中级经济师

二、金融风险的管理

(一)内部控制与全面风险管理

1.内部控制及其要素

(1)内部控制的含义。美国注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务经理协会( FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)于1 985年共同成立了COSO( Committee of Sponsoring Organization of Treadway Commission，简称COSO)。COSO于1 992年发布了著名的《内部控制——整合框架》，并于1 994年做出局部修订，成为有关内部控制的权威文件。该文件将内部控制定义为：内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适用的法律相符合提供一种合理的保证。

巴塞尔银行监管委员会在1997年9月颁布的《有效银行监管的核心原则》中，将内部控制定义为：内部控制的目的是确保一家银行的业务能根据银行董事会指定的政策以谨慎的方式经营。只有经过适当的审批方可进行交易;资产得到保护而负债受到控制;会计及其他记录能提供全面、准确和及时的信息;而且管理层能够发现、评估、管理和控制业务的风险。

中国银行业监督管理委员会在20 1 4年9月1 2日印发修订后的《商业银行内部控制指引》中，将内部控制定义为：内部控制是商业银行董事会-.、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

(2)内部控制的要素。 COSO在其《内部控制——整合框架》中正式提出内部控制由五项要素构成：①控制环境。它确定了一个组织的基调。影响着整个组织内工作人员的控制意识，并且是其他内部控制要素的基础。②风险评估。它发现和分析与实现组织目标相关的风险及其损失的程度，是整个风险管理决策的基础③控制活动。就是确定一系列具有控制功能的政策和相关的实施程序，以确保管理层的指令、为应对影响组织目标实现的风险而采取的行动得以实施。④信息与沟通。它贯穿于内部控制的过程之中。⑤监督。通过监督，保证内部控制沿着正确的轨迹运行，如果出现偏差，予以合理校正。

巴塞尔银行监管委员会在1 998年颁布的《银行内部控制系统的框架》中，提出商业银行的内部控制系统包括管理监督与控制文化、风险识别与评估、控制活动与职责划分、信息与沟通、监管活动与错误纠正五项要素。

中国银行业监督管理委员会在20 1 4年9月1 2日印发修订后的《商业银行内部控制指引》中，指出商业银行内部控制的目标是：保证国家有关法律法规及规章的贯彻执行，保证商业银行发展战略和经营目标的实现，保证商业银行风险管理的有效性，保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。商业银行内部控制应当遵循全覆盖、制衡性、审慎性、相匹配等基本原则。

2.全面风险管理及其架构

进入2 1世纪以后，世界各国更加关注风险管理，迫切需要一个能够有效识别、评估和控制风险的强有力框架问世。特别是国际上发生了一系列令人瞩目的企业丑闻和失败事件以后，这种迫切性更为凸显。为此，COSO开始着力开发一个便于管理层评价和改进其所在企业的风险管理的框架，并于2004年9月正式发布了《企业风险管理——整合框架》文件，这标志着拓展并内含内部控制体系的全面风险管理模式的问世。

巴塞尔银行监管委员会重点关注和推行商业银行的全面风险管理，在2004年6月公布的“巴塞尔协议Ⅱ”中就融人了全面风险管理的理念和要求，标志着商业银行的风险管理出现了显著的变化，就是由以前单纯的信用风险管理模式转向信用风险、市场风险和操作风险管理并举，信贷资产管理与非信贷资产管理并举，组织流程再造与技术手段创新并举的全面风险管理模式。

(1)全面风险管理的含义。COSO在《企业风险管理——整合框架》文件中认为：全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。

(2)全面风险管理的架构。COSO在《企业风险管理——整合框架》文件中认为：全面风险管理是三个维度的立体系统。这三个维度是：①企业目标，包括战略目标、经营目标、报告目标和合规目标等四个目标。②风险管理的要素，包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控八个要素。③企业层级，包括整个企业、各职能部门、各条业务线及下属子公司。全面风险管理的八个要素都为实现目标服务;八个要素的管理活动在每个层级上展开。

在全面风险管理发展过程中，中国已经走在世界前列，不仅由中国国家标准化管理委员会派出专家学者参与了《ISO31000：风险管理原则与实施指南》的制定，而且对风险也采用了中国专家的定义。此外，2006年6月，国务院国有资产监督管理委员会较早地提出了具有指导意义的全面风险管理指引——《中央企业全面风险管理指引》，对中央企业建设全面风险管理体系的内容、流程以及工具和方法进行了详细的阐述，并提出了明确的执行要求。 2010年1 0月24日，中国保险监督管理委员会也深入借鉴了欧盟偿付能力Ⅱ的成果，推出了《人身保险公司全面风险管理实施指引》。

20 1 6年9月27日，中国银行业监督管理委员会颁布了《银行业金融机构全面风险管理指引》(以下简称《指引》)，《指引》对银行业金融机构全面风险管理提出四点管理原则：一是匹配性原则，二是全覆盖原则，三是独立性原则，四是有效性原则。《指引》提出了银行业金融机构全面风险管理体系的五个主要要素，包括风险治理架构，风险管理策略、风险偏好和风险限额，风险管理政策和程序，管理信息系统和数据质量控制，内部控制和审计体系。

(二)金融风险管理的流程

(1)风险识别。风险识别就是要辨明所面临的风险在质上属于何种类型。用于风险识别的方法主要是“筛选一监测一诊断法”和风险树搜寻法等。

(2)风险评估。风险评估就是采用有关定量分析的方法，对风险进行量化，度量和评价所面临的风险在量上的大小。风险评估的内容包括估计经济损失发生的频率和测算经济损失的严重程度。

1)信用风险的评估方法主要有Zeta法、Creditmetrics模型、KMV模型、Cl-edit Risk+模型和Creclit Portfolio View麦肯锡模型。

2)市场风险的评估方法主要有风险累积与聚集法、概率法、灵敏度法、波动性法、风险价值法(VaR法)、极限测试法和情景分析法。

3)操作风险的评估方法主要有初级计量法(包括基本指标法和标准化法)和高级计量法(包括内部测量法和损失分布法)。

(3)风险分类。风险分类就是根据风险识别和评估的结果，按照所面临的每种风险发生的频率和严重性，将其分别归人不同的“风险级别”。

风险分类可以采用图像法，如图7-5所示。

 (4)风险控制。风险控制就是根据风险分类的结果、风险策略和对收益与成本的权衡，针对确需管理的风险，在诸多的风险管理的政策措施中做出选择，并具体实施与之相应的管理方法。

(5)风险监控。风险监控就是按照风险政策和程序，对风险控制的运作进行监督和控制，具体包括对风险政策的建议、对是否超过经济资本限额的监督、对违反风险政策的调查、对风险政策是否适当适时的观测和确认等。

(6)风险报告。风险报告就是定期通过管理信息系统，将风险及其管理情况报告给董事会、股东和监管机构。

(三)信用风险的管理

1.机制管理

机制管理就是建立起针对信用风险的管理机制。对商业银行而言，信用风险的管理机制主要有：①审贷分离机制，即在内部控制机制的框架下建立起贷款的审查与贷款的决策相分离机制，避免将贷款的审查与决策集中于一个职能部门或人员。②授权管理机制，即总行对所属的职能部门、下属的分支机构，根据层级和磐理水平的高低等因素，分别授予具体的最高信贷权限。③额度管理机制，即总行对全行系统给予某一特定客户在某一特定时期的授信规定最高限额。

2.过程管理

过程管理就是针对信用由提供到收回的全过程，在不同的阶段采取不同的管理方法。对商业银行而言，主要有以下三个方面：

(1)事前管理。事前管理在于商业银行在贷款的审查与决策阶段的管理。在此阶段，商业银行审查的核心是借款人的信用状况，决策的核心是贷与不贷、以什么利率水平贷。

要分析借款人的信用状况，商业银行一方面可以直接利用社会上独立评级机构对借款人的信用评级结果，另一方面可以自己单独对借款人进行信用的“5C”“3C”分析。“5C”“3C”分析主要围绕两个方面，即借款人的还款意愿和还款能力。“5C”分析是分析借款人的Capacity、Capital、Charater、Collateral和Conditions，即偿还能力、资本、品格、担保品和经营环境。“3C"分析是分析借款人的Cash、Control和Continuity，即现金流、管理和事业的连续性。

(2)事中管理。事中管理在于商业银行在贷款的发放与回收阶段的管理。在此阶段，商业银行关注的重点是贷款不要被挪用、贷款是否被有效使用、跟踪借款人信用状况的变化、出现异常及时采取应对措施c

在事中管理阶段，商业银行要进行贷款风险分类。目前采用的贷款五级分类方法，即把已经发放的贷款分为正常、关注、次级、可疑和损失五个等级。

(3)事后管理。事后管理在于商业银行在贷款完全回收以后的管理。在此阶段，商业银行要回顾与反思贷款过程中的经验教训，固化经验，融入制度，形成长效机制;吸取教训，亡羊补牢，填补和加强制度中的空白点和薄弱环节。如此循环往复，螺旋式上升，不断提高信用风险的管理水平。

3.风险控制方法

(1)信用风险缓释。信用风险缓释是指商业银行运用合格的抵质押品、净额结算、保证和信用衍生工具等方式转移或降低信用风险。商业银行采用内部评级法计量信用风险监管资本，信用风险缓释功能体现为违约概率、违约损失率或违约风险敝口的下降。自巴塞尔协议Ⅱ之后，迄今为止最初级内评法下认可的风险缓释工具包括：抵质押交易、表内净额结算、保证与担保、信用衍生工具。

(2)信用风险转移。信用风险转移是指金融机构一般是指商业银行，通过使用各种金融工具把信用风险转移到其他银行或其他金融机构。在信用风险转移市场出现以前，商业银行在发放贷款以后只能持有至贷款违约或到期日，信用风险管理方式主要是贷前审查、贷后监督和降低信贷集中度等手段，而信用风险转移市场的出现使得商业银行可以根据自身资产组合管理的需要对信用风险进行转移，从而更加主动灵活地进行信用风险管理。

(四)市场风险的管理

市场风险控制的基本方法包括：限额管理、市场风险对冲及经济资本配置。

常用的市场风险限额包括交易限额，即对总交易头寸或净交易头寸设定的限额;风险限额，即对按照一定的计量方法所计量的市场风险设定的限额;止损限额，即允许的最大损失额;敏感度限额，即保持其他条件不变的前提下，对单个市场风险要素(利率、汇率、股票价格和商品价格)的微小变化对金融工具和资产组合收益或经济价值影响程度所设定的限额。

除了运用限额管理来控制市场风险外，金融机构还可以有效地使用相关金融工具，在一定程度上实现对冲市场风险，即当原风险敞口出现亏损时，新风险敞口能够盈利，并且尽量使盈利能够弥补全部亏损，使金融机构处于一种免疫状态。市场风险对冲有两种方法：表内对冲——配对管理和表外对冲——利用金融衍生品对冲c表内对冲通过资产负债结构的有效搭配，使金融机构处于风险免疫状态(表内套期保值)。表外对冲也可理解为市场对冲。

经济资本配置通常采取自上而下或自下而上法。前者通常用于制定市场风险管理战略规划，后者通常用于当期绩效考核。

1.利率风险的管理

利率风险的管理方法主要有：①选择有利的利率，即基于对利率未来走势的预测，债权人或债务人选择有利于自己的固定利率或浮动利率;②调整借贷期限，即当预测到利率正朝着不利于自己的方向变动时，债权人或债务人可以选择提前收回债权或提前偿还债务：③缺口管理，即商业银行在资产与负债中分别区分出利率敏感性资产与利率敏感性负债，并计算出利率敏感性资产减去利率敏感性负债后的缺口，在预测到利率上升或下降时，将缺口调为正值或负值，以提高或稳定银行的净利息收益;④久期管理，即商业银行分别计算和预测出利率性资产和利率性负债的久期，再计算出利率性资产的久期减去利率性负债的久期后的久期缺口，当利率上升或下降时，将久期缺口调为负值或正值，以增加或稳定银行净值;⑤利用利率衍生品交易，即通过做利率期货交易或利率期权交易进行套期保值，通过做利率互换交易把不利于自己的固定利率或浮动利率转换为对自己有利的浮动利率或固定利率，通过做远期利率协议提前锁定自己的借款利率水平，通过做利率上限、利率下限和利率上下限锁定借方最高成本、贷方最低收益和借贷最高成本与最低收益的区间。

2.汇率风险的管理

汇率风险的管理方法主要有：①选择有利的货币，即基于对汇率未来走势的预测，外币债权人或债务人选择有利于自己的硬币、软币或软硬货币组合;②提前或推迟收付外币，即当预测到汇率正朝着不利于或有利于自己的方向变动时，外币债权人提前或推迟收入外币，外币债务人提前或推迟偿付外币;③进行结构性套期保值，即对方向相反的风险敝口进行货币的匹配和对冲，例如针对交易风险将同种货币的收入和支出相抵，针对折算风险将同种货币的资产和负债相抵，针对经济风险在收入的货币和支出的货币之间建立长期的匹配关系;④做远期外汇交易，提前锁定外币兑换为本币的收入或本币兑换为外币的成本;⑤做货币衍生品交易，例如通过做货币期货交易或货币期权交易进行套期保值，通过做货币互换交易把不利于自己的软币或硬币转换为对自己有利的硬币或软币。

3.投资风险的管理

(1)股票投资风险的管理方法。股票投资风险的管理方法主要有：④根据对股票价格未来走势的预测，买入价格即将上涨的股票或卖出价格即将下跌的股票;②根据风险分散原理，按照行业分散、地区分散、市场分散、币种分散等因素，进行股票的分散投资，建立起相应的投资组合，并根据行业、地区与市场发展的动态和不同货币的汇率走势，不断调整投资组合;③根据风险分散原理，在存在知识与经验、时间或资金等投资瓶颈的情况下，不进行个股投资，而是购买股票型投资基金;④同样根据风险分散原理，做股指期货交易或股指期权交易，作为个股投资的替代，以规避个股投资相对集中的风险。

(2)金融衍生品投资风险的管理方法。金融衍生品投资风险的管理主要运用限额管理及进行风险敞口对冲与套期保值。

(五)操作风险的管理

“为了进行操作风险的有效管理，必须建立起操作风险管理框架”，这已成为国际银行界的共识。2010年1 2月1 0日，巴塞尔银行监管委员会(BCBS)发布的《操作风险管理和监管的良好做法》中指出监管机构应建立适当的机制，对银行涉及操作风险的政策、程序和系统进行直接或间接地定期独立评估，并掌握银行的发展情况。监管机构对操作风险的监管评估应覆盖理论上涉及操作风险管理的所有领域。监管机构可以通过一系列的监管措施矫正在监管评估过程中发现的银行操作风险管理的缺陷。监管机构可以在监测和评估银行操作风险管理的发展情况的基础上，分析影响其有效性的原因，并在与其他银行的情况进行对比后进行反馈，帮助银行了解和改善自身的管理状况。

中国银行业监督管理委员会2007年印发的《商业银行操作风险管理指引》中要求，操作风险管理框架至少应包括以下基本要素：董事会的监督控制，高级管理层的职责，适当的组织架构，操作风险管理政策、方法和程序以及计提操作风险所需资本的规定。

操作风险管理应当在风险管理战略的指引下进行，风险管理战略为银行设定了包括业务目标、风险容忍度和操作风险管理政策在内的最终目标和基本方法。银行的风险管理战略与业务目标应是一致的。风险容忍度是风险战略的核心内容，它是银行的风险承受水平。操作风险管理政策则是在坚持遵循商业银行总体目标的前提下，对操作风险管理过程中各相关部门所负有的职责、所采用的技术和方法等问题的具体规定。操作风险管理政策是商业银行操作风险管理的总纲领，主要内容应包括：操作风险的定义;适当的操作风险管理组织架构、权限和责任;操作风险的识别、评估、监测和控制/缓释程序;操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求;应针对现有的和新推出的重要产品、业务活动、业务创新、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。

(六)其他风险的管理

1.流动性风险的管理

流动性风险管理的主要着眼点是：①保持资产的流动性，如建立现金资产的一级准备和短期证券的二级准备;提高存量资产的流动性，将抵押贷款、应收信用卡账款等资产证券化，出售固定资产再回租等。②保持负债的流动性，如增加大额存单、债券、拆借、回购、转贴现、再贴现等主动型负债，创新存款品种，通过开展其他业务带动存款等。③进行资产和负债流动性的综合管理，实现资产与负债在期限或流动性上的匹配。

2.法律风险与合规风险的管理

金融机构应建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系。在全面风险管理体系下，完整的合规风险管理体系应包括合规风险管理环境、合规风险管理目标与政策制定、合规风险监测与识别、合规风险评估、合规风险应对、内部控制与管理、合规风险信息处理与报告、后评价与持续改进等八个互相联系的要素。

法律风险与合规风险管理的办法包括：政策层面确立合规基调，建立合规文化，识别、评估、报告合规风险，建立合规风险预警与整改机制，将合规纳入考核范畴并实行间责机制，持续改进等。

3.国家风险的管理

(1)国家层面的管理方法。由于国家风险牵涉到其他国家，因此，国家层面应当运用经济、政治、外交等多种手段，为本国居民管理其所承受的国家风险创造良好的条件和环境。例如，与他国签订双边投资促进与保护协定;设立官方的保险或担保公司对国家风险提供保险或担保;积极参与各国际组织、区域性组织的多边投资保护协定的谈判活动，将对外投资保护工作纳入国际保护体系;加强外交对对外经贸活动的支持;金融监管机构在金融监管中要求商业银行对有关国家的债权保持最低准备金等。

(2)企业层面的管理方法。金融机构及其他企业管理国家风险的主要方法有：将国家风险管理纳入全面风险管理体系;建立国家风险评级与报告制度;建立国家风险预警机制;设定科学的国际贷款的审贷程序，在贷款决策中必须评估借款人的国家风险;对国际贷款实行国别限额管理、国别差异化的信贷政策、辛迪加形式的联合贷款和寻求第三者保证等;在二级市场上转让国际债权;实行经济金融交易的国别多样化;与东道国政府签订“特许协定( ConcessionAgreement)”;投保国家风险保险;实行跨国联合的股份化投资，发展当地举足轻重的战略投资者或合作者等。

4.声誉风险的管理

有效的声誉风险管理是具备资质的管理人员、高效的风险管理流程以及先进的信息系统共同作用的结果c截至目前，国内外金融机构尚未开发出有效的声誉风险管理量化技术，但普遍认为声誉风险管理的最佳实践操作是推行全面风险管理理念、改善公司治理结构，并预先做好防范危机的准备，确保各类风险被正确识别、有效排序，并得到有效管理，具体包括：强化声誉风险管理培训;加强操作风险、合规风险管理，增强对客户、公众的透明度，减少操作失误及违规违纪行为;制定危机管理规划，保持与媒体的良好接触，确保及时处理投诉和批评，应对声誉危机事件发生：尽量保持大多数利益持有者的期望与金融机构的发展战略相一致，将金融机构社会责任感和经营目标结合起来等。

（责任编辑：）

共5页,当前第2页  第一页  前一页  下一页