楊肅昌

【摘要】 文章介紹了一種城市商業(yè)銀行全面風險管理模式。首先分析了當前城市商業(yè)銀行風險管理中存在的普遍性問題，然后提出了構建全面風險管理體系的基本原則和構成因素，最后從創(chuàng)新的角度重點闡述了一種“垂直與集中型”模式的風險管理組織架構與管理體制。

【關鍵詞】 城市商業(yè)銀行；風險管理；內部控制；內部審計

面對日益激烈的同業(yè)競爭與日趨復雜的經(jīng)營環(huán)境，城市商業(yè)銀行（以下簡稱“城商行”）必須持續(xù)地提升和保持風險管理能力的先進性——這是構筑競爭優(yōu)勢和保障銀行價值最大化的基石。為此，如何建立健全風險管理體系，特別是構建包括組織體系和管理體制在內的最佳風險管理模式就是當前城商行發(fā)展的當務之急，也是一項長期而艱巨的任務。本文在對國內數(shù)十家城商行調研基礎上，根據(jù)銀監(jiān)會、巴賽爾新資本協(xié)議有關商業(yè)銀行風險管理要求和指引，借鑒國內外先進風險管理模式，研究并提出了一種“垂直與集中型”模式的全面風險管理體系，以對全面提高城商行風險管理水平做出一些有益的探索。

一、當前風險管理中普遍存在的問題

了解目前城商行風險管理現(xiàn)狀特別是存在的問題，是制定和完善風險管理體系的前提。從調研情況看，存在的問題主要有：

1.風險管理模式散亂。各類風險分別由不同的部門行使，缺乏集中化和統(tǒng)一化管理。同時，也沒有對分支機構風險管理形成一致性的管理制度。

2.風險管理職責不清。許多部門既是風險管理者同時又是風險承擔者和生成者，融“裁判員與運動員于一身”，缺乏風險管理責任界定與權限的合理分配。

3.風險管理職能弱化。風險管理職能專門化、專業(yè)化不夠，特別是風險管理中對分支機構和其他部門的組織、協(xié)調和控制不夠。

4.董事會作用不夠突出。風險管理職能過度集中于經(jīng)營層，董事會缺乏職能化和專門化管理手段，其作為風險管理有效性最終責任人的作用沒充分體現(xiàn)。

5.內部審計監(jiān)督薄弱。內部審計在配合董事會職能有效實施方面作用欠缺，特別是在評價和促進風險管理與內部控制有效性和健全性方面的作用沒有很好的發(fā)揮出來。

6.風險管理零碎化。由于缺乏統(tǒng)一、集中的風險管理體系和綱領性的制度安排，不同類型的風險管理決策出自不同的部門，且之間缺乏密切的聯(lián)系和充分的溝通。

7.風險管理不全面。風險管理側重于后臺管理，沒有將其作為信貸決策、風險敞口限額控制、貸款定價、資本資源配置的有力工具。存在將風險片面地等同為違規(guī)和損失以及將風險管理簡單地理解為控制等問題。

8.內控管理機制不完善。內部控制還不能完全適應防范和化解經(jīng)營風險的需要，不少制度規(guī)定缺乏操作性，內控規(guī)章流于形式。

二、構建全面風險管理體系的基本原則

基本原則在于明確構建風險管理體系的基本要求，主要包括：

1.合法性原則。風險管理應符合國家有關法律法規(guī)及監(jiān)管機構的監(jiān)管要求。

2.完整性原則。風險管理應覆蓋城商行總行及分支機構所有部門、崗位和人員，并滲透到具體業(yè)務過程和環(huán)節(jié)。

3.適應性原則。風險管理應結合城商行經(jīng)營管理現(xiàn)狀，并能根據(jù)需要適時修改完善。

4.協(xié)同性原則。風險管理應與城商行戰(zhàn)略規(guī)劃以及資本實力和能夠承擔的總體風險水平相一致，在確保資本充足率以及在強化撥備工作管理和經(jīng)濟資本考核管理體系下，建立有效覆蓋損失的風險管理戰(zhàn)略。

5.前瞻性原則。風險管理應借鑒國內外商業(yè)銀行風險管理先進經(jīng)驗，并反映出巴賽爾新資本協(xié)議要求以及監(jiān)管機構最新監(jiān)管標準，特別是銀監(jiān)會《關于中國銀行業(yè)實施新監(jiān)管標準的指導意見》。

6.清晰性原則。風險管理應建立起一個職責清晰、權責明確的風險管理機制，這既包括董事會與高級管理層之間的明確權責分工，又包括具體的風險管理部門、業(yè)務部門、監(jiān)督部門獨立、明確的職責規(guī)定。

7.流動性原則。有效的風險管理需要建立一個完善的信息流動系統(tǒng)，進而在城商行內部形成一個有效的信息溝通渠道——包括信息上報、信息下達及內部信息的橫向流動。

三、全面風險管理體系的構成

根據(jù)COSO對全面風險管理定義，“全面風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響，從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在因素并管理風險，使之在企業(yè)的風險偏好之內，從而確保企業(yè)取得既定的目標?！比骘L險管理是由內部環(huán)境、目標設定、風險識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控等方面要素構成。這些要素相互獨立、相互聯(lián)系又相互制約，共同構成了全面風險管理體系（實際上是對內部控制框架的進一步細化）。據(jù)此，全面風險管理體系的構成應包括：

1.風險管理組織架構與管理體制。建立分工合理、職責明確、關系清晰的風險管理組織架構與管理體制是風險管理的基本制度，也是風險管理有效性的基礎，涉及董事會、高級管理層職責分工；風險管理基本政策；崗位設立等方面。

2.風險管理隊伍。通過有效的人力資源管理、業(yè)務培訓、風險文化教育與績效考核，打造一支訓練有素的員工隊伍是風險管理的核心。

3.風險與內部控制。針對信用風險、操作風險等風險類型形成風險確認、評估與控制的制度、方法和程序；依據(jù)風險確認與評估建立適合風險管理要求的內部控制并采取適當?shù)目刂拼胧?/p>

4.信息與溝通。充分的風險信息與及時的溝通是風險管理的一項基礎工作，如此才能迅速有效地防范和化解風險，確保各項業(yè)務按照既定的目標進行。

5.審計與監(jiān)督。內外部審計以及眾多相關部門都可根據(jù)各自不同的職責，實施不同屬性的監(jiān)督，這是全面風險管理必不可少的組成部分。

6.科技保障。為強化風險管理提供必備的硬件、軟件（技術）支撐。

上述構成因素，符合一個完整的內部控制體系的基本內容。

需要明確的是，全面風險管理體系在于建立一個責權分明、平衡制約、運作有序的風險管理基本制度（不涉及具體業(yè)務、規(guī)則、流程和手冊指南等方面的風險管理指導）。為此，應首先明確治理層風險管理責任，即應在明確董事會和高級管理層職責基礎上形成適當?shù)慕M織架構和管理體制，以此構建和推行全行的風險管理政策、方法和程序。

四、“垂直與集中型”風險管理組織架構與管理體制①

本文提出的“垂直與集中型”風險管理組織架構與管理體制，突出了董事會在確保風險管理有效性上的最終責任，提出董事會下設風險管理委員會、審計委員會，對全行風險管理進行總括性監(jiān)督。在此基礎上，還應考慮以下策略：

1.分層管理。即用風險管理的決策、管理、監(jiān)督職能分別賦予不同層次的機構（部門），形成金字塔型的組織架構。特別是應對原有的局限于單一城市的管理流程重新進行梳理和調整，按總、分、支三級管理架構對相應職能部門的設置進行調整，確保各層級間的有效對接。

2.相對集中。即統(tǒng)一管理全行的風險管理政策、制度、程序，在日常管理中也應加強對各類風險的統(tǒng)一管理，特別是構筑風險管理部門的強大支持平臺。

3.關口前移。即把風險的日常監(jiān)控職能直接設置在分支機構中的業(yè)務經(jīng)營部門，體現(xiàn)風險管理與業(yè)務管理平行作業(yè)的特征。

4.有效性管理。即著力解決的城商行總行與分支機構之間信息不對稱以及分支機構執(zhí)行力和管理效率等問題。

本文所構建的“垂直與集中型”風險管理組織架構與管理體制②，具體包括縱向和橫向兩個方面：

之一：縱向——“垂直型”模式

縱向，即在總行層面，按決策系統(tǒng)、管理系統(tǒng)和分支機構三個層次構建“三道防線”式的從高至下的垂直管理模式。最高層在董事會或其相關委員會，最低層在分支機構，中間實施環(huán)節(jié)分布在分行風險總監(jiān)以及其他一系列垂直管理環(huán)節(jié)中（諸如集中授權管理等）。該模式如圖1所示：

“三道防線”的含義是：

第一道防線：由分支機構構筑。總行前移風險管理關口，在分行設置由總行派出的風險管理崗位（風險總監(jiān)），負責對分行經(jīng)營管理中所涉及的各類風險進行日常監(jiān)測、評估和管理并向風險管理部門報告，最終向總行首席風險官報告工作。與此同時，分行按風險管理條線設置相應的風險管理職能部門。

第二道防線：由高級管理層構筑?？傂性O立首席風險官，同時在其之下設立專門履行風險管理職能的部門，具體制定并實施識別、計量、監(jiān)測和控制風險的制度、程序和方法。

總行分別設立風險管理部和合規(guī)部，與其他業(yè)務部門和管理部門保持獨立，直接向首席風險官負責。

第三道防線：由董事會構筑。突出董事會在風險管理上的最終責任，并通過審計部門來確保董事會職能的有效性。

這一模式中，內部審計設立在審計委員會之下，以此強化董事會監(jiān)督職責；在高級管理層設立專職履行風險管理的崗位“首席風險官”③；把各類風險統(tǒng)一歸于風險管理部門（風險部和合規(guī)部）管理④；分支機構風險管理機構與職能與總行相對應，其中分行設立的“風險總監(jiān)”起到承上啟下作用，以保證總行風險管理的統(tǒng)一性和可控性。

風險管理的獨立性、集中化和專業(yè)化是垂直管理模式的基本特征，垂直管理也是一種改革趨勢。比如，中國建設銀行在一級分行風險總監(jiān)和二級分行風險主管全部到位的基礎上，縣級支行風險經(jīng)理實行派駐制。

之二：橫向——“集中型”模式

橫向，在于合理劃分風險管理部門與業(yè)務管理部門之間風險管理的界線，建立并完善各部門之間信息交流與分工協(xié)作機制。這一模式，是以風險控制為主線，按職責分離和相互制衡的原則，將風險管理的決策、執(zhí)行、監(jiān)督和評價等職能分別賦予不同部門，從而保證風險管理的完整性和有效性。

一方面，該模式強調把各類風險統(tǒng)一歸于風險管理部門（分為風險部和合規(guī)部兩個部門）實施集中化管理。風險管理部門根據(jù)董事會制定的風險管理戰(zhàn)略，負責制定、審查和監(jiān)督適用于全行的風險管理政策、程序和具體操作規(guī)程，指導和協(xié)調全行范圍內的風險管理，明確界定各部門風險管理職責以及風險報告的路徑、頻率、內容，督促各部門切實履行職責，以確保風險管理制度的正常運行。

其中，風險部是總行所設立的專職風險（主管信用風險、市場風險、流動性風險等風險）管理部門，向首席風險管報告工作。該部門與其他部門保持獨立，確保全行范圍內風險管理的一致性和有效性。合規(guī)部是總行所設立的專職風險（主管操作風險、合規(guī)風險）管理部門，向首席風險管報告工作。設立合規(guī)部門在于加強經(jīng)營管理活動事前與事中的過程控制，建立規(guī)范統(tǒng)一的合規(guī)性檢查工作規(guī)則，提高各類檢查效率和效果。盡管操作風險的問題和后果多由銀行內部發(fā)現(xiàn)與處置，而合規(guī)風險的問題和處置多由外部監(jiān)管部門和司法部門決定，但兩者都強調的是“遵守性”和“合規(guī)性”，即對既定規(guī)則和制度的遵循，在現(xiàn)實中兩者又都存在相互糅合和相似的一面。目前在城商行發(fā)生的一些案件中，絕大多數(shù)都是有章不循、違章操作的結果，含有操作風險和合規(guī)風險雙重性質。所以為了更有效的兼管這兩類風險，可把操作風險與合規(guī)風險統(tǒng)一歸于合規(guī)部管理。

城商行總行或分支機構也可根據(jù)業(yè)務發(fā)展和風險狀況和只設立風險管理部的情況下，在其中設立專門的合規(guī)管理崗，并在時機成熟或條件具備時再按部門設立。目前，由單獨的合規(guī)部門而不是內審部門對合規(guī)性進行評估的趨勢正在增強。

另一方面，這一模式強調業(yè)務管理部門在風險管理上的重要性。這些部門負責本部門和本業(yè)務條線風險管理的日常工作，對本部門和本業(yè)務條線的風險管理負第一責任。具體來說，各業(yè)務部門是全行統(tǒng)一風險管理政策的執(zhí)行者和實施者，在制定本部門業(yè)務流程和相關業(yè)務政策時，應充分考慮風險管理和內部控制的要求，落實、執(zhí)行風險管理政策、制度，并定期或不定期向負責風險管理的部門或牽頭部門通報本部門風險管理情況。與此同時，這些部門還是特定的風險管理者和承擔者，同樣也是風險管理部門和審計部門的監(jiān)督對象，其在管理好本部門風險的同時，還要接受其他部門的監(jiān)督與評價。

風險管理部門與業(yè)務管理部門之間存在密切的相互聯(lián)系。業(yè)務管理人員應準確識別關鍵環(huán)節(jié)風險問題，及時向風險管理部門報告、咨詢，主動進行動態(tài)風險回顧。風險管理部門則應積極主動地識別、評估和監(jiān)測潛在的各類風險，給出適當建議后主動向上級反映，并跟蹤其發(fā)展。

上述安排可用圖2表示：

與此同時，這一模式特別強調內部審計的獨立監(jiān)督與評價作用。獨立性表現(xiàn)在審計部既要獨立于被審計的活動，也要獨立于日常的內部控制程序。其職責集中在主要監(jiān)督業(yè)務管理部門對風險管理政策和制度的落實與執(zhí)行情況，同時對風險管理部和合規(guī)部實施再監(jiān)督，對其工作和內控的有效性做出評價，并提出改進意見。內部審計是持續(xù)監(jiān)測城商行內控制度及風險管理有效性的一部分，因為內部審計可以為城商行制定的政策及流程是否適當和合規(guī)提供獨立的評估。內審部門可以在開展工作時使用各個控制部門報告的信息，同時負責對業(yè)務部門的專業(yè)監(jiān)督進行再監(jiān)督。

以上安排可用圖3表示：

最后需要說明的是，無論從銀監(jiān)會一系列風險管理指引還是從城商行制度建設的實際情況看，全面風險管理體建設始終是一項長期、艱巨的工作。而在這一過程中，董事會始終承擔著主要的決策與推動任務。所以董事會應負責“風險管理組織架構與管理體制”的基本規(guī)劃和起草工作；在做好這一工作的基礎上，其余風險管理的制度性建設才能夠有條不紊、邏輯一致的進行。

【參考文獻】

［1］ 張吉光.城市商業(yè)銀行路在何方［M］.中國金融出版社，2011.

［2］ 歐陽剛.城市商業(yè)銀行問題研究:公司治理與發(fā)展戰(zhàn)略［M］. 中國經(jīng)濟出版社，2010.