□马宁

金融安全是国家安全的重要组成部分。近年来，保险业存量风险得到有效化解，增量风险整体收敛、总体可控，科学有效的操作风险管控发挥了重要作用。面对百年变局和世纪疫情相互叠加的复杂环境，业务转型、产品创新和技术迭代给保险机构带来的不确定不稳定因素显著增多，操作风险诱因和表现形式更加多样，隐蔽化和复杂化特征更加明显，对保险机构操作风险管理的前瞻性、敏感度和管理质效提出了新考验、新要求。

操作风险管理重要性凸显

（一）操作风险已成为偿付能力的主要掣肘

我国保险业操作风险的具体监管要求主要体现在以风险为导向的偿付能力体系（偿二代）监管规则中，操作风险被定义为“由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险，包括法律及监管合规风险（不包括战略风险和声誉风险）”。操作风险与战略风险、声誉风险和流动性风险同时作为难以资本化的风险，纳入第二支柱进行定性监管，具体通过风险综合评级（IRR）和偿付能力风险要求与评估（SARMRA）两项评价机制实现。

在保险公司偿付能力监管评估中，部分险企因面临较大操作风险，风险综合评级无法达到B级以上，致使整体偿付能力不达标，限制业务开展。如在2022年四季度风险综合评级中，被评为C类或D类的机构主要受操作风险以及战略风险、声誉风险、流动性风险等原因影响。在严监管趋势下，监管机构对操作风险等固有风险的评价标准将愈发严苛。此外，个别机构因在风险综合评级中操作风险数据填报不真实受到监管通报，修正后或将导致风险综合评级出现一定程度下降，对偿付能力造成负面影响。

（二）操作风险已成为监管处罚的重点领域

近年来，保险机构受到的监管处罚事由，大多是由于内部业务流程不完善、从业人员行为管理不规范、系统功能或设置存在缺陷等因素造成的，属于操作风险管理范畴。

从具体处罚案例来看，2022年3月，某财险公司因信息系统规则和设置存在缺陷，造成两个保单首次责任生效日抓取错误、保单责任余额计算错误，对财务数据真实性产生影响，且系统中还存在保费及保险金额人工填写错误等，被罚款50万元，对直接责任人警告并罚款7万元；部分保险产品未将报备的费率计算公式嵌入业务系统，保险费率测算和厘定无法通过系统进行严格管控，被予以警告并罚款1万元。2022年9月，某寿险公司北京市分公司因存在手续费记录不真实的违法行为被罚款50万元，对直接责任人予以警告并罚款10万元。

从罚款金额来看，2022年三季度，保险机构文件资料领域位居罚款金额首位，其后是保险展业、费用管理等领域。具体处罚事由主要包括：编制或者提供虚假的报告、报表、文件、资料等；未严格执行经批准或者备案的保险条款、保险费率、给予投保人保险合同约定以外的利益等；虚列费用和虚构中介业务套取费用等。

操作风险管理存在的问题

（一）操作风险管理组织体系有待健全

根据COSO企业风险管理框架，治理与文化是风险管理的第一要素。目前我国保险行业公司治理建设和改革取得一定成效，但部分机构治理架构不完备、运作不规范、履职不到位等问题仍较为突出，操作风险管理的顶层设计和监督有所缺失。此外，部分保险机构虽然按照监管要求，建立了由董事会负最终责任、管理层直接领导、风险管理部门统筹、各部门配合的风险管理组织架构，但在实际运营过程中，未明确界定各层级的操作风险防控职责并建立促进其履职尽责的激励约束机制，使得操作风险实质上处于无人管理的尴尬境地。

（二）操作风险管理文化尚未深耕

保险行业一直倡导营造良好的风险管理文化氛围，但部分机构在培育全员操作风险防范意识及风险化解主动性方面还有较大的提升空间。一方面，操作风险与经营利润没有明显的直接对应关系，部分保险机构的董事会、高级管理层对操作风险重视程度不够，未将操作风险管理融入公司发展战略或经营管理活动中，甚至带头突破内控制度规则，形成不良的“高层基调”。另一方面，员工对于自身操作风险管理责任缺乏清晰认知，或认为操作风险管理是风险管理部门的事情，或存在侥幸心理，在业务活动中不能主动进行风险识别和规避，导致保险机构操作风险暴露增加。

（三）操作风险偏好体系仍需完善

风险偏好体系是保险机构对待风险的基本态度和总体目标。当前我国保险机构在公司整体风险偏好体系的基础上，嵌入操作风险管理要求，搭建了操作风险偏好、操作风险容忍度、操作风险限额的三级架构。但是对于多数中小保险机构来说，其操作风险偏好体系建设有形无神，仅简单照搬照抄大机构，而没有审慎评估操作风险指标与公司业务性质、规模、复杂程度和风险特征的匹配程度，也没有很好地兼顾定性与定量指标并重的要求，导致操作风险偏好体系无法真实全面地反映公司的风险状况并及时准确地发挥预警功能。

（四）操作风险管理工具亟待优化

操作风险管理主要工具包括损失数据收集（LDC）、关键风险指标（KRI）和风险与控制自我评估（RCSA），分别用于揭示过往操作风险状况、监测当下操作风险水平和评估潜在操作风险隐患及控制措施的有效性。目前保险机构对于操作风险管理三大工具的运用，存在着因设计不科学导致执行结果与实际风险状况匹配度较低、管理工具之间协同性不足等问题。操作风险管理工具有效性欠缺，造成保险机构操作风险管理事前和事中管控不到位，无法在风险事件发生前捕捉到风险信号并采取相应防范措施。

（五）操作风险信息难以获取

风险信息及时获取是操作风险防范的必要条件和重要保障，是风险识别、评估、应对、监督与报告流程中不可或缺的重要一环。目前很多保险机构都面临着操作风险信息传递不通畅的管理难题。究其原因，一是操作风险事件报送标准不明确或不全面，对于是否属于风险事件以及事件的严重程度，责任人员或机构难以快速准确判断，使风险信息报送延误；二是对于较为严重的操作风险事件，相关人员或机构出于绩效考核、内部问责或外部影响等顾虑，不愿主动报送，导致出了风险，风险管理部门或上级机构最后知道甚至不知道，操作风险管理十分被动。（上）

（作者单位：大家资产管理有限责任公司）