明确的风险偏好如何改善非财务风险管理

风险与弹性实践 明确的风险偏好如何改善非财务风险管理 成本高昂且具有破坏性的非金融风险是金融服务业中始终存在的问题。明确的风险偏好策略可以缓解该问题。 BjörnNilsson,ThomasPoppensiker,JanPeterSchmütsch,andSebastianSchneider 2023年10月 ©GettyImages 2022年，损失、罚款和法律费用对于非金融风险，银行业的成本 190亿美元，自2010年以来，非金融风险的总价格超过 4600亿美元。 非财务风险——那些从人员、流程、系统和外部事件中产生的风险——对所有机构来说都是具有挑战性的，高管面临着不断变化的风险事件和中断格局。尽管存在固有的挑战，但重要的是要明确定义对这些风险的偏好，以限制在超出公司风险能力并威胁其业务目标的领域中的风险承担。这种胃口需要通过投资于提供最高收益的活动来平衡回报优化。 对于金融机构而言，风险偏好是端到端风险管理框架中特别重要的组成部分。它需要得到其他风险管理组成部分的支持，例如全面的风险分类，稳健的风险 识别和评估流程，数据和分析能力，以及基于风险重要性的风险汇总和优先级逻辑。风险偏好需要整合到风险治理和监督，报告以及风险决策和缓解措施中（图表1） 。 在金融机构，为金融风险设定风险偏好是一种广泛的，由监管驱动的做法，用于管理资产负债表，损益表和现金流量的风险。目标是限制金融资产和负债相对于资本和资金的信用、市场和流动性风险能力。同时，高管们需要权衡稀缺性资本和资金的配置与风险，以优化收益 ，这是由股本回报率和风险调整后的资本来衡量的。 对于非财务风险，设定风险偏好是一个比财务风险更难以捉摸的理论概念。 附件1 风险偏好是端到端非金融风险管理框架的核心组成部分。 非财务风险管理框架 风险 分类法 需要董事会参与的区域 整个组织的通用 风险语言 最高 风险 Top的度量风险险决策措施食欲果触发和信道 基于场景的预定义监控风险 风 风险和控制自我评 估特定于风险类型的评估结果、问题 、事件 金融风险的优先次序 baD声誉协议、监管an规则、运营客户影im响 scan 食欲升级外部决定阈值/缓解计划的结方案实施 决策权/和效力权限监控 监数控据数驱据动关的分键析性能 指标,关键风险指标,调查结果,问题,事件 其他风 险 根据需要进行适当的监控和补救 风险缓解 监测/决策食欲报告制作 风险 风险聚合 风险识别与评估 麦肯锡公司 Inthisarticle,weshareourexperiencesofworkingwithfinancialinstitutionsthathaveanassuredguaranteeoftheirnonfinancial-riskpaverablethroughactionstoenhancenonfinancial-riskmanagement.Weidentified 指导框架设计的原则和用于实现管理机构非金融风险偏好的新兴方法的方法。 将重点从财务风险管理转向非财务风险管理 近年来，金融业的重点已从金融风险管理转移到非金融领域，例如运营风险，监管合规性以及预防金融犯罪所必需的合规性和行为。 这种转变是由主要行业趋势推动的，例如产品的不当销售，逃税的便利，保护机构免受洗钱的控制措施的崩溃， 新法规，并提高监管期望。风险管理者还必须应对新的障碍：先进的智能驱动的数字化运营模式；监管 对合规性和操作安全的要求；以及来自持续提高效率和生产力提高的组织和流程挑战。 在许多方面，非金融风险对金融机构的影响比金融风险的影响更具威胁性：这些风险不能传递给客户，具有更广泛的声誉影响，并且通常需要比金融风险更高的成本更复杂的补救工作。在某些年份，非金融风险损失已经等于或超过了累积的信用风险准备金或银行减值。如前所述，损失、罚款和诉讼费用都有成本。 欧洲和美国最大的银行超过 自2010年以来的4600亿美元（图表2）。 附件2 在过去14年中，非财务风险的运营损失，罚款和诉讼费用累计约为4600亿美元。 2010-23年运营损失、罚款和诉讼费用，10亿美元（每年） 80 2010-23年运营损失、罚款和诉讼费用，亿元（累计） 500 70 60 50 40 30 20 10 0 2010 2015 2020 2023² 00 00 00 00 0 2010 2015 2020 2023² 4 3 2 1 1包括运营风险损失（例如，未经授权的交易），罚款，结算和准备金积累的费用（例如，补偿客户的准备金）。基于通过新闻和新闻搜索收集的已解决/费用化的事件。欧洲和美国银行总计304的样本，包括830个事件/罚款/成本条目。 2年初至今2023年1月至8月。 麦肯锡公司 然而，这些公司通常在管理非金融风险方面的支出仍然远远超过行业平均水平。欧洲银行平均雇用8％至9％的员工进行洗钱预防，而效率最高的银行仅雇用4％至5％。对于存在洗钱问题的银行，多达18％的员工从事洗钱预防工作。 同样，对于监管合规，经历过重大行为或监管合规违规行为的大型国际银行采用 在二线监管合规职能中，其员工的比例为2.0%至3.0%，而大型国际银行平均只有1.5%在二线，效率最高的银行远低于 1.0%。 毫不奇怪，即使在后金融危机时代，资本比率很高，监管更加严格，我们也看到了金融行业内部由非金融风险导致的银行倒闭和动荡。因此，在衡量机构对非金融风险的偏好时，高管们可能会感到无所适从。 设计风险偏好框架的原则 非财务风险的风险偏好框架的设计依赖于五个基本原则。 这些与财务风险的方法不同，可以更容易地汇总以形成财务损失风险的观点。 原则1：按业务领域和共享服务关注顶级非财务风险机构经常使用风险分类法作为 风险偏好的锚点，并为每种风险类型定义声明，这导致了一个单一的尺寸- 所有方法，而不是按集团或单个业务部门的重要性对风险进行优先排序（参见侧栏“全球银行如何使用业务驱动的风险偏好框架来管理非金融风险”）。 相反，按业务部门和共享服务功能设置风险偏好可确保关注最重要的风险并增强质量 通过以下方式对人、流程和系统的结果进行评估： —业务和风险所有权对齐 —从业务角度进行风险优先级排序，这也有助于定义业务和共享服务功能应遵循的适当关键绩效指标(KPI)和关键风险指标(KRI) —适当的目标设置以进行改进和频率 领先的机构采取基于风险的方法，并为顶级风险设定更具体的风险偏好，同时使用定性陈述和一组三到五个风险特定指标来制定偏好。 他们将风险偏好与机构的风险分类法联系起来，通常将非金融风险分类法中的最高风险偏好设置为低一级，因为非金融风险类别中的各种风险类型具有不同的风险驱动因素 。麦肯锡的一项分析表明，这种方法平均导致零售银行，财富管理，资产管理和资本市场的10到12种最高风险类型，而企业和投资银行业务的15种风险分类通常超过30种。 在这种情况下，最高风险类型通常是在业务、控制和共享服务功能之间共同决定的，其中第二条线最终确认或审查或质疑最高风险选择。机构使用广泛的来源来识别最高风险，随后制定偏好。最常见的来源 是风险和控制自我评估的结果，问题和事件，监测数据 ，审计报告以及KPI和KRI（参见侧栏“保险公司如何使用关键风险和绩效指标来量化非财务风险偏好”）。 原则2：尽可能利用主题专业知识 基于第一点，风险专业知识是稀缺的，需要尽可能多地使用。这意味着废除可以管理所有风险的中央风险和合规功能的概念。 全球银行如何使用业务驱动的风险偏好框架来管理非金融风险 一个全球银行实施一个业务驱动的风险偏好框架 ，对顶级非金融风险有特定的风险偏好。 该银行重新设计了其非财务风险偏好框架，以通过从业务角度而不是从控制功能角度定义风险偏好来增强其有效性。风险偏好定义是由风险和合规职能部门在一开始就向董事会提出的 ，但企业并没有发现这种风险偏好在日常业务运营中具有指导决策的可操作性。 该银行的框架基于一套五个核心原则： —并非所有风险都具有同等重要性。风险偏好应集中在对每个业务部门最重要的最高风险以及这些风险的特定驱动因素上 最大化企业风险偏好的有效性和有用性。 —定性陈述、指标和限制或阈值应与每个业务部门最高风险的真正驱动因素相联系，以使风险偏好可操作。 —应将风险偏好嵌入业务及其战略决策中，使业务成为提出风险偏好的主导，以避免使其成为控制职能部门运行的一项工作。 -阈值和容忍度水平应补充基于控制的关键绩效和固有风险指标，以解锁业务管理相关性 。 -应对风险偏好违规的治理过程应通过预定义的行动和时间表进行正式化 回到阈值内，以触发生意。 风险偏好是在业务部门层面上定义的。每个部门都描述了其商业模式和战略，以及其客户群、分销渠道、产品和服务、基础设施以及外部因素— —如市场条件和监管——如何产生固有风险。 每个业务部门都设置了一个总体的，一般的风险偏好，适用于所有非财务风险（包括已将管理层委托给支持功能的风险，例如网络安全）。对于这些风险，每个单位都制定了关于接受和拒绝风险的总体定性声明，以及对控制环境的期望。特定的非风险类型指标被定义为适用于风险分类中的所有风险类型，例如监管机构确定的重大问题或内部审计和运营损失。 Thebusinessunitsdefinedtheseventotentoprisksdrivingmostoftheirriskprofiles.Fortheserisks,arisk-type- 制定了特定的食欲，并确定了潜在的风险驱动因素，以跟踪和了解对最高风险的暴露。具体的风险类型陈述被阐明为要承担和不承担的风险，以及对特定风险控制框架的期望和 流程。监控最高风险的风险特定度量基于其识别的驱动因素。度量的阈值基于历史数据、基准以及业务和控制职能部门之间的讨论。最终，阈值在适当的情况下被级联到区域或服务台级别(展示 )。 建立了业务单元仪表板来跟踪该单元的风险状况的发展，涵盖了通用风险度量和针对顶级风险的特定风险类型度量。针对剩余风险度量的“硬触发器”的违规审查流程表明 潜在的风险偏好违约。超过硬性触发因素会启动正式审查，以确定风险偏好是否已被违反，如果是，则决定采取适当的补救措施。“软触发因素”是为监控控制有效性和固有风险发展的指标设置的，这些指标可能需要采取进一步的预防性或先发制人的行动，但不会触发风险偏好违约。 Ifariskexpositionisconfirmed,thebusinessunitcandevelopearemediationplanthatisreviewed,questioning,andagreedtobytherelevantcontrolfunctionorfunctions.Theremediationplanisbased 在三个月内降低固有风险、改善控制环境或调整风险偏好,使剩余风险回归偏好: -加快加强或补救控制框架 -临时或战术控制 -临时风险接受 -停止新业务 -额外的资本分配 -风险偏好的永久变化 在业务单元级别和集团级别设置的风险偏好之间的一致性是通过在两个级别上的一组共同的度量和限制来确保的，例如操作风险损失。 Exhibit 对于顶级风险，定义风险驱动因素，制定具体的定性声明，并选择指标和阈值。 定义风险偏好的方法，关注顶级风险 最高风险驱 风险动因素 定性陈述Metrics阈值级联度量 Description 根据固有风险水平 确定固有风险 根据风险驱动因 将制定的陈述转 根据历史数据、外 将指标和阈值 、变化速度/结晶 的关键驱动因 素制定每个最高 换为以下可量化 部基准、第1行和 级联到较低的 来识别业务部门的 素 风险的定性风险 的指标： 第2行之间的讨论 组织级别（在 最高风险偏好状态固有风险、风险缓解的难易程度等 AML/KYC¹适用性“我们开展业务 PEP数量²与 固有风险控制框架剩余风险 新的数量的变化