(xù)性計(jì)劃滿足業(yè)務(wù)恢復(fù)目標(biāo),有效應(yīng)對(duì)內(nèi)外部威脅及風(fēng)險(xiǎn)。
第二十九條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定網(wǎng)絡(luò)安全管理制度,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),執(zhí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,采取必要的管理和技術(shù)措施,監(jiān)測(cè)、防御、處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅,有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行,防范網(wǎng)絡(luò)違法犯罪活動(dòng)。
第三十條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)安全管理制度,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)管理,采取保護(hù)措施,保護(hù)數(shù)據(jù)免遭篡改、破壞、泄露、丟失或者被非法獲取、非法利用,重點(diǎn)加強(qiáng)個(gè)人信息保護(hù),規(guī)范數(shù)據(jù)處理活動(dòng),依法合理利用數(shù)據(jù)。
第三十一條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定與業(yè)務(wù)外包有關(guān)的風(fēng)險(xiǎn)管理制度,確保有嚴(yán)謹(jǐn)?shù)臉I(yè)務(wù)外包合同和服務(wù)協(xié)議,明確各方責(zé)任義務(wù),加強(qiáng)對(duì)外包方的監(jiān)督管理。
第三十二條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)定期監(jiān)測(cè)操作風(fēng)險(xiǎn)狀況和重大損失情況,對(duì)風(fēng)險(xiǎn)持續(xù)擴(kuò)大的情形建立預(yù)警機(jī)制,及時(shí)采取措施控制、緩釋風(fēng)險(xiǎn)。
第三十三條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立操作風(fēng)險(xiǎn)內(nèi)部定期報(bào)告機(jī)制。第一道防線應(yīng)當(dāng)向上級(jí)對(duì)口管理部門和本級(jí)操作風(fēng)險(xiǎn)管理部門報(bào)告,各級(jí)操作風(fēng)險(xiǎn)管理部門匯總本級(jí)及所轄機(jī)構(gòu)的情況向上級(jí)操作風(fēng)險(xiǎn)管理部門報(bào)告。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在每年四月底前按照監(jiān)管職責(zé)歸屬向國(guó)家金融監(jiān)督管理總局或其派出機(jī)構(gòu)報(bào)送前一年度操作風(fēng)險(xiǎn)管理情況。
第三十四條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立重大操作風(fēng)險(xiǎn)事件報(bào)告機(jī)制,及時(shí)向董事會(huì)、高級(jí)管理層、監(jiān)事(會(huì))和其他內(nèi)部部門報(bào)告重大操作風(fēng)險(xiǎn)事件。
第三十五條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)運(yùn)用操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)、操作風(fēng)險(xiǎn)自評(píng)估、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)等基礎(chǔ)管理工具管理操作風(fēng)險(xiǎn),可以選擇運(yùn)用事件管理、控制監(jiān)測(cè)和保證框架、情景分析、基準(zhǔn)比較分析等管理工具,或者開發(fā)其他管理工具。
銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)運(yùn)用各項(xiàng)風(fēng)險(xiǎn)管理工具進(jìn)行交叉校驗(yàn),定期重檢、優(yōu)化操作風(fēng)險(xiǎn)管理工具。
第三十六條 銀行保險(xiǎn)機(jī)構(gòu)存在以下重大變更情形的,應(yīng)當(dāng)強(qiáng)化操作風(fēng)險(xiǎn)的事前識(shí)別、評(píng)估等工作:
(一)開發(fā)新業(yè)務(wù)、新產(chǎn)品;
(二)新設(shè)境內(nèi)外分支機(jī)構(gòu)、附屬機(jī)構(gòu);
(三)拓展新業(yè)務(wù)范圍、形成新商業(yè)模式;
(四)業(yè)務(wù)流程、信息科技系統(tǒng)等發(fā)生重大變更;
(五)其他重大變更情形。
第三十七條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立操作風(fēng)險(xiǎn)壓力測(cè)試機(jī)制,定期開展操作風(fēng)險(xiǎn)壓力測(cè)試,在開展其他壓力測(cè)試過程中應(yīng)當(dāng)充分考慮操作風(fēng)險(xiǎn)的影響,針對(duì)壓力測(cè)試中識(shí)別的潛在風(fēng)險(xiǎn)點(diǎn)和薄弱環(huán)節(jié),及時(shí)采取應(yīng)對(duì)措施。
第三十八條 銀行機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家金融監(jiān)督管理總局關(guān)于資本監(jiān)管的要求,對(duì)承擔(dān)的操作風(fēng)險(xiǎn)計(jì)提充足資本。
第五章 監(jiān)督管理
第三十九條 國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)應(yīng)當(dāng)將對(duì)銀行保險(xiǎn)機(jī)構(gòu)操作風(fēng)險(xiǎn)的監(jiān)督管理納入集團(tuán)和法人監(jiān)管體系,檢查評(píng)估操作風(fēng)險(xiǎn)管理體系的健全性和有效性。
國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)加強(qiáng)與相關(guān)部門的監(jiān)管協(xié)作和信息共享,共同防范金融風(fēng)險(xiǎn)跨機(jī)構(gòu)、跨行業(yè)、跨區(qū)域傳染。
第四十條 國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)通過監(jiān)管評(píng)級(jí)、風(fēng)險(xiǎn)提示、監(jiān)管通報(bào)、監(jiān)管會(huì)談、與外部審計(jì)師會(huì)談等非現(xiàn)場(chǎng)監(jiān)管和現(xiàn)場(chǎng)檢查方式,實(shí)施對(duì)操作風(fēng)險(xiǎn)管理的持續(xù)監(jiān)管。
國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)認(rèn)為必要時(shí),可以要求銀行保險(xiǎn)機(jī)構(gòu)提供第三方機(jī)構(gòu)就其操作風(fēng)險(xiǎn)管理出具的審計(jì)或者評(píng)價(jià)報(bào)告。
第四十一條 國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)發(fā)現(xiàn)銀行保險(xiǎn)機(jī)構(gòu)操作風(fēng)險(xiǎn)管理存在缺陷和問題時(shí),應(yīng)當(dāng)要求其及時(shí)整改,并上報(bào)整改落實(shí)情況。
國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)依照職責(zé)通報(bào)重大操作風(fēng)險(xiǎn)事件和風(fēng)險(xiǎn)管理漏洞。
第四十二條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在知悉或者應(yīng)當(dāng)知悉以下重大操作風(fēng)險(xiǎn)事件5個(gè)工作日內(nèi),按照監(jiān)管職責(zé)歸屬向國(guó)家金融監(jiān)督管理總局或其派出機(jī)構(gòu)報(bào)告:
(一)形成預(yù)計(jì)損失5000萬元(含)以上或者超過上年度末資本凈額5%(含)以上的事件。
(二)形成損失金額1000萬元(含)以上或者超過上年度末資本凈額1%(含)以上的事件。
(三)造成重要數(shù)據(jù)、重要賬冊(cè)、重要空白憑證、重要資料嚴(yán)重?fù)p毀、丟失或者泄露,已經(jīng)或者可能造成重大損失和嚴(yán)重影響的事件。
(四)重要信息系統(tǒng)出現(xiàn)故障、受到網(wǎng)絡(luò)攻擊,導(dǎo)致在同一省份的營(yíng)業(yè)網(wǎng)點(diǎn)、電子渠道業(yè)務(wù)中斷3小時(shí)以上;或者在兩個(gè)及以上省份的營(yíng)業(yè)網(wǎng)點(diǎn)、電子渠道業(yè)務(wù)中斷30分鐘以上。
(五)因網(wǎng)絡(luò)欺詐及其他信息安全事件,導(dǎo)致本機(jī)構(gòu)或客戶資金損失1000萬元以上,或者造成重大社會(huì)影響。
(六)董事、高級(jí)管理人員、監(jiān)事及分支機(jī)構(gòu)負(fù)責(zé)人被采取監(jiān)察調(diào)查措施、刑事強(qiáng)制措施或者承擔(dān)刑事法律責(zé)任的事件。
(七)嚴(yán)重侵犯公民個(gè)人信息安全和合法權(quán)益的事件。
(八)員工涉嫌發(fā)起、主導(dǎo)或者組織實(shí)施非法集資類違法犯罪被立案的事件。
(九)其他需要報(bào)告的重大操作風(fēng)險(xiǎn)事件。
對(duì)于第一款規(guī)定的重大操作風(fēng)險(xiǎn)事件,國(guó)家金融監(jiān)督管理總局在案件管理、突發(fā)事件管理等監(jiān)管規(guī)定中另有報(bào)告要求的,應(yīng)當(dāng)按照有關(guān)要求報(bào)告,并在報(bào)告時(shí)注明該事件屬于重大操作風(fēng)險(xiǎn)事件。
國(guó)家金融監(jiān)督管理總局可以根據(jù)監(jiān)管工作需要,調(diào)整第一款規(guī)定的重大操作風(fēng)險(xiǎn)事件報(bào)告標(biāo)準(zhǔn)。
第四十三條 銀行保險(xiǎn)機(jī)構(gòu)存在以下情形的,國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)應(yīng)當(dāng)責(zé)令改正,并視情形依法采取監(jiān)管措施:
(一)未按照規(guī)定制定或者執(zhí)行操作風(fēng)險(xiǎn)管理制度;
(二)未按照規(guī)定設(shè)置或者履行操作風(fēng)險(xiǎn)管理職責(zé);
(三)未按照規(guī)定設(shè)置操作風(fēng)險(xiǎn)偏好及其傳導(dǎo)機(jī)制;
(四)未建立或者落實(shí)操作風(fēng)險(xiǎn)管理文化、考核評(píng)價(jià)機(jī)制、培訓(xùn);
(五)未建立操作風(fēng)險(xiǎn)管理流程、管理工具和信息系統(tǒng),或者其設(shè)計(jì)、應(yīng)用存在缺陷;
(六)其他違反監(jiān)管規(guī)定的情形。
第四十四條 銀行保險(xiǎn)機(jī)構(gòu)存在以下情形的,國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)應(yīng)當(dāng)責(zé)令改正,并依法實(shí)施行政處罰;法律、行政法規(guī)沒有規(guī)定的,由國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)責(zé)令改正,予以警告、通報(bào)批評(píng),或者處以二十萬元以下罰款;涉嫌犯罪的,應(yīng)當(dāng)依法移送司法機(jī)關(guān):
(一)嚴(yán)重違反本辦法相關(guān)規(guī)定,導(dǎo)致發(fā)生第四十二條規(guī)定的重大操作風(fēng)險(xiǎn)事件;
(二)未按照監(jiān)管要求整改;
(三)瞞報(bào)、漏報(bào)、故意遲報(bào)本辦法第四十二條規(guī)定的重大操作風(fēng)險(xiǎn)事件,情節(jié)嚴(yán)重的;
(四)其他嚴(yán)重違反監(jiān)管規(guī)定的情形。
第四十五條 中國(guó)銀行業(yè)協(xié)會(huì)、中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)應(yīng)當(dāng)通過組織宣傳、培訓(xùn)、自律、協(xié)調(diào)、服務(wù)等方式,協(xié)助引導(dǎo)會(huì)員單位提高操作風(fēng)險(xiǎn)管理水平。
鼓勵(lì)行業(yè)協(xié)會(huì)、學(xué)術(shù)機(jī)構(gòu)、中介機(jī)構(gòu)等建立相關(guān)領(lǐng)域的操作風(fēng)險(xiǎn)事件和損失數(shù)據(jù)庫(kù)。
第六章 附 則
第四十六條 本辦法所稱銀行保險(xiǎn)機(jī)構(gòu),是指在中華人民共和國(guó)境內(nèi)依法設(shè)立的商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及開發(fā)性金融機(jī)構(gòu)、政策性銀行、保險(xiǎn)公司。
中華人民共和國(guó)境內(nèi)設(shè)立的外國(guó)銀行分行、保險(xiǎn)集團(tuán)(控股)公司、再保險(xiǎn)公司、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、信托公司、金融租賃公司、財(cái)務(wù)公司、消費(fèi)金融公司、汽車金融公司、貨幣經(jīng)紀(jì)公司、理財(cái)公司、保險(xiǎn)資產(chǎn)管理公司、金融控股公司以及國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)監(jiān)管的其他機(jī)構(gòu)參照本辦法執(zhí)行。
第四十七條 本辦法所稱的規(guī)模較大的銀行保險(xiǎn)機(jī)構(gòu),是指按照并表調(diào)整后表內(nèi)外資產(chǎn)(杠桿率分母)達(dá)到3000億元人民幣(含等值外幣)及以上的銀行機(jī)構(gòu),以及按照并表口徑(境內(nèi)外)表內(nèi)總資產(chǎn)達(dá)到2000億元人民幣(含等值外幣)及以上的保險(xiǎn)機(jī)構(gòu)。
規(guī)模較小的銀行保險(xiǎn)機(jī)構(gòu)是指未達(dá)到上述標(biāo)準(zhǔn)的機(jī)構(gòu)。
第四十八條 未設(shè)董事會(huì)的銀行保險(xiǎn)機(jī)構(gòu),應(yīng)當(dāng)由其經(jīng)營(yíng)決策機(jī)構(gòu)履行本辦法規(guī)定的董事會(huì)職責(zé)。
第四十九條 本辦法第四條、第七條、第十條、第十二條、第十八條、第二十條關(guān)于計(jì)量的規(guī)定不適用于保險(xiǎn)機(jī)構(gòu)。
本辦法第二十五條相關(guān)規(guī)定如與保險(xiǎn)公司償付能力監(jiān)管規(guī)則不一致的,按照保險(xiǎn)公司償付能力監(jiān)管規(guī)則執(zhí)行。
第五十條 關(guān)于本辦法第二章、第三章、第四章的規(guī)定,規(guī)模較大的保險(xiǎn)機(jī)構(gòu)自本辦法施行之日起1年內(nèi)執(zhí)行;規(guī)模較小的銀行保險(xiǎn)機(jī)構(gòu)自本辦法施行之日起2年內(nèi)執(zhí)行。
第五十一條 本辦法由國(guó)家金融監(jiān)督管理總局負(fù)責(zé)解釋修訂,自2024年7月1日起施行。
第五十二條 《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》(銀監(jiān)發(fā)〔2007〕42號(hào))、《中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)關(guān)于加大防范操作風(fēng)險(xiǎn)工作力度的通知》(銀監(jiān)發(fā)〔2005〕17號(hào))自本辦法施行之日起廢止。
附錄:名詞解釋及示例
附錄
名詞解釋及示例
一、操作風(fēng)險(xiǎn)事件
操作風(fēng)險(xiǎn)事件是指由操作風(fēng)險(xiǎn)引發(fā),導(dǎo)致銀行保險(xiǎn)機(jī)構(gòu)發(fā)生實(shí)際或者預(yù)計(jì)損失的事件。銀行保險(xiǎn)機(jī)構(gòu)分別依據(jù)商業(yè)銀行資本監(jiān)管規(guī)則和保險(xiǎn)公司償付能力監(jiān)管規(guī)則進(jìn)行損失事件分類。
二、法律風(fēng)險(xiǎn)
法律風(fēng)險(xiǎn)包括但不限于下列風(fēng)險(xiǎn):
1.簽訂的合同因違反法律或者行政法規(guī)可能被依法撤銷或者確認(rèn)無效;
2.因違約、侵權(quán)或者其他事由被提起訴訟或者申請(qǐng)仲裁,依法可能承擔(dān)賠償責(zé)任;
3.業(yè)務(wù)、管理活動(dòng)違反法律、法規(guī)或者監(jiān)管規(guī)定,依法可能承擔(dān)刑事責(zé)任或者行政責(zé)任。
三、運(yùn)營(yíng)韌性
運(yùn)營(yíng)韌性是在發(fā)生重大風(fēng)險(xiǎn)和外部事件時(shí),銀行保險(xiǎn)機(jī)構(gòu)具備的持續(xù)提供關(guān)鍵業(yè)務(wù)和服務(wù)的能力。例如,在發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊、大規(guī)模傳染病、自然災(zāi)害等事件時(shí),銀行保險(xiǎn)機(jī)構(gòu)通過運(yùn)營(yíng)韌性管理機(jī)制,能夠持續(xù)向客戶提供存取款、轉(zhuǎn)賬、理賠等關(guān)鍵服務(wù)。
四、操作風(fēng)險(xiǎn)管理報(bào)告
第七條、第九條、第十二條規(guī)定的操作風(fēng)險(xiǎn)管理報(bào)告以及第三十三條規(guī)定的操作風(fēng)險(xiǎn)管理情況可以是專項(xiàng)報(bào)告,也可以是包括操作風(fēng)險(xiǎn)管理內(nèi)容的全面風(fēng)險(xiǎn)報(bào)告等綜合性報(bào)告。
五、操作風(fēng)險(xiǎn)類監(jiān)測(cè)指標(biāo)
第十九條規(guī)定的操作風(fēng)險(xiǎn)類監(jiān)測(cè)指標(biāo)可以包括案件風(fēng)險(xiǎn)率和操作風(fēng)險(xiǎn)損失率。國(guó)家金融監(jiān)督管理總局及其派出機(jī)構(gòu)可以視情形決定,是否確定對(duì)特定機(jī)構(gòu)的操作風(fēng)險(xiǎn)類監(jiān)測(cè)指標(biāo)。
(一)指標(biāo)計(jì)算公式
案件風(fēng)險(xiǎn)率=業(yè)內(nèi)案件涉案金額/年初總資產(chǎn)和年末總資產(chǎn)的平均數(shù)×100%。國(guó)家金融監(jiān)督管理總局對(duì)于稽查檢查和案件管理制度另有規(guī)定的,則從其規(guī)定。
操作風(fēng)險(xiǎn)損失率=操作風(fēng)險(xiǎn)損失事件的損失金額總和/近三年平均營(yíng)業(yè)收入×100%
(二)案件風(fēng)險(xiǎn)率
案件風(fēng)險(xiǎn)率應(yīng)當(dāng)保持在監(jiān)測(cè)目標(biāo)值的合理區(qū)間。監(jiān)測(cè)目標(biāo)值公式為:
St=Ss+ε
St為案件風(fēng)險(xiǎn)率監(jiān)測(cè)目標(biāo)值;Ss為案件風(fēng)險(xiǎn)率基準(zhǔn)值,由監(jiān)管部門根據(jù)同類型機(jī)構(gòu)一定期間的案件風(fēng)險(xiǎn)率、特定機(jī)構(gòu)一定期間的案件風(fēng)險(xiǎn)率,并具體選取時(shí)間范圍、賦值適當(dāng)權(quán)重后確定。ε為案件風(fēng)險(xiǎn)率調(diào)值,由監(jiān)管部門裁量確定,主要影響因素包括公司治理和激勵(lì)約束機(jī)制、反洗錢監(jiān)管情況、風(fēng)險(xiǎn)事件演變情況、內(nèi)部管理和控制情況、境外機(jī)構(gòu)合規(guī)風(fēng)險(xiǎn)事件情況等。
(三)操作風(fēng)險(xiǎn)損失率
操作風(fēng)險(xiǎn)損失率應(yīng)當(dāng)保持在監(jiān)測(cè)目標(biāo)值的合理區(qū)間。監(jiān)測(cè)目標(biāo)值公式為:
Lt=Ls+ε
Lt為操作風(fēng)險(xiǎn)損失率監(jiān)測(cè)目標(biāo)值;Ls為操作風(fēng)險(xiǎn)損失率基準(zhǔn)值,監(jiān)管部門根據(jù)同類型機(jī)構(gòu)一定期間的操作風(fēng)險(xiǎn)損失率、特定機(jī)構(gòu)一定期間的實(shí)際操作風(fēng)險(xiǎn)損失率,并具體選取時(shí)間范圍、賦值適當(dāng)權(quán)重后確定。ε為操作風(fēng)險(xiǎn)損失率調(diào)整值,由監(jiān)管部門裁量確定,主要影響因素包括操作風(fēng)險(xiǎn)內(nèi)部管理和控制情況、操作風(fēng)險(xiǎn)損失事件數(shù)據(jù)管理情況、相關(guān)事件數(shù)量和金額變化情況、經(jīng)濟(jì)金融周期因素等。
六、風(fēng)險(xiǎn)偏好傳導(dǎo)機(jī)制
第十九條規(guī)定的風(fēng)險(xiǎn)偏好傳導(dǎo)機(jī)制,是指銀行保險(xiǎn)機(jī)構(gòu)根據(jù)風(fēng)險(xiǎn)偏好設(shè)定容忍度或者風(fēng)險(xiǎn)限額等,并對(duì)境內(nèi)外附屬機(jī)構(gòu)、分支機(jī)構(gòu)或者業(yè)務(wù)條線等提出相應(yīng)要求,如對(duì)全行(公司)、各附屬機(jī)構(gòu)、各分行(分公司)、各業(yè)務(wù)條線設(shè)定操作風(fēng)險(xiǎn)損失率、操作風(fēng)險(xiǎn)事件數(shù)量、信息系統(tǒng)服務(wù)可用率等指標(biāo)或者目標(biāo)值,并進(jìn)行持續(xù)監(jiān)測(cè)、預(yù)警和糾偏。其中,信息系統(tǒng)服務(wù)可用率=(信息系統(tǒng)計(jì)劃服務(wù)時(shí)間-非預(yù)期停止服務(wù)時(shí)間)/計(jì)劃服務(wù)時(shí)間×100%。
七、考核評(píng)價(jià)指標(biāo)
第二十二條規(guī)定的考核評(píng)價(jià)指標(biāo),應(yīng)當(dāng)兼顧操作風(fēng)險(xiǎn)管理過程和結(jié)果,設(shè)置過程類指標(biāo)和結(jié)果類指標(biāo)。例如,操作風(fēng)險(xiǎn)損失率屬于結(jié)果類指標(biāo),可根據(jù)損失率的高低進(jìn)行評(píng)分。操作風(fēng)險(xiǎn)事件報(bào)告評(píng)分屬于過程類指標(biāo),可根據(jù)事件是否遲報(bào)瞞報(bào)、填報(bào)信息是否規(guī)范、重大事件是否按照要求單獨(dú)分析等進(jìn)行評(píng)分。
八、固有風(fēng)險(xiǎn)、剩余風(fēng)險(xiǎn)
第二十五條規(guī)定的固有風(fēng)險(xiǎn)是指在沒有考慮控制、緩釋措施或者在其付諸實(shí)施之前就已經(jīng)存在的風(fēng)險(xiǎn)。剩余風(fēng)險(xiǎn)是指現(xiàn)有的風(fēng)險(xiǎn)控制、緩釋措施不能消除的風(fēng)險(xiǎn)。
本條所指固有風(fēng)險(xiǎn)與保險(xiǎn)公司償付能力監(jiān)管規(guī)則不一致,償付能力監(jiān)管規(guī)則中的固有風(fēng)險(xiǎn)是指在現(xiàn)有正常保險(xiǎn)行業(yè)物質(zhì)技術(shù)條件和生產(chǎn)組織方式下,保險(xiǎn)公司在經(jīng)營(yíng)和管理活動(dòng)中必然存在的、客觀的償付能力相關(guān)風(fēng)險(xiǎn)。
九、操作風(fēng)險(xiǎn)等級(jí)
第二十五條規(guī)定的操作風(fēng)險(xiǎn)等級(jí)由銀行保險(xiǎn)機(jī)構(gòu)自行劃分。例如,通??蓜澐譃槿齻€(gè)等級(jí):發(fā)生可能性(頻率)低、影響(損失)程度低的,風(fēng)險(xiǎn)等級(jí)為低;發(fā)生可能性(頻率)高、影響(損失)程度低的,風(fēng)險(xiǎn)等級(jí)為中;發(fā)生可能性(頻率)低、影響(損失)程度高或者發(fā)生可能性(頻率)高、影響(損失)程度高的,風(fēng)險(xiǎn)等級(jí)為高。
十、緩釋操作風(fēng)險(xiǎn)
第二十六條規(guī)定的購(gòu)買保險(xiǎn)是指,銀行保險(xiǎn)機(jī)構(gòu)通過購(gòu)買保險(xiǎn),在自然災(zāi)害或者意外事故導(dǎo)致形成實(shí)物資產(chǎn)損失時(shí),獲得保險(xiǎn)賠付,收回部分或者全部損失,有效緩釋風(fēng)險(xiǎn)。其中,保險(xiǎn)公司向本機(jī)構(gòu)和關(guān)聯(lián)機(jī)構(gòu)購(gòu)買保險(xiǎn)不屬于有效緩釋風(fēng)險(xiǎn)。
十一、操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)、操作風(fēng)險(xiǎn)自評(píng)估、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)
第三十五條規(guī)定的操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)、操作風(fēng)險(xiǎn)自評(píng)估、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)是銀行保險(xiǎn)機(jī)構(gòu)用于管理操作風(fēng)險(xiǎn)的基礎(chǔ)工具。
(一)操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)
操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)(保險(xiǎn)公司償付能力監(jiān)管規(guī)則稱為操作風(fēng)險(xiǎn)損失事件庫(kù))是指按統(tǒng)一的操作風(fēng)險(xiǎn)分類標(biāo)準(zhǔn),收集匯總相應(yīng)操作風(fēng)險(xiǎn)事件信息。操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)應(yīng)當(dāng)結(jié)合管理需要,收集一定金額以上的操作風(fēng)險(xiǎn)事件信息,收集范圍應(yīng)當(dāng)至少包括內(nèi)部損失事件,必要時(shí)可收集幾近損失事件和外部損失事件。
內(nèi)部損失事件是指,形成實(shí)際或者預(yù)計(jì)財(cái)務(wù)損失的操作風(fēng)險(xiǎn)事件,包括通過保險(xiǎn)及其他手段收回部分或者全部損失的操作風(fēng)險(xiǎn)事件,以及與信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)等其他風(fēng)險(xiǎn)相關(guān)的操作風(fēng)險(xiǎn)事件。
幾近損失事件是指,事件已發(fā)生,但未造成實(shí)際或者預(yù)計(jì)的財(cái)務(wù)損失。例如,銀行保險(xiǎn)機(jī)構(gòu)因過錯(cuò)造成客戶損失,有可能被索賠,但因及時(shí)采取補(bǔ)救措施彌補(bǔ)了客戶損失,客戶諒解并未進(jìn)行索賠。
外部損失事件是指,業(yè)內(nèi)其他金融機(jī)構(gòu)出現(xiàn)的大額監(jiān)管處罰、案件等操作風(fēng)險(xiǎn)事件。
(二)操作風(fēng)險(xiǎn)自評(píng)估
操作風(fēng)險(xiǎn)自評(píng)估是指,識(shí)別業(yè)務(wù)、產(chǎn)品及管理活動(dòng)中的固有操作風(fēng)險(xiǎn),分析控制措施有效性,確定剩余操作風(fēng)險(xiǎn),確定操作風(fēng)險(xiǎn)等級(jí)。
(三)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)
關(guān)鍵風(fēng)險(xiǎn)指標(biāo)是指,依據(jù)操作風(fēng)險(xiǎn)識(shí)別、評(píng)估結(jié)果,設(shè)定相應(yīng)指標(biāo),全面反映機(jī)構(gòu)的操作風(fēng)險(xiǎn)敞口、控制措施有效性及風(fēng)險(xiǎn)變化趨勢(shì)等情況,并應(yīng)當(dāng)具有一定前瞻性。例如,從人員、系統(tǒng)、外部事件等維度制定業(yè)內(nèi)案件數(shù)量、業(yè)外案件涉案金額等作為關(guān)鍵風(fēng)險(xiǎn)指標(biāo)并設(shè)定閾值。
十二、事件管理、控制監(jiān)測(cè)和保證框架、情景分析、基準(zhǔn)比較分析
第三十五條規(guī)定的可以選擇運(yùn)用的操作風(fēng)險(xiǎn)管理工具,包括:
(一)事件管理
事件管理是指,對(duì)新發(fā)生的、對(duì)管理有較大影響的操作風(fēng)險(xiǎn)事件進(jìn)行分析,識(shí)別風(fēng)險(xiǎn)成因、評(píng)估控制缺陷,并制定控制優(yōu)化方案,防止類似事件再次發(fā)生。例如,發(fā)生操作風(fēng)險(xiǎn)事件后,要求第一道防線開展事件調(diào)查分析,查清業(yè)務(wù)或者管理存在的問題并進(jìn)行整改。
(二)控制監(jiān)測(cè)和保證框架
控制監(jiān)測(cè)和保證框架是指,對(duì)操作風(fēng)險(xiǎn)自評(píng)估等工具識(shí)別的關(guān)鍵控制措施進(jìn)行持續(xù)分析、動(dòng)態(tài)優(yōu)化,確保關(guān)鍵控制措施的有效性。例如,利用控制監(jiān)測(cè)和保證框架對(duì)關(guān)鍵控制措施進(jìn)行評(píng)估、重檢、持續(xù)監(jiān)測(cè)和驗(yàn)證。
(三)情景分析
情景分析是指對(duì)假設(shè)情景進(jìn)行識(shí)別、分析和計(jì)量。情景可以包括發(fā)生可能性(頻率)低、影響程度(損失)高的事件。
情景分析的基本假設(shè)可以引用操作風(fēng)險(xiǎn)損失數(shù)據(jù)庫(kù)、操作風(fēng)險(xiǎn)自評(píng)估、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)、控制監(jiān)測(cè)和保證框架等工具獲取的數(shù)據(jù)信息。運(yùn)用情景分析可發(fā)現(xiàn)潛在風(fēng)險(xiǎn)事件的影響和風(fēng)險(xiǎn)管理的效果,并可對(duì)其他風(fēng)險(xiǎn)工具進(jìn)行完善。
情景分析可以與恢復(fù)與處置計(jì)劃結(jié)合,用于測(cè)試運(yùn)營(yíng)韌性。例如,假設(shè)銀行保險(xiǎn)機(jī)構(gòu)發(fā)生數(shù)據(jù)中心無法運(yùn)行也無法恢復(fù)、必須由異地災(zāi)備中心接替的情景,具體運(yùn)用專家判斷評(píng)估可能造成的損失和影響,制定業(yè)務(wù)恢復(fù)的優(yōu)先順序和恢復(fù)時(shí)間等目標(biāo),分析需要配置的資源保障。
(四)基準(zhǔn)比較分析
基準(zhǔn)比較分析,一方面是指將內(nèi)外部監(jiān)督檢查結(jié)果、同業(yè)操作風(fēng)險(xiǎn)狀況與本機(jī)構(gòu)的操作風(fēng)險(xiǎn)識(shí)別、評(píng)估結(jié)果進(jìn)行比對(duì),對(duì)于偏離度較大的,需重啟操作風(fēng)險(xiǎn)識(shí)別、評(píng)估工作。另一方面是指操作風(fēng)險(xiǎn)管理工具之間互相驗(yàn)證,例如,將操作風(fēng)險(xiǎn)損失數(shù)據(jù)與操作風(fēng)險(xiǎn)自評(píng)估結(jié)果進(jìn)行比較,確定管理工具是否有效運(yùn)行。