[公告] 美联储官员谈中资银行全面风险管理 [推广有奖]

美联储官员谈中资银行全面风险管理

    近期，美联储理事苏珊·贝叶斯(Susan Bies)就“如何从监管的角度看待全面风险管理”发表了美联储的观点，阐述了对全面风险管理的总体看法，并探讨了全面风险管理在合规风险和操作风险管理等方面的具体应用。发言还特别指出了近期美国银行业在抵押贷款、信息安全、资产组合等领域的问题，以及美联储所采取的措施。上海银监局组织翻译了此篇发言稿，国际部摘编了部分要点，供业内参考。

       美联储官员谈全面风险管理

　　良好的风险管理对于任何行业的经营来说都是不可或缺的。所有的银行业机构都应当努力改善其风险管理，具体采用何种方法改进风险管理则取决于机构的规模大小和经营复杂化程度。有一点可以肯定的是，良好的风险管理势必有助于提高企业的效率和效益。


　　对全面风险管理的总体看法

　　随着高科技的日新月异，以及金融机构业务流程、金融工具、经营规模与范围的创新，金融服务业正在不断地发展，同时也面临着不断变化的监管架构所带来的挑战。一个成功的全面风险管理流程能够帮助金融机构应对这种种挑战，风险管理流程会为企业管理者提供一个框架，以便其明确地考虑风险敞口的变化，从而判断该机构愿意承受的风险量，并确保有到位的风险缓释措施，将风险限定在既定水平。

　　当然，全面风险管理是一个涵义相当广泛的话题，对于不同的人来说可能具有不同的内涵。我们可以将全面风险管理定义为一个流程，这一流程能使管理层有效地应对突发事件及相关风险和机会，提高增加股东价值的能力。而根据全面风险管理文献的说法，全面风险管理包含下列内容：

（1）调整机构实体的风险偏好和风险战略；

（2）提高机构ENT:

（3）降低操作异常和损失的发生频率和严重程度；

（4）识别和管理多种类、跨机构的风险；

（5）主动抓住随时出现的机会；

（6）提高机构实体资本配置的有效性。

　　美国反舞弊委员会发起组织委员会（COSO）在一年以前发布了全面风险管理框架。这一框架为研究全面风险管理提供了一个非常实用的方法，并由此引发了更深层次的探讨。在COSO框架中，全面风险管理由8个相互关联并由管理层经营企业的不同方式所引发的要素组成，这些要素与管理的过程有机结合。这8个要素是：（1）内部环境；（2）目标设定；（3）事件识别；（4）风险评估；（5）风险对策；（6）控制活动；（7）信息和交流；（8）持续监测。在COSO的文献中对上述各个要素都有更详细的阐述。

　　COSO框架明确指出，尽管全面风险管理的各个组成要素在不同的实体中有不同的作用方式，但是全面风险管理的基本原则却适用于各种规模的机构。例如，在确保风险管理框架质量的前提下，中小型企业可能选择非正式的途径或者非正规的结构来应用风险管理框架。这与银行监管者所要传递的信息不谋而合。监管者期望每家机构，无论其经营规模大小或复杂程度如何，都有一个良好的风险管理框架。虽然监管者的期望和银行的做法难免存在一些分歧，但发展趋势是，监管者对银行业机构风险管理的要求与银行的实际做法逐渐趋于一致。

　　在规模较小或者非综合性的银行中，其管理者和员工常常要一人担负多种职责。那么如何来避免这种利益冲突并确保对流程和决策的独立评价呢？

　　　合规风险

　　全面风险管理能发挥切实作用的一个重要方面是合规管理。合规风险缘于一家金融机构未能遵循法律、监管规定或者行为准则。大型综合性银行业机构应制定一套完整的风险管理计划，否则应对合规风险将是一件非常棘手的事情。较小的机构由于人力资源所限，也面临着要随时跟进不断变化着的监管规定的挑战。

　　为了建立适当的合规风险控制措施，银行业机构应该首先了解其整体的合规风险。银行管理层至少每年都要在其职权范围内对风险和风险控制措施进行评估。一份全面合规管理计划应当是动态的和主动的。合规管理计划应当不断评估随着机构增加新的业务条线或业务活动、变更现有经营活动或流程、或者监管规定发生变化而带来的风险。评估的流程应当包括一份评估报告，用以评估这些变化将如何影响企业风险敞口的水平和性质，以及风险缓释和控制措施是否有效地将风险敞口限定在既定水平之内。为避免合规管理计划制定出来后处于无人问津的境地，每家银行都必须对其风险和控制措施进行持续地再评价，并与所有参与合规管理流程的员工进行沟通。如果将合规管理视为一个一次性的项目，这家机构将会面临其合规管理计划不能反映其服务或客户变化的风险。银行业机构的董事会需要确保该机构具有自上而下的合规文化，并且高级管理层要很好地将合规文化传达下去，使每一位员工都能清楚地知道自身的合规职责。清晰的沟通渠道和授权路线将有助于避免利益冲突。

　　对于管理层来说，将合规风险管理融入到机构的日常经营活动中去是一件难度更大的事，因为合规风险通常反映的是法律或者监管规定的强制性命令，而机构有时并不认为这些命令是其经营成功的关键。例如，银行家们大都理解信用风险管理和利率风险管理对于他们的机构来说有多重要，因为他们可以籍此降低收入的流失并控制损失。然而，为更广泛的社会利益而制定的监管规定则被视为更昂贵的要求。例如，《爱国者法案》要求银行就重大交易向政府报告，加重了银行的报告负担。

　　　操作风险

　　在过去的几年中，美联储日益提高了其对操作风险的关注度。操作风险一直是非银行金融机构面临的最大风险。近年来，银行日益关注操作风险，主要原因在于很多利率风险和信用风险可以通过出售贷款、运用金融衍生工具和一个健全的风险管理模型来得到控制。此外，收入中最高速增长的部分更多地来源于交易处理、名义账户和出售复杂的金融产品等业务。要想立于不败之地，银行必须建立一个综合的系统来管理所有的经营活动。同时，随着银行广泛运用复杂模型评估和管理信用风险和市场风险，这些模型因设计或数据整合缺陷产生的操作风险也日益增大。

　　在对银行业机构的常规性检查中，美联储注重检查银行的风险控制程序、流程和内部控制措施的充分性，包括对高风险活动控制程序的交易测试等。更具体地来说，银行的电汇活动和贷款管理部门经常是检查的目标，通过检查，美联储发现了一些银行在操作风险控制方面的共同缺陷，这些缺陷值得引起所有银行的重视。

　　在电汇或类似交易业务方面，操作风险如未能得到有效缓释，美联储提示所有银行通过以下措施防范操作风险：（1）制定有关电汇交易的合理审批和授权要求，以确保一定级别的管理层了解相应级别的交易，并建立一个良好的问责制度；（2）制定收回[1]流程、密码、资金转帐协议、以及其他有关客户电汇请求的印鉴控制措施；（3）持续关注印鉴控制，因为这一领域也是最有可能受到外部欺诈影响的环节。

　　如果职责分离不当或者缺乏双重控制措施的话，贷款管理将是另一个银行业机构可能因此而遭受重大损失的领域。美联储提示银行应：（1）确保信贷管理人员不能为自己放贷或续贷；（2）限制员工进入信贷管理系统计算机应用程序的权限，每一员工只能进入与其职责相应的计算机程序；（3）以政策和程序的形式，为条线员工提供如何识别和处理不正常交易的统一指引。

　　　抵押贷款

　　有效地管理按揭贷款资产组合的风险，除了审慎认购之外，还包括很多内容。有经验的风险管理经理应当懂得，在房地产繁荣时期，有必要通过仔细衡量相关风险来控制借贷热情。这些风险中就包括，对于边际借款人[2]未来收入增长的预期可能过于乐观。除此以外，还可能存在的风险就是机构拥有大量同类贷款组合，而使其在房地产低迷时期面临集中度风险。贷款者之间就市场份额的竞争越为激烈的时候，机构就越需要考虑到上述种种风险。

　　在近几年房地产市场繁荣时期，面对持续飙升的房价和不断调高的利率，许多借款人已经转向非标准付款和分期付款安排的抵押贷款，以减轻其还本付息的压力。过去两年中，很多新发放的贷款就是非传统的抵押贷款，其中包含了诱惑利率[3]（teaser rates）和负摊还借款[4](negative amortization)等可调整利率抵押贷款(adjustable-rate mortgages)。与此同时，一些银行忽视收入证明、降低评价标准，没有充分评估借款人在利率上升、全额摊还开始时的偿付能力。另外，近来相当一部分非传统的借贷产品已出现在次级市场[5]上。

　　在房地产繁荣期，房屋净资产（作为多渠道收入的一种）同样暴涨。在某种程度上，房屋资产的价值上涨是一种安全的保证，它为贷款人提供了更有价值的抵押物。家庭房屋??的消费偏好。但是美联储从以往的经验中看到，过度看重抵押物价值将会带来贷款展期的风险。借款人的房屋资产净值只在当该物业被处置（取消赎回权/预先处理）的时候才有意义，而这是贷款人和借款人都希望避免的情形。房屋保值也为借款人提供了更多的动机来保持他们现有的贷款水平，尤其是对于他们拥有的第二处物业或投资的不动产。更重要的是，借款人都希望其房屋抵押贷款的??流用以还款。

　　目前看来，抵押贷款的拖欠还不是很多，但近几个月来次级?。近来次级抵押贷款拖欠情况的上升集中于可调整利率次级抵押贷款(adjustable-rate subprime loans)，这可能与利率的重新调整有关，因为第一次对次级可调整利率抵押贷款(subprime ARMs)的利率调整远早于对优惠可调整利率抵押贷款(prime ARMs)的利率调整。抵押贷款信用质量的前景仍然是乐观的，但警戒信号已经渐渐浮现出来。美联储在近几个月内已经观察到清晰的初步信号，房价不再如以前那样上涨，在某些主要市场上房价甚至已经开始逐步下跌。房屋资产的上涨极有可能放缓或者停滞，与此同时，随着诱惑利率优惠期的到期，抵押贷款利率完全参照市场水平，最终与市场利率相当，借款人还本付息的压力将持续增加。尽管美联储预期抵押贷款的拖欠情况仍在可控范围之内，但贷款人仍然应当密切监测未来的发展情况。

　　　信息安全

　　在过去几年间，有关于信息安全和身份盗窃的问题已经引起了联邦政府的高度关注。不久之前，联邦政府为加强反身份盗窃的工作，布什总统专门签署了一项行政命令，创建了一个反身份盗窃工作小组。美国银行业监管机构的领导们都被任命为这个工作小组的成员。

　　银行业机构越来越多的使用互联网作为沟通和支付的渠道，这就要求建立并应用更为复杂的控制机制，例如企业全面防火墙保护、多因素印鉴方案和虚拟专用网络连接等。但是，非公开的客户信息被网络攻击或安全性被破坏的新闻几乎每周都见诸报端。这些事件已经导致金融服务业数以百万美元的直接经济损失，并造成了极大的声誉损害。身份盗窃对于受害消费者所造成的损失也是巨大的。

　　尽管很多广为公开的违反信息安全的事件都缘于银行以外的第三者访问该银行的客户信息，但银行同时也面临着内部人员违反信息安全或者滥用信息的风险。美联储的近期检查发现，一些银行内部人员进入联接电子资金转账网络的信息技术系统控制薄弱，导致了操作损失。对这些机构进一步的调查表明，欺诈行为的持续时间、涉及金额和造成的损失都是由于内部人员可以进入会计和相关系统而直接导致的。

　　由此可以得到的一些教训是：首先，银行业金融机构应当严密控制其资金转账系统的访问权限，确保权限设置坚持职责分离、双重控制和管理层最终决定；其次，银行业金融机构的高级管理层访问业务条线操作系统应受到限制，尤其是资金转账系统。如果此类限制不现实，则必须制定并施行额外的控制措施；最后，有效地管理信息安全风险（甚至只是某个特定职能部门的信息安全）需要全面地对相关风险进行真实和完整的评估。

　　资产组合信用风险

　　资产组合的信用风险也应当引起整个银行的重视和全面管理。在很多案例中，一些机构也许对每个风险敞口都进行了良好的信用风险管理，但是却没有足够重视各类风险敞口聚集后对于整个机构的影响。

　　很好地管理资产组合的信用风险不是一件容易的事情。银行会面临种种挑战，例如风险敞口的聚集，要在整个资产组合中识别和量化出信贷集中度。很自然，监管者有时会对银行日益增长的信用风险集中和银行管理此类风险的能力而感到忧虑。最近，美国银行业监管机构共同签发了关于管理商业房地产集中的监管指引草案，旨在强调健全的资产组合管理原则。这些原则是银行在制定其商业房地产贷款战略时都应遵循的。一家银行既要监测单笔贷款的执行情况，也要在集中的基础上考虑由同类物业或者在同一市场上的物业抵押的贷款的风险情况。商业房地产指引中设定了一些金额标准，这并不是监管限制，而是监管参考指标，以便于监管者识别银行潜在的商业房地产集中风险。监管者希望机构自己分析商业房地产集中的风险，并确立他们自己限制商业房地产集中的标准。毕竟，就识别和了解商业房地产集中的风险而言，机构是处于最有利地位，而监管者的工作就是确认机构确实做了此事。

　　结论

　　美联储认为所有银行业金融机构都需要良好的风险管理。全面的风险管理方法有助于设定整个机构的目标、培育整个机构的企业文化、确保核心业务和关键风险得到常规性监测。事实上，总有很多机会去改进全面风险管理战略，并制定有效执行该战略的相应制度。此外，银行还应当认识到，以前从未有过的问题可能突然在某一业务条线或职能部门出现。因此，哪怕是对于最简单的业务部门，多估计一些假设的情形总是有帮助的。

　　与此同时，银行风险管理的方式方法应取决于机构的经营规模、业务复杂程度及其风险状况。很多案例表明，小型机构简单地采用最为复杂的风险管理做法并没有太大效果。美联储希望银行业机构不仅要识别、量化和管理其风险，而且同时要发展和保持适当的公司治理结构，并与其业务活动和所承担风险相适应。美联储希望就这些不同问题所制定的指引能与银行家们自身的风险管理做法渐趋一致。

（上海银监局译，国际部摘编）