刍议商行全面风险管理现状

一、企业全面风险管理的产生与内涵

(一)企业全面风险管理的产生在20世纪30年代关于风险管理的相关理论和实践始于美国保险业，但直到20世纪50年代才真正成为一门学科。随着社会的不断进步，关于风险管理的理论也不断进行完善，风险管理理论的发展也经历了3个时代，从1991年以前的传统风险管理理论时代到2001年以前现代风险管理理论阶段，2002年以后风险管理理论进入了全面风险管理阶段。在1991年之前的传统风险管理阶段，风险管理的思想还很不成熟，经过不断的发展才逐渐形成全球性的管理思想和实践，在那个阶段内部控制和公司治理是公司风险管理的最主要内容，而信用风险和财务风险是风险管理的主要控制对象。在1992年后，风险管理理论进入现代风险管理阶段。

随着国际一体化、资本市场一体化的加快，资本市场给我们提供了巨大的商机，但与此同时也带来了许多之前没有遇见过的不确定性因素，企业将面对更为复杂的市场经济环境以及不断增加的风险因素，并且现代公司的经营权和所有权进行了分离，公司的核心价值得以扩大，企业的价值链得以延伸，职业经理人阶层这个新的特殊阶层的出现，都使得经营风险变得更加复杂更加突出，公司各个阶层之间出现分歧和冲突，公司股东、所有者以及高级管理层之间的利益关系变得更加复杂，公司的生存状况不容乐观。卡德伯利报告以及COSO委员会《内部控制———整合框架》报告的出台，标致着风险管理已经进入了现代风险管理时期，在这个时期风险管理理论和实践都取得了长足的进步。2002年以后风险管理进入全面风险管理阶段。20世纪末至21世纪初世界经济的复苏，一种新的造假行为应运而生。在接下来的时间里，网络泡沫不断扩大，新的经济政策遇到阻碍，美国的一些著名企业也连续发生财务造假事件。这些财务丑闻都对股东造成了巨大的影响，使他们遭受了巨额的损失，并且手段极其恶劣，使得企业财务和股票交易在美国公民心中的可信度急速下降。为了能够使投资者找回信心，使企业在大家心中重新树立形象，美国国会在2002年7月通过了萨班斯———奥克斯利法案(SOX)。以萨班斯———奥克斯利法案(SOX)的通过为标志，再加上2004年6月及9月《巴塞尔新资本协议》和COSO的《风险管理———整合框架》的颁布，风险管理已经进入了以实现公司的发展战略为目标，以风险的效益为价值取向的后现代风险管理阶段，即全面风险管理阶段。在此基础上COSO将风险管理理论体系进一步进行了完善和丰富，吸收了加拿大的CO-CO以及英国Turnbull的研究成果，并于2004年在结合之前《内部控制———整合框架》的基础上提出了全面风险管理的框架，即《企业风险管理———整合框架》(ERM)。

(二)企业全面风险管理的内涵目前，对于企业全面风险管理的概念众说纷纭，但究其内涵，2004年美国COSO委员会出台的《企业风险管理———整合框架》对企业全面风险管理概念的阐述，是目前国际上大家基本认同的观点。全面风险管理在制定企业经营目标时就考虑到了风险因素，整个体系也贯穿在企业的整个管理过程当中，涵盖了企业经营的方方面面。COSO所提倡的全面风险管理不仅包括对企业战略目标以及风险管理目标的设定，还包括企业经营的各个方面。如管理人员的聘用，风险评估方法的选择，预算的管理，以及出示报告的程序等等。对于企业的风险偏好、风险承受能力、压力测试等一些新的概念及方法也是由全面风险管理框架所引入的。所以，全面风险管理框架在识别风险，衡量风险的基础上，更能促进企业的战略目标和风险目标相一致，利益与风险相互联系，利用风险信息来进行决策等等，进而能够帮助企业创造更多的价值，帮助管理层实现全面风险管理的目标。COSO委员会出台的《企业风险管理———整合框架》是一个多维的立体的框架，它一共包含了3个维度。这种形象的表现形式使得控制和管理对象更容易理解，把复杂的问题简单化，从而起到解决管理和控制中所存在的问题。目标体系是整个框架的第一个维度，管理要素是全面风险管理框架的第二个维度，它由8个相互关联的要素构成，这些要素贯穿于企业经营管理的整个过程中。第三个维度(侧面维度)是主体单元，包括集团、部门、业务单元、分支机构4个层面。

二、我国商业银行全面风险管理存在的问题

国际上多次出现的金融危机和大银行倒闭事件，引起了世国各国对银行业风险监管的重视。同样，我国也毫不例外，特别是在亚洲金融风暴以后，我国银行监管部门加强了对银行业的风险监控，出台了一系列关于风险监管的指导性文件，如:《商业银行内部控制指引》、《商业银行资本充足率管理办法》、《商业银行市场风险管理指引》、《关于加大防范商业银行操作风险管理工作力度的通知等风险监管规章或规范性文件。建立有效的风险控制机制，已经成为我国商业银行面临的重大、紧迫任务。然而，我国银行业在实施全面风险管理的过程中仍然存在一些问题。

(一)风险管理文化的理念尚未建立风险管理文化是企业内部控制中的软因素，决定着企业风险管理的理念和意识。我国商业银行的风险管理起步较晚，因而风险管理文化氛围不浓，风险管理意识比较落后。但商业银行经营的外部环境无时无刻都在发生着变化，这就要求商业银行要将风险管理理念渗透到日常经营的每个环节和岗位，并逐渐内化为员工的工作态度和习惯，渗透于银行的整个经营活动当中，力求最大限度地发挥员工在风险管理方面的主动性、积极性和创造性，在整个银行体系内形成一种风险控制的文化氛围，形成一种风险防范的道德评价和职业环境。但是，虽然我国商业银行已经建立了相应的风险管理规章制度，但风险管理文化是一个长期培养的过程，它需要企业上下级的层层推进，要将风险管理的理念贯彻到每一个员工和工作的每一环节，只靠空洞的教条显然不够。我国商业银行没有将风险管理的理念贯彻到商业银行业务拓展和经营管理的全过程，往往把风险管理和风险控制看作是单纯风险管理相关部分的职责范围。

(二)风险管理的组织结构还不完善从世界银行风险管理的实践来看，在独立性和程序性原则方面，风险管理应该逐步独立于其业务发展部门和支持保障部门，审计部门完全独立于银行业务发展、综合管理和支持保障等部门，直接向银行决策层负责。这种风险管理组织结构的设置，能够保证银行风险管理事前授权审批、事中执行和事后审计监督的独立性，体现现代商业银行风险内部控制管理的程序性和独立性原则。但是，我国绝大多数商业银行还没有建立起独立经营、能够有效管理银行各种风险的管理体系和管理部门，银行风险管理缺乏有效的运行机制和组织保障。一是商业银行管理体制不健全、缺乏独立性，受外部环境的干扰较多;二是没有形成完善、科学、有效的岗位职责体系，各个部门职责不清、业务边界不明，各个业务部门各自为政、分头管理，要么出现业务管理的真空地带，要么出现业务的撞车现象，难以实现有效的风险监控;三是风险管理在组织结构方面尚有待优化，风险管理仍集中在信用风险领域，市场风险和操作风险还没有被纳入重要的管理领域;四是国内银行分支行普遍未设立综合风险管理部门，内部审计职能有待拓展。

(三)风险管理技术与方法落后现代商业银行的信用风险管理技术发展很快，与传统的信用风险管理主要依赖定性分析与主观判断截然不同。现代信用风险管理越来越注重定量分析，而且分类科学、量化准确，大量运用金融工程技术和数理统计模型。结合我国商业银行风险管理的实践来看，它们运用的方法比较落后，大多只进行定性分析，主要是运用经验分析的方法，主动性过强。另外，现代信用风险管理技术运用依赖的风险管理信息系统还没有建立，现代信用风险管理的人才还非常缺乏，大量科学、有效、先进的风险管理技术无法运用到日常的经营业务当中，无法建立资产组合管理模型，无法准确掌握风险的敞口，这直接影响了风险管理的科学决策。受技术与管理方法落后的影响，我国商业银行风险管理的工作重心主要集中于转化、清收、核销上，即资产风险事后的管理上，而在防范、控制等方面———即对资产风险的事前、事中控制所做的工作甚少，尤其是专门的风险监测和预警系统，对于早期风险的防范仍是一片空白。

(四)风险管理人才匮乏现代风险管理技术与方法的运用离不开专业的技术人才，这就要求风险管理员工必须接受过系统的教育和严格的专业训练，否则将很难理解业务和产品的风险性质，更难以采取适当的风险防范措施。然而，由于现代风险管理在我国起步较晚，大专院校还没有建立起完善的教育培训体系，学校教育与商业银行实践还没有形成有效的信息反馈机制，学生所掌握的知识与实践要求严重脱节，因而学校培养出的人才并不能满足现代风险管理的要求，从而使我国金融风险管理人才相当匮乏。

三、我国商业银行实施全面风险管理的有效途径

从上面的分析可知，我国商业银行要建立完善、有效的风险管理体系，必须从理念、体制、人才等几个方面着手。

(一)确立稳健经营的理念，构建先进风险管理文化随着时间的推移，风险管理由传统风险管理阶段进步到全面风险管理阶段，这不仅仅是企业在管理理念方面的进步，更是商业银行在风险管理文化上的进步。商业的环境因素在全面风险管理体系中得到了更大的重视，提出风险观的概念也是其鲜明的特点之一，主张银行的每一名员工都参与到风险管理的过程中来，上到高层管理者下至最普通的员工都要树立起风险的意识，要求在银行文化中要融合风险管理文化。风险管理文化对于推进风险管理的作用是至关重要的，应当使其扎根于商业银行日常经营业务活动之中，创造适当的合规文化以及风险文化。这样，银行的日常运作就可以把风险管理当做一个中心部分，每一名员工都能够参与到银行的全面风险管理过程中来，这样银行的全面风险管理才是高效和成功的。全面风险管理不仅是一种体系更应该是商业银行全体人员的一种风险理念，风险管理是银行所有员工的责任，并且在银行经营管理的每一个过程中都要有所体现。应该用风险管理文化来引导商业银行每一个员工的日常行为，全员加入其中，并且形成共同的整体的风险管理理念，每一名员工自觉遵守，这样商业银行才能打造出真正的风险管理文化。

(二)建立完善的风险管理组织结构，制定科学的风险管理流程建立独立的风险管理组织架构是实施有效风险管理的前提。目前，我国商业银行在行政层级上普遍实行总分行制，在此框架下完善的内控机制是建立全面风险管理体系的基石。在此基础上，按照完善的公司治理结构的要求，建立相互独立的、垂直的风险管理组织框架是我国商业银行的有效选择。具体来讲，可以以总行风险管理委员会为中心，下设不同的风险管理部门，各个风险管理部门设风险经理，分行设风险管理处和风险管理员。在这样一种组织结构体系下，各风险管理部门能够实现权责明确、风险管理体系能够独立高效运行的目标。需要注意的是，在全面风险管理组织机构中要建立风险授权审批管理机制，每一级别的风险管理部门都要明确自己的授权范围，超过授权范围后应向上一级主管部门汇报情况。目前，我国商业银行对操作风险的管理缺乏完善的内控机制，因此，加强操作风险管理必须从建立完善的内控机制入手，按照《中央企业全面风险管理指引》建立我国商业银行全面风险管理的基本流程。首先，收集风险管理初始信息。收集风险管理初始信息是企业全面风险管理的首要环节，其目的在于及时发现企业可能面临的各种风险，为风险管理部门进行风险评估提供依据。其次，进行风险评估。风险评估是对所收集的风险管理初始信息各项业务管理，及其重要业务流程进行的风险评估，具体包括风险识别、风险分析和风险评价三个步骤，其目的在于查找和描述企业风险，评价所识别出的各种风险对企业实现目标的影响程度和风险价值，给出风险控制的优先次序等。第三，制定风险管理策略。制定风险管理策略，就是根据内外条件，对所识别出的各种风险，按照所给出的优先次序制定解决方案。第四，提出和实施风险管理解决方案。提出和实施风险管理解决方案，就是根据所制定的风险管理策略，针对各类风险或各项重大风险制定风险解决方案。第五，风险管理的监督与改进。风险管理的重点，是对事关企业生存与发展的重大风险进行识别、分析与控制。

(三)培养专业化的风险管理人才全面风险管理对人才的要求极高，能够胜任商业银行全面风险管理岗位的员工，应是有实际操作经验、掌握系统专业知识的综合型人才。因此，培养、建立一支适用于风险分析的专业化的高素质人才队伍，对于我国商业银行实施全面风险管理具有很重要的现实意义。要加大风险管理人才的选拔和培养，以有竞争力的薪酬制度来吸引风险管理的专业人才，强化风险管理人员的分工与协作意识。对于缺乏相应风险管理人才的关键岗位，可招聘国外银行的风险管理专家，以加速银行风险管理的进程。从目前我国商业银行风险管理的内外部环境来看，建立全面风险管理体系的条件尚未成熟。应该明确，这是一个循序渐进的过程，有条件的银行可以根据自身的实际情况，逐步进行全面风险管理改革，最终构建一个从理念到体制到技术都比较成熟的全面风险管理体系。

作者：刘芳莹单位：中南财经政法大学会计学院