杨志国 、赵琦

  2023年12月27日,国家金融监督管理总局修订发布了《银行保险机构操作风险管理办法》(以下简称“办法”),该办法旨在通过统一规范金融保险机构相关操作风险管理活动,有效防范操作风险,降低损失,提升金融保险机构对内外部事件冲击的应对能力,为其业务稳健运营提供保障。该办法于2024年7月1日起施行。

  多方面规范操作风险管理活动

  根据办法规定,操作风险是指金融保险机构由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,其包括法律风险,但不包括战略风险和声誉风险。该定义澄清了操作风险应包含法律风险(后者包含合规风险),消除了当下操作风险是否包含合规风险的实务争议;此外,尽管该定义明确表明操作风险不包含战略风险和声誉风险,但是在适当情况下,银行保险机构的操作风险管理部门还需要考虑战略风险和声誉风险管理,而不能将这些风险割裂对待和管理。

  在风险治理和管理责任方面,办法要求金融保险机构构建一个自上而下、全面覆盖的操作风险管理体系:董事会应当批准并定期审查操作风险管理框架,审批操作风险偏好及其传导机制,并确保高级管理层有效落实操作风险管理框架的政策、流程和系统;高级管理层负责落实和管理银行保险机构所有重大产品、活动、流程和系统的操作风险有关政策、流程和系统,以符合银行保险机构的风险偏好,并应定期向董事会提交操作风险管理报告;同时,办法还明确了监事(会)对操作风险管理的监督职责;此外,办法规定银行保险机构应建立操作风险管理的三道防线:第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,银行保险机构应将其完全纳入操作风险管理流程,第二道防线包括负责各级操作风险管理和计量的牵头部门,负责对第一道防线进行指导和监督,而第三道防线是各级内部审计部门,负责独立审查以及定期开展操作风险专项审计。根据办法有关要求,银行保险机构应该保证每道防线在预算、工具和人员方面配置充足的资源,明确每一道防线的功能和职责,并且在三道防线之间及各防线内部建立完善的风险数据和信息共享机制,打破信息壁垒。

  在风险管理基本要求方面,办法要求银行保险机构应当制定、实施和维护一个融入银行总体风险管理流程的操作风险管理制度;银行保险机构应当在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检;此外,银行保险机构还应建立或集成具备操作风险管理功能的管理信息系统,同时培育良好的操作风险管理文化,并确保员工接受适当的考核和培训;最后,银行保险机构还需要进行操作风险信息披露。根据办法关于风险偏好设定的要求,银行保险机构应该在整体风险偏好下,结合机构自身短期及长期战略以及财务规划设定其操作风险偏好,如案件风险率、操作风险损失率、监管处罚金额等,并通过风险限额、容忍度、绩效考核等方式向各个境内外附属机构、分支机构或者业务条线进行传导,将操作风险管理有机地融入到日常经营管理活动中来;另外,办法提出的操作风险管理文化培育和员工考核要求也值得关注,银行保险机构应当努力建立强有力的操作风险管理文化,并为专业和负责任的行为制定标准和考核与奖励措施,而这也将会是银行保险机构所要面临的一项持久任务,各银行保险机构应认真对待,不得流于形式。

  在管理流程和管理工具方面,办法就操作风险识别、评估、控制、缓释、监测、报告和资本计提的全流程提出了监管要求,同时也就内部控制、业务连续性管理、数据安全管理、业务外包管理、重大事件报告、变更管理以及压力测试等方面做出了规定;此外,办法还规定了以三大基本工具为主的管理工具体系,并提出了创新管理工具建议。其中,办法关于内部控制的要求在总体上与现行的《商业银行内部控制指引》、《保险公司内部控制基本准则》等监管规定保持了一致,但同时,办法就操作风险管理作出了更为具体的规定,例如风险偏好及其传导机制、授权管理、检查管理、履职回避以及员工行为管理等,这要求银行保险机构应该根据新规定有关要求,及时梳理并对应调整其现行内部控制,做到对办法要求的全面覆盖;在业务连续性管理、数据安全管理以及变更管理等方面,办法也参考了国际监管规则并进行了对应规范,体现出了与国际监管理念的接轨,同时也适应了新环境下的新变化,银行保险机构应对网络与信息技术等新型操作风险管理内容予以足够重视,并在从事新活动、开发新产品等变更活动时进行全周期的变更管理。

  对银行保险机构的影响与挑战

  办法为银行保险机构的操作风险管理提供了更清晰的监管指引和操作标准,势必对银行保险机构产生深远影响:

  对于国内银行机构来讲,目前国内银行机构普遍已经根据现行监管规定建立了商业银行操作风险管理体系,其中规模较大的银行机构正在有序推进巴塞尔协议第三版标准的实施。然而,与办法的要求相比,部分银行机构仍然还存在一定的合规差距,特别是部分中小银行机构,其普遍存在操作风险管理体系不健全、系统开发落后、工具不完善以及投入资源不足等问题。因此,银行机构需要基于自身的业务性质、规模和复杂度,对标新管理办法中的相关要求进行操作风险管理全面诊断和评估,主动做好实施准备,制定改进方案,以实施新监管标准为契机,进一步夯实自身操作风险管理的基础。

  对于保险机构而言,尽管目前国内的保险机构已普遍基于“偿二代”规则建立操作风险管理框架,但大多数保险机构距离办法的要求依然差距较大,其后续工作重点应是对标并梳理合规差距、有效落实操作风险管理三道防线机制、建立并完善信息系统、补齐指标和工具短板,提升操作风险管理实效。

  此外,办法要求境内设立的外国银行分行、保险集团(控股)公司、再保险公司、金融资产管理公司、消费金融公司、货币经纪公司以及金融监管总局及其派出机构监管的其他机构为参照执行的金融机构,建议相关机构应基于其自身业务属性、风险特征、集团架构、现有的内部控制等情况,参照办法中规模较小银行保险机构的要求建立操作风险管理框架及配套规则并有效执行。

  总体来讲,办法补齐了我国金融保险机构操作风险监管体系中的重要一环,完善了金融机构全面风险管理的监管框架,其将会进一步推动银行保险机构完善操作风险管理体系,提升其操作风险管理成效,带领我国银行保险机构的操作风险管理进入新篇章。

  作者单位:

  杨志国立信会计师事务所执行总裁

  赵琦立信会计师事务所技术标准部合伙人