第二节 商业银行风险管理组织
巴塞尔委员会、各国银行业监管机构均强调完善银行风险治理架构的重要性,并出台了一系列监管指引。概括地说,对商业银行风险治理架构和风险管理组织体系,监管要求着重强调三点:
一是公司治理架构。董事会对风险管理承担最终责任,主要职责是负责风险管理方面的重大决策,监控银行的风险管理体系以及风险状况。高管层主要负责执行董事会的决策,组织开展各项风险管理工作,向董事会报告风险管理工作和风险状况。
二是风险管理组织架构。核心是构建由业务部门、风险管理职能部门、审计部门组成的风险管理“三道防线”,清晰界定风险管理职责和风险报告关系。
三是风险管理的独立性。目的是保证风险管理的执行力。
一、董事会及其风险管理委员会
董事会承担商业银行风险管理的最终责任,负责风险偏好等重大风险管理事项的审议、审批,对银行承担风险的整体水平和风险管理体系的有效性进行监督。
为提高董事会议事效率并对特定领域予以更深入的关注,许多国家的商业银行董事会均设立了特定的专业委员会。大部分银行,特别是大银行和国际活跃银行,均在董事会设立了风险管理委员会或同类组织,负责向董事会就银行当前及未来总体的风险偏好和风险管理决策提出建议,并对高管层具体执行情况进行监督。为保证银行风险管理的独立性和有效性,一些银行开始建立首席风险官、风险管理部门向董事会、高管层“双线报告”制度。
二、监事会
监事会对股东大会负责,从事商业银行内部尽职监督、财务监督、内部控制监督等监察工作。监事会通过列席会议、调阅文件、检查与调研、监督测评、访谈座谈等方式,以及综合利用非现场监测与现场抽查手段,对商业银行的决策过程、决策执行过程、经营活动,以及董事、高级管理人员的工作表现,进行监督和测评。
在风险管理领域,监事会应当加强与董事会及内部审计、风险管理等相关委员会和有关职能部门的工作联系,全面了解商业银行的风险管理状况,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和调研日常经营活动中是否存在违反既定风险管理政策和原则的行为。监事会需要处理好与股东大会、董事会、高级管理层之间的关系,加强相互理解、沟通与协调,充分听取对内部监督工作的要求、意见和建议,避免重复检查,不干预正常的
经营管理活动,扩展对风险管理监督工作的深度和广度,更加客观、全面地对商业银行的风险管理能力和状况进行监督评价。
三、高级管理层
高级管理层向董事会负责,是商业银行的执行机构。巴塞尔委员会2010年发布的第三版《加强银行公司治理的原则》提出:高管层应在董事会的指导下确保银行业务活动与董事会审核通过的经营战略、风险偏好和各项政策相符。2012年6月,中国银监会《商业银行资本管理办法(试行)》规定商业银行高级管理层负责根据业务战略和风险偏好组织实施资本管理工作,确保资本与业务发展、风险水平相适应,落实各项监控措施,定期评估资本计量高级方法和工具的合理性和有效性。
为提高高管层工作效率并对特定领域予以更深入的关注,许多国家的商业银行在高管层层面设立了特定的专业委员会。大部分银行,特别是大银行和国际活跃银行,在高管层层面设立了风险管理相关委员会,对银行风险管理相关重要事项进行讨论、审议或决策。
随着银行对风险管理重要性程度认识的提高,一些国际大型银行开始在高管层层面设立首席风险官,具体负责组织实施银行风险管理工作。《加强银行公司治理的原则》要求:首席风险官的独立性是首要的,可以向首席执行官或其他高管人员报告,也应该向董事会及其风险管理委员会报告,且这个报告路线不应受任何障碍;同时首席风险官应与业务经营条线和盈利部门分离,不负管理和财务职责。
四、风险管理部门
风险管理部门在高管层的领导下,负责建设完善风险管理体系,组织开展各项风险管理工作,对银行承担的风险进行识别、计量、监测、控制、缓释以及风险敞口的报告,促进银行稳健经营、持续发展。
从商业银行风险管理部门设置情况来看,普遍做法是按照“三道防线模式”划分风险管理职责,设置风险管理部门。国际跨国银行,尤其是欧美银行,在业务经营上大多实行事业部模式,在风险管理组织架构方面,一是在总部设立首席风险官和专职的风险管理部门,负责全面风险管理工作;二是在各事业部设立风险官和风险管理团队,负责事业部范围内的风险管理工作。银行风险管理部门设置应与银行的经营管理架构、银行业务的复杂程度、银行风险水平相适应。整体上,一是要将银行承担的各类主要风险全部纳入统一的管理架构;二是风险管理部门设置上,在关注各种类型风险的管理基础上,还要从银行整体层面对不同类型风险进行加总、资本充足程度进行评价,厘清不同风险管理职能部门的职责及相互协作关系,避免职责重叠或空白;三是风险管理职能部门要独立于业务经营等风险承担部门;四是风险管理要贯穿业务经营流程之中,进行积极、主动的风险管理,既为业务经营提供专业支持,也要控制业务经营承担的风险水平。风险管理部门必须与接受风险评估的业务部门保持充分独立。风险管理部门要具有权威性,一是风险管理人员应充分具备从业经验和任职资格,包括掌握金融市场、金融产品以及风险管理方面的知识;二是要掌握正确的风险管理理念。
五、其他风险控制部门
(一)财务部门
风险管理部门接收来自财务控制部门的收益/损失数据,并且与来自前台业务部门的信息调整一致;双方合作确保风险系统中相应的收益/损失信息是准确的,并且可以应用于事后检验的目的。现代商业银行的财务控制部门通常采取每日参照市场定价的方法,及时捕捉市场价格及价值的变化,因此所提供的数据最为真实、准确,这无疑使财务控制部门处在有效风险管理的最前端。
(二)法律/合规部门
法律/合规部门主要承担以下职责:
(1)协助制定法律/合规政策。
(2)适时修订规章制度和操作规程,使其符合法律和监管要求。
(3)开展法律/合规培训和教育项目。
(4)关注、准确理解法律/合规/监管要求及最新发展,为高级管理层提供建议。
(5)参与商业银行的组织架构和业务流程再造。
(6)参与商业银行新产品/服务开发,提供必要的法律/合规测试、审核和支持。
(三)内部审计部门
内部审计的主要内容包括:
(1)经营管理的合规性及合规部门工作情况。
(2)内部控制的健全性和有效性。
(3)风险状况及风险识别、计量、监控程序的适用性和有效性。
(4)信息系统规划设计、开发运行和管理维护的情况。
(5)会计记录和财务报告的准确性和可靠性。
(6)与风险相关的资本评估系统情况。
(7)机构运营绩效和管理人员履职情况等。
(四)外部监督机构
监管机构不断强化从质量和数量方面综合评估商业银行的风险管理能力,同时要求商业银行定期提供整体风险报告。作为商业银行外部监管的重要组成部分,外部审计机构也开始在年度审计报告中提供风险管理评估报告。评级机构对商业银行风险管理体系的评估也成为评估价商业银行稳定性和长期生存能力的一个重要指标。