赵志宏 金鹏
2020年初新冠疫情这只“黑天鹅”转化成“灰犀牛”,环球同此凉热,美股、石油和大宗商品应声而落,银行业也正在经历一场突如其来的风险压力测试。商业银行为牢牢守住风险底线,既要驯服“灰犀牛”,又要防范“黑天鹅”。
全面风险管理助推银行抓住“犀牛角”
“灰犀牛”迎面而来,能否抓住那一对珍贵无比的“犀牛角”,考验的是银行全面风险管理的敏捷与韧性。在无处躲避的风险中,全面风险管理之于银行,正如竞技场上的撑杆之于撑杆跳,应对迅猛而来的“灰犀牛”,我们需要一个既能承受较大压力、不易折断;还能借助预应力反弹,助推业务前台穿越空中障碍的全面风险管理体系。
“黑天鹅”和“灰犀牛”对于银行业往往是致命的打击,但是银行风险管理对这方面的监测、预判和应对却不够有效。这很大程度上是由于工具、手段、技术的限制,而金融科技的发展让我们看到了希望。金融行业的大变革正在其中酝酿,金融业态可能会从“互联网+”跳跃式迈向“AI+”,将在防范和應对“黑天鹅”和“灰犀牛”风险方面起到重要作用。未来银行风险管理必然与人工智能、区块链、云计算、大数据、物联网、5G等科技因素的快速发展演进深度融入,进入一个“自动、实时、精准、敏捷”的全新阶段。
“自动”即借助大数据、人工智能等科技手段,搭建系统化、自动化管理工具体系,自动收集数据信息,自动识别、评估、计量、监测、应对风险,实现风险管理全流程的自动高效智能运转。
“实时”即借助大数据、物联网、云计算等科技手段,实现对风险信息快速捕捉,实时响应、分析、应对风险,避免出现风险管控缺位或滞后。
“精准”即借助区块链、大数据、人工智能等科技手段,通过优选机器学习算法、进行交叉验证、强化模型监控等途径,精准识别、计量、排序风险,使风险决策、应对更加准确有效。
“敏捷”即借助人工智能等科技手段,实现风险管理体系自身能主动学习、自我快速迭代,不断进行高效的短周期的改进、提高和调整,使得风险感知、风险计量、风险应对等能力不断自我完善。
概括而言,这四大特征是全面风险管理不断增强科技属性而带来的工作质效提升的具体表现。
在接下来的“AI+”时代,处于智能金融价值网中的未来银行风险管理将具备“自动、实时、精准、敏捷”的特点,借助科技因素的快速发展演进,深度融入银行业务全流程、嵌入客户全场景,通过前台APP服务引流导入、中台API开放连接客户、后台智能风险管理的模型应用和组件化调用实现敏捷的风险管理。并且,基于智能金融价值网这个基础设施,未来银行将有力提高信用挖掘能力、全面融入能力、无感服务能力、生态赋能能力、合规管理能力、智能风控能力,成为未来银行的价值体现和核心竞争力。
成就未来银行的“免疫系统”
看不见的风险往往是最大的风险,因为这说明可能这种风险根本没有在我们的考虑和认知范围内。而在突如其来的考验下,全面风险管理将成为未来银行的“免疫系统”,它的基因源于“信用发现”,活力来自于科技赋能,运行受到《巴塞尔协议》的约束激励。
基因:源于信用发现
近几年,各类科技公司纷纷进入金融领域,凭借着科技优势开展金融业务,蚕食着传统商业银行的市场,这种趋势是否意味着金融科技公司将取代商业银行。
1982年,时任美国明尼阿波利斯联邦储备银行主席的杰拉德·科里根在发表的《Banks Special》中指出,银行的特殊之处是可以同时存款和放款,并具备四种中介功能——面额中介、风险中介、期限中介以及资讯中介。我们认为,无论金融业和金融工具的形式如何变迁,银行的这四个中介功能都不会有任何改变,它们还是特别的存在。任何一家机构只要具备了这些中介功能,就算它的名字不是银行,也必须受到与银行同样的约束。
虽然一些金融科技公司曾经说过,我们并不需要成为银行,只需要具备银行的功能,但其实他们并不了解银行。这些金融科技公司实际上只具有上述四种中介功能的一部分,如果有一家公司同时具有了这四大功能,那它就是银行。我们永远离不开银行的中介功能,虽然现在的市场创新、资源竞争,导致银行的地位受到了挑战,但随着监管力度的逐步加强,一些非银机构提供银行服务的能力也将受到限制。就像阿里、腾讯这样中国最优秀的科技公司,也分别组建了网商银行和微众银行,从一定的角度证明了,单纯的金融科技公司并不能彻底消灭银行以及银行的中介功能。
架构:遵循ERM(2017)管理理念
2017年是企业风险管理(ERM)发展史上引人注目的一年,这一年COSO对ERM:2017《企业风险管理框架(终稿)》实施了版本更新。ERM(2017)风险管理框架在“内控视角”的ERM(2004)的风险管理体系基础上有了颠覆性的变化,真正从企业“管理”视角对风险管理体系进行规划,更新力度堪称是一种“革命性或颠覆性”的调整,体现了2007年金融危机之后全球企业管理和企业风险管理领域最新发展成果。ERM(2017)的主要理念变化包括:
第一,更新了“风险”和“风险管理”的定义。ERM(2017)将风险定义为事项发生并影响战略和商业目标实现的可能性。同时定义了“事项”是一个事项或一组事项,强调了风险不是一个单维度的影响,需要从多维度、组合的层面来看风险。ERM(2017)将“风险管理”定义为组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践。这与ERM (2004)将风险管理工作视为“一个流程、程序”相比,有了颠覆性的变化。
第二,从“控制体系”发展为“管理体系”。ERM(2004)仍然是在COSO内部控制报告基础上的升级和扩充,风险管理与内部控制的重合度非常高,这导致了近年来企业在风险管理实践中对内部控制和风险管理概念和界限的混淆。ERM(2017)澄清了对风险管理和内部控制关系的误解,认为企业风险管理远不止内部控制,它还涉及其他主题,如战略制定、企业治理、与利益关联方的沟通、绩效评估等。ERM(2017)将企业风险管理定义为像一种文化、能力和实践一样,风险管理是存在于组织和员工意识范畴、贯穿于业务流程、对战略绩效发挥作用的管理机制。
第三,强调风险管理和企业价值之间的紧密关联。ERM(2017)认为,实施风险管理并不是为了满足监管和合规要求,而是要从企业使命、愿景和核心价值出发,将风险管理定位为提升企业的价值和绩效的手段,强调将其嵌入企业管理业务活动和核心价值链,满足企业更高层次的需求。这种理念突出了风险管理不是侧重在防止对企业价值的侵蚀和降低负面风险,而是应被视为战略设定和抓住机遇、创造和保持组织价值不可或缺的一部分,是动态管理组织整个价值链的一环。
活力:来自科技赋能
只有借助金融科技手段,商业银行才能真正落实“全面风险管理”,提升对“黑天鹅”突发事件,以及“黑天鹅”转化为“灰犀牛”的企业级风险应对能力,运用大数据、人工智能技术,进行市场风险和客户风险的智能识别、动态定价和全实时自动化机器审批。
近年来,商业银行对金融科技投入重金,努力实施数字化转型。从最初的模仿电商平台公司开办银行电商平台,到把大量中小银行汇聚起来形成“银银平台”,再到目前通过API技术把银行服务端口嵌入到客户端和客户生活场景,中国银行业的组织架构和服务模式一直在发生巨变,其中金融科技对改变传统金融业的鲶鱼效应必不可少。而在其中,我们注意到以下三个重要问题:
科技创新带来新风险。科技的创新发展,一方面将在未来为银行赋予新功能并注入无以替代的发展新动力,另一方面也正在为银行带来众多极具挑战的新风险。
首先是新技术发展不成熟的风险。譬如以深度学习为代表的AI技术,其模型很可能隐藏着“偏好”风险、缺陷风险,甚至可能有把“错误当真理训练”的风险,或存在易被扰动的鲁棒性风险,以及由于AI尚不具备理解能力所以无法自主解决新问题的能力孤岛风险。
科技创新的核心价值在于“先机”二字,银行要想抢得领先红利,就必须学会“火中取栗”,主动拥抱和应对新技术存在的不成熟风险。
科技还存在“小错不犯,一犯错就是‘黑天鹅”的风险。例如,美股这一轮史无前例的过山车行情,与算法交易的盛行高度相关。尤其,当银行及金融市场主体高度数字化后,银行所面临的风险链条将变得空前的错综复杂,风险传导方式和蔓延模式将发生根本性变化;科技风险与银行业务本来存在的本源风险将可能发生双重叠加;稍有不慎,便会由此引发系统性风险。
其次,新科技会带来法律风险、伦理风险的挑战。未来世界里,将存在人与人、人与机器、机器与机器之间等多种关系形态,其交互是基于智能合约的,一旦产生风险,如何从法律上界定责任主体,将在未来新科技环境下成为一个重要的问题。而深度学习等技术如同黑盒子般的不可解释性,更是增加了责任主体界定的难度。
科技创新还会带来很多其他的风险。比如,科技推动去中心化潮流,在传统的中心化金融体系里充当“信用中介”的银行,面临角色重新定位的风险;又比如,科技创新存在偶然性大、技术路线难以提前规划的风险;再比如,尖端科技有被负面利用的风险,“深度造假”已接近以假乱真;此外,各种银行设施、资产高度数字化后都将面临网络攻击风险,潜在损失风险不可低估;而海量数据里则可能蕴藏着合规风险、隐私权风险。
银行在未来必须建立起驾驭科技风险的量化风险管理模式,不可让科技风险游离于银行整体的数字化风险管理体系之外。
科技赋能银行风险管理的驱动因素。银行之所以能够实现“自动、实时、精准、敏捷”,背后很重要的一个驱动因素将是业务数字化和智能化转型大潮下“银行仿真云平台”的出现。“银行仿真云”将使得在线上完成对银行端到端的全面仿真成为可能,银行实时创新业务模式实时变现风险机会将不再停留在梦想层面。在银行仿真云平台上,银行的新风险评估、压力测试、监管要求、业务创新等,都可以基于仿真的方式完成。仿真是完全数字化的节奏,在仿真平台上,银行人员可以在模型工作坊进行风险计量模型的查询、开发、测试、发布,还可以按照比现实时间快数万倍的速度运行,还能通过并行方式实现“跑批”仿真,即一次性同步仿真大量的风险因素或风险情景。依托银行仿真云,银行面对各种新状况时,对背后的新风险因素的计量将能在极短时间内达到足够精准的程度,由此实时做出风险评价,迅速展开各种形式的风险计算,及时推广各种风险应用,将彻底破解银行及银行业务迭代创新速度不够敏捷的老问题。
科技赋能监管带来新变化。随着科技的不断发展,商业银行的科技元素越来越多,与此相应的,对商业银行的监管也应进行科技赋能,在监管科技方面应该不断强化。监管科技的核心技术主要包括云计算、大数据、人工智能、区块链和API等五大领域。
随着科技的不断发展,监管科技的应用场景有很多。比如:通过用户身份识别,发现和阻止可疑的交易行为;通过市场交易行为监控,发掘关联账户的异常操作;通过合规数据报送渠道的数字化,提高效率,降低成本;通过智能化的监管法规信息跟踪与分析,提升合规能力;通过风险数据融合分析实现对系统性风险的洞察等。
监管科技應用给金融行业监管带来了新的特征:一是更加敏捷化,能够充分利用云计算技术,实现相关应用的快速部署,对错综复杂的数据组进行快速解耦和组合。二是更加实时化,能够实时监控各种指标数据,及时生成报告和解决方案;提高风险识别和处置能力,及时处理风险事件,提高事中监管的效率。三是更加智能化,高效快速地识别风险,并对监管数据进行挖掘,释放数据潜力;智能掌握监管尺度,制定合规要求。四是更加标准化,实现监管数据的共享性和数据结构的统一性;对监管合规数据形成统一的标准,实现宏观监管和机构内部监管的统一。五是更加数字化,新技术的应用实现了报告数字化和合规流程自动化,能够快速收集和分析处理复杂的数据,实现由了解客户(KYC)到了解数据(KYD)的转变。
在科技赋能监管之外,沙盒机制将成为平衡监管与科技的新支点。一方面,沙盒机制能够有效缓解金融科技创新需求旺盛与监管资源有限的矛盾,提高监管部门的容忍度和试错空间,助力创新产品走向市场。另一方面,银行的创新成果推向市场前,可以在缩小版的真实市场、宽松版的监管环境里接受检验,充分发挥沙盒在新技术、新业务模式方面的风险化解功能,降低金融科技创新的合规成本。
运行:《巴塞尔协议》约束激励
《巴塞尔协议》的风险管理思路是以资本作为抵御风险的手段,通过风险识别和计量技术判断商业银行的各种风险是否在其资本可以承受的范围内,根据资本约束采取各种风险缓释方法锁定损失、争取资本收益最大化,再辅以资本充足率评估、压力测试、监督检查与市场纪律,强化内外部的监督约束。
因而,从《巴塞尔协议》的角度来看,资本对于商业银行有着特殊的意义。不同于从事商业运营的普通企业,银行业务很大程度上依赖于对资本的运用,通过各类风险投资,获取差额收益。在银行运行中,除了使用有限的自有资金外,更多的是通过吸收社会的流动性(例如存款以及通过各类金融市场业务获得短期资金)进行各类资产业务,在扣除资金成本和营运成本后从中盈利。在日常运用中,按照相关法规,商业银行往往更多地依赖吸纳外部资金来从事更高收益(同时也承担更高风险)的非传统类业务。因此,一旦遇到重大經济动荡,对商业银行来说,其面临的风险不仅仅是经营失败导致自身本金的损失,更需要面对无法兑付从第三方吸纳的资金的风险。然而,一旦银行流动性出现危机,不仅会严重影响高风险业务的存续,更会导致银行因为丧失兑付能力,而让低风险的传统业务萎缩,甚至让低风险承担能力的储户面对危机。这一点是银行作为“社会经济发动机”的角色而言最大的结构性风险,也是金融监管最大的关注点。
为了防止这种情况出现,商业银行就需要留存一定量的资本来抵补随时可能产生的风险。但如果资本留存太多,由于机会成本的存在,会导致资金浪费;如果资本留存过少,银行破产的概率就会变大。因此,商业银行在经营过程中的风险管理问题本质上就是资本管理的问题,即商业银行业务经营过程中,在利用资本盈利的同时要评估自己能承担多少风险,怎样在收益和风险之间做一个有效的平衡。
资本管理对未来银行仍然重要。未来银行的发展方向是数字化转型、场景化融入、平台化协作、生态化拓展、敏捷化组织等,在日常的经营活动中注入科技动能。但未来银行无论朝着哪个方面发展,其本质仍旧没有变,始终要遵守《巴塞尔协议》的规定,运用金融科技手段更精准有效地进行资本管理,以保证商业银行可持续经营,在收益和风险之间平衡。
未来银行的“据守与求变”
未来银行只有在坚守不变的本质中,谋求顺应时代的变化,做到在不变中求变,才能在未来的竞争中脱颖而出、笑到最后。
从风险管理来看,我们认为未来银行必须在两个方面做出改变。一方面,要增强科技属性。未来银行风险管理必须注入以A(人工智能)、B(区块链)、C(云计算)、D(大数据)、5G与物联网(IOT)为代表的强大科技动能,提高风险管理的质效。另一方面,要更新管理理念。作为主导现代风险管理发展方向的最具代表性的国际力量,美国反虚假财务报告委员会发起组织委员会(COSO)于2017年9月发布了《企业风险管理——融入战略和绩效》(ERM,2017)。未来银行风险管理应当引入ERM(2017),将风险管理融入到银行战略和绩效管理中。
与此同时,银行风险管理在改变中要注意把握本质属性,银行的金融基因和监管底线不能变。作为商业银行,无论其服务客户方式是实体网点还是场景化融入,也无论其所依赖的管理技术是线下人工方式还是线上智能化,商业银行信用中介的核心本质始终不变,仍然是作为市场中的信用中介为信用两端的客户提供服务;与之相适应,商业银行经营管理遵循监管要求的合规本质也不能改变。
(本文内容基于作者撰写的中国金融出版社出版的《未来银行全面风险管理》〔NFI新金融书系〕一书)
(作者赵志宏系渤海银行董事会秘书、首席风险管理官、行长助理,金鹏系建设银行湖北省分行副行长)