□ 本报记者 周芬棉
为进一步巩固防范化解金融风险攻坚战成果,国家金融监督管理总局在前期征求意见后,于近日修订发布《银行保险机构操作风险管理办法》(以下简称《办法》)。《办法》整合原有银行机构和保险机构的操作风险监管规则,明确统一适用于银行保险机构的基本要求。
《办法》将自2024年7月1日起施行。届时,原银监会于2007年发布的《商业银行操作风险管理指引》(以下简称《指引》)及2005年发布的《关于加大防范操作风险工作力度的通知》将废止。
《办法》共六章五十二条及附录,其中主要涉及风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理等内容。
加强对操作风险的监管
西北政法大学教授强力介绍,相较于整个金融系统的风险,商业银行和保险机构的风险属于个体风险,即微观风险。微观风险太大则有可能波及整个金融系统引发系统风险。银保机构的风险监管在世界范围内都受到重视。巴塞尔银行监管委员会将商业银行面临的风险分为信用风险、市场风险、操作风险、流动性风险、国别风险、法律风险、声誉风险、战略风险八个主要类型。在强力看来,所有风险发生的最后表现都是支付出现问题,即支付风险。
操作风险是银保机构经营管理中面临的主要风险之一。强力认为,银保机构的一项重要工作就是监管风险、控制风险。
对操作风险的监管,在金融监管总局刚刚发布的《商业银行资本管理办法》中已有所涉及,金融监管总局对商业银行资本的要求,说到底也是防控风险。因此,《办法》与《商业银行资本管理办法》相互配套,共同成为管理金融风险的部门规章。
所谓操作风险,根据《办法》规定,是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。操作风险管理是全面风险管理体系的重要组成部分,目标是有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,为业务稳健运营提供保障。
在北京观韬中茂(大连)律师事务所高级合伙人刘燕迪看来,这些风险具体包括业务流程设计不合理、执行不严格等内部程序的问题,员工操作失误、员工违法行为、关键人员流失等员工方面的问题,IT系统(软硬件)失灵或瘫痪、外包机构引起的客户信息泄露等信息科技系统问题,不履行合同发生争议等法律纠纷,被外部欺诈等外部事件。
北京盈科(郑州)律师事务所管委会主任李曙衢说,从我国银保机构近年来暴露的问题看,国内银保机构操作的主要风险更多表现在内部欺诈、外部欺诈等方面。
明确董监高各自职责
《办法》优化了董事会在公司治理中的责任,明确规定银保机构董事会应当将操作风险作为本机构面对的主要风险之一,承担操作风险管理的最终责任。其主要职责包括审批操作风险管理基本制度,确保与战略目标一致;审批操作风险偏好及其传导机制,将操作风险控制在可承受范围之内;审批高级管理层有关操作风险管理职责、权限、报告等机制,确保操作风险管理体系的有效性等多项职责。
《办法》明确了监事会应当承担的监督职责,及高级管理层应当承担操作风险管理的实施责任。
北京中银律师事务所高级合伙人刘晓宇说,《办法》与《指引》相比较,总结了银行保险机构操作风险三道防线治理架构。第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。
《办法》明确界定了每一道防线的工作职责。比如,与第一道防线相关,《办法》第十一条列举了七项主要职责,包括指定专人负责操作风险管理工作,投入充足资源;按照风险管理评估方法,识别、评估自身操作风险;建立控制、缓释措施,定期评估措施的有效性;持续监测风险,确保符合操作风险偏好;定期报送操作风险管理报告,及时报告重大操作风险事件;制定业务流程和制度时充分体现操作风险管理和内部控制的要求;其他相关职责。通过明确每道防线的工作职责,压实了分支机构和附属机构的责任。
进一步细化管理流程
《办法》规定风险管理的基本要求,明确银保机构应当建立操作风险管理基本制度、操作风险偏好和传导机制,建立健全操作风险的管理信息系统,培育良好的操作风险管理文化。
同时,细化管理流程。要求银保机构对操作风险进行全流程管理,规定了操作风险控制、缓释措施的基本要求,建立操作风险报告机制。
《办法》明确要求,银保机构应当根据操作风险偏好,识别内外部固有风险,评估控制、缓释措施的有效性,分析剩余风险发生的可能性和影响程度,划定操作风险等级,确定接受、降低、转移、规避等应对策略,有效分配管理资源。并结合风险识别、评估结果,实施控制、缓释措施,将操作风险控制在风险偏好内。
刘晓宇说,《办法》对操作风险的管理,不仅细化流程,还提出了一套更加全面的管理工具体系,要求银保机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,或者开发其他管理工具。银行保险机构应当运用各项风险管理工具进行交叉校验,定期重检、优化操作风险管理工具。
《办法》还增加了具体的内部控制要求,例如,密切监测风险偏好及其传导机制的执行情况;建立重要财产的记录和保管、定期盘点、账实核对等日常管理和定期检查机制等。
金融监管总局有关负责人接受记者采访时说,《办法》施行时间为2024年7月1日,给银行保险机构预留充分时间开展实施工作。同时,《办法》区分情形进行差异化监管,设置过渡期,并充分征求、采纳了各类市场主体的意见。
这位负责人说,《办法》的出台完善了我国银行保险机构操作风险监管制度,有利于弥补监管制度短板,进一步巩固防范化解金融风险攻坚战的成果,规范提升银行保险机构操作风险管理水平,有利于强化机构监管、行为监管、功能监管、穿透式监管、持续监管。下一步,将进一步发挥行业协会的自律和服务作用,协助引导银行保险机构持续提高操作风险管理水平。
上一篇:严防学科类培训隐形变异