银行合规风险管理本源与当前银行机构合规风险管理工作的迫切需求

1 我叫刘邦银，现供职于四川省农村信用社联合社泸州办事处。我的主要著作有旦论 方法思维与时空观农村信用社信贷理论与实务农村金融机构安全保卫工作理论与实务农村信用社合规风险管理之员工行为规范实务研究等。 农村信用社合规风险管理之员工行为规范实务研究于今年 9 月出版，这本书是以农村信用社为代表，研究银行机构员工行为规范的实务性书籍，是目前国内少有的实务性银行类员工学习资料，主要是运用了我的专著旦论 方法思维与时空观一书的思维方法和研究技术，结合银行风险、员工行为管理研究创作的。 首先感谢 中国人民大学陈忠阳教授的邀请和国家银监会董璐君处长的推荐，有机会来学习各位专家、教授和领导对银行风险管理的研究成果和经验，并阐述我的观点。 我发言的标题是：银行合规风险管理本源与当前银行机构合规风险管理工作的迫切需求，供参考。 银行合规风险管理本源与当前银行机构合规风险管理工作的迫切需求 我发言的基本意思：主要是揭示银行风险的本源和合规管理的本质，提出银行风险管理策略是合规管理，指明合规管理的技术核心是员工行为规范管理，指出合规风险管理的 2 内外环境建设滞后，迫切需要补上实务研究一课。 一、银行风险本源 是民生风险 现今，理论研究普遍达成的共识：经营银行就是经营风险；风险泛指发生不良事件的可能性；从发生不良事件的单个主体来说，风险是某一特定危险情况发生的可能性和后果的组合。这是不容置疑的。然而，有这些研究成果还不足以说明银行风险的根本性质，我的观点是银行风险是民生风险。 （一 ）风险的自然属性 人是具有主观能动态的智慧生命物质体。“在人类的时间维向（ 指物质体或事件从诞生开始持续存在的生命时间，即从诞生到死亡所经历的时间 ）中面临着许多风险。所谓风险就是对人类产生不利融作用（ 指事物之间的全部关联涵义 ）的可能，计量 是可能性程度。”这个观点 ，从风险的属性上说明从人类诞生那天起，就与无数的风险相伴，无论天灾还是人祸。风险是对人类存在和人们生存下去产生不利的可能性，即物质属性的全部关联关系带来不利的可能性。对风险的计量是风险发生的可能性程度，内含着是否发生、发生的强度、带来的后果。 从另一角度说，风险是人的自然价值和社会价值不能实现的可能性。如缺食少穿，疾病、男女性别失调、失信、事故、良好愿望的教育起到了相反的作用等。 人类面临的风险是民生风险。所谓民生风险就是不能实 3 现满足民生的可能，包括居所、食物、药物、用具、水、氧等 方面存在的风险，以及决定民生是否得以继续的风险。风险影响最终的结果是人类时间维向是否能持续，体现为人类时间维向风险。 （二）银行风险的民生属性 银行，一方面是向公众融入资金，另一方面是对公众融出资金。资金是民生财富，公众授 予信用和接受信用，实现民生财富的安全与增值。这就是银行风险的本源。因为风险内容是民生财富，因此说银行风险的本源是民生风险。 银行风险是指银行在经营中由于各种风险因素而招致资产和收入损失的可能性。“各种风险因素”指引起银行风险的经营管理活动中的全部原因，如制度设计、业务流程、资本治理、执行操 作等，涉及银行体制、经营与管理的方方面面，“各种风险因素”中的共同因素是员工行为，包括领导决策、高层管理、中层执行、基层操作的全部银行工作人员的行为单元。 前述两个方面，一个是从银行风险内容出发研究，一个是从银行风险因素出发研究，但是都走向一个共同点，就是体现着风险的民生属性。 二、银行风险管理策略与技术 4 任何组织与个人的风险管理，着力点不同，使用的策略与技术就有所不同。 如下图： 图 1 风险管理的策略与技术 银行风险管理是为了保证经营目标的实现，通过制定并组织实施一系列制度、措施、方法和程序，对 风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制，对操作人员进行制约和协调。银行风险管理的基本行为技术是银行风险控制。银行风险控制属于管理范畴，是为了稳健经营，实现经营的安全性、流动性、效益性的一种银行内部管理的自律行为，是银行管理的重要职责之一。银行风险控制是一个将控制的内容集中在经营管理活动方面的系统。 （一）银行风险控制的内涵 银行风险控制是银行管理范畴的自律行为，以防范和化 5 解经营中的风险为出发点。风险控制是一个动态过程，应通过制定和实施一系列制度、程序、方法、模型来建立促进经营活动健康运行 的机制。风险控制机制中，各种规章制度是形式和表现，对各种规章制度的实施及良好的执行力才是风险控制的根本。风险控制是一个开放的、动态的系统，随着经济、金融环境的变化和银行内部经营活动的变迁、业务品种的增加等宏观和微观环境的变化，银行的风险控制也应作相应的调整。风险控制要紧盯经营活动目标，对制度、程序、方法适时修订、增加、废止，始终抓好执行。 （二）银行风险控制目标 直接目标是有效控制银行风险，最终目标是确保实现利润最大化。可分解为 4 项任务： 币信贷政策、银行内部规章制度的贯彻执行。 银行的整体战略和目标在经营活动中贯彻，使经营战略和目标得到全面实施和充分实现。 经营风险控制在适当的范围内，及时识别、评价、处置风险，减少或避免损失，增加经营收入。 务信息和其他管理信息及时、真实和完整。 为了实现银行风险控制目标，应做到风险控制有标准，部门、岗位有制约，操作有制度，岗位有职责，过程有监控，风险有监测，问题能及时纠正，工作有评价，事后有考核。 6 （三）全面风险控制 银行风险控制的策略与技术是全面风险控制，指围绕总体经营目标，通过 在管理的各个环节和经营过程中执行风险控制的基本流程，培育良好的合规文化，建立全面风险控制体系，包括风险控制策略、风险控制的组织职能体系、风险控制信息系统和风险控制系统，从而为实现银行风险控制的总体目标提供合理保证的过程和方法。其内涵是全面的合规管理与全面的风险评估与遏制。当然，全面并不是 100%，达到“可接受性”即实现了理想目标。 “可接受性”是全面风险管理的理念策略基础。因为不可能绝对的百分之百实现风险控制，但是可以识别、控制重大风险，而将较小风险放入可接受范围。“抓大放小”是“可接受性”的技术策略，但是 放小并不是放纵，而是可识别、可控制条件下的有作为的“接受它存在”，前提是“接受它存在”并不会带来损失或带来的是可以承受的损失。 力点是银行风险因素，基本技术是银行风险避免，即控制银行风险因素，不让风险事件发生。这是一般的银行风险控制方法，要求所有相关作业单元应符合既定的行为规范。 如在银行经营管理中，要求设计健全的业务程序，按照业务规程与标准不折不扣地操作，遵守职业操守等。合规是银行员工行为规范的基本评价标准，也是员工职业的基本要求。 合规策略应当贯穿于银行各项经营管理行为中，形成员工的自觉意识 ，融入并成为企业文化的主要内容，即合规文化。 7 力点是银行风险因素，基本技术是银行风险抑制，即将银行风险因素划分，使可能产生的风险事件分解为多个，从而抑制风险后果。内部控制即内部决策与执行的环节分解，实行员工行为之间的相互牵制，一方面保障行为规范，防止风险事件发生；另一方面制约员工行为失范，防止操作风险。 内部控制策略的基本作用是制衡与监督。银行的经营管理直接导致货币财富的流动，失去对操作行为的制衡，一方面会增加员工被利诱而产生行为失范的可能性，另一方面会由于员工能力问题、技术不到位产生非故意操作风险。 力点是风险事件和风险后果，基本技术是风险减缓，即不让风险事件发生或风险事件发生后，最大化控制风险后果。这是一种后危机处理技术，是面对已经发生的风险事件，尽量使事件不扩大化或风险后果的不良影响缩减到最低程度。 预案处理是一种较好的技术，可以应对各种突发事件。危机处理是一门应急性科学，需要各个方面的协调配合，当机立断，紧扣“减低风险”目标一致行动。 力点是风险后果，基本技术是控制性风险转移，即预期风险事件不可能完全避免，则将风险后果通过技术与经济交换转移给他人。这 种技术很常见，如银行发放贷款，由于存在借款人失信的危险，要求提供第三方担保履约的责任。 8 力点是风险后果，基本技术是财务杠杆转移，即通过规划财务费用，将小额财务费用投资到风险事件预期发生期间，若发生风险事件，则风险后果由投资收益来弥补。 如车辆安全的特殊性，银行在财务预算中规划一笔费用，用于向保险公司投保，当不可控制的车辆风险事件发生后，造成的风险后果由保险公司承担。 这种通过少量财务投资而将风险控制在合理程度就是保险策略。与转让策略不同的是前者不需要费用投资，只需要业务经营中对客户作为条件来要求 ；后者不涉及业务经营，纯粹是一种管理行为，需要自身财务费用投资。 力点是风险后果，基本技术是风险自担，即风险因素由自己控制，风险事件带来的后果完全由自己的财务准备弥补。 前提是：预估风险发生的可能性不大或风险后果小。如银行形成的坏账损失，由经营收益的预留准备 坏账准备金来弥补。 这种策略是预估经营管理中会产生一定程度的风险后果，在会计核算中事先做好财务规划，一旦风险后果造成损失，则由事先预备好的准备金来弥补。 实际上，包括银行在内的任何组织，在进行风险控制时，以上策略是综合运用的。合规策略 是基础策略，其他策略是派生策略，是对合规策略的补充。防控银行风险要综合运用好上述策略。 三、银行风险因素中必然包含员工行为失范 前述分析知，合规策略是银行风险管理的首要策略。即 9 对员工行为规范管理是防控银行风险的第一要义。 银行风险构成对金融安全的威胁，银行风险的积累和爆发造成对金融安全的损害，因此，对银行风险的防范就是对金融安全的维护。 风险控制是银行业经营管理的核心内容。银行经营面临信用、市场、操作、法律、声誉等风险，各式各样，其中信用风险、市场风险、操作风险是这些风险中最重要的风险。 在银行风险的分类中 ，可以看出其涉及经营管理活动的方方面面，特别是以经营性业务中的银行风险为主，这些银行风险将直接导致大量经济损失的风险后果，因此说经营银行就是经营风险。 在众多银行风险中，通过风险因素分析，有一个共同的银行风险因素 行为因素。即任何风险事件的背后，都有员工行为发挥作用，包括促成与阻止的作用。 因此说，银行风险是一种行为风险，这种银行风险集中于操作风险中，即在操作风险中都可以发现任何银行风险的影 子，如信用风险、市场风险、操作风险、流动性风险、法律风险，甚至于国家风险、人事风险等，都有员工行为的痕迹，并且往往是最 主要的因素。许多银行风险是 “ 成也操作行为，败也操作行为 ” ，即风险事件的发生是由银行行为 通过员工行为主动或被动的引起，对风险事件主动或被动的阻止也是通过员工行为来防控。 总之，对风险的防控主要从银行风险因素着手，由于风险具有民生性质，银行风险因素中也有民生行为性质，则对 10 风险的防控就可以从银行行为因素 通过员工行为因素着手。道理很简单 “ 事由人为 ” ，对于银行风险这些事，也是由人来操作的，管理好了人，规范好了员工行为，则再大再难防控的风险都应该能有效控制。 换句话说，银行风险源于员工行为失范。 因此，银行合规管理的本质是银行员工行为规范管理。 四、合规管理是银行风险防范的核心技术 员工行为规范是银行风险防控的着力点，对员工行为管理，即合规管理是银行风险防范的技术核心。 从实务角度说，防控银行风险的技术着力点是合规操作，防范操作风险。操作风险的本质是银行行为风险，银行行为风险由员工行为风险组成，因此，防控银行风险的着力点统归为防控员工行为风险。换句话说，员工行为风险是银行风险的根源。这里为什么不是单位行为呢？因为单位行为也同样存在风险，但是单位行为最终将分解为具体的员工行为单元。银行单位行为风险发生，只有相关员 工完全不负责任的一致行为才能最终实现，只要有行为规范的员工在操作，对单位行为风险都能发现和有所表现。 员工行为风险表现为员工行为与内控制度的符合程度。如果在管理性业务操作和经营性业务操作中，员工行为与内控制度相符合的程度差（即合规性差），说明员工对管理性业务或经营性业务的合规操作能力差，则员工行为就存在风险。衡量员工行为风险的指标，一般是判断员工在业务操作中对内控制度的符合程度。 11 银行防控风险的行为由多个着力点构成，每一个着力点产生不同的作用力。单位行为是初始着力点，内控制度是第二着力点，员工行为是第三着力 点，员工行为规范是第四着力点，这些着力点是相互传递的，中间任何一个环节都不能出问题。 （一）单位行为是银行风险防控的第一作用力。如果单位行为的主导理念与行为内容有缺陷，则必然导致内控设计缺陷和贯彻到员工行为中的管理行为和业务行为规范存在缺陷。 （二）内控制度起着承上启下的作用。一方面要求银行将单位的社会价值，通过技术化处理，设计出银行风险防控的制度；另一方面要求制度本身能作用到员工行为，使员工行为能与内控制度很好的融合。 （三）员工行为是受力点也是对银行风险的最终着力点。员工行为由内控制度导引到规范上来，才 能形成对银行风险的强作用力，否则再好的内控制度也会被打折扣。员工讲合规、讲行为规范是内控制度作用力作用到员工行为的结果，其程度应当是使员工行为能完全符合内控制度的涵义。一般说来，员工行为对内控制度涵义的符合程度，即员工行为规范程度，决定着对银行风险的防控力大小。员工行为规范程度越大（越合规），对银行风险的防控力就越大，两者是正相关关系。 内控制度是银行风险防控的杠杆支点，没有内控制度，对银行风险防控的所有行为就没有支撑。行为规范是银行风 12 险防控杠杆的撬动力。要完全撬动银行风险，则要求行为是完全规范的，包括单位 行为和与之一致的员工行为。员工行为是银行风险防控原动力，员工行为越规范，对杠杆的作用力就越大。 内控制度为员工行为提供了行为规范的内容与要求，如果没有内控制度或内控制度不充分，则员工行为规范性就不足，导致员工行为存在缺陷，对杠杆撬动力就不足。员工行为有缺陷，对银行防控风险的杠杆作用力就下降。因此，健全的内控制度，或完美的内控设计是员工行为规范的前提。这里，内控制度是内涵全面的、广义的，是一切促进员工行为得到规范的制度、办法、程序、措施等，包括机制在内的全部内控技术，也包括道德的内容。 在银行风险防控的整个动 力系统中，员工行为规范是核心，内控制度与员工行为都是为员工行为规范服务的支持系统。由单位行为通过内控制度将作用力传导到员工行为，由员工对行为规范后，再作用到银行风险防控，实现银行风险控制的目标，如下图所示。 图 2 银行风险防控动力系统 13 上图说明：合规性强，杠杆撬动力大，杠杆就向左下方压，银行风险就变小；内控制度是杠杆的支点，向右是健全，起到的支撑力大。反之则相反。 五、 银行业机构缺少合规管理操作实务研究 中国银监会出台 了风险资本计量指引、合规风险管理指引、内部控制指引、案件风险防控指引等规范性文件，都是围绕巴塞尔协议以风险资本计量为核心展开的，专门对银行合规风险管理做出了政策规定。国内金融科研机构和各家银行也在深入研究和吸纳国际银行合规风险管理理论与实务，掀起了研究与实施合规风险管理的浪潮。但是，当前国内银行业合规风险管理社会公共基础建设滞后，合规管理还更多地停留在理论研究、政策规划和制度设计阶段，对合规管理的实务研究缺失，以致银行机构，特别是中小金融机构在实施合规业务操作时感到迷盲，特别是基层机构员工不知如何开展合规管 理，致使银行员工行为失范导致的风险事件频繁发生，使银行蒙受了巨大损失，冲击金融安全。主要表现是： （一）银行合规管理的内外环境建设滞后。 然人民银行征信系统建设取得了巨大成就，但是没有形成完整的社会信用征信体系，如工商信用、服务信用、物业信用、贸易信用、学业信用、司法信用等 公民信用指标 没有被采集。导致银行机构合规与风险管理一旦面临客户失信就显得苍白无力。在这样的社会信用体系弱制约公民信用行为的环境下，银行业单方面的合规管理与风险控制，必然受到严重削弱，即使银行员工重视 14 自身行 为规范，讲究合规，也无法阻止客户失信带来的风险。 然发布了银行业员工职业规范、合规管理指引，但是在当前银行业追求经营效益与员工追求薪酬为首要目标的社会环境下，合规文化建没的阻力非常大，风险被效益冲击，合规被绩效淡化。