商业银行全面风险管理体系及其在我国的构建

1、商业银行全面风险管理体系及其在我国的构建黄宪 黄宪（1954），男，湖北省武汉市人，教授，博士生导师，经济学博士，从事商业银行经营管理研究，金鹏 金鹏（1976），男，湖北省新洲县人，金融学博士研究生，主要从事商业银行风险管理研究（武汉大学 商学院，湖北 武汉 430072）A Study on the Enterprise-wide Risk Management System in Banking and Its Setting-up in Chinese banksHUANG Xian， JIN Peng(Business School，Wuhan University，Wuhan 43

2、0072，China)摘 要：国际金融市场的深化与国际银行业的转型对银行风险管理提出了更高要求，新巴塞尔协议的颁布标志着银行风险管理进入了全面风险管理时代。本文构建了由八个模块组成的银行全面风险管理体系，在此基础上，结合我国商业银行实际情况，指出了我国商业银行构建全面风险管理体系面临的主要障碍，并提出了相应的解决对策。关键词：银行风险管理 全面风险管理体系 新巴塞尔资本协议Abstract: With the development of international financial market and the transformation of international active

3、banks，banks want more advanced risk management skills. The New Basel Capital Accord will be implemented in the year 2006，and the Enterprise-wide Risk Management (ERM) era is coming. The paper explores connotation and system of ERM in banking，and point out some major barriers to construct ERM for Chi

4、nese commercial banks. At last，the paper puts forward suggestion how Chinese commercial banks set up ERM framework.Key words: Risk Management in Banking；the Enterprise-wide Risk Management System；New Basel Capital Accord一、商业银行全面风险管理的产生和发展20世纪60年代以前，国际银行业风险管理原则是“只做好贷款”，强调保持资产的流动性，通过加强资信评估、项目调查、严格审批制度

5、、减少信用放款等各种措施和手段来减少、防范资产业务风险的发生1。20世纪60年代以后，商业银行被动负债方式向主动负债方式的转变，负债规模的扩大，极大地加大了银行经营的不确定性，商业银行风险管理的重点转向负债风险管理。20世纪70年代末，布雷顿森林体系崩溃，汇率、利率波动性急剧上升，市场竞争日趋激烈，单一的资产风险管理模式和单一的负债风险管理模式均不能保证银行安全性、流动性和盈利性的均衡。于是,风险管理发展到资产负债风险管理（asset-liability management，简称ALM）阶段，ALM突出强调对资产业务、负债业务风险的协调管理，通过资产结构、负债结构的共同调整，偿还期对称，经营

6、目标互相替代和资产分散实现总量平衡和风险控制。20世纪80年代之后，随着一些银行上市，投资者不仅关心资产回报率，更关心权益回报率，风险管理开始强调“净资产收益率（ROE）是目标”。同时，随着银行业竞争的加剧、存贷利差的变窄，出现了监管资本套利现象，美国大量储蓄和贷款机构因此大量倒闭，其结果是产生了1988年巴塞尔资本协议，国际银行业开始了资本充足性管理的理论和实践。随着利率市场化进程和衍生金融工具交易的迅猛增长，银行面临的市场风险日益增大，亚洲金融危机、巴林银行和大和银行倒闭等一系列银行危机都进一步昭示，损失不再是由单一风险造成，而是由信用风险和市场风险等多种风险因素交织作用而造成的。因此，1

7、996年巴塞尔资本协议对市场风险进行了补充，风险管理要求银行“对风险进行定价”，提高风险识别和规避能力。随着马克维茨的资产组合理论在银行业的应用，使得国际银行业能“像管理投资组合一样管理贷款”，这对银行风险管理能力和技术水平提出了更高的要求。2001年1月，在总结国际活跃银行风险管理经验的基础上，巴塞尔委员会公布了新巴塞尔资本协议(征求意见稿)，以期在2006年彻底取代现行的1988年协议。新协议全面继承了以1988年协议为代表的一系列监管原则，继续延续以资本充足率为核心、以信用风险控制为重点，将市场风险和操作风险纳入资本约束的范围3。新巴塞尔资本协议的推出，标志着现代商业银行风险管理出现了一

8、个显著变化，就是由以前单纯的信贷风险管理模式转向信用风险、市场风险、操作风险并举，信贷资产与非信贷资产并举，组织流程再造与技术手段创新并举的全面风险管理（the enterprise-wide risk management，简称ERM）。新协议极大的鼓励了国际活跃银行实施全面风险管理，在提升风险衡量技术、建立风险管理组织结构等方面进行了许多有益的探索，但全面风险管理的系统性和体系化仍然不强，难以指导商业银行风险管理实践。2003年7月，美国COSO COSO（the Committee of Sponsoring Organizations of the Treadway Commissio

9、n）特里德考察团资助委员会，是美国政府机构所组织的特别委员会，其主要职责是对美国经济监管部门，如财务监督、审计等部门进行建议性指导。在普华永道的协助下首次提出了企业全面风险管理框架报告，报告首次从体系上规范了企业全面风险管理的目标、要素和层次，将全面风险管理从理念发展到了实践操作层面。本文认为，将COSO报告和新巴塞尔协议相结合，就可以构建银行业的全面风险管理体系。可以预见，在银行理论和实务界的共同努力和探索下，银行全面风险管理理论及其策略必将得到进一步丰富和发展。二、商业银行全面风险管理的内涵与体系（一）商业银行全面风险管理的内涵在研究COSO报告和新巴塞尔资本协议的基础上，笔者认为，商业银

10、行全面风险管理是由若干风险管理要素组成的一个有机体系，这个体系可以将风险和收益、风险偏好和风险策略紧密结合起来，增强风险应对能力，尽量减小操作失误和因此造成的损失；准确判断和管理交叉风险，提高对多种风险的整体反应能力；最终，能根据风险科学分配经济资本，抓住商业机会，确保银行各项业务持续健康发展。具体而言，我们可以从以下几个方面理解银行全面风险管理：1. 银行全面风险管理是一个过程。风险管理不是一个独立的管理活动，也不是银行新增加的一项管理活动，它是渗透到银行经营管理活动中的一系列行为，内生于银行各项经营管理的流程之中，风险管理本身也有输入和输出的要素，具有规范的管理流程2。2. 银行全面风险管

11、理必须依靠全体员工。全面风险管理不仅意味着大量的风险管理政策、报告和规章，而且包含了银行各个层面员工的“知”和“行”，正是银行的董事会、管理层以及员工决定了风险管理文化、风险偏好、风险管理目标和政策，风险管理流程也必须依靠全体员工才能运行，强调全员风险管理至关重要。3. 银行全面风险管理涵盖了银行各层次的各类风险。根据巴塞尔新资本协议的划分，银行的各类业务风险都可以归结为信用风险、市场风险和操作风险三类风险。银行的全面风险，就是指由银行不同部门(或客户、产品)与不同风险类别(信用风险、市场风险、操作风险)组成的“银行业务风险矩阵”中涵盖的各种风险4（见表1）。全面风险管理就是要对所有影响银行目

12、标的风险进行系统识别、评估、报告和处置，它必须考虑银行所有层面的活动，从总行层面的战略规划和资源分配，到各业务单元的市场和产品管理，风险都应得到有效控制。表1 银行业务风险矩阵表（二）商业银行全面风险管理体系的模块与框架笔者认为，商业银行全面风险管理体系应由相互联系的八个模块（要素）组成，这八个模块分别是风险管理环境、风险管理目标与政策设定、风险监测与识别、风险评估、风险定价与处置、内部控制、风险信息处理和报告、后评价和持续改进，各模块具体内容如下：1. 风险管理环境。风险管理环境全面风险管理的基础，具体包括银行价值取向、管理风格、风险管理组织结构、风险管理文化等。其中，风险管理文化是全面风险

13、管理的核心，它影响到目标设定、风险识别和评估、风险处置等各个层面的活动；风险管理组织结构是全面风险管理得以实施的组织保障和支撑，风险管理职能必须保持一定独立性。 2. 风险管理目标与政策设定。风险管理必须能为银行管理层提供一种设定目标的科学程序，银行要将风险管理的要求贯穿于银行各项目标之中，通过选定风险偏好和风险容忍度，制定明确统一的风险管理政策，包括信用风险管理政策、市场风险管理政策、操作风险管理政策等，以实现风险管理和银行目标的紧密结合。3. 风险监测与识别。风险监测和识别包括通过贷后管理来监测和识别客户信用风险，跟踪国家宏观政策、行业状况、金融市场以及监管法规等有关情况识别市场风险和操作

14、风险。对风险的识别是准确度量风险的前提，银行必须通过监测系统保持对内外部事件的敏锐性，首先做出事件“是否是风险，是什么类型的风险”的判断，才能对风险程度和大小进行分析，并在此基础上进行风险预警和处置。4. 风险评估。风险评估可从定性和定量两个方面进行，但巴塞尔新资本协议颁布之后，风险测度偏重于定量分析，要求尽量数据量化地确定受险程度。在建立信用风险内部评级系统的基础上，银行应同样以VaR为核心度量方法建立市场风险评估系统，并努力将操作风险的内部计量包括进来，建立一体化的风险管理体系，使风险分析的结果能相互比较以利于决策，合理地在不同业务间配置经济资本5。5. 风险定价和处置。对于预期风险，可通

15、过风险定价和适度的拨备来抵御，对于非预期风险银行必须通过资本管理来提供保护，对于异常风险可采取保险等手段解决。银行可以资产组合管理消除非系统性风险，通过兼并来吸收风险，通过辛迪加贷款来分散风险，通过贷款出售、资产证券化等手段转移风险，通过衍生交易来对冲风险。6. 内部控制。银行应建立健全的内部控制体系以防范操作风险，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正，确保国家法律规定和商业银行内部规章制度的贯彻执行，确保操作的规范性和得到有效监督。7. 风险信息处理和报告。包括建立包括信贷信息、操作风险损失、市场风险信息等在内的数据库，通过信息处理系统保持数据库

16、更新，及时反应内外部风险信息等内容。银行要建立科学灵敏的风险报告制度，对银行的风险现状进行汇总、分析，对各种风险管理政策的实施效果进行分析，形成定期、不定期综合及专题报告，按照一定程序报送各级风险决策机构；要针对不同类型的风险来区分不同的报告渠道和风险报告的职责分工。8. 后评价和持续改进。银行风险管理部门应该对全行规章制度、信贷管理流程、风险管理流程的执行情况进行后评价，并建立相应的授权调整和问责制度，确保风险管理体系的运行。同时，风险管理部门应根据外部环境、监管当局要求以及后评价中发现的问题，对风险管理体系中有关内容提出调整和完善意见，由银行决策层来对全面风险管理体系进行持续改进。风险管理

17、体系的八个模块相互独立、相互联系又相互制约，共同构成了全面风险管理这一有机体系（如图1）。风险管理环境是全面风险管理的平台，风险管理理念和风险偏好影响决定了风险管理目标和风险管理政策的制定；风险管理目标与政策设定是风险识别、风险评估和风险应对的前提，具体风险管理战略和流程都要符合风险管理政策的要求，实现风险管理的目标；风险识别、风险评估、风险定价与处置是风险管理的具体实施流程，是对风险管理政策的细化和执行；内部控制是风险管理目标实现和风险管理流程有效运行的保障；风险信息处理和报告是保障银行全面实施风险管理的媒介，风险管理的各项活动都要形成风险信息并通过风险报告机制传递；后评价和持续改进是对风险

18、管理体系进行再控制和再完善，以保持风险管理体系的科学性和适宜性。后评价和持续改进内部控制风险管理目标和政策设定风险应对风险识别风险评估信息处理和报告风险管理环境风险环境风险环境图1 全面风险管理体系模块关系结合银行经营目标和组织结构，全面风险管理体系从整体框架上看有三个维度（如图2），第一维是银行的目标即战略目标、经营目标、报告目标和合规目标；第二维是全面风险管理的八个模块；第三维是银行的各个层级，包括银行整体、各分支机构、各条业务线及所属子公司。全面风险管理体系三个维度的关系是：全面风险管理的八个模块都是为四个目标服务的，银行各个层次都要坚持同样的四个目标，每个层次都必须从以上八个模块的方面

19、进行风险管理。风险管理环境战 略风险管理目标与政策设定风险监测与识别风险评估风险定价与处置内部控制风险信息处理和报告后评价和持续改进经 营报 告遵 循子公司业务部门分支机构银行整体层次图2 银行全面风险管理战略体系框架图图2 商业银行全面风险管理体系整体框架三、我国商业银行构建全面风险管理体系的主要障碍及努力方向(一) 我国商业银行构建全面风险管理体系面临的主要障碍1. 外部环境欠佳。目前，我国社会信用体系亟待建立与完善，由于信用评级行业目前还处于起步阶段，发展中普遍不够规范，存在问题较多，整体上难以达到国际认可的技术和管理标准，而且外部评级所覆盖的企业范围较小。同时，风险评估必须建立在企业或

20、个人所提供的真实数据基础上，然而在现有的社会信用环境下，这一点恰恰是难以保证的。据统计，2001年我国四大国有银行全部117万户贷款企业中，提供审计后财务报表的仅占总数的7.9%，而同期花旗银行高达33.4%。缺乏全面性、真实性财务和信用数据信息支撑，必然严重干扰风险评估的准确性，从而很大程度上对风险决策形成误导。2. 传统僵化的内部管理体制。脱胎于计划经济时代的中国银行业，特别是国有商业银行，由于深层次的金融产权制度改革进度缓慢，习惯于依靠计划指令，使用层层分解指标的方式控制风险暴露的惯性，还谈不上以国际活跃银行常用的风险评级、风险预警、资产组合分析和各类风险缓释技术进行风险管理。在内部管理

21、机制上，我国银行在机构上偏重于按行政职能设置岗位，缺乏创新性工作所需要的机动性和灵活性，而现行管理体制及绩效评价标准偏重于短期激励效应，对员工的价值积累重视不够，也不利于全面风险管理的深入研究和有效实践。3. 缺乏全面风险管理的平台支撑。由于目前我国商业银行还没有形成完整的全面风险管理平台，很难达到全面风险管理的要求。一是要实施全面风险管理，银行风险管理流程必须达到标准化的要求（如内部风险计量的结果必须用于风险定价和对业务利润部门的考核），但是目前国有商业银行由于在总、分行两个层次还没有清晰明确的利润承担部门，还难以用风险调整资本收益率（RAROC）系统进行绩效评估；二是风险组合管理是信用风险

22、管理的一个重要方面，国有商业银行还没有明确的组合风险管理部门；三是风险内部评级模型，必须每年经独立的内部审计部门审查，目前国有商业银行的内部审计部门还没有这项职能。4. 功能性风险经理的职权尚未独立。目前，我国商业银行一个风险管理人员可能既要负责信贷款审查、人员管理，又要负责制定制度、信贷流程设计、设计模型等多项职能。功能性风险经理的功能性职权（也称技术性职权），即确定操作的政策和标准的职权，未能从业务经理的业务职权中分离出来业务性职权业务经理依靠业务职权来决定“做”或“立即去做”；功能性职权也称技术性职权，由功能性经理决定“当你做这件事的时候，应该怎样去做”。我国商业银行如果不尽快跨越机构改

23、革阶段和流程标准化阶段，将功能性风险经理从业务经理中解脱出来，国有商业银行就难以培养自己的职能风险专家，全面风险管理的实施将难以得到有效支撑。（二）我国商业银行构建全面风险管理体系的努力方向实施全面风险管理，关键是要按照“基于价值的风险管理”理念，健全和优化风险管理的关键价值驱动要素，对各个业务层次、各种类型的风险进行综合管理，从全面风险管理体系的八个模块来看，我们具体应该采取以下措施：1. 有效改善内部风险管理环境。从风险管理文化来看，要营造全员风险管理文化，使风险管理目标、理念和习惯渗透于每个业务环节，内化为每位员工的自觉行为。从风险管理组织结构来看，风险管理部门应实现从单纯后台监管的角色

24、转换，风险管理的触角应全面延伸到各项业务经营部门和过程控制。从纵向来看，风险管理部门应实现自上而下的垂直管理，上级行风险管理部门直接负责下级行风险管理部门的考核、聘用与管理；从横向来看，风险管理部门在各业务部门设立风险管理窗口，各业务部门的风险管理窗口人员直接由同级行的风险管理部门进行考核、聘用与管理。2. 明确设定风险管理目标和政策。以战略目标为依据，在最高层面风险管理目标的设置过程中确定明确的风险偏好和容忍度，并将风险容忍度贯彻到中间层面和微观层面的目标设定过程中。例如，对单一客户的风险控制目标和综合赢利目标，可根据明确的风险偏好和容忍度，确定银行可接受客户的信用风险底线和利率定价等目标。

25、再如，根据风险偏好，对不同信用等级客户的信贷业务设定不同的经济资本分配系数。以各项经营目标为标尺，以风险报告目标为手段，建立对责任人的激励约束机制，对新增业务的预期损失进行提前计提，并在责任人的任职期间或所经办贷款的生命周期为奖惩的考核依据，逐步过渡到RAROC考核方式。3. 建立健全风险识别和监测系统。根据风险偏好、容忍度和设定的风险管理政策，制定风险识别管理要求和风险识别的工作流程，确定风险识别的精度、频度、深度和广度，设计风险识别、风险评估和风险应对管理办法，在风险识别上全面覆盖对单一与组合资产、宏观与微观以及内部与外部层面事件的有效识别和职责分工，并明确差别化的风险识别模式和反应机制。

26、在实施步骤上：首先，以战略、流程和业务活动为出发点，以风险偏好和风险容忍度为标杆，在全辖范围内，自下而上、由内到外对各类潜在风险因素进行全方位梳理，形成事件详细目录清单。其次，进行风险事件排序，形成KRI。最后，建立风险事件分类矩阵，筛选尚未有效进行管理的风险事件。4. 提高风险评估技术水平。在信用风险评估方面，实施“信用风险内部评级工程”，开发和改进对公信贷的风险评估工具，建立汽车贷款、个人住房按揭、信用卡和个人信用贷款方面的评分系统；在市场风险评估方面，开发系统化的市场风险评估工具，设置以风险价值为核心的市场风险限额体系，初步建立并逐步优化市场风险情景分析和压力测试模型6；在操作风险评估方

27、面，初期应建立操作风险评分卡，每半年进行一次评估计量，逐步创造条件建立操作风险内部衡量法 。在此基础上，改进和优化债项评级技术和方法，完善信贷风险减值准备测算方法，全面提升风险拨备的准确性和科学性；提高经济资本计量的准确性，启动自上而下的经济资本配置机制研究，逐步实现自下而上的经济资本配置程序，建立并完善基于风险的资本配置体系。5. 建立风险应对策略规划。我国商业银行要引入风险应对规划，明晰各类风险的应对政策，根据风险偏好和各类风险的特性，明确各风险应对措施的适用范围（如图3）。在信用风险领域，明确客户及项目准入标准，全面梳理审批政策，制定清晰统一的信贷政策；在明确的市场风险容忍度边界下，明确

28、各类市场工具、产品极其组合的应对策略；引入并启动操作风险和灾难性事件风险应对管理机制和决策流程。要补充细化、提炼和归纳风险应对策略的具体措施，通过在全行范围内收集成功的风险应对方案，对既往经验进行提炼和归类，形成对管理具有指导作用的不同应对策略下的具体应对措施方法体系，并建立并逐步优化风险应对决策程序，提高风险应对过程的科学性。事件发生概率避免低 影响程度 高降低风险被动接受转移主动接受图3 风险应对策略规划6. 运用过程方法，建立完善的内部控制体系。建立内部控制的“参与约束” “参与约束”指如果一个有理性的代理人有兴趣接受委托人设计的机制（参与博弈）时，代理人在该机制下得到的期望效用必须不小于他在不接受这个机制下得到的最大期望效用。，对各业务层面的关键风险点实施有效过程控制。在系统清理过去的规章制度，识别规章制度中的有效部分的基础上，运用“过程方法”和“管理的系统方法”，全面梳理业务和管理活动的过程网络，解决过去制度中矛盾、重复、交叉的内容，建立一整套系统的、透明的、包括操作要求与控制要求在内的体系化文件。逐步改变以公文为载体发布各种程序化业务和管理活动的模式，把所有的经营管理活动都纳入这种体系化、文件化内控管理。7. 建立风险信息处理和报告机制。整合信用风险、