第一条 为提高银行保险机构操作风险管理水平，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》等法律法规，制定本办法。

第二条 本办法所称操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。

第三条 操作风险管理是全面风险管理体系的重要组成部分，目标是有效防范操作风险，降低损失，提升对内外部事件冲击的应对能力，为业务稳健运营提供保障。

第四条 操作风险管理应当遵循以下基本原则：

（一）审慎性原则。操作风险管理应当坚持风险为本的理念，充分重视风险苗头和潜在隐患，有效识别影响风险管理的不利因素，配置充足资源，及时采取措施，提升前瞻性。

（二）全面性原则。操作风险管理应当覆盖各业务条线、各分支机构，覆盖所有部门、岗位、员工和产品，贯穿决策、执行和监督全部过程，充分考量其他内外部风险的相关性和传染性。

（三）匹配性原则。操作风险管理应当体现多层次、差异化的要求，管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应，并根据情况变化及时调整。

（四）有效性原则。机构应当以风险偏好为导向，有效识别、评估、计量、控制、缓释、监测、报告所面临的操作风险，将操作风险控制在可承受范围之内。

第五条 规模较大的银行保险机构应当基于良好的治理架构，加强操作风险管理，做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接，提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。

第六条 国家金融监督管理总局及其派出机构依法对银行保险机构操作风险管理实施监管。

第二章 风险治理和管理责任

第七条 银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一，承担操作风险管理的最终责任。主要职责包括：

（一）审批操作风险管理基本制度，确保与战略目标一致；

（二）审批操作风险偏好及其传导机制，将操作风险控制在可承受范围之内；

（三）审批高级管理层有关操作风险管理职责、权限、报告等机制，确保操作风险管理体系的有效性；

（四）每年至少审议一次高级管理层提交的操作风险管理报告，充分了解、评估操作风险管理总体情况以及高级管理层工作；

（五）确保高级管理层建立必要的识别、评估、计量、控制、缓释、监测、报告操作风险的机制；

（六）确保操作风险管理体系接受内部审计部门的有效审查与监督；

（七）审批操作风险信息披露相关制度；

（八）确保建立与操作风险管理要求匹配的风险文化；

（九）其他相关职责。

第八条 设立监事（会）的银行保险机构，其监事（会）应当承担操作风险管理的监督责任，负责监督检查董事会和高级管理层的履职尽责情况，及时督促整改，并纳入监事（会）工作报告。

第九条 银行保险机构高级管理层应当承担操作风险管理的实施责任。主要职责包括：

（一）制定操作风险管理基本制度和管理办法；

（二）明确界定各部门、各级机构的操作风险管理职责和报告要求，督促各部门、各级机构履行操作风险管理职责，确保操作风险管理体系正常运行；

（三）设置操作风险偏好及其传导机制，督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查，及时处理突破风险偏好以及其他违反操作风险管理要求的情况；

（四）全面掌握操作风险管理总体状况，特别是重大操作风险事件；

（五）每年至少向董事会提交一次操作风险管理报告，并报送监事（会）；

（六）为操作风险管理配备充足财务、人力和信息科技系统等资源；

（七）完善操作风险管理体系，有效应对操作风险事件；

（八）制定操作风险管理考核评价与奖惩机制；

（九）其他相关职责。

第十条 银行保险机构应当建立操作风险管理的三道防线，三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。

第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括各级负责操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线包括各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

第十一条 第一道防线部门主要职责包括：