风险压力测试工具

37不确定性与商业银行全面风险管理研究陆怡舟1摘要:不确定性是经济学研究的基本内容,也是影响企业经营和风险管理的重要因素.
商业银行全面风险管理体系搭建和运行的效果,一定程度上取决于自身对所面临不确定性的理解和认识,以及对具有不同不确定性特征的风险的全面有效管理.
本文在奈特的"风险—不确定性"二分类基础上,采用不确定性知识获得的KuU分析框架,构建了企业经营管理所面临的内外部不确定性模型,并重新审视了不确定性与商业银行风险管理的关系,提出当前商业银行优化全面风险管理的三阶段实施路径以及各阶段的工作重点.
通过对不确定性和全面风险管理的深入讨论,本文为风险管理人员提供了如何看待风险与资本管理,以及风险与决策支持等课题的新视角,以期通过增进对工作和使命的理解,促进银行业改进和提升风险管理,更加有效地使风险管理与业务经营相协调.
关键词:不确定性;金融创新;全面风险管理;KuU分析框架一、引言奈特(1921)在《风险、不确定性和利润》中论述到,"由于存在不确定性,而需要具备企业家精神的人承担预测消费者需求,对生产进行指导和控制,从而出现了企业".
科斯(1937)在《企业的性质》中,对奈特的观点进行了完善.
法玛(1980)在《代理问题与企业理论》中指出,古典理论认为,企业家兼具管理者和剩余风险承担者的身份,但是在所有权和控制权分离的现代企业,管理和承担风险的功能进行了分离.
按照刘霄仑(2012)的观点,前者产生了运营层面的固化风险,后者产生了治理层面的活化风险.
奥利弗·威廉姆森在《资本主义经济制度》中,从各种机会主义出发,对企业概念进行了充分探索.
Alchian和Susan(1988)对此评论到,威廉姆森的洞见在于,他看到人们拥有有限信息和有限的信息处理能力这一客观事实,1陆怡舟,理学硕士,经济师,华夏银行总行风险管理部.
本文为作者学术思考,不代表所在单位观点.

作者感谢匿名审稿人的意见,文责自负.
38不确定性与商业银行全面风险管理研究即"有限理性",再加上人的"自我利益",从而产生了机会主义.
奈特发展的"风险—不确定性"的二分法,即可度量的风险和不可度量的不确定性,对后续的不确定性理论研究有着重要影响.
Langlois(1992)对奈特的二分法做了进一步阐释:奈特所说的风险,是关于具备对事件性质的基本了解但缺乏信息的问题,称为参数不确定性;而奈特所认为的不确定性,则指对事件的基本知识和信息都缺乏了解的情况,称为结构不确定性.

利用Gomory(1995)将知识划分为K(known,已知)、u(unknown,未知)和U(unknowable,不可知)知识的KuU框架,可以对不确定性的理论理解和程度度量的知识进行分类分析.
就理论理解而言,K指不确定性的理论模型被全面理解,u指对不确定性有诸多有争议,没有形成共识的分析,U指对不确定性暂时没有任何可信的分析;就度量而言,K指概率分布可以完全确定的情形,u指概率分布无法确定的情形,U指概率事件本身都无法界定的情形.
粗略地看,K对应于奈特意义的风险,u对应于奈特意义的不确定性,U指连事件本身都无法预知的情形,如2001年之前对"9·11"之类事件的认识.
本文希望从"风险—不确定性"出发,探究企业在面对内外部环境的已知、可知和未知时,企业管理、风险管理、内部控制等领域的关系的分野和融合问题,并希望在此基础上,对银行业风险管理体系的发展进行指导.
基于此,本文试图承接奈特关于"风险—不确定性"的认识,在KuU视角下,建立企业经营管理所面临的内外部不确定模型,对银行风险管理面临的重要问题形成清晰的认识,使风险管理体系建设有一个相对自洽的解释框架.
考虑到在当前的金融创新中,同业、资管这类业务的市场风险、信用风险愈来愈交织在一起,本文对银行风险建设性地提出金融类风险、非金融风险二分法.
在上述认知框架下,本文提出商业银行完善全面风险管理的三阶段工作,并结合全面风险管理指引和银行面临的金融创新环境,对三阶段中的工作重点进行讨论.
除此之外,本文还对风险管理实务中的一些主题进行了讨论,如风险管理与资本管理、风险前瞻性管理等.
这些讨论有助于对前述的相关认知框架的理解.
后文分为五节,分别阐述了企业经营管理所面临的内外部不确定模型以及全面风险管理的特点;对商业银行风险管理的分类和相关讨论;完善商业银行全面风险管理的三阶段重点工作和风险架构比较;值得进一步深入探讨的风险管理相关话题;最后是本文的小结.
二、经营管理面临的不确定性与全面风险管理的必要性银行是经营风险的企业,因此"良好的风险管理能力是商业银行的核心竞争力(苏保祥,2017)".
为此,我们有必要从一般企业经营管理模式出发,了解全面风险管理的特点及对企业经营的意义.
这对商业银行搭建全面风险管理体系,在风险管理理念上正本清源,深化风险管39理机制建设和提升核心竞争力,都将起到重要作用.
(一)企业经营管理中面临的不确定性根据传统管理理论和行为科学理论,企业面对经济环境、社会环境、技术环境、政治环境、伦理道德环境和自然环境等方面,需要通过发挥计划、组织、指挥、协调、监督等职能,对人、财、物、信息、时间等方面进行管理.
刘霄仑(2012)认为,企业管理的明线是传统意义上的企业管理,是对机会的管理,是设立目标并达成目标的过程;暗线是企业的全面风险管理,是对目标设定和执行中的动态风险进行管理的过程.
本文认为,可以从公司治理层面和运营层面来看待企业管理.
治理层面的管理行为包括治理结构设计、战略目标确定、业务模式选择、企业文化引导等;运营层面则包括业务管理和行为管理.
前者侧重于对财务、材料、产品等相关资源的管理;后者更侧重于对组织成员行为的管理,诸如组织的设计、机制的变革、激励、工作计划、个人与团队的协作、文化等等.
企业的业务管理向上与治理层面的管理存在衔接和沟通,向下与行为管理相辅相成、相互促进.
通过具体的审视发现,企业经营管理中,既会受到经营环境波动及对经营环境缺乏认识对企业的决策(治理层面和运行层面)和运行(运行层面)的影响,也会受到企业内部从董事会、经营管理层到一般员工自身行为影响;此外,还存在各种利益影响下的机会主义使企业经营向失当方向运行和发生治理偏差的可能性.
对这些不确定性认识的多少和计量能力的大小,决定了对应的风险管理的模式和框架(见图1).
↓ъъъъ⌒⌒图1:企业管理的模式40不确定性与商业银行全面风险管理研究(二)不确定性与全面风险管理曹元坤等(2011)将风险管理的发展划分为两个阶段,即基于保险和财务层面的风险管理阶段和基于整体层面的风险管理阶段.
在保险和财务的风险管理阶段(1950s—1970s),企业在奈特的(可计量的)风险意义下,对风险的不利影响进行防范.
风险管理所处的层次主要在企业管理的运营层面.
在基于整体层面的风险管理阶段,风险管理的视角从单一业务、单一部门扩展到了组合层面、企业整体层面,管理的对象从可计量风险扩展到"风险—不确定性"整体.
这就产生了全面风险管理的思想:以整个企业所有经营和管理活动为考察对象,综合分析和考虑企业现在和未来可能面临的所有风险,以及充分利用不同风险可以相互抵消、相互影响、相互关联的性质,借助科学的风险管理方法和过程,及时、有效地发现和控制那些对企业价值有负面影响的因素;同时,充分挖掘和利用企业潜在的发展和获利机会(刘汉威,2005).
从"风险—不确定性"的视角来理解风险管理向全面风险管理的转变,则全面风险管理就是要帮助企业处理好可计量的已知概率风险,理解和应对可能发生但概率未知的风险,在不可知的领域免受过度的风险损害.
全面风险管理与传统的风险管理方法存在的主要区别见表1.
表1:风险管理方法特征对比传统风险管理方法现代风险管理方法(全面风险管理)风险评估被视为是后勤支持性行为,只有管理层认为必要时候才采取该行为风险评估是企业进行的一个持续的行为只有会计、财务和内审部门才关注风险和风险控制组织机构中的任何人都关注企业风险的识别和管理松散性——按各职能和部门的分工,各自独立行事风险评估和控制开始关注企业的流程,而流程往往是跨部门、跨职能的,并在高层的监督下相互配合风险管理只关注财务风险和财务结果风险管理首先制定控制程序以确保企业避免接受不能承受的经营风险,之后对其他经营风险采取紧密控制以将其降低至可接受水平并无经营风险管理政策制定明确的风险管理政策,并经过管理层和董事会批准后,广泛传播以使员工能清晰地理解对经营风险先是检查和预防,然后采取应对措施在经营风险的源头就估计和预防其发生,并持续不断的采取监督性控制产生经营风险的主要原因是人的因素产生经营风险的主要原因是经营活动流程失败资料来源:企业全面风险管理体系构建研究(王农跃,2008).
41三、不确定性与商业银行风险管理的重新审视根据《有效银行监管的核心原则》(银监会,2012),银行业的风险包括:信用风险、国家风险、市场风险、利率风险、流动性风险、操作风险、法律风险、声誉风险.
其中,与业务经营密切相关的风险,包括信用风险、市场风险、利率和流动性风险等,称为金融类风险;与企业的组织管理、外部环境更加相关的风险,包括操作风险、声誉风险、法律和战略风险,称为非金融风险.
对照企业运行的模式(见图1),非金融风险可以进一步细分为操作类风险(运行风险)和环境类风险(见表2).
表2:银行风险构成金融类风险操作类风险(运行风险)环境类风险资产负债表结构内部欺诈国家和政治风险损益表结构外部欺诈宏观经济政策资本充足率雇佣实践和工作场所安全性金融基础设施信用风险客户、产品和业务服务法律基础设施市场风险实物资产毁损银行危机和扩散流动性风险业务中断和系统失灵(技术风险)信息科技风险利率风险执行、交付和流程管理法律风险汇率风险声誉风险战略风险资料来源:作者根据《银行风险分析:公司治理和风险管理的评估框架》(中国财政经济出版社,2011)整理.
将银行面临的风险以二分的方式分成金融类风险与非金融风险,会给银行风险架构的设计、风险人员的配置、管理模式的设计带来便利,从而有助于全面风险管理的落实.
考虑到金融类风险—操作类风险(运行风险)—环境类风险在"风险—不确定性"光谱上渐次排列(金融类风险可计量的成分最多,环境类风险可计量的成分最少),银行也便于采取更为有效的管理工具手段,搭建对应的风控流程.
然而,二分类会自然带来两个问题:一是与风险边界相关的问题.
即银行在运行层面如何看待风险管理范式与内部控制范式之间的联系和区别,将直接影响银行内部的架构设计与职责执行.
二是与金融类风险相关的问题.
即在金融创新此起彼伏的当下,创新行为会对银行风险边界产生怎样冲击,又会对全面风险体系建设提出哪些新的要求.

42不确定性与商业银行全面风险管理研究(一)风险管理与内部控制1首先,内部控制的实务和理论,经历了内部牵制制度、内部控制制度、内部控制结构、内部控制整体框架等阶段,当前处于企业风险管理框架的阶段(王农跃,2008).
其次,商业银行作为一类特殊的企业类型,既要遵循银行业监管部门以资本和风险管理规则为主线的监管,也要遵循财政部门以COSO(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission)委员会的有关内控框架为主线的监管.
狭义上,可以从不确定性因素的成因来考虑风险管理与内部控制的差别:就风险管理领域的不确定性而言,其源于内外部环境的客观因素对业务经营活动和运营行为的影响,管理工具偏重于计量技术;而就内部控制领域的不确定性而言,其来源于道德风险等治理、运行层面的各种"不足/不当"的负面影响,管理工具偏重于监督检查等非量化的管理方法.
这种划分意见,与刘绪光(2011)基于自然状态的不确定性和内部组织行为的不确定性来划分风险管理与内部控制的观点类似.
但广义上,全面风险管理必须同时包含风险管理范式和内部控制范式,才能对主观、客观因素形成的各类不确定性进行全面管理.
(二)金融创新对风险管理的影响金融危机后,综合化经营的态势不仅没有发生逆转,反而进一步受到了国际性大银行的重视.
在国际金融危机中,一些全能金融服务商,虽然由于过度的风险偏好、过高的杠杆比率以及监管体系的漏洞等原因,遭受到了危机的冲击,但其多元化的业务结构也有效发挥了风险分散的作用.
中国银行业也在加速推进综合化经营.
据不完全统计,在上市银行中,共有8家商业银行投资设立了基金管理公司,6家商业银行投资入股了保险公司,9家商业银行设立或投资入股了金融租赁公司,3家商业银行投资入股了信托公司,6家商业银行设立了投资银行机构.
目前,仍然不断有商业银行向金融租赁、消费金融等领域扩展自身的经营边界.

同期,在"互联网+"的浪潮下,银行业金融创新不断在移动金融、科技金融方面进行探索.
在财富管理领域,理财产品在网销售、理财顾问智能评测的技术创新步伐不断加快;在中小企业和个人信贷领域,策略化、自动化的业务流程持续完善;在交易银行领域,基于电商技术的供应链金融、跨境金融不断发展;在资产证券化领域,简单、透明的资产证券化产品保持着较快增长,互联网金融交易所等创新交易方式、区块链等创新交易技术持续有新的突破.

例如,在综合化金融方面,H银行根据新一轮发展规划,进一步加强和非银行金融机构的合作,开展交叉销售,积极探索和创新跨市场、复合性的金融产品,推出更多的金融服务的产1考虑到主题,本文对风险管理与内部控制关系仅作简要探讨,不深入展开.

43品,服务于客户各方面、各阶段的金融需求,积极开展资产证券化.
在移动金融方面,该银行以客户为中心,以大数据、新型信息技术为驱动,通过快速迭代的经营模式,提升客户服务体验,体现智能化、场景化、互动化特征,向资产端和销售端分别延伸出线上资产管理的金融资产交易平台和以互联网直销为特征的直销银行,提升在线服务能力、产品创新能力、新业态获客和盈利能力、互联网生态圈场景化服务能力和运营风控支持能力.
当前这轮以综合化和互联网化为特征的金融创新,既是金融企业边界的扩展,也是运行方式的改变.
金融创新可能来自对领先模式的跟随,也可能发自金融企业自身的自我革新,但最终都将导致上述二分法下各类风险的管理模式重新调整.
例如,市场参与者增加和市场行为变化,会引发金融风险管理模式的调整;运行渠道变迁和人机界面变化会引发操作(运行)风险管理模式的调整;金融基础设施升级和金融监管导向变化会引发环境风险管理模式的调整等等.
习惯于传统风险管理的银行和银行管理人员,势必要更大程度调整风险认知和管理架构,才能更加有效应对金融创新的冲击.
具体的问题包括:移动金融、互联网金融创新与数据技术的紧密结合,会在多大程度上颠覆传统的风险管理体系,传统的风险识别、评估、监控和报告流程应当做出怎样的调整随着综合化经营的展开,内外部合作机构的增多,金融产品复杂程度的提高,风险管理的组织架构和人员配置应当如何设计,才能在落实风险管理全覆盖的同时,确保全面风险管理的有效性原则1创新对经营和管理带来的不确定性,是更接近奈特意义的风险,还是更接近奈特意义的不确定性,在KuU框架下,是更加靠近K端(已知)还是更加靠近u端(未知领域)后文将针对上述问题,对全面风险管理展开相关讨论.
四、不确定性与商业银行全面风险管理的完善路径商业银行对风险管理的认识不尽一致.
在风险管理实务中,有的银行把业务审批等同为风险管理,有的银行按照风险类别生硬套用风险管理理论,不顾风险管理与业务运行的有机联系.

2016年9月银监会颁布了《银行业金融机构全面风险管理指引》,提出了全面风险管理的匹配性原则、全覆盖原则、独立性原则和有效性原则.
在这些原则的指导下,结合前文分析,可以通过三阶段优化商业银行全面风险管理,即强化单一风险管理,推进全面风险管理,跟随业务发展完善风控.
加强单一风险管理,要求商业银行风险管理部门不仅要扎实掌握各类风险管理工具手段,1《银行业金融机构全面风险管理指引》第四条.
44不确定性与商业银行全面风险管理研究更要将单一风险管理的方式方法扩散、落地到各业务条线.
不管在决策型还是运行型(见图1)的经营活动中,都要能做到企业管理的"明线"和"暗线"协调一致.
推进全面风险管理,就不再是简单的落实各单一风险模块的职责,而是要及时审视全行面对的金融类风险、运行类风险、环境类风险,强化各模块、各区域、各决策流程之间对风险信息的充分沟通协商,从而推行有效的风险整合管理.
如果能够做到扎实的单一风险管理和有效的全面风险管理,就意味着银行管理的"明线"和"暗线"有了共同协调延伸的前提,这样业务扩展才能具有坚实的基础.
此外,在业务拓展前,要对全行的业务模式有充分成熟的思考,要清楚新增的业务——无论是新的业务类型还是新的业务牌照——将在客户层面有哪些延伸,在经营环境上有哪些变化,面对的不确定性有哪些增加,从而对风险管理的体制机制进行预先的针对性调整.

下文将结合当前银行经营背景,对三阶段中的相关重点进行讨论,同时对当前银行业风险管理的不同架构进行比较.
(一)强化单一风险管理全面风险管理指引对各类风险提出"识别、评估、计量、监测、报告、控制或缓释"的统一流程.
但显然,对于金融类风险和非金融风险,管理的模式和重点应当不同.
正如全面风险管理指引中所要求的,"对能够量化的风险,应当通过风险计量技术,加强对相关风险的计量、控制、缓释;对难以量化的风险,应当建立风险识别、评估、控制和报告机制,确保相关风险得到有效管理".
金融创新背景下,对金融类风险的管理应当以计量技术的改进作为管理重点.
对信用风险应当侧重借助大数据技术,深入挖掘普惠型、长尾型客户,采取成本效益的原则进行管理.
针对不同类型的机构,信用风险管理的重点可能还包括交叉产品的风险识别、行业源头风险控制等方面.
对市场风险而言,由于市场风险管理面对的产品仍然体现出明显的标准化特征,因而其管理重点并不是管理工具的升级,而应当侧重于管理信息的采集.
即随着综合化经营的开展、银行客户与各类市场的对接的增多,以及相应的市场化头寸和复杂度的增加,市场风险信息收集处理能力需要有相应的增长.
对利率及流动性风险,由于其涉及面更广、与决策行为关联更强,因而也就意味着当利率和流动性风险超出限度时,需要及时对业务结构进行调整.
而这往往牵涉到更多的业务条线,因此需要有效的利率及流动性风险决策机制的支撑.

相对而言,金融创新暂时还没有触及企业运行层面的创新,因而也就没有颠覆非金融风险管理的基础.
非金融风险的管理重点仍然在于识别、评估、控制和报告机制建设.
对操作风险,应当回归本质,把握银行业务运行过程中可能产生哪些不确定因素(非主观意义上的),而后采用风险规避或风险对冲,尽可能保证业务运行在正当方向上.
对操作风险管理来说,最重要45是要摆正对这一风险类型的认识,尽可能客观地看待操作风险,避免过度和绝对的风险控制.

涉及到操作风险和内控合规交叉的领域,例如案件防控等,风险管理人员需要跳出操作风险三大工具的桎梏,主动转换控制方式,避免力有未逮.
对声誉风险、信息科技风险这两类近年来凸显的风险类型,管理方式中的定量因素更少,而定性因素更多.
同时银行机构对这两类风险基本形成了相对自洽的管理体系,例如对声誉风险的突发事件报告,以及对信息科技的运行监测体系等.
因而对这两类风险的管理,重要的是要把自成体系的管理与业务运行管理融合起来,通过演练、风险技防等方式进行对接,做到"明线"和"暗线"的融合.
(二)推进全面风险管理全面风险管理指引将银行业全面风险管理体系的内涵界定为五项要素:风险治理架构,风险的偏好、限额和策略,风险管理的政策程序,风险信息数据和系统,内部控制和审计.
考虑到银行业经营的复杂性和面临风险的多样性,风险治理架构往往因经营架构而异.
但就金融创新背景下实现全面风险管理而言,风险架构的最细粒度——风险团队,以及风险管理的流程程序、技术手段,反而是当前银行业机构最应当关注的共性问题.
在风险团队设置方面,为了适应新时期"互联网+金融"、"商行+投行"的发展趋势,配合移动金融、综合化经营的发展,银行业机构应当建立专门化的风险管理团队,包括:以流程嵌入为特征,建立针对在线金融、消费金融的在线风控团队;以派驻审查为特征,建立项目模式的投行风控团队;以数据服务、模型服务为特征,建立专业的数据管理服务团队、模型管理服务团队;以风险整体防控、并表防控为特征,建立专门的并表风险管理团队;以前瞻分析为特征,整合建立行业经济研究分析团队.
在风险管理流程方面,银行业金融机构应当注重在风险管理工作内部和风险管理与业务经营之间形成管理闭环,包括:定期回顾、梳理风险管理流程环节,建立优化调整机制,及时优化调整与业务发展不匹配的管理流程;提高信息收集传递的效率,持续完善风险信息报告流程.
此外,还应做到风险的限额设定、调整和实施要与业务经营计划良好衔接,风险的政策策略与当期的经济和行业形势判断要相互协调,风险的轮廓、视图与产品业务发展要相对应,全面的风险识别、评估工作要形成惯例,并与风险评价相契合.
在风控技术手段方面,银行业金融机构可以从两方面加强风险管理的技术手段:对具备数据基础和统计模型开发基础的风险领域,要积极引入统计推断等技术,尽可能实现风险的机控、技控;对数据基础尚不完备,时间上偶发、空间上散发,频次相对不高的风险领域,要拓宽技术思路,在充分预估不确定性的基础上,采用风险牵制、风险对冲、风险规避、风险抵补等定性技术进行控制.
46不确定性与商业银行全面风险管理研究商业银行还应当适度打开风险管理人员与业务经营管理人员之间的交流渠道,更加充分融合经营管理的"明线"经验和"暗线"经验,打牢经营管理、风险管理的人员基础.

(三)创新发展与全面风险管理金融创新是当前对银行经营影响最大的外生变量.
金融创新自身的风险特征是相对可预测的.
无论是金融移动化还是金融综合化,在经历了数年的创新培育期后,相应的展业业态对银行业而言已并不陌生.
如果将移动金融板块或者非银板块作为一个独立实体,便能相对全面地描述其风险特征.
换言之,这些板块本身的风险特征,是更贴近奈特意义的风险的.
但随着这些板块加入到银行原有的运营体系中,相混合后产生的化学反应,就不一定能够为人所预料.

叶建清等(2017)判断,创新业务与传统业务的混合,将"改变商业银行的业务基础设施层和盈利模式,甚至会重构银行的价值链".
在这种情况下,新产生的风险将更贴近奈特意义下的不确定性,甚至将进入KuU框架下的不可知领域(U).
正如全面风险管理指引对新产品、新业务风险管理所指出的,"银行业金融机构应当建立专门的政策和流程,评估开发新产品、对现有产品进行重大改动、拓展新的业务领域……等可能带来的风险".
商业银行在推动业务发展的同时,风险管理比较稳妥的做法是开展好两方面的工作:一方面要抓好新业务领域自身的风险控制;另一方面,要控制好新业务总量或做好新旧业务的风险衔接.
以移动金融为例.
首先,要重点做好三个环节的风险防控:一是线上资产端的准入控制,例如在线审批策略;二是线上直销客户的欺诈防控,如对各种刷单、羊毛党、恶意分子的识别;三是智能化营销的声誉风险控制.
其次,应当在全行层面采取风险隔离的模式,设定规模、限额,整体管住移动金融的总体风险.
对综合化经营板块的风险控制也是如此:一方面要求事业部、子公司要在充分认识自身业务所处经营环境特点的基础上,形成相适应的风险管理职能,确保事业部、子公司的风险导向要遵循全行导向,不能过度偏离;另一方面,要建立板块内部和板块对外的主动风险信息报送机制,针对板块间的交叉营销、内部交易,把握好风险点,建立风险防火墙,做到风险隔离.
(四)统筹型与派驻型全面风险管理架构当前银行业主要有两种业务架构:一是在总行层面形成更细致的专业化经营团队,以总行部门为基础组建利润中心;二是进行以事业部或利润中心为方向的机构调整.
对应于这两种业务架构,分别是统筹型的风险管理架构和派驻型的风险管理架构.
前者如H银行.
2015年下半年,H银行调整了全面风险管理组织架构,设立总分行首席风险官岗位,成立了风险管理部,调整了授信管理部门职责,在业务部门设置风险总监;在业务流程上,优化部门间信息沟通的协调47协商通道,加强跨条线的全面风险统筹、授信运行、授信审批和资产保全统筹,启动和优化同一客户融资总额控制,加强组合层面风险控制.
后者如X银行.
2017年初以来,X银行将总行条线总部调整为虚拟总部(部门群组),以客户关系管理和产品创设维度作为部门划分原则;同时,明确不设条线风险总监,在虚拟总部内设风险管理部,负责部门群组内部的风险管理和审查审批.
表3:统筹型与派驻型全面风险管理架构的特点统筹型的风险管理架构派驻型的风险管理架构管理职权上收管理职权下移强化风险管控的思路强化业务发展的思路易于实现全面风险管理全面风险管理依赖于派驻(群组内部)的风险管理团队(部门)设立跨条线的风险管理部门,统筹运行、审批等事项授信运行、审查审批等事项以条线(部门群组)内部管理为主风险信息整合相对便利跨群组的风险信息整合存在难度单一风险管理相对便利基于业务的风险管理相对便利两类全面风险管理架构各有特点(见表3),对实现全面风险管理目标而言,各有优劣.
架构运行是否有效的关键,仍然在于架构之下的授信授权路径、报告路径的设置,以及风险管理的效率和风险工具的改进.
就统筹型风险管理架构而言,由于横纵向的统筹运行特征,当银行机构的业务和产品复杂度达到一定程度时,这类架构的运行效率恐怕会打折扣.
在这种情况下,反而是派驻型的风险管理架构更具效率.
从这个意义看,H银行和X银行分别采取了适合自身业务特征的风险管理架构,从而便于其风险管理人员履行拓展对经营管理不确定性的认知边界的使命.
五、改进银行全面风险管理的进一步讨论全面风险管理除了上述内部领域的主题外,在银行风险管理实务中,还包括风险与资本管理、前瞻风险管理、风险与决策支持、风险与价值体现等主题.
不确定视角下对上述主题的进一步讨论,有助于增加对全面风险管理的理解.
(一)风险与资本管理近年来,国内商业银行在新资本协议项目上投入大量资源,成立新的风险管理部门,招聘48不确定性与商业银行全面风险管理研究风险管理专业人员,造成将风险管理与新资本协议实施相等同的错觉.
同时,银行业在实施新资本协议的同时,也形成了这样的思维模式1:实施新协议是为了提高风险计量能力,提高风险敏感度;通过将风险量化,从而利用经济资本来覆盖银行经营的非预期损失,保障银行的正常经营.
一定意义上,这种思维对银行提高风险管理能力是有帮助的.
从巴塞尔协议I到巴塞尔协议Ⅱ,由于市场风险内部模型方法经过1997、1998和2001年的市场证明是成功的(Francis等,2010),促使信用风险的评级模型也被纳入最低资本要求的计量模型中.
扩展监管工具的潜在论点是,信用风险也可以像市场风险一样,风险概率分布可以被充分数量化.

但是过度外推,可能会陷入认知陷阱.
一是不顾金融创新和监管套利活动的发展而过度使用市场风险内部模型方法,会导致在真实风险概率已经同构建模型使用的风险概率发生大幅偏差时,却仍然刻舟求剑式地运用原有模型.
二是不顾风险实质,夸大资本工具的效能.
例如将操作风险这样的非金融风险纳入第一支柱,却将利率风险/流动性风险这样的金融风险放在第二支柱下管理.
此类陷阱告诫我们,风险管理不等于新资本协议的实施,而且,即便在运用最先进的资本管理工具对银行业务和风险进行调节时,也要保持足够的警惕.

(二)前瞻的风险管理风险管理与财务管理、会计处理的重要区别,在于管理对象是事件预期还是已发生的事件.
这种区别在信用风险管理的评级模型领域尤为突出.
评级模型依赖大量客户的历史信贷记录,对新增客户、客户的未来行为进行预测评分.
模型有效的前提,是客户群体特征的相对固定,以及客户行为模式的相对稳定.
因而,模型管理流程中,需要定期对评级模型的表现进行审视,并将经济周期因素纳入考虑范围.
这些流程要素同样也是资本计量模型获得监管认可的前提.

各类风险模型一般应用于K(已知)领域.
在u(未知)领域,压力测试是重要的管理工具.
压力测试的理论基础与极值理论、尾部风险相关.
Mandelbrot等人发现(Francis等,2010),金融类风险的统计特性,很多情况下会偏离正统的正态分布.
由于金融体系的内在复杂性,金融类风险往往体现为幂律分布的特征,因而在极端情况下的风险表现会偏离人们原有的预期.

压力测试的目的在于揭示极端情况的影响,测试本身并无法提供更多关于极端情况发生概率的信息.
这归结到传统上对压力测试讨论比较多的一个问题,即压力测试工具最终应当如何运用到实际管理中.
正如业务部门偶尔会提出的反驳:压力测试的结论确实有意义,但是发生的概率有多大呢1各咨询公司的宣导和咨询项目建设也起到很大的推动作用.
49对此,也许无法找到一个双方都满意的直接回答.
但是从"风险—不确定性"的视角,可以这样理解:风险的前瞻管理,不可避免要进入决策、运行的范畴,从应对金融风险进入应对非金融风险的范畴,从u(未知)的领域进入U(不可知)的领域;因此,风险管理部门应当从防范未然的角度,筑好篱笆,提防任何可能的风险冲击.
(三)风险管理与决策支持奥地利学派认为,不确定性的本质是内在的主观性.
这种主观性存在于企业家创新精神中,并且是经济发展的原动力.
这意味着,企业的创新决策,更多的接近u(未知)和U(不可知)的领域.
因为,在K(已知)的领域,只需要套用已知的计量或管理模型就可以得出结论了,可能谈不上有真正需要决策的必要.
在三道防线的理念下,银行业管理层把风险管理部门看作是银行内部的大中台,越来越希望风险管理部门不仅仅能按部就班地完成风险管理例行事项,而且要更加前瞻、更加有风险敏感性,发挥更大的决策支持作用,体现出在银行内部的价值贡献作用.
但风险管理部门传统上习惯于从可量化的角度,也即在K(已知)的领域来考虑风险.
在未知和不可知的领域,风险管理人员并不具备成熟的前瞻分析工具或方法论.
风险管理的专业培训或认证考试,也并没有将前瞻思考能力作为培养重点.
因而,商业银行如果要在传统的审查审批等单一纯粹的风险管理事项上进一步叠加风险管理职能,进而提升全面风险管理对银行经营的价值贡献,还需要很长时间的摸索.
银行内部的员工、管理者、股东,以及消费者、监管机构,需要更长的时间来了解全面风险管理的本质.

风险管理人员也需要时间来增加自身的知识储备,沿着KuU框架,加深对风险内外部环境的认识,自觉从不确定性的角度分析、理解内外部环境,同时加深对风险管理的延伸分析,扩展对不确定性的认知范围,从而将全面风险管理与银行经营融合起来,成为企业价值的贡献者.

六、结论风险管理是企业管理的主线之一.
近数十年,随着企业管理理论的发展和理念的提升,尤其在金融服务行业,直接面对社会经济的波动和包括综合化经营在内的各种经营浪潮的冲击,风险管理的重要性愈发凸显.
对商业银行而言,企业管理和风险管理中进一步交织了转型发展的使命,因而打造好坚实可靠的风险管理体系,对银行的长远发展至关重要.
为了达到这个目的,首先需要了解风险管理的理论根源,才能在这个基础上有地放矢地优化和完善风险管理体系.
但正如前文所分析的,风险管理的理论正在持续发展过程中,目前的全面风险管理理念既有风险管理的源流,也有内50不确定性与商业银行全面风险管理研究部控制的源流.
更为复杂的是,我们并没有透彻地掌握企业风险管理更深层的理论依据和哲学思维,只是模糊地有个关于企业经营与可知、未知环境的概念.
行业内部也似乎没有统一和公认有效的风险管理框架,一些言之凿凿的风险管理指导思路在实际使用中并没有体现出应有的效果.
归根结底,因为风险管理面临的内外部环境始终处于不断变化的动态之中,使得我们无法完全依据风险管理理论,对银行的风险管理体系调整做出明晰的指导,而只能是结合一知半解的理论分析和银行实务经验,对当前的体系做出临时和经验性的建议.

从本文的分析来看,商业银行风险管理人员应当深入了解风险管理与银行经营的关系,从不确定性的视角深入分析各类风险的本质,以助力商业银行对真实风险的评估,使风险管理与业务经营能更紧密地结合.
对"风险—不确定性"的认知,有助于银行理解监管部门对可量化风险、难以量化风险的不同监管要求,在具体管理措施落地上不至于应对失据.
KuU框架,能够让银行风险管理者认识到自身使命,帮助银行不断拓展认识边界.
商业银行可以根据对金融风险和非金融风险的区分,对具体风险采取适当的管理手段,对创新业务采取针对风控措施,在架构、人员、技术、流程等方面不断完善全面风险管理.
这些建议是否有效,依赖于银行选择的发展路径以及最终的管理效果.
可能其中会有理论指导的因素,也会有执行效能的因素.