谈商业银行的“三道防线”
谈我国商业银行的“三道防线”
商业银行内部控制“三道防线”的制度安排发轫于1997年中国人民银行发布的《加强金融机构内部控制的指导原则》(下称《指导原则》)。此后,监管规定不断演变,商业银行经营形势日趋复杂,实践安排中对“三道防线”防什么、谁来防和怎么防的问题见仁见智,莫衷一是。因此,有必要通过对相关问题的深入分析,明晰概念,统一认识,为商业银行优化“三道防线”设置提供思路和借鉴。
一、商业银行“三道防线”的发展演变
1997年,人民银行发布了《指导原则》,要求金融机构建立完善的内部控制制度,设立顺序递进的三道监控防线:即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。2002年,《指导原则》被废止。此后人民银行、银监会规范性文件未再对“三道防线”进行规定。
2001年以后,证监会、国资委和保监会先后发布规范性文件,从内部控制或者风险管理角度对“三道防线”设置提出了明确要求。具体而言,证监会规定与《指导原则》的思路相同,都是从内部控制的角度设置防线;国资委和保监会则是从风险管理的角度提出“三道防线”设置的具体要求。需要指出的是,证监会、保监会及国资委的规定均不适用于商业银行,而且保监会、国资委的规定又与商业银行的实践和组织管理模式的传统存在很大的差异。2008年,财政部、银监会等五部委联合发布了《企业内部控制基本规范》(下称《基本规范》),虽未明确提出“三道防线”的要求,但为商业银行设置“三道防线”提供了新的思路和指南。
与此同时,“三道防线”的主要防控对象,也经历了从“防案件”到“防风险”再到“防偏差”的两次较大的演变。90年代初期,我国金融系统案件频发,“三角债”、虚假票据泛滥,危害金融秩序,影响金融稳定。为控制案件高发态势,人民银行发布《指导原则》提出设立“三道防线”的要求,其
主要目的就是防控案件。随着风险管理理论与实践的发展,防控对象逐渐从“防案件”发展为“防风险”。《基本规范》出台后,企业内部控制被提升到了国家战略的高度,体现了五部委对内部控制的高度重视与深刻共识。就内部控制而言,“三道防线”旨在防控经营管理活动与既定目标的偏差。当然,这里的偏差与广义的风险具有逻辑上的一致性。因此,可以说商业银行“三道防线”的防控对象就是经营管理活动中偏离既定目标尤其是风险承受度的各种偏差,这种偏差包括狭义的风险、也包括舞弊行为和案件。这也是《基本规范》的本质要求。
二、商业银行“三道防线”设立的必要性
目前,对商业银行如何设置“三道防线”,已无明确的监管要求。但是,经营管理中各项活动对既定目标的偏离和偏差无时不有、无处不在,不但可能形成风险、造成损失,还可能酿成刑事案件,甚至导致商业银行破产。加之,经济金融形势风云变幻,商业银行经营管理风险日趋复杂多样,案件防控压力不断加大。设置内部控制防线已经成为商业银行实现企业目标和强化内控管理的客观需要,其目的就是保证经营管理按计划进行并及时纠正各种重要偏差,防控风险,遏制舞弊、杜绝案件。
实践中,各家商业银行基于对三道防线的不同理解,设置了不同的防线。由于合理配置有限的资源是企业管理永恒的主题,内部控制“防线”的设置应当权衡实施成本与预期效益。在商业银行经营管理中,哪些环节偏差频率高、风险危害大就应该在哪里设置防线。商业银行的管理和控制围绕着业务经营展开,因此,笔者认为,只有从商业银行业务流程角度出发设置“三道防线”才能够最有效地防控经营管理中存在的偏差和风险。
三、商业银行“三道防线”的设置和功能
按照业务流程,商业银行应当设置如下“三道防线”:
(一)处在业务流程最前端的一线操作岗位和机构作为“一道防线”
无论是监管部门的规定,还是商业银行的管理实践,均将直接进行业务操作,面向客户提供产品和服务的一线岗位、机构作为内部控制最前沿的第一道“防线”。通过建立营业机构不同岗位各司其职、各负其责、相互制约的工作机制,形成由“自我约束”和“不相容职务分离”控制作业偏差的“第一道防线”。例如临柜业务人员操作必须遵循的“会计凭证,严格审核”、“重要业务,授权控制”等
操作原则。
(二)履行尽职监督职责的管理职能部门作为“二道防线”
由于委托代理中存在信息不对称,“一道防线”的自我约束和岗位制约可能因内部人的串通而流于形式。为此,各商业银行还设置了内控“第二道防线”。各职能部门的“自我约束”与“尽职监督”控制,是商业银行的“第二道防线”。
“尽职监督”的概念是农业银行在实践中提出的,是指各级机构职能部门按照职责分工,对同级职能部门及下级对口部门相关经营管理活动进行监测、检查、督导和纠偏的管理行为。具体而言,就是各部门将本条线及相关同级职能部门的实际工作情况与目标、计划、标准进行比较分析,采取措施纠正偏差,以实现发展目标的管理活动。尽职监督是第二道防线的主体。
(三)履行内部控制组织、协调、监督职能的部门作为“三道防线”
由于商业银行具有经营多元化和组织层级制的特点,各分支机构、部门的多元利益并存,更易出现因本位主义使经营管理活动偏离战略目标和整体目标的问题。因此,需要对职能部门的自我约束和尽职监督进行监督。
首先,根据《基本规范》设立的内控管理部门作为组织协调内部控制建立和实施的专门机构,负责协调、推动和监督各职能部门尽职监督职责的履行。第二,内部审计部门作为商业银行的内设机构,按照《基本规范》的要求,对内部控制的有效性进行监督检查,以使董事会和高管层把握银行整体的内部控制状况和高风险领域;发现内部控制重大缺陷直接向董事会及其审计委员会、监事会报告。第三,监察部门对各级机构及人员执行制度、廉洁自律、履职效能实施监察;保卫部门负责刑事案件的查处。以上部门共同实现对第一道防线和第二道防线的事后监督、控制职责。从这个意义上讲,可以将内控管理部门的协调监督,内部审计部门的再监督,连同监察部门、保卫部门履行的事后监督作为商业银行业务流程控制的“第三道防线”。
综上所述,商业银行“三道防线”作为内部控制的组织体系,旨在纠正偏差、防控风险。商业银行要基业长青,必需立足长远,考量预期收益与当期成本,有目的、有重点的设置内控防线。同时,内部控制是一个过程,作用于业务流程的“三道防线”彼此不是孤立设置相互替代的,而是互为补充、
相互强化的系统。必须发挥业务流程中三道防线的系统合力,形成纠错防弊的机制性保障,才能有效控制偏差和风险,进而夯实管理基础、提升经营效率。
(资料来源:《中国城乡金融报》2011年10月21日理论版)
企业风险管理有三道防线
企业风险管理有三道防线 2017年08月23日来源:凤凰国际智库 编者按:在《2017年上半年凤凰全球政治安全风险追踪》发布会现场,苏黎世保险中国北京分公司总经理陈力骁针对中国企业如何应对全球风险提供了许多建议。他认为,中国企业可以利用后发优势借鉴成功经验,通过完善制度、加强人员培训、建立物理防范手段等方式来构建风险管理的整体框架。? 以下为发言精编: 苏黎世保险是一家拥有140多年历史的国际性保险公司,目前大部分的欧美跨国企业都是苏黎世保险的客户,比如某知名跨国食品企业就是与苏黎世保险合作了101年的客户。近10年来,苏黎世保险非常关注中国企业“走出去”的进展。就在前段时间,苏黎世保险集团在北京专门组织了一场关于“一带一路”的内部研讨会。目前,苏黎世保险的服务网络遍布全球220多个国家,覆盖了90%以上“一带一路”沿线国家。我们知道第一波全球化的主要参与者是欧美企业,第二波是日韩企业,第三波就是中国企业的崛起。因此,我们特别希望把欧美企业在国际化过程中有关风险管理的经验带给中国企业。
就像凤凰国际智库的研究员所提到的,我们碰到这么多风险,无论是“黑天鹅”还是“灰犀牛”,对于中国企业来说,风险无处不在,但机会就在那了,其他国家的跨国企业的经验使中国企业拥有了后发优势,我们可以做到后来居上。所以最关键的是怎么样去借鉴以前的经验,少交学费,甚至少流血牺牲。这是苏黎世保险作为国际性公司特别愿意与中国企业分享和探讨的。 苏黎世保险集团和世界经济论坛每年会发布一个全球风险报告。根据报告,2017年影响较大的全球风险不仅是政治风险。排在第一的全球风险是极端气候;第二是非自愿的迁徙,即难民、非自愿的移民;第三大风险是恐怖袭击;第四是网络攻击,这是欧美和日本企业非常担心的风险。今天谈论的主题是政治安全风险,这个范畴包含了大到国家、社会,小到社区的安全风险。 ? 制度、人员意识、物理防范手段缺一不可 风险管理包括三道防线:第一层是企业的风险管理制度,第二层是企业管理者及员工的风险防范意识,第三层面是物理防范风险的手段。也就是说,企业应对风险的制度机制要有,人员的培训要够,然后再加上物理性的防范,比如说拉电网、深挖沟、配备卫星电话等。 按照风险管理的模型,这三个防线如果有一个起作用,风险一般来说就不会同时击穿三道防线造成损失。如果制度上非常健全,就已经从根本上屏蔽了风险;如果制度上不健全,但是人员的风险意识非常强,也可以较好的规避风险;如果是这二者都存在问题,足够强大的防风险设备或技术也能帮助企业抵御风险。 一旦这三道防线在某一时间点被同时击穿,事故就会发生。很难说哪一道防线可以完全抵御风险,所以从企业的角度出发,这三道防线都要建立。 ?
新规框出三道防线 商业银行引入首席信息官
新规框出“三道防线”商业银行引入首席信息官2009年06月03日02:57[我来说两句] [字号:大中小] 来源:21世纪网-《21世纪经济报道》 6月1日,银监会发布《商业银行信息科技风险管理指引》(以下简称新《指引》),以取代2006年11月颁布的旧版《指引》。 新《指引》提出了商业银行信息科技风险管理的“三道防线”——信息科技管理、信息科技风险管理、信息科技风险审计。明确要求商业银行设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,并设立首席信息官,直接向行长汇报,并参与决策。而信息科技风险管理的第一责任人则是银行的法定代表人。 “商业银行积累了大量的客户数据,包括客户基本特征、交易记录、大宗交易情况,这些都是非常私密的个人信息,同时也是非常有商业价值的。对这些信息的保护就非常重要,一旦外露、失窃,就会对客户和银行带来非常大的损失,说得大一点,也涉及了国家金融安全。”赵先信表示。 新《指引》提出的“三道防线”——信息科技管理、信息科技风险管理、信息科技风险审计,便可满足上述三个要求。 业内人士介绍,“三道防线”是按照目前普遍的一种安全模式进行的设计:第一道防线——事先监控,即银行信息科技部门的自我管理;第二道防线,事中管理,即风险管理部门如何督促科技部门进行管理,风险管理部门会提供一些管理工具、思路和框架;第三道防线,事后审计,审计部门独立于上述两个部门之外,对两部门执行情况的一个评价。 在三道防线中,审计环节显得尤为重要。不过,目前银行的风险审计大多只停留在纸面审计、文档审计层面。随着银行系统电子化,流程化,需要一套针对整个系统的审计。 “第一,要审查系统是否具备其所宣称的功能;第二,对系统履行情况进行审计,比如2008年法国兴业银行案,当时系统已经做出多次风险提示,但没有人采取相应措施。第三,对记录的审计。”赵先信分析。
银行分行合规内控管理体系建设项目实施建议书
银行分行 合规内控管理体系建设 1 项目概况 1.1 背景 当前,我国商业银行一方面面临巨大的市场竞争压力,另一方面由于合规与内部控制基础薄弱,操作风险突显,导致金融案件频发,不仅严重制约商业银行业务的发展和金融产品创新,而且威胁国家金融安全。为此,银监会将加强对银行业金融机构风险管理的监管、重视公司治理机制、以及合规风险管理机制建设、完善内部控制体系、强化合规及操作风险管理、建立完善问责制作为目前工作的重点。
为促进商业银行建立和健全合规风险管理机制和内部控制体系,防范金融风险(尤其是操作风险),保障银行体系安全稳健运行,一年多来监管当局出台了一系列规章制度。 2004年2月1日,修订后的《商业银行法》第一次以法律形式提出“商业银行应当按照有关规定,制定本行的业务规则,建立、健全本行的风险管理和内部控制制度”。同年2月21日,国务院颁布《银行业监督管理法》,以法律形式引进了国际通行的审慎经营理念。 2005年2月1日,银监会制订的《商业银行内部控制评价试行办法》正式施行。以巴塞尔银行监管委员会《有效银行监管的核心原则》为主要框架,借鉴COSO报告有关内容(包括所提出的ERM模型),运用国际质量管理的理念和基本方法,对商业银行内部控制体系建设做出了全面、系统、详细的规定。 2005年3月22日,银监会发布《关于加大防范操作风险工作力度的通知》(简称“十三条”),强化了商业银行操作风险的防范。 2005年4月29日,巴塞尔银行监管委员会发布了《合规和银行内部合规部门》(Compliance and the compliance function in banks)。为各银行提供指导,并阐述了银行业监管机构关于银行业机构合规的观点。为满足监管机构的监管要求,银行必须遵循有效的合规政策和程序,并在
风险管理的三道有效防线
风险管理的三道有效防线 作者:柯安德(Andrew Cainey)李波颂(Thorsten Liebert)彭礼定(Giles Brennard)发表 于:2009-03-10 过去18 个月中,许多金融机构损失惨重。人们将这种损失归咎于多种外因:如所有权结构及激励政策、评级机构、对某些产品缺乏有效的市场定价等等。但在本文中,我们认为如果银行能够回归对一些基本环节的关注,特别是如果将有力的风险文化与三道有效防线进行结合,可以规避损失,事实上这已经在部分银行得到验证。这三道防线由对风险具有敏锐判断力的人才所组成,是有效风险管理的核心。 1. 绪论 当前的衰退主要源于美国金融市场:美联储的低息政策使整个美国经济中充斥着杠杆行为,尤其在消费贷款(特别是房贷)领域中。祸因并非出于(缺乏)监管,而是出于次级信贷的过度扩张:如银行发放贷款额为抵押物价值105% 的贷款却未经信用审核。通过将这些债务打包(如“ 担保债务凭证”或“按揭/资产担保证券”)并转售给包括其他银行在内的投资者,各种规模的银行均能因此解放其资产负债表,并再次投入此项业务。这项举措得以持续进行的假设是:这种“安全的”抵押债务能带来持久的还款收益,换句话说,房地产市场会持续上扬。通过评级机构的结果,许多(全球性的)机构也对此予以采信。 低息政策的第二个后果是银行的资产负债表呈现爆炸式增长。而大量的资产收购也导致了不顾后果的杠杆行为:某些银行的债务资产比达到30:1 、40:1 甚至是100:1 。根据近期对一些著名金融机构的访谈,我们得出这样的假设:造成这一切的元凶并非央行的低息资金、缺乏监管、或者风险的“复杂性”。金融机构的职责本身就是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。因此,将这一切归咎
银行合规内控管理体系建设项目建议
银行合规内控管理体系建设项目建议
xx银行xx分行 合规内控管理体系建设 xx管理咨询有限公司 xxxxx年xx月
1 项目概况 1.1 背景 当前,我国商业银行一方面面临巨大的市场竞争压力,另一方面由于合规与内部控制基础薄弱,操作风险突显,导致金融案件频发,不仅严重制约商业银行业务的发展和金融产品创新,而且威胁国家金融安全。为此,银监会将加强对银行业金融机构风险管理的监管、重视公司治理机制、以及合规风险管理机制建设、完善内部控制体系、强化合规及操作风险管理、建立完善问责制作为目前工作的重点。 为促进商业银行建立和健全合规风险管理机制和内部控制体系,防范金融风险(尤其是操作风险),保障银行体系安全稳健运行,一年多来监管当局出台了一系列规章制度。 2004年2月1日,修订后的《商业银行法》第一次以法律形式提出“商业银行应当按照有关规定,制定本行的业务规则,建立、健全本行的风险管理和内部控制制度”。同年2月21日,国务院颁布《银行业监督管理法》,以法律形式引进了国际通行的审慎经营理念。 2005年2月1日,银监会制订的《商业银行内部控制评价试行办法》正式施行。以巴塞尔银行监管委员会《有效银行监管的核心原则》为主要框架,借鉴COSO报告有关内容(包括所提出的ERM模型),运用国际质量管理的理念和基本方法,对商业银行内部控制体系建设做出了全面、系统、详细的规定。
2005年3月22日,银监会发布《关于加大防范操作风险工作力度的通知》(简称“十三条”),强化了商业银行操作风险的防范。 2005年4月29日,巴塞尔银行监管委员会发布了《合规和银行内部合规部门》(Compliance and the compliance function in banks)。为各银行提供指导,并阐述了银行业监管机构关于银行业机构合规的观点。为满足监管机构的监管要求,银行必须遵循有效的合规政策和程序,并在发现有违规情况发生时,银行管理层能够采取适当措施予以纠正。 2005年7月13日,巴塞尔银行监管委员会在借鉴经济合作与发展组织(OECD)于2004年发布的修订后的公司治理原则,并吸纳各国银行业机构稳健公司治理做法和各银行业监管当局银行公司治理方面的监管经验的基础上,针对银行业机构的独特性,为提供切实可行的指导,委员会对1999年发布的银行公司治理指引进行了大幅度的修订,发布了征求意见稿《加强银行的公司治理》修订稿,旨在帮助各国银行业监管机构推动本国银行业机构采用稳健的公司治理做法。 该文件明确指出:风险管理战略和风险管理技术是商业银行核心竞争力。稳健公司治理的基本要素尤其包括建立强有力的内部控制体系。 2005年9月9日,xx银监局根据中国银行业监督管理委员会《商业银行内部控制评价试行办法》的有关规定,借鉴巴塞尔银行监管委员会《银
如何利用三道防线模型
如何利用三道防线模型,使内部控制体系在企业落地 为了解决这个问题,2015年,国际内部审计协会(IIA)联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE(如何在三道防线模型中使用COSO内控框架),这份文件我们和很多同仁分享过。 图:三道防线模型 关于三道防线的概念,相信从业者早有耳闻,特别是内部审计工作者,因为IIA早有相关报告和资料介绍三道防线的概念,这次和COSO内控框架的结合,旨在将三道防线的职能和内控的要素、原则进行关联,更好的利用COSO的内控框架充实三道防线的工作内容,也使COSO的内控框架更好的被落地实施。今天,把这篇文章的观点和大家介绍一下。 一、董事会及高级管理层
虽然董事会和高级管理层不属于三道防线中的任何一道,但他们的作用却是不可或缺的,在董事会的监督下,高级管理层负责内部控制的建立、改进和评价。 董事会和高级管理层负责设立组织目标,规划实现这些目标的战略,并建立治理结构来更好地管理风险。高级管理层对第一和第二道防线的活动负有最终责任。 董事会和高级管理层对组织的控制环境负有主要责任,所以内控框架和董事会及高级管理层的对照关系如下图所示。 图:董事会及高级管理层的内控职责 二、第一道防线:运营管理
三道防线模型中的第一道防线主要由业务前台和中台负责日常风险管控工作。运营经理设计并实施组织的控制和风险管理流程。这些包括内部控制流程,旨在识别和评估重大风险,执行计划的活动,关注存在缺陷的流程,应对控制失效,并与活动的主要利益相关者沟通。运营经理必须有足够的技能,以使其能够在他们的运营领域内完成这些任务。 高级管理层对所有的一道防线活动负有全面责任。对于某些高风险领域,高级管理人员也可以直接监督前台和中台管理,甚至亲自执行一定程度的一道防线职责。 第一道防线主要对应着框架中的风险评估、控制活动和信息沟通部分,对于运营管理者,还包括监控活动部分,如下图所示。 图:第一道防线的内控职责
商业银行风险管理是什么
商业银行风险管理是什么 商业银行在经营的过程中也可能会遇到风险,所以要进行商业银行风险管理。下面我们就来了解一下商业银行风险管理的相关内容吧。 商业银行风险管理 商业银行风险管理是商业银行为减少经营管理活动中可能遭受的风险进行的管理活动。其目标是寻求最小风险下的最大盈利。其内容主要包括:风险识别、风险分析与评价、风险控制和风险决策四个方面。这四个部分,也依次是风险管理的四个阶段。风险识别是在商业银行周围纷繁复杂的宏、微观风险环境和内部经营环境中识别出可能给商业银行带来意外损失或额外收益的风险因素。风险分析与评价是预计风险因素发生的概率,可能给银行造成的损失或收益的大小,进而确定银行的受险程度。风险控制是在风险发生之前或已经发生时采取一定的方法和手段,以减少风险损失、增加风险收益所进行的经济活动,包括风险回避、风险抑制、风险分散、风险转移、风险的保险与补偿。风险决策是在综合考虑风险和盈利的前提下,银行经营者根据其
风险偏好,选择风险承担的决策过程。风险管理是现代商业银行资产负债管理不可缺少的部分。 商业银行风险管理的基本程序 依次是风险识别、风险分析与评价、风险控制和风险决策四个方面。 1、风险识别是在商业银行周围纷繁复杂的宏、微观风险环境和内部经营环境中识别出可能给商业银行带来意外损失或额 外收益的风险因素。 2、风险分析与评价是预计风险因素发生的概率,可能给银行造成的损失或收益的大小,进而确定银行的受险程度。风险控制是在风险发生之前或已经发生时采取一定的方法和手段,以减少风险损失、增加风险收益所进行的经济活动,包括风险回避、风险抑制、风险分散、风险转移、风险的保险与补偿。 3、风险决策是在综合考虑风险和盈利的前提下,银行经营者根据其风险偏好,选择风险承担的决策过程。 4、风险管理是现代商业银行资产负债管理不可缺少的部分。 商业银行风险管理的主要策略 (一)风险分散
银行内部控制与合规管理
内控提升品质,合规创造价值 随着我国银行经营环境的不断变化和银行间竞争的日益激烈,会计风险问题受到银行业内高度重视。要夯实银行经营活动安全运营,就必须加强银行会计系统的风险防范,其中,备受关注的就是如何健全完善银行的内控制度和更好地实施银行合规管理。只有不断探索如何提升内部控制水平,切实做好各项合规管理工作,才能为银行各项业务安全、稳健持续发展提供有力的保障。 在我刚进入工行的时候,对于如何健全完善银行的内控制度和更好地实施银行合规管理这一问题,可以说只是一知半解。但是,在这几个月的学习工作工程中,我开始对其慢慢了解,在知识层面以及实际操作都有了自己的一些想法,虽然可能还是比较浮于层面,不过我还是想根据自己这段时间的工作经验,对于如何健全完善银行的内控制度和更好地实施银行合规管理这一话题提出自己的一些小小的建议,希望能为促进我行稳健持续发展提供自己的一份力量。 首先,在含义上,我们要对其有一定的认识。银行内部控制是指商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。银行合规管理是指一个独立的机制,负责识别、评估、提供咨询、监控和报告银行的合规风险。合规风险包括因未遵循各项相关法律、条例、行为准则和良好的执业标准(合称“法律、准则和标准”)导致受到法律和监管条例制裁、财务或声誉损失的风险。在字面含义上,我们就可以发现,其实内控跟合规是相辅相成,密不可分的。 随着金融改革的不断深入和科技的进步,银行业务日趋现代化、多样化、复杂化。近年来,由银行内部引发的案件屡见不鲜,从案件的发生过程看,在内控制度执行过程中存在着诸多问题和漏洞。由此,加强银行业内部控制制度建设又被提到新的高度。面对复杂的社会环境和激烈的同业竞争,如何建立起一套行之有效的内部控制系统,并在实际工作中加以应用,成为了我行所要面临的一个重要课题。要想加强我行的内部控制制度,就需要从以下几个反面着手: 1.完善银行组织管理体系,创造良好的内控环境。银行业应注重宏观金融背景之下,如何提升自身的风险管理能力的问题,创造良好的内控环境。根据《公司法》、《中华人民共和国商业银行法》的要求,实行董事会领导下的行长负责制,保证董事会是全行最高权力机构,切实发挥董事会在银行发展方向、重大业务决
谈商业银行的“三道防线”
谈我国商业银行的“三道防线” 商业银行内部控制“三道防线”的制度安排发轫于1997年中国人民银行发布的《加强金融机构内部控制的指导原则》(下称《指导原则》)。此后,监管规定不断演变,商业银行经营形势日趋复杂,实践安排中对“三道防线”防什么、谁来防和怎么防的问题见仁见智,莫衷一是。因此,有必要通过对相关问题的深入分析,明晰概念,统一认识,为商业银行优化“三道防线”设置提供思路和借鉴。 一、商业银行“三道防线”的发展演变 1997年,人民银行发布了《指导原则》,要求金融机构建立完善的内部控制制度,设立顺序递进的三道监控防线:即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。2002年,《指导原则》被废止。此后人民银行、银监会规范性文件未再对“三道防线”进行规定。 2001年以后,证监会、国资委和保监会先后发布规范性文件,从内部控制或者风险管理角度对“三道防线”设置提出了明确要求。具体而言,证监会规定与《指导原则》的思路相同,都是从内部控制的角度设置防线;国资委和保监会则是从风险管理的角度提出“三道防线”设置的具体要求。需要指出的是,证监会、保监会及国资委的规定均不适用于商业银行,而且保监会、国资委的规定又与商业银行的实践和组织管理模式的传统存在很大的差异。2008年,财政部、银监会等五部委联合发布了《企业内部控制基本规范》(下称《基本规范》),虽未明确提出“三道防线”的要求,但为商业银行设置“三道防线”提供了新的思路和指南。 与此同时,“三道防线”的主要防控对象,也经历了从“防案件”到“防风险”再到“防偏差”的两次较大的演变。90年代初期,我国金融系统案件频发,“三角债”、虚假票据泛滥,危害金融秩序,影响金融稳定。为控制案件高发态势,人民银行发布《指导原则》提出设立“三道防线”的要求,其
商业银行内控合规与操作风险管理系统白皮书
商业银行内控合规与操作风险管理系统 白皮书
目录 第1章项目背景 (4) 第2章产品优势 (5) 2.1技术优势 (5) 2.1.1技术架构先进 (5) 2.1.2产品开发平台便捷、扩展灵活 (5) 2.1.3界面框架友好 (5) 2.1.4业务流程管理基于自主产品 (5) 2.2功能优势 (6) 2.2.1支持流程梳理成果落地 (6) 2.2.2建立全行统一的问题库 (6) 2.2.3配置化、模板化的报表工具 (6) 2.2.4方便实用主流的文档编辑组件 (6) 第3章总体设计 (7) 3.1应用架构图 (7) 3.2功能图 (8) 第4章系统主要功能 (8) 4.1内控管理模块 (8) 4.1.1流程管理 (8) 4.1.2流程维护 (9) 4.1.3内控评估 (11) 4.1.4专项调查问卷 (12) 4.1.5内控台账 (12) 4.2合规管理模块 (13) 4.2.1合规基础信息管理 (13) 4.2.2合规风险检查与审查 (18)
4.2.5案件管理 (25) 4.2.6合规计划 (26) 4.3操作风险管理模块 (27) 4.3.1风险与控制自我评估(RCSA) (27) 4.3.2关键风险指标(KRI) (30) 4.3.3风险事件及损失数据收集(LDC) (32) 4.3.4资本计量管理 (34) 4.3.5行动计划管理 (35) 4.4通用管理模块 (36) 4.4.1内控、合规与操作风险管理报告 (36) 4.4.2统计分析平台 (36) 4.4.3我的工作台 (44) 4.4.4系统管理 (44)
第1章项目背景 2012 年 6 月,为推动中国银行业实施国际监管标准,增强银行体系稳健性和国内银行的国际竞争力,银监会发布了《商业银行资本管理办法(试行)》,分别对监管资本要求、资本充足率计算、资本定义、操作风险加权资产计量进行了规范,管理办法于 2013 年 1 月 1 日开始实施,商业银行必须在2018 年底前全面达到管理办法规定的监管要求,并鼓励有条件的银行提前达标。 内控、合规和操作风险管理是银行全面风险管理体系建设的重要基础性工作,均以风险与合规为导向、以内外部规范及流程梳理为基础、以风险点与控制点的识别与评估作为主要手段,通过管理工具的实施及时对银行经营和管理过程中存在的风险隐患和内控缺陷进行识别和排除,并通过对业务流程改进、对内部控制优化、对重点领域和重点环节的操作风险管控,实现银行稳健、良好、快速发展为目标,三者能共享银行既有的管理机制和信息,且在管理办法、工具、流程和系统等方面存在相互交叉、互相承接的内在联系。 信雅达内控合规与操作风险管理系统为提高业务流程效率,动态管控银行的全面风险情况,增强银行对风险的管控能力,构建全面的风险管理体系提供技术保障。本系统满足《农村中小金融机构风险管理机制建设指引》及《企业内部控制基本规范》等监管要求,体现三道防线建设原则,结合先进的风险管理理论、国内外的活跃商业银行内控合规与操作风险管理最佳实践。
风险管理的三道有效防线
风险管理的三道有效防线 1人分享此文作者:柯安德(Andrew Cainey)李波颂(Thorsten Liebert)彭礼定(Giles Brennard)发表于:2009-03-10 加入收藏电邮给朋友打印文章写信给编辑 4. 回到基础——三道防线 4.1 高级管理层及决策人员—第一道防线 足球经理们曾说过,当守门员未能扑出进球时,在他之前,其他十名队友也一定漏过了该球。这些银行中从事固定收益业务的交易员和部门领导显然也未能把好关。他们通常只是去赢得一场比赛,籍此建立各自的个人名声,而不是寻求与整个团队通力合作去赢得整个联赛。 许多机构(特别是评级机构)在信贷危机后成为替罪羊。诚然,投资者们认为可以依赖于评级机构为他们提供可靠的评级信息这一想法无可厚非,然而,我们必须指出,如果买卖双方的高级管理层能够进行更为详细的审查将会极大地有助于防止某些问题的发生。例如,高盛的二次抵押证券产品之一—高盛可选式抵押产品信托2006-S3(GSAMP Trust 2006-S3 )是经过公共审查的产品,这些二手资产的平均贷款价值比为99.29% ,其中58% 为GSAMP 未能有效撤销回购权1的无凭贷款或低凭贷款。 这批证券中有93% 被评为投资级。而事实上,不需要很复杂的模型就能对这些证券的买卖合理性提出质疑。 前台人员和(或)高级管理人员所负责的第一道防线具有以下三个特点:可持续性的风险收益理念、可用且最新的风险相关信息、对限额及其他基本控制手段的----------专业最好文档,专业为你服务,急你所急,供你所需-------------
遵守。 可持续性风险收益理念是沟通型风险文化的必然结果。首先,应该对新产品的现有仓位及新仓位等进行广泛的探讨,而非仅仅是满足季度目标或其他短期目标。其次,前台人员和高级管理人员应该对仓位及其所承担的风险具备可靠且一致的信息。接下来,必须遵守限额及其他基本控制手段:例如,限额设定及限额监控必须由有力的机制来完成,必须强制交易员休假,职责划分必须明确且强制执行。 4.2 风险管理—第二道防线 除了慎重且负责的前台人员之外,银行还需要一个有效并受到尊重的风险管理职能部门。风险管理人员需要跳出其传统的“限额巡警”这一角色:不仅需要理解前台人员并对其提出质疑,还需要完善对集中性、相关性和预警的深入理解。财务部门必须完善对收益率背后的风险收益因素的理解,使其更具判断力。 如果一流的风险管理的秘密在于某个企业的风险文化,那么这种文化一定建立在风险管理人员的能力之上。高素质的风险管理人员是风险管理部门平等地参与决策并让前台人员尊重风险纪律的保障。这些风险管理人员不仅要对业务及其所承担的风险有着清晰的理解,而且还要跟得上产品迅速发展且愈发复杂的步伐。 当然,这些经验丰富的风险管理人员仅靠自己是远远不够的。他们需要一套支持性的组织架构、基础设施及内部流程。为了强制执行并推行适当的快速批准机制,风险管理者需要及时且准确的数据以及相关的权力。此外,责权分配必须明晰。 在涉及结构性产品等跨类别产品或涉及跨风险级别的相关性或集中性评估时,传统的风险类别划分并不能起到很好的作用。我们越来越多地看到交易风险团队不仅要应对市场风险,还需要处理所交易产品引发的竞争对手和发行商风险。为了对各种风险类别有更广泛的了解,投资组合监督部门或战略风险管理部门正变得----------专业最好文档,专业为你服务,急你所急,供你所需-------------
构建三道防线 防控企业风险
构建三道防线防控企业风险 由于外界环境和自身内部环境影响,企业都会面临的各种各样的风险,这些风险可能会导致公司管理模式的中途失败,将会给公司带来不可挽回的损失。因此,在我们科发集团的整个运营过程当中,风险始终是一个既无法避免又至关重要的关键所在,值得我们所有人高度重视。目前集团处在市场化经营转型、资本高速发展的时期,主要存在以下风险:财务风险、管理风险、市场风险、投资风险、资金链断裂风险、决策风险、经营风险等。 那么我们如何来应对风险呢?如何对风险进行治理、控制?有个建议就是,企业开展全面风险管理的工作中,应与其他管理工作紧密结合,把风险管理各项要求融入企业管理和业务流程中,构建起风险治理、控制的三道防线:
一、以相关业务运营管理部门为第一道防线。企业建立第一道防线,就是要把业务单位的战略性风险、市场风险、财务风险、营运风险等,进行系统化的分析、确认、管理和监控。同时,他们也负责执行流程以及问题的纠正和改进。作为第一道防线的业务单位要做好下列工作:了解企业战略目标及可能影响企业目标实现的风险,识别风险类别,对相关风险作出评估;决定转移、避免或减低风险的策略;设计风险实施风险策略的相关内部控制。 二、以风险管理部门会为第二道防线。一般情况下,第一道防线可以有效管理预防企业风险,但在实际情况中,单层防线往往不够。那么风险管理部门的职能就是管理和协助公司内部各单位在风险管理方面的工作。主要有:协助管理层制定风险政策、定义角色和职责、制订风险管理目标;对业务单位的风险进行组合管理,度量风险和评估风险的界限;建立风险信息系统和预警系统,制定关键风险指标,负责风险信息披露;沟通,协调员工培训和学习的工作;按风险与回报的分析,各业务单位分配经济资金。相对于业务单位部门而言,风险管理部门会克服狭隘的部门利益,能够从企业利益角度考察项目和活动风险。 三、以内部审计部门、高级管理层和董事会为第三道防线。内部审计是一个独立、客观的确认和咨询活动,经高级管理层、董事会授权监控企业内部和其他企业发展所关心的
如何打造我行审计第三道防线
如何打造我行内部审计第三道防线 桂林银行审计部 近年来,伴随着着我行业务跨区域、跨越式大发展,对我行的内部控制与管理水平,特别是风险管理等方面都提出了严峻的考验。如我行近年发生小额重帐事件、商业贿赂事件、冒名开户事件等等都说明了业务快速发展以后,我行的风险管理存在一定的问题。审计部作为我行风险管理的最后一道防线,在提高我行风险管理水平方面如何发挥更大的作用是当前作为审计部门负责人需要思考的重点问题。笔者认为,解答这个问题的关键在于准确定位当前城商行内部审计工作重点,具体而言就是要回答三个问题,即当前我行审计存在什么问题?应该做什么?如何做? 一、当前我行审计工作存在什么问题? 1.审计部职能定位不是很清晰,常常与第二道防线一些职能混淆在一起。 作为第三道防线的审计部职能主要是围绕银行战略目标和工作重点,在第一、二道防线的基础上,以评价内部控制的充分性、合规性、适宜性和有效性为主要任务,重点关注重大风险和系统性风险的管理状况,以促使董事会和高级管理层能够从宏观层面把握银行整体的内部控制状况和高风险领域,同时提出改进建议,完善内部控制和风险管理体系,促进银行发展战略和经营目标实现,服务对象是董事会、董事长。
第二道防线主要是指合规风险管理部门和业务条线管理部门。其主要任务是统筹内部控制制度建设、制定业务检查计划,就各项规章制度和内控要求的落实情况开展检查,并对第一道防线的业务部门工作进行指导、检查、监督、评估(通俗称为“尽职监督”),同时也为第三道防线的内审部门开展再监督、再检查、内控制度评价提供基础。 由此可见,第三道防线的内审部门与第二道防线的合规风险管理部门、条线管理部门工作重心是不同的。但实际情况是,我行对两者之间的边界定位不是很明确。审计部除承担着正常的审计工作外,还承担着内控建设、各类业务临时检查、查库、清收费用审核等其他非审计类工作,无法更好地发挥内部监督和评价的职能。 2.审计部权威性、独立性弱,绩效考评体系不尽合理。 我行目前虽已建立了相对独立的内部审计体系,根据我行内部审计章程的规定,设立董事会垂直管理的内部审计机构——审计部,向董事会负责并报告工作,接受监事会的指导,接受审计委员会的检查、监督和评价。但是由于对审计部门的考核往往与被审计单位挂钩在一起,其工作成效和业绩由被审计单位来决定,这样的制度安排本身就是一种对审计独立性削弱,使审计人员不敢放开手脚审计。 3.审计部工作效能不高、效果不明显。 目前,由于人手紧张,审计工作只注重对问题的发现,而没有审计力量对发现问题整改情况的后续审计,导致违规问题并未真正得到彻底解决。审计目的是发现问题并更好地解决问题,否则,审计效能就会受影响。另外,由于审计权威性不够、没有相应的处罚措施和办
《商业银行风险合规管理与内控》
商业银行风险合规管理与内控 课程背景: 合规经营是现代商业银行运作和发展普遍奉行的基本原则,是社会主义市场经济的必然要求,加强合规风险管理,既是监管部门强调的重点,也是商业银行自身努力追求的目标。 当前我国商业银行合规风险管理方面还存在着合规意识淡薄,规则不规范、合规风险管理能力不高等问题。只有通过采取有效的对策,加强管理,改进不足,我国商业银行才能安全稳健运行。 课程收益: ●强化合规风险管理意识 ● 有效的合规风险管理对策 ● 倡导建立“思想文化-政策制度-组织行为”合规风险管理框架 ● 精彩案例的融会贯通 课程特点: ●内容生动,擅长把枯燥的理论变得形象化,易学易懂 ●结合讲师多年实操经验,内容可操作、可传承、可落地 ●课堂气氛活跃,组织形式多变,学以致用 课程时间:1天,6小时/天 课程对象:银行风险合规条线人员、各支行负责人、客户经理 课程方式:课堂讲授+案例分享+技巧训练+问题思考+总结提炼 课程大纲 第一讲:合规风险的定义与理解 1. BASEL合规风险定义 2. 合规法律、规则和准则的理解 3. 银监会合规的定义 4. 其他合规定义 5. 案件回顾—从治理类案件到管理类案件
6. 合规风险的影响与代价 第二讲:合规风险的识别、评估、监控 一、内法还是外法 1. 合规、内控、操作风险三者之间的关系 2. 外法内化流程 3. 内控三道防线理念 二、全面风险管理框架 1. 专项合规管理流程实例—反洗钱 2. 三类合规风险管理—仪表盘示例 3. 风险合规管理流程框架 三、内部控制基本原理 1. COSO 1992内部控制框架 2. COSO 2003全面风险管理框架 3. COSOI与COSOII框架比较 4. ERM框架八要素 5. 复杂多维的监管环境带来的挑战 第三讲:内控治理 一、内部控制三道防线体系 1. 内部控制三道防线的基本架构和含义 2. 内部控制三道防线的一般原理 二、某银行内控实践案例 1. 治理架构与内控平台的建设 2. 机构间规章制度的差异带来的挑战 3. 如何应对COSO和BASEL两方面挑战 第四讲:操作风险管理 一、内部控制与操作风险管理的关系 1. 表述略有不同,精神实质一致 2. 应对思路:一心二用
设置内控流程 风险控制的三道防线
“11月3日,被誉为天空之吻的神州八号和天宫一号的成功对接,是我国航天技术的飞跃,更是航天人一次成功的风险控制。”上海会计学会会长汤云为用一个又一个案例生动地讲解着风险控制的重要性。 如何设置内控流程才能把风险管控在可承受的范围内?这正是企业目前关注的话题。 在汤云为看来,风险控制的一道道程序类似一张张瑞士奶酪,尽管每张都有不同的小漏洞,但重要的是环环层叠到一起不让风险漏出去。这对内控流程设置提出很高要求,实际上也是要求企业在原先的内部控制结构框架上向企业风险管理转变。 “如果没有良好的公司治理结构,内控设置的流程再多,实际效果仍然存有缺陷。”汤云为强调。 事实上,企业风险管理的框架是由一个基础、三道防线来构架的。这个基础指的是良好的公司治理结构;三道防线分别是业务部门、风险管理职能部门及内部审计部门。 汤云为认为,企业日常业务经常面临各种风险,业务部门是企业的前线,因此必须把的手段融入到业务单位的工作和流程中,才能建立好防范风险的第一道防线。这也是内控流程层面上的重要问题。 第二道防线是风险管理职能部门。 这在过去企业中并不常见的,后来在监管部门的要求下,才有越来越多的企业开始建立风险管理委员会。汤云为说:“第二道防线在业务部门之上建立一个更高层次的风险管理功能———风险管理委员会,它的工作是要确保企业风险管理得到落实,并对相关工作做出持续性监控。它的职责包括对各类业务单位的风险进行组合性管理,负责风险信息的披露,协助业务单位进行内控、预警系统管理等。”企业对第三道防线非常熟悉,即审计委员会或内部审计部。“第三道防线是我们内控制度得到执行的最重要部门,这个部门应该配备足够的人力,使其具有一定的独立性和权威性。”汤云为特别强调说。 现代企业建立风险管理系统是生存之道,而不是一种可做可不做的选择。外部环境变幻莫测,风险也随之变化,企业应该按照内控的影响程度和发生的可能性进行排序,把对风险的考虑融入到企业的内控决策流程内。 汤云为最后表示,内控的规范已经从过去狭义的内控框架向更加广义的企业全面风险演进,全面风险管理是企业内部控制发展的重要方向。 随机读管理故事:《热炉法则》 每个单位都有自己的天条及规章制度,单位中的任何人触犯了都要受到惩罚。热炉法则形象地阐述了惩处原则:(1)热炉火红,不用手去摸也知道炉子是热的,是会灼伤人的警告性原则。领导者要经常对下属进行规章制度教育,以警告或劝戒不要触犯规章制度,否则会受到惩处。(2)每当你碰到热炉,肯定会被灼伤。也就是说只要触犯单位的规章制度,就一定会受到惩处。(3)当你碰到热炉时,立即就被灼伤即时性原则。惩处必须在错误行为发生后立即进行,决不拖泥带水,决不能有时间差,以便达到及时改正错误行为的目的。(4)不管谁碰到热炉,都会被灼伤公平性原则。
银行从业资格考试《风险管理》风险管理的三道防线
银行从业资格考试《风险管理》风险管理的"三道防线" 中华会计网校为了帮助广大考生充分备考,整理了银行从业资格考试知识点供大家参考,希望对广大考生有所帮助,祝大家学习愉快,梦想成真! 第二章商业银行风险管理基本架构 2.2 商业银行风险管理组织 专栏:风险管理的“三道防线” 商业银行在不断提高风险管理专业知识和技术的同时,如果能够回归到风险管理的一些基本环节,特别是加强风险文化的培育与“三道防线”的建设,则一定能够更加有效地管理各类风险。风险管理的“三道防线”模式,指的是在银行内部构造出三支对风险管理承担不同职责的团队(业务团队、风险管理团队、内部审计团队),相互之间协调配合,分工协作,并通过独立、有效地监控,提高主体的风险管理有效性。“三道防线”的模式构建了一个风险管理体系监督架构,充分体现了风险管理的全员性、全面性、独立性、专业性和垂直性。 第一道防线——前台业务部门(风险承担部门)。前台业务人员处在业务经营和风险管理的最前沿,应当具备可持续的风险-收益理念,掌握最新的风险信息,对其业务经营活动所承担的风险实施积极、主动的管理,切实遵守风险偏好、风险限额等风险管理政策制度,及时报告、主动化解业务经营中出现的风险。其中,可持续的风险-收益理念是商业银行持之以恒地培育健康风险文化的必然结果。 第二道防线——风险管理职能部门。除了审慎且负责任的前台业务人员,商业银行还需具备高效、高素质且受到尊重的风险管理职能部门。风险管理职能部门和风险经理要对对业务及其所承担的风险有清晰的理解,从而对业务经营部门开展业务经营活动提供专业支持,并对业务经营活动承担的风险水平进行识别、计量、监控、报告,控制业务部门过度承担风险。 第三道防线——内部审计。内部审计不仅要对前台如何盈利等业务问题有深入的理解,而且要对风险管理政策和流程有正确的认识,独立、客观地对风险管理有效性进行监督评价,确保业务部门和风险管理部门切实履行董事会所批准的风险管理政策及程序。内部审计应避免仅以逐项核查的方式进行合规性检查,而缺少对潜在风险进行必要的评估和建议。内部审计要时发现的风险管理问题进行持续监控,监督整改,从而促进风险管理有效性的持续提高。 专栏:风险管理和风险损失责任 商业银行应当建立、健全科学的风险管理和风险损失绩效考核、责任追究制度,以加强内部控制、提升员工风险意识、促进商业银行持续提高风险管理能力。在建立风险管理和风险损失绩效考核、责任追究制度时,要注意以下几个方面: 一是对业务经营部门的绩效考核。业务经营部门在开展业务经营的同时,也是风险承担者。对业务经营部门的绩效考核,如果仅单纯考核其财务收益,或者业务经营规模和市场份额,就会对业务经营部门形成过度激励,容易导致其在业务经营过程中过于追求短期效益而忽视潜在的风险。从国际先进银行的风险管理实践来看,对业务经营部门的绩效考核,通过引入风险调整后绩效,即对其业务经营带来的财务收益与其承担的风险水平进行比较,来考核其承担的风险水平与获取的财务收益是否相平衡,从而促进业务部门稳健经营。同样,对业务经营部门开展业务承担的风险所造成的实际损失,也要由业务经营部门承担。
农商银行“内控合规管理深化年”工作总结.doc
农商银行“内控合规管理深化年”工作总 结 农商银行“内控合规管理深化年”工作总结 根据鄂农信办发【2018】36号《湖北省农村信用社联合社办公室关于印发全省农商银行“深化内控合规管理”活动实施方案的通知》、荆农银办字【2018】32号《关于印发的通知》,钟祥农商银行坚持以合规经营为己任,以防控风险为重点,以提升风险质量为目标,加强检查监督,提高全体员工依法合规经营意识和案防制度执行力,全面开展、推进“内控合规管理深化年”,做好内控合规管理工作,为业务经营、发展壮大保驾护航。2018年,我行“内控合规管理深化年”主要做了以下几项工作。 一、加强组织领导 为贯彻落实“内控合规管理深化年”活动的开展,市行成立了“内控合规管理深化年”活动领导小组,负责活动的统筹协调和整体推进。董事长任领导小组组长,其他班子成员任副组长,部门负责人为小组成员,领导小组下设办公室,办公室设在合规与风险管理部。 二、制定实施方案 印发钟农银发【2018】47号《关于印发的通知》,明确“三个深化”工作目标,即深化内控合规机制建设、深化内控合规执行力度、深化内控合规文化培育,着力健全全市农商银行内控合规管理长效机制,完善内控合
规管理体系,补齐内控合规制度短板,强化制度执行力,深入普及和培育合规经营知识和合规文化,加强内 控合规监督检查,不断提高内控合规管理的质量和实效,坚决打好防范化解重大金融风险攻坚战。 “内控合规管理深化年”分三个阶段进行,第一阶段:2018年4月为全面启动阶段;第二阶段:2018年5月-10月为全面实施阶段;第三阶段:2018年10月-12月为总结评比阶段。 三、全面深化内控合规管理 (一)全体动员,积极部署,推进“内控合规管理深化年”活动。 钟祥农商行召开了“内控合规管理深化年”动员会,各支行、各部室召开了内控合规管理深化专题会,制定了具体工作方案,明确了合规经营责任。 (二)围绕工作重点,完成自查自纠工作。 结合前期已开展的整治银行业市场乱象八大方面22项内容,重点围绕内控合规制度,于4月28日完成我行案防合规管理自查自纠工作,并上报工作报告。 (三)加大宣传,营造氛围 1.开展基层员工的合规教育和宣传活。5月初,我行将银监部门制作的《关于在营业网点播放“内控合规倡议视频”的通知》的视频,安排在全市所辖网点和微信工作群中播放,对员工进行合规教育。 2.下发合规经营倡议书。5月份,向全市所有干部员工下发了《钟祥农商银行依法合规经营倡议书》,要求做到“三心”,一是常怀敬业之心,
风险管理的三道有效防线
风险管理的三道有效防 线 Document number:PBGCG-0857-BTDO-0089-PTT1998
风险管理的三道有效防线 过去18 个月中,许多金融机构损失惨重。人们将这种损失归咎于多种外因:如所有权结构及激励政策、评级机构、对某些产品缺乏有效的市场定价等等。但在本文中,我们认为如果银行能够回归对一些基本环节的关注,特别是如果将有力的风险文化与三道有效防线进行结合,可以规避损失,事实上这已经在部分银行得到验证。这三道防线由对风险具有敏锐判断力的人才所组成,是有效风险管理的核心。 1. 绪论 当前的衰退主要源于美国金融市场:美联储的低息政策使整个美国经济中充斥着杠杆行为,尤其在消费贷款(特别是房贷)领域中。祸因并非出于(缺乏)监管,而是出于次级信贷的过度扩张:如银行发放贷款额为抵押物价值105% 的贷款却未经信用审核。通过将这些债务打包(如“ 担保债务凭证”或“按揭/资产担保证券”)并转售给包括其他银行在内的投资者,各种规模的银行均能因此解放其资产负债表,并再次投入此项业务。这项举措得以持续进行的假设是:这种“安全的”抵押债务能带来持久的还款收益,换句话说,房地产市场会持续上扬。通过评级机构的结果,许多(全球性的)机构也对此予以采信。 低息政策的第二个后果是银行的资产负债表呈现爆炸式增长。而大量的资产收购也导致了不顾后果的杠杆行为:某些银行的债务资产比达到30:1 、40:1 甚至是100:1 。根据近期对一些着名金融机构的访谈,我们得
出这样的假设:造成这一切的元凶并非央行的低息资金、缺乏监管、或者风险的“复杂性”。金融机构的职责本身就是对风险进行收集、定价、分解、去除关联、再次整合并进行定价。因此,将这一切归咎于风险复杂性等于倒退到易货贸易的时代。罪魁祸首实际上是一些大银行中混乱的治理结构、不良的激励体系以及糟糕透顶的风险管理。 随着美国房地产市场进入不可避免的萧条时期,以举债经营推动的增长开始转向下行。对于初始债务发行者(或转售债务所有者)而言,资产价值已跌至贷款价值以下。此外,“整合打包” 的主要目的之一就是建立一个低风险或风险分散化的资产包。然而,这是建立在主要资产并非相互关联的前提下,而绝非把“赌注”都压在一个“超级赌注” 上—即美国房产市场。 我们现在所看到的几乎完全顺应了达尔文的理论:物竞天择、适者生存。随着增长的压力在过去数年中越来越大,几乎所有的银行都更关注于绝对或相对收益,而对风险本身则越来越疏忽。然而,由于银行在基础能力上—特别是在融资、人力资本及能力方面—水平参差不齐,我们目睹了一些相对脆弱的业务模式(如独立的综合性投资银行)正濒临消亡。当然,我们还会看到对增长和风险的追逐超过其自身掌控能力范围之外的银行陷入困境,如那些德国中型银行。未来发展的事态可能是:包括中型保险公司在内的其他从业公司的亏损也会逐渐浮现。 2. 风险治理的失败