全面風險管理是近年來管理界和審計人員經(jīng)常提及的概念之一。 特別是在2004年6月《新巴塞爾協(xié)議》發(fā)布以后，不少媒體刊登了大量文章，討論全面風險管理問題。其實，全面風險管理不是一個新話題，早先的說法叫做“企業(yè)級的風險管理”（Enterprise Risk Management）。推行全面風險管理，將在一定程度上提高我國企業(yè)風險控制的水平。但是，推行全面風險管理是一個長期、艱苦的工作，需要得到許多部門和人員認可，而來自高級管理層的重視是非常重要的。推行全面風險管理，有一些基礎(chǔ)的工作要做，如資本金分配、內(nèi)部資金定價、機構(gòu)設(shè)計等等。

 

一、風險管理體系的基本要素

 

按照2003年7月美國COSO（The Committee of Sponsoring Organization of the Theadway Commission）公布的《全面風險管理框架》（草案）所描述的內(nèi)容，全面風險管理是一個從企業(yè)戰(zhàn)略目標制定，到目標實現(xiàn)的風險管理過程。它可以簡單描述為三個維度：企業(yè)目標、全面風險管理要素、企業(yè)的各個層級；企業(yè)目標包括四個方面：戰(zhàn)略目標、經(jīng)營目標，、報告目標和合規(guī)目標；全面風險管理要素有八個：內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。全面風險管理的八個要素為企業(yè)的四個目標服務；企業(yè)的各個層面要堅持同樣的四個目標；每個層面都必須從八個要素進行風險管理。 企業(yè)必須按照要求，建立與企業(yè)的業(yè)務性質(zhì)、規(guī)模和復雜程度相適應的、完善的、可靠的風險管理體系。在實際操作中風險管理體系主要包括如下基本要素：

 

（一）董事會和高級管理層的有效監(jiān)控；

 

（二）完善的風險管理政策和程序；

 

（三）完善的風險識別、計量、監(jiān)測和控制程序；

 

（四）完善的內(nèi)部控制和獨立的外部審計；

 

風險管理應適當考慮風險類別，如市場風險、金融風險、信用風險、流動性風險、操作風險、法律風險、聲譽風險等風險的相關(guān)性，并協(xié)調(diào)各類風險管理的政策和程序。

 

二、 風險管理體系的管理過程

 

（一） 董事會和高級管理層的監(jiān)控

 

企業(yè)的董事會和高級管理層對風險管理體系實施有效監(jiān)控。

 

　　企業(yè)的董事會承擔對風險管理實施監(jiān)控的最終責任，確保企業(yè)有效地識別、計量、監(jiān)測和控制各項業(yè)務所承擔的各類風險。董事會負責審批風險管理的戰(zhàn)略、政策和程序，確定企業(yè)可以承受的風險水平，督促高級管理層采取必要的措施識別、計量、監(jiān)測和控制風險，并定期獲得關(guān)于風險性質(zhì)和水平的報告，監(jiān)控和評價風險管理的全面性、有效性以及高級管理層在風險管理方面的履職情況。董事會可以授權(quán)其下設(shè)的專門委員會履行以上部分職能，獲得授權(quán)的委員會應當定期向董事會提交有關(guān)報告。

 

　　企業(yè)的高級管理層負責制定、定期審查和監(jiān)督執(zhí)行風險管理的政策、程序以及具體的操作規(guī)程，及時了解風險水平及其管理狀況，并確保企業(yè)具備足夠的人力、物力以及恰當?shù)慕M織結(jié)構(gòu)、管理信息系統(tǒng)和技術(shù)水平來有效地識別、計量、監(jiān)測和控制各項業(yè)務所承擔的各類風險。

 

　　企業(yè)的董事會和高級管理層對與本企業(yè)風險有關(guān)的業(yè)務、所承擔的各類風險以及相應的風險識別、計量和控制方法應有足夠的了解。

 

　　企業(yè)的監(jiān)事會應當監(jiān)督董事會和高級管理層在風險管理方面的履職情況。

 

企業(yè)要設(shè)立專門的部門負責風險管理工作。負責風險管理的部門應當職責明確，與承擔風險的業(yè)務經(jīng)營部門保持相對獨立，向董事會和高級管理層提供獨立的風險報告，并且具備履行風險管理職責所需要的人力、物力資源。負責風險管理部門的工作人員應當具備相關(guān)的專業(yè)知識和技能，并充分了解企業(yè)與風險有關(guān)的業(yè)務、所承擔的各類風險以及相應的風險識別、計量、控制方法和技術(shù)。企業(yè)應當確保其薪酬制度足以吸引和留住合格的風險管理人員。

 

　　企業(yè)負責風險管理的部門應當履行下列職責：

 

　 1．擬定風險管理政策和程序，提交高級管理層和董事會審查批準；

 

　 2．識別、計量和監(jiān)測風險；

 

　 3．監(jiān)測相關(guān)業(yè)務經(jīng)營部門和分支機構(gòu)對風險限額的遵守情況，報告超限額情況；

 

　 4．設(shè)計、實施事后檢驗和壓力測試；

 

　 5．識別、評估新產(chǎn)品、新業(yè)務中所包含的風險，審核相應的操作和風險管理程序；

 

6．及時向董事會和高級管理層提供獨立的風險報告；

 

　 7．其他有關(guān)職責。

 

企業(yè)承擔風險的業(yè)務經(jīng)營部門應當充分了解并在業(yè)務決策中充分考慮所從事業(yè)務中包含的各類風險，以實現(xiàn)經(jīng)風險調(diào)整的收益率的最大化。業(yè)務經(jīng)營部門應當為承擔風險所帶來的損失承擔責任。

 

（二） 風險管理政策和程序

 

企業(yè)應當制定適用于整個企業(yè)的、正式的書面風險管理政策和程序。風險管理政策和程序應當與企業(yè)的業(yè)務性質(zhì)、規(guī)模、復雜程度和風險特征相適應，與其總體業(yè)務發(fā)展戰(zhàn)略、管理能力、資本實力和能夠承擔的總體風險水平相一致。風險管理政策和程序的主要內(nèi)容包括：

 

1．可以開展的業(yè)務，可以采取的投資、保值和風險緩解策略和方法；

 

2．企業(yè)能夠承擔的風險水平；

 

3．分工明確的風險管理組織結(jié)構(gòu)、權(quán)限結(jié)構(gòu)和責任機制；

 

4．風險的識別、計量、監(jiān)測和控制程序；

 

5．風險的報告體系；

 

6．風險管理信息系統(tǒng)；

 

7．風險的內(nèi)部控制；

 

8．風險管理的外部審計；

 

9．風險資本的分配；

 

10．對重大風險情況的應急處理方案。

 

企業(yè)應當根據(jù)本單位風險狀況和外部市場的變化情況，及時修訂和完善風險管理政策和程序。

 

企業(yè)的風險管理政策和程序及其重大修訂應當由董事會批準。企業(yè)的高級管理層應當向與風險管理有關(guān)的工作人員闡明本單位的風險管理政策和程序。與風險管理有關(guān)的工作人員應當充分了解其與風險管理有關(guān)的權(quán)限和職責。

 

企業(yè)在開展新產(chǎn)品和開展新業(yè)務之前應當充分識別和評估其中包含的市場風險，建立相應的內(nèi)部審批、操作和風險管理程序，并獲得董事會或其授權(quán)的專門委員會/部門的批準。新產(chǎn)品、新業(yè)務的內(nèi)部審批程序應當包括由相關(guān)部門，如業(yè)務經(jīng)營部門、負責風險管理的部門、法律部門/合規(guī)部門、財務會計部門和結(jié)算部門等對其操作和風險管理程序的審核和認可。

 

風險管理政策和程序應當在并表基礎(chǔ)上應用，并應當盡可能適用于具有獨立法人地位的附屬機構(gòu)，包括境外附屬機構(gòu)。

 

（三） 風險的識別、計量、監(jiān)測和控制

 

企業(yè)對每項業(yè)務和產(chǎn)品中的風險因素進行分解和分析，及時、準確地識別所有業(yè)務中風險的類別和性質(zhì)。

 

企業(yè)要根據(jù)本單位的業(yè)務性質(zhì)、規(guī)模和復雜程度，對不同類別的風險選擇適當?shù)?、普遍接受的計量方法，基于合理的假設(shè)前提和參數(shù)，計量承擔的所有風險。企業(yè)應當盡可能準確計算可以量化的風險和評估難以量化的風險。

 

　　企業(yè)可以采取不同的方法或模型計量不同類別的風險。風險計量的常見方法主要是模型控制，例如：多層次指標（絕對與相對）體系法（AHP法與專家打分法）、VaR法、敏感性分析法、情景分析和運用內(nèi)部模型計算風險價值等。企業(yè)應當充分認識到各類風險不同計量方法的優(yōu)勢和局限性，并采用壓力測試等其他分析手段進行補充。

 

企業(yè)應當采取措施確保假設(shè)前提、參數(shù)、數(shù)據(jù)來源和計量程序的合理性和準確性。以便對風險計量系統(tǒng)的假設(shè)前提和參數(shù)定期進行評估，制定修改假設(shè)前提和參數(shù)的內(nèi)部程序。重大的假設(shè)前提和參數(shù)修改應當由高級管理層審批。

 

采用內(nèi)部模型的企業(yè)應當根據(jù)業(yè)務規(guī)模和性質(zhì)，參照國際通行標準，合理選擇、定期審查和調(diào)整模型技術(shù)（如方差-協(xié)方差法、歷史模擬法和蒙特卡洛法）以及模型的假設(shè)前提和參數(shù)，并建立和實施引進新模型、調(diào)整現(xiàn)有模型以及檢驗模型準確性的內(nèi)部政策和程序。模型的檢驗應當由獨立于模型開發(fā)和運行的人員負責。并且將模型的運用與日常風險管理相融合，內(nèi)部模型所提供的信息應當成為規(guī)劃、監(jiān)測和控制市場風險資產(chǎn)組合過程的有機組成部分。同時要恰當理解和運用市場風險內(nèi)部模型的計算結(jié)果，并充分認識到內(nèi)部模型的局限性，運用壓力測試和其他非統(tǒng)計類計量方法對內(nèi)部模型方法進行補充。定期實施事后檢驗，將市場風險計量方法或模型的估算結(jié)果與實際結(jié)果進行比較，并以此為依據(jù)對市場風險計量方法或模型進行調(diào)整和改進。

 

企業(yè)應當建立全面、嚴密的壓力測試程序，壓力測試應當包含定性和定量分析。

 

　　壓力測試應當選擇對市場風險有重大影響的情景，包括歷史上發(fā)生過重大損失的情景和假設(shè)情景。假設(shè)情景包括模型假設(shè)和參數(shù)不再適用的情形、市場價格發(fā)生劇烈變動的情形、市場流動性嚴重不足的情形，以及外部環(huán)境發(fā)生重大變化、可能導致重大損失或風險難以控制的情景。根據(jù)壓力測試的結(jié)果，對市場風險有重大影響的情形制定應急處理方案，并決定是否及如何對限額管理、資本配置及市場風險管理的其他政策和程序進行改進。董事會和高級管理層應當定期對壓力測試的設(shè)計和結(jié)果進行審查，不斷完善壓力測試程序?！　?/p>

 

企業(yè)應當為風險的計量、監(jiān)測和控制建立完備、可靠的管理信息系統(tǒng)，并采取相應措施確保數(shù)據(jù)的準確、可靠、及時和安全。管理信息系統(tǒng)應當能夠支持市場風險的計量及其所實施的事后檢驗和壓力測試，并能監(jiān)測市場風險限額的遵守情況和提供市場風險報告的有關(guān)內(nèi)容。建立相應的對賬程序確保不同部門和產(chǎn)品業(yè)務數(shù)據(jù)的一致性和完整性，并確保向市場風險計量系統(tǒng)輸入準確的價格和業(yè)務數(shù)據(jù)。

 

有關(guān)市場風險情況的報告應當定期、及時向董事會、高級管理層和其他管理人員提供。不同層次和種類的報告應當遵循規(guī)定的發(fā)送范圍、程序和頻率。報告應當包括如下全部或部分內(nèi)容：

 

1．按業(yè)務、部門和風險類別分別統(tǒng)計的市場風險數(shù)據(jù)；

 

2．按業(yè)務、部門和風險類別分別計量的市場風險水平；

 

3．對市場風險數(shù)據(jù)和市場風險水平的結(jié)構(gòu)分析；

 

4．盈虧情況；

 

5．市場風險識別、計量、監(jiān)測和控制方法及程序的變更情況；

 

6．市場風險管理政策和程序的遵守情況；

 

7．市場風險限額的遵守情況，包括對超限額情況的處理；

 

8．事后檢驗和壓力測試情況；

 

9．內(nèi)部和外部審計情況；

 

10．市場風險資本分配情況；

 

11．對改進市場風險管理政策、程序以及市場風險應急方案的建議；

 

12．市場風險管理的其他情況。

 

　　向董事會提交的市場風險報告通常包括企業(yè)的總體市場風險數(shù)據(jù)、風險水平、盈虧狀況和對市場風險限額及市場風險管理的其他政策和程序的遵守情況等內(nèi)容。向高級管理層和其他管理人員提交的市場風險報告通常包括按業(yè)務經(jīng)營部門、資產(chǎn)組合和風險類別分解后的詳細信息，并具有更高的報告頻率。

 

（四） 內(nèi)部控制和外部審計

 

企業(yè)應當按照內(nèi)部控制的有關(guān)要求，建立完善的風險管理內(nèi)部控制體系，作為企業(yè)整體內(nèi)部控制體系的有機組成部分。風險管理的內(nèi)部控制應當有利于促進有效的業(yè)務運作，提供可靠的財務和監(jiān)管報告，促使企業(yè)嚴格遵守相關(guān)法律、行政法規(guī)、部門規(guī)章和內(nèi)部的制度、程序，確保風險管理體系的有效運行。

 

為避免潛在的利益沖突，企業(yè)應當確保各職能部門具有明確的職責分工，以及相關(guān)職能適當分離。企業(yè)的風險管理職能與業(yè)務經(jīng)營職能應當保持相對獨立。企業(yè)應當避免其薪酬制度和激勵機制與風險管理目標產(chǎn)生利益沖突。董事會和高級管理層應當避免薪酬制度具有鼓勵過度冒險投資的負面效應，防止績效考核過于注重短期投資收益表現(xiàn)，而不考慮長期投資風險。負責風險管理工作人員的薪酬不應當與直接投資收益掛鉤。

 

企業(yè)的內(nèi)部審計部門應當定期（至少每年一次）對風險管理體系各個組成部分和環(huán)節(jié)的準確、可靠、充分和有效性進行獨立的審查和評價。內(nèi)部審計應當既對業(yè)務經(jīng)營部門，也對負責風險管理的部門進行。內(nèi)部審計報告應當直接提交給董事會。董事會應當督促高級管理層對內(nèi)部審計所發(fā)現(xiàn)的問題提出改進方案并采取改進措施。內(nèi)部審計部門應當跟蹤檢查改進措施的實施情況，并向董事會提交有關(guān)報告。

 

　　企業(yè)對風險管理體系的內(nèi)部審計應當至少包括以下內(nèi)容：

 

1．風險數(shù)據(jù)和風險水平；

 

2．風險管理體系文檔的完備性；

 

　3．風險管理的組織結(jié)構(gòu)，風險管理職能的獨立性，風險管理人員的充足性、專業(yè)性和履職情況；

 

4．風險管理所涵蓋的風險類別及其范圍；

 

　5．風險管理信息系統(tǒng)的完備性、可靠性，市場風險數(shù)據(jù)的準確性、完整性，數(shù)據(jù)來源的一致性、時效性、可靠性和獨立性；

 

6．風險管理系統(tǒng)所用參數(shù)和假設(shè)前提的合理性、穩(wěn)定性；

 

7．風險計量方法的恰當性和計量結(jié)果的準確性；

 

8．對風險管理政策和程序的遵守情況；

 

9．風險限額管理的有效性；

 

10．事后檢驗和壓力測試系統(tǒng)的有效性；

 

11．風險資本的計算和內(nèi)部配置情況；

 

12．對重大超限額資金、未授權(quán)資金情況的調(diào)查。

 

企業(yè)在引入對風險水平有重大影響的新產(chǎn)品和新業(yè)務、風險管理體系出現(xiàn)重大變動或者存在嚴重缺陷的情況下，應當擴大風險內(nèi)部審計的范圍和增加內(nèi)部審計頻率。

 

企業(yè)的內(nèi)部審計人員應當具備相關(guān)的專業(yè)知識和技能，并經(jīng)過相應的學習 ，能夠充分理解風險識別、計量、監(jiān)測、控制的方法和程序。

 

內(nèi)部審計力量不足的企業(yè)，應當委托社會中介機構(gòu)對其風險的性質(zhì)、水平及風險管理體系進行審計。