論董事會在銀行風險管理中的主導作用

摘 要：當前，全球金融市場危機頻發、風險劇增，我國商業銀行能否經得起新一輪的考驗和沖擊，關鍵在于能否切實提高風險管理能力。銀行必須從源頭抓起，徹底轉變公司治理結構，完善公司治理機制，特別要發揮好董事會的主導作用，從根本上解決風險控制的源動力問題。圍繞這一問題，本文探討了董事會在商業銀行風險管理中的戰略定位、主要職責、發揮作用的條件以及應采取的基本策略。

關鍵詞：董事會；治理結構；風險管理；經濟資本；作用

中圖分類號：F832.33 文獻標識碼：A 文章編號：1003-9031(2008)09-0004-05

近年來，我國商業銀行紛紛股改上市，資本實力顯著增強，業務規模不斷擴大，經營業績大幅提升。銀行業要保持持續穩定發展，唯一的出路就是扎扎實實地提高風險管理能力，從源頭抓起，徹底轉變公司治理結構，完善公司治理機制，特別要發揮好董事會的主導作用，本文討論了董事會在風險管理中的戰略定位，分析了董事會開展風險管理的基本條件，并進一步提出董事會風險管理的著力點。從根本上解決風險控制的源動力問題，使風險管理具備更好的戰略性和長效性。

一、董事會在風險管理中的戰略定位

(一)公司治理是風險管理的基礎

銀行的戰略目標是實現風險調整后收益的最大化，而有效的風險管理正是實現風險與收益平衡的基本途徑。對銀行而言，公司治理和風險管理之間存在密切聯系，兩者相輔相成。公司治理是實現風險管理的前提和基礎，是有效推進風險管理的制度保證；反過來，風險管理也是公司治理的重要內容與核心任務。公司治理與風險管理的關系是“形”與“神”的關系。我國商業銀行的改革最終要實現從“形似”到“神似”，這既是一個持之以恒的過程，也是一個探索創新的過程。一方面，建立、健全公司治理結構不可能一勞永逸、一蹴而就，必須在動態的市場競爭中，敏銳地發現風險、把握風險、管理風險，并根據風險管理的要求，及時調整治理結構和治理機制。另一方面，在我國現行體制下完善公司治理，必須有足夠的創新精神。無論歐美模式還是德日模式，都存在各自的優缺點，每種模式都需要在實踐中不斷完善。美國安然等一系列大公司所出現的問題，反映出歐美公司治理的弱點；日本銀行業前幾年出現的種種問題，也暴露出其公司治理上的內在缺陷，所以在借鑒國外經驗和教訓時，要特別重視結合我國的情況，形成具有中國特色的公司治理，實現銀行發展的戰略目標。[1]

在公司治理的基礎上，銀行的風險管理要取得實效，還必須從戰略、體制和機制等三個基本途徑入手，構建起從宏觀到微觀、從硬件到軟件、從理念到操作的一整套風險管理的傳導機制，而這一切追根溯源又都要以完善的公司治理為基礎，如圖1所示。

(二)董事會是公司治理的核心

公司治理包括公司治理結構和公司治理機制兩個方面。公司治理結構由股東大會、董事會、監事會、管理層等治理主體組成。其中，股東大會由銀行的投資人組成，是公司的最高權力機構；董事會受股東大會委托，在授權范圍內對銀行重大事項進行決策；管理層根據董事會決策進行具體實施；監事會負責對董事會和高管層的履職狀況進行監督評價，上述要素主體之間協調配合、相互作用，構成了比較完整的公司治理機制。

公司治理是否成功關鍵在于董事會職能發揮得是否充分與得當。[2]一個公司的所有經營和管理活動都以決策為基礎，如果董事會的決策不正確，犯了戰略性和方向性的錯誤，那管理層執行得再好也是南轅北轍，監事會監督得再嚴也無濟于事。

(三)董事會在風險管理中起主導作用

董事會作為股東代表，是銀行風險管理的最終責任承擔者。一旦銀行的風險失控，董事會負有不可推卸的責任。統計顯示，1990-2006年間倒閉的459家美國銀行中，90%的倒閉是由于董事的消極被動或決策失誤所致。其中，倒閉的336家存貸款機構不同程度上存在董事玩忽職守、疏于謹慎的問題。在安然事件中，董事會對內部的財務欺詐視而不見，因而遭到法律訴訟和輿論譴責。2007年，法國興業銀行交易員凱維埃爾違規操作導致近72億美元的經濟損失，險些釀成第二個巴林銀行。事后調查顯示，該行董事會長期漠視內控體系的漏洞，應對此類事件承擔主要責任。

2003年以來，美國內部控制專門研究委員會發展機構(COSO)委員會和巴塞爾委員會在各自的指導文件中都強調發揮董事會風險管理職能的必要性。[3]新資本協議和全面風險管理框架，從不同角度描述了董事會推行風險管理的基本模式和總體要求，提出了設立戰略委員會、風險管理委員會、審計委員會，由此構造多重風險防線體系，以確保經濟資本的核心盾牌不被那些突發的不利事件擊穿。與管理層相比，董事會在推進風險管理過程中應該表現出更突出的長期性、全局性、戰略性和根本性特征。

(四)董事會在風險管理中的主要職責

為加強銀行的風險管理，首先要界定董事會職責，這是一個“高屋建瓴”的步驟，可以保證決策層參與風險管理的規范性和有效性。[4]根據巴塞爾委員會《健全銀行業的公司治理》的要求，董事會作為銀行決策層，它在風險管理方面的職責應主要包括：定期審議并向股東大會提交銀行的全面風險管理報告；確定銀行風險管理的總體目標、風險偏好、風險容忍度，審定風險管理戰略和基本政策；批準重大決策、重大風險、重大事件和重要業務流程的判斷標準和內控機制；針對銀行所面臨的重大風險和內部管理狀況，做出風險控制的重要決策；審議批準內外部審計部門提交的評估報告，并監督管理層落實整改；審定風險管理組織機構設置及其職責方案；聘任首席風險官和首席審計官等關鍵崗位人選；對管理層的風險管理能力和執行情況進行考核、評價和監督；督導銀行風險管理文化的建設等。

二、董事會開展風險管理的基本條件

(一)提升董事會風險管理的理念和能力

首先，要提高董事會成員的風險管理意識和理念，使每位董事都明確董事會在風險管理中的職責和任務，提高其工作上的主動性和服從內部控制的自覺性。其次，對董事會成員進行系統的風險管理培訓，使之熟悉風險管理的知識、技術和方法，提高決策水平和工作能力。第三，通過優化董事會結構或董事會成員構成來達到提高風險管理水平的目的。比如，引入風險管理專家作為董事會成員；在董事會內部設立風險管理委員會；也可以在管理層設立直屬董事會的首席風險官(CRO)，將風險管理的任務和責任進一步分解，并由CRO監督CEO及其他管理者的風險管理情況，董事會則通過對CRO進行監督來降低監督成本，提高風險管理的專業化水平和效率。

(二)建立一套完整、規范的董事會風險管理流程

建立董事會的風險管理流程，是商業銀行完善內控體系的基本要求，主要應從三方面入手：一是建立董事會決策范圍內重大事項的風險識別、評估、決策、應對和后評價等一條龍的管理程序，將其載入公司章程，使之制度化、規范化；二是對高管層的風險管理狀況進行程序化的督導；三是嚴格執行董事會集體決策制度，這已經被證明是董事會風險管理的一種有效方式，國內外不少銀行經營失敗的根源就在于沒有很好地貫徹這一制度。

(三)發揮董事會專門委員會的指導作用

隨著金融體系的不斷發展，銀行經營和管理也越來越復雜，董事會許多重大議案，特別是風險管理議案的技術含量比以前有了很大提高。這些議案如果直接提交到董事會，由于會上時間有限，很難進行深入討論，因而降低了決策質量和效率。所以有必要進一步發揮董事會專門委員會的作用。

目前，我國商業銀行董事會的專業化建設還有待加強。從上市銀行的信息披露中，很難發現董事會專門委員會的詳細信息，說明上市銀行對董事會專門委員會的作用認識還不夠。董事會在銀行內部控制和風險管理體系中的核心作用，只有通過不斷增強其專業化來實現。實現“專業化”的主要途徑之一就是設立專門委員會，通過專門委員會來協助董事會，甚至可以直接負責某一方面的工作。這種專業化制度將增強董事會監督銀行運作的能力，并能提升董事會決策的質量。

商業銀行風險管理可以由董事會下設的多個委員會共同承擔。其中，風險管理委員會負責監督高級管理層關于信用、市場、操作等風險的控制情況，對風險管理狀況進行完整的評估，提出改進風險管理和內部控制的指導意見。審計委員會側重于事后監督評價，主要負責處理與財務報告及合規性有關的風險事項。與戰略、市場、渠道、顧客、技術、供應鏈和其他運營事務有關的風險可由戰略委員會和風險委員會共同負責。這三個委員會在風險管理過程中要充分協作配合，戰略委員會重點負責事前風險控制，風險管理委員會重點負責事中控制，審計委員會主要負責事后控制；再加上關聯交易委員會、提名委員會、薪酬委員會的協調配合，就可以在決策層形成一個比較全面的風險管理網絡。

從發展趨勢看，董事會應該讓上述專門委員會負起更大的責任，逐步從單純的議事機構轉變為董事會授權下的決策議事機構。這些專門委員會也可以根據各自的專業特長，主動地提出議案，而不是被動地審核管理層提交的議案，進而提高在風險管理中的主動性和參與度。

(四)建立科學的董事會業績評價體系和方法

銀行要將董事會業績評估作為公司治理的持續驅動力，通過實施科學而全面的業績評估，及時發現董事會履職能力和履職效果方面的薄弱環節。科學的業績評估體系有助于決策層協調風險與收益的平衡關系，促進董事會更加積極地推進風險管理工作，為股東創造更大價值。

對董事會的風險管理業績考核可從董事會整體和董事個人兩個層面進行。對于銀行重大經營失誤，若系董事會集體決策所致，應向董事會全體問責；若因個別董事不稱職或違背內控原則而導致重大失誤，則應當像更換行長一樣，通過臨時股東大會及時對其進行更換。業績考核的具體方式可以采取自我警醒與外部考評相結合的機制。但不論是哪個層面或哪種方式，評價時都要注意不僅要看到董事會當期的、顯性的業績，還要充分體現業績背后對應的長期的、潛在的風險。[5]

與業績評價密切相關的一個問題是獨立性。獨立是董事會有效進行風險管理的前提，缺乏獨立性將使得風險監督和業績評價失去意義。目前，在我國商業銀行公司治理中，董事會既要獨立于管理層，也要獨立于控股股東；獨立董事更要發揮其特有的職能，在整個任期內始終保持獨立性；董事會各專門委員會，特別是審計委員會和關聯交易委員會，要在處理各方利益關系的過程中堅持專業化的判斷和獨立自主的決策。

(五)培育與發展戰略相適應的風險管理文化

風險管理既是一門科學，又是一門藝術，但無論如何，它必須成為一種文化，融入到銀行自身的“血液”中，才能真正發揮作用。[6]風險文化建設是董事會有效開展風險管理的前提條件。董事會應著眼于銀行的長遠發展，成為風險管理文化建設的倡導者和推動者。董事和高級管理人員應投入足夠精力，強化全行的風險意識，督導各部門、各業務條線、各分支機構樹立全方位風險理念，使風險管理成為銀行的活靈魂。要通過廣泛的風險教育，培養所有員工對風險的敏感度，將風險意識貫穿到所有人員的自覺行動中，將風險管理作為一個動態過程融入公司經營管理全過程，并將其提升到一個戰略高度。

三、董事會推動風險管理的著力點

(一)制定風險戰略，確立風險偏好和容忍度體系

風險偏好是銀行對風險的基本態度，包括銀行愿意承擔何種風險，最多承擔多少風險，以何種方式承擔這些風險，是否準備承擔新的風險，以及為了增加每一分盈利愿意多承擔多少風險等等。風險偏好是戰略性的，通常以定性描述為主。而風險容忍度是風險偏好的具體體現，是對風險偏好的進一步量化和細化。風險容忍度涵蓋了信用風險、市場風險、操作風險、流動性風險等所有風險類別，通常包括一整套關鍵的控制指標，如目標資本覆蓋率、VaR置信度、最低資本充足率、最低準入標準、授信集中度等。風險容忍度是在風險偏好基礎上確定的，它是全面風險管理的邏輯起點，如圖2。

董事會在確定風險戰略和推動其實施過程中，應綜合考慮以下因素。第一，風險戰略必須與銀行總體戰略目標相一致。風險戰略必須服從和服務于銀行總體發展戰略，為銀行價值最大化目標服務。為此，其任務不僅僅在于管住風險，更在于通過對各種風險的管理促進銀行的戰略轉型和價值創造。第二，風險戰略需要根據銀行所處的市場環境及自身發展階段適當加以調整。風險戰略應反映宏觀形勢、同業競爭形勢的變化，與銀行所處的發展階段和自身能力特征相適應。第三，風險戰略確定以后，董事會應指導管理層，將風險偏好和風險容忍度分解到各種類別的風險限額管理中去，并以此為依據將風險戰略體現在銀行的資本管理、業務拓展、資源配置等各個方面，使全面風險管理在全行得以推進和實施。

在上述過程中，建立風險容忍度體系是一個承上啟下的關鍵環節。董事會風險管理委員會應根據銀行整體發展戰略，確立統一風險偏好，責成首席風險官研究、提交風險容忍度體系方案。董事會要從戰略和專業的雙重角度，審核風險容忍度體系的全面性、科學性和嚴謹性，并負責將審定后的容忍度體系切實應用于風險管理工作，使之發揮有效的引領作用。

圖2 風險戰略、風險偏好和風險容忍度

(二)完善風險治理架構，為全面風險管理提供體制保障

在風險戰略確定之后，銀行要通過公司治理架構，使風險戰略由董事會傳導到管理層，管理層再據此制定風險防范和內控措施，再傳導到具體業務和經營層面，由此推動風險戰略在全行貫徹落實。

1.風險治理的三道防線。從風險治理架構的橫向看，董事會要構造多道防線組成的風險控制體系。該體系包括三道防線：第一道是前臺業務部門，包括一線工作的營銷人員、客戶經理、產品經理和風險經理等，他們組成風險過濾網的最前端，是風險管理的基礎力量；第二道防線是中臺管理部門，包括信貸審批、貸后管理、預警監控、系統管理、政策研究、資產負債管理、法律合規等，這些綜合管理部門形成了風險管理的中間力量；第三道防線是后臺審計部門，包括內部審計和外部審計，它直接隸屬于董事會，實施垂直化管理。

董事會的各專門委員會分別對口三道風險防線，其中戰略委員會對應第一防線，風險管理委員會對應第二道防線，審計委員會對口第三防線，如此可將決策層與管理層的風險管理職能銜接在一起。

值得一提的是，審計是風險管理的最后一道閘門，也是董事會有效開展風險管理的著力點。董事會要通過垂直化管理機制，加強審計條線的建設。一方面，通過加強評價考核、激勵約束和資源配置，充分發揮內部審計條線的管理監督職能；另一方面，要引入市場競爭機制，促使外部審計機構貫徹執行董事會的管理要求，充分發揮外部機構的財務監督職能。此外，通過強化審計功能，董事會還可以提高信息質量，防止因信息不對稱而出現決策失誤，進而增強董事會在風險管理中的權威性、客觀性和嚴肅性。

2.風險治理的上層架構。從風險治理架構的縱向看，上層架構主要由董事會、高管層和監事會組成。董事會層面，重點是強化其決策職能，發揮專業委員會的作用來制定風險戰略，核準高管層提交的風險政策和管理程序，并對管理層的風險管理活動進行監督。高管層負責實施董事會確定的各項戰略、政策與制度，負責建立責權明確、報告線路清晰的組織結構，建立識別、計量和管理風險的程序，并實施健全有效的內部控制。監事會負責對董事會和高管層進行監督，保證銀行的經營符合法律規定，減少道德風險和內部人控制。

3.風險治理的基層架構。風險治理的基層架構由各業務條線、各個分支機構組成。董事會的任務是在基層架構上建立起一個覆蓋面廣、相互聯系、相互制約的控制體系，使上層架構確定的目標、政策、制度能在基層架構得到傳達和落實。第一，風險管理條線要建立包括操作風險、市場風險、信用風險、資產負債、合規風險等在內的管理部門。第二，向營銷條線派駐風險管理團隊或專員，使之對風險管理部門直接匯報。第三，在分支機構中設立風險管理部門與崗位，并接受總行風險管理條線和分支機構的雙重領導，實施矩陣式管理。第四，設立獨立的審計監督部門，負責檢查、評價風險管理和內部控制的健全性、有效性，審計部門直接向首席審計官和董事會審計委員會負責。

4.選聘首席風險官和首席審計官。鑒于風險管理的重要性和復雜性，我國商業銀行應設專職的首席風險官和首席審計官，這是董事會有效加強風險管理的重要前提。根據國外銀行的經驗，首席風險官和首席審計官在高管序列中占據重要地位，其行政級別應不低于其他副行長。其中，首席風險官由行長提名，經董事會1/2票數通過后方可聘任。董事會選聘首席風險官，應當將其是否熟悉風險管理的技術方法及法律法規，是否誠信、敬業、守法，是否具備勝任能力作為判斷標準。首席風險官直接向行長負責，但履行職責時應保持適當的獨立性，應當定期向董事會及其風險管理委員會報告銀行經營管理行為的合法合規性和風險管理狀況。首席審計官由董事會或其下設的審計委員會提名，經董事會2/3票數通過方可聘任。首席審計官直接對董事會負責，主持全行內部審計和外部審計工作，履職過程中必須保持充分的獨立性。

(三)構建內控傳導機制，增強風險管理的可執行性

在制定風險戰略和完善風險治理架構的基礎上，董事會還要通過建設一系列傳導機制，解決風險治理的上層架構與基層架構之間的聯接問題，使全面風險管理的決策系統、執行系統、監督系統有機銜接起來，保證風險管理的戰略、政策、程序在全行得到有效貫徹和執行。[7]當前，我國商業銀行重點要從經濟資本管理、激勵約束和預警糾偏三方面來加強傳導機制建設。

1.基于風險戰略，建立經濟資本管理機制。經濟資本管理近年來在國際銀行業得到廣泛應用，它是銀行內部優化資源配置、平衡風險與收益的核心機制。董事會所設定的風險偏好和風險容忍度，要落實到具體的資本計量上，并將資本在不同行業、產品、地區和客戶等維度上進行交叉配置，以此體現銀行的風險偏好，引導全行按照整體戰略進行業務拓展、結構調整和戰略轉型。目前，對國內許多銀行來講，建設經濟資本管理機制的重點是從計算信用風險的內部評級法入手，在加強信息系統建設、對業務數據進行積累和篩選的基礎上，構建信用風險計量模型，計算預期損失和非預期損失。隨著風險計量水平的提高，再逐步對市場風險和操作風險進行計量，并進行相應的經濟資本配置，最終使資本覆蓋所有風險類別。簡單講，經濟資本管理機制的實施線路是：戰略制定——風險計量——資本分配——業務發展和結構調整——評價考核——戰略再調整。

2.強化激勵約束機制的導向作用。激勵約束機制是銀行所有機制中最具有導向效應的機制。無論是國家法律規定，還是銀行本身制定的各項政策、制度和措施，只有依靠一個正向的激勵約束機制才能在銀行內部進行有效傳導并得到執行。一方面，銀行在對各業務條線、分支機構進行績效考核和激勵時，要對風險因素和風險戰略執行情況進行重點考核，并在薪酬激勵中加以體現。其有效手段就是在經濟資本計量的基礎上，引入風險調整后資本收益率(RAROC)考核，不僅要考核當期收益，更要將銀行獲得收益所承擔的風險成本和資本成本納入考核，引導全行有效執行風險管理的各項政策和程序。另一方面，要強化對風險責任的追究。無論是決策層、執行層還是監督層乃至操作層都必須履行相應崗位所需承擔的風險管理和內控職責。要形成一個從上至下的監控路線，加強內部審計的獨立監督功能，對各層級履行風險管理和內控狀況進行監督評價。對于不能有效履行職責、違規違紀、對銀行產生風險的行為要依法進行問責。

3.圍繞風險容忍度建立預警糾偏機制。董事會應重視風險管理的過程控制，除了經濟資本管理機制和激勵約束機制以外，還要建立風險預警與糾偏機制，以便對各類潛在風險做到及時發現、及時反饋、及時應對，保證董事會戰略決策的執行效果不打折扣。[8]風險容忍度既是銀行風險偏好的具體體現，也是各條線風險限額執行情況的匯總反映，起著承上啟下的作用，可以作為董事會進行風險管理的戰略工具和傳遞機制。管理層應定期向董事會報送風險容忍度的動態數據，分析評價總體風險狀況和關鍵風險點。在必要時管理層要組織現場檢查，核實數據背后的實際風險狀況，根據容忍度執行數值，有針對性地進行風險排查。如果風險容忍度被突破或即將被突破，就表明風險管理出現了整體性問題，而不是局部問題。此時，管理層須立即向董事會報告，風險管理委員會要作出專業分析和明確指導，同時責成管理層采取行動，以控制風險態勢的蔓延。圍繞風險容忍度建立起上述預警糾偏機制，能夠使董事會的風險管理由一種結果式的管理轉變為過程性管理，使之不僅能夠傳達政策導向，還能風險動態進行敏銳的的預警和前期控制。

參考文獻：

[1]李維安等.現代公司治理研究[M].北京：中國人民大學出版社，1996.

[2]王洪章，張乃忠.現代商業銀行經營管理[M].大連：東北財經大學出版社，1995.

[3]武劍.內部評級理論方法與實務[M].北京：中國金融出版社，2005.

[4]丹尼斯·夫爾頓，杰弗里·佩羅夫著，黃亞鈞譯.現代產業組織[M].上海：上海人民出版社，上海三聯書店，1998.

[5]錢穎一.轉軌經濟中的公司治理結構—內部人控制和銀行的作用[M].北京：中國經濟出版社，1995.

[6][美]斯蒂格利茨.經濟學[M].北京：中國人民大學出版社，1997.

[7]Robert A.G .Monks、N ell Minow著，李維安，周建譯.公司治理[M].北京：中國財政經濟出版社，2004.

[8]王曙光.董事會功能的國際比較及我國的重塑[J].經濟縱橫，2002，(9).