7月28日,国家金融监督管理总局就《银行保险机构操作风险管理办法(征求意见稿)》(下称《办法》),向社会公开征求意见。
(资料图)
作为银行面临的主要风险之一,操作风险主要是由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险,主要是内生性风险。所谓操作风险事件,是指由操作风险引发,导致银行保险机构发生实际或者预计损失的事件。银行保险机构分别依据商业银行资本监管规则和保险业偿付能力监管规则进行损失事件分类。
《办法》共六章五十条及附录,包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则,主要内容包括:
一是明确风险治理和管理责任。优化董事会在公司治理中的作用,明确监事(会)监督职责和高级管理层的执行职责。界定三道防线的具体范围和职责,特别是明确各级业务和管理部门均属于第一道防线范畴,要求在一级分行(省级分公司)及以上设置第二道防线的操作风险管理专岗。要求压实分支机构和附属机构的责任。
二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制,建立健全操作风险的管理信息系统,培育良好的操作风险管理文化。风险管理考核评价指标应当兼顾操作风险管理过程和结果,薪酬和激励约束机制应当有效反映考核评价结果。规定操作风险管理的培训和信息披露要求。
三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求,建立操作风险情况和重大操作风险事件报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具,强化变更管理。
四是完善监督管理职责。规定金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性。针对监管发现的有关问题,监管部门应当要求银行保险机构及时整改。规定重大操作风险事件报告的具体要求。要求行业协会发挥自律和服务作用。
按照《办法》,银行保险机构应当在知悉或者应当知悉重大操作风险事件5个工作日内,按照监管职责归属向金融监管总局或其派出机构报告。《办法》明确的重大操作风险事件包括:
(一)形成预计损失5000万元(含)以上或者超过上年度末资本净额5%(含)以上的事件;
(二)形成损失金额1000万元(含)以上或者超过上年度末资本净额1%(含)以上的事件;
(三)造成重要数据、重要账册、重要空白凭证、重要资料严重损毁、丢失或者泄露,已经或者可能造成重大损失和严重影响的事件;
(四)重要信息系统出现故障、受到网络攻击,导致在同一省份的营业网点、电子渠道业务中断3小时以上;或者在两个及以上省份的营业网点、电子渠道业务中断30分钟以上;
(五)因网络欺诈及其它信息安全事件,导致本机构或客户资金损失1000万元以上,或者造成重大社会影响;
(六)董事、高级管理人员、监事及分支机构负责人被采取监察调查措施、刑事强制措施或者承担刑事法律责任的事件;
(七)严重侵犯公民个人信息安全和合法权益的事件;
(八)员工发起、主导或者组织实施非法集资类违法犯罪的事件;
(九)其他需要报告的重大操作风险事件。
此前,原银监会2007年制定的《商业银行操作风险管理指引》施行后,对规范商业银行操作风险管理发挥了积极作用。《保险公司偿付能力监管规则》明确了对保险公司操作风险的管理要求,建立了保险公司操作风险管理的基本框架。
《办法》则整合了原有银行机构的操作风险监管规则与保险机构的操作风险管理要求,明确操作风险的治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理等基本要求统一适用于银行和保险机构。同时,考虑到保险行业未将操作风险作为可量化风险进行管理,规定保险机构不适用风险计量、计提资本等方面要求,明确保险集团(控股)公司、再保险公司等参照执行。
此外,《办法》还区分规模实行差异化监管。参照制定恢复和处置计划机构的认定标准,《办法》划分规模较大和规模较小的银行保险机构,分别适用差异化的监管要求:鼓励规模较大的机构提升运营韧性;不强制要求银行保险机构建立独立的操作风险管理信息系统,但要求其相关信息系统应具备操作风险管理功能;明确规模较小机构的第二道防线部门可不设立操作风险管理专岗,并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。
在规模标准的定义上,《办法》所称的规模较大的银行保险机构,是指按照并表调整后表内外资产(杠杆率分母)达到3000亿元人民币(含等值外币)及以上的银行机构,以及按照并表口径(境内外)表内总资产达到2000亿元人民币(含等值外币)及以上的保险机构。规模较小的银行保险机构是指未达到上述标准的机构。