COSO风险管理新框架启示 中小银行如何实施全面风险管理？

20世纪90年代，随着全球化的日益加剧以及风险向复杂性的不断演变，风险种类的增加及各类风险之间的交叉作用直接导致银行业金融机构从发现风险到形成实际损失的时间大大缩短，传统更注重对单个风险实施管控的模式逐渐难以适应金融发展新形势。在这样的大背景下，银行在关注原有风险的同时，愈发重视以全局视角关注风险，并将这种全面风险管理的理念辐射进金融服务的每一个业务环节，以期实现风险可控。

COSO风险管理新框架的启示

2017年9月，COSO(全美反舞弊性财务报告委员会下属的发起人委员会)更新其2004年发布的《企业风险管理—整合框架》，发布了新的《企业风险管理—集成战略与绩效》(Enterprise Risk Management: Integrating with Strategy and Performance)，新框架对企业风险管理提出了三个关键词和五个基本要素，对企业全面风险管理工作的内容和纬度给予了方向性建议。

整体来看，新框架突出了融入、贯穿和去风险化三个关键词。融入表示整合、融为一体，突出了企业的风险管理工作与企业的战略目标与绩效是不可分割的整体;贯穿明确了企业风险管理应当贯穿在企业战略发展、绩效和价值提升的每个环节;去风险化的核心在于不再强调风险视角下的企业治理，而应当直接将风险管理相关内容嵌入企业治理与日常管理中。从而进一步明确了风险管理的匹配性、全覆盖和有效性原则。

另外，COSO新框架包含治理与文化、战略与目标设定、实施、审查和修订以及信息、沟通和报告五大要素。治理与文化是新框架的基础。治理，是将计划风险管理、实施风险管理以及监督风险管理纳入企业治理机制，从根本上奠定企业风险管理的基调，确保公司股东、董事会及高级管理层关于企业的风险管理水平达成一致的期望;文化，是要让全面风险相关理念及价值观成为企业文化的一部分，才利于企业在日常的经营决策过程中落实全面风险管理相关要求。战略与目标设定方面，一是企业战略及目标的设定应充分考虑风险战略;二是企业的风险偏好、经营计划和相关政策，都应与企业风险战略保持一致。风险管理的实施方面，首先需要识别影响企业战略目标实现的风险;其次在评估风险严重程度的基础上对风险进行排序，最后实施相应的风险应对措施。审查和修订方面，通过对风险管理政策、制度、流程以及风险管理成果进行审查和修订，是帮助企业不断优化风险管理体系的必须过程。信息、沟通和报告，则进一步强化了完善且流畅的信息系统、沟通渠道及报告机制的重要性。

综上所述，COSO新框架对企业的风险管理工作进行了全面的审视，聚焦企业的战略及绩效目标提出了风险导向型的管理理念、从公司治理的角度强调了建立全面风险管理体系的重要性。COSO新框架的发布对银行业建立全面风险管理体系有重要的启示作用，风险管理工作应当在企业文化、绩效管理、战略管理、信息报告、危机管理等多个层面产生影响。

国内全面风险管理要求的演变

2016年，银监会发布《银行业金融机构全面风险管理指引》，提出银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险，并明确了银行业金融机构的全面风险管理应当遵循匹配性、全覆盖、独立性和有效性原则，全覆盖则是指风险管理应覆盖各业务条线、所有分支机构、所有风险种类及经营管理的各个环节、并考虑不同风险之间的相互影响。《银行业金融机构全面风险管理指引》是对资本管理、信用风险等各个领域风险管理规则的共性提炼，是我国银行业全面风险管理方面的统领性、综合性规则，为银行业完善风险管理体系提供了明确的政策依据和指导。

近两年，为完善我国系统重要性金融机构监管框架，人民银行、银保监会联合发布《系统重要性银行评估办法》、起草《系统重要性银行附加监管规定(试行)(征求意见稿)》;为强化金融机构危机意识和危机应对能力，银保监会制定了《银行保险机构恢复和处置计划实施暂行办法》。由此可见，为防范系统性风险、维护金融安全和稳定，监管机构越来越强调宏观审慎管理与微观审慎监管的结合，注重综合化管理以及风险之间的传染和影响已经成为共识，对金融机构全面风险风险能力的要求进一步提升。

全面风险与各类风险管理的关系

银行面临的各类风险包括信用风险、市场风险、操作风险、流动性风险、操作风险、利率风险、声誉风险、战略风险、集中度风险等。

关于全面风险与各类风险的关系，自Basel II提出资本监管三大支柱，就明确了银行需要在资本层面对各类风险进行加总的理念;《商业银行资本管理办法》也提出商业银行应当建立风险加总的政策和程序，要充分考虑集中度风险及风险之间的相互传染，确保在不同层次上及时识别风险。

因此，关于全面风险管理可以明确的是，全面风险并不是一类风险，它与信用风险、市场风险等各类风险是总和分的关系。结合COSO提出的管理要素以及《银行业金融机构全面风险管理指引》提出的风险治理架构、风险偏好、风险限额、风险管理政策等管理要素，全面风险管理强调的是全面风险管理的意识和稳健的风险文化，明确的是风险管理的顶层框架以及各类风险管理的统领性、综合性规则，是风险管理的共性程序和底线要求。

全面风险管理的应用实践

2016年《银行业金融机构全面风险管理指引》出台至今，在《商业银行押品管理指引》、《商业银行大额风险暴露管理办法》、《商业银行理财业务监督管理办法》、《银行保险机构声誉风险管理办法(试行)》等14个政策制度中，都明确提出“将...管理纳入全面风险管理体系”。结合上一点，就可以理解其内涵并不是指这些业务都归属全面风险管理牵头部门管理，而是指要以全面风险管理提出的要素作为这类业务管理的基本方法和底线要求，也印证了全面风险管理解决的是风险管理的统领性、综合性规则的理念。

与大型银行相比，大多数中小银行的全面风险管理工作起步较晚，全面风险管理体系建设的精度、广度、深度还有较大的上升空间。

中小银行的风险管理工作大多以单一风险管理切入，全面风险管理工作整体起步较晚。但是，在监管环境和市场竞争的双重作用下，伴随自身业务发展需要，中小银行对于单一风险之间的相互影响、相互作用的叠加作用逐步得到认知;认识到全面风险管理需要从一个更顶层、全局的角度出发进行综合考量，其风险管理工作的视角也逐步从单一向全面迈进。

一、树立正确的全面风险管理理念。

全面风险管理的“全面”二字，表明的是银行全行各层级、各部门、各业务条线的全部参与，监管指引明确的也是银行机构需要设置全面风险管理的牵头部门，其职责是统一领导协调各类风险的管理工作。但在实际工作中，正因为“全面”二字，全面风险管理的牵头部门往往被理解为“全都管”部门。这种状况往往会造成风险管理工作中各参与方职责不明、边界不清、单一风险管理有漏洞等局面。正因为认识的偏差，所以树立正确的全面风险管理理念对银行风险管理工作的高效推进有着至关重要的作用。

全面风险管理的第一个重要理念，是要在顶层对风险进行加总和组合管理。比如风险管理策略与本行发展战略的贴合、风险偏好的有效传导、风险管理信息报告的覆盖面和可用度等。其目的是打破单一风险的管理壁垒，对全行风险管理状况形成统一视图，从而做到由上至下，由策略到偏好到限额到单一风险的瀑布型、层次化的整体管理策略。第二个重要理念，全面风险管理对各类风险管理的基本、共性方法提出了标准程序和底线要求。根据COSO框架及《银行业金融机构全面风险管理指引》，治理的健全性、三道防线的制衡性、政策制度的完备性、风险偏好的审慎性、风险信息系统的适应性、压力测试的前瞻性、风险数据加总和风险报告的有效性共七项要素已成为风险管理的基准要求。

二、健全风险治理架构。

银行的全面风险管理组织架构应当健全，且职责划分清晰明确。明确董事会、高级管理层、监事会、风险管理委员会、业务部门、全面风险管理牵头部门、各类风险管理牵头部门、内部审计部门在风险管理工作中的职责范围。完善的风险治理架构应当具有相互独立、自上而下、横向牵制、总体统筹、具体负责的特点，从而保障银行全面风险管理工作得以高效运转。

三、构建匹配发展目标的风险偏好。

银行的风险偏好应始终围绕本行战略目标与发展方向，与经营计划、资本规划等重要策略衔接。风险偏好的管理核心，一是目标的明确，二是目标的有效分解。在目标制定方面，风险偏好至少应明确银行愿意并有能力承担的风险类型与总体风险水平，目标可以定性和定量结合;目标分解方面，各类单一风险的管理部门应将偏好指标涉及的收益目标、经营目标、风险总量等目标逐一拆解至与基层经营相关的指标体系中，并针对性制定管理措施、明确细化指标及目标，才能最终实现偏好目标的逐级达标。

四、打造全行层面的风险视图。

在健全全面管理流程以及打造通畅的信息路径方面，银行至少应当以业务类型、地区、产品、客群等分类方式识别风险并收集相关数据，完成不同维度下单一风险的汇总，并获得全行层面的风险统一视图。在风险统一视图的基础上，还可以将风险偏好、内部资本充足评估、压力测试等组合层面的工作落地到系统，明确权责划分，相关单位均需在权限范围内完成风险识别、风险评估、风险报告等工作，将全面风险管理工作流程化、规范化、集约化。

五、注重风险数据的积累和应用。

银行业务开展过程中的大量原始数据为全面风险管理模型的建立提供了可能。银行在管理和应用数据中，应重视数据标准、数据质量管理、数据结构化保存、指标加工及历史数据存储等基础工作，建立内部风险数据集市。在此基础上，不断完善针对不同敞口、不同区域、不同风险类别或同一风险不同阶段的风险管理模型(如跨周期评级模型、动态评级模型、实时预警模型、限额测算模型、自动化审批模型、市场风险计量模型等)，实现由滞后向实时甚至提前预警的手段转变，使得风险管理工作进一步精细化和自动化。

六、重视风险管理系统实施。

伴随风险管理技术发展，风险管理系统成为风控手段、风险量化应用落地的主要载体以及管理及时性提升的有效保障。结合中小银行特点，风险管理系统并不是越多越好，需要统一规划、避免重复建设，比如信用风险的内部评级系统、信贷业务预警系统、押品管理系统，市场风险管理系统等主要单一风险管理系统，以及能够有效支撑风险顶层管理的风险视图、全面风险管理平台等，优先级更高。

七、循序推进、重点突出。

银行全面风险管理工作开展过程中避免一拥而上、抛却重点的思路，应分步骤、分阶段推进，结合自身管理痛点，以重点风险领域切入，继而向全面管理延申。目前中小银行在全面风险管理体系建设的同时，重点提升信用风险和市场风险管理能力，结合自身业务特点和管理需要，逐步开展内部评级、限额管理、风险预警监测、风险缓释及押品管理、风险数据集市等子项，逐步完善管理领域，实现由上及下、以点到面的建设效果。

八、引入和培养专业化人才。

与此同时，专业队伍的培养和全面风险管理文化建设工作也不能忽视。一是重点对具有风险管理意识、掌握量化风险管理技能、具备客观分析能力的风险管理人才进行培养;二是在全行树立正确的风险意识，进行长期且持续的风险管理文化的宣贯，帮助全员意识到风险管理与业务的不可分割。

综上所述，银行应该坚持全员参与、全面覆盖、全流程控制的内核，在风险管理实践中以全面风险管理提出的基本要素为底线要求，明确职责分工、制定风险策略、固化管理流程、构建清晰的报告路径、辅以数据工具，逐步完善全面风险管理体系建设，才能真正为跨周期稳健经营提供保障、为竞争优势和韧性提供新动能。

(作者系成都银行风险管理部 赵颖、白薇)