商业银行托管业务全程监控风险管理体系探讨,本文主要内容关键词为:商业银行论文,全程论文,管理体系论文,风险论文,业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着合格的境外机构投资者(Qualified Foreign Investment Institution,QFll)正式运作的开始和投资的增加,越来越多的境外机构把投资的目光转移到中国市场,国内商业银行托管部门对QFll托管业务的竞争也越来越激烈。在境外投资者积极寻找境内合作机构的过程中,纷纷向国内有托管业务资格的商业银行发出了调查问卷。通过对调查问卷的回答,笔者发现境外投资机构非常关注国内商业银行的风险防范措施和风险管理体系,这也促使笔者对商业银行托管业务的风险管理体系进行了一些思考。
一、国外商业银行托管业务的发展情况
在国内商业银行托管业务刚刚起步的今天,国外的托管业务已经形成了较为成熟的业务模式。国外商业银行托管业务发展的过程并不是一帆风顺的,也曾出现了各类业务风险,并使得国外商业银行非常重视风险管理,从而形成了较为完善的风险管理体系。通过学习国外专业托管银行对风险管理的策略、风险管理的理念、组织结构、风险管理体系和相关工具模型,我们可以正确认识风险管理和有效实施风险管理。
(一)托管业务的特点及风险管理
全球托管的概念产生于1974年Chase Manhattan(现在为JPMorg an Chase)的管理者们为机构投资者提供的一种在海外市场的特殊服务。目前大约有60多家遍布全球的托管银行,且仅排名前五位的全球托管人托管金融资产约33万亿美元,在全球100多个投资市场上提供部分或全部的托管服务。实际上,全球托管服务的广度和深度,早已经超过了为机构投资提供管理服务、减少多边交易风险和降低投资复杂程度的范围。由于托管业务具有不增加资产负债、与自有资产区别管理、收益安全稳定等特点,因此,在短短几十年时间出现了很多专业的托管银行,如美国道富银行(State Street)和纽约银行(The Bank of New York)。道富银行作为全球最大的托管银行之一,是共同基金和养老金的最大托管人,也是全球外汇交易的最大服务商之一和全球排名第七的投资管理人,提供机构投资和个人投资的专业投资管理和托管服务;纽约银行也是全球最大的托管银行和证券存托银行之一,根据2003年年末的排名情况,仅次于道富银行排名第二(注:纽约银行在ADR(存托凭证)海外上市方面,自1993年上海石化首家以美国存托凭证形式在纽约股票交易所上市以来,纽约银行已代理了38家中国公司的40项存托凭证项目。目前,纽约银行在中国的市场份额占75%,如中国铝业、中国移动、中国联通、中国石油及网易等国内公司就是利用纽约银行发行的存托凭证实现了在美国上市。)(见表1)。
表1 全球商业银行托管资产排名(亿美元)
排名 银行
全球受托资产 参考日期
1
State Street94000
2003年12月31日
2
The Bank of New York83000
2003年12月31日
3
JPMorgan
70980
2003年12月1日
4
Citibank N.A.
63810
2003年12月31日
5
Mellon Group35000
2003年6月30日
6
UBS AG
23550
2003年12月31日
7
Northern Trust
22000
2003年12月31日
8
BNP Paribas
21670
2003年9月30日
9
Global Investor Services
13110
2003年9月30日
10
Société Générale11650
2003年12月31日
资料来源:http://www.globalcustody.net/default/custody_assets_worldwide
随着托管业务的发展,托管人由原来仅仅提供的证券价格变动监控,物理凭证的保管、交易结算、收益归集和公司讯息处理等核心服务,发展到税金返还、代理投票、基金或投资组合的会计核算和开放式基金的定价、基金绩效评估等增值服务。在托管人提供服务过程中,由于托管费率很低,而交易涉及资金数量较大,这使得托管业务不能出现一丝的差错,否则将会导致巨额的赔付和损失,因此托管业更需要关注风险管理(注:当纽约银行的前台业务系统和备份业务系统在9·11事件中被摧毁之后,人们毫无疑问地增加了对托管人的风险管理和灾难恢复的关注。一个运作良好的托管人要有完备的风险管理系统和灾难恢复计划(业务应急计划)。9·11事件同时对风险管理提出了新的要求,提醒了人们对灾难恢复计划需要经常测试,备份计算机系统应该在一个距离目前操作环境足够远的地方建立。风险管理成为人们挑选托管人时的一个非常关键的因素。)。由于每个公司具体情况不同,不同的公司有着不同的风险管理体系,所以没有一个标准的风险管理体系。但国外的风险管理体系一般会包括公司风险策略、风险识别确认流程、风险量化、风险检查评估方法、风险管理框架、系统监控和报告等内容。
(二)道富银行的风险管理体系
道富银行十分注重对风险管理的投入和建设,具有十分完善的风险管理体系和业务应急计划。为此,下面以道富银行为例,介绍国外资产托管企业的风险管理体系。
1.风险管理部门组织结构和职责(见图1)。道富银行的风险管理遵循以下原则:风险管理是业务运作部门的基本职责;有效的风险防范计划并不只是运作部门参与,协调和监督部门也要参与;采取综合性的、制度化的措施来进行风险管理;进行整个公司范围的风险管理。从职责看,董事会在风险管理上主要是建立并检查风险管理的政策和指引,进行审计检查;执行委员会主要是界定主要风险,制定应急计划;专业委员会主要是进行信用检查、公司合规性控制以及国家和客户风险评估;信用和风险策略部门则是帮助业务运作部门辨别、研究和管理风险,对业务运作部门提供支持并负责不同的风险管理;公司监控部门协调全公司的合规性监察任务;运作部门的负责人员需要有足够的业内经验和市场知识,来理解产品或服务中隐藏的风险,因为风险管理计划主要由他们来执行和完成。
图1 道富银行风险管理的组织结构和职责
2.管理计划的制定。实施有效风险管理计划的前提是高级管理层的支持、操作人员的合作、保持定期的交流、操作人员的信任和具有丰富风险稽核经验和知识的专业人员。道富银行在风险管理计划中使用工具RMSAP(Risk Management Self-As-sessment and Plan)。RMSAP的内容主要包括:(1)概述,执行总结;(2)客户风险概述;(3)风险管理调查和问卷;(4)重要事项;(5)风险管理计划,包括风险管理流程以及稽核和维护流程。RMSAP的工作流程为每年年初制定计划,全年监控;管理层和操作人员要积极参与;高级管理层认可和批准;定期检查和报告。风险管理计划制定程序是确定业务目标、评估有关风险、制定附加控制、综合所有风险来组成RMSAP;风险稽核部门和业务操作部门共同确认关键流程、目标、风险和控制手段;评估每一个处理流程的控制是否充分;在每一个经过确认的控制措施的基础之上制定风险管理计划。
3.风险管理的监控。风险管理的监控,主要是实施自我测试和运用稽核工具来监控操作流程和控制的有效性。风险管理的监控关注以下几个关键的风险指标:是否充分执行了控制或报告;是否存在亏损或潜在的亏损;已经形成的利润或损失;员工的人事变动情况,会计师和员工比例高低,超时工作情况;老员工的期望;业务或丢失的业务;业务应急计划和业务恢复计划。
4.控制矩阵(Control Matrix)。控制矩阵是详细定义风险管理控制内容的表格(见表2),主要包含了关键的业务过程及其子过程、过程目标、过程存在的风险以及针对风险应该采取的控制措施等。业务目标、风险和关键控制的分析适合每个过程或子过程;风险敞口分析在每个登记的过程信息里详细说明;关键的控制是理想的也是必需的控制,任何风险敞口都被标识出来并做详细的分析。风险管理监控的自我测试程序为:业务部门在控制矩阵的基础上和风险管理人员共同制定自我测试计划;定期做计划的检查和更新;风险及合规性监察与运作联合执行及管理;风险及合规性监察经理对测试做检查和测试结果归档;提交特别报告给高层管理者并做出审查及修正措施。
表2 自我评估过程
通过对道富银行风险管理体系的简介,我们可以看到,国外金融机构对风险管理给予了高度重视,制定了风险管理政策、风险管理原则,建立了风险管理组织和风险管理流程,提供了风险管理报告和风险监控措施。在具体实践中不仅有风险的控制措施,还有报告机制;不仅着重风险的防范,同时对风险管理体系本身的建设也提出了明确的要求。这一切均对我国商业银行托管业务建设风险管理体系提供了一定的参考价值。
二、我国基金托管风险管理现状和问题
(一)国内基金业及托管业务现状
自从1998年我国证券投资基金业规范运作以来,以证券投资基金为业务依托和基础发展起来的国内商业银行的托管业务得到了迅猛的发展。基金管理公司由1998年的6家发展为2004年的33家,加上正在筹建的年内可达50多家;基金资产由1998年的5支基金、资产约100亿元,发展为2004年3月份共有证券投资基金125支(其中封闭式基金54支,开放式基金71支)、资产规模达到2700多亿元。国内基金业的快速发展,带动了国内托管业务的高速增长,目前国内有8家商业银行可以从事资产托管业务(各行的市场占比见表3)。托管业务的发展不仅体现为市场份额的扩大,在产品结构上也趋向于多品种和多模式。除了证券投资基金外,先后出现了集合理财计划、产业基金、收支账户、QFll和保险公司投资性产品等托管服务。特别是QFll的推出,使得国内商业银行的托管业务直接面向国际金融市场的客户,也将国内商业银行与发达国家银行在市场营销、管理理念和风险控制措施等方面的差距暴露得更加明显。按照入世承诺的开放步骤,外资银行在国内提供托管服务已经变为现实。外资参股的基金管理公司和外资托管银行均来自成熟的资本市场,它们的进入将增加国内市场的竞争力,同时对国内商业银行也提出了更高的要求。
(二)风险管理现状
目前,国内的商业银行托管机构在风险管理上只有一些零散的管理制度,甚至有的托管机构连基本的制度都不健全。造成这些问题的主要原因有以下三个方面:
1.风险意识淡漠。风险管理是公司上下每一个员工的责任,是每项业务运行不可分离的职责。而国内托管银行内部员工,特别是操作岗位的员工并没有深刻意识到这一点,认为风险管理是内控人员的职责所在,跟自己没有关系;而业务研发部门和客户服务部门也是这样认为。风险意识淡漠的另外一个表现就是行业自律机构和监管机构对内控制度的要求不明确,使托管银行的监管一度出现了灰色地带。银行监管机构对托管业务的内部风险管理无从监管,因为托管人没有从事商业银行传统的资产负债业务,不好衡量业务风险;而证券监督机构在完成托管人对基金或其他委托资产应付义务的监管之后,对托管人自身的监管没有法律依据,因为商业银行自身管理情况受银行系统监管。从1998年成立专业的托管银行以来,还没有出台过一个正式的有关托管银行内控办法,直到最近中国证券监督管理委员会委托交通银行起草了《证券投资基金托管银行内部控制指导意见》,现正在向各托管银行征询意见。这些姗姗来迟的关注,反映了无论监管者还是从业者,无论正式法规还是内部管理都需要更多地关注托管银行的风险管理。
2.风险控制不严密。现行的监控体系大多是事后监督,对事前的预防和教育做得还很不够。事后监察能够发现一些问题,总结一些经验教训,但是怎样防范这种违规事件的发生是我们更应该关注的问题。完善的风险防范体系应该是一个闭合的业务循环,它不仅仅包括事后的监察、总结和改进,还包括事前的预防、定期的检查和日常的人员培训。目前国内商业银行托管业务的内控稽核工作主要针对托管服务来进行,主要集中在资金划拨、合规性检查和安全保管基金资产。这些内控稽核工作可以完成我们作为一个托管人“勤勉尽则”的使命,但对整个托管部的成长和发展没有起到应有的风险防范作用。例如在客户选择方面,如果我们选取了信用等级、基金运作能力和公司治理能力较差的客户,我们的运营风险和运作成本都将大大增加,对我们的市场开拓也将形成一定的冲击。
3.风险管理机制不健全。在国内各大托管银行中,风险管理的领导重视程度是个关键问题,一些领导者因为风险管理部门起不到应有的控制作用,对风险管理部门重视程度不够。很多风险管理部门还兼做其他工作,没有专业的风险管理人员。监管机构没有出台明确的风险管理或内控管理办法,使得国内托管银行因无法可依而没办法建立良好的风险管理体系。由于国内托管银行主要是四大国有商业银行,而目前国有银行本身的风险管理就不健全,导致了托管业务部门的风险管理也不健全。另外,风险管理本身属于后台服务部门,或者称之为业务支撑部门。对于这个不产生任何直接效益的部门,管理者对其的投入是可想而知的,而没有投入或投入很少的风险管理是没有办法正常运作的。
三、构建全程监控风险管理体系
全程监控就是以监控托管银行的持续成长为目标,运用科学的监控手段和标准化的监控指标,反映托管银行经营过程中所有相关活动产生的风险状况,并以直观的形式反映出来,形成可供管理参考的建议性策略。全程监控风险管理体系的结构见图2。
图2 资产托管机构全程监控风险管理体系结构
(一)全程监控风险管理体系基础和核心思想
1.体系基础。(1)COSO理论。COSO理论是由COSO委员会(Committee of Sponsoring Organization of the Tread Way Commission)在1992年的报告中提出的。在COSO理论中,内部控制被定义为是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标的达成而提供合理保证的过程。(2)组织目标。作为一个商业机构,商业银行托管机构追求持续的业务增长,以“诚实信用、勤勉尽责”为执业准则,切实维护资产持有人利益,为资产管理人提供优质、高效服务,以促进资本市场的健康规范发展为目标。(3)法律法规。国内的监管机构对商业银行业务和商业银行托管业务提出了相关的内控制度的要求,《证券投资基金法》对托管银行的内控制度建设也有相应的规定。(4)客户/市场需求。随着委托资产托管业务的开展,投资人的个性化需求也越来越多,他们对风险控制的要求也越来越高。建立全面、高效、科学和标准化的业务监控体系不仅是托管业务正常开展的要求,也是托管机构优化自身市场形象不可或缺的平台和手段。
表3 国内8家托管银行的市场份额(支、亿元、%)
托管人封闭式开放式市场总量市场占比
工商银行
16
14
475.83 29.14
建设银行
11
9
326.51 20
农业银行
13
9
302.2 18.51
中国银行
4
16
245.21 15.02
交通银行
10
11
214.66 13.15
招商银行
0
5
31.99 1.96
上海浦发
0
2
25.72 1.58
光大银行
0
2
10.65 0.65
注:数据统计对于开放式基金是按照基金设立最初公告规模,数据参考日期为2003年末。
2.核心思想。全程监控的核心思想以托管机构的持续成长为目标,发动全体员工共同参与风险防范,对托管机构经营活动的每个环节进行监控,使资产托管部门成为一个健全的有机体。其要点有三:一是以托管业务的持续成长为目标。要以整个托管机构的持续成长为目标,而不是仅仅针对托管机构的某一项生产活动而开展的稽核和监控。这样就避免了局部监控带来的负面影响,因为传统的监控仅仅是针对某个环节来进行的,不能给托管机构的发展提供全面的支持,也无法保障托管机构所有生产活动的操作都符合管理要求。二是全员参与。在全程监管的体系下特别强调全员参与,因为风险防范、业务稽核不是某位领导的事,也不是几个稽核监察员的事,而是整个托管机构的责任和义务。每个员工对自己的工作岗位远比领导和几个稽核人员熟悉,对于业务运营过程中容易出现风险的环节也比较清楚;另外,员工自觉地合规操作也非常重要,因为稽核人员查出问题已为时晚矣,所以提高员工的风险意识和全员自我稽核的自觉性具有重要意义。三是全过程控制。现在很多托管机构缺乏过程控制,无法把托管机构的可操控性提高到一个合适的程度,往往会造成信息不畅和沟通脱节。原因是内控部门不了解全局,没有参与到全局中去。过程控制可以做到动态反映托管机构的运行状况,随时调整托管机构的管理方法和运作方式。
(二)组织形式和工作流程
全程监控的组织形式是一个自上而下多层次、跨部门的星形结构,它以内控部门为核心,发动和利用领导层和其他部门的力量组成一个全面的散型结构体。具体由以下四个部分构成:(1)顾问委员会。由托管机构总经理牵头,法律事务专家和基金业务专家组成,提供行业发展信息、托管机构发展方向、业务发展策略等宏观和外部环境信息,为监管体系的建立提供咨询和策略要求。(2)执行委员会。风险管理主管领导负责,内控部门经理主持日常工作,托管机构其他部门经理参加,审核由内控部门提供的各种文档和向托管机构发布信息。(3)风险管理部门。是全程监控的核心组织,负责整个监控体系的建立,积极地利用其他部门的力量,全面推行全程监控,形成稽核报告和管理层建议。(4)稽核执行小组。配合风险管理部门和执行委员会的指令,开展稽核监控工作。
全程监控风险管理体系工作流程主要由三个流程组成:(1)全程监控体系建立流程。主要包括以下几个步骤:内控部门讨论更新监控体系,并将新的监控体系提纲提交给主管领导,主管领导同意后递交管理层进行可行性分析;组建全程监控顾问委员会,组建全程监控执行委员会和确定全程监控执行小组;全程监控小组结合各业务部门进行业务分析、风险评估及控制措施制定;执行委员会接受内控部门的内控体系建立方案,进行审核并形成基本思路;顾问委员会提供信息、公司策略、发展方向和监控期望;内控部门收集各业务部门的业务分析初稿,结合全程监控方案形成全程监控标准库;全程监控执行委员会审核监控稽核标准文档,发布监控稽核标准文档;对全体员工进行全程监控体系的培训。(2)全程监控实施流程主要包括以下几个步骤:内控部门提交稽核计划;全程监控执行委员会审查;全程监控执行小组执行内控部门的稽核计划;分析稽核结果,汇总出现的问题;根据内控部门专职稽核人员意见形成稽核报告;形成业务部门稽核文档,内控部门收集托管银行部门汇总稽核文档;全程监控执行委员会审核并发布稽核报告;确定稽核报告是否涉密,面向公众发布稽核报告。(3)问题响应流程。主要包括以下几个步骤:全程监控稽核执行小组发现问题,形成部门稽核初稿和整改建议;根据危急程度高低决定报告主体;执行委员会发布稽核报告、复查指令;内控部门接收执行委员会复查指令;内控部门制定整改的复查稽核计划,并提交业务稽核计划书;报告主管总经理问题解决情况,需要什么支持;内控部门根据问题情况,编写控制措施更新文档;内控部门提交全程监控执行委员会控制措施更新文档情况;内控部门和执行委员会联合递交主管总经理事故情况说明,并提交公告说明文档。
(三)全程监控风险管理体系的构建
1.全程监控的原则。区别与目前只重结果的事后监督机制,全程监控强调的是全程的监控,即紧跟托管业务运作,详细分析和记录托管业务运营过程中的每个环节。过程跟踪包括市场开拓和客户服务、产品研发和系统设计、内部管理与制度建设以及资产托管和自我监控等每个环节的相关活动。
2.全程监控的内容和对象。全程监控的内容和对象是资产托管机构整体的经营活动,包括资产托管机构所有运作环节是否符合托管机构运营自身风险防范、相关法律法规制度、管理目标和客户要求的具体体现。监控的内容和对象一般依据资产托管机构“机构和岗位职责设置”和风险管理要求分析表,并在此基础上根据全面监控体系的要求做适当的调整。主要内容包括:托管业务行政综合管理、托管业务市场和客户管理、托管服务和产品的研究开发、业务运作以及稽核监察管理等。各商业银行托管部门可以按照自己的机构职责,岗位设置和风险管理要求详细规定监控的内容。
3.建立全程监控的评价标准。全程监控的评价标准是衡量业务部门是否稳定运营和有效控制风险的尺度。在制订标准的过程中,需要业务部门和风险管理人员对本部门业务进行分析,找出了薄弱环节和关键环节进行重点监控。针对管理目标、法律要求、客户要求和内控制度的要求,在全程监控体系中可以采用风险分析卡、风险管理卡和风险评估卡来分析、管理和评价在托管服务中的每一个环节中的风险。其中,风险分析卡详细分析了每个岗位业务操作环节的风险状况和风险控制措施;风险管理卡详细说明了业务运作过程中每一个操作环节的风险如何评价和管理;风险评估卡说明了风险控制措施的评价结果。这些风险管理卡详细定义了托管服务相关的业务操作、产品开发、客户管理和内部管理各个环节的评价方法和评价标准。
4.全程监控的工具和手段。全程监控主要是利用监控计划、全程监控执行申请书、监控授权书、监控通知书、监控执行方案和全程监控系统平台来完成。(1)监控平台。根据评价的工作机制,全程监控可以借助一个信息系统作为运作平台来实现持续性的运行评价,主要用做分析评价结果,保存评价记录,监控经营活动,检验管理行为,建模和模型实现。(2)监控计划。通过制定监控计划来进行常规的稽核监察,监控计划主要包括计划总体陈述、监控重点、监控内容和监控时间安排。(3)监控方式。在稽核检查人员进行业务的稽核监察时,可以采用不同的方式来进行,如业务跟踪、档案抽查、人员问询、客户调查、部门陈述、录音与录像、重大事件记录表和系统维护情况记录表等。(4)监控流程。一般情况下,稽核监察可以通过全程监控执行申请书的提出、监控授权书的回复、监控通知书的下发以及监控执行方案的执行等流程来完成。
5.全程监控的结果和反馈。全程监控的结果可以通过全程监控执行报告、托管机构经营评价和全程监控运行报告等来反映,根据以上报告结果调整业务应急计划和全程监控体系本身的评价内容、评价标准或评价方法。(1)全程监控执行报告包括业务部门全程监控执行报告和资产托管机构监控执行报告:部门全程监控执行报告是业务部门对监控体系的理解和执行情况说明;托管机构监控执行报告是整个托管机构对监控体系的理解和执行情况说明。(2)托管机构经营评价报告包括可控性报告、风险评估报告、经营评价和管理行为评估报告。其中可控性报告是员工、业务、管理及其他活动遵守法律、法规和内部相关规定的情况评价;风险评估报告是员工、业务、管理及其他活动所附风险的评价。经营评价是资产托管机构经营效果的评价;管理行为评估报告是管理行为执行状况,操作状况及其效果评估的报告说明。(3)全程监控运行报告包括体系建设和体系运行报告:体系建设是指全程监控体系自身建设情况,评价标准的更新,评价内容的更新,评价方法的变化以及取得的成果等说明;体系运行报告是指全程监控体系运行中出现的问题,效率,客观性和效果分析说明。(4)业务应急计划是根据评估报告和监控中高风险环节制作业务应急计划和系统恢复计划。
6.全程监控体系更新。根据评估报告和全程监控运行报告更新全程监控体系。更新内容包括新业务的加入、资产托管机构新职责的加入和职能调整、资产托管的制度建设、资产托管的全程监控的项目风险系数修正和全程监控的相关人员培训。
标签:风险管理论文; 托管业务论文; 商业银行论文; 企业内部控制与风险管理论文; 银行风险论文; 内控体系建设论文; 商业银行风险管理论文; 内控管理论文; 风险评价论文; 基金风险论文; 托管经营论文; 管理控制论文; 业务管理论文; 控制计划论文; 流程管理论文; 银行论文; 基金托管人论文; 风险内控论文; 资产托管论文;