小议证券公司如何构建全面风险管理体系
张怡萌/东方证券股份有限公司,上海200010
【摘要】本文根据COSO于2004年9月发布的《企业风险管理——整合框架》的要求,阐述了证券公司应该从架构上、流程上和风险管理观念的认同上三个方面建立健全全面的风险管理体系,首先,在架构上,建立一个完整的风险管理架构,包括“一个基础,三道防线,四级管理”,即以公司治理结构为基础,建立由前台(各业务总部)、中台(风险管理总部)和后台(稽核总部)组成的三道防线,形成“董事会——首席风险管理官——风险管理总部——各子公司及各部门风险管理岗”的四级管理框架。其次,在流程上,建立全程风险管理流程,对于单一业务,从该业务的诞生到逐步完善,风险管理应该实时存在;对于集团子公司,从该子公司的筹备到发展壮大,风险管理要始终贯穿其中。最后,在风险管理观念的认同上需要贯彻一套重视风险管理的企业文化和价值观,包括从上到下的贯彻风险管理观念,通过风险管理部门的努力以及将风险管理的内容列入员工的绩效考核等手段,使风险管理的理念深入人心。总之,2012年以来,我国的资本市场更加开放,创新业务层出不穷、监管逐步放松,这些都对证券公司的风险管理工作提出了更高的要求。风险管理创造价值,已经成为不争的事实,证券公司应根据成本效益原则,建立一套与业务规模相匹配的手段信息化、方法数量化、人员专业化的全面风险管理体系,在覆盖全面、全过程、全员的基础上突出重点,并切实实施,将风险管理的理念根植于每个员工的内心并体现在行动上,为证券公司的各项业务保驾护航,从而保证我国资本市场创新更加平稳和健康发展。【关键词】COSO;证券公司;全面风险管理体系
2004年9月,美国反虚假财务报告委员会的发起组织委员会(COSO)发布了《企业风险管理——整合框架》,认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”
该风险管理整合框架旨在提升风险管理在企业管理中的地位,提出风险管理整合框架有3个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维风险管理要素有8个,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。第三个维度是企业的层级,包括主体层次、各分部、各业务单元及下属各子公司。风险管理整合框架三个维度的关系是:风险管理的8个要素都是为企业的4个目标服务的;企业各个层级都要坚持同样的4个目标;每个层次都必须从以上8个方面进行风险管理。
COSO的风险管理整合框架指出了风险管理的核心和方向,强调内部控制是企业风险管理不可分割的组成部分;指明企业风险管理最终需要实现的是企业的战略目标;将包括财务报告在内的其他所有内外部报告均涵盖在风险管理中;引入风险组合观、风险偏好和风险容忍度的概念;更加强调风险评估在风险管理中的基础地位;指出企业不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响。
任何企业在经营管理过程中都会遇到各种各样的事件,这些事件可能会阻碍企业的发展,也可能为企业带来机会,这种不确定性即为风险。风险管理就是对这种不确定性的管理,它是企业从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目的提供合理的保证。证券公司在经营过程中面临的行业风险、信息技术风险和上市之后带来的新的风险,都要求证券公司将风险管理提升到战略的高度。
我国资本市场历经20余年的发展,交易品种日趋多样,产品结构日益复杂,同业竞争不断加剧,参与主体角色逐渐丰富,个性化产品和服务不断涌现,不同市场相关度不断增大,券商既是金融产品和相关服务的提供者,又是资本市场的积极参与者。随着金融创新的不断深入,金融产品的定价模式和风险评估变得尤其复杂,当市场风险积累到一定程度时,就可能会出现对复杂产品估值难以统一无法变现的情况,带来巨大的流动性风险,一个链条的断裂导致整个市场的崩溃。如2008年金融危机,由美国次贷危机引起,在短短半年时间内就演变为全球性金融危机,如洪水猛兽,来势汹汹,势不可挡。因此,证券公司应该密切关注流动性是否充足,防范流动性风险。
信息技术的不断革新和大一把双刃剑。大集中大场,另一
时代的到来,对证券公司来说是
面创造了更加高效的市
的实现,一
钟的崩溃,都会导致证券公司声誉严重受损,自动化交易错误可能使证券公司流动资金在瞬间化为乌有。信息技术风险包括多种风险,如网络风险、硬件风险、软件风险、运维风险、入侵风险等。近日互联网金融市场日益火爆,这是一个更加开放,更加灵活,更加依赖信息技术的领域,需要我们冷静和仔细地考虑技术风险的识别、评估和应对措施。因此,证券公司应该从战略的层面上考虑技术风险的防范和控制。
上市的证券公司面临着新的风险点,第一,多数证券公司的盈利模式都是靠天吃饭,导致不同年度间盈利水平的大幅波动,不利于股价稳定,有损股东利益,损害公司声誉,如何持续保持良好的盈利水平,防止业绩大幅波动,是风险管理工作的一个重要内容。第二,成为公众公司之后,所要求的信息披露的范围和内容变得更多,披露过度可能泄露商业机密,损害公司利益,披露不足或不及时,也会使公司声誉受损,尤其是出现紧急事件之后,上市的证券公司面临更大的信息披露风险。第三,上市的证券公司要更加强调ROE管理,因为ROE是上市公司资金使用效率、经营能力及股东收益水平的集中体现。既要提升ROE水平,又要将风险控制在合理的范围内,这是风险管理的一个新挑战。
总之,风险时时有,风险处处在,我们无法消灭风险,但是证券公司可以采取科学、有效的风险管理手段,将风险降低在可以承受的范围内。因此,对于证券公司来说,建立全面风险管理体系,显得尤为必要。
所谓全面风险管理体系,它是一个全面的过程,从最高管理层到普通员工,从前台业务到后台运营,从市场风险到信息技术风险到财务风险,贯穿企业经营运作的全过程。本人认为可以从以下几个方面着手加强:
第一,在架构上,建立一个完整的风险管理架构,包括“一个基础,三道防线,四级管理”,即以公司治理结构为基础,建立由前台(各业务总部)、中台(风险管理总部)和后台(稽核总部)组成的三道防线,形成“董事会——首席风险管理官——风险管理总部——各子公司及各部门风险管理岗”的四级管理框架。目前,多数证券公司已经建立起了这样一个完整的风险管理架构。其中,风险管理总部与稽核总部需要分别在首席风险管理官和合规总监的领导下,高度独立,对董事会负责。
董事会负责督促、检查、评价公司风险管理工作,就公司的最大风险承受度形成意见,及时知悉公司最重大的风险以及管理层是否恰当地予以应对,并对公司风险管理负最终责任。董事会内设风险管理委员会、审计委员会,执行董事会有关风险管理的职能。
首席风险管理官负责拟定公司风险管理战略、规划,提出风险管理的政策和程序;监督风险管理政策和程序的实施、建立风险管理评价标准和组织;组织落实风险管理与内控体系建设相关措施;组织对风险管理部门及风险经理的考核和风险管理队伍建设;评估公司内外部环境以及所面临的各类风险;就公司内外部环境、战略、运营过程中所存在的风险提出建议,并定期向董事会报告。
风险管理总部是公司履行风险管理职责的职能部门,是公司风
面也带来了更大的技术风险,集中交易系统哪怕是几秒
66
管理学家
险管理委员会的日常工作机构,对首席风险管理官负责,主要职责是领导和协调公司内各部门在风险管理方面的工作,包括但不限于编制规章制度、对各业务总部的风险进行组合管理、度量风险和评估风险的界限、建立风险信息系统和预警系统、确定关键风险指标、负责风险信息披露和沟通、协调员工培训和学习、按照风险与回报分析在各业务部门之间进行资产负债配置。
各业务总部层面,各业务总部负责人是风险管理的第一责任人,同时设置风险管理岗,对本部门的风险管理负监督责任和连带责任。2014.3
然后,根据风险分析结果,在权衡成本效益的基础上选择合适的风险应对策略。风险应对策略包括:风险规避、风险降低、风险分担和风险承受。我们在选择或调整风险应对策略时,应当采用风险组合观,着眼于集团公司整体层面,致力于将风险控制在总体风险承受度范围之内。例如,从风险矩阵表上看,有些子公司面临很大的市场风险、信用风险、流动性风险、法律风险和合规风险,但是,从全球化战略角度考虑,该子公司仍有存在的必要,于是选择风险降低措施,如通过母公司的不断增资来降低该子公司各业务总部包含了公司大部分的经营性资产和业务,为公司直接创造价值,在日常工作中面对各类风险,是公司的前线,必须把风险管理的手段融入到业务总部的工作与流程中,才能建立好防范风险的第一道防线。
每个层级负有与其职责范围相匹配的风险管理职责,应各尽其职,将风险管理落到实处。
第二,在流程上,建立全程风险管理流程,对于单一业务,从该业务的诞生到逐步完善,风险管理应该实时存在;对于集团子公司,从该子公司的筹备到发展壮大,风险管理要始终贯穿其中。这不是一个静态过程,而是一个动态的过程,随着业务的发展变化而不断完善,随着方法的不断改进而不断升华。这就需要建立一只以专业人员为主的风险管理团队,这支队伍需要具有专业水平高、学习能力强、反应速度快、职业敏感度高等素质。
具体说来,首先要对证券公司各项业务进行风险评估,包括市场风险、信用风险、操作风险、流动性风险、系统与技术风险、法律风险、合规风险等,运用多种定量方法,如敏感性分析、行业标杆比较法、风险价值法(VAR)、情景分析法、压力测试法、风险矩阵法等结合定性方法,分析各种风险的可能性和影响程度。
例如假设运用各种手段,评估出某一证券公司主要业务的风险如下表:
表一:主要业务风险评估表
风险类型
主要业务
市场
信用操作流动系统风险
风险
风险性风与技法律合规险
术风风险
风险
险普通股票经纪业务
高
高
经纪业务
融资融券业务高高个股期权经纪业务高
高股票高高高债券高高
高基金
高
各种理财产品(包括权益类集合产品、债券类集合产品、银行高高
理财产品等)
自营业务
非标准化产品(包括专项理财产品、定向高高高高
理财产品等)利率互换高权益类互换高股指期权高高高国债期货高高高
个股期权高
高高
高
场外衍生品高
研究业务高
资金业务
高
高
高资本投资业务
高高
长期股权资产管理业务高
高
投资业务:期货业务高包括子公海外业务
高高
高高
高司和合营创新投资业务高高
公司
投资银行业务高高
高基金业务
高
高
高
的流动性风险和信用风险。再例如,随着创新业务的不断开展,衍生品品种不断增多,传统自营业务和衍生品自营业务分别由不同的业务总部负责,不同业务总部的风险可能处于各自的风险承受度范围之内,但是汇总后可能会超出公司整体的风险承受度,此时,则必须调整风险应对策略或者增加风险控制措施。
最后,在整个业务过程中,不断进行沟通、跟踪,评估风险管理的效果,并及时调整。对各种风险管理的各种结果进行记录和存档,对风险管理的有效性不断进行测试、完善和更新。证券公司应根据自身所处的发展阶段、业务拓展情况、整体风险承受度等实际情况及时调整风险应对策略。
第三,在风险管理观念的认同上,需要贯彻一套重视风险管理的企业文化和价值观。在全公司建立风险管理文化,董事会和管理层对风险管理的态度十分关键,因此需要自上而下建立这种文化氛围。同时,风险管理总部要通过组织各种讨论和培训使风险管理的实施得到全民的支持,通过分享经验不断加强风险管理的认同性,通过展示各种内外部案例令全体员工明白风险控制的重要性,使风险管理的理念深入人心,将风险管理的手段融入到公司的日常运营中。除此之外,还要将风险管理的内容落实到员工的绩效考核中,将风险管理的内容与员工绩效和收入挂钩。
业务人员时常会对风险管理有抵触情绪。究其原因,主要还是没有形成人人心中有风险管理的企业文化和氛围。很多员工对风险管理的认识存在偏差,认为风险管理会阻碍公司业务发展,认为风险管理是公司业务发展的绊脚石。事实上,随着证券公司的不断发展、创新业务的不断增多,风险管理水平将直接影响证券公司各项业务的开展以及公司能否承接收益更高、更加复杂的业务,良好的风险管理有助于降低决策错误的几率、避免损失的可能,从而相对提高证券公司本身的附加价值,良好的风险管理能够为业务开展保驾护航,为业务发展铺平道路,从而实现证券公司的内在增值。
2012年以来,我国资本市场创新脚步加快,2013年9月29日上海又成立了我国第一个自贸区,证券公司面临的市场格局、监管格局和竞争格局都发生了重大变化,市场更加开放,创新业务层出不穷、监管逐步放松,这些都对证券公司的风险管理工作提出了更高
的要求。风险管理创造价值,已经成为不争的事实,光大8.16事件,便说明了这一点,光大证券已经为此付出了沉重的代价,也为我们敲响了警钟,上了很好的一课。我们应该引以为鉴,根据成本效益原则,建立一套与证券公司业务规模相匹配的手段信息化、方法数量化、人员专业化的全面风险管理体系,在覆盖全面、全过程、全员的基础上突出重点,并切实实施,将风险管理的理念根植于公司每个员工的内心并体现在行动上,使证券公司的创新发展的步伐更加坚实、稳健,从而保证我国资本市场创新发展更加平稳、健康。
[1]参——整合框架(美)考文COSO献】[M].发布,方红星,王宏东北财经大学出版社译,2005
企业风险管理67
【
因篇幅问题不能全部显示,请点此查看更多更全内容