《银行保险机构操作风险管理办法》中的“三个锦囊”
交织在一起
交织在一起。扎实做好操作风险管理始终是商业银行强基固本、行稳致远的关键所在。
近日,国家金融监督管理总局制定出台《银行保险机构操作风险管理办法》,为商业银行加强和完善操作风险管理指明了方向、提出了要求。商业银行应积极主动将监管要求转化为内部行动,促进业务高质量发展。
与2007版的《商业银行操作风险管理指引》(以下简称《指引》)相比,新规在保持操作风险基本内涵不变的前提下作出重大调整,既从整体上重构了操作风险管理框架,又细化明确了治理与管理责任、管理流程和方法,较好满足了当前商业银行操作风险管理的需要。
新规坚持从实践中来,到实践中去,既对标国际监管实践,也对标国内银行良好做法,还适应和针对商业银行面临的风险挑战,从而为新时期商业银行操作风险管理树立新标杆。
如近年来,金融市场受疫情、主要经济体经济不景气影响,复杂性、脆弱性加深,产品、期限、技术、交易模式等风险交叉,银行机构风险事件和案件呈现多发态势;金融科技对银行业务和风险管理的渗透成为管理难点。新规对此进行了回应,要求加强运营韧性、业务连续性、重大变更、数据安全管理以及压力测试,积极拓展管理工具。
新规至少可以从3个方面提供指导,为商业银行建立完善操作风险管理体制机制提供了监管标准:
一是明确管理框架,详细规定了“两会一层”、“三道防线”、专业部门、附属机构、分支机构的管理职责;从制度建设、风险偏好、信息系统、风险文化、教育培训、考核评价、信息披露等7个方面提出基本要求。
二是细化管理流程方法,明确识别评估、控制缓释、监测报告、资本计提等全流程管理关键环节要求,并将内部控制作为重要手段,还专门提出业务连续性、业务外包、数据安全等重点领域的管理要求,在附则中明确相关定义和示例。
三是允许差异化管理,不同类型机构、不同规模机构适用不同的管理要求、不同的过渡期。
防控风险是金融工作的永恒主题。新规与中央金融工作会议精神高度契合,提出审慎性、全面性、匹配性、有效性管理原则,强调了风险为本的理念,要求重视风险苗头和潜在隐患,有效识别不利影响因素,配置充足资源,及时采取措施,提高前瞻性。此外,新规还详细规定了检查评估、整改通报、行政处罚等监管措施、监管手段。
因此,贯彻落实新规,既是监管要求,又是促进自身健康发展的客观需要,更是贯彻中央金融工作会议精神的基础工作和重要抓手。
《指引》颁布后,国内银行机构都加强了操作风险管理体系建设,操作风险管理工作稳步有序推进,不断夯实操作风险管理基础。
以中国农业银行为例,早在2007年就在总行设立了专门管理处室,在审慎型风险偏好引领下,逐步建立了覆盖5级机构的组织体系、较为健全的制度体系、功能齐全的信息系统;坚持全流程管理,有效运用“三大”工具,突出抓好法律、IT、案件、外包、模型等子类型风险管理,以及重点业务领域、关键控制环节、重大操作风险事件管理,狠抓风险文化培育等基础性工作。
但同时也要看到,国内银行机构操作风险管理不平衡性还比较突出,有的资源配置不够到位,有的管理体系不够健全,有的管理工具创新不足,有的管理有效性有待提升,以致于造成巨额损失、重大影响,甚至极端后果。
尤其需要关注的是,当前经济社会形势复杂多变,数字化转型深入推进,员工异常行为持续演变,资本约束、监管约束、市场约束加剧,都给银行机构操作风险管理带来新挑战,操作风险管理体系必须因势而变、顺势而为、与时俱进。
银行机构应当坚持目标导向、问题导向,坚持风险为本理念,以贯彻落实新规为契机,结合中央金融工作会议精神、《商业银行资本管理办法》等监管新政策,找到问题所在,明确工作重点,加快推进工作转型升级。
至少需要开展三方面的工作:一是开展系列宣传贯彻活动,如专题培训、集中研讨、同业交流等,统筹融入本机构风险合规文化建设。
二是做好外规内化、内规建设。围绕新规要求,及时修订完善基本制度、专项制度、业务流程、信息系统。
三是持续强基固本。全面开展对比分析,建立差距清单,明确工作任务、推进措施、完成时限、负责部门,实施项目化管理、销号管理,尤其是要抓好重点任务的落地实施。
新规条文多、变化大、要求高,加上操作风险本身涉及广、风险来源多、管控重点差异大,银行机构在全面贯彻新规,健全管理体系的同时,要关注以下重点事项:
坚持把管理资源优先配置到风险较高的机构或领域,推进组织体系建设,细化明确“两会一层”、“三道防线”、各级机构管理职责,配好管理专岗和专职人员,做实常态化“双线”报告。
适应数字化转型需要,持续推进管理集中、上收,对关键控制点加强机器控制,适度开展业务外包,健全数字化、集约化管理体系,加强对基层机构的穿透式管理,减少重复建设,防止战略传导层层衰减。
同步贯彻《商业银行资本管理办法》,坚持以“计量”促“管理”,以经济资本的节约展示管理成效,传导风险管理要求。
坚持开展风险文化培育,推动全行树牢认识风险、经营风险、管理风险意识,增强管理内生动力。
加强风险偏好引领,明确定性、定量指标,嵌入经营管理全过程,树牢操作风险管理基调。
坚持用好操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具,积极运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具,推动与案防合规领域监测工具结合。
坚持把内部控制作为操作风险管理的主要抓手,推动各级机构、各条线围绕内部控制“五要素”,加强内控机制建设和自我评价,夯实操作风险管理基础。
健全激励约束机制,坚持围绕过程与结果设计考核指标,表彰有效堵截案件、事件、主动或检举违法违规行为、积极防范化解风险的机构和个人;优化自查自纠机制,广泛征集内控建议,引领全行主动加强管理。
坚持做好运营韧性管理,推动操作风险管理与恢复处置计划、业务连续性、网络安全、数据安全、业务外包管理,有效应对“黑天鹅”“灰犀牛”事件。
坚持做好重大变更管理,围绕新产品研发、新机构设立、新商业模式拓展,流程、系统重大变革,认真开展风险事前识别评估。
突出抓好子类型风险管理,持续健全法律风险、IT风险、模型风险、外包风险管理机制;深入推进欺诈风险一体化防控,突出内控机制建设、员工行为管理,构建案件风险全链条防控体系。
坚持做好机构、条线风险合规画像,针对风险较高的分支机构、业务领域深入开展风险治理,实现业务发展、风险管理“两手抓、两手硬”。
加强监管合规能力建设,变被动接受监管为主动沟通汇报,定期分析监管机构对同业采取的监管措施,有效把握监管动向;高度重视监管检查、监管评级、监管通报、监管处罚中涉及的操作风险问题,有效运用内外部审计、一道防线自我检视、二道防线指导监督,推动操作风险管理改进。
全面及时报告重大操作风险事件情况,及时报告操作风险管理基本制度、年度操作风险管理情况,积极依规披露操作风险管理情况和损失数据,自觉接受监管机构、资本市场、社会公众的检验,以高质量的操作风险管理推进业务高质量发展。