|
一、引言 二、理解《办法》制定的背景 三、《办法》相对《指引》的主要变化及影响 (一)适用范围与定义 (二)风险治理和管理责任 (三)风险管理基本要求 (四)风险管理流程和方法 四、对银行保险机构的影响与启示 一、引言 国家金融监督管理总局于2023年7月28日发布了《银行保险机构操作风险管理办法(征求意见稿)》(以下简称《办法》)。《办法》被视为操作风险管理新规,在业内受关注多时,不仅充分调研了国内银行保险机构在操作风险管理方面的良好做法,也吸收了巴塞尔委员会操作风险管理最新规则。 本文重点分析《办法》相对现行监管办法的主要变化及影响,旨在帮助银行保险机构梳理清晰操作风险管理现状与新规的差异和改进方向。 二、理解《办法》制定的背景 国家金融监督管理总局就《银行保险机构操作风险管理办法(征求意见稿)》答记者问对《办法》制定的背景做了很好的说明,包括多个方面。 一是现行办法,即原银监会《商业银行操作风险管理指引》(银监发〔2007〕42号,以下简称《指引》),自施行以来,虽然对规范商业银行操作风险管理发挥了积极的作用,但已过去16载,难以满足近年来复杂的操作风险防控形势的需要。 二是《保险公司偿付能力监管规则(Ⅱ)》(银保监发〔2021〕51号,以下简称偿二代)明确了对保险公司操作风险的管理要求,建立了保险公司操作风险管理的基本框架。 三是近年以来国内银行保险机构在操作风险管理方面既积累了一系列良好做法,也暴露了管理手段不太有效等一些不足。 四是国际上巴塞尔委员会于2021年3月发布了《操作风险稳健管理原则(修订稿)》及《运营韧性原则》,修订和完善了一系列操作风险稳健管理原则与标准,此前还于2017年12月发布《巴塞尔Ⅲ:后危机改革的最终方案》,明确了包括操作风险在内的加权资产计量与相关管理规则。 三、《办法》相对《指引》的主要变化及影响 总体上,《办法》保留了《指引》中的良好规则和做法,也针对实务中暴露出来的不足,提出了更加全面和具体的要求,包括完善操作风险定义、明确风险治理和管理责任、规定风险管理基本要求、细化风险管理流程和方法、完善监督管理职责等。 相对《指引》,《办法》将适用范围由商业银行扩大至包括农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司,这意味着农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行,将由原来的“可选”变成“必须”,也意味着保险公司将需在实施偿二代的基础上,比照新规要求,参考商业银行操作风险管理标准,全面建设完善操作风险管理。 《办法》还进一步明确境内设立的外国银行分行、保险集团(控股)公司、再保险公司、金融资产管理公司、消费金融公司、货币经纪公司以及金融监管总局及其派出机构监管的其他机构参照本办法执行。这使得消费金融公司等其他非银行金融机构也有了确定的监管政策,势必推动这些机构开始或更加重视操作风险管理。 《办法》对操作风险定义有了更精准的表述,“本办法所称操作风险,是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。本定义所指操作风险包括法律风险,但不包括战略风险和声誉风险。”消除了《指引》定义中可能存在的“不完善或有问题的外部事件”的歧义问题。 此外,《办法》指出法律风险包括“业务、管理活动违反法律、法规或者监管规定,依法可能承担刑事责任或者行政责任”,如此即明确了操作风险包含监管合规风险,以期消除操作风险是否包含合规风险的争议。原《指引》定义中,并未明确指出操作风险包括违反监管规定的风险,而此前不少机构按照《商业银行合规风险管理指引》(银监发〔2006〕76号)建立合规管理体系时,将合规风险和操作风险视为“并列”关系,独立甚至分开管理。本次《办法》明确“包含”关系后,可为操作风险管理与合规风险管理的整合联动消除分歧。 《办法》总结了银行保险机构操作风险三道防线治理架构,“第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价”,弥补了《指引》的空白。 《办法》抓住了三道防线建设的三个关键要素。
这些要求意味着机构应当确保做好三道防线必要的专人专岗配置,完善风险管理活动,投入充足资源,破除部门与系统之间的风险数据和信息壁垒,切实发挥出三道防线的实质作用。 对于董事会职责,主要有以下几点变化: (1)不再强要求董事会制定“操作风险管理战略”文件,但要求董事会通过“审批操作风险管理基本制度”,确保与战略目标一致; (2)明确“审批操作风险偏好及其传导机制”,将操作风险控制在可承受范围之内; (3)明确“每年至少审议一次”高级管理层提交的操作风险管理报告,新提出“审批操作风险信息披露制度”、“确保建立与操作风险管理要求匹配的风险文化”等。 新提出监事(会)职责,要求其“承担操作风险管理的监督责任,负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告”。 对于高管层职责,主要有以下几点变化: (1)明确“高级管理层应当承担操作风险管理的实施责任”; (2)提出“设置操作风险偏好及其传导机制,督促各部门、各级机构执行操作风险管理制度、风险偏好并定期审查,及时处理突破风险偏好以及其他违反操作风险管理要求的情况”; (3)明确“每年至少向董事会提交一次操作风险管理报告,并报送监事(会)”等。 总体上,《办法》延续《指引》的架构要求,重点在基本制度制定、风险偏好设置、风险报告方面,提出了更具体要求,要求机构董监高相比以往更加“接地气”,以确保本机构的操作风险管理基本制度有效,确保本机构的风险偏好及其传导机制有效,确保能够有效掌握本机构的操作风险及其管理情况。 《办法》提出“银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好应当与战略目标、经营计划、绩效考评和薪酬机制等相衔接。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求。银行保险机构应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警”。 一直以来,操作风险偏好指标设置与传导监控是操作风险管理的难点问题之一,不少机构仅能够实现操作风险偏好的定性陈述,不太能够实现量化指标及其传导监控。《办法》给予监管部门对特定机构确定操作风险类监测指标的权力,并提出了两个风险偏好指标:案件风险率和操作风险损失率。这将为机构开启操作风险偏好量化管理的新起点。 《办法》新提出“银行保险机构应当培育良好的操作风险管理文化,明确员工行为规范和职业道德要求。”此规定弥补了《指引》的缺失,与《银行业金融机构从业人员行为管理指引》要求形成呼应。 《办法》新提出“银行保险机构应当建立有效的操作风险管理考核评价机制,考核评价指标应当兼顾操作风险管理过程和结果。薪酬和激励约束机制应当有效反映考核评价结果。”目前大部分机构操作风险管理考核评价指标都会兼顾操作风险管理过程和结果,机构将需要进一步考虑的是,如何结合风险偏好指标、风险监测指标及资本新规指标等,完善考核评价指标,并将考核评价结果纳入薪酬和激励约束机制。 相比《指引》规定的以操作风险管理三大工具为主体的方法,《办法》提出了一套更加全面的管理工具体系,“银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,或者开发其他管理工具。银行保险机构应当运用各项风险管理工具进行交叉校验,定期重检、优化操作风险管理工具。” 可以看到,《办法》充分吸收了《操作风险稳健管理原则(修订稿)》提出的事件管理、控制监测和保证框架、情景分析、基准比较分析等新工具方法。这些工具方法将为机构健全操作风险管理打开新的思路和途径,包括但不限于: (1)强化事件管理,对新发生的、对管理有较大影响的操作风险事件进行分析,识别风险成因、评估控制缺陷,并制定控制优化方案,加强事件相关风险培训,防止类似事件再次发生。 (2)改进风险识别与控制评估方法,确保风险情景得到充分识别,各主要风险落实了关键控制,必要控制能够充分涵盖事前、事中、事后,以确保控制监测和保证框架具备良好运作的前提。 (3)开展控制监测和保证,对关键控制措施进行评估、重检、持续监测和验证,保证关键控制措施的有效性。控制监测和保证应当充分运用操作风险自评估、关键风险指标、自查、检查、非现场监测、岗位制衡、内部控制的测试和审查、操作风险损失数据等各类机制与信息有效运行。 (4)通过业务影响分析、压力测试等管理活动,识别、分析和计量必要的操作风险情景,尤其是发生可能性低、影响程度高的情景,发现潜在风险事件的影响和风险管理的效果,测试运营韧性等。 (5)通过基准比较分析,识别内外数据的风险评估结果偏离度较大的领域,重启操作风险识别、评估工作,确保操作风险状况及控制、缓释等管理得到真实反映,同时开展工具相互验证,对相关工具进行修正。 相对《指引》规定的内部控制“十二条”,《办法》增加了以下具体的内部控制要求: (1)“密切监测风险偏好及其传导机制的执行情况”; (2)“加强各类业务授权和信息系统权限管理”; (3)“建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制”; (4)“加强不相容岗位管理,有效隔离重要业务部门和关键岗位,建立履职回避以及关键岗位轮岗、强制休假、离岗审计制度”; (5)“加强员工行为管理,重点关注关键岗位员工行为”。 同时,《办法》精简删除了“识别与合理预期收益不符及存在隐患的业务或产品”“查案、破案与处分适时、到位的双重考核制度”“案件查处和相应的信息披露制度”。 新的内部控制要求主要与《商业银行内部控制指引》(银监发〔2014〕40号)内部控制措施要求、金融机构从业人员行为管理相关文件要求等保持了一致。这要求机构在开展操作风险控制措施设计与评估时,应当充分涵盖《办法》提出的内部控制要求,特别是风险偏好及其传导机制、授权管理、检查管理、履职回避、员工行为管理等新强调的内部控制措施。 《办法》相对《指引》,增加规定了操作风险内部定期报告机制,“第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告”。并要求“银行保险机构应当在每年四月底前按照监管职责归属向金融监管总局或其派出机构报送前一年度操作风险管理情况”。 对于需向监管及时报告的重大操作风险事件,《办法》相对《指引》,主要有以下变化: (1)新提出“形成预计损失5000万元(含)以上或者超过上年度末资本净额5%(含)以上的事件”、“形成损失金额1000万元(含)以上或者超过上年度末资本净额1%(含)以上的事件”、“严重侵犯公民个人信息安全和合法权益的事件”以及“员工发起、主导或者组织实施非法集资类违法犯罪的事件”等; (2)将“造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件”改为“重要信息系统出现故障、受到网络攻击,导致在同一省份的营业网点、电子渠道业务中断3小时以上;或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上”; (3)明确“高管人员严重违规”具体指“董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件”。 (4)要求“银行保险机构应当在知悉或者应当知悉以下重大操作风险事件5个工作日内,按照监管职责归属向金融监管总局或其派出机构报告”。 这一变化要求机构对事件损失进行合理预计及准确收集,并将运营中断事件报告由“特别重大运营中断事件(Ⅰ级)”调整到“重大运营中断事件(Ⅱ级)”。 《办法》按照《操作风险稳健管理原则(修订稿)》提出变更管理要求:“银行保险机构应当在(一)开发新业务、新产品;(二)新设境内外分支机构、附属机构;(三)拓展新业务范围、形成新商业模式;(四)业务流程、信息科技系统等发生重大变更;(五)其他重大变更情形下,应当强化操作风险的事前识别、评估等工作。”此前,《指引》仅要求建立“新产品和新业务的风险评估”。 这要求机构在新产品和新业务的风险评估机制基础上,建立明确重大变更管理机制,规定重大变更的定义,以及重大变更风险识别、评估、监测管理要求。 《办法》规定“银行保险机构应当定期监测操作风险状况和重大损失情况,对风险持续扩大的情形建立预警机制,及时采取措施控制、缓释风险”“应当通过确定操作风险容忍度或者风险限额等方式建立风险偏好传导机制,对操作风险进行持续监测和及时预警”“建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制”“第一道防线部门建立控制、缓释措施,定期评估措施的有效性;持续监测风险,确保符合操作风险偏好”“第二道防线部门指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险,并定期开展监督”。 可以发现,《办法》特别重视和强调操作风险监测与检查监督,实务中,操作风险监测与检查监督确实也是相对比较有效的“管理抓手”,机构宜需对此重点关注。 《办法》基本延续了《指引》规定的应急和业务连续方案要求,要求做好业务连续性计划及其演练,新增强调“提高员工的应急意识及处置能力,测试关键服务供应商的持续运营能力”。特别地,针对规模较大的银行保险机构,新提出了运营韧性管理要求,要求“基于良好的治理架构,加强操作风险管理,统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制,结合恢复与处置计划工作,提升运营韧性,具备在发生重大风险和外部事件时持续提供关键业务和服务的能力”。 这一规定指出了提升运营韧性的“1+7”的基本框架,即1项统筹管理加7项专项管理,而操作风险管理将更加适合发挥统筹管理作用。 《办法》补充规定了压力测试要求,弥补了《指引》的缺失:“银行保险机构应当建立操作风险压力测试机制,定期开展操作风险压力测试,在开展其他压力测试过程中应当充分考虑操作风险的影响,针对压力测试中识别的潜在风险点和薄弱环节,及时采取应对措施。” 《办法》强调了数据安全管理要求,要求“银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,采取保护措施,保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用,重点加强个人信息保护,规范数据处理活动,促进依法合理利用数据。” 四、对银行保险机构的影响与启示 当前银行保险机构操作风险管理正值需要“开发解锁”新方法、新工具的时期,以解决操作风险管理三大工具手段效果不明显等诸多问题。相信本次《办法》的出台,不仅能够为银行保险机构的操作风险管理重新划定监管基线,也将为银行保险机构提升操作风险管理指引新的标准,势必对银行保险机构产生深层次影响。 银行机构普遍已经建立了“巴Ⅱ版本”操作风险管理体系,其中规模较大的银行机构大都正在推进实施“巴Ⅲ版本”资本计量与管理规则,但相比新规要求和国际规则,依然存在不少差距。银行机构将需根据自身业务性质、规模和复杂程度,开展操作风险管理诊断评估,重检、梳理与新规和良好做法的差距,制定建设计划。 对于规模较大的银行机构,预计会需要推进完善操作风险三道防线体系,增配专人专岗并丰富管理活动,研究制定风险偏好指标与传导监控机制,改进操作风险管理三大工具等基础和既有管理工具,构建与实施控制监测和保证框架、基准比较分析、情景分析、压力测试、重大变更管理等管理方法与工具,对主要业务关键控制措施持续进行迭代分析和优化,完善考核评价管理,健全操作风险运营韧性等,并研究构建新型智能化管理工具,最终形成有效的风险识别、评估、监测、控制和缓释体系,提高风险评估准确性,提升监测预警作用,保证控制有效,牢牢控制住风险。 保险机构均已经实施偿二代规则,落实了偿付能力风险管理要求与评估要求,建立操作风险管理制度,进行风险识别与分析,建立和应用操作风险损失事件库和操作风险关键指标库,建立操作风险管理报告机制等,但相比新规要求和银行机构良好做法,大多存在较大差距。 保险机构将需根据自身业务性质、规模、复杂程度和风险特征,进一步落实操作风险分类管理,按风险类别开展操作风险管理诊断评估,重检,梳理与新规和良好做法的差距,明确建设规划。对于规模较大的保险机构,预计会需要尽快推进、全面落实新规管理体系的建设。 五、安永可提供的专业服务 安永拥有一支专门为金融机构提供操作风险计量与管理咨询专业服务的团队,自“巴Ⅱ”实施以来,一直引领市场、不断创新,活跃于金融服务领域,曾为数十家全国性及区域性银行及非银行金融机构提供操作风险管理与计量咨询服务。针对本次操作风险管理新规及2月份公布的资本计量新规,安永整合构建了一套完整的操作风险管理与计量咨询服务方案,能够根据金融机构的实际情况进行项目定制,帮助机构全面达到新规要求,建立与机构业务性质、规模和复杂程度相匹配的管理体系,并构建领先做法。 |
|
|
