为进一步完善银行保险机构操作风险监管规则,提升银行保险机构的操作风险管理水平,金融监管总局对《商业银行操作风险管理指引》进行了修订,形成《银行保险机构操作风险管理办法》(下称《办法》)。《办法》于2023年12月29日正式对外发布,并将于2024年7月1日起施行。信托公司、消金融公司等均将参照执行。

  有研究机构认为,《办法》的出台将是银行保险机构实现自身差异化风险管控能力提升的重要契机;也必将推动银行保险机构对其整个操作风险管理体系进行新一轮的升级。

  所谓“操作风险”主要是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。据悉,操作风险已经成为银行保险机构经营管理中面临主要风险之一。

  据金融监管总局有关司局的负责人介绍,近年来,操作风险防控形势更加复杂,原有监管规定难以满足风险管理的现实需要,操作风险管理相关的国际规则也进行了修订、完善,有必要结合我国实践,对原有监管规定进行全面修订。

  2023年7月《办法》面向社会公开征求意见,在近半年的时间里,金融监管总局共收到建议近200条。据悉,大部分建议已被采纳,包括调整外部审计和评价的频次,对规模较大的保险机构给予一年过渡期,兼顾保险机构实施操作风险评估的差异,调整行业协会职责等。部分建议属于理解不同,《办法》在附录中进行了解释,主要是操作风险偏好指标、操作风险披露机制和考核评价机制等内容。但少数未采纳建议,主要是要求删除数据安全相关条款、保险公司无需开展操作风险压力测试等项内容。

  值得关注的是,《办法》整合原有银行机构和保险机构的操作风险监管规则,明确统一适用于银行保险机构的基本要求。同时,《办法》区分银行机构和保险机构、规模较大和规模较小的机构,分别适用差异化的监管要求,具体包括:

  规定保险公司不适用风险计量、计提资本等方面要求;给予规模较大的保险机构在实施操作风险管理架构和职责、风险管理基本要求方面一年过渡期;明确消金融公司、保险集团(控股)公司、再保险公司等,均将参照执行;鼓励规模较大的机构提升运营韧性;明确规模较小的机构一级分行(省级分公司)的第二道防线部门可豁免设立操作风险管理专岗或专人,并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。

  普华永道特别提示,在整个行业特色化、差异化转型发展的大趋势下,《办法》的出台将是银行保险机构实现自身差异化风险管控能力提升的重要契机。因此,银行保险机构需提早准备、尽快行动,实现合规达标及操作风险管理能力提升的双重目标。

  事实上,在2023年7月《办法》的征求意见稿发布后,由于其首次界定了银行保险机构操作风险管理的“三道防线”机制(如下图所示),而受到业内的关注。德勤对此认为,《办法》充分体现了公司治理的领先理念,为银行保险金融机构操作风险管理明确了顶层风险治理架构,并厘清了各层级、各条线、各部门、各机构的管理责任。

  普华永道亦提出,当前金融机构面临的内外部经济环境不断变化、新技术运用不断纵深,新的业务模式也带来外包风险、业务连续性风险、信息安全风险等新的风险场景和管理难点,对金融机构原有操作风险管理体系提出新的挑战。《办法》必将推动银行保险机构对其整个操作风险管理体系进行新一轮的升级。

  需要注意的是,《办法》所称银行保险机构,是指在中华人民共和国境内依法设立的商业银行、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行、保险公司。

  除此之外,中华人民共和国境内设立的外国银行分行、保险集团(控股)公司、再保险公司、金融资产管理公司、金融资产投资公司、信托公司、金融租赁公司、财务公司、消费金融公司、汽车金融公司、货币经纪公司、理财公司、保险资产管理公司、金融控股公司以及国家金融监督管理总局及其派出机构监管的其他机构,均将参照《办法》执行。