文/华润金融控股有限公司总经理 刘晓勇
据中国银行业协会相关调查显示 ,65%的银行把“提升风险管理能力”作为银行战略重点,占比超过“特色化经营”,成为当前我国银行业机构经营管理战略的重中之重。新常态下,健全风险管理机制已成为我国银行业重大而紧迫的现实课题。
近年来,国内发生一些重大信贷风险事件,涉及问题复杂,引发后果严重,影响波及面广,危及区域经济金融安全。暴露出我国银行业经营模式垒大户、风险管理搭便车、考核激励扭曲,盲目追求高增长、高利润,而风险管理、内部控制、合规功能等约束机制不健全的问题。问题倒逼我国银行业重新审视和反思健全风险管理机制的重要性、紧迫性和艰巨性。
一、进一步认识银行风险管理
银行业是经营资金、经营风险的特许行业,风险管理对于银行机构稳健经营和银行体系安全稳定的重要性自不待言。探讨如何健全银行风险管理机制,必须进一步认识风险管理。
(一)风险管理与银行经营管理战略
银行的核心竞争力体现于可持续的盈利能力。如何衡量,用一个简单公式表示:利润=收入-支出。可以看出,利润取决于两个方面:一方面取决于加项,就是收入,在减项不变的情况下,加项越大,利润越高;另一方面取决于减项,就是支出,在加项不变的情况下,支出越小,利润越高。当然,实际加项、减项是动态平衡,此消彼长都直接影响利润。粗略地讲,支出包括财务成本与风险损失,无论收入和成本怎么变化,风险损失越少,利润越高。公式清楚地揭示出,风险管理创造价值。或者说,风险管理既是银行经营管理的手段,也是目的。因此,可以把银行的经营管理战略简要概括为“一个中心,两个基本点”。即,以可持续的盈利能力为中心,构建良好的创新发展机制和健全的风险管理机制。其中,创新发展机制做大加项,风险管理机制做小减项。做小减项还涉及财务成本的降低,这是银行经营管理的常规问题,毋庸本文赘述。
(二)风险管理的两大作用
风险管理的诸多作用中,有两大作用需要进一步认识。一是如上所述,风险管理创造价值,风险管理的首要作用就是减少风险损失,从而增加利润。因此,风险管理创造价值,本身就是经营管理的目的。二是风险管理引导发展。就是在经营管理中引入风险调整资本收益(RAROC)这一工具,计算和使用经济资本。举一个最简单的例子,要放100万贷款,其中一笔发生不良的概率是10%,另一笔发生不良的概率是30%,银行应当选择发放不良概率10%的贷款。背后的道理是,第一笔贷款占用的经济资本少,或者说风险调整后的资本收益高。因此,风险管理的另一个作用就是引导银行选择业务。资产业务是要占用经济资本的,占用经济资本的多少就是选择资产业务的一个标准。提升信贷业务管理水平,要看经济资本的占用情况,或者说要计算风险调整后的资本收益。因此,风险管理也是银行经营管理的手段。
(三)风险管理五大要素
第一个要素是动力。健全银行风险管理机制,动力和能力缺一不可。风险管理的第一个要素就是动力,正规的说法叫董事会和高管层的监督。在分行层面,就是高管层的监督,就是行长重视不重视、监督不监督。风险管理的动力就来自行长,行长不重视,动力不足,风险管理的有效性至少打折50%。
第二个要素是框架。包括适当的政策、程序和限制等。政策涉及风险管理敞口多大,风险偏好如何,风险容忍度多高等,这又与利润目标等相关,所谓高收益高风险。风险政策可根据市场变化等进行调整,确定以后,风险管理原有的标准、程序、限制规定就要做相应的调整。
第三个要素是技术。包括适当的识别、测量、监督、缓释和控制系统,包括相应的信息支撑系统等。各类风险管理的共同特征,就是都有一套技术或程序上的支撑和规范,只是具体到不同的风险,技术或程序上存在差异。
第四个要素是健全的内部控制。内部控制 是银行对非授权活动和内部欺诈、造假行为进行事前防范、事中控制和事后评价的动态过程和机制。以今年3月24日的德翼航空空难为例,其中一个驾驶员刻意撞机制造灾难,发生了操作风险。其实,风险事件发生之前,首先是内部控制出了问题。内部控制“四眼原则”要求双人双岗制约制衡,其目的是防止越权。德翼航空对于驾驶员的权力限制就是无权单独驾驶飞机。这一权限规定是为了防范由于驾驶员有问题而发生操作风险。内部控制失效,有问题的驾驶员越权单独驾驶飞机,导致了灾难发生。
第五个要素是健全的合规功能。合规功能就是识别、评估、报告和控制合规风险的独立功能。合规风险管理是一种专门技术。合规不同于内控。合规涉及的“规”更具基础性、全面性。内控涉及的只是其中针对内部的禁止性和授权性规定。风险管理手段中,合规最具基础性,再往上是内控,内涵不同,运用的技术手段也不同,两者共同支撑风险管理。
(四)银行风险管理机制
“机制”一词最早源于希腊文,原指机器构造和工作原理,就是机器由哪些部分组成,这些部分怎样工作。以汽车作比喻,汽车由动力、传导和工作三个部分构成。要想让汽车动起来,首先要点火,这是动力部分;发动后通过传动装置将动力传导到车轮,这是传导部分;通过传导让车轮转动,把握方向盘指挥车轮运动,这是工作部分。三部分缺一不可。据此,风险管理机制可定义为:“由多个结构部分或变量组成、遵循一定方式对风险控制行为和活动产生相对运动或影响,并随时间发生变化的相互联动过程及其运行机体”。银行风险管理机制变量至少包括公司治理、风险管理、内部控制和合规功能等,公司治理是风险管理的动力部分,对风险管理、内部控制、合规功能有根本性影响,内部控制、合规功能既是风险管理的基本要素,又是相对独立的风险管理子系统。
基于以上,结合风险管理五要素分析,本文认为,可以将银行风险管理机制界定为:“由动力、框架、技术、内控、合规五个结构部分组成、遵循一定方式对风险控制行为和活动产生相对运动或影响,并随时间发生变化的相互联动过程及其运行机体。”近年来,银行风险管理五要素中,我国银行在框架、技术方面已经取得长足进步,但动力问题一直没有得到很好解决,内部控制越来越被虚化,合规功能越来越被边缘化。动力问题涉及银行治理结构和治理机制,如果银行所有者和高管层缺乏关心银行风险管理或长期价值的激励,风险管理就缺乏激励约束的“源动力”。公司治理的是另一个大课题,多年来的研讨文献汗牛充栋。本文主要探讨如何健全银行内部控制和合规功能。
二、健全银行内部控制
内部控制是风险管理的五大要素之一,是风险管理机制的重要子系统。近年来,由于内部控制边界不清、定位不准、机制缺失,“零容忍”文化被侵蚀,极大地影响了银行风险管理机制的健全性和有效性。
(一)内部控制被虚化的现状和原因
主要由于对内部控制与风险管理认识模糊,实际中银行内控工作难以落地。相关职能有的放在审计,有的与操作风险一起放在风险管理部门,或者建立内控风险管理委员会,制定内控与风险管理办法,但内容大多是风险管理,少有内控。内部控制之所以被虚化,根源在于内部控制的目标界定不清,未能有效区别于风险管理目标,导致边界被扩大化。国际上研究内控的权威机构COSO委员会将内控与风险管理做了整合。COSO委员会讲内控的三大目标:效益目标、信息目标、合规目标。效益目标与风险管理密切相关,合规目标应由合规功能实现,仅信息目标关系内控,涉及防止报表造假和信息披露欺诈。内部控制被虚化的另一个重要原因在于:内部控制是零容忍,风险管理是有容忍度的。将零容忍和有容忍度的东西混在一起,肯定难以零容忍。COSO委员会将两者整合在一个框架内,看起来很完美,反而让内部控制被风险管理湮没而难以落地进而被虚化了。
(二)区别风险管理与内部控制
内部控制是风险管理的要素之一,但了解仅限于此远远不够,进一步区别风险管理和内部控制对于做实内部控制至关重要。
第一,对象不同。内部控制的对象是内部人员及其行为。一般风险管理的对象是交易对手,特别是信用风险和市场风险,操作风险和流动性风险稍有不同,但大体如此。操作风险和内部控制两者有交叉,但可以是否零容忍相区别,风险管理包括操作风险都是有容忍度的。再者,内部控制是手段,防范操作风险是目的。
第二,目标不同。本文认为内部控制有两大目标,一是防止越权,二是防止欺诈和造假。内控目标如此界定,才能了解为何要求零容忍。任何一个机构,对于越权、欺诈和造假行为肯定是零容忍。但如果把效益目标等融合进来,那就没法零容忍了。以银行冒名贷款为例说明。银行授权规定贷款权限单人100万元,但是想贷300万元,怎么办呢?冒名贷款的做法是,先贷100万,再弄两个人的假账户,贷出200万,实际上都贷给一人。银行制定单人贷款不能超过100万的贷款政策,当然是经过充分论证的,越多贷风险越大。再加上逆向选择因素,越是越权和造假的贷款风险就越大。如果出了信用违约问题,表现为信用风险,但首先是内部控制出了越权与造假问题。只能贷100万,却实际贷了300万,就是变相的越权;冒名,一人变三人,就是典型的造假。
第三,手段不同。内部控制有两大手段,一是交叉核查,或者制约制衡。内部控制就是内部有人盯着,因此不敢越权或造假。“四眼原则”也好,“双人双岗”也罢,都是体现这个核心要义。二是留有痕迹,或者有案可查。涉及经营管理的任何事情一定要有痕迹。如果说事做完了,却没有痕迹,就没法控制。留有痕迹比较简单明了,毋庸赘述。难的是交叉核查,制约制衡如何实现。本文推介两类方法:旧的三道防线和新的三道防线。旧的三道防线:第一道防线就是以一线岗位的双人、双岗、双责为基础的制约制衡;第二道防线就是相关岗位、相关部门之间的制约制衡,典型的就是贷审分离;第三道防线就是内部审计监督部门,对各个岗位、各个部门、各个业务条线的全面监督和反馈。新的三道防线:事前、事中、事后三道防线。即,事前的制度警示,用制度警告提示哪些事能做,哪些事不能做;事中的过程控制,就是报告机制和处理机制;事后的稽核检查,就是事后的检查监督。事前事后相对容易做,事中最难做,最容易被忽视。然而内控能不能真正发挥作用,关键在于能不能形成一个完整的回路,即形成过程控制。如果没有事中,那就没有形成过程控制,或者说只有制度,没有机制。机制是可自我执行的,能自我发挥作用的。仍以汽车为例,如果说没有动力部分,车摆在那儿看起来是个车,实际上动不起来,所谓的制度最多也就是车在那儿摆着,可能很好看,实际不管用。缺乏传导部分,就是没有过程控制,车也徒具外表而已。机制和制度的主要区别就在于,机制有动力部分,而且过程控制良好。
第四,容忍度不同。如果将内部控制目标定义为防越权、欺诈与造假,内部控制就应该是零容忍。这是内部控制与风险管理的重要区别。经营管理出任何事情、任何问题,到底是内部控制问题还是风险管理问题,尤其是内部控制问题还是操作风险问题,用容忍度来衡量,就一目了然。需要特别指出,这里有两个方面都很重要。一方面,风险管理有容忍度就不能用零容忍要求,否则会付出高成本而违背了风险管理的初衷。以操作风险的容忍度为例。银行购买运钞车防抢劫,是买10万元的车、30万元的车还是100万元的车?当然100万元的车应当是最好的,相对来说被抢劫发生操作风险的概率最低。但是,风险管理是有成本的,如果这个地区比较安全,抢劫的概率又不高,买100万元的车成本就太高了。按性价比论证一下,买30万元的也许是最合理的。再例如,银行卡的防伪。防伪技术越先进,伪卡率越低。但是技术越先进,通常成本越高,平衡点是防伪技术投入的成本不能明显高于伪卡可能造成的损失。这些例子都说明,应当允许操作风险有容忍度。另一方面,内部控制应当零容忍,就不能有容忍度。“零容忍”是内控文化的核心。现在健全内部控制最难克服的障碍就是非零容忍的内控文化,而内部控制来不得半点变通,否则可能层层放大,越变越通。风险损失是外伤,是看得见的损失。内控与合规出了问题是内伤,内伤虽然看不出来,但有时内伤可以致命。典型的内控失效案例,近有德翼航空空难,由于没有严格执行内控制度,导致灭顶之灾。远有巴林银行里森,不受制约长期操作衍生产品交易,发生操作风险让一家百年老店的银行毁于一旦,毁于一人。
(三)如何做实内部控制
在将内部控制目标界定为防止越权、欺诈和造假的基础上,明确内控部门的职责定位,进而再做一些改进。
第一,加大资源投入。风险管理创造价值,内控是风险管理的五大要素之一,内控当然也创造价值,值得投入资源。首先得明确有一个部门管内控,然后从组织建设、人员配置、资源保障等方面逐步加大投入。当然内部控制的地位是做出来的,如果投入资源,甚至设立专门部门,但不出效果,最终一定被虚化或边缘化,只留个概念。能留个概念,是因为内部控制国际上已经强调了这么多年,谁也不敢丢掉。但如果不能做实,也只是徒有虚名而已。了解内控重要,明确内控该干什么和能干什么更重要。
第二,明确职能定位。一是授权管理。内控的第一定位是防止越权,内控的第一要务就是审核银行所有需要授权的领域。授权管理都是为行长 服务的。行长觉得哪些事情没有授权就不能做,就一定要加强授权管理。授权文件可以由相关部门制定,但至少内控部门要审查备案,否则有利益冲突,因为裁判员不能同时是运动员。授权文件只要有变化,就必须重新备案。二是有调查权。必须以正式文件赋予内控部门调查权。只要内控管理部门发现违规线索,觉得有必要,就可以进行调查。任何部门、任何人都必须配合,这个权威必须有。三是报告路线。内控部门负责人必须有直接向行长报告工作的权利与义务。有权利就是报告后不会因此而受到越权的指责甚至打击报复。有义务就是可以先向分管负责人报告,但如果判断有利益冲突,就必须直接向行长报告。应当判断必须向行长报告而没有报告,就要承担严重后果。四是行长管理。国内银行较通行的做法是由一位副行长兼管内控,这从制度安排上就存在利益冲突问题。如果违规的事因其而起,或者发生在其分管的部门,就有动机去抹平,最终大事化小,小事化了。所以内控和合规应当是行长直接管,或者风险合规官管,但必须忠诚、可靠,对行长负责才行。
第三,完善过程控制。过程控制由两个重要机制构成:报告机制和处理机制。其中,报告机制有效性是处理机制有效性的前提。而报告机制普遍缺乏有效性,正是我国银行业机构内部控制过程控制的短板。报告机制是否有效取决于两个方面。一方面,要有动力报告。发现问题有动力去报告非常重要,这样才可能让所有人员都成为内部控制管理者。其实,动力不缺乏,关键是要消除顾虑。动力至少有三种:一是出于责任心想报告。作为银行职员,不希望银行垮掉,不希望有人损害银行利益。二是分赃不均想报告。越权、造假往往是合谋行为,分赃不均,有人心理不平衡想报告。三是受到激励想报告。如果事实证明报告避免了资产损失,可以给予奖励。如果顾虑不愿领奖,发现是人才也可以提拔重用。所以,让动力变成行动的关键,且不说奖励,至少不用担心受到打击报复。内控所要防范的越权、欺诈、造假行为,都是内部人所为,要么是同事,甚至上级领导。让报告人没有顾虑是底线。另一方面,要有地方报告。发现有人越权或者欺诈、造假,想报告但不知道如何报告是不行的。要设计一个接受报告的平台,报告便捷,可以匿名,严格限制了解信息源的人员范围,最好只有行长、内控部门负责人及个别操作人员知道,并且规定一旦泄漏信息源要承担严重后果,否则这个机制就建不起来。这也是行长应当直接管理内控的重要理由之一。处理机制的有效性也取决于两个方面。一方面,报告平台接到报告后及时筛选价值信息线索,并及时提供给适当的部门和人员提请处理。另一方面,接到提请处理的信息要及时判断,必要时及时采取纠正措施。接到报告不及时处理,行长就予以严厉处理。报告机制与处理机制都有效了,才能形成回路,过程控制才有效,内部控制才有效。
三、健全银行合规功能
合规功能是实施合规风险管理的机制,区别于合规部门。负责合规风险管理的,视机构规模,可以是一个部门、处室、小组,甚至是一个人。关键是合规功能存在,有正式地位,遵循相应规范,有效发挥管理合规风险的作用。
(一)明确风险内控合规的关系
合规功能和内部控制都是风险管理的要素、手段,都是支撑风险管理的。合规功能管理合规风险,风险管理的一般程序可以适用,但不能照搬。合规功能主要是约束内部人的,内控三道防线等也能适用。内控之规是合规之规的一部分,主要涉及“禁止性规定”,而合规之规的范围更宽泛,有国家法律、行政法规、部门规章、监管规定、行业规定乃至内部员工职业操守等规定。因此,在支撑风险管理方面,合规功能更具基础性,再往上是内部控制,更具针对性,都是风险管理的重要手段。此外,合规风险是一种特殊的风险,合规风险管理有专门的规范和要求,合规功能是专司合规风险管理的独立功能。
(二)做实合规功能“三步曲”
长期以来,我国银行合规功能越来越被边缘化,原因在于能力和动力都存在不足。最主要是缺乏基础,未能做实合规功能“三步曲”。
第一步是梳理规则。梳理规则是建立合规功能的基础,不仅要梳理既有存量规则,还要动态维护增量规则。目前我国银行在按“立、改、废”要求定期对各项制度进行梳理和动态维护方面做得还很不充分,制度过多过滥、重叠交叉或存在真空盲区,制度更新和修订不及时、不到位,严重滞后于业务发展创新和风险管理需求。
第二步是分解规则。因为梳理出来的规则层级不一,规制要求程度不一,实质与形式成分不一,应当进行分类分解。第一类是指令性规定,主要是禁止性规定,内控之规就是禁止性规定,坚决不能违背,违背后果很严重,可直接进行查处。第二类是指导性规定,违背了指导性规定,后果比较严重,但也可能情有可原,有些指导性规定可以视情况变通执行。第三类是指引性规定,指引性规定就是风险或要点提示,相关情况应当考虑周全才能做,如果未能遵循而出现不好结果,表明工作不称职。
第三步就是嵌入流程。规则经过梳理、分解后,还要嵌入到经营管理和业务流程之中。如,应当把指令性规定流程化,A环节未完成就不能进入B环节,达不到相关要求,业务流程不能往下走。
银行合规功能被边缘化与未能做实“三步曲”直接相关。没有“三步曲”,合规功能缺乏基础支撑,出不了实效,甚至难以立足。“三步曲”需要大量投入,梳理规则不容易,分解规则更难,规则嵌入到业务流程中难上加难。有的业务可以电子化,有的业务无法电子化而只能用纸质规定予以明确,何况合规内容还要经常更新,不可能少数人承担。规则的梳理、分解、嵌入都应当由总行顶层设计、系统实施。但由于现期投入大,长期才可能有效用,加上目前违规成本较低,银行一般缺乏做实“三步曲” 的动力。
(三)强化合规功能正式地位
不做实梳理、分解与嵌入这三步,合规管理难以真正实施。但这三步还不是合规管理的全部,合规管理的正式地位同样重要。正式地位就是通过银行内部正式文件明确规定合规部门的地位和职权。其中,独立性、相关权利与报告路线特别重要。
第一,独立性。一要明确合规部门的定位,主要职能职责。二要明确合规部门的独立性,任何人、任何部门不得违规干预。三要明确合规部门与其他部门的关系,比如合规部门与业务部门、风险管理部门、内审部门的关系。
第二,相关权利。一是信息要求权,就是合规部门有权要求任何部门提供信息和接受质询,不管是合规部的负责人,还是一般的合规工作人员,只要认为可能存在违规行为,就有权要求提供信息,甚至可以要求接受质询,哪怕是高管人员,都必须如实回答,记录在案,任何人不得拒绝。二是违规调查权,合规部门如果发现违规线索,可以调查取证。三是合规审查权,如业务创新,合规人员应参与论证。甚至在研发过程中,就应邀请合规人员参加,合规风险管理关口前移。还可以向重要业务部门、业务条线派驻合规官,形成矩阵式合规管理。
第三,报告路线。报告路线是合规功能的生命线。与内控管理一样,必须明确合规部门越级向董事会或高管层报告的权利和义务,建立员工发现违规问题的诚信举报和保护激励机制,明确报告路线及部门,定期对合规功能有效性进行评估,发现合规功能缺陷或问题后,及时处理,包括建立健全制度规则、动态调整业务流程、处理结果通报反馈等。此外,应完善对合规部门及人员的监督检查、考核评价和问责处理机制,强化履职评价和责任追究。
风险管理是银行的核心竞争力。我国银行业机构如果能够经受经济下行风险的严峻考验,认真总结风险管理的经验教训,做实内部控制,完善合规功能,就可以在健全风险管理机制、提高核心竞争力方面迈上新台阶。
(本文编辑/张英凯)