金融机构的实时操作风险管理(第 1 部分)
通过这一新的系列文章,我们将探讨实时运营风险管理并提供相关见解。在第一篇文章中,我们将深入探讨许多金融机构在运营风险管理方面面临的诸多挑战,以及实现综合风险管理方法的目标,从而使企业能够做出风险意识决策,有效地集中资源并提高效率。
金融机构的运营风险管理
操作风险是COSO 于 1991 年正式创造的一个通用术语。在其诞生之初,它只是金融机构市场风险和信用风险之外的一个难以界定的残余风险类别。这个新标签涵盖了由网络或信息技术(IT)、业务中断、法律责任、人为动机、欺诈甚至基础设施等导致的一系列风险。一些银行将 "操作风险"(Operational Risk)与 "非财务风险"(Non-financial Risk)同义。如今,操作风险已成为内部风险职能部门和监管机构关注的一大焦点,导致对操作风险资本储备的审查日益严格。操作风险在管理议程中占据重要位置(包括金融机构内部和外部),"操作风险经理 "这样的头衔现在已司空见惯。日益增长的网络风险、对供应商的依赖以及流程的不断数字化,也是关注操作风险管理的主要原因。
尽管《巴塞尔 II 新资本协议》于 2004 年发布,但大多数主要经济体只是在 2008 年金融危机后才开始实施。巴塞尔 II 新资本协议》的目的是通过制定资本管理要求,提高国际银行业标准,确保银行拥有充足的资本,以抵御自身面临的风险。新巴塞尔协议》采用三大支柱的概念:
- 最低资本要求(应对风险)
- 监督审查
- 市场纪律
我们将在本系列的下一篇文章中详细介绍这些主题。巴塞尔 II 新资本协议》改革了银行监管,并将重点放在操作风险的政策有效性及其实施上。围绕其定义、数据收集和量化限制的问题在当时引起了激烈的争论,也许至今仍是如此。
所面临的挑战在于,许多机构的运营风险管理仍然分散在许多工具中,许多机构仍然依赖人工流程来识别、量化和管理这些风险。各组织和监管机构都认识到,目前建立的人工流程已不足以管理这种新的风险,也不经济。造成操作风险流程繁琐的另一个核心因素是企业风险管理工具的分散:
- 不同的内部计划和项目可能会使用各自的电子表格风险登记册。
- 业务部门可能只在季度审查中报告核心风险。
- 二线风险管理人员可以使用单独的 GRC 工具。
- 审计团队可能会在审计管理工具中跟踪其风险。
- 这种风险管理方法几乎不可能获得实时的风险洞察力。最后一个薄弱环节是缺乏已识别风险与既定控制措施以及相关监管和法律要求之间的联系,从而使合规流程更加复杂。
实时运营风险管理
在许多企业的发展过程中,都会出现一个拐点,即需要以更正规的方式管理风险--这可能是由组织发展、监管压力或要求更高的客户驱动的。随着技术越来越复杂、监管越来越重视、基于项目的工作越来越多,电子表格可能会成为一种选择并持续一段时间,但往往会出现一个临界点,即电子表格不再可行。有几个指标可以告诉你什么时候该做出改变了:
- 您提出的每一个有关当前风险暴露的问题都需要等待人工合并数据才能得到答案。
- 您的风险电子表格在网络驱动器上,同一文件夹中有多个版本。
- 有不同的格式和模板可用于捕捉整个企业的风险。
- 每次到期时,风险控制自我评估都会给企业带来沉重负担。
运营风险管理流程效率低下的表现通常包括团队不使用已定义的工具或电子表格,以及试图规避风险和合规流程。如果风险系统不够灵活,无法适应组织变革,也会导致进一步规避流程,有时还会增加人工工作量。最后,如果你的风险登记册是由在会议上嚷嚷得最凶的利益相关者填写的,你就知道你没有充分识别公正的风险。
成功的运营风险管理将为利益相关者和风险管理团队提供实时的风险洞察力。必须采用结构化的风险识别方法,而不是依赖直觉。总之,要以建立以下流程为目标:
- 节省时间
- 保持风险管理精益化
- 关注核心业务目标
- 在整个组织内培养风险意识文化
- 综合风险管理
传统上,风险管理是一种自上而下的方法,这导致活动各自为政,决策在象牙塔中做出。综合风险管理这一术语体现了风险管理处于公司治理前沿的重要性。它的重点是让每个人都能获得与其工作职能相适应的信息,并重视让每个业务部门负责整个企业的风险管理。运营风险管理解决方案应简单易用,让利益相关者持续参与其中。它需要传达一种来自最高层的基调,强调并鼓励在企业内部使用灵活的互动方法,形成一种积极的风险文化。
此外,解决方案还必须能够提供量化操作风险敞口和承受能力的方法--但又不能过于死板。在识别运营风险时,解决方案需要支持可扩展的评估能力,而不是依赖于基于样本的人工方法。如果执行得当,综合风险管理将使企业能够把支出重点放在风险缓解上,而不是风险识别和管理上。
