论董事会在银行风险管理中的主导作用

摘 要：当前，全球金融市场危机频发、风险剧增，我国商业银行能否经得起新一轮的考验和冲击，关键在于能否切实提高风险管理能力。银行必须从源头抓起，彻底转变公司治理结构，完善公司治理机制，特别要发挥好董事会的主导作用，从根本上解决风险控制的源动力问题。围绕这一问题，本文探讨了董事会在商业银行风险管理中的战略定位、主要职责、发挥作用的条件以及应采取的基本策略。

关键词：董事会；治理结构；风险管理；经济资本；作用

中图分类号：F832.33 文献标识码：A 文章编号：1003-9031(2008)09-0004-05

近年来，我国商业银行纷纷股改上市，资本实力显著增强，业务规模不断扩大，经营业绩大幅提升。银行业要保持持续稳定发展，唯一的出路就是扎扎实实地提高风险管理能力，从源头抓起，彻底转变公司治理结构，完善公司治理机制，特别要发挥好董事会的主导作用，本文讨论了董事会在风险管理中的战略定位，分析了董事会开展风险管理的基本条件，并进一步提出董事会风险管理的着力点。从根本上解决风险控制的源动力问题，使风险管理具备更好的战略性和长效性。

一、董事会在风险管理中的战略定位

(一)公司治理是风险管理的基础

银行的战略目标是实现风险调整后收益的最大化，而有效的风险管理正是实现风险与收益平衡的基本途径。对银行而言，公司治理和风险管理之间存在密切联系，两者相辅相成。公司治理是实现风险管理的前提和基础，是有效推进风险管理的制度保证；反过来，风险管理也是公司治理的重要内容与核心任务。公司治理与风险管理的关系是“形”与“神”的关系。我国商业银行的改革最终要实现从“形似”到“神似”，这既是一个持之以恒的过程，也是一个探索创新的过程。一方面，建立、健全公司治理结构不可能一劳永逸、一蹴而就，必须在动态的市场竞争中，敏锐地发现风险、把握风险、管理风险，并根据风险管理的要求，及时调整治理结构和治理机制。另一方面，在我国现行体制下完善公司治理，必须有足够的创新精神。无论欧美模式还是德日模式，都存在各自的优缺点，每种模式都需要在实践中不断完善。美国安然等一系列大公司所出现的问题，反映出欧美公司治理的弱点；日本银行业前几年出现的种种问题，也暴露出其公司治理上的内在缺陷，所以在借鉴国外经验和教训时，要特别重视结合我国的情况，形成具有中国特色的公司治理，实现银行发展的战略目标。[1]

在公司治理的基础上，银行的风险管理要取得实效，还必须从战略、体制和机制等三个基本途径入手，构建起从宏观到微观、从硬件到软件、从理念到操作的一整套风险管理的传导机制，而这一切追根溯源又都要以完善的公司治理为基础，如图1所示。

(二)董事会是公司治理的核心

公司治理包括公司治理结构和公司治理机制两个方面。公司治理结构由股东大会、董事会、监事会、管理层等治理主体组成。其中，股东大会由银行的投资人组成，是公司的最高权力机构；董事会受股东大会委托，在授权范围内对银行重大事项进行决策；管理层根据董事会决策进行具体实施；监事会负责对董事会和高管层的履职状况进行监督评价，上述要素主体之间协调配合、相互作用，构成了比较完整的公司治理机制。

公司治理是否成功关键在于董事会职能发挥得是否充分与得当。[2]一个公司的所有经营和管理活动都以决策为基础，如果董事会的决策不正确，犯了战略性和方向性的错误，那管理层执行得再好也是南辕北辙，监事会监督得再严也无济于事。

(三)董事会在风险管理中起主导作用

董事会作为股东代表，是银行风险管理的最终责任承担者。一旦银行的风险失控，董事会负有不可推卸的责任。统计显示，1990-2006年间倒闭的459家美国银行中，90%的倒闭是由于董事的消极被动或决策失误所致。其中，倒闭的336家存贷款机构不同程度上存在董事、疏于谨慎的问题。在安然事件中，董事会对内部的财务欺诈视而不见，因而遭到法律诉讼和舆论谴责。2007年，法国兴业银行交易员凯维埃尔违规操作导致近72亿美元的经济损失，险些酿成第二个巴林银行。事后调查显示，该行董事会长期漠视内控体系的漏洞，应对此类事件承担主要责任。

2003年以来，美国内部控制专门研究委员会发展机构(COSO)委员会和巴塞尔委员会在各自的指导文件中都强调发挥董事会风险管理职能的必要性。[3]新资本协议和全面风险管理框架，从不同角度描述了董事会推行风险管理的基本模式和总体要求，提出了设立战略委员会、风险管理委员会、审计委员会，由此构造多重风险防线体系，以确保经济资本的核心盾牌不被那些突发的不利事件击穿。与管理层相比，董事会在推进风险管理过程中应该表现出更突出的长期性、全局性、战略性和根本性特征。

(四)董事会在风险管理中的主要职责

为加强银行的风险管理，首先要界定董事会职责，这是一个“高屋建瓴”的步骤，可以保证决策层参与风险管理的规范性和有效性。[4]根据巴塞尔委员会《健全银行业的公司治理》的要求，董事会作为银行决策层，它在风险管理方面的职责应主要包括：定期审议并向股东大会提交银行的全面风险管理报告；确定银行风险管理的总体目标、风险偏好、风险容忍度，审定风险管理战略和基本政策；批准重大决策、重大风险、重大事件和重要业务流程的判断标准和内控机制；针对银行所面临的重大风险和内部管理状况，做出风险控制的重要决策；审议批准内外部审计部门提交的评估报告，并监督管理层落实整改；审定风险管理组织机构设置及其职责方案；聘任首席风险官和首席审计官等关键岗位人选；对管理层的风险管理能力和执行情况进行考核、评价和监督；督导银行风险管理文化的建设等。

二、董事会开展风险管理的基本条件

(一)提升董事会风险管理的理念和能力

首先，要提高董事会成员的风险管理意识和理念，使每位董事都明确董事会在风险管理中的职责和任务，提高其工作上的主动性和服从内部控制的自觉性。其次，对董事会成员进行系统的风险管理培训，使之熟悉风险管理的知识、技术和方法，提高决策水平和工作能力。第三，通过优化董事会结构或董事会成员构成来达到提高风险管理水平的目的。比如，引入风险管理专家作为董事会成员；在董事会内部设立风险管理委员会；也可以在管理层设立直属董事会的首席风险官(CRO)，将风险管理的任务和责任进一步分解，并由CRO监督CEO及其他管理者的风险管理情况，董事会则通过对CRO进行监督来降低监督成本，提高风险管理的专业化水平和效率。

(二)建立一套完整、规范的董事会风险管理流程

建立董事会的风险管理流程，是商业银行完善内控体系的基本要求，主要应从三方面入手：一是建立董事会决策范围内重大事项的风险识别、评估、决策、应对和后评价等一条龙的管理程序，将其载入公司章程，使之制度化、规范化；二是对高管层的风险管理状况进行程序化的督导；三是严格执行董事会集体决策制度，这已经被证明是董事会风险管理的一种有效方式，国内外不少银行经营失败的根源就在于没有很好地贯彻这一制度。

(三)发挥董事会专门委员会的指导作用

随着金融体系的不断发展，银行经营和管理也越来越复杂，董事会许多重大议案，特别是风险管理议案的技术含量比以前有了很大提高。这些议案如果直接提交到董事会，由于会上时间有限，很难进行深入讨论，因而降低了决策质量和效率。所以有必要进一步发挥董事会专门委员会的作用。

目前，我国商业银行董事会的专业化建设还有待加强。从上市银行的信息披露中，很难发现董事会专门委员会的详细信息，说明上市银行对董事会专门委员会的作用认识还不够。董事会在银行内部控制和风险管理体系中的核心作用，只有通过不断增强其专业化来实现。实现“专业化”的主要途径之一就是设立专门委员会，通过专门委员会来协助董事会，甚至可以直接负责某一方面的工作。这种专业化制度将增强董事会监督银行运作的能力，并能提升董事会决策的质量。

商业银行风险管理可以由董事会下设的多个委员会共同承担。其中，风险管理委员会负责监督高级管理层关于信用、市场、操作等风险的控制情况，对风险管理状况进行完整的评估，提出改进风险管理和内部控制的指导意见。审计委员会侧重于事后监督评价，主要负责处理与财务报告及合规性有关的风险事项。与战略、市场、渠道、顾客、技术、供应链和其他运营事务有关的风险可由战略委员会和风险委员会共同负责。这三个委员会在风险管理过程中要充分协作配合，战略委员会重点负责事前风险控制，风险管理委员会重点负责事中控制，审计委员会主要负责事后控制；再加上关联交易委员会、提名委员会、薪酬委员会的协调配合，就可以在决策层形成一个比较全面的风险管理网络。

从发展趋势看，董事会应该让上述专门委员会负起更大的责任，逐步从单纯的议事机构转变为董事会授权下的决策议事机构。这些专门委员会也可以根据各自的专业特长，主动地提出议案，而不是被动地审核管理层提交的议案，进而提高在风险管理中的主动性和参与度。

(四)建立科学的董事会业绩评价体系和方法

银行要将董事会业绩评估作为公司治理的持续驱动力，通过实施科学而全面的业绩评估，及时发现董事会履职能力和履职效果方面的薄弱环节。科学的业绩评估体系有助于决策层协调风险与收益的平衡关系，促进董事会更加积极地推进风险管理工作，为股东创造更大价值。

对董事会的风险管理业绩考核可从董事会整体和董事个人两个层面进行。对于银行重大经营失误，若系董事会集体决策所致，应向董事会全体问责；若因个别董事不称职或违背内控原则而导致重大失误，则应当像更换行长一样，通过临时股东大会及时对其进行更换。业绩考核的具体方式可以采取自我警醒与外部考评相结合的机制。但不论是哪个层面或哪种方式，评价时都要注意不仅要看到董事会当期的、显性的业绩，还要充分体现业绩背后对应的长期的、潜在的风险。[5]

与业绩评价密切相关的一个问题是独立性。独立是董事会有效进行风险管理的前提，缺乏独立性将使得风险监督和业绩评价失去意义。目前，在我国商业银行公司治理中，董事会既要独立于管理层，也要独立于控股股东；独立董事更要发挥其特有的职能，在整个任期内始终保持独立性；董事会各专门委员会，特别是审计委员会和关联交易委员会，要在处理各方利益关系的过程中坚持专业化的判断和独立自主的决策。

(五)培育与发展战略相适应的风险管理文化

风险管理既是一门科学，又是一门艺术，但无论如何，它必须成为一种文化，融入到银行自身的“血液”中，才能真正发挥作用。[6]风险文化建设是董事会有效开展风险管理的前提条件。董事会应着眼于银行的长远发展，成为风险管理文化建设的倡导者和推动者。董事和高级管理人员应投入足够精力，强化全行的风险意识，督导各部门、各业务条线、各分支机构树立全方位风险理念，使风险管理成为银行的活灵魂。要通过广泛的风险教育，培养所有员工对风险的敏感度，将风险意识贯穿到所有人员的自觉行动中，将风险管理作为一个动态过程融入公司经营管理全过程，并将其提升到一个战略高度。

三、董事会推动风险管理的着力点

(一)制定风险战略，确立风险偏好和容忍度体系

风险偏好是银行对风险的基本态度，包括银行愿意承担何种风险，最多承担多少风险，以何种方式承担这些风险，是否准备承担新的风险，以及为了增加每一分盈利愿意多承担多少风险等等。风险偏好是战略性的，通常以定性描述为主。而风险容忍度是风险偏好的具体体现，是对风险偏好的进一步量化和细化。风险容忍度涵盖了信用风险、市场风险、操作风险、流动性风险等所有风险类别，通常包括一整套关键的控制指标，如目标资本覆盖率、VaR置信度、最低资本充足率、最低准入标准、授信集中度等。风险容忍度是在风险偏好基础上确定的，它是全面风险管理的逻辑起点，如图2。

董事会在确定风险战略和推动其实施过程中，应综合考虑以下因素。第一，风险战略必须与银行总体战略目标相一致。风险战略必须服从和服务于银行总体发展战略，为银行价值最大化目标服务。为此，其任务不仅仅在于管住风险，更在于通过对各种风险的管理促进银行的战略转型和价值创造。第二，风险战略需要根据银行所处的市场环境及自身发展阶段适当加以调整。风险战略应反映宏观形势、同业竞争形势的变化，与银行所处的发展阶段和自身能力特征相适应。第三，风险战略确定以后，董事会应指导管理层，将风险偏好和风险容忍度分解到各种类别的风险限额管理中去，并以此为依据将风险战略体现在银行的资本管理、业务拓展、资源配置等各个方面，使全面风险管理在全行得以推进和实施。

在上述过程中，建立风险容忍度体系是一个承上启下的关键环节。董事会风险管理委员会应根据银行整体发展战略，确立统一风险偏好，责成首席风险官研究、提交风险容忍度体系方案。董事会要从战略和专业的双重角度，审核风险容忍度体系的全面性、科学性和严谨性，并负责将审定后的容忍度体系切实应用于风险管理工作，使之发挥有效的引领作用。

图2 风险战略、风险偏好和风险容忍度

(二)完善风险治理架构，为全面风险管理提供体制保障

在风险战略确定之后，银行要通过公司治理架构，使风险战略由董事会传导到管理层，管理层再据此制定风险防范和内控措施，再传导到具体业务和经营层面，由此推动风险战略在全行贯彻落实。

1.风险治理的三道防线。从风险治理架构的横向看，董事会要构造多道防线组成的风险控制体系。该体系包括三道防线：第一道是前台业务部门，包括一线工作的营销人员、客户经理、产品经理和风险经理等，他们组成风险过滤网的最前端，是风险管理的基础力量；第二道防线是管理部门，包括信贷审批、贷后管理、预警监控、系统管理、政策研究、资产负债管理、法律合规等，这些综合管理部门形成了风险管理的中间力量；第三道防线是后台审计部门，包括内部审计和外部审计，它直接隶属于董事会，实施垂直化管理。

董事会的各专门委员会分别对口三道风险防线，其中战略委员会对应第一防线，风险管理委员会对应第二道防线，审计委员会对口第三防线，如此可将决策层与管理层的风险管理职能衔接在一起。

值得一提的是，审计是风险管理的最后一道闸门，也是董事会有效开展风险管理的着力点。董事会要通过垂直化管理机制，加强审计条线的建设。一方面，通过加强评价考核、激励约束和资源配置，充分发挥内部审计条线的管理监督职能；另一方面，要引入市场竞争机制，促使外部审计机构贯彻执行董事会的管理要求，充分发挥外部机构的财务监督职能。此外，通过强化审计功能，董事会还可以提高信息质量，防止因信息不对称而出现决策失误，进而增强董事会在风险管理中的权威性、客观性和严肃性。

2.风险治理的上层架构。从风险治理架构的纵向看，上层架构主要由董事会、高管层和监事会组成。董事会层面，重点是强化其决策职能，发挥专业委员会的作用来制定风险战略，核准高管层提交的风险政策和管理程序，并对管理层的风险管理活动进行监督。高管层负责实施董事会确定的各项战略、政策与制度，负责建立责权明确、报告线路清晰的组织结构，建立识别、计量和管理风险的程序，并实施健全有效的内部控制。监事会负责对董事会和高管层进行监督，保证银行的经营符合法律规定，减少道德风险和内部人控制。

3.风险治理的基层架构。风险治理的基层架构由各业务条线、各个分支机构组成。董事会的任务是在基层架构上建立起一个覆盖面广、相互联系、相互制约的控制体系，使上层架构确定的目标、政策、制度能在基层架构得到传达和落实。第一，风险管理条线要建立包括操作风险、市场风险、信用风险、资产负债、合规风险等在内的管理部门。第二，向营销条线派驻风险管理团队或专员，使之对风险管理部门直接汇报。第三，在分支机构中设立风险管理部门与岗位，并接受总行风险管理条线和分支机构的双重领导，实施矩阵式管理。第四，设立独立的审计监督部门，负责检查、评价风险管理和内部控制的健全性、有效性，审计部门直接向首席审计官和董事会审计委员会负责。

4.选聘首席风险官和首席审计官。鉴于风险管理的重要性和复杂性，我国商业银行应设专职的首席风险官和首席审计官，这是董事会有效加强风险管理的重要前提。根据国外银行的经验，首席风险官和首席审计官在高管序列中占据重要地位，其行政级别应不低于其他副行长。其中，首席风险官由行长提名，经董事会1/2票数通过后方可聘任。董事会选聘首席风险官，应当将其是否熟悉风险管理的技术方法及法律法规，是否诚信、敬业、守法，是否具备胜任能力作为判断标准。首席风险官直接向行长负责，但履行职责时应保持适当的独立性，应当定期向董事会及其风险管理委员会报告银行经营管理行为的合法合规性和风险管理状况。首席审计官由董事会或其下设的审计委员会提名，经董事会2/3票数通过方可聘任。首席审计官直接对董事会负责，主持全行内部审计和外部审计工作，履职过程中必须保持充分的独立性。

(三)构建内控传导机制，增强风险管理的可执行性

在制定风险战略和完善风险治理架构的基础上，董事会还要通过建设一系列传导机制，解决风险治理的上层架构与基层架构之间的联接问题，使全面风险管理的决策系统、执行系统、监督系统有机衔接起来，保证风险管理的战略、政策、程序在全行得到有效贯彻和执行。[7]当前，我国商业银行重点要从经济资本管理、激励约束和预警纠偏三方面来加强传导机制建设。

1.基于风险战略，建立经济资本管理机制。经济资本管理近年来在国际银行业得到广泛应用，它是银行内部优化资源配置、平衡风险与收益的核心机制。董事会所设定的风险偏好和风险容忍度，要落实到具体的资本计量上，并将资本在不同行业、产品、地区和客户等维度上进行交叉配置，以此体现银行的风险偏好，引导全行按照整体战略进行业务拓展、结构调整和战略转型。目前，对国内许多银行来讲，建设经济资本管理机制的重点是从计算信用风险的内部评级法入手，在加强信息系统建设、对业务数据进行积累和筛选的基础上，构建信用风险计量模型，计算预期损失和非预期损失。随着风险计量水平的提高，再逐步对市场风险和操作风险进行计量，并进行相应的经济资本配置，最终使资本覆盖所有风险类别。简单讲，经济资本管理机制的实施线路是：战略制定――风险计量――资本分配――业务发展和结构调整――评价考核――战略再调整。

2.强化激励约束机制的导向作用。激励约束机制是银行所有机制中最具有导向效应的机制。无论是国家法律规定，还是银行本身制定的各项政策、制度和措施，只有依靠一个正向的激励约束机制才能在银行内部进行有效传导并得到执行。一方面，银行在对各业务条线、分支机构进行绩效考核和激励时，要对风险因素和风险战略执行情况进行重点考核，并在薪酬激励中加以体现。其有效手段就是在经济资本计量的基础上，引入风险调整后资本收益率(RAROC)考核，不仅要考核当期收益，更要将银行获得收益所承担的风险成本和资本成本纳入考核，引导全行有效执行风险管理的各项政策和程序。另一方面，要强化对风险责任的追究。无论是决策层、执行层还是监督层乃至操作层都必须履行相应岗位所需承担的风险管理和内控职责。要形成一个从上至下的监控路线，加强内部审计的独立监督功能，对各层级履行风险管理和内控状况进行监督评价。对于不能有效履行职责、违规违纪、对银行产生风险的行为要依法进行问责。

3.围绕风险容忍度建立预警纠偏机制。董事会应重视风险管理的过程控制，除了经济资本管理机制和激励约束机制以外，还要建立风险预警与纠偏机制，以便对各类潜在风险做到及时发现、及时反馈、及时应对，保证董事会战略决策的执行效果不打折扣。[8]风险容忍度既是银行风险偏好的具体体现，也是各条线风险限额执行情况的汇总反映，起着承上启下的作用，可以作为董事会进行风险管理的战略工具和传递机制。管理层应定期向董事会报送风险容忍度的动态数据，分析评价总体风险状况和关键风险点。在必要时管理层要组织现场检查，核实数据背后的实际风险状况，根据容忍度执行数值，有针对性地进行风险排查。如果风险容忍度被突破或即将被突破，就表明风险管理出现了整体性问题，而不是局部问题。此时，管理层须立即向董事会报告，风险管理委员会要作出专业分析和明确指导，同时责成管理层采取行动，以控制风险态势的蔓延。围绕风险容忍度建立起上述预警纠偏机制，能够使董事会的风险管理由一种结果式的管理转变为过程性管理，使之不仅能够传达政策导向，还能风险动态进行敏锐的的预警和前期控制。

参考文献：

[1]李维安等.现代公司治理研究[M].北京：中国人民大学出版社，1996.

[2]王洪章，张乃忠.现代商业银行经营管理[M].大连：东北财经大学出版社，1995.

[3]武剑.内部评级理论方法与实务[M].北京：中国金融出版社，2005.

[4]丹尼斯・夫尔顿，杰弗里・佩罗夫著，黄亚钧译.现代产业组织[M].上海：上海人民出版社，上海三联书店，1998.

[5]钱颖一.转轨经济中的公司治理结构―内部人控制和银行的作用[M].北京：中国经济出版社，1995.

[6][美]斯蒂格利茨.经济学[M].北京：中国人民大学出版社，1997.

[7]Robert A.G .Monks、N ell Minow著，李维安，周建译.公司治理[M].北京：中国财政经济出版社，2004.

[8]王曙光.董事会功能的国际比较及我国的重塑[J].经济纵横，2002，(9).