本篇依据新版FRM二级教材
Operational Risk and Resilience
Chapter 6 Risk Reporting
进行翻译撰写。
![]()
前几章介绍了风险管理的前三个步骤:风险识别、风险评估和风险缓释。本章介绍了第四步,风险监测和报告。风险监控为董事会和决策者提供了组织操作在风险状况的视图,使他们能够评估其风险管理框架的有效性,并保证公司在其风险偏好的范围内运营。报告告知决策者是否违反了这些限制,以及损失和事件是否比预期更大或更频繁。这可能表明风险管理框架的设计或实施存在弱点,并需要采取纠正措施。除了介绍风险监测、监督和报告的最佳实践外,本章还探讨了与设计和实施有效的风险监测、监管和报告制度相关的挑战。
操作风险报告有多个受众,包括内部和外部。内部利益相关者至少是董事会风险委员会、公司执行委员会(ExCo)、中央风险职能部门和相关业务部门。外部利益相关者至少是监管机构和公众,但通常包括供应商或客户等第三方。每个受众在监控操作风险方面都有不同的角色和兴趣,因此需要略有不同的信息类型。与组织操作风险状况相关的信息包括其面临操作风险的性质和程度、过去的风险事件、风险偏好和风险指标、风险缓释策略和弹性措施。本节回顾了每个利益相关者群体的报告需求,下一节介绍了通常报告的操作风险信息的性质。
2.1 董事会风险委员会
第二章介绍了董事会风险委员会(以下简称“董事会风险委员”)的作用和职能。董事会风险委员会由董事会授权,负责监督公司风险管理框架的有效性。其范围包括操作风险管理以及公司所有其他风险的管理。与公司运营相关的报告要求必须足以让董事会风险委员会确定该组织的控制和监控系统能够有效地遵守董事会设定的公司风险偏好,并在其范围内运行。董事会风险委员会将收到与公司风险偏好、风险事件的频率和严重程度、大型事件原因调查相关的关键风险指标的信息,以及对操作风险敞口、新兴风险和操作在风险增长趋势的总结。控制系统或操作风险状态中的任何重大问题也将上报给董事会风险委员会。为响应董事会风险委员会的指示,执行委员会将负责执行任何变更,以更好地管理公司的风险状况。2.2 审计委员会
审计委员会是董事会的另一个小组委员会,负责由公司内部审计活动管理的第三级操作在风险监督(第三道防线)。审计活动超越了操作风险。负责组织内部控制体系的保证,内部审计和审计委员会在ORM活动方面有几个交叉点。内部审计职能部门定期审计操作风险职能部门,并向执行委员会和审计委员会报告审计结果。通过内部审计发现的控制系统的弱点和漏洞也会报告给审计委员会。为了在公司审计发现的运营弱点和降低风险的策略之间保持连续性,董事会成员的职责可能会重叠。董事会成员可能同时担任风险和审计委员会的双重职责。2.3 执行委员会
执行委员会是董事会的一个小组委员会,由当选的董事会成员和高级管理人员组成,是整个董事会的执行委员会。执行委员会为董事会会议之间和/或危机期间的决策提供便利。在危机情况之外,它优先考虑全体董事会需要解决的问题,负责监督董事会政策,并确保良好的治理实践。具体到风险管理,执行委员会监督ORM框架的正确和有效执行。证明该框架的执行和有效性或缺乏该框架的每一项重要信息都在向执行委员会报告的ORM中占有一席之地。这包括风险事件、行动计划、问题的补救状态、文化和使用测试指标以及风险趋势和暴露。2.4 中央操作风险职能和操作风险委员会
第二道防线集中了公司内部有关操作风险及其管理的大部分(如果不是全部)信息。中央操作风险职能部门从业务部门收集所有相关的操作风险信息,为操作风险委员会提供汇总、综合的报告,并向业务部门提供反馈。这包括有关操作风险事件的信息,以及有关风险敞口、控制、指标、行动计划状态以及因新举措或新兴趋势而修改风险状况的相关信息。信息应进行分析、总结,并以支持上述各种受众和利益相关者群体决策的格式呈现。中央操作风险职能部门具有独特的优势,可以报告网络安全、就业问题和实物资产损坏等跨领域风险,这些风险通常在业务线级别以孤立的方式进行管理。因此,中央ORM职能的作用是提供各种风险和事件类型及其相互作用的汇总视图,以尽可能全面地反映组织的操作风险状况。ORM职能在报告操作在风险方面的重要作用之一是协调每种风险类型和业务线的不同报告流程,以在不重复报告的情况下产生全面的视图。在本章后面,我们将介绍汇总操作风险数据的一些挑战。2.5 业务线经理和风险报告设计
操作风险数据在业务运营层面收集,并在那里受到更密切的监控。业务线经理通常会监控其KRL的状态、行动计划的进展以及业务线所经历的操作风险事件的性质和严重程度。这些信息也会报告给中央ORM职能部门,以纳入组织操作风险状况的集中报告。向业务线经理和风险倡导者反馈的操作风险报告不仅使他们能够监控自己的操作风险,而且使他们能够相对于组织的其他业务线或部门或整个公司的平均水平来衡量自己的绩效。管理报告具有挑战性,风险报告更具挑战性。在信息过多和过少之间找到适当的平衡是许多公司面临的困境。数百页的风险报告即使对董事会的风险委员会来说也并不罕见。如果报告变得太大,忽略关键信息的风险就会变得很大。过多的信息可能会掩盖关键的见解,这在风险问题上无疑是有害的。相反,如果风险数据被压缩到几页,特别是如果以不恰当或误导的方式汇总,它可能会变得毫无意义。风险报告设计中的一个注意点是决定向哪些受众和以何种形式报告哪些信息。高级管理层、业务部门并不都需要相同类型的操作风险信息,也不需要相同的详细程度。向上级管理层或决策机构报告信息需要选择升级什么和汇总什么。一些关键信息值得在不改变的情况下传达给下一个决策层,而其余的信息可以在汇总报表中总结。高风险、未遂事故和有缺陷的关键控制措施通常会在不进行更改的情况下上报,而其他信息将在汇总报告中汇总。
所有报告背后的概念不仅是确保与公司的风险偏好保持一致,而且是确定操作风险缓释策略。尽管董事会风险委员会和审计委员会都与执行委员会合作制定战略,但报告为公司的运营提供了一个窗口,以确保持续实现风险偏好、风险接受和风险缓释目标。与其他风险因素不同,鉴于这是一门相对较新的学科,评估操作风险的波动性尤其具有挑战性。信用和市场风险指标通常具有一百多年的历史趋势信息。操作风险衡量相对较新,需要更多地关注用于评估风险状况变化的定性和定量跟踪措施。
3.1 操作风险报告内容
各公司的操作风险报告缺乏一致性:模板和关注主题各不相同。一些组织将大部分注意力放在对过去风险事件的叙述以及财务损失的频率和严重程度上,而另一些组织在分析中更具前瞻性,并专注于风险展望、关键风险指标和行动计划。从广义上讲,一个组织的ORM方法越成熟,其报告就越具有前瞻性。基于定性评估的监控技术与基于对波动性或损失情况变化的定量跟踪的趋势分析同样重要,这些变化是由影响人员、流程或系统的内部或外部因素造成的。一份全面的内部ORM报告至少包括七个要素。表6.1包含向操作风险委员会提交的季度报告的示例大纲。细节和特定组件的水平将根据受众而有所不同。对于特定活动和业务线的某些主题,它将更加详细,而对于高层管理人员,它将更加汇总和总结。![]()
风险登记簿(或风险清单)中排名前10位的风险列表或最重要的风险列表是操作风险报告中最常见的组成部分之一。它展示了高级管理层根据其战略重点优先考虑的操作风险,通常为10个风险。该清单反映了管理层对最需要考虑的特定类型操作风险的担忧。优先级可能反映了由于业务环境中风险强度而导致的固有风险水平,也可能反映了因控制环境不完全有效而导致的剩余风险水平。例如,在新冠肺炎大流行期间,鉴于商业环境的极端条件导致的风险强度,公司对大流行产生的风险(例如员工福祉、在家工作带来的增量风险和网络攻击风险)进行了高度排名。此外,一个特别关注其反洗钱检查控制有效性的组织,可能会将违反合规的风险列入其首要任务清单。与监管违规、合规违规、网络攻击、数据丢失和技术故障相关的操作风险通常出现在金融组织的前十大风险中,此外还有每家公司活动特有的其他风险。例如,在正在进行大型转型项目或服务数字化的公司中,与项目失败或项目管理和转型风险相关的操作风险可能会排在前十位。风险展望表明了每种最高风险的预期演变,就像评级机构给出的信用风险展望一样。这表明风险是否会增加、减少或保持大致相同。图6.2显示了前10名风险登记和前景报告的示例模板。这些风险仅用于说明,不适用于任何现有组织。![]()
除了风险建模和资本目的外,在RCSA练习中,还使用定性影响和可能性量表对业务线的操作风险进行评估(见第4章)。RCSA演习的结果在风险登记簿中重新分组,该登记簿列出了业务中评估的所有不同操作风险,及其描述、相应的可能性以及应用控制前后的影响。典型风险登记簿的格式与表6.2中的前10个风险模板非常相似,尽管完整的风险登记簿通常会列出应用于每种风险的控制措施,并对其操作有效性进行评估,以证明所评估的剩余风险水平是合理的。前10个风险主要是风险登记簿中记录的最高风险的一个子集。![]()
第4章中给出的热图或概率影响矩阵是风险登记册在二维中的另一种更直观的表示。一般来说,这是一种在一页中呈现相关信息并传达关键信息的更有效、更简洁的方式,而不需要观众阅读表格中的小字。风险职能部门的重要报告职责之一是向董事会提供充分、高质量的信息,以便董事会确定公司是否在其风险偏好范围内运营,如果没有,则确定适当的行动计划。报告风险偏好及其相关监测指标自然是操作风险报告的关键要素。风险偏好的监控指标与整体风险敞口、控制要求以及事件或未遂事件有关(见第2章)。在业务层面,这些指标与问题监控一起单独收集和分析。风险偏好指标,也称为“风险偏好KRls”,是旨在反映公司对其操作在风险偏好风险限额合规性的指标。当向董事会和上级管理层报告时,风险偏好指标以单个列表的形式呈现,而不一定将风险偏好细分为操作风险的子类别。受欧洲一家零售银行的风险偏好和KRI结构的启发,表6.2给出了风险偏好KRls的一个例子。表中包含的信息仅用于说明,不一定代表任何特定公司的最佳实践。第4章中介绍的KRls可以对不同活动中的风险敞口进行细致的前瞻性分析,或对特定风险的因素进行详细分析。在数据收集、KRI选择和报告方面,许多公司发现,将组织中已知、使用和收集的内容重新组合成一套全面的指标比试图创建另一个数据收集工作更有效,消耗的时间和精力更少。框6.2展示了通过单独重用现有信息创建行为风险KRI仪表板的案例研究。“问题”是运营或控制系统中可能导致事故的其他问题指标。问题的示例包括记录的IT问题日志、指示控制不力的标志、逾期的行动计划、运营问题或流程中的延误。例如,抵押贷款业务中的一种新承销工具存在一些错误,导致贷款错误和关闭缓慢,让员工和客户感到沮丧。在这个例子中,没有直接的操作风险损失,但如果问题得不到解决,可能会产生法律和商业影响。然而,将问题组织成有意义和可操作的报告可能具有挑战性。问题类似于KRls,因为KRls的问题报告和不利趋势都表明操作风险事件的可能性增加。大多数问题都是基于流程的,特定于活动或业务线。一些问题可以用作预防性KRI,例如控制弱点、系统漏洞、缺乏数据加密等指标。为了使报告具有可操作性,应按业务线或作为已识别的新兴风险或重大举措(新业务、合并、大型项目等)的一部分对问题进行分组。大多数组织都有一个全面的问题收集和报告系统,从业务运营到中央风险职能。通常,一级银行在给定的分配时间(通常为三个月)后将未解决的问题重新分类为KRI。![]()
![]()
报告风险事件、损失和未遂事故是ORM报告的基本组成部分。许多公司在报告开始时都会提供有关操作风险事件的信息,以及每个事件给公司带来的损失。关于操作风险事件的报告:•事件的数量和规模;
•每个时期、每个事件类型和每个业务线或业务部门的频率和严重程度;
•根据报告频率,每季度或每月进行趋势分析或至少进行比较;和
•超过公司内部规定的重要性阈值的较大事件的单独陈述。
操作风险监管资本的新标准化方法要求跟踪分别导致20,000欧元以上和100,000欧元以上财务损失的事件4(或等值美元或其他货币)。最佳实践表明,导致超过阈值的财务损失的每个事件都应单独报告,并采用特定的分类,将损失与整个组织的类似损失联系起来。损失分类越来越标准化,并在金融机构之间共享。金融机构常用的一个标准是ORX全球银行损失数据服务分类。尽管操作风险损失的分类越来越标准化,但报告阈值可能因公司而异。一些公司要求收集所有低至1美元财务损失的操作在风险事件,而另一些公司可能只收集与超过10,000美元或等值的损失相关的事件,或具有某些影响类型的事件。大多数机构都会系统地收集和报告导致声誉受损或监管影响的事件。鉴于操作风险分布中非常强烈的不对称性,小损失远远多于大损失。下一节将讨论非对称和定性数据的报告。健康的风险文化强调稳健的ORM实践,将未遂事件纳入事件报告中。组织根据偶然避免的潜在影响的重要性来判断未遂事件的重要性。未遂事故提供了经验教训,而没有实际损失的痛苦。它们为改进ORM系统提供了巨大的机会。从概念上讲,必须判断操作风险事件的重要性,不仅要根据其实际影响,还要根据其潜在影响。因此,风险事件和未遂事件的报告阈值理论上应基于事件的潜在影响,而不是其实际影响。然而,鉴于难以可靠地估计操作风险事件的潜在影响,大多数公司和监管机构使用观察到的操作风险事件影响来设定报告阈值。行动计划是旨在改善控制环境的风险缓释计划。纠正计划是被动的,可能会在发生重大事件后采取。纠正性风险缓释策略应对意外发生的操作风险损失事件,或代表ORM系统中意外的差距或弱点。在行动中纳入了前瞻性控制,以在可能发生的事件发生之前识别它们。预防措施计划旨在降低超过公司风险偏好的特定操作风险事件的风险,例如,可以围绕通过“作战室”情景或RCSA演习确定的操作风险制定。就像小项目一样,行动计划由业务线所有者跟踪和报告。业务部门还负责实施控制措施,并提供所采取行动的进度报告。在风险管理很强的公司中,有一个“零目标”:零逾期行动计划和零逾期审计建议。逾期指标也称为“纪律指标”。在具有健全风险管理程序的组织中,当前和逾期指标都会报告给高级管理层和董事会的适当委员会(例如董事会风险委员会、审计委员会或执行委员会)在日益动荡的商业环境中,公司已经建立了地平线扫描的做法,以识别新的趋势和新兴风险(见第3章)。此类风险每月或每季度向董事会风险委员会报告。扫描通常侧重于监管风险以及合规和监管环境的变化。在2007-2009年的大金融危机期间,前景扫描将反映出与抵押贷款危机相关的运营控制薄弱,包括未能进行现实的房地产评估和/或准确评估相关的抵押贷款支持证券。图6.3显示了金融公司视野中非金融风险的常见表示,同心圆表示风险可能发生或出现的接近程度:一年内、一到三年内和三年后。最佳实践表明,前景扫描应反映可能导致新兴风险变化的因素,并突出波动性的变化。![]()
在过去的二十年里,特定的风险软件应用程序蓬勃发展,以满足组织整理和报告操作在风险数据的需求。这些越来越多地被称为治理、风险和合规(GRC)系统(或“解决方案”)。GRC供应商的范围从微型企业到跨国软件公司,价格可能相差几个数量级(从约10,000美元到超过1,000,000美元),具体取决于供应商、产品的复杂性和所需的用户数量。无论如何,所有GRC工具都旨在促进公司操作风险数据的风险数据收集、处理和报告,将风险与控制联系起来,整理风险评估数据,并生成自动化报告包。更先进的系统在不断变化的环境中评估控制的有效性,包括内部和/或外部利益相关者决定的风险偏好优先级的变化。3.2 非金融风险数据报告的挑战
操作风险损失数据在统计上特别严重或偏离“平均”或平均事件。操作风险损失严重程度通常集中在相对较少的低频和高严重性损失事件中。相反,许多组织会报告大量高频但小规模的事件,这些事件在年度损失预算中只占很小一部分。随着时间的推移和公司的不同,这种损失比例的不对称性已经被观察到。最大的操作风险数据联盟ORX汇总的2014-2019年统计数据显示了成员银行汇总数据的损失比例,包括世界上大多数最大的银行:•最大损失(>100万欧元):占事件的0.4%,占总严重程度的66.6%
•损失最小(20K-100K欧元):占事件的57.9%,占总严重程度的4.4%
根据ORX数据库报告重新创建的每种损失规模的频率和严重程度分布直方图如图6.4所示。这些惊人的比例对风险管理的优先事项产生了重要影响。风险管理资源的适当分配应侧重于预防和补救大型事件,而不是因控制日常波动而分散和分心。对于新手风险管理者来说,频繁但微不足道的事件,虽然明显但并不严重,很容易成为非生产性的分心。管理层和受影响方通常很快就会知道超出组织风险承受能力的大型风险事件和重大未遂事件,需要立即上报给上级管理层进行审查和采取行动。大型风险事件将成为详细报告、根本原因分析和补救行动计划的对象。大损失和其他影响也是损失分布中的异常值,需要单独隔离和报告,以避免扭曲关于小损失的汇总统计数据,并对损失分布产生误导。小规模和频繁的损失构成了报告的操作在风险事件的大部分。事件报告阈值越低,收集的操作事件数量就越多。在流程自动化不普遍、许多操作仍然是手动操作、导致大量人为错误的组织中,报告大量小损失甚至更为常见。应定期识别和分析小而频繁的损失,以发现任何可能表明控制中断或流程中存在结构性缺陷的模式,从而制定行动计划。如果这些损失是随机发生的,没有任何特定的结构,并且在结构上是有限的、稳定的和重复的,那么它们的平均成本可以作为服务成本的一部分转嫁给客户。报告与基准相关的操作在风险损失,无论是总收入还是监管资本消耗,都有助于集中管理层与操作在风险预算和监管资本分配相关的决策策略。在经历一场将带来数百万美元协同效应和效率提升的转型时,在操作风险事件中损失10万美元可能会被视为与在运营利润率低的成熟活动中损失相同金额不同。同样,推出一款利润率低但会产生重大合规风险的新产品,以支柱2附加组件的形式消耗监管资本,可能不是最佳选择。由于资本在银行业中是关键且昂贵的,越来越多的银行也报告了操作风险对监管资本消耗基点的财务影响。将操作风险损失报告为总收入、总成本(对于成本中心)、总预算(对于项目)或资本基点的百分比,有助于跨业务部门的类似实体的可比性。以百分比而不是绝对值报告也使报告具有可扩展性,适用于各种规模的实体。理想情况下,操作风险管理人员还将更好地了解与实施适当控制和运营限制相关的成本效益评估和权衡。操作风险损失的不对称性不仅仅是一个管理后果:它还影响数据的处理和报告的结构。操作风险的一个总结规则是:“操作风险中没有平均值。”当分布对称,方差低,没有异常值,没有聚类,并且存在通常在操作风险分布中找不到的单模条件时,平均值更有意义。当应用于操作风险事件等不对称分布时,平均值的相关性要低得多,可能会产生误导。平均值的更好替代品是中位数(分布的中点)和分布的第一和第三个四分位数,它们也有易于呈现和解释的优点。操作风险损失平均值的偏差通常是由少数异常值引起的。如果出于某种原因需要计算平均值,在这种情况下,最好从用于计算平均值的数据集中删除这些大尾部损失,而是分别报告每个大尾部损失。因为操作风险损失分布的主体更集中、更对称,更适合于平均值、最小值或最大值等经典描述。图6.5和表6.4说明了在操作风险报告中使用平均值的陷阱,以及使用其他统计数据从风险数据集中提取有见地的信息的好处。请注意,对平均值的替代品的需求不仅限于操作风险损失,还适用于KPI和KRI数据、风险评估和评级,或任何需要详细了解分布以获取洞察力的观察结果。![]()
图6.4展示了一个虚构的关键绩效指标。它可能是每单位销售额中完全满意的客户数量、提前或落后于计划的天数等。平线表示度量的平均值,在大多数情况下接近数据,但远离正负异常值。然而,在风险管理中,信息价值在于检测异常值。平均值隐藏了数据中的异质性,并阻止观察者看到推动运营指标升高或降低的类似事件、客户或员工的集群或组。这就是为什么查看整个分布,然后查看分布中信息丰富的子类别是有帮助的(例如销售人员的投诉,这显示了大多数投诉来自一小群糟糕的销售人员等)。表6.4强调了异常值和集中度在风险报告中的重要性,对比了使用平均值报告操作在风险指标所提供的信息值与通过平均值报告可能隐藏的分析集中度和异常值所提供的洞察力。![]()
在风险报告中,与许多其他形式的报告一样,信息的价值在于偏离常态。例如,信用卡欺诈是通过异常的支出模式来检测的,优秀的交易员(正异常值)有异常长的绩效记录,流氓交易员(负异常值)在其报告的绩效中表现出异常低的波动性,最好的经理有更高的员工保留率和最高的生产率水平,而糟糕的供应商有最多的运营失误。信息的价值在于数据模式、分布的集中部分以及观测值之间的距离。两个或多个周期的趋势分析可用于建立“正常”基线,根据该基线可以更容易、更可靠地检测到异常。这种方法可用于帮助建立KRI阈值和其他警报标准。然而,为了有效,良好的数据分析必须适应所考虑数据的性质和特征。采用“一刀切”的方法,使用具有不同分布和不同底层数据生成功能的数据的相同类型的汇总统计数据和演示文稿,将是一个错误。风险报告是一个机会,可以调查数字背后的现实,并确定组织中哪些方面运作良好,哪些方面可能出错。积极的异常值、惊喜和出色的表现也带来了宝贵的信息,从成功案例中吸取的经验教训也可以被提取和报告。遗憾的是,与报告问题和分析重大历史损失事件相比,大多数风险经理很少关注突出和解释成功案例。对操作风险损失模式的稳健分析考虑了可能改变损失情况的各种低、中、高风险情景。在过去十年中,可能加速损失的最佳例子与气候变化有关。环境因素的波动越来越多地导致了意想不到的操作风险损失。例如,与天气有关的损坏可能会导致严重的系统停机和客户收入损失,特别是在制定了不适当的业务连续性计划的情况下。如果人员、流程或系统没有及时调整以反映不断变化的运营环境,监管和合规框架的意外变化也可能导致操作风险损失。与财务风险报告不同,操作风险报告面临着汇总定性数据的额外挑战。风险评分、颜色评级和其他指标是离散的、定性的,完全不适合算术处理。评级为“5”(极端)的风险和评级为“1”(低)的风险不一定等于评级为“3”(中等)的两个风险。尽管它们提供了关于顺序排名的信息,但用数字表示的风险评级并不比用颜色或形容词表示的风险等级更具定量或累加性。在汇总定性数据时,有三种选择值得考虑:1)转换和加法:将定性指标转换为线性、可加的通用货币单位,然后可以进行算术聚合。在这种方法中,所谓的操作在风险(声誉、监管、连续性等)的非财务影响被转化为财务术语,并与它们的财务影响相加。货币价值是连续的和累加的,例如,可以更容易地在各种运营RCSA结果或不同的操作风险事件中进行汇总和比较。这种方法需要几个假设和近似值,一些组织可能会觉得不舒服,而另一些组织则欣赏量化和可比性的便利性。
将操作风险的非财务影响货币化还有一个额外的优势,即与信用和市场风险相比,可以提高人们对这种风险类型严重程度的认识,并且比基于颜色的评级系统更有效地吸引高级管理层的注意。2)分类:如果转换为货币价值或连续数据不切实际或不可取,另一种方法是按类别报告风险评分和指标,按颜色或评分进行分组。按类别报告避免了将异构信息误导性地分解为不恰当的汇总,但在保持报告简洁的同时,提供了对风险状况的平衡看法。图6.6显示了使用分类的条形图进行报告的示例。红色分数位于数字的顶部,被设计成“蜡烛”,以传达火焰越长,危险越高的信息。这种形象可以“激发”想象力,在许多组织中都很有效。红琥珀绿(RAG)评级条形图适用于RCSA结果、KRl、行动计划评级以及问题或审计建议:任何可比的RAG评级数据集都可以用蜡烛条形图表示,以简单而有效的方式反映评级的分布。
![]()
3)最坏情况报告:数据集的最差得分,如一组关键风险指标,作为汇总值报告(例如,如果一个项目为红色,则全部为红色)。这是最保守的评级汇总形式。当风险承受能力最低,收集的数据是风险的可靠指标和预测因素时,这可能是合适的。这种方法的优点是谨慎,但缺点是可能过于令人担忧。如果它生成的警报太多而被忽略,甚至可能是不安全的。
3.3 综合保证
这三道防线应该共同努力,为董事会提供综合保证。综合保证旨在使内部审计和其他保证提供者之间的保证流程保持一致,以便向高级管理层和审计委员会提供有关治理、风险和控制管理的适当见解。内部保证提供商由第二道防线职能代表,包括ORM职能和其他风险管理职能,以及根据组织的不同,IT安全、法律、风险管理、合规或质量保证职能。综合保证代表了专门负责监督和保证的职能之间的成熟协调水平,包括联合调度、综合规划和报告、共享术语和使用共同方法等要素。在实践中,综合保证要求三道防线合作和协调,以达成一致的风险分类,并为每种风险分配所有权和责任。例如,每条线都同意其审查计划和时间表,以确保内部审计计划和风险管理审查之间没有重叠和重复。ORM职能部门负责风险监督,维护综合保证图,用于向适当的治理委员会报告风险监督的结果。图6.8提供了使用RAG状态向董事会风险委员会提交综合保证报告的示例。每个单元格都反映了其中一道防线提供的评估。灰色单元格表示未进行评估。绿色单元格表示评估结果令人满意,琥珀色单元格表示需要关注,红色单元格表示风险评级不令人满意,需要关注和采取行动。数据已从实际案例中修改,仅用于说明目的。
综合保证中的角色应在三道防线上按如下方式分配:
①一道防线审查:风险和控制评估、控制测试以及风险控制和风险管理活动按预期运行的证明;
②二道防线审查:监督第一道防线中的风险管理活动,对某些特定风险类型进行详细的专题分析和风险评估(深入研究),对控制措施进行抽样测试;
③三道防线审查:遵循审计周期,定期进行内部审计活动。
尽管定性和历史数据对于构建可操作的ORM框架至关重要,但包括建模在内的定量技术可以补充这种方法。在定性和定量分析中实现高级管理层的目标,提供了一个更动态的操作在风险评估、报告和缓解框架。鉴于操作风险的不确定性,以及缺乏长期历史数据模式,许多公司用情景分析来补充现有的操作在风险工具。
巴塞尔监管框架的支柱3涉及财务和风险信息的公开披露。在标准化监管方法发布后,操作风险的支柱3于2018进行了更新。
4.1 向监管机构报告:巴塞尔监管支柱3
巴塞尔协议要求银行在计算其操作风险资本时使用与操作风险相关的信息,这些信息构成了标准化方法的组成部分(见第2章)。这包括过去10年中需要计算内部损失乘数的银行的内部损失事件,以及用于计算所有使用这种方法确定操作风险资本的银行的业务指标组成部分的参数(使用过去三年的数据)。操作风险披露要求包括三类信息:报告的这一部分是关于介绍受监管实体为管理、减轻或转移其操作在风险而制定的治理和风险管理安排。在本节中,公司必须提供有关其操作风险管理政策、框架和指导方针的信息,以及其ORM和控制职能的结构和组织。他们还需要描述用于衡量操作风险的系统和数据,以估算操作风险资本费用,并为高级管理层和董事会划定操作风险报告框架的范围。最后,支柱3下的监管报告必须包括对操作风险管理中使用的风险缓释和风险转移的描述。接下来的两个组成部分是定量信息,必须使用固定的、规定的模板每年报告一次。所有受监管的银行都必须进行报告。受监管实体必须根据已发生损失的会计日期,报告过去10年发生的总操作风险损失的充分信息。本披露为在SA中包含内部损失乘数的国家的操作风险资本计算提供了信息。报告格式由每个国家监管机构固定和规定,为披露提供了进一步的指导。预计银行和受监管实体将补充模板,并附上说明,解释总体理由,并对自上次提交期以来发生的损失发表评论。银行还应披露有关其历史损失或追回的任何其他重要信息。但是,信息可以汇总提供,不包括任何机密和专有信息。巴塞尔操作风险监管报告的第三个组成部分是披露业务指标及其子组成部分,这些指标为操作风险资本计算的核心部分提供了信息。银行和受监管实体还将用叙述性评论补充模板,以解释报告期内的任何重大变化以及这些变化的主要驱动因素。无证据即为缺席的证据
对于监管机构来说,无法证明的东西被认为是不存在的,因此俗话说,“没有证据就是没有证据的证据。”当然,审计师或监管机构不会把风险经理的口头断言作为确认;需要证明。风险报告和文件对于向监管机构和市场提供风险控制和适当风险治理程序存在的证明至关重要。公司可以通过收集包括董事会、董事会风险委员会和执行委员会在内的治理委员会的会议纪要,并在批准的会议纪要中记录问题、讨论和决定,来证明其正在使用其操作风险或风险治理框架。向风险委员会和业务部门报告ORMF的各个要素至关重要,这不仅是为了有效地履行ORM和治理职能,并在需要时纠正行动和/或方向,也是为了向外部各方展示有效的ORM,并激发对公司的信心。4.2 向监管机构发出事故通知
除了关于公开披露的第三支柱规定外,在大多数司法管辖区,金融机构还被要求将任何重大操作风险事件或任何违规行为通知其监管机构。这是除通知执法部门内部和外部欺诈、渎职或恐怖活动之外的。以下任何标准都可能触发向监管机构通知操作风险事件的要求:•相对于损失或重要性阈值(重要性标准),事件的重要性;
•任何严重影响公司声誉的事件(声誉标准);
•任何可能影响公司继续为客户提供足够服务的能力,并可能对公司客户造成严重损害的事件(弹性标准);
•任何可能对金融体系造成严重后果的事件(稳定性标准)。
监管机构要求受监管机构对其操作风险状况“公开和诚实”。这通常是对公司的判断,在遵守法规的需要和不愿披露内部操作风险失败之间摇摆不定。尽管存在这种困境,但透明度是与监管机构保持值得信赖的关系的最佳政策,撇开每一起重大事件都很快就会出现在公共领域的事实不谈,因为它很可能会影响外部利益相关者,并且很容易被专业媒体发现。第5章回顾了在声誉受损的操作风险事件中进行外部沟通的基本规则。4.3 向市场和投资者报告:年度报告的风险部分
除了支柱3和国内监管和法律下的正式监管报告外,公司还在年度报告中对其风险敞口和风险管理发表评论。对于银行和其他金融服务公司来说,大部分风险报告都与金融风险有关。然而,操作风险在金融公司年报发布中的重要性日益增加。在这些官方报告中,公司必须对其风险敞口保持透明、知情和诚实,同时避免不必要地提醒利益相关者潜在的问题。多年来关于风险沟通的研究表明,在品牌及其管理层的信任方面,利益相关者对那些对所面临的风险透明且有能力解决这些风险的公司持积极态度。方框6.5给出了一个大型银行非金融风险沟通的例子。![]()
4.4 报告运营弹性和满足监管期望
运营弹性报告的截止日期
操作风险报告将很快得到运营弹性报告的补充,以满足市场和一些监管机构的期望。2022年3月,英国受监管的金融公司进入了为期三年的过渡期。到2025年3月,他们必须进行测绘和测试,以便能够将每项重要业务服务的影响保持在容差范围内,进行必要的投资,使这些服务能够在既定的影响容差范围内一致运行,并向监管机构报告这些要素。![]()
