第二节
董事会承担最终风险责任
一、股东是银行风险治理发起者
股东通过董事会、监事会、审计委员会和外部审计机构决定着银行风险管理发展的方向。以市场为导向的现代银行治理规则中,股东的重要性日益突出,因而对股东信托责任的要求也增强了。银行许可程序一般包括强制性地认定主要股东以及最低数量股东要求(在不同的法律体系中有所不同)。要成为银行设立者或者大股东(一般来说持股比例为10%—15%),必须获得监管当局的书面批准,批准前提是股东具有预先设定其标准的能力;设立这些标准是为了向公众表明,股东能够且愿意履行受托责任:在需要时,股东能够提供额外资金,但不会利用银行对自己喜好的项目提供资金。
股东在董事会成员选聘、风险战略目标确立、监督制定风险政策等治理过程中扮演着关键角色。监督董事会制定恰当业务战略,保持合理资本总额,防止董事会成员以及整个银行内部谋私利的行为。在银行规模日益扩大、股份日益分散的情况下,单个股东在银行管理中难以行使监督控制权利,但可以通过市场出售持有股份来行使权利。
二、合格胜任的董事会至关重要
银行监管当局强调董事会的信托责任,非常关注对董事会的履职监督,法律和规则通常控制董事会成员的选举、要求的人数、任职/免职规定以及对外部利益相关者的信息披露要求,其他相关法律和规则涉及的是约束、限制针对董事会成员的内部交易。
董事会对银行风险承担的影响主要表现在董事会规模、独立性以及董事会的领导结构(董事长与行长是否职能合一)。董事会成员结构非常关键,研究表明,60%的破产银行其董事会成员要么缺乏银行知识,要么对银行事务的监督毫不知晓,漠不关心。强势的董事会和强势的执行董事是避免灾难的良方。董事长不兼任管理职务的董事会比董事长兼任行长(CEO)的董事会更加客观。银行需要一个强有力的知识型董事会。董事会应该鼓励开放讨论,容忍意见冲突,因为冲突表明正反两面都考虑到了。独立(非执行)董事的主要职责是避免那些可能威胁银行生存的经济和法律错误,如董事会高效运转,那么内部控制和外部审计发现的问题应该很快引起重视。
高效运作的董事会应很好地理解银行业务活动的本质及其相关风险。它应该采取合理的步骤确保管理层已经建立了强有力的系统来监督和控制这些风险。即使董事会成员未必一定是银行风险管理专家,但要确保找到这样的专家,并强力支持他们能恰当地检查运行的风险管理系统。董事会应及时采取行动确保资本总额与其经营业务环境、业务和风险组合相匹配。
三、董事会全面承担风险管理责任
董事会负责确定银行集团风险管理总目标和风险偏好。在自有资本约束下,董事会基于业务发展战略确立银行集团风险管理总目标,确定并有效传达风险偏好,确定风险容忍总水平,并按风险大类分别确定各类风险的最高风险限额,见图1-2。董事会必须确保风险合理分类,准确界定各类风险,加强内部风险信息沟通和交流,通过风险模型进行有意义的量化汇总,把握总体风险状况,确定总体风险政策和资本管理策略。
图1-2 确立风险偏好基本流程示意图
董事会对银行风险偏好至少每年审议一次,决定关键风险指标种类及其限额并适时调整。风险偏好指标一般定义为若干关键风险指标(KRI),包括但不限于如下指标:(1)经营绩效指标,如风险调整收益率、资本回报率、资本充足率。(2)信用风险指标,如不良贷款比率、不良损失;全行、重点客户和业务部门层面客户信用评级和五级分类的结构分布;单一借款人,按客户类别、业务类别、地域(分行或国别)、行业、产品、期限等层面集中性风险,以及资本配置。(3)市场风险指标,如VaR和PVBP限额、止损限额、压力测试限额,可按照交易账户(包括投资账户)和银行账户的各个组成部分、各境内外分行设定,以及资本配置。(4)流动性风险指标,如各境内、外机构分货币的最低流动性水平。(5)操作风险指标,如按照公司、结算、零售、银行卡、资金交易、金融机构等业务线,按汇款、证券、托管等业务种类,按照境内、海外及附属公司等分支机构设定操作风险损失率等关键风险指标,确定操作风险损失的最高限额及资本配置。一家银行价值导向、业务发展战略与风险管理战略的有机结合就形成了该行特有的风险偏好。高管层要把可接受风险承受水平清晰地体现在银行管理流程中,使银行风险承受水平与业务战略相结合,并通过限额管理全面评估风险/收益优劣,见图1-3。
国际银行业设置风险偏好时,有意或无意地融入了对政策趋向、资产规模和内部规章因素的考虑。决定风险偏好时,必须估计包括竞争优势或比较优势的关键性战略因素,竞争优势要从市场表现、业务或产品组合、客户基础和承受可调整风险意图的角度进行考察。为定义银行“可接受风险偏好”,必须考虑该行能承受和管理多少风险。一家银行能承受的最大总风险取决于银行所拥有的资本总量及资本结构,而银行拥有的资本总量及其结构则由银行股东出资额、监管当局以及期望的信用等级决定的。
二是确立银行集团范围内全面风险管理基本原则。主要是:(1)依法合规原则。即严格遵循法律法规及监管部门规定和指引,合规稳健经营是风险有效管理前提;银行内部各项风险管理政策、组织、流程必须满足监管规定和基本标准要求。(2)收益匹配原则。即通过主动控制,平衡收益和损失,每类业务活动收益都应与其所承担风险相匹配,保持银行净利差为正。(3)相对独立原则。即风险管理部门相对独立于业务发展部门,从独立视角识别、度量和控制风险。(4)严格问责原则。即通过严格内部控制机制,明确岗位职责分工,明晰权责,明晰规则违反处罚条例;各岗位职责具体到人,实行利益冲突严格分离制度,问责到岗位责任人。(5)协调一致原则。即确保风险管理目标与业务目标一致,保持统一风险管理战略和控制策略。(6)充分披露原则。即按照监管要求,向监管当局提供风险信息,或向社会公众披露信息。
图1-3 银行风险偏好结构示意图
三是明确自身履行全面风险管理责任,主要包括:确定银行在各个风险管理领域应该遵守的基本原则,设计或批准一种明确各个层次授权及责任的机构,评估和批准能清晰量化的可接受风险;确保银行审慎稳健运营所需资本数量和质量;确保高管层有效开展识别、计量、监控各种风险的必要步骤,定期检查风险控制情况以确定他们保持良好状态,定期评估长期资本持有计划;确保内部审计部门对政策和程序一致性进行检查;正式授予管理层制定和执行战略的权力,确定风险管理报告内容和频率;保证良好人事和薪酬制度以及一个积极的工作环境;评估首席执行官的风险调整绩效;决定执行董事会成员的薪酬;确保银行有足够恰当的内部审计,促进风险管理政策完备且被有效执行;确保适用于银行业务的法律法规被遵守,并确保所有合理系统任何时候都在良好地运转。
四是应明确高管层风险责任,并自上而下严格实施风险问责。良好治理机制应该在每个层级建立起风险问责制。典型的风险治理中,董事会在银行执行管理层意向性风险方法的影响下,确定风险偏好及运营参数,批准成立风险委员会,制定风险政策;风险委员会由高级风险官、业务单元及风险控制单元高级领导组成,受董事会委托建立风险管理流程,制定风险政策,设定高层面的风险限额(以反映银行总体风险偏好),接受董事会授权行使相应的审批权。风险委员会则授权高级风险官担任独立风险管理职能部门的责任人,高级风险官可转授权给作为副手的市场风险官和信用风险官。高级风险官可在风险委员会授权下,在事前设定的超权限一定比例下,自行决策。任何超过预先设定的审批水平,则应由董事会附属委员会召集会议审定。风险问责制必须自上而下推行,从风险委员会到高管层,再到执行层,都要权责对称,审慎履行职责,实施严格问责。
四、风险审计延伸董事会风险职责
尽管董事会承担银行风险管理的最终责任,但审计委员会仍被看做董事会风险管理职能的延伸。在复杂组织中,审计委员会是帮助管理人员识别和处理风险问题的有用工具,其使命就是“在团队范围基础上加强风险管理”。因此,风险审计的目标应该是:(1)使管理层能够识别和管理业务风险;(2)提供独立的风险评估报告;(3)评估运营的有效性、效率和经济性;(4)评估会计和计算机系统所提供信息的可信度;(5)为授权经理提供研究服务。风险管理流程必须定期进行内部审计,审计方案必须足以识别风险流程、沟通交流、风险政策及实施等的潜在缺陷,通过审计专员定期检查风险职能,发现风险流程的各个环节问题,对整个风险流程有效性进行评价。
内部审计委员会和内部审计人员的风险管理责任主要是:(1)检查管理者遵守董事会政策和程序的情况;(2)提供关于公司治理、控制系统和风险管理过程的保障情况;(3)核实管理层向董事会提交的信息充分性和准确度;(4)定期向董事会汇报政策和程序的执行情况;(5)改善董事会和管理层之间的交流;(6)评估和披露有关风险管理措施恰当性;(7)检查所有方面的风险行为和风险暴露;(8)确保对资产风险暴露、风险限额以及超限额时所采取行为的有效控制;(9)确保管理层完全理解已建立的政策和程序,并具备这些政策和程序所需的专业技能;(10)评估运营情况,提出有效的改进建议。
外部审计作为风险管理中承担着特殊职能。外部审计员的主要责任是:(1)评估他们所审计的银行固有的风险;(2)分析和评估所获得的风险信息,以保证这些信息对评估风险来说是有用的;(3)理解交易的实质和客户银行所使用的金融交易手段;(4)检查管理层遵守董事会的政策和程序的情况;(5)检查提供给董事会、股东和规则制定者的信息;(6)检查满足法律要求的情况;(7)就提交给他们的信息的公正性向董事会、股东和监管当局报告。