解读 划定统一监管基线 提高金融机构整体风险管理水平
时间:2024-01-02 14:37:13来源:中国银行保险报
□金融监管总局法规司操作风险研究小组
为落实中央金融工作会议精神,全面加强金融监管,防范化解金融风险,2023年12月29日,金融监管总局印发《银行保险机构操作风险管理办法》(以下简称《办法》),自2024年7月1日起施行。《办法》总结国内银行保险机构业务和风险管理工作实践,借鉴国际监管规则的新发展,与刚刚发布的《商业银行资本管理办法》相互配套,有助于补齐制度短板,健全操作风险管理体系,提升操作风险管理水平和能力,维护金融安全和稳定,切实保障金融消费者合法权益。
一、出台背景
近年来,银行保险机构案件仍呈现高发态势,重大操作风险事件形势依然严峻,发生的大量银行信用风险损失背后时常发现员工内外勾结或违规授信等操作风险事件因素。骗保等理赔欺诈、销售误导造成纠纷、虚假承保等保险业操作风险事件发生频率高、累积损失大。金融业数字化转型,对全面加强网络和数据安全保护提出了更高要求。网络攻击的高频化、多样化和复杂化,在一定程度上可能影响金融稳定。在新形势面前,2007年制定的《商业银行操作风险管理指引》层级不高,过于原则,缺少罚则,已不能满足风险管理实践需要。为了提高监管规则的“刚性”,做到“长牙带刺”,金融监管总局按照审慎性、全面性、匹配性、有效性原则对原有规则进行修订,以规章的形式印发了《办法》。
二、《办法》主要内容
《办法》明确了操作风险相关治理和管理责任,要求董事会承担操作风险管理的最终责任;高级管理层承担操作风险管理的实施责任并对董事会负责;监事(会)承担操作风险管理的监督责任,同时突出了“三道防线”的划分及各自职能。针对国内金融机构层级负责制的实际情况,以及操作风险事件“黑天鹅”和“长尾”等特点,更加强调机构主体责任,要求压实分支机构和附属机构的操作风险管理责任,建立了层级负责为主、条线管理为辅的管理体系。
《办法》明确规定了风险管理基本要求,要求机构建立与业务性质、规模、复杂程度和风险特征相适应的操作风险管理基本制度。要求制定定性、定量指标并重的操作风险偏好,并建立风险偏好传导机制。建立健全操作风险管理信息系统,为操作风险事件的记录和储存、风险自评估、关键指标监测、风险计量、报告等提供支撑。要求银行保险机构培育良好的操作风险管理理念和文化,明确对员工行为规范和职业道德的相关要求。强调风险管理考核评价指标应当兼顾操作风险管理过程和结果,薪酬和激励约束机制应当有效反映考核评价结果。此外,还规定了操作风险管理培训和信息披露的要求。
《办法》细化了管理流程和管理工具,规定了风险识别、评估的具体流程,要求对操作风险识别、评估、计量、监测、控制、缓释、报告进行全流程管理。规定了内部控制、业务连续性管理、业务外包管理等控制、缓释措施的基本要求,与相关的具体监管规定进行衔接。要求机构建立矩阵式的操作风险内部定期报告机制和重大操作风险事件报告机制。明确机构在使用操作风险损失数据库等基础管理工具以外,鼓励其开发使用其他风险管理工具。要求机构强化开发新业务或新产品、新设分支机构、业务流程变更、开发新商业模式等情形中的操作风险管理。
《办法》完善了监督管理职责,要求监管部门检查评估银行保险机构操作风险管理体系的健全性和有效性。针对监管发现的有关问题,要求及时整改,报告整改落实情况。规定机构应向监管部门报告重大操作风险事件。增加了监管部门对违规情形采取监管措施和行政处罚等法律责任要求,形成刚性约束。其中,针对操作风险管理制度、操作风险管理职责、系统设计应用等制度和机制建设中的缺陷,监管部门可以采取监管措施;针对造成重大操作风险事件、未报送重大操作风险事件、未按照监管要求进行整改等严重违规情形可以实施行政处罚。
三、《办法》修订亮点
《办法》充分借鉴巴塞尔委员会操作风险管理最新规则,总结国内大型金融机构良好实践做法,划定统一的监管基线,提高金融机构整体风险管理水平。同时,根据操作风险防控新形势,与时俱进增加操作风险管理具体要求,要求更加细化,标准更加清晰,具有更强的针对性和适用性。
强调综合化管理体系,重视新型操作风险管理。新增数据安全、网络风险、变更管理、压力测试等要求。参照巴塞尔委员会发布的《运营韧性原则》及发达经济体监管机构的运营韧性监管规则,首次对大型机构提出运营韧性的原则性要求,强调与恢复与处置计划、业务连续性管理、突发事件应对、外包风险管理、网络安全、数据安全、操作风险管理有机衔接,强化综合化管理体系。
总结行业实践,衔接资本办法。《办法》明确了操作风险管理体系框架与标准,与《商业银行资本管理办法》关于资本计量、损失数据及分类标准等内容有机衔接。总结了大型金融机构在操作风险管理的实践,总结归纳了建立风险偏好、容忍度等风险管理机制,扩充操作风险管理工具,建立矩阵式的内部报告路径等良好做法,有利于提升行业整体操作风险管理水平。
机构覆盖全面,兼顾差异化要求。《办法》全面覆盖银行保险机构,对保险机构而言是在偿二代监管规则上的全面升级。落实监管差异化原则,既区分银行和保险机构,也区分规模较大和规模较小的机构。规定保险公司不适用风险计量、计提资本等方面要求。鼓励规模较大的机构提升运营韧性;明确监管机构可以豁免规模较小机构设立操作风险管理专岗或专人的要求。在操作风险管理架构和职责、风险管理基本要求方面,给予规模较小机构两年过渡期,给予大型保险公司一年过渡期。
四、下一步工作要求
《办法》的发布和实践标志着我国金融机构操作风险管理及监管步入了新阶段。监管机构要充分运用综合化监管手段,通过非现场监管、现场检查、审慎会谈等方式全面落实对机构操作风险的有效监管,充分评估机构操作风险暴露水平和风险管理的有效性,增强运营韧性和抵御风险能力。严厉惩治严重违反审慎经营规则的行为,严格执法,敢于亮剑,敢动真格,让监管制度真正“长牙带刺”。
金融机构要以实施新监管标准为契机,进一步夯实自身操作风险管理的基础。对操作风险管理新规、《商业银行资本管理办法》、数据安全、外包及业务连续性管理等进行体系化考虑,在确保机构内部各环节充分衔接的同时,增强各管理环节的内在一致性。用好操作风险管理的实施成果,不能局限于合规这一目的,更要深入广泛地应用于业务流程中,及时发现业务经营中的薄弱环节,筑牢操作风险管理的防线。建立健全操作风险管理信息系统,为操作风险事件的记录和储存、风险自评估、关键指标监测、风险计量、报告等提供支撑。保险机构还要在实施偿二代的基础上,梳理合规差距,强化人力配置,补齐工具与机制短板,并进一步探索管理信息化、量化分析、业务连续性与运营韧性管理等管控手段,提升操作风险管理实效。
相关阅读
