(四)流动性风险管理技术和方法
1.资产负债管理
流动性风险管理属于资产负债管理的重要组成部分,如果商业银行的资产负债结构失衡,就会引发流动性危机。因此,在银行确定资产负债额度、结构和期限时,需要考虑流动性风险的控制与缓释,加强资产的流动性和融资来源的稳定性。
商业银行资产负债管理应遵循分散性原则和审慎性原则,具体表现为商业银行要制定具体、明确的资产、负债分散化政策,使资金运用及来源结构向多元化发展,提升商业银行应对危机的能力;应审慎评估信用风险、市场风险、操作风险、声誉风险等对资产负债业务流动性的影响,从流动性风险的源头开始密切关注不同风险间的转化和传递。
一是资产的变现能力。资产的变现能力衡量的是资产的流动性,具体包括变现需要的时间以及变现的成本。由于目前我国金融市场基础建设还不健全,商业银行在对资产变现能力进行评估时就需要综合考虑市场深度、交易对手信用状况以及其他因素对资产交易和资产价格产生的影响。要提高资产的变现能力,不仅在于资产本身的性质,还需要考虑金融市场的活跃性和交易主体的信用状况。资产的变现能力越强,商业银行的流动性越充足。
二是负债的稳定性。商业银行应关注负债的稳定性,即融资来源的稳定性。提高负债稳定性的方法包括:提高核心负债占总负债的比重,提高流动性来源的稳定性,并减少对市场波动较大的债务依赖;商业银行应通过优质服务建立与资金提供者的关系,并持续关注大额资金提供者的风险状况。
2.现金流量管理
现金流量管理是识别、计量和监测流动性风险的一种重要工具,商业银行通过分析现金流量和期限错配情况,有助于发现融资缺口和防止过度依赖短期流动性供给。
现金流量管理的核心部分是现金流的预测。现金流的预测主要分为短期预测和长期预测,目的在于评估商业银行相应的风险承受能力。短期现金流的预测主要服务于头寸管理,主要针对1—7天内发生的现金流,商业银行在这方面的预测比较有经验,因而比较准确,对应的是流动性管理。由于现代商业银行交易的产品日渐复杂,预测长期现金流则较为困难,与此对应的是商业银行的流动性风险管理。
对应于现金流预测中的短期预测和长期预测,现金流期限错配分析可以针对短期,也可以开展中期乃至长期的期限错配分析,以便及早发现潜在的流动性风险。商业银行设定现金流期限错配限额应以其融资能力和风险承受能力为基础,最好的做法是保证每一期限内的现金流错配净额低于对应期限内的现金流限额。商业银行在设定现金流限额时应尽量保守,并通过返回检验确定该限额的有效性,同时对所有超限额情况作书面记录并分析原因,必要时还需要调整现金流预测的方法和模型。银监会在这方面的监管要求为“现金流限额测算期至少为一个月,鼓励商业银行按更长时间段进行测算”。
3.压力测试及情景分析
由于现金流预测不能准确地反映银行面临的流动性需求,商业银行还需要对其流动性风险进行压力测试和情景分析。进行压力测试和情景分析的目的在于分析银行的风险承受能力,确定商业银行抵御危机的最短生存期是多久,与此相应的监管要求为“商业银行在压力情况下的最短生存期不得少于一个月”。
考虑到各类风险与流动性风险的内在关联性,还需要深入分析假设情景对流动性风险的影响及其反作用。因此,商业银行在设计压力情景时不仅要充分考虑到单个机构和整个市场,还要结合本身业务特点、复杂程度,使假设条件涵盖来自于市场、信用、操作、声誉等多个风险类别的市场波动和经营环境变化,并充分反映融资流动性风险与市场流动性风险的高度相关性。根据压力测试的结果,商业银行应及时调整资产负债结构,包括核心资本金和附属资本金的比例,持有充足的高质量流动性资产用以缓冲流动性风险,建立行之有效的应急计划。
4.应急计划
我国金融市场还不够成熟,货币市场和债券市场吸纳流动性风险的能力都有待提高,因此商业银行应该在完善流动性风险评估和预警机制的同时,制订不同情况下的应急计划。
应对流动性危机的方法主要包括资产变现和负债融资。资产变现主要是指商业银行的一级资本和二级资本的变现,其中要加强备付金的管理;负债融资的渠道主要包括向央行借款、银行间市场拆借和发行金融机构债券。
商业银行在制订应急计划时应充分考虑自身的业务规模、复杂程度、风险水平和组织框架等因素,涵盖银行流动性发生临时性危机、长期性危机和压力的情景,并预设触发条件和实施程序。
[1]缺口分析法和久期分析法详见第四章市场风险、流动性风险及其他类别风险管理中“市场风险管理”部分。
第三节银行其他类别风险管理
一、声誉风险管理
根据普华永道2005年的一次调查,134家美国银行的高级风险管理人员表示,声誉风险是他们面临的最大的风险。就对公司市场价值的影响而言,声誉风险排在第一位;就对收益的影响而言,声誉风险排在第六位。对中国银行业而言,银行业的大小新闻越来越成为公众关注的焦点话题,声誉风险管理日益引起各商业银行的高度重视。
声誉风险指由商业银行经营、管理及其他行为或外部事件导致利益相关方对商业银行负面评价的风险。重大声誉事件指造成银行业重大损失、市场大幅波动、引发系统性风险或影响社会的风险事件。
商业银行应制定声誉风险管理政策,建立全行声誉风险管理体系,董事会、高管层要高度重视,配备专门部门或团队负责全行声誉风险管理,确保声誉风险管理制度和措施的实施。具体而言,主要的措施主要有:(1)加强声誉风险排查,定期分析声誉风险和声誉事件的发生因素和传导途径;(2)建立声誉事件分类分级管理机制,明确管理权限、职责和报告路径;(3)完善声誉事件应急处置机制,对可能发生的各类声誉事件进行情景分析,制定预案,开展演练;(4)对投诉处理进行监督评估,从维护客户关系、履行告知义务、解决客户问题、确保客户合法权益、提升客户满意度等方面实施监督和评估;(5)及时准确地向公众发布信息,主动接受舆论监督,为正常的新闻采访活动提供便利和必要保障,实时关注舆情信息,及时澄清虚假信息或不完整信息;(6)强化声誉风险管理内部培训和奖惩;(7)做好声誉风险管理后评价,对声誉事件应对措施的有效性及时进行评估。
商业银行应积极稳妥应对声誉事件。对重大声誉事件,应进行快速处置:(1)及时启动应急预案,拟定应对措施;(2)指定高级管理人员,建立专门团队,明确处置权限和职责;(3)按照适时适度、公开透明、有序开放、有效管理的原则对外发布相关信息;(4)实时关注分析舆情,动态调整应对方案;(5)及时报告监管机构及其他相关政府机构。
要做好声誉管理,商业银行更为重要的是具有良好的企业价值和道德风气,如果一家银行的价值观和工作作风存在问题,银行的稳健性、名誉和声望都会遭受难以想象的损害。银行所有的职能部门——业务条线的风险管理、企业风险管理、合规管理、内部和外部审计,辅之以有效的内部信息交流和沟通——都是银行声誉风险防线的重要组成部分。但是,如果银行不是根植于为所有员工所认同的健全的企业文化和价值体系之中,这条由银行各部门组成的防御线是不完整的。要培育健全的企业文化和价值体系,高管层的垂范、有效的治理结构以及制衡机制都非常重要;而且,薪酬必须与公司的利益相挂钩,与广义上的银行安全与稳健性挂钩,而不是与短期的获利或增长相挂钩。当利益冲突在所难免地发生时,无论是在银行中的利益相关者之间,特别是在不同的业务条线之间,还是在风险管理和合规部门之间,至关紧要的是高级管理层解决这些纠纷时,应能够毫不含糊地传达道德和声誉优先的信息。对于银行,以及银行的责任人来说,最终的保护方式是向所有员工逐步地灌输一种恪守高度公平和道德行为准则的精神,让公司上下都明确一点,不可因某项交易、销售、贷款、客户和盈利机会,而牺牲银行的名声和声誉。
与此同时,良好的信息系统也是有效管理声誉风险的关键。如果银行高管层拥有好的信息(这些信息来自于他们自身的风险控制程序和监管机构),就能作出好的决策,不完整的、带水分的、误导的或错误的信息,则往往导致错误的决策;全面的、具有早期预警系统功能的强大管理信息系统,能够帮助风险管理人员时刻掌控银行可能出现的声誉风险。
二、信息科技风险管理
严格来讲,信息科技风险是操作风险的一部分。信息科技风险管理的范畴主要包括:由技术过时、新技术产生、技术架构、信息安全、内外部重大事件、监管制度调整、业务市场竞争性要求、业务模式变化、业务规模扩大等引发的信息技术风险。
信息科技风险管理的管理内容为:(1)信息系统的风险管理及风险监测,包括对信息系统开发、测试和维护、信息科技运行等;(2)信息安全管理;(3)信息科技业务持续性管理;(4)信息科技合规管理。
商业银行要制定全行通用性的信息科技风险评估的政策、制度、流程、标准,制定信息安全业务持续性的政策、标准、基线,开展信息技术风险意识培训,不断查找信息技术漏洞,进行流程改进分析,从技术上进行违规监测及合规检查。
信息科技风险管理主要通过风险点识别、风险程度评估、风险控制及缓释来完成。
第一,风险点识别:主要通过主动发现、自评估、内外部审计三条途径来实现。(1)主动发现:信息系统的开发运维人员识别信息系统本身存在的风险点。(2)自评估:系统的应用人员通过自评估工具,对系统支持与业务运营、发展、风险控制的匹配风险开展相应评估。(3)内外部审计:内外部审计机构按监管机构的要求,设计相应的评估流程和测量指标,识别可能存在的信息科技风险。
第二,风险程度评估:评估识别出的风险点的严重性程度、发生频率等,对风险的重要性进行排序。
第三,控制及缓释:针对不同等级的信息科技风险,分别由信息系统管理人员、信息技术部门的负责人及相应的监管委员会评定其风险是否可接受,对于不可接受的责成整改并追踪相应的整改情况。
对出现的重大信息科技风险,要立即启动业务持续性计划,及时进行应急响应和灾难恢复。在应急响应方面,通过风险分析明确相应的关键风险,继而将关键风险归入不同的事件分类并设定分级策略,在此基础上建立响应预案,明确团队构成及其职责、团队组建、通知通报、决策指挥等的应急响应机制,之后落实团队建设和通讯设施等配套手段;在灾难恢复方面,要通过业务影响分析确定关键业务及其恢复目标、资源,继而设定资源获取策略,在此基础上形成恢复预案,明确恢复资源获取的步骤及其职责分工,之后落实恢复预案配备相应资源。在上述两个主线的基础上,通过演练与测试,对应急响应机制和恢复预案进行定期的检验和完善,建立全行的业务持续性管理意识;通过检测评估,检查业务条线的业务持续性管理工作,促进业务持续性管理工作的落实;进一步通过质量检测来检查业务持续性管理流程标准以及监测指标设定的准确性,以便动态地完善整个业务持续性管理体系。