JP Management Development Ltd.
遠見管理發展有限公司
Tel       :  +852-35116253  Mobile +852-69088682
email jpmgthk8@outlook.com

© 2019 by JP Management Development Ltd.

匯控風險文化的營造和建設及其可給我國商業銀行帶來的啟示2018-01-17

滙豐控股(以下簡稱“匯控”)把風險文化定義為:“與風險意識和認知、風險承擔和承受以及與風險管理有關的規範、態度取態及行為”。鑒於建立一套強健的風險文化對於支持和確保銀行可持續平穩發展的重要性,匯控明確培育風險文化是其高管主要職責之一。與此同時,匯控通過給全行所有員工持續灌輸其奉行的價值觀和執行實施其為管理和防範金融犯罪而專門制定實施的《環球標準計畫與安排(Global Standards Programme)》強化其風險文化,並設法確保銀行員工個人行為與銀行承擔及管理風險的態度取態保持連貫一致,最終確保銀行的風險水準在既定的可承受水準和範圍之內。概括而言,滙豐的風險文化的營造和建設包含了公司治理結構和風險管治框架、 風險偏好設定與實施、職責分離和問責制度、管理政策程式與流程、薪酬制度和激勵機制以及內部持續溝通和培訓等。 

 

    從風險文化的營造和建設的角度看,匯控風險文化的核心構成及其對應的落實標準和機制可概括歸納如下表:

         實際上,匯控把上述概括歸納的“風險文化核心構成及其對應的落實標準和機制”落到實處的過程正是匯控營造和建設其風險文化的過程。在這一過程中,匯控所採取的主要舉措及制度安排包括:(1)通過科學和合理的公司治理結構和風險管理框架確保風險管理的足夠性和有效性;(2)通過灌輸正確的價值觀和把價值觀執行評估與員工的工作表現的認可及獎勵激勵機制緊密結合起來,以利益驅動方法支援風險文化的營造與建設;(3)通過制定和執行各種行為規範和業務操作及營運規範支援風險文化的營造和建設;(4)通過風險偏好設定和執行實施確保銀行的風險水準始終在既定的可承受水準和範圍之內;(5)通過構建和維持與風險文化營造和建設相適應的內部溝通和持續培訓機制強化風險文化。我們不妨就這五方面的主要舉措及制度安排作如下更為詳細的介紹: 

 

    首先,通過科學和合理的公司治理結構和風險管理框架確保風險管理的足夠性和有效性。匯控的公司治理結構和風險管理框架的核心構成包括:董事會及其重屬委員會、集團管理委員會及其重屬委員會的風險管理會議和議事機制以及營運管理層面的風險管治框架等。其中,董事會及其重屬委員會負責監督匯控全球業務的管理,並在管理過程中根據相關法律和法規與匯控的組織章程細則行使其權力。儘管董事會授權集團行政總裁負責業務的日常管理工作及執行集團策略,但董事會保留審批若干事項的權力,包括年度營運計畫、承受風險水準和績效目標、營運監控程序、信貸審批或市場風險限額、收購、出售、投資、資本支出或變現、或增設新公司、委任特定的高層人員,以及資產負債管理政策等任何重大變更。董事會及其重屬委員會定期和不定期地聽取集團風險管理委員會、金融系統風險防護委員會和行為及價值觀委員會所提供意見,負責審批集團承受風險水準、計畫及績效目標,務求收到“上行下效”的管理效果 。集團管理委員會及其重屬委員會的風險管理會議負責管理整個企業的所有風險,包括管理集團內部風險的主要政策及架構。環球標準督導會議負責管理整個企業的所有風險,包括管理集團內部風險的主要政策及架構。環球標準督導會議負責管理金融犯罪風險。在風險管理框架層面,匯控整個機構和所有風險類別均使用集團整體風險管理框架,該管理框架建基於風險文化,並因匯控價值觀和《環球標準計畫與安排》而得到強化。該框架有利於持續監察風險環境、綜合評估各類風險及其相互影響關係,也確保就監察、管理和緩釋滙豐在業務過程中承受及產生的風險採取一套一致的方法。匯控風險管理框架核心要點可概括歸納如下表:

        在上述風險管理框架之內,匯控採用了行動為基的“三道防線”風險管控模式,清晰明確風險管理和監控環境的管理職責劃分及其相應的問責機制,從而形成和維持嚴格的風險管控環境。匯控的“三道防線”模式在強調職責分離和互相有效制衡同時,鼓勵相互協作配合及有效統籌風險管理及監控活動。這“三道防線”的模式要點有三:

 

1. 第一道防線承擔風險管理的第一責任:第一道防線負責識別、記錄、呈報、管理風險以及確保進行適當的監控及評估,以降低該等風險;

2. 第二道防線在負責制訂有關管理特定風險範疇的政策指引的同時,就風險管理事宜給第一道防線的業務人員提供意見和作出指導,並就有效風險管理對第一道防線提出挑戰和質疑; 

 

3. 第三道防線為審計部,該部會就集團風險管理架構和監控管治程式的設計是否合理和有效作出獨立和客觀的評估,向高級管理層和董事會報告。 

 

      此外,環球風險管理部作為營運層面全面風險管理牽頭部門,由集團風險管理總監領導。其主要職責包括制訂環球政策、監察風險狀況及進行前瞻性的風險識別和管理。環球風險管理部以垂直管理的模式向匯控集團所有業務營運單位派駐直接向其負責的風險管理人員。由於環球風險管理部及其派駐基層業務單位或部門的人員有效維持其獨立性,他們自然可以就具體業務部門和單位的日常業務所涉及的風險管理事宜以提出適當的質疑和進行適當監督,並在作出風險/回報決策時提供必要的權衡考慮。這樣的治理結構安排充分體現了兩個關鍵點:其一,風險管理必須與業務計畫和業務策略有機地結合起來;其二,風險決策要與盈利責任分離開來。可以說,把風險管理條線、合規管理條線以及內部審計獨立於日常業務組織管理以維持這些職能部門的工作人員的獨立性,是確保上述第二和第三道防線正常發揮其工作職能的重要組織架構基礎。正因為有這樣的治理結構的保障,才能在最大的限度上確保風險管理和內部控制的足夠和有效。同理,在這樣的組織架構和內部職責分工及制衡之下,對匯控的風險文化的營造和建設自然起到十分正面的作用。 

 

      其次,通過灌輸正確的價值觀和把價值觀執行評估與員工的工作表現的認可及獎勵激勵機制緊密結合起來,以利益驅動方法支援風險文化的營造與建設。匯控的核心價值觀有三:其一,坦誠開放---對不同的理念和文化抱持開放態度,尊重不同觀點;其二,重視聯繫---與客戶、社區、監管機構及員工緊密聯繫,關心個人及其發展;其三,穩妥可靠---穩妥可靠、堅持正道並實踐承諾。為讓這些核心價值觀變成所有員工的思想理念的一個自然組成部分,匯控刻意把其所推崇的價值觀直接內嵌到其薪酬架構之內。通過這樣的利益誘導機制,匯控旨在貫徹正確的行為,以及促進和鼓勵符合匯控價值觀與期望的行動。以下是匯控把其價值觀內嵌到其推行多個獎勵激勵制度安排裡的做法的具體例子。

        與此同時,匯控集團的薪酬方針明確:“個人報酬(包括高級行政人員的報酬)是根據匯控價值觀的遵守情況以及與集團承受風險水準和環球策略一致的財務及非財務目標之達成情況而定” 。而匯控的薪酬策略又以以下一系列關鍵原則為基礎,其薪酬政策是要通過適當獎勵短期和長期持續的良好表現,推動集團達致其策略目標。

         第三,通過制定和執行各種行為規範和業務操作及營運規範支援風險文化的營造和建設。基於把風險文化定義為:“與風險意識和認知、風險承擔和承受以及與風險管理有關的規範、態度取態及行為”,匯控十分注重對全行各層級員工的行為規範和各業務單位的營運方式方法(或稱“營業手法”)(Business Practices)的規範。其中,各層級員工的行為規範的內部依據和標準主要是匯控的《行為守則Code of Conduct》及匯控的價值觀及其作為員工表現考核核心組成部分的“員工價值觀執行遵守情況評估”;而各營運業務單位的營運方式方法的內部依據與標準則是《業務營運守則》和用以管理防範金融犯罪的《環球標準計畫與安排》。

 

        2012年12月11日,滙豐控股(HSBC Holdings PLC)和滙豐銀行美國(HSBC Bank USA N. A.)(匯控在美子行)因涉嫌洗錢和違反美國制裁規定,被美國當局罰款19億美元後,匯控投入大量人力物力整改。具體整改措施包括:(1)技術系統升級(Technology Upgrades);(2)增聘人員(New Hires);(3)改變櫃檯服務提示,增設櫃員工作電腦螢幕提示“提問正確問題(Ask The Right Question)”;(4)強化各層級業務人員包括高管人員的培訓等四個重要組成部分。事發後,匯控聘請了幾千名負責合規工作的職員,當中包括前政府執法官員,如:英國政府反間諜組織前主管Johnathan Evans(Head of the U. K.’s Counterintelligence Services)和美國藥品執法局(U. S. Drug Enforcement Administration)前官員Joe Evans,其中,後者擔任匯控合規監察的最高主管。2014年頭9個月,匯控投入有關整改的投入就令其營業支出因此而增加了約14億美元。目前,匯控全球235,175雇員中,有約10%的雇員負責風險管理和合規工作。2016年,匯控為全面執行實施《環球標準計畫和安排》而增加了5,694 全職人員,使得這方面的全職人員達 8,073人。此外,2016年下半年,匯控成立了金融犯罪風險管理部,並聘任集團金融犯罪風險管理主管(向集團行政總裁回報並負責主持環球標準督導會議)。金融犯罪風險管理部是一個環球部門,負責統籌滙豐所有範疇的金融犯罪風險管理工作,專門執行最有效的環球標準,打擊金融犯罪。匯控成立該部門,旨在在銀行上下管理金融犯罪風險的成果發揮更大效用,並持續加強查察金融犯罪、反洗錢、遵從制裁、防賄賂及反貪污的合規工作。 

 

       第四,通過風險偏好設定和執行實施確保銀行的風險水準始終在既定的可承受水準和範圍之內。匯控把風險偏好定義為:“風險偏好通過集團的《風險偏好陳述書Risk Appetite Statement》的形式設定,用以描述集團在執行實施其策略時準備承受的風險類型和風險水準。該《風險偏好陳述書》由本集團董事會根據董事會風險委員會提供的意見進行審批,並成為整個集團的風險管理框架的一個核心組成部分。作為整個年度計畫程式的主線,風險偏好在匯控的六重過濾決策程式中起著十分重要的作用。全球業務條線、地理區域和全球管理職能部門須按要求把自身的具體執行的風險偏好與集團的既定風險有機地結合起來。由於風險偏好直接決定了業務如何開展和風險如何管理,因此,匯控在確定其風險偏好時會依循以下三方面的指引: 

 

其一,財務實力維持方面: 

 維持強健的資本實力:以監管資本和內部資本比率顯示; 

 每一具法人資格的營運機構均須在其獨立基礎上進行流動性和資金管。

 

其二,營運模式方面: 

 所產生的回報必須與所承受的風險相對稱 

 維持可持續和多元化的收益來源組合並為股東帶來持續穩定一致的回報 

其三:業務營運管理方式方法方面: 

 對明知所從事的任何業務活動涉及可預見的聲譽風險或損害而不作考慮或風險緩釋安排的實行零容忍政策; 

 對涉及可能會傷害消費者客戶和違反監管規定的產品和服務沒有任何風險胃納(No appetite); 

 對任何員工或任何集團業務條線參與不適當的市場活動沒有任何風險胃納。 

 

       具體而言,匯控的風險偏好陳述書把其風險偏好具體體現為九類主要的定性和定量指標,包括:收益、資本、流動性和資金、證券化、風險成本、集團成員間的借貸、策略性投資、風險類別和風險多元化及集中度。作為日常管理的一個重要組成部分,匯控通過持續衡量和監察這些指標的執行情況達至以下管理目標: 

 

1) 指引具體業務開展,確保所開展的業務與《風險偏好陳述書》的要求一致; 

2) 進行風險加權(風險調整)的績效考核和激勵補償; 

3) 確保所依據的關鍵假設受到持續監控並在必要的時候得到調整; 

4) 具體體現到後續的業務計畫和規劃週期中; 

5) 及時識別和採取用以緩釋和化解風險所須作出的業務決策。主要的風險指標不但作為《風險偏好陳述書》的核心內容,而且,也是匯控風險管理條線必須按月呈報董事會的報告內容。以下是2016年,匯控風險管理條線須每月向董事會報告的主要風險指標的“目標指標”和“實際指標”的實例: 

        在具體營運層面上,匯控全球各業務條線、地理區域和全球管理職能部門會按要求把自身的具體執行的風險偏好與集團的既定風險有機地結合起來,並具體體現為不同的指標,最終實現風險資本和績效考核有機地整合起來。以下是匯控具體業務條線或部門和業務管理職能部門日常執行的具體管理指標: 

        第五,通過構建和維持與風險文化營造和建設相適應的內部溝通和持續培訓機制強化風險文化。匯控以清晰和連貫一致的方式和方法向所有員工傳達有關風險的資訊,以傳達策略資訊和高級管理層的取向。匯控還就風險和合規課題要求有關員工參加強制性的培訓。這不僅能增強員工的相關技能和瞭解相關的政策要求,強化滙豐的風險文化,而且,可以鞏固員工對風險的態度,促使他們以匯控集團所期望的行為處理和應對風險 (如風險管理政策所載要求)。強制性培訓內容會定期更新,闡述匯控集團所承受各類風險的技術、文化和道德層面以及如何有效管理有關風險等資訊。滙豐設有全球舉報平臺 們設有環球舉報平臺:匯控密報(HSBC Confidential),方便員工可在保密的情況下報告與內部風控和合規有關的問題和事項(包括涉及的潛在問題和漏洞及有關人員違規問題及相關合理化建議等)。另外, 滙豐也設有一個外部電郵郵箱,接收和處理 與會計和內部財務監控或神經方面的關注的事宜(accountingdisclosures@hsbc.com)。與此同時,匯控集團執行實施非常嚴格的政策和程式,集團有嚴格的政策,避免和防範通過上述途徑提出關注的人士遭到有關當事人的打擊和報復。所有已彙報有關報復行動的指稱均會直接上呈高級管理層處理。

 

      縱觀上述匯控風險文化營造和建設的經驗和做法,筆者深信它可給正在努力營造和建設自身風險文化的我國商業銀行帶來若干啟示。其中包括:(1)強健的風險文化實際上是一家銀行的核心競爭力的核心組成部分及確保有關銀行可持續平穩發展的核心基礎;(2)風險文化並非看不見摸不著的虛無縹緲,而是實實在在表現為“與風險意識和認知、風險承擔和承受以及與風險管理有關的規範、態度取態及行為”;(3)若僅僅停留在正面主張和宣傳層面上,風險文化是“軟”的,但把風險文化與員工表現考核及薪酬制度結合起來,風險文化會因此變“硬”;(4)把風險文化的固化和落實內嵌在公司治理結構、風險管理框架及業務管理決策程式和流程上對於風險文化“由軟變硬十分關鍵;(5)內部持續溝通和培訓機制可以不斷鞏固強化一家銀行的風險文化。