危机后运营风险管理的驱动价值

麦肯锡风险工作论文，第34期危机后运营风险管理的驱动价值金融机构的新模式本杰明·埃利斯（Benjamin Ellis）Ida Kristensen Alexis KrivkovichHimanshu P. Singh2012年6月©版权所有2012麦肯锡公司 .内容危机后运营风险管理的驱动价值：金融机构的新模式麦肯锡关于风险的工作文件介绍了麦肯锡目前在风险和风险管理方面的最佳思路。这些论文代表了广泛的观点，包括针对特定部门和跨领域的观点，旨在鼓励内部和外部的讨论。可以通过其他内部或外部渠道重新发布工作文件。请致函常务编辑罗伯·麦克尼什（Rob McNish）（rob_mcnish@mckinsey.com）。 4233291后危机推动价值操作风险管理：金融机构的新模式金融机构之间发生了一系列代价高昂，令人头疼的操作风险事件，包括美国抵押贷款服务机构的监管结算和“流氓交易”案例，再次将操作风险管理（ORM）推到了CEO和CRO的最前沿议程。在这些和其他情况下，由于操作故障而造成了重大损失。改进的ORM，包括旨在标记未遂事件或关注区域（例如异常数量或大量异常）的流程，可能有助于避免发生不仅造成前期损失而且严重损害声誉的事件，并且破坏了投资者的信心。随着金融机构的规模和结构复杂性的增加，理解和减轻操作风险也面临着挑战。日益严格的监管审查增加了操作风险事件的成本（财务和其他方面）。但是，尽管有效管理操作风险的价值近来已显着提高，但是对该风险的实际管理却没有相应地发展。许多金融机构继续将ORM视作不成熟的学科，可以作为监管的严格检查手段，给管理和财务负担带来沉重的负担，而几乎没有业务收益。这些挑战在麦肯锡（McKinsey）于2009年对运营风险经理和其他高级银行经理的研究中得到了强调（图表1）。如果执行得当，ORM的改进可以通过提高盈利能力，增强财务稳定性和改善财务状况而带来可观的财务收益以及监管和合规收益展览1操作风险管理被视为不成熟的学科。同意每项陈述的受访者百分比1客户体验。为了获得这些收益，金融机构必须采用一致且针对其特定的操作风险而量身定制的综合方法，与用于管理市场和信用风险的方法根本不同。金融机构为何要担心管理其经营风险无效的ORM通过三种方式对金融机构产生负面影响。首先，实际的操作风险损失和无效流程的成本一样，直接影响损益表。其次，股票市场会因运营风险而对公司进行惩罚，而这往往远远超过实际遭受的财务损失。最后，操作风险失败可能会通过提高监管审查而增加成本和合规性，不仅影响特定的失败，而且会影响整个机构。操作风险管理无法达到54证明其对组织的价值（例如，通过缓解操作风险损失）纪律仍然被认为已经被遮盖了市场和信贷风险54学科更多地专注于衡量而不是管理操作风险范围的定义尚不明确，并且侧重于重复的后台流程法规促进了该学科的发展，但仅限于遵守和控制1麦肯锡与风险管理协会联合对运营风险管理学科的未来进行的研究，2009年。资料来源：关于操作风险管理学科的未来研究，2009年直接财务影响操作风险与信用风险和市场风险共担的一个共同点是，这三个风险都受到“尾部风险”的影响，从而造成了巨大损失的可能性。在最近几个月中，由于流氓交易造成的重大损失以及与抵押业务有关的严重运营问题，这一问题已成为人们关注的焦点。 2除了运营损失外，ORM不足还可能导致收入下降。最近对一家大型信用卡发行人的操作风险事件进行的审查显示，贷款申请流程存在重大操作缺陷，导致大约20％的信用卡申请未得到适当审核。这增加了处理贷款申请的成本，这意味着该公司错过了可观的收入。与可衡量的损失事件的风险相反，此类操作风险可能具有直接的财务影响，但通常被典型的操作风险方法所忽略。对市值的影响操作风险失败的财务后果通常不仅限于最初的损失，还包括市值的减少。股票市场对遭受损失的机构进行惩罚，因为此类损失表明其操作风险控制能力较弱。在控制其他市场因素的情况下，宣布运营风险损失后的120天内对市场价值的负面影响大约是实际损失金额的12倍（图表2）。最近还证明了这种关系，领先银行的市值下降了15％，这是宣布无限制交易亏损后所遭受的实际损失的两倍。这样高乘数表明，投资者对该机构管理未来亏损事件并预期会有额外亏损的能力缺乏信心。监管制裁最后，ORM不足会导致监管干预或制裁，在某些情况下会导致直接的财务影响。例如，监管机构要求新加坡的一家银行增加其资本储备图2因操作风险而导致的市场价值下降是实际损失的倍数。操作风险损失对市场价值，整体累计平均异常收益的影响1%0.50–0.5–1.0–1.5–2.0–2.5–40–20020406080100120天1基于超过350个运营损失事件的样本，针对行业绩效进行了标准化。资料来源：惠誉；数据流持续了七个小时的数据中心发生故障后，运营风险又增加了2亿新加坡元，尽管银行确保受影响的客户得到了充分的赔偿。在其他情况下，监管机构要求对业务实践进行更改以应对操作风险失败，而这通常会增加与特定业务操作相关的费用。例如，美国抵押贷款业务最近出现的问题促使监管机构要求拖欠抵押贷款借款人的单一联络点，以及与美国五家最大抵押贷款服务商达成的《国家抵押和解协议》（2012年2月9日宣布）。解决抵押服务，丧失抵押品赎回权和破产滥用的问题包括100多个条款，这些条款将影响从抵押品赎回前的通知到减轻损失的批准和上诉的抵押服务过程。通常，监管审查不仅限于操作失败的直接原因，还涉及其他业务流程。这增加了金融机构的总体成本和合规性。更重要的是，如果对操作风险进行更严格的管理，则可以避免此类监管干预。活动日期实际损失的7倍实际损失的10倍实际损失=的0.16％市值市值的下降是120天后实际损失的12倍 3危机后运营风险管理的驱动价值：金融机构的新模式有效ORM的五个常见挑战尽管近年来金融机构越来越重视操作风险，但是对于许多机构而言，确保对这些风险的有效监督和管理仍然是挑战。根据我们的经验，必须克服五个关键挑战：了解ORM的唯一性。CRO和其他处于风险中的高级领导者通常具有信贷或市场风险的背景。最近对25家大型全球，北美和欧洲银行和资产管理人的CRO进行的扫描显示，这些领导人中只有一个在被任命为CRO之前已拥有正式的操作风险头寸，而超过一半的人曾拥有过市场或信贷经验风险经验。这可能对企业风险管理至少有两个影响。首先，首席风险官可能会将操作风险置于比他们更喜欢的其他类型风险更低的优先级。其次，许多首席风险官可能倾向于使用与先前部署的用于管理市场和信用风险的框架相同的框架来管理运营风险。但是，无法通过部署市场或信用风险框架来有效地管理运营风险。虽然信贷和市场风险与资产负债表直接相关，并且易于量化，但操作风险来自多种来源，而且性质是开放的；因此，应与发生风险的特定业务流程更加紧密地进行管理。此外，操作风险是相对不同的，因此需要范围更广的缓解技术，其中绝大多数涉及运营经理和风险经理之间的深入合作。对于信贷和市场风险有效的方法（例如，由集中的风险团队监视投资组合）对于管理操作风险显然无效。以ORM决策为重点。金融机构常常将ORM等同于对操作风险和控制的度量（可能作为操作风险资本模型的一部分）。他们花太多时间在创作上风险识别和评估流程（例如，侧重于深入组织内部的详细风险控制自我评估或RCSA），并且没有足够的时间来管理操作风险，以期避免或减轻损失。在一个案例中，一家大型北美银行投入巨资创建了一家运营涉及数百名员工的风险评估，这些员工创建了数以万计的单个数据点，只是意识到该工具无法识别他们的主要风险或帮助管理运营风险。银行随后有了大修整个过程。该示例还演示了金融机构如何无法将庞大的运营风险数据转换为可以支持业务决策和缓解计划优先级的有用信息。确保风险评估和缓解的一致性。许多金融机构的操作风险管理分散在业务的不同部分，从而导致在整个企业中衡量操作风险的方式不一致，并导致无法在整个企业范围内全面确定风险的优先级和缓解方案。人们通常发现很难估计低概率事件的发生频率和严重程度，甚至缺乏了解事件后果的基本分类法。制度和组织方面的挑战加剧了这种固有的弱点。在一个案例中，一家大型投资银行的不同业务部门采用了不同的标准来衡量操作风险事件的发生频率和严重性，从而导致分类不一致和无法比较已确定的风险。相应地，银行无法适当地确定风险的优先级并优化其缓解计划。在另一种情况下，大型零售银行的业务部门和集中风险功能使用不同的工具来度量和监视操作风险，从而导致类似的低效率和无效的缓解流程。明确角色和责任。健全的ORM需要所有业务线，运营和风险职能部门的参与，但是金融机构通常缺乏对运营风险角色和职责的清晰了解。 4这种含糊不清给整合关键的操作风险知识带来了挑战，并可能导致不确定的风险，管理不善的风险，多余的活动以及与监管机构和其他外部利益相关者的无效沟通。在某些机构中，多达七个不同的组可帮助管理操作风险：业务运营，业务IT，业务风险，组风险，公司风险，公司IT和合规性（通过审核来审查整个过程）。确保足够的人才。成功的运营风险专业人员必须结合对详细业务流程，风险和控制环境，法规要求以及强大的沟通技巧的深刻理解。这种组合是相对罕见的，需要时间来开发。随着管理操作风险的重要性日益提高，许多金融机构被迫追赶发展足够的熟练操作风险专业人员团队。建立全面的方法来管理运营风险金融机构有各种动机去克服这些挑战，以最大程度地利用对ORM的投资来获得最大的价值。在着手改善操作风险管理的过程中，每个金融机构应首先问自己：“我们需要做出哪些与操作风险相关的关键管理决策？”广义地说，管理操作风险的决策分为三类：开发和实施缓解计划，包括改善控制措施（例如，通过添加控制措施或使控制措施自动化）业务流程更改（例如简化交易执行或重新设计止赎流程）更改业务策略（例如，减少业务规模或规模或开展新业务）任何操作风险框架的目标应该是为管理层提供制定和执行此类决策所需的信息和资源。图表3显示了共同构成有效ORM框架的五个组成部分。首先，金融机构需要阐明他们整体的企业级操作风险策略和容忍度，这将指导他们愿意承担的操作风险的级别和类型，并确保组织的风险文化与其总体策略相一致。由于缺乏所有操作风险的全面而详细的数据，因此以主要定量的术语来定义风险承受能力是不切实际的，并且很难将高层次的承受能力转化为特定的业务含义。用一位操作风险经理的话来说，“直截了当地说，容忍度是指损失不超过x美元。但是，这虽然有助于确定是否违反了风险容忍度，但却无法帮助管理人员了解企业当前是否在容忍度范围内运营。它不是可行的—您认为自己在容忍范围内工作，直到发生大的损失为止，然后，哎呀，看来您根本超出了容忍范围。”因此，一流的金融机构将量化操作风险损失水平的表述，包括对损失的容忍度以及关键风险指标（或KRI，例如系统停机时间和尝试的IT安全性违规行为）与涵盖以下内容的定性容忍声明：制定操作风险决策的方式（例如，明确纳入操作风险事件的声誉影响）。 5危机后运营风险管理的驱动价值：金融机构的新模式卓越的ORM1战略与文化234管治识别，测量和监控一种工具类▪损失数据库▪自我评估▪情景分析▪关键风险指标▪工艺图乙综合管理报告和分析减轻一种组 织 和 治 理 结 构▪业务和控制职能的角色/职责▪EORM和业务部门ORM的才能和身材▪委员会C经济资本5促成因素技术和系统支持乙操作风险分类法一种运营风险管理文化乙操作风险策略和承受力一种一种缓解过程▪小错误和频繁错误▪大而罕见的错误乙操作风险政策和准则展览3确保采用全面的ORM方法需要五个要素。其次，他们需要确保适当的治理结构能够支持所需的管理决策。这包括定义明确的角色和职责，以测量，缓解和监视跨不同防御线（执行，监督和审计）的操作风险，并确保有效的升级流程。为了有效地管理风险，机构应采用自上而下的基于风险的观点，为所有关键操作风险分配明确的责任。有效的治理还要求有足够的人才来覆盖所有关键的运营风险责任，并且在不妨碍业务执行的情况下做到这一点。虽然这听起来很简单，但是操作风险的自然所有者的数量使得实现和保持角色明确性特别具有挑战性。我们已经看到多