我国商业银行全面风险管理组织框架问题

编者按：为了庆祝交通银行重组20周年和境外上市两周年,进一步研究新形势下我国商业银行的改革发展,本刊于今年3月份发起了“金融全面开放背景下商业银行战略转型与创新”的征文活动.承蒙社会各界的大力支持,政府管理部门、金融机构、大专院校和各类研究部门都踊跃来稿,尽管征文期只有短短的两个多月,但至截稿期为止,编辑部已收到各方面的应征稿件一百多篇.来稿内容涉及商业银行的发展战略和综合经营、商业银行资本管理和并购策略、商业银行公司治理和流程银行建设、金融风险防范和内部控制、零售业务发展战略、中小企业发展和银行金融怎么写作等方面,其中不乏具有真知灼见的精彩篇章.从本期起,我们以“优秀论文选登”专栏的形式,陆续刊发征文中的优秀文章.

本刊谨向积极参与本次征文活动社会各界的人士包括长期支持本刊的读者、作者表示衷心的感谢.同时,我们将抓紧征文活动的后期进程：组成专家评审委员会,评选出优秀论文并尽快予以公布.今后,本刊将本着创办精品期刊、怎么写作于商业银行战略转型、怎么写作于读者的基本宗旨,继续举办类似的活动,以繁荣理论研究和深化实践探索,希望社会各界一如既往地支持我们.

内容提要：风险管理是商业银行经营管理活动的核心,风险管理的好坏在很大程度上决定一家银行经营的成败.与国际先进银行相比,特别是与巴塞尔新资本协议提出的全面风险管理精神相对照,国内商业银行在风险管理方面仍存在较大差距.在目前产权改革初步告一段落的情况下,国内商业银行下一步的改革将围绕建设符合现代金融企业要求的体制机制方面展开,而全面风险管理体系的建立首当其冲.本文在对巴塞尔新资本协议和国内外银行业的有关实践进行总结的基础上,概括出了商业银行建立全面风险管理组织框架的基本原则,并对国内商业银行提出了有关政策建议.

关 键 词 ：商业银行 全面风险管理 组织框架

中图分类号：F830.49文献标识码：B 文章编号：1006-1770(2007)07-014-04

风险管理是商业银行经营管理活动的核心,风险管理的好坏在很大程度上决定一家银行经营的成败.近两年来,随着银行业改革不断推向深入,特别是国有银行股份制改造和上市取得巨大成功,国内商业银行的经营管理状况得到极大改善,风险管理有了明显好转.但与国际先进银行相比,特别是与巴塞尔新资本协议提出的全面风险管理精神相对照,国内商业银行在风险管理方面仍存在较大差距.进入金融业的重要转折期和重要发展期,在产权改革初步告一段落的情况下,国内商业银行下一步的改革将围绕建设符合现代金融企业要求的体制机制方面展开,而全面风险管理体系的建立首当其冲.因此,构建全面风险管理组织框架是当前国内各商业银行的一项紧迫任务.

一、商业银行全面风险管理组织框架的判定原则

从巴塞尔新资本协议的精神和国际银行业的实践来看,全面风险管理组织框架并不仅仅意味着架构形式上的建立,还包括职责明确、功能健全、信息沟通顺畅、体系运行有效等深层次的内涵,即形神兼具.概括来说,风险管理组织框架全面与否应符合六项标准,即一致性、全面性、独立性、权威性、互通性和集中与分散相统一.这也是商业银行构建全面风险管理组织框架应遵循的基本原则.具体来看：

1、一致性原则

所谓一致性原则是指,银行在制定风险管理框架时,首先应确保其风险管理目标与业务发展目标的一致性.风险管理的目的在于为业务发展提供一个健康的环境和内部机制,而不是抑制业务的发展.在发展业务的过程中,应将风险管理看作有力的保障,而非阻碍因素.这是建立有效的风险管理框架的前提.

2、全面性（或称为有效性）原则

全面性原则可以归纳为两个确保,即银行应确保其风险管理框架能够涵盖所有业务和所有环节中的一切风险（即所有风险都有专门的、对应的岗位来负责）,确保该职责框架能够识别银行面临的一切风险.尤其对于新产品、新业务,银行应确保这些产品、业务在创新出台和引进之前就为其制定出适当的风险管理程序和控制方法,即“内控先行”的原则.

3、独立性原则

这包括三个方面的内容,即董事会与高级管理层之间风险管理职责的独立性（风险管理战略、政策制定与实施之间的独立性）、独立的专门负责风险管理的部门（风险管理部门应独立于业务部门）、独立的风险管理评估监督部门.独立性原则的实质就是要在银行内部建立起一个职责清晰、权责明确的风险管理机制.因为清晰的职责划分是确保风险管理体系有效运作的前提.值得注意的是,独立性原则并不排斥部门之间的交流与合作.对此,巴塞尔委员会特别强调董事会、高级管理层和审计机构之间要进行充分的交流和合作.

4、权威性原则

权威性原则意味着,在银行的风险框架中应确保风险管理部门和风险管理评估监督部门具有高度权威性,尽可能不受外部因素的干扰,以保持其客观、公正性.从理论上来讲,当两个部门的权威性处于相同层面时,每个部门会形成不同且清晰的权力边界,并将两个部门割裂开来,从而使两者之间的合作和沟通难于实现.这一点在风险管理部门和业务部门之间得到突出体现.银行的风险管理势必要渗透到业务部门的运作中,因而很容易受到抵触.如果风险管理部门没有强于业务部门的权威性,风险管理工作将难以顺利执行下去.理论和现实都证明,必要的监督可以确保各个岗位职责的充分实现,但监督部门如果缺乏权威性,监督就会形同虚设.

5、互通性原则

互通性原则要求银行建立一个完善的信息系统,进而在银行内部形成一个有效的信息沟通渠道――包括信息上报（即风险管理部门与风险管理评估监督部门直接向董事会、监事会和高级管理层报告的渠道）、信息下达以及内部信息的横向流动（即各相关部门之间要保持信息的互通）.有效的信息沟通可以确保所有的工作人员（包括董事会及高级管理人员）都能充分理解其工作职责与责任,并保证相关信息能够传递给适当的工作人员,从而使风险管理的各个环节正常运行.

6.集中与分散相统一原则

全面风险管理的基本内涵就是商业银行作为一个整体,董事会和高级管理层应充分了解银行面临的各类风险状况,并对各类风险实施有效管理.鉴于此,商业银行全面风险框架的设置应遵循集中与分散相统一的原则.为了确保各类风险都得到管理并及时向高层汇报,不同类型的金融风险应由相应的专业机构来负责管理,不同的风险管理机构最终都应直接向总行高级管理层中的专职风险管理行长负责,由其统筹规划,实现风险的集中管理.同时,考虑到业务的多样性和风险的复杂性,在风险集中管理的大框架下,不同类型的风险应交由不同的专业机构来管理,以提高管理的效率和水平,比如,合规风险应由独立的合规部门而不是传统的风险管理部门来管理.风险的分散管理有利于各相关部门充分发挥专业知识,集中力量将各类风险控制好,体现出专业化分工的优势.而风险的集中管理则有利于从整体上把握银行面临的全部风险,从而将风险策略与商业策略统一起来,实现业务发展与风险管理的有效平衡.风险管理过于集中往往使该部门力不从心,不能专心于某类风险；风险管理过于分散则往往容易造成信息割裂和管理真空,不利于银行商业策略与风险策略的结合,甚至违背银行的发展策略.

二、当前国内商业银行风险管理组织框架存在的问题

近几年来,国内商业银行在风险管理方面进行了众多改革和积极探索,风险管理组织框架不断完善.但离全面风险管理组织框架及其六项原则的要求仍有较大差距,这集中表现在：

（一）外形上,风险管理组织架构不健全,部分环节尚未建立或较为薄弱

1.作为构建全面风险管理组织框架基础的公司治理仍不健全

健全、有效的公司治理是全面风险管理组织框架得以建立和运行的基础.目前,国内大多数商业银行都建立起由股东大会、董事会、监事会和高级管理层“三会一层”组成的公司治理基本结构.但从深层次看,董事会、监事会、高级管理层在风险管理方面的职责尚未清晰划分,各自为履行风险管理职责所需的组织架构还未完全建立,三者之间互相合作与制衡的机制较为薄弱.可以说,国内商业银行构建全面风险管理组织框架的起点不高,基础不牢,从而影响全面风险管理体系的有效运转.

2、董事会风险管理委员会缺乏运行支撑

董事会的风险管理职能主要是通过下设的风险管理委员会来行使.而董事会风险管理委员会风险管理职能的充分履行依赖于两方面因素：一是委员会有一个强有力的日常办事机构,负责信息收集、决策执行、材料准备等工作；二是委员会与高级管理层的风险管理体系有效对接,信息传输、决策传达、情况汇报等相对顺畅.国内商业银行在这两方面普遍做得不够.一是董事会风险管理委员会要么没有设置专门的日常办事机构,要么办事机构资源配备不足,特别是缺乏训练有素、有专业知识的专业人才,从而无法有效支撑委员会风险管理职能的充分行使；二是高级管理层的风险管理体系与董事会风险管理委员会缺乏有效对接,委员会无法获得行使风险管理职能所需的信息、技术等方面的支撑,双方之间的沟通渠道缺乏；三是国内大多数商业银行董事会风险管理委员会的人员构成中,具有银行业风险管理经验的人员缺乏,而且在金融、法律、会计等不同专业背景人员之间的有效互补和科学搭配方面存在不足,从而制约其风险管理职能的发挥.

3、高级管理层层面风险管理架构分散割裂,统一性、集中性不足

全面风险管理的基本要义是对信用风险、市场风险、操作风险等各类风险进行集中、统一的管理,实现对各类风险的全面覆盖.体现在风险管理组织框架上,就是要有独立的部门（机构）对风险进行集中、全面管理,而不是将风险管理职能割裂开来,分散于多个不同部门.从国外的情况来看,商业银行大多是通过设立风险管理委员会和风险管理部门来实现这一要求的.风险管理委员会为管理全行各类风险的专门委员会,负责制定银行的风险管理政策、措施以及协调解决重大风险问题.风险管理部门则负责落实执行风险管理委员会的政策、措施以及有关决议,并对全行各类风险进行集中、统一的具体管理,包括风险识别、评估、监测、量化并报告等具体内容.从国内的情况来看,受各方面因素和条件的限制,风险管理委员会尚未覆盖银行面临的各类风险,对信用风险、操作风险关注较多,而对市场风险、合规风险等新型风险的管理则相对欠缺.而风险管理部门也未能有效整合银行的风险管理职能,更多的是在信用风险领域开展管理工作,其他各类风险的管理职能则分散于多个部门,使得风险管理框架被割裂开来,集中性、统一性不足.

4.银行基层分支机构风险管理角色缺位

全面风险管理组织框架意味着商业银行在董事会、监事会、高级管理层、总行、分行、支行等不同层面都有相应的机构（单位）承担相应的风险管理职能,以确保对风险管理全过程的覆盖以及风险管理链条的完整性、有效性.目前,国内商业银行的风险管理职能主要集中于高级管理层、总行和分行,确保了总行对风险的集中管理.但在支行等基层机构层面则缺乏独立行使风险管理职能的角色.这并不是说基层支行没有为风险管理设置岗位和配备人员,而是指有效承接总行或分行层面风险管理体系链条的环节缺乏,没有实现风险的垂直管理,基层支行风险管理主要受支行行长领导,并向其负责.在利润考核的驱动下,基层支行的业务经营不可避免与风险管理产生矛盾,并最终导致风险管理职能的弱化和缺位.

(二)内涵上,风险管理职责不完善,现有风险管理组织框架无法达到全面风险管理的要求

1、董事会风险战略管理职能薄弱,风险管理体系建设缺乏科学规划指导

制定风险管理战略是商业银行风险管理的第一环节.因为风险管理战略明确了一家商业银行风险管理的目标和方向,确定了银行的风险偏好,对风险管理体系建设和风险管理工作的开展起指导性、方针性作用.风险管理战略环节的职能是由董事会及其下属风险管理委员会承担的.由于组织架构方面的缺陷,特别是受制于有效运行支撑不足,国内商业银行董事会的风险战略管理职能普遍薄弱,银行缺乏完整、清晰的风险管理战略,这使得整个银行风险管理组织框架建设缺乏科学指导.

2、风险管理部门对风险的全面、集中管理程度不高,不能充分覆盖银行面临的各类风险

本文前面提出的“全面性（有效性）”原则要求,商业银行应确保有一个独立、强大的风险管理部门对全行包括信用风险、市场风险、操作风险等各类风险进行集中管理,以确保风险管理的全面性和有效性.国内大多数商业银行虽设立了独立的风险管理部门,但其职责并未达到全面性的要求,仅仅实现对信用风险的集中管理,尚未将市场风险、操作风险等纳入管理范畴.这种风险分散管理的状况,既不利于发挥风险管理专业人员的优势,提高风险管理的效率；又不利于董事会和高级管理层对银行风险管理状况的全面了解,影响风险管理政策的制定.

3、风险管理监督评价职能缺乏

巴塞尔委员会认为,健全的风险管理框架除了设立一个独立的风险管理部门之外,还应有一个独立的风险管理评估系统和一个独立的审计机构（定期审查银行风险计量、监督与控制职能的执行情况）.风险管理的评估一般由董事会下设的风险管理委员会负责,风险管理的审计稽核一般由董事会下设的审计委员会和银行的内部审计部门负责.按照巴塞尔委员会的规定,审计部门应就“银行是否有负责设计风险管理系统的独立的风险控制部门；董事会和高级管理层是否积极参与了风险控制工作；风险执行是否合规；有关风险政策、控制与程序是否得到遵循；风险管理人员配置是否合理等”问题进行审计.从国内的情况来看,大多数银行已经在董事会下设立了风险管理委员会,就风险管理目标计划的实施情况进行评估.但风险管理各项职能执行情况的稽核审查缺乏.董事会下虽然设立了审计委员会,但并没有对风险管理职能执行情况进行有效的稽核审查,导致风险管理组织框架中对风险管理的监督评价职能缺乏.

(三)运行上,风险管理信息系统不完善,风险管理体系赖以运行的信息支撑不足

全面风险管理组织框架是一个由决策系统、信息系统、执行系统和监督系统组成的有机体系.其中,信息系统是这一体系的基础,是其他三个环节有效运转的支撑.无论是风险管理战略的制定,还是风险管理政策的执行、风险管理活动的开展,都依赖于一个健全的信息系统.而国内商业银行风险管理组织框架存在的一个不足之处就是信息系统不健全、信息渠道不畅,从而影响风险管理组织框架各环节的正常运转和作用发挥.这也是目前国内商业银行大要案频频发生、屡禁不止的主要原因之一.

三、构建国内商业银行全面风险管理组织框架的建议

根据本文前面提出的六项原则的要求和国内商业银行风险管理组织框架存在的不足,笔者认为,当前国内商业银行构建全面风险管理组织框架应重点做好以下工作：

(一)进一步完善公司治理,夯实全面风险管理组织框架的基础平台

国内大多数商业银行已初步建立起以“三会一层”为主体的公司治理基本架构,实现了“形似”的要求.下一步完善公司治理的重点在于建立健全公司治理运行机制,达到“神似”的最终目的.具体来说：第一,进一步明确董事会、监事会和高级管理层在风险管理中的不同职责,划分权力边界,承担起各自的角色,建立起既相互合作又相互制衡的的运行机制；第二,进一步健全董事会、监事会及其下设专门委员会有效运行的支撑体系,设立专门的日常办事机构,确保董事会、监事会层面的风险管理职能与高级管理层的风险管理职能有效对接；第三,逐步建立董事、监事知情权保障机制,特别是风险管理方面的知情权,为董事、监事充分履行职责提供信息保障.

（二）强化董事会的风险战略管理职能,提高全面风险管理组织框架建设的前瞻性、指导性

根据巴塞尔新资本协议的全面风险管理精神,国内商业银行应进一步强化董事会的风险战略管理职能,为构建全面风险管理组织框架提供科学指导.一是结合市场定位和业务发展战略,董事会制定与银行自身发展水平相适应的风险战略,并据此确定风险偏好,对银行风险管理活动的开展做出规划；二是建立健全风险战略管理机制,定期对银行风险战略执行情况和业务发展情况做出评价,并据此调整完善风险战略,确保风险战略的科学有效；三是强化董事会对银行风险政策的最终审批权力,确保风险政策符合银行风险战略的长远规划,促使高级管理层建立起符合银行风险战略的风险管理体系；四是探索实施首席风险官制,在董事会下设立首席风险官,直接向董事会负责,与高级管理层形成有效制衡,强化董事会的风险管理职能.

(三)完善高级管理层下风险管理体系,实现风险管理职能由分散割裂转向集中统一

针对本文第二部分分析的国内商业银行存在的风险管理职能分散割裂问题,进一步整合高级管理层层面的风险管理职能,完善风险管理组织框架.第一,进一步完善高级管理层下风险管理委员会的设置,针对目前国内银行业的现状,考虑为风险管理委员会配备具有相应专业知识的专职人员,分别对信用风险、市场风险和操作风险实行集中管理,扩大风险管理委员会的覆盖范围,提高风险管理的集中性和统一性.第二,整合总行层面分散于多个部门的风险管理职能,将其纳入风险管理部门的管理范畴,实现风险管理部门对全行风险的全面集中管理.与此同时,要逐步改变那种风险管理部门既承担风险管理职能,又承担业务经营与业务指导职能的做法,真正实现风险管理与业务经营的分离,确保风险管理的独立性.

(四)健全基层分支机构的风险管理组织架构,实现风险的垂直化、矩阵式管理体系

针对基层分支机构风险管理架构缺失的现状,国内商业银行应逐步推行垂直化、矩阵式的风险管理体系,设置基层分支机构的风险管理部门和岗位,确保整个银行风险管理体系链条的完整性.具体来说：一是在银行推行垂直化、矩阵式风险管理体系,总行首席风险官和风险管理部门为风险管理的最终负责人和部门,分支行层面的风险官和风险管理部门对上一级风险官和风险管理部门负责,并受其领导,同时又向分支行的行长汇报工作.该体系有利于确保风险的集中管理,提高风险管理效率.二是在基层分支机构设置风险经理岗位,由上一级风险官和风险管理部门委派,协助其进行风险管理,不受基层分支机构的干预,客观独立地对基层分支机构的风险进行管理.三是风险官与风险管理部门定期进行交流和交换,以解决分支机构之间、分支机构与总行之间信息不畅的问题.

(五)完善风险管理的监督评价体系,确保风险管理组织框架的有效运转

有力的监督评价体系可以确保银行的风险管理政策得到充分落实、各项风险管理职责得到有效执行,并使银行风险管理体系得到持续改进.目前,国内商业银行对风险管理的监督评价普遍较为薄弱,尚未形成完整的体系,持续性、有效性不足.对此,应从以下三方面入手：第一,建立董事会对高级管理层风险管理情况的监督机制,促使高级管理层充分贯彻落实董事会制定的风险战略和风险政策；第二,强化监事会对董事会、高级管理层风险管理职责履行情况的评价机制,确保董事会、高级管理层充分承担各自的风险管理职能；第三,建立风险管理的审计监督机制,由银行内部审计部门或独立的外部审计机构对银行风险管理体系中各环节的风险管理职责执行情况和风险管理的合规性进行稽核监督.

(六)建立健全风险管理信息系统,为全面风险管理组织框架提供信息支撑

巴塞尔委员会特别强调要建立一个完善的信息系统,进而在银行内部形成一个有效的信息沟通渠道――包括信息上报、信息下达以及内部信息的横向流动.完善的风险管理信息系统不仅仅局限于网络信息系统,还包括银行内部定期和不定期的信息交流系统.对此,国内商业银行因从三方面入手：一是进一步完善网络信息系统,为总行与分支机构之间、分支机构与分支机构之间、总行各部门之间进行信息交流建立沟通渠道；二是在银行内部建立起风险信息沟通渠道,特别是建立起一个较为完善的风险信息汇报框架,实现风险信息下达、风险信息上报以及风险信息横向流动的畅通；三是逐步建立风险损失数据库,特别是操作风险损失数据库,为风险量化技术的运用打下基础.