運營風險是指由於內部程式、員工、IT系統和外部事件等問題而造成的損失風險,包括法律風險,但不包括戰略風險和聲譽風險。 操作風險不僅與信用風險、市場風險並列為金融機構的三大風險,而且是造成信用風險損失、市場風險損失等重大風險損失的主要因素之一,操作風險防控在金融機構風險管理領域起著舉足輕重的作用。
國家金融監督管理總局於2024年12月29日發布銀行保險機構操作風險管理辦法(以下簡稱《新規》),系統明確了經營風險管理的治理結構、管理流程、監督管理等,並將銀保領域作為經營風險管理的標準和方案。 新規在當前時間點正式發布實施,既符合當前銀行保險機構經營風險防控形勢的實際需要,也契合了今年第一次金融工作會議提出的“全面加強金融監管、完善金融體系、優化金融服務、防範化解風險”的戰略基調。
對於銀行業金融機構而言,早在2024年,原中國銀監會(以下簡稱“銀監會”)就發布了《商業銀行操作風險管理指引》(以下簡稱“舊規定”),對規範商業銀行操作風險管理起到了積極作用,但多年過去了,近年來難以適應複雜的操作風險防控形勢。 對於保險機構而言,原中國銀保監會(CBIRC)於2024年發布了《保險公司償付能力監管規則》,明確了保險公司經營風險的管理要求,建立了保險公司經營風險管理的基本框架,但仍亟需明確一套更具體的經營風險管理體系構成。 近年來,國內銀行保險機構在操作風險管理方面積累了一系列良好做法,但也暴露出管理工具不力、管理資源投入不足等問題。 在此背景下,不僅銀行保險機構要提公升“主動管理”水平,不斷創新完善管理方式,監管部門也要加強“監督督查”,持續引導和督促銀行保險機構實施健全的經營風險管理。
與舊規則相比,新規則有許多增強和變化
更重要的是,針對實踐中暴露出的不足,新規提出了更加全面、具體的指引,包括完善操作風險界定、明確風險治理和管理責任、規定風險管理基本要求、細化風險管理流程和方法、完善監督管理責任等。 其中,最重要、影響最深遠的變化是:
一是釐清運營風險與合規風險的關係。新規規定,法律風險包括“違反法律法規或監管規定,依法可能承擔刑事或行政責任的經營或管理活動”,明確了經營風險基本包括合規風險,消除了業內長期以來對兩者關係的分歧和爭議,夯實了經營風險聯動管理的共同基礎以及合規風險。
第二個是明確必要的內容,以改善三道防線的治理。新規總結了行業對操作風險三道防線的良好治理結構,把握了提公升三道防線治理的關鍵要素,包括資源投入、資訊共享、審計評估等,為銀行保險機構提公升三道防線治理指明了方向, 從而解決實力不足、協同力不足、責任不明確、考核缺失等問題。
三是確定傳輸的運營風險偏好和治理要求。針對當前銀行保險機構管理層對操作風險暴露水平缺乏控制,新規深入探討了操作風險偏好指標的卓越作用,確定了操作風險偏好指標的設定和傳遞要求,為及時、全面、準確地掌握操作風險狀況創造了機會。 也為操作風險偏好量化管理開啟了新的起點。
四個是關於改善內部控制要求的若干強化運營風險管理措施和工具的指導。為此,新規借鑑和吸收國際監管標準,借鑑領先同行的實踐和探索,引導更加全面和強化的工具體系,提出控制監測與保障框架、情景分析、基準比較分析、事件管理等方法和規則。檢查管理、崗位管理、員工行為管理等內部控制要求充分豐富了管理方法,形成了一套較為完善的管理工具和控制制度。
第五,是的針對特定型別的運營風險提出治理思路。目前,銀行保險機構二道防線的職能大部分集中在乙個部門團隊中,新規要求針對重大變更風險、資料安全風險、業務連續性風險等特殊型別的操作風險,建立專門的管理制度和機制。 以及外包風險,提出了多個專業部門團隊組成第二道防線網路的治理思路。
新規將對銀行保險機構產生深遠的積極影響
目前,銀行保險機構普遍需要創新、精細化的操作風險管理方法和工具,以提高操作風險管理的質量和效率。 新規的出台,不僅為銀行保險機構的經營風險管理設定了新的監管基準,更重要的是,將極大推動銀行保險機構在風險治理、方法工具、資源保護三個方面加強風險管控,必將對銀行保險機構產生深遠的正向影響。
一是提高風險管理的有效性。自《巴塞爾協議II》將操作風險納入風險計量管理系統以來,操作風險治理一直是銀行公司治理中的重要議題。 特別是新規提出了治理管理責任三道防線,具體化了董事會、監事會和高階管理層的管理職責,明確了風險偏好和傳導作用,強調了風險報告、考核獎懲、專項審計的作用,明確了經營風險包括合規風險。
第二個是改進方法和工具的作用。新規借鑑國際監管最新規則,構建了更加完善的管理工具體系,包括控制監測與鑑證框架、重大變化風險控制、風險事件報告、壓力測試、資料安全管理等多項強化措施和工具,完善了內部控制要點。 必將推動銀行保險機構優化或重構業務風險管理體系,將業務風險管理有效嵌入各項業務風控機制,提高風險管理水平。
三是推進風控資源保障。經過廣泛調查研究,新規明確了一、二道防線專人專人、專崗配置底線資源要求,規定管理層應為業務風險管理配置足夠的財務、人力資源、資訊科技系統等資源,並要求建立健全風險資料和資訊共享機制三道防線。得益於這些規定,在後續監管和督導的支援下,勢必會提高銀行保險機構對操作風險的重視,促進風控資源的保護。
銀行保險機構在實施新法規時需要應對的挑戰
與舊規相比,新規的相當一部分提公升尚未在業內形成統一的認識和良好做法,預計銀行保險機構在落實新規要求時將面臨諸多挑戰,這迫切需要銀行保險機構未雨綢繆,將知行合一。
一是澄清差距並做好計畫。銀行保險機構應首先認清當前管理狀況存在的問題,明確與新規要求和良好做法的差距,根據自身業務的性質、規模和複雜程度,制定與發展水平和戰略相匹配的建設願景和規劃,確保至少能夠滿足監管底線的要求,構建實質性的、有效的風險防控體系。
第二個是轉變觀念,深化治理。銀行保險機構應充分認識到操作風險是造成重大風險損失的主要原因,將操作風險作為機構最重要的風險之一,在全行形成“風控創造價值”的風險文化。系統、法規等將運營風險偏好整合到各種機構和業務中。
三是創新方法,解決問題。銀行保險機構要充分把握新規精神和指導,創新方法,不斷構建暢通的經營風險管理環節,攻克問題,實現對“機構、業務、流程、環節、管控、崗位、人員、風險”的立體化、數位化監控。
四個是保護資源並實施措施。銀行保險機構要做好資源保障工作,首先要確保深化治理、創新方法、解決問題所需的專業資源,確保能夠持續出好舉措其次,確保各機構業務落實優秀措施所需的專項資源,確保優秀措施有效執行,及時適應新情況、新變化,避免人員執行與規章制度、固定行動和風險控制本質脫鉤。
新規充分借鑑和吸收了國內銀行保險機構的實踐和探索,並借鑑了國際上最新的監管規則,具有較強的實證性、實踐性和前瞻性。 隨著銀行保險機構的積極管理以及監管合規監管的逐步實施,新規將有效推動我國銀行保險機構的經營風險管理,持續催化“高策略應對化解風險挑戰”。
溫 Ernst & Young 合夥人張超。
李夢熙編輯.
實習生李浩晨。