延展新闻 > 正文

浅谈农发行强化全面风险管理的思考

2018-12-29 09:13 来源: 新华网

风险防控,是银行业的一个永恒主题。党的十九大报告指出,要“守住不发生系统性金融风险的底线”,对银行风险防控提出了更高更严的要求。开展覆盖全部风险类别和全员、全程、全局的全面风险管理,是防控风险的根本措施。从前台业务条线、风险管理条线、内部审计条线三个方面来构建“三道防线”,是银行业开展全面风险管理的通行做法。第一道防线,各个业务条线,主要关注日常风险管理,识别各业务领域的风险并采取防控措施;第二道防线,风险管理部门,侧重制定风险管理制度流程,在第一道防线的基础上对风险进行集中管理,监督和协调整个风险管理框架的有效性和完整性;第三道防线,内部审计机构,按期进行审计,与业务部门和风险管理部门保持独立,对风险管理框架、体系的有效性和真实风险状况提供独立的审计结论和管理意见。

但要真正有效落实全面风险管理,除了常规的部门职责划分的三道防线外,在布防格局上,还必须明确董事会、监事会、高管层的领导职责划分;在防线运行上,还必须通过业务执行、监控、考评三道火力的发挥来实现;在防线合成上,还必须通过分工、制衡、协同三个方向来增强实效;在防线理念上,还应当探索从被动管理到主动管理、主导管理,以创新思维引领全面风险管理水平的提升。

也就是说,“三道防线”还需要升级强化,才能有效发挥风险防控作用。

一、提升领导层级,理顺部门职责,强化“三道防线”布局

1.监管当局的要求:

监管当局对银行业金融机构全面风险管理的要求明确:银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构,明确董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分工,建立多层次、相互衔接、有效制衡的运行机制。这意味着,全面风险治理架构首先要体现在董事会、监事会、高级管理层三个方面,其次才是体现在业务部门、风险管理部门和内审部门三个方面。即,三道防线的布防,需在领导层面的职责和部门层面的职责中都要体现。

2.农发行领导层面的三道防线设置:

由于历史的原因,农发行以前比较重视部门层面的风险管理职责划分,领导层面本身没有按照《公司法》和银行业法律法规的要求构建到位,领导层面的风险管理职责划分也相应不明。对此,有必要在尽快将董事会、监事会、高级管理层组建到位的基础上,把董事会、监事会、高级管理层的风险管理职责予以明确,确保对风险管理工作保持强大的领导力量。

3.农发行三道防线的部门职责划分——监管要求和现状:

对于三道防线的部门职责划分,监管当局要求“银行业金融机构应当确定业务条线承担风险管理的直接责任;风险管理条线承担制定政策和流程,监测和管理风险的责任;内审部门承担业务部门和风险管理部门履职情况的审计责任”。对农发行,除了上述要求外,监管当局还专门要求“加强对分支机构业务条线、风险条线和内部审计条线的垂直管理,设立独立于业务经营条线的全面风险管理职能部门”。对农发行垂直管理的特别强调,是因为农发行直接依托于国家信用和农发行业务的政策性对操作的灵活性构成制约,因此要求农发行实行更加严格的政策控制,制约下级单位和人员的自主灵活性。

农发行在《全面风险管理体系建设规划纲要》中明确:(1)业务条线作为第一道防线,承担业务条线职责范围内风险管理的直接责任,负责在本部门、本条线组织实施相应的风险管理政策、制度和流程办法;在项目调查、评估、审查过程中提供以客户为基础的风险识别、计量、监测、分类信息,及时报告和防控本部门、本条线的各类风险。(2)各类风险的归口管理部门作为第二道防线,承担监测、督导和检查风险的责任,并分别明确了战略风险、信用风险、市场风险、操作风险、流动性风险、信息科技风险、声誉风险、国别风险的归口管理部门;其中,风险管理部门是全面风险管理的牵头部门,履行全面风险的日常管理。(3)内部审计部门作为第三道防线,承担业务部门和风险管理部门履职情况的审计责任。

4.农发行三道防线的部门职责划分——参考和建议:

可以看出,农发行的这种风险管理部门职责划分中,“各类风险的归口管理部门作为第二道防线”,与监管当局“设立独立于业务经营条线的全面风险管理职能部门”的要求是不完全吻合的。

鉴于此,建议强化风险管理职能部门的第二道防线职责,确立其全面风险管理的牵头部门和主力部门的地位,在推进风险计量与信息系统开发、验证,识别、计量、监测和控制各类重要风险并报告风险变化及管理情况,持续监控风险偏好、风险限额以及其他风险管理政策和程序的执行情况,组织开展风险评估,及时发现风险隐患和管理漏洞,开展资产风险分类、计提损失准备之外,增加明确三点:(1)风险管理部门管理授信总额(亦即管理风险限额);(2)风险管理部门实施经济资本配置;(3)风险管理部门对单个客户突破风险限额的,对其用信事项行使否决权。即,扩大风险管理部门的职能职责,赋予更大的控制和管理权限;相应地,将“各类风险的归口管理部门”回归到第一道防线。

归口管理部门回归第一道防线,是基于职能部门在风险管理防线上的站位。信用风险、操作风险实际上涉及四道防线——前台客户部门、中台审查部门或内控合规部门、风险管理部门、内部审计部门。根据各部门在决策过程中的不同立场站位和不同考核导向,它们之间呈现不同的组合。如建设银行曾实行风险总监垂直管理并对信贷事项拥有一票否决权,此时信用审批部门与客户部门实际上都属于风险管理的第一防线,因为它们在信贷事项中的立场是一致的,而与风险管理部门则是不一致的。如按农发行现行职能布局,业务条线和归口管理部门实际上处于同一站位,上级行的业务归口管理部门与其业务条线的出发点、目标、标准是相同的,“各类风险的归口管理部门作为第二道防线,承担监测、督导和检查风险的责任”,实际上这种第二道防线对第一道防线不能构成制约。

风险管理部门管理授信总额,则是基于信用风险管理中前台客户部门、中台审查部门、风险管理部门的在信贷事项中权限和流程的不同。其逻辑是:既然资本(无论是监管资本还是经济资本)是银行持有来覆盖业务风险的,那么由风险管理部门来管理资本配置就是顺理成章的;而授信总额(包括区域授信总额、客户授信总额)又是风险限额的总控,因此,风险管理部门管理资本配置与管理授信总额,也是顺理成章的。这样,无论中台审查部门与前台客户部门站在一起,还是与风险管理部门站在一起,都能适应。这一逻辑具有较好的参考价值。

对于市场风险和操作风险的管理,则各家银行的布局基本上都是一致的,即各业务部门,无论前台、中台、后台,都处于第一道防线,风险管理和内部审计部门则分别处于第二、第三道防线。

通过合理布局风险管理三道防线,实现风险管理体系的系统化、规范化、集约化。

二、提升执行、监控、考评力度,加强制衡与协同,确保“三道防线”有效运行

如果说三道防线的布局还是静态的安排的话,三道防线的运行则更需要动态的力度和技巧。

1.第一道防线在运行中要重在制度执行和条线检查:

第一道防线的关键是针对操作风险,运行的关键是制度执行。

各级业务经营机构、业务管理部门和每个员工在承担业务工作的同时也承担着风险管理的责任,是风险管理的第一责任人。在第一道防线,应强调各业务岗位和职能条线对业务过程实时控制和自我评估。要按照法律、法规和有关制度、流程的规定从事业务工作,对业务流程中的风险主动进行识别、评估、控制、报告,针对薄弱环节及时进行整改,实现“自己管自己”。要通过自我学习、自我培训、自我评估、自我检查、自我整改来履行业务经营过程中的自我风险控制职能。

第一道防线当然不能仅仅依靠每个岗位的员工自身,各业务条线还必须就本条线业务,对条线员工进行指导检查,履行内部控制职能,确保本条线下级服从了上级的指令、条线服从了制度的规定、操作符合流程规范。但由于条线上下实际上是站在相同的角度的,因此这种条线检查仍然属于第一道防线内的运行活动。通过第一道防线发挥自查纠偏,不断提高业务条线防范风险的自觉性和主动性,达到风险防控关口前移的目的。

这里涉及到操作风险的“条线”归属问题,即上级行法律合规部门对于其他部门条线的合规工作,是否也构成条线?笔者认为,判断是否构成条线,主要看其间的责任关系,如法律合规部门要对下级单位的合规情况负责,则上下级构成条线,如法律合规部门只对下级合规情况进行检查而不对下级的不合规情况负责,则不构成条线。为此,建议我行应明确法律合规部门要对下级的合规情况负责,这样,法律合规部门就不属于合规风险的第二道防线,而属于合规风险的第一道防线,有利于增强合规管理的条线责任,增强防控操作风险的前线力量。或者,由于合规操作在各项业务中的普遍性、重要性,建议将合规管理部门与风险管理部门一道纳入风险管理第二道防线,对个业务条线进行合规检查,但不对业务条线的合规情况承担责任。

2.第二道防线在运行中要重在风险状况监测和过程检查:

第二道防线即风险管理部门,在运行中关键是确保风险计量、评估、监测、报告的及时性、真实性、准确性,检查风险识别、计量、评估、监测、报告过程的合规性,并针对风险情况采取相应措施,包括调整授信总额、调整风险损失准备、发出整改指令,对第一道防线的风险管理工作进行指导和监督。

在其他银行的实践中,如中国银行将各职能部门对下级对口业务部门的指导、检查和监督纳入第二道防线,由各级风险管理部门及业务条线部门履行内部控制和风险管理职能,第二道防线通过制定内部控制和风险管理的政策、标准和要求,为第一道防线提供内部控制和风险管理的方法、工具、流程,促进内部控制和风险管理的一致性和有效性。将上级业务条线部门纳入第二道防线,与风险管理部门一道负责对业务一线的风险管理进行指导和检查,其实质是认为上级业务条线与风险管理部门在出发点、落脚点、标准掌握上是一致的。但实际上,上级业务条线与本条线下级在这些方面是一致的,与风险管理部门则未必一致,实际运行中将削弱上级业务部门的风险管理责任,同时削弱风险管理部门的独立性。

鉴于监管当局对农发行风险管理独立性、垂直性的重视和强调,我行风险管理第二道防线的运行应与第一道防线有所隔离。上级业务部门对业务条线的指导检查,属于执行情况的指导检查,与风险管理部门开展的风险检查是有不同的,风险管理部门的检查重点在于检查风险管理工作落实情况,检查风险披露的真实性、准确性和报告的及时性,而业务条线检查的重点在于业务制度执行情况、条线的内部控制情况。两者的最大差别是站位的不同导致的取向的不同,上级业务部门对业务条线检查后的直接后续是整改完善,确保上下一致并合规,而风险管理部门检查后的直接后续是调整风险计量、调整授信总额、调整风险损失准备,当然也会提出整改要求,但这与业务条线的整改要求是有差别的。

反映在实际工作中,在业务条线开展定期不定期检查之外,风险管理部门还应独立开展风险识别、计量、报告工作情况检查和风险状况检查确认,并据此调整风险限额(授信总量)和资本配置(损失准备)。

3.第三道防线在运行中要重在再监督和评价

第三道防线强调内部审计部门对业务一线操作及业务条线管理进行再监督和评价,发现问题督促及时采取相应措施;同时对风险管理部门对风险状况的识别、计量、报告、应对工作进行再监督和评价。

审计部门的审计应当主要包括三个大的方面:业务经营结果(包括信贷、财务、风险状况)真实性审计,业务合规性审计,问责审计。其中的业务经营结果真实性审计,也就是对业务经营的考评,包括对风险管理的评价。

4.三道防线的合成,要重在保证独立性与增强协同性之间的平衡:

组织效率既来源于分工,更来源于协同,这是管理学基本原理。在风险管理三道防线的运行中,三道防线之间既相对独立,又需要协同配合。

前面的部门职责划分和各自运行重点,已有利于保证三道防线之间的独立性,因此这里应同时考虑,如何在独立性的基础上增强协同性。第一道防线是基础,是前线,是战果与损失的形成端;第二道防线是总揽,是后方支持,是战果统计,第二道防线不替代第一道防线,而是对第一道防线实施检查、监督和指导,确保第一道防线的有效性,同时为第三道防线开展再检查、再监督和评价提供基础;第三道防线是保障,是督战队,是战果确认,并向董事会、监事会、高级管理层提供改进建议。三道防线的目标都是为业务经营保驾护航,确保实现风险调整后收益最大化。

在同一目标之下,理论上是容易协同的,但由于实际运行中各自归于不同的考核条块,要增强协同性,还应具备微观动力基础。为此,建议:对业务条线,以风险调整后收益水平为考核内容;对风险管理部门,以风险识别、计量、报告的真实性、准确性、及时性为考核内容,风险调整后收益水平和风险识别、计量、报告的真实性、准确性、及时性均以内部审计结论为准;而对内部审计部门,则以审计发现问题情况为考核内容,同时将经审计的风险调整后收益水平和风险识别、计量、报告的真实性、准确性、及时性的平均水平,纳入审计部门考核得分,从而在考核机制上保证三道防线之间有足够的动力实现工作协同。

三道防线的概念并不影响前、中、后台分离和其他制约原则,各职能部门的职责不变,只是更加明确了董事会、监事会、高管层对风险管理的领导责任,以及各业务条线和职能部门的责任划分、运行方式和制衡协同关系,更有利于形成有组织、有规范、有控制、有考评的风险管理体系。

三、从被动管理、到主动管理、到主导管理——风险管理“三道防线”的创新思维

1.风险管理的基本态度:被动管理、主动管理、主导管理

从银行业的历史来看,对待风险的态度、管理风险的措施、处置风险的手段有一个演进过程。最早的风险管理基本上都是基于风险发生后的应对处置,包括不良贷款的清收处置、损失覆盖、资本金保障等。随着对风险认识的深化,风险不再是偶然发生的、届时需要应对的特殊情况,而是银行业经营过程中一种随时存在的情况,因此风险管理也进入常态化,从风险出现后的应对处置,向前推进到业务入口处的主动防控,以及无论风险是否出现都预做准备的拨备管理,也就是进入主动管理风险的阶段。

当前,随着银行业务的进一步发展,以及风险管理经验、技术的进一步积累、成熟,银行风险管理逐步进入到银行主动进行选择、设计、优化的自主引导型管理阶段。尤其是随着网络技术的发展和成熟,银行基于大数据筛选、分析、判断的智能化风险管理,成为未来发展的一大趋势。

2.其他银行现代风险管理“三道防线”的探索和演进:

国内主要商业银行的风险管理,自21世纪初股份制改革以来,都经历了从偏重风险管控、到偏重灵活竞争、到业务发展与风险防控平衡的变迁,其风险管理“三道防线”也随之经历变化。

如中国工商银行2005年股份制改革后,针对以前不良贷款频发的弊端,重点狠抓信用风险管理,除设立风险管理部之外,设立了专门的授信业务部门承担信用风险控制职能,独立于信用审批部门,对区域、客户的授信额度,亦即风险限额,进行独立控制,从总量上控制风险分布和风险集中,同时管理押品价值评估,掌握覆盖风险的第二来源。这就等于设立了两个风险管理部门,或者两个信用审批部门,将风险管理的第二道防线重叠于信用审批之上,一方面加强了信用审批的严密程度,有利于风险的分散化,但另一方面导致职能重叠,随着股改后贷款质量逐步稳定好转,这种布局的低效率的一面开始显现。对此,工商银行于2013年开始启动内部体制调整,将风险管理涉及的多个部门整合为风险管理板块,形成营销管理、风险管理、综合管理和支持保障四大板块,风险管理职能进一步整合和加强,同时与业务经营部门的独立性进一步增强。

再如中国建设银行2004年股份制改革后,为了增强风险管理的独立性,实行了垂直和平行相结合的风险管理模式,“垂直”即由首席风险官、风险总监、风险主管、风险经理组成的独立的风险报告线,“平行”即由风险经理和客户经理共同参与贷前评估、客户评级、贷款申请等各个业务环节的平行作业方式,以期风险管理由置身流程之外向融入流程转变,实现风险经理、客户经理“四只眼”共同看客户、看市场、看风险。但这种方式的弊端在于,在基层经营层面,风险管理与业务经营并未真正独立,反而容易形成风险经理与客户经理共谋,以至于该行在2012年前后爆发若干重大案件或风险事件,第二道防线与第一道防线在双方都负责、双方都不负责的格局下同时失效。近年,建设银行针对这一问题,对风险管理体系再次进行改革,由原有的更多地强调垂直风险条线对风险负责,转变为强调各级机构党委对风险负全责,充分发挥分行党委在领导和推动分行经营与风险管理方面的核心作用;在岗位流程设置上,由原有的更多地强调风险经理、审批人的风险制衡,转变为强调信贷经营岗位、授信岗位、审批人各自履责、做好风险收益平衡,切实落实全员风险管理理念。

总结若干大型银行近年在风险管理体制改革方面的动向,都是在既有利于保持市场竞争力、又有利于防控风险这两者之间,根据时代背景、市场条件、监管要求、自身资源、技术工具、法制手段的变化,相机调整,各有侧重。一个大的倾向是设立利润中心,将业务发展与风险管理在利润中心之内进行平衡,双方的独立性都受到一定程度的抑制,而更多地导向追求利润,或者更准确地说,追求风险调整后的利润最大化。如工商银行2014年后压缩整合原有部门,形成营销管理、风险管理、综合管理和支持保障四大板块,利润中心则增至11个。利润中心的实质就是在适度业务范围和规模内实现业务发展与风险防控的平衡,由中心向上级负总责,中心内部不再对口上级部门进行条块分割,中心内部的风险管理三道防线趋向于合一。

尤其是随着国家层面的全社会信用体系建设的逐步深入,随着法治建设的推进,银行利用大数据管理风险的技术更趋成熟,利用多道防线相互制约的风险管理,将逐步让位于基于全维度风险信息的智能化综合管理模式。

3.农发行风险管理“三道防线”的创新思维:

由于农发行作为政策性银行的特殊性,在执行国家政策和适应市场变化两方面因素的共同作用之下,业务发展、经营状况、制度调整、运行方式等等,都比商业银行显得滞后和“稳重”,这是可以理解的。尽管如此,我们仍有必要借鉴商业银行的最新发展,对未来的业务经营管理进行一定的规划,包括对未来风险管理进行探索。

一是坚持和优化风险管理“三道防线”。强化以“三道防线”为核心的风险管控机制,根据农发行对经营管理稳健性的追求以及监管当局对农发行垂直管理的重视,进一步加强纵向风险管理。建议建立以“首席风险官—风险总监—风险主管—风险经理”为主线的垂直风险管理架构,在一级分行层面试行派驻风险总监,直接向总行首席风险官汇报,下设风险管理派驻团队,其人员任用、调配和考核实行垂直管理。建立层级负责的责任体系,确保分支机构的“一把手”不仅要对利润目标负责,还要对安全运营和健康持续发展负责。

二是进一步细化实化风险识别与预防。对于信用风险、市场风险,在对不同客户进行风险识别的基础上,从源头对风险进行主动的选择和取舍,建立包括行业、区域、产品、客户等多维度的信贷政策体系,厘清风险边界,明确选择标准,确保业务选择处于边界之内,不越雷池一步。明确信贷准入退出标准,建立客户备选名单和等级分类,实行名单制管理。优化信用评级和债项评级系统,把信用等级和债项评级作为授信业务决策依据。针对不同类型客户的风险特征,基于对PD、LGD的计量,采取不同的管理策略和交易结构,利用风险转移、风险补偿、风险缓释和风险对冲等一系列机制和手段,实现风险的主动安排。对于操作风险,提升科技防控能力,有效利用非现场监控,通过实时交易和重点监测等方式,由电子信息工具帮助识别、筛查风险点,监控员工行为和业务操作,发现不合规线索。

三是做实资本管理,牵住风险管理的“牛鼻子”。监管当局已经明确,对农发行要“强化资本约束”,“制定风险管理及资本管理战略”,保证“所承担的市场风险水平应当与市场风险管理能力和资本实力相匹配”。据此,农发行应当逐步加强资本管理,在争取财政投入、其他股东投入、利润留存转增资本的基础上,合理规划资本运用。通过经济资本配置,控制风险限额(授信总额),以经济资本配置引导和约束业务发展;考核分支机构监管资本达标情况和经济资本利润率,用经济的手段引导业务发展方向,通过对各项业务进行风险计量和分配,推动业务转型,发现和抓住轻资本、风险权重低的新业务机会,推动风险收益水平和价值创造能力的提升。改进贷款损失准备计提方式,在现行按贷款品种性质和风险分类结果计提损失准备的基础上,根据担保情况对正常类贷款进一步细化,分别适用不同的损失计提标准,真正体现低风险贷款低资本占用。

四是利用现代信息技术手段,提升科学选择风险、主动经营风险的能力。整合现有客户及关联方信息,利用人民银行征信系统、银监会客户风险统计系统的相关信息,研发“风险雷达”系统,通过对行内外风险数据的深度整合,实现“单一客户风险查询”、“全量客户风险扫描”、“客户家族谱系一览”功能,为风险管理提供详尽、及时、准确的风险信息资源。逐步扩大挖掘其他信息资源,如法院诉讼信息、裁判信息、执行信息,工商行政管理信息,社会信用管理机构信息等,研发智能化风险分析、风险计量、风险报告系统,占据风险管理信息的主动权、产品设计的主动权、客户行为管理的主动权,实现对客户行为的主动引导,从而实现对风险的主导管理。(农发行厦门市分行 杨麟斐)


集成阅读

热点推荐