重構企業風險管理：美國社區銀行經驗解析

企業風險管理(ERM)是一個十分寬泛的議題，人們對它的理解也不盡相同。依據本文主旨我們可以將ERM定義為能夠有效處理不確定因素、復合風險、機會的管理過程，增強培養風險共擔者評價的能力。

在美國全國財務報告反欺詐委員會的發起組織委員會(COSO)于2004年9月正式發布的《企業風險管理——整體框架》中，ERM由起源于運行企業管理方式的具有內在聯系的8個部分組成，是相互協調的管理過程：⑴內部環境；⑵目標設置；⑶事項識別；⑷風險評估；⑸風險反應；⑹控制活動；⑺信息和溝通；⑻監控。值得注意的是，COSO框架明確地指出，其原則應該適用于所有類型的機構。

美國社區銀行ERM概觀

重要意義與基本原則

ERM不僅是切割風險和明確識別風險的問題，成功的全方位風險管理程序還有助于社區銀行應對諸多現實挑戰。當前未在全企業范圍內識別、檢測與嚴密監控所有風險，對于社區銀行已儼然成為一種冒險行徑。全面風險管理的重要性不單是出于管理視角也同樣包含對商業前景的考量，有效實施的ERM將會超越傳統的審計和控制程序并且把銀行資源從合規和危機管理轉向戰略計劃、資本管理和增加股東權益。

社區銀行實施風險管理所遵循的基本原則是：⑴風險管理是兼具增加并保護股東權益的方法；⑵必須在全企業的基礎上實行風險管理；⑶相對報酬的最好風險衡量是回報資本的風險調整；⑷ERM必須獨立；⑸風險管理不是一種審計功能或合規功能。

治理技術與實務研究

社區銀行運用多種途徑管理風險，基于復雜性、數量和推測的風險類型而逐步建立各具差異的風險管理制度和程序。如在組織架構中任命風險官以監督風險管理成效或委員會的組建；委派風險官并強調團隊協作是普遍采用的方法，CEO也扮演重要的監管角色。為控制和管理損失，成為更有力的競爭者，社區銀行還建立或運用很多新技術以改進風險管理評估和內部經濟資本標準。創建ERM模型，實行嚴密的統計測算，而且通過數學家團隊對更小的地方和社區銀行的成本效益觀作出合乎情理的解釋。

好的風險管理實踐有助于界定社區銀行目前面對的風險，并有助于評估、監測、處理和控制不同的風險類型。社區銀行風險管理實務的綜合研究已經從起初首要為基礎風險實務提供指導， 繼而發展成對社區銀行有價值的基準問題測試的工具。近期，有160家社區銀行參與了非常寬泛的研究，最新研究目標包括: ⑴提供當前風險管理實務的詳細目錄；⑵鑒別影響安全和穩健的實務；⑶鑒定和推進最好的實務；⑷提供一項基準問題。最新的研究把焦點轉移到比起初研究對象更小的機構。

目前部分風險關注點解析

合規風險與管制放松

能夠凸顯ERM價值的領域之一就包含合規風險。當一個機構與可適用的法律、規程或經營準則相違背時，這種風險就會陡然上升。美聯儲(FRB)希望銀行體系具備相稱的基礎架構來識別、監控并有效控制合規風險。隨著規程變化，那些雇員有限的小機構所面臨的挑戰在不斷更新。

由于合規風險通常體現了法律或制度的授命，而企業組織并不認可其是成功的關鍵。因此，從管理角度來說合規風險管理比較難融入企業一般的商務活動中。雖然銀行機構的確都投入財力承諾遵守法規，包括那些被強加的反洗錢、反恐怖主義的法規。然而，無可否認制定更具長遠社會意圖的規章制度是一項代價高昂的授命。比如，愛國者法 (Patriot Act)的合規管理，一般資產達到1.5億美元的社區銀行，就需要任命一名風險官以確保各部門知道如何遵守該法案。特別是該法案還要求向政府提供重大交易報告，這種累贅令許多銀行業人士感到沮喪。

2006年10月13日，布什總統簽署了《2006年金融服務管制放松法》(Financial Services Regulatory Relief Act of 2006，FSRRA)。這是一項旨在減輕銀行業，特別是小銀行、社區銀行管制負荷的法案。其中對社區銀行最具影響力的條款是：(1)對資產介于2.5億～5億美元，且資本健康和管理良好銀行的例行檢查周期延長至18個月；（2）修改《受托人關聯管理法》(Depository Management Interlocks Act) ，規定在同一市場免除關聯管理禁令的小機構的最高資產限額，從2000萬美元提高到5000萬美元。

該法案盡管沒有實質性扭轉當前管理束縛，但至少在總的指導方向上有助于改善管理環境，也為重壓下的行業提供了某種程度的減負潤滑。FSRRA無疑是一個好開端，社區銀行將竭力在國會推動管制放松優先權的立法。這些優先權包括: 放松《銀行保密法》(Bank Secrecy Act，BSA)的規定；放松《薩班斯-奧克斯利法》（Sarbanes-Oxsley Act，SOA）的規定；為儲蓄協會增加商業借貸權力；而且為不能分享客戶信息的機構免除年度隱私報告的要求。

身份竊盜與反制措施

目前美國身份欺詐損失每年約520億美元。最近幾年，有關信息安全和身份盜竊的問題引起了聯邦政府高度重視。2006年5月10日，聯邦政府組建了反身份盜竊特別行動組（Identity Theft Task Force），目的是增強制約身份盜竊力度。聯邦銀行管理機構首腦們和金融機構監管者都是特別行動組的指定成員。

在銀行意外泄露隨后被欺詐利用的數據的案例中， 因為不屬于對銀行體系的侵害，所以損失不納入傳統保險范圍。這不單是困擾銀行家的數據泄露問題，銀行正在尋求對策保護自己免遭源自身份欺詐的金融損失。

2005年下半年，為消費者辦理身份盜竊保險的主意引起了一陣激蕩， 一個更具深遠意義的保險市場已悄然浮現。這種類型的保險只適用于非常特殊情況，需求者通常是資產少于30億美元的社區銀行。大的銀行能自我保險， 即意味著能基本自行消化損失。當小和中型銀行更多地在網絡之上推銷業務， 此類型保險將會逐漸變得普通。

2006年8月美國社區銀行家協會(ACB)指定Edentify公司協助其成員運用新武器以保護銀行和客戶免遭身份竊盜和欺詐。Edentify是一家更好的身份管理解決方案供應商， 使用專有數據分析技術程序將帳戶特性與外部查詢數據庫進行比對。Edentify 基于其身份基準技術為 ACB 成員提供三種產品: ⑴身份(ID)評定系統分析銀行所有的賬戶以及對標識處于風險的賬戶作更深分析以保護銀行避免接納使用假身份的客戶；⑵ID篩選系統為新賬戶提供即時或者一組經過處理的申請者將欺詐活動遏制于萌發之前；⑶ID警示系統基于新的身份記錄不斷地檢測賬戶并在遠遠先于通常發現欺詐活動的時間內向銀行警告新的身份謬誤。基于進一步調查， 銀行而后向客戶發出警告。

災難警示與業務連續

過去7年中，大量的事件包括恐怖襲擊和自然災害，警示了計劃和準備的重要性。2005年，卡特琳娜——近70年以來登陸影響美國最強的颶風對地方社區小企業、小銀行的業務連續性計劃和災害反應能力起到了重要警醒作用。

社區銀行從中汲取了許多經驗教訓，并且為應對業務經營中斷改進了計劃。當然，社區銀行不可能為每樁可預見的事件以同樣的力度做準備或計劃，但應該估計事件和其潛在的可能后果，并必須了解計劃、準備和測試所需消耗的時間、精力和資金。相應地確定最有效的方式緩和風險，并持續估計應當更加關注和防備的可能事件。

卡特琳娜作為一個更廣泛的事件使銀行為自己所在和更大的社區擔當復興代理。社區銀行意識到：第一，在任何社區提供金融服務的重要性；第二，在危機期間有責任向顧客和鄰居提供服務。應該相應設法了解并協調計劃與鄰里、城市和州的災害反應程序。實際上，社區銀行對關鍵系統的認知通常會協助當地政府和公用事業公司更好地評估這些準備對顧客的影響。同樣，可以通過了解附近基礎設施的作用和局限以及社區的災害反應方式以改進社區銀行的反應能力。

2003年，監管者曾發布對業務連續性計劃的修訂指引，明確建議銀行應將全方位的中斷風險因素納入其業務連續性和災難應變計劃。該指引提出良好的業務連續性管理的基本要點是：第一，建議銀行對業務中斷如何實質影響銀行業務進行充分評估，并對客戶提供必要的服務。這種評估應該包括造成業務中斷的各種不同的情形和可能的事件。其次，應該分析業務中斷的可能影響，包括恢復期的延長，適當反應方式等。一旦制定業務連續性計劃就應付諸實施并定期檢驗，同時，在銀行業務活動擴大或改變時，應根據從測試或現實生活事件中收集的新信息作適時更新。

人是最重要的資源，因此，在制定業務連續性計劃時，應通過各種渠道保持人員的融洽相處和溝通，包括如果電話和電力服務失效的情況下如何聯通人員。對于地域市場較小的銀行，非常有必要建立雇員、顧客與其它地區的通訊聯絡。由于中斷的影響，銀行家應該預料到一些工作人員，可能因處理家庭緊急情況而限制其工作能力。因此，識別和培養后備人才以處理關鍵操作和服務就顯得特別重要。

業務影響分析和計劃要求，銀行不僅要了解自己的業務范圍，而且還要了解支持這些業務的系統和程序。必須在中斷延續期啟用儲備或某種類型的恢復設施，以提供關鍵的客戶服務。也需要在電腦系統癱瘓的情況下準備提供人工服務。

對我國商業銀行實施全面ERM的若干建議

高度重視風險管理

樹立全局視野的風險意識，依據利益相關者的風險偏好立場，將風險容忍融入戰略戰術的決策中，在風險安全控制和商業機遇之間作出更好的權衡，ERM定能有助于商業銀行收到更高的業績。

盡管有遵守新“游戲”規則的壓力，但許多商業原因也要求在金融服務行業全方位監測和管理企業風險，銀行無論大小都能從ERM受益。智能化處理合規問題、加強操作穩健性、更安全合理運用信息數據、完善突發事件應急處置機制等將超出預期的有效風險管理，從而進一步轉變為商業競爭優勢。

風險官責任應有側重

風險官的角色與傳統的安全和穩健的信貸管理與合規管理不同，必須承擔培訓責任使所有員工了解銀行風險。風險官應設法從整個銀行獲取信息并追蹤專門知識，與業務合規官密切協作以確保達成合規目標。首先，風險官需要熟悉每年發生變化的管理問題，指出員工需要了解哪些內容，并建立程序確保知識的補充更新。其次，風險官也要充當金融市場的經濟分析家，對貸款組合風險作詳盡解析使風險管理委員會覺察到行業風險所在。

意外潛在事件重預防

在業務的某些領域，如貸款和業務連續性計劃，給風險管理系統施加壓力的同時，銀行機構還需要牢記：持續經營成功取決于為意想不到的、潛在的不利事件和結果做防備的能力。最近幾年秋夏季節沿海地區頻繁遭受的強臺風甚至超強臺風橫掃，2008年1月近50年來罕見的大規模暴雪低溫在短期內席卷全國十七個省，無不考驗著銀行機構抗擊極端自然災害的應變機制。在氣候環境惡劣、交通阻塞、通訊不暢、停電停水等緊急狀況下，導致人身安全遭遇危險、員工不能抵達工作地點、聯系溝通困難、電力中斷時，銀行機構是否都事先制定了預見性的應急方案？平時是否有計劃地組織開展針對性演練？是否準備了相應的應急儲備物資和臨時動力能源供給？通過經驗教訓，我們銀行機構的應急預防工作仍有許多空白與漏洞亟待填補，機制設計還需進一步健全完善。

（作者單位：中國人民銀行金華市中心支行）