论关键风险指标法在风险管理中的应用

1 引言

随着银行实施新资本协议期限的临近 ，使用何种有效的管理工具和方法来管理操作风险,系统性地提升金融机构的风险管理水平，为全面风险管理的实施打下良好基础 ，已成为金融机构越来越关注的问题。 由于操作风险的内容复杂 ，形式多变 ，很难对其进行持续的跟踪和检测。同时 ，由于操作风险暴露很不稳定易随环境和流程的变化而变化 ，加上历史数据严重缺乏商业银行很难对自身操作风险变动的趋势进行判断 。可以说 ，银行应该如何设计和利用有效的管理工具来识别 、评估 、监测操作风险状况 ，并在此基础形成操作风险报告 ，采取管理措施 ，并为经济资本计提及配置决策提供依据 ，已经成为银行目前亟待解决的关键课题 。

作为商业银行对操作风险进行识别和检测的重要工具 ，关键风险指标 (Key Risk Indicator，KRI)的设计 和使用得到了巴塞尔委员会和银监会的重视。这一工具主要解决的是银行如何识别和了解自身的操作风险状况及其变化趋势的问题 ，形成前瞻性的风险预警 。但是从已有研究成果看 ,目前学术界对如何有效建立和使用KRI的专门研究非常缺乏 ．这一状况对本已缺乏操作风险管理经验的银行形成了更大的困难。由于操作风险的特异性 ．关键风险指标的构建必须要针对银行具体的经营环境和内控状况 ，必须建立在 自身的风险管理系和风险控制自我评估的基 础之上 。银行需要在了解自身操作风险状况和特征的前提下 。研究构建一套有效的方法来构建自身的指标体 系，并进一步研究如何通过 KRI来深入识别和监测流程中的操作风险 ．为2010年顺利实施新巴塞尔协议打下基础 。因此 ，我们有必要对如何科学系统地建立 、完善和使用关键风险指标这一工具进行研究 ，为日常的操作风险管理提供有力的支持。

2 方法论

2.1 KRI的定义和类型

关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标，高级管理层可据此迅速采取措施。具体指标例如：每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。

巴塞尔委员会 2002年 7月发 布的《操作风险管理与监管的稳健做法》中，第 四条原则 明确指出 ：“风险指标是指用来考察银行 的风险状况的统计数据和／或指标 ．这些指标通常是财务方面的指标，对这些指标要进行定期(逐月或逐季)审查 ，以提醒注意银行有关风险的可能变化 ”。 COSO委员会 在《企业风险管理整合框架》中指出 ，企业可以使用事件指标(Leading Event Indicators)来识别 可能 导致一个事件发生的情形是否存在。 银监会制定的监管文件 中．都提到了 “关键风险指标”这一管理操作风险的重要工具 。在银监会 2007年5月发布的《商业银行操作 风险管理指引》中 ，关键风险指标被定义为 “代表某一风险领域变化情况并可定期监控的统计指标”。指标的具体例子包括 ：每亿元资产损失率 ； 每万人案件发生率；百万元以上案件发生 比率 ：超过一定期限尚未确认的交易数量 ；失败交易占总交易数量的比 例 ；员工流动率 ；客户投诉次数 ；错误和遗漏 的频率以及损失影响等。

可以看出，关键风险指标的核心正是在于其能够“代表某一风险领域的变化”。理论上 ，如果我们能够对某流程中需要检测的风险区域建立对应的指标。则这些指标作为反映风险变化情况的早期预警信号。就可以用来监测可能造成操作风险损失事件的各项风险 。同时管理层可依据指标的变化迅速采取措施来控制和应对风险。

进一步的，一个 KRI通常是 一个财务变量或者是反映“操作 ”状态的变量，这可以是一个专门反映事件原因的变量 。从理论上来说 ，KRI可以是严格数量化的指标 ， 如员工流失率 、结算错误数量 ，也可以是偏重定性 的指标 ，如员工竞争力 或系统 的能力等 ；可以是完全客观的，如系统宕机小时数 ，也可以更主观 ，衍生品组合构成的复杂程度等。无论使用何种形式 的指标 ，根本目标就是要使 指标在相当大的程度上与某个风险驱动 因素相联系。更理想的情况是 ，KRI应当与损失事件发生的机制和途径相联系。

对 KRI我们可以进行多种分类。比如按照指标反映的内容来看 ，可以分为风险指标和控制指标。从使用目的来看 ，一个有效的指标体系可 以分 为先行 (事前 )指标和 滞后 (事后 )指标 ，因为这样 能更好发挥指标 的监 测和预 警功能 。这里，我们按照指标监测对象类型的不 同．将关 键风险指标分 为三大类 ，包括损失 (滞后 )指标 、过 程(同 步)指标 和环境(先行)指标。

损失指标监测实际已经发生的操作风险损失，如种操作风险损失形态 ：法律成本 、监管罚没损失 、资产失 、赔偿损失 、追索失败 、账 面减值等。由于损失已发损失指标是滞后的。通常可以使用平均历史水平来估期望损失水平 ，并作为阈值的依据 。这些指标是常见的指标，可以反映风险暴露情况。

过程指标用来描述和监测流程的操作 质量 ，适用 于各类 型风险。通常情况下 ，过程指标是一种同步指标 ，展现已经发生 了什么。但无法提示我们 哪里可能会发生什么 。因此 ，选择和设计具有预测 性的风险指标是一种挑战。通常的过程指标包括 ，等待确认的业务数量 。失败的交易结算数量等 。对这 类指标 。至少有一部分可 以通过一个参考标准来进行选取 ，即例外导向。比如 。如果一个部 门很少有过 了指定时间仍然未能完成的事项 (如放款或 结算等)．就可以将该类事项的数量作为一个 KRI。这样 可以选 取更 多的指标进行讨论 ．扩大 KRI的备选范围。 过程指标的其他例子还包括差错率 ，平均业务量 ，系统处理 能力等。

环境指标是一类典型的前向型的指标 ．通 常有很大的定性成分 。设计这类指标 的目的是要监测经 营环境 。以及一些对于流程运营质量具有关键影响和支持作用的因素 。例如员工经验水平变化 、雇员满意度 、培训水平 、技术变化率等 。理论上来说 ，环境指标非常重要 ，但指标设计和数据获取通常比较困难 ．因为这些指标通常有大量 的定性成分。也正是 因为这个原因 ，这些指标容易引起争议 ．因为不容易找到直接的证据证明这些指标与事后损 失 的变化有关 。但是对管理层而言 ，这种前向型指标是最有用的。

2.2 KRI在风险管理中的应用

一项风险事件发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤如下：

1．分析风险成因，从中找出关键成因。

2．将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。

3．以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。

4．建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。

5．制定出现风险预警信息时应采取的风险控制措施。

6．跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。

依据巴塞尔委员会的观点 ．我们可以将风险管理过程分为四个步骤 ，包括识别 、评估 、监 测 、控制。这一过程需要使用不同的工具和方法来实现。主要包括风险的识别和评估工具----风险和控制 -自我评估 、风险监测工具----关键风险指标 、对低频高损极端风险的应对工具----业务连续性计划 ，以及其他的基础性工具 ，如损失数据收集和分析 ．操作风险损失报告等。

在《操作风险管理 与监管的稳健做法》和《管理指引》中 ，列举出的一些商业银行管理操作风险的具体方法 。包括操作风险和内部控制的评估 、损 失事件报告和损失数据收集 、关键风险指标监测 、新产 品和新业务的风险评估 、操作风险报告等 。这些方法或工具在管理操作风险的过程中发挥着不同的作用 。

在操作风险的管理过程中 ，KRI的作用非常重要。关键风 险指标 (KRI)是 监测操 作风 险状况 的主要工具，也 是支持 风险识 别和评估 的重 要手段 之一 。这 主要源 于 KRI具有使用上 的便利性 。操作风 险状况 的 自我评估 和 内部控 制的 自我评估是 识别 和管理 操作 风险 的基础 工 作 ，通过评估可以发现风险点及对应 的控制是否有效，在 此基础上银行可以选择适当梳理 KRI来监测风险状 况。但 由于成本和效率的限制 ．自我评估通常定期进行 ，而 KRI的计算却可以每天连续更新 。对于可以从 内部系统中取数计算 的指标 ，结果 可以每天更 新 。这样，关键风险指标就能帮助管理层对本部门或业务条线的操作风险状况进行 动态跟踪 ，了解风险的变动趋势 。同时 ，KRI数据本身及其变化也是操作风险数据库的重要数据来源 ，能为风险量化提供直接的支持 。

本质上，KRI是对运行中操作风险轮廓变化的及时捕捉 ，并随时提醒管理者根据操作风险轮廓的变化调整操作风险管理措施 ．是商业银 行安全 的重要保障 。对于任何给定 的操作风 险类 型 ．银行都 可以使用 KRI来监测业务活动和特定业 务领域 的控制环境 。由于银行中各部 门的任务 、流程和 目标各不相同 ，其面临的操作风险取决于所处的地理位置 、客户 、产 品、流程及价值链 中的位置 。因此各部 门应根据需要来开发具体的 KRI指标。 另外 ，KRI为银 行管理操作 风险提供 了一个重 要的数据基础 ．或者至少是可供量化 的信息 。这些信息可被用来对操作风险建模，以支持决策和管理措施的执行。关键风险指标 的地位是很重要的 ，当某类风险的损 失数据不具备 ，无法进行统计度量时 ，KRI是一个有效的风险信息来源。

2.3 KRI的构建

由于操作风险的复杂性和多样性 ，如何构建这 一重要工具来管理操作 风险正处于需要 不断探索 的过程 中。这里我们将讨论这个问题 。

一般的，KRI的构建过程可以分为五个步骤 ，即流程关键风险和控制识别 、风险指标识别、关键风险指标筛选 、确认 KRI定义和数据收集程 序、确定 KRI的阈值 。如图1。

银行首先要在对业务流程全面梳理，并对所有风 险点进行识别的基础上 ，找出关键的控制措施及对应 的风险点 。也就是首先确定需 要进行监测 的风险区域。然后流程中的操作者和管理者讨论现有指标，或设计新的指标 ，并考察指标对风险的敏感性 ，以确定备选指标 。应依据事先确定的重要性 、数据 的可获得性等指标选取原则 ，结合专家的建议来对备选 指标进行筛选 。在最终的指标确定后 。应明确规定指标应如何计算 ，即指标的含义和计算方法 ，并规定数据的收集程序。

另外 ，在使用 KRI进行操作风险管理的过程 中，正确的理解指标代表的含义并及时提出预警非常重要。确的理解指标代表的含义并及时提出预警非常重要。这需要指标管理者将指标数值与设定的参照基准进行比较。这些基准水平称为 阈值(thresholds)或引发水平(trig—gerlevels)．因为如果指标数据超过 了这一 阈值水平就代 表可能存在的风险水平已超过可接受的程度，管理部门应采取措施来进行调查和解决 。某一指标的阈值实际上反映出银行对某类型风险的容忍度。这些 阈值通常通过对指标历史数据进行分析产生 。一个典型的KRI应包括的内容如图2所示 。

KRI应定期评估 和更新 ．删 除那些变得 已经不具风险敏感性或多l余的指标，根据风险和控制环境的变化调整指标内容 、|范围和数据的收集方式，或者发展新的指标 。

KRI指标 的选取过程并不复杂，但要真正识别 出对流程中特定风险点 比较敏感 ，能监测流程和环境变化趋势 ，起到预警作用的指标是非常不容易的。因为要挑选这样 的指标 ，除了需 要清楚流程的细节 ，还需要对流程 中操作风险的原因、影响及风险本身 (如频率 、损失形 态等)有深入的理解 。同时 ，银行 还要考虑 KRI实际使用中的可行性 ，如数据可获取等因素的制约。

我们认为，在指标选取过程中，最关键的是对特定事件原 因和影响的理解和解释。银行应当清楚地了解一个操作风险事件是如何发生的，原因是什么。如人员 、流程 、系统中哪种因素出了问题；风险是在组织内部和流程的什么地方发生的 ，其他部分受到 了什么影响；事件的影响是什么。另一方面现有的控制措施是否有效或部分有效，对事件原 因是否起到 了作用 。

图 1  KRI的构建过程

图2 关键风险指标的内容

2.4 有效 KRI的来源和特征

构建有效的 KRI体系对大多数银行都是一个挑 战特别是对 于构建具有早期预警功能 以避免损失发生的领先指标来说更是如此 。尽管这是一个不易解决的问题 ，但还是有一些途径来支持我们不断完善 KRI体系。

规章制度和政策。对业务活动的规范要求 ，及由董事会和管理层确定的经营政策和限定性要求 (如风险限额)成为有用的合规方面KRI的来源。如某时期内不合规业务的数量 ，或风险暴露超过限额的数量。

战略和目标。经营战略和相关的绩效指标是 KRI的一个好的来源 。例如，银行通常使用绩效指标来测量员工的期望绩效表现 ，同时可以设计 KRI用于测量这种绩效的波动或下侧风险 。

历史损失和事件 。银行在建立损失／事件数据库 。数 据库可提供信息发现什么 样的流程 和事件会引起 财 务或 声 誉 的损失。KRI可针对这些流程和事件进行构建 。

利益相关者的需 求 。除 了监 管部 门外 ，利 益 相 关 者----顾客 、评 级机 构 、股 票分析师 、业务伙伴等的需求也能帮助银 行发展 KRI．即发现那些关键的 利益 相关者关注的因素 ，KRI建立在这些 因素之上 。

风险评估和控制评估 。对流程可能的风险环节及相应的控制环节进行的自我评估 ，可以提供宝贵的基础信息 ，以确定对业务单位 、业务流程和各风险类型而言哪里需要 KRI进行监测。

可以看出，操作风险管理需要银行构建一套高质量 的 KRI，而非高数量的。有效 的关键风险指标 KRI应当具备以下特征 ：

• “关键性 ”。太多的指标只会干扰管理层的有效决策；
• 容易获取 ，可以定期得 到更新 的数据；
• 与风险驱动因素或风险暴露相关；
• 是可以量化的指标；
• 与目标和风险拥有者相联系；
• 兼顾先行指标和滞后指标；
• 对支持和改进管理决策有帮助；
• 能够制定清晰的内部和外部参考基准便于及时反应。

当然 ，要使选出的KRI同时兼顾这些标准是不容易的 。例如 ，我们认为员工素质是一个影响操作风险的重要因素 ，但作为KRI是不合适的。因为员工素质不便测量 ，更无法每天计算。同时 ，银行无法立即采取措施来应对和改善这一状况。虽然与操作风险暴露和动因相连 ，但由于它短期内不随环境 改变 ，作为预警指标是不理想的。

3 结果

由于操作风险的复杂性和多样性很难有一种工具或方法是完全有效的 。因此 ，我们应 当对 KRI的设置制定一个 主要 的目标 。这其 中最重要的 ，指标应 当是风险敏感的，或者说能够反映导致损失发生的风险因素的变化 。这是一个说起来容易做起来难的任务。

需要明确 的是 ，KRI的作用不是“预测 ”操作风险 ，而是“监测”操作风险状况及其变化 。实质上 ，KRI指标值的变化不是在预测某类风险事件是否将要发生 (这是无法做到 的)，而是在显示操作 风险的“水 平”是否在上升或下降 。当然 ，指标监测的对象也包括现有控制 的有效性。 同时 ，我们用来识别和监测操作风险 的 KRI也具有 特定 的局限。这种局限主要体现在三个方面 ：

第一 ，很多指标只能专用于某 个专门的风险类型 ，并且通常只对某个 业务 和流程有效 。例如 ，如信贷管理业务流程中的一个环节是有效 的。通常情况下很难设计出一套跨业务线 和区域 的，能监测各类型风险变化的指标 。

第二 ，银行应当认识到 ，对有些风险类型 (如 内部欺诈 )来说 ，创设关键风险指标的难度要 比其他类型 (如执行、交割与流程管理)大得多。对这些 风险类型来说 。指标的设计 和检验都 比较 困难 。

第三 ，尽管我们所做 的努力都是为了能够监测操作风险的变化趋势 。以便及时采取措施 ，但指标 的变化和实际发生事件 的相关性通常不易被统计方法证 明。实际上 ，我们很难真正 了解哪些类 型的损失将会发生 ．也并不真正 了解这些指标是否具有 预测性 。

关键风险指标法可应用到多个领域，既可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险。使用该方法，必须要求风险关键成因分析准确，且易量化、易统计、易跟踪监测。从以上的简要分析可以看出，的风险管理还存在很多不足，并没有一种很完善的管理方法来识别、分析、监测和控制风险，因此，在这方面的监管当局还面临着任重而道远的难题，不久的将来，有效的风险管理方法一定能够帮助金融机构规避风险，达到最大的效益。