明确的风险偏好如何改善非财务风险管理

风险与弹性实践 明确的风险偏好如何改善非财务风险管理 成本高昂且具有破坏性的非金融风险是金融服务业中始终存在的问题。明确的风险偏好策略可以缓解该问题。 BjörnNilsson,ThomasPoppensiker,JanPeterSchmütsch,andSebastianSchneider 识别和评估流程，数据和分析能力，以及基于风险重要性的风险汇总和优先级逻辑。风险偏好需要整合到风险治理和监督，报告以及风险决策和缓解措施中（图表1）。 2022年，损失、罚款和法律费用对于非金融风险，银行业的成本 190亿美元，自2010年以来，非金融风险的总价格超过4600亿美元。 非财务风险— —那些从人员、流程、系统和外部事件中产生的风险— —对所有机构来说都是具有挑战性的，高管面临着不断变化的风险事件和中断格局。尽管存在固有的挑战，但重要的是要明确定义对这些风险的偏好，以限制在超出公司风险能力并威胁其业务目标的领域中的风险承担。这种胃口需要通过投资于提供最高收益的活动来平衡回报优化。 在金融机构，为金融风险设定风险偏好是一种广泛的，由监管驱动的做法，用于管理资产负债表，损益表和现金流量的风险。目标是限制金融资产和负债相对于资本和资金的信用、市场和流动性风险能力。同时，高管们需要权衡稀缺性资本和资金的配置与风险，以优化收益，这是由股本回报率和风险调整后的资本来衡量的。 对于非财务风险，设定风险偏好是一个比财务风险更难以捉摸的理论概念。 对于金融机构而言，风险偏好是端到端风险管理框架中特别重要的组成部分。它需要得到其他风险管理组成部分的支持，例如全面的风险分类，稳健的风险 非财务风险管理框架 新法规，并提高监管期望。风险管理者还必须应对新的障碍：先进的智能驱动的数字化运营模式；监管对合规性和操作安全的要求；以及来自持续提高效率和生产力提高的组织和流程挑战。 In this article, we share our experiences of working withfinancial institutions that have an assured guarantee of theirnonfinancial - risk paverable through actions to enhancenonfinancial - risk management. We identified指导框架设计的原则和用于实现管理机构非金融风险偏好的新兴方法的方法。 在许多方面，非金融风险对金融机构的影响比金融风险的影响更具威胁性：这些风险不能传递给客户，具有更广泛的声誉影响，并且通常需要比金融风险更高的成本更复杂的补救工作。在某些年份，非金融风险损失已经等于或超过了累积的信用风险准备金或银行减值。如前所述，损失、罚款和诉讼费用都有成本。欧洲和美国最大的银行超过自2010年以来的4600亿美元（图表2）。 将重点从财务风险管理转向非财务风险管理 近年来，金融业的重点已从金融风险管理转移到非金融领域，例如运营风险，监管合规性以及预防金融犯罪所必需的合规性和行为。 这种转变是由主要行业趋势推动的，例如产品的不当销售，逃税的便利，保护机构免受洗钱的控制措施的崩溃， 2010 - 23年运营损失、罚款和诉讼费用，10亿美元（每年） 麦肯锡公司 然而，这些公司通常在管理非金融风险方面的支出仍然远远超过行业平均水平。欧洲银行平均雇用8％至9％的员工进行洗钱预防，而效率最高的银行仅雇用4％至5％。对于存在洗钱问题的银行，多达18％的员工从事洗钱预防工作。 通过以下方式对人、流程和系统的结果进行评估： —业务和风险所有权对齐—从业务角度进行风险优先级排序，这也有助于定义业务和共享服务功能应遵循的适当关键绩效指标(KPI)和关键风险指标(KRI)—适当的目标设置以进行改进和频率 同样，对于监管合规，经历过重大行为或监管合规违规行为的大型国际银行采用在二线监管合规职能中，其员工的比例为2.0%至3.0%，而大型国际银行平均只有1.5%在二线，效率最高的银行远低于1.0%。 领先的机构采取基于风险的方法，并为顶级风险设定更具体的风险偏好，同时使用定性陈述和一组三到五个风险特定指标来制定偏好。 毫不奇怪，即使在后金融危机时代，资本比率很高，监管更加严格，我们也看到了金融行业内部由非金融风险导致的银行倒闭和动荡。因此，在衡量机构对非金融风险的偏好时，高管们可能会感到无所适从。 他们将风险偏好与机构的风险分类法联系起来，通常将非金融风险分类法中的最高风险偏好设置为低一级，因为非金融风险类别中的各种风险类型具有不同的风险驱动因素。麦肯锡的一项分析表明，这种方法平均导致零售银行，财富管理，资产管理和资本市场的10到12种最高风险类型，而企业和投资银行业务的15种风险分类通常超过30种。 设计风险偏好框架的原则 非财务风险的风险偏好框架的设计依赖于五个基本原则。这些与财务风险的方法不同，可以更容易地汇总以形成财务损失风险的观点。 在这种情况下，最高风险类型通常是在业务、控制和共享服务功能之间共同决定的，其中第二条线最终确认或审查或质疑最高风险选择。机构使用广泛的来源来识别最高风险，随后制定偏好。最常见的来源 是风险和控制自我评估的结果，问题和事件，监测数据，审计报告以及KPI和KRI（参见侧栏“保险公司如何使用关键风险和绩效指标来量化非财务风险偏好”）。 原则1：按业务领域和共享服务关注顶级非财务风险机构经常使用风险分类法作为风险偏好的锚点，并为每种风险类型定义声明，这导致了一个单一的尺寸-所有方法，而不是按集团或单个业务部门的重要性对风险进行优先排序（参见侧栏“全球银行如何使用业务驱动的风险偏好框架来管理非金融风险”）。 原则2：尽可能利用主题专业知识 基于第一点，风险专业知识是稀缺的，需要尽可能多地使用。这意味着废除可以管理所有风险的中央风险和合规功能的概念。 相反，按业务部门和共享服务功能设置风险偏好可确保关注最重要的风险并增强质量 全球银行如何使用业务驱动的风险偏好框架来管理非金融风险 -阈值和容忍度水平应补充基于控制的关键绩效和固有风险指标，以解锁业务管理相关性。 制定了特定的食欲，并确定了潜在的风险驱动因素，以跟踪和了解对最高风险的暴露。具体的风险类型陈述被阐明为要承担和不承担的风险，以及对特定风险控制框架的期望和流程。监控最高风险的风险特定度量基于其识别的驱动因素。度量的阈值基于历史数据、基准以及业务和控制职能部门之间的讨论。最终，阈值在适当的情况下被级联到区域或服务台级别(展示)。 一个全球银行实施一个业务驱动的风险偏好框架，对顶级非金融风险有特定的风险偏好。 该银行重新设计了其非财务风险偏好框架，以通过从业务角度而不是从控制功能角度定义风险偏好来增强其有效性。风险偏好定义是由风险和合规职能部门在一开始就向董事会提出的，但企业并没有发现这种风险偏好在日常业务运营中具有指导决策的可操作性。 -应对风险偏好违规的治理过程应通过预定义的行动和时间表进行正式化回到阈值内，以触发生意。 风险偏好是在业务部门层面上定义的。每个部门都描述了其商业模式和战略，以及其客户群、分销渠道、产品和服务、基础设施以及外部因素——如市场条件和监管— —如何产生固有风险。 建立了业务单元仪表板来跟踪该单元的风险状况的发展，涵盖了通用风险度量和针对顶级风险的特定风险类型度量。针对剩余风险度量的“硬触发器”的违规审查流程表明 该银行的框架基于一套五个核心原则： —并非所有风险都具有同等重要性。风险偏好应集中在对每个业务部门最重要的最高风险以及这些风险的特定驱动因素上最大化企业风险偏好的有效性和有用性。 潜在的风险偏好违约。超过硬性触发因素会启动正式审查，以确定风险偏好是否已被违反，如果是，则决定采取适当的补救措施。“软触发因素”是为监控控制有效性和固有风险发展的指标设置的，这些指标可能需要采取进一步的预防性或先发制人的行动，但不会触发风险偏好违约。 每个业务部门都设置了一个总体的，一般的风险偏好，适用于所有非财务风险（包括已将管理层委托给支持功能的风险，例如网络安全）。对于这些风险，每个单位都制定了关于接受和拒绝风险的总体定性声明，以及对控制环境的期望。特定的非风险类型指标被定义为适用于风险分类中的所有风险类型，例如监管机构确定的重大问题或内部审计和运营损失。 —定性陈述、指标和限制或阈值应与每个业务部门最高风险的真正驱动因素相联系，以使风险偏好可操作。 If a risk exposition is confirmed, the business unitcan develope a remediation plan that is reviewed,questioning, and agreed to by the relevant controlfunction or functions. The remediation plan is based —应将风险偏好嵌入业务及其战略决策中，使业务成为提出风险偏好的主导，以避免使其成为控制职能部门运行的一项工作。 The business units defined the seven to ten toprisks driving most of their risk profiles. For theserisks, a risk - type - -临时或战术控制-临时风险接受-停止新业务-额外的资本分配-风险偏好的永久变化 在业务单元级别和集团级别设置的风险偏好之间的一致性是通过在两个级别上的一组共同的度量和限制来确保的，例如操作风险损失。 在三个月内降低固有风险、改善控制环境或调整风险偏好,使剩余风险回归偏好: -加快加强或补救控制框架 Exhibit 对于顶级风险，定义风险驱动因素，制定具体的定性声明，并选择指标和阈值。 相反，创建一个清晰的视图，说明风险类型的主题专业知识所在以及运营模式是什么-无论是在业务中，如零售或批发银行;在共享服务中，如IT或运营;或在公司或控制职能部门，如财务、法律、风险或合规性。 reputational, and in customer impact. Thus, scenarioanalysis can help set limits for metrics for these top risks. —度量标准应作为剩余风险而不是固有风险的代理，以说明现有的风险管理流程和控制。 在主题专业知识所在的地方，应就适当的风险操作模型、关键控制和目标关键绩效指标提供指导和KRI来监测风险偏好，这将由第二线支持和监督。 —需要通过平衡控制投资与目标影响来定义指标-应包括领先的（前瞻性）指标，以帮助在风险出现之前识别和预防流程中的质量问题。 本质上，风险偏好的制定可能是业务，二线控制和共享服务功能之间的联合过程，但从业务和运营的角度出发，同时保持明确和独立的二线监督和挑战角色。 —度量标准应按组织责任提供，并映射到业务部门，以创建包括共享服务和控制功能在内的整体前后业务视图。 领先的机构将风险偏好的所有权放在业务或第一道防线上。风险偏好是企业管理角度的结果，高管可以在日常决策中使用它。风险偏好为业务运营质量设定了起点。 —关于度量与目标的信息需要可用于定期监控。 领先的机构通常使用与风险类型无关且特定于风险类型的指标，以及前瞻和后瞻指标的组合来设置风险偏好。通常，每种风险类型使用三到五个风险特定指标。 原则3：使用指标并量化KPI 和KRI用于人员、流程和系统的关键控制指标是明确的风险偏好声明的基础，遵循“你不能衡量的，你就不能管理”的原则。定义指标对于非财务风险不是一件容易的事，但应考虑以下原则： A common approach is to set risk expare thremissions forresidual - risk metrics,