郭保民
(天津财经大学经济学院,天津300204)
随着经济技术的发展和同业竞争的日趋激烈,商业银行的生存已经与风险管理紧密结合在一起,忽视风险管理必将付出惨痛代价已经成为国际银行业的共识。近30年来,商业银行风险管理大致经历了单一风险定性关注、单一风险模型定量测度、全面风险管理等阶段。特别是《新巴塞尔协议》的出台和应用,对推动银行业由单一风险管理向全面风险管理转化起到了决定性作用。全面风险管理能够提高银行的外部适应性和内部风险管理能力与效率;能够发挥银行各部门的风险管理协同效应;能够使银行将所有组织层次和交易层次的风险通过一定纽带联系在一起并进行整体量化;能够促使银行完整地向外界披露风险信息,从而更加充分地发挥市场约束的功能。正是基于上述优势,全面风险管理逐渐引起了商业银行、监管机构等方面的高度关注,并日益为业内所普遍接受和认可。
全面风险管理(Enterp rise-Wide Risk M anagement,ERM)就是以整个企业为管理对象的综合风险管理。ERM的中心理念是:对整个机构内各层次业务单位、各类风险进行通盘管理。银行业全面风险管理体系的目标不仅仅是处理所面临的某一种风险,而是将信用风险、市场风险、操作风险以及流动性风险等全部综合在一起,考虑各种风险的相关性,并采用组合方法进行统一管理[1](P337)。COSO(The Committee of Sponso ring O rganization of the Treadway Commission)在2003年7月公布的《全面风险管理框架》中将全面风险管理描述为:“一个受到该实体董事会、管理层和其他个人的影响,并应用在机构总体战略设定过程;它被设计用于识别整个实体的潜在重大风险,能根据组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理保证。”[2](P186)该框架认为全面风险管理包括三个维度:企业目标、全面风险管理要素和企业的各个层级。企业目标包括战略目标、经营目标、报告目标与合规目标;全面风险管理要素包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控;企业的各个层级包括高级管理层、各职能部门、各条业务线以及分支机构。其中企业目标居于主导地位,其余两个维度要服从企业目标,每个层级都要以全面风险管理的8个要素为基点,服务于4个目标。
通过分析上述概念,笔者认为商业银行全面风险管理主要包括三层含义:一是结合银行业内在运行规律,借助外部监管和市场约束的力量,综合考虑各类风险之间的相关性及整体联系;二是通过科学的模型和精确的程序,对各部门、各层级涉及的风险进行标准化度量;三是以先进的网络信息管理技术为基础,建立功能强大的的风险管理系统。该风险管理模式与以往相比,更加突出全面性、连续性和整体性,其核心理念在于:(1)层次性控制。全面风险管理体系中的机构设置和人员分工遵循分层设置、层级管理的原则。一方面强调最高风险管理机构的功能,基层风险管理的信息和数据要及时向上传递,决策层据此进行整体风险评估和控制;另一方面风险管理机构的设置要深入到每一个基层业务线、每一个职能部门。各类风险、各个部门与各个层级构成三维矩阵,有助于系统地识别、评估、报告、处置风险。层次性控制的另一个重要思路就是将集中管理和分散管理有机结合起来。不同的风险由相应的部门或机构进行专业化管理,以提高效率;但这些管理主体要及时将信息报告或反馈给上级或最高风险管理部门,由其进行综合考量并采取统一措施,从而使银行风险管理资源达到最优化配置。(2)事前管理。以往的风险管理模式过多关注已经发生的风险事件,通过分析过去来分离和测评风险因素,大大削弱了银行的风险防范和化解能力。随着诱因和后果的日趋复杂与严重,在风险事件产生负面效应之前及时识别、控制和化解风险,显得尤为重要。全面风险管理要求既对现实事件进行分析,也对潜在的或有因素进行监测,将管理关口尽可能前置。(3)实践性与前瞻性相结合。全面风险管理着眼于整体业务经营,必须随时关注银行所依存的外部现实状态的变化及由此导致银行整体经营产生的不确定性,并实施各种识别方法、度量模型和控制手段。但外界环境的不断变化赋予了商业银行风险管理持续更新的内涵,同时也扩大了它的外延。在考虑风险管理现实需求的同时,还必须具有前瞻性思维,兼顾业务发展取向,给未来发展预留足够的空间。(4)全员参与。风险管理并非独立和外生的,而是渗透到银行经营管理活动各个层面、各项流程之中,需要所有相关主体服从于统一的目标,这要求全体员工既要“知”,也要“行”,还要“合”。
作为国际银行业经营管理的“游戏规则”,巴塞尔资本协议一直在争议中不断演进。1987年12月召开的经合组织会议通过了《巴塞尔提议》,在此基础上,巴塞尔委员会于1988年通过了《关于统一国际银行的资本计算标准协议》,即《巴塞尔资本协议》,国际银行业开始进入资本充足管理时期。20世纪90年代以后,金融业全球化趋势已经非常明确并且不可逆转,银行经营环境和业务日益复杂,加之IT技术的广泛应用,客观上要求对银行业风险管理理念、内容和方法进行动态更新,《巴塞尔资本协议》的局限性也就凸现出来,需要更新。1999~2004年,巴塞尔委员会连续发布三个征求意见稿,并于2004年6月26日最终定稿。尽管《新巴塞尔协议》并非强制性法规,但它的出台仍然引起各方的高度关注。10国集团于2006年底开始执行,许多发展较快的发展中国家也都表示考虑分步接受或借鉴参考新资本协议。
新资本协议的主要目标在于:促进金融体系的安全性和稳健性(保持总体资本水平不变);继续促进公平竞争;更全面地反映风险;更敏感地反映银行头寸及其业务的风险程度;重点放在国际活跃银行,基本原则适用于所有银行。以此为导向,新资本协议在保留资本充足的基础上,又增加了监督检查和市场约束两大支柱。第一支柱是资本充足。首先将经济资本的计算范围界定为从公司股东和管理层的战略方向、风险偏好到不同层次风险管理部门的实际操作,再到分支机构的经营决策以及业务线的日常运作。监管当局以银行内部测算的经济资本作为衡量监管资本的基础,将银行所面临的风险与监管资本的计算紧密结合。第二支柱是监督检查。监管当局针对监管对象各异的风险状况,对银行的风险进行直接或间接监控,对风险计量方法是否与环境适应、内部评级程序是否合理等进行检查;同时严格控制经营管理中的逆向选择与道德风险。第三支柱是市场约束,核心理念就是通过信息披露来发挥市场的外部风险控制功能。在旧协议中,信息披露与市场约束是作为监管机制的附属部分而出现的,在新协议中则被单列为一大支柱而进入基本框架。新资本协议以“公众利益理论”与“社会责任理论”为基础,将原先外挂的信息约束转化为内嵌,借助于“投票机制(用手或用脚)”,形成市场化风险溢价和双重惩罚机制,确保银行的审慎经营。三大支柱相互补充,对新巴塞尔协议的全面风险管理理念进行了有效地表达和诠释。
新资本协议中风险管理的创新主要体现在以下方面:
一是扩大了关注的风险范围,由原来主要集中于信用风险变为同时关注信用风险、市场风险和操作风险。
二是将资本充足率的评估与银行所面临的风险更加紧密地联系起来,在坚持资本充足率8%的底限的前提下,将银行的风险与监管资本相挂钩,客观上提高了银行监管资本的风险敏感度和风险管理水平[3]。
三是通过资本监管激励督促银行,结合自身实际,应用高级风险计量方法和模型。新资本协议针对信用风险、市场风险和操作风险等主要风险都提供了从简单到高级的不同复杂程度的计量方法,如针对信用风险列举了标准法、基本内部评级法、高级内部评级法;针对操作风险列举了基础指标法、标准法、标准法的替代法、内部度量法和损失分布法;针对市场风险列举了模型法、标准法[4]。新资本协议认为计量方法越高级,赖以存在的理论前提和模型就越科学合理,据此得出的结果就越贴近现实风险状况。新资本协议突出了正向激励措施,在方法的选取与数据的使用方面尽量赋予银行更大的自主空间。如果银行采用高级风险量化方法,就可以被允许降低监管资本;在利润水平一定的情况下,监管资本的下降意味着股权收益的上升。此外还完善了相关的配套制度安排,规定了银行获得使用高级风险量化方法许可所必须具备的技术条件和制度准则[5]。
四是改变最初主要依靠外部评级结果的做法,允许银行采用自己开发的内部评级方法,并且提示使用内部评级法评估信用风险时应结合监管当局制定的监管标准,充分揭示影响特定债务人现在和未来偿付能力的关键因素及其变化趋势,以此来定性与定量地分析其违约的可能性和后果。
五是强调发挥市场的约束作用,主张借助信息披露来提高透明度。新资本协议给出了加强信息披露、提高透明度的详尽要求,使相关利益主体对银行风险信息能够更为灵敏地把握,以此来确保银行经营的高效合规,维护金融系统的整体稳定。
新资本协议坚持组织流程再造与技术手段创新并举的原则,一方面摒弃了原有的单一风险监管框架,重塑了风险管理理念,针对银行业主要风险管理提出了更具指导性和操作性的实施指引;另一方面对正在实行的风险识别、度量、控制和披露的先进做法进行了推广,使得风险度量方法更加灵活多样、范围更加全面广泛、度量结果更加契合银行业经营实际。
经过多年改革,我国各类商业银行已初步确立相互制约、相互监督的内部控制机制。但风险管理仍是经营管理中的短板,其中存在的一些问题已成为制约商业银行稳健发展的重要因素。
(一)风险管理流程不规范
目前我国商业银行在很大程度上仍停留在依靠经验和习惯进行风险管理的层次,国外先进理念并未及时融入政策和程序,内化为指导风险管理实践的行为准则和操作流程;也没有构建起涵盖目标、政策、措施、方法等环节的完整系统;许多银行对风险管理做了机械理解,将其视为单纯的整章建制,致使事前、事中和事后风险管理的效力都受到弱化。例如现阶段我国许多商业银行的风险信息散布于各业务部门,缺乏系统的归集路径和报告制度,高级决策层、风险管理职能部门、业务经营部门不仅难以得到及时、完整的风险信息,更无法有效发挥指导和决策职能。
(二)外部环境不适宜
1.银行业监管存在缺陷。一方面监管理念滞后。监管重点仍置于机构审批和经营合规性方面,而对日常业务运营、资产质量和财务盈亏状况缺乏统一、规范、连续和系统的监管机制;重市场准入,轻持续性;重合规性,轻风险性;重现场检查,轻非现场检查。另一方面监管存在真空。监管部门自成体系,相互之间缺乏一套联动协调机制,从而对混业经营金融控股公司交叉业务的监管明显缺位。
2.信用体系不规范。由于目前我国社会信用体系仍处于起步和普及阶段,信用约束机制不强,评级行业组织和体系不够健全,整体上难以达到国际认可的技术和管理标准。这些不仅造成银行极高的客户信用审查成本,而且也导致社会普遍缺乏信用意识和信用道德规范,直接给银行风险管理增加难度。
(三)公司治理结构不完善
由于产权归属缺位和政府行政干预,我国商业银行委托—代理关系往往流于形式,管理经营存在非透明化因素,加上激励约束机制不科学,公司治理结构亟待进一步完善。占行业资产相当比重的城市商业银行(信用社)与农村商业银行(信用社)尚未进行规范的股份制改造。已经改造的仍有部分未完全搭建真正意义上的现代商业银行公司治理框架,具体表现为:风险管理战略目标不明确;风险管理委员会缺乏权威性,风险管理职能部门独立性不够;风险管理只停留在以盈利为目的的业务决策服务层次上,没有上升到银行战略发展的高度。
(四)基础设施不健全
1.缺少风险管理文化的指引。我国银行业在整章建制上不比国际同行差,缺少的是理解、支持并最终指引实践的风险管理文化。不少商业银行对风险存在的原因没有进行系统分析,对风险的关键点缺乏把握;仍将防范职业道德造成的违法违规风险作为风险管理的核心内容和首要矛盾,没有从文化层面认识和理解风险管理,从而也就未能树立全员风险意识。
2.人员素质无法满足要求。全面风险管理涉及先进的系统、工具和方法,对人员素质提出了更高要求。要求相关人员除具备良好人品、敬业精神等职业道德素质外,还应具备较强的信贷分析技术、会计学、经济学、法律、外语和电脑等业务技能和专业素质。而目前我国没有形成职业化的风险管理人才队伍,尤其缺少精通风险管理理论和风险计量技术的专业人才,严重制约着风险管理制度的施行和体系的建设。
3.风险量化技术应用滞后。当前花旗、德意志等国际活跃银行的风险管理已进入较成熟的模型化阶段。与之相比,我国商业银行风险量化管理发展明显滞后,许多高级模型尚处于引入阶段,谈不上熟悉和普遍应用。其原因是我国商业银行在此方面习惯于定性方法,定量技术运用相对较少;加之历史基础数据积累较少,风险管理所需要的大量业务信息缺失,这成为银行采用先进风险计量模型的重大障碍[6]。
国际环境的演变和市场竞争的深化对银行业风险管理提出了更高要求,新资本协议的颁布标志着商业银行实施全面风险管理已是时代发展的必然趋势,我国商业银行必须针对现存问题,从以下几方面尽快着手构建全面风险管理体系:
(一)规范全面风险管理流程
商业银行的经营特征决定了每项业务、每个环节都面临现实或潜在的风险,任何忽视风险管理的思想和行为都可能导致局部或全面的经营失败。因此,实施全面风险管理的首要任务是统一操作环节、规范管理流程。
1.明确目标。商业银行的经营目标应为在履行社会责任的基础上,使股东价值最大化。全面风险管理应服从这个大目标,确保银行经营安全性、盈利性、流动性的有机统一,优化风险管理资源的配置,取得风险与收益的最佳平衡。
2.制定政策。制定政策时应结合银行业务实际,确定银行的总体风险偏好和容忍度,并将其细分到各业务、各机构;同时应将风险管理总目标贯穿于信用风险、市场风险、操作风险等具体风险的管理实践中。
3.风险监测。利用内部网络,尽可能将关口前移,进行实时在线监测。各部门、各机构都要对所属业务特别是重要和例外事件保持敏锐的反应并做出预警提示,最大程度避免因制度或人的疏漏而忽视存在或潜在的风险。
4.风险识别。根据所处环境,运用各种工具,定性判别银行特定活动所承担的风险,把握其诱发因素、发生后果以及外界环境变化对银行形成的不确定性。例如,通过关注宏观经济政策、市场竞争、监管动态来识别市场风险;通过不定期的压力测试,形成特定风险的防范预案。
5.风险度量。为更准确地管理风险,在识别风险后要对每种风险的效应和在险程度进行量化,并将结果与银行风险容忍度进行比较。
6.风险处置。针对不同风险的特质,以识别和度量结果为依据,形成内在一致、指导性强、具有可操作性的处置规则。对于可预测风险,通过考虑风险溢价和拨备覆盖来抵御;对于非预测风险,运用资产组合管理或其他保险手段来规避、转化、对冲和消化。各种处置措施既可以事前确定,也可以动态调整。
7.信息传递。通过自上而下与自下而上的循环过程,完善的信息传递机制和健全的信息传递体系能够使高层的决策、基层的操作更加有依据,也为各级风险管理部门了解银行风险状况提供了根本保证。信息传递的关键点在于:明确各层级传递的责任与分工,确立清晰的方向和路径,将定期与不定期、专题与常规信息传递结合起来。
8.后续改进。在风险管理制度的健全程度、执行程度、各环节的衔接性、流程的合理性、管理体系的环境适应性等方面发现的缺陷应及时改进,此外还要关注监管机构的相关提示,以保证全面风险管理体系的动态完善。
全面风险管理流程中各环节之间的关系如图1所示。
图1 全面风险管理流程
(二)营造适宜外部环境
1.完善监管机制。一是更新监管理念,由合规性监管向风险过程监管转变。按照商业银行全面风险管理的标准调整监管重心与手段,注重新业务和新工具,突出量化和非现场监管,逐步建立一套切合实际的、完整的非现场指标体系。二是强化监管协调。适应全球化背景下金融业混业经营的发展趋势,逐步探索以功能性监管体制取代传统的机构性监管体制,并着手修改现行的金融监管框架,出台防范混业经营所致风险的制度办法。
2.规范社会信用体系。一是法制层面,应加快立法、严格执法,通过法制建设和改进司法实践来优化信用环境;二是服务层面,应规范中介机构行为,强化行业自律机制,加快外部评级体系建设,建立独立的专业化信用评估公司和信用数据库;三是教育层面,政府应进一步提高公信度,开展道德建设,营造诚信环境。
(三)完善公司治理结构
优良的治理结构和较高的治理效率是实现风险管理良性循环的基础。商业银行全面风险管理是一个复杂的系统性工程,任何部门、任何层级都是其中的组成部分,都不能游离于风险管理体系之外,也都必须受到管理规则的约束,而这需要通过合理的组织机构和科学的制度安排来实现。首先要明晰产权,促进产权结构多元化。其次要减少委托代理层级,尽量使管理层次扁平化。再次要科学划分董事会、监事会、风险管理委员会、审计委员会,各部门、各机构、各业务线之间的权利与责任,并在此基础上,构建科学有效的决策机制、约束机制和激励机制,抑制逆向选择与道德风险的发生。最后要自上而下传导“风险为本”的管理理念,构建“集中管理、矩阵分布”的风险管理组织架构;通过明确各层级在风险管理中的责任和分工,建立清晰、独立的报告路线,使银行的风险管理战略目标、风险事件等信息能迅速、有效地传递。
(四)加强内部基础设施建设
1.塑造风险管理文化。风险管理文化是经过长期运行和发展而形成的,得到接受或认可的风险管理方面的价值取向和行为模式的综合。商业银行的风险无处不在,先进的风险管理文化能够将风险理念植入每位员工的思想中,能够促使风险管理部门积极地应对风险,能够保证各项制度措施充分发挥效果。商业银行应重视员工的思维方式和心理状态,将全面风险管理理念渗透于每个业务环节,内化为每个人的自觉行为,使他们意识到这并不仅仅是风险管理部门或高层管理者的事情,而是全员性的思想观念、道德标准、价值尺度和行为方式,并且主动参与到全面风险管理活动中。通过每位员工自觉的行为营造全面风险管理文化氛围,利用软环境的推动力进一步加强规章硬条件的落实,进而在潜移默化中融合各种有利条件,形成特点鲜明、利于实践、具有人力资源基础的全面风险管理文化[7]。
2.培育人力资源。商业银行必须树立“以人为本”的观念,积极组织培训学习,挖掘、培养、储备一支高素质的风险管理队伍,并设法保持其稳定性,防止人才流失。此外还要采取外聘等多种形式,合力形成一个高效率的风险管理智力资源网络。
3.提高风险量化技术应用程度。商业银行要结合自身战略导向、市场定位、内部资源以及风险管理现状等因素,加大投入,加快模型的研究、设计、开发和应用工作,提高风险管理中定量技术的占比。模型的应用要以暴露风险和提升风险管理能力为核心目标,通过模拟或实践获得反馈信息,用以验证模型的效果,使之得到动态地校正和优化。要建立完整统一的数据库,并将数据维护工作常态化,不断提高数据的准确性和针对性,尽快建立起符合新资本协议要求的,完整、严格、一致的数据标准和相应的数据处理平台,从而保证构建全面风险管理体系中所有量化管理的数据需要。
[1]李志辉.中国银行业风险控制和资本充足性管制研究[M].北京:中国金融出版社,2007.
[2]托马斯·L·巴顿.企业风险管理[M].王剑锋,冠国龙,译.北京:中国人民大学出版社,2004.
[3]李洪芳.以实施新资本协议为契机加强银行业的全面风险管理[J].理论观察,2009,(3):138-140.
[4]李寿华.解读巴塞尔新资本协议中全面风险管理体系[J].哈尔滨高等专科学校学报,2010,(2):17-18.
[5]尚红敏,黄虹.股份制商业银行全面风险管理体系的构建[J].经济问题探索,2010,(7):72-77.
[6]吴锦栋.我国商业银行全面风险管理研究[J].时代金融,2010,(4):71-73.
[7]李景峰.商业银行的风险控制及管理[J].商业经济,2010,(12):80-82.