筑牢操作风险管理篱笆 监管拟为银行保险机构划定三道防线

为进一步巩固防范化解金融风险攻坚战的成果，7月28日，国家金融监督管理总局发布《银行保险机构操作风险管理办法（征求意见稿）》（以下简称《办法》），明确董事会、监事（会）和高级管理层的责任，界定三道防线的具体范围和职责，应当建立有效的操作风险管理考核评价机制，并根据银行保险机构的规模实行差异化监管。在分析人士看来，《办法》的制定有助于压实风险治理和管理的主体责任，推动和引导银行保险机构健全和细化操作风险管理流程，提升防范风险能力，提高经营的稳健性与可持续性。

划定三道防线

据了解，操作风险是指由于银行保险机构内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。操作风险是银行保险机构经营管理中面临的主要风险之一。

原银监会2007年制定的《商业银行操作风险管理指引》（以下简称《指引》）施行后，对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求，建立了保险公司操作风险管理的基本框架。而近年来，操作风险防控形势更加复杂，原有监管规定难以满足风险管理的现实需要，国内银行保险机构在操作风险管理方面既积累了一系列良好做法，也暴露了一些不足，操作风险管理相关的国际规则也进行了修订、完善，有必要对原有监管规定进行全面修订。为此，国家金融监督管理总局制定《办法》，并向社会公开征求意见。

为强化操作风险管理，《办法》要求操作风险管理应当覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品。

在风险治理和管理责任方面，《办法》优化董事会在公司治理中的作用，明确监事（会）监督职责和高级管理层的执行职责，同时界定了风险管理的三道防线，其中，各级业务和管理部门均属于第一道防线，负责各自领域内的操作风险管理工作；第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作，要求在一级分行（省级分公司）及以上设置第二道防线的操作风险管理专岗；第三道防线则是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林表示，《办法》针对实际操作风险给出了更加具体的方案，过去很多分行（省级分公司）具备很强的独立性容易出现操作风险，上级机构也很难发觉，要求在一级分行（省级分公司）及以上设置第二道防线的操作风险管理专岗，增加了一道审核，层层把关，强化了风险管理。

在风险管理基本要求方面，《办法》指出，银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险的管理信息系统，培育良好的操作风险管理文化。同时，还应当建立有效的操作风险管理考核评价机制，考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当有效反映考核评价结果。

“考核评价机制是指挥棒”，盘和林指出，《办法》要求银行保险机构风险管理考核评价指标应当兼顾操作风险管理过程和结果是为了激励操作员重视合规要求，减少操作风险。

强化变更管理

在细化管理流程和管理工具方面，《办法》要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制、应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

《办法》指出，银行保险机构存在开发新业务、新产品，新设境内外分支机构、附属机构，拓展新业务范围、形成新商业模式，业务流程、信息科技系统等重大变更情形的，应当强化操作风险的事前识别、评估等工作。

某银行分析人士指出，机构在新业务、新产品等上线之前需要对业务产品的操作风险进行充分事前识别和评估，就要求机构不仅重视新业务的经济收益，而且要提升新业务潜在风险进行有效管理，提升业务创新质量，推动业务可持续、健康发展；金融新业务如果事前把关不严，造成的风险与损失处置难度大，造成的经济和社会成本可能很大。

实行差异化监管

区分规模实行差异化监管是此次《办法》的主要特点之一。《办法》参照制定恢复和处置计划机构的认定标准，明确规模较大的银行保险机构，是指按照并表调整后表内外资产（杠杆率分母）达到3000亿元（含等值外币）及以上的银行机构，以及按照并表口径（境内外）表内总资产达到2000亿元（含等值外币）及以上的保险机构。未达到上述标准的机构则属于规模较小的银行保险机构。

针对不同规模的银行保险机构，《办法》分别适用差异化的监管要求：鼓励规模较大的机构提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能；同时明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

对于不同规模机构实施差异化监管，某银行分析人士认为，这充分考虑到了机构业务结构存在明显差异，有助于减少部分中小机构合规投入成本，同时，提升监管质效。

谈及此次《办法》颁布的意义和影响，前述银行分析人士表示，操作风险是银行保险机构面临的主要风险之一，随着银行保险业务发展，规模不断扩大，业务模式更加复杂，叠加经营环境变化，对机构操作风险防范能力提出更高要求，《办法》的制定有助于压实风险治理和管理的主体责任，推动和引导银行保险机构健全和细化操作风险管理流程，提升防范风险能力，提高经营的稳健性与可持续性。

北京商报记者 李海颜