操作风险管理概论及三大工具.ppt

下载

• 操作风险管理框架 – 操作风险管理三大工具一览 – 风险控制自我评估（RCSA） • 损失数据收集（LDC） • 关键风险指标（KRI） 目录 法律风险 － 包括但不限于下列风险： •商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的 •商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的 •商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的（摘自《银监会操作风险管理 指引》） 策略风险 ： •由于无效的或有问题的策略而遭受损失的风险 声誉风险 ： •是指有关一家机构业务活动的负面宣传，不论其真假，都会引起该机构的客户流失、收入下降或花费高昂的诉讼 费用（摘自《银监会非现场监管指引（试行）》） 操作风险定义 操作风险 是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所 造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险 从定义看，操作风险遍及银行内部各产品线、各个操作环节及各个业务层面 四大风险因素和七大损失类型 人员 内部流程 IT系统 外部事件 指故意骗取、 盗用财产或违 反监管规章、 法律或公司政 策导致的损失 事件，此类事 件至少涉及内 部一方，但不 包括歧视及差 别待遇事件 指违反就业、 健康或安全方 面的法律或协 议，个人工伤 赔付或者因歧 视及差别待遇 导致的损失事 件 指因未按有关 规定造成未对 特定客户履行 份内义务（如 诚信责任和适 当性要求）或 产品性质或设 计缺陷导致的 损失事件 因交易处理或 流程管理失败， 以及与交易对 手方、外部供 应商及销售商 发生纠纷导致 的损失事件 因信息科技系 统生产运行、 应用开发、安 全管理以及由 于软件产品、 硬件设备、服 务提供商等第 三方因素,造成 系统无法正常 办理业务或系 统速度异常所 导致的损失事 件 指第三方故意 骗取、盗用、 抢劫财产、伪 造文件、攻击 商业银行信息 科技系统或逃 避法律监管导 致的损失事件 因自然灾害或 其他事件（如 恐怖袭击）导 致实物资产丢 失或毁坏的损 失事件 风险 因素 内部欺诈 就业制度和 工作场所安 全事件 客户、产品 和业务活动 事件 执行、交割 和流程管理 事件 信息科技 系统事件 外部欺詐 实物资产的 损坏 损 失 类 型 操作风险损失形态 损失形态 1.法律成本 具体描述 因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲 裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴 定费等 由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等 自然灾害所导致的账面价值减少等 由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务 中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额 由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致 的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等 由于操作风险事件引起的其他损失 因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭 受的罚款、吊销执照等 2.监管罚没 3.资产损失 4.对外赔偿 5.追索失败 6.账面减值 7.其它损失 由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不履 行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所 带来的损失等 操作风险管理架构及流程 风险管理架构 策略和 政策 治理和 组织 流程 数据 计量 披露 银行的目标 和策略 操作风险策 略和风险容 忍度 验证、重估 持续改 进 操作风险管理流程 三道防线 风 险 管 理 报 告 董事会 高级管理层 第一道防线 第二道防线 第三道防线 业务部门业务部门 公司金融 零售 资产管理 …… 支持部门支持部门 人力资源 IT 法律合规 安全保障 …… 独立的独立的 风险管理部门风险管理部门 独立风险 管理空能 内部审计内部审计 独立稽核功能 日常风险管控 风险策略、架构及监控 独立审核 操作风险缓释架构 严 重 性 发生频率 接受 转移 控制 规避 低 高 高 1 2 3 4 对于风险的缓释，银行可采取接受、控制、转 移和规避四种策略 1.接受：对于发生频率低、严重性较低的操作 风险，银行一般采取接受风险的策略，主要原 因是风险缓释的成本往往超过了该风险所可能 引起的损失 2.控制：对于发生频率高，但严重性较低的操 作风险，银行一般采用控制风险的缓释策略。 该部分风险往往由银行的日常经营造成，因此 必须为其设计专门的控制程序 3.转移：对于发生频率低，但严重性较高的操 作风险，银行一般采取转移风险的缓释策略。 该部分风险较为典型的是自然灾害等外部事件， 银行一般采用的转移方式为保险等措施 4.规避：对于发生频率高，严重性也较高的操 作风险，规避措施已没有意义，因此银行应避 免涉足该类业务。 操作风险管理三大工具一览 三大工具之间紧密联系，协同支持操作风险管理 风险控制自我评估 RCSA 损失数据收集 LDC 通 过 RC SA 对 风 险 的 辨 识 ， 对 寻 找 损 失 数 据 提 供 了 依 据 关键风险指标 KRI 真 实 的 损 失 数 据 对 RC SA 风 险 点 的 评 估 提 供 了 参 考 真实的损失数据为KRI设置提供了参考 KRI异常往往指向真实的损失事件 RCSA的 评 估 结 果 为KRI提 供 了 额 外 的 操 作 风 险 信 息,成 为KRI设 置 的 参 考 KRI的 异 常 可 成 为RCSA的 驱 动 力 之 一 什么是风险控制自我评估 （RCSA） • RCSA (风险与控制自我评估)是操作风险管理框架中重要的组成部分 • RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能 性和严重性的估计，将调查结果与未来预计损失进行匹配(Mapping)的方法 • 目前RCSA的目的单纯集中在估计预期损失(Expected Loss, EL)，只有在实行操 作风险高级计量法 (Advanced Measurement Approach, AMA)后，才能对非预期 损失进行计量 • 事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理 和操作风险控制质量的关键信息 为什么要进行RCSA 额外的操作风险管理 信息来源： 仅仅依靠对真实发生的损 失事件进行收集不足以评 估银行的操作风险暴露， RCSA可以使银行建立额 外的操作风险管理信息来 源 对操作风险管理环境 变化作及时的调整： 当银行的业务环境发生改 变时（如推出新产品，员 工数量发生显著增长）， 特定的RCSA制度可及时 对其引起的操作风险暴露 变化进行反映，为管理层 的决策提供参考 定期辨识潜在的操作 风险暴露： 常规的RCSA制度可以对 银行的操作风险环境进行 定期的评估，有助于管理 层及时辨识是否需要改变 现有的流程和控制政策， 以规避潜在的操作风险损 失 RCSA在操作风险资本计量中扮演的角色 RCSA是计量主观风 险资本的主要工具 在操作风险资本的高 级计量法中，RCSA 是银行估量主观风险 资本的主要工具，与 此同时，银行通过真 实的损失数据估量历 史风险成本。对主观 风险资本和历史风险 资本进行整合和调整 后，可获得最终所需 的操作风险资本。 计量 指标 数据集中 风险自我评估 业务环境 损失数据收集 识别模型 损失事件类型模 型 风险因素模型 指标模型 损失影响类 型模型 组织模型 历史风险资本 主观风险资 本 整合的CaOR 贝耶斯整合 操作风险资本 调整 测算 环境评分 内部损失数据 外部损失数据 主观估计 控制与风险因 素评分 RCSA的组织架构 评估小组与业务人员进行访谈 RCSA是以组织架构为基础去执行 并以分行业务部门作为最主要的执 行单位 ，这是“自我评估”的意义所 在，也有助于提升全行的风险文化 氛围 风险管理部门在RCSA组织架构中 承担指导、监督、协调的作用 风险 流程/活动 流程目标 主要内部控制 达成流程目标的障碍 内部控制主要的目标/原因 风险焦点 控制焦点 分行业务部门 总行业务部门 分行风险管理部门 总行风险管理部门 评估小组将对其他操作风险数据 以及偏差分析进行一致性查证 RCSA方法论——识别模型的标准分类 • 操作风险识别模型是所有操作风险计量方法论的基础，这些方法论使得数据收集变得有序、结构化 和连贯 • 操作风险识别模型由如下模块构成 组织模型损失事件模型 风险因素模型 指标模型 影响模型 对所有可能的损失事 件类型进行识别和分 类 对分析下的组织维度 进行识别和定义 对导致损失事件的所有 可能原因/因素进行识别 和分类 对支持合理的主观估 计的信息和指标进行 识别 对一个事件的所有 可能影响进行识别 和分类 • 根据银行的特点，应对各模型的细部层级进行客制化，这需要行内各相关部门的外部输入。 • 模型细部层级的内容主要依赖于银行各部门的收集和整理，在日常操作风险管理中，各相关部门应 注意收集相关数据，对各模型进行整理、更新和维护 RCSA方法论——将识别模型应用到RCSA 识别模型 损失事件类型模 型 风险因素模型 影响模型组织模型 范围定义 设置和参数化 执行 审阅和调整 指标模型 报告 • 方法定义（自上而 下 vs. 自下而上； 整体 vs. 部分） • 识别RCSA涉及的 业务单元 • 针对每份问卷定义 问题 • 选择评估方法论 • 定义阈值 • 总行操作风险管理 部进行结果分析 • 由内审部门进行检 查 • 与业务单元进行 讨论 • 调整结果和评级 • 针对业务单元经 理的问卷的执行 • 定量答案收集（平 均频率，平均严重 性，最坏情况） • 风险因素识别 • 报告的准备和分发 • 问卷信息准备 • 创建问卷 • 建立和执行RCSA访谈 • 访谈结果分析与后续追踪 RCSA的具体步骤 • 汇报与后续工作规划 RCSA能识别、管 理以及控制风险， 并能管理所有部门 的控制信息。这些 信息将在全行间进 行分享，并以合理 与系统化的方式协 助目标被有效的达 成 投入: • 每个部门指派负责人员 • 需求信息 – 部门:角色与责任信息、 事业单位必要的投入与产出等 其它信息来源:内部审计部门、 信息部门、合规部门等 产出: • RCSA报告 • 设定新的操作风险容忍度水 平 • 主要风险指标(KRI)资料 KRI报告 RCSA的关键成功因素 关键成功因素 拥有一致且易于执行RCSA的程序 拥有标准的RCSA方法论与工具 拥有清晰的RCSA执行、监督和检查的 权责划分 RCSA过程与结果与绩效考核相挂钩 跨部门的合作 各业务部门高层的重视 损失数据用途  损失数据将作为风险估计实证分析和验证的基础  损失数据作为实际损失与风险管理、控制决策之间的桥梁 操作损失（operational losses): 因发生损害性事项而导致的损失, 该损害性 事项对衡量银行所受损失具有经济影响。“操作损失应包括下列因发生损害性 事项而导致的支出: 与该事项相关的全部已发生支出, 但不包括投资项目支出, 机会成本或预知收入” （巴塞尔资本协议，定量影响测算，） 操作风险损失：是指由不完善或有问题的内部程序、人员、系统以及外部事件 所造成的损失 损失数据收集 ——损失定义 损失数据收集流程应包括具有高质量标准的操作损失的识别、录入、验证、管理和报告等 环节,并达到以下标准： 完备性 —— 所收集损失的整体情况 及时性 —— 损失事件记录的时间点 可获得性 —— 获取信息的成本 收集信息的数量和质量 —— 损失的时间、性质、数量 风险暴露的信息 评级信息  损失数据收集的关键点： • 通过各业务单元参与损失数据收集工作以及参与数据收集过程的定义等环节，在银行内部创建浓厚的损 失数据收集文化氛围 • 损失数据收集过程为识别、录入、验证、管理和报告等环节的统一 • 损失数据收集是动态的实施过程，该过程应能够不断对信息源进行更新并能根据商业环境的发展正确反 应银行操作风险暴露的情况 损失数据收集 —— 介绍 完备性 及时性 可获得性 收集信息 的数量和 质量  损失数据收集标准  损失类型  信息种类  阈值  特别案例  分类指南  方法  程序  流程  与其他系统的连接  变革管理  培训  信息源映射  软件解决方案 人员（Who）内容（Which） 来源（Where） 方式（How） 分支的风险管理 ARE A 1 ARE A 2 ARE A … ARE A n Legenda: Operational Risk employee of Arean Operational Risk employee of archive Source of Data 资本的风险管理 资本的内部审计 • Definition of the archives for the information • Analysis of operational losses • Improvements and changes to the archives • Definition of the census criteria in order to: • Ensure accuracy of the information • Timeliness of information • Auditability of the entire process • Completion of necessary data • Documentary evidence of information • Reporting to senior management • Reporting to the affiliated banks 调查 审查 验证 报告监督 •Verifying the regularity process of LDC •Ensuring that quality and completeness of data is maintained 会计来源 损失事件 来源1 来源2 来源3 损 失 影 响 管 理 损失影响会计 自 下 而 上 方 法 自 上 而 下 方 法 管理来源  角色和职责 损失数据收集章程 损失数据收集 ——框架 对于利润和损失金额有 直接影响的损失  只有影响损益账目的直 接损失才是在金融机构 损失数据收集过程中尤 为重要的损失。该定义 指出应区分银行战略结 果与操作风险的影响的 不同 预知收入  如果不经历操作损失， 它们就是公司将来能够 获取的利润 替代成本  当公司决定不执行时， 可从替代投资中获取的 利润 近乎发生的损失  未引发真正损失的事件 损失类别 损失价值标准：从会计角度  实际损失是实际记录的损失，即使在较短会计期间内也是如此。实际损失是由非系统化损害事 件造成的。同时，由于这些损失能够一直在银行的会计系统中被直接跟踪，而且在任何情况下 都可以根据对利润和损失金额的影响来被分离和评估，因此实际损失是客观的、可衡量的。此 外，我们认为，这些损失应该包括所有与损害事件以及可能获得的补偿（如保险或其他赔偿） 相联系的费用 实际损失 预计损失  当损失金额不确定时将产生预计损失，但基于实际发生的会计准则将被迫进行预测。在这种情 况下，将考虑具体的风险数量来进行会计记录 损失数据收集 ——损失类别、价值标准 数据项 描述 损失额 每笔损失总额/ 可能的保险偿付金额/ 可能的非保险偿付金额 日期 损失事件发生日期/ 损失事件发现日期/ 损失事件录入日期/ 损失记账日期 损失事件类型 参照银监会损失事件类型分类 损失形态 参照银监会损失形态分类 组织维度 损失发生的业务条线（可不同于遭受损失的业务单位）/ 遭受损失的业务条线（损失被记录的业务条线）/ 遭受损失的业务条线所对应的按巴塞尔要求划分的业务条线 风险因素 引起风险的可能性因素，如：人员/系统/内部程序/外部事件 其他 损失事件发生的地点/ 事件发生的分配渠道/ 事件状态/ 最后 获得保险偿付日期 对于所有需收集的损失事件应设置一定的数据项，至少应包括： 损失数据收集 ——收集信息设定 损失数据收集 ——辨识信息来源  信息源的识别在损失数据收集过程中是重要的一步  信息源是银行内某些可以发现操作风险损失的“单位”  在损失数据收集中，需要确定“哪些是主要的信息来源？” 损失数据收集 的信息源 总帐 其他来源 损失的信息可通过损益表的负数反映 用于将财务报表无法识别的损失有效区分和收集 既有系统 独立存档 电子或纸质存档，如客 服部门的客诉记录等 如银行现有数据记录系统 损失数据收集 ——信息源的定义  信息源的定义我们可以从“操作风险损失列表”开始，在列表中操作风险损失可根据Basel II（银 监会） 中对损态类型的规定进行划分  该列表的“行”为损失类型；“列”为针对各损失类型所识别的信息源（银行相关业务单元）， 通过使用“操作风险损失列表”，我们可以综观银行操作风险损失信息源的总体情况 领先实践样例 样 例 对于收集损失信息，有两种不同的方法： 事件驱动 会计驱动  当事件发生，损失数据 通过损失事件发生的相 关业务单元的现有系统 进行收集  损失事件的相关信息应 从损失事件发生的业务 单元/业务条线获取  数据在总帐中进行收 集  需将损失事件的类型 映射到会计科目中  所收集的损失数据需 进行一定的人工信息 调节 损失数据收集 ——信息收集方法 损失数据收集 ——“事件驱动” 业务与支持单元 总账 会计程序 损失数据库 在损失数据库输入 业 务 与 支 持 单 元 损失信息发送到 本地的操作风险管理系统 25 操 作 风 险 管 理 部 门 调节 （reconciliation) 风 险 代 表 损失数据收集 ——“会计驱动” 业 务 与 支 持 单 元 总账 损失信息发送到 本地的操作风险管理系统 业务与支持单元 损失数据库 自动从 总账录入到损失数据库 损失账户 手工填充 26 操作风险 管理部门 风 险 代 表 损失数据收集 ——信息收集方法 在实际中考虑到下面的因素，使用多重方法是很正常的 目标 数量 完全性/损失次数 及时性 收集成本 信息收集的完整性 低低 低 高 低会计驱动 事件驱动 • 损失数据收集的流程应结合监管要求、银行自身实际情况和内部管理的需求 损失数据收集 ——流程介绍 损失数据信息源的维护（信息源的审阅、回顾） 识别 录入 验证 管理 报告 损失数据收集方法框架的维护 损失数据收集的流程 数据分析和会计索 引 集团层面数据验证 公司层面数据验证 内部报告 外部报告 分类和数据录入 信息收集操作损失识别 新损失类型的交流 数据管理 社会关系管理 相关事件分析 KRI定义、对银行风险管理的意义及分类 关键风险指标（KRI）是指代表某一风险领域变化情况并可定期监控的统计指标。 （引自《商业银行操作风险管理指引》，银监会）KRI定义 早期预警，触发行动，预防损失 长期追踪操作风险暴露状况 早期预警信号(early warning signals) 为预警方案的启动设定定量的标准 KRI对银行风 险管理的意义 根据银行业领先实践，KRI体系具有不同的层次，指标可依不同维度进行分类，例如： 通用KRI:适用于全行不同业务部门的指标。如，百万元以上案件发生频率 特殊KRI:适用于特定业务部门或业务流程的指标。如，异常信用卡审批人员中涉嫌欺诈的 人数 （适用于信用卡部） KRI 一般分类 KRI管理 ——职责分工 董事会/高级管理层 总行风险管理委员会 总行风险管理部门 总行支持部门 例如，内审、法律合规、人力 资源和IT部门 分行风险管理部门 分行支持部门 例如，内审、法律合规、人力 资源和IT部门  最终审批KRI管理政策和修改方案  审批KRI管理政策和KRI修改方案  负责KRI管理政策的全面执行  负责全行层面KRI的设计、使用、维护、监控和更新  审批分行的KRI清单的修改  负责KRI管理政策在分行层面的执行  负责设定分行层面的KRI清单  对KRI进行监控，向总行提交KRI分析报告及更新申请  协助KRI清单的制定，就本部门所掌握的信息提供相关意见  在KRI使用阶段，提出调整和修改意见  就本部门所掌握的信息，为分行风险管理部门制定KRI清 单提出意见  在KRI使用阶段，提出调整和修改意见 KRI管理 ——重要环节  指标选取  阈值设定  录入、监测、报告  跟进、调整 KRI管理 ——选取原则和选取流程 全面覆盖：指标应当全面地覆盖四大风险因素、七大类损失事件类型、八大业务条线 数据可得：指标应当与潜在风险高度相关并可测，选取的指标应能持续地获得完整的数据支持 指标可控：选取的指标应当可以通过可选的管控措施进行有效的控制 选取原则 选取流程 收集信息，分析并识 别潜在风险 分析潜在风险，建 立指标长名单 • 根据全面覆盖的原 则，收集各业务部 门内部信息，如历 史损失数据和 RCSA结果，进行 汇总和整理 • 全面分析业务流程 和内部信息，识别 潜在风险 • 分析识别得到的潜 在风险，明确风险 点，确定对应的风 险指标，建立风险 指标长名单 由长名单筛选出关 键风险指标 • 根据数据可得的原 则，剔除数据可得 性较差的指标 • 根据指标可控性选 择，剔除难以被有 效控制的指标 • 整理具备良好数据 可得性、可控性的 指标，建立KRI清 单 定义驱动、阈值和 监测方式，进行初 始验证 • 针对KRI清单中的 每一个KRI，定义 指标的驱动 • 根据历史损失数据 和RCSA结果，借 鉴领先实践，设定 指标阈值 • 制定指标监测方式， 包括频率 • 在KRI提交审批前 进行初始验证，测 试选定指标的有效 性 指标审批和验证 • 将选取的KRI清单、 阈值、监测方式等 相关文件上报银行 高级管理层审阅， 经由董事会审批生 效 • 在KRI审批生效后， 启动指标监测工作。 参考监测结果，定 期对KRI指标体系 进行验证，以保证 其有效性 阈值设定：  基于历史数据和专家意见，设计KRI的最大容忍值和预警值的范围  设定最大容忍值和预警值所对应的信号灯，并且设定激发预警警示的数值 KRI管理 ——阈值设定 绿色：KRI值< 预警值；良好，持续观察 黄色：预警值<=KRI值<最大容忍；分析状况，判断应采取何种行动 红色： KRI值>=最大容忍值；立即采取改善措施 单向KRI 分析错误率升高产生 的原因和判断应采取 何种行动 立即启动预设的行动 方案，例如加强对前 台交易的监督、对前 台人员的培训、将出 错率纳入业绩指标等 % 2% 例如：前台交易出单错误率 持续观察 双向 KRI 绿色：KRI值<预警值1或KRI值>预警值2；良好，持续观察 黄色：预警值1<=KRI值<最大容忍值1或预警值2> =KRI值2>最大容忍值2； 分析状况判断应采取何种行动 红色：KRI值>=最大容忍值1或KRI值< =最大容忍值2；立即采取改善措施 2％ 6％ 10％ 20％ 例如：员工流动比率 持续观察 分析员工流动比率变化产生的原 因和判断应采取何种行动 立即启动预设的 行动方案，例如 通过对员工进行 问卷调查了解员 工期望与现实的 差距、实施员工 激励计划、改善 员工福利条件等 立即启动预设的 行动方案，例如 审核员工业绩考 核制度执行的有 效性和考核评分 的客观性等 KRI管理 ——录入、监测、报告流程 数据录入人员将KRI所需要的数据从现有的数据系 统、纸质文档或电子文件录入至操作风险管理系统 操作风险管理系统根据录入的数据和预设的公式自 动生成KRI数据 。当KRI值超过预设的阈值范围， 系统将自动提醒相关部门注意或生成行动方案 可根据要求生成不同类型的KRI报告和图表，并由 KRI分析人员对KRI的变化因素作详细分析，对触发 的行动方案进行跟踪分析报告 业务部门定期向风险管理部提交KRI分析报告，经 过汇总和整理，定期向总行风险管理委员会、高级 管理层和董事会提交KRI分析报告，采取跟进行动 数据录入 系统生成 KRI数据 报告分析 高层汇报 现有数据系统 纸质文档 电子文件 KRI管理 ——KRI分析报告的运用 部门 1 部门 2 部门 3 最大容忍值 预警值 月份 KRI 值 当KRI值超过预设的最 大容忍值，分析人员应 追踪部门相应的风险控 制措施及触动的行动方 案执行情况 当KRI值超过预警值， 分析人员应分析超过预 警值的状况，并判断是 否需要求相关部门通过 进一步行动控制风险， 同时密切跟踪KRI数值 的变化情况 触发行动方案 KRI管理 ——跟进流程、调整流程 KRI跟进流程 KRI调整流程 － 增减、修改、定期重检 超限识别 KRI使用部门报告超阈值情况 审阅和分析 风险管理部分析超阈值情况并上 报高级管理层 触发管控行动 根据预案采取风险控制行动 跟踪上报 风险管理部风险跟踪控制行动效 果并上报高级管理层 调整的发起 KRI使用部门根据KRI实际应用的有效性提出KRI管理政策及清单的 修改意见，如：阈值的设置范围调整，并将修改意见以报告形式上 交风险管理部门审阅 审阅和分析 风险管理部门根据KRI的使用情况分析及审阅KRI管理政策及清单的 增减、修改及定期重检调整申请意见，然后提交总行风险管理委员 会审批 调整的审批 对于KRI管理政策及对KRI体系的修改，需要上交董事会作最终审批， 而对于KRI清单修改，则由董事会授权风险管理委员会审批