【TGES•观点】杨一民：银行信用风险管理的三个阶段

Three Phases in Bank Credit Risk Management

银行信用风险管理的三个阶段

杨一民  美国Loyal Trust Bank （鼎信银行） 创始合伙人、资深执董、首席风险官和首席信用官

信用风险管理可以分为三个阶段。第一阶段为前CRO（Chief Risk Officer）时代，即银行设立首席风险官之前的阶段；第二阶段是巴塞尔时代，巴塞尔协议开创了信用风险管理，甚至是整个风险管理的新时代；第三阶段为压力测试时代，美国在2008年产生金融危机后，对整个金融行业进行了一系列彻底的金融大改革，从此进入了综合资本分析和评估，也称之为压力测试的时代，即CCAR（Comprehensive Capital Analysis and Review）时代，CCAR是美联储每年为美国大型银行所进行的综合分析，测试和评估。压力测试的内涵在美国远远超过巴塞尔协议，如果说巴塞尔时代针对的是单个银行的黑天鹅事件，那么压力测试时代针对的就是整个金融系统的共同风险包括灰犀牛事件。

三个不同的时代所面临的风险不一样，使用不同的方法和思路，使得在监管和实际运作中有着及其巨大的差别。

一、 前CRO时代

前CRO时代有以下几个特点：

（一）针对线性风险

在设立CRO前，银行主要通过计算每笔贷款的平均损失来衡量信用风险。在统计学上，如果贷款数量较大，那么平均损失率就十分关键。从技术上来看，平均损失是一个统计变量的预期值，是线性可加的。银行所有风险都分散在各个部门，以各个部门为主体进行核算，把各个部门的损失数字统计出来后，进行简单相加。贷款损失准备金也是线性可加的。

（二）风险管理是出于财务管理要求

在设立CRO之前，银行对于风险并没有明确的概念，一部分是组织结构的原因。例如银行做贷款时，有一部分工作是负责寻找客户，员工的收入与向客户发放的贷款额紧密相关，但是问题在于，银行工作人员所对接的客户可能当前暂时没有较大的风险，但几年之后出现了问题，不过几年后做这项贷款的员工则已经换了一家银行工作，这就使得银行对于风险管理要求很难一以贯之。

在这一阶段，由于银行有记账需求，其风险管理基本是出于财务管理的需要。根据贷款逾期的天数，可将其分为正常、关注、次级、可疑、损失这五类，其中“次级+可疑+损失”叫做不良贷款（NPL）。为了防止出现大面积损失，银行需要提供准备金，计算公式为：

准备金/贷款余额 = 不良贷款率×拨备覆盖率

这种贷款的分类方法以简单的会计准则为依据，是到了发生不良贷款的阶段，但是对于真正的风险管理来说，应当要在事件发生之前控制损失的可能性，事后进行控制可能为时已晚。

在前CRO时代，量化分析做起来相对较为简单，仅仅是一些比率的计算，如平均损失比率等。但是这些比率存在一定的问题，比如不良贷款率，其分母为所有贷款总余额，银行为降低不良贷款率，可采取在每个季度报账之前大量发放贷款这种错误的措施，而非控制现有贷款的风险。由于这些比率在设计上具有特定性的缺陷，所以不适合用来进行深度风险管理。

（三）对于不同资产的风险管理方法上相差不大

贷款基本可以分为两类：商业信贷和消费信贷。消费信贷是给个人发放的贷款，商业信贷是给公司发放的贷款。由于在这一时期，两类贷款的风险都是线性可加的，所以在技术上的处理没有太大差别。

二、 巴塞尔时代

巴塞尔时代针对的是极端风险，考验银行的生存能力。巴塞尔协议最早主要面对的是信用风险，后期才引入市场风险、流动性风险。对于一家银行来说，它所面临的最大风险其实是信用风险，从美国经验来看，信用风险对银行的威胁大概占80%以上。这一结果针对的是可以量化的风险，而有一些风险很难量化，比如监管风险，如果银行压力测试没有通过，其面临的监管风险就会非常大。在巴塞尔以前，不同机构所衡量的风险大小可能有不一样的标准，概念也可能存在不同，巴塞尔协议使世界认识到需要有一个统一的方法来管理风险，并且用统一的语言交流，这时风险管理开始变成一个专门的行业，产生出了CRO这个职位。许多金融机构设立CRO的原因也十分有趣，大部分是因为出了较大的风险事件，才最终决定设立CRO。关于设立CRO，最大的讨论就是CRO需要管理哪些人、人事权力涉及到哪些等问题，在经过较长时间讨论后，最终决定各个部门的风险管理全部都集中到CRO底下。

美国要求前十大银行必须落实巴塞尔协议，从第十一大到第二十大要求自愿性地实施巴塞尔协议，二十大以后则不作要求。我大概于1998、1999年加入了PNC银行，PNC先前在美国大致排前十几名，不是巴塞尔协议的银行，后来变为美国前五六名，从而变成了巴塞尔协议的银行。后来我到Suntrust银行工作，它那时大概为美国第六大，是一家全面的巴塞尔协议银行。我全程参与了这两家银行的全面风险管理的建立并且负责了其中的所有的量化工作。

（一）巴塞尔时代的特点

1.巴塞尔协议的目的是为了防止极端风险，从而导致了风险不可相加，风险的总评估就出现了技术上的困难。把所有风险都集中到首席风险官以下的原因就在于，如果把它们分散开，风险就只能进行简单的线性相加，只有把风险集中在一起进行计算，才能够得到真正有效的风险计量。

2.巴塞尔协议一般使用内部评级法来衡量资产风险，把资产特别是贷款进行细分，把正常类客户细分成15到20个等级，从而区分其面临的不同风险。等级的变化意味着风险的改变，意味着管理手段的改变。

3.巴塞尔协议提出了很多风险度量的参数，它们比较之前的坏账冲销率、贷款逾期率这些会计准则所要求的指标，更能够真正反映风险，比如违约率PD、违约损失率LGD、风险相关度、风险集中度等。其中最新的风险概念，就是风险相关度，比如线性风险就是线性相关，但是很多风险不是线性的，从而导致使用线性相关来处理的话很有可能不准确。风险集中度则说明了风险在一个组合或银行里的某些地方集中，它关注的对象不是单笔贷款，而至少是一个组合，甚至是若干个行业组合或整个银行。

4.因为商业信贷和消费信贷所涉及到的风险参数不一样，所以在处理方法上具有很大的差别。消费信贷有足够多的数据，可以用统计的办法去解决。而商业信贷基本上没有数据，需要用很多模型来建立，而且商业信贷就算有很多理论，它们也很难进行直接验证，比如由于缺少历史数据，就很难验证像IBM这种公司的违约率。

5.巴塞尔协议采用资本适足率这一指标，要求银行持有足够的资本，使其在面临风险时避免破产。巴塞尔协议将资本和风险结合在一起，特别提出了经济资本这个概念。巴塞尔协议中的风险资本，一种是使用标准办法算出的，另一种则是用高级的数学方法算出来的，但是两种资本都和风险相关。巴塞尔协议提供了对于极端风险的衡量，比如一些银行的平均预期损失可能大于其他银行，但其生存能力却可能比其他银行强，所以经济资本和平均预期损失基本没有关系。

（二）经济资本的计算

经济资本表示银行抵抗特定损失的能力，特定损失指的是特定的信用损失，特定是指损失的概率是百分之一（百年一遇）、千分之一（千年一遇）还是万分之一（万年一遇）。任何经济资本的计算都要涉及一个置信区间，在信用风险相关的计算中，一般是99%以上。

经济资本不同于监管资本。监管所要求的资本并不是根据风险有关而计算出来的，而是由政府直接规定需要多少资本，或者是由巴塞尔协议中的标准算法算出来，但是这种算法比较粗糙，不能完全反映出风险情况。用高级数学办法算出来的经济资本，是和风险直接相关的，因为这种算法比较精确，所以算出来的基本要求可能相对较小，而标准算法由于比较粗糙，结果会相对较大。

巴塞尔协议主要是要求信用风险的资本，要计算的是由于信用风险变化所导致的资产质量的改变，从而产生的资本需求。计算过程为：

1.考察银行每一笔资产是否有信用风险，如果有，每一笔资产就会有一个价值分布（信用风险的改变会造成价值的变化），例如债券价格在某一段时间后的变化会有一个分布率。

2.得到每笔资产的分布率后，将这些资产的分布率组合起来，但并不是简单的线性相加，而是要考虑相关度。将所有资产都包含在内后，就得到了银行的损失分布。通常这个损失分布会出现肥尾现象，即大损失的概率永远不会变成0。

3.在银行损失分布中，假如置信区间为99%，剩余1%的极端去除后，从预期损失开始，超出储备金以外的部分就叫作经济资本（一般AAA级的银行的置信区间为99.95%到99.97%）。

经济资本计算的技术问题在于：

1.非线性叠加问题。每个小的分布叠加成一个大的分布，但叠加不是线性的，可以用Copula或其他办法来解决，但较为困难。

2.非线性再分配。比如银行有100亿风险暴露，算出来资本是8%，就是8亿，这8亿是根据每一笔贷款用非线性办法算出来的，还要反馈到每一笔贷款上去，叫做再分配，同样这也是个非线性问题。理论上没有较为简单的办法来解决，而且有时再分配会出现0或者负资本的情况。

3.单笔资产信用风险的计算。它计算的是信用损失，所以价格的分布必须和信用风险有关，这就要求对所有的资产的信用风险有一个很好的估计。由于数据的缺乏，这一点对于商业信贷来说尤为困难。这里商业信贷和消费信贷有根本区别。而房贷又有不同。房贷涉及到几个风险，最根本的风险不单是违约风险，还有提前偿还风险，而导致出现提前偿还的原因是利率的变化。

4.资本目标回报率的确定问题。银行之所以很少用经济资本，是因为还要预定一个资本回报率。资本，在理论上来讲，如果不用来防止损失，就可以用来做风险投资，那么投资回报率是多少这一问题便难以解决，这是因为经济资本不能拿出去。这类资本的回报率和投资的回报率完全不一样，很难有好的量化的办法去解决。

5.电脑技术问题。大规模的计算机模拟运算是必须的。

三、 压力测试时代

（一）压力测试的特点

压力测试的目的是对付系统性风险。系统性风险不是单个银行或金融机构的问题，因此压力测试针对的是整个金融系统，它是现在美国大型金融机构所面临的最大的监管，其实大部分的监管都以压力测试的名义进行。大银行和一些大型保险公司，比如AIG这些对金融系统有重要意义的金融机构，都需要进行压力测试。我曾有机会到Protiviti这家公司帮助建立整个金融风险量化的部门，这个公司虽然是风险管理咨询，但是量化这一块很弱，我去的时候大概只有十个人，去年离开的时候大概有160、170个人，正好赶上了金融风险管理量化时代的黄金时期，所以过去的十年是美国做金融工程的黄金时期。美国做压力测试的一共有大概三十家银行和保险公司，我大概给二十家做过，总体感觉虽然美国保险公司资产远远超过银行，但是风险管理要比银行落后许多。

美国在金融危机之后，通过了财政部的7000亿救市方案，这就需要知道每家银行的真实情况，于是要求银行做压力测试。压力测试规模巨大，成本较高，美国一家银行第一次做压力测试的成本要从上亿美金起跳。

压力测试要求研究每一家金融机构的每一笔资产在不同的条件下价值的变化方向和大小，来考察银行的损失程度。所以从这个角度来讲，它包括所有的风险，不仅是信用风险，还有市场风险、利率风险、流动性风险等等，但是信用风险依然占比较大。压力测试的场景是有一定现实意义的真实场景，所以技术上必须要能准确的预测在这些场景之下银行每一笔资产的改变，使得难度极大。在特定场景下，美联储给出19个宏观经济变量，一般会有3个场景（基本的、坏的和更坏的）。在做模型的时候就会发现，有些变量和模型没有关系，第一个碰到的问题就是怎么把这些变量转换成模型所需要的参数，比如GDP是一个滞后的参数，并不能预测经济，这就面临如何转化的问题。

（二）压力测试的过程

在压力测试进行过程中，首先要进行风险识别和数据获取。这19个参数包含各种风险，需要识别出哪种风险才能够建立模型。压力测试最基本的要求就是要有跨信用周期的数据，没有跨周期的数据就难以做好预测，预测是要把变化的内在结构描述出来，没有历史数据就不能知道变化的结构。在建立模型后，不仅要计算损失，还要计算银行未来业务的变化等这些包含在政府监管中的内容。压力测试不单是一个计算过程，还有一长串与之配套的监管政策，这些正在代替大型银行的风险管理模式。

之前压力测试是在财政部下，后来移到了美联储，银行需要把压力测试的数据都递交给美联储，然后用原始的数据再去验证银行所做的结果，并进行比较，这就使得压力测试规模巨大。压力测试造成了新的行业“模型论证”的产生。在上次金融危机中，发现了一种新的风险——模型风险，这种新的风险非常大，一般经过模型论证可以解决这一问题，但有时做模型论证所花的时间、精力和人员比做模型还要多。

（三）压力测试未通过的情况

在美国，压力测试分为两大类：一类是资产在500亿美元以上的银行（30到35家），做CCAR压力测试；另一类是资产介于100亿到500亿之间的银行，做的是一个比较简单化的压力测试 (DFAST)。如果压力测试没有通过怎么办？此前有家银行的压力测试就出了一些问题。压力测试里有一项内容叫写遗嘱，就是银行必须写一个遗嘱，即银行出问题时所有资产的处理情况。这家银行由于遗嘱没有写好，美联储给它发了两个惩罚：第一个是银行若干年当中不允许在资本市场上做资本运作，比如买回自己的股票、发红利等；第二个是取消高管的奖金。因此每家银行都不愿意在压力测试中出差错。

（四）经济资本和压力测试的区别

经济资本和压力测试最大的区别为：经济资本的分布是无条件的，所以用一些模拟就可以做出来；而压力测试是有条件的，它会指定某几个特别场景，因此必须需要历史数据，同时模型一定要回测得很准确，但是就算回测准确，有一些场景可能历史数据中没有，所以把模型做准非常困难。