《意见稿》亮点解读
面对当前复杂的经济环境,操作风险管理重要性日益凸显。在业务转型、产品创新和技术迭代等趋势下,操作风险诱因和表现形式更加多样,隐蔽化和复杂化更加明显。科学有效的操作风险管理能有效化解存量风险、收敛增量风险,保持风险的总体可控,是维持金融安全的重要手段。
2023年7月28日,国家金融监管总局起草了《银行保险机构操作风险管理办法(征求意见稿)》(以下简称《意见稿》),对原有监管规定进行全面修订升级。《意见稿》将根据公开征求意见情况,进一步修改完善并适时发布,主要适用于中华人民共和国境内依法设立的商业银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司;保险集团(控股)公司、再保险公司、金融资产管理公司、消费金融公司、货币经纪公司以及金融监管总局及其派出机构监管的其他机构等参照执行。
《意见稿》的出台,建立了金融行业统一的操作风险管理指引,针对不同规模的银行保险机构实施差异化管理,全方位指导银行保险机构压实操作风险管理责任;围绕“风险为本”,加强操作风险管理机制建设,优化升级操作风险的全流程管理,细化完善管理工具,将有利于加速金融行业的操作风险管理体系建立与完善,进一步夯实操作风险管理水平。
普华永道结合多年来深耕金融行业风险管理领域的经验,在本篇中针对《意见稿》的五大亮点进行深入解读。在即将发布的下篇中,普华永道将结合《意见稿》对于操作风险管理的主要影响,为银行保险机构提出应对建议。
亮点一:全面拓宽适用对象的覆盖面
不仅不同性质、类型和规模的银行机构需要执行该监管要求,保险机构在原有操作风险管理的基本框架下,遵循与银行机构统一的操作风险监管规则。一方面,监管对银行业已实施16年的操作风险管理实施指引进行升级,并适当补充近年来的新兴风险,譬如网络与数据安全风险等;另一方面,为保险业制定针对操作风险的专项监管制度。
银行保险机构需明确各层级风险治理与管理责任,建立健全操作风险三道防线,压实分支机构及附属机构的主体责任。同时还应建立健全操作风险制度体系,确立风险偏好及传导机制,完善信息系统并建立数据安全管理制度。在风险管理流程和方法上,银行保险机构应正确识别、评估、监测、控制、缓释风险,统筹协调业务连续性与运营韧性,明确操作风险管理报告机制,尤其是重大操作风险事件的报告流程,不断完善操作风险三大管理工具以及新型工具,强化变更管理。
同时,部分管理要素充分考虑了行业的差异性。因未将操作风险作为可量化风险进行管理,风险计量、计提资本等方面的要求不适用于保险机构
亮点二:落实现代公司治理理念,构建“董监高”操作风险治理体系
《意见稿》在明确董事会承担操作风险管理的最终责任、高级管理层承担操作风险管理的实施责任基础之上,首次强调监事(会)或行使监事(会)职权的组织机构的监督责任,构建了操作风险“董监高”三位一体的治理体系,体现了与现代公司治理体系相一致的监管思路。
针对银行保险业在操作风险管理实践中暴露出的三道防线职责不清晰、管理视角不独立、条线间管理不协同等痛点,《意见稿》首次明确提出“三道防线”并定义各自职责边界。第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。同时,规模较大的银行保险机构需在一级分行(省级分公司)及以上设立操作风险管理专岗,这一举措更好地保障操作风险牵头部门在人力资源方面的投入,提升管理独立性和有效性。第三道防线是各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。
此外,按照操作风险管理的总分架构,《意见稿》更压实了各级分支机构的操作风险管理主体责任,并按照风险并表的管理思路,强调附属机构职责;附属机构应主动作为,在集团风险偏好框架下建立与实际相符的操作风险管理体系,提升集团口径下操作风险管理体系的健全性和有效性,做到风险可控。
亮点三:操作风险管理程序及内涵更加健全与丰富
《意见稿》重构操作风险管理体系覆盖的维度和要求,要求金融机构搭建操作风险管理制度,制定定性、定量指标并重的操作风险偏好,建立具备操作风险管理功能的管理信息系统,培育良好的操作风险管理文化,建立有效的操作风险管理考核评价机制,定期开展操作风险管理相关培训,并定期披露损失数据等相关信息。《意见稿》规定了操作风险全流程管理,包括内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求,建立操作风险情况和重大操作风险事件报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具,强化变更管理。
具体变化如下:
- 比照全面风险管理体系,将风险偏好与传导、风险文化、信息披露、压力测试程序纳入操作风险管理基本要求和管理程序。《意见稿》比照《银行业金融机构全面风险管理指引》中全面风险管理程序要素,首次明确将风险偏好与传导、风险文化、信息披露、压力测试纳入管理体系,开展操作风险识别、评估、计量、监测、控制、缓释,增强操作风险与其他风险管理可比性。
- 首次将网络安全、数据安全纳入操作风险管理范畴。随着网安法、数安法、个保法的出台,我国构建了以“三法”为基础的数据合规体系。《意见稿》在第五条首次提出操作风险管理应统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制,并在第二十九条明确要求银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,重点加强个人信息保护等,体现出网络与数据安全的重要性。
- 三大传统工具基础之上,创新管理工具。相比于银行保险机构成熟使用的操作风险自评估、操作风险损失数据库、关键风险指标三大传统管理工具,监管给出了新管理工具指向,鼓励选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具不断补充和完善管理手段,新管理工具与传统管理工具相辅相成、互为优化补充。
- 推进风险文化软实力和考核激励配套管理措施的同步完善。《意见稿》将风险文化与培训摆在关键位置,强调银行保险机构在关注政策制度、管理工具、优化信息系统做好硬约束的同时,兼顾好风险合规文化的软约束,打好“组合拳”,在管理体系中厚植合规经营意识,提升风险管理的内生动力。《意见稿》还提出建立兼顾操作风险管理过程和结果的考核评价指标,辅以薪酬和激励约束机制,旨在建立起“管、学、评、奖”四位一体、奖惩兼顾的管理体系。
亮点四:首次明确提出运营韧性的管理要求
《意见稿》对规模较大的银行保险机构提出了以整合框架应对重大风险和外部事件的新要求,整合框架基于业务连续性管理体系,引入外包风险、网络安全、数据安全管理体系和突发事件应对机制,并需要和恢复与处置计划形成有机结合;业务连续性方面,《意见稿》提高了对金融机构内外部管理有效性的要求,明确业务连续性管理的最终目标,即最大限度减少业务中断影响,强调应急预案演练的重要性,规范演练需要验证应急预案和备用资源的可用性,提出需要测试外部关键服务供应商的持续运营能力,明确演练需要验证的结论是业务连续性计划能否满足业务恢复目标、有效应对内外部威胁及风险等。
运营韧性是对业务连续性管理的扩展,是操作风险有效管理的结果。业务连续性还包括外包风险管理、网络安全、数据安全管理、重大事件管理和突发应急管理等,均为增强运营韧性的重要管理因素。运营韧性、业务连续性、恢复与处置计划三者既有联系又有各自的管理重心,需要融会贯穿,共享方法和数据;由于涉及到相互集成、协同、分工以及如何有效利用信息、流程和资源,需在统一管理框架体系下,实现运营韧性成果。
亮点五:加强外部独立监督,落地指导意义强
《意见稿》鼓励选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具不断补充和完善管理手段,并在附录中给出新管理工具定义与说明,为新工具的运用打好基础;明确了操作风险监测指标及计算公式,以及操作风险等级和考核评价指标类型等;更新了管理定义,对齐了管理标准,极大提升了金融机构内部操作风险管理工作的可操作性与机构间的可比性。
在治理架构与三道防线厘定基础之上,监管机构对于各层级履职频率提出更为精细化和落地性要求:如操作风险管理报告从“定期”明确为“每年至少一次”、内部操作风险专项审计从“定期”规范为“每三年至少开展一次”,通过固化频次要求,扫除操作风险报告频次偏低、审计覆盖面不全的痛点问题。
加强外部独立监督。《意见稿》要求规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价,并向金融监管总局或其派出机构报送外部审计报告,构建常态化“以评促建”“以查促改”的管理基调。
