2023年7月28日,国家金融监管总局办公厅公布了《银行保险机构操作风险管理办法(征求意见稿)》,并向社会公开征求意见。
操作风险是银行保险机构经营管理中面临主要风险之一。早在2007、2008年,原银监会、保监会分别公布施行了《商业银行操作风险管理指引》《保险公司偿付能力监管规则》,对银行保险机构的操作风险进行了具体规定。《商业银行操作风险管理指引》是银监会对银行操作风险专门制定的监管规则,而保险机构的操作风险则作为《保险公司偿付能力监管规则》的一部分进行规定。总体而言,在分业监管阶段,银行的操作风险监管规则相较于保险机构而言较为完善。
《银行保险机构操作风险管理办法(征求意见稿)》(以下简称“《办法(征求意见稿)》”)是国家金融监管总局挂牌后,首次对银行保险机构操作风险监管规则进行整合,并根据操作风险防控新形势、银行保险机构在操作风险管理实践中的经验与不足,以及最新的国际规则修订的监管规则。
本文将对《办法(征求意见稿)》中的合规要点进行简要解读。
明确操作风险管理的四大基本原则
《办法(征求意见稿)》明确操作风险管理的四大基本原则:审慎性原则、全面性原则、匹配性原则与有效性原则。其中,有效性原则在《商业银行操作风险管理指引》中有所体现,审慎性、全面性与匹配性则是本次新增的原则。
Ø审慎性原则。操作风险管理中的审慎性原则与审慎监管、审慎经营中的“审慎”不同。操作风险管理中的审慎性原则更加强调风险管理的风险意识,即“抓前端、治未病”,不断提升前瞻性,这是新时代依法治企的先进理念。
Ø全面性原则。《办法(征求意见稿)》强调操作风险管理应当实现各业务条线、各分支机构,所有部门、岗位、员工和产品,贯穿决策、执行和监督全部过程的全面覆盖。
Ø匹配性原则。匹配性原则要求操作风险管理不搞“一刀切”,坚持实事求是,操作风险管理体系、管理资源要做到与机构发展战略、经营规模、复杂性和风险状况相适应,并根据情况变化及时调整。
Ø有效性原则。有效性原则要求银行保险机构的操作风险管理措施要有实效,将操作风险控制在可承受范围之内。
首次将网络安全、数据安全纳入操作风险管理的范畴
随着网安法、数安法、个保法的出台,我国构建了以这“三驾马车”为基础的数据合规体系。近期,央行拟出台《中国人民银行业务领域数据安全管理办法》,并已对社会公开征求意见。金融领域中的网络安全与数据安全问题是我国数据安全治理中的重点内容之一,《办法(征求意见稿)》第五条规定了要统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制,第二十九条明确要求银行保险机构应当制定数据安全管理制度,对数据进行分类分级管理,这是数据合规在操作风险中的具体要求。此外,《办法(征求意见稿)》还要求重点加强个人信息保护,规范数据处理活动,促进依法合理利用数据。
数据合规的核心是数据的依法合理利用。数据作为新型的生产要素,能够带来巨大的经济价值和社会价值。数据的不同利用行为,既可以带来正面价值,也可以带来负面价值。银行保险机构掌握着我国最大的金融数据,需要更加重视网络安全与数据安全管理,履行金融数据的安全管理主体责任。
当前,保险机构的数据合规治理主要集中在个人信息保护方面,《办法(征求意见稿)》将网络安全管理与数据安全管理作为银行保险机构的操作风险管理内容,银行保险机构应当愈加重视数据合规的重要性。随着金融领域数据合规监管法规的出台与监管体系的完善,数据安全管理将成为银行保险机构的日常管理制度。
明确银行保险机构操作风险的治理体系
《办法(征求意见稿)》从公司治理、公司管理与外部审计监督三个层面构建了银行保险机构的操作风险治理体系。
(一)公司治理层面:明确“董监高”的操作风险管理职责
明确“董监高”的操作风险管理职责,实际上是公司治理体系和治理能力现代化在银行保险机构操作风险管理方面的具体体现。在现代化的公司治理体系中,“董监高”根据其角色承担不同的责任。操作风险管理作为银行保险机构公司治理的一部分,“董监高”同样需要相应承担起不同的责任。具体而言:
Ø董事会:《办法(征求意见稿)》第七条明确要求银行保险机构董事会应当将操作风险作为本机构面对的主要风险之一,并承担操作风险管理的最终责任。由此可见,银行保险机构董事会是操作风险管理的最终责任主体。
Ø监事(会):设立监事(会)的银行保险机构,其监事(会)应当承担操作风险管理的监督责任,负责监督检查董、高的履职尽责情况,及时督促整改,并纳入监事(会)工作报告。
Ø高级管理层:银行保险机构高级管理层应当承担操作风险管理的实施责任。
(二)公司管理层面:建立操作风险管理的三道防线
Ø第一道防线:包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。
Ø第二道防线:包括负责各级操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。需要特别说明的是,只有一级分行(省级分公司)及以上的银行保险机构,才需要设立操作风险管理专岗,一级分行(省级分公司)以下的银行保险机构无需设立操作风险管理专岗。第二道防线担负着银行保险机构操作风险管理的管理、指导和监督功能。一级分行(省级分公司)及以上的银行保险机构可以将操作风险管理专岗设立在风险与合规部。
Ø第三道防线:各级内部审计部门对第一、二道防线履职情况及有效性进行监督评价。第三道防线实际上是银行保险机构的内部监督。
(三)外部审计监督
《办法(征求意见稿)》第十五条规定,规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价,并向金融监管总局或其派出机构报送外部审计报告。
规模较大的银行保险机构是指:
1.银行机构:按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的;
2.保险机构:按照并表口径(境内外)表内总资产达到2000亿元人民币(含等值外币)及以上的。
未达到上述标准的,则为规模较小的银行保险机构。
建立操作风险情况和重大操作风险事件报告机制
(一)操作风险管理报告机制
Ø内部定期报告机制。第一道防线应当向上级对口管理部门和本级操作风险管理部门报告,各级操作风险管理部门汇总本级及所辖机构的情况向上级操作风险管理部门报告。
Ø外部定期报告机制。银行保险机构应当在每年四月底前按照监管职责归属向金融监管总局或其派出机构报送前一年度操作风险管理情况。
(二)重大操作风险事件报告机制
Ø重大事件内部报告机制。《办法(征求意见稿)》规定,要及时向董事会、高级管理层、监事(会)和其他内部部门报告重大操作风险事件。
Ø重大事件外部报告机制。《办法(征求意见稿)》规定,银行保险机构应当在知悉或者应当知悉所规定的八类重大操作风险事件5个工作日内,按照监管职责归属向金融监管总局或其派出机构报告。需要特别说明的是,除了传统的损失、刑事事件之外,所列情形还将重要信息系统、信息安全事件、公民个人信息安全和合法权益事件等数据合规领域的操作风险事件纳入重大事件外部报告机制当中。
风险管理与合规部门应关注的法律风险
根据《办法(征求意见稿)》规定,操作风险所包括的法律风险为:1.合同可能被依法撤销或者确认无效的风险;2.银行保险机构依法可能承担的民事赔偿责任;3.银行保险机构依法可能承担刑事责任或者行政责任。
银行保险机构的风险管理与合规部门应当重点关注前述三类法律风险,加强事前审查,做好事中、事后的管理。
