论现代金融机构风险管理十大原则

论现代金融机构风险管理十大原则1
中国人民大学财政金融学院陈忠阳
摘要：根据在现代风险管理实践中的重要性和对我国金融机构风险管理的借鉴意义，本文提出现代金融机构风险管理十大原则，并讨论其对我国风险管理实践的重要意义。

这十大原则是：1、资本金硬约束和依风险配置资本；2、治理结构和内控体系先行；3、事前管理；4、自上而下；5、重视利益冲突、保障独立性；6、全面风险整合管理；7、重视风险的双侧性质和风险收益平衡关系；8、风险量化的技术标准与制度标准相结合；9、科学方法与经验艺术相结合；10、内部管理与市场约束和外部监管相配合。

Abstract：Based on their importance in modern risk management practice and their implications to risk management of China’s financial institutions, ten fundamental principles are addressed in this paper and their implications to risk management practice of China’s financial institutions are discussed. These 10 principles include: 1）Hard capital discipline and risk-based capital allocation；2）Priority of sound cooperate governance and internal control system；3）Ex-ante management；4）Top-down process；5）Awareness of interest conflict and independent nature of risk management function；6）Integration of enterprise-wide risks；7）Double-side nature of risk and risk-return trade-off；8）Combination of technique criteria and constitutional requirements for risk measurement ；9）Combination of science and experience and arts；10）Combination of internal, market and regulatory forces.
关键词：风险管理金融机构管理风险管理原则
原则可以理解为理念的体现、决策的依据、行为的准则和共同的标准。

近十多年以来，发达国家金融机构在风险管理的理念、制度和技术等方面都有了很大的发展和变革，其重
要和具有普遍指导意义的进展通常被监管机构和咨询公司总结为所谓“指导原则（guiding principles）”、“通用原则（general principles）”、“最佳做法（best practice）”或“良好做法（sound practice）”。

本文根据在现代风险管理实践中的重要性和对我国
金融机构风险管理的借鉴意义提出现代金融机构风险管理十大原则，并讨论其对我国风险管理实践的重要意义。

原则1：资本金硬约束和依风险配置资本
资本是市场经济的基本概念，资本金规则，包括资本金形成和补充、资本充足监管和资本丧失后的破产与重组等方面的规则，是市场经济的最根本的规则，也是市场经济下金融体系的根本所在。

市场经济运行的这一基本规则要求，任何金融机构都要在资产价值高于负债价值的状况下开展经营，从而要求金融机构应当具有充足的资本金，以防止非预期
1本文曾作为2005年1月16日中国人民大学中国财政金融政策研究中心主办的“首届中国金融风险经理
论坛”的交流论文提交大会讨论。

本人诚挚感谢对本文提出宝贵意见的所有学者和业界专家。

损失的发生导致破产。

因此，资本金对金融机构承担风险具有约束力，而且，这种约束应该是“硬性的”。

这种“硬约束”主要表现在以下三个方面：首先，一旦金融机构所承担的风险转化为超过资本金的重大损失，资本金耗尽后的金融机构将不得不依法破产和重组（如1995年的英国巴林银行），或被重新注入资本（如1998年的美国LTCM），以示对承担过度风险负责；其次，在损失和破产发生以前，如果金融机构的风险相对于其资本金过小，监管当局有权限制金融机构开展风险较大的业务，以将金融机构的风险承担降低至与资本金相适应的水平，或者要求金融机构追加资本金，将其资本金提高至与其风险承担相适应的水平，这正是巴塞尔银行监管委员会所倡导的基于风险的资本监管的实质所在；最后，相对于外部法律和监管力量产生的硬约束，资本金对金融机构承担风险的硬约束还表现在金融机构对风险的内部管理和控制方面，即，金融机构应该在统一的风险政策下，依风险配置资本，即进行所谓风险资本配置，作好风险预算，任何业务部门或地区承担的风险必须受到内部所配置的资本份额的（硬）约束，各业务部门或地区要在与所分配的风险和资本相当的业务规模上开展经营。

第一种约束是法律上的约束，其约束力来自于健全的破产法律制度和司法诉讼体系，第二种约束是监管约束，其约束力直接来自于完善的风险监管体系，而第三种约束是一种内部约束，其约束力直接来自于对风险承担最终责任和负责制定风险战略和政策的董事会和风险管理委员会。

在种三种约束力量中，破产法律约束是最根本的约束力，也是后两种约束力的前提和基础，可以说，没有真正的破产约束，就没有这种的监管约束和内部管理约束，因而也就没有真正的风险管理。

我国金融机构长期以来存在资本金对风险承担的软约束（甚至没约束）问题。

具体表现为金融机构资本金不足（尤其是实际资本金）、资产（也就是风险承担）过度（无约束）膨胀，不良资产不断增加、尤其突出的是金融机构破产倒闭或重组的有效机制还没有形成，金融机构还没有实际承担起过度承担风险的责任，也就是说，资不抵债的机构没有得到相应的处置（包括倒闭、重组或注资），而是仍然在通过增加新的负债不断进行新的业务（风险承担）。

在一个缺乏资本金对风险承担有效约束的环境里，风险管理失去了根基，管理风险的口号可以喊得非常响亮，实际行动往往在这种软约束中显得非常无力与无奈。

在外力作用下的“硬约束”都不存在的情况下，金融机构内部风险资本配置对各部门和各地区的“硬约束”更是难以“硬化”。

造成这种现象的主要原因有两个方面。

一是金融机构全资国有的所有制性质，另一个是与破产相关的法律制度不健全2。

市场化改革，如金融机构上市，尤其是境外上市，将迫使该约束被“硬化”。

原则2：治理结构和内控体系先行
治理结构是基于相关利益的利益相关者（Stakeholder）之间的责权利结构，尤其是股东和经理层之间关系是治理结构的核心内容，也是风险管理的最大前提。

金融机构作为天生就是承担风险和管理风险进而获取风险收益的公司，承担风险和管理风险是金融机构最根本的责权利所在。

3治理结构是金融机构风险管理的原动力所在。

在一个自上而下的风险管理系统中，只有良好的治理结构才能为金融机构风险管理提供充足的原动力。

在良好的治理结构的基础上，建立起包括内部审计部门和风险管理部门在内的全面的内部控制体系
2当然，这不仅包括金融机构的破产，也包括作为金融机构客户的企业的破产。

从客观环境看，资不抵债的客户能够依据法律破产清算或重组是金融机构有效实施风险管理的重要条件，没有客户和企业的破产规则而片面要求金融机构的破产规则显然是行不通的。

因此，覆盖整个经济体系的公司法和破产法等相关法律制度的完善程度和有效实施构成金融机构风险管理体系的客观基础。

3具体而言，这里责权利分别是指承担风险的权力、管理风险的责任和获取风险收益的利益。

是开展风险管理工作的前提条件，也是重要内容。

风险管理的一切量化和控制技术及其有效性都建立在上述基础上。

我国金融机构目前普遍存在缺乏现代公司治理结构和有效内控体系的问题。

这是我国金融风险管理亟待解决的问题，其解决也是要先于一切技术方法，包括内部评级、数据库、量化模型和金融工程等。

我国目前金融改革被认为进入了攻坚阶段，这种艰巨性主要表现在市场化改革的基础上建立起现代公司治理结构和相应的有效内部控制体系。

金融机构的上市不仅要解决资本金不足的问题，更重要的是要在制度上解决资本金对风险承担的“软约束”的问题，要让这种约束“硬化”。

这种约束“硬化”的过程就是现代治理结构和有效内控体系建立的过程，这一过程包括建立起有效的独立董事制度、内部审计制度和风险管理体系等各个方面的内容。

在这一攻坚的改革过程中，西方金融机构的良好做法是值得我们学习和参考的，这些良好的做法集中反映在监管机构的指导性文件中，如COSO报告、BASEL关于内控的原则、治理结构的原则等等。

我国目前许多金融机构都开始了以风险管理委员会和风险管理部为核心的风险管理组织体系的建设，以风险政策为中心的风险管理制度规定也正在形成之中。

金融机构的上市使得这一过程明显加快。

原则3：事前管理
风险是损失（或盈利）发生前的状态或现象，通常被定义为损失的可能性，因此，对风险的管理应该是事前管理，而非事后。

风险管理从根本上区别于损失管理。

损失管理是事后管理，不良资产管理本质上是事后的损失管理，如资产剥离、冲销、拍卖等处置行为。

事前管理特性决定了风险管理工作的挑战性。

管理风险就是“与天为敌，与天对弈”4，管理风险就是要“看见明天”5。

概率和统计分析技术在风险分析和管理中具有重要作用，尤其是大数定律在风险管理中发挥基本作用，是风险管理的基本定律。

由此，风险管理区别于金融工程，后者基本定律被认为是无套利均衡。

风险管理因此也区别于审计，审计主要是事后的，尽管近年来国际上审计也出现了由事后向事中甚至事前发展的趋势，如风险审计概念的提出。

在我国，由于缺乏现代风险教育，不少人对风险的理解存在误区，一个典型的误区是将风险等同于损失，进而将风险管理等同于损失管理（包括不良资产处置），将风险资产等同于不良资产，进而对风险管理工作的方向和手段的理解产生误解和偏差。

究其根本原因是忽略了风险和风险管理的事前性，将风险等同于损失。

解决我国银行体系不良资产的问题的努力方向主要不在于属于损失管理范畴的不良资产剥离、拍卖等措施，而在于属于风险管理范畴的信用评估和管理体系以及操作风险管理制度建立和完善等措施。

显然，这是非常具有挑战性的任务，在前述资本金硬约束、现代治理结构和有效内部控制原则的基础上，加强信用分析的技术方法（如内部评级体系），开发现代信用工程技术等现代方法也就显得尤为突出和重要。

原则4：自上而下
风险管理必须自上而下地推动，是一个自上而下的过程(Top-Down Process)，而非相反。

投资决策有自上而下，也有自下而上(Bottom-Up Process)的决策模式可以选择，但风
4参见 Peter L.Bernstein (1998), Against the Gods, the remarkable story of risk, John Wiley & Sons, Inc
5参见 Ron S. Dembo, Andrew Freeman (1998) , Seeing Tomorrow, rewriting the rules of risk, John Wiley & Sons, Inc
险管理只能自上而下，而不能自下而上。

至上而下强调的是高级管理层，包括董事会和最高经理层在风险管理方面的首要责任，他们负责在整个公司范围内至上而下推动风险管理，职位越高，权力越大，风险管理的责任也越大。

风险战略和政策作为金融机构的基本战略和最高政策，其重要作用和地位应该得到充分的认识，且其制定、审批、分解执行和监督的流程必须得到完善的组织制度保障。

董事会和最高管理层（通过风险管理委员会）对风险政策的制定和审批负主要责任。

风险管理部对风险政策的具体制定和执行与监督负责。

风险管理的原动力在于董事会和最高管理层。

另一方面，自上而下的管理原则对公司避免重大损失显得更加重要，那就是，高级管理层本身更应该成为风险管理的对象和重点，管理者职位越高，权力越大，其违规操作给金融机构带来的损失也越大，因而高级管理层更应该成为风险管理的重点。

纵观国内外风险管理的历史，位高权重的管理者或者被授权过多的交易员往往是巨额损失发生的罪魁祸首。

我国新加坡上市的中航油公司因总经理陈久霖违规操作造成5.5亿美元巨额损失的事件就是最新的例证。

一个表面看来规章明确、人员齐备、组织健全甚至技术先进的公司内部控制和风险管理体系，其在实际运行中能否有效管理风险和防止发生重大损失，关键在于对高层领导在公司内部控制和风险管理体系中所发挥的作用。

这不仅包括他们对公司风险管理需要承担首要责任和提供最基础的推动力，更重要的是他们本身所拥有的决策权利和决策过程也必须纳入到以“相互检查和权利制衡（Check and Balance）”为基本原则的整个内控体系中，成为控制和约束的重要对象。

否则，如果公司的高层领导具有超越内控约束的特殊权利，整个内部控制和风险管理机制必然形同虚设，从根本上丧失有效性。

中航油高达内部控制损失限额100多倍的巨额亏损说明的只能是这么一个并不复杂的道理。

根据这一原则，我国金融机构风险管理工作一方面要从建立风险管理委员会和风险管理部开始，首先要明确最高管理层在推动风险管理的首要责任，这种责任的承担不仅表现为风险管理失败和损失发生后的事后责任论处，更加重要的是承担事前责任，包括为防范损失发生而建立起有效内部控制体系和为有效利用资本承担风险和增强市场竞争力而将风险承担和管理的政策作为金融机构管理的最高战略决策，在全机构范围内推动风险资本配置和风险管理的过程。

另一方面，我们也要充分认识到风险管理的对象和重点也具有“自上而下”的性质，金融机构要如前所述在建立良好公司治理结构的基础上，利用“相互检查和权利制衡”的内部控制技术，以及如后所述保障风险管理的独立性，从而将高层管理人员的行为有效纳入风险管理体系。

原则5：重视利益冲突，保障独立性
在所有权与经营权相对分离的现代有限责任公司制度下，股东和经理在风险承担和风险管理上存在利益冲突，因为，在市场中承担风险的经理可能由于赚钱拿红包和奖金，而赔钱则由公司（股东）承担，这种不对称风险激励使得经理们具有承担高风险的偏好，从而使得他们自身控制风险的动力减弱。

中航油总裁陈久霖在新加坡以年薪高达300多万美元而被誉为“打工皇帝”，而为公司造成的5.5亿美元的损失却只能由公司的股东承担。

因此，利益冲突、委托代理关系和道德风险等问题在现代风险管理中得到充分重视，并通过合理的制度安排予以解决，独立的风险管理系统就是这种制度安排之一。

风险管理的独立性强调风险管理应该独立于具体承担风险和以风险换收益的经理和业务部门，独立的风险管理部门要直接向代表股东利益的董事会汇报；风险管理体系中要设置独立风险经理，即这些风险经理的薪酬和晋升激励应该与业务部门的风险承担脱钩。

当然，独立的风险经理
和风险管理部门应该得到各个业务部门和其它管理部门在风险承担和风险管理上的及时、全面和真实准确的信息。

向风险管理部门汇报的信息线路独立于向业务主管部门汇报的线路，但信息必须同样准确、全面和及时。

由此，一个居于前台（front office）业务拓展和后台（back office）业务处理之间，独立从事风险控制的中台（middle office）在现代金融机构管理体系中迅速兴起。

如果中航油的风险管理系统能够真正独立于“打工皇帝”陈久霖，能够将中航油的风险承担和遭受的损失及时独立地反映到公司的董事会，损失在几千万美元，甚至几百万美元的规模上就可能会受到有效的控制。

6
我国金融机构的风险管理组织体系的建设刚刚起步，在其建设过程中，风险管理部的职能明确及其独立性是关键问题之一。

在我国金融机构风险管理部组建和运行的实践中，风险管理部门的独立性问题主要表现在两个方面：一是新建的风险管理部与传统的审计部在职能上的分工与合作关系；二是风险管理部与业务部门的控制与合作关系的处理，尤其是风险管理部门在监督控制工作中的权威性和相关风险信息全面性、及时性和准确性等方面能否切实得到保障。

前者如果处理不好将产生管理职能上的重叠和冲突，后者如果处理不好往往会导致风险管理部门成为摆设，无法真正发挥作用。

解决前者的关键在于认识到风险管理是偏于事前的对风险评估、对风险的对冲调节，本质上是对决策的支持，甚至是决策的一部分，而审计部偏重事后的稽核检查，本质上是对决策执行过程的监督和检查。

解决后者的关键在于真正认识到风险管理对金融机构自身的重要性，从而赋予和保障风险管理部有效的权威性和畅通的信息渠道。

当然，风险管理部的职能行使对业务部门的日常经营和决策不能形成过度干预，更不能形成替代，风险管理部门的管理活动应该以信息搜集和整合、风险评估（尤其是金融机构整体评估）和对个业务部门的决策支持为主，在金融机构发展战略安排层面则通过资本配置过程和风险预算发挥重要作用。

原则6：全面风险整合管理
全面风险管理（enterprise-wide risk management, EWRM, 或者enterprise risk management, ERM）是现代风险管理的最新发展，主要始于九十年代中后期，其主要原因是金融机构面临的风险因素多样化和人们对于风险因素更加全面的认识，尤其是对于操作风险因素的认识，而1998年开始制定的新巴塞尔资本协议首次将操作风险纳入资本监管框架更形成了全面风险管理发展的推动力。

7另外一个推动力是，对金融机构内部控制理念和技术有着深刻影响的著名的COSO委员会在2001年也开始制定名为“全面风险管理框架（Enterprise Risk Management Framework）”的新COSO报告以替代影响广泛的1992年内部控制经典COSO报告8。

现代金融机构的全面风险管理强调两个基本层面的含义，一是风险管理要覆盖全面的风险因素，这些因素来自不同风险种类（信用、市场、操作、流动性及其它风险）、不同地理区域、不同业务部门和不同的管理层面；二是强调应该站在机构整体的角度对这些风险因素进行全面的汇总（Aggaregation）和整合(Intergration)。

这种
6同时，我们也要看到，通过独立风险管理部门向董事会汇报这一制度安排能够有效防范损失是有前提条件的，那就是作为内部控制基础的良好的公司治理结构，其中能够合理处理大股东和广大中小股东利益关系的董事会是关键。

中航油在这一方面显然也是存在严重缺陷的。

7让金融机构和监管者深刻感到金融机构面临的风险因素的多样化和全面风险管理的重要性的典型案例是，1995年英国巴林银行的破产是市场风险和操作风险管理失败的结果而非传统银行的信用风险。

8参见Enterprise Risk Management Framework, COSO,2004。

其中，Enterprise Risk Management直译应该为“企业风险管理”，但无论是从新COSO报告的具体内容和本质看还是从金融业界广泛使用该概念的实际所指来看，其本质含义应该指“考虑了企业所有的风险因素和所有业务部门及其相关性，基于企业整体的风险管理”，是相对于传统的单风险因素或单业务部门的风险管理而言的，因此，翻译为“企业全面风险管理”更合适。

汇总和整合本质上强调的是针对风险重叠的处理（如操作风险与市场和信用风险的重叠，市场与信用风险的重叠等）以及针对风险相关性的处理和组合投资多样化分散风险的效用。

为全面风险整合管理创造条件的是覆盖整个金融机构的风险管理体系和以统一货币单位量化风险并在各风险因素间具有可加性的VaR风险量化技术，前者提供了组织制度保障，后者提供了全面统一衡量和整合风险的技术条件。

在这一原则下，我国目前金融机构风险管理实践中存在以下突出问题：一是各类金融机构对全面风险管理重视不足，银行偏重信用风险而忽视市场风险，证券公司或基金管理公司重视市场风险而对交易对手风险认识不足，因而也缺乏有效的管理制度和手段。

二是对风险的重叠认识不足，进而管理手段缺乏针对性，突出的表现是不良贷款的形成因素中借款企业信用变化因素与银行内部管理因素分析不清，区分不明，进而将大量银行不良资产的形成归咎于信用风险，而忽略银行内部控制落后而造成的操作风险。

三是整合管理落后，尤其是站在整个机构资产负债组合的角度对各项资产负债的风险相关性和风险贡献度的分析欠缺，从而导致对经济发展周期和宏观调控的适应性差。

最后是全面风险管理的组织保障和技术条件都不成熟。

原则7：重视风险的双侧性质和风险收益平衡关系
传统上，人们往往把风险理解甚至定义为损失的可能性，这种理解关注的只是损失的一侧，即所谓“下侧风险（Down-Side Risk）”。

与此不同，现代风险观认为，风险具有“双侧性（Double-Side Nature）”，既是损失的可能，也是盈利的可能，也意味着投资机会，也是一种资源，因而在关注“下侧风险”的同时也关注“上侧风险（Up-Side Risk）”。

这种观念与人们长期以来认识到的高风险高收益、低风险低收益的基本投资规律（这种关系被称为风险与收益的平衡关系Risk-Return Trade-Off）是相吻合的，也与金融机构的基本使命就是承担风险、管理风险，进而从中获取盈利，即以（承担和管理）风险换（预期）收益的现代金融机构管理理念也是相一致的。

因此，在金融市场上，现代金融机构并非一味回避或降低甚至消除风险，而是在投资和金融产品的风险和收益之间，在金融机构的稳健经营和竞争活力之间进行平衡和控制。

这种平衡和控制在现代风险计量和交易技术支持下进而发展成为风险优化，这包括两个方面的内容，一是从产品和组合的角度优化风险和收益的关系，追求在给定风险承担水平下的预期收益的最大化（或者说给定预期收益水平下的风险最小化）；二是从金融机构的角度优化业务扩展和风险承担能力的关系，追求在由资本金规模和风险管理能力共同决定的金融机构风险承担能力下的业务扩展能力和风险承担竞争能力的最大化。

重视风险的双侧性质和风险收益平衡关系的另外一个重要意义在于推动了“经风险调整的业绩衡量（Risk-Adjusted Performance Measurement）”和对于业绩优良的“交易明星（Star Trader）”的管理。

传统的只关注损失可能的单侧风险观将盈利与风险概念分割开来，这一方面造成衡量盈利时不能考虑对风险的承担，另一方面也使得对风险的管理仅仅关注在对损失制造者（或部门）的管理，而忽视对盈利制造者（或部门）的管理。

在注重双侧风险的现代观念下，盈利被认为来自于对风险的承担，就如同损失一样，因此，对交易员盈利业绩的衡量要充分考虑其对风险的承担，即进行所谓的“经风险调整的业绩衡量（Risk-Adjusted Performance Measurement）”，“明星”们为公司带来丰厚利润的同时也很可能为公司带来了很大的风险。

同时，在双侧风险观念下，风险管理的焦点就不仅仅局限在对损失制造者（或部门）的管理，而是同样重视对盈利制造者（或部门）的管理，。