解讀新規(guī)：聚焦中國銀行保險機構(gòu)操作風險管理

全球風險管理專業(yè)人士協(xié)會（GARP）致力于為風險管理條線上的各級人員，包括各大金融機構(gòu)的風險管理從業(yè)者和監(jiān)管機構(gòu)人員提供風險教育和行業(yè)資訊。GARP China微信公眾號將陸續(xù)刊登宏觀經(jīng)濟和政策解讀文章，介紹金融政策動向、宏觀調(diào)控、氣候風險管理等領(lǐng)域?qū)Σ僮黠L險、信用風險、市場風險和資產(chǎn)負債管理的影響。讓我們一起全面認識風險，防范風險，化解風險。

為進一步完善銀行保險機構(gòu)操作風險監(jiān)管規(guī)則，提升銀行保險機構(gòu)的操作風險管理水平，國家金融監(jiān)督總局于2023年12月29日修訂發(fā)布《銀行保險機構(gòu)操作風險管理辦法》（以下簡稱《辦法》），要求銀行保險機構(gòu)優(yōu)化操作風險治理框架，規(guī)定操作風險管理基本要求，細化操作風險管理流程和管理工具，完善相關(guān)政策制度和流程管理。

國家金融監(jiān)管總局有關(guān)司局負責人在答記者問時表示，《辦法》將于2024年7月1日起施行，給銀行保險機構(gòu)預留充分時間開展實施工作，而原銀監(jiān)會于2007頒布的《商業(yè)銀行操作風險管理指引》將同日廢止。同時，《辦法》區(qū)分情形進行差異化監(jiān)管，設(shè)置一定的過渡期，并充分征求和采納了各類市場主體的意見。

《辦法》建立了中國金融行業(yè)統(tǒng)一的操作風險管理指引，完善了中國銀行保險機構(gòu)操作風險管理監(jiān)管制度，進一步鞏固了防范化解金融風險攻堅戰(zhàn)的成果，從而規(guī)范提升銀行保險機構(gòu)操作風險管理水平。

一、操作風險無處不在

《辦法》稱操作風險是指，由于內(nèi)部程序、員工、信息科技系統(tǒng)存在問題以及外部事件造成損失的風險。操作風險包括法律風險，但不包括戰(zhàn)略風險和聲譽風險。

操作風險事件在銀行保險機構(gòu)的經(jīng)營管理中極為常見。簡言之，銀行保險機構(gòu)只要營業(yè)，就可能面臨各種由于人員、系統(tǒng)、流程或者外部事件所帶來的風險。例如，客戶的欺詐、偽造、糾紛等風險，內(nèi)部人員的工作差錯、盜竊的風險，以及產(chǎn)品瑕疵、系統(tǒng)故障、管理不當?shù)蕊L險。

與信用風險和市場風險不同，操作風險涉及到銀行保險機構(gòu)的每一項業(yè)務(wù)及相關(guān)人員，并且是影響并危及銀行保險機構(gòu)運營的至主要風險。但由于國際銀行業(yè)在過去的一段時間內(nèi)對于操作風險的認識較為模糊，操作風險管理經(jīng)常會被機構(gòu)管理層有意或無意地“忽視”。

從國際上來看，銀行操作風險事件屢見不鮮。比較著名的有1995年，英國巴林銀行的一名操作員違規(guī)擅自從事股指期權(quán)交易虧損近13億美元，導致了有233年歷史的巴林銀行破產(chǎn)。類似的還有2001年UBS（瑞銀）交易事件中一位交易員把 “每股61萬日圓，賣出16股” 打成 “每股16日圓，賣出61萬股” ，幾秒鐘內(nèi)使公司損失7100萬英鎊。再比如，2012年桑坦德銀行違規(guī)洗錢事件，2016年Wells Fargo銀行的虛假賬戶丑聞，以及HSBC違反了反洗錢法規(guī)等。

近二十年以來，中國國內(nèi)也有銀行曾經(jīng)歷過一些影響比較大的操作風險事件。其中，2004年中國農(nóng)業(yè)銀行因內(nèi)部控制不力和貸款違約問題引發(fā)的事件，2007年中國銀行因外匯業(yè)務(wù)風險管理不善而遭遇外匯交易損失的操作風險事件，以及2015年招商銀行信用卡系統(tǒng)故障導致客戶賬戶異常的事件，都對國內(nèi)銀行業(yè)產(chǎn)生了較大的影響。因此，國內(nèi)外商業(yè)銀行在日常經(jīng)營管理中都不斷面臨著操作風險管理的挑戰(zhàn)，也體現(xiàn)了監(jiān)管機構(gòu)對銀行操作風險管理進行嚴格監(jiān)督的必要性。

二、銀行保險機構(gòu)操作風險管理的關(guān)鍵焦點

《辦法》總體上接軌了國際監(jiān)管規(guī)則的新發(fā)展，充分吸收了國內(nèi)金融機構(gòu)在操作風險管理方面的一些良好實踐，針對機構(gòu)經(jīng)營實務(wù)中遇到的問題提出了更加全面的要求，體現(xiàn)了強監(jiān)管、嚴監(jiān)管、穿透式監(jiān)管的導向。《辦法》主要從風險治理結(jié)構(gòu)、風險管理基本要求、管理流程和管理工具、風險監(jiān)督管理四個維度全面完善了銀行保險機構(gòu)的操作風險防控體系。

1.   風險治理結(jié)構(gòu)：完善高層責任，設(shè)立三道防線

《辦法》明確了董事會承擔操作風險管理的至終責任，負責審批公司操作風險管理基本制度、操作風險偏好及其傳導機制、審批操作風險信息披露制度，按年度審議操作風險管理報告；強調(diào)了監(jiān)事會將操作風險管理履職情況納入監(jiān)事會工作報告；界定了高管層承擔操作風險管理的實施責任，設(shè)置操作風險偏好及其傳導機制，督促各部門盡職履責，并及時處理突破風險偏好及違反操作風險管理制度的情況。

針對操作風險管理實踐中三道防線職責不清晰和管理視角不獨立的問題，《辦法》明確提出操作風險管理的“三道防線”，并定義每道防線的范圍和職責邊界。第一道防線包括各級業(yè)務(wù)和管理部門，負責各自領(lǐng)域內(nèi)的操作風險管理工作；第二道防線包括負責各級操作風險管理和計量的牽頭部門，指導、監(jiān)督第一道防線的操作風險管理工作；第三道防線是各級內(nèi)部審計部門，對第一、二道防線履職情況及有效性進行監(jiān)督評價。三道防線之間及各防線內(nèi)部應當建立完善風險數(shù)據(jù)和信息共享機制。

2.   風險管理基本要求：推進操作風險偏好管理，建立有效的考核評價機制

在操作風險管理流程中，設(shè)定操作風險偏好指標并有效傳導監(jiān)控長期以來一直是一個挑戰(zhàn)。

有些機構(gòu)只能使用定性方法來描述操作風險偏好，而無法將這些偏好量化為可衡量的指標，并難以建立有效的監(jiān)控系統(tǒng)來跟蹤這些指標?！掇k法》提出銀行保險機構(gòu)應當在整體風險偏好下制定定性、定量指標并重的操作風險偏好，每年開展重檢。風險偏好應當與戰(zhàn)略目標、經(jīng)營計劃、績效考評和薪酬機制等相銜接。風險偏好指標應當包括監(jiān)管部門對特定機構(gòu)確定的操作風險監(jiān)測指標要求，其中可以包括案件風險率和操作風險損失率。

《辦法》注重銀行保險機構(gòu)內(nèi)部培育操作風險管理文化的軟約束，進一步提升操作風險管理的內(nèi)生動力。此外，要求機構(gòu)建立有效的操作風險管理考核評價機制，考核評價指標應當兼顧操作風險管理過程和結(jié)果。薪酬和激勵約束機制應當與考核評價結(jié)果對應，以確保機構(gòu)內(nèi)部的激勵機制與操作風險管理的績效緊密相連。

3.   風險管理流程和方法：運用多項管理工具，加強全流程管理

《辦法》要求銀行保險機構(gòu)對操作風險進行全流程管理。重點規(guī)定了內(nèi)部控制、業(yè)務(wù)連續(xù)性管理、業(yè)務(wù)外包管理等操作風險控制和緩釋措施的基本要求，并建立操作風險情況和重大操作風險事件報告機制。

值得注意的是，《辦法》拓展了操作風險管理的外延，首次將網(wǎng)絡(luò)安全、數(shù)據(jù)安全納入操作風險管理范疇。銀行保險機構(gòu)需制定網(wǎng)絡(luò)安全管理制度，履行網(wǎng)絡(luò)安全保護義務(wù)，執(zhí)行網(wǎng)絡(luò)安全等級保護制度要求，采取必要的管理和技術(shù)措施，監(jiān)測、防御、處置網(wǎng)絡(luò)安全風險和威脅，重點加強信息保護等。

操作風險損失數(shù)據(jù)庫、自我風險評估、關(guān)鍵風險指標監(jiān)測是銀行管理操作風險的常用工具?！掇k法》提出要在持續(xù)優(yōu)化操作風險三大管理工具的基礎(chǔ)上，鼓勵選擇運用事件管理、控制監(jiān)測和保證框架、情景分析、基準比較分析等管理工具，或者開發(fā)其他管理工具來不斷創(chuàng)新管理手段，提升管理效能。

4.   風險監(jiān)督管理：完善監(jiān)督職責，升級監(jiān)管力度

《辦法》明確指出金融監(jiān)管總局及其派出機構(gòu)通過監(jiān)管評級、風險提示、監(jiān)管通報、監(jiān)管會談、與外部審計師會談等非現(xiàn)場監(jiān)管和現(xiàn)場檢查方式，實施對操作風險管理的持續(xù)監(jiān)管，監(jiān)管方式更為直接和明確。在違規(guī)處罰方面，《辦法》上調(diào)了操作風險違規(guī)行為罰款金額上限（二十萬元），提高了機構(gòu)的違規(guī)成本。

《辦法》通過細化各類操作風險報告的時限要求來壓實各層級的職責：如操作風險管理報告明確為每年向監(jiān)管機構(gòu)報告、內(nèi)部操作風險專項審計規(guī)范為至少每三年開展一次、重大操作風險事件5個工作日內(nèi)報告等。其中，重大操作風險事件的符合條件包括：預計損失5000萬元以上或資本凈額5%（含）以上的事件、損失1000萬元以上或資本凈額1%的事件、嚴重侵犯公民個人信息及其他權(quán)益的事件、員工涉及非法集資類犯罪的事件等。

總的來說，《辦法》的出臺為中國銀行保險機構(gòu)建立更加健全的操作風險管理體系提供了明確的制度框架和指導，將進一步推動銀行保險機構(gòu)加強操作風險管理，并提升金融體系的穩(wěn)定性和健康發(fā)展。在此背景下，銀行保險金融機構(gòu)應基于機構(gòu)性質(zhì)、規(guī)模、業(yè)務(wù)復雜程度和風險特征等要素，制定落實操作風險新規(guī)的策略，明確操作風險新規(guī)達標的實施路徑，建立與機構(gòu)業(yè)務(wù)性質(zhì)、規(guī)模和復雜程度相匹配的操作風險管理體系。

以上文章來源于GARP ，如有侵權(quán)請聯(lián)系刪除。