如何做好银行业的风险管理.doc

如何做好银行业的风险管理“风险管理是金融行业的核心，而且金融行业风险管理的难度相对其他行业更大。”有着15年投行、商业银行以及金融监管工作经验的IBM大中华区风险管理及合规总监李越君这样总结风险管理的重要性。金融业风险管理的重要性同时体现在内部金融产品的特殊性和外部环境的变化上。从内部来看，金融产品无论从数量、种类还是其本身的复杂程度都有其特殊性。随着金融产品的大量出现，产品本身又具有多重风险因素时，风险管理就变得异常重要。从外部环境来讲，中国和国际社会接轨程度越高，风险管理就越发重要。在首尔召开的G20会议上，这些都是各国政府讨论的至关重要的议题。“风险管理的难度体现在技术、人员和政策上。”巴克莱资本结构性产品部门交易及风险主管的经历，让李越君对金融产品管理的风险性多了一重体会，“金融产品越来越复杂，特别是像金融衍生产品，很少有人对这类产品风险的特性和定价有一个比较清楚的了解。因此产品越复杂，对人的要求就会越高。”“我在华尔街工作这么多年，发现管理制度、流程、方法永远是在交易之后，这个是永远的事实，你不可能赶上。”比如前台交易，客户需要产品当场定价，但是制度、流程却覆盖不了所有未知的交易行为，“这就决定着速度和难度都是这个行业本身的难点。”“解决金融行业风险管理难题的第一要素是人才。”金融业每年吸引着各路尖端人才，但即使像长期资本那样，由诺贝尔奖获得者主导的基金在突发风险面前也依然束手无策，在金融创新与风险防范中，“人对于风险的意识，人本身在风险管理中所体现出的能力是最重要的。”由于金融市场的周期是金融系统固有的特性，不可能完全消除，金融危机更是金融系统周期的极端反应，“人们要解决的是如何减弱金融系统周期的负面影响并避免金融危机的出现，从制度上化解负面的影响。”在金融业，对人才的培训是一个必要的过程，也是制度的一部分。“培训的概念不应是简单地教授风险管理的基本知识，而是要让风险管理制度化为员工的日常行为习惯。”从人性的角度，强迫员工改变行为习惯肯定是不行的，“应该让每一位金融机构人员，不管是行长还是职员，都成为风险的掌控者，这点非常关键。”一旦员工成为风险的掌控者，他便会意识到风险管理对他的部门和职位会产生怎样的影响，风险管理就成为自觉自愿的事，而不是像巴林银行那样让一个交易员把银行搞垮。此外，当潜在风险发生时，员工怎么应对也是风险教育中不可忽略的部分。一个完整的培训体系是从人员、制度、流程、岗位、职责、方法等各方面去提高的。比如说，对于风险管理报表，也许一个月做一次就可以了，但是基于银行产品的特点，也许要每天做一次，还有实时地监控，这样就可以看出对风险管理的不同要求。而针对不同种类的风险，要清楚谁是掌控者，给予一定的责任。当有一笔跟国外的交易超出负责人的交易限额，管理者要清楚自己有多大的权力去放权、交易本身的风险有多大、资本有没有到位。这是一个实时的过程，如果审查下来交易可以进行，相关负责人要很快地得到审批和授权，系统要录入这笔交易由后台处理。这一交易本身包括了政策制度流程和风险评估等，而且有一定的反馈机制和对应的措施，从而获得快速反应。“风险管理的目的不是一味地减少风险，而是在风险控制基础上让效益最大化。”IBM在为金融机构设计风险管理方案时，会进行横向与纵向评估。横向评估是指一家银行内部要自上而下、自下到上地看待风险管理。自上而下是从管理者的角度对风险管理有一定的认识;自下而上是从基层员工的角度，把风险管理贯彻到每块业务之中。自上而下的风险管理包括如下五部分：风险管理的战略、风险管理的组织架构、风险管理的政策制度和具体流程、风险管理的方法手段以及风险管理报告。这些都需要有与风险管理相关的数据和IT系统支持。纵向评估则包括不同种类的风险管理，有信用风险、市场风险和操作风险，也有声誉风险、流动性风险等。信用风险的管理主要是指信贷员要了解信贷风险的级别是多少、给予多少的贷款额。市场风险的管理是指交易跟谁做、做到什么程度。现在市场风险、信用风险和操作风险都是彼此相关的。很多交易产品的风险因素不仅包括市场利率的变化，还包括信用评级本身的变化对它的市场风险和价值带来的影响。举例来说，当做一个衍生品交易时，要评估这个产品做没做市场调研、风险有多大，有没有对这个产品本身估值的能力，有没有估值的模型和系统，有没有数据来源。有了这些以后，还看有没有产品限额的规定，资本的需求是多少、法律的要求是什么，不仅看产品本身的风险，还有信用审批的过程、法律部门的要求，这些都要体现在业务流程中。IT系统是风险最能够集中反映的地方，一旦出现问题很容易把银行搞垮。“一个原则就是整合风险(integrated risk)，而且要从IT架构开始进行整合。”在对市场风险的评估中，从战略上看，不同的银行区别也很大，比如境外一些大银行，它的策略是要成为第一，同时还要给其他银行提供服务。在这些战略的指导下，这些银行不仅做债券交易，也做黄金交易和期货交易，甚至还有国外的衍生品。“银行有没有定价能力，定价以后能不能对风险做分析，分析以后有没有风险管理的限额，交易以后能不能做实时的损益报告，这个损益报告能不能有系统地去监控，这些要求是很自然地连带起来的。”做完风险识别，风险管理的方法、政策、制度和绩效评估之后，IBM会分析差距在哪里，并在此基础上提出改进方案，还会提供一个路线图，比如说三到五年银行自身风险管理的目标，要达到这个目标还需要做哪些工作。中国的银行业从市场角度来说，还相对年轻，但优势在于规模大。“国外发行的信用卡有上亿级别的量，但一到中国，各个银行信用卡的发行量都在亿级别，从数量上来讲，而且从数据对后台的处理，数据需要的交易量，这在国外都是见不到的。”从劣势而言，当风险管理出了问 .，对 .一家银行和整个中国金融机构造成的影响，恐怕目前国内的银行没有一个有亲身的体会。李越君在华尔街待了很多年，也就是在“911”的时候才看出这种冲击给投资银行带来的影响。“你没有亲身经历过那种影响是很难感觉到的，所以现在要做的是把风险管理变成一种风险的文化。”当风险变成文化、变成理念，渗透到整个基本的业务层面中时，会给每一个金融机构都提出很高的要求，要记住的是，理念永远需要有制度的配合。上市公司内控水平调查文/马新莉从2008年到2010年，深圳迪博企业风险管理咨询有限公司连续三年发布了中国上市公司内部控制白皮书。“在白皮说中，我们不谈理论，只做实证，每年的样本量都在1200家公司以上，囊括了所有上市公司。我们关注的是投入资本回报率和内部控制之间的关系。”公司创始人胡为民说。内部环境和内部监督最糟糕内部控制有五大要素，一头一尾两个要素是目前国内企业做得最差的部分。第一是内部环境，如果企业的治理结构不好，或者企业文化里没有关于风险的理念，即便制定了内控措施也是纸上谈兵，更谈不上运行。内部环境讲起来虚，实际上又很实在。中国的社会文化对内控环境不是很有利，这首先跟中国文化有很大关联。“我从文化差异的角度比较过欧美和国内的大型并购案。单从并购合同上就能看出很大区别。比如主合同一般都有几十页，再加上副合同就三五百页了，而国内并购合同都是只有两三页纸。国外把违约的一切可能性采用程序化一一列出来，对任何一种违约都有处理办法，国内却是含糊其词，背后隐藏着很多风险。其次，转型时期对利益分配和道德诚信的认识，对整个内部环境存在很大挑战，价值观比较紊乱，没有已经固化下来的标准，要做也都是纸面化的东西。”胡为民说。最后一个要素是内部监督。内部监督是再控制，是目前最令人担忧的地方。首先，几十年历史的大型国企，都不缺制度，条目特别多，不能说不完善，但是制度跟制度之间的衔接是否合理，却没人说得清楚。其次，制度的执行情况更是没人能说明白，大型企业都缺乏一套有效的内部监督体制。“大企业一般都有一个内审部，干什么工作?还是在做财务审计、专项审计和责任审计，真实的管理审计几乎都没有做。再加上很多领导不太重视内部审计工作，在人员和资源配置上都不理想，所以很难做好内部监督，也就根本没办法去判断制度执行的好坏。”人往往有这样的本能不懂的不做，不考核的不做，不奖励的不做。如果内部控制不跟绩效考核挂起钩来，谁愿意天天学雷锋呢?内部控制有若干对人的行为的控制，但人从本能上都是追求自由的，谁愿意按照规定动作去做?但从公司角度，一定需要一种约束，才能提高整个组织的效率，这构成了一种天然矛盾。高管利益与内控水平息息相关理论最终还要落到实践上。一味在说内控的理论意义，而没有跟个人的切身利益联系起来，领导者的重视程度就会大打折扣。“我们在发布的白皮书里有个很有意思的研究，就是搞清楚风险控制跟上市公司高管的切身利益有何关系。”胡为民说。白皮书得到了三个结论：第一，上一年度被监管机构处罚的上市公司，高管的利益水平要低于没有被处罚的上市公司水平。内部控制不好，更多的情况不是公司受处罚，而是高管，比如董事长、董事长秘书和财务总监。有的被终身禁止进入资本市场，有的还要追究刑事责任，无论哪种处罚，对高管的职业生涯和声誉都是非常大的负面影响。第二，ST股公司的高管利益水平要远远低于非ST公司的水平。第三，拟实施内部控制的上市公司高管利益水平要高于没有实施内部控制的上市公司。还有一个政策层面的原因是，目前上市公司要做股权激励要报监管机构批准，被批准的基本条件是公司的内部控制水平不错。“要实施股权激励，做好内控是一个必修功课。由于股权激励的受益者都是核心中高层，所以实际上这是一个内部逻辑，内控水平跟高管的切身利益是息息相关的。最后有一个结论也很有意思，前三名董事的薪酬高低，跟内部控制水平也是有关联的。内控水平越好，前三名董事的薪酬趋势越高。单看某个政策要求怎么做，对高管的触动不大，但这是1000多家上市公司的实证调查结果，对他们是很有说服力的，特别是国企。”建立和运行一个有效的内部控制，实际上对整个管理层都是有效的保护。内部控制失效，不一定能带来资产的损失，但只要出现重大资产损失，除了天灾以外，一定是内部控制失效引起的。这是终身责任追究，退休了或者调离岗位也要追究。“我联想到美国也有类似条例：如果公司职员的过失犯罪给投资人带来损失，只要公司不能证明已经采取了合理的控制措施，那么公司要承担连带责任。所以企业有事没事都会请人来重估一下风险。美国咨询业特别发达也是这个原因。”风险管理和经营管理不是两张皮内控风险管理是非常好的一个管理工具和手段，一旦搞成两张皮，就是劳民伤财了。“现在的大学里没有专门的内控专业和课程，这本身是交叉学科，牵扯到企业的方方面面，在这个岗位上的人，要对企业的方方面面都非常了解。既要熟悉业务，又要熟悉内控的方法，具备这两个条件，才能胜任这个工作。”胡为民说。目前，国内在这个行业里面临很严重的人才短缺。以中铁集团为例，现在从事内控工作的都是做从基层慢慢成长起来的、经历过很多工作岗位的业务骨干，对企业整个运行很熟悉，学习能力也比较强，对内控的理论和方法掌握得很快。“这还牵扯到一个内控职能部门的定位问题，不是说内控部门这几个人就把整个企业的风险管理全都做了，这是个误解。所有的业务部门其实每天都在做的就是管控风险，不让意外事件发生，内控部门要发挥的是一个牵头和组织的作用。”内控风险管理和日常经营管理是个什么关系?“很多人以为它们是几张皮各行其事。其实内部风险管理和日常经营管理是高度融合的，内部风险管理只是借鉴一种理念、方法和工具，来优化和提升现有的管控体系，而不是把现有的管控体系推倒重来，是建立在现有的管控基础上，对现有的管理进行一个持续的优化和提升。”所以内部控制风险管理的一个魅力在于，它是持续性的，先问目标是什么，然后问在实现目标的过程中我们面临哪些风险，这里