附录 名词解释及示例
一、操作风险事件
操作风险事件是指由操作风险引发,导致银行保险机构发生实际或者预计损失的事件。银行保险机构分别依据商业银行资本监管规则和保险公司偿付能力监管规则进行损失事件分类。
二、法律风险
法律风险包括但不限于下列风险:
1.签订的合同因违反法律或者行政法规可能被依法撤销或者确认无效;
2.因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任;
3.业务、管理活动违反法律、法规或者监管规定,依法可能承担刑事责任或者行政责任。
三、运营韧性
运营韧性是在发生重大风险和外部事件时,银行保险机构具备的持续提供关键业务和服务的能力。例如,在发生大规模网络攻击、大规模传染病、自然灾害等事件时,银行保险机构通过运营韧性管理机制,能够持续向客户提供存取款、转账、理赔等关键服务。
四、操作风险管理报告
第七条、第九条、第十二条规定的操作风险管理报告以及第三十三条规定的操作风险管理情况可以是专项报告,也可以是包括操作风险管理内容的全面风险报告等综合性报告。
五、操作风险类监测指标
第十九条规定的操作风险类监测指标可以包括案件风险率和操作风险损失率。国家金融监督管理总局及其派出机构可以视情形决定,是否确定对特定机构的操作风险类监测指标。
(一)指标计算公式
案件风险率=业内案件涉案金额/年初总资产和年末总资产的平均数×100%。国家金融监督管理总局对于稽查检查和案件管理制度另有规定的,则从其规定。
操作风险损失率=操作风险损失事件的损失金额总和/近三年平均营业收入×100%
(二)案件风险率
案件风险率应当保持在监测目标值的合理区间。监测目标值公式为:
St=Ss+ε
St为案件风险率监测目标值;Ss为案件风险率基准值,由监管部门根据同类型机构一定期间的案件风险率、特定机构一定期间的案件风险率,并具体选取时间范围、赋值适当权重后确定。ε为案件风险率调值,由监管部门裁量确定,主要影响因素包括公司治理和激励约束机制、反洗钱监管情况、风险事件演变情况、内部管理和控制情况、境外机构合规风险事件情况等。
(三)操作风险损失率
操作风险损失率应当保持在监测目标值的合理区间。监测目标值公式为:
Lt=Ls+ε
Lt为操作风险损失率监测目标值;Ls为操作风险损失率基准值,监管部门根据同类型机构一定期间的操作风险损失率、特定机构一定期间的实际操作风险损失率,并具体选取时间范围、赋值适当权重后确定。ε为操作风险损失率调整值,由监管部门裁量确定,主要影响因素包括操作风险内部管理和控制情况、操作风险损失事件数据管理情况、相关事件数量和金额变化情况、经济金融周期因素等。
六、风险偏好传导机制
第十九条规定的风险偏好传导机制,是指银行保险机构根据风险偏好设定容忍度或者风险限额等,并对境内外附属机构、分支机构或者业务条线等提出相应要求,如对全行(公司)、各附属机构、各分行(分公司)、各业务条线设定操作风险损失率、操作风险事件数量、信息系统服务可用率等指标或者目标值,并进行持续监测、预警和纠偏。其中,信息系统服务可用率=(信息系统计划服务时间—非预期停止服务时间)/计划服务时间×100%。
七、考核评价指标
第二十二条规定的考核评价指标,应当兼顾操作风险管理过程和结果,设置过程类指标和结果类指标。例如,操作风险损失率属于结果类指标,可根据损失率的高低进行评分。操作风险事件报告评分属于过程类指标,可根据事件是否迟报瞒报、填报信息是否规范、重大事件是否按照要求单独分析等进行评分。
八、固有风险、剩余风险
第二十五条规定的固有风险是指在没有考虑控制、缓释措施或者在其付诸实施之前就已经存在的风险。剩余风险是指现有的风险控制、缓释措施不能消除的风险。
本条所指固有风险与保险公司偿付能力监管规则不一致,偿付能力监管规则中的固有风险是指在现有正常保险行业物质技术条件和生产组织方式下,保险公司在经营和管理活动中必然存在的、客观的偿付能力相关风险。
九、操作风险等级
第二十五条规定的操作风险等级由银行保险机构自行划分。例如,通常可划分为三个等级:发生可能性(频率)低、影响(损失)程度低的,风险等级为低;发生可能性(频率)高、影响(损失)程度低的,风险等级为中;发生可能性(频率)低、影响(损失)程度高或者发生可能性(频率)高、影响(损失)程度高的,风险等级为高。
十、缓释操作风险
第二十六条规定的购买保险是指,银行保险机构通过购买保险,在自然灾害或者意外事故导致形成实物资产损失时,获得保险赔付,收回部分或者全部损失,有效缓释风险。其中,保险公司向本机构和关联机构购买保险不属于有效缓释风险。
十一、操作风险损失数据库、操作风险自评估、关键风险指标
第三十五条规定的操作风险损失数据库、操作风险自评估、关键风险指标是银行保险机构用于管理操作风险的基础工具。
(一)操作风险损失数据库
操作风险损失数据库(保险公司偿付能力监管规则称为操作风险损失事件库)是指按统一的操作风险分类标准,收集汇总相应操作风险事件信息。操作风险损失数据库应当结合管理需要,收集一定金额以上的操作风险事件信息,收集范围应当至少包括内部损失事件,必要时可收集几近损失事件和外部损失事件。
内部损失事件是指,形成实际或者预计财务损失的操作风险事件,包括通过保险及其他手段收回部分或者全部损失的操作风险事件,以及与信用风险、市场风险等其他风险相关的操作风险事件。
几近损失事件是指,事件已发生,但未造成实际或者预计的财务损失。例如,银行保险机构因过错造成客户损失,有可能被索赔,但因及时采取补救措施弥补了客户损失,客户谅解并未进行索赔。
外部损失事件是指,业内其他金融机构出现的大额监管处罚、案件等操作风险事件。
(二)操作风险自评估
操作风险自评估是指,识别业务、产品及管理活动中的固有操作风险,分析控制措施有效性,确定剩余操作风险,确定操作风险等级。
(三)关键风险指标
关键风险指标是指,依据操作风险识别、评估结果,设定相应指标,全面反映机构的操作风险敞口、控制措施有效性及风险变化趋势等情况,并应当具有一定前瞻性。例如,从人员、系统、外部事件等维度制定业内案件数量、业外案件涉案金额等作为关键风险指标并设定阈值。
十二、事件管理、控制监测和保证框架、情景分析、基准比较分析
第三十五条规定的可以选择运用的操作风险管理工具,包括:
(一)事件管理
事件管理是指,对新发生的、对管理有较大影响的操作风险事件进行分析,识别风险成因、评估控制缺陷,并制定控制优化方案,防止类似事件再次发生。例如,发生操作风险事件后,要求第一道防线开展事件调查分析,查清业务或者管理存在的问题并进行整改。
(二)控制监测和保证框架
控制监测和保证框架是指,对操作风险自评估等工具识别的关键控制措施进行持续分析、动态优化,确保关键控制措施的有效性。例如,利用控制监测和保证框架对关键控制措施进行评估、重检、持续监测和验证。
(三)情景分析
情景分析是指对假设情景进行识别、分析和计量。情景可以包括发生可能性(频率)低、影响程度(损失)高的事件。
情景分析的基本假设可以引用操作风险损失数据库、操作风险自评估、关键风险指标、控制监测和保证框架等工具获取的数据信息。运用情景分析可发现潜在风险事件的影响和风险管理的效果,并可对其他风险工具进行完善。
情景分析可以与恢复与处置计划结合,用于测试运营韧性。例如,假设银行保险机构发生数据中心无法运行也无法恢复、必须由异地灾备中心接替的情景,具体运用专家判断评估可能造成的损失和影响,制定业务恢复的优先顺序和恢复时间等目标,分析需要配置的资源保障。
(四)基准比较分析
基准比较分析,一方面是指将内外部监督检查结果、同业操作风险状况与本机构的操作风险识别、评估结果进行比对,对于偏离度较大的,需重启操作风险识别、评估工作。另一方面是指操作风险管理工具之间互相验证,例如,将操作风险损失数据与操作风险自评估结果进行比较,确定管理工具是否有效运行。