杨肃昌

【摘要】 文章介绍了一种城市商业银行全面风险管理模式。首先分析了当前城市商业银行风险管理中存在的普遍性问题，然后提出了构建全面风险管理体系的基本原则和构成因素，最后从创新的角度重点阐述了一种“垂直与集中型”模式的风险管理组织架构与管理体制。

【关键词】 城市商业银行；风险管理；内部控制；内部审计

面对日益激烈的同业竞争与日趋复杂的经营环境，城市商业银行（以下简称“城商行”）必须持续地提升和保持风险管理能力的先进性——这是构筑竞争优势和保障银行价值最大化的基石。为此，如何建立健全风险管理体系，特别是构建包括组织体系和管理体制在内的最佳风险管理模式就是当前城商行发展的当务之急，也是一项长期而艰巨的任务。本文在对国内数十家城商行调研基础上，根据银监会、巴赛尔新资本协议有关商业银行风险管理要求和指引，借鉴国内外先进风险管理模式，研究并提出了一种“垂直与集中型”模式的全面风险管理体系，以对全面提高城商行风险管理水平做出一些有益的探索。

一、当前风险管理中普遍存在的问题

了解目前城商行风险管理现状特别是存在的问题，是制定和完善风险管理体系的前提。从调研情况看，存在的问题主要有：

1.风险管理模式散乱。各类风险分别由不同的部门行使，缺乏集中化和统一化管理。同时，也没有对分支机构风险管理形成一致性的管理制度。

2.风险管理职责不清。许多部门既是风险管理者同时又是风险承担者和生成者，融“裁判员与运动员于一身”，缺乏风险管理责任界定与权限的合理分配。

3.风险管理职能弱化。风险管理职能专门化、专业化不够，特别是风险管理中对分支机构和其他部门的组织、协调和控制不够。

4.董事会作用不够突出。风险管理职能过度集中于经营层，董事会缺乏职能化和专门化管理手段，其作为风险管理有效性最终责任人的作用没充分体现。

5.内部审计监督薄弱。内部审计在配合董事会职能有效实施方面作用欠缺，特别是在评价和促进风险管理与内部控制有效性和健全性方面的作用没有很好的发挥出来。

6.风险管理零碎化。由于缺乏统一、集中的风险管理体系和纲领性的制度安排，不同类型的风险管理决策出自不同的部门，且之间缺乏密切的联系和充分的沟通。

7.风险管理不全面。风险管理侧重于后台管理，没有将其作为信贷决策、风险敞口限额控制、贷款定价、资本资源配置的有力工具。存在将风险片面地等同为违规和损失以及将风险管理简单地理解为控制等问题。

8.内控管理机制不完善。内部控制还不能完全适应防范和化解经营风险的需要，不少制度规定缺乏操作性，内控规章流于形式。

二、构建全面风险管理体系的基本原则

基本原则在于明确构建风险管理体系的基本要求，主要包括：

1.合法性原则。风险管理应符合国家有关法律法规及监管机构的监管要求。

2.完整性原则。风险管理应覆盖城商行总行及分支机构所有部门、岗位和人员，并渗透到具体业务过程和环节。

3.适应性原则。风险管理应结合城商行经营管理现状，并能根据需要适时修改完善。

4.协同性原则。风险管理应与城商行战略规划以及资本实力和能够承担的总体风险水平相一致，在确保资本充足率以及在强化拨备工作管理和经济资本考核管理体系下，建立有效覆盖损失的风险管理战略。

5.前瞻性原则。风险管理应借鉴国内外商业银行风险管理先进经验，并反映出巴赛尔新资本协议要求以及监管机构最新监管标准，特别是银监会《关于中国银行业实施新监管标准的指导意见》。

6.清晰性原则。风险管理应建立起一个职责清晰、权责明确的风险管理机制，这既包括董事会与高级管理层之间的明确权责分工，又包括具体的风险管理部门、业务部门、监督部门独立、明确的职责规定。

7.流动性原则。有效的风险管理需要建立一个完善的信息流动系统，进而在城商行内部形成一个有效的信息沟通渠道——包括信息上报、信息下达及内部信息的横向流动。

三、全面风险管理体系的构成

根据COSO对全面风险管理定义，“全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在因素并管理风险，使之在企业的风险偏好之内，从而确保企业取得既定的目标。”全面风险管理是由内部环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息和交流、监控等方面要素构成。这些要素相互独立、相互联系又相互制约，共同构成了全面风险管理体系（实际上是对内部控制框架的进一步细化）。据此，全面风险管理体系的构成应包括：

1.风险管理组织架构与管理体制。建立分工合理、职责明确、关系清晰的风险管理组织架构与管理体制是风险管理的基本制度，也是风险管理有效性的基础，涉及董事会、高级管理层职责分工；风险管理基本政策；岗位设立等方面。

2.风险管理队伍。通过有效的人力资源管理、业务培训、风险文化教育与绩效考核，打造一支训练有素的员工队伍是风险管理的核心。

3.风险与内部控制。针对信用风险、操作风险等风险类型形成风险确认、评估与控制的制度、方法和程序；依据风险确认与评估建立适合风险管理要求的内部控制并采取适当的控制措施。

4.信息与沟通。充分的风险信息与及时的沟通是风险管理的一项基础工作，如此才能迅速有效地防范和化解风险，确保各项业务按照既定的目标进行。

5.审计与监督。内外部审计以及众多相关部门都可根据各自不同的职责，实施不同属性的监督，这是全面风险管理必不可少的组成部分。

6.科技保障。为强化风险管理提供必备的硬件、软件（技术）支撑。

上述构成因素，符合一个完整的内部控制体系的基本内容。

需要明确的是，全面风险管理体系在于建立一个责权分明、平衡制约、运作有序的风险管理基本制度（不涉及具体业务、规则、流程和手册指南等方面的风险管理指导）。为此，应首先明确治理层风险管理责任，即应在明确董事会和高级管理层职责基础上形成适当的组织架构和管理体制，以此构建和推行全行的风险管理政策、方法和程序。

四、“垂直与集中型”风险管理组织架构与管理体制①

本文提出的“垂直与集中型”风险管理组织架构与管理体制，突出了董事会在确保风险管理有效性上的最终责任，提出董事会下设风险管理委员会、审计委员会，对全行风险管理进行总括性监督。在此基础上，还应考虑以下策略：

1.分层管理。即用风险管理的决策、管理、监督职能分别赋予不同层次的机构（部门），形成金字塔型的组织架构。特别是应对原有的局限于单一城市的管理流程重新进行梳理和调整，按总、分、支三级管理架构对相应职能部门的设置进行调整，确保各层级间的有效对接。

2.相对集中。即统一管理全行的风险管理政策、制度、程序，在日常管理中也应加强对各类风险的统一管理，特别是构筑风险管理部门的强大支持平台。

3.关口前移。即把风险的日常监控职能直接设置在分支机构中的业务经营部门，体现风险管理与业务管理平行作业的特征。

4.有效性管理。即着力解决的城商行总行与分支机构之间信息不对称以及分支机构执行力和管理效率等问题。

本文所构建的“垂直与集中型”风险管理组织架构与管理体制②，具体包括纵向和横向两个方面：

之一：纵向——“垂直型”模式

纵向，即在总行层面，按决策系统、管理系统和分支机构三个层次构建“三道防线”式的从高至下的垂直管理模式。最高层在董事会或其相关委员会，最低层在分支机构，中间实施环节分布在分行风险总监以及其他一系列垂直管理环节中（诸如集中授权管理等）。该模式如图1所示：

“三道防线”的含义是：

第一道防线：由分支机构构筑。总行前移风险管理关口，在分行设置由总行派出的风险管理岗位（风险总监），负责对分行经营管理中所涉及的各类风险进行日常监测、评估和管理并向风险管理部门报告，最终向总行首席风险官报告工作。与此同时，分行按风险管理条线设置相应的风险管理职能部门。

第二道防线：由高级管理层构筑。总行设立首席风险官，同时在其之下设立专门履行风险管理职能的部门，具体制定并实施识别、计量、监测和控制风险的制度、程序和方法。

总行分别设立风险管理部和合规部，与其他业务部门和管理部门保持独立，直接向首席风险官负责。

第三道防线：由董事会构筑。突出董事会在风险管理上的最终责任，并通过审计部门来确保董事会职能的有效性。

这一模式中，内部审计设立在审计委员会之下，以此强化董事会监督职责；在高级管理层设立专职履行风险管理的岗位“首席风险官”③；把各类风险统一归于风险管理部门（风险部和合规部）管理④；分支机构风险管理机构与职能与总行相对应，其中分行设立的“风险总监”起到承上启下作用，以保证总行风险管理的统一性和可控性。

风险管理的独立性、集中化和专业化是垂直管理模式的基本特征，垂直管理也是一种改革趋势。比如，中国建设银行在一级分行风险总监和二级分行风险主管全部到位的基础上，县级支行风险经理实行派驻制。

之二：横向——“集中型”模式

横向，在于合理划分风险管理部门与业务管理部门之间风险管理的界线，建立并完善各部门之间信息交流与分工协作机制。这一模式，是以风险控制为主线，按职责分离和相互制衡的原则，将风险管理的决策、执行、监督和评价等职能分别赋予不同部门，从而保证风险管理的完整性和有效性。

一方面，该模式强调把各类风险统一归于风险管理部门（分为风险部和合规部两个部门）实施集中化管理。风险管理部门根据董事会制定的风险管理战略，负责制定、审查和监督适用于全行的风险管理政策、程序和具体操作规程，指导和协调全行范围内的风险管理，明确界定各部门风险管理职责以及风险报告的路径、频率、内容，督促各部门切实履行职责，以确保风险管理制度的正常运行。

其中，风险部是总行所设立的专职风险（主管信用风险、市场风险、流动性风险等风险）管理部门，向首席风险管报告工作。该部门与其他部门保持独立，确保全行范围内风险管理的一致性和有效性。合规部是总行所设立的专职风险（主管操作风险、合规风险）管理部门，向首席风险管报告工作。设立合规部门在于加强经营管理活动事前与事中的过程控制，建立规范统一的合规性检查工作规则，提高各类检查效率和效果。尽管操作风险的问题和后果多由银行内部发现与处置，而合规风险的问题和处置多由外部监管部门和司法部门决定，但两者都强调的是“遵守性”和“合规性”，即对既定规则和制度的遵循，在现实中两者又都存在相互糅合和相似的一面。目前在城商行发生的一些案件中，绝大多数都是有章不循、违章操作的结果，含有操作风险和合规风险双重性质。所以为了更有效的兼管这两类风险，可把操作风险与合规风险统一归于合规部管理。

城商行总行或分支机构也可根据业务发展和风险状况和只设立风险管理部的情况下，在其中设立专门的合规管理岗，并在时机成熟或条件具备时再按部门设立。目前，由单独的合规部门而不是内审部门对合规性进行评估的趋势正在增强。

另一方面，这一模式强调业务管理部门在风险管理上的重要性。这些部门负责本部门和本业务条线风险管理的日常工作，对本部门和本业务条线的风险管理负第一责任。具体来说，各业务部门是全行统一风险管理政策的执行者和实施者，在制定本部门业务流程和相关业务政策时，应充分考虑风险管理和内部控制的要求，落实、执行风险管理政策、制度，并定期或不定期向负责风险管理的部门或牵头部门通报本部门风险管理情况。与此同时，这些部门还是特定的风险管理者和承担者，同样也是风险管理部门和审计部门的监督对象，其在管理好本部门风险的同时，还要接受其他部门的监督与评价。

风险管理部门与业务管理部门之间存在密切的相互联系。业务管理人员应准确识别关键环节风险问题，及时向风险管理部门报告、咨询，主动进行动态风险回顾。风险管理部门则应积极主动地识别、评估和监测潜在的各类风险，给出适当建议后主动向上级反映，并跟踪其发展。

上述安排可用图2表示：

与此同时，这一模式特别强调内部审计的独立监督与评价作用。独立性表现在审计部既要独立于被审计的活动，也要独立于日常的内部控制程序。其职责集中在主要监督业务管理部门对风险管理政策和制度的落实与执行情况，同时对风险管理部和合规部实施再监督，对其工作和内控的有效性做出评价，并提出改进意见。内部审计是持续监测城商行内控制度及风险管理有效性的一部分，因为内部审计可以为城商行制定的政策及流程是否适当和合规提供独立的评估。内审部门可以在开展工作时使用各个控制部门报告的信息，同时负责对业务部门的专业监督进行再监督。

以上安排可用图3表示：

最后需要说明的是，无论从银监会一系列风险管理指引还是从城商行制度建设的实际情况看，全面风险管理体建设始终是一项长期、艰巨的工作。而在这一过程中，董事会始终承担着主要的决策与推动任务。所以董事会应负责“风险管理组织架构与管理体制”的基本规划和起草工作；在做好这一工作的基础上，其余风险管理的制度性建设才能够有条不紊、逻辑一致的进行。

【参考文献】

［1］ 张吉光.城市商业银行路在何方［M］.中国金融出版社，2011.

［2］ 欧阳刚.城市商业银行问题研究:公司治理与发展战略［M］. 中国经济出版社，2010.