引入對操作風險的監管是新巴塞爾協定的一大創新。12月10日,巴塞爾銀行監管委員會(BCBS)在總結近年來操作風險管理和監管實踐經驗的基礎上發布了《操作風險管理和監管的良好作法》,該檔案明確了監管機構對操作風險的監管職責,指出銀行應建立三道防線應對操作風險,並提出了銀行操作風險管理的11條原則。
一、監管機構的任務
(一)建立評估機制。監管機構應建立適當的機制,對銀行涉及操作風險的政策、程式和系統進行直接或間接地定期獨立評估,並掌握銀行的發展情況。
(二)監管評估的範圍。對操作風險的監管評估應覆蓋理論上涉及操作風險管理的所有領域。如果被監管的銀行是某一金融集團的成員,監管機構應督促該金融集團採用適當和統一的方式管理操作風險。在進行這種類型的評估時,監管機構需要展開與其他監管機構的合作和信息交流,或選擇使用外部審計機構完成此類評估。
(三)監管措施的制定。監管機構可以通過一系列的監管措施矯正在監管評估過程中發現的銀行操作風險管理的缺陷。因此,監管機構必須使用與銀行及其運營情況相匹配的監管工具,並應建立銀行和外部審計機構的報告機制以保證自身能夠及時獲得操作風險的相關信息。
(四)鼓勵銀行持續改善內部管理。監管機構可以在監測和評估銀行操作風險管理的發展情況的基礎上,分析影響其有效性的原因,並在與其他銀行的情況進行對比後進行反饋,幫助銀行了解和改善自身的管理狀況。
二、銀行操作風險管理的三道防線
操作風險是所有銀行業產品、服務和活動所固有的風險,因此,有效的操作風險管理也就成為銀行風險管理程式中的基本要素。基於近年來對銀行良好風險管理作法的觀察,BCBS認為良好的操作風險管理通常依靠以下三道防線:
(一)業務條線管理。即明確各業務單位的人員在識別和管理銀行產品、服務和活動中的內在風險的責任。這是操作風險管理的第一道防線。
(二)獨立的法人操作風險管理部門。法人操作風險管理部門作為業務條線管理的有效補充,是操作管理風險管理的第二道防線。其獨立性程度依據銀行的規模變動,其關鍵職責在於審查業務條線的投入與產出、銀行的風險管理、風險測度和報告系統。
(三)獨立的評估與審查。操作風險管理的第三道防線是對銀行操作風險管理的操作、程式和系統進行獨立評估和審查。實施此類評估和審查的人員必須經過培訓,並保持獨立。在必要時,銀行可以引入具備資質的外部機構參與此類評估和審查。
決定上述三道防線的架構和活動的因素包括:銀行產品、服務的資產組合;銀行的規模;銀行的風險管理方式。此外,強有力的風險文化、三道防線之間的協調、內部審計的獨立性和力度對銀行操作風險管理的有效性具有重要影響。
三、銀行操作風險管理的原則
(一)基本原則
原則1:董事會應發揮主導作用,發出“高層聲音”(toneatthetop),推動強效風險管理文化的構建。董事會和高級管理層應以實現強有力的風險管理為目標,建立適當的公司文化和標準,支持和鼓勵專業和負責任的行為。在這一方面,董事會應確保強有力的操作風險管理文化的存在,並貫穿於整個銀行業務流程的始終。
原則2:銀行應在其全面風險管理程式中開發、實施和維持操作風險框架。銀行對該框架的選擇依據一系列要素,包括自身特點、規模、複雜性和風險情況等。
(二)公司治理
原則3:董事會應建立和審批銀行的操作風險管理框架並對其進行定期評估,還應對高級管理層進行監督以保證操作風險管理的政策、程式和系統在所有決策層面得到有效實施。
原則4:董事會應審批和評估操作風險的風險偏好和容忍度報告。該報告應明確描述銀行願意承受的操作風險的特徵、類型和水平。
原則5:高級管理層應建立清晰、有效和穩健的操作風險管理架構,適當、透明和統一的劃分操作風險管理責任,並經董事會審批通過。高級管理層還應根據銀行的風險偏好和容忍度,負責銀行操作風險政策、程式和系統的統一實施和維護。
(三)風險管理環境
原則6:高級管理層應確保對所有重要產品、活動、程式和系統的內在操作風險的識別和評估足以實現對內生風險和動機的充分理解。
原則7:高級管理層應確保銀行具有充分評估所有新產品、活動、程式和系統的操作風險的正式程式。
原則8:高級管理層應定期對操作風險情況和導致損失的重要風險敞口實施監測。銀行應在董事會、高級管理層和業務條線等各個層面具備適當的報告機制,積極主動地管理操作風險。
原則9:銀行應具備強有力的操作風險管理體系,包括:操作風險管理政策、程式和系統;適當的內部控制;適當的風險緩釋和轉移策略。
原則10:銀行應制定業務彈性和連續性方案,確保自身在嚴峻業務損失發生時具備持續經營和限制損失的能力。
(四)信息披露的作用
原則11:銀行的公開信息披露應能支持市場參與者對銀行的操作風險管理方式進行評估。
一、監管機構的任務
(一)建立評估機制。監管機構應建立適當的機制,對銀行涉及操作風險的政策、程式和系統進行直接或間接地定期獨立評估,並掌握銀行的發展情況。
(二)監管評估的範圍。對操作風險的監管評估應覆蓋理論上涉及操作風險管理的所有領域。如果被監管的銀行是某一金融集團的成員,監管機構應督促該金融集團採用適當和統一的方式管理操作風險。在進行這種類型的評估時,監管機構需要展開與其他監管機構的合作和信息交流,或選擇使用外部審計機構完成此類評估。
(三)監管措施的制定。監管機構可以通過一系列的監管措施矯正在監管評估過程中發現的銀行操作風險管理的缺陷。因此,監管機構必須使用與銀行及其運營情況相匹配的監管工具,並應建立銀行和外部審計機構的報告機制以保證自身能夠及時獲得操作風險的相關信息。
(四)鼓勵銀行持續改善內部管理。監管機構可以在監測和評估銀行操作風險管理的發展情況的基礎上,分析影響其有效性的原因,並在與其他銀行的情況進行對比後進行反饋,幫助銀行了解和改善自身的管理狀況。
二、銀行操作風險管理的三道防線
操作風險是所有銀行業產品、服務和活動所固有的風險,因此,有效的操作風險管理也就成為銀行風險管理程式中的基本要素。基於近年來對銀行良好風險管理作法的觀察,BCBS認為良好的操作風險管理通常依靠以下三道防線:
(一)業務條線管理。即明確各業務單位的人員在識別和管理銀行產品、服務和活動中的內在風險的責任。這是操作風險管理的第一道防線。
(二)獨立的法人操作風險管理部門。法人操作風險管理部門作為業務條線管理的有效補充,是操作管理風險管理的第二道防線。其獨立性程度依據銀行的規模變動,其關鍵職責在於審查業務條線的投入與產出、銀行的風險管理、風險測度和報告系統。
(三)獨立的評估與審查。操作風險管理的第三道防線是對銀行操作風險管理的操作、程式和系統進行獨立評估和審查。實施此類評估和審查的人員必須經過培訓,並保持獨立。在必要時,銀行可以引入具備資質的外部機構參與此類評估和審查。
決定上述三道防線的架構和活動的因素包括:銀行產品、服務的資產組合;銀行的規模;銀行的風險管理方式。此外,強有力的風險文化、三道防線之間的協調、內部審計的獨立性和力度對銀行操作風險管理的有效性具有重要影響。
三、銀行操作風險管理的原則
(一)基本原則
原則1:董事會應發揮主導作用,發出“高層聲音”(toneatthetop),推動強效風險管理文化的構建。董事會和高級管理層應以實現強有力的風險管理為目標,建立適當的公司文化和標準,支持和鼓勵專業和負責任的行為。在這一方面,董事會應確保強有力的操作風險管理文化的存在,並貫穿於整個銀行業務流程的始終。
原則2:銀行應在其全面風險管理程式中開發、實施和維持操作風險框架。銀行對該框架的選擇依據一系列要素,包括自身特點、規模、複雜性和風險情況等。
(二)公司治理
原則3:董事會應建立和審批銀行的操作風險管理框架並對其進行定期評估,還應對高級管理層進行監督以保證操作風險管理的政策、程式和系統在所有決策層面得到有效實施。
原則4:董事會應審批和評估操作風險的風險偏好和容忍度報告。該報告應明確描述銀行願意承受的操作風險的特徵、類型和水平。
原則5:高級管理層應建立清晰、有效和穩健的操作風險管理架構,適當、透明和統一的劃分操作風險管理責任,並經董事會審批通過。高級管理層還應根據銀行的風險偏好和容忍度,負責銀行操作風險政策、程式和系統的統一實施和維護。
(三)風險管理環境
原則6:高級管理層應確保對所有重要產品、活動、程式和系統的內在操作風險的識別和評估足以實現對內生風險和動機的充分理解。
原則7:高級管理層應確保銀行具有充分評估所有新產品、活動、程式和系統的操作風險的正式程式。
原則8:高級管理層應定期對操作風險情況和導致損失的重要風險敞口實施監測。銀行應在董事會、高級管理層和業務條線等各個層面具備適當的報告機制,積極主動地管理操作風險。
原則9:銀行應具備強有力的操作風險管理體系,包括:操作風險管理政策、程式和系統;適當的內部控制;適當的風險緩釋和轉移策略。
原則10:銀行應制定業務彈性和連續性方案,確保自身在嚴峻業務損失發生時具備持續經營和限制損失的能力。
(四)信息披露的作用
原則11:銀行的公開信息披露應能支持市場參與者對銀行的操作風險管理方式進行評估。
