瑞士风险管理实践的巨大差距

瑞士风险管理实践的巨大差距

在Archegos和Greensill双胞胎惨败之后，瑞士信贷的风险管理成为人们关注的焦点。但鉴于银行业依赖于有问题的控制实践，其背后的根本原因可能比事件本身更深。

瑞士信贷重组内部控制框架已经快一年了。正如该银行所指出的，当时，这主要对其第二道防线产生了影响。

然后首席风险官LaraWarner接任合规职能，成为新的首席风险与合规官（CRCO）。首席执行官ThomasGottstein领导下的银行管理层希望从那一步创建一个更有效的控制环境，但他们也将其作为消除重复的一种方式，而不是最后，节省成本。

CRO被解雇

现在一切都在不断变化。两次失败后，华纳不得不在四月份离开。瑞士信贷再次将风险和合规分开，JoachimOechslin负责风险和ThomasGrotzer合规。

除此之外，瑞士联邦市场监管局（FINMA）对瑞士信贷展开了两项调查，这两项调查都明确关注风险管理。一项内部调查也在试图弄清楚发生了什么。和瑞士信贷的新董事长，安东尼奥·奥尔塔-奥索里奥，曾经说过，风险是当务之急。

外部和内部调查仍在继续，许多人渴望看到结论。有可能更多的头会滚动。与此同时，对瑞士信贷和其他瑞士银行控制风险的方式提出任何根本性批评的可能性要小得多。

标准化瘫痪

但这样的讨论是相关的、重要的，而且是姗姗来迟。该行业所依赖的模型可以追溯到1990年代，许多专家认为该模型完全不适合当今。这是在详细的ISO规范渗透到我们日常生活的每个角落的时代——甚至银行自己也在使用。

丹尼尔·布尔是一名律师，他是多年来一直抗议当前事态的人之一。作为Lalive的合伙人，他牺牲了无数的时间和精力去远至澳大利亚参加风险管理会议。他对公众的批评并不害羞。

1990年代的根源

布尔知道他在说什么。他是法医和白领犯罪方面的专家，他为大公司提供建议，以保护自己免受各种风险的影响。他帮助ThurgauerKantonalbank解决了与美国的税务纠纷而无需支付罚款，同时还协助该银行进一步发展其内部控制框架。他还是瑞士道德与合规（ECS）名誉主席和国际标准化组织（ISO）治理与合规管理专家委员会成员。

他特别批评三道防线，这是美国内部审计师协会（IIA）在1990年代开发的控制框架。

没有人真正知道

2013年对IIA模型的稍微更新的描述只有七页长，描述了三行中每一行的作用。管理风险的运营前线，监督风险的第二线，内部审计作为提供保证的第三线。这是一个操作模型，由于其简洁性而仍然含糊不清，因此可以以非常不同的方式实施。

Bühr谈到在行业会议上，没有人能够准确地告诉他哪些功能和流程属于任何特定的防线。

失败案例研究

IIA模式在银行业的失败引起了最高层的关注。在欧盟委员会最近的银行洗钱案件表示，三道防线失败在一个或多个区域，并将其与案例研究，详细说明了如何慷慨洒报告。

瑞士银行业广泛遵循IIA指南，包括瑞士信贷。这是在监管机构的祝福下发生的。Bühr说，巴塞尔国际清算银行（BIS）银行监管委员会使用该模型作为参考，并暗中推荐它。Finma自2017年起生效的银行业公司治理指南也使用了它。

困惑的需求

这一切都与ISO管理体系规范（风险管理的ISO31000和合规性的ISO37301）相混淆，后者是使用国际支持的方法制定的，尽管它们主要关注各种控制功能的独立性。

这可能会导致矛盾。公司治理指南要求独立的控制职能从法律、监管和内部政策的角度监督风险。控制职能的薪酬制度不应提供任何可能导致任何利益冲突的激励措施。尽管ISO规范对风险管理和合规职能进行了强烈的细分和区分，但它们的说法大致相同。

前线控制本身

Finma的公司治理指南将IIA模式下的创收单位称为控制功能（第一道防线）。然而，在ISO下，这很关键，前端永远不应该控制自己。任何与系统相关的银行都必须任命一名风险负责人，他是管理层成员，还可以负责其他控制职能，例如合规性。

但是这样就没有独立性了。风险负责人将成为管理层薪酬和激励计划的一部分，这与Finma的指导背道而驰。Bühr说，将独立的控制功能或风险控制与合规联系起来，也会使后者放弃其独立性，这也与指导背道而驰。

激励更多风险

Finma尚未回答有关该指南有效性的问题。瑞士信贷不想谈论其内部控制框架。然后假设它目前正在评估是否需要改变公司治理，同时它也需要注意ISO。

Bühr还证实，风险和合规职能除了缺乏内部控制系统的精确方法之外，还缺乏足够的公司治理。

管理和企业文化往往与风险能力和容忍度不一致，这通常会在没有有效管理或控制的情况下激励冒险。

许多专家还坚持认为，控制职能并非真正独立于一线，他们没有必要的能力，直至董事会级别，以履行其角色、职责或责任。

忽略合规性

前猎鹰私人银行与马来西亚1MDB丑闻有关的案例表明，这些指控并非空穴来风。FINMA在2016年对该银行实施制裁时在其报告中详细说明了合规性是如何被忽视的。

但银行通常不会回避ISO规范。例如，IT部门必须遵循严格的标准。正如Finews报道的那样，该行业已支付超过10亿美元来实施新的SIC4支付系统，以确保与欧盟的ISO20022兼容。

巨额成本

如果银行试图阻止系统地捕捉银行和系统性风险的现代系统的实施，它们将没有什么可争论的。内部控制不完善的机会成本对研究所及其股东来说是真实而可怕的。

您甚至不必考虑Archegos的重大损失。在瑞士国家银行最近计算，国内各大银行必须持有更多的7个百分点，资本运作风险比国外竞争对手做的。这是因为他们过去卷入了如此多的事件和法律案件。

《别无选择》

当您认为瑞银和瑞士信贷的资产负债表大于瑞士的年度GDP时，您可以大致了解正在谈论的数字类型，或者未来可能会被讨论的数字。

“别无选择”，Bühr说。有全面的国际规范和公认的风险管理、合规性、IT安全和腐败框架。许多技术在技术上精确并反映了国际“最佳实践”。一切对他来说都很清楚。如果不遵循这些框架和未来的公司治理标准，例如ISO37000，那么银行的内部控制将不会有效。

他警告。管理层将因疏忽而承担越来越大的责任。