来源:四大新鲜事儿
2023年以来,中国证监会及其派出机构和自律组织频频向证券公司开出罚单。从处罚事由来看,涉及员工执业行为管理及对分支机构的处罚占多数,加之业内各类操作风险事件频发,充分暴露出证券公司在操作风险管理方面所面临的严峻考验。证券公司并表管理试点工作推进6年以来,对证券公司全面加强风险管理提出了更高要求,操作风险也逐渐成为评估标准中不可忽视的重要组成部分。证券公司持续优化完善操作风险管理机制势在必行。
根据证券行业操作风险管理的监管要求,普华永道风险咨询团队重点分析了证券公司操作风险管理面临的挑战,并为证券公司有效管理操作风险及优化操作风险管理体系提供建议。
监管解读
为提升证券公司全面风险管理水平,监管机构逐步对证券公司风险管理提出了更高的标准及更细化的要求。2011年,证券业协会发布《证券公司压力测试指引(修订稿)》,要求通过运用风险管理工具初步将极端风险量化。2016年,证券业协会及证监会发布《证券公司全面风险管理规范》《证券公司风险控制指标动态监控系统指引》和《证券公司风险控制指标管理办法》等系列监管规定,首次要求证券公司对所有风险进行识别、评估、监控以及全程管理,并进一步对风险控制指标及其监控机制做出明确规定。2017年,证监会发布《关于修订<证券公司分类监管规定>的决定》,提出对证券公司风险管理能力评价计分评级,并强调区别不同类别的风险,如操作风险、流动性风险等。预计后续监管将会针对操作风险的管理职责、办法工具及管理机制做出更加详尽的要求。
操作风险管理体系应从“操作风险管理职责”、“操作风险管理办法与工具”及“操作风险管理流程”三个方面进行建设和完善,包括建立可操作的风险管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的风险人才队伍、有效的风险应对机制,以及全员参与的风险管理文化等。
普华永道梳理的证券公司操作风险管理体系,将围绕“高频低损”类及“低频高损”类操作风险事件,构建对应的管控措施,并建立联动机制。针对“高频低损”类风险事件,搭建以风险控制与自我评估(RCSA)、关键风险指标(KRIs)以及损失数据收集(LDC)三大工具为核心的操作风险管理机制;针对“低频高损”类风险事件,搭建业务连续性管理体系,建立压力测试机制,提高公司对尾部风险的防范和管控能力,降低该类风险事件的破坏性。同时,建立以流程目录为基础,以风险点为桥梁,构建业务连续性以及压力测试场景与操作风险三大工具的联动机制。
操作风险管理体系示意图
为了提升运营韧性,降低极端风险事件对公司的重大影响,业务连续性管理(BCM)越来越受到监管和管理层的重视,普华永道建议公司建立并完善日常和应急处置两套管理机制,明确各层面的职责和权限,建立相应的制度和流程,将风险控制在可容忍的水平之内。
业务连续性管理体系
业务连续性计划风险管理效果示意
证券公司应采取的行动
近年来,证券公司在操作风险领域事件频发,如“乌龙指”事件,交易系统宕机事件等,不仅给投资者带来损失,也进一步增加了证券公司的合规成本。在此背景下,如何完善证券公司的操作风险管理体系,保障业务的连续性运行显得尤为重要。普华永道通过了解不同规模证券公司的情况,发现如下主要问题:
大中型证券公司虽已建立了相应的操作风险管理机制,但仍存在如下问题:
新规涉及多个部门,加大了日常管理和工作组织的难度和广度,证券公司需要:
将所有附属公司纳入操作风险管理体系,明确操作风险管理牵头部门及其职责,优化操作风险内部管理架构;
加快操作风险制度及流程建设及优化工作,形成标准化、规范化的操作风险政策制度体系,将业务连续性管理机制、员工行为管理等工作,融入现有操作风险管理体系;
加强操作风险人才队伍建设,培养风险、流程、产品、信息系统等多垂直领域的专业人才,逐步扩充操作风险管理团队力量。
操作风险管理过程中,一道防线阻力大,管理层重视程度不足,证券公司需要:
完善关键风险指标(KRIs)。从全面性、可用性、时效性等多维度评估现有关键风险指标,并从指标名称、定义、数据口径、计算公式、建议的阈值以及指标选取、设计、分离、调整等方面提出科学的完善建议,深入一道防线的业务流程和系统中,实现事中和事前的预警,实质地降低业务风险,为业务赋能;
建立三大管理工具的联动机制,减轻一线人员负担。在操作风险关键风险指标的检视与建设中,需将在风险控制自我评估(RCSA)及损失数据收集(LDC)梳理过程中形成的核心风险点,与关键风险指标(KRI)指标的设计进行联动,并通过金融科技赋能场景的挖掘,增加关键风险指标系统化取数与监测的程度,从指标的事后监测向事前预警过渡,从指标数据的手工补录向系统自动取数监测预警转换。关键风险指标预警的结果可以用于重新评估风险控制自我评估的控制有效性和剩余风险。监测到的操作风险事件亦可以用于重新评估风险控制自我评估的控制有效性和剩余风险;
建立工具维护机制,从核心管理要素出发,覆盖所有业务流程和管理职能,具备一定的颗粒度,以保证工具适用性和科学性;
形成全员参与的风险管理文化,提高一道防线部门的积极性,主动地对操作风险进行自我识别和管控。
系统化程度低,难以实现事前和事中管控,证券公司需要:
建立操作风险管理系统,支持操作风险管理三大工具运行、监测,逐步将系统自动控制落实于决策、执行、监督、反馈等各环节;
逐步实施系统改造,将操作风险管理系统与业务系统打通,实现从线下手工到线上化管控的转化,逐步替代人工报送流程。
小型证券公司尚未开展操作风险体系化管理工作,所面临的问题:
管理机制尚不健全,未体系化地开展操作风险管理工作,证券公司需要:
建立完善的操作风险管理制度框架以及实施细则,有效指导公司操作风险管理工作的开展和推进;
建立完善操作风险关键风险指标、风险控制自我评估、损失数据收集三大工具,提高操作风险管理效率和效果。
操作风险管理工作未覆盖业务连续性管理、外包管理等领域,证券公司需要:
建立健全业务连续性管理、外包管理体制;
将业务连续性管理、压力测试以及外包管理纳入操作风险管理日常领域中,全面丰富和优化操作风险管理体系。
普华永道助力证券公司构建和完善操作风险管理体系
针对不同规模的证券公司,普华永道将提供与之相适配的产品和服务:
针对大中型证券公司:
协助落实操作风险最新监管要求,做好同、异业对标,提出落地解决方案;
协助完善KRIs风险指标库、操作风险事件库等;
协助建立优化操作风险管理系统,提高系统化程度,实现事前和事中管控;
协助建立完善操作风险三大工具和业务连续性管理、压力测试等工具的联动,提升操作风险管理工作的全面性和高效性;
协助开展操作风险管理文化建设,组织开展一道防线以及公司领导的培训和宣贯,提升公司自上而下、全体全员的重视程度和主动防控意识;
结合公司操作风险管理系统以及数据管理现状,开展数据治理及数据质量优化工作。
针对小型证券公司:
协助构建和完善公司操作风险管理体系,结合公司现有操作风险管理情况,明确操作风险管理职责,考核及责任追究机制,完善、优化操作风险管理体系,建立风险识别与评估、风险量化与监测、风险报告与处置的操作风险管理机制;
提供咨询+系统落地一站式服务,协助建立完善操作风险管理三大工具,以及外包管理、业务连续性管理等机制,筑牢操作风险管理工作的坚实基础。
