在上篇中,普华永道对国家金融监管总局2023年7月28日起草的《银行保险机构操作风险管理办法(征求意见稿)》(以下简称《意见稿》)进行了亮点解读,本篇将结合《意见稿》的主要影响为银行保险机构提供应对策略。
《意见稿》应对策略:无法“小修小补”,应借助本次实施契机,重构操作风险管理体系,夯实操作风险管理水平
由于《意见稿》对于银行保险机构操作风险管理要求做出大幅变更,简单的“小修小补”很难满足要求,银行保险机构需要在治理与管控架构、管理机制及工具等多个方面进行体系化重建。
同时,银行保险机构也应当借助本次实施契机,持续深入分析自身操作风险管理的薄弱环节,在积极响应《意见稿》要求的同时,从根源上提升自身操作风险管理水平。
普华永道基于多年来在操作风险领域深耕所积累的行业经验,结合《意见稿》对于操作风险管理的主要影响,建议银行保险机构明确适合自身发展需求的应对措施,尤其是
1. 夯实基础,厘清职责,完善操作风险治理与管控架构
风险管理效率既来源于分工,也来源于协同。第一道防线是基础,第二道防线是统筹,第三道防线是保障。普华永道建议金融机构进一步检视完善治理模式,厘清组织职能和管理方式,增强“三道防线”的协同性,推动操作风险管理“下沉”,强化业务前线和基层机构的管理职责和激励约束。具体举措如下:
2.全面完善及升级操作风险管理机制及工具。
当前金融机构面临的内外部经济环境不断变化、新技术运用不断纵深,新的业务模式也带来外包风险、业务连续性风险、信息安全风险等新的风险场景和管理难点,对金融机构原有操作风险管理体系提出新的挑战。《意见稿》站在新的战略高度,丰富了操作风险的内涵与外延,提出操作风险管理的新理念和新要求。
金融机构应当根据自身实际,有针对性地补足短板或空白,积极开展操作风险管理体系和工具的优化,多措并举实现操作风险管理的升维进阶。
- 第一,推动操作风险管理从定性走向定量。建立定性、定量指标并重的操作风险偏好、操作风险容忍度和风险限额,形成机构、产品、业务等维度的风险偏好传导机制,覆盖监管要求的关键操作风险类监测指标,并构建集团层面、法人层面、附属机构、分支机构、业务条线等口径管理指标体系。以《商业银行资本管理办法(征求意见稿)》和《意见稿》为契机,对标操作风险资本计量的新要求,提升损失数据收集质量,更新操作风险资本计量方法,搭建操作风险压力测试场景与模板,从而有效优化机构资本规划和风险应对。
- 第二,构建完整管理体系,开展各项操作风险管理要素与工具的优化提升,整体协同,弥补短板。过去许多金融机构将操作风险管理简单等同于合规管理,或以搭建三大工具为达标标准,操作风险管理视角相对局限。按照《意见稿》最新要求,金融机构应当站在操作风险大体系角度,针对业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等方面,分析差距、弥补短板、精准优化、整体协同,从而满足新时期操作风险管理的要求。进一步完善和创新管理工具,在传统三大工具基础上开发事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,明确各项新工具的使用场景与方法、数据采集要求、更新维护重点等,并形成可落地的操作风险过程和结果考评指标。
- 第三,内部控制常抓不怠,每个控制有效落地、每项业务有效管理、每个岗位恰当履职,从而实现操作风险可控。内部控制是操作风险管理的有效手段,金融机构应当狠抓内部控制,针对各业务条线、各分支机构、所有部门、岗位、员工和产品,开展贯穿决策、执行和监督全过程的流程梳理与再造,识别内控设计和执行缺漏,进一步夯实职责分工、岗位制衡、员工行为管理、风险监测、内部举报、绩效考核等基础能力,打造操作风险管理坚实底座。
- 第四,统筹规划、分步实施,开发和优化操作风险管理系统,支撑操作风险三大工具和其他操作风险管理工具的日常落地运用。操作风险管理系统应当对接机构内部业务和管理系统,自动获取内外部相关数据,实现损失数据和操作风险事件收集与分析,支持操作风险和控制措施的常态化和触发性自评估,实现关键风险指标自动监测,满足操作风险计量、资本计量、压力测试,能够生成操作风险报告与报表等,以科技与数据提升操作风险管理质效。
3.以结果为导向,提升业务连续性管理与运营韧性
普华永道建议,基于业务连续性管理和运营韧性均有相同的“持续提供重要关键业务和服务”工作目标,因此,需考虑贯穿工作重点流程环节,建立整合的工作框架体系:
4.融入数字化风控手段,进一步提升银行保险机构自身操作风险管理能力
金融行业智能化应用已处于探索阶段,应当有效应用大数据、人工智能等新技术管理操作风险,提升操作风险管理的智能化水平。
- 利用因子体系识别管控重点 搭建操作风险因子体系,可形成客户、员工、产品、机构、地区等维度的风险因子;建立识别规则,如销售误导、财务欺诈、黑产团伙、内部舞弊等风险识别规则。利用大数据和人工智能技术构建算法模型,对潜在风险、疑似案件、核心规则进行输出,开展持续的评估监控;并将风险管理规则和模型内嵌至各个业务环节和业务系统,在流程节点上与前线的业务操作实现动态交互,对过程中的操作风险做出实时判断以及干预,赋能业务管理的操作风险防控。
- 提升监测效率与预警效果 持续完善公司重大操作风险监测预警机制,进一步丰富操作风险监测与预测指标,通过实时动态数据提升监测效率。还可以引入智能风控模型,从事后监测转向前瞻预警,充分利用各类数据来提高预测的全面性,预警排查高效化,更加及时捕捉操作风险因子的波动情况,以便及时化解重大操作风险。
- 搭建操作风险画像平台 针对人、流程、事件和机构等,均可以建立操作风险的画像平台,实现操作风险的动态化、可视化管理。分数据准备、特征工程、模型训练、模型验证等步骤,分阶段实现从基础数据到风险画像。通过算法技术对各类风险特征进行“降维”、“总结”、“归纳”,得到一目了然的特征标签,形成操作风险特征画像。以针对员工的合规风险画像为例,可将传统的基于制度和流程的偏事后检查管理模式,升级为基于数据和模型的前瞻性预测管理模式。
《意见稿》必将推动银行保险机构对其整个操作风险管理体系进行新一轮的升级。同时,在整个行业特色化、差异化转型发展的大趋势下,这也是银行保险机构实现自身差异化风险管控能力提升的重要契机。银行保险机构需提早准备、尽快行动,实现合规达标及操作风险管理能力提升的双重目标。
