操作风险的健全管理原则(PSMOR)-执行摘要 2021年3月,巴塞尔银行监管委员会(BCBS)发布了对《操作风险稳健管理原则》(PSMOR)的修订。这些原则于 2003年引入,随后于2011年进行了修订,以吸收大金融危机的教训。2021年的修订源于2014年的审查,该审查表明若干原则没有得到充分实施,也没有充分抓住某些重要的运营风险来源。 操作风险是所有银行产品,活动,流程和系统中固有的风险。健全的操作风险管理反映了董事会和高级管理层管理其产品,活动,流程和系统组合的有效性。 PSMOR及其定期更新旨在提高整个银行系统操作风险管理的有效性。它们反映了与所有银行相关的良好做法。然而,BCBS建议银行在实施这些原则时,应考虑其活动的性质、规模、复杂性和风险状况。 12原则 2021年PSMOR的12项原则涵盖治理、风险管理环境、信息和通信技术(ICT)、业务连续性规划和披露的作用。这些要素不应孤立地看待;相反,它们是银行操作风险管理框架(ORMF)及其整体风险管理框架(包括操作弹性)的综合组成部分。 原则1强调董事会在促进银行强大的风险管理文化中的作用 董事会应发挥主导作用,建立强有力的风险管理文化,由高级管理层实施。董事会应建立并定期审查和批准核心政策(包括风险管理、薪酬、行为准则或道德政策)。通过这些政策,董事会和高级管理层应建立以强有力的风险管理为指导的企业文化,为专业和负责任的行为制定标准和激励措施,并确保员工接受适当的风险管理和道德培训。 原则2提供了ORMF的一般要求 银行应制定、实施和维护ORMF,由第一道防线全面融入银行整体风险管理流程,由第二道防线进行充分审查和挑战,由第三道防线进行独立审查。单个银行采用的ORMF将取决于一系列因素,包括银行的性质,规模,复杂性和风险状况。 原则3描述了董事会在ORMF方面的主要职责 董事会应批准并定期审查ORMF。董事会还应确保高级管理层在所有决策级别有效实施ORMF的政策,流程和系统。 原则4设定了有关银行风险偏好和容忍度声明的指导 董事会应批准并定期审查操作风险的风险偏好和容忍度声明,其中阐明了银行愿意承担的操作风险的性质、类型和水平。操作风险的风险偏好和容忍度声明应易于沟通和理解。此外,它应包括关键的背景信息和假设,前瞻性,并清楚地阐明承担或避免某些风险的动机。它还应建立界限或指标,以便能够监测这些风险。 原则5描述了高级管理层与有效实施ORMF有关的职责 高级管理层应制定与银行活动的性质、规模、复杂性和风险状况相称的清晰、有效和稳健的治理结构,供董事会批准。它的作用还在于将ORMF(由董事会批准)转化为具体的政策,程序和流程,并确保银行活动由具有必要经验,技术能力和资源的员工进行。 原则6为识别和评估操作风险制定了指导原则 高级管理层应确保全面识别和评估所有物质产品、活动、过程和系统固有的操作风险,以确保充分理解固有风险和诱因。用于识别和评估操作风险的工具的示例包括事件管理,操作风险事件数据,操作风险和控制的自我评估,控制监视和保证框架 ,操作风险度量,情景分析,基准和比较分析。 原则7涉及变更管理 高级管理层应确保银行制定政策和程序,以商定的客观标准为基础,确定识别、管理、质疑、批准和监测变更的流程。应通过具体的监督控制来监测改革的执行情况。变革管理政策和程序应接受独立和定期的审查和更新,并应根据三道防线模式明确分配作用和责任。 原则8为操作风险监测和报告制定了指南 高级管理层应实施定期监控运营风险状况和重大运营风险敞口的流程。董事会、高级管理层和业务部门应建立适当的报告机制,以支持运营风险的主动管理。运营风险报告应包括: 违反银行的风险偏好和容忍度声明,以及阈值、限额或定性要求 对关键和新兴风险的讨论和评估 近期重大内部运营风险事件和损失的详情(包括根本原因分析) 相关外部事件或监管变化以及对银行的任何潜在影响 原则9描述了控制环境和风险缓解 银行应具有强大的控制环境,利用政策,流程和系统;适当的内部控制;以及适当的风险缓解和/或转移策略。健全的内部控制方案需要适当的职责分工,并由风险管理程序不可或缺的四个部分组成:风险评估、控制活动、信息和沟通以及监测活动。在内部控制不能充分解决风险而退出风险不是合理选择的情况下,管理层可以通过寻求将风险转移给另一方来补充控制,例如通过保险。 原则10强调了ICT风险管理对银行操作风险状况的重要性 有效的ICT性能和安全性对于银行正确开展业务至关重要。因此,银行应根据其运营风险管理框架实施强有力的ICT风险管理计划。董事会应定期监督银行ICT风险管理的有效性。高级管理层应定期评估银行ICT风险管理的设计,实施和有效性,以确保数据和系统的机密性,完整性和可用性。 原则11建立ORMF和业务连续性计划之间的关系 银行应准备前瞻性业务连续性计划(BCP),并进行与相关影响评估和恢复程序相关的情景分析。银行应定期审查其BCP 和政策,以确保应急策略与当前的运营,风险和威胁保持一致。BCP应与银行ORMF链接。 原则12描述了披露的作用 银行应以允许利益相关者确定银行是否有效识别、评估、监测和控制/减轻运营风险的方式披露其ORMF。银行应向其利益相关者披露相关的操作风险暴露信息(包括重大操作损失事件),同时不通过此披露产生操作风险(例如对未解决的控制漏洞的描述)。银行应制定正式的信息披露政策,并由高级管理层和董事会定期独立审查和批准。 主管的作用 PSMOR要求监管者通过评估与运营风险相关的政策、流程和系统,定期评估银行的ORMF。操作风险的监督评估应包括PSMOR中描述的所有领域。在某些情况下,主管可以选择在这些评估过程中使用外部审计师。监管机构应采取措施,确保银行解决通过对银行ORMF的监管审查发现的缺陷。 本执行摘要和相关教程也可在国际清算银行的在线学习工具FSIConnect中获得。