文章
《证券公司操作风险管理指引》解读
壹引其纲,万目皆张
发布日期:2023年12月13日
引言
中国经济已由高速增长阶段转向高质量发展阶段,为了适应高质量发展的要求,金融监管机构在政策制定方面进行了一系列改革和创新,持之以恒防范化解重大金融风险,构建操作风险管理体系,规范与创新并重,应对更加复杂的操作风险防控形势。
伴随着证券业务的不断变化与创新,证券公司操作风险事件的特征从过往的高频低损逐步转变为低频高损,风险的关联性会导致操作风险事件诱因变得多样化。因此,监管机构通过出台操作风险管理相关指引,强化证券公司操作风险管理建设,从事前、事中及事后对操作风险进行监控和管理,注重提升防范并化解因风险关联性导致的重大风险事件的能力,引导证券公司逐步探索建立多样化的操作风险管控手段。
操作风险管理综述
证券公司操作风险管理能力在过去几十年中得到了显著的发展和提升。随着金融市场的不断变化和国际监管标准的不断提高,证券公司面临着越来越严峻的操作风险挑战。为了有效管理和控制这些风险,证券公司必须建立起一套完善的操作风险管理体系。
外部监管发展趋势
2023年12月01日,中国证券业协会发布了《证券公司操作风险管理指引》(以下简称《指引》)。《指引》的出台旨在进一步细化落实2016年修订的《证券公司全面风险管理规范》中针对操作风险管理要求。《指引》明确了证券公司操作风险管理体系建设的目标和内容,除了强化传统的操作风险管理手段和方式外,还针对证券公司自身特点,提出了专项领域操作风险管理及自律管理的要求。
图1:证券公司操作风险监管发展趋势
操作风险管理定义
《指引》规定“操作风险是指由不完善或有问题的内部程序、人员、信息技术系统,以及外部事件造成损失的风险。”除此之外,《指引》还特别提到操作风险包括法律风险,原因在于证券公司所面临的法律诉讼案例越来越多,因监管措施或者民事纠纷所导致的罚款、罚金或者惩罚性赔偿也越来越重,未来证券公司需要特别关注及防范法律风险导致的操作风险事件,充分考虑法律风险的事前防控,加强合同法律审核、标准合同管理等工作。
操作风险建设范围
《指引》提出操作风险管理的全程全员及协同管理。全程全员原则强调全员、全机构、全过程的操作风险管理,覆盖证券公司董事会、监事会、经理层、各部门、分支机构及子公司等层级,贯穿决策、执行、监督、反馈等各个环节。《指引》中特别提出协同管理,证券公司应发挥各专业职能部门的作用,根据不同专业领域的特点与分工,有针对性地协同开展操作风险管理,同时关注操作风险管理牵头部门与业务部门和法律合规管理部门的协同,以及操作风险管理部门与内部审计部门的协同,旨在实现风险监测、数据共享、跟踪防范的有效协同。
操作风险建设重点
《指引》指出,证券公司应审慎识别和控制各项经营管理活动的操作风险,并加强对重点领域的风险识别、评估、监测与控制。《指引》中除了明确操作风险管理传统三大工具建设以外,重点提到了证券公司六大类核心业务的管控要求以及在跨境业务中所涉及的系统和数据管理上的规范,同时要求证券公司应充分识别和评估新业务、新产品涉及的操作风险,重视防范已有业务流程和信息系统等可能因新业务、新产品引发的操作风险。除此之外,《指引》中还对一些专题提出了管理要求,包括应急管理、业务连续性管理,外包管理、压力测试及资本计量等。
操作风险管理宣导
《指引》指出,证券公司应当建立健全专业的人才队伍、树立全员防控操作风险的管理理念。鉴于操作风险管理需要全员参与、全员管理,因此证券公司需要建立完善的操作风险管理宣导机制,从公司自上而下推动,自下而上推行,树立常态化的操作风险管理意识,同时在全公司开展操作风险管理相关培训,确保公司人员获得足够的专业技能与风险管理知识,不断提升全员的操作风险管理理念与能力。
操作风险管理起源于巴塞尔委员会于2003年公布的《操作风险管理和监管稳健原则》,2004年《新资本协议》中将操作风险纳入资本监管的范畴,2023年7月28日,国家金融监督管理总局(以下简称“国家金监总局”)也就《银行保险机构操作风险管理办法(征求意见稿)》进行了公开意见的征求。德勤将证券公司和银行保险机构的操作风险管理监管要求进行了比对,比对结果显示无论从管理目标还是管理方法上,证券公司和银行保险机构的监管要求基本一致,监管针对机构各自业务特点及管理方式存在不同,体现了差异化的要求。
操作风险管理职责
良好的操作风险管理体系离不开科学合理的管理组织架构和职责分工,特别是明确各层级细化的操作风险管理职责,能够确保操作风险管理三大工具在实际应用中有效落地。《指引》明确了证券公司应建立有效的操作风险管理组织架构,涵盖董事会、监事会、经理层及首席风险官等高级管理人员,覆盖公司各相关部门、分支机构及子公司,《指引》特别强调公司经营管理者承担各自分管工作的操作风险管理责任,强调证券公司中后台支持部门的操作风险管理职责,强调内部审计部门享有独立对操作风险管理进行审计和监督的权利。
证券公司董事会及高级管理层对公司操作风险管理战略和风险偏好承担管理职责,包括批准风险管理框架、方法论、总体政策及职责,以及审批风险管理制度、风险管理报告、风险管理绩效等。
证券公司首席风险官牵头负责操作风险管理工作。证券公司应当保障首席风险官充分履职所必需的知情权和资源配置。其他高级管理人员负责各自分管领域的操作风险管理,并为首席风险官统筹管理操作风险提供支持。
证券公司各部门、分支机构、子公司承担操作风险管理的直接责任。各部门、分支机构、子公司按照公司统一要求:识别、评估操作风险;实施操作风险监测、控制或缓释、应对措施;在制定本部门制度、流程,开发新业务、新产品和建设信息系统时,充分考虑操作风险管理的要求。分支机构及子公司需完善人员配备、管理架构以及政策制度,与总部操作风险管理部门进行对接,并实施操作风险管理工具。同时,总部相关部门需定期审阅分支机构及子公司的风险管理报告。
证券公司内部审计部门需对操作风险管理的充分性和有效性进行独立、客观的审查和评价。内部审计部门负责检验整体的操作风险管理框架、操作风险管理工具的实施效果;对业务流程的管理效果提供合理保障并识别改进机会;根据公司规章制度,对发现的问题进行绩效考核层面的问责。
《指引》同时强调协同管理原则,证券公司操作风险管理应发挥各专业职能部门的作用,根据不同专业领域的特点与分工,有针对性地协同开展风险管理。证券公司应操作风险管理分工明确、职责清晰的基础上开展协同,实现各层级、各部门的统筹与协作。
图2:操作风险组织架构
专项操作风险管理职责
现阶段证券公司对于传统操作风险管理职责分工已基本成型,但是对《指引》中提到的专项操作风险管理要求的落地尚需不断摸索及逐一明确。
业务连续性管理
证券公司需要关注业务连续性管理,充分理解业务连续性的目的是确保证券公司能够在业务中断期间继续提供关键/重要服务,并使公司从灾难性的中断事故中恢复活动,保护关键相关方的利益、声誉、品牌和创造价值。证券公司通过业务影响分析、风险分析明确业务连续性管理需求,在此基础上进一步明确资源建设目标、开发应急预案,定期制定应急演练计划以验证资源及预案有效性,最大程度减少操作风险损失。当然,如何能够实现业务连续性和风险自我评估的联动,实现高效的管理方式也尤为重要。
图3:业务连续性管理职责分工
外包管理
证券公司需评估外包活动可能导致的业务中断、敏感信息泄漏等风险,确保外包服务有严谨的合同和服务协议,明确合同各方的责任义务。一般来说,公司需要明确各类外包管理的职责,包括科技外包、人力外包、咨询外包等;建立外包管理执行团队及管理制度,制定持续的外包风险识别和评估流程,开展外包风险管理评估。外包需求部门负责外包管理的具体执行工作。内部审计部门负责外包及其风险管理的审计工作,定期对外包活动进行审计,发生重大外包风险事件后应当及时开展专项审计。
图4:外包管理职责分工
操作风险管理机制
证券公司操作风险管理体系建设过程中,应以标准化的风险管理语言为基础,以操作风险管理三大工具为核心,辅以操作风险报告、问题整改追踪、计量与压测等机制,结合自身规模、业务特点、风险偏好和系统能力,建立全覆盖的、有针对性的、联动的操作风险管理机制。
证券公司可以通过建立标准化的操作风险管理语言,保证操作风险管理的一致性,为三大工具之间的联动管理提供良好基础。
操作风险管理三大工具
风险控制与自我评估(RCSA)
证券公司可基于统一的操作风险管理语言搭建风险控制与自我评估(RCSA)管理工具,针对流程梳理识别各操作风险点,评估固有风险、控制措施有效性与剩余风险,并将评估结果作为强化控制以及流程改进的依据。
在风险控制与自我评估工作过程中,通过流程分析与控制措施评估,证券公司充分识别相关风险控制或缓释措施的设计有效性,充分执行《指引》中提出的职责分工、授权管理、人员管理、信息系统与数据、印章印鉴管理、信息披露等方面的要求,降低、分散、规避或转移操作风险,并将其控制在可接受的水平。
《指引》中明确提出证券公司应在以下四种情景中开展操作风险与控制自我评估,强化风险控制与自我评估的效率,四种情景包括:1)定期或不定期开展风险与控制自我评估;2)由操作风险事件触发机制;3)针对新业务、新产品评估机制;4)由关键风险指标监测结果触发机制。
在开展风险控制与自我评估过程中,证券公司应结合各业务类型特点,主动识别与评估操作风险,制定针对性的风险管控措施,提升证券公司操作风险管理水平。《指引》也对经纪业务、自营业务、投行业务、资产管理业务、场外衍生业务及跨境业务做出了明确规定。
关键风险指标(KRI)
证券公司应建立关键风险指标体系,明确指标数据来源与统计口径,合理设置指标阈值与监测频率,对各类操作风险相关信息及指标等进行动态、持续监测。关键风险指标体系应覆盖各重点关注领域和关键业务流程,结合业务与管理特性,细化指标类型,在行业通用指标的基础上,建立针对性强的个性化风险监测指标。
在此基础上,证券公司可通过系统化、数字化等科技手段,提升指标监测数据的可获得性、可利用率,增强指标监测模型的精准性,提升公司整体关键风险指标管理的自动化程度。
风险损失数据收集(LDC)
操作风险损失数据收集机制应包括明确的损失数据收集标准,以及损失数据识别、收集、汇总、分析和报告流程。公司在风险损失数据收集工作中需要重点关注《指引》中明确的以“直接经济损失金额1000万元(含)”作为重大操作风险事件的边界,同时把握好直接经济损失金额1000万元以下的操作风险事件收集的尺度。
证券公司应主动收集内外部的操作风险损失数据,针对业务部门开展的损失数据收集工作,证券公司可引入相应的绩效考核机制,确保数据收集工作的有效性和主动性。
操作风险三大工具联动
证券公司在合理运用操作风险三大工具的基础上,联动风险控制与自我评估及风险损失数据收集两大工具,通过对风险信息的收集,优先对高风险流程进行识别,以明确公司的指标监测方向。同时,通过设计建立过程性与结果性操作风险指标体系,并嵌入业务流程埋点,进行事中前置监测,提高操作风险事前防范、事中监测与事后处置的能力并进行关联分析,实现对于操作风险的评估、监控、缓释、整改与报告,有效管控风险。
操作风险管理辅助手段
操作风险报告机制
在建立操作风险三大工具基础上,进一步完善操作风险报告机制,明确各类操作风险报告内容、报告频率、报告路径,建立有效的报告体系。
操作风险问题追踪整改机制
证券公司应进一步建立和完善内部信息共享和协同整改机制。通过打通内部审计、风险管理与内控管理之间的工作壁垒,实现动态风险信息共享、核查与验证;建立统一的问题库与整改追踪机制,统筹建设内审、风险、内控问题库与整改追踪机制。
操作风险计量
在《证券公司风险控制指标计算标准规定》中,操作风险资本准备的计量方法参考了银行业操作风险旧标准法的计量逻辑,操作风险资本准备仅与业务收入水平相关,并针对不同业务条线设定差异化资本系数。该类方法的优点是规则简单、可比性强,缺点是风险敏感性差,资本准备要求与实际操作风险暴露及风险管理水平无关。
借鉴银行业操作风险计量的方法,德勤设计了一套兼具风险敏感性和简单性的量化模型,通过引入损失因子或直接利用损失数据建模,使得计量结果更具风险敏感性,以提升证券公司操作风险量化管理能力。
操作风险压力测试
《证券公司压力测试指引》中提出了“历史数据法”和“监管指标法”,这两个方法弥补了操作风险压力测试的方法论缺位。然而实践中证券公司往往缺少足够的数据积累支持数量模型的构建,专家经验判断则缺少量化方法与标准化过程,监管指标法相对业务可解释性差。德勤积累了机构广布、观察周期长远、类型丰富的证券行业损失数据,在此基础上,通过设计开发压力测试模型实现不同情景下操作风险损失严重程度的测算分析。
专项操作风险管理
基于金融监管的要求和市场环境的变化,证券公司在发生重大风险事件时应开展专项领域的操作风险识别与评估工作。专项操作风险是指在经营过程中,由于操作失误、技术故障、内部控制不力等原因导致的特定风险。这些专项操作风险与市场运作、交易和结算、资金管理、信息系统等相关,可能对证券公司的经营活动、客户资产和市场稳定造成不利影响。通过加强专项领域的操作风险管理,例如应急处置管理、业务连续性管理、外包风险管理、员工行为管理和内部协同管理等,公司能够更加精确地识别和分析经营管理活动中的内外部操作风险因素,确定操作风险管理关注的重点领域和环节,加强风险防范意识,有效预防和减少操作风险的发生和损失,为公司的持续发展提供坚实的保障。
图5:专项操作风险管理
应急处置管理
证券公司需要进一步增强忧患意识,更加重视建立健全应急处置管理机制,加强应急管理工作,提高预防和处置重大风险和突发事件的能力。
证券公司通过建立科学的决策体系、内部控制机制和风险管理体制,明确并落实操作风险突发事件的处置职责,提升应急处置管理能力。
业务连续性管理
证券公司需要关注业务连续性管理,充分理解业务连续性的目的是确保证券公司能够在业务中断期间继续提供关键/重要服务,并使公司从灾难性的中断事故中恢复活动,保护关键相关方的利益、声誉、品牌和创造价值。证券公司通过业务影响分析、风险分析明确业务连续性管理需求,在此基础上进一步明确资源建设目标、开发应急预案,定期制定应急演练计划以验证资源及预案有效性,最大程度减少操作风险损失。当然,如何能够实现业务连续性和风险自我评估的联动,实现高效的管理方式也尤为重要。
外包风险管理
证券公司在日常管理运营中或多或少会涉及到外包活动,在开展外包活动时,可能发生业务中断、敏感信息泄露等风险。证券公司应关注外包风险管理工作,明确外包活动中相关信息和知识产权的归属权以及允许外包服务商使用的内容及范围,保障公司业务的持续经营。
员工行为管理
证券公司员工在日常经营中扮演着重要角色,员工的行为直接关系到公司的经营风险。通过建立员工手册、职业声明、行为规范等机制,促进证券公司合规稳健经营,形成风清气正的行业生态。
内部协同管理
内部控制是风险管理的基础组成部分,也是风险管理最重要的基石。证券公司可以打通风险管理与内控管理之间的工作壁垒,实现内控管理与操作风险的协同管理与有机结合。
证券公司可通过明确各部门在操作风险管理与内控管理中的职责与义务,建立完善的风险管理协作机制。
操作风险信息化管理
证券公司在过往建设操作风险管理系统时候,往往期望的是通过建设一个系统实现对于全公司操作风险的管理,反而忽视了操作风险管理系统在实际管理中的可用性。因此,证券公司在建设操作风险管理系统过程中,需要基于公司内部管理架构及业务特点,考虑系统功能与管理机制的适配性、落地性及应用性。同时,在建设系统过程中需要充分考量数据的应用以及金融科技手段的融合,真正实现操作风险管理信息化。
图6:操作风险管理系统功能
通常在建设操作风险管理系统时需要重点考虑如下几个方面:
- 关注运用信息化、智能化手段赋能日常操作风险管理流程及环节,依据证券公司操作风险管理实际需求,以及数据、信息的流转和隔离需求等,对系统功能进行模块化的设计、实施和不断完善迭代。另外,在实现定性管理流程的同时,通过深化运用内外部数据来进一步加强操作风险量化管理能力,前置化风险识别和监测,更科学有效地防范风险并做好危机管理。
- 关注系统中三大工具建设之间的联动性,如需要将风险控制与自我评估的结果和内外部风险损失事件的数据作为关键风险指标设定的重要参考因素,同时在进行风险控制与自我评估时,充分参考关联的指标预警及损失事件情况,以做出恰当的评估。
- 关注三大工具关联数据与其他操作风险管理手段的联动性,关注内控、审计等工作与操作风险管理之间的数据共享。
- 关注技术手段的应用,准确、快速、全面地采集相关数据,并开展后续的数据分析工作。如与相关业务系统对接,采集关键风险指标所需的数据,保证数据的时效性与准确性。
- 关注操作风险管理数据治理机制。公司需要针对内部数据建立统一的分类和评估标准,提升建立科学和合理的外部数据获取机制,并通过技术手段的处理,实现外部数据的内化及应用。
结语
证券公司操作风险管理体系建设是一个庞大而又复杂的工程,是一个持续不断的过程。证券公司不仅仅需要从架构、制度、流程、工具、系统方面进行系统化建设,更加需要公司上下全面推动。证券公司只有在持续不断的建设、优化和宣贯中,才能够正真意义上管理好操作风险。
德勤在过往十多年的咨询服务中,为许多证券公司提供了操作风险管理体系及系统建设服务,积累了丰富的经验。德勤期望证券公司能够根据差异化的特点,在满足监管要求的基础上,建立适合自身的操作风险管理体系,并实现真正意义上的管理目标。
附录 操作风险管理监管要求比对表
管理领域 |
|
|
|
操作风险管理职责 |
|
董事会承担操作风险管理的最终责任,负责确定操作风险管理的总体目标; 监事会承担操作风险管理的监督责任,负责监督检查董事会和经理层在操作风险管理方面的履职尽责情况; 经理层对操作风险管理承担主要责任,负责确定操作风险管理组织架构,明确各部门职责分工,督促各部门切实履行操作风险管理职责。 |
商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任; 商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。 |
三道防线 |
操作风险管理属于内部审计范畴,内审人员需要对操作风险管理的充分性和有效性进行独立、客观的检查和评价。 |
商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。 |
|
|
操作风险识别与评估机制 |
识别:证券公司需建立公司主要业务与管理活动的流程目录并持续更新和完善。 评估:在流程目录的基础上识别操作风险点与风险控制措施,定期或不定期开展评估。 |
商业银行应当选择适当的方法对操作风险进行管理。 具体的方法可包括:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。 |
|
公司可通过合理设置指标阈值与监测频率,建立覆盖各重点关注领域和关键业务流程的操作风险关键风险指标体系,逐步提升操作风险监测能力。 |
商业银行应当制定有效的程序,定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度。 |
|
|
证券公司需明确损失数据收集的标准与报告流程,分析内外部相关信息和内外部检查中发现的操作风险事件,全面、持续地开展操作风险损失数据识别、收集、汇总、分析、报告工作。 |
业务复杂及规模较大的商业银行,应采用更加先进的风险管理方法,如使用量化方法对各部门的操作风险进行评估,收集操作风险损失数据,并根据各业务线操作风险的特点有针对性地进行管理。 |
|
|
|
商业银行应按照规定向国家金监总局或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的,还应提交外部审计报告。 |
|
|
|
对于国家金监总局在监管中发现的有关操作风险管理的问题,商业银行应当在规定的时限内,提交整改方案并采取整改措施。 |
|
业务连续性管理 |
证券公司可通过确定重要业务及其恢复目标,建立业务连续性计划和配置必要资源,定期开展演练与持续改进,建立完善保障业务连续运行的管理机制,从而有效降低或消除业务中断造成的影响和损失。 |
商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并应当定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行。 |
|
|
证券公司需评估外包活动可能导致的业务中断、敏感信息泄漏等风险,明确各相关部门的外包风险管理职责,监控和管理外包实施过程的风险,了解其人员储备、业务隔离措施、软硬件设施、专业能力、诚信状况,并与外包机构签订书面外包服务合同或协议,明确双方的权利义务及违约责任。 |
商业银行应当制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。 |
|
|
证券公司需重视聘用人员的诚信记录,有效防范员工行为不当导致的操作风险。 |
N/A |
|
|
规章制度和操作流程 |
公司需建立健全各项业务与管理活动的规章制度和关键业务环节的操作流程,针对操作风险较高的部门和业务环节制定专门的控制与缓释措施。 |
在制定本部门业务流程和相关业务政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性。 |
部门岗位职责分工 |
部门、岗位职责分工应明确、合理,不相容职责应适当分离,实现相互制衡和有效监督。 |
部门之间需要明确的职责分工以及相关职能的适当分离,以避免潜在的利益冲突。 |
|
授权审批机制 |
授权应具体、明确、合理,并通过流程设计、系统控制等严格执行,超过授权范围必须经过审批;应定期评估授权执行情况和有效性,及时调整或者终止不适用的授权。 |
N/A |
|
|
关键业务环节应双人负责并加强复核,单人单岗业务应加强监控与检查,并进行定期或不定期轮换和强制休假。 |
重要岗位或敏感环节员工需要实行八小时内外行为规范。 |
|
操作风险基础保障 |
理念文化 |
证券公司需逐步推进操作风险管理文化建设,设定操作风险的公司风险偏好、容忍度等风险管理事项。 |
N/A |
教育培训 |
证券公司需在公司风险管理文化中树立全员防控操作风险的理念,持续开展操作风险管理相关培训,确保各级员工获得足够专业技能与风险管理知识,不断提升全员的操作风险管理意识与能力。 |
高级管理层负责为操作风险管理配备适当的资源,包括但不限于配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等。 员工需具有与其从事业务相适应的业务能力并接受相关培训。 |
|
|
证券公司可将操作风险管理纳入公司风险绩效考核与问责机制,并通过定期考核评价各单位操作风险管理工作开展情况与管理效果。 |
商业银行需建立查案、破案与处分适时、到位的双重考核制度;对基层操作风险管控奖惩兼顾的激励约束机制。 |
|
|
|
证券公司需提升各项业务与管理活动的信息化、流程化、自动化水平,完善信息系统功能,减少人工干预。按照最少功能和最小授权等原则分配信息系统权限,并定期复核用户权限的合理性,对敏感权限的使用情况应定期开展审计。 |
为有效地识别、评估、监测、控制和报告操作风险,商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息,支持操作风险和控制措施的自我评估,监测关键风险指标,并可提供操作风险报告的有关内容。 |
