论道金融控股集团的全面风险管控

 金融控股集团横跨多个行业，与纯粹分业经营的金融企业相比有着不同的风险特征。我国金融控股集团应结合自身的组织、业务和文化特点，建立全面风险管理的体系框架，并在经营实践中不断加以完善。

当前，我国经济发展步入新常态，传统金融企业的发展速度开始下降。但随着各项金融改革不断深化，金融管制逐步放松，金融创新步伐加快，银行、证券、保险、信托等行业之间彼此渗透、相互融合，多元化金融控股集团将成为金融新常态下一种主要运营模式，光大集团、中信集团、平安集团等就是其中的典型代表。由于金融控股集团（以下简称金控集团）横跨多个行业，与纯粹分业经营的金融企业相比有着不同的风险特征，探索适合我国金控集团的风险管理模式，推进全面风险管理体系建设，不仅是国家深化金融改革所关注的重点，也是金控集团能否持续、健康发展的关键问题。

金融控股集团呈现四大风险特征

以金融控股集团模式经营多种类金融业务，能因规模经济而产生协同效应，促进子公司之间彼此的业务发展，分散经营风险，使集团的整体利润保持较高水平。但由于金控集团旗下管控多种类型的金融机构，管理整个集团风险无疑比管理单一机构的难度要大。
风险复杂度高。通常，金融控股集团组织架构复杂，且从事的业务多元化，不仅面临一般金融企业所共有的经营风险，还面临由复杂股权关系及内部关联交易所引起的一系列特定风险。例如，某个子公司的信贷资产在金控集团内部经过多次转让并交叉持有，所包含的风险就不再仅限于信用风险，还可能包括市场风险、流动性风险、法律风险以及内部交易风险等，而且其风险更加隐蔽，边界更加模糊，很难用常规方法加以管控。
风险传递性强。集团内部企业由于日常关联交易、产权关系、集团信誉、破产救助等原因存在直接或间接的联系，一旦某个内部企业出现某种危机，这种危机就会迅速地在集团内扩散，影响到集团其他企业的正常运营。实践表明，金融控股集团企业发展越快，其混业经营和集团化效应就越充分，由此导致其风险的传递性就越明显。例如，光大证券2013年8月16日发生乌龙指事件后，尽管光大银行没有对其实施救助，也未发生关联交易，但由于光大集团的声誉受到影响，导致银行客户流失，融资成本上升，其经营业绩在其后较长时期内都受到影响。
风险叠加效应显著。美国2007年的次贷危机显示，资产组合的风险相关性在市场急剧恶化的条件下不再是一个常数，而变成一个大幅度波动的风险变量，这使人们对系统性风险有了更深刻的认识。同理，在市场状况良好时，金控集团的成员企业之间不存在很强的风险相关性，风险叠加效应不显著，通过现有模型和手段监测出来的集团总体风险并不高。但当市场状况急剧恶化，甚至发生极端情况时，集团企业之间的风险相关性迅速上升，就算单一机构的风险不大，集团整体风险在叠加效应的作用下也可能骤然增加。由于极端事件发生概率低、损失大以及历史数据缺失等原因，风险管理人员往往很难通过现有模型去评估极端情况下集团面临的风险损失。这种风险叠加效应在金融危机到来时，往往突然显现出来，对金控集团具有较强的杀伤力。
信息高度不对称。金控集团通常具有复杂的组织架构，而且其内部成员的信息披露存在很大差异，这使得集团的公开信息与实际情况存在背离，不利于管理层及时掌握集团的风险状况，从而错失控制风险的最佳时机。此外，我国金控集团往往地域分布广，行业跨度大，内部层级多，管理半径长，导致风险信息传递不畅，上级指令和下级反馈不够及时。加之，多数金控集团尚未完全实现并表管理，其运营数据和管理信息仍处于零散、割裂状态。这些都在客观上加剧了信息的不对称性，降低了集团风险管理的效率和效果。

我国金融控股集团风险管理水平仍处于初级阶段

通过近年来的实践，我国金控集团逐步建立了以内控为核心，以稽核为抓手的风险管理体系，具备了一套较为完备的制度体系和管控流程，形成了集风险、审计、监察等三位一体的监控体系，强化了风险防控的力度和范围。尽管如此，不断深化的金融改革和混业经营，对风险管理提出了越来越高的要求，相比之下，我国金控集团风险管理的总体水平还处于初级阶段，特别是风险管理的全面性和有效性还有待进一步提高。
风险管理缺乏主动性。我国金控集团目前的风险管理多为事后控制，对风险缺乏实时、前瞻性的评估，更缺少积极主动的风险管理策略和手段，所以难以从根本上有效地进行风险管理和防范。比如，在信用风险方面，基本上都是等到不良贷款已经形成，才开始进行清收、处置，缺少事前的预警和预控，即便在业务过程中提前发现了问题，也缺乏有效手段进行转移或退出。在操作风险方面，经常是重大案件已经发生，风险管理人员才进行风险报告和处理，通常这个时候严重的损失已经难以避免。
风险管理刚性不足。尽管我国金控集团大多建立了自己的风险管理体系，但许多制度和机制并未落到实处，尤其是在一些强势的高管面前，这些风险管理的制度要求如同一纸空文，起不到应有的制约作用。例如中信泰富，应该说具有完备的风险管理体系，但2008年为了对冲西澳铁矿项目的货币风险，公司签订了若干杠杆式外汇买卖和约。涉事的杠杆合约属于高风险交易，合约操作者集团财务董事对潜在风险没有正确评估，没有遵守公司对冲保值规定，交易前也没有得到CEO的授权，风险控制程序在这位高管面前形同虚设，造成了近乎倾覆性的巨大损失。
管理工具亟待建立和完善。在欧美先进国家的金融市场中，风险管理工具早已得到广泛应用，而且随着业务发展还在不断创新和进步。相比之下，由于我国金融体系发展滞后，当前的金融市场还不能向投资者提供足够的风险管理工具，这导致我国金控集团在风险管理方面缺乏有效的技术手段和实现方式，风险管理基本上停留在定性判断和事后处理阶段，这也是制约风险管理有效性的一个重要因素。
新兴业务的风险管理存在欠缺。目前，我国金控集团的风险管理体系尚不能覆盖所有业务和类别的风险。特别是，随着金融创新步入快车道，新兴业务品种不断涌现，对风险管理提出了更高要求，集团在这方面的技术与经验明显滞后。创新产品由于没有先例，设计上难免存在漏洞，一些新兴业务的隐性风险还没有得到足够重视，如近年来迅猛发展的资管业务和衍生工具，其复杂度、关联性和杠杆率都已达到相当高水平，在刚性兑付条件下，将来有可能爆发大规模的信用风险、市场风险以及法律风险，其杀伤力将与创新力度、与业务规模成正比。
具体的风险管理与集团整体战略相脱节。在风险管理方面，金控集团内部企业之间往往是各自为战，既不能体现集团整体的风险偏好，也不能形成战略性的风险策略组合。许多企业将大量精力投入到具体事项的风险管控中，缺乏整体性的风险管理规划，也没有系统性地评估集团企业之间的风险关联度，长此以往，这种战略与战术之间的脱节在整体上大大弱化了金控集团的风险管理能力。
风险管理的基础设施相对滞后。从软件基础设施看，集团层面关于风险管理的制度体系、政策体系、业务流程，尽管已经具备了一定基础，但在许多关键细节上还不够完备和严谨。从硬件基础设施角度看，集团风险管理所需要的管理信息系统、业务流程系统、数据仓库、计量模型等，都还处于相对较低的水平，特别是子公司之间水平参差不齐，各自为政，缺乏有效的衔接整合，难以满足金控集团复杂性风险管理的需要。

金融控股集团构建风险管理体系应遵循五大基本原则

我国金融控股集团应参照美国COSO制定的全面风险管理框架（ERM），结合自身的组织、业务和文化特点，建立全面风险管理的体系框架，并在经营实践中不断加以完善。作为一个整体，金融控股集团在构建风险管理体系过程中应遵循全面性、适应性、科学性和平衡性的原则。要根据自身业务特点和发展战略，选择适合的风险管理模式，制定切实可行的政策和策略。
全面性原则。风险管理应贯穿决策、执行、监督的全过程，覆盖所有业务、所有部门、所有岗位和所有操作环节。全体员工都应积极参与风险管理工作。如果没有全体员工的积极参与，仅靠风险管理条线的力量，难以实现风险管理的最终目标。
适应性原则。世界上风险管理没有一个标准的最佳模式。风险管理必须与企业集团的战略目标、经营规模、业务范围、风险水平和风险偏好等相适应；要根据业务发展做适时调整，以合理的投入实现风险管理的最优化。
科学性原则。金控集团的风险管理不能仅停留在理念上，要借助现代化的信息技术，利用信息系统平台进行实时跟踪监控，及时发现、防范和控制风险。要推行精细化、定量化的风险管理方式，依托互联网平台，应用大数据、云计算等先进技术，实现对复杂金融业务的有效管理。
平衡性原则。风险管理必须与业务发展紧密结合，以风险管理推动业务稳健发展，确保企业价值的长期可持续增长。要根据集团的风险承受能力和利益最大化原则，采取全面管理和重点防控相结合的原则，以最小的成本获得最大的收益。
刚性+弹性原则。风险管理要刚柔相济，实现原则性和灵活性的有机结合。一方面，风险管理要有足够的刚性，任何人都不能破坏风险管理制度，不能逾越风险管理底线；另一方面，风险管理又要具备一定的弹性，要根据外部环境变化和集团发展要求，不断对自身的流程、规则、标准进行必要的调整和完善。

多策并举建设全面风险管理体系

完善公司治理，构建专业化风险治理体系。金控集团应进一步完善由董事会、监事会及其下设专门委员会组成的风险治理架构，注重发挥独立董事、审计委员会以及监事会的监督作用，同时更好地发挥董事会风险管理委员会的专业指导作用。根据专业化需要，集团还可以在总部和各子公司设立首席风险官（CRO），作为公司高管人员，全面负责风险管理工作。目前，全球80%以上的大型金融企业都设立了首席风险官；我国的银行、保险、投资等行业也设立了首席风险官，但大型金控集团还较为少见。首席风险官CRO直接向CEO汇报，并对董事会负责。在此基础上，可进一步建立CRO联席会议制度，将各子公司首席风险官都纳入进来，使各子公司的风险管理形成横向串联系统，并与原有的纵向风险管理体系一起形成矩阵式风险管理框架。通过定期或不定期地召集会议等方式，研究风险形势、制定风控制度、协调重大风险事项等。通过CRO联席会议方式，集团就能建立起风险联控机制，一方面，可以避免集团直接采取行政式的管控手段，对子公司的经营权造成不恰当干预；另一方面，也能防止集团风控无所作为，造成风险管理的缺位或虚化。

围绕集团总体战略，建立风险偏好体系。风险偏好必须与集团的整体战略相匹配。风险偏好体系是从集团层面进行风险统一管理的重要抓手。风险偏好体系反映的是组合管理理念，不仅要考虑单个风险，也要把各个风险综合起来，在集团层面上加以整体考虑；不仅要评估短期的风险，还要从战略角度评估集团所面临的中长期风险。集团在确立风险偏好体系的过程中，首先要从下到上，从下属企业着手，汇总提炼出符合实际业务情景的风险指标；而后再从上到下进行传导、反馈和修订，如此反复多次，逐步完善并实现量化，形成与业务实际相匹配的风险偏好体系。该体系既体现了集团风险偏好的基本导向和数量要求，也展示了各子公司的风险偏好差异，形成金控集团的风险配置蓝图。董事会、管理层应全程参与，各尽其职，并进行跟踪评价和持续改进。为保证风险偏好执行落地，集团总部可依托风险偏好体系，建立以关键风险指标（KRI）为基础的考核体系，对各子公司和业务条线进行定期评价，并将评价结果与绩效薪酬挂钩。

实行穿透式管理，强化集团整体控制力。实行“穿透式”管理，可以加强金控集团的整体控制力，防止出现总公司的“空心化”。通常，穿透式管理包括两个方面：一是自上而下的人事权穿透。集团总部向下属成员企业直接派出董事或关键岗位的管理人员，如首席风险官、总审计师等，集团要对这些派驻人员定期进行培训，组织开展信息交流，每年度进行业绩考核和资质重检。通过这种穿透式的人事安排，可以减缓集团内部的信息不对称，增加集团总部在战略、政策和风险管理等方面的控制力度。二是自下而上的决策权穿透。凡是子公司的重大决策事项，特别是须由子公司股东大会表决的事项，集团总公司作为股东的投票意见，应由集团董事会审议决定。这种做法可以使集团董事会实现对子公司的重大事项的知情和控制，避免重大决策失误的风险。需要指出，这种穿透式管理尽管在强化集团控制力方面相当有效，但必须建立在现有公司治理结构的基础上，必须符合国家相关的法律、法规，不能以行政管理代替公司治理，特别是金控集团中不少成员企业已经是上市公司，更需妥善处理此类问题。

以信息系统平台为核心，夯实风险管理的基础设施。对于现代化金控集团，风险管理的有效实施离不开信息化、数据化的大力支持。

金控集团的信息系统建设要紧扣业务发展和风险控制这两条主线，做到统一规划，分步实施。可具体分三个阶段：第一阶段，提炼各子公司的关键风险指标（KRI），统一计量标准，并实现定期联机分析；第二阶段，将各子公司核心业务系统用中间件技术进行连接，增强分析数据的时效性、完整性和准确性；第三阶段，构建整体的信息系统平台，建立完整的客户视图和数据仓库，应用大数据和云计算技术，以客户为中心，实现统一管理、统一服务。集团的信息系统平台工程量巨大，需要扎实的软硬件基础，不能急于求成，不要盲目铺摊子，应由集团总部牵头，科学规划、统一部署、有序推进。

实施集团层面的全流程风险管控。金控集团实施全面风险管理，不仅要建立有效的风险管理架构，还要具备完整、缜密的控制流程，针对各类风险实现全流程管控。按照美国COSO的内控标准，该控制流程应包括风险识别、风险评估、风险预警、风险报告、风险应对、风险转化以及风险后评估等环节。上述流程中的各环节都应设置相应的管理岗位，配置专业人员和技术手段，制定相关的工作规程和标准。

金控集团要实现全流程风险管控，还必须充分利用自身的信息系统平台，对业务数据和风险数据进行实时监控，采用回归分析、压力测试等模型技术对风险进行评估，并构建高灵敏度的风险预警系统。此外，集团还要对风险控制流程做定期重检，并相应地调整风险管理的政策、制度、参数和标准，以保证风险管理与集团业务的发展要求相适应。

发挥内外部审计的合力，建立以风险为导向的内控体系。内部审计和外部审计是集团全面风险管理的一个重要组成部分，要充分发挥其监督和震慑作用。一方面，集团要加强内部审计力度，提高内审的覆盖率。通过强化审计检查和督导工作，对下属企业和业务条线的违规行为形成震慑，防范风险事件的发生。在操作方式上，可探索实行集团总部垂直审计与子公司内部审计相结合的管理模式，由集团派出董事到子公司的审计委员会任职，或向子公司推荐首席审计官，以此确保集团总部的审计政策和要求得到更好的贯彻执行。另一方面，要充分发挥外部审计的专业优势，集团董事会和管理层应起主导作用，组织协调下属子公司，做好外部审计师的统一选聘。

实施以风险为核心的集团并表管理。并表管理是我国金控集团建立全面风险管理体系的重要基础和保障。

金控集团应把跨系列风险并表横向管理与各系列纵向风险管理两种方式有机地结合起来，深入推进全面风险管理体系建设。跨系列风险并表横向管理应包括信用风险、市场风险、操作风险、流动性风险、集中度风险等措施，通过各项措施的有机结合，提高集团全流程风险管控能力。纵向风险管理主要是指针对银行、保险和投资三大系列的风险管理举措。针对银行业，要以实施巴塞尔新资本协议为契机，全面提升银行的风险与资本管理水平；针对投资业则要实施风险限额和可投资工具管理机制。集团在实现并表管理的同时，还要进一步加强风险隔离，从业务隔离、管理隔离、人员隔离、声誉隔离、信息隔离、退出隔离等方面对防火墙制度进行细化和完善。

培育积极健康的风险管理文化。建立具有风险意识的企业文化，营造良好的风险管理氛围，树立正确的风险管理理念，增强员工的风险管理意识，是全面风险管理得以贯彻的根本保证。我国金控集团应借鉴国际上的成熟经验，对子公司和业务条线实行基于风险的绩效考核，以此提升风险管理的地位，引导员工认真履行风险管理职责。

风险管理文化是比风险管理技术更重要的根本问题，它无处不在，无时不有，时刻发挥作用。因此，我国金控集团的风险管理文化建设，不仅需要高度重视，长期投入，还需要广泛宣讲，深入教育，更需要董事会、高管层率先垂范，以身作则。

精心打造一支专业化的风险管理团队。金控集团的风险管理比一般金融企业更复杂、更困难，对专业水平的要求也更高，这就需要精心打造一支高水平的专业化团队。当前，我国金控集团缺少风险管理的专业人才，特别是对混业金融风险的管理急缺人才、技术和经验，应及早着手人才招募、储备和培养。要根据集团业务的发展格局，做好各类风险管理人才的组合与配备。选拔的人才要德才兼备，除了专业水平外，还应注重对其性格特点与行为方式的考察，优秀的风险管理者应该是严谨、务实、讲原则、有担当的人。

随着利率市场化改革完成，金融混业经营的时代即将到来，我国金控集团将进入一个跨越式发展阶段，这对集团的风险管理能力提出了更高要求。集团发展得越快，风险管理就越需要跟上。风险管理不是简单地踩刹车，更不是发展的绊脚石，它本身就是发展的能力。为此，我国金融控股集团应高度重视风险管理体系建设，做好风险管理的顶层设计，夯实软硬件基础设施，做好迎接新机遇、新风险的准备，更好地为集团的发展保驾护航，提供持久动力。

本文原载于《中国银行业》杂志2015年第11期。