面對日益激烈的同業競爭與日趨復雜的經營環境,城市商業銀行(以下簡稱“城商行”)必須持續地提升和保持風險管理能力的先進性――這是構筑競爭優勢和保障銀行價值最大化的基石。為此,如何建立健全風險管理體系,特別是構建包括組織體系和管理體制在內的最佳風險管理模式就是當前城商行發展的當務之急,也是一項長期而艱巨的任務。本文在對國內數十家城商行調研基礎上,根據銀監會、巴賽爾新資本協議有關商業銀行風險管理要求和指引,借鑒國內外先進風險管理模式,研究并提出了一種“垂直與集中型”模式的全面風險管理體系,以對全面提高城商行風險管理水平做出一些有益的探索。
一、當前風險管理中普遍存在的問題
了解目前城商行風險管理現狀特別是存在的問題,是制定和完善風險管理體系的前提。從調研情況看,存在的問題主要有:
1.風險管理模式散亂。各類風險分別由不同的部門行使,缺乏集中化和統一化管理。同時,也沒有對分支機構風險管理形成一致性的管理制度。
2.風險管理職責不清。許多部門既是風險管理者同時又是風險承擔者和生成者,融“裁判員與運動員于一身”,缺乏風險管理責任界定與權限的合理分配。
3.風險管理職能弱化。風險管理職能專門化、專業化不夠,特別是風險管理中對分支機構和其他部門的組織、協調和控制不夠。
4.董事會作用不夠突出。風險管理職能過度集中于經營層,董事會缺乏職能化和專門化管理手段,其作為風險管理有效性最終責任人的作用沒充分體現。
5.內部審計監督薄弱。內部審計在配合董事會職能有效實施方面作用欠缺,特別是在評價和促進風險管理與內部控制有效性和健全性方面的作用沒有很好的發揮出來。
6.風險管理零碎化。由于缺乏統一、集中的風險管理體系和綱領性的制度安排,不同類型的風險管理決策出自不同的部門,且之間缺乏密切的聯系和充分的溝通。
7.風險管理不全面。風險管理側重于后臺管理,沒有將其作為信貸決策、風險敞口限額控制、貸款定價、資本資源配置的有力工具。存在將風險片面地等同為違規和損失以及將風險管理簡單地理解為控制等問題。
8.內控管理機制不完善。內部控制還不能完全適應防范和化解經營風險的需要,不少制度規定缺乏操作性,內控規章流于形式。
二、構建全面風險管理體系的基本原則
基本原則在于明確構建風險管理體系的基本要求,主要包括:
1.合法性原則。風險管理應符合國家有關法律法規及監管機構的監管要求。
2.完整性原則。風險管理應覆蓋城商行總行及分支機構所有部門、崗位和人員,并滲透到具體業務過程和環節。
3.適應性原則。風險管理應結合城商行經營管理現狀,并能根據需要適時修改完善。
4.協同性原則。風險管理應與城商行戰略規劃以及資本實力和能夠承擔的總體風險水平相一致,在確保資本充足率以及在強化撥備工作管理和經濟資本考核管理體系下,建立有效覆蓋損失的風險管理戰略。
5.前瞻性原則。風險管理應借鑒國內外商業銀行風險管理先進經驗,并反映出巴賽爾新資本協議要求以及監管機構最新監管標準,特別是銀監會《關于中國銀行業實施新監管標準的指導意見》。
6.清晰性原則。風險管理應建立起一個職責清晰、權責明確的風險管理機制,這既包括董事會與高級管理層之間的明確權責分工,又包括具體的風險管理部門、業務部門、監督部門獨立、明確的職責規定。
7.流動性原則。有效的風險管理需要建立一個完善的信息流動系統,進而在城商行內部形成一個有效的信息溝通渠道――包括信息上報、信息下達及內部信息的橫向流動。
三、全面風險管理體系的構成
根據COSO對全面風險管理定義,“全面風險管理是一個過程,這個過程受董事會、管理層和其他人員的影響,從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在因素并管理風險,使之在企業的風險偏好之內,從而確保企業取得既定的目標。”全面風險管理是由內部環境、目標設定、風險識別、風險評估、風險對策、控制活動、信息和交流、監控等方面要素構成。這些要素相互獨立、相互聯系又相互制約,共同構成了全面風險管理體系(實際上是對內部控制框架的進一步細化)。據此,全面風險管理體系的構成應包括:
1.風險管理組織架構與管理體制。建立分工合理、職責明確、關系清晰的風險管理組織架構與管理體制是風險管理的基本制度,也是風險管理有效性的基礎,涉及董事會、高級管理層職責分工;風險管理基本政策;崗位設立等方面。
2.風險管理隊伍。通過有效的人力資源管理、業務培訓、風險文化教育與績效考核,打造一支訓練有素的員工隊伍是風險管理的核心。
3.風險與內部控制。針對信用風險、操作風險等風險類型形成風險確認、評估與控制的制度、方法和程序;依據風險確認與評估建立適合風險管理要求的內部控制并采取適當的控制措施。
4.信息與溝通。充分的風險信息與及時的溝通是風險管理的一項基礎工作,如此才能迅速有效地防范和化解風險,確保各項業務按照既定的目標進行。
5.審計與監督。內外部審計以及眾多相關部門都可根據各自不同的職責,實施不同屬性的監督,這是全面風險管理必不可少的組成部分。
6.科技保障。為強化風險管理提供必備的硬件、軟件(技術)支撐。
上述構成因素,符合一個完整的內部控制體系的基本內容。
需要明確的是,全面風險管理體系在于建立一個責權分明、平衡制約、運作有序的風險管理基本制度(不涉及具體業務、規則、流程和手冊指南等方面的風險管理指導)。為此,應首先明確治理層風險管理責任,即應在明確董事會和高級管理層職責基礎上形成適當的組織架構和管理體制,以此構建和推行全行的風險管理政策、方法和程序。
四、“垂直與集中型”風險管理組織架構與管理體制①
本文提出的“垂直與集中型”風險管理組織架構與管理體制,突出了董事會在確保風險管理有效性上的最終責任,提出董事會下設風險管理委員會、審計委員會,對全行風險管理進行總括性監督。在此基礎上,還應考慮以下策略:
1.分層管理。即用風險管理的決策、管理、監督職能分別賦予不同層次的機構(部門),形成金字塔型的組織架構。特別是應對原有的局限于單一城市的管理流程重新進行梳理和調整,按總、分、支三級管理架構對相應職能部門的設置進行調整,確保各層級間的有效對接。
2.相對集中。即統一管理全行的風險管理政策、制度、程序,在日常管理中也應加強對各類風險的統一管理,特別是構筑風險管理部門的強大支持平臺。
3.關口前移。即把風險的日常監控職能直接設置在分支機構中的業務經營部門,體現風險管理與業務管理平行作業的特征。
4.有效性管理。即著力解決的城商行總行與分支機構之間信息不對稱以及分支機構執行力和管理效率等問題。
本文所構建的“垂直與集中型”風險管理組織架構與管理體制②,具體包括縱向和橫向兩個方面:
之一:縱向――“垂直型”模式
縱向,即在總行層面,按決策系統、管理系統和分支機構三個層次構建“三道防線”式的從高至下的垂直管理模式。最高層在董事會或其相關委員會,最低層在分支機構,中間實施環節分布在分行風險總監以及其他一系列垂直管理環節中(諸如集中授權管理等)。該模式如圖1所示:
“三道防線”的含義是:
第一道防線:由分支機構構筑。總行前移風險管理關口,在分行設置由總行派出的風險管理崗位(風險總監),負責對分行經營管理中所涉及的各類風險進行日常監測、評估和管理并向風險管理部門報告,最終向總行首席風險官報告工作。與此同時,分行按風險管理條線設置相應的風險管理職能部門。
第二道防線:由高級管理層構筑。總行設立首席風險官,同時在其之下設立專門履行風險管理職能的部門,具體制定并實施識別、計量、監測和控制風險的制度、程序和方法。
總行分別設立風險管理部和合規部,與其他業務部門和管理部門保持獨立,直接向首席風險官負責。
第三道防線:由董事會構筑。突出董事會在風險管理上的最終責任,并通過審計部門來確保董事會職能的有效性。
這一模式中,內部審計設立在審計委員會之下,以此強化董事會監督職責;在高級管理層設立專職履行風險管理的崗位“首席風險官”③;把各類風險統一歸于風險管理部門(風險部和合規部)管理④;分支機構風險管理機構與職能與總行相對應,其中分行設立的“風險總監”起到承上啟下作用,以保證總行風險管理的統一性和可控性。
風險管理的獨立性、集中化和專業化是垂直管理模式的基本特征,垂直管理也是一種改革趨勢。比如,中國建設銀行在一級分行風險總監和二級分行風險主管全部到位的基礎上,縣級支行風險經理實行派駐制。
之二:橫向――“集中型”模式
橫向,在于合理劃分風險管理部門與業務管理部門之間風險管理的界線,建立并完善各部門之間信息交流與分工協作機制。這一模式,是以風險控制為主線,按職責分離和相互制衡的原則,將風險管理的決策、執行、監督和評價等職能分別賦予不同部門,從而保證風險管理的完整性和有效性。
一方面,該模式強調把各類風險統一歸于風險管理部門(分為風險部和合規部兩個部門)實施集中化管理。風險管理部門根據董事會制定的風險管理戰略,負責制定、審查和監督適用于全行的風險管理政策、程序和具體操作規程,指導和協調全行范圍內的風險管理,明確界定各部門風險管理職責以及風險報告的路徑、頻率、內容,督促各部門切實履行職責,以確保風險管理制度的正常運行。
其中,風險部是總行所設立的專職風險(主管信用風險、市場風險、流動性風險等風險)管理部門,向首席風險管報告工作。該部門與其他部門保持獨立,確保全行范圍內風險管理的一致性和有效性。合規部是總行所設立的專職風險(主管操作風險、合規風險)管理部門,向首席風險管報告工作。設立合規部門在于加強經營管理活動事前與事中的過程控制,建立規范統一的合規性檢查工作規則,提高各類檢查效率和效果。盡管操作風險的問題和后果多由銀行內部發現與處置,而合規風險的問題和處置多由外部監管部門和司法部門決定,但兩者都強調的是“遵守性”和“合規性”,即對既定規則和制度的遵循,在現實中兩者又都存在相互糅合和相似的一面。目前在城商行發生的一些案件中,絕大多數都是有章不循、違章操作的結果,含有操作風險和合規風險雙重性質。所以為了更有效的兼管這兩類風險,可把操作風險與合規風險統一歸于合規部管理。
城商行總行或分支機構也可根據業務發展和風險狀況和只設立風險管理部的情況下,在其中設立專門的合規管理崗,并在時機成熟或條件具備時再按部門設立。目前,由單獨的合規部門而不是內審部門對合規性進行評估的趨勢正在增強。
另一方面,這一模式強調業務管理部門在風險管理上的重要性。這些部門負責本部門和本業務條線風險管理的日常工作,對本部門和本業務條線的風險管理負第一責任。具體來說,各業務部門是全行統一風險管理政策的執行者和實施者,在制定本部門業務流程和相關業務政策時,應充分考慮風險管理和內部控制的要求,落實、執行風險管理政策、制度,并定期或不定期向負責風險管理的部門或牽頭部門通報本部門風險管理情況。與此同時,這些部門還是特定的風險管理者和承擔者,同樣也是風險管理部門和審計部門的監督對象,其在管理好本部門風險的同時,還要接受其他部門的監督與評價。
風險管理部門與業務管理部門之間存在密切的相互聯系。業務管理人員應準確識別關鍵環節風險問題,及時向風險管理部門報告、咨詢,主動進行動態風險回顧。風險管理部門則應積極主動地識別、評估和監測潛在的各類風險,給出適當建議后主動向上級反映,并跟蹤其發展。
上述安排可用圖2表示:
與此同時,這一模式特別強調內部審計的獨立監督與評價作用。獨立性表現在審計部既要獨立于被審計的活動,也要獨立于日常的內部控制程序。其職責集中在主要監督業務管理部門對風險管理政策和制度的落實與執行情況,同時對風險管理部和合規部實施再監督,對其工作和內控的有效性做出評價,并提出改進意見。內部審計是持續監測城商行內控制度及風險管理有效性的一部分,因為內部審計可以為城商行制定的政策及流程是否適當和合規提供獨立的評估。內審部門可以在開展工作時使用各個控制部門報告的信息,同時負責對業務部門的專業監督進行再監督。
以上安排可用圖3表示:
最后需要說明的是,無論從銀監會一系列風險管理指引還是從城商行制度建設的實際情況看,全面風險管理體建設始終是一項長期、艱巨的工作。而在這一過程中,董事會始終承擔著主要的決策與推動任務。所以董事會應負責“風險管理組織架構與管理體制”的基本規劃和起草工作;在做好這一工作的基礎上,其余風險管理的制度性建設才能夠有條不紊、邏輯一致的進行。
