区分规模差异监管 “三道防线”管控银保机构操作风险

转自：中国经营网

本报记者 慈玉鹏 北京报道

为进一步巩固防范化解金融风险攻坚战的成果，国家金融监督管理总局（以下简称“金融监管总局”）近日发布《银行保险机构操作风险管理办法（征求意见稿）》（以下简称“《办法》”）。

《办法》要求，银行保险机构建立操作风险管理的三道防线。其中，第一道防线包括各级业务和管理部门；第二道防线包括负责各级操作风险管理和计量的牵头部门；第三道防线是各级内部审计部门。

金融监管专家周毅钦告诉《中国经营报》记者：“原银监会2005年发布的《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》和2007年制定的《商业银行操作风险管理指引》已经年代久远，难以满足目前操作风险管理的现实需要。所以，结合国内银行保险机构的一些经验和教训，金融监管总局发布了上述《办法》。”

业内人士表示，部分中小金融机构操作风险管理工具和手段不健全，资源较为匮乏，缺少专业风险管理人才，难以有效实施操作风险的识别、管控等工作，风控能力与大型金融机构相差甚远。针对上述问题，记者注意到，《办法》通过区分规模实行差异化监管。例如，明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年的过渡期。

“三道防线”建设

操作风险是银行保险机构经营管理中面临的主要风险之一。原银监会2007年曾制定《商业银行操作风险管理指引》，对规范商业银行操作风险管理发挥了积极作用。金融监管总局相关人士表示，近年来，操作风险防控形势更加复杂，国内银行保险机构在操作风险管理方面既积累了一系列良好做法，也暴露出一些不足，操作风险管理相关的国际规则也进行了修订、完善，有必要对原有监管规定进行全面修订。

一位北京地区股份制银行人士表示，由于操作风险损失影响巨大，且对金融体系稳定存在潜在破坏，近二十年来，对操作风险的监管要求被紧密地嵌入到国际监管协议和各国监管框架之中。自巴塞尔委员会发布“巴塞尔协议Ⅱ”开始，操作风险被正式纳入资本计量统一框架，银行需要为操作风险配置充足的资本。近年来，巴塞尔委员会还组织制定了操作风险资本计量新规则，并随“巴塞尔协议Ⅲ”最终方案落地实施。

一位城商行人士表示，随着我国商业银行金融业务的不断发展与扩展，很多原有的风险管理考核手段已经不能满足现下大部分的业务管理，无法有效持续约束和监管商业银行中从业人员的违规性操作。部分银行的管理层没有对风险管理的相关制度给予充分重视，在制度不适应时未及时废止，且没有基于本行风险管控实际情况以及业务开展状况，制定与之相匹配适应的风险防控制度，降低了我国商业银行操作风险的管控能力。

记者注意到，相对此前发布的《商业银行操作风险管理指引》，《办法》进一步明确要求，银行保险机构应当建立操作风险管理的三道防线。其中，第一道防线包括各级业务和管理部门，是操作风险的直接承担者和管理者，负责各自领域内的操作风险管理工作；第二道防线包括负责各级操作风险管理和计量的牵头部门，指导、监督第一道防线的操作风险管理工作；第三道防线是各级内部审计部门，对第一、二道防线履职情况及有效性进行监督评价。

根据《办法》，第二道防线部门应当保持独立性，主要职责包括：在一级分行（省级分公司）及以上设立操作风险管理专岗，为其配备充足的财务、人力等资源；跟踪操作风险管理监管政策规定并组织落实；拟定操作风险管理基本制度、管理办法，制定操作风险识别、评估、计量、监测、报告的方法和具体规定；指导、协助第一道防线识别、评估、监测、控制、缓释和报告操作风险，并定期开展监督；每年至少向高级管理层提交一次操作风险管理报告；计量操作风险；开展操作风险管理培训；其他相关职责。

另外，第三道防线部门应当每三年至少开展一次操作风险管理专项审计，覆盖第一道防线、第二道防线操作风险管理情况，检查评估操作风险管理体系运行情况，并向董事会报告。内部审计部门在开展其他审计项目时，应当充分关注操作风险管理情况。

至于外部审计和评价，《办法》提出，规模较大的银行保险机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价，并向金融监管总局或其派出机构报送外部审计报告。

周毅钦告诉记者，《办法》对银行保险机构的主要影响有以下几点：

一是整个政策框架更加体系化，《办法》共六章五十条及附录，包括总则、风险治理和管理责任、风险管理基本要求、风险管理流程和方法、监督管理、附则，在风险治理结构、管理责任、监督管理要求等各方面强化了要求。

二是监管要求更加细化，规定了内部控制、业务连续性管理、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况、重大操作风险事件报告机制、应用操作风险损失数据库等三大基础管理工具以及新型工具，强化变更管理。

三是监督管理要求更加完善，新增了一部分重大操作风险事件报告的具体场景，明确监管措施和法律责任，要求行业协会发挥自律和服务作用。

差异化监管落实

金融监管总局相关人士表示，《办法》强调匹配性原则，操作风险管理应当体现多层次、差异化的要求，管理体系、管理资源应当与机构发展战略、经营规模、复杂性和风险状况相适应。

从管理工具上看，按照《办法》，银行保险机构应当运用操作风险损失数据库、操作风险自评估、关键风险指标等基础管理工具管理操作风险，可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等管理工具，或者开发其他管理工具。银行保险机构应当运用各项风险管理工具进行交叉校验，定期重检、优化操作风险管理工具。

值得注意的是，中小银行机构的操作风险管理工具和手段尚不健全、资源不足。某西南地区省联社风险管理相关部门人士表示，大部分农村中小银行规模较小，系统建设开发能力较弱，操作风险管理主要依赖审计监督和监控发现，偏重事后管理。操作风险管理工具和手段也不健全、资源不足，缺少操作风险管理信息系统平台，全面管理各类操作风险能力不足，难以有效实施操作风险的识别、管控、监测等工作。

该人士同时提及，中小银行缺少专业风险管理人才，农村中小银行受位置、经营规模等因素限制，风险管理部门设置较为简单，有效激励机制不足，资源配置不完善，对专业风险管理人才的吸引力较弱，尤其是对标实施“巴塞尔协议Ⅲ”的专业性风险管理人员极度匮乏。

针对不同规模机构操作风险管理能力具有差距的问题，金融监管总局提出，区分规模实行差异化监管。参照制定恢复和处置计划机构的认定标准，《办法》划分规模较大和规模较小的银行保险机构，分别适用差异化的监管要求。具体包括：鼓励规模较大的机构提升运营韧性；不强制要求银行保险机构建立独立的操作风险管理信息系统，但要求其相关信息系统应具备操作风险管理功能；明确规模较小机构的第二道防线部门可不设立操作风险管理专岗，并给予其在实施操作风险管理架构和职责、风险管理基本要求方面两年的过渡期。

上一页12下一页查看全部