為進一步鞏固防範化解金融風險攻堅戰成果,國家金融監督管理總局在前期徵求意見後,於近日修訂發佈《銀行保險機構操作風險管理辦法》(以下簡稱《辦法》)。《辦法》整合原有銀行機構和保險機構的操作風險監管規則,明確統一適用於銀行保險機構的基本要求。
《辦法》將自2024年7月1日起施行。屆時,原銀監會於2007年發佈的《商業銀行操作風險管理指引》(以下簡稱《指引》)及2005年發佈的《關於加大防範操作風險工作力度的通知》將廢止。
《辦法》共六章五十二條及附錄,其中主要涉及風險治理和管理責任、風險管理基本要求、風險管理流程和方法、監督管理等內容。
加強對操作風險的監管
西北政法大學教授強力介紹,相較於整個金融系統的風險,商業銀行和保險機構的風險屬於個體風險,即微觀風險。微觀風險太大則有可能波及整個金融系統引發系統風險。銀保機構的風險監管在世界範圍內都受到重視。巴塞爾銀行監管委員會將商業銀行面臨的風險分為信用風險、市場風險、操作風險、流動性風險、國別風險、法律風險、聲譽風險、戰略風險八個主要類型。在強力看來,所有風險發生的最後表現都是支付出現問題,即支付風險。
操作風險是銀保機構經營管理中面臨的主要風險之一。強力認為,銀保機構的一項重要工作就是監管風險、控制風險。
對操作風險的監管,在金融監管總局剛剛發佈的《商業銀行資本管理辦法》中已有所涉及,金融監管總局對商業銀行資本的要求,說到底也是防控風險。因此,《辦法》與《商業銀行資本管理辦法》相互配套,共同成為管理金融風險的部門規章。
所謂操作風險,根據《辦法》規定,是指由於內部程式、員工、資訊科技系統存在問題以及外部事件造成損失的風險,包括法律風險,但不包括戰略風險和聲譽風險。操作風險管理是全面風險管理體系的重要組成部分,目標是有效防範操作風險,降低損失,提升對內外部事件衝擊的應對能力,為業務穩健運營提供保障。
在北京觀韜中茂(大連)律師事務所高級合夥人劉燕迪看來,這些風險具體包括業務流程設計不合理、執行不嚴格等內部程式的問題,員工操作失誤、員工違法行為、關鍵人員流失等員工方面的問題,IT系統(軟硬體)失靈或癱瘓、外包機構引起的客戶資訊洩露等資訊科技系統問題,不履行合同發生爭議等法律糾紛,被外部欺詐等外部事件。
北京盈科(鄭州)律師事務所管委會主任李曙衢說,從我國銀保機構近年來暴露的問題看,國內銀保機構操作的主要風險更多表現在內部欺詐、外部欺詐等方面。
明確董監高各自職責
《辦法》優化了董事會在公司治理中的責任,明確規定銀保機構董事會應當將操作風險作為本機構面對的主要風險之一,承擔操作風險管理的最終責任。其主要職責包括審批操作風險管理基本制度,確保與戰略目標一致;審批操作風險偏好及其傳導機制,將操作風險控制在可承受範圍之內;審批高級管理層有關操作風險管理職責、許可權、報告等機制,確保操作風險管理體系的有效性等多項職責。
《辦法》明確了監事會應當承擔的監督職責,及高級管理層應當承擔操作風險管理的實施責任。
北京中銀律師事務所高級合夥人劉曉宇說,《辦法》與《指引》相比較,總結了銀行保險機構操作風險三道防線治理架構。第一道防線包括各級業務和管理部門,是操作風險的直接承擔者和管理者,負責各自領域內的操作風險管理工作。第二道防線包括負責各級操作風險管理和計量的牽頭部門,指導、監督第一道防線的操作風險管理工作。第三道防線是各級內部審計部門,對第一、二道防線履職情況及有效性進行監督評價。
《辦法》明確界定了每一道防線的工作職責。比如,與第一道防線相關,《辦法》第十一條列舉了七項主要職責,包括指定專人負責操作風險管理工作,投入充足資源;按照風險管理評估方法,識別、評估自身操作風險;建立控制、緩釋措施,定期評估措施的有效性;持續監測風險,確保符合操作風險偏好;定期報送操作風險管理報告,及時報告重大操作風險事件;制定業務流程和制度時充分體現操作風險管理和內部控制的要求;其他相關職責。通過明確每道防線的工作職責,壓實了分支機構和附屬機構的責任。
進一步細化管理流程
《辦法》規定風險管理的基本要求,明確銀保機構應當建立操作風險管理基本制度、操作風險偏好和傳導機制,建立健全操作風險的管理資訊系統,培育良好的操作風險管理文化。
同時,細化管理流程。要求銀保機構對操作風險進行全流程管理,規定了操作風險控制、緩釋措施的基本要求,建立操作風險報告機制。
《辦法》明確要求,銀保機構應當根據操作風險偏好,識別內外部固有風險,評估控制、緩釋措施的有效性,分析剩餘風險發生的可能性和影響程度,劃定操作風險等級,確定接受、降低、轉移、規避等應對策略,有效分配管理資源。並結合風險識別、評估結果,實施控制、緩釋措施,將操作風險控制在風險偏好內。
劉曉宇說,《辦法》對操作風險的管理,不僅細化流程,還提出了一套更加全面的管理工具體系,要求銀保機構應當運用操作風險損失資料庫、操作風險自評估、關鍵風險指標等基礎管理工具管理操作風險,可以選擇運用事件管理、控制監測和保證框架、情景分析、基準比較分析等管理工具,或者開發其他管理工具。銀行保險機構應當運用各項風險管理工具進行交叉校驗,定期重檢、優化操作風險管理工具。
《辦法》還增加了具體的內部控制要求,例如,密切監測風險偏好及其傳導機制的執行情況;建立重要財產的記錄和保管、定期盤點、賬實核對等日常管理和定期檢查機制等。
金融監管總局有關負責人接受記者採訪時說,《辦法》施行時間為2024年7月1日,給銀行保險機構預留充分時間開展實施工作。同時,《辦法》區分情形進行差異化監管,設置過渡期,並充分徵求、採納了各類市場主體的意見。
這位負責人說,《辦法》的出臺完善了我國銀行保險機構操作風險監管制度,有利於彌補監管制度短板,進一步鞏固防範化解金融風險攻堅戰的成果,規範提升銀行保險機構操作風險管理水準,有利於強化機構監管、行為監管、功能監管、穿透式監管、持續監管。下一步,將進一步發揮行業協會的自律和服務作用,協助引導銀行保險機構持續提高操作風險管理水準。(周芬棉)
