运营风险是指由于内部程序、员工、IT系统和外部事件等问题而造成的损失风险,包括法律风险,但不包括战略风险和声誉风险。 操作风险不仅与信用风险、市场风险并列为金融机构的三大风险,而且是造成信用风险损失、市场风险损失等重大风险损失的主要因素之一,操作风险防控在金融机构风险管理领域起着举足轻重的作用。
国家金融监督管理总局于2024年12月29日发布银行保险机构操作风险管理办法(以下简称《新规》),系统明确了经营风险管理的治理结构、管理流程、监督管理等,并将银保领域作为经营风险管理的标准和方案。 新规在当前时间点正式发布实施,既符合当前银行保险机构经营风险防控形势的实际需要,也契合了今年第一次金融工作会议提出的“全面加强金融监管、完善金融体系、优化金融服务、防范化解风险”的战略基调。
对于银行业金融机构而言,早在2024年,原中国银监会(以下简称“银监会”)就发布了《商业银行操作风险管理指引》(以下简称“旧规定”),对规范商业银行操作风险管理起到了积极作用,但多年过去了,近年来难以适应复杂的操作风险防控形势。 对于保险机构而言,原中国银保监会(CBIRC)于2024年发布了《保险公司偿付能力监管规则》,明确了保险公司经营风险的管理要求,建立了保险公司经营风险管理的基本框架,但仍亟需明确一套更具体的经营风险管理体系构成。 近年来,国内银行保险机构在操作风险管理方面积累了一系列良好做法,但也暴露出管理工具不力、管理资源投入不足等问题。 在此背景下,不仅银行保险机构要提升“主动管理”水平,不断创新完善管理方式,监管部门也要加强“监督督查”,持续引导和督促银行保险机构实施健全的经营风险管理。
与旧规则相比,新规则有许多增强和变化
更重要的是,针对实践中暴露出的不足,新规提出了更加全面、具体的指引,包括完善操作风险界定、明确风险治理和管理责任、规定风险管理基本要求、细化风险管理流程和方法、完善监督管理责任等。 其中,最重要、影响最深远的变化是:
一是厘清运营风险与合规风险的关系。新规规定,法律风险包括“违反法律法规或监管规定,依法可能承担刑事或行政责任的经营或管理活动”,明确了经营风险基本包括合规风险,消除了业内长期以来对两者关系的分歧和争议,夯实了经营风险联动管理的共同基础以及合规风险。
第二个是明确必要的内容,以改善三道防线的治理。新规总结了行业对操作风险三道防线的良好治理结构,把握了提升三道防线治理的关键要素,包括资源投入、信息共享、审计评估等,为银行保险机构提升三道防线治理指明了方向, 从而解决实力不足、协同力不足、责任不明确、考核缺失等问题。
三是确定传输的运营风险偏好和治理要求。针对当前银行保险机构管理层对操作风险暴露水平缺乏控制,新规深入探讨了操作风险偏好指标的卓越作用,确定了操作风险偏好指标的设置和传递要求,为及时、全面、准确地掌握操作风险状况创造了机会。 也为操作风险偏好量化管理打开了新的起点。
四个是关于改善内部控制要求的若干强化运营风险管理措施和工具的指导。为此,新规借鉴和吸收国际监管标准,借鉴领先同行的实践和探索,引导更加全面和强化的工具体系,提出控制监测与保障框架、情景分析、基准比较分析、事件管理等方法和规则。检查管理、岗位管理、员工行为管理等内部控制要求充分丰富了管理方法,形成了一套较为完善的管理工具和控制制度。
第五,是的针对特定类型的运营风险提出治理思路。目前,银行保险机构二道防线的职能大部分集中在一个部门团队中,新规要求针对重大变更风险、数据安全风险、业务连续性风险等特殊类型的操作风险,建立专门的管理制度和机制。 以及外包风险,提出了多个专业部门团队组成第二道防线网络的治理思路。
新规将对银行保险机构产生深远的积极影响
目前,银行保险机构普遍需要创新、精细化的操作风险管理方法和工具,以提高操作风险管理的质量和效率。 新规的出台,不仅为银行保险机构的经营风险管理设定了新的监管基准,更重要的是,将极大推动银行保险机构在风险治理、方法工具、资源保护三个方面加强风险管控,必将对银行保险机构产生深远的正向影响。
一是提高风险管理的有效性。自《巴塞尔协议II》将操作风险纳入风险计量管理系统以来,操作风险治理一直是银行公司治理中的重要议题。 特别是新规提出了治理管理责任三道防线,具体化了董事会、监事会和高级管理层的管理职责,明确了风险偏好和传导作用,强调了风险报告、考核奖惩、专项审计的作用,明确了经营风险包括合规风险。
第二个是改进方法和工具的作用。新规借鉴国际监管最新规则,构建了更加完善的管理工具体系,包括控制监测与鉴证框架、重大变化风险控制、风险事件报告、压力测试、数据安全管理等多项强化措施和工具,完善了内部控制要点。 必将推动银行保险机构优化或重构业务风险管理体系,将业务风险管理有效嵌入各项业务风控机制,提高风险管理水平。
三是推进风控资源保障。经过广泛调查研究,新规明确了一、二道防线专人专人、专岗配置底线资源要求,规定管理层应为业务风险管理配置足够的财务、人力资源、信息技术系统等资源,并要求建立健全风险数据和信息共享机制三道防线。得益于这些规定,在后续监管和督导的支持下,势必会提高银行保险机构对操作风险的重视,促进风控资源的保护。
银行保险机构在实施新法规时需要应对的挑战
与旧规相比,新规的相当一部分提升尚未在业内形成统一的认识和良好做法,预计银行保险机构在落实新规要求时将面临诸多挑战,这迫切需要银行保险机构未雨绸缪,将知行合一。
一是澄清差距并做好计划。银行保险机构应首先认清当前管理状况存在的问题,明确与新规要求和良好做法的差距,根据自身业务的性质、规模和复杂程度,制定与发展水平和战略相匹配的建设愿景和规划,确保至少能够满足监管底线的要求,构建实质性的、有效的风险防控体系。
第二个是转变观念,深化治理。银行保险机构应充分认识到操作风险是造成重大风险损失的主要原因,将操作风险作为机构最重要的风险之一,在全行形成“风控创造价值”的风险文化。系统、法规等将运营风险偏好整合到各种机构和业务中。
三是创新方法,解决问题。银行保险机构要充分把握新规精神和指导,创新方法,不断构建畅通的经营风险管理环节,攻克问题,实现对“机构、业务、流程、环节、管控、岗位、人员、风险”的立体化、数字化监控。
四个是保护资源并实施措施。银行保险机构要做好资源保障工作,首先要确保深化治理、创新方法、解决问题所需的专业资源,确保能够持续出好举措其次,确保各机构业务落实优秀措施所需的专项资源,确保优秀措施有效运行,及时适应新情况、新变化,避免人员执行与规章制度、固定行动和风险控制本质脱钩。
新规充分借鉴和吸收了国内银行保险机构的实践和探索,并借鉴了国际上最新的监管规则,具有较强的实证性、实践性和前瞻性。 随着银行保险机构的积极管理以及监管合规监管的逐步实施,新规将有效推动我国银行保险机构的经营风险管理,持续催化“高策略应对化解风险挑战”。
温 Ernst & Young 合伙人张超。
李梦熙编辑.
实习生李浩晨。