銀行風險管控“四五六”新概念

風險無處不在、無時不有。銀行是經營風險的企業，每時每刻都在與風險打交道，有的風險與金融業務直接相關，如信用風險、市場風險、利率風險、流動性風險等，有的風險與金融業務沒有直接關系，或者說不是銀行業獨有的，如操作風險、法律風險、聲譽風險、信息科技風險等。

認識風險四特性

風險的共同特點就是不確定性，如發生的時間不確定、事件不確定、原因不確定、損失主體不確定、損失程度不確定。以“不確定性”為本質的風險是個動態演進、多維復雜的概念，其主要有如下四個特性:

線性特性

所謂“線性”就是事態的發展方向可控、可測、可知，其變量與函數值之間具有一一對應的關系。銀行風險多數按指數曲線變化，即風險因素與風險值具有成倍增長的關系，指數越大，曲線越陡。當風險因素少的時候，風險值不明顯，但當風險因素增加到一定量時，風險值發生巨大變化。指數曲線最典型的現象是函數值變化超越人的一般想象。曾經有許多智商不低的人接受調查，問一張普通的紙，如果足夠大，對折30次后有多厚，大多數人回答大約有一本字典那么厚，答案其實是230張紙的厚度，厚度已超過一萬米，比珠穆朗瑪峰還高。所以說，指數曲線變化的戲劇性影響由此可鑒。線性特性也稱為乘數法則，在現實生活中運用廣泛，如社會總人口、生態環境中的用水總量、污染物總量、國民經濟總產量、金融系統中的流通貨幣總量、信貸發放總量等。風險的線性特性意味著風險會發生裂變，一個風險要素能復制成另外一個或多個風險要素，在風險累積過程中會呈現乘數效應。線性特性的核心是:風險因素會成倍放大。

非線性特性

非線性是指有的風險事件發展沒有規律可循，即輸入與輸出沒有一一對應的關系，有時輸入一個極小的變量，可能導致一個非常嚴重的后果。非線性理論起源于美國氣象學專家洛侖茲的《混沌學傳奇》，他認為:“一只蝴蝶在巴西輕拍翅膀，可以導致一個月后得克薩斯州的一場龍卷風。”這意味著事物發展的結果，對初始條件具有極為敏感的依賴性，初始條件的極小偏差，將會引起結果的極大差異。

2007年開始的全球金融危機就是蝴蝶效應的生動體現。始作俑者是伴隨美聯儲提升利率引發的美國房屋次級貸款違約率上升，經過一體化金融市場錯綜復雜的網絡連接，在輸出端以信用違約互換等復雜金融衍生產品遭受巨大損失和市場流動性凍結為標志，引發全球金融風暴。所以說蝴蝶效應是一個以小博大，從量變到質變的過程，量變往往不引人注目，質變卻驚心動魄。非線性特性的核心是:風險因素會一鳴驚人。

串聯特性

大家都知道，在串聯結構電路中，如果有十個燈泡串聯在一起，一個滅了，其他九個也會熄滅，因為它們共處于一個鏈條上。從銀行業務操作流程而言，即使諸如普通存貸款等一些簡單的業務，其完整操作流程也會涉及多個步驟，任何一個環節出現問題都可能引發信用風險、市場風險、操作風險甚至聲譽風險。為此監管者必須督促銀行管理者構建“橫向到邊、縱向到底、全覆蓋、無遺漏”的業務流程風險管控體系，實現任何環節出現問題都能及時應對。串聯特性的核心是:風險因素能以一當十。

大概率特性

根據莫菲定律:“如果一件事有發生的可能性，那么這件事必定要發生。”講的其實是一個概率問題，即:一件事如果有萬分之一發生的可能性，那么，重復一萬次后，這件事就必然發生。某一個風險因素導致風險事件的發生是小概率事件，但如果多個小概率事件堆積在一起，那發生風險事件的概率就大大增加了;一個風險因素在什么時間、什么地點引發風險事件是小概率事件，但對整個時空來說，是大概率事件(必然發生)。

這樣的例子在日常生活中屢見不鮮，即看上去是小概率事件，由于沒引起重視，日復一日，最終成為必然事件。如醫學研究表明，人的脊柱是由多個椎體連接而成，最有利的狀態是，要么與地面垂直，要么與地面平行，如果經常處于其他狀態，脊柱損壞的可能性比較大。如果一次坐姿不好有十萬分之一損壞脊柱的可能性，那么天天坐不好，脊柱損壞的可能性就是100%了。對于一次坐不好損壞脊柱的概率是小概率，但是不良習慣帶來的損壞就是大概率事件。很多風險事件，都是小概率的積累，要么是同一種小概率事件多次重復，要么是多個小概率事件綜合成因，看似小概率事件，其實是大概率事件。

作為銀行來說，本身就是經營風險的行業，承擔風險是天經地義的，但如何對待小概率風險卻大有文章，如果沒有強烈的防風險意識，對小概率事件熟視無睹，那么大風險必定來臨。農業銀行邯鄲分行金庫被盜案就是一個典型的例子，大家對守庫員的行為都習以為常了，認為不會發生問題，短時間內不一定發生，但天天都這樣麻痹，甚至麻木，驚天大案必然發生。大概率特性的核心是:風險因素會積小成災。

管控風險五步曲

莫菲定律中提到，要讓風險事件不發生，必須消除其可能性。但對銀行來說，完全消除可能性是不現實的，除非不要開銀行。那么如何管控銀行風險呢?根據風險四特性，可以將大概率事件分解成若干個小概率事件，對小概率事件分別控制，就能實現風險防控的總體效果。具體來說按以下五個步驟管控風險，能獲得良好效果。第一，分解風險源;第二，尋找關鍵因素;第三，減少風險點;第四，降低風險值;第五，防災加備災。

分解風險源

任何風險事件的發生都是由多種可能性的組合形成的，一般來說，風險事件主要由人、物、環境、氣候等諸多因素造成。首先要從源頭對這些風險進行分解，可以從最主要的風險源開始如剝筍般逐層分解，按直接原因和間接原因，逐級細分。

我們分析總結2007#12316;2008年全球金融危機爆發的原因時，可以發現金融體系的幾個組成部分都存在風險源，如在金融市場層面，缺乏信用衍生品等場外金融衍生品的中央結算系統，造成交易對手信用風險防控的最重要樞紐缺失。在金融機構層面，現有的公司治理結構無法有效解決道德風險問題，過度掛鉤短期利潤的薪酬激勵結構鼓勵金融機構管理人員和員工在“負贏不負虧”的問責機制下承受不必要的過量風險。在金融監管方面，長期關注個體機構安全的微觀審慎監管缺乏整體宏觀視野，無法有效防范系統性風險。通過以上方法可以找到許多與風險事件相關的風險源頭。

尋找關鍵因素

任何一件事的發生及發展，可能存在多個風險因素，但總有一個是最主要的，找到了主要因素，就掌握了事件的本質。由于人們對客觀事物的認識有一個過程，有時找不到或找不準主要因素，有時找到的是偽原因。

如某工廠的沖床車間，經常發生沖錘把工人的手指砸斷事件。每發生一次事故，車間主任都要給廠長寫一份檢討，主要內容不外乎安全意識淡薄、規章制度不落實、現場管理混亂、崗位職責不清、監督檢查不力等，但事故還是經常發生。由于沒有找到發生事故的真正原因，因此只能是事故、檢查、整頓、再發生事故的悲劇周而復始地重演。找不到發生問題的真正原因，就不能從根本上解決問題。其實該車間發生砸手事件，并非工人安全觀念淡薄，試想有誰不愛惜自己的手呢?關鍵問題是，人的反映速度沒有電流快，而且人通常會出錯，這是不以人的意志為轉移的，要從根本上解決這一問題，必須解決人不出錯的問題。根據莫菲定律，只要有出錯的可能性，則事故必定要發生，若要類似事故不發生，必須消除其可能性。后來工廠技術人員通過技術革新解決了這一問題。他們把沖床的起動按鈕改成雙手控制，只有兩只手同時按下按鈕，沖錘才起作用，這樣，工人再也不會因雙手不協調而被砸手了。技術改造后，工廠不需為此搞教育了，車間不需張貼各種宣傳標語了，車間主任也不需為此寫檢討了。

減少風險點

風險分可控和不可控兩大類，將可控風險因素盡可能減下來，就是對提高安全度的貢獻。根據莫菲定律，要讓風險事件不發生，必須消除其可能性。構成風險的主要因素找到后，就可以對這一因素的原因進一步進行細分，將導致這一風險因素的可能性減掉。

比如駕車風險，盡管原因很多，但最主要的威脅來自該剎車的時候剎不住車這一核心原因，所以要對這個風險因素予以根本解決。車剎不住的原因主要有兩個:一是人沒有做剎車的動作，二是剎車不靈。人沒有剎車的原因可能是人沒有剎車的意識，也可能是反應速度慢;剎車不靈的原因，可能是剎車系統故障，也可能是車速太快，使剎車效率下降。要解決以上問題，主要是解決人的問題和車的問題。

所以，要確保車輛不發生大的風險，必須堅持以下五種情況不開，即“酒后不開、心情不好不開、休息不好不開、身體不好不開、車況不好不開”。做到“五不開”，就相當于減少了行車的五個風險點。這一方法適用于任何形式的風險控制，只有消除了那些對風險有直接關聯的風險點，整個風險程度才能降低。

降低風險值

有一類風險點雖然對整個系統安全影響大，但無法消除，如果消除了，意味著效益也消除了。這一類風險點，就要采取降值的方法，以減輕對整個系統的影響。如開車中的剎車效率問題，最安全的方法是永遠剎住車不讓車行走，但這樣行車效率就為零，風險控制沒有意義。為了降低風險，又要確保效益，必須采取“雙降”的方式，即風險和效益同時下降。具體來說，對于行車中容易發生事故的地方，應該把車速降下來，以犧牲部分車速為代價，來降低風險值。另外，對提高效率沒有幫助但對風險有較大影響的風險點，要堅決減掉。如開車中的“英雄車、賭氣車、違章車、違紀車、無德車”等，對行車效益沒有影響，要堅決杜絕。

銀行經營中的信用風險、操作風險、聲譽風險等，也可使用類似的方法，將不能消除但對整體風險有重大影響的重要節點，采取降值的方法，以減少風險發生的可能性，或者減輕損失程度。如銀行通過控制部分時點的杠桿率，收緊部分行業的信貸、限制特定行業和地區的信貸投放規模等等，以降低風險敞口。

防災加備災

對于可控風險，經過以上四步努力，已將風險程度降到最低，但是，并不意味著風險完全消失。有的風險只是頻率降低，但還會發生，有的風險只是損失程度降低，但仍然會有損失，有的風險是人們難以抗拒的。那么，對那些無法預測的風險，則要通過制定應急預案和災備方案以及事件發生后的具體處置措施來盡可能地減少損失，使風險發生時做到“臨危不懼”和“臨危不亂”。

例如，為防止重大自然災害和意外事故發生導致銀行支付結算系統中斷，監管部門督促各法人金融機構在總部注冊地以及之外的異地建立數據備份中心，以維護支付系統的安全。無論是哪一個領域的風險控制，都必須做最壞的打算，在條件允許的前提下，做最極端的壓力測試，以積極的態度面對風險，以充分的準備應對風險，讓風險真正發生時，損失降到最低。災備的核心原則是:“根據常識可以預見的災難一定要預見到，預見到的災難一定要做好充分的災備。”

預防風險六措施

以上五步曲都是在面臨風險或風險發生時如何應對和控制的方法，猶如兩軍作戰，是如何打仗和如何打勝仗的問題。對軍隊來說，打勝仗固然重要，但不是最重要的。我國古代兵圣孫子說:“百戰百勝，非善之善者也;不戰而屈人之兵，善之善者也”。防范風險也是如此，風險來了，讓風險程度降下來，把風險損失減下來，是我們追求的，但并非最高境界。最高境界是讓風險不發生，或遏制在萌芽狀態。對于金融系統來說，把風險防范關口前移是積極的和科學的態度。如何才能讓風險盡可能地避免呢，以下六項措施是可供遵循的黃金法則:

治理與管理相結合，治理在先

治理與管理的區別在于:治理更側重于體制、編制、架構、結構方面的調整，更具戰略性、宏觀性、永久性;管理側重于制度規定方面的建設，更具戰術性、微觀性、即時性。治理與管理在風險控制中都占十分重要的地位，但就二者比較而言，應該把治理放在第一位，結構具有決定的作用。例如金剛石與石墨，都由碳原子構成，由于原子結構不同，呈現出完全不同的品質。治理包括公司總體架構、人員編成、職能分工、硬件設施建設總體規劃等，需要長遠眼光和科學構想，例如構建分工合理、職責明確、相互制衡、報告關系清晰的組織結構非常重要，戰略決策一旦作出，就要堅決貫徹，長期堅持，不可朝令夕改。管理則是與日常工作緊密相聯的，是最大量、最經常性的工作，對風險控制有著直接的影響，也不能忽視。

防災與備災相結合，備災在先

防災就是風險防范，是每時每刻都需要做的，但是，防災不能替代備災，因為有些風險不是以人的意志為逆轉的，況且根據莫菲定律，只要存在發生風險的可能性，那么風險事件必定要發生。風險防不勝防，防無止境，只有平時做好了充分的準備，才能有備無患，使損失降到最低。但是，備災也永遠不能替代防災，不能因為有了備災就放松了防災。

防天然與防人為相結合，防人在先

從各行各業發生的風險事件統計看，大約有20%來自自然因素，如地震、海嘯、惡劣氣候等引發，有80%來自人為因素，如人為破壞、瀆職失職、意識不強、能力不足、操作失誤、考慮不周等引發，可見人禍多于天災，防人為因素應該成為風險防范的重點。銀行信息科技風險管理，除了自然因素和設備固有因素帶來風險外，人為因素是主要的，有設計環節、組裝環節、運營環節、維護環節、使用環節、管理環節、外部侵入、人為破壞等幾十個風險點，這一些都與人的因素直接相關。

防內部人與防外部人相結合，防外在先

能夠對銀行構成威脅的人群有內部人(包括領導層、業務員、技術人員、警衛人員、勤務人員等)、關聯人(包括設備供應商、運營商、開發商、審計部門、競爭對手等)、外包人員(包括運營、工程外包)、客戶(包括銀行儲戶、貸款人、擔保人、理財委托人等)、社會人(與銀行無關的人)、黑客(包括攻擊、侵入、盜竊銀行的人)、敵人(包括仇視社會、惡意破壞、制造事端的人)。以上七類人群中，除了第一項是內部人外，其余六類都是銀行以外的人，對這些人的防范難度更大，付出的成本也應更高。所以，在規劃、預算和人員安排上，要把防外部作為重點，如網上銀行和信用卡的安全，要把防黑客侵入，防外部欺詐、防竊取密碼、防偽造變造信用卡等作為重中之重。

管物與管人相結合，管人在先

作為內部管理來說，管人和管物都很重要，但管人的難度更大，情況更復雜，因為人有思想，物是由人來操控的。人的因素很多，粗略地分有主觀故意與非主觀故意兩大類，主觀故意有三種情況比較常見:一是政治失信，如被敵對分子利用、拉攏、收買等，出賣信息、出賣尊嚴、出賣靈魂，成為對立面。二是道德失守，如經不起各種利益的誘惑，失去信用，主動伸手走上犯罪道路。三是心理失衡，包括仕途失意、情感失落、家庭失和、身體失調、社交失群、生活失望等引起的對社會、對領導、對同事的不滿或仇視，做出危害公眾利益的事情。非主觀故意的情況更加復雜，如安全意識淡薄，認知水平欠缺，技術技能落后，習慣作風不良等，都能引起人為因素風險。

因此，在對人的管理上要把好七關:一是選人關，選有德、有才、有事業心、有責任感的人到重要崗位。二是用人關，人盡其才，才盡其用，用其所長，用當其時，用當其所。三是教育關，加強對全員的世界觀、人生觀、價值觀、職業操守、企業文化方面的教育，增強責任感、使命感。四是培訓關，加強對全員的理念、觀念、意識、精神、技能、習慣等方面的培訓，全面提升素質。五是管理關，制定嚴密的規章制度，并狠抓落實。六是控制關，建立科學、有效、合理的工作流程，使其相互制約、相互牽制。七是監督關，充分發揮好內部控制、內部審計、外部委托審計三道防線的作用。

技術防范與制度防范相結合，技術在先

再好的制度也要靠人去執行，而人的思想是變化的，具有不穩定性，因此，能借助技術手段防范的，一定要把技術手段用足用好。運用技術手段防范是最省力、最有效的，如前面所述的沖床改造，是技術防范的典型例子，又如電子計算機電源接口，最早的計算機容易將正負極接反，當時盡管想了許多辦法，但接反燒機器的事件屢有發生，后來發明了梯形結構的插座，就再也不用擔心正負極接反的問題了。

后金融危機時代，巴塞爾銀行監管委員會高舉“四把刀”對商業銀行加強控制:一是提高資本充足率和資本水平及質量;二是嚴格執行杠桿率;三是嚴格的流動性控制;四是實施動態撥備。這些都是屬于技術手段，在風險防控中能起到較好的作用。銀行經營中建立完善的機制，從流程上嚴格控制每個環節的風險，也屬于技術手段。總之，技術手段的嚴密和先進，在風險管控中能起到舉足輕重的作用。

(作者系中國銀監會培訓中心副主任)