[原创]城市商业银行全面风险管理体系构建研究

正略钧策

城市商业银行全面风险管理体系构建研究
北京正略钧策企业管理咨询有限公司顾问 董浩炜

 

一、商业银行全面风险管理的主要发展阶段
一是资产风险管理阶段，此阶段商业银行的负债规模一般较小，风险管理的重点在于资产，认为风险产生的根源在于资产的或有损失，风险管理的主要工作是尽量保持资产的流动性，这一阶段资产的主要形式是贷款，因此对于贷款的控制非常严格，通过加强资信评估、项目调查、严格审批制度、减少信用放款等各种措施和手段来减少、防范资产业务风险的发生。二是负债风险管理阶段，随着商业银行负债规模的逐步增大，并且从过去的“被动负债”转向了“主动负债”，极大地加大了银行经营的不确定性，商业银行风险管理的重点转向负债风险管理，开始有选择有重点的配置负债资源。三是资产负债管理阶段，20世纪70年代末，布雷顿森林体系崩溃，汇率、利率波动性急剧上升，市场竞争日趋激烈，单一的资产风险管理模式和单一的负债风险管理模式均不能保证银行安全性、流动性和盈利性的均衡，风险管理发展到资产负债风险管理阶段，突出强调对资产业务、负债业务风险的协调管理，通过资产结构、负债结构的共同调整，偿还期对称，经营目标互相替代和资产分散实现总量平衡和风险控制。四是资本管理阶段，随着一些银行上市，投资者不仅关心资产回报率，更关心权益回报率，风险管理开始强调“净资产收益率（ROE）是目标”。同时，随着银行业竞争的加剧、存贷利差的变窄，出现了监管资本套利现象，美国大量储蓄和贷款机构因此大量倒闭，其结果是产生了1988年《巴塞尔资本协议》，国际银行业开始了资本充足性管理的理论和实践。随着利率市场化进程和衍生金融工具交易的迅猛增长，银行面临的市场风险日益增大，亚洲金融危机、巴林银行和大和银行倒闭等一系列银行危机都进一步昭示，损失不再是由单一风险造成，而是由信用风险和市场风险等多种风险因素交织作用而造成的。因此，1996年《巴塞尔资本协议》对市场风险进行了补充，风险管理要求银行“对风险进行定价”，提高风险识别和规避能力。随着马克维茨的资产组合理论在银行业的应用，使得国际银行业能“像管理投资组合一样管理贷款”，这对银行风险管理能力和技术水平提出了更高的要求。五是全面风险管理阶段，2001年1月，在总结国际活跃银行风险管理经验的基础上，巴塞尔委员会公布了《新巴塞尔资本协议(征求意见稿)》，以期在2006年彻底取代现行的1988年协议。新协议全面继承了以1988年协议为代表的一系列监管原则，继续延续以资本充足率为核心、以信用风险控制为重点，将市场风险和操作风险纳入资本约束的范围。《新巴塞尔资本协议》的推出，标志着现代商业银行风险管理出现了一个显著变化，就是由以前单纯的信贷风险管理模式转向信用风险、市场风险、操作风险并举，信贷资产与非信贷资产并举，组织流程再造与技术手段创新并举的全面风险管理。

二、城市商业银行全面风险管理存在的主要问题
城市商业银行一般起源于早期的城市信用社，风险管理基础薄弱，集中体现在如下方面：一是在风险治理层面有所缺失，根据银监会有关规定，商业银行应当在董事会层面设立风险管理委员会，但是很多城市商业银行由于缺乏相关的风险管理规划和专业人才，风险管理委员会基本没有开展工作；二是风险管理还不够全面，多数银行的风险管理还停留在信用风险管理层面，缺乏全面风险管理的规划，信用风险、操作风险和市场风险的相关管理智能分散在不同部门，在此基础上，不同部门在风险管理职责分工上不够清晰，整体协调性不够。
在信用风险管理方面，由于历史原因，城市商业银行是“先有支行再有总行”，信贷审批权限分散在各个支行，缺乏有效的整体控制；发放贷款更多依赖抵押物和担保的设置，在一定程度上形成了对贷款发放的倒逼机制，同时总行信用风险管理部门缺乏对于客户信用评级，不利于信用风险的事前控制。市场风险主要包括流动性风险、利率风险和汇率风险，城市商业银行由于资产规模限制，可运用的资金管理手段相对单一，应对市场波动风险的能力不足。在操作风险上，更多依靠原有的业务操作手册进行，缺乏系统的梳理和优化。

三、城市商业银行全面风险管理体系的构建
2003年7月，美国COSO（the Committee of Sponsoring Organizations of the Treadway Commission特里德考察团资助委员会，是美国政府机构所组织的特别委员会，其主要职责是对美国经济监管部门，如财务监督、审计等部门进行建议性指导）在普华永道的协助下首次提出了《企业全面风险管理框架》报告，报告首次从体系上规范了企业全面风险管理的目标、要素和层次，将全面风险管理从理念发展到了实践操作层面。将COSO报告和新巴塞尔协议相结合，就可以构建银行业的全面风险管理体系。商业银行全面风险管理是由若干风险管理要素组成的一个有机体系，这个体系可以将风险和收益、风险偏好和风险策略紧密结合起来，增强风险应对能力，尽量减小操作失误和因此造成的损失；准确判断和管理交叉风险，提高对多种风险的整体反应能力；最终，能根据风险科学分配经济资本，抓住商业机会，确保银行各项业务持续健康发展。城市商业银行全面风险管理框架如下：

 未命名.bmp ：

1. 风险管理环境。风险管理环境全面风险管理的基础，具体包括银行价值取向、管理风格、风险管理组织结构、风险管理文化等。其中，风险管理文化是全面风险管理的核心，它影响到目标设定、风险识别和评估、风险处置等各个层面的活动；风险管理组织结构是全面风险管理得以实施的组织保障和支撑，风险管理职能必须保持一定独立性。
目前，我国社会信用体系亟待建立与完善，由于信用评级行业目前还处于起步阶段，发展中普遍不够规范，存在问题较多，整体上难以达到国际认可的技术和管理标准，而且外部评级所覆盖的企业范围较小。同时，风险评估必须建立在企业或个人所提供的真实数据基础上，然而在现有的社会信用环境下，这一点恰恰是难以保证的。缺乏全面性、真实性财务和信用数据信息支撑，必然严重干扰风险评估的准确性，从而很大程度上对风险决策形成误导。
脱胎于计划经济时代的中国银行业，特别是国有商业银行，由于深层次的金融产权制度改革进度缓慢，习惯于依靠计划指令，使用层层分解指标的方式控制风险暴露的惯性，还谈不上以国际活跃银行常用的风险评级、风险预警、资产组合分析和各类风险缓释技术进行风险管理。在内部管理机制上，我国银行在机构上偏重于按行政职能设置岗位，缺乏创新性工作所需要的机动性和灵活性，而现行管理体制及绩效评价标准偏重于短期激励效应，对员工的价值积累重视不够，也不利于全面风险管理的深入研究和有效实践。
从风险管理文化来看，要营造全员风险管理文化，使风险管理目标、理念和习惯渗透于每个业务环节，内化为每位员工的自觉行为。从风险管理组织结构来看，风险管理部门应实现从单纯后台监管的角色转换，风险管理的触角应全面延伸到各项业务经营部门和过程控制。从纵向来看，风险管理部门应实现自上而下的垂直管理，上级行风险管理部门直接负责下级行风险管理部门的考核、聘用与管理；从横向来看，风险管理部门在各业务部门设立风险管理窗口，各业务部门的风险管理窗口人员直接由同级行的风险管理部门进行考核、聘用与管理。
2. 风险管理目标与政策设定。风险管理必须能为银行管理层提供一种设定目标的科学程序，银行要将风险管理的要求贯穿于银行各项目标之中，通过选定风险偏好和风险容忍度，制定明确统一的风险管理政策，包括信用风险管理政策、市场风险管理政策、操作风险管理政策等，以实现风险管理和银行目标的紧密结合。
风险管理目标与政策的设定必须要以战略目标为依据，在最高层面风险管理目标的设置过程中确定明确的风险偏好和容忍度，并将风险容忍度贯彻到中间层面和微观层面的目标设定过程中。例如，对单一客户的风险控制目标和综合赢利目标，可根据明确的风险偏好和容忍度，确定银行可接受客户的信用风险底线和利率定价等目标。再如，根据风险偏好，对不同信用等级客户的信贷业务设定不同的经济资本分配系数。以各项经营目标为标尺，以风险报告目标为手段，建立对责任人的激励约束机制，对新增业务的预期损失进行提前计提，并在责任人的任职期间或所经办贷款的生命周期为奖惩的考核依据，逐步过渡到RAROC考核方式。
3. 风险监测与识别。风险监测和识别包括通过贷后管理来监测和识别客户信用风险，跟踪国家宏观政策、行业状况、金融市场以及监管法规等有关情况识别市场风险和操作风险。对风险的识别是准确度量风险的前提，银行必须通过监测系统保持对内外部事件的敏锐性，首先做出事件“是否是风险，是什么类型的风险”的判断，才能对风险程度和大小进行分析，并在此基础上进行风险预警和处置。
管理当局应当根据风险偏好、容忍度和设定的风险管理政策，制定风险识别管理要求和风险识别的工作流程，确定风险识别的精度、频度、深度和广度，设计风险识别、风险评估和风险应对管理办法，在风险识别上全面覆盖对单一与组合资产、宏观与微观以及内部与外部层面事件的有效识别和职责分工，并明确差别化的风险识别模式和反应机制。在实施步骤上：首先，以战略、流程和业务活动为出发点，以风险偏好和风险容忍度为标杆，在全辖范围内，自下而上、由内到外对各类潜在风险因素进行全方位梳理，形成事件详细目录清单。其次，进行风险事件排序，形成KRI。最后，建立风险事件分类矩阵，筛选尚未有效进行管理的风险事件。
4. 风险评估。风险评估可从定性和定量两个方面进行，但《巴塞尔新资本协议》颁布之后，风险测度偏重于定量分析，要求尽量数据量化地确定受险程度。在建立信用风险内部评级系统的基础上，银行应同样以VaR为核心度量方法建立市场风险评估系统，并努力将操作风险的内部计量包括进来，建立一体化的风险管理体系，使风险分析的结果能相互比较以利于决策，合理地在不同业务间配置经济资本。
在信用风险评估方面，通过实施“信用风险内部评级工程”，开发和改进对公信贷的风险评估工具，建立汽车贷款、个人住房按揭、信用卡和个人信用贷款方面的评分系统；在市场风险评估方面，开发系统化的市场风险评估工具，设置以风险价值为核心的市场风险限额体系，初步建立并逐步优化市场风险情景分析和压力测试模型；在操作风险评估方面，初期应建立操作风险评分卡，每半年进行一次评估计量，逐步创造条件建立操作风险内部衡量法 。在此基础上，改进和优化债项评级技术和方法，完善信贷风险减值准备测算方法，全面提升风险拨备的准确性和科学性；提高经济资本计量的准确性，启动自上而下的经济资本配置机制研究，逐步实现自下而上的经济资本配置程序，建立并完善基于风险的资本配置体系。
5. 风险定价和处置。对于预期风险，可通过风险定价和适度的拨备来抵御，对于非预期风险银行必须通过资本管理来提供保护，对于异常风险可采取保险等手段解决。银行可以资产组合管理消除非系统性风险，通过兼并来吸收风险，通过辛迪加贷款来分散风险，通过贷款出售、资产证券化等手段转移风险，通过衍生交易来对冲风险。
我国商业银行要引入风险应对规划，明晰各类风险的应对政策，根据风险偏好和各类风险的特性，明确各风险应对措施的适用范围。在信用风险领域，明确客户及项目准入标准，全面梳理审批政策，制定清晰统一的信贷政策；在明确的市场风险容忍度边界下，明确各类市场工具、产品极其组合的应对策略；引入并启动操作风险和灾难性事件风险应对管理机制和决策流程。要补充细化、提炼和归纳风险应对策略的具体措施，通过在全行范围内收集成功的风险应对方案，对既往经验进行提炼和归类，形成对管理具有指导作用的不同应对策略下的具体应对措施方法体系，并建立并逐步优化风险应对决策程序，提高风险应对过程的科学性。
6. 内部控制。银行应建立健全的内部控制体系以防范操作风险，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正，确保国家法律规定和商业银行内部规章制度的贯彻执行，确保操作的规范性和得到有效监督。
通过建立内部控制的“参与约束”，对各业务层面的关键风险点实施有效过程控制。在系统清理过去的规章制度，识别规章制度中的有效部分的基础上，运用“过程方法”和“管理的系统方法”，全面梳理业务和管理活动的过程网络，解决过去制度中矛盾、重复、交叉的内容，建立一整套系统的、透明的、包括操作要求与控制要求在内的体系化文件。逐步改变以公文为载体发布各种程序化业务和管理活动的模式，把所有的经营管理活动都纳入这种体系化、文件化内控管理。
7. 风险信息处理和报告。包括建立包括信贷信息、操作风险损失、市场风险信息等在内的数据库，通过信息处理系统保持数据库更新，及时反应内外部风险信息等内容。银行要建立科学灵敏的风险报告制度，对银行的风险现状进行汇总、分析，对各种风险管理政策的实施效果进行分析，形成定期、不定期综合及专题报告，按照一定程序报送各级风险决策机构；要针对不同类型的风险来区分不同的报告渠道和风险报告的职责分工。
通过整合信用风险、市场风险数据，实施集中化的信贷风险和市场风险数据库；建立操作事件档案，初步建立操作风险事件案例库和数据库；改进完善风险报告制度，对风险报告的频度、深度和职责进行明确，针对信用风险、市场风险和操作风险的不同特点，制定差别化的风险信息传导机制，建立纵向报送与横向报送相结合的矩阵式风险信息交流线路；出台对外信息披露管理办法，对信息披露的内容、格式、频度及职责等进行规范，建立系统化、透明度高、及时性强的信息披露机制。
8. 后评价和持续改进。银行风险管理部门应该对全行规章制度、信贷管理流程、风险管理流程的执行情况进行后评价，并建立相应的授权调整和问责制度，确保风险管理体系的运行。同时，风险管理部门应根据外部环境、监管当局要求以及后评价中发现的问题，对风险管理体系中有关内容提出调整和完善意见，由银行决策层来对全面风险管理体系进行持续改进。
管理当局应当对每一项风险管理要求或模块，完善其后评价和持续改进机制，建立相应的问责机制，形成风险管理的“激励相容约束”和执行驱动力，保障各个风险管理模块达到预期的效果，同时保障风险管理模块的优化走向规范化、定期化、制度化。逐步完善风险管理目标的差距分析和反应机制，风险管理部门和相关业务管理部门应加强对银行经营行为和风险敞口的实时监控，找出与预定目标的差距，及时采取措施做出调整，保障风险管理目标的顺利实现。