风险管理须落实到"八全"
国内商业银行的风险管理经历了由点到线再到面的变化历程,现在许多银行都在推进全面风险管理。此前,有一家大型银行的高级管理人员将全面风险管理定义为“六全”,即全球、全面、全员、全程、全额、全新。更多的银行则是按照监管部门的要求,把全面风险管理从过去单一管理的信贷风险(或信用风险)、市场风险扩展到包括操作风险、流动性风险、国别风险、声誉风险、战略风险、合规风险等在内的全面风险管理。这些理解和要求都是有一定道理并符合国内银行实际的。但通过2008年以来国际金融危机的实践,笔者观察到,这场持续近5年的金融危机不仅对国际银行业带来了沉重的伤害,对全球多个国家和地区的经济、社会、民生、政局等也造成重大负面影响。迄今为止,欧洲地区一些国家的主权债务危机虽然有所缓解,但病根实际未除。美国、日本等多个国家实行的货币量化宽松措施接二连三,愈演愈烈,大有一场开打全球货币战争之势。而国内银行业2013年的内外部形势也十分严峻,就风险管理而言,笔者认为,当前的全面风险管理应该落实到以下“八全”上。 全系统风险管理 全系统的概念包括海内外、表内外和主营业务内外。 海内外 在股份制改革和公开上市以前,我国的商业银行基本上都在国内经营,然而在四大银行纷纷上市以后,由于成为国际公众持股银行,不仅资本充足了,信息也公开透明了,许多国家和地区陆续向中国银行业敞开了金融大门,国内的几大银行开始向国际化方向大举前进,在近5年取得了突飞猛进的发展。笔者预计,到“十二五”期末,如果仍然按照现有标准来确定全球系统性重要银行,我国至少有三四家银行会进入全球系统性重要银行的行列。回到风险管理的话题上说,如果要成为国际化的系统性重要银行,该银行的风险管理就不能只有国内视野,而必须有更宽广的国际视野、全球视野。对其海外的经营机构更要备加关注和留神。因为从国际上一些著名银行的破产倒闭或丑闻昭彰案例可以看出,都是由其海外机构引发的。 回到海内(即中国内地),这几年国内的商业银行经过股改、上市的磨练,对风险管理高度重视,已从单一的信用风险管理开始走向包括信用、市场、操作、流动性等10余种风险管理在内的全面风险管理。但也应该承认,在全面风险管理面前,国内商业银行还是一个小学生,以至于对国际上那些复杂的金融衍生产品,中资银行一旦参与市场交易,几乎全部以亏损收场。就风险监管而言,虽然监管部门年年都在高调提醒要以风险为本,实现安全稳健发展,但银行体系内仍然每年都有一些重大风险损失的事件发生,有些事件如果完全展示出来也是非常令人触目惊心的。面对复杂的国际国内环境,银行监管部门这两年已经改变策略,指令性的要求是“守住不发生系统性、区域性风险的底线”。一旦底线没有守住,即中国的银行发生了系统性或区域性的风险,中国的金融事业就面临重大危机,甚至会危及中国经济、政治、社会的安全,因此我们绝对不能掉以轻心。 表内外 表内外就是指银行资产负债表的表内和表外业务,都要纳入全面风险管理的视野和框架内,有专门的部门或人员识别、计量、监测、分析、报告、处置等。当前即使用一般标准衡量,国内最好的商业银行目前至多也只是做到了表内有人管,表外仍边缘。近几年国内国际的监管部门对银行表内业务盯得越来越紧,对表内业务的资本充足标准也定得越来越高。但是对表外业务,似乎是缺乏国际、国内的统一标准,抑或有也为了不限制商业银行的业务创新,现在有些商业银行在表内业务受到严格监管的情况下,就动起了把表内业务向表外转移的脑筋。甚至有的干脆就把本应是在表内核算的业务转移到表外核算。近两年,各家银行的理财产品业务、同业代理业务、委托贷款业务之所以高速度地增长,不能不说与这种从表内转到表外的监管套利指导思想有关。 前几年,由于各家银行只披露资产负债表的表内信息,对表外业务情况几乎只字不提,所以,各家银行的表外业务规模究竟有多大,还是一个未知数。笔者从某银行了解到,该银行属于信贷承诺类的表外业务风险敞口,占其同期表内外业务风险敞口的大约14%,也就是说,表内业务与表外业务之比6:1。如果这个比例对各家银行都适用的话,到2012年底,估计全国银行业的资产总额达到130万亿元以上,则表外资产规模少说也在20万亿元以上。应该说这个规模已经相当大了,一是相当于2012年全国财政收入(11.72万亿元)的1.7倍;二是相当于2012年全国GDP(51.93万亿元)的38.5%。三是如果加上银行理财产品余额7.12万亿元,银行业表外业务规模可能接近30万亿元,相当于工行、中行2012年表内资产总量的和,这是绝对不能小觑的。及时防治这种表外业务风险向表内的转移和积累,避免积重难返,这是非常正确的。 按照“巴塞尔协议Ⅲ”的新规定,如果把表外业务规模按对应项目的风险权重转换系数折算为表内资产,银行业的风险加权资产规模也会大大增加,即使只按增长10%的低水平计量,我国银行业的资本充足率水平也可能相应降低1个百分点以上,对于许多银行来说,这个降低率是很难接受和自我弥补的。 总之,对于银行业来说,表内业务、表外业务都是银行的当家业务,不能厚此薄彼,更不能为规避监管而搞的数据串换,那样做或许会得一时之利,但留下的隐患终将会爆发,届时形成的损失就将难以承受。 主营业务内外 主营业务就是指商业银行根据其经营范围办理的各类传统业务和新型金融服务。近几年,我国银行业逐步突破了分业经营的藩篱,开始向综合化、多经营的方向发展。在上市银行中,不少银行已经既开办传统的商业银行业务,又通过并购、新设、合资或控股等方式,经营起了保险、信托、租赁、基金、投资银行等业务。如果说把传统的商业银行业务和服务称作主营业务的话,其他如保险、信托、租赁、基金、投资银行等业务,笔者就暂用非主营业务来概括。 从风险管理的角度看,商业银行对主营业务的风险管理逐年加强,这既是形势所逼,也是银行经营本质所需。因为银行虽然向往综合(混业)经营,但受法规、资本和人才等限制,银行的非主营业务目前还是初生的幼苗,不仅规模不大,而且贡献甚微。以国内最赚钱的工商银行为例,该行2011年全集团的净利润为2083亿元,但属于租赁、基金、境外投行等创造的净利润尚不到12亿元,仅占0.57%。因此,银行重视主营业务的风险管理是理所应当的。但能否因此而认为可以对这些非银行子公司的风险管理束之高阁呢?显然这是不能的。因为许多实践证明,这些主营业务外的非银行子公司,虽然做贡献的能量目前还不大,但一旦其出现风险,对银行集团的不良影响和损失却是不可低估的。 全周期风险管理 对于经济、金融的周期性概念,国内商业银行在早期是缺乏领会的。2008年美国金融危机扩散至全球后,巴塞尔委员会明确地提出逆周期资本补充概念,这才让国内监管部门和商业银行有所感悟。在2004年开始国内大型商业银行的股份制改造后,无论是国家注资、财务重组、引进战投、筹备上市,虽然多少有些曲折,但总体看还是顺风顺水。特别是2004~2007年那几年是顺周期,几大银行(除农行外)上市后似乎如鱼得水,银行业务规模迅速扩大,利润逐年以三成至六成的高比例增长,资本充足比率都在13%以上,银行高管和员工的收入也逐年攀升,银行对股东的分红比例也维持在50%以上。那几年可以说是国内大型银行赶上了好时候。但美国金融危机一下子把全球的经济、金融秩序打乱了,无论是美国还是欧洲、日本的那些大牌领先银行,纷纷遭受重创,各项指标大幅度变脸恶化,反倒给中国银行业创造了赶超的机会。在2008年中国政府4万亿元投资的救助下,中国经济保8%的增速不遗余力,商业银行在2008~2011年这段国际经济的逆周期环境中并未停止前进步伐,资产、信贷规模依然保持平均20%的增速,利润增长始终维持着两位数的速率。连续数年,工商银行、建设银行、中国银行都在国际前10大银行名单中榜上有名并排名靠前,这也许是时代的造化,或许也是机遇的偶然。因为严格地说,我国几大银行自上市以来还没有经受过逆周期的真正考验。我国商业银行为了避免遭受不测风险的冲击和干扰,就要做好应对逆周期的精神和物质准备。 全品种风险管理 所谓全品种,指的是银行集团办理的各类业务和提供的各种金融服务(包括代理服务,下同)。现在的银行已经不是只办理存款、贷款、结算业务的传统银行了,据一家银行不完全统计,该银行向客户提供的业务、服务产品就有数千种。仅以面向小微企业的产品就有速贷通、成长之路、小额贷、信用贷、网银循环贷等几大类,在每个大类名下还有若干种细化产品。过去银行通常对外宣称很多产品都是没有风险的。其实不是这样,因为银行本身就是经营风险的行业,虽然是中介服务机构,但如果提供的业务、服务有违法违规行为或者质量不高、收费不合理,也会产生合规风险或声誉风险。只不过在早些年,无论是银行客户还是银行员工、外部监管者都不太了解、不太关注、不太重视而已。在对银行产品、服务的全面风险管理中,应该把握四个核心原则。一是以客户为中心的原则。即所有产品和服务的开发、运营、创新等都要以客户的需求为主,兼顾银行自身的需求和监管规定。二是体现安全性、多样性、差异性、便捷性、合理性、集约性的原则,实现客户与银行共同受益。三是诚信待客、公平正义的风险共担原则。即银行产品、服务万一发生风险,既要体现买者自负,也要落实卖者有责。四是银行信息公开透明、客户信息依法保护保密的原则。银行对客户营销产品或提供服务,所有的交易规则信息必须讲得明明白白,不能有任何隐晦或打马虎眼儿的地方,更不能用过于复杂专业的手法蒙骗客户,诱使客户上当,逃避银行责任。而对于客户信息要依法提供力所能及的保护,即使是一些可以公开或转移的信息,也应该事前征得客户的书面同意。这些原则都是商业银行必须遵循的,但眼下还差距较大。 全客户风险管理 随着银行业务经营范围的拓展和竞争能力的增强,各家商业银行对客户的重要性倍加重视。但客户也是有千差万别的,而且客户是会起变化的。就客户的本质而言,它们既是能为银行带来收入和效益的衣食父母,但有些客户也是能为银行制造风险和损失的“麻烦制造者”,关键要看银行对客户的选择、维护、服务和管理如何。无论哪一类客户中都是有人可能为银行带来风险的,除信用风险外,流动性风险也是随时会发生的,因此银行必须高度警惕和积极应对,绝对不能让这种风险发生。否则就会出现像美国雷曼兄弟公司那样的破产倒闭案例。如果中国也出现大型银行倒闭事件,带来的灾难性后果将不堪设想。 为了加强对客户的服务和管理,商业银行都对客户进行了分类,根据客户可能的违约概率(PD),有的将客户分为13级(从AAA、AA、到C、D),其中D级是已违约客户。还有的银行分得更细。但即使AAA级客户也是有风险的。比如说,国内许多银行都把铁道部评为AAA级客户,前几年对铁道部几乎是无限制地宽授信、多贷款、低利率、满发债,但实际上铁道部近几年都是高负债经营和亏损经营,严格说是并不具备AAA级的基本素质。但由于铁道部是政企合一的经济体,银行和评级公司都基于铁道部有国家撑腰的垄断背景,不愿意舍弃这个大客户而将其定位为AAA级,事实上这是潜存着很大风险的。对此,银监会已对有些银行多次提出授信集中度风险的问题警示,近年来有的银行虽有所收敛,但在2013年加速投资拉动的大背景下,不排除这种风险势头又会重新抬头。从国际看,以美国为例,美国是全球公认的信用等级最高国家之一,但最近这几年美国连续发生财政悬崖危机,其3A信用等级已岌岌可危。因此,如果我国商业银行都本着这种原则去投资的话,那商业银行早就应该关门了。在风险管理者看来,没有发展的风险是最大的风险,没有收益的投资也是最差的风险投资。 全员工风险管理 在一定意义上说,全面风险管理就是全员风险管理,这是天经地义的,不用多费口舌。但真正理解全面风险管理,不能把银行全部员工按一个模式和一个标准去进行风险管理的培训、教育、监管和考评。要搞好全面风险管理,对银行的每一个员工都不能缺席。上至银行的董事会和高级管理层的每一个成员,中至银行分支行的各级负责人,下至银行最基层网点的柜台员工和派遣制员工。这几年在一些商业银行内部已经形成这样一个共识,银行效益人人有份,风险管理人人有责。笔者是提倡和赞成这个观点的。 目前,在监管部门提出的若干风险管理指引中,都把董事会对银行集团的管理经营风险负最终责任和高级管理层对银行集团的管理经营风险负直接领导责任放在显要位置。但迄今为止,笔者还没有看到任何一例在商业银行发生了十亿元、数十亿元风险损失案件后,有关银行董事会或高管层成员受到责任追究的事例。反倒是有的银行出了数十万元或上千万元的损失后,却对当事机构的执行人和分管负责人大开“杀戒”,或双开,或责令辞职调出,笔者认为是不够公平合理的。因此,银行全面风险管理即使是对最高决策者和执行者,也必须有法规制度和公司治理的监督。 全流程风险管理 对风险管理要实行全流程的管理,相对比较好理解。因为银行的业务是由多道工序组成的,很少有一手清的业务。特别是信贷、投资业务跨度时间比较长,如中长期贷款,少则三五年,多则十年甚至更长时间。现在讲全流程的风险管理,包括对风险的识别(意识)、计量、控制、监测、报告、处置、考核、评价等多个环节,用通俗的话说,这些环节“一个都不能少”,而且每一个环节都不能发生节奏错乱,更不能少环节、逆环节操作。现在,有的商业银行对风险管理体制进行了加固改造,或实行相对独立的垂直管理体制,或实行纵横交叉的矩阵式管理。虽然国际上对全面风险管理尚未建立普适架构,不过从笔者的实践体会,或许相对独立、垂直的架构更适用和有效一些。在这种体制下,有些银行建立了风险管理的“三道防线”、“四道门槛”,防线以内各负其责,不推卸,不错乱;防线之间的结合部由独立的风险管理或内控合规部门牵头协调、检查,查遗补缺,提示配合,不留真空地带,防止“灯下黑”。应该说在建立内部“三道防线”协作配合和外部加强严格监管的风险管理机制后,我国商业银行的风险管理取得了明显进步,重大风险事件和案件损失有所减少,然而局部还有反复或反弹,说明在全流程的全面风险管理体系中还有薄弱环节或疏漏盲点,仍需加固设防,整合提效。 全方位风险管理 所谓全方位就是指围绕商业银行上下、左右、前后、内外的各个方面,都需要加强风险管理。现在商业银行的服务范围非常广阔,几乎与任何一个机构和人员都要打交道。把全方位与全流程结合起来观察,就有点全时空的概念。在全球化时代,风险管理已不是孤立存在的个体事件,往往风险是有连贯性、关联性、传染性、系统性或区域性特征的,类似房地产贷款或地方政府融资平台贷款,一旦出现重大风险演变,与之相关的若干行业都会受到牵连,那不是单纯解决房地产贷款或地方政府信用危机就能解消全部风险损失的。此外,从全方位管理的角度看,国内银行还要充分汲取国外银行的经验教训,比如洗钱风险。在我国银行陆续走出国门办理银行业务后,这方面的风险隐患迅速增加,特别是在美国经营银行业务,稍有疏忽或单纯追求业务拓展,就会触碰美国监管部门设定的红线而遭受严重处罚。在这方面,许多欧洲和美国的大型银行都吃了大亏。但国内银行对这类风险的重视程度还明显不够,一方面是我国银行走出去的国家不多,承接的业务多是中资企业、客户的业务;另一方面,由于机构网点甚少,外方客户还很少与中资银行来往,因为不摸底、不方便;再有是中资银行对这类业务、法规熟悉了解的人员少,还有文化差异,有业务也不会办或不敢办而干脆舍弃。但事情是会发展变化的,国内银行应在尚未做大国际经营前,抓紧学习、掌握相关风险管理理念、文化、方法和技巧,千万不要等事到临头甚至碰了南墙才知悔、回头。因为为时已晚。这方面的教训是很多的,我们绝对不能重犯其他银行已经多次犯过的错误。 至于系统性、区域性风险,包括外部关联风险和传递风险,银监会在2013年的银行监管工作重点中已有部署,相信只要守住底线不被突破,中国的金融航船还是会冲破风雨的干扰,成功到达彼岸的。 全功能风险管理 现代商业银行办理业务,已经不像过去那样的等客上门或上门访客,而是除了传统的网点营销、上门服务外,增加了电子银行、网上银行、手机银行、自助银行、电视银行等多种营销、服务渠道,可以说,银行已经由过去只会使一两种兵器发展到有多种兵器交叉使用,因此,对银行风险管理要求越来越高。 就现状而言,对传统业务渠道的全面风险管理,商业银行正在完善和健全之中,而对类似电子银行、网上银行、手机银行、自助银行等新型业务的风险管理,银行内部还处于启蒙阶段。现在银行收到的外部投诉增多,如客户的信用卡、身份证没有任何遗失或错误操作,可卡中的存款却不翼而飞;网上银行也经常发生被盗用消费或转账的案例。其中有相当一部分是与银行内部员工对这些新型业务渠道的风险管理防范要领还较为生疏有关,业务边干边学,风险管理相对滞后,自己不明白也无法指点、帮助客户,更斗不过那些存心钻银行内部风险管理漏洞的内外部作案人员。现在又冒出来一种“影子银行”,这是与银行相伴随行的一些类金融机构,正规银行受监管制约做不了的一些事,被转移到这类机构中去做,甚至有银行与这类机构密切合作,把银行本身能做的事也放到这类机构去做,相互各取所需,各有所得(业界称“监管套利”),而把风险转移给客户,把麻烦交给监管部门或政府去收拾。这种对影子银行风险的防范虽然监管部门已经提出了,但似乎实打实的硬措施还很少,因此,影子银行的花样越来越多,范围越来越广,规模也越来越大。笔者对影子银行的看法是,对影子银行不能硬性卡堵。因为有实业银行就必有影子银行,对影子银行的监管要从虚幻转向务实,由分散转向统一,由硬剿转向巧控,比如建立类似银行业的资本金充足管理办法、定期信息公布办法、民间借贷及网络借贷由地下转为地上合法经营等。 总之,现在许多银行都在强调向综合化、多功能、集约化发展,也希望这些银行的风险管理向“八全”方向更上一层楼。或许再过几年,我国银行业的全面风险管理还会向更高阶段——立体风险管理迈进。