文章
【金融控股公司监督管理试行办法(征求意见稿)】解读
第五期 全面风险管理体系解析(下篇):金融控股公司全风体系建设构思
我们已在《解读—全面风险管理体系解析(上篇)》和《解读—全面风险管理体系解析(中篇)》中,全面介绍了金融控股集团如何搭建整体全面风险管理机制,包括集团层面以及各类型金融机构层面;本篇将站在最为核心的金融控股公司的角度,对其全面风险管理体系的建设思路展开详细的分析介绍。 |
根据本次《办法》的精神,金融控股公司应当建立与金融控股集团组织架构、业务规模、复杂程度和声誉影响相适应的全面风险管理体系。德勤建议金融控股公司可以从股东资质与资本金要求、治理架构、政策制度、资本并表管理、全面风险管理要素、报告与信息披露、信息系统与数据支持七个维度加强建设,形成适合金控集团企业文化和管理诉求的全面风险管理体系。
金融控股公司全面风险管理体系
一、股东资质与资本金要求
根据《办法》,监管机构将对金融控股公司进行严格的股东资质监管,包括诚信记录、社会声誉、核心业务、资本实力、金融投资商业计划、公司治理、股权结构、风险管理、内部控制、财务状况等方面的要求;另外,《办法》还规定了虚假投资、循环注资、对金控公司或金融机构经营失败或重大违规行为负有重大责任、曾拒不配合相关监管等的法人或自然人等不得成为金融控股公司主要股东、控股股东或实际控制人等禁入条件;同时,强调了对资本来源真实性和资金运用合规性的监管。
二、治理架构
不同于一般金融机构,金控集团风险复杂性和关联性较高,存在较大的风险传染的可能,完善的治理架构是保证全面风险管理体系在集团内真正实现落地实施的基础。金融控股公司在设计其治理架构过程中,除了需明确董事会与高管层职责以外,还应通过差异化管控手段、风险绩效考核评价工具、监察与审计机制等对集团内所控股金融机构进行管控,确保满足集团内的管控目标和合规要求。
- 董事会与高管层职责:可设置专门的委员会对相关风险进行管理,如设置风险管理委员会负责集团全面风险管理的总体监督;设置提名委员会负责董事和高级管理人员的任职资格;设置关联交易委员会负责集团关联交易的管理、审查和批准,控制关联交易风险等;
- 差异化管控:鉴于需要协调集团全面风险管理的统一性和所控股金融机构的差异性,建议金融控股公司实行差异化的管控,可综合所控股金融机构的出资情况、公司规模及盈利水平、业务复杂程度、战略定位差异、外部监管要求、内部风险管理成熟度以及风险管理评价情况等对其进行差异化管控;
- 绩效考核评价:建议金融控股公司在对所控股金融机构的绩效考核评价体系中设置对于风险管理的考核指标,形成激励相容的考核机制;
- 监察与审计:监察与审计是防范道德风险的有效手段,可有效降低集团内信息不对称、责任缺失等的风险。应建立健全集团风险管理监察与审计体系,定期对所控股金融机构的风险管理能力和风险管理状况进行审计并提出改进建议。
三、政策制度
为了保证金融控股公司的整体风险管控要求能在集团内所控股金融机构间实现真正落地,除了制定传统的风险政策制度办法以外,金融控股公司还应通过在集团内明确集团及各控股金融机构的整体风险政策,确保集团上下对风险管理拥有清晰和统一的认识,把控业务风险;建立集团及各控股金融机构的风险偏好与风险限额,将集团风险管理策略传导到集团内各控股金融机构,确保集团整体风险边界的稳固。
- 风险政策(展业指引):建议金融控股公司定期组织所控股金融机构编制展业指引,基于对宏观经济金融形势的研究,制定反映集团及子公司清晰一致的展业计划及风险战略,从行业政策、区域政策、客户政策、产品政策等维度进行规范,并通过名单制管理为业务结构调整和风险管理提供科学依据;
- 风险偏好与风险限额:建议金融控股公司结合国资委、央行、金融行业等相关监管要求,建立与集团风险容忍度、战略规划相适应的风险偏好体系,从外部监管要求视角、国有资产管理视角、大股东管理视角、金控集团管理视角等,将集团风险偏好传导至所控股金融机构形成风险限额管理机制;
- 制度办法:建议从制度层面落实集团风险管理的总体原则、职责分工、管理流程、预警监控、报告机制等。
四、资本并表管理
借鉴银行类金控集团,监管机构此次对金融控股公司同样提出了资本并表的管理要求,借助监管资本这一手段,实现对金控集团风险敞口的总体约束和管控。因此,金融控股公司应以集团并表为基础,将所控股金融机构的资本消耗与杠杆使用水平纳入集团核心管理要素,一方面设计合理有效的资本预测及资本补充机制保障集团业务的正常开展,另一方面建立以资本约束为核心的管理机制,改变过去传统的重投入轻效益、重规模轻结构的粗放式经营模式。
德勤将在随后的《解读—并表管理与资本管理专题》中对资本并表管理、资本补充机制等内容展开详细介绍。
五、资产负债与流动性管理
不同于国内银行及保险机构,金融控股公司自身不开展业务,因此资产负债管理中主要是对金控集团资产负债结构中的资产风险评级和减值,以及负债期限和规模进行管理。针对资产风险评级及减值,金融控股公司可借鉴2018年以来国内IFRS9/ CAS22新金融工具准则的实施成果,通过评估金融资产实际风险特征,前瞻性的引入预期信用损失计量方法,在集团内为控股及子公司未来可能遭受的信用损失计提相应的准备金,在确保监管合规的同时,也为2022年新金融工具准则的实施提前做好准备。针对负债期限与规模管理,金融控股公司可以通过在集团层面建立流动性风险管理体系,通过前瞻性的统筹规划主动监控子公司流动性情况,强化流动性应急机制,并在必要时给予子公司一定的流动性支持,确保集团整体流动性风险可控。
流动性风险管理框架
六、统一风险敞口与授信协调
由于金控集团涉及业务广泛,金融控股公司应在集团层面统一建立风险敞口的划分标准,作为风险并表管理的基础,然后通过制定风险暴露管理政策和制度、汇总集团内客户的数据信息、监控核心客户的大额风险暴露以及统筹协调核心客户的授信工作等方式,提升金控集团的风险管理水平。德勤具体将在《解读—统一风险敞口与授信协调》中进行专题介绍,敬请期待。
七、声誉风险管理
对于金融控股集团,声誉风险极易在集团内互相传染、快速传导,产生巨大的负面影响。德勤建议金控公司应搭建集团层面的声誉风险管理框架,从声誉风险的识别、评估、监测、控制、报告、处置和评价实现对集团声誉风险的全流程管控。
声誉风险管理需要集团内的联动配合,金融控股公司应分别明确集团层面和子公司层面在声誉风险管理中的职责,集团层面可搭建监测预警平台以实时监测集团范围内的全部舆情信息,同时搭建声誉风险分级处理报告机制;子公司层面可定期梳理客户信息、实时跟踪负面舆情动态,辅助集团进行声誉风险应急处置决策。
八、关联交易与风险隔离
金融控股公司经营多种类及多业态的金融业务,能因规模经济而产生协同效应,促进所控股金融机构之间彼此的业务发展。但根据监管要求,为确保“金融控股公司与其所控股金融机构之外的其他关联方之间发生的关联交易遵循市场原则,不违背公平竞争和反垄断规则。”,德勤建议金融控股公司在金控公司层面从以下方面进行关联交易管理规范,确保实现股权、管理、业务、人员以及信息的风险隔离:
- 关联方识别:不同监管机构对于关联方和关联交易均有明确的定义,建议金融控股公司首先进行关联方识别,分别梳理集团与子公司各自的关联方关系,建立集团层面的关联方名单;
- 关联交易管理:基于市场定价原则、回避原则、诚实信用原则、公平公正公开原则等制定关联交易管理机制,梳理关联交易行为,并完善内部决策程序与机制,确保关联交易满足相关监管要求;
- 关联交易报告披露:定期根据监管要求进行关联交易的报告与披露,满足监管检查与监管合规要求。
未来,德勤还将在《解读—金控公司关联交易和风险隔离》和《解读—税务视角看金控公司共享与关联交易》两篇专题中从不同角度就关联交易与风险隔离做详细介绍。
九、其他主要风险管理
金融控股公司面临的风险十分复杂,部分风险在《办法》中虽未做出明确规定,但德勤认为同样应作为金融控股公司全面风险管理体系的重要组成部分,其中最核心的包括内控合规管理、信息科技风险管理等。
内控合规管理
内部控制及合规管理已经成为金融机构风险管理建设关注重点之一,内控合规管理成为维护公司正常经营、缓释及规避风险、以及实现公司战略目标的重要保障。作为金融控股公司,旗下涉及多头监管下的多种业务形态子公司,所面临的内控及合规要求不尽相同。同时,《办法》中也强调了有效的内部控制制度是金融控股公司设立的重要条件之一。因此,金融控股公司如何在集团层面形成统一的内控合规管理体系就变得尤为重要。
针对内控管理,金融控股公司需要遵循COSO中内部控制的核心理念以及《企业内部控制基本规范》开展内部控制环境建设,同时还应当加强对子公司的内部控制管理能力的评估工作,强化子公司内部控制体系评价机制,实现内部控制文化宣贯,强化集团自上而下内部控制体系穿透式管理。
对于金融机构来说,满足合规要求是公司风险管理的底线,因此针对合规管理,金融控股公司应特别关注如下两个方面:(1)金融控股公司其下控股子公司业态众多,业务类型较为复杂,合规管理要求的程度和广度差异化较大;(2) 金融控股公司其控股子公司所面临的监督管理机构不同,所面临的监管要求也不尽相同。因此,金融控股在建设合规管理体系的过程中,需要在集团层面统一合规管理的语言和方法,自上而下强化合规管理的文化建设,确保合规管理的全面性、完整性和高效性。
后续将在《解读—集团内控合规管理》中分别从操作风险管理、内部控制管理以及合规管理三个角度入手做进一步的专题介绍。
信息科技风险
为了实现对子公司的风险监测,金融控股公司应通过开发信息系统并通过大数据强化对风险事件的自动化监测。正因如此,金融控股公司更应关注由于信息及大数据应用所导致的信息科技风险。
在信息科技战略规划治理领域,金融控股公司除了按照集团总体战略规划要求规划未来的信息科技发展路径外,还需要明确与所控股子公司在信息科技治理架构,应用系统建设等方面的职能分工和管控要求,建立完善的规划、实施及监督机制。
在业务连续性管理领域,金融控股公司除了建立总部业务连续性管理体系外,需要掌握所控股子公司重要业务的恢复时间目标(RTO)和恢复点目标(RPO)及其资源建设情况,尤其要了解集团内部子公司之间互相提供信息系统灾备资源的实际执行效果,防范因某一子公司业务中断事件而触发连锁中断事件。
在外包管理领域,重点应关注由同一家信息科技外包商为多家控股子公司提供服务所带来的集中度风险和外包服务中断风险。
在数据治理领域,一方面应基于集团层面运营、资本并表管理、统一风险视图等方面规范各控股子公司的数据标准和数据质量要求,另一方面应根据不同监管要求建立数据防火墙机制。
其他如信息安全、信息系统开发、测试和维护、信息科技运行等领域的风险和应对策略,后续将在《解读—集团信息科技风险管理及系统建设展望》做进一步的专题介绍。
十、报告与信息披露
监管机构在《办法》中提出,“中国人民银行根据履行职责的需要,建立统一的金融控股公司监管信息平台,……”,可以预见未来监管机构将对金融控股公司提出更高、更严苛的信息报送要求。同时,为了保障金融控股公司对所控股金融机构风险管理状况开展定期评估工作,金融控股公司应在集团内建立定期专项风险报告与不定期重大风险报告的风险报告体系,确保集团内风险报告的及时有效。
十一、风险管理系统与数据支持体系
随着信息化与数字化时代的到来,金融控股公司全面风险管理体系中必不可少的风险管控模型及工具(如资产负债管理、统一风险敞口管理等)都离不开风险数据与风险信息系统的支持。因此,金控公司应对集团范围内的风险数据管理和风险信息系统建设做全面性、前瞻性和规范性的规划。
后续,德勤将在《解读—集团数据管理及信息共享》和《解读—集团信息科技风险管理及系统建设展望》专题中分别对风险数据管理和风险信息系统建设展开介绍。
德勤结语
金融控股公司是我国金融业的重要组成部分,其业态复杂、规模巨大、涉及的金融领域众多,对我国金融稳定、经济健康发展均起着至关重要的作用。因此,金融控股公司全面风险管理体系的建立健全应该是一个长期化、持续不断的过程:
短期内,符合监管要求的金融控股公司应尽快开展全面风险管理体系建设规划、并搭建全面风险管理体系框架,从治理架构、政策制度等角度规范集团整体风险管理基调;
长期来看,金融控股公司全面风险管理优化应有的放矢,通过智能化手段强化金融控股公司在集团全面风险管理中的监督和引导作用。
为此,德勤也将持续跟踪监管动态、跟进国内外领先的风险管理实践,为金融控股公司全面风险管理的建设和优化提供长期的知识与技术支持。
推荐阅读
2019年金融市场监管展望
金融危机十周年