高质量发展时期金融机构操作风险管理的升级与优化

‹#›数据资产价值评估白皮书 高质量发展时期金融机构操作风险管理的升级与优化 凡益之道与时偕行 目录 一、操作风险监管的演进脉络与趋势01 1.1 1.2 现状：银行业初步规范，保险业标准分散02 展望：银行业有待升级补缺，保险业亟待专项整合03 二、金融机构操作风险管理的痛点04 2.1 2.2 2.3 治理模式与组织分工不健全，协同能力有限05 传统管理工具运用不足，风控效果不佳06 数字化平台与工具严重滞后，与业务创新进度不符07 三、多措并举，升级优化操作风险管理体系，促进质效提升08 3.1 3.2 3.3 3.4 3.5 夯实基础，厘清职责，完善操作风险治理与管控架构练09 练好内功，让数据说话，提升操作风险量化分析能力11 统一标准、深度融合、建立抓手，健全管理工具与平台13 以结果为导向，提升业务连续性管理与运营韧性15 智能手段升级风险管理，提升操作风险前瞻预判能力17 结语19 随着我国经济从高速增长向高质量发展阶段的转变，金融机构的操作风险管理体系也面临着升级优化的挑战。 金融机构进入高质量发展阶段的标志之一是风险管理的科学化和精细化，从主观感受到规则制定、从事后管理到事前预判，从被动接受监管到主动自我约束，从定性到定量。同时，监管机构也在酝酿从操作风险监管制度上进行全面升级。因此，金融机构亟需针对操作风险管理梳理现状与识别不足，规划未来优化升级的方向，并推进与落实具体举措。 一、操作风险监管的 演进脉络与趋势 银行业和保险业操作风险监管的演进脉络简要梳理如下（图1）： 已失效现行有效 《商业银行操作风险管理指引》 保险机构银行机构 （银监发〔2007〕42号） 《人身保险公司全面风险管理实 施指引》 （保监发〔2010〕89号） 2007 2010 2011 《商业银行业务连续性监管指引》 （银监发〔2011〕104号） （试行）》 （银监会令〔2012〕1号） 2012 《商业银行资本管理办法 《保险公司偿付能力监管规则 （10号/11号）》 （保监发〔2015〕22号） 2015 2013 指引》（银监发〔2016〕44号） 2016 《银行业金融机构信息科技外包风险监管指引》 （银监发〔2013〕5号） 《银行业金融机构全面风险管理 （银保监办发〔2021〕141号） 《运营韧性原则》 (Basel) 《银行保险机构信息科技外包风险监管办法》 《保险公司偿付能力监管规则 (Ⅱ)（11号/12号）》 （银保监发〔2021〕51号） 《银行保险机构信息科技外包风险监管办法》（银保监办发 〔2021〕141号） 2021 《保险机构运营韧性（草案）》 (IAIS) 2022 亟待发布银行、保险机构共同适用的操作风险管理办法 图1：银行保险机构操作风险监管脉络 1.1 现状：银行业初步规范， 保险业标准分散 银行业 原银监会自2007年开始陆续发布了《商业银行操作风险管理指引》等一系列操作风险相关的监管指引，指导银行业建立规范的操作风险管理体系，提升操作风险管理水平，将操作风险纳入第一支柱监管并科学计算操作风险资本占用。此外，现行监管规则还包括专项强化对业务连续性管理及信息科技外包风险的管理。 当前，融合新新巴塞尔协议Ⅲ要求的《商业银行资本管理办法》预期将在不久后发布生效，其大幅调整了操作风险资本计量的要求，形成了基于不同收入规模的差异化机构监管要求，并通过在新标准法中引入内部损失乘数(ILM)，使得历史操作风险的损失数据可以直接影响当前资本计量的结果，进一步强化了银行资本稳健性和运营稳健 性之间的平衡。 保险业 对于保险机构而言，监管机构暂未发布操作风险的专项监管指引。2010年，原保监会出台的《人身保险公司全面风险管理实施指引》（目前已废止），初步对人身保险公司全面风险管理（包括操作风险）提出要求。 2015年和2021年，监管机构分别出台了“偿二代”一期及二期监管规则，虽然没有如欧洲和美国监管规则纳入第一支柱，但通过“偿付能力风险要求与评估”(SARMRA)和“风险综合评级”(IRR)两个技术指引进一步强化、细化对操作风险的专项管理要求：一是通过风险综合评级(IRR)对包括操作风险在内的风险进行定性评价，并形成分类监管的结果；二是通过保险公司偿付能力风险管理要求与评估(SARMRA)对操作风险管理提出具体监管要求并设定评估标准，覆盖操作风险相关的治理结构、内部控制、管理架构和流程、工具以及信息系统等。 操作风险管理的缺陷，不仅会导致保险机构监管资本要求的上升，还使得公司风险综合评级受损，并可能进一步触发监管行动，以及引发投资者和消费者用脚投票的反应。 1.2 展望：银行业有待升级补缺，保险业亟待 专项整合 展望未来，银保监会或将考虑出台针对银行和保险机构整合的操作风险管理监管标准，一方面，可对银行业已经实施15年的操作风险管理实施指引进行升级，实现从1.0升级到2.0，并适当补充近年来的新兴风险，譬如模型风险、网络与数据安全风险等；另一方面，或将为保险业制定针对操作风险的专项监管制度，并加速行业的操作风险管理体系建立与完善，实现跨越式提升。 随着金融监管机构在新冠疫情、俄乌冲突等“黑天鹅”事件频发后愈加强调运营韧性，预计未来的操作风险管理和业务连续性管理也将会同时强化在业务运营韧性方面的要求，确保在不同压力情景下实现金融机构业务的正常运营。 在监管制度的落实方面，操作风险的监管评估标准以及配套监管措施也需要补充完善，形成闭环的管理模式，从而确保制度可真正在金融机构落实并得以持续执行。 二、金融机构操作 风险管理的痛点 当前，许多金融机构已初步建立了操作风险管理的组织职能部门、政策制度、管理工具、指标与报告，以及信息系统，但总体来看，多为事后管理，主观性较强，缺乏有效的识别、计量及监测方法，管理工具运用效果也并不理想。 分行业来看，多数商业银行在初始建立操作风险管理体系后并未持续更新迭代，管理架构、工具手段、流程机制已滞后于当前的内外部环境和业务的创新发展，存在不少管理盲区；而大多数保险公司的操作风险管理仍停留在以满足监管合规为主，管理机制不到位，体系不健全。 从操作风险管理工具的运用来看，普遍存在风险与控制自我评估(RCSA)未有效推行、损失数据收集(LDC)和风险事件报送流于形式、关键风险指标(KRI)以手工指标为主且阈值设定不合理等问题，管理实效性并不理想。 2.1 治理模式与组织分工不健全， 协同能力有限 1.横向：三道防线未能有效履职，无法形成整体合力 •第一道防线主动意识不强：仅仅停留在配合的角度工作，倾向与二道防线“风险共担”一同解决风险问题，或把实质风险工作“分包”转移回二道防线。 •第二道防线管理职责不清：部门间存在扯皮、踢皮球的问题，导致实际的大部分工作和管理职责落在二道防线。操作风险管理部门缺乏管理抓手，风险管理过于“被动”。 •第三道防线监督效力不够：对于屡查屡犯问题、深层次的风控机制建设等较难发挥作用，无法真正起到对一、二道防线的监督和评价效果。 2.纵向：传导渠道不畅，效力逐层递减，基层事件频发 研究发现，很多金融机构的操作风险管控举措传导渠道不畅，操作风险管理效力逐层递减，基层操作风险事件仍屡见不鲜。对于大型金融机构而言，尽管在操作风险管理的资源配备和工具平台建设上有一定优势，但由于机构多人员杂，管理半径大，管理链条长，以上问题尤其明显。 2.2 传统管理工具运用不足， 风控效果不佳 操作风险管理三个传统工具的“多口径”、“两张皮”、“管不住”等问题长期困扰 着金融机构，相比于银行业，保险业因为起步更晚基础更弱，所以问题也更显著。 1.RCSA工作环节多，工具使用难，结果准确度差 •目前行业还是主要采用主观和定性的方式，剩余操作风险的敞口与等级主要依 赖于评估者的主观感受和经验积累； •一方面，缺乏完整有效的复核校验机制，无法准确认知评估风险，无法准确定位高风险领域；另一方面，评估工作量繁杂，评估人员疲于应付，较难做到主动有效发现风险隐患。 2.KRI指标不合理，阈值缺乏敏感性，数据基础无保障 •照搬同业做法，未考虑基于自身实际业务的风险场景，出现监测空白，或指标过度冗余； •阈值设置的科学性及合理性存在挑战，与风险偏好难以有效衔接； •设计指标时未考虑底层数据基础的可靠性，大量依赖人工补录风险数据或人为把控数据口径，无法发挥预警提示功效。 3.LDC填报少错漏，损失发现迟又缓，整改缺乏强抓手 •银行保险机构普遍缺少系统化、自动化的风险事件发现机制，第一道防线出于对上报风险事件可能带来负面影响的顾虑，以及对操作风险事件报告机制或填报工具不熟悉等原因，损失事件“少错漏”报的情况屡见不鲜，损失事件发现不及时、报送标准不统一、信息质量参差不齐等问题普遍存在； •LDC未形成管理闭环，重数据收集而轻分析管理，未充分考虑有效的管理闭环抓手，造成了存量操作风险难以及时有效得到整改，形成“两张皮”的局面。 2.3 数字化平台与工具严重滞后， 与业务创新进度不符 1.数字化技术采用进度滞后 虽然目前很多金融机构操作风险管理的数字化转型有了一定基础，但行业整体的数字化技术平台建设进度滞后于业务的创新和风险的变化。部分公司建立了以三大工具和报表报告为主要功能的操作风险管理信息系统，其主要目的是向管理层提供适当的管理信息和报表报告，以及为总部风险管理部门的工作过程或工作结果提供存储和查询，技术上停留在BI和展现为主，缺乏基于风险信息和数据的自动提取、分类、总结、归因和决策支持等分析功能，没有形成风险洞察，对第一道防线开展操作风险管理工作的指导意义也非常有限。 2.数字化工具缺乏实时性和前瞻性 数据滞后、管控被动、数据割裂、模型缺乏学习能力和扩展能力、系统陈旧等问题严重制约了操作风险管理的实时性和前瞻性，管理节点也无法实现前置。普华永道近年来基于几家领先银行和保险集团案例，试图推广利用动态数据和员工行为建模手段以有效解决员工舞弊早期发现和精准识别的解决方案，但受制于诸多金融机构的认知水平、投入意愿、数据基础以及人才不足等因素，实际进度仍然较为缓慢。 压力测试 外包定义 外包过程管理 外包风险评估 外包退场评价 历史情景 假设情景 测试工具 测试报告 三、多措并举，升级优化操作风险管理体系，促进质效提升 普华永道持续跟踪操作风险管理领域的监管趋势变化，基于成熟的操作风险管理整体框架（图二），不断融入行业领先实践经验的探索与积累，围绕行业当下面临的操作风险痛点,分享如下具有针对性的管理提升建议，希望对行业有所裨益。 操作风险治理架构及政策体系 操作风险偏好 风险识别 风险评估 风险监测控制与缓释 报告与应急处置 三大工具 配套管理机制 损失数据收集 风险与控制自 关键指标 外包风险 管理 (LDC) 我评(RCSA) (KRI) 损失数据 风险暴露 关键风险 定义 控制弱点 指标类型 损失数据范围门槛 RCSA 范围与频率 关键风险新产品新业务管理指标定义业务定义业务评审 损失数据 RCSA结果 关键风险业务研发后评价管理 收集流程 应用 指标阈值 损失分配 内部控制 关键风险 标准 评价 指标监测 行动计划 行动计划设立 整改与监控 成果确认与汇报 资本计量基本指标法新标准法 操作风险管理信息系统 业务连续性计划 业务影响BCP/DRP 分析计划及演练 内控体系协同 图2：普华永道操作风险管理整体框架 3.1 夯实基础，厘清职责， 完善操作风险治理与管控架构 风险管理效率既来源于分工，也来源于协同。第一道防线是基础，第二道防线是统筹，第三道防线是保障。针对上述行业的痛点问题，普华永道建议，金融机构可进一步检视完善治理模式，厘清组织职能和管理方式，增强“三道防线”的协同性，推动操作风险管理“下沉”，强化业务前线和基层机构的管理职责和激励约束。具体举措如下。 四个层面 董事会监事会 管理层 操作风险管理牵头部门 分支机构