全面风险管理是近年来管理界和审计人员经常提及的概念之一。特别是在2004年6月《新巴塞尔协议》发布以后,不少媒体刊登了大量文章,讨论全面风险管理问题。其实,全面风险管理不是一个新话题,早先的说法叫做“企业级的风险管理”(EnterpriseRiskManagement)。推行全面风险管理体系,将在一定程度上提升我国企业风险控制的水平。但是,推行全面风险管理是一个长期、艰苦的工作,需要得到许多部门和人员认可,而来自高级管理层的重视是非常重要的。推行全面风险管理,有一些基础的工作要做,如资本金分配、内部资金定价、机构设计等等。
一、风险管理体系的基本要素
按照2003年7月美国COSO(TheCommitteeofSponsoringOrganizationoftheTheadwayCommission)公布的《全面风险管理框架》(草案)所描述的内容,全面风险管理是一个从企业战略目标制定,到目标实现的风险管理过程。它可以简单描述为三个维度:企业目标、全面风险管理要素、企业的各个层级;企业目标包括四个方面:战略目标、经营目标,、报告目标和合规目标;全面风险管理要素有八个:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。全面风险管理的八个要素为企业的四个目标服务;企业的各个层面要坚持同样的四个目标;每个层面都必须从八个要素进行风险管理体系。企业必须按照要求,建立与企业的业务性质、规模和复杂程度相适应的、完善的、可靠的风险管理体系。在实际操作中风险管理体系主要包括如下基本要素:
(一)董事会和高级管理层的有效监控;
(二)完善的风险管理政策和程序;
(三)完善的风险识别、计量、监测和控制程序;
(四)完善的内部控制和独立的外部审计;
风险管理应适当考虑风险类别,如市场风险、金融风险、信用风险、流动性风险、操作风险、法律风险、声誉风险等风险的相关性,并协调各类风险管理的政策和程序。
二、风险管理体系的管理过程
(一)董事会和高级管理层的监控
企业的董事会和高级管理层对风险管理体系实施有效监控。
企业的董事会承担对风险管理实施监控的最终责任,确保企业有效地识别、计量、监测和控制各项业务所承担的各类风险。董事会负责审批风险管理的战略、政策和程序,确定企业可以承受的风险水平,督促高级管理层采取必要的措施识别、计量、监测和控制风险,并定期获得关于风险性质和水平的报告,监控和评价风险管理的全面性、有效性以及高级管理层在风险管理方面的履职情况。董事会可以授权其下设的专门委员会履行以上部分职能,获得授权的委员会应当定期向董事会提交有关报告。
企业的高级管理层负责制定、定期审查和监督执行风险管理体系的政策、程序以及具体的操作规程,及时了解风险水平及其管理状况,并确保企业具备足够的人力、物力以及恰当的组织结构、管理信息体系和技术水平来有效地识别、计量、监测和控制各项业务所承担的各类风险。
企业的董事会和高级管理层对与本企业风险有关的业务、所承担的各类风险以及相应的风险识别、计量和控制方法应有足够的了解。
企业的监事会应当监督董事会和高级管理层在风险管理方面的履职情况。
企业要设立专门的部门负责风险管理工作。负责风险管理的部门应当职责明确,与承担风险的业务经营部门保持相对独立,向董事会和高级管理层提供独立的风险报告,并且具备履行风险管理职责所需要的人力、物力资源。负责风险管理部门的工作人员应当具备相关的专业知识和技能,并充分了解企业与风险有关的业务、所承担的各类风险以及相应的风险识别、计量、控制方法和技术。企业应当确保其薪酬制度足以吸引和留住合格的风险管理人员。
企业负责风险管理的部门应当履行下列职责:
1.拟定风险管理政策和程序,提交高级管理层和董事会审查批准;
2.识别、计量和监测风险;
3.监测相关业务经营部门和分支机构对风险限额的遵守情况,报告超限额情况;
4.设计、实施事后检验和压力测试;
5.识别、评估新产品、新业务中所包含的风险,审核相应的操作和风险管理程序;
6.及时向董事会和高级管理层提供独立的风险报告;
7.其他有关职责。
企业承担风险的业务经营部门应当充分了解并在业务决策中充分考虑所从事业务中包含的各类风险,以实现经风险调整的收益率的最大化。业务经营部门应当为承担风险所带来的损失承担责任。
(二)风险管理政策和程序
企业应当制定适用于整个企业的、正式的书面风险管理政策和程序。风险管理政策和程序应当与企业的业务性质、规模、复杂程度和风险特征相适应,与其总体业务发展战略、管理能力、资本实力和能够承担的总体风险水平相一致。风险管理政策和程序的主要内容包括:
1.可以开展的业务,可以采取的投资、保值和风险缓解策略和方法;
2.企业能够承担的风险水平;
3.分工明确的风险管理组织结构、权限结构和责任机制;
4.风险的识别、计量、监测和控制程序;
5.风险的报告体系;
6.风险管理信息体系;
7.风险的内部控制;
8.风险管理的外部审计;
9.风险资本的分配;
10.对重大风险情况的应急处理方案。
企业应当根据本单位风险状况和外部市场的变化情况,及时修订和完善风险管理政策和程序。
企业的风险管理政策和程序及其重大修订应当由董事会批准。企业的高级管理层应当向与风险管理有关的工作人员阐明本单位的风险管理政策和程序。与风险管理有关的工作人员应当充分了解其与风险管理有关的权限和职责。
企业在开展新产品和开展新业务之前应当充分识别和评估其中包含的市场风险,建立相应的内部审批、操作和风险管理程序,并获得董事会或其授权的专门委员会/部门的批准。新产品、新业务的内部审批程序应当包括由相关部门,如业务经营部门、负责风险管理的部门、法律部门/合规部门、财务会计部门和结算部门等对其操作和风险管理程序的审核和认可。
风险管理政策和程序应当在并表基础上应用,并应当尽可能适用于具有独立法人地位的附属机构,包括境外附属机构。
(三)风险的识别、计量、监测和控制
企业对每项业务和产品中的风险因素进行分解和分析,及时、准确地识别所有业务中风险的类别和性质。
企业要根据本单位的业务性质、规模和复杂程度,对不同类别的风险选择适当的、普遍接受的计量方法,基于合理的假设前提和参数,计量承担的所有风险。企业应当尽可能准确计算可以量化的风险和评估难以量化的风险。
企业可以采取不同的方法或模型计量不同类别的风险。风险计量的常见方法主要是模型控制,例如:多层次指标(绝对与相对)体系法(AHP法与专家打分法)、VaR法、敏感性分析法、情景分析和运用内部模型计算风险价值等。企业应当充分认识到各类风险不同计量方法的优势和局限性,并采用压力测试等其他分析手段进行补充。
企业应当采取措施确保假设前提、参数、数据来源和计量程序的合理性和准确性。以便对风险管理体系的假设前提和参数定期进行评估,制定修改假设前提和参数的内部程序。重大的假设前提和参数修改应当由高级管理层审批。
采用内部模型的企业应当根据业务规模和性质,参照国际通行标准,合理选择、定期审查和调整模型技术(如方差-协方差法、历史模拟法和蒙特卡洛法)以及模型的假设前提和参数,并建立和实施引进新模型、调整现有模型以及检验模型准确性的内部政策和程序。模型的检验应当由独立于模型开发和运行的人员负责。并且将模型的运用与日常风险管理相融合,内部模型所提供的信息应当成为规划、监测和控制市场风险资产组合过程的有机组成部分。同时要恰当理解和运用市场风险内部模型的计算结果,并充分认识到内部模型的局限性,运用压力测试和其他非统计类计量方法对内部模型方法进行补充。定期实施事后检验,将市场风险计量方法或模型的估算结果与实际结果进行比较,并以此为依据对市场风险计量方法或模型进行调整和改进。
企业应当建立全面、严密的压力测试程序,压力测试应当包含定性和定量分析。
压力测试应当选择对市场风险有重大影响的情景,包括历史上发生过重大损失的情景和假设情景。假设情景包括模型假设和参数不再适用的情形、市场价格发生剧烈变动的情形、市场流动性严重不足的情形,以及外部环境发生重大变化、可能导致重大损失或风险难以控制的情景。根据压力测试的结果,对市场风险有重大影响的情形制定应急处理方案,并决定是否及如何对限额管理、资本配置及市场风险管理的其他政策和程序进行改进。董事会和高级管理层应当定期对压力测试的设计和结果进行审查,不断完善压力测试程序。
企业应当为风险的计量、监测和控制建立完备、可靠的管理信息体系,并采取相应措施确保数据的准确、可靠、及时和安全。管理信息体系应当能够支持市场风险的计量及其所实施的事后检验和压力测试,并能监测市场风险限额的遵守情况和提供市场风险报告的有关内容。建立相应的对账程序确保不同部门和产品业务数据的一致性和完整性,并确保向市场风险管理体系输入准确的价格和业务数据。
有关市场风险情况的报告应当定期、及时向董事会、高级管理层和其他管理人员提供。不同层次和种类的报告应当遵循规定的发送范围、程序和频率。报告应当包括如下全部或部分内容:
1.按业务、部门和风险类别分别统计的市场风险数据;
2.按业务、部门和风险类别分别计量的市场风险水平;
3.对市场风险数据和市场风险水平的结构分析;
4.盈亏情况;
5.市场风险识别、计量、监测和控制方法及程序的变更情况;
6.市场风险管理政策和程序的遵守情况;
7.市场风险限额的遵守情况,包括对超限额情况的处理;
8.事后检验和压力测试情况;
9.内部和外部审计情况;
10.市场风险资本分配情况;
11.对改进市场风险管理政策、程序以及市场风险应急方案的建议;
12.市场风险管理的其他情况。
向董事会提交的市场风险报告通常包括企业的总体市场风险数据、风险水平、盈亏状况和对市场风险限额及市场风险管理的其他政策和程序的遵守情况等内容。向高级管理层和其他管理人员提交的市场风险报告通常包括按业务经营部门、资产组合和风险类别分解后的详细信息,并具有更高的报告频率。
(四)内部控制和外部审计
企业应当按照内部控制的有关要求,建立完善的风险管理内部控制体系,作为企业整体内部控制体系的有机组成部分。风险管理的内部控制应当有利于促进有效的业务运作,提供可靠的财务和监管报告,促使企业严格遵守相关法律、行政法规、部门规章和内部的制度、程序,确保风险管理体系的有效运行。
为避免潜在的利益冲突,企业应当确保各职能部门具有明确的职责分工,以及相关职能适当分离。企业的风险管理职能与业务经营职能应当保持相对独立。企业应当避免其薪酬制度和激励机制与风险管理目标产生利益冲突。董事会和高级管理层应当避免薪酬制度具有鼓励过度冒险投资的负面效应,防止绩效考核过于注重短期投资收益表现,而不考虑长期投资风险。负责风险管理工作人员的薪酬不应当与直接投资收益挂钩。
企业的内部审计部门应当定期(至少每年一次)对风险管理体系各个组成部分和环节的准确、可靠、充分和有效性进行独立的审查和评价。内部审计应当既对业务经营部门,也对负责风险管理的部门进行。内部审计报告应当直接提交给董事会。董事会应当督促高级管理层对内部审计所发现的问题提出改进方案并采取改进措施。内部审计部门应当跟踪检查改进措施的实施情况,并向董事会提交有关报告。
企业对风险管理体系的内部审计应当至少包括以下内容:
1.风险数据和风险水平;
2.风险管理体系文档的完备性;
3.风险管理的组织结构,风险管理职能的独立性,风险管理人员的充足性、专业性和履职情况;
4.风险管理所涵盖的风险类别及其范围;
5.风险管理信息体系的完备性、可靠性,市场风险数据的准确性、完整性,数据来源的一致性、时效性、可靠性和独立性;
6.风险管理体系所用参数和假设前提的合理性、稳定性;
7.风险计量方法的恰当性和计量结果的准确性;
8.对风险管理政策和程序的遵守情况;
9.风险限额管理的有效性;
10.事后检验和压力测试体系的有效性;
11.风险资本的计算和内部配置情况;
12.对重大超限额资金、未授权资金情况的调查。
企业在引入对风险水平有重大影响的新产品和新业务、风险管理体系出现重大变动或者存在严重缺陷的情况下,应当扩大风险内部审计的范围和增加内部审计频率。
企业的内部审计人员应当具备相关的专业知识和技能,并经过相应的培训,能够充分理解风险识别、计量、监测、控制的方法和程序。
内部审计力量不足的企业,应当委托社会中介机构对其风险的性质、水平及风险管理体系进行审计。