《证券公司操作风险管理指引》解读

近年来，证券行业业务领域不断扩展、复杂程度不断提升、新业务新产品不断增多，对证券公司操作风险应对能力提出了越来越高的要求。中央金融工作会议要求，对金融风险要早识别、早预警、早暴露、早处置，健全具有硬约束的金融风险早期纠正机制。

2023年12月，中国证券业协会（下称“协会”）制定并正式发布了《证券公司操作风险管理指引》（下称“《指引》”），旨在健全证券行业风险管理自律规则体系建设，持续督促引导证券公司提升全面风险的防范、识别、解决的能力。《指引》要求证券公司进一步完善操作风险管理架构、流程、工具和措施，规范操作风险管理行为，加强对各类操作风险事件的防控和应对，防范风险跨区域、跨市场、跨境传递共振，维护行业稳健运行，助力行业机构高质量发展。

一、证券公司操作风险监管新规总览

2016年12月，协会发布《证券公司全面风险管理规范》，将操作风险纳入全面风险管理范畴并对提出总体要求，明确证券公司董事会、经理层以及全体员工应共同参与，对公司经营中的操作风险进行准确识别、审慎评估、动态监控、及时应对及全程管理。2021年12月，协会首次下发《证券公司操作风险管理指引（征求意见稿）》向行业征求意见，此后经过多轮对征求意见稿的修订形成了最终发布版本。

《指引》共七章三十七条，主要包括操作风险管理职责、操作风险管理机制、操作风险监测与报告、专项领域的操作风险管理，系统、数据及其他管理要求等，如下所示。

图：操作风险管理体系

二、证券公司操作风险监管新规要点提炼

《指引》发布之前，结合全面风险管理的要求，参考银行业等其他金融机构的操作风险管理要求，不少证券公司已经初步构建了操作风险管理体系，然而由于缺乏行业性的操作风险管理规范，操作风险管理工作存在落地难的问题。《指引》作为证券行业首次针对操作风险发布的实施指引，具备较强的实操性，为证券公司进一步落地及提升操作风险管理指明了方向。

1

明确操作风险定义

《指引》首次明确了操作风险定义，明确操作风险是指由不完善或有问题的内部程序、人员、信息技术系统，以及外部事件造成损失的风险；明确操作风险包括法律风险，但不包括战略风险和声誉风险，补齐了目前行业监管要求中对于操作风险定义的空缺。

2

明确证券公司管理体系构成要素

根据《指引》的要求，证券公司操作风险管理体系应当包括健全的组织架构、明晰的管理职责与分工、专业的人才队伍、可靠的信息技术系统、量化的风险指标体系和有效的风险应对机制，并通过可操作的管理制度，规范以上要求的落实与开展。

3

明确操作风险管理职责

《指引》明确了董事会、监事会、经理层、各部门、分支机构、子公司在操作风险管理中的职责：董事会承担操作风险管理的最终责任；监事会承担操作风险管理的监督责任；经理层承担操作风险管理的主要责任；各部门（包括业务部门及职能部门）、分支机构、子公司则对本单位的操作风险管理负直接责任。

《指引》明确，证券公司应设立或指定操作风险牵头管理部门，同时强调操作风险管理统筹与协作，要求证券公司各职能部门在负责管理本职能领域操作风险的同时，应为操作风险管理牵头部门提供管理支持；《指引》明确了操作风险管理应纳入内部审计范畴。

4

规范操作风险管理机制

《指引》规范了操作风险管理机制，明确提出操作风险识别与评估、操作风险控制与缓释、操作风险监测与报告的相关要求。特别的：

提出对新业务、新产品和新系统的操作风险管理要点，要求充分识别和评估相关操作风险，强化风险管理的前瞻性；

整合、梳理境内外操作风险典型案例和行业经验，总结形成操作风险控制与缓释的基本措施和主要业务领域的管理措施；

对操作风险管理工具的应用给予一定灵活性，要求以发挥管理工具实效为目的进行完善、优化。例如，要求利用信息技术手段持续提升操作风险监测能力；要求建立损失数据主动收集和完善机制；要求建立内部信息共享和协同整改机制等。

5

提出系统、数据及专项领域操作风险管理要求

《指引》结合行业数字化转型趋势，对相关系统、数据在操作风险管理中的应用提出意见，同时明确了各专项领域操作风险管理要求，包括：

建立操作风险管理信息系统，支持操作风险评估、监测、报告等工作；

逐步完善操作风险统一数据分类标准，建立健全数据治理和质量控制机制；

完善操作风险压力测试，提升操作风险量化能力；

完善突发事件应急处理机制、业务连续性管理、外包风险管理、人员行为管理等。

三、证券公司操作风险管理现状及痛点

截至目前，随着《证券公司风险控制指标管理办法》、《证券公司全面风险管理规范》的发布和修订，并在小范围内开展并表管理试点，证券公司风险管控边界从证券母公司拓展到全集团层面。随着行业整体风险管理水平的不断提升，当前的证券公司操作风险管理水平分布呈现出以下特点：

对标《指引》中的重点管理要求，结合行业操作风险管理实践，不同规模、不同类型的证券公司不同程度存在如下的操作风险管理差距或痛点。

1

风险管理文化意识有待提高

部分证券公司的操作风险管理定位不高，公司顶层缺乏战略高度的管理目标和与之配套的风险文化与管理机制。对操作风险的认知较为局限，对操作风险管理不重视，部分公司一道防线作为操作风险的直接承担者和管理者的责任和义务不明确、不履责。

2

风险管理资源保障不足

操作风险管理人力资源保障不足。具体表现为：操作风险管理人员配备不充足，无法切实有效履职；操作风险管理人员胜任能力不足，无法支持专业性强的管理工作；操作风险管理人员稳定性不强，各类管理工作的延续性受到挑战。

此外，仍有部分证券公司尚未搭建操作风险信息管理系统或信息系统对操作风险管理支持有限，影响操作风险管理工作的效率和效果。

3

风险管理手段相对单一

目前操作风险管理的主要手段局限于三大管理工具，行业对于三大管理工具的使用存在不少痛点。具体表现为：三大管理工具无法与实际业务相结合，基础数据收集困难，易形成信息孤岛；管理工具可持续性较弱，部门配合程度较低，维护成本过高；甚至部分证券公司尚未将操作风险三大工具投入日常运用。

4

风险管理工具效果有限

现有操作风险管理监测指标种类较为单一，量化指标多以事后统计为主，无法起到实质性监测效果，事前事中监控能力有待提升；损失数据收集不全面，数据来源途径不足，无法保证损失数据完整性；操作风险自评估，其实际风险敞口甄别能力极大程度受到参与评估人员的操作风险管理意识与能力影响，不同人员对同一问题的理解存在偏差。操作风险三大管理工具实际管理效果有限。

5

风险管理成果难以量化

现有操作风险管理成果多为定性的、结构化程度欠佳的管理信息，操作风险敞口较难显性量化呈现。部分证券公司操作风险数据积累不够成熟，依赖手工维护，数据标准不统一，数字化建设进程较慢。

四、证券公司操作风险管理提升应对措施

针对上述差距和痛点，我们建议各证券公司结合《指引》发布契机，重整操作风险管理体系、全面满足监管要求，提升操作风险管理水平、全力把控业务经营风险。以对标《指引》开展现状差距诊断与自身能力分析为起点，着眼操作风险治理架构、操作风险管理框架、操作风险管理流程，落实以下关键举措：

关键举措1：强化操作风险治理架构

证券公司应对标《指引》全面梳理操作风险及其相关职能的治理架构及履职程序，在完善全面风险治理架构基础上进一步提高操作风险治理架构履职的效率与效果。

证券公司应将各级主体纳入操作风险管理体系，厘清其分工与主要职责，重点夯实各部门、分支机构、子公司作为操作风险直接承担者的风险意识，并推演至各级业务和职能部门，纵向到底，各机构各单位职责落实，切实承担操作风险管理主体责任。

证券公司应全面捋清《指引》提到的操作风险及其相关职能的定位和边界，协同相关部门，实现对于操作风险管理、内控合规管理、外包风险管理和新产品新业务管理等各项职能的全面覆盖和打通，横向到边，各部门各防线职责明确，相互配合发挥合力。

关键举措2：保障操作风险资源投入

证券公司应对标《指引》要求，审视操作风险资源投入，充足配置以保障操作风险管理体系有序运行。

盘点自身操作风险管理底蕴与现状，包括一线专职或兼职的操作风险管理人员的风险管理硬实力、操作风险管理牵头部门的风险管理推动力、其他部门对操作风险管理的支撑力等。

为操作风险管理体系配置充足且胜任的管理资源：

一是匹配与业务特点、规模和复杂程度相适应的管理资源；

二是搭建完善的操作风险相关岗位人员任职履职管理机制体系，包括但不限于能力培养与履职保障机制等。

关键举措3：丰富操作风险管理手段

证券公司应对标《指引》，结合自身管理痛点，丰富并持续优化操作风险管理手段，提升操作风险管理工具运用效果，实现风险管理工具“从无到有”、“从有到优”的转变。

提升操作风险三大管理工具运用效果，包括：提升操作风险识别的全面性和操作风险评估的准确性；提升操作风险监测的覆盖面和操作风险预警的敏感度；提升损失数据报送意愿和损失数据报送质量；提升风险数据维护和风险工具运用的有善性和可操作性。

证券公司应在常态化运用操作风险管理工具的基础上，把握“联防联动、联防联控”的管理思路，在“大操风”的框架下丰富操作风险管理工具群，结合内控合规管理、员工行为管理、专项风险排查等各类手段，进一步完善和补充操作风险识别与评估、操作风险控制与缓释、操作风险监测与报告之闭环管理流程，通过风险信息共享和协同管理机制，助力管理工具提质增效。

关键举措4：提升操作风险管理数字化和量化水平

证券公司应对标《指引》，进一步提升操作风险管理数字化和量化水平，包括：

全面盘点操作风险相关数据信息，通过数据标准建立、数据治理和数据标签等工作构建风险数据的分析、挖掘和运用机制，定位关键风险领域与风险敞口；

针对重点风险场景，通过系统化管控措施和数字化管理手段，实现管理前置，将操作风险管控措施或操作风险监测措施嵌入业务/管理流程；

规划操作风险管理系统更新及迭代，打通内外部管理数据，对接其他相关系统，实现数据流转和管理协同；定制多维风险报告驾驶舱，实现风险情况和管理成效的可视化输出；

丰富操作风险压力测试情景，规范操作风险压力测试方法，探索操作风险经济资本计量和考核等。

毕马威赋能证券公司操作风险管理，提供定制化解决方案：

毕马威通过提供一套系统化的方法论对现有操作风险管理体系进行革新迭代，打通操作风险管理的基础数据，拓展操作风险管理工具运用场景，融合并联动其他管理工具，推动操作风险管理数字化进程，赋能证券公司操作风险管理。

张楚东

金融业主管合伙人

毕马威中国

tony.cheung@kpmg.com

王国蓓

证券基金业主管合伙人

毕马威中国

abby.wang@kpmg.com

郑昊

证券基金业咨询主管合伙人

毕马威中国

james.zheng@kpmg.com

李斌

治理、合规与风险服务

内地主管合伙人

毕马威中国

johnson.li@kpmg.com

徐捷

金融业治理、合规与风险

咨询服务主管合伙人

毕马威中国

jessica.xu@kpmg.com

葛怡婷

金融业治理、合规与风险

咨询服务合伙人

毕马威中国

joyce.ge@kpmg.com

常淼

金融业治理、合规与风险

咨询服务合伙人

毕马威中国

eric.chang@kpmg.com

罗森

金融业治理、合规与风险

咨询服务合伙人

毕马威中国

medivh.luo@kpmg.com

张旭东

金融业治理、合规与风险

咨询服务总监

毕马威中国

emma.d.zhang@kpmg.com 

点击进入毕马威行业智汇

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

©2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所，均是与英国私营担保有限公司—毕马威国际有限公司（“毕马威国际”）相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙)—中国合伙制会计师事务所；毕马威企业咨询(中国)有限公司—中国有限责任公司；毕马威会计师事务所—香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。