为进一步巩固防范化解金融风险攻坚战的成果,应对更加复杂的操作风险防控形势,国家金融监督管理总局于2023年12月27日正式发布了《银行保险机构操作风险管理办法》(下称《办法》正式稿),并计划于2024年7月1日起施行。本办法充分考虑了银行保险机构在管理实践中面临的痛点与难点,明确了操作风险管理总体目标,完善了操作风险管理体系框架,细化了操作风险管理流程和方法,在考虑机构特性与规模差异的前提下,形成了银行保险机构统一的操作风险监管规则,将进一步推动银行保险机构持续完善操作风险管理体系,提升操作风险管理成效。
一、《办法》正式稿与征求意见稿对比解析
《办法》正式稿共六章五十二条及附录,包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理及附则,其整体框架和主体内容与2023年7月发布的《银行保险机构操作风险管理办法(征求意见稿)》(下称《办法》征求意见稿)大致趋同。结合相关部委和社会公众的意见,国家金融监督管理总局主要对《办法》征求意见稿中部分条款内容进行了必要的调整与完善,毕马威也将在下文中简要阐述《办法》正式稿相较于征求意见稿而言的主要变化。
1
调整运营韧性框架中操作风险管理定位
《办法》正式稿将规模较大的银行保险机构运营韧性框架中操作风险管理与其他管理体系/机制之间的协同关系由“统筹协调”调整为“有机衔接”,更贴合国内银行保险机构操作风险管理的定位。
2
调整二道防线操作风险管理人员配置要求
对规模较大的银行保险机构,《办法》正式稿放宽了对其操作风险管理人员配置的要求,将一级分行(省级分公司)及以上设立“操作风险管理专岗”的要求调整为设立“操作风险管理专岗或指定专人”。对于规模较小的银行保险机构,《办法》正式稿则收紧了相关要求,不再直接规定一级分行(省级分公司)及以上可不设立操作风险管理专岗或指定专人,而是按照监管职责归属将豁免权限赋予国家金融监督管理总局或其派出机构。
3
调整外部审计和评价频次
《办法》正式稿将规模较大的银行保险机构应当开展外部审计和评价的频次由“至少每三年一次”调整为“定期”,给予银行保险机构一定的执行灵活度,各机构可根据自身的操作风险管理情况以风险为导向制定操作风险审计频率。
4
新增网络安全相关管理要求
随着新兴技术的快速发展,近年来网络安全形势日趋严峻,网络安全事件对银行保险机构运营造成重大扰乱的可能性逐步增加,也成为操作风险防控面临的重要课题之一。因此,《办法》正式稿新增了网络安全相关管理要求,以更好的指导银行保险机构保障网络安全,防控操作风险,提升运营韧性。
5
增强监管机构的监督管理力度
一方面,当监管机构发现银行保险机构操作风险管理存在缺陷和问题时,除了应当要求其及时整改以外,《办法》正式稿中补充要求其上报整改落实情况;另一方面,《办法》正式稿将监管机构依法实施行政处罚的罚款限额由“十万元”提升至“二十万元”。由此可以看出,《办法》正式稿在一定程度上增强了对银行保险机构的监督管理力度,多措并举、扎实扎牢监督管理“篱笆墙”。
6
拓宽重大操作风险事件范围
《办法》正式稿拓宽了重大操作风险事件范围,对于非法集资类违法犯罪事件,应自被立案时间节点起即认定为重大操作风险事件。《办法》正式稿将该类事件认定节点前置,提升了银行保险机构对重大操作风险事件的风险敏感性。
7
调整行业协会职责
根据《办法》正式稿的规定,“建立操作风险事件和损失数据库”的职责不再仅归属于行业协会,而是鼓励行业协会、学术机构、中介机构建立相关领域的操作风险事件和损失数据库,拓宽了操作风险损失数据来源,有利于行业从多渠道逐步建立覆盖全面的操作风险损失事件和损失数据库。
8
调整适用范围及参照执行范围措辞
与征求意见稿相比,《办法》正式稿调整了适用范围及参照执行范围措辞,补充列示了各类适用机构及参照执行机构,以强调本办法覆盖范围的全面性,促进各类机构增强操作风险管理意识,提升行业操作风险管理水平。
9
给予规模较大的保险机构一年过渡期
除了给予规模较小的银行保险机构两年过渡期以外,《办法》正式稿对规模较大的保险机构也给予了一年过渡期,兼顾保险机构实施操作风险新规的差异,为其预留充分时间开展实施工作。
除了上述主要变化点以外,为避免由于表述问题导致理解偏差,国家金融监督管理总局在《办法》正式稿中对附录内容也进行了必要调整与补充解释,主要包括操作风险偏好指标、固有风险定义、关键风险指标、操作风险披露机制、考核评价机制等方面的内容。
二、区分情形的差异化监管合规时间表
针对“风险治理和管理责任”、“风险管理基本要求”、“风险管理流程和方法”章节的相关规定,《办法》正式稿给予规模较大的保险机构一年过渡期,给予规模较小的银行保险机构两年过渡期。由此可以看出,监管区分规模差异和机构类型进行了差异化监管合规时间安排(如下表所示),给不同规模、不同类型的机构预留了充分时间开展实施工作。
除了银行保险机构需严格按照上述时间表执行以外,国家金融监督管理总局及其派出机构监管的其他机构也应对此予以重视,参照上述时间表逐步推进操作风险管理体系建设与优化工作。
三、银行保险机构操作风险新规应对策略
基于上述差异化监管合规时间表,各银行机构、保险机构、国家金融监督管理总局及其派出机构监管的其他机构,如保险集团(控股)公司、消费金融公司、理财公司等,应当基于自身业务规模、业务复杂程度、风险管理沿革情况等要素,及时开展差距分析及现状评估,合理确定操作风险新规的应对策略,充分利用过渡期安排,布局操作风险新规各项要求的合规实施路径。具体来说:
规模较小或管理基础相对薄弱的机构,应以“合规遵循”为基础目标,有序推进操作风险管理体系建设和完善工作。
1.完善配套治理架构和职责分工
明确“董监高”针对操作风险具体管理活动需要承担的职责
进一步明确“三道防线”职责,强调并压实第一道防线职责
从公司实际出发明确操作风险管理目标和导向
2.确保关键资源的合理配置
针对自身业务特点,明确一、二道防线人力配置要求与职责
关注风险管理文化建设,将操作风险管理嵌入考核评价与培训
强化操作风险牵头管理部门以及协同部门的支持和保障
3.完善配套管理工具和技术能力
构建常态化基础管理工具(包括操作风险损失数据库、操作风险自评估、关键风险指标等),并定期对三大工具进行交叉校验、重检与优化
建立变更管理过程中的操作风险识别与评估,细化针对不同类型重大变更的应对管理机制
明确业务连续性管理、网络安全管理、数据安全管理、业务外包管理等新的操作风险控制与缓释机制,提高企业韧性
4.推动信息化工具
协同内控、合规等其他管理抓手,形成全面覆盖操作风险识别、监测、报告和应对的操作风险管理系统,通过信息化手段将功能、数据应用到操作风险的日常管理工作中
规模较大或管理基础相对成熟的机构,可以“精细管理”或“数智转型”为目标,推动操作风险管理体系进阶升级,强化管理理念,丰富管理手段,优化配套机制,提升管理水平。
1.深入挖掘工具应用
以操作风险三大工具为基础,拓展“事件管理”、“情景分析”、“基准比较分析”等其他创新管理工具的运用
提升操作风险数据质量,依托高质量损失数据库的搭建,构建定性和定量相结合的操作风险偏好及其传导机制,结合各类管理工具的运用,实现操作风险管理与操作风险资本/考核的联动
2.全面布局整合
在完善操作风险治理架构的基础上,明确附属机构的职责,并针对具体操作风险明确配套识别、评估、监测、控制、缓释的管理流程
在操作风险与内控合规协同的基础上,依托管理制度化、制度流程化、流程信息化的内控合规常态治理,协同业务连续性管理、员工行为管理等机制,将操作风险管控能力渗透至各机构、各流程、各员工
明确提升运营韧性的目标
3. 价值输出和赋能
借助信息技术升级系统功能,构建风险数据和信息共享机制以及管理管控协同机制,更为精准、前瞻定位操作风险关键风险领域与风险敞口
挖掘应用场景,深入探索金融科技工具对于操作风险管理全链路有序运作的助力,推动管理工具箱迭代升级,实现操作风险管理质效的全面提升