本篇依据新版FRM二级教材Operational Risk and Resilience![]()
本章详细探讨了操作风险管理框架(ORMF)的构建:将风险管理框架结合在一起的基本要素——风险治理、风险偏好和风险文化,以及遵守审慎监管的必要性,审慎监管是金融业操作风险管理的主要驱动力和动机之一。本章介绍了ORM治理的特点和要求,并讨论了操作风险的三道防线模型。风险偏好是任何ORMF的基本要素,决定了组织管理操作风险的优先事项。风险文化与高层在风险承担方面的基调有关,至少在概念上,它应该与风险偏好保持一致。风险文化不仅仅是来自高层的语气,它还涉及每个员工的内心,以及在商业活动中如何看待、尊重或抵制风险管理。由于操作风险比任何其他受监管的风险类型(信用、市场、流动性)都更加分散,企业风险文化对ORM的有效性有重要影响。风险监管、治理、偏好和文化的一般方面在FRM第一部分课程的风险管理基础部分进行了介绍。本章在操作风险的特定背景下探讨了这些主题。
2004年6月首次公布的《巴塞尔协议II》改革首次引入了操作风险监管。监管改革引入了三个监管支柱,将审慎监管扩展到了超越最低资本要求的更全面的视角。支柱1详细说明了确定银行为应对信用、市场和操作风险带来的意外损失风险而需要的最低资本水平的计算,以及限制流动性风险所需的最低比率。操作风险的支柱1包括强制性管理原则,认识到如果没有适当的治理和管理,仅靠资本不足以覆盖操作风险。支柱2可以包括对受监管实体特定风险状况的支柱1资本的额外资本要求(“附加”)。支柱2旨在允许征收监管资本,以覆盖支柱1中未直接涉及的风险。在操作风险方面,这些风险可能源于某些活动的集中、合规风险、治理或管理方面的差距,或激进的增长战略。支柱2资本必须由公司自我评估,并由监管机构验证或修改。支柱3详细说明了金融机构关于其财务状况和风险信息的强制性年度或季度信息披露规则。支柱3的目的是鼓励市场纪律,特别是在风险更高的公司的投资者中,这些公司需要持有更多的资本来弥补其增加的风险。2.2 操作风险健全管理原则
从监管制度一开始,监管机构就认识到仅使用监管资本来覆盖操作风险的缺点。事实上,如果没有健全的管理,任何资金都不足以弥补因操作风险失败而造成的灾害造成的损失。因此,操作风险是支柱1法规中唯一包含管理原则的风险类型,强调良好的操作风险管理是强制性的,而不是可选的。
这些原则最初于2003年引入,并于2011年进行了修订,以纳入金融危机的经验教训。2014年10月,一项类似调查的更新显示了基准测试的结果,其中62家参与机构对自己遵守与11项健全管理原则有关的149项声明的情况进行了评分。对于每一项原则,监管机构都表达了他们对“好”的看法。
《操作风险健全管理原则》(RPSMOR)文件的最新修订版于2021年3月发布。表2.1显示了这些原则的高级视图,其数量从上一版本的11个增加到12个。
![]()
2007-2009年的金融危机痛苦地提醒人们金融体系的脆弱性。这场危机导致了巴塞尔协议II的部分改革,但操作风险规则在一段时间内没有受到影响。2015年,巴塞尔委员会开始着手改革第一支柱资本以应对操作风险。这些工作最终导致了2017年12月巴塞尔协议III的更新,这意味着终止了针对操作风险的三级监管资本制度。新方法是一种称为标准化计量方法(SMA)的单一资本计量方法,后来更名为标准化方法(SA),自2023年1月起生效,过渡期至2025年1月。1)2023年1月起:标准化方法(SA)
SA是对标准方法(TSA)的轻微修订。在南非,覆盖操作风险所需的最低监管资本,即操作风险资本(ORC),是通过业务指标组成部分(BIC)和内部损失乘数BIC的乘积计算得出的,BIC是银行过去三年年均“业务指标”的百分比。业务指标(BI)取代了前TSA方法中使用的“总收入”。简单地说,Bl是三个组成部分的总和(图2.1):利息、租赁和股息组成部分(ILDC);服务部分(SC),由费用收入和费用支出的最大值以及其他营业收入和营业费用的最大值组成;以及金融部分(FC),由银行账簿和交易账簿的净损益的绝对值组成。![]()
监管资本的边际加权百分比取决于业务指标的规模:业务指标中低于10亿欧元的为12%,10亿至300亿欧元为15%,业务指标中高于300亿欧元的任何值为18%。![]()
通过随着银行规模的增加而增加这些百分比,监管机构似乎已经认识到,操作风险水平的增加与规模成正比,这需要额外的资本来弥补。事实上,组织越大,流程、运营和交互就越复杂——这是一种额外的复杂性,应该由额外的资金来覆盖。
第二个组成部分ILM是一个倍增因子,旨在惩罚在过去10年中损失比同行更大的银行,计算为损失组成部分(LC;见图2.2)。乘数可以等于、大于或小于1。当LC大于BIC时,ILM大于1.4,因为历史平均损失超过了业务指标,反之亦然:当BIC>LC时,ILM<1。![]()
然而,这一有争议的措施由国家监管机构自行决定,大多数国家监管机构可能会简单地将ILM设置为1。2)2023年1月之前:BIA、TSA、AMA
在2023年1月1日之前,银行可以在三种支柱1资本计算模式中选择操作风险:①基本指标法(BIA):所需的操作风险资本等于机构过去三年平均年总收入的15%(称为阿尔法因子),计算中不包括总收入为负或零的年份。总收入是指净利息收入加上国家监管机构和/或国家会计准则定义的净非利息收入之和。BIA不适用于国际活跃银行或具有重大操作风险敞口的银行。该方法计划于2022年12月31日逐步淘汰。
②标准化方法(SA):根据基础业务线的感知风险,使用按业务线划分的总收入加权平均值,使用等于12%、15%或18%的加权百分比(称为贝塔系数),将资本计算为BIA的微小变化。SA改革偏离了这一观点,因为过去20年银行各业务线的操作风险损失与预期不符。
③银行的高级衡量方法(AMA)和保险公司的内部建模方法(IMA):金融机构可以自由评估自己的资本需求,前提是公司注册所在国的监管机构验证其模型和框架。使用内部模型,金融机构需要对一年内足以覆盖所有可能的操作风险损失的资本水平进行建模,置信区间高达99.9%。换句话说,他们应该持有足够的资本来弥补1000年模拟中999年的损失。
2.4 支柱2操作风险资本
支柱2在某种程度上是对监管机构对机构风险状况评估的定性补充。特别是,它允许监管机构调整支柱1中计算的资本要求,并增加一个附加项,以更公平地反映受监管实体风险敞口的性质和程度。例如,如果监管机构认为银行的风险敞口过于集中在某个市场或某类客户或交易对手,或者增长特别快(例如金融科技银行),或者无法证明良好的风险管理实践,则可能会对公司施加额外的资本要求,以弥补额外的操作风险。作为支柱2评估的一部分,监管机构考虑公司活动的性质、规模和复杂性,审查公司为遵守其监管要求而实施的安排、战略、流程和机制。最后,它评估了压力测试揭示的任何进一步风险。作为支柱2评估的一部分,监管机构评估公司资本是否足以覆盖其风险。在美国和欧洲很常见,评估有不同的名称,并且根据每个地区和行业的实际情况和流程而有所不同:①在欧洲,银行和金融公司对资本充足性的评估被称为内部资本充足性评估程序(ICMP),是监管审查和评估程序(SREP)的一部分。
②在保险业,它被称为自身风险和偿付能力评估(ORSA)。
③在美国,支柱2评估是整体监督审查过程的一部分,包括但不限于综合资本分析和审查(CCAR)计划。
对于所有风险,无论是操作风险还是其他风险,金融公司的偿付能力评估都需要确定重大损失事件的关键威胁和情景,并评估公司对可能导致运营环境、业务计划和盈利能力变化的内部和外部冲击的抵御能力。除了偿付能力评估外,监管机构还使用支柱2评估来评估公司的治理安排、企业文化和价值观,以及管理者履行职责的能力,即通过有效、全面和可靠的风险报告。BCBS基于原则的指导是理解法规的良好起点,并有助于以简单明了的方式澄清各司法管辖区的关键监管期望。BCBS对全球金融业主要监管机构的内容产生了重大影响。表2.2列出了美国、欧洲和亚洲的主要监管机构。鼓励不同司法管辖区的受监管实体查阅当地监管机构发布的许多出版物,不仅了解其监管要求,还了解操作风险管理的各个具体方面,如外包的风险管理影响、金融科技银行、新冠肺炎对操作风险的影响、监管对行为和文化的期望等。2.6 监管机构在评估ORMF时的期望
1)巴塞尔有效银行监管核心原则
《巴塞尔框架》包含巴塞尔委员会的全套标准,包括《巴塞尔有效银行监管核心原则》。监督制度要有效,需要29项核心原则。表2.3突出了与风险管理监督有关的最相关要素:对风险状况进行前瞻性评估,制定强有力的治理政策和流程,以支持组织全面的风险管理框架,根据公司的风险偏好识别和管理所有重大风险,并保持适当的控制环境。![]()
BCBS在RPSMOR的最后一节中专门介绍了在操作风险方面主管角色的一些指导。重要的是,巴塞尔委员会指出,“对操作风险的监督评估应包括《操作风险健全管理原则》中所述的所有领域”(第70段)。为此,“监管机构应通过评估银行与操作风险相关的政策、流程和系统,定期评估银行的ORMF。”(第69段)。如果评估进展不顺利,“监管机构应采取措施,确保银行解决通过对银行ORMF的监管审查发现的不足”(第71段)。最后,持续的流程改进是关键:“监管机构应通过监测、比较和评估银行最近的改进和未来发展计划,鼓励银行持续的内部发展努力。3)实践中的监督评估:使用测试
监管机构的基本期望是,ORM不应仅仅是由理事机构盖章的纸面政策的合规行为。风险管理应该是所有业务决策的基础,并嵌入所有活动中。实际上,这需要各级工作人员参与决策过程。对于监管机构和审计师来说,银行应该能够证明决策是如何做出的,并且这些决策是在适当考虑风险的情况下做出的。其他有效ORM的证据将来自操作风险报告。在测试ORMF在企业中的实际实施(使用测试)时,有一些典型的问题需要解决,例如:①事件报告:是否很明显所有重大事件都被记录下来了?
报告是否彻底分析了根本原因及其提供的教训?是否包括未遂事故?
②风险和控制评估:其基础是否稳健并得到一致应用?他们是否涉及合适的人?评估是否受到质疑和同行评审,以确保整个组织的一致性?
③风险指标:指标值是否独立得出?直线经理(风险负责人)批准的指标是否最符合其目的?它们是否定期刷新?
④情景:它们是否足够广泛?它们是否足够极端,同时又保持现实?评估是否客观、有文件记录且可重复?
⑤覆盖范围:报告是否让人相信ORM对职能和个人的范围是完整的?
⑥风险报告:所提供的信息是否足以用于决策?信息是否适合其所针对的管理级别?
然而,监管机构的经验是,由于缺乏文件和充分的报告,许多公司很难证明其操作风险管理框架的使用和嵌入。做这项工作很棒,但有必要记录下来,以便在监管访问时能够证明这一点。在监管机构看来,没有证据就是没有证据。这意味着,如果一个组织不能提供证据证明这种做法存在,监管结论是这种做法不会在这个组织中发生。小公司尤其缺乏系统的文件,有时缺乏适当的治理结构来证明其良好的风险管理实践。公司证明其正在使用操作风险管理和治理框架的最佳方式是让所有委员会和管理层在批准的会议纪要中记录问题、讨论和决定。下一节将解释操作风险的治理,而第5章将详细介绍操作风险报告的各个方面。4)超越监管要求
操作风险从业者面临着各种监管机构和组织发布的许多规则、演讲、咨询文件和政策文件。虽然并非所有文件都具有法律约束力,但它们确实反映了监管期望,因此公司应该了解与其业务相关的任何事情。在许多情况下,不遵守规定可能会导致监管制裁、资本追加或监管补救。然而,尽管有这些潜在的后果,许多从业者未能阅读和理解所有相关文件。为了通过忽视操作风险监管来防范这种不合规风险,操作风险团队最好维护一个监管文件库,这些文件告知并管理公司的操作风险框架应如何运作,并确保所有相关员工充分了解其内容。此外,应要求操作风险人员每年确认他们完全了解所列文件及其内容。在大多数公司中,合规团队负责对相关的新文件进行扫描,明智的从业者会订阅可用的监管警报。当新的要求或期望发布时,操作风险职能部门应在团队中指定一个人在下次团队会议上提交内容摘要,以促进信息交流和对规则的理解,包括文字和精神。
国际清算银行表示,“银行的操作风险治理职能应充分融入其整体风险管理治理结构。”有效的风险治理需要明确界定整个组织中各种风险管理利益相关者的角色和职责,以及可执行的决策过程和可执行的纪律。
3.1 风险和委员会结构
操作风险的治理是围绕委员会组织的,这些委员会根据公司决策层级不同级别的报告和上报信息,共同做出决策。当然,组织的规模和复杂性将影响处理操作风险治理的委员会的规模和数量。图2.3显示了风险委员会结构的示例。![]()
更大、更复杂的公司通常有一个金字塔形的风险委员会,负责监督、管理、监控和报告(或升级)操作风险:
操作风险委员会结构中的最低级别通常由按业务类型或职能(如公司银行、投资银行、支持服务)或地理位置(如国家或地区)监督活动的风险委员会担任。虽然这些委员会监督各自范围内的操作风险,但他们负责提供信息以帮助确定更广泛的操作风险状况,并将重大问题或超过预定限额的问题上报给全公司或第二道防线风险委员会。
集团操作风险委员会监督、管理、监控并向执行风险委员会管理层、管理委员会和董事会风险委员会报告合并情况。
董事会设立了企业级风险委员会(董事会风险委员会),负责监督所有操作风险。
董事会风险委员会就基于风险的决策、风险敞口和风险管理向全体董事会提出建议。董事会和董事会风险委员会定期收到风险报告。风险委员会审查和监督对较大事件的调查。会议频率应确保对操作风险的一致监督,并向董事会充分代表和上报潜在问题。董事会风险委员会的成员资格是指导方针的主题,监管机构要求成员具有最新的相关经验。单个公司的风险委员会结构和升级过程通常由公司的规模、性质、规模和复杂性决定。一家小公司可能会有一个单一的操作风险委员会,负责监督活动并向管理委员会和董事会风险委员会报告。不同的结构可以很好,只要它们符合业务的规模和复杂性。ORM和ERM以及委员会结构
操作风险本身通常分为几个风险类别,在许多大型组织中,每个类别都有自己的委员会,隶属于董事会风险委员会(或企业风险委员会)或操作风险委员会,然后向企业风险委员会报告。图2.4和2.5显示了通常观察到的两种结构,特别是在美国和加拿大。![]()
3.2 治理和风险文件
委员会的职权范围(TOR)或“委员会章程”是详细说明特定委员会监督委托责任领域的具体权力的文件。它包含的信息包括角色和目的、成员(委员会成员的姓名或职能)、成员的角色和职责、会议频率以及章程随时间的修订、修改或变化,以及这样做的动机。委员会审查公司相关级别产生的风险信息和风险报告,以支持要采取的决策,并审查和验证指导公司操作风险管理的政策。必须在委员会会议记录中记录并记录所进行讨论的内容、做出的决定以及这些决定的动机,这将提供监管机构要求的操作风险良好治理的必要证据,作为其评估的一部分。这些规则也适用于其他风险。运营政策描述了公司经营业务和组织流程所依据的规则和原则。程序和指南为如何执行某些任务或流程提供了更具体的指导。这些详细的文件有助于限制错误的风险,并提供有用的培训,尤其是在新员工入职时。政策、程序和其他指导方针是一种内部控制形式,称为指令控制。为了使政策和程序有效,它们必须被宣传,定期更新,并嵌入组织的运营中。它们应该反映商业现实,应用于日常实践,并且有意义。政策必须不断发展,以反映业务中的变化,如新活动或改进的流程。1)关于董事会在操作风险方面作用的监管指导
董事会最终负责公司的一般管理,包括风险管理。世界各地的公司治理准则使用与BCBS类似的术语来表示董事会负责确定公司为实现其战略目标而愿意承担的重大风险的性质和程度,并保持健全的风险管理和内部控制系统。换句话说,董事会负责设定公司的风险偏好,并确保其在风险偏好的范围内运营。董事会的角色和职责详见2021年RPSMOR原则3,鼓励感兴趣的读者查阅。监管机构要求董事会验证操作风险管理框架;确保定期修订ORMF;并确保高级管理层在所有决策层面有效实施操作风险管理框架的政策、流程和系统。董事会还负责建立与公司有效沟通的风险管理文化。为了能够有效地履行其监督操作风险管理的职责,并与企业风险管理的其他部分充分整合,董事会需要接受足够的培训,并确保与操作风险管理相关的所有职能部门都接受足够的训练,以有效地履行职责。2)关于董事会在运营弹性方面作用的监管指导
随着对运营弹性的新规定,银行或金融机构董事会的职责已扩展到监督和保证公司在这方面的有效管理。监管机构对董事会在运营弹性方面的期望往往与对操作风险的期望相似。BCBS的弹性原则1 9描述了董事会在弹性方面的责任,规定董事需要利用其现有的治理结构来建立、监督和实施有效的运营弹性方法。董事会应通过明确传达公司的目标,在建立对公司运营弹性方法的广泛理解方面发挥积极作用,因为这是他们对风险文化的责任。该公司的运营弹性方法必须考虑其风险偏好和对关键运营中断的容忍度,以及在可能影响其关键运营的各种严重但合理的情况下的运营能力。董事会监督高级管理层实施其运营弹性方法,并确保为运营弹性分配足够的财政和技术资源。董事会应通过高级管理层的及时报告获得持续运营弹性的保证,特别是在重大缺陷可能影响公司关键业务交付的情况下。公司需要能够证明董事会已经接受了运营弹性方面的培训;具备足够的知识、技能和经验,以履行其运营弹性责任;并向所有工作人员提供培训。3.4 三道防线模型(3LoD)
最初由军事部门以略有不同的格式开发,在过去十年中,这三道防线已成为金融服务组织中普遍接受和推荐的组织控制和风险管理方式。这三道防线通常定义如下:①第1道防线:这是风险所有者,通常被理解为业务的前线,以及负责管理风险的任何其他业务或前线办公室工作人员。BCBS(RPSMOR)将第一道防线称为“业务部门管理”;
②第2道防线:这包括对业务流程以及风险管理政策和框架的正确实施进行独立风险监督的人员。他们负责挑战业务线的活动和行为。BCBS(RPSMOR)将第二道防线称为“独立的企业操作风险管理职能(CORF)”;
③第3道防线:这是内部审计职能。在BCBS(RPSMOR)的术语中,第三道防线是“独立保证”。
尽管理论上简单明了,但风险治理和三道防线模型在实践中并不总是易于实施,多年来,这一话题引发了重要的争论和许多出版物。此外,如何实施这三道防线的正式程度可能因受监管实体的规模、性质和复杂性而异。同样重要的是要认识到,ORM往往不如信用、市场或流动性风险集中,这使得三道防线模型的划分更加困难。此外,财务、法律或安全等多种控制职能并不总是明确归属于组织中的单一防线。1)作战风险中的防线划分与混合控制功能
重要的是要明白,定义第一、第二或第三道防线的不是公司中部门或部门的名称,而是该部门或部门所承担的角色和责任。监管机构认识到,公司操作风险职能部门(CORF)的独立程度可能因银行而异。在小型银行,可以通过职责分离和对流程和职能的独立审查来实现独立性。在较大的银行中,CORF应具有独立于风险产生业务部门的报告结构,并负责银行内部ORMF的设计、维护和持续开发。CORF通常会聘请相关的公司控制小组(如合规、法律、财务和IT)来支持其对操作风险和控制的评估。银行应制定一项政策,明确规定CORF的角色和职责,反映组织的规模和复杂性。当某一特定职能部门没有足够的资源来支持创建一线和二线职能时,中小型机构的防线划分可能会出现问题。(这些职能通常是财务、人力资源、法律以及信通技术和信息及物理安全部门。)当人力资源有限时,这些职能混合发挥作用。在混合职能的情况下,这在一线和二线角色的操作风险中很常见,BCBS要求记录并区分这些职能中的一线和二线职位:如果一个业务部门同时具有第一道和第二道防线的职能,那么银行应该记录并区分这些职能在第一道和第一道防线中的责任,强调第二道防御的独立性。(. ..)表2.4提供了一些说明,说明混合功能中第一道与第二道防线角色的划分可能是什么样子的。![]()
2)第一道防线的作用和责任
第一道防线或一线风险管理通常涵盖所有商业和前台运营职能;简而言之,就是“生意”。风险是在产生风险的地方进行管理的,这是一句常见的风险管理格言,它提醒我们,具有讽刺意味的是,风险不是由风险管理职能部门管理或拥有的,而是由业务本身管理或拥有。总的来说,在定义第一道防线时,最好参考风险所有者而不是企业。风险所有者是指对其产生或监督的风险后果负责的人,因此,他们也负责评估和缓解风险。例如,IT主管负责/是公司IT风险的所有者。有效的第一道防线的责任包括以下内容:识别和评估业务中固有的操作风险的重要性
建立适当的控制措施
评估这些控制措施的设计和有效性
监控和报告业务部门的操作风险状况
如果业务部门认为其缺乏足够的资源、工具和培训来确保对操作风险的识别和评估,则应向第二道防线(即公司操作风险职能部门)报告。同样,企业应报告未通过控制措施缓解的剩余操作风险,包括运营损失事件、控制缺陷、流程缺陷和不符合操作风险承受能力。3)风险倡导者和“1.5”的角色和职责
操作风险管理本质上是分散的,存在于每个流程和每个操作中。然而,并非每个业内人士都有成为风险专家并了解风险管理方法和术语的使命。因此,许多组织在每个业务部门指定“风险专家”或“风险冠军”与风险职能部门互动。这些风险专家、“管家”或“风险通讯员”有时被称为“1.5”或“1.b”。它们在大型组织中尤其常见。风险专家在第一道防线中的作用包括如下:对于采用这种方法的公司来说,重要的是要确保一线操作风险的所有权不会由提供一线专家专业知识和服务的公司承担或转移。4)第二道防线的作用和责任
本着三道防线模式的精神,第二道防线的作用是制定风险管理框架,并审查和质疑第一道防线的实施情况。第二道防线不应直接参与第一道防线执行的风险管理活动,而应为这些活动提供指导、监督和挑战。为了有效履行职责,第二道防线的风险专业人员必须具备风险识别、评估、缓解和监测的概念和技术方面的专业知识。他们还需要对监管要求和商业环境有深入的了解,以确保合规性。风险职能部门要求对业务运营的行为有高度的可见性,并对影响业务的风险驱动因素有深入的了解。有效的第二道防线的责任应包括以下内容:①制定和维护操作风险管理和衡量政策、标准和指南,设计和提供操作风险培训,以提高认识和风险能力
②就业务部门的风险管理活动、重大操作风险的识别、关键控制措施的设计和有效性以及对风险偏好和容忍限度的尊重,形成独立的观点
③质疑业务部门实施操作风险管理工具、衡量活动和报告系统的相关性和一致性,并提供这一有效挑战的证据
④审查并协助监测和报告业务风险状况
风险职能部门的另一个重要作用是通过在做出选择时提供对可能风险和缓解方案的知情意见来支持业务决策过程。风险职能部门应作为业务部门的发声板,以做出改变机构风险状况的决策。此类商业决策可能涉及新企业、商业协议或收购、新产品或新市场、投资或撤资。为了发挥有效的挑战性作用,风险职能部门需要有足够的授权来否决一些可能与监管要求相矛盾或超过董事会同意的风险偏好限制的业务决策。5)第二道防线:在引导与挑战之间
第一道防线和第二道防线之间的关系可能是3LoD模型中引发最多争论的方面。许多监管机构要求第二条线与第一条线“独立”,对第一条线中执行的风险管理活动进行“监督和质疑”。然而,第二道防线的纯粹独立性引发了内部审计潜在冗余的问题。同样重要的是,在正确实施、理解和成熟这些活动之前,很难对业务中的风险管理活动进行有效的监督和挑战。因此,操作风险管理职能的首要作用是教育所有内部各方了解ORM的要点,特别是在较年轻或规模较小的组织以及对ORM学科管理尚不熟悉的业务部门。ORM的基本培训,也由BCBS推荐,应包括以下概念:①什么是操作风险?
②如何识别和报告操作风险事件?
③良好的操作风险管理有什么好处?
④风险管理不善的陷阱是什么?
实施风险管理工具,用于风险识别、评估和根本原因分析或情景研讨会。有效、参与和广泛的操作风险培训是实施风险管理框架的重要前提。即便如此,第二道防线也可以通过提供指导和提出问题来保持其独立于第一道防线的独立性,但不会抢先获得答案。例如,第二道防线的风险经理很可能会与业务线的员工和经理一起举办风险和控制自我评估研讨会,引发对风险和控制有效性的反思,同时通过避免对答案和评估的内容施加影响来保持独立。然后,风险经理可以收集回复,并质疑答案及其理由。第一行需要拥有风险评估和控制的最终签字权;这不是二线应该扮演的角色。第二条线拥有方法论;第一行承担风险。6)第三道防线的作用和责任
第三道防线是内部审计,这可能是界限最明确的防线。内部审计独立于风险管理过程。它独立评估组织的控制系统以及不同部门和活动(包括风险职能部门)的政策和程序的合规性。为了实现其目标,内部审计职能部门通常会定义自己对组织关键风险的看法,并围绕这些风险制定审计范围。在一些公司,审计和风险职能部门协调其议程,以免业务线经理因冗余的访问和风险评估而负担过重。有时,第二和第三道防线也会交换信息和调查结果。内部审计师协会(IIA,2017)就内部审计与风险管理、合规和财务职能的互动发表了意见。有效的风险管理、合规和财务职能是组织公司治理结构的重要组成部分。内部审计应独立于这些职能,既不负责也不参与这些职能。
内部审计应在其范围内包括对风险管理、合规和财务职能的充分性和有效性的评估。在评估内部控制和风险管理流程的有效性时,内部审计在任何情况下都不应完全依赖风险管理、合规或财务工作。内部审计应始终审查所审查活动的适当样本。
内部审计应作出明智的判断,在多大程度上考虑到其他人开展的相关工作,如风险管理、合规或财务,以进行风险评估或确定所审查活动的审计测试水平。任何导致内部审计审查不那么严格的判断,只有在评估该职能在审查领域的有效性后才能做出。
通过对一般运营控制系统的内部审计以及对组织财务和财务报告控制系统的外部审计师,为理事机构、高级管理层和外部利益相关者(如监管机构和投资者)提供独立保证。内部审计必须是独立的,并应向公司的非执行董事报告,例如,理事机构审计委员会主席、高级独立非执行董事或非执行主席。外部审计也必须保持独立。其职责是对财务报表发表意见。
7)三条责任线
最近,一些机构更倾向于将3LoD模式称为“三条问责线”,以坚持跨不同线划分角色和责任,并强调不同行为者对这些角色问责的重要性。然而,除了名称不同外,“三道责任”并没有真正偏离最初的三道防线模式。8)I/A的三线模型
如果一家公司使用三道防线,它应该知道内部审计师协会(IIA)于2021年发布的最新三道防线模型。该研究所完善了该模型,以反映组织内部风险管理的演变,并旨在促进包括内部审计在内的业务职能之间的更密切合作。有趣的是,三线模型还加强了第二线专业知识和支持的作用,并明确指出挑战适用于与风险相关的事项。事实上,当业务事项与他们的职权范围无关时,第二线的作用不是干预业务事项,这就是风险。在一些组织中,风险职能部门对业务职能采取了非常独立的立场,强调他们的监督和挑战,损害了支持和专业知识,将他们的角色与内部审计的角色混淆了。IIA出版物提醒我们,第二条线是综合管理的一部分,并向综合管理层报告。虽然这一变化并不代表与三道防线的重大偏离,但它确实使这种方法更接近许多成熟公司在风险管理方面发展起来的模型,风险不再被视为控制和避免风险的功能,而是帮助公司创造和保护价值的功能。(图2.6)![]()
“董事会负责确定其在实现战略目标时愿意承担的重大风险的性质和程度(……),并应保持健全的风险管理和内部控制系统。”由于他们在世界各地的公司治理准则中被直接指定为负责确定重大风险的人,董事会成员通常对确定组织可接受的风险金额,即其风险偏好非常感兴趣。然而,说起来容易做起来难,许多公司或机构在风险偏好的概念和实际应用方面都遇到了困难,尤其是对于非金融风险。定义风险偏好意味着评估组织面临的所有关键风险,确定可接受和不可接受事件的界限,并制定这些界限所需的必要控制措施。如果做得彻底,风险偏好定义可能会导致艰难的对话,并突显痛苦的事实,例如关于组织官方声明和操作风险管理中实际发生的事情的内部矛盾。根据BCBS的说法,风险偏好和容忍度的定义和限制,如果始终如一,将决定整个控制环境的优先级,这也是董事会的责任。BCBS将其第四项操作风险管理原则专门用于风险偏好和容忍度。简而言之,操作风险的风险偏好和宽容度声明需要易于沟通和理解,需要证明承担、限制或避免某些类型操作风险的理由,并且需要与银行的战略和业务计划保持一致。应通过与风险敞口、控制环境和损失事件相关的指标来监控风险偏好限额。最后,风险偏好应具有前瞻性,并接受情景和压力测试,并了解哪些事件可能会使银行超出其风险偏好和承受能力的范围。监管指导明确地将操作风险偏好和容忍度定义与风险敞口的必要限制联系起来,并要求风险偏好和宽容度声明与公司的运营保持一致。事实上,当一家公司表示“对数据泄露的容忍度很低”时,它必须通过强有力的控制和监控措施来证实这一说法,以向董事会和监管机构可信地证明,尽最大努力,该组织的数据泄露风险确实很小。董事会的作用是最终拥有风险限额并定期验证。在实践中,董事会通常会将这一责任委托给董事会风险委员会,该委员会反过来要求风险职能部门提供支持,以确保在业务控制和风险敞口中实施这些限制,并定期报告这些限制。4.2 风险偏好结构和监控
风险偏好“应阐明承担或避免某些类型风险的动机”(BCBS):承担风险是实现业务目标的必要条件,避免风险也是有代价的。风险回报权衡决策存在于操作风险管理中,必须在风险偏好声明中加以解决。风险偏好必须与公司的战略目标保持一致并为其提供支持,公司的风险管理战略应与其业务战略保持一致。图2.7显示了可操作风险偏好和容忍度的典型结构。明确的风险偏好与银行的战略目标相一致。它通过设定风险敞口限制、阐明关键控制的最低要求以及设定可容忍操作风险事件的频率和严重程度阈值来指导业务层面的决策。BCBS将允许监测这些限额的指标称为“能够监测这些风险的边界或指标(可能是定量的,也可能不是)”。在实践中,银行将其称为并报告为“监测KRls”。![]()
偏好和容忍度声明通常按主要风险类型表示,但根据公司的组织结构,也可能有其他选择。更注重流程的公司,如支付处理公司或清算所,可能会选择围绕其关键流程组织风险偏好声明、限额和控制,每个流程的风险偏好水平不同。此外,最近关于运营弹性的法规要求公司对关键业务服务设定最大的影响容忍度,这是风险偏好和对中断风险容忍度的一种表现形式。为了既可信又可操作,风险偏好和容忍度声明必须参考一致的关键控制或控制系统,以支持和证明风险偏好和容许度声明文件。如每种主要风险类型的关键控制措施清单,对于向包括监管机构和客户在内的内部和外部利益相关者证明组织实现了目标特别有用。接下来,监控控制可靠性、活动限制和其他关键风险指标的阈值和关键指标将为管理层提供相关信息,并保证业务正常运行。将事件和未遂事件与可接受限度的估计值进行比较,可以揭示现有的风险管理措施是否足够有效,以将事件的频率和严重程度保持在可容忍的限度内。框2.1展示了销售过程中行为风险的风险偏好和容忍度声明的程式化示例,并附有一些监控指标的示例。其他工具和限制反映了组织对操作风险的偏好,例如用于风险评估和热图的风险量表,或在监控指标或关键风险指标上设定的容忍阈值。第4章专门介绍风险评估,并更详细地介绍了热图和关键风险指标(KRls)。![]()
4.3 风险偏好治理
为了有效治理风险偏好,一个好的做法是为风险偏好结构中标记的每种风险类型分配一个风险所有者。随着风险偏好子类别和控制措施逐级分解为限额、控制和监控指标,为各种操作风险指定控制责任人和指标责任人是良好的治理(图2.8)。控制责任人负责控制措施的设计、实施和有效性。指标责任人负责收集、报告和监控度量,以捕捉组织在风险偏好方面的绩效。风险所有者是负责管理、维护和监控风险的管理者,其风险承受能力和容忍度均在规定范围内。风险承担者是第一道防线;风险管理的第一线。![]()
5.1 风险文化对监管机构的重要性
监管机构对风险文化的重视体现在其被纳入《巴塞尔委员会风险管理和风险管理条例》的第一项原则中,以及在随后的一些段落中对风险文化给予的重视,尤其是因为更好的风险文化会降低操作风险并提高抵御能力:“具有强大风险管理和道德商业实践不太可能经历破坏性的操作风险事件,并且能够更好地有效地应对这些事件。“在监管机构看来,风险文化与良好行为和道德密切相关,属于董事会的责任,适用于所有员工并得到所有员工的证明:”董事会应制定行为准则或道德政策来应对行为风险。本准则或政策应适用于员工和董事会成员(..)准则或政策应由董事会定期审查和批准,并由员工证明(……)“董事会和高级管理层应促进道德行为”,“令人信服地加强”行为准则和道德、薪酬策略和培训计划,以支持操作风险管理。5.2 部署风险文化计划
董事会必须领导高级管理层实施风险文化。这在实践中被称为“高层基调”:高级管理人员和董事通过自己的行为以及对员工行为的期望和后果为组织定下基调。必须通过适用于组织中每个人的政策和规范来记录强大的风险文化。操作风险是每个过程和活动的一部分。同样,风险意识、政策和规则的应用、警觉性、道德质量和透明度是强大的风险文化和稳健的风险管理框架的基本要素。
风险文化得到了管理层加强行为准则和道德规范、薪酬结构和培训的支持。需要设计适当的冒险行为,以便冒险者“参与游戏”,并承担其行为的后果:就像你希望飞行员坐在他驾驶的飞机上,使他的风险承受能力与乘客的风险承受能力相一致一样,参与冒险活动的公司经理和董事不仅要对其行为的利益负责,还要对可能发生的任何损失负责。通过提高对活动和流程中嵌入的操作风险的认识,并向所有人提供基本的风险素养,培训计划是建立健全风险文化的另一个重要组成部分。虽然非财务风险管理对一些人来说是直观和明显的,但必须仔细教导和解释给其他人。常见的风险培训计划包括新员工入职培训、所有员工均可使用的在线模块以及风险职能部门的专业培训。许多国家的监管机构还要求高级管理人员和董事会接受正式和定期的风险培训。加强遵守行为准则和发出纪律信号是影响行为的有效途径。强化意味着规则被认真对待,但应避免不必要的指责。“不责备文化”与“高层基调”是建立良好风险文化的最常见建议。它指的是需要避免通过指责报告者或事件根源来抑制问题和事件的升级。9/11恐怖袭击后建立的纽约市地铁系统的口号“如果你看到什么,就说点什么”在一份简短的声明中概括了所有行业非财务风险管理中最理想的行为:警惕和升级。为了对“说点什么”感到安全,员工不能害怕不公平的报复,就像举报案件一样,举报仍然是发现不当行为和欺诈的最有效控制措施之一。英国军方的风险文化文件将“无责”这一概念与银行术语“无不必要的责任”进行了细微差别,暗指在必要时需要解决和制裁反复出现的错误和粗心。英国监管机构要求企业在与监管机构以及内部和外部利益相关者的沟通中“公开和诚实”。如果发现事件和弱点,将予以制裁。具有良好风险文化的组织很容易被识别,其特征是具有一些可靠的特征(框2.2)。相反,有毒的风险文化往往是由过于雄心勃勃的增长和利润目标、对员工和管理层的过度压力以及对坏消息的抵制引发的。富国银行因大规模不当销售和欺诈而受到制裁,是陷入追求短期目标和利润陷阱的几个组织之一,后果严重。
![]()
![]()
