联系我们
如您对参会报名、网站使用、内容发布有任何疑问或改进意见,请随时与我们进行沟通!
客服企业微信
期待您的宝贵意见
卢娜 中国建设银行总行风险管理部资深副经理
在风险管理的过程中会面对各种各样的风险,有信用风险、市场风险这类大家比较熟悉的风险,也有很多新型的风险,在实务中可能会有一些困惑,也会遇到一些难题。下面谈一谈风险分类及针对不同类别的风险应该如何去管理。
2021年4月,比尔·盖茨出了一本书叫《气候经济与人类未来》。在书中的第30页讲了一个小故事,说的是两条年轻的小鱼在鱼缸里面自由自在地游,遇到了一条年长的鱼,年长的鱼向年轻的鱼打招呼,问它们感觉今天的水怎么样。这两条小鱼迟疑了一会儿又继续游,然后自言自语地说“什么是水,水是什么东西”。比尔·盖茨借这个故事就想说明,其实在我们的生活中对于那些显而易见、普遍存在而且又至为重要的事实,其实往往最难以觉察,也最难以言表。
其实对风险的认识也是这样,我们最熟悉风险,风险无处不在,那么到底什么是风险?中国建设银行在2019年编了一本书——《大型商业银行的风险管理》,拟定框架提纲的时候,准备在第一章讲一讲什么是风险,结果发现对风险下一个准确的定义实际上是很难的。最后我们采取的一个折中的办法就是把现有关于风险的定义,在不同的维度上做一个梳理,然后将其与一些相关概念做一个辨析的方式来界定风险。比如风险和损失、风险和不确定性、风险和波动性、风险和危险、风险和信息不对称等。实际上在我们日常的生活中,大部分对风险的定义是一个偏负面的、单侧的概念,更多地被理解成产生损失的可能性。但其实风险是一个中性、双侧的概念,它既是可能产生损失的原因,也是盈利的来源。正因为是如此,风险管理才有意义,才有价值。大家对风险的认识也从最早对风险的规避,到目前经常提到的风险的管理、风险的管控,再到风险的承担、风险的经营,这实际上蕴含着大家对风险内涵认识的演进。因此,风险需要用一个双侧的概念去定义,即产生损失或收益的可能性或不确定性。
1.根据风险的来源进行分类
根据风险的来源可以将风险分为经济风险、政治风险、社会风险、自然风险和技术风险。
2.根据风险的性质来分类
根据风险的性质可以把它分成投机风险和纯粹风险。有一些风险可能只存在受损失的可能性,比如疾病、自然灾害或者交通事故,那它带给我们的就是损失,至少不会有直接的收益,这一类风险就是纯粹风险。我们可能会从对事件的反省中,发现一些问题,然后通过后续的改进获得这种间接上的收益。但是直接上来讲,纯粹风险带来的就是损失。投机风险就有可能是获得收益、没有收益和获得损失。
3.根据风险的驱动因素进行分类
巴Ⅱ把风险分成了八大类,其中第一支柱的三大类风险(信用风险、市场风险、操作风险)相对来说有比较成熟的管理和计量工具。第二支柱里面的这五大风险(集中度风险、银行账簿利率风险、流动性风险、声誉风险和战略风险)计量手段比较少,但是我们依然要通过一些管理方法去衡量它们对银行资本充足的一个影响程度,也就是我们熟知的ICAP。
原银监会在2016年发布了监管规制——《银行业金融机构全面风险管理指引》(以下简称《指引》)。这里面也是引用了Basel的分类方法,结合我国的实际情况做了一些调整。指引把银行业的风险分为九大类,信用风险、市场风险、流动性风险、操作风险、国别风险、银行账簿利率风险、声誉风险、战略风险、信息科技风险这九大类。此外指引中还提到了一个“其他”,这个“其他”里面实际上也有很多的风险,并且现在随着实践的发展,“其他”中的风险会越来越多,包含的范畴越来越广。
4.根据风险所处的内外部环境进行分类
比如信用风险是来源于银行客户或者交易对手,由于他自身的原因产生了偿付问题而带来的风险。市场风险也是由于外部的一些市场因子,比如利率、汇率、商品和股票的价格等。声誉风险是商业银行处在这个社会当中,在舆情应对或者是一些负面的事件带来的影响。这些因素都是来源于银行所处的外部环境。
此外还有很大一部分是银行自身在这个管理过程中产生的风险,我们可以统一把它都归纳为运营风险。这样的分类从逻辑上很好理解,但因为运营风险是大类风险,包含范围很广,所以并不是意味着运营风险在银行里面是只能由一个部门来牵头。
以上四种分类方法是目前主要的风险分类方法,可见风险的分类没有一个统一的标准,不同的分类服务于不同的管理目的和管理需要,都有其存在的道理。
1. “Operational Risk”的解读
Operational Risk国内大多把它翻译成是操作风险,它本身的定义是由不完善或有问题的内部程序、人员、系统或外部事件造成损失的风险。从它的定义来看,程序、人员系统和外部事件这四大来源实际上就覆盖了银行经营的很多方面,不仅包括日常的业务操作环节中的缺陷或者失误,同时也包括自然灾害、内外部欺诈、信息科技、洗钱风险等众多方面。将其翻译成操作风险,就容易误解成在操作环节当中,由于人员或者流程的问题带来的失误,就和它本身的定义不太匹配。这个翻译实际上也影响了银行从业人员对这一类风险的理解和管理。
2.战略风险的理解和管理
战略风险在2004年的Basel Ⅱ将其首次独立于操作风险,作为这个八大类风险之一纳入第二支柱进行资本评估。原银监会在2012年发布了《商业银行资本管理办法》,文中对战略风险进行了定义。
2016年发布的《指引》更加强调了战略风险要纳入全面风险管理体系,也要建立一整套的识别、控制、监测、评估和报告的管理体制。但是在目前银行的实务当中,对战略风险的管理仍是比较模糊的。银行从业人员可能存在一个普遍的想法就是战略都是由董事会和最高决策层来制定并且最终审议通过的,在这个层面上战略风险好像不是特别好界定。
随着数字化经营的不断发展,银行数字化转型的步伐也很快,在这个过程中会不断地涌现出新的风险形态,比如模型风险、数据风险、欺诈风险等。比如对模型风险而言,现在模型已经成为了银行线上业务中一个重要的决策工具,模型参数的设计是否准确,模型是不是适合,已经成了关键的问题。一旦模型出现问题,它影响的不只是一个客户,而是整个集团的这一类客户或者一类业务,那么就可能会引发一些系统性的问题。实际上在银行同业当中也发生过模型风险的一些案例。比如摩根大通在2012年就是由于操作人员缺乏建模的经验,并且模型本身也存在运行的问题,因为对一款风险对冲工具的不恰当使用,导致最后形成了六十亿美元损失。所以说模型风险不容忽视,模型风险管理越来越重要。
此外,欺诈风险也是随着互联网金融业务等线上业务的快速发展而出现的一类新的风险,管控的难度也非常大。现在欺诈的技术含量越来越高,并且形成了产业化的组织,经常是有组织有分工的职业团队来进行欺诈,银行在这方面也是有过不少的教训。
还有一类风险也是随着“3060”目标的提出受到日益的关注,即环境和气候风险。碳达峰、碳中和也是银行业非常关注的一个方面。环境和气候风险应该怎么去认识,怎么去管理,也是一个新的课题。
COSO中对全面风险管理是用的ERM(Enterprise Risk Management)这个概念,在其他一些文件中也有用CRM(Comprehensive Risk Management)来解释的,两者体现了这是一个在更高层级上的一个风险管理。全面风险管理本身有其要解决的问题和特有的管理工具、管理机制。在银行的监管文件或者内部的文件中经常会有一句话“把某某纳入全面风险管理体系”。这种情况一般都是遇到了某个问题,可能是一个新型的风险,我们目前还没有能够很好地去识别它,必须要把它纳入全面风险管理体系当中。另外一个可能就是有一些问题无论是从职责上还是从流程上都不太好办,人们就会提出将其纳入全面风险管理体系,这样一来风险管理部门就肯定要研究这个事情。
在我们的工作和生活中都会发现有很多的风险,比如供应链金融风险、交叉金融风险、消费者权益风险等等,基本上每一个名词后面都可以加一个“风险”。银行对这一类风险的提法怎么去认识?它们同上述的那些分类是一个什么关系?又应该如何去甄别和怎样管理?这也是目前实务中的一个难点。
1.全面性原则
风险分类要尽可能覆盖所有来源、所有类别的风险,确保全覆盖,不会出现管理的真空。另外我们还要考虑不同风险之间的交叉影响。此外,风险分类的管理还要始终贯彻全员参与的原则,即前中后台都要在风险管理的体系当中去发挥作用。
2.重要性原则
受制于管理资源和管理能力,银行可能还是要重点关注自己所面临的一些主要的风险类别,即影响银行收益的最主要的风险。另外,风险大都是交叉产生和影响的,银行应该找出对自身影响最大、最重要的风险环节,坚持实质性把控。
3.专业性原则
风险管理中不同的风险都有不同的计量方法、管理工具和管理逻辑,所以风险管理是专业性的,也是有技术含量的,银行要从有利于专业化的这个角度出发去进行风险分类的管理。另外风险分类管理要和这家机构的管理现状相结合,不能简单地去照搬国际的同业或者国内的其他同业。银行可以去对标研究,但是不能简单照搬,因为每一家银行的发展都不一样,管理现状也不一样,银行还是要结合自身实际,去研究如何分类和管理更合适。对于一个风险分类管理,只要能够降低管理成本、提升管理效率,就是一个好的分类机制。
从定义所涵盖的内容,更改翻译会更为恰当。可借鉴的依据,COSO最初是从内部控制的角度去解释风险的,在这里面“Operational Risk”是被译成运营风险的;会计学里面讲的“Operational Cost”也是指的运营成本,而不是操作成本;在运营管理学里面,“Operational Managements ”也是指的运营管理。2006年6月,国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》,将企业风险分为战略风险、财务风险、市场风险、运营风险和法律风险等,其中运营风险包括产品的销售渠道、人员的结构和知识经验、道德风险以及发生失误的业务流程环节、自然灾害业务控制系统失灵和运行评价。这个运营风险的范畴,实际上就和银行业现在理解的定义是一致的,但是它没有被翻译成操作风险,而翻译成运营风险。中国银行业协会的“陀螺评价体系”中运营管理能力这一评价指标也是与“Operational Managements”相对应。2020年,Basel委员会发布《监管弹性原则》(Principles for Operational Resilience),也将“Operational Resilience” 译为“运营弹性”。所以把操作风险更名为运营风险更为合适。
实际上现在各大银行当中承担操作风险管理的部门,管理风险的范畴也是很广的,绝对不只是业务流程的失误。既然在实务中已经这样做了,那我们应该将其名称回归到最本质的内涵。
1.风险分类的两个维度
风险分类最主要的一个维度还是看是否有清晰识别的风险驱动因素。下图中橙色的都是《指引》中提到的九大类风险,绿色的就是一些其他的风险。从图中我们可以看到运营风险,或者说是操作风险,它包含的这个范畴都是很广的。同时在实务当中,模型风险、数据风险、欺诈风险、洗钱风险等也是受到越来越多的关注,所以银行业在实务当中是把它们和九大类风险处于一个并列的层次,都是作为大类的风险来进行管理。
有时没有单一的风险驱动因素,但是有清晰的风险发生的业务领域,里面可能包含了多种风险。业务领域内的风险应该首先由该业务领域所在的职能部门来进行直接的管理。在管理的过程中,这个领域可能会产生信用风险、市场风险、声誉风险或者是IT风险,从业人员都可以从二道防线的管理方法里面去找到政策依据或者是工具的支持来进行风险管理。
另外还有一类风险不能判断是否有清晰发生的业务领域,可能是一个全局性的风险,比如新冠肺炎疫情的风险。因为疫情对整个银行经营管理的影响是全方位,它会影响运营安全和员工人身的安全,还包括一些重大事件的报告。
建议第一个维度风险驱动因素还是维持现有的“9+X”的风险框架,但也可进行适当调整,例如将银行账簿利率风险纳入市场风险、信息科技风险纳入运营风险等。第二个维度驱动因素有很多,但发生的领域相对好界定,主要还是要落实第一个维度。
2.基于一道防线和二道防线的定位
建立二维分类最根本的这个依据就是在于银行一道防线和二道防线的定位是不一样的。一道防线是承担所在业务领域风险管理的直接责任,一旦出现风险,首先就要及时化解风险。二道防线提供了一整套的制度、流程和工具。一道防线出现问题是要从这其中找到解决方法。在一道防线出现问题的时候就要从二道防线中去找到解决的方法。但是如果出现了管理真空或者共性的问题,比如出现政策、工具、流程的缺陷,在这个时候二道防线就必须要去和一道防线一起来研究和解决这个问题。风险驱动因素二道防线的职责是抽丝剥茧形成对某一类风险适合的计量工具和管控机制,比如信用风险的驱动因素是客户的偿付能力和意愿,那我们就要去找到一系列的指标,最后计算出违约概率PD;对于市场风险也一样,它针对市场因子的变化去找到诸如VaR、风险限额等的管理工具。二道防线是针对风险类别专业化来设计,职责是针对不同风险驱动因素导致的风险,建立和风险特征相适应的一整套管控机制为前台提供支持,同时和前台形成有效制衡。
前面提到,现在“风险”这个词尾越来越多,它应该更多是发生在某一个业务领域或者一个板块。互联网贷款的风险就是其中一个例子,2020年七月银保监会发布了互联网贷款的管理办法,互联网贷款在银行涉及多个业务部门:主要包括小微快贷、个体工商户经营快贷、裕农快贷、个人快贷、跨境快贷等,会分散在银行普惠金融、个人金融、乡村振兴、国际部门等多个部门。互联网风险也同时涉及多种风险,比如模型风险、欺诈风险、数据风险、合作机构风险、信息科技风险等,风险驱动的因素是多种多样的。互联网风险最核心的风险管控环节是模型风险和欺诈风险,其线上化的风险特征与传统的信贷业务明显不同。它完全是由数据和模型驱动的,用工具代替了过去专家的决策,整个判断是基于风险数据和风险模型进行交叉验证和风险管理。因此如果想要确定一个牵头管理部门的话,哪个部门承担这一项的风险管理,就应该由它来承担互联网贷款风险的这个管理,而不是简单的只看到贷款的信用风险。
全面风险管理首先是其他各类别风险管理的汇总,但是它本身的工作含义远远不止于这一方面,其更重要的是要坚持两个统一:一个是集团统一的风险偏好,一个是统一管理框架。在这两个统一的基础上要实现银行风险管理向两个方向的延伸,第一个方面是坚持企业级和数字化的思维,运用统一的风险视图、风险偏好、风险报告、风险评价以及综合的风险画像等工具来实现对各类风险的加总管理,展示集团风险敞口的全貌。这对于全面风险管理是一件很有意义的事情。第二个方面是立志于体制机制的完善,去解决管理真空、管理重叠或者管理冲突,推动治理架构、风险文化和人员队伍等长效机制的建设。
要及时将新型风险纳入全面风险管理体系,研究和新型风险契合的风险管控机制、方法和工具,确保风险的全覆盖。风险管理是一个不断演进、与时俱进的过程。
1.全面风险管理的两大流派
COSO体系建立于1992年,它从内部控制开始做起,经过多年的发展,到2017年全面风险管理的框架的发布,实际上是向着全面风险管理的方向在逐渐地演进。业内更加熟悉的是巴塞尔委员会出台的一系列协议。实际上中国银行业在多年实施巴塞尔协议的过程中,最大的益处是提升了国内银行业的风险管理能力,打造了一支风险管理的队伍,形成了风险管理的共识。
这两个框架出发点不一样,COSO原来主要从衡量资本充足、统一监管标准的角度不断地演化,最后成为一个风险治理的完整框架。尽管这两个框架实际上有区别,但是也有很多的趋同,最终的体现就是风险管理要融入企业的战略,要融入企业的价值创造。这也是全面风险管理体系建设的一个很重要的基石。
2.全面风险管理的实施建议
第一是培育风险文化,这是银行的重要软实力之一。第二是完善风险治理架构,建立好银行的组织保证。第三是做实风险偏好和传导,风险偏好是整个风险管理的逻辑起点,它向下的各级传导的脉络就像人的神经网一样,其重要性不言而喻。第四是优化流程控制与风险管理工具。第五是准确、全面及时的风险报告和评价。第六是做实内部控制和审计。内控和审计在广义的范畴上是属于全面风险管理体系的一个部分,是银保监会《指引》中的一个构成要素。第七是强化风险管理的基础设施建设,包括数据、系统和人员。这七个方面就构成了全面风险管理体系的七个构成要素,它们之间是相互支撑的关系。
这里我着重介绍一下风险管理基础的建设,特别是其中数据和系统的建设,就是上述全面风险管理第一个方面的延伸。虽然现在“部门银行”的色彩仍然比较严重,很多大的机构都可能会存在这样的问题,但是通过系统建设去打破部门银行,或者去打通信息数据的障碍是解决问题的一个切入点。因为在企业级的层面上,运用数字化的一些思维,做整个集团系统数据信息的整合,实际上就是在做整个风险信息的共享。因此负责全面风险管理的部门,是可以投入精力来做这样的事情。风险管理基础的建设可能短期见不到太多的收益,但它从长远来看对整个银行提升整体风险管控有着至关重要的意义。
其实从科学的角度来讲,只要是人做出的决策,都有不正确的可能性,这个概率是客观存在的。即便此时战略是正确的,但随着形势的变化,战略可能也需要做出相应改变。比如中国建设银行在上世纪九十年代末做“双大”战略,到现在提出来“双小”、住房租赁、乡村振兴等一系列的战略,都是随着形势的变化要进行相应的调整,是第一发展曲线到第二发展曲线的一个迭代。另外,即使战略是正确的,在战略推进和执行的过程中,可能也会遇到偏离战略的情况,也需要进行风险评价和纠偏的。
战略风险的管理有四个方面。第一,要研究外部宏观形势变化、研究竞争对手策略变化以及研究自身的优劣势。第二,要注意发展战略和风险偏好的协调性,在顶层设计中,这两者应是一体化的。第三,集中度风险是战略风险范畴,确定一家银行的资产结构如何摆布代表了战略方向怎么选择。第四,要对战略执行进行独立的风险评价,进行纠偏,确保战略高质量发展。
1.环境和气候风险
对于环境和气候风险的管理现在有两种观点。第一种观点认为环境和气候风险不需要作为一个单独的风险类别来进行管理,而只是在整体风险管理去考虑这个要素。因为环境和气候风险给银行带来的风险在各个领域都会呈现,比如气候变化会导致客户还款能力的下降,从而引发信用风险;低碳转型导致一些大宗商品失去了价值,可能引发市场风险;极端天气、自然灾害可能导致银行业务中断,产生运营风险等等。不需要单独作为风险类别进行管理,只是在风险管理时需要考虑这些因素。
第二种观点认为银行还是需要将环境和气候风险作为一个单独的风险类别来进行管理。这个观点更多是从实务的角度出发,因为银行从上到下各部门都特别关注这类风险。按照监管的要求,环境和气候风险的管理和相应气候投融资的管理,都应该纳入现有的绿色金融框架来统一考虑。环境气候风险如果要作为一个单独的风险类别来进行管理,其实也需要逐步去搭建一个管理框架,包括从治理层面、政策流程层面,还需要一些管理的工具。这其中比较难的是现在可能还找不到一些特别好的指标去衡量环境和气候风险。目前国内银行业更多的是通过压力测试去测算它对银行整个资产组合的影响程度,未来在这方面还需要更多的创新和贡献。
2.模型风险
现在无论是美国还是中国的监管机构,对模型风险都是越来越重视。在银保监会发布的《商业银行互联网贷款管理暂行办法》的第三章专门对模型风险做了一个规定。正因为此我认为模型风险是互联网贷款风险管理中最核心的环节。
模型风险同样要坚持三道防线全面管理,此外还要分级分类管。核心环节是验证,对于模型的适应性、参数的合理性进行评估。
3.欺诈风险
欺诈风险跟模型风险很类似,分散银行业的很多领域,所以二道防线的牵头部门就非常重要,并且可能不是只由一个部门来做这件事情。欺诈风险管理的核心也是难点即是运用数字化的思维,用智能的平台来建立企业级的欺诈风险管理体系。
由于时间的关系,对于大家熟知的传统风险,例如,信用、市场、运营、流动性等风险的管理就不在这里赘述了。
(责任编辑:唐寅灏)
来源:TGES 2021高级研讨会:资本、风险偏好和限额管理(8月)
Q:能否介绍一下集中度风险管理的一些方法、工具和流程?
A:虽然监管规制上也有集中度风险管理的指引,每个机构也会有集中度管理的一套机制,但是对于集中度的管理,有的银行可能是把它按照几大类风险切分成不同的集中度,比如信用风险的集中度、市场风险的集中度等。我认为这值得商榷。集中度更多的是考虑这家银行的资产结构、行业机构、客户结构,甚至产品结构的摆布,是一个战略风险的范畴,或者是风险偏好中应该重点琢磨的地方。这是一个很难的事情,但是可以从一些大的结构方面,先去考虑集中度的问题。比如现在银保监会非常关注房地产贷款的集中度,这不仅是一个信用风险的问题,还是一个市场风险的问题,是一个系统性风险的问题。因为房地产相关的贷款在银行资产结构里占比很大,就可能会带来集中度风险。这个集中度风险实际上是一种系统性风险表现,所以我们需要在战略层面决定银行应该发展多少与房地产相关的贷款。集中度风险量化结构肯定是很难的,但是可以从最初的结构慢慢来做。
Q:您觉得数据风险是否应该作为一种单独的风险类型?此外,数据风险和模型风险经常是相伴随行的,您觉得应该怎么样去定义这两个风险之间的关系?
A:我觉得数据风险很有必要作为一个单独的类别来进行管理,因为现在银行的业务越来越依靠数据。不管是原来传统的业务,还是现在快速增长的线上业务,数据已经成为一个很重要的生产要素,进入到了银行整个的经营管理流程。
第二对于数据风险和模型风险的关系,数据是模型的一个输入,那么数据的质量、数据风险的管理、数据之间的验证关系是否合理对于模型来讲是非常重要的。输入是不是一个好的输入,就决定了模型是不是一个好的输出。我们现在已经把数据提到了数据治理这个层面,可见它是非常重要的。数据的管理部门和模型风险的管理部门,其实就很像线上业务前中后台的这种联席协商的机制,数据部门和模型部门一定要经常在一起沟通,需要有一个良好的协调和合作机制。
