7月28日,国家金融监督管理总局就《银行保险机构操作风险管理办法(征求意见稿)》(下称《办法》),向社会公开征求意见。
《办法》共六章五十条及附录,包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则。
【资料图】
金融监督管理总局强调,操作风险是银行保险机构经营管理中面临主要风险之一。《办法》明确,操作风险是由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。
《办法》主要内容包括:
明确了董监高管理层风险治理和管理责任。银行保险机构董事会承担操作风险管理的最终责任;监事(会)负责监督检查董事会和高级管理层的履职尽责情况,及时督促整改,并纳入监事(会)工作报告;银行保险机构高级管理层应当承担操作风险管理的实施责任。
《办法》指出,银行保险机构应当建立操作风险管理的三道防线。第一道防线包括各级业务和管理部门,是操作风险的直接承担者和管理者,负责各自领域内的操作风险管理工作。第二道防线包括负责各级操作风险管理和计量的牵头部门,指导、监督第一道防线的操作风险管理工作。第三道防线是各级内部审计部门,对第一、二道防线履职情况及有效性进行监督评价。
《办法》规定了风险管理的基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制,建立健全操作风险的管理信息系统,培育良好的操作风险管理文化。风险管理考核评价指标应当兼顾操作风险管理过程和结果,薪酬和激励约束机制应当有效反映考核评价结果。规定操作风险管理的培训和信息披露要求。
《办法》细化了管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求,建立操作风险情况和重大操作风险事件报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具,强化变更管理。
《办法》完善了监督管理职责。规定金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性。针对监管发现的有关问题,监管部门应当要求银行保险机构及时整改。规定重大操作风险事件报告的具体要求。要求行业协会发挥自律和服务作用。
此外,《办法》还区分规模实行差异化监管。参照制定恢复和处置计划机构的认定标准,《办法》划分规模较大和规模较小的银行保险机构,分别适用差异化的监管要求:鼓励规模较大的机构提升运营韧性;不强制要求银行保险机构建立独立的操作风险管理信息系统,但要求其相关信息系统应具备操作风险管理功能;明确规模较小机构的第二道防线部门可不设立操作风险管理专岗,并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年过渡期。
据了解,此次《办法》是银行保险机构适用统一的监管规则。不过,考虑到保险行业未将操作风险作为可量化风险进行管理,规定保险机构不适用风险计量、计提资本等方面要求,明确保险集团(控股)公司、再保险公司等参照执行。
关键词: