2023年7月28日,国家金融监督管理总局就《银行保险机构操作风险管理办法(征求意见稿)》(以下简称《办法》)公开征求意见。《办法》以国内银行保险机构在操作风险管理方面的良好做法为基础,吸取了巴塞尔银行监管委员会操作风险管理最新规则,对银行保险机构操作风险管理提出新要求。
根据《办法》的定义,操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。对于保险机构而言,操作风险是日常经营中面临的常见风险,随着行业发展,操作风险防控形势日趋复杂,骗保等理赔欺诈、销售误导造成纠纷、虚假承保等操作风险事件频发,造成保险企业损失,还容易引发保险企业声誉风险。
从标题和内容上看,《办法》着眼于银行和保险机构操作风险管理领域的通用性要求,体现了“求同存异”的思路。从政策沿革的角度,《办法》是对2007年发布的《商业银行操作风险管理指引》的修订。此次修订首次将保险企业纳入了适用范围,并提出境内设立的保险集团(控股)企业和再保险企业等机构参照实行。同时,《办法》也充分考虑了银行和保险机构在业务流程和操作风险管理上的差异,明确指出保险企业不适用风险计量、计提资本等方面的要求。
银行和保险机构在操作风险相关等资本(偿付能力)监管要求上确有区别。由于操作风险与金融机构资产负债并无直接的量化关系,对操作风险的计量是存在一定困难的。银行业在资本监管要求上,将操作风险作为三大风险之一,根据银行业务规模计算操作风险加权资产,用资本覆盖操作风险。相比之下,保险机构偿付能力监管将操作风险作为第二支柱定性监管要求,将保险企业的操作风险纳入风险综合评级予以评估。《保险企业偿付能力监管规则》第11号、第12号要求保险企业建立操作风险管理制度、治理架构,开展操作风险识别、评估、控制、监控、报告,开发操作风险管理工具并构建信息系统,建立了保险企业操作风险管理框架。
《办法》积极借鉴了近年来国际监管规则的最新理念。在银行方面,巴塞尔协议Ⅲ对操作风险损失数据收集和应用提出了明确要求,2021年,巴塞尔银行监管委员会还修订了《操作风险管理的稳健原则》,发布了《运营韧性原则》。此次《办法》也吸取了上述国际标准,首次在我国监管规则中提出运营韧性的概念,引入控制与保证框架、基准比较分析等新工具。将相关要求适用于银行和保险机构,体现了国际监管的先进理念及国际金融同业的良好做法,对于提升我国金融机构的操作风险管理水平具有重要参考和借鉴价值。
银行资本监管一直将操作风险作为三大风险之一进行资本计提,部分大型银行此前更是做了操作风险高级计量方法的相关准备,在建立操作风险管理架构流程、建立操作风险损失数据库并开展损失数据收集等方面具有一定经验。保险机构通过《保险企业偿付能力监管规则》的落地实施,在偿付能力评估上体现了操作风险要素,也相应建立起操作风险管理框架,进行风险识别与分析,建立和应用操作风险损失事件库和操作风险关键指标库,建立操作风险管理报告机制等。但与银行机构良好实践和《办法》提出的较高要求相比,还存在一定差距。
此次《办法》明确指出,银行保险机构应当建立与业务性质、规模、复杂程度和风险特征相适应等操作风险管理基本制度。同时,根据银行保险机构的规模和业务特点,在监管要求和实施进度上分类施策。参照前期监管规定的制定恢复和处置计划机构的认定标准,划分规模较大和规模较小的银行保险机构。对于规模较小的机构,适当简化要求,降低合规成本,例如,明确可不设立操作风险管理专岗,不强制要求建立独立的操作风险管理信息系统,在实施操作风险管理架构和职责、风险管理基本要求等方面给予一定过渡期安排。
对于保险机构而言,《办法》后续实施还有大量准备工作。保险机构需对标《办法》要求,结合自身业务性质、规模、复杂程度和风险特征,梳理与规则要求以及良好实践做法的差距,补齐内部管理框架和制度短板,推动操作风险管理不断提升。对于规模较大的保险机构,建设操作风险管理相关信息系统、开展量化分析、探索业务连续性与运营韧性管理等工作将是下一步合规重点。
转载自《中国银行保险报》“北大保险评论”栏目第829期,2023年10月25日