楊肅昌

【摘要】 文章介紹了一種城市商業(yè)銀行全面風險管理模式。首先分析了當前城市商業(yè)銀行風險管理中存在的普遍性問題，然后提出了構(gòu)建全面風險管理體系的基本原則和構(gòu)成因素，最后從創(chuàng)新的角度重點闡述了一種“垂直與集中型”模式的風險管理組織架構(gòu)與管理體制。

【關(guān)鍵詞】 城市商業(yè)銀行；風險管理；內(nèi)部控制；內(nèi)部審計

面對日益激烈的同業(yè)競爭與日趨復(fù)雜的經(jīng)營環(huán)境，城市商業(yè)銀行（以下簡稱“城商行”）必須持續(xù)地提升和保持風險管理能力的先進性——這是構(gòu)筑競爭優(yōu)勢和保障銀行價值最大化的基石。為此，如何建立健全風險管理體系，特別是構(gòu)建包括組織體系和管理體制在內(nèi)的最佳風險管理模式就是當前城商行發(fā)展的當務(wù)之急，也是一項長期而艱巨的任務(wù)。本文在對國內(nèi)數(shù)十家城商行調(diào)研基礎(chǔ)上，根據(jù)銀監(jiān)會、巴賽爾新資本協(xié)議有關(guān)商業(yè)銀行風險管理要求和指引，借鑒國內(nèi)外先進風險管理模式，研究并提出了一種“垂直與集中型”模式的全面風險管理體系，以對全面提高城商行風險管理水平做出一些有益的探索。

一、當前風險管理中普遍存在的問題

了解目前城商行風險管理現(xiàn)狀特別是存在的問題，是制定和完善風險管理體系的前提。從調(diào)研情況看，存在的問題主要有：

1.風險管理模式散亂。各類風險分別由不同的部門行使，缺乏集中化和統(tǒng)一化管理。同時，也沒有對分支機構(gòu)風險管理形成一致性的管理制度。

2.風險管理職責不清。許多部門既是風險管理者同時又是風險承擔者和生成者，融“裁判員與運動員于一身”，缺乏風險管理責任界定與權(quán)限的合理分配。

3.風險管理職能弱化。風險管理職能專門化、專業(yè)化不夠，特別是風險管理中對分支機構(gòu)和其他部門的組織、協(xié)調(diào)和控制不夠。

4.董事會作用不夠突出。風險管理職能過度集中于經(jīng)營層，董事會缺乏職能化和專門化管理手段，其作為風險管理有效性最終責任人的作用沒充分體現(xiàn)。

5.內(nèi)部審計監(jiān)督薄弱。內(nèi)部審計在配合董事會職能有效實施方面作用欠缺，特別是在評價和促進風險管理與內(nèi)部控制有效性和健全性方面的作用沒有很好的發(fā)揮出來。

6.風險管理零碎化。由于缺乏統(tǒng)一、集中的風險管理體系和綱領(lǐng)性的制度安排，不同類型的風險管理決策出自不同的部門，且之間缺乏密切的聯(lián)系和充分的溝通。

7.風險管理不全面。風險管理側(cè)重于后臺管理，沒有將其作為信貸決策、風險敞口限額控制、貸款定價、資本資源配置的有力工具。存在將風險片面地等同為違規(guī)和損失以及將風險管理簡單地理解為控制等問題。

8.內(nèi)控管理機制不完善。內(nèi)部控制還不能完全適應(yīng)防范和化解經(jīng)營風險的需要，不少制度規(guī)定缺乏操作性，內(nèi)控規(guī)章流于形式。

二、構(gòu)建全面風險管理體系的基本原則

基本原則在于明確構(gòu)建風險管理體系的基本要求，主要包括：

1.合法性原則。風險管理應(yīng)符合國家有關(guān)法律法規(guī)及監(jiān)管機構(gòu)的監(jiān)管要求。

2.完整性原則。風險管理應(yīng)覆蓋城商行總行及分支機構(gòu)所有部門、崗位和人員，并滲透到具體業(yè)務(wù)過程和環(huán)節(jié)。

3.適應(yīng)性原則。風險管理應(yīng)結(jié)合城商行經(jīng)營管理現(xiàn)狀，并能根據(jù)需要適時修改完善。

4.協(xié)同性原則。風險管理應(yīng)與城商行戰(zhàn)略規(guī)劃以及資本實力和能夠承擔的總體風險水平相一致，在確保資本充足率以及在強化撥備工作管理和經(jīng)濟資本考核管理體系下，建立有效覆蓋損失的風險管理戰(zhàn)略。

5.前瞻性原則。風險管理應(yīng)借鑒國內(nèi)外商業(yè)銀行風險管理先進經(jīng)驗，并反映出巴賽爾新資本協(xié)議要求以及監(jiān)管機構(gòu)最新監(jiān)管標準，特別是銀監(jiān)會《關(guān)于中國銀行業(yè)實施新監(jiān)管標準的指導(dǎo)意見》。

6.清晰性原則。風險管理應(yīng)建立起一個職責清晰、權(quán)責明確的風險管理機制，這既包括董事會與高級管理層之間的明確權(quán)責分工，又包括具體的風險管理部門、業(yè)務(wù)部門、監(jiān)督部門獨立、明確的職責規(guī)定。

7.流動性原則。有效的風險管理需要建立一個完善的信息流動系統(tǒng)，進而在城商行內(nèi)部形成一個有效的信息溝通渠道——包括信息上報、信息下達及內(nèi)部信息的橫向流動。

三、全面風險管理體系的構(gòu)成

根據(jù)COSO對全面風險管理定義，“全面風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響，從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在因素并管理風險，使之在企業(yè)的風險偏好之內(nèi)，從而確保企業(yè)取得既定的目標?！比骘L險管理是由內(nèi)部環(huán)境、目標設(shè)定、風險識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控等方面要素構(gòu)成。這些要素相互獨立、相互聯(lián)系又相互制約，共同構(gòu)成了全面風險管理體系（實際上是對內(nèi)部控制框架的進一步細化）。據(jù)此，全面風險管理體系的構(gòu)成應(yīng)包括：

1.風險管理組織架構(gòu)與管理體制。建立分工合理、職責明確、關(guān)系清晰的風險管理組織架構(gòu)與管理體制是風險管理的基本制度，也是風險管理有效性的基礎(chǔ)，涉及董事會、高級管理層職責分工；風險管理基本政策；崗位設(shè)立等方面。

2.風險管理隊伍。通過有效的人力資源管理、業(yè)務(wù)培訓(xùn)、風險文化教育與績效考核，打造一支訓(xùn)練有素的員工隊伍是風險管理的核心。

3.風險與內(nèi)部控制。針對信用風險、操作風險等風險類型形成風險確認、評估與控制的制度、方法和程序；依據(jù)風險確認與評估建立適合風險管理要求的內(nèi)部控制并采取適當?shù)目刂拼胧?/p>

4.信息與溝通。充分的風險信息與及時的溝通是風險管理的一項基礎(chǔ)工作，如此才能迅速有效地防范和化解風險，確保各項業(yè)務(wù)按照既定的目標進行。

5.審計與監(jiān)督。內(nèi)外部審計以及眾多相關(guān)部門都可根據(jù)各自不同的職責，實施不同屬性的監(jiān)督，這是全面風險管理必不可少的組成部分。

6.科技保障。為強化風險管理提供必備的硬件、軟件（技術(shù)）支撐。

上述構(gòu)成因素，符合一個完整的內(nèi)部控制體系的基本內(nèi)容。

需要明確的是，全面風險管理體系在于建立一個責權(quán)分明、平衡制約、運作有序的風險管理基本制度（不涉及具體業(yè)務(wù)、規(guī)則、流程和手冊指南等方面的風險管理指導(dǎo)）。為此，應(yīng)首先明確治理層風險管理責任，即應(yīng)在明確董事會和高級管理層職責基礎(chǔ)上形成適當?shù)慕M織架構(gòu)和管理體制，以此構(gòu)建和推行全行的風險管理政策、方法和程序。

四、“垂直與集中型”風險管理組織架構(gòu)與管理體制①

本文提出的“垂直與集中型”風險管理組織架構(gòu)與管理體制，突出了董事會在確保風險管理有效性上的最終責任，提出董事會下設(shè)風險管理委員會、審計委員會，對全行風險管理進行總括性監(jiān)督。在此基礎(chǔ)上，還應(yīng)考慮以下策略：

1.分層管理。即用風險管理的決策、管理、監(jiān)督職能分別賦予不同層次的機構(gòu)（部門），形成金字塔型的組織架構(gòu)。特別是應(yīng)對原有的局限于單一城市的管理流程重新進行梳理和調(diào)整，按總、分、支三級管理架構(gòu)對相應(yīng)職能部門的設(shè)置進行調(diào)整，確保各層級間的有效對接。

2.相對集中。即統(tǒng)一管理全行的風險管理政策、制度、程序，在日常管理中也應(yīng)加強對各類風險的統(tǒng)一管理，特別是構(gòu)筑風險管理部門的強大支持平臺。

3.關(guān)口前移。即把風險的日常監(jiān)控職能直接設(shè)置在分支機構(gòu)中的業(yè)務(wù)經(jīng)營部門，體現(xiàn)風險管理與業(yè)務(wù)管理平行作業(yè)的特征。

4.有效性管理。即著力解決的城商行總行與分支機構(gòu)之間信息不對稱以及分支機構(gòu)執(zhí)行力和管理效率等問題。

本文所構(gòu)建的“垂直與集中型”風險管理組織架構(gòu)與管理體制②，具體包括縱向和橫向兩個方面：

之一：縱向——“垂直型”模式

縱向，即在總行層面，按決策系統(tǒng)、管理系統(tǒng)和分支機構(gòu)三個層次構(gòu)建“三道防線”式的從高至下的垂直管理模式。最高層在董事會或其相關(guān)委員會，最低層在分支機構(gòu)，中間實施環(huán)節(jié)分布在分行風險總監(jiān)以及其他一系列垂直管理環(huán)節(jié)中（諸如集中授權(quán)管理等）。該模式如圖1所示：

“三道防線”的含義是：

第一道防線：由分支機構(gòu)構(gòu)筑?？傂星耙骑L險管理關(guān)口，在分行設(shè)置由總行派出的風險管理崗位（風險總監(jiān)），負責對分行經(jīng)營管理中所涉及的各類風險進行日常監(jiān)測、評估和管理并向風險管理部門報告，最終向總行首席風險官報告工作。與此同時，分行按風險管理條線設(shè)置相應(yīng)的風險管理職能部門。

第二道防線：由高級管理層構(gòu)筑?？傂性O(shè)立首席風險官，同時在其之下設(shè)立專門履行風險管理職能的部門，具體制定并實施識別、計量、監(jiān)測和控制風險的制度、程序和方法。

總行分別設(shè)立風險管理部和合規(guī)部，與其他業(yè)務(wù)部門和管理部門保持獨立，直接向首席風險官負責。

第三道防線：由董事會構(gòu)筑。突出董事會在風險管理上的最終責任，并通過審計部門來確保董事會職能的有效性。

這一模式中，內(nèi)部審計設(shè)立在審計委員會之下，以此強化董事會監(jiān)督職責；在高級管理層設(shè)立專職履行風險管理的崗位“首席風險官”③；把各類風險統(tǒng)一歸于風險管理部門（風險部和合規(guī)部）管理④；分支機構(gòu)風險管理機構(gòu)與職能與總行相對應(yīng)，其中分行設(shè)立的“風險總監(jiān)”起到承上啟下作用，以保證總行風險管理的統(tǒng)一性和可控性。

風險管理的獨立性、集中化和專業(yè)化是垂直管理模式的基本特征，垂直管理也是一種改革趨勢。比如，中國建設(shè)銀行在一級分行風險總監(jiān)和二級分行風險主管全部到位的基礎(chǔ)上，縣級支行風險經(jīng)理實行派駐制。

之二：橫向——“集中型”模式

橫向，在于合理劃分風險管理部門與業(yè)務(wù)管理部門之間風險管理的界線，建立并完善各部門之間信息交流與分工協(xié)作機制。這一模式，是以風險控制為主線，按職責分離和相互制衡的原則，將風險管理的決策、執(zhí)行、監(jiān)督和評價等職能分別賦予不同部門，從而保證風險管理的完整性和有效性。

一方面，該模式強調(diào)把各類風險統(tǒng)一歸于風險管理部門（分為風險部和合規(guī)部兩個部門）實施集中化管理。風險管理部門根據(jù)董事會制定的風險管理戰(zhàn)略，負責制定、審查和監(jiān)督適用于全行的風險管理政策、程序和具體操作規(guī)程，指導(dǎo)和協(xié)調(diào)全行范圍內(nèi)的風險管理，明確界定各部門風險管理職責以及風險報告的路徑、頻率、內(nèi)容，督促各部門切實履行職責，以確保風險管理制度的正常運行。

其中，風險部是總行所設(shè)立的專職風險（主管信用風險、市場風險、流動性風險等風險）管理部門，向首席風險管報告工作。該部門與其他部門保持獨立，確保全行范圍內(nèi)風險管理的一致性和有效性。合規(guī)部是總行所設(shè)立的專職風險（主管操作風險、合規(guī)風險）管理部門，向首席風險管報告工作。設(shè)立合規(guī)部門在于加強經(jīng)營管理活動事前與事中的過程控制，建立規(guī)范統(tǒng)一的合規(guī)性檢查工作規(guī)則，提高各類檢查效率和效果。盡管操作風險的問題和后果多由銀行內(nèi)部發(fā)現(xiàn)與處置，而合規(guī)風險的問題和處置多由外部監(jiān)管部門和司法部門決定，但兩者都強調(diào)的是“遵守性”和“合規(guī)性”，即對既定規(guī)則和制度的遵循，在現(xiàn)實中兩者又都存在相互糅合和相似的一面。目前在城商行發(fā)生的一些案件中，絕大多數(shù)都是有章不循、違章操作的結(jié)果，含有操作風險和合規(guī)風險雙重性質(zhì)。所以為了更有效的兼管這兩類風險，可把操作風險與合規(guī)風險統(tǒng)一歸于合規(guī)部管理。

城商行總行或分支機構(gòu)也可根據(jù)業(yè)務(wù)發(fā)展和風險狀況和只設(shè)立風險管理部的情況下，在其中設(shè)立專門的合規(guī)管理崗，并在時機成熟或條件具備時再按部門設(shè)立。目前，由單獨的合規(guī)部門而不是內(nèi)審部門對合規(guī)性進行評估的趨勢正在增強。

另一方面，這一模式強調(diào)業(yè)務(wù)管理部門在風險管理上的重要性。這些部門負責本部門和本業(yè)務(wù)條線風險管理的日常工作，對本部門和本業(yè)務(wù)條線的風險管理負第一責任。具體來說，各業(yè)務(wù)部門是全行統(tǒng)一風險管理政策的執(zhí)行者和實施者，在制定本部門業(yè)務(wù)流程和相關(guān)業(yè)務(wù)政策時，應(yīng)充分考慮風險管理和內(nèi)部控制的要求，落實、執(zhí)行風險管理政策、制度，并定期或不定期向負責風險管理的部門或牽頭部門通報本部門風險管理情況。與此同時，這些部門還是特定的風險管理者和承擔者，同樣也是風險管理部門和審計部門的監(jiān)督對象，其在管理好本部門風險的同時，還要接受其他部門的監(jiān)督與評價。

風險管理部門與業(yè)務(wù)管理部門之間存在密切的相互聯(lián)系。業(yè)務(wù)管理人員應(yīng)準確識別關(guān)鍵環(huán)節(jié)風險問題，及時向風險管理部門報告、咨詢，主動進行動態(tài)風險回顧。風險管理部門則應(yīng)積極主動地識別、評估和監(jiān)測潛在的各類風險，給出適當建議后主動向上級反映，并跟蹤其發(fā)展。

上述安排可用圖2表示：

與此同時，這一模式特別強調(diào)內(nèi)部審計的獨立監(jiān)督與評價作用。獨立性表現(xiàn)在審計部既要獨立于被審計的活動，也要獨立于日常的內(nèi)部控制程序。其職責集中在主要監(jiān)督業(yè)務(wù)管理部門對風險管理政策和制度的落實與執(zhí)行情況，同時對風險管理部和合規(guī)部實施再監(jiān)督，對其工作和內(nèi)控的有效性做出評價，并提出改進意見。內(nèi)部審計是持續(xù)監(jiān)測城商行內(nèi)控制度及風險管理有效性的一部分，因為內(nèi)部審計可以為城商行制定的政策及流程是否適當和合規(guī)提供獨立的評估。內(nèi)審部門可以在開展工作時使用各個控制部門報告的信息，同時負責對業(yè)務(wù)部門的專業(yè)監(jiān)督進行再監(jiān)督。

以上安排可用圖3表示：

最后需要說明的是，無論從銀監(jiān)會一系列風險管理指引還是從城商行制度建設(shè)的實際情況看，全面風險管理體建設(shè)始終是一項長期、艱巨的工作。而在這一過程中，董事會始終承擔著主要的決策與推動任務(wù)。所以董事會應(yīng)負責“風險管理組織架構(gòu)與管理體制”的基本規(guī)劃和起草工作；在做好這一工作的基礎(chǔ)上，其余風險管理的制度性建設(shè)才能夠有條不紊、邏輯一致的進行。

【參考文獻】

［1］ 張吉光.城市商業(yè)銀行路在何方［M］.中國金融出版社，2011.

［2］ 歐陽剛.城市商業(yè)銀行問題研究:公司治理與發(fā)展戰(zhàn)略［M］. 中國經(jīng)濟出版社，2010.