金控生态圈的风险管理

曹樑
总监 风险咨询 金融服务组

金控生态圈的形成背景

早在20世纪80年代，中国工商银行等四家国有银行就开展了证券、信托、租赁、房地产、投资等业务。由于银行自身的风控建设尚处于萌芽时期，且该种新型的金融业态尚处于监管的灰色地带，导致银行的风险聚集，造成了证券市场、房地产市场的虚假繁荣，扰乱了正常的金融秩序。我国于1995年颁布的《中央银行法》《商业银行法》《保险法》以及于1998年颁布的《证券法》建立了我国金融行业“分业经营、分业管理”的经营与管理架构，金融机构混业经营暂时偃旗息鼓。

随着中国经济市场化和全球化发展，金融机构分业经营已不再适应现在的金融环境。首先分业经营不利于金融机构分散风险。以银行为例，在分业经营的监管环境下，银行仅能通过贷款实现资产的增值保值，因此银行的风险集中度将显著集中；其次，由于金融机构混业经营已成为国际上金融机构发展的趋势，分业经营的监管环境不利于我国金融机构“走出去”参与全球金融市场的竞争。2005年《中共中央关于制定“十一五”规划的建议》明确提出“稳步推进金融业综合经营试点”。2008年中国人民银行、证监会、银监会和保监会联合颁布《金融业发展和改革“十一五”规划》，提出鼓励金融机构通过设立金控集团、交叉销售、相互代理等多种形式，促进资金在不同金融市场间的有序流动，提高金融市场配置资源的整体效率（见图5.1）。我国金融控股集团由此迎来二次发展，金融机构和实业集团纷纷建立金控集团。

图5.1 金控集团的形成背景

生态大伞——全面风险管理

全面风险管理的必要性

以金融控股集团的方式进行混业经营，不仅仅是金融机构的重新组合、组织结构的调整和规模扩大，更是一种金融制度和金融体系的创新及突破。金控集团是多个金融机构业务的聚合体，其范围既涵盖银行、证券、保险等形式的传统金融，也包括P2P、众筹、消费金融等形式的创新金融以及涉及产业基金、PE/VC、母基金等形式的产业金融，不同业态的融合使得金融体系逐步构成一个生态圈。在这个生态圈中，资金链如食物链般连接各个子系统，如果资金不能顺畅地在各子系统之间流动，则犹如食物链断裂，金融生态失衡。金控集团的多元化经营使得其下属机构的业务相互渗透、交叉，而不仅限于原分业经营的业务范围。这带来了资金链的顺畅和业务竞争，从而使得整个金融生态圈不断优化，进一步增强了竞争能力。相较单一行业金融企业，其多业态化的特征也导致金控集团面临的风险因素更加复杂，监管环境更严格，因此搭建一整套科学的全面风险管理体系已是增强核心竞争力与风险抵御能力的必然选择。

一方面，就外部监管要求而言，国务院、证监会、银监会等政府监管机构对金融行业内各业务板块风险管理工作均提出了要求，如《证券公司全面风险管理规范》《期货公司风险监管指标管理办法》等督促其建设全面风险管理体系，满足自身发展的需要。

另一方面，从行业发展来看，金融业如今面对复杂的行业与经济形势，如经纪业务竞争白热化趋势，担保公司倒闭浪潮，中小额贷款业务的迅速崛起，互联网引领下的金融创新等，都将使风险管理成为影响金融企业发展的关键因素之一，金融企业竞争很大程度在于风险管理能力的竞争。

金控集团面对的战略和业务发展，金融牌照增多，创新金融业务拓展，集团总部职能转变，监管环境日趋严格，品牌价值提升需求和激烈的行业竞争等现实状况，使得推行全面风险管理成为必然趋势。在此趋势下，各大金控集团正积极探索集团层面的全面风险管理及落地对接措施（见图5.2），以最终实现集团风险的统一和集中化战略管理，为集团发展保驾护航。

图5.2 金控集团全面风险管理架构

从近几年的实践来看，我国金控集团已逐步建立了以内控为核心、以稽核为抓手的风险管理体系，具备了一套较为完备的制度体系和管控流程，强化了风险防控力度和范围，但同时也有一些问题普遍存在。

风险管理体系框架不完善

初步建立起来的风险管理体系尚未形成整体蓝图，缺乏系统性，而外生型增长导致专业公司还不能衔接集团风险合规框架，使得体系需具备一定的可扩展性以适应“全牌照金融集团”的发展目标。在完善其框架体系设计时要求集团搭建全面的体系蓝图，在此基础上各公司设计本地化的框架体系，并兼顾延展性，适应未来发展。

风险管理组织架构不够合理

由于风控管理组织架构不合理，导致集团风险管理委员会、合规风险管理部职责与定位不明确；总部合规风险部与专业公司管理界面不清晰，对接不畅；业务合规风控链条过长，授权不明，影响效率；总部对专业公司风控合规考核机制不健全等诸多问题。因此，在风险与合规组织架构搭建时需要明确风险管理三道防线的职责及定位，厘清总部及专业公司风控条线的对接关系和管控界面，按风险及业务性质划分授权，围绕关键风险指标（KRI）进行风控责任考核。

协同业务中风险隔离缺失

集团内部企业由于关联交易、产权关系、集团信誉等原因存在直接或间接的联系，导致金控集团的风险存在强传递性，业务协同过程中的风险隔离应予以特别关注。协同业务中风险隔离的缺失容易导致一些触犯监管红线、损害少数股东利益的行为，加速风险在业务间的传染。建立完善的关联交易合规和披露机制，采取审查关联交易、人员隔离、信息隔离、法律隔离、业务组合管理等手段进行风险隔离极为必要。

风险合规制度与流程有待改进

金控集团存在风险合规制度框架不完善，自上而下的指引要求不明确的问题，主要业务的风险类别框架和风险地图也尚未成形。缺乏对风险识别、评估、应对、监督等工作流程以及业务管理过程中风控节点的具体要求，导致风险管控措施难以落实，集团的风险合规工作的制度和流程都有待完善。

风险管理的基础设施相对落后

集团风险管理所需的信息系统、数据仓库、计量模型与方法还处于相对落后的水平，导致不能通过计量引擎和计量方法有效地对风险数据进行分析计量，也不能通过风险计量指标、风险报表向管理层提供决策信息。因此，金控集团需要完善信息系统建设，引入风险计量模型及方法并建立多维度的指标和报表体系，以便及时可靠地收集风险数据，为管理层提供能满足决策需求的信息。

新兴业务风险管理欠缺

随着金融创新的进步，新兴金融业务品种在我国不断涌现，这也对风险管理提出了更高要求。金控集团在这方面的技术和经验明显滞后，新兴业务的隐形风险被忽视，如近年来迅猛发展的资管业务、衍生工具，以及互联网金融产品，如P2P，其复杂度、关联度和杠杆率都达到较高水平，在刚性兑付条件下很可能爆发大规模信用风险、市场风险和法律风险，而造成的损失往往与其创新力度以及业务规模正相关。

全面风险管理的价值

金控集团全面风险管理除推动管理层的风险管理能力日趋成熟以外，还从以下三方面帮助管理层保护和提升其价值（见图5.3）。

建立可持续的竞争优势

全面风险管理可以帮助金控集团在风险控制方面查缺补漏，充分挖掘在业务中可能发生的违约率、不良率高企等问题。同时，金控集团通过建立完善的风险控制架构和方法论，能更有效地识别优质客户，实施更精确的营销手段，避免欺诈。由此可提升金控集团的资产质量，改善金控集团的资产服务水平。

优化风险管理成本

通过金控集团的内控流程注入，可以将金控集团复杂的业务条线中的内控流程注入信息系统中。一方面能简化和规范审批流程，避免传统风控方式纸质审批易出错、易遗漏的弊端；另一方面，线上审批有助于金控集团在集团层面建立起一套完善的数据分析模型，将信息系统中的数据进行深度整合加工，形成适应自身的一套持续风险管理模型。同时也能提升集团内部的审计效率，使持续的非现场审计成为可能。

帮助管理层改善经营业绩

借助互联网数据分析，金控集团能够通过网络爬虫、语义分析等技术快速定位最新的市场热点，了解客户需求。并根据市场反应及时推出新产品，并对机构内的业绩考核标准进行调整，使客户在瞬息万变的市场环境中立于不败之地。

图5.3 全面风险管理价值图谱

金控集团的全面风险管理体系

参照COSO全面风险管理框架及巴塞尔新资本协议准则，结合自身的组织、业务和文化特点，建立全面风险管理体系，并在经营实践中不断加以完善。作为一个整体，金控集团在构建风险管理体系时应遵循全面性、适应性、科学性和平衡性的原则，根据自身业务特点和发展战略，选择适合的风险管理模式，制定切实可行的政策和策略，我们认为其全面风险管理应该从以下几个方面进行。

建立健全风险管理体系与框架

根据全面风险管理的理论和实践发展，尤其是COSO发布的企业风险管理框架和国际标准化组织发布的ISO31000文件对全面风险管理要素的界定，建立健全的风险管理体系需要综合六个方面考虑（见图5.4），包括风险偏好、治理架构、政策制度、管理流程、合规管理以及基础设施。

• 风险偏好。建立与集团发展战略相适应的风险战略和风险管理策略，明确风险偏好与风险容忍度，建立清晰的风险管理目标，指导业务发展，配合战略目标和经营目标的实现。

• 治理架构。根据内部控制分离与制衡的原则，构筑全面风险管理“三道防线”，建成与公司战略规划相适应的风险治理架构。

• 政策制度。建立覆盖全业务、全风险、全流程的风险政策体系，明确各项风险管理职责、风险管理方法、风险管理机制等内容。

• 管理流程。建立“识别——计量——监控——报告”完整的风险管理流程，提升风险管理的效能。

• 合规管理。根据不同业务板块监管要求，明确合规风险管理模块，建立业务协同与风险隔离机制，规范合规风险；组建风险管理团队和人员，定期对人员进行培训，制定合规管理程序以及手册，培养合规文化氛围。

• 基础设施。建立数据仓库与数据集市，进行数据建模分析；构建信息系统架构，完成风险管控系统的功能需求和落地实施；完善风险管理系统平台和风险计量工具，消除制约风险管理发展的瓶颈因素。

在此基础上，构建全面风险管理框架，通过清晰的治理架构、完善的政策体系、严格的合规管理、完整的“识别——计量——监控——报告”流程、高效的风险管理系统工具等支持全面风险管理的实现。

图5.4 金融控股集团的全面风险管理体系框架

打造全面风险管理体系的具体方法

完善风险管理架构

由于涉及的业务千差万别，金控集团往往存在较为复杂的管理架构。从管理架构来说，我国的金融控股集团主要分为两种类型：一种是以平安集团为代表的集团层面统一管理的模式，另一种是以中信集团为代表的多元化管理架构（见表5.1）。

无论选择哪种组织架构，都应当梳理明确集团及专业公司各层级风险管理委员会、风险管理部的定位、职责、权限和对接关系，明确总部对子公司风险管理考核的原则、方法和基本指标维度（见图5.5）。

表5.1 管理架构类型

图5.5 金融控股集团的风险治理架构

建立制度和流程

完善制度与流程，首先要求金控集团在总部层面制定风险、合规、法务及内审管理制度体系框架，细分为基本制度、管理办法、管理细则及流程等（见图5.6），明确本部及下属公司制度体系建设要求；在总部层面建立全面风险管理制度、合规管理制度、风险管理委员会章程等刚性要求，对于此类制度在集团范围内强制执行，下属公司不可调整和修改。

其次要建立总部与下属公司风险管理工作流程和标准设计，包括风险识别、风险计量、风险监控、风险报告等关键流程（见图5.7）；建立总部与下属公司合规风险管理流程与要求，包括合规手册、业务协同、风险隔离等内容；建立总部与下属公司内审业务管理工作流程，明确内审业务框架，制定内审业务基本管理制度，提供内审报告、审计通知书等表单模板。

此外，要建立集团总部与下属公司法务管理工作流程，明确法务工作框架，配套基本法务管理制度等；建立各分子公司与总部风险、合规、法务及内审工作流程及标准的联动机制。

图5.6 建立风险管理制度

图5.7 建立风险管理流程

有效的合规管理措施

我国金控集团的业务涉及面广、专业性强、复杂度高，在客观上加大了风险管理人员发现和防范潜在问题的难度，因此需要采取以下几点有效的合规管理措施。

• 业务协同与风险隔离。金控集团应把跨系列风险横向管理和各系列纵向风险管理两种方式有机结合，深入推进全面风险管理体系建设。横向风险管理包括信用风险、市场风险、操作风险、流动性风险、集中度风险等，通过各项措施的结合，提高集团全流程风险管控能力；纵向风险管理则指针对银行、证券、保险、投行等各金融业态实施不同的风险管理举措。集团业务协同和并表管理的同时，也要进一步加强风险隔离，从业务、管理、人员、声誉、信息等方面对防火墙制度进行细化和完善。

• 人员和团队保障。不断提高相关职责部门及人员的风险管理水平，培养具有高专业素质的人员和团队是风险管理措施实施的重要保障，此外，还需内外部专家团队的相互配合，发挥各自优势，推动内部控制体系的建设，建立以风险为导向的内部控制体系。

• 合规文化的培养。建立具有风险意识的企业文化，营造良好的风险管理氛围，树立正确的风险管理理念，增强员工的风险管理意识，是全面风险管理得以贯彻的根本保证，应给予高度重视和长期投入，不仅需要广泛宣讲，深入教育，更需要高级管理层人员率先垂范，以身作则。

引入科学的管理工具

对于现代化的金控集团，风险管理的有效实施离不开信息化、数据化的支持。建立完整的风险数据集市和完善的风险管理系统平台及风险计量工具（见图5.8），消除制约风险管理发展的瓶颈因素，应紧扣业务发展和风险控制两条主线，统一规划，分步实施。

• 数据管理。建立完整的客户视图和数据仓库，应用大数据和云计算等先进技术，实现统一管理，协同服务。加强金控集团内部数据治理，对现有数据质量和数据结构进行全面的梳理，提升现有数据的完整性和准确性。采用高并发的软硬件架构，加强数据分析的时效性、完整性和准确性，并实现和加强对各类新兴业务的风险管控。

• 平台建设。提炼各子公司的关键风险指标（KRI），统一计量标准，实现联机分析；完成风险管控信息系统平台的功能需求设计和开发实施落地。同时加强与第三方平台（如人民银行和各大评级机构）的数据互联，拓展信息来源，构建更完整的风险信息图谱。

• 基础设施。由于金融控股集团的风控平台渗透到整个集团的每个业务和管理环节，因此基础设施的建设是牵一发而动全身的工程，需要金控集团的ERP、CRM、财务系统等加强银行现有系统在功能开发、数据结构质量以及数据接口等方面对风控平台给予一定的配合（见图5.9）。此外，集团的风险管理基础设施建设工程量大，软硬件设施要求高，应由总部牵头，科学规划，统一部署，有序推进。

图5.8 风险管理平台建设规划

图5.9 风险管理基础设施改造示例

金控集团风险管理的创新与趋势

风险管理的创新

基于互联网技术和信息技术，大数据风控也渐渐成为金融控股集团识别潜在风险、实现风控价值的有效手段。金融机构风险管理初步迈入“互联网+”时代。以全国性大型金融控股集团为例，在贷审核过程中通过梳理线上线下的客户信息，描绘出“客户拼图”中缺失的部分，有效发现在传统信贷审批过程中无法识别的客户信用瑕疵，降低违约概率；排除被传统风控模型“误伤”的客户，防止客户流失。在贷后阶段，该金控集团通过大数据绘制出借贷人的社交关系图谱，对逾期客户进行更有效的催收。经过该项目的实施，该金融控股集团的不良率和逾期率均得到有效遏制，同时客户申请核批率和用户活跃度得到了大幅度提升。

趋势与展望

随着我国经济进入“新常态”，金控集团对丰富金融服务种类、分散金融机构风险、拓展金融机构新的业务增长点将扮演日益重要的作用。在混业经营的发展过程中，金控集团面临的风险必然是多样的。在监管架构尚不明晰的情况下，有效制定金控集团的风险管理战略、完善企业风险管理架构和制度、规范金融控股企业风险控制流程、部署风险管理系统已成为摆在金控集团面前无法回避的课题。笔者相信，在金融机构混业经营的大趋势下，金控集团通过对内外部风险的全面梳理，建立统一的合规管理体系，构建基于大数据的持续风险监控体系和方法，可以持续辨识集团内部和外部存在的风险并及时采取应对措施，实现金控集团稳健、安全、持续运行，推动业务的创新和发展。