□彭远汉 王志民

国家金融监督管理总局近日发布《银行保险机构操作风险管理办法》（以下简称《办法》），旨在进一步巩固防范化解金融风险攻坚战的成果。修订后的《办法》与原银保监会对操作风险管理的相关要求前后衔接，与刚刚发布的《商业银行资本管理办法》相互配套。《办法》进一步明确银行保险机构操作风险识别评估、管理控制和工具等要求，完善银行保险机构操作风险治理框架，更加适应当前防控操作风险的形势，既很有必要，又非常及时。

《办法》的出台和实施，完善了我国银行保险机构操作风险监管制度，既有利于弥补监管制度短板，进一步巩固防范化解金融风险攻坚战的成果，规范提升银行保险机构操作风险管理水平，又有利于强化机构监管、行为监管、功能监管、穿透式监管、持续监管。对此，各级银行保险机构要高度重视，深刻理解，多管齐下，严格执行。

首先要遵循操作风险管理基本原则。各级银行保险机构开展操作风险管理一要遵循审慎性原则，坚持风险为本的理念，充分重视风险苗头和潜在隐患，有效识别影响风险管理的不利因素，配置充足资源，及时采取措施，提升前瞻性。二要遵循全面性原则，必须覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。三要遵循匹配性原则，充分体现多层次、差异化的要求，管理体系、管理资源要与机构发展战略、经营规模、复杂性和风险状况相适应，并根据情况变化及时调整。四要遵循有效性原则，要以风险偏好为导向，有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险，将操作风险控制在可承受范围之内。

其次要规范风险管理流程新型工具。各级银行保险机构要将加强内部控制作为操作风险管理的有效手段，根据操作风险偏好，识别内外部固有风险，评估控制、缓释措施的有效性，分析剩余风险发生的可能性和影响程度，划定操作风险等级，确定接受、降低、转移、规避等应对策略，有效分配管理资源。结合风险识别、评估结果，实施控制、缓释措施，将操作风险控制在风险偏好内。依据风险等级，对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施，持续监督执行情况，建立良好的内部控制环境。并科学制定网络安全管理制度，履行网络安全保护义务，执行网络安全等级保护制度要求，采取必要的管理和技术措施，监测、防御、处置网络安全风险和威胁，有效应对网络安全事件，保障网络安全、稳定运行。

再次要依照操作风险管理要求办事。各级银行保险机构要严格按照《办法》规定，使操作风险管理基本制度与机构业务性质、规模、复杂程度和风险特征相适应，在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检，并与战略目标、经营计划、绩效考评和薪酬机制等相衔接，通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制，对操作风险进行持续监测和及时预警，建立健全操作风险的管理信息系统，定期开展操作风险管理相关培训，培育良好的操作风险管理文化。建立有效的操作风险管理考核评价机制，薪酬和激励约束机制要反映考核评价结果。按照《办法》要求及时准确披露操作风险管理情况和损失数据等相关信息。

最后要实行风险治理和管理责任制。各级银行保险机构要优化董事会在公司治理中的作用，将操作风险作为本机构面对的主要风险之一，承担操作风险管理的最终责任，并明确监事（会）监督职责和高级管理层的执行职责，界定三道防线的具体范围和职责。第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作；第二道防线包括各级负责操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作；第三道防线包括各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部建立完善风险数据和信息共享机制，压实分支机构和附属机构的责任，狠抓操作风险管理工作落实到位。

（作者单位：江西省景德镇市金融学会）