7月28日，国家金融监管总局就《银行保险机构操作风险管理办法（征求意见稿）》（以下简称《办法》）公开征求意见，旨在进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平。

《办法》共六章五十条及附录，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则，主要内容包括：

一是明确风险治理和管理责任。优化董事会在公司治理中的作用，明确监事（会）监督职责和高级管理层的执行职责。界定三道防线的具体范围和职责，特别是明确各级业务和管理部门均属于第一道防线范畴，要求在一级分行（省级分公司）及以上设置第二道防线的操作风险管理专岗。要求压实分支机构和附属机构的责任。

《办法》明确，银行保险机构应当建立操作风险管理的三道防线。第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。

二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险的管理信息系统，培育良好的操作风险管理文化。风险管理考核评价指标应当兼顾操作风险管理过程和结果，薪酬和激励约束机制应当有效反映考核评价结果。规定操作风险管理的培训和信息披露要求。

《办法》规定，银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好，每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制，对操作风险进行持续监测和及时预警。

三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

《办法》要求，银行保险机构应当结合风险识别、评估结果，实施控制、缓释措施，将操作风险控制在风险偏好内。银行保险机构应当根据风险等级，对业务、产品、流程以及相关管理活动的风险采取控制、缓释措施，持续监督执行情况，建立良好的内部控制环境。银行保险机构通过购买保险、业务外包等措施缓释操作风险的，应当确保缓释措施实质有效。

四是完善监督管理职责。规定金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性。针对监管发现的有关问题，监管部门应当要求银行保险机构及时整改。规定重大操作风险事件报告的具体要求。要求行业协会发挥自律和服务作用。