□中国农业银行内控合规监督部

操作风险为商业银行面临的主要风险之一，且往往与信用风险、市场风险交织在一起，扎实做好操作风险管理始终是商业银行强基固本、行稳致远的关键所在。近日，国家金融监督管理总局制定出台《银行保险机构操作风险管理办法》（以下简称《办法》），为商业银行加强和完善操作风险管理指明了方向，提出了要求，商业银行应积极主动将监管要求转化为内部行动，保障促进业务高质量发展。

一、深刻把握《办法》的重大变化

与2007版《商业银行操作风险管理指引》相比，《办法》在保持操作风险基本内涵不变的前提下，作出重大调整，既从整体上重构了操作风险管理框架，又细化明确了治理与管理责任、管理流程和方法，较好满足了当前商业银行操作风险管理的需要。

树立标杆。《办法》坚持从实践中来，到实践中去，既对标国际监管实践，也对标国内银行良好做法，还适应针对商业银行面临的风险挑战，从而为新时期商业银行操作风险管理树立新标杆。如近年来，金融市场受疫情、主要经济体经济不景气等的影响，复杂性、脆弱性加深，产品、期限、技术、交易模式等风险交叉，银行机构风险事件和案件呈现多发态势；金融科技对银行业务和风险管理的渗透成为管理难点。《办法》对此进行了回应，要求加强运营韧性、业务连续性、重大变更、数据安全管理以及压力测试，积极拓展管理工具。

明确方法。《办法》至少可以从三方面提供指导，为商业银行建立完善操作风险管理体制机制提供监管标准。一是明确管理框架，详细规定了“两会一层”、“三道防线”、专业部门、附属机构、分支机构的管理职责；从制度建设、风险偏好、信息系统、风险文化、教育培训、考核评价、信息披露等7个方面提出基本要求。二是细化管理流程方法，明确识别评估、控制缓释、监测报告、资本计提等全流程管理关键环节要求，并将内部控制作为重要手段，还专门提出业务连续性、业务外包、数据安全等重点领域的管理要求，在附则中明确相关定义和示例。三是允许差异化管理，不同类型机构、不同规模机构适用不同的管理要求、不同的过渡期。

促进管理。中央金融工作会议强调，坚持把防控风险作为金融工作的永恒主题。《办法》与中央精神高度契合，提出审慎性、全面性、匹配性、有效性管理原则，强调了风险为本理念，要求重视风险苗头和潜在隐患，有效识别影响不利因素，配置充足资源，及时采取措施，提升前瞻性。还详细规定了检查评估、整改通报、行政处罚等监管措施、监管手段。因此，贯彻落实《办法》，既是监管要求，又是促进自身健康发展的客观需要，更是贯彻中央金融工作会议精神的基础工作和重要抓手。

二、正视差距明确方向

《商业银行操作风险管理指引》颁布后，国内银行机构都加强了操作风险管理体系建设，操作风险管理工作稳步有序推进，不断夯实操作风险管理基础。以农业银行为例，早在2007年就在总行设立了专门管理处室，在审慎型风险偏好引领下，逐步建立了覆盖5级机构的组织体系、较为健全的制度体系、功能齐全的信息系统；坚持全流程管理，有效运用“三大”工具，突出抓好法律、IT、案件、外包、模型等子类型风险管理，以及重点业务领域、关键控制环节、重大操作风险事件管理，狠抓风险文化培育等基础性工作。

但同时也要看到，国内银行机构操作风险管理不平衡性还比较突出，有的资源配置不够到位，有的管理体系不够健全，有的管理工具创新不足，有的管理有效性有待提升，以至于造成巨额损失、重大影响，甚至极端后果。尤其需要关注的是，当前经济社会形势复杂多变，数字化转型深入推进，员工异常行为持续演变，资本约束、监管约束、市场约束加剧，都给银行机构操作风险管理带来新挑战，操作风险管理体系必须因势而变、顺势而为、与时俱进。

银行机构应当坚持目标导向、问题导向，坚持风险为本理念，以贯彻落实《办法》为契机，结合中央金融工作会议精神、《商业银行资本管理办法》等监管新政策，找到问题所在，明确工作重点，加快推进工作转型升级。至少需要开展三方面的工作：一是开展系列宣贯活动。比如专题培训、集中研讨、同业交流等，统筹融入本机构风险合规文化建设。二是做好外规内化、内规建设。围绕《办法》要求，及时修订完善基本制度、专项制度、业务流程、信息系统。三是持续强基固本。全面开展对比分析，建立差距清单，明确工作任务、推进措施、完成时限、负责部门，实施项目化管理、销号管理，尤其是要抓好重点任务的落地实施。

三、加强和完善操作风险管理

《办法》条文多、变化大、要求高，加上操作风险本身涉及面广、风险来源多、管控重点差异大，银行机构在全面贯彻《办法》，健全管理体系的同时，要关注以下重点事项：

坚持风险为本配置资源。坚持把管理资源优先配置到风险较高的机构或领域，推进组织体系建设，细化明确“两会一层”、“三道防线”、各级机构管理职责，配好管理专岗和专职人员，做实常态化“双线”报告。适应数字化转型需要，持续推进管理集中、上收，对关键控制点加强机器控制，适度开展业务外包，健全数字化、集约化管理体系，加强对基层机构的穿透式管理，减少重复建设，防止战略传导层层衰减。同步贯彻《商业银行资本管理办法》，坚持以“计量”促“管理”，以经济资本的节约展示管理成效，传导风险管理要求。坚持开展风险文化培育，推动全行树牢认识风险、经营风险、管理风险意识，增强管理内生动力。

积极拓展管理工具和方法。加强风险偏好引领，明确定性、定量指标，嵌入经营管理全过程，树牢操作风险管理基调。坚持用好操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具，积极运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，推动与案防合规领域监测工具结合。坚持把内部控制作为操作风险管理的主要抓手，推动各级机构、各条线围绕内部控制“五要素”，加强内控机制建设和自我评价，夯实操作风险管理基础。健全激励约束机制，坚持围绕过程与结果设计考核指标，表彰有效堵截案件和事件、主动抵制或检举违法违规行为、积极防范化解风险的机构和个人；优化自查自纠机制，广泛征集内控建议，引领全行主动加强管理。

加强重点领域风险管理。坚持做好运营韧性管理，推动操作风险管理与恢复处置计划、业务连续性、网络安全、数据安全、业务外包管理，有效应对“黑天鹅”“灰犀牛”事件。坚持做好重大变更管理，围绕新产品研发、新机构设立、新商业模式拓展，流程、系统重大变革，认真开展风险事前识别评估。突出抓好子类型风险管理，持续健全法律风险、IT风险、模型风险、外包风险管理机制；深入推进欺诈风险一体化防控，突出内控机制建设、员工行为管理，构建案件风险全链条防控体系。坚持做好机构、条线风险合规画像，针对风险较高的分支机构、业务领域深入开展风险治理，实现业务发展、风险管理“两手抓、两手都要硬”。

自觉接受监管和市场约束。坚持把外部监管、市场约束转化为推动内部管理的动力和自觉行动。加强监管合规能力建设，变被动接受监管为主动沟通汇报，定期分析监管机构对同业采取的监管措施，有效把握监管动向；高度重视监管检查、监管评级、监管通报、监管处罚中涉及的操作风险问题，有效运用内外部审计、一道防线自我检视、二道风险指导监督，推动操作风险管理改进。全面及时报告重大操作风险事件情况，及时报告操作风险管理基本制度、年度操作风险管理情况，积极依规披露操作风险管理情况和损失数据，自觉接受监管机构、资本市场、社会公众的检验，以高质量的操作风险管理推进业务高质量发展。