□中国建设银行内控合规部

中央金融工作会议提出“加快建设金融强国”的目标，强调要全面加强金融监管，有效防范化解金融风险。切实提高金融监管有效性。面对复杂严峻的外部形势，国家金融监督管理总局敏锐捕捉操作风险特征的新变化，有效总结国际监管规则的新成果，着力解决国内银行保险机构管理中的新问题，适时出台了《银行保险机构操作风险管理办法》（以下简称《办法》），全面规范了银行业保险业操作风险管理体系。《办法》紧扣中央金融工作会议精神，突出强监管、严监管导向，紧紧围绕强化“五大监管”，切实扎紧操作风险监管制度的“铁篱笆”，对于推动中国银行业保险业操作风险管理整体水平的提升意义重大。

一、深刻把握操作风险监管思路与总体导向

（一）体现“四个强化”的基调主旨，聚焦防范化解金融风险

强化机构监管。《办法》全面推动银行保险机构完善公司治理，重新梳理细化董事会、高管层职责，增加监事（会）职责，进一步明确三道防线的构成及职责，重点对第一道防线进行重构，强调直营部门、分支机构、附属机构在操作风险管理中的主体责任，抓法人、抓治理，强化机构监管。

强化持续监管。《办法》新增操作风险偏好及容忍度传导的管理要求，对操作风险识别、评估、计量、监测、控制、缓释等全链条管理要求进行规范和细化。在业务运营中，要求有效应用三大工具，同时鼓励部分大型银行保险机构进一步探索运用事件管理、控制监测和保证框架、基准比较分析等新型管理工具，对潜在风险较高的领域加大管理力度。在新产品面市、新业务推出、新系统建设、新机构设立之前，加强操作风险识别评估，切实围绕机构运营全周期、风险全过程、业务全链条，强化持续监管。

强化风险防控。《办法》提出银行保险机构至少按年向监管机构及董事会、高管层报告操作风险管理情况，同时强化对九类重大操作风险事件的报告，有助于监管机构及银行保险机构自身全面掌握操作风险全局，对风险敞口做到“心中有数”，对重点风险、重点业务、重点区域、重点机构能够精准定位、及时防控。同时，聚焦网络安全、数据安全等实质性风险加强监管，切实监测、防御、处置相应风险和威胁，确保风险早识别、早预警、早暴露、早处置。

强化稳中求进。《办法》提出，对金融体系稳定性至关重要的银行保险机构，应当具备持续向客户提供关键服务的能力，加强操作风险管理，做好与业务连续性、外包风险、网络安全、数据安全、突发事件应对等管理体系机制的有机衔接，加强管理协同、提升运营韧性，在疫情、自然灾害、战争等各类风险叠加的严峻形势下，能够妥善应对各类风险冲击，保证关键运营的持续稳健。

（二）明确传导“四个更加”的强监管严监管导向，坚持提高金融监管有效性

规则更加前瞻有效。《办法》将原有指导性文件升格为管理办法，制度的效力得以全面提升，刚性约束切实增强。《办法》结合巴塞尔委员会对操作风险管理、资本计量、运营韧性等国际监管规则的最新调整，作出了适合中国国情的本土化改造，监管要求更贴近中国银行保险机构的管理实践。《办法》有效整合了针对银行业和保险业分散的监管要求，使得操作风险管理的框架及要求高度统一，有利于按照同一标准，有效规范银行保险机构的管理行为。

施策更加精细精准。《办法》坚持“风险为本”原则，明确了操作风险监管应与银行保险机构的发展战略、经营规模、业务复杂程度等高度相关，同时更要与机构对整个金融体系的稳定性影响有效挂钩。《办法》参照系统重要性银行的认定标准，将银行保险机构划分为规模较大和较小两类，对于规模较大的机构监管更为严格，对于规模较小的机构适当放宽监管标准，分类施策，避免“一刀切”。

监管更加协同联动。《办法》明确了业务连续性、外包风险、网络安全、数据安全等基本管理要求，与相应领域的监管规定保持一致，同时在重大操作风险事件报告中，充分考虑了与案件管理、突发事件等现有制度报告要求的有机衔接，做实政策协同、监管协同，实现同责共担、同题共答、同向发力，加强监管机构的集成作战。

执法更加严格严厉。《办法》清晰界定了银行保险机构操作风险管理的相关违规情形，视违规程度分类采取监管措施或行政处罚，聚焦影响金融稳定的“关键事”、造成金融风险的“关键人”、破坏金融秩序的“关键行为”，把板子打准、打痛，切实提高违法违规成本。如，针对操作风险管理制度或机制建设中存在缺陷等六类相对较轻的违规情形，明确责令改正，并视情形依法采取监管措施；针对瞒报漏报、故意迟报重大操作风险事件等四类较为严重的违规情形，实施行政处罚。

二、商业银行应强化监管规则的落地执行，持续提升操作风险管理的规范性和有效性

近年来建设银行始终将推动金融高质量发展作为根本遵循和行动指南，作为系统重要性银行，坚定当好服务实体经济的主力军和维护金融稳定的压舱石。在操作风险管理中，不断健全管理体系，优化管理工具，强化风险管控，积极压降操作风险损失，努力以自身工作的确定性应对形势变化的不确定性。

建立健全管理体系，系统规范地开展操作风险管理。建设银行构建了自上而下、全面覆盖的操作风险管理体系，从政策、制度、操作手册三个层次建立健全制度体系，压实董监高、三道防线的管理责任，推动全行同频共振、协同发力，确保管理无死角、无盲区、无例外。在实际管理中，坚持以风险偏好及其传导为统领，以操作风险识别、评估、计量、控制、缓释、监测、报告等流程为主体，以操作风险管理工具为抓手，以操作风险管理文化和考核评价机制为保障，为操作风险管理提供坚实的基础保障，将风险敞口控制在可承受的范围之内。

聚焦四大风险成因，精准强化管控措施。针对人员因素，建设银行建立“线下网格化、线上智能化”的员工行为管理体系，构建员工行为合规模型，智能识别、动态预警员工异常行为；聚焦重点领域，积极开展案件风险排查，从源头消除案件风险隐患。针对内部程序因素，切实推进制度“立改废”管理，持续优化不相容岗位、重要岗位轮换、业务回避等内控措施，加强业务合规模型的建设和预警，确保制度建设和措施执行的有效性。针对信息科技因素，全面强化三道防线的协同管控，做好信息安全、信息系统开发测试和维护、信息科技运行、业务连续性、信息科技外包等各领域的风险管控，为深化金融科技战略提供基础保障。针对外部事件因素，以保障重要业务持续运营为目标，不断强化应急预案建设及演练，持续健全“两地三中心”灾备体系，促进业务连续性管理与突发事件应对、外包管理等有机衔接，大力提升运营韧性，妥善应对各类风险冲击。

盯住新型风险和风险传染等特征，以问题为导向加强关键领域风险防控。建设银行持续加强对新型风险的识别与分析，将数据安全、欺诈、外包等新型风险及时纳入全面风险管理体系，明确牵头管理部门，做好新型风险管理的体制性制度性安排，对传统风险管理体系进行调适优化。结合数字化转型和综合化经营的纵深推进，以及新兴表外业务、线上业务的快速发展，进一步厘清三道防线及机构的职责定位和管理要求，提升集团一体化风险防控能力，切实防范各类风险相互交织转化，跨机构、跨条线、跨行业、跨区域的交叉传染。

三、对标对表，统筹部署，将操作风险管理水平推上新台阶

《办法》对新时代做好操作风险管理提出了更高要求。建设银行将始终以“时时放心不下”的责任感和使命感，继续加强监管遵循，统一思想、凝聚共识，做好《办法》的对标对表、统筹部署和深化落实，守牢不发生系统性金融风险底线，为金融高质量发展贡献力量。

对标对表，统筹安排。建设银行将及时传导监管的导向和要求，督促集团高度重视，压实主体责任，认真落实操作风险管理各项要求。第一时间部署落实《办法》，根据业务性质、规模和复杂程度，开展本机构操作风险管理体系重检，梳理操作风险管理框架、流程机制、工具方法等方面的现状和差距，厘清工作任务，制订实施计划，明确责任机构，加强督促落实，确保各项工作任务高效落地。

深化落实，强化管理。建设银行将针对《办法》的各项要求，及时修订操作风险管理办法，完善风险偏好传导及监控机制，优化完善损失数据等各项管理机制及要求，强化定期报告和重大风险事件报告机制，以实施监管新规为契机，促进操作风险管理迈上新台阶。

加强宣贯，厚植文化。在集团内强化操作风险管理各项要求的传导，通过典型案例和线上线下培训等多种形式，促进操作风险管理要求入脑入心。兼顾操作风险管理过程和结果，进一步优化考核评价机制，有效发挥“指挥棒”的引领作用。厚植“稳健、审慎、全面、主动”的风险文化，强化对员工行为规范和职业道德的相关要求，并把操作风险文化教育与党史学习教育、廉洁文化建设贯通衔接起来，引导全体员工树立正确的经营观、发展观、风险观，实现操作风险的前瞻性、主动性、精准性管理。