編者按:近日,美聯儲理事會成員蘇珊.貝葉斯就商業銀行全面風險管理問題發表演講,反映了美國監管當局對商業銀行風險管理發展的關注。國際部和深圳銀監局對其中的重要觀點進行了摘編,供業界人士參閱。
關于全面風險管理的總體看法
金融服務業不斷變革,以應對由新技術和業務流程、新金融工具、金融機構規模和經營范圍擴大、監管環境變化帶來的挑戰。作為美國州立銀行的主要監管當局和金融控股公司的監管當局,美聯儲與其他監管機關及金融機構保持合作,提高監管的有效性和針對性。美聯儲一直強調被監管金融機構要建立適當、有效的內部控制,并不斷完善風險為本監管的方法。這些年來,銀行內部跨部門的全面風險管理也倍受重視。
某些情況下,銀行可能對每一筆業務都進行良好的風險管理,但對整體風險的重視不夠。銀行的快速成長可能給許多方面帶來巨大壓力,如管理信息系統、變革管理控制體系、戰略計劃、信貸集中度、資產/負債管理等。銀行必須了解各項業務如何相互作用,其中一些業務可能相當復雜。成功的全面風險管理方法可以幫助銀行應對這些挑戰。
全面風險管理包括:
- 把企業的風險承受力和戰略聯系起來,
- 提高企業應對風險、準確決策的能力,
- 降低操作意外事件和損失的頻率和嚴重性,
- 識別和管理多種和跨企業風險,
- 主動抓住機會,
- 提高企業資本配置的有效性。
在COSO框架中,全面風險管理由八大相互關聯的部分組成。他們是從企業管理模式中產生的,與管理過程融為一體:(1)內部環境,(2)目標設定,(3)事件識別,(4)風險評估,(5)風險反應,(6)控制措施,(7)信息和交流,(8)監控。
- 內部環境。內部環境——企業的基調——反映企業的風險管理觀、風險承受力和道德價值。它決定全體員工如何看待和處理風險。企業的最高層確定基調。
- 目標設定。在管理層可以識別那些影響企業實現目標的事件之前,必須設定目標。董事長批準企業目標,管理層負責實現目標。全面風險管理確保董事會有一套方法制定合適的目標,支持并符合企業的遠期目標,以及與企業的風險承受力保持一致。
- 事件識別。必須識別和衡量可能影響公司實現其目標的內部和外部事件。必須區別風險和機會。機會應反饋到管理層的戰略決策或目標設定程序中。
- 風險評估。分析各類風險發生的可能性和潛在影響,是銀行管理風險決策的基礎。應評估內在風險和剩余風險。
- 風險反應。管理層決定如何應對風險——規避、接受、減少、或共擔風險——制定一系列聯系風險與風險承受力的行動方案。
- 控制措施。建立并實施有關政策和流程,確保有效地實施必要的風險反應。
- 信息和交流。用表格和時間表識別、捕捉和交流有關信息,幫助經理和員工履行職責。有效的交流還具有更廣的含義,要在企業內部自由流動。企業常利用重要的風險指標和經營指標交流信息。
- 監控。必須監控企業全面風險管理的全過程,并在必要時進行修改。在持續經營和獨立評估中都要進行監控,這是一個持續的過程,不同于定期的測試和審計。
下面介紹最近發生的幾個銀行案例。這些案例凸現全面風險管理的重要性。管當局和商業銀行都應該從這些案例中汲取教訓。
合規風險
在管理合規風險方面,即受到法律或監管當局處罰的風險、財務損失或損害企業聲譽和價值,全面風險管理可以實實在在地創造價值。當企業違反其業務和職能適用的法律、法規或行為守則時,這類風險可能增大。美聯儲希望銀行建立識別、監控和有效控制合規風險的基礎。毫無疑問,這個基礎必須與其合規風險的情況相稱。對于大型和業務復雜的銀行,除非已建立起良好的風險管理規劃,否則特別難以對付合規風險。
要建立合適的合規風險控制手段,銀行必須首先了解整體的合規風險。經理應每年至少評估一次他們職責范圍內的風險和控制手段。我還要強調董事會建立自上而下的合規文化的必要性,由高級經理在銀行內部作充分的溝通,確保所有員工理解他們的合規責任及其在合規管理規劃中的作用。清楚的內部信息溝通和授權規定有助于避免利益沖突。
整體合規風險管理規劃應是動態的和主動的。這意味著,在增加新業務部門或種類時,或者現有業務和流程發生變化時,要持續地評估有關風險。在關程序應該包括評估這些變化將如何改變風險暴露的水平和性質,控制措施是否能把風險有效地控制在目標水平內。必須不斷提高對(合規風險的)認識,不僅與銀行的產品和服務戰略相一致,還要與監管變化相適應。為避免某項程序無人管控,銀行必須持續地重新評估其風險和控制手段,并與業務部門溝通。此外,如果合規風險管理被視為一次性工作,只在有新法規或產品時進行,那么這家銀行的處境危險。沒有合規風險管理程序,銀行就不能保證合規風險管理規劃的有效性。
管理層要把合規風險管理融入銀行的日常業務流程則更加困難,因為它通常反映的是立法或監管機構的要求,而銀行并不把它看作成功的關鍵。比如,銀行家了解信用風險管理和利率風險管理對銀行如何重要,因為他們能減少收益的不穩定性,并控制損失。另一方面,法規是為更廣泛的社會目的而制定的,在銀行看到,對收入的增長的好處不大,把這些法規看作昂貴的命令。比如,《愛國者法案》要求銀行向政府報告大額交易,國內銀行界很多人表示,這種報告是一種負擔。我可以向你們保證,我們承認銀行針對監管要求在合規方面所做的投入和承諾,包括反洗錢和反恐的法規。美聯儲將繼續與聯邦政府的相關部門合作,鼓勵大家多多反饋這種報告為反洗錢活動和反恐怖主義所做的貢獻。
操作風險
在過去幾年,美聯儲不斷提高對操作風險的重視。對于在非金融機構工作的人,相對信用風險和利率風險的而言,企業最大的風險可能就是操作風險。銀行從這些實踐中學習到很多經驗。現在,操作風險對銀行家越來越重要,主要因為他們可以通過買賣貸款、利用金融衍生品、以及有效的模型來規避和管理利率和信用風險。此外,增長最快的收入越來越多地來源于交易處理、服務賬戶和買賣復雜的金融產品。為成功完成交易,銀行必須具有復雜的系統。
銀行還應運用先進的模型來估計和管理信用風險和市場風險暴露。隨著越來越多地運用復雜的模型,銀行需要更強的風險管理。模型的操作設計和數據真實性方面的缺陷可能給銀行帶來重大損失。那么,有效的風險管理要求金融機構使用更加專業化的員工來識別系統需求、監控系統的有效性以及恰當地解釋模型分析的結果。
從對銀行的檢查中,我們掌握很多操作風險的知識。比如,在對操作風險的日常檢查中,我們審查銀行政策、流程和內控制度的充分性,包括對風險較高業務的日常控制的測試。經驗告訴我們,操作控制方面存在的普遍問題值得關注。
在電匯和類似業務中,如果不能有效降低操作風險,銀行可能因未經授權而進行的資金調撥而遭受重大的財務和聲譽損失。我們常常建議銀行(1)針對電子交易,建立合理的批準和授權要求,保證相應的管理層知道交易情況,并培養更強的責任感;(2)針對客戶電子轉帳要求,建立電話回訪程序、密碼、資金交易協議和其他確認交易的控制程序;(3)增強對交易真實性的控制,因為這個領域也特別容易受到外部欺詐的影響。
貸款管理是銀行可能遭受重大財務損失的另一個領域,由于不當的責任分離或缺乏雙重控制。銀行還可能因為沒有有效減少操作風險因素而遭受聲譽損失。在這類檢查中通常做以下建議,也適用于一般企業(1)確保信貸人員不做貸款的會計記賬和管理工作;(2)限制員工進入與其職責無關的信貸系統電腦設備;(3)為業務員工提供一致的指引,以政策和流程的形式,指導如何識別和處理非正常交易。
重新報送財務報表引發的操作風險
有時會迅速出現意外的風險。比如,各行業的財務報表質量的變化。2005年,有大約1200家上市公司的財務報表重新報送,比2004年多出一倍。GAAP會計準則較復雜,審計師和監管機構(主要是證券和交易委員會)對會計準則的解釋更嚴格,是導致重新報送的兩大主要因素。
重大的重新報送內容包括美國金融會計標準委員會衍生會計準則下對套期和租賃會計的問題。重新報送套期會計一般是由于銀行錯誤使用“快捷”法。有問題銀行沒有達到使用“快捷”法的所有標準,而“快捷”法允許采用套期會計法處理。
至于租賃會計法的問題,大多數公司只是沒有遵守長期存在的會計標準,涉及收入確認、準備金、利息收入、或有費用和剩余資產帳。他們認為重新報送前的會計報告是正確的。事實上,這些公司以前使用的審計師事務所現在都向上市公司會計監督委員會(PCAOB)登記。PCAOB的檢查,包括對登記的事務所進行詳細審查,可能是導致重新報送數量上升的一個原因。
在2002年薩賓斯-奧克斯利法案第404條要求每家上市公司的年報包括管理層報告,說明對財務報告的內部控制。銀行在重新審計之后,2004年報告期內的內控重大缺陷的數量從最初的37個上升到52個,這表明會計處理過程中存在大量的操作風險。
通常,檢查人員按照薩班斯-奧克斯利法案第404條規定的程序,判斷銀行是否完全理解審計委員會、管理層、內部審計、外部審計的作用,是否實施了有效方案以達到第 404條規定的目標和要求,是否針對重大缺陷和不足制定有效的跟進策略。在可能的情況下,檢查人員可在全面評估銀行的風險管理和控制程序,以及界定有效監管的風險范圍時,利用第404條檢查的結果。
信息安全
幾乎每周的新聞頭條都有非公開的客戶信息受到網絡攻擊和安全破壞的消息。金融機構為此遭受了上億美元的直接損失,聲譽也受到嚴重影響。盜取身份給客戶帶來的損失也相當可觀。隨著銀行越來越多地利用互聯網與客戶、商業伙伴和服務商進行互動,把互聯網作為交流和支付的渠道,對于這方面的關注也越來越多,要求銀行使用更加復雜的控制系統,比如全面防火墻防護系統、多重認證系統、虛擬私人網絡連接系統等。
許多眾所周知的信息安全漏洞,導致銀行外部的人士接觸到客戶信息,與此同時,機構還面臨內部人士違規或濫用信息而產生的風險。我們在檢查中發現,內控不嚴造成經營損失,追根求源是因為對內部人士進入與電子資金調撥網絡連接的信息科技系統的控制不嚴造成的。進一步的調查發現,內部人士接觸到會計和相關系統直接決定了欺詐及損失的持續程度和大小。
我們可以得出幾個教訓:第一,銀行應嚴格控制人員登陸資金調撥系統,并確保系統登陸的設置能強化職責分離、雙人控制和管理層最后把關。第二,應限制高級管理人員經常進入業務系統,特別是資金調撥系統。當這類限制手段不可行時,必須有效進行其它控制。最后,有效的信息安全風險管理,即使只集中在一個部門,要求全面評價相關風險。
共同基金
眾所周知,共同基金公司的延遲交易和擇時交易行為以及相關調查,已經波及許多行業,包括銀行、證券和保險公司。這類內控違規招致處罰、財務損失及對公司聲譽和特許權價值的不利影響。
下面強調幾點從共同基金內控違規案件調查中得到的經驗。其中,最顯而易見的一點,就是要嚴格地評估需要進行特殊處理的非正常客戶關系。如果對某單一客戶的賠償占總賠償額的較高比例,必須立即引起警惕。銀行還應建立一套程序,在開始建立客戶關系時,審查和批準個別產品、客戶和服務。此外,最好對歷史上被認為是“低風險”的領域進行驗證。某項業務較少發生損失,但在評估風險時,不能作為唯一的考慮因素。
最后,如果激勵員工銷售的薪酬制度不包括對員工內控違規的足夠監控,則可能造成員工利益和公司利益的矛盾。當公司逐漸從固定工資制度轉向以激勵為基礎的制度,把人事部門納入有效的整體風險管理體系是很重要的,要考慮薪酬變化給公司風險帶來的影響。
信用衍生品
銀行用全面風險管理的觀念來設計和建立新業務是很重要的。去年監管當局和信用衍生品交易商進行了一場對話,目的在于鼓勵業界努力解決信用違約交換協議的操作方面的問題。雖然我們認為這些新金融工具能有效改變和減小信用風險,但業界進行的一項研究(《交易對手風險管理政策小組報告》)發現,對這些金融工具進行銷售和風險監控的支持系統存在重大缺陷。該報告提出了47個建議,美國和其他國家的監管當局則重點關注兩個重要缺陷。
一個重大缺陷關系到產品是否成功。交易量增長迅速,以至于代理交易人無法用現有系統記錄交易,導致大量的信用衍生品場外交易得不到及時確認。有關交易數量、條件和交易對手的信息能否全部輸入風險管理系統。在壓力環境下,需要迅速調整頭寸以降低風險時,這個問題將更加嚴重。
另一個缺陷有關缺乏強制執行合同條款的原則。在進行場外交易時了解交易對手是相當重要的。因為交易雙方不是通過交易所,而是直接向對方支付款項,完成合同條款。市場慣例是通過抵押物或定價來降低對方違約的風險。最近,業界的研究還發現,由于競爭壓力太大,經紀人不再堅持履行標準的信用違約交換協議,且允許交易對手在不告知經紀人的情況下把交易轉給第三方。很明顯,這將大大改變一筆交易的風險狀況,還很難保證及時進行清算。
最近,一些主要商業銀行重申將努力提高基礎設施,支持信用衍生品市場的承諾。他們將制定并實施一套可以在業界廣泛使用的指引,包括把各市場參與者的交易確認問題降低到一定程度,保證強制履行合同條款。除此之外,這14家市場參與者將合作建立一個電子化市場,所有交易均可在一個行業統一的平臺上進行,為那些不能通過電子手段確認的交易設立一套新的處理標準,以及建立新的清算流程。
總的來說,我們對業界自查問題并做出改善市場的承諾感到滿意。但信用違約互換交易的問題使風險經理面臨更大的挑戰,市場壓力迫使銀行的各級管理人員不愿對其主管的業務進行適當的控制。對于新業務,有時全面風險管理必須與企業外的競爭者配合,共同支持公用系統的發展和標準,以降低風險。
總結
美聯儲認為所有的銀行都需要良好的風險管理,有助于設定整體目標、灌輸企業文化、保證對主要的業務和風險經常進行監控。高級管理層必須參與全面風險管理,因為他們決定銀行承受風險的水平和類型,以及采取哪些控制和降低風險的辦法把風險暴露維持在既定的水平。
此外,銀行不應忽視或偶然忽視那些可能隱藏重大風險的低風險業務,比如財務報表報告、信息安全及后臺系統。操作風險帶來的危害可能導致公司價值的損失。解決這些問題通常要從基礎做起,比如培訓、建立內部控制、合適的公司文化。因此,銀行應把全面風險管理的原則看作確保其有效應對不確定性、風險和機會的辦法。
