双语阅读AI翻译

转换风险效率和有效性

2019/05/02 10:23
收藏
对照中文英文原文
企业范围的风险转换可以有效地提高风险效率,同时还可以将成本降低20%。

Tue Apr 30 2019 10:23:36 GMT+0800 (中国标准时间)

自2008年至2009年的金融危机以来,大大小小的金融机构的风险和合规职能都得到了显著拓展。许多全球性银行在这些领域增加了数千名员工。在大型地区性银行,风险职能的增长率已高达组织其它部门的两倍。在许多较小的机构中,将合规作为法律职能的一部分或将风险作为财务职能的一部分进行工作的少数人,如今已成长为拥有数百人的全面风险和合规职能。

随着人员数量的增加,复杂性也随之增加。许多机构发展迅速、零敲碎打,常常忙于应对监管反馈或间接压力。通常扩张是“二对一”的:当银行在第二道防线上增加风险经理时,它们也必须在第一道防线上招聘,以执行扩大的风险职能所设定的额外要求。相反,第一行的增加促使第二行雇佣率比以前更高,以便在一个要求更高的监管环境中提供监督。随着员工的增长,政策、委员会和报告也激增。复杂的风险功能和迅速发展的政策环境反过来又导致了更多复杂的过程,往往随着时间的推移添加了控制层,而没有考虑整体设计。

如今,大多数银行都在寻求提高生产率。近年来,许多机构将风险管理视为削减成本的禁区。考虑到风险管理和监管预期的要求,削减复杂性所需的成本的行动被认为是危险的。现在,鉴于潜在的监管稳定性即将显现,一些银行正认真考虑降低风险管理成本。

然而,提高风险-功能效率的努力只能从一套危险的标准生产力措施中获得。有效的风险管理需要大量具有高度专业知识和技术技能的角色,因此不适合转换杠杆的样板应用,例如跨度和层。此外,尽管监管压力可能会减轻,但它们不会消失。银行业监管机构仍适当关注风险职能的强度和完整性。提高风险-功能效率的尝试,如果没有细致入微,将招致更多的审视。最重要的是,风险管理可以防止代价高昂的错误和失败。当今环境的特点是,向数字渠道和工具的转移所带来的风险水平不断上升,对第三方和云计算的依赖越来越大,网络攻击激增,社交媒体带来的声誉风险成倍增加。提高风险管理效率的错误举措,可能会让一家机构付出比节省成本多得多的代价。

幸运的是,提高风险管理效率的最有效杠杆,如果按照谨慎的顺序应用,也能提高效率。一个执行良好的端到端风险-功能转换可以减少高达20%的成本,同时提高透明度、问责制、员工和客户体验。

相辅相成阶段的顺序转变

我们认为,希望转变风险管理的银行应该把重点放在四个相互加强的领域:组织、治理、流程、数字化和高级分析。虽然在每个领域隔离的增强可以提高效率和效率,但真正的潜力来自于按顺序处理它们。组织优化促进治理合理化,从而促进流程的有效简化,从而使数字化和高级分析产生最大的效益:

  • 优化组织。组织优化通过明确职责、增强问责性和将人才与工作匹配来产生效率收益。这些变化还通过减少第一道防线和第二道防线上的冗余来提高效率。也许最重要的是,组织改进为治理合理化、流程合理化和数字化奠定了必要的基础。
  • 合理化管理。通过对治理进行合理化,银行可以将注意力集中在最重要的事情上,并消除业务的痛点。消除不需要的活动可以释放稀缺而宝贵的资源管理带宽,同时产生一些直接的效率效益。最重要的是,合理化治理为流程的简化和数字化奠定了基础。
  • 精简和加强进程。通过简化流程,机构可以在创造更好的员工和客户体验的同时,在效率-效果曲线上采取引人注目的步骤。精简的流程也更容易数字化,无论是有针对性的方式还是全部数字化。
  • 数字化和部署高级分析。最后,数字化和高级分析可以增强和放大流程重新设计的影响,从而充分影响风险管理的有效性和效率。适当的自动化过程更容易出错,成本也更低。或许更重要的是,数字化允许机构在核心流程中嵌入自动实时(或近乎实时)风险控制。这减少了控制失败,并大大提高了资源的使用效率。

接下来的部分将讨论所有四个领域,提供关于挑战、改进机会和实现的详细信息。

优化组织

清晰和精简的组织结构是端到端风险转换工作的起点。通过明确第一道防线和第二道防线上的角色和责任,机构可以提高问责制,确保它们所面临的风险得到全面覆盖,并减少工作重复。通过明智的集中,银行可以提高标准化水平,减少重叠。此外,资源的选择性转移(离岸或近离岸)可以扩大人才库。

在风险功能中裁剪组织报告行

许多银行正寻求改善其风险管理组织结构,但不确定如何超越零敲碎打的改革。考虑到必须以协调的方式满足风险管理需求的多样性,正确处理核心结构是一项挑战。

没有一个单一的答案适合所有的银行,因为它们已经建立了许多向首席风险官(CRO)汇报的不同角色(表1)。然而,风险组织结构通常包括四种不同类型的角色:

  • 与风险相关的角色对主要风险类型(如信贷、遵从性或操作风险)或一组传统风险类型(如非金融风险)进行端到端的监督。
  • 与业务一致的角色监视业务单元或广泛业务重点的领域,例如消费者银行或商业银行。
  • 以地理为基础的角色负责监督特定地点的活动,通常是在具有重要国际业务的机构,或地方司法管辖区要求的地方。
  • 企业范围的角色负责以协调的方式跨风险类型、业务和地理区域的活动。例如企业风险管理(ERM)或分析和模型开发。许多机构都设立了专门的项目来满足特定的需求,比如大规模的数字化改造或高调的整治,这也属于这一范畴。

展示1

crs可运用以下五个概念,建立切合实际的架构,为有效及有效率的风险管理奠定基础:

  • 对于每个主要的风险监督活动,将主要责任分配给与风险一致或与业务一致的组。根据我们的经验,至少在一些风险管理活动中,许多机构要么没有明确指出什么角色负有主要责任——留下空白——要么将责任交给几个小组——从而产生重叠的权威。无论哪种情况,结果都是混乱和重复。为了防止这种情况发生,系统协调处应确定哪个角色对每项活动负有主要责任,从而在第二线内加强协调,同时限制资源的重复,从而提高效率。例如,业务组和风险组都希望进行独立的测试。但是,如果他们不进行协调就这样做,业务就会负担过重,独立的结果很难汇总甚至协调。一个更好的方法是让业务部门或风险相关的团队明确地负责测试。该小组将根据这两方面的标准和需求构建测试,以便能够根据风险类型和业务轻松地聚合结果。
  • 分配与风险一致的单元,负责为其风险类型设置策略、报告和测试标准。如果将这些活动单独留给与业务一致的团队,每个团队都可能根据自己的特定需求定制方法,从而产生混乱,阻碍跨公司的透明度,并使其难以在企业级别聚合风险。在实践中,直接向CROs报告的与风险相关的角色应该涵盖风险最高的领域。大多数crs直接报告信用风险、操作风险和遵从性。拥有大量交易账簿的机构通常会向CRO报告市场风险;承担模型风险也变得越来越普遍,尤其是在美国最大的银行。
  • 确保业务在风险组织中有明确的接触点。风险组织应该有足够的业务专长来提供有效的监督,同时也要为业务单元提供清晰的联系点。较小的机构通常没有与业务单元一致的角色向CRO报告;相反,每个风险对齐的组为每个主要业务维护一个单一的接触点。这种方法要求每个企业管理多个联系点,在规模上可能会变得很麻烦。因此,规模较大或不断扩大的机构应考虑为每个主要业务领域设立CRO直接报告。例如,一家不断发展的地区性银行只有向CRO报告的风险型角色;为了确保业务有明确的接触点,世行设立了与业务一致的角色,并提供了重要的监督和监控资源。与风险相关的角色继续开发策略并提供聚合的风险类型报告。拥有成熟的、集成的运营模式和足够的分布式专业知识的银行可能不需要在风险组织中扮演与业务一致的正式角色。然而,在我们的经验中,这是一个例外,而不是规律。
  • 在基于地理位置的组中,镜像整个组范围的方法,用于为风险对齐的角色和业务对齐的角色设置职责。许多司法管辖区要求所有风险管理人员通过区域CRO报告,CRO对风险管理监督负有最终的司法责任。通常情况下,跨国银行不同地域的风险领导层会对其团队内的职责做出自己的独立决定,从而阻碍企业范围内的一致性和汇总的风险报告。为了实现一种协调的方法,机构应该阐明组级原则,并将其应用于所有地理区域。只有当地方法规实施了完全不同或更高的标准时,例外才有意义(在美国经营的外国银行组织都知道这个问题)。
  • 为需要企业一致性的活动创建单点高级责任。某些活动需要跨风险类型、业务和地理区域的通用标准和方法的一致性。例如,企业范围内的风险偏好、风险识别和问题管理方法。企业风险管理功能正在重新出现,即使是在较大的银行,它也是向CRO报告这类领域的关键部门。许多大型银行也已经或正在设立一个监管关系主管作为CRO直接报告,以建立监管互动的标准和治理。任何企业范围的角色都应该有一个明确的任务,以避免中心项目管理类型职位的泛滥。

根据我们的经验,成功的风险重组应该从诚实地评估现有组织的优点和缺点开始,包括业务输入。将此作为应用上述原则的基础,将产生一个对业务更有响应的组织,具有以原则为指导的一致的逻辑结构,有效地履行其监督职责。

明确防线上的角色和职责

通常情况下,职责可能会在防御线之间和防御线内重叠,损害简化治理和流程的能力。例如,我们经常观察跨越第一道和第二道防线的重叠控制和测试环境。以下主要意见可指导院校厘清角色和责任:

  • 对所有实际进行的风险管理活动形成清晰的认识。在大多数银行,至少有一些风险管理活动的确切性质尚不清楚。缺乏明确性表明,在跨业务或风险类型的方法中可能存在差距、工作重复或无意中不一致之处。重复的两个常见例子是第一道防线和第二道防线所进行的监测和风险报告。同样,与供应商管理或跨企业的投诉处理相关的活动也是经常出现不一致的领域的例子。在整个风险组织中,明确谁在做什么,这本身也是一个有价值的、提高效率的结果。
  • 跨防线定义和阐明角色,并将其应用于活动。很常见的是,风险角色在防线上的划分很差,因为不同战线上的小组执行类似的活动(表2)。在对角色的监管指导不明确的地方,最容易出现重复,例如在供应商管理或监视和测试中。角色的不恰当描述也可能导致空白,没有明确的团队负责执行所需的活动。例如,许多机构并没有针对网络风险开展适当的企业风险活动。为了消除差距和重复,银行应制定划定防线的原则,并利用这些原则将每一项活动划分为属于第一道防线或第二道防线的活动。
  • 通过将这些活动纳入真正的第一道防线,避免“1.5道防线”的概念。一些银行建立了他们所谓的“1.5防线”,要求完成第一线的风险活动,如质量保证和报告。尽管其逻辑显而易见,但1.5行代码可能会造成更多的混乱,而不是清晰。在它存在的地方,真正的第一线——第一线业务——常常不能将风险管理集成到其核心流程和决策中。这将从业务中移除真正的责任,并常常意味着风险管理活动不是它的责任。与此同时,第二行代码可能过于依赖1.5行,或者认为它不够好,执行它自己的、重复的控制测试。
  • 确保对企业职能范围内的活动(包括法律、人力资源和财务)采取清晰的方法。根据我们的经验,在几乎所有的机构中,企业职能与防线之间的关系都是模糊的。银行应采取系统的方法来监督各职能部门的组成部分活动,从而澄清这一点。董事会和风险部门,以及企业职能部门的领导人自己,都可能在这种监督中发挥作用。与此同时,机构需要指定由组织的其他部分执行的哪些活动由企业功能监视。例如,HR可以在整个企业中提供与激励性薪酬相关的风险监督,包括对相关活动的责任,如制定政策或进行独立的测试和监控。最后,银行需要为这些企业功能如何参与企业范围的风险管理计划(如风险识别、风险报告和风险偏好)建立原则,从而对整个银行的风险进行总体评估。

附表2

在防御线之间实现角色和职责的正确对齐是一项艰巨的任务。具有此目标的企业范围的项目可能生成大量的文件,但不会产生清晰的结果或好处。成功的组织首先要为哪种类型的活动建立原则,并将其划分为哪条防线。其次,这些银行通过与企业、企业职能部门和企业风险小组的工作会议,对活动进行盘点,并确定存在的差距和重复的领域。最后,他们重新调整活动以符合防线原则。这一步骤经常导致组织调整:例如,一些银行已将首席信息安全官组织的一部分转移到企业风险,以提供网络风险的二线覆盖;其他人则将关注控制测试的团队从运营风险转移到相关业务。

集中资源优化布局

即使在明确了角色和职责之后,银行也会发现,由于资源过于细分,导致资源和人才配置效率低下。在大多数银行,类似的风险管理活动在不同的物理和组织地点重复,或者人才与角色不匹配。例如,大规模风险领域的数据科学家可能会被要求撰写报告或解决技术问题,因为他们所在的特定领域对分析的需求不足以让他们完全投入其中。与此同时,其他风险领域可能在分析工作中使用非专业人员,因为对专业人员的需求不足。一个适当的集中化和定位的敏捷策略应该基于以下原则:

  • 集中共同的活动,特别是那些需要专业技能或一致性的活动。一些银行集中一定的资源和活动,最大限度地利用现有人才,保持一致性。集中化的典型候选对象是需要专门人才的活动(如数据和分析),以及一致性带来明显好处的活动(如测试和监视)。这些结果有时被称为“卓越中心”(COEs)。它们可以帮助平衡工作量,减少重复,促进方法的一致性,并保护稀缺的人才。然而,创建一个“中心”并不保证“卓越”。“实现卓越需要的不仅仅是将人们聚集在一个单一的组织结构中。一家地区性银行发现,其分散的模型组在风险函数中存在低效的交接和重复活动。通过创建一个数据和建模组并重新调整底层流程,世行解决了这些缺点,更好地平衡了工作负载,并促进了围绕数据管理的更严格的纪律。
  • 建立清晰的协议,让COEs与组织的其他部分进行交互。在创建卓越中心时,银行应谨慎行事。COEs会侵蚀组织中由于集中化而失去资源的部分之间的信任,而这些部分现在正在经历服务级别的更改。为了确保COEs真正实现其预期目标,银行应该为每个COE与业务或功能之间的交互采用一个清晰的模型;这个模型可以包括服务级别协议和指定周转时间。如果没有一个清晰、一致同意的交互模型,业务可能会在影子功能中重新创建COE功能,这将使组织进一步膨胀,并在职责方面产生额外的混淆。
  • 制定合适的定位策略。为了开发新的人才库和节约资源,一些机构已将某些活动迁至海外。重新配置风险函数的地理位置需要一种细致入微的、特定于规程的方法。许多风险角色,特别是那些具有战略或咨询重点的角色,无法重新定位,因为它们需要接近第一线。然而,一些重要的角色,包括模型开发和验证,适合重新定位。尽管转换这些角色可以提高效率,但银行必须谨慎地平衡这些角色的变动与它们在每个角色中拥有合适人才的需求。事实上,对于某些活动,需要的人才可能更容易在海外地点获得。
  • 采用更灵活的模型来平衡季节性的工作量。某些关键风险活动(如压力测试和基于项目的补救措施)的季节性或周期性,一直是银行和负责这些项目的员工的痛点。当这些员工的主要职责不那么繁重时,银行可能很难保持资源的有效利用。此外,长期担任这些职位的员工可能会失去动力,开始寻找更好的机会。在一个又一个项目的基础上,在更短的时间内重新部署人才,将解决这种不平衡。这也可能有助于留住人才,解决组织周围的资源缺口,以及交叉传授最佳实践。随着时间的推移,将这些活动更好地集成到正常的业务活动中可能会带来更大的好处。例如,为监管考试开发压力场景的团队也可以支持特定行业的经济预测。

如果一个机构要有效地部署人才并完成必要的风险活动,那么就需要仔细地决定什么是集中化以及如何集中化,什么是合适的位置策略,以及如何将敏捷性注入风险组织。这些决策通常建立在工作生成的详细活动分析的基础上,以阐明角色和职责。决策也可以独立处理,只要充分注意集中、位置、人才战略以及风险环境的细微差别。

合理化的管理

通过优化风险组织,机构可以继续开发适当的治理。为了把注意力集中在最重要的事情上,银行需要理顺政策,消除对下游流程管理的不必要努力。委员会需要精简,以改善工作重点、问责制和升级路线,并节省管理人员的时间。合理化治理与优化的组织结构一起,是流程合理化和风险管理数字化的前提。

合理化的政策

在许多公司,风险政策已经变得太多,因此很难管理。数以千计匆忙创建的风险和遵从性策略可以在中型和大型银行中使用,单个策略可以在业务中生成数十个流程,每个流程都会影响流程和控制设计。

机构已经减少了多达30%的政策,同时提高了其余政策的质量(表3)。政策的结构可以将注意力集中在风险最高的领域,同时消除企业不必要的繁文缛节。同时,也降低了政策行政管理的成本和力度。

展览3

试图转型的机构会发现,几乎所有的政策都需要进行一些调整,即使不是完全重写,以更好地反映风险偏好,提高透明度,并达到正确的细节水平。他们可以通过建立一组设计原则来更新他们的策略,以理解挑战并确定目标状态。以下四项原则至关重要,每一项原则都针对共同的痛点:

  • 使用精确的策略覆盖所有风险、业务和跨企业项目。缺失或模糊的政策承认了与机构风险偏好不相符的活动。覆盖范围的差距最常见的出现在管理跨业务或跨功能程序的策略中,比如新的业务计划和第三方风险管理。在处理不太成熟的风险管理领域(如网络风险和行为风险)的政策方面也存在差距。例如,在一家银行,管理新产品计划的模糊政策导致对新企业评估的角色和责任不明确,从而导致决策与银行的风险偏好不一致。
  • 确保没有主题包含在一个以上的主要策略中。重叠或冗余的策略可能导致对相同领域的不同需求,导致人们做错误的事情,或者浪费时间弄清楚需要什么。如果在没有充分考虑现有政策的情况下添加新政策,比如对特定监管反馈的响应,就会出现这种重复。例如,在一家银行,两项政策对第三方风险评估提出了不同的要求,导致业务和支持功能之间的混淆。另一方面,企业政策和商业商业标准中与金融犯罪相关的不同要求导致了跨业务流程的不一致。
  • 关注有意义的结果,而不是过于规定的程序。过于规定性的政策可能会以对风险管理不必要且从业务角度来看是有害的方式约束行为——例如,通过阻止创收或增加昂贵的活动。在一家银行,对信贷审查程序政策的严格解释,导致了在与同行进行基准比较时,评级过于保守。通过消除过度规定的政策,银行可以在不不必要地阻碍业务的情况下,保持风险管理的质量。
  • 只需要那些具有明确风险管理原理的任务。要求不必要任务的政策分散了注意力,增加了开支。例如,一家银行的一项政策要求,所有与任何风险信贷有过互动的一线个人,都必须参加每月的电话会议。通过简单的政策调整,员工接听这些电话的总时间减少了90%,同时又不影响有效的风险管理。

各机构减少了多达30%的政策,同时提高了其余政策的质量。

经验表明,试图完全依靠中央政策办公室或其他行政部门来重新设计政策的银行往往难以实现其目标。然而,中央政策办公室可以帮助构建所有风险的完整清单,并定义目标政策体系结构——一个不受前面提到的差距和重叠影响的体系结构。成功实施这一目标状态的银行随后成立了一个由业务和风险代表组成的工作组,提出详细建议。如有必要,信贷政策委员会和董事会等地区一级的政策委员会将对这些计划进行审查。工作组应该很小,包括来自风险部门和业务部门的受人尊敬的领导者,成功取决于来自业务、支持部门和风险部门的正确人员的贡献,并强调特定的政策和痛点。

精简委员会架构

自金融危机以来,许多公司增加了委员会,有时没有协调新委员会和现有委员会的作用。机构可以有100多个委员会,其中许多委员会的任务不明确或重叠,成员资格不够理想。委员会的过度增长给高级管理人员的日程安排带来了过重的负担,同时也推迟或阻碍了决策。

通过减少委员会数量、明确授权和升级路径,银行可以在提高透明度的同时,全面覆盖重要领域。对委员会结构的严格审查可以改善治理,同时将专门用于委员会的时间减少近一半。尽管大型银行的这种委员会审查可能需要4至6个月的时间,但机构可以从制定一套设计原则开始,并利用这些原则来理解现有的挑战。以下五个中心思想可以帮助指导这项工作:

  • 建立一个覆盖所有风险和业务的专门的整体委员会结构。委员会所涵盖领域的差距在需要跨风险类型、业务和企业功能的全面企业视图的领域最为常见。例如,一些机构发现,他们没有足够的高层委员会讨论声誉风险、地缘政治风险或重大监管风险。
  • 向委员会提出明确和明确的任务。任务不明确或重叠的委员会可能作出不一致或冲突的决定。在一些银行,专门负责单个产品风险或运营风险领域的独立委员会有时会做出相互矛盾的决定,这让必须执行这些决定的企业主感到沮丧。明确界定这些委员会的决策授权(以及取消或合并任务重叠的委员会)可以防止这些挑战。
  • 确保每个委员会有意义的决策权和明确的升级路线。如果没有明确的决策权力和责任,委员会会议就可能成为讨论,而不会取得任何有意义的进展。不明确的责任或升级线可能会在组织中造成关于如何处理重要风险、问题或决策的混乱。例如,许多机构没有完全明确新成立的行为风险委员会和现有的合规或人员委员会之间的升级或责任界限。
  • 包括来自外部风险的成员。通常情况下,人力资源和企业在委员会中的代表人数不足。成员之间的差距可能导致委员会过于谨慎,或错过重要的风险问题。例如,如果没有HR代表,可能会错过与绩效管理、培训和员工关系的链接。由于企业的参与有限,专注于流动性风险等领域的委员会可能难以分配有针对性的存款流出因素,有时会导致不必要的保守缓冲。
  • 限制会员和与会者。相反,为了确保所有的声音都能被听到,公司可以创建一个成员超过必要数量的委员会。这种税收安排在阻碍高级管理人员有效决策的同时。即使在会员人数有限的地方,银行的出席率也随着时间的推移而逐渐上升,那些被邀请参加特定会议的人在需要出席很久之后仍会继续出席。应通过明智地重新设计委员会和由委员会主席加强纪律来解决和扭转成员过多的问题。

在与相关利益攸关方共同举办的专题研讨会上,可以确定当前委员会设计中的挑战。然后,一个小型临时工作组可以根据商定的设计原则和有针对性的讨论的结果撤换或合并委员会。然后可以重新设计宪章和其余委员会的成员。工作组应与风险职能以外的高级业务和职能领导人进行磋商。本组织可以开始执行其新的委员会结构,以测试和改进结果,并在行动中证明真正的变化。对委员会结构进行有意义的更改可以作为风险组织致力于转型的强有力的信号机制。

精简和加强程序

通过与组织和治理保持一致,机构可以开始获取显著的效率。简化的流程更不容易出错,控制得更好,更有助于增强客户和员工的体验。他们也更有效率。例如,一些银行已经绘制了他们的信贷承销和裁决程序,发现了提高效率的机会,从而使承销商的能力提高了20%以上,信贷官员的能力提高了10%以上。即使没有技术上的变化,简化多年来通过逐步添加而创建的许多层流程也常常可能产生重大影响。同时,这种简化可以帮助为更有效的数字化奠定基础。

机会在于精简和加强核心风险过程,以及不属于风险职能但容易产生风险的过程。风险对核心风险流程有更大的控制,如信贷裁决、欺诈预防和反洗钱/了解客户(AML/KYC)评审——这是风险效率和效果转换通常开始的地方。风险职能还可以促进改进和精简职能以外的高风险过程。对于这些流程,包括销售人员绩效管理、客户入职和支付流程,风险可以提供关于监视、控制和测试的清晰策略和相关需求。

透明的流程和透明的控制使业务能够作为更有效的第一道防线。例如,在一家区域银行,管理信贷组合集中的复杂过程导致第一行的参与有限,第一行采取了要求例外的方法,而不是在过程限制内工作。透明的过程有助于将注意力集中在影响最大的活动上,并降低复杂过程或控制中的缺陷被忽视的风险。与此同时,通过了解现有的控制和它们的预期目标,企业领导人将成为更好的风险管理者。

数字风险:为21世纪20年代转变风险管理

由于精简主要流程是一项艰巨的工作,机构应该明智地以有目标的方式开始,使用一些优先级较高的用例。这种方法增加了成功的机会,并有助于快速展示价值。为了确定用例的优先级,银行应该权衡精简的可行性以及在有效性和效率方面的潜在收益。复杂且涉及许多人的流程是精简的主要候选流程。

以下四个步骤与确保和维持透明的精益过程特别相关:

  • 维护过程和控制的清晰映射。流程映射包括标识流程中的各个步骤和控件,理解各个步骤之间的关系,以及标识在执行流程中涉及的人员和角色。成功简化流程的机构通常从映射现有流程和控制开始。第一步包括编译风险级别流程的全面清单和开发健壮的控制分类。在正确的级别执行映射是很重要的——在这个级别上,对流程和关键痛点有了详细的理解,但是没有太多的细节,以至于映射需要花费几个月的时间,几乎没有时间和精力来处理痛点。考虑到所有的控制、操作和技术用例进行映射也是非常重要的:一个执行良好的映射操作应该能够满足所有这些需求。
  • 将奥卡姆剃刀(经济定律)应用于每一个工艺步骤和控制,以消除每一个不必要的活动。随着时间的推移,许多银行的流程已经演变为纳入不能提高效率的活动或控制。例如,一家银行发现,投资组合管理部门进行的中期关系评估,导致少量低风险信贷的信用评级发生变化。世界银行更新了其政策,以降低内部审查的要求。另一家银行发现,在其信贷裁决过程的最后一层,改变信用评级的几率不到1%,其中大多数改变都提高了风险评级。该银行在不影响信贷标准或评级惯例的情况下取消了这一层。
  • 基于风险的细分。将风险管理工作的级别与每个活动固有的风险级别保持一致,可以设计平衡有效性和效率的控制。在这一原则被忽视的地方,通常存在着提高效率和效率的巨大机会。例如,一家地区性银行在发现自己没有必要通过高成本渠道处理低风险的商业贷款后,重新设计了其商业信贷分类流程。缺乏对中后台活动的可见性也导致了从应用程序到决策的漫长时间。通过重新设计分类流程及其信用备忘录,使所需分析的长度和水平与信用风险水平保持一致,银行减少了承销费用,并释放了25%的产能。改进后的信用备忘录使信贷官员更容易将重点放在最紧迫的领域。
  • 减少可变性,尽可能标准化。在可能的情况下,银行应寻求标准化流程,以降低运营风险和管理费用,同时改进决策。继上述例子之后,亚洲开发银行采取了一种基于风险划分信贷业务的方法,为汽车贷款业务设定了更清晰的标准,并增加了对商业信贷直接处理的使用。全套的计划使它可以减少60%的决策时间,提高15%的拉出率(表4)。大多数银行还发现与操作风险和遵从性以及模型开发和验证相关的流程有很大的改进空间。例如,通过标准化客户入职问题并将其与客户风险评级模型直接对齐,一家机构提高了标记高风险客户的能力,同时消除了合规、银行家和客户之间的反复互动。

展览4

一旦流程被映射,团队将努力使其流线化,消除不必要的活动和控制。重新设计的结构然后在小型试点中推出,并在大规模部署前进行审查。在这些试点期间,对新流程和相关控制进行评估,以确保流程顺利运行,控制正常运行——包括与风险水平适当匹配,控制中没有漏洞。建立清晰、可衡量的绩效目标,密切跟踪绩效,将有助于确定修订过程中的问题。

数字化和高级分析

数字化和先进的分析技术增强和放大了流程简化的影响,释放了充分提高风险管理有效性和效率的潜力。例如,通过自动化数据捕获和改进其决策引擎,一家银行能够实现70%的贷款的直接处理,将发起成本降低了70%,决策所需的时间减少到不到一分钟。此外,一家全球银行在“反洗钱”监控中出现了极高的假阳性率,并将数据错误确定为问题的根源。为了解决这个日益繁重的问题,世行开发了一种使用自然语言处理的方法来减少数据错误,从而大大减少了误报,节省了数万个调查小时。

数字化和高级分析确实是管理许多类型的非金融风险的唯一可行方法,包括网络风险、欺诈和第三方风险,这些风险涉及监控数千甚至数百万个接触点。如此大量的交互无法被手动监控,因此机构正转向分析和机器学习,以检查数据质量、检测异常值和异常,或识别高风险行为模式并对其进行优先级排序。

在风险管理方面,对数字化和高级分析最合适的立场将取决于银行在整个数字化过程中所处的位置。数字转型带来的希望远远超过了风险,银行业作为一个行业正在经历一场数字革命。然而,不同院校的数字化程度存在很大差异。尽管一些银行已经开始甚至完成了(尤其是在亚洲)全面的转型努力,但其它银行仍在考虑何时、何地以及如何开始。

开始获取利益

即使是处于早期成熟阶段的机构,也可以采用三种“无怨无悔”的理念,开始从数字化带来的效率和效益中获益:

  • 为数字风险定义一个远景,作为随着时间的推移进行改进的指南。即使在尚未积极考虑全面数字化转型的银行,风险职能部门也应制定一个愿景,管理与数字化运营和生态系统相关的风险,包括风险职能部门将开展的活动以及相应的角色和任务。这样的愿景为最初的、或许是零碎的数字化改进提供了基础。此外,管理与风险功能内的工作相关的数字风险应该是首要关注的问题。
  • 尽可能在大规模的风险过程中采用数字化工作流程,优先考虑高影响的工作。在推行数码化工作时,机构应以有目标的方式开始,并按优先次序处理一些工作。要确定优先次序,银行应权衡精简的可行性以及在效率和效率方面的潜在收益。选择自动化用例,例如,在一个风险函数考虑三个因素来权衡潜在的收益和可行性:监管和业务成果(有效性),资源的数量的影响(效率),和自动化潜力(可行性)(表5)。而优先流程数字化将随机构,主要候选人往往包括过程与信用裁定和监控,AML /什么水平,和第三方风险管理。
  • 通过将现有的数据源拼合在一起来充分利用高级分析,即使它们是不同的。大多数机构拥有的可用数据比他们想象的要多。在缺乏全面数字转换所需的广泛数据架构的情况下,银行可以识别、摄取和使用各种未连接的数据源来处理定义良好的单个用例。主要的潜在例子包括欺诈分析、投诉分析和风险监控。

表现出5

迈向全面的数字转型

在进行全面数字化转型的机构中,提高风险管理效率和有效性的机会要大得多。风险可以塑造这种转变,从而直接支持风险管理的有效性和效率——例如,通过使所需的数据易于访问。与此同时,数字化和高级分析扩展了风险功能的能力,以帮助改进流程和风险之外的决策,而不仅仅是流程流线化所能完成的。有三个关键的想法可以帮助指导CROs。

  • 作为世行整体数字转型的倡导者和参与者尽早签约。作为数字转换的早期支持者,CRO将能够帮助设计和部署自动预防或检测控制,并将其作为数字流的组成部分。自动化控制是显著降低操作风险和遵从性成本的关键,同时为所有防线提供正确的实时透明性。此外,参与全面的数字化转型将更好地让CRO了解企业范围的数字化带来的风险,并更好地减轻这些风险。另一方面,风险功能与数字化转型之间缺乏协调会放大风险。在一家银行,在向敏捷软件开发过渡的过程中,关键的漏洞被引入到生产代码中。这一行动超出了网络安全控制功能,导致客户数据遭到泄露和丢失。为了修复损失并防止未来的违规行为,世行的运营风险团队与网络安全和业务连续性专家进行了合作。他们一起在开发过程中创建并实现了有效的控制,这样敏捷团队的效率就不会受到影响。
  • 跨所有关键风险用例积极定义数据需求,以便集成到更广泛的企业数据转换中。这项工作应该着眼于具有多年时间范围的用例。它应该包括用于更高级建模的所有非传统数据源,以及所有必需的属性,如质量和延迟。企业数据转换通常同时设置“防御”目标(控制)和“攻击”目标(业务支持)。尽管理想情况下,这些目标应该同时实现,但许多机构已经开始在风险、合规和财务方面进行控制。适当全面和前瞻性的风险数据需求不仅对风险至关重要,而且可以为其他控制功能提供模板。风险数据需求视图还可以作为一个基础,让业务部门参与定义自己的需求,从而获得对目标状态的全面和统一的视图。
  • 实现全银行范围的人工智能(AI)转换。风险可以成为人工智能技术的早期采用者,并为全银行的人工智能开发提供正确的保障,从而在两方面提高效率和效率。人工智能可以直接提高特定于风险的流程的效率(如前面的AML监视示例所示),还可以改进涉及数千或数百万接触点的更广泛的企业范围流程中的控制。与此同时,如果有一个非常健全的框架来管理相当大的相关伦理、监管和运营风险,那么全银行的人工智能努力只能达到规模,并产生充分的有效性和效率效益。这需要指导方针、流程和治理,从早期决定寻求AI解决方案到问题,再到对生成的AI模型进行适当的验证。

数字化和高级分析是捕获风险转换的全部影响的最后步骤。它们一起增强和放大了流程重新设计的影响,这是通过合理化治理和改进的组织实现的。可以说,随着时间的推移,风险函数中最大的成本节约将来自最后一步。

建立成功的转型计划

尽管一些银行将风险改善的重点放在一两个特定领域,但经验表明,最大的收益属于那些精心安排跨组织、治理、流程、数字化和分析工作顺序的机构。这种端到端风险转换可以将成本基础降低15%到20%,同时显著提高风险管理的质量。

要想成功,有四个基本步骤。

  • 定义转换的范围。寻求提高生产率的银行面临着一个选择,是进行以风险为中心的转型,还是更广泛的跨企业转型,其中风险职能是其中的一个组成部分。考虑到风险函数的跨企业性质,企业范围的方法倾向于在整个企业和风险函数内部创造更大的价值。
  • 设置的野心。此时,银行决定了可用机会的大小。只有在确定了转型的全部潜力之后,各机构才应着手制定详细的计划,由风险职能部门的领导确保该计划旨在捕捉全部潜力。一些领导者可能会回避雄心勃勃的目标,而是希望做出更多的渐进改变。为了确保一致性,需要在执行团队之间事先了解和讨论权衡。
  • 建立适当的治理和重点。只有通过具有明确定义的角色的严格治理,才能实现转换中的潜在价值。根据我们的经验,在风险-功能转换方面的成功取决于任命一个转换官员,他负责收集转换的线索并保持事情的进展。这个人必须具有战略而不是项目管理的授权,并且有足够的资历影响业务主管和直接向CRO报告的工作。接下来,计划所有者将负责设计每个计划,包括财务案例、实施时间表和资源,以及对风险有效性的影响。最后,转变中至关重要的方面是适当的执行重点、消除障碍和维持组织纪律。成功工作的一个共同特征是每周一次的会议,在会议上,管理人员与转换官员和计划所有者会面,了解最近的进展,消除潜在的障碍,并帮助确保转换实现其一致同意的目标。
  • 建立正确的叙述,进行正确的沟通。这些工作与任何其他的变更工作没有什么不同。管理组织的投入、精力和动力与工作的实质同样重要,需要高层领导给予同样的关注。

转变包括重大的行为转变。应对新需求和培养新技能需要在多年的时间跨度内进行谨慎的变革管理和耐心的领导。然而,成功转型的组织知道,以更低的成本获得更高的风险管理效率是值得挑战的。

为提升阅读体验,智堡对本页面进行了排版优化 查看原文
评论