导读
全面风险管理体系建设决定了商业银行应对挑战的生命力,商业银行亟待从企业级的高度和价值网的宽度,打造敏捷主动的全面风险管理能力。
正文
首先来讲讲Costco(好市多)的风险故事。2019年8月27日,美国著名的会员制仓储式量贩连锁超市Costco在上海闵行盛大开业。虽然地处偏远的“闵大荒”,仍旧抵挡不住上海市民空前绝后的热情,1200个车位的停车场,在开业不过1小时,就需要等候3个小时才能进场,周边交通业已基本瘫痪。由于购买人数实在太多,加之很多商品缺货,当天下午Costco不得不宣布暂停营业。
既然顾客多到要提前结束营业和控制限流,为什么没有提前预估做好准备?这样的消费服务能有好的客户体验吗?事实上,Costco低价高品质的价值主张正是通过将极致的服务体验传递给目标客户群而实现。但为什么在上海新店开业后出现如此情况呢?
这让我们在惊叹Costco开业火爆的同时,也开始反思企业风险管理。在顾客人潮超预期后,Costco从安全运营角度确实采取了措施,如暂停营业和卖场限流,但这只能说是临时应急措施,从顾客体验以及供应链持续的角度来说,这样的风险管理是远远不够的。而对商业银行来说,当前正面临宏观经济形势愈加严峻、金融强监管成为“主旋律”、数字化与金融科技颠覆金融生态、银行经营质量承压、不良资产高企等诸多挑战。在此背景下,作为商业银行的生命线,风险管理的重要性愈发突出。挤爆了的Costco给我们上了一课,全面风险管理体系建设决定了商业银行应对挑战的生命力,商业银行亟待从企业级的高度和价值网的宽度,打造敏捷主动的全面风险管理能力。
为什么要构建敏捷主动的全面风险管理能力
银行需要构建敏捷主动的全面风险管理能力,何为“敏捷主动”?“敏捷”就是随时随地、快速反应;“主动”就是领先一步、做在前面,敏捷主动的风险管理意在对风险做到自动识别、实时响应、智能决策、精准控制,主动管理和经营、提升风险管理价值发现和创造。
总体来看,商业银行实现敏捷主动的风险管理主要体现在以下几个方面; 要与银行发展战略高度契合,培育全面主动管理的风险文化;完善风险治理和组织架构体系,做实风险偏好传导机制;打造线上化、数字化、智能化的风险管理模式,主动嵌入经营全过程,实施全流程风险管理;加强风险人才队伍建设,增强风险管理的前瞻性、专业性和有效性。
这个概念的诞生源于银行现有业务模式面临诸多挑战。首先,银行面临问题资产集中爆发的压力,拨备以及资本占用的上升直接侵蚀银行盈利能力。其次,随着银行纷纷向高质量发展转型,它们的业务重心也不再以传统对公存款为主,而是开始探索新模式、寻找新增长点。线上消费金融、供应链金融、普惠金融等基于场景、搭建生态的业务迅猛兴起,银行风险管理也必须尽快建立起与新模式相匹配的风控措施,有力支持银行第二曲线的培育。最后,随着互联网技术与金融科技的快速发展,金融服务整体数字化转型和“五大科技要素”的深度应用,已是大势所趋。对于银行而言,如果能将数字化浪潮带来的新算法、大数据以及新的技术手段,更好地融入银行风控管理中去,必将是乘数级,甚至是指数级的能力提升和价值创造。此外,不断提升的外部监管要求,也意味着银行业提升风控管理能力势在必行。
自2005年以来,伴随着学习实践COSO全面风险管理框架和借鉴引进外资入股的领先实践,国内主流银行开始着手推进全面风险管理体系建设,在组织机构层面建立了对于风险的垂直管理、分类管控和“三道风险防线”,各类风险管理质效得到有效提升。但是,国内商业银行风险管理工作中普遍存在一些常见的问题和薄弱环节。譬如,风险管理仍偏向内部控制,风险文化和理念缺位,相当多的银行仍将风险管理视为一个流程或程序,与银行的战略、绩效和文化相割离;风险管理治理机制与组织架构体系尚不健全,以及部分风险资产集中领域和新兴业务领域的风险偏好传导轨迹管理滞后;风险管理与业务经营协作性不强,在创新业务设计和风险识别预判方面,管理的主动性、敏捷性不足,风险预警预控质量效率不高,授信、投资等事前管理和授后/投后管理环节比较薄弱;大数据、信息和技术系统等新技术支持不足,风险管理通过线上嵌入业务流程程度不高,风险管理技术与国际先进同业相比存在较大差距;高层次计量分析人才较为紧缺,专业人才培养激励力度有待进一步加强; 等等。
2017年是商业银行全面风险管理体系建设历程中具有重要里程碑意义的一年,三个事件的发生为商业银行培育敏捷主动的全面风险管理能力带来破冰之旅。
其一,随着新兴互联网与科技产业的高速发展,金融科技(Fintech)成为时代潮流,席卷全球。在经营环境深刻变化的背景下,商业银行加快金融科技发展已成为必然的选择。2017年开始,传统银行与互联网金融巨头一拍即合,合作进入蜜月期,这一年四大行先后与BATJ(百度、阿里巴巴、腾讯与京东)牵手。金融科技对全面风险管理的促进主要体现在智能化风控上,其以强大的数据挖掘能力开发出新颖的信用评估模型,在海量的互联网信息中,挖掘出更多不易被发现的信用信息,且更为高效和低成本。大数据技术是未来银行获得有效数据、提供高效数据服务的基础保障,基于大数据应用的新的风险模型开发,是数字化风控得以更好应用的前提。
其二,2017年9月6日,全球风险管理行业翘首企盼的COSO更新版《企业风险管理框架》正式发布。COSO新风险管理框架是对当前企业风险管理的一次全面审视和框架重构,为企业管理领域提出了基于风险导向的管理理念,它的目标是成为管理体系,而不是原来的内部控制流程。从COSO1992、COSO2004到COSO2017,聚焦的重点从运营经营的流程控制、财务报告的反舞弊、法律合规扩张到企业目标愿景、战略决策、绩效增长,使得风险管理承担更高层次的诉求,更深刻地融入到企业经营之中。COSO2017对国内商业银行健全全面风险管理体系具有重要的启示作用。
其三,2017年12月7日,巴塞尔银行监管委员会完成了对《巴塞尔协议III》的修订,并将从2022年1月1日起逐步实施。正如巴塞尔委员会前任秘书长韦恩·拜尔斯所言,巴塞尔委员会的工作就像“金发姑娘和三只熊”的故事,金发姑娘误闯了三只熊的小屋,必须在粥、椅子和床之间找到“刚刚好”的平衡。相较于2010年版的《巴塞尔协议III》,2017年的修订版本致力于提升风险计量框架的可信度,最终版本是在可比性、简单性和风险敏感性三者之间取得的平衡:一方面,为了加强各家银行使用不同计量方法得出的测算值的可比性,减少银行通过使用内部模型降低资本计提的行为,最新修订版设定了内部模型法的最低输入值和最低测算值,减少了高级内评法的适用范围,简化了操作风险计量方法;另一方面,为了提高风险计量的敏感度,对于信用风险计量的资产类型和风险权重进行了更为细致的划分。此外,还对全球系统重要性银行提出了更高的杠杆率监管要求。
在上述三个事件中,COSO新框架为银行建立敏捷主动的风险管理模式指明了方向,《巴塞尔协议III》的修订进一步提高了风险计量的敏感度,金融科技(Fintech)则为敏捷主动风险管理赋能,这三个事件共同作用,驱动商业银行提高敏捷主动的风险管理能力,同时也驱动商业银行从“重资本占用,低科技支撑”的时代,开始迈向“高科技赋能、低风险占用”的全新时代。
什么是COSO企业风险管理新框架
2017年9月6日,COSO(全美反舞弊性财务报告委员会下属的发起人委员会)更新其2004年发布的企业风险管理框架《企业风险管理—整合框架》(原框架),正式发布《企业风险管理—集成战略与绩效》(Enterprise Risk Management: Integrating with Strategy and Performance)(新框架)。
新框架有三个关键词:融入、贯穿和去风险化。
融入:Integrating,意为整合、集成、融为一体等,表达了企业风险管理工作和企业战略与绩效是一个有机的、密不可分的整体。
贯穿:企业风险管理贯穿融入企业战略、绩效和价值提升。
去风险化:不再一味地强调风险视角下的企业治理及管理要素,而是直接从企业治理和管理的角度提出将风险管理内容嵌入,为风险管理工作的真正融入治理与管理打下基础。
新框架响应了企业风险管理理论和实务的演变,从企业使命、远景和核心价值出发,将风险管理提升到组织战略维度,并通过战略和经营目标的制定,实施全面风险管理,最终落脚点为提升和强化企业绩效。新框架强调将风险管理嵌入企业管理活动业务流程和核心价值链,把风险管理工作从“一种流程或程序”提升到企业文化、战略管理、卓越绩效、危机管理、信息报告等的全面管理机制中。同时,认为风险在组织各个层面和各项职能上影响战略和绩效,强调战略制定和绩效提升过程中考虑风险的重要性,也就是风险管理的战略和绩效价值。特别在当前复杂经济环境,防范化解重大风险为主要任务的时期,COSO新框架从公司治理的角度,提出了建立以风险为导向的全面管理框架,不仅对于微观层面商业银行主体的经营管理具有较强的现实意义,也对宏观层面的金融系统的整体稳健奠定基础。表1列出了2017年企业风险管理新框架采用的5要素20项原则模式。
要素一:治理与文化
新框架提出的企业风险管理第一要素是治理与文化,并将其视为其他要素的基础,是确保企业风险管理行之有效的强大基石。公司治理机制从根本上确定了企业风险管理的基调,负有风险管理计划、实施和监督的重要责任,是企业风险管理工作能否顺利开展和取得预期成效的重要支撑保障,也促进了股东方、董事会与高级管理层对企业风险和业绩水平达成一致的期望目标。企业风险文化是企业在经营管理活动中逐步形成的风险管理理念、偏好和价值观,并且体现于经营决策的过程中。
该基本要素包括五项原则。1.履行董事会风险治理与监督职能:董事会和监事会肩负着对风险战略进行治理并进行监督的责任,支持管理层实现风险战略目标和策略实施。2.建立运营架构:组织在追求战略和业务目标的过程中建立风险治理运营架构。3.定义所需的文化:组织需要定义期望的风险文化,以塑造所追求的风险理念和行为。4.展示对核心价值的承诺:组织展示对主体核心价值观的承诺。5.吸引、培养并留住人才:致力于培育与战略和业务目标相适应的风险人力资本。
要素二:战略与目标设定
战略规划过程中,企业风险管理、战略和目标设定共同发挥作用,强调在战略和业务目标制定过程中考虑风险。企业风险偏好的确定应与战略保持一致,将战略作为识别、评估和应对风险的基础。
该基本要素由四项原则支撑。6.分析业务背景:考虑业务背景对风险配置的潜在影响。7.定义风险偏好:在创造、维护和实现价值的环境下定义风险偏好。8.评估替代战略:评估替代战略对风险配置的潜在影响。9.制定业务目标:在建立支持战略实现的不同层级的业务目标时应对风险进行考量。
要素三:实施
要素三聚焦风险管理的实施过程。企业首先需要识别和评估影响战略和业务目标实现的风险;而后在风险偏好的背景下,将风险按照严重程度排序;最后选择风险应对响应措施,并对其所承担的风险总量采取组合应对。实施过程和结果要向主要风险利益相关方报告。
该基本要素由五项原则支撑。10.识别风险:识别影响战略和业务目标实施的风险。11.评估风险的严重程度。12.风险排序:对风险进行排序,作为制定风险应对措施的基础。13.实施风险应对:选择并实施风险应对措施。14.建立风险组合观:开发和评估风险组合视图。
要素四:审查和修订
要素四是对风险管理过程与成效进行审查和修订。通过审视风险管理绩效,组织可以考虑如何更好地发挥风险管理的作用,以及需要进行哪些修订。该基本要素由三项原则支撑。15.评估重大变化:识别并评估可能严重影响战略和业务目标的风险变化。16.审查风险和绩效:审视组织经营绩效和风险管理成效。17.追求企业风险管理改进:修订改进风险管理策略。
要素五:信息、沟通和报告
企业风险管理是一个持续的过程,需要通过必要的信息系统、沟通交流和报告机制,获取、流转和分享风险信息。该基本要素由三项原则支撑。18.利用信息系统:利用信息和技术系统来支持企业风险管理。19.沟通风险信息:运用沟通交流的渠道和机制支持企业风险管理。20.报告风险、文化和绩效:建立报告制度,涵盖各层次的风险、文化和绩效情况。
(本文仅代表作者个人观点,不代表其所供职机构意见)
上一篇:“洋垃圾”
下一篇:打开信用风险量化的黑匣子(下)