2023年10月30日至31日,中央金融工作会议在北京召开,这次会议明确“以全面加强监管、防范化解风险为重点”,要求坚决做到“既要有防风险的先手,也要有应对和化解风险挑战的实招”。在部分金融机构风险事件频发、新一轮金融监管改革开启、中央金融工作会议重磅定调的背景下,如何做到操作风险管控前置、管理向实和管理提质,成为各类金融机构讨论的热点话题。
7月28日,国家金融监督管理总局公布的《银行保险机构操作风险管理办法(征求意见稿)》(下称《办法》)充分参考、吸收了国内金融机构的实践与探索、国际监管规则的修订与完善,旨在促进银行保险机构操作风险管理的规范化,进一步提高我国金融保险机构在复杂风险防控形势之下的运营韧性。毕马威认为,《办法》根据机构规模的分类施策管理要求,意在督促不同规模的银行机构结合自身操作风险管理突出特征和问题,总体把握操作风险管理体系稳步提升的重心与步调。
一、商业银行操作风险管理突出特征与问题
毕马威基于国内商业银行操作风险管理体系建设与应用的情况,对国内商业银行操作风险管理普遍实践进行了总结,划分为起步型、基础型、进阶型三个类型,各类型操作风险管理体系的典型特征与提升机会总结如下:
图1:国内商业银行操作风险管理特征概述图
表1:国内商业银行操作风险管理难点与问题
二、商业银行操作风险新规的应对策略
以终为始,谋定而后动。各商业银行应基于自身业务规模、业务复杂程度、风险管理沿革情况等要素,确定操作风险新规的应对策略。根据所处管理阶段和体系成熟度的不同,毕马威将不同商业银行操作风险管理体系建设目标分别定义为基础、进阶、战略,各商业银行可以此为总览,明确实现操作风险新规达标、提升操作风险管理质效的实施路径。
图2:操作风险管理目标进阶图
1、基础目标
合规遵循,全面满足监管底线要求
以“合规遵循”为目标的商业银行,其基础应对策略可概括为“充分解读,全面响应”。基于自身管理现状,结合操作风险新规要求,厘清操作风险管理架构与职责体系,构建操作风险管理基本要素,落实操作风险管理流程和方法。其中,应重点关注风险偏好与传导、管理流程与工具、信息系统建设三个方面。
风险偏好与传导
在整体风险偏好下以定量、定性相结合的指标确定操作风险偏好将成为商业银行的必备之举,如操作风险损失率、案件损失率、关键系统可用率、监管处罚金额等,并通过风险限额、绩效考核、政策制度、指标监测等手段向业务条线、分支机构等基本经营单位分解落实,以融入到日常经营管理当中。
管理流程与工具
流程与工具是操作风险管理的抓手,商业银行应以操作风险管理三大工具为突破口,构建完整的工具运行机制和管理实施标准,保证三大工具在行内的持续运行。同时,商业银行应在全行压力测试管理框架内,建立具备落地指导意义的操作风险压力测试机制,构建压力测试情景库,扎实推进压力测试工作开展。
信息系统与数据
信息系统是流程与工具运行的载体,商业银行应综合考虑资本新规、《办法》的合规要求,梳理形成完整的合规时间表,有序推进操作风险管理信息系统的建设与改造。合规目标之下,商业银行操作风险管理信息系统建设应重点关注流程线上化与数据沉淀,一方面支持主要操作风险管理流程的线上化与便捷化;另一方面沉淀包括风险与控制数据、指标数据、损失数据等在内的数据资产,提前布局资本新规验收与风险防控增效。
2、进阶目标
精细管理,有效提升风险防控质效
以“精细管理”为目标的商业银行,应在原有操作风险管理体系基础上,充分识别操作风险管理转型的“加速器”,精准结合业务创新、管理变革相关诉求,精进操作风险管理能力,推动操作风险管理分工明确到岗、管控具体到事、决策落实到点、责任落实到人。
深入挖掘工具应用
操作风险新规中所定义的“其他操作风险管理工具”并非完全意义上的工具创新,商业银行可将“其他工具”创新实施与“三大工具”应用拓展相结合,以“其他工具”深化“三大工具”应用质效,实现操作风险“看得见” 、“管得住”。例如,以事件管理推动操作风险损失数据收集的闭环式管理,以问题发现推动管理提升,防止同类损失重复产生;以基准比较分析打通“三大工具”之间互相验证的通道,识别可能存在的风险评估失真、指标不敏感、损失数据错报漏报等情况。
全面布局整合管理
商业银行不应“就操作风险谈操作风险”,应以价值共建为目标、架构协同为核心、流程集成为纽带、数据共享为基础,构建全面打通的操作风险防控体系。
以价值共建来看,商业银行应全面贯穿内控管理、合规管理、员工行为管理、业务连续性管理等体系与操作风险管理体系,形成联防联控、共商共建的操作风险防控价值链。
以架构协同来看,商业银行应以统一目标关注三道防线在操作风险管理中的定位与诉求,实现分工明确、有机整合的职责体系。
以流程集成来看,商业银行应全面梳理管理手段,将各项管理流程串联起来,例如打通操作风险管理与整改问责机制,实现闭环管理,有机整合操作风险排查、内控合规检查、员工异常行为识别、案件风险排查等流程精准定位操作风险等,构建形成“企业级”的操作风险管理工具箱。
以数据共享来看,则应依托流程集成、锚定价值输出,建立数据标签统一语言、打通数据壁垒互帮互助、促进多维数据分析精准应用,实现从“发现损失”到“发现风险”的过渡。
精准探索价值输出
商业银行应基于自身经营管理决策、业务产品创新、机构考核评价、员工行为管控的诉求,探索操作风险管理输出价值的渠道和方式,如以管理驾驶舱识别重点操作风险领域、以产品画像定位操作风险事件频发的产品特征、以机构画像呈现风险管控全貌与个性特征、以员工档案与画像识别高风险岗位和高风险员工特征,达到精准触达管理重点、有效匹配管理资源、快速推动管理提升的效果。
3、战略目标
商业银行应基于自身经营管理决策、业务产品创新、机构考核评价、员工行为管控的诉求,探索操作风险管理输出价值的渠道和方式,如以管理驾驶舱识别重点操作风险领域、以产品画像定位操作风险事件频发的产品特征、以机构画像呈现风险管控全貌与个性特征、以员工档案与画像识别高风险岗位和高风险员工特征,达到精准触达管理重点、有效匹配管理资源、快速推动管理提升的效果。
新兴技术应用
在综合考虑新技术应用成熟度和内部管理诉求的基础之上,挖掘应用场景,深入探索金融科技工具对操作风险管理全链路有序运转的助力。例如,通过智能视频分析技术精准识别并快速处置基层经营机构正在发生的违规操作、借助智能问答机器人开展一对一的操作风险管理教学。
管理工具蜕变
商业银行可通过规则模型的应用构建非现场监测体系,实现对于KRI监测手段的有效补充;亦可通过复杂数据分析与机器学习的结合,构建操作风险评估模型,提升风险事件诊断的时效性与客观性。总之,以主动管理、精准管理、便捷管理为目标,结合新工具方法与新技术应用,推动管理工具箱迭代升级,实现操作风险管理质效的全面提升。
管理价值赋能
商业银行应理顺操作风险管理与业务发展的协同关系,丰富操作风险管理机制输出内容、拓展输出形式。例如,通过知识图谱打造操作风险管理知识图书馆,实现数据向知识的转变;构建“外规-制度-风险-业务-机构-员工-账户-客户”等多维风险防控链条,实现操作风险管理从散点式结果分析向立体式数据应用转变,从检查审查向预警预判转变,从业务约束向业务赋能转变,从成本单元向价值单元转变。
操作风险监管体系的变化是挑战,亦是机遇,各商业银行应深谋远虑,以目标为导向有序开展体系优化相关工作。毕马威长期致力于为各类型金融机构操作风险管理赋能,深入研究行业监管动态,基于丰富的项目经验和深度积累形成操作风险管理体系建设与转型方案,助力金融机构稳步推进操作风险管理体系建设与转型。