国内商业银行风险治理问题初探

近年来，我国银行业快速成长，传统的风险管理概念无法涵盖商业银行管理风险的全部理念与实践，风险治理（risk governance）受到越来越多的关注。商业银行风险治理是董事会、监事会、高级管理层、股东、监管部门等不同的利益相关者在银行风险识别、评估、管理和沟通等方面做出决策的原则、策略和机制，重点是指董事会和高级管理层在风险战略的制定与执行方面所形成的监督与制衡机制。

董事会是商业银行风险治理的核心，负责在战略层面上对风险管理过程进行监督，主要专注于治理结构的合理、战略的制定与督导、高级管理层的风险履职以及风险沟通的充分透明。高级管理层负责在风险战略的框架下，在战术层面上确定并实现风险目标，其专注重点更集中于风险目标、风险分析以及风险技术。

风险治理理念的提出

董事会归位成为商业银行风险管理的真正主体，是风险治理理念提出的制度背景。以往，国内商业银行风险管理的事实主体是高级管理层。公司治理以及银行业务的发展，客观上要求将风险管理上升到商业银行战略层面；巴塞尔资本协议与银监会相关风险管理指引也明确指出董事会承担各类风险的最终责任。这一切都促使商业银行董事会充分履职，从公司治理的高度管理风险，确保风险管理机制的有效发挥和风险策略的贯彻执行。

商业银行进入全面风险管理阶段后，管理内容大为丰富，这是风险治理理念提出的现实需求。全面风险管理要求商业银行构建全球的风险管理体系、全面的风险管理范围、全程的风险管理过程、全新的风险管理方法和全员的风险管理文化，而传统以高级管理层为中心的风险管理框架，在组织架构、管理半径和管理纵深方面都无法涵盖如此丰富的内容。风险治理理念将风险管理的架构延伸至董事会，明确董事会和高级管理层的职责边界，形成由战略决策到战术执行再到执行监督的统一风险管理链条，是治理层面满足全面风险管理需要的必然选择。

商业银行业务创新的需求和经营风险的本质是风险治理理念提出的根本动力。当代银行的业务与产品创新飞速发展，要求风险管理高效率地贯穿所有相关部门、专业和领域。但实践中，风险管理与业务发展部门的权限往往比肩平行，按风险管理职能划分的条块式管理体制在部门协调、信息交流路径上存有障碍，致使风险管理成本提高，效率降低。风险治理的理念坐实董事会在风险管理、监督与协调方面的责任，在更高的层面上统筹风险管理，切实推动商业银行业务的创新与发展。

商业银行风险治理框架

商业银行风险治理框架由风险治理结构、风险容忍度、风险监督机制、风险沟通机制和风险文化五方面构成。

风险治理结构

风险治理结构是实现高效率风险治理的基础和保障，指商业银行“三会一层”在风险管理事务方面的职责定位与组织架构安排，其中尤以董事会和高级管理层为主。

董事会风险治理职责。董事会风险治理职责分为风险战略决策、风险执行力督导以及风险文化建设等三方面。

在风险战略决策方面，董事会审定风险管理战略，设定风险管理的总体目标、风险偏好和风险容忍度，明确风险管理优先顺序和内控机制，审核重大关联交易，做出风险管理的重要决策。

在风险执行力督导方面，董事会对高级管理层的风险战略执行情况和风险管理能力进行考核、评估和监督，审议批准内外部审计部门提交的评估报告并监督落实整改，确保银行风险管理和业务经营处于董事会的风险战略框架之内。

在风险文化建设方面，董事会推动并督导高级管理层将风险理念整合纳入业务发展策略，建立有效的风险管理激励与考核机制，持续监测银行的风险文化建设，培养全员风险管理意识。

高级管理层风险治理职责。银行高级管理层风险治理职责具体分为风险战略执行、风险管理和风险报告等三方面。

在风险战略执行方面，高级管理层遵照董事会批准的风险战略和重大风险决策，建设全面风险管理的组织架构，制定具体明确、操作性强的执行措施，在全行组织落实。

在风险管理方面，高级管理层制定风险政策和程序，对风险进行识别、评估、度量、缓释和监控，对管理信息系统的实施和变更情况进行监控，保障其适时性、准确性和可用性。

在风险报告方面，高级管理层一方面将董事会的风险战略、重大决策准确及时地传达到全行执行；另一方面通过制度性安排，帮助董事会全面了解银行所处的风险环境与风险状况，以使董事会能更好地履行风险决策职能。

风险治理的组织架构。商业银行风险治理的组织架构因行而异，总的原则是符合自身公司治理的特点，保障风险战略的执行力和风险管理职能的独立性，满足风险治理专业化、高效化和常态化的要求，实现业务发展与风险控制之间的平衡。

风险治理的组织架构有不同的模式，但也有一般的原则。首先，董事会下应设置专门的风险管理委员会；其次，董事会中应包括兼具学术背景和实践经验的风险管理专家；第三，高级管理层的风险管理团队应与业务部门保持一定的独立性；第四，风险治理组织架构中的各个机构应明确各自职责，确保彼此间有效协作与沟通；最后，风险治理结构要满足三层次的监督与制衡，即由董事会实施的监督、各业务领域直接的条线监督，以及独立的风险管理部门、合规部门和审计部门的监督。

国内商业银行董事会主要通过下设的风险管理委员会处理风险事务，董事会战略委员会、审计委员会与关联交易管理委员会也从不同角度涉及到风险管理工作。此外，工行、中行、建行、交行等银行在高级管理层层面设立首席风险官，旨在加强董事会风险战略与决策的执行能力。

风险容忍度

风险容忍度指商业银行董事会和高级管理层在战略目标实现过程中对风险的可接受程度，一般反映在银行的风险战略和风险政策中，体现为业务增长、并购、市场拓展等经营活动中可以接受的风险和回报的平衡点或者风险调整后的资本回报率，是决定商业银行总体风险水平、资本水平和所承受风险种类的重要因素。在风险治理框架中，商业银行高级管理层制定风险容忍度，交由董事会审核批准。

商业银行董事会在其风险战略中明确定义风险容忍度，清晰表达银行所愿意承担的风险水平，相当于为银行高级管理层的经营活动划定了一条不可逾越的“高压线”，同时也有利于监管部门及外部利益相关者更好地了解银行的整体风险态度。

银行高级管理层根据风险容忍度制定具体的风险目标或者风险限额，作为在执行银行战略活动中所承担的风险阀值水平和损失容忍度。例如，对于董事会不能容忍不道德的商业行为或安全事件，高级管理层则为之采取零容忍策略。

风险沟通机制

风险沟通贯穿于整个风险管理过程，其外延不仅包括董事会与高级管理层之间的沟通，也包括高级管理层与业务职能部门之间、银行与投资者等利益相关者之间，尤其是银行与监管部门之间的沟通。

在商业银行风险治理框架中，董事会通过建立沟通机制，规定高级管理层向董事会进行风险报告的内容、频度和方式，明确风险信息的收集、处理和传递程序，促进董事会和高级管理层之间进行及时有效的信息沟通。

风险沟通的目的是使风险信息在合适的时间传达到合适的人，沟通的有效性直接影响到银行处理风险的水平。董事会应建立沟通渠道，在制度的保障下及时获取充分信息以评价高级管理层的工作绩效，通过与高级管理层和内部审计人员定期会谈，监控风险管理目标的实施情况，进行相应的风险决策，有效评估及妥善处理风险隐患。

风险报告制度是风险管理的重要一环，应从银行战略的高度明确报告准则和报告制度。报告准则侧重于报告质量，报告制度关系到报告能否及时地传达到合适的部门，尤其是能否及时上升到高级管理层和董事会层面。风险报告的质量取决于风险报告部门与其目标读者之间良好的沟通与理解，其主要衡量标准包括：准确指出银行整体的风险敞口；突出风险之间的相关性；为不同的读者有针对性地提供报告；信息提供的及时性；有效识别潜在的机会与风险。

风险监督机制

为保障风险治理的有效实施，董事会建立监督机制，明确风险相关专门委员会及内部审计机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

风险监督的目标是找出风险或潜在的隐患，及时采取补救措施，将风险控制在风险容忍度范围内，分为日常监督和专项监督。日常监督是指董事会对高级管理层实施风险战略情况进行持续的监督检查；专项监督是指在银行发展战略、组织结构、风险管理政策、流程等发生较大变化或风险时，对风险管理某些方面有针对性进行的监督检查。

商业银行董事会结合内部监督情况，定期对高级管理层风险管理有效性进行评估。评估的方式、范围、程序和频率，由董事会根据业务调整、经营环境变化、业务发展状况、实际风险水平等因素确定。

风险文化

风险文化是风险决策时贯穿于整个银行的价值和行为系统，体现为物质文化、制度文化、精神文化和行为文化四种形式。商业银行经营风险的特性决定了其风险管理必须体现为全员的行为，即在追求银行业务目标时，每个银行员工都应该具有风险管理的意识和自觉性，对风险及合规要求有充分的理解。

在风险治理框架下，商业银行董事会和高级管理层有责任和义务打造重视风险的全行文化基调，在业务发展目标和风险容忍度之间建立平衡机制，通过风险培训和激励措施使每个员工都理解银行的风险文化及风险容忍度，从而确保风险战略、风险政策和风险管理程序得到有效执行与实施。

风险文化在很大程度上依赖于董事会的意愿与偏好。建设良好的风险文化，商业银行董事会一方面要具有风险管理专业知识和经验，另一方面要将风险管理文化与企业战略目标集合起来，监督执行。

风险文化贯穿并体现于银行风险管理的所有环节，对于保证银行“做正确的事”而不是做“可以做的事”至关重要。在良好的风险管理文化中，高级管理层把风险管理作为一种本能，自觉将风险文化要素纳入风险政策的考虑范围，持续提升全员风险文化意识，确保各项风险管理措施得到充分执行。

关于加强国内商业银行风险治理的思考

历经多年建设，国内商业银行公司治理在建章立制、机构设置、职责定位等基础层面上已经取得很大成绩。风险治理作为公司治理的一个侧面，无论在风险治理结构，还是在风险容忍度、风险信息沟通与监督机制、风险文化建设等方面，基本实现了同国际领先银行先进实践的“形似”。距离“神似”的差距主要有两点。一是风险治理建设的主动性不够，各银行均按照《公司法》和有关监管规章照本宣科，不同的银行在风险架构设置、职责定位、制度建设等方面大同小异，缺乏根据自身风险治理需要而进行的主动创新。二是风险治理的执行效果有待加强。尽管各行在公司章程和治理文件中，对于各项风险治理要素都有清晰周密的制度规定，但大多还停留在纸上富贵，执行效果大打折扣。

风险治理的法则固然重要，但真正区分领先与落后的要素还是在于执行。加强国内商业银行风险治理的关键，在于根据各行自身特点和治理需求，围绕加强风险战略决策执行力这一中心思想，对董事会风险治理各要素进行主动大胆地突破与创新。

强化董事会风险管理的专业水平，解决董事会内部风险决策的主体与效率问题。首先，考虑在董事会层面设立常设的首席风险官，作为董事会风险决策的代表，承担董事会日常风险管理的具体职责。首席风险官对董事会负责，对银行风险提供独立观点和验证意见，与高级管理层保持相对独立，是充分发挥其风险管理职责的关键。

其次，加强对董事会风险决策的专业支持力度，提高风险治理的效率。一种做法是在现行的独立董事和专业委员会制度之外，补充成立由银行内部与外部风险管理专家共同组成的风险决策顾问组，为董事会做出的每一项风险决策提供独立的专业意见，对高级管理层的风险执行工作进行评估。另一种做法是丰富现行董事会办事机构的功能，由办事机构转型为参谋本部，突出其专业色彩，对董事会的风险决策提供技术支持和帮助。

第三，加强董事会与监事会、董事会风险管理委员会与战略委员会、审计委员会和关联交易管理委员会等其他风险相关委员会之间的分工协作，在董事会层面实现风险决策、督导及风险文化建设的统一管理，确保其风险管理职能既不相互重叠，也不留下空白和死角。

在风险战略中主动规定风险容忍度，在风险政策中细化落实，并定期进行评估与督导。尽管现行监管政策没有硬性要求，但风险容忍度是商业银行董事会履行风险管理职责的起点，也是高级管理层执行风险战略的操作底线，进而也是商业银行风险治理有效与否的判断标准，商业银行应主动设定。

实践中，风险容忍度由商业银行高级管理层基于对发展战略、风险状况及自身风险管理能力的认识制定，并报董事会审核批准。董事会应在获得足够的专业支持的情况下，审核风险容忍度的合理性和可行性。风险容忍度一经纳入银行整体风险战略，高级管理层即应将其细化、分解和落实，接受董事会的定期评估与督导。

提高风险信息质量，助力董事会风险决策。风险信息质量是董事会风险决策的重要依据。国内商业银行董事会收到的风险信息以常规报告为主，内容的可读性与针对性不强，不能满足风险治理的需要。

提高风险信息质量，发挥风险报告在董事会风险决策中的作用，需要从以下方面入手加以改进。

丰富风险信息内容。董事会不仅应获得银行内部的常规报告，还要能够获取银行外部影响风险的信息，帮助其全面认知银行所处的风险环境。

强化风险信息加工。董事会不仅需要原始的风险信息，还要有经过提炼与整理、客观反映风险状况的独立分析。高级管理层有必要对收集到的各种信息进行合理筛选、核对与整理，帮助董事会更好地理解银行风险状况和风险管理工作。

拓宽风险信息的来源途径。既要有常规的报告路径，也要对非常规风险信息获取途径做出规定；对银行风险状况，既要有来自高级管理层报告，必要时也需要有来自独立第三方的报告以资对照。

明确董事会风险督导的内容和手段。董事会应每年向高级管理层风险管理指导意见，传达董事会的风险战略及风险容忍度，要求高级管理层据此制订执行层面的风险政策，并通过定期的风险整体评估检查其完成进度与质量。

董事会应坚持主动督导与接收定期风险报告相结合，通过常态化调研与专题调研发现问题，对高级管理层落实董事会风险战略的情况进行监督指导。

董事会与高级管理层之间还应建立常规交流的平台，通过工作会议、文件流转、列席彼此会议等形式，围绕风险战略的理解与执行进行充分的讨论与交流。当外部风险环境发生变化时，董事会也应对风险战略及时做出相应的微调。

打造特色风险文化，提升自身价值。风险文化是商业银行企业文化的重要组成部分，只有在物质、制度、精神和行为层面上都自发体现出表里如一、标准统一的风险文化，才能使风险文化成为商业银行的品牌和竞争力，提升公司价值。

风险文化应主动培养，公开宣示。商业银行董事会和高级管理层应充分认识到风险文化对于风险治理的重要性，主动规划、培养本行的风险文化，根据实践经验加以总结和提炼，并在公司章程和定期报告中予以披露，使风险文化成为银行内部、投资者、监管部门等利益相关者共同认同的基础。

风险文化应具有特色，打破“高大全”的条条框框。国内商业银行已开始通过打造特色业务差异化经营，风险文化也应相应地有所反映。例如，对于重点发展领域，可在总体可控、机制保障的前提下，董事会可适度放宽风险容忍度，变压缩风险的单一目标为有意识地经营风险，形成业务发展与风险把控在风险治理层面的有机平衡。

董事会还应通过有效的风险激励机制保障风险文化的培养与践行。在市场竞争激烈、倾向短期利润的大环境下，可以考虑以正向激励为主，树立风险管理的标杆和模范，鼓励全员学习效仿。对于造成风险的人员，也应从风险文化、企业战略的视角进行分析，区别对待，帮助业务人员在坚持合规操作的前提下轻装上阵。

（作者单位：中国民生银行）