查看原文
其他

《银行保险机构操作风险管理办法(意见稿)》概览

官振鸣 商法CBLJ
2024-08-26

专家策略


官振鸣


正策律师事务所

高级合伙人


随数十年金融业务全球化、金融创新以及信息技术迅猛发展,巴塞尔银行监管委员会于2004年《新资本协议》中将操作风险纳入资本监管范畴。原中国银监会亦一并参考国际监管经验,于2007年5月发布了《商业银行操作风险管理指引》(下称《指引》)开展相关监管工作。随近年来,操作风险的防控形势愈加复杂,且日渐成为金融机构风险防控的主要风险之一,因原规定难以满足风险管理现实需要,国家金融监督管理总局近日发布了《银行保险机构操作风险管理办法(征求意见稿)》(下称《意见稿》),对原规定进行了一定修订、完善。


操作风险

关于对操作风险的定义,无论是《新资本协议》,亦或是从《指引》到《意见稿》,虽措辞上有所微调,然对其定义基本一致,即因内部程序、员工、信息科技系统存在的问题及外部事件而造成损失的风险(包括法律风险,但不包括战略风险和声誉风险)。


值得注意的是,在维持操作风险包含法律风险的基础上,《意见稿》较之《指引》明确了违反监管规定承担的行政责任或者刑事责任亦在此限。参照原中国银监会在《指引》中对“商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性”的有关描述,新规明确合规风险可属操作风险的一部分,将为各金融机构风险有机统一管理进一步提供了指引。


合规要点

贯彻审慎性、全面性、匹配性、有效性四原则。银行保险机构应将风险为本的理念贯彻至自身活动的全过程,并基于自身情况有效处理所面临的操作风险。《意见稿》虽对当前银行保险机构的操作风险防范予以了清晰界定与明确规定,然而,未来伴随金融科技发展与银行保险机构的数字化转型,仍将不断出现新问题。届时,在监管提出全新要求的同时,银行保险机构仍需以四原则为出发点,切实防范、控制操作风险。


确保董事会、监事会、高级管理层切实履行操作风险管理职责。《意见稿》进一步明确董事会、监事会、高级管理层的职责,要求三者协调配合共同防范操作风险。其中,董事会承担风险管理的最终责任;监事(会)应当承担操作风险管理的监督责任;高级管理层承担操作风险管理的实施责任。最值得关注的是,银行保险机构应根据《意见稿》建立操作风险管理内部年度报告制度,高级管理层每年至少应向董事会提交一次操作风险管理报告,并报送监事(会),董事会每年至少审议一次该报告。


及时建立操作风险管理的三道防线。《意见稿》将金融机构风险控制实践总结的“三道防线”理论引入操作风险管理工作。各级业务和管理部门作为第一道防线,直接承担和管理操作风险;牵头部门作为第二道防线,负责管理和计量操作风险,指导、监督第一道防线的操作风险管理工作;各级内部审计部门作为第三道防线,负责监督评价第一、二道防线的履职情况及有效性。同时,三道防线之间及各防线内部应当建立完善风险数据和信息共享机制。


引入外部审计和评价机制。自《指引》起,监管机构便积极支持第三方机构参与操作风险管理工作,鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。本次《意见稿》直接明确要求规模较大的银行保险机构必须委托第三方机构对其操作风险管理情况进行审计和评价,以保障在第三方监督下操作风险管理工作的公正性与科学性。


加强数据安全管理。近年来,各部门围绕《数据安全法》《个人信息保护法》出台了一系列文件,数据安全及个人信息保护已成为时代热点。《意见稿》紧跟时代需求,要求银行保险机构对数据进行分类分级管理并采取保护措施。此外,《意见稿》强调个人信息保护问题,专门提出银行保险机构应当规范数据处理活动,以促进依法合理利用数据。


自觉主动接受监管。银行保险机构应《意见稿》的规定,积极主动配合监管机构的监管工作,包括但不限于:向监管机构或其派出机构报送外部审计报告、按照监管机构的规定披露操作风险管理情况及损失数据等相关信息、在知悉或者应当知悉重大操作风险事件五个工作日内,按照监管职责归属向监管机构或其派出机构报告。


结语

银行保险机构应高度重视《意见稿》的相关内容,积极应对新的监管规定与监管要求,提前做好正式稿出台的准备,以实现有效防范操作风险,降低损失,提升对内外部事件冲击的应对能力,并为机构稳健运营提供有效保障。



作者 | 正策律师事务所高级合伙人官振鸣


本文刊载于《商法》2023年7月/8月双月刊。如欲阅读电子版,欢迎浏览《商法》官网。

往期专栏精选



长按扫码关注我们

为了让您第一时间获取专业法律资源

请常点“在看”

并将CBLJ 商法设为星标


阅读原文查看更多正策律师事务所的相关内容

继续滑动看下一个
商法CBLJ
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存