中级经济师

二、金融风险的管理

(一)内部控制与全面风险管理

1.内部控制及其要素

(1)内部控制的含义。美国注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)于1985年共同成立了COSO(Committee 0f Sponsoring Organization 0f Treadway Commission，简称COSO)。 COSO于1992年发布了著名的《内部控制——整合框架》，并于1994年作出局部修订，成为有关内部控制的权威文件。该文件将内部控制定义为：内部控制是由一个企业董事会、管理人员和其他职员实施的—个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适用的法律相符合提供一种合理的保证。

巴塞尔银行监管委员会在1997年9月颁布的《有效银行监管的核心原则》中，将内部控制定义为：内部控制的目的是确保一家银行的业务能根据银行董事会指定的政策以谨慎的方式经营。只有经过适当的审批方可进行交易;资产得到保护而负债受到控制;会计及其他记录能提供全面、准确和及时的信息;而且管理层能够发现、评估、管理和控制业务的风险。

中国银监会在2004年12月25日颁布的《商业银行内部控制评价试行办法》中，将内部控制定义为：商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

(2)内部控制的要素。COSO在其《内部控制——整合框架》中正式提出内部控制由五项要素构成：①控制环境。它确定了一个组织的基调，影响着整个组织内工作人员的控制意识，并且是其他内部控制要素的基础。②风险评估。它发现和分析与实现组织目标相关的风险及损失的程度，是整个风险管理决策的基础。③控制活动。即确定一系列具有控制功能的政策和相关的实施程序，以确保管理层的指令、为应对影响组织目标实现的风险而采取的行动得以实施。④信息与沟通。它贯穿于内部控制的过程之中。⑤监督。通过监督，保证内部控制沿着正确的轨迹运行，如果出现偏差，予以合理校正。

巴塞尔银行监管委员会在1998年颁布的《银行内部控制系统的框架》中，提出商业银行的内部控制系统包括管理监督与控制文化、风险识别与评估、控制活动与职责划分、信息与沟通、监管活动与错误纠正五项要素。

中国银监会在《商业银行内部控制评价试行办法》中，认为商业银行内部控制的五项要素是：①内部控制环境;②风险识别与评估;③内部控制措施;④监督评价与纠正;⑤信息交流与反馈。

2.全面风险管理及其架构

近年来，世界各国的关注重点日益集中在风险管理上，迫切需要一个能够有效识别、评估和控制风险的强有力框架问世。特别是国际上发生了一系列令人瞩目的企业丑闻和事件以后，这种迫切性更为凸现。为此，COSO开始着力开发一个便于管理层评价和改进其所在企业的风险管理的框架，并于2004年9月正式发布了《企业风险管理——整合框架》文件，这标志着拓展并内含内部控制体系的全面风险管理模式的问世。

全面风险管理的概念和模式提出以后，深受世界各国、各界的重视和关注，我国也不例外。结合我国国情，经过认真研究，国务院国有资产监督管理委员会于2006年6月20日正式对外发布了《中央企业全面风险管理指引》，对中央企业建设全面风险管理体系的内容、流程以及工具和方法进行了详细的阐述，并提出了明确的执行要求。

巴塞尔银行监管委员会重点关注和力推商业银行的全面风险管理，在2004年6月公布的巴塞尔新资本协议中就融入了全面风险管理的理念和要求，标志着商业银行的风险管理出现了显著的变化，就是由以前单纯的信用风险管理模式转向信用风险、市场风险和操作风险管理并举，信贷资产管理与非信贷资产管理并举，组织流程再造与技术手段创新并举的全面风险管理模式。

(1)全面风险管理的含义。COSO在《企业风险管理——整合框架》文件中认为：全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。

(2)全面风险管理的架构。COSO在《企业风险管理——整合框架》文件中认为：全面风险管理是三个维度的立体系统。这三个维度是：①企业目标，包括战略目标、经营目标、报告目标和合规目标等四个目标。②风险管理的要素，包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控等八个要素。③企业层级，包括整个企业、各职能部门、各条业务线及下属子公司。全面风险管理的八个要素都为实现目标服务;八个要素的管理活动在每个层级上展开。

(二)金融风险管理的流程

1.风险识别

风险识别就是要辨明所面临的风险在质上属于何种类型。用于风险识别的方法主要是“筛选—监测—诊断法”和风险树搜寻法等。

2.风险评估

风险评估就是采用有关定量分析的方法，对风险进行量化，度量和评价所面临的风险在量上的大小。风险评估的内容包括估计经济损失发生的频率和测算经济损失的严重程度。

信用风险的评估方法主要有Zeta法、Creditmetries模型和KMV模型。

市场风险的评估方法主要有风险累积与聚集法、概率法、灵敏度法、波动性法、风险价值法(VaR法)、极限测试法和情景分析。

操作风险的评估方法主要有基本指标法、标准化法、内部测量法和损失分布法。

3.风险分类

风险分类就是根据风险识别和评估的结果，按照所面临的每种风险发生的频率和严重性，将其分别归人不同的“风险级别”。

风险分类可以采用图像法，如图10—1所示：

4.风险控制

风险控制就是根据风险分类的结果、风险策略和对收益与成本的权衡，针对确需管理的风险，在诸多的风险管理的政策措施中作出选择，并具体实施与之相应的管理方法。

5.风险监控

风险监控就是按照风险政策和程序，对风险控制的运作进行监督和控制，具体包括对风险政策的建议、对是否超过经济资本限额的监督、对违反风险政策的调查、对风险政策是否适时适当的观测和确认等。

6.风险报告

风险报告就是定期通过管理信息系统，将风险及其管理情况报告给董事会、股东和监管当局。

(三)信用风险的管理

1.机制管理

机制管理就是建立起针对信用风险的管理机制。对商业银行而言，信用风险的管理机制主要有：①审贷分离机制，即在内部控制机制的框架下建立起贷款的审查与贷款的决策的分离机制，避免将贷款的审查与决策集中于一个职能部门或人员。②授权管理机制，即总行对所属的职能部门、下属的分支机构，根据层级和管理水平的高低等因素，分别授予具体的最高信贷权限。③额度管理机制，即总行对全行系统给予某一特定客户在某一特定时期的授信规定最高限额。

2.过程管理

过程管理就是针对信用由提供到收回的全过程，在不同的阶段采取不同的管理方法。对商业银行而言，主要有以下三个方面：

(1)事前管理。事前管理在于商业银行在贷款的审查与决策阶段的管理。在此阶段。商业银行审查的核心是借款人的信用状况，决策的核心是贷与不贷、以什么利率贷。

要分析借款人的信用状况，商业银行一方面可以直接利用社会上独立评级机构对借款人的信用评级结果，另一方面可以自己单独对借款人进行信用的“5C”和“3C”分析。“5C”和“3C”分析主要围绕两个方面，即借款人的还款意愿和还款能力。“5C”分析是分析借款人的Capacity、Capital、Character、Collateral和Conditions，即偿还能力、资本、品格、担保品和经营环境。“3C”分析是分析借款人的Cash、Control和Continuity，即现金流、管理和事业的连续性。

(2)事中管理。事中管理在于商业银行在贷款的发放与回收阶段的管理。在此阶段，商业银行关注的重点是贷款不要被挪用、贷款是否被有效使用、跟踪借款人信用状况的变化、出现异常及时采取应对措施。

事中管理的主要方法是：建立针对借款人的信用恶化预警机制;建立不良贷款的分析审查机制;监控、监测借款人的资金用途和使用状况;为借款人提供理财服务;提前转让债权;争取政府支持;帮助借款人开辟市场;追加贷款;贷款展期;行使抵押权或质押权;追索保证人;向法院起诉;使用信用衍生工具等。

在事中管理阶段，商业银行要进行贷款风险分类。目前采用的贷款五级分类方法，即把已经发放的贷款分为正常、关注、次级、可疑和损失等五个等级。正常类贷款是有充分把握还本付息的贷款;关注类贷款是未违约，但存在负面影响财务状况的主客观因素的贷款;次级类贷款是还款能力出现明显问题，依靠正常收入不能保证还本付息，本息逾期90天以上的贷款;可疑类贷款是本息逾期180天以上，无法足额还本付息，即使执行抵押和担保也要发生一定损失的贷款;损失类贷款是本息逾期1年以上，即使采取一切措施和程序，也无法回收的贷款。

(3)事后管理。事后管理在于商业银行在贷款完全回收以后的管理。在此阶段，商业银行要回顾与反思贷款过程中的经验教训，固化经验，融入制度，形成长效机制;吸取教训，亡羊补牢，填补和加强制度中的空白点和薄弱环节。如此循环往复，螺旋式上

（责任编辑：中大编辑）