□张超

操作风险，是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。操作风险不仅与信用风险、市场风险并列为金融机构的三大风险，而且是产生信用风险损失、市场风险损失等重大风险损失的主要因素之一，操作风险防控在金融机构风险管理领域具有举足轻重的地位。

国家金融监督管理总局于2023年12月29日发布了《银行保险机构操作风险管理办法》（以下简称《办法》），体系化地明确了操作风险管理的治理架构、管理流程、监督管理，将在银行保险领域作为做好操作风险管理的准绳和纲领。《办法》在当下时点正式发布实施，不仅适应当前银行保险机构操作风险防控形势的实际需求，更契合中央金融工作会议提出的“全面加强金融监管，完善金融体制，优化金融服务，防范化解风险”。

对于银行机构，早在2007年，原银监会就发布了《商业银行操作风险管理指引》（以下简称“旧规”），对规范商业银行操作风险管理发挥了积极的作用，但已过去多年，难以满足近年来复杂的操作风险防控形势的需要。对于保险机构，原银保监会在2021年发布的《保险公司偿付能力监管规则（Ⅱ）》中明确了对保险公司操作风险的管理要求，建立了保险公司操作风险管理的基本框架，但依然急需明确一套更加具体的操作风险管理体系构成。近年来国内银行保险机构在操作风险管理方面既积累了一系列良好做法，也暴露了管理手段不够有效、管理资源投入不足等问题。在这些情况下，不仅需要银行保险机构升级“主动管理”，不断创新和改进管理方法，也需要监管机构加强“监管监督”，不断指引、督促银行保险机构落实稳健的操作风险管理。

首先，《办法》相对旧规有诸多变化。《办法》很好地继承了旧规中的良好规则和做法，更主要的是，针对实务中暴露出来的不足，《办法》提出了更加全面和具体的指引，包括完善操作风险定义、明确风险治理和管理责任、规定风险管理基本要求、细化风险管理流程和方法、完善监督管理职责等。其中，最为重要、影响最为深远的几个变化有：

一是明确操作风险与合规风险的关系。《办法》规定法律风险包括“业务、管理活动违反法律、法规或者监管规定，依法可能承担刑事责任或者行政责任”，明确操作风险基本上包含了合规风险，消除了长久以来关于两者关系在业内存在的分歧和争论，为操作风险与合规风险联动管理增强了共性基础。

二是指明健全三道防线治理的必要内容。《办法》总结了业内良好的操作风险三道防线治理架构，并抓住了当下健全三道防线治理的关键要素，包括资源投入、信息共享及审计评价等，为银行保险机构健全三道防线治理指明了方向，以解决力度不够、合力不足、职责不清、评价缺位的问题。

三是确定操作风险偏好及传导的治理要求。《办法》针对当下银行保险机构管理层对本机构操作风险暴露水平缺乏掌控的问题，深度发掘操作风险偏好指标的优良作用，确定了操作风险偏好指标设置及传导要求，为及时、全面、准确掌握操作风险状况创造了机会，也开启了操作风险偏好量化管理的新起点。

四是指引多项增强型操作风险管理措施和工具，完善内部控制要求。国内实践经验显示，过往按照旧规要求建立的操作风险管理工具较难发挥及时防范风险的作用。为此，《办法》借鉴吸收了国际监管标准，参考了领先同业的实践探索，指引了一套更加全面的增强型工具体系，提出控制监测和保证框架、情景分析、基准比较分析、事件管理等方法规则。同时，对旧规规定的内部控制“十二条”进行了较大幅度修订，增强了风险偏好、检查管理、岗位管理、员工行为管理等内部控制要求，充分丰富了管理手段，形成了一套更加健全的管理工具与控制体系。

五是提示专门种类操作风险的治理思路。当下银行保险机构二道防线职能大都集中于单一部门团队，《办法》在重大变更风险、数据安全风险、业务连续性风险、外包风险等专门种类操作风险方面，要求建立专门管理制度与机制，提示了多个专业部门团队结成二道防线网络的治理思路。

其次，《办法》将对银行保险机构产生深层次积极影响。当前银行保险机构普遍正值需要创新和精细操作风险管理方法与工具的时期，以提升操作风险管理质效。《办法》的出台，不仅为银行保险机构的操作风险管理划定新的监管基线，更重要的是，将极大推动银行保险机构在风险治理、方法工具、资源保障三大层面强化风控，势必将对银行保险机构产生深层次积极影响。

（一）提升风险治理成效

自从巴塞尔资本协议Ⅱ将操作风险纳入风险计量及管理体系之后，做好操作风险治理一直是银行公司治理的重要议题。《办法》特别提出三道防线治理与管理责任，具化董事会、监事会与高管层管理责任，明确风险偏好与传导作用，同时强调风险报告、考核奖惩、专项审计的作用，明确操作风险包含合规风险，这些规定势必加强银行保险机构董监高对本机构操作风险的掌控力度，促进操作风险与内控合规的共性和联动管理，提升风险治理成效。

（二）改善方法工具作用

《办法》对标借鉴国际监管最新规则，架构了一套更加完整的管理工具体系，包括控制监测和保证框架、重大变更风控、风险事件报告、压力测试、数据安全管理等多项增强型措施和工具，同时完善了内部控制要点，势必推动银行保险机构优化或重构操作风险管理体系，将操作风险管理有效嵌入各项业务风险控制机制内，提高风险管理水平。

（三）促进风控资源保障

《办法》经过广泛调查研究、征求意见，明确一道防线、二道防线配置专人、专岗的底线资源要求，规定管理层应为操作风险管理配备充足财务、人力和信息科技系统等资源，同时要求三道防线之间及各防线内部建立完善风险数据和信息共享机制。得益于这些规定，在后续监管检查监督加持下，势必提高银行保险机构对操作风险的重视程度，促进风控资源保障。

最后，银行保险机构落实《办法》需应对的挑战。《办法》相对旧规的诸多增强内容中，有相当部分目前在业内尚未形成统一认知并获得良好实践，银行保险机构在落实《办法》要求时，预计会面临诸多挑战，急需银行保险机构提早谋划，知行合一。

（一）厘清差距、做好规划

银行保险机构首先应认清当前管理现状存在的问题，厘清与《办法》要求及优良实践之间的差距，结合自身业务性质、规模及复杂程度，制定与发展水平与战略相匹配的建设愿景和规划，确保能够至少满足监管底线要求并构建实质有效的风险防控体系。

（二）改变理念、深化治理

银行保险机构应充分认识到操作风险是产生重大风险损失的主因，将操作风险作为本机构最为重要的风险之一，在全行范围形成“风控创造价值”的风险文化，部分机构更是应当改变“业绩大于风控”的理念，深化操作风险治理，建立健全操作风险偏好指标及传导机制，采取风险报告、风险限额、风险绩效、风险指标、制度规章等方式将操作风险偏好融入各机构与业务之中。

（三）创新方法、攻破难题

操作风险存在于千差万别的各项业务与管理活动当中，常用的“三大工具”大统一方法较难发挥“防范风险的先手”作用，银行保险机构应当充分把握《办法》精神与指引，创新方法，将操作风险管理链路不断修建畅通，攻破难题，实现“机构、业务、流程、环节、控制、岗位、人员、风险”的立体化、数字化监控。

（四）保障资源、落实措施

银行保险机构应切实做好资源保障，首先保障好深化治理、创新方法、攻破难题所需的专业资源，确保能够持续产出优良措施；其次保障好各机构业务落实优良措施所需的专门资源，确保优良措施得到有效运行，及时适应新情况新变化，避免人员执行与规章制度脱钩、固定动作与风控实质偏离。

《办法》充分参考和吸收了国内银行保险机构的实践和探索，也对标借鉴了最新的国际监管规则，具有相当经验性、实操性和前瞻性。随着银行保险机构积极进行主动管理、监管机构逐步落实达标监管，《办法》将有力促进我国银行保险机构操作风险管理，不断催化出“应对和化解风险挑战的高招”。

（作者系安永会计师事务所合伙人）