本文编译自GARP风险智库CRO Outlook 主题博客“Avoiding the Risk Management Growth Trap”一文。作者Clifford Rossi(博士)是马里兰大学罗伯特·史密斯商学院的实践型教授和驻校高管。在加入学术界之前,他在金融领域工作了25年多,在几家顶级金融机构担任过C级风险管理高管,并担任过联邦银行监管人员。他是花旗集团消费贷款集团的前董事总经理和CRO。
银行如果增长过快,特别是在缺乏适当的治理和风险管理框架的情况下,容易面临倒闭的风险。但他们可以采取一些措施来管理日益复杂的产品,并避免过度的风险。
在过去的15年里,我们了解到银行违约的常见原因:快速且不受控制的增长、运营和产品复杂性的增加以及不断加剧的风险。将这些因素与管理层和董事会对风险管理基础设施投资的自满态度结合起来,结果就是一场灾难。
无论是今年的共和第一银行(Republic First Bank)事件,还是2023年的地区性银行倒闭,甚至是2008年的全球金融危机(GFC),这些教训都是一致的。
当我们处于风险管理职业生涯的早期时,经常会听到一句简单的监管箴言:确保在增长之前建立好风险管理框架。尽管这个建议看似显而易见,但在银行处于增长转折点、产品和运营变得更加复杂时,往往难以落实。
为了使正处于业务快速发展、产品日益复杂阶段的银行长期存续下去,必须加强风险治理。此外,领导团队必须承认并克服管理层和董事会在风险管理基础设施投资方面的自满情绪。
在讨论银行如何避免重蹈覆辙之前,让我们先回顾一下我们是如何走到当前这一关键风险文化时刻的。
银行危机与监管应对
有趣的是,尽管全球金融危机和去年的银行事件相隔约十五年,但监管机构的反应却出奇地相似。
继 2023 年地区性银行倒闭之后,联邦存款保险公司(FDIC)提出了一套针对州立非成员银行的公司治理和风险管理准则。这不禁让人想起全球金融危机后美国货币监理署(OCC)对最大的全国性银行实施的 "强化标准"。
OCC的标准和FDIC的提议准则都要求银行采取三道防线的方法,由独立的风险管理部门(第二道防线)负责建立风险框架并制定全面的风险偏好声明。此外,第二道防线还需向首席执行官和董事会提出对潜在风险的担忧。
根据这两套准则,受监管银行的首席风险官必须向风险委员会或董事会报告,董事会必须审查所有关键的书面政策。最大的区别在于,OCC的标准是针对美国最大的金融机构(资产超过500 亿美元)制定的,而FDIC的拟议准则适用于规模小得多的银行,资产起点为 100 亿美元。
FDIC的提议指南也更具规范性。例如,他们要求所覆盖的银行拥有多数独立董事(OCC只要求两名),同时要求他们记录所有违法行为并向有关当局报告。
当然,这两套准则都要求从上至下的风险管理“基调”。
避免风险管理"疲劳"
为什么FDIC提出了针对规模小得多的银行的准则?一个重要原因是为了避免风险管理"金属疲劳"问题。
当银行的资产规模达到一定程度时,其复杂性就会发生变化。如果这些变化再加上不受控制的快速增长,银行就很有可能经历威胁其存续性的重大事件。因此,银行的治理和风险管理能力必须与其业务增长、产品复杂性和风险承担水平同步提升。
银行倒闭就好比一块金属在压力下达到了断裂点。
在科学领域,金属疲劳研究的是各种材料在应力作用下失效的相关原因。决定金属部件(如飞机发动机上的螺栓)失效点的因素包括材料的分子组成、材料所承受的载荷以及测试的应力周期。
在一定程度上,在足够大的应力作用下,就会出现微小的裂纹;这种情况会在应力循环中重复出现,部件就会超负荷,可能导致飞机的灾难性故障。
对于银行来说,快速增长和承担风险就好比是对承受压力的材料施加负载。但就银行而言,与其说是压力过大、负荷过重的部件造成了灾难,不如说是宏观经济或特殊事件导致了银行的倒闭。
这一概念如下图所示。
图1. 银行倒闭:复杂性,增长及风险
随着银行规模的扩大、复杂性的增加和风险承担的增加,这些因素会在其风险敞口中表现为细小的裂缝;最终,这些裂缝会在压力下扩大,最终可能导致银行倒闭。缺乏有效风险治理、实践和控制的银行面临的风险最大。
从个人经验中学习
因此,有效的治理和风险管理是确保公司长期存续的先决条件。20年前,当我在一家大型社区银行工作时,我第一次意识到这一点。2004年,这家银行管理的资产刚刚超过100 亿美元,但这个数字在三年内膨胀到超过1000 亿美元。
根据监管部门的要求,这种规模的银行必须在风险管理方面进行大量投入。因此,这些银行开发了强大的风险管理能力,包括设立三道防线、建立健全的二线企业风险管理(ERM)功能、以及制定复杂的风险测量、分析、报告和升级流程。然而,问题在于,银行在构建这些风险管理流程时往往忽视了治理方面的重要性。
在2004年至2007年的高速增长期,该银行的风险状况显著增加,其产品和运营流程的复杂性也随之大幅提升。尽管银行的第二道防线(企业风险管理)多次向管理层和董事会警示不断增加的风险,但这些警示都未能引起足够的重视。
银行董事会缺乏独立性,无法有效地就公司的快速增长、高风险战略向管理层提出质疑。此外,他们认为自己没有权力就风险承担水平提出正确的质疑。
董事会表现出的集体心态更倾向于收益而非风险,该银行最终成为2008 年次贷危机的牺牲品之一。但是,如果银行听从第二道防线的指导,加强风险治理和风险管理基础设施建设,很可能会避免这一命运。
进一步的想法
这个风险管理案例的教训是,随着银行复杂性、规模和风险承担的增加,其治理和风险管理基础设施也必须同步提升和成熟。
FDIC在2023年发布的公司治理和风险管理指南中强调,随着银行规模和结构的扩展,避免过度承担风险非常重要。然而,仅依靠监管措施不足以应对快速发展和风险日益增加的银行所需的治理和风险管理要求。
不愿遵循FDIC指南的银行管理团队可能会面临潜在的监管执法行动。然而,归根结底,银行管理团队和董事会的基本风险意识必须足够坚实,以防止在高风险环境中出现管理失误和系统性故障。
行动起来,获得FRM®认证,向顶级雇主展示你的金融⻛险管理技能。
11月FRM®考试标准价注册现已开放,点击阅读原文登录GARP官网即可报名。