第四节
增强银行风险管理规范性

无效的风险管理流程本身就是风险之源，必须首先加以解决。如果风险管理流程形式上很健全，而实质上是无效的，那么，一旦承担过大的风险或进入陌生的新市场，就很可能出现严重后果。风险管理流程可能出于很多原因被证明是无效的：如，高管层没有积极参与或支持风险管理工作，这意味着职能上未有效授权；治理机制可能存在缺陷，董事会、高管层或风险委员会成员逃避责任，独立风险职能部门职员可能不称职，不能按照要求处理复杂问题；风险管理问责制未有效落实，风险模型和分析工具也许非常粗糙，在管理风险方面价值有限，如此等等。当然，可能还有许多其他原因导致银行风险控制是无效的。不过，证明银行风险控制程序是否有效并非易事，常见的是从巨大“代价”中总结教训，调整风险管理流程。

一、建立健全风险管理政策制度

首先，制定良好风险政策程序，规范风险管理。确定银行承担风险行为的风险政策应由独立风险职能部门制定，并提交风险管理委员会核定和董事会批准。制定的风险管理政策应准确表达在单个业务和产品中能做什么和不能做什么。为让业务领导知道其业务的风险限制，必须设法让他们可轻易查看到清晰的政策概要及业务控制风险参数。风险政策应覆盖所有风险业务，未被风险政策有效规范的业务将导致非预期损失。不过，制定的风险政策应具体清晰，通俗易懂，不产生歧义，任何情况下都不需要“解释”。一旦政策需要解释其实质内涵，就可能导致混乱、争论和冲突，这将使银行承担本不应承担的风险。清晰的风险政策可降低误解，所以，制定政策时必须确保风险管理政策与相应风险管理指令保持一致，不允许在董事会和风险管理委员会表达的具体风险指令之外拓展业务。此外，保持政策程序的一致性，使类似业务可按照基本相同的方式办理（除非有特殊理由可以不那么做）；不能做到这一点，就可能导致内部“套利”或违反管理程序。

其次，制定风险限额控制程序，规范风险控制。风险限额一般用来对银行风险偏好做出定量定义，以有效约束在具体市场、资产或授信中允许承担的风险量。尽管风险限额只是独立风险职能部门的风险控制手段之一，不仅提供了最有效的风险控制工具，还为风险经理与业务经理之间建立了最普通的沟通渠道，即便业务经理可能不知道（或不关心）诸如公司现金流、杠杆率或资本化问题（这些问题对风险经理来说非常重要），他当然会清楚和关心限额下规定的信用风险数量，这同样适用于市场风险及相关风险限额。对风险经理来说，重要的是确定业务的关键性风险规模。实际上，风险限额应针对具体业务风险暴露进行控制；由于各个柜台衡量风险可能存在很大差异，可能要在治理结构更高层面上实行风险限额加总。因此，加总限额应先在银行整体层面上进行，然后再根据客户情况细分到各个业务上去（即“自上而下”法），或者依据具体业务品种设定单个风险限额，而后加总形成整个银行总风险限额（即“自下而上”法）。不过，风险职能部门应避免设定过多的限额，否则，会导致繁杂无效的程序；相反，设定限额也不能过少，因为限额过少可能会导致风险失控。

最后，建立风险危机处理程序，规范应急行为。一旦受到市场危机（或一些其他破坏性事件）冲击，银行就可以应用适当的“指示链条”，立即启动预先设计的危机管理程序，以确保关键风险和融资任务的优先性，将信息及时传递到相应团队，从而采取正确的决策。当危机出现时，通常难以创建有效的“应急”风险流程，如果现存信息联系很弱，很多业务就会带上错误信息特征，必然出现基于错误的信息而采取错误行动的情形。因此，关键是在出现混乱之前建立危机管理程序；从过去20年金融危机的相对频率看，这真实地表明银行需要优先建立危机管理程序。只有这样，银行高管层才能迅速将注意力集中到可能受到市场压力的领域——在紧急时刻实施融资，增强表内业务的“流动性”，应用支持性对冲使风险暴露中性化，等等。通过实行“指示链条”公开化，风险经理、财务经理以及业务经理知道联系的对象是谁，如何传递和分享信息，以便能够迅速做出风险和财务决策。当然，暂时绕过现有治理程序的任何风险管理计划，在其实施之前，必须经过治理机构明确界定、规范化并予以审批。同时还必须明确，何时不再需要暂时性危机措施，何时将业务和控制程序回归正常状态。

二、持续更新银行风险管理流程

为增强风险控制的有效性和持久性，最好办法就是持续更新风险管理流程，因为风险管理流程试图控制的要素本质上就是动态的——在每一项风险暴露背后的金融市场、机构参与者、产品以及风险策略都处于不断变动的状态。不能适应环境变化将导致流程僵化，也会增加损失的概率。银行家们已认识到，必须不断完善风险管理流程。的确，金融危机通常激起风险管理变革，但富有远见的银行家总是在问题出现之前就实现银行风险管理系统升级，因而当危机发生时，就最有可能避免遭受严重损失。构建动态风险管理流程需要高管层支持及治理结构的可变性；还需要风险管理人员能看到如何规避未来市场问题。

为适应业务层面变化，银行必须定期检查和调整风险政策、风险矩阵及风险报告的性质和结构。金融市场是变化不定的，构成市场的机构、参与者、产品、交易及监管也是持续变化的，这意味着信用风险、市场风险及其他风险也都是不断变化的。在既定时间设定的相关风险流程也随着环境的变化而减弱了相关性，所以，银行必须保持风险流程的可变性和适应性，要适时而变。随着新产品或新业务的增加，或当信用惯例、交易惯例或监管规则发生变化，必须“重构”风险管理流程，否则，将阻碍有效风险管理，最终必然走向崩溃。由于计算和分析技术的进步，新的衍生产品引进，标的资产数据增多，风险职能应重新检视信用暴露定量方法。由于市场变化，必须更新和完善定量方法和风险管理政策，同时，风险职能部门应向业务经理及风险治理的相关人员提出建议。

三、确保风险管理利益冲突分离

风险管理职能部门必须被赋予独立行使监督管理职能的地位，使其无须对风险承担部门汇报或负责。一旦风险管理职能部门独立性受到挑战，就难以在无利益冲突下，有效履行职责，切实保护股东利益。美国长期资本投资公司（LTCM）就是很好的例子。该基金公司被Meriwether以及精英小组合伙人控制，最明显的难题之一就是缺乏独立风险监控，合伙人制定交易策略，同时又是交易策略执行者，在监控风险暴露和分配资本方面，都没有明确责任分工。风险委员会每周审查组合，不是独立风险官可以操控的平台，而是一个对风险暴露提出批评或质疑的平台，是一个对新策略、新市场以及采用杠杆比率等进行探讨的平台。假如具有独立的风险职能，对LTCM的总裁问责，并充分赋予总裁限制基金风险的权力，结果可能迥然不同。

银行家对风险状况进行界定、监控和管理，必须确保负责分配限额及相关风险决策的部门/单元，对交易部门/单元（或业务单元）不存在工作汇报和薪酬管理的隶属关系。风险官无论怎样都不能处在受威胁的地位，绝对不能存在高级风险官对任何高级业务管理者的汇报路线。汇报路径可通过首席财务官，或直接对首席执行官（或行长）汇报工作，只有这样才能确保不出现利益冲突。一旦高级业务管理者可在权力或薪酬上控制高级风险官，后者就难以摆脱利益冲突，很可能迁就高级业务管理者的业务选择，而使风险控制和管理职能趋于弱化，甚至丧失风险控制功能。

同样，其他关键风险控制部门也必须独立于业务风险承担部门，为确保银行风险总体控制的全面一致性，其他风险控制部门对业务部门也必须保持独立性。因此，法律、财务及运营官的职责不得受业务人员的影响，直接管理和监督他们的管理者必须是独立于业务线的管理者。没有对这些控制职能进行严格分离，就将导致风险管理过程的利益冲突，造成财务损失，甚至陷入破产。巴林银行就是一例，里森担当套利交易和结算双重角色，既能交易和签单，又能确认交易和对账，交易业务前台、后台职能集于一身。

业务经理应负责识别、衡量和承担“好”的风险。业务专家一般通过开展风险业务为银行赚来利润收益，从而获取报酬。因此，银行风险管理的真正执行者是一线业务经理。在风险管理方面，他们必须负责确保承担的风险适于银行要求，也就是说，在董事会和风险委员会界定的风险参数下，准确定价并持续地监控风险。如果前台风险管理人员保持账面“良好”风险状况，整个银行就获益；因此，他们必须具有相应工具去做，并按适当方式发给薪酬。当然，独立风险官必须在过程中与前台风险经理保持联系，任何相反的做法必将导致风险治理缺陷。

四、规范金融创新风险控制程序

有效评估新工具、新市场和新交易的风险，审查新的产品、结构及资本需求，是风险治理的重要组成部分。设立的金融创新风险控制委员会必须独立于业务职能部门，尽管它们可能体现出业务的特色，但它必须在董事会和风险管理委员会的授权下由独立的控制专家进行指导和控制。对拟订、讨论和确定的所有控制问题和程序，在其出台前，新产品委员会都应帮助验证。

正因为如此，新产品委员会必须由经验丰富的高级独立控制官员来指导。参与者有权按其职责进行决策，如在委员会中安排低级成员，就难以保证提出正确的问题或对业务领导人进行质疑——在这一过程中经验是最基本的要件。建立资本管理委员会旨在评估巨额资本交易（如巨额股权交易、巨额收购、公司收购等）的条件，这个委员会可能由市场风险经理、信用风险经理、法律顾问以及业务人员组成。由于很多交易都是时间敏感性的，资本管理委员会必须随时准备应对紧急快速决策，而且高级管理者要确保在决策之前已全面讨论和深入分析。类似委员会的建立应对客户适应性问题、准备金等进行检查。为确保新产品管理委员会工作有效性，风险管理委员会和董事会必须对决策效果定期检查更新。这就形成了很强的向上沟通交流，促使风险委员会成员和董事充分意识到任何创新尝试对风险状况产生的影响。

对银行经营业务的成果也应进行有效监督。负责风险的高级管理层对单笔交易的细枝末节很积极，而对微观管理风险流程却兴趣不高。那些负责日常监控特殊业务单元或交易对手关系的信用风险经理以及市场风险经理也是如此；多数人对可能影响风险状况的业务或事件的发展趋势存有兴趣，而很少对每笔交易的特殊环节感兴趣。如果一家银行对其风险流程很有信心（如果它建立了有效的治理框架控制各类风险，就可以信心十足），那就应顺其自然让风险流程发挥作用。

总之，为增强银行风险管理规范性，必须建立健全风险管理制度，持续更新银行风险管理流程，确保风险管理利益冲突分离，规范金融创新风险控制程序，见图1-4。