【杂志微阅读】黄志凌：重视银行信用风险管理的顶层设计——基于国际大型银行经验的思考

21世纪初，国内大型银行在完成重组改制与上市融资后，通过引进战略投资者，将当时国际领先银行风险管理模式嵌入新的银行运营机制。其中，“贷款独立审批人”制度被广泛采纳，甚至在一定程度上被认为是国际领先银行信用风险管理的本质体现。然而，梳理国际大型银行风险管理实践与发达经济体银行监管要求，笔者认为，有效的银行信用风险管理模式并不是用“嵌入贷款独立审批人”可以概括的，而是一个涵盖治理框架、组合管理、操作流程、数据与系统建设的系统性信用风险治理体系。

为此，本文在系统总结国际领先银行（尤其是国际金融危机后）信用风险管理最佳实践的基础上，提示业界关注风险偏好、组合管理、“三道防线”等有效信用风险管理内在要素的关联性，旨在为我国银行信用风险管理的顶层设计提供系统参考。

近似一致的信用风险治理框架

过去普遍认为，不同银行的风险治理架构各有差异，即使是以信贷业务为主的商业银行，其信用风险治理结构也各具特色。但实证研究的结果表明，银行信用风险治理架构几乎高度趋同，虽然个别术语存在差异，但都涵盖风险文化、风险偏好、风险管理体系等方面。进一步观察发现，全球主要发达经济体监管部门对于银行信用风险治理架构的监管重点虽各有侧重，且各家银行在满足监管要求的前提下，也会基于基本逻辑设计出更适配自身经营特色和业务结构的信用风险治理架构，但架构主体框架基本相同，核心要素主要包括以下八个方面。

稳健的信用风险文化。风险文化是银行的共同价值观、态度、能力和行为，塑造并影响治理实践和风险决策，对于建立稳健的风险治理体系至关重要。在塑造稳健的风险文化、增强风险意识的过程中，董事会发挥带头作用，需向全体员工、合作伙伴传递期望与价值导向：志存高远，追求商业价值与社会价值的统一；诚实守信，与客户往来都以信用为本；了解风险，确保风险可理解、可识别、可计量、可承担；恪守职责，有责任在既定风险偏好和限额内操作。高管层则在信用风险文化建设中承担具体落实的责任，牵头推进并加强稳健的风险文化建设，建立健全配套的激励与约束机制，并及时识别、报告和解决超出风险偏好的重大风险和冒险经营活动。

适宜的风险偏好体系。商业银行资产规模扩张、盈利增长、市场份额提升等战略目标，体现着一定的风险偏好，而风险偏好通过明确“愿意承担什么风险、承担多少风险、在什么条件下承担风险”，为战略落地划定刚性风险底线。风险偏好的设置由董事会自上而下领导、管理层及各部门自下而上参与推动。风险偏好体系涵盖定性和定量两个部分，定性部分描述安全和良好的风险文化，界定风险评估和接受的原则；量化目标包含完善的压力测试流程，解决银行的收益、资本和流动性问题。风险管理部门应建立与风险偏好相一致的政策，明确集中度风险限额等核心指标，细化整体风险识别、计量、监测和控制的实施细则，开发及时、完整的管理信息系统。风险偏好声明应向全体员工传达，以确保员工的风险决策与银行风险偏好要求保持一致。

明确董事会风险管理职责。董事会负责监督风险管理体系的设计和实施，监管部门会定期对董事会进行独立评估，确保风险管理框架的有效性。董事会负责批准风险偏好、风险限额，推动风险偏好在行内全面传达并执行。董事会应对风险管理体系实施有效监督，确保体系具备风险识别、计量、监测和控制的功能。若银行未设立首席风险执行官（CRE），银行应指定具备专业资质的人或委员会监督银行整体的风险管理流程。同时董事会应负责建立高度重视合规、压实管理责任的风险文化，确认内部控制体系健全有效，定期审阅银行内部控制和信息系统运行情况，并对银行的IT基础架构、固有风险和现有控制措施有充分的了解。

强化管理层职责。高级管理层应确保董事会充分了解风险水平和风险走势，组织实施银行或控股公司发展策略，制定与战略目标相匹配、明确银行风险偏好的相关政策，保障战略方向与风险偏好在全行有效传导并执行。也就是说，高级管理层应确保资本充足水平和流动性状况与银行风险状况相适应，保障短期和长期增长发展规划具备抵御经济下行压力的能力。可根据需要设立资产负债管理、信贷、合规、IT等相关专业委员会，强化对银行日常经营活动的监督管理。

加强“三道防线”建设。第一道防线是产生风险的前台部门，作为风险首要承担者，承担风险评估和管理职责。第二道防线独立于前台部门，主要履行风险监督与评估职能。第三道防线是审计，负责为董事会提供关于治理、风险管理和内部控制有效性的独立保证，审计形式可以是内部审计、外包审计或联合审计。其中，内部审计部门应对银行的所有重要流程、产品线、服务和职能进行完整、及时地审计，评估与每一项相关的风险，包括新出现的风险。

不断重检风险管理流程。风险管理流程通常主要包括风险识别、风险计量、风险监测、风险控制。董事会或审计委员会应对银行总体风险治理和风险管理实践进行定期评估，检验流程适宜性，发现流程缺陷并及时进行完善。良好的风险评估流程有助于在早期阶段识别新出现的风险。

制定体现风险偏好的信用风险政策。各银行都应针对重大经营活动和核心风险制定专项政策，对于大型、复杂的银行应有更详细的政策。风险政策应与银行发展使命、风险偏好和核心价值观保持一致，由董事会审批，管理层负责制定和实施政策，明确责任，并定期审查政策有效性。需要特别注意的是，在推出新业务、新产品、新模式前，必须建立适当的政策和程序，明确业务标准、岗位职责、操作流程和内部控制要求，确保将风险控制在合理可承受范围之内。

有效的控制体系。控制体系一般包括内部和外部审计、风险审查、质量控制和质量保证以及信息系统等。控制职能部门应具有明确的报告路线、充足的资源以及适当的访问权限和授权。风险管理人员和审计人员应保持充分的独立性和良好的职业道德，通过职位描述、考核评价强化员工的履职问责。

内部控制的有效性通过风险审查和审计计划来评估。风险审查包括贷款审查、压力测试、合规审查和回溯测试等，由管理层结合银行实际确定。审计计划作为独立的控制职能，负责验证风险管理体系的有效性。

各具特色的组合层面的信用风险管理

国际行业专家认为，单一资产风险管理易忽视跨业务、跨领域的风险关联，如房地产行业波动对上下游信贷的连锁影响。而组合管理通过全景式风险监测，可精准识别集中度风险（如单一客户、行业、区域敞口超标）和系统性风险隐患（如宏观经济周期、政策调整引发的整体风险）。通过设定组合风险限额、动态调整资产结构，银行可降低局部风险集中引发的“多米诺效应”，提升抵御宏观经济波动、市场冲击的能力。《巴塞尔协议》也明确要求银行计提组合风险资本，其本质就是通过组合管理强化银行整体的抗风险韧性。信贷组合层面的风险管理的要求，集中体现在贷款组合管理和信贷风险集中度管理两大方面。

就贷款组合管理而言，基本原理是在信用风险文化和偏好框架下，建立本机构信贷资产组合管理体系。该体系将信贷、类信贷、投资理财等业务纳入组合管理范围，确保与信用风险文化和偏好的一致性。一是合理划分信贷组合管理维度，可按贷款类型、行业、地理位置、结构、抵押品、期限、违约及损失风险等划分，重点识别各细分市场的风险特征及内在关联。二是建立贷款组合目标，利用贷款组合目标来建立风险容忍度。为此，应定期评估业务和营销计划是否与贷款组合具体目标一致。当接近风险容忍度界限时，应评估原因并采取适当的措施；对于超出风险容忍度界限的，应制定应急计划。三是为银行贷款活动设定组合限额，在限额设定时，应综合考量本机构各组合的历史损失、损失吸收能力、期望的投资回报，以及特定行业或贷款组合特定部分对整体贷款组合风险的潜在影响。四是开展信贷资产组合压力测试，对关键贷款组合在压力下的表现进行评估。可参考的压力情景包括利率变化、价格冲击、经济周期波动，以及技术、政治或社会领域的变化等。当压力测试结果超出风险偏好时，应制定应急计划，包括加强监控、限制贷款组合增长，以及对重要单一交易或关键贷款组合采取对冲或退出策略。五是建立信贷资产组合监控机制，定期监控信贷产品、客户、行业、机构、区域、国别等各个维度的信用风险状况，包括风险水平与变化趋势、集中度、收益情况、押品覆盖情况、外部评级变动、监管变化及外部形势等。六是制定信贷政策的例外管理规定，信贷政策应明确解决例外情况的处理原则，说明何种情形下例外可被接受，并明确对例外情况的识别方法、风险缓解措施以及记录方式。七是建设支持信贷资产组合管理的信息系统，使银行能够对贷款组合进行细分，并更准确地评估各类风险。

就信贷集中度管理而言，重点是建立全面的信贷集中度管理框架。首先，应解决信用集中度风险识别问题。应系统识别可能影响本机构信用集中度风险的潜在事项或因素，清晰把握不同业务条线下同类风险暴露所累积形成的整体信用集中度风险，并分析潜在事项或因素对信贷资产组合的影响范围。

其次，应充分考虑各类风险之间的关联性，系统开展信贷集中度风险评估。可综合采用定性、定量等方法从多个维度充分评估本机构面临的信用集中度风险水平，包括但不限于行业、客户、区域、产品、押品、期限、评级、资产风险分类等。

最后，应构建信贷集中度管理的有效流程，以识别、计量、监控和控制集中度风险。例如，可根据贷款池的风险来构建集中管理流程，使所承担的风险程度与特定信贷集中度的风险水平相匹配。定期审查规模较大、风险较高的组合间的相关性，有效防范因不同组合风险同向变动而导致的风险集中度放大；持续监测、跟踪信用集中度风险的关键因素及信用风险水平的变化趋势，将限额作为重要的控制手段，分析各类信用集中度风险限额的使用及违反限额情况，并提前制定转让资产、组织银团、资产证券化等风险分散对策；当某一维度的信用风险集中度水平达到预设阈值时，应及时预警并提高监测频度，并同步提出集中度管控方案或风险缓释措施；当信用风险集中度水平接近监管要求时，应启动相应的纠正措施和报告程序，并采取必要的风险分散措施。

数据与系统的风险管理基础设施建设

国际大型银行在风险管理体系建设中高度重视数据与系统建设，核心原因在于数据和系统是实现精准化、全流程、前瞻性风险管理的底层支撑，既能满足监管要求，又能适配全球化、复杂化的业务场景，最终实现风险与收益的平衡。尤其是现代信用风险管理趋势从“被动适应”向“主动选择”转变后，通过机器学习、大数据分析等先进技术，银行可以基于企业的现金流、供应链数据、舆情数据，提前预判企业潜在的违约风险；或基于对交易员操作行为数据的深度分析，识别异常交易，防范内部欺诈风险。

监管者也高度重视金融机构的数据整体架构与数据透明度。具体而言，要求银行建立统一的数据分类体系和命名规则，确保法律实体、交易对手、客户和账户等要素均具有唯一标识；建立保障数据质量的管理架构，明确业务条线作为数据所有者的职责，并推动覆盖整个机构数据真实性与质量保障的项目和计划。同时，建立统一的财务、风险及监管数据的存储体系。在数据质量管理方面，必须建立健全的责任机制，明确业务和IT部门是风险数据的所有者，确保前台部门按照数据定义准确采集数据。数据所有者应与风险管理人员密切合作，实现对数据全生命周期和技术基础设施的有效控制，具体包括：通过验证和校对确保数据真实、准确；建立业务术语字典，保障集团层面定义的一致性；完善对账机制，确保风险数据与会计数据的差异可被合理解释；定期开展数据检查，及时修正数据问题；提升风险数据加总的自动化水平。此外，风险数据应具备充分的覆盖面和时效性。一方面，须确保数据能够覆盖各业务条线、机构、资产类型、行业、地区及其他组合层面的重要风险信息；另一方面，应制定明确的风险数据时效性策略及报送频率要求，确保年报披露、监管报表和管理层的报表能够满足时效性要求。

监管者对管理信息系统提出原则性要求，即系统必须能够在正常时期和压力时期有效支持银行风险加总和报告工作。具体而言，有以下五方面要求：一是及时性。系统应具备快速收集和编辑数据、加总结果以及纠正错误的能力，确保信息能够及时传递给相关使用者。二是准确性。应在所有信息处理环节嵌入完善的自动化与人工控制机制，确保信息均经过检查和校验。三是一致性。为确保信息的可靠性，应对数据进行一致、统一的处理和汇总。鉴于数据收集和报告流程可能随时间推移而变化，管理层应建立稳健的程序，以适应系统变化。四是完整性。系统应能够获取并加总所有重大风险敞口，包括表外风险敞口。数据应按业务条线、资产类型、行业等维度进行分组和呈现，以准确识别和报告风险敞口、集中度及新兴风险，满足风险决策对信息全面性与概括性的要求。五是有效性。提供给管理层的信息应具备决策价值，不适当、不必要或过于烦琐的信息均属于无效信息。信息的有效性和详细程度，应与决策人员的需求直接相关。

值得关注的是，2008年国际金融危机之后，全球银行业在IT革命和AI技术进步的驱动下，信贷风险管理信息系统建设取得了长足进步，数据收集、存储与处理能力也实现了跨越式提升。以一体化信贷风险管理信息系统为例，在数据层面，新技术的应用打破了银行内部信贷、零售、公司等部门的数据孤岛，同时整合了企业征信、工商信息、司法公示等外部数据，显著提升了数据收集的全面性和时效性；在处理层面，借助大数据建模和机器学习算法，银行可以对借款人的还款能力、还款意愿进行动态评估，甚至提前识别潜在的违约信号，如企业现金流异常、关联企业风险传导等，将风险预警从“事后处置”前移至“事中监测”和“事前预防”。（编辑：安嘉理）