第三十九条　国家金融监督管理总局及其派出机构应当将对银行保险机构操作风险的监督管理纳入集团和法人监管体系，检查评估操作风险管理体系的健全性和有效性。

    国家金融监督管理总局及其派出机构加强与相关部门的监管协作和信息共享，共同防范金融风险跨机构、跨行业、跨区域传染。

第四十条　国家金融监督管理总局及其派出机构通过监管评级、风险提示、监管通报、监管会谈、与外部审计师会谈等非现场监管和现场检查方式，实施对操作风险管理的持续监管。

    国家金融监督管理总局及其派出机构认为必要时，可以要求银行保险机构提供第三方机构就其操作风险管理出具的审计或者评价报告。

第四十一条　国家金融监督管理总局及其派出机构发现银行保险机构操作风险管理存在缺陷和问题时，应当要求其及时整改，并上报整改落实情况。

    国家金融监督管理总局及其派出机构依照职责通报重大操作风险事件和风险管理漏洞。

第四十二条　银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内，按照监管职责归属向国家金融监督管理总局或其派出机构报告：

    （一）形成预计损失5000万元（含）以上或者超过上年度末资本净额5%（含）以上的事件。

    （二）形成损失金额1000万元（含）以上或者超过上年度末资本净额1%（含）以上的事件。

    （三）造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露，已经或者可能造成重大损失和严重影响的事件。

    （四）重要信息系统出现故障、受到网络攻击，导致在同一省份的营业网点、电子渠道业务中断3小时以上；或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上。

    （五）因网络欺诈及其他信息安全事件，导致本机构或客户资金损失1000万元以上，或者造成重大社会影响。

    （六）董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件。

    （七）严重侵犯公民个人信息安全和合法权益的事件。

    （八）员工涉嫌发起、主导或者组织实施非法集资类违法犯罪被立案的事件。

    （九）其他需要报告的重大操作风险事件。

    对于第一款规定的重大操作风险事件，国家金融监督管理总局在案件管理、突发事件管理等监管规定中另有报告要求的，应当按照有关要求报告，并在报告时注明该事件属于重大操作风险事件。

    国家金融监督管理总局可以根据监管工作需要，调整第一款规定的重大操作风险事件报告标准。

第四十三条　银行保险机构存在以下情形的，国家金融监督管理总局及其派出机构应当责令改正，并视情形依法采取监管措施：

    （一）未按照规定制定或者执行操作风险管理制度；

    （二）未按照规定设置或者履行操作风险管理职责；

    （三）未按照规定设置操作风险偏好及其传导机制；

    （四）未建立或者落实操作风险管理文化、考核评价机制、培训；

    （五）未建立操作风险管理流程、管理工具和信息系统，或者其设计、应用存在缺陷；

    （六）其他违反监管规定的情形。

第四十四条　银行保险机构存在以下情形的，国家金融监督管理总局及其派出机构应当责令改正，并依法实施行政处罚；法律、行政法规没有规定的，由国家金融监督管理总局及其派出机构责令改正，予以警告、通报批评，或者处以二十万元以下罚款；涉嫌犯罪的，应当依法移送司法机关：

    （一）严重违反本办法相关规定，导致发生第四十二条规定的重大操作风险事件；

    （二）未按照监管要求整改；

    （三）瞒报、漏报、故意迟报本办法第四十二条规定的重大操作风险事件，情节严重的；

    （四）其他严重违反监管规定的情形。

第四十五条　中国银行业协会、中国保险行业协会等行业协会应当通过组织宣传、培训、自律、协调、服务等方式，协助引导会员单位提高操作风险管理水平。

    鼓励行业协会、学术机构、中介机构等建立相关领域的操作风险事件和损失数据库。