证券公司操作风险管理指引

中国证券业协会关于发布《证券公司操作风险管理指引》的通知

（中证协发〔2023〕238号）

各证券公司：

　　为完善证券行业全面风险管理体系，防范证券公司操作风险，切实加强证券公司对各类操作风险事件的防控与应对，中国证券业协会根据相关法律法规及自律规则，结合证券行业实际，制定了《证券公司操作风险管理指引》，经协会第七届理事会第十九次会议审议通过，并向中国证监会备案，现予发布，自发布之日起施行。

　　附件：1.证券公司操作风险管理指引

　　2.《证券公司操作风险管理指引》起草说明

中国证券业协会

2023年12月1日

　　附件1

证券公司操作风险管理指引

　第一章　总则

　　第一条　为规范证券公司操作风险管理，完善全面风险管理体系，根据《中华人民共和国证券法 》《证券公司监督管理条例 》《证券公司风险控制指标管理办法 》《证券公司全面风险管理规范》等法律法规、监管规定和自律规则，制定本指引。

　　第二条　本指引所称操作风险是指由不完善或有问题的内部程序、人员、信息技术系统，以及外部事件造成损失的风险。本定义所指操作风险包括法律风险，但不包括战略风险和声誉风险。

　　第三条　证券公司应建立符合监管要求，与自身发展战略、业务特点、规模和复杂程度相适应的操作风险管理体系，将操作风险损失控制在自身可承受的范围内。

　　第四条　证券公司操作风险管理应遵循以下基本原则：

　　（一）全程全员原则。证券公司操作风险管理应覆盖证券公司各部门、分支机构、子公司以及比照子公司管理的各类孙公司（以下简称“子公司”），包含各类岗位、活动、流程、信息系统、产品等，贯穿决策、执行、监督、反馈等各个环节；

　　（二）协同管理原则。证券公司操作风险管理应发挥各专业职能部门的作用，根据不同专业领域的特点与分工，有针对性地协同开展风险管理；

　　（三）审慎应对原则。证券公司应审慎识别和控制各项经营管理活动的操作风险，对操作风险管理重点领域和环节加强风险识别、评估、监测与控制，最大程度地防范和减少操作风险事件对公司、行业造成的损失和负面影响；

　　（四）防范预见原则。证券公司应充分识别和评估新业务、新产品涉及的操作风险，重视防范已有业务流程和信息系统等可能因新业务、新产品引发的操作风险。

　　第五条　证券公司操作风险管理体系应当包括健全的组织架构、明晰的管理职责与分工、专业的人才队伍、可靠的信息技术系统、量化的风险指标体系和有效的风险应对机制，并通过可操作的管理制度，规范以上要求的落实与开展。

　　第六条　证券公司应树立全员防控操作风险的管理理念，开展操作风险管理相关培训，确保公司人员获得足够专业技能与风险管理知识，不断提升全员的操作风险管理意识与能力。

　第二章　操作风险管理职责

　　第七条　证券公司应建立有效的操作风险管理组织架构，明确董事会、监事会、经理层、各部门、分支机构、子公司在操作风险管理中的职责和报告路线，建立健全有效的考核及问责机制。

　　第八条　证券公司董事会应将操作风险作为公司面临的一项重要风险，承担操作风险管理的最终责任，履行以下职责：

　　（一）推进公司操作风险管理文化建设；

　　（二）确定操作风险管理的总体目标，审议批准涵盖操作风险的公司风险偏好、容忍度等风险管理重大事项；

　　（三）确保经理层采取必要措施有效地识别、评估、监测、控制或缓释操作风险；

　　（四）审议经理层提交的操作风险定期报告，持续关注公司整体操作风险状况。

　　第九条　证券公司监事会承担操作风险管理的监督责任，负责监督检查董事会和经理层在操作风险管理方面的履职尽责情况并督促整改。

　　第十条　证券公司经理层对操作风险管理承担主要责任，应履行以下职责：

　　（一）建立健全操作风险管理相关制度和流程；

　　（二）确定操作风险管理组织架构，明确各部门操作风险管理职责并督促其切实履行；

　　（三）确保操作风险偏好、容忍度等在公司内部的有效沟通、传达和实施；

　　（四）为操作风险管理配备与业务特点、规模和复杂程度相适应的资源，包括但不限于经费、岗位、人员、履行职责所必需的权限等，有效开展操作风险管理工作；

　　（五）充分了解操作风险水平及其管理状况等，并定期向董事会报告；

　　（六）建立健全操作风险管理工作评估、考核与责任追究机制；

　　（七）培育全员操作风险意识，制定并督促实施相关培训计划。

　　第十一条　证券公司首席风险官牵头负责操作风险管理工作。证券公司应当保障首席风险官能够充分履职所必需的知情权和资源配置。

　　第十二条　证券公司其他高级管理人员负责各自分管领域的操作风险管理，并为首席风险官统筹管理操作风险提供支持。

　　第十三条　证券公司应设立或指定部门，牵头负责以下操作风险管理工作：

　　（一）拟订操作风险偏好、容忍度等并定期审查；

　　（二）组织开展操作风险的识别、评估、监控和报告；

　　（三）协助、指导、检查各部门、分支机构及子公司的操作风险管理工作，落实评估、考核与责任追究机制，定期评价各单位操作风险管理工作开展情况与管理效果；

　　（四）定期向经理层汇报公司操作风险管理状况及重大变化。

　　第十四条　证券公司各部门、分支机构、子公司承担本单位操作风险管理的直接责任，主要职责包括：

　　（一）主动识别、评估操作风险，建立健全操作风险监测、控制或缓释、应对措施；

　　（二）建立健全各项业务与管理活动的规章制度和关键业务环节的操作流程；

　　（三）在制定制度、流程，开发新业务、新产品和建设信息系统时，充分体现操作风险管理的要求；

　　（四）及时向操作风险管理牵头部门报告操作风险事件，定期报告操作风险管理情况；

　　（五）配备专职或兼职操作风险管理人员，牵头组织本单位操作风险管理工作。

　　证券公司风险管理、法律合规、信息科技、财务、结算、人力资源、安全保卫、后勤保障、综合管理等职能部门除履行以上职责外，还应负责管理本职能领域的操作风险，并为操作风险管理牵头部门提供管理支持。

　　第十五条　证券公司应将操作风险管理纳入内部审计范畴，对操作风险管理的充分性和有效性进行独立、客观的审查和评价。内部审计发现问题的，应督促责任人及时整改，并跟踪检查整改措施的落实情况。

　第三章　操作风险管理机制

　第一节　操作风险识别与评估

　　第十六条　证券公司应建立操作风险识别与评估机制，充分识别经营管理活动中的内外部操作风险因素，评估风险状况，确定操作风险管理关注的重点领域和环节：

　　（一）建立公司主要业务与管理活动的流程目录并持续更新和完善，并在流程目录的基础上识别操作风险点；

　　（二）定期或不定期开展风险与控制自我评估；

　　（三）通过分析内外部风险事件开展操作风险识别与评估。在发生重大风险事件时，应开展专项操作风险识别与评估；

　　（四）建立针对新业务、新产品的判定、评审、验收和回顾等管理流程，充分识别和评估新业务、新产品涉及的操作风险。在业务系统上线等环节，可开展专项操作风险识别与评估；

　　（五）根据关键风险指标监测结果，评估操作风险状况与操作风险管理措施的执行效果。

　第二节　操作风险控制与缓释

　　第十七条　证券公司应结合风险识别、评估结果，采取合理的操作风险控制或缓释措施，降低、分散、规避或转移操作风险，并将其控制在可接受的水平。证券公司操作风险控制与缓释的基本措施包括但不限于：

　　（一）部门、岗位职责分工应明确、合理，不相容职责应当分离，实现相互制衡和有效监督；

　　（二）授权应具体、明确、合理，通过流程设计、系统控制等严格执行。超过授权范围的须经过相应的被授权单位或责任人批准方可开展；

　　（三）人员上岗前应通过培训等形式确保其熟悉相关管理规范、操作流程、系统功能等；

　　（四）关键业务环节双人负责并加强复核，单人单岗业务应加强监控与检查；

　　（五）定期或不定期对关键岗位人员进行轮换或强制休假；

　　（六）提升各项业务与管理活动的信息化、流程化、自动化水平，通过完善信息系统功能、应用金融科技手段等，减少人工干预；

　　（七）信息系统上线前应经过充分的测试；

　　（八）按照最少功能、最小授权和不相容职责分离等原则分配信息系统权限，并定期评估用户权限的合理性；

　　（九）加强交易系统风险指标和参数管理，指标和参数设置应符合业务授权、风险限额等要求。持仓限额、交易额度、风险敞口、压力测试阈值等重要参数的设置、变更应事前与风险管理等相关部门确认，并通过系统控制、流程设计等确保参数设置、变更的准确性和监控的有效性；

　　（十）建立交易差错处理的机制、流程和监控手段，通过流程设置、系统控制等防范交易差错；

　　（十一）妥善保存和备份交易数据，保证信息完整、有效；

　　（十二）建立健全印章、印鉴管理制度，指定专人保管印章、印鉴，严格用印审批流程，妥善保存用印后的书面合同；

　　（十三）信息披露事务应建立健全信息收集、传递、审核、披露和保密管理、档案管理等重要环节的管理制度和流程。

　　第十八条　证券公司应针对其主要业务，建立并持续梳理、完善操作风险管理措施，包括但不限于：

　　（一）经纪业务应建立健全账户实名制、客户信息保护、异常交易监测、大额及可疑交易报告、客户回访、客户投诉处理等制度和流程，及时发现、妥善处理风险事件；

　　（二）自营业务投资决策、交易执行、清算交收和风险监控等关键岗位由专人负责，并加强自营账户的集中管理和权限控制；

　　（三）投资银行类业务应规范尽职调查过程和项目跟踪管理机制，明确项目相关材料、文件的编制要求和签字审批制度，强化编制或协助编制信息披露文件内容的复核把关，加强对工作底稿的管理；

　　（四）资产管理业务应当按规定与其他业务严格分离，并按法律法规、自律规则和合同约定，分别办理不同资产管理计划份额的登记、估值、核算、收益分配，并及时、准确、完整地向投资者进行信息披露；

　　（五）融资融券、股票质押等融资类业务应建立健全尽职调查、参数设置、指令申报、资金划转、违约处置等方面的管理制度和业务流程，按规定与客户签订合同，并采用适当的方式向客户明确讲解、告知和确认；

　　（六）场外衍生品业务应建立健全客户准入、交易文件的生成和报备、交易确认、交易簿记与复核、估值核算等重要环节的管理制度和流程，对从事衍生品交易的部门和人员应进行分级授权；

　　（七）涉及跨境的业务应建立健全涉及境内外业务流程衔接、信息系统或数据对接、敏感信息跨境流动、数据备份等方面的管理流程。

　第三节　操作风险监测与报告

　　第十九条　证券公司应建立操作风险监测机制，对各类操作风险相关信息及指标等进行动态、持续监测，分析操作风险状况，及时发现问题并采取有效措施，控制、降低风险：

　　（一）建立操作风险关键风险指标体系。证券公司应明确关键风险指标的监测分析目的，说明指标数据来源与统计口径，合理设置指标阈值与监测频率，并建立指标监测预警与报告流程。关键风险指标应逐步覆盖各重点关注领域和关键业务流程。关键风险指标可根据监管要求、操作风险识别与评估结果、内外部操作风险损失数据等设立；

　　（二）持续提升操作风险监测能力。证券公司可通过信息技术手段采集、分析相关数据等方式开展操作风险监测。

　　第二十条　证券公司应建立操作风险损失数据收集机制，明确损失数据收集的标准与报告流程，全面、持续地开展操作风险损失数据识别、收集、汇总、分析、报告工作：

　　（一）损失数据记录应包含事件类型、原因、发生时间、损失金额（或非财务损失情况）、发生单位和重要细节描述等；

　　（二）通过分析内外部相关信息和内外部检查中发现的操作风险事件等方式，主动收集操作风险损失数据。

　　第二十一条　证券公司应建立操作风险报告机制，明确需要报告的情形、报告主体、报告路径和时限等要求，规范事件报告流程。

　　证券公司应根据监管部门或其派出机构等的要求报送与重大操作风险事件有关的报告。

　　第二十二条　证券公司应建立操作风险有关问题的整改追踪机制，明确整改责任单位、整改措施、完成时间等要素，并建立内部信息共享与协同整改机制，持续监控、报告整改状况。

　第四章　专项领域的操作风险管理

　　第二十三条　证券公司应将发生操作风险突发事件的场景纳入突发事件应急处理机制，制定和完善应急预案，落实操作风险突发事件的处置职责，最大程度减少操作风险损失。

　　第二十四条　证券公司应建立和完善保障业务连续运行的管理机制，确定重要业务恢复目标，建立业务连续性计划和配置必要资源，并定期开展演练与持续改进，有效降低或消除业务中断造成的影响和损失。

　　第二十五条　证券公司应评估外包活动可能导致的业务中断、敏感信息泄漏等风险，确保外包服务有严谨的合同和服务协议，明确合同各方的责任义务。证券公司应明确各相关部门的外包风险管理职责，监控和管理外包实施过程的风险。

　　第二十六条　证券公司应高度重视聘用人员的诚信记录，建立和完善公司人员行为管理机制，有效防范公司人员行为不当导致的操作风险。

　　第二十七条　证券公司应将加强内部控制措施的落实作为操作风险管理的重要手段，在公司内部协同开展风险识别与评估、控制活动设计与实施、检查与评价等工作。

　第五章　系统、数据及其他管理要求

　　第二十八条　证券公司应建立完善的操作风险管理信息系统或相关系统功能，记录与操作风险损失相关的数据和操作风险事件信息，支持操作风险评估、监测、报告等工作。

　　第二十九条　证券公司应建立并逐步完善公司范围内有关操作风险的统一数据分类标准，分类标准可涵盖业务流程目录、操作风险事件类型、风险等级划分等方面。

　　证券公司应建立健全数据治理和质量控制机制，为操作风险管理提供数据支撑。

　　第三十条　证券公司应将操作风险情景纳入压力测试体系并逐步完善，在开展压力测试时应考虑人员重大操作失误、信息系统重大故障、业务流程设计失效、外部事件造成重大损失等因素。证券公司应当根据压力测试结果反映的风险情况，及时采取适当的应对措施。

　　第三十一条　证券公司可建立操作风险计量模型，提升对操作风险的量化管理能力。

　第六章　自律管理

　　第三十二条　证券公司应在重大操作风险事件发生当日，向中国证券业协会（以下简称“协会”）报告事件主要情况、影响和应对措施，并在十个工作日内向协会书面报告处理结果。证券公司对引发重大操作风险事件的人员进行内部问责的，相关问责信息应按照《证券行业执业声誉信息管理办法》有关规定报送至协会。

　　重大操作风险事件包括但不限于：

　　（一）直接经济损失金额1000万元（含）以上或损失金额超过上年末本公司净资本千分之一（含）的操作风险事件；

　　（二）董事、监事、高级管理人员被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件，以及被证监会采取行政处罚、市场禁入措施或者被采取认定为不适当人选的行政监管措施；

　　（三）挪用客户资产、违规代客理财等严重损害客户合法权益的违法违规行为；

　　（四）其他对国家金融安全、市场秩序、客户合法权益造成重大影响的事件；

　　（五）协会规定的其他需要报告的事项。

　　第三十三条　协会对证券公司操作风险管理工作实施自律管理，对操作风险管理落实执行情况进行评估和检查，证券公司应予以配合，如实提供有关资料。

　　第三十四条　证券公司违反本指引的，协会依据《中国证券业协会自律措施实施办法》对公司及责任人采取自律管理措施或纪律处分。　

　第七章　附则

　　第三十五条　本指引未尽事宜依照法律、法规、规章及其他相关业务规则执行。

　　第三十六条　本指引所称人员是指与公司建立劳动关系的公司人员、与公司签署委托协议的经纪人、劳务派遣至公司的客服人员等。

　　第三十七条　本指引由协会负责解释，自发布之日起施行。

　　附件2

《证券公司操作风险管理指引》起草说明

　　中央金融工作会议强调要全面加强金融监管、有效防范化解金融风险，对风险要早识别、早预警、早暴露、早处置，健全具有硬约束的金融风险早期纠正机制。为完善证券行业全面风险管理体系，防范证券公司操作风险，切实加强证券公司对各类操作风险事件的防控与应对，中国证券业协会（以下简称“协会”），根据相关法律法规及自律规则，结合证券行业实际，起草了《证券公司操作风险管理指引》（以下简称《指引》）。现将相关情况说明如下：

　　一、起草背景

　　2016年6月，中国证监会修订发布的《证券公司风险控制指标计算标准规定 》，从指标上明确了证券公司需对操作风险资本准备进行计算。2016年12月，协会发布的《证券公司全面风险管理规范》中也对操作风险管理提出总体要求。

　　操作风险管理是证券公司全面风险管理的重要组成部分。近年来证券行业业务领域不断扩展、复杂程度不断提升、新业务新产品不断增多，重大操作风险事件时有发生。同时，证券行业操作风险管理仍缺少统一、全面、兼具可操作性与前瞻性的规范，证券公司操作风险管理仍明显滞后，对于操作风险管理重要性、复杂性和紧迫性的认识仍需进一步提高。在此背景下，制定证券公司操作风险管理的行业指引，对于完善证券行业全面风险管理自律规则体系，指导证券公司建立健全操作风险管理机制，提升全面风险管理水平具有重要意义。

　　二、起草原则

　　《指引》起草遵循全面性、可执行性和前瞻性原则。一是覆盖证券公司董事会、监事会、经理层、各部门、分支机构及子公司等层级，包括风险识别与评估、控制与缓释、监测与报告等环节，涵盖与操作风险管理相关的业务连续运行、外包风险管理、员工行为管理、内部控制等专项领域。二是充分考虑行业操作风险管理现状，强调与证券公司自身特点、规模、业务复杂程度相适应，侧重于建立体系、指引方向、完善机制、打好基础，避免要求过高、过细或者过严。对于操作风险管理涉及的基本事项，予以明确；对于基本事项以外的管理工作要求，给予一定灵活性。三是强调前瞻性管理，结合证券行业发展趋势和数字化转型的背景，强调对新业务新产品和重点业务领域的操作风险加强管控，对通过应用信息技术和数据分析开展操作风险监测工作提出指导意见，对操作风险有关系统建设、数据治理与数据质量控制提出要求。

　　三、主要内容

　　《指引》共三十七条，主要包括以下内容：

　　（一）明确操作风险管理总体原则

　　一是《指引》结合行业现状，提出证券公司操作风险管理体系建设应符合监管要求，与自身发展战略、业务特点、规模和复杂程度相适应，将操作风险损失控制在自身可承受范围内。二是《指引》提出操作风险管理的全程全员、协同管理、审慎应对和防范预见原则。全程全员原则强调覆盖全员、全机构、全过程；协同管理原则强调发挥各专业职能部门的作用，协同开展操作风险管理；审慎应对原则强调审慎对待操作风险，并加强对重点领域的管理；防范预见原则强调应重视新业务、新产品涉及的操作风险，包括既有业务流程和信息系统可能因新业务、新产品引发的操作风险。

　　（二）明确操作风险管理架构及职责

　　《指引》明确了对操作风险管理组织架构的要求，并结合操作风险管理特点，提出管理中的统筹与协作要求。一是证券公司首席风险官牵头负责操作风险管理工作，证券公司其他高级管理人员负责各自分管领域的操作风险管理，并为首席风险官统筹管理操作风险提供支持。二是证券公司应明确牵头负责操作风险管理的部门及职责，各职能部门负责管理本职能领域的操作风险，并为牵头部门提供管理支持。

　　（三）明确操作风险管理机制

　　《指引》提出操作风险管理机制主要包括风险识别与评估、控制与缓释、监测与报告。

　　风险识别与评估方面，一是证券公司应建立完善主要业务与管理的流程目录。二是风险与控制自我评估应定期或不定期开展，旨在将其尽可能嵌入日常业务运作。三是证券公司应在发生重大风险事件时开展专项操作风险识别与评估。四是强调证券公司应建立针对新业务、新产品的管理流程，充分识别和评估相关操作风险，并可在业务系统上线等环节开展专项操作风险识别与评估。五是提出通过关键风险指标监测结果开展风险识别与评估。

　　风险控制与缓释方面，一是综合行业典型操作风险案例、有关监管要求等总结形成13项基本措施，涉及职责分工、授权管理、人员管理、信息系统与数据、印章印鉴管理、信息披露等方面。二是对经纪业务、自营业务、投资银行类业务、资产管理业务、融资类业务、场外衍生品业务、涉及跨境的业务等提出若干基本操作风险管理要求。

　　风险监测与报告方面，一是要求建设关键风险指标体系，逐步覆盖各重点关注领域和关键业务流程，并说明了指标设立的参考方向。二是结合行业数字化转型趋势，提出可以通过信息科技手段采集、分析相关数据等方式开展操作风险监测。三是明确证券公司损失数据收集的基本要求，并提出通过内外部相关信息分析、内外部检查等途径主动收集操作风险损失数据。四是对操作风险报告机制和操作风险整改追踪、内部信息共享与协同整改提出要求。

　　（四）明确操作风险专项领域的相关要求

　　《指引》明确了操作风险相关的突发事件应急处置、业务连续运行、外包风险管理、员工行为管理、内部控制等专项领域的管理要求。

　　《指引》还对操作风险管理相关系统、数据、压力测试、风险计量等方面提出了要求。一是根据行业实际，对操作风险管理系统建设提出基本要求。二是结合行业数字化转型趋势，对操作风险有关数据的分类标准、数据治理和质量控制机制提出要求，旨在充分利用数据提升操作风险管理效率效果。三是对操作风险压力测试提出具体要求、对操作风险计量提出原则性要求。

　　（五）明确自律管理要求

　　《指引》明确了协会对证券公司操作风险管理工作实施自律管理，对操作风险管理落实执行情况进行评估和检查。《指引》要求证券公司应在重大操作风险事件发生当日，向协会报告事件主要情况、影响和应对措施，并在十个工作日内向协会书面报告处理结果。证券公司违反《指引》的，协会依据《中国证券业协会自律措施实施办法》对公司及责任人采取自律管理措施或纪律处分。