券商风险管理的国际惯例及其对国内券商的启示

2.4　券商风险管理的国际惯例及其对国内券商的启示

1998年5月，国际证券委员会组织（IOSCO）下属的技术委员会提交了一份题为《证券公司及其监管者的风险管理和控制指引》的研究报告。该报告的重点是关于风险管理及控制的政策、程序和内控制度的指引，目的是为了增强证券公司和监管当局对国内、国际风险管理及控制架构的意识。虽然运作规范的证券公司和整个证券行业都建立了比较完善的风险管理和控制制度，但是这并不能代替对资本充足率的规定。该报告中的建议是灵活而非绝对化的，各国管辖区和证券公司都可以采取与自身实际情况相适应的风险管理政策和程序。

该报告所指的“风险控制”包括基本的内部会计控制和风险管理的政策、程序。所谓基本的内部会计控制，是指能够保证交易记录正确和得到确认，保证职责适当分离的系统。所谓风险管理和控制系统，是指市场风险、信用风险、法律风险、操作风险和流动性风险的管理、控制系统。

2.4.1　证券公司风险管理和控制指引概述

1.风险控制环境

（1）证券公司需要建立一种机制，以保证其具备内部会计控制和风险管理控制的制度。监管当局需要建立一种机制，以保证其监管对象具备内部会计控制和风险管理控制的制度。监管机制不必规定具体和详细的风险控制措施，但应该给证券公司提供一般的风险管理和控制指引。

（2）证券公司和监管当局需要确认，证券公司已建立起由高级管理层监督、控制的机制，且已明确规定风险控制的责任。

2.风险控制的性质和范围

（1）证券公司指引和监管当局的指引应包括内部会计控制和风险管理控制。

（2）证券公司的内部会计控制应当包括对会计账簿、会计记录的规定和职责适当分离的控制，以保护公司和客户资产的安全性。

（3）证券公司的风险管理及控制应当包括对整个公司和单个交易台限额、市场风险、信用风险、法律风险、操作风险和流动性风险的控制。

3.实施

（1）证券公司高级管理层对业务单位的控制指引，应当包括最高层的总指引，以及面向较小经营单位和单个交易台的具体而详细的指引。

（2）证券公司应当具备由监管当局所要求公司具备的有关风险控制程序的书面文件。

4.核查

（1）证券公司和监管当局需要确认，应由管理层建立风险控制制度，且能持续有效地运作。

（2）证券公司和监管当局需要建立制度，以检验风险控制制度建立后能得到有效的执行。检验程序应当包括独立于交易柜台和业务收入方的内部审计和独立会计师的外部审计。监管当局应通过检查来进一步验证风险控制制度。证券公司需要确认审计部门和监管当局提出的建议是否得到妥善地执行。

（3）证券公司和监管当局应当确认，其所建立的风险控制制度能够适应新产品和工业技术的发展需要。

5.报告

（1）证券公司需建立风险报告制度，将风险控制制度中的实质性不足或控制失效及时向高级管理层和监管当局报告。

（2）证券公司应当准备向监管当局提供有关风险控制制度的信息。各监管当局间应当具备共享有关风险控制信息的渠道。

传统金融和证券业务的快速发展及其复杂性，要求对相关的各种风险能加以识别、监控和管理。该研究报告所提出的风险管理和控制方面的建议适用于所有的金融和证券业务，其目的在于帮助证券公司及其监管当局有效防范和控制金融与证券业务的风险。这些建议提供了审慎的标准，各家证券公司现行的风险控制和监管框架应当与之进行对照。

2.4.2　证券公司的风险管理和控制系统

证券公司建立风险管理和控制系统的最终目的是：尽量降低公司资源突然耗尽的风险，以充分保护公司资产、资本的安全性和完整性。根据证券公司业务经营规模和复杂性的不同，有效的风险管理和控制的具体内容也不一样。然而，完善的风险管理和控制系统一般应具备全面的风险管理及控制战略，包括实现战略目标的政策和程序、风险计量和控制的方法、对执行情况的监控和报告，以及对战略、政策和程序有效性的不断评估。下面对此分别进行讨论。

1.风险管理及控制战略

证券公司决策机构（例如董事会或相应机构）对承受的风险承担最终的责任和义务，因此应履行监控职责。公司整体业务发展战略和风险管理及控制政策应由决策机构审批。为了保证战略和政策得到执行并保持适应性，决策机构应通过内部审计部门进行独立评估。采取矩阵式管理系统的证券公司应明确规定各级报告的渠道。

制定风险管理及控制战略的第一步是：根据风险占资本的比例情况，对公司业务活动及其带来的相应风险进行分析。在上述分析的基础上，要规定每一种主要业务或主要产品的风险数量限额，批准开展业务的具体范围，并应有充足的资本加以支持。此后，应对业务和风险不断进行常规检查，并根据业务和市场发生的变化对风险管理及控制战略进行定期的重新评估。内部审计和外部审计的结论应直接向决策层报告。

根据业务和产品的复杂程度的不同，决策层成员履行职责所需的专业知识水平也就不一样。在规模较大、业务或产品较复杂的证券公司里，决策层成员需要具备较高的专业知识水平。

2.实现战略目标的政策和程序

在识别风险和确定了抵御风险的总体战略后，证券公司就可以制定用于日常和长期业务操作的详细而具体的风险管理和控制指引。为此，在风险管理的政策和程序中应当包括风险管理及控制过程中的权力及遵守风险政策的责任、有效的内部会计控制、内部审计和外部审计等。如果某家证券公司的规模较大、业务或产品较复杂，就需要建立集中、自主的风险管理控制部门。就风险管理和控制部门而言，最重要的是配备适当数量的专业人员，并独立于产生风险源的部门。

因为风险控制结构的有效性取决于运用它的人员，因此进行有效风险控制的前提是机构内所有员工都具有高度的责任感。在确定风险管理和控制过程的权力和责任时，应当考虑的一个重要因素是将风险的衡量、监督和控制部门与产生风险的交易部门相分开。高级管理层应当保证职责适当分离，员工的责任不应互相冲突。然而，人们难免出现差错，内部控制可能会因为疏漏、失误和串谋遭到破坏。同时，有关将机构授权活动、交易和风险承担等交流书面化同样至关重要。

有效的内部会计控制和审计程序是风险管理和控制的基础。基本的内部会计控制如交易授权、职责分离、保护资产和记录、文件标准化以及独立的验证控制等在各证券公司之间应当是一致的。在风险管理和资本保全方面，最重要的内部控制包括交易职能与内控和风险管理职能之间的职责分离和交易的授权。

应该强调的是，对监管当局来说，判断内部审计师和外部审计师的独立程度，他们与公司决策层之间的关系，以及是否严格履行其监控职能是十分重要的。

内部审计部门应独立于交易部门和业务收入部门，其获得的报酬不应与业务收入挂钩。外部审计师要独立于证券公司开展审计业务，他们主要是针对公司的财务报表发表意见。作为这项工作的一部分，外部审计师将对证券公司内控系统的有效性作出评价。而内部审计师并不独立于被审计的证券公司，但他们也应通过直接向决策层报告而在该公司内部“保持独立”。内部审计师可以对公司的财务和操作部门进行审计。

尽管对于外部审计师来说，报告风险管理和控制政策的总体适当性可能并不合适，但是内部审计和外部审计的频率、范围及其结论是对现行风险管理及控制系统和内控系统是否有效运作的独立检验。虽然每次审计都有不同的审计目的，但内部审计师和外部审计师经常相互依靠对方的工作，来确定即将开展的审计工作的性质和范围。

3.风险计量（测量）方法

风险计量系统的方法须涵盖公司的风险头寸、市场、货币和对手方面等所有已知的风险。应当经常验证“受险价值”（Value at Risk）和其他数学模型（包括模型的假定条件），并不断利用数据进行返回检验。这一风险计量方法应当包括敏感性分析和压力测试。作为压力测试的补充，应该制定应急计划，以应付不利的情况和最坏的情形。

4.现行政策和程序执行情况的报告制度

证券公司应当具备风险管理及控制的报告和评估程序，包括检查现行风险管理政策和程序执行报告及发现例外情况的制度。一般来说，风险暴露以及盈亏情况应当每日向负责监控风险的管理层报告，后者应简要向负责公司日常业务运作的高级管理层汇报。

5.对战略、政策和程序有效性的评估

对风险管理及控制的战略、政策和程序的评估应该定期开展，评估应考虑到现行政策的实施结果、业务以及市场的变化。风险管理及控制政策的方法、模型和假设的变更应由决策层审核。风险管理及控制的政策和程序应当要求风险管理及控制部门参与对新产品和新业务的考察。

2.4.3　证券监管当局对风险管理和控制过程的监督

证券监管当局应当了解每家证券公司的风险控制环境，检查公司管理层制定的风险控制措施是否充分。监管当局负责监管证券公司的业务运作情况，目的是为了保护投资者的正当利益，并促进证券市场的规范、稳健运行。为此，监管当局必须主动而不是被动地去设计证券业高质量、动态的监管制度。一般来说，监管当局不应为每家证券公司制定具体的风险控制标准，但这并不排除监管当局在确认某一家证券公司的风险控制水平已经低于国际一般标准或国内最低标准时，为其制定详细的风险控制标准。

尽管达到监管目标的最好方法是由一个司法体系下具体的法律、政治和监管环境所决定，但是国际证券委员会组织仍然给各国证券监管当局提出了监控风险管理及控制过程的如下建议：

（1）监管当局可以颁布条例，要求被监管者建立具体的风险管理和定期报告及检查执行条例的制度。监管当局的有利条件是能够对风险管理及控制职能直接实施监控，然而，这一方法可能会因为法律、司法和政治因素而变得复杂。

（2）监管当局可以根据风险管理及控制的水平和复杂程度对资本规模的大小进行分级，从而将资本大小与资本受保护的程度适当地联系起来。上述方法是有益的，但是通用的风险控制标准并不可行，对实践中风险控制的充分性及其执行情况的评定和判断是主观的，而且耗时。

（3）监管当局可以与行业协会进行合作，在协会会员中提倡某些风险管理及控制标准。这条建议的好处在于，这是一种使会员公司处于“同等压力”的做法。然而，行业协会主要考虑会员公司的自身利益，会员是否采纳行业协会的建议完全是自愿的，因此监管当局的强制力会受到一定程度的限制。

（4）监管当局可以通过标准制定机构如会计和审计原则委员会来间接颁布风险管理及控制措施。国际证监会组织技术委员会与国际会计标准委员会、国际审计准则委员会曾合作推出国际证券发行者全球会计和审计标准，这是监管当局与标准制订机构有效合作的具体案例。监管当局可能在将来要求审计师将风险管理及控制的审查作为证券公司审计的一部分。如果证券公司的风险管理和控制不够充分，则会延长该公司的审计时间，增加审计成本，或被陈述于管理报告或审计报告，这就可能进一步促进该公司制定风险控制措施。然而，由于审计行业和证券行业在上述审查的必要性上存在分歧，加上风险管理和控制程序缺乏客观的标准，这一建议还难以迅速得到采用。

随着证券公司、市场和风险管理及控制系统在地域和领域上的全球化的发展，各个监管当局之间有必要正式协调监管的规定和行动。国际证监会组织技术委员会和巴塞尔银行监管委员会的合作是监管当局之间共同推进金融市场稳定发展的重要体现。1996年6月，关于银行业和证券业监管当局之间合作的联合声明提出了监管合作的重要原则，包括信息共享、资本监管、对业务多元化公司的特别监管安排、监管当局收到准确的操作和预警报告的必要性，以及定期改进监管程序的必要性。

2.4.4　风险管理及控制系统的要素

成功的风险管理的关键因素是，在证券公司内部建立严格而有效的风险管理及控制架构，这一点已在金融界得到广泛的认同。以下是健全而有效的风险管理及控制的要素，可以作为任何司法体系下证券公司和监管当局用做检查证券业务的控制充足性的基准。这些风险管理及控制系统的要素构成了证券公司和监管当局的控制指引，旨在成为各个法律制度下证券公司和监管当局衡量其控制是否适当的参照标准。这些要素分为五类，是任何一个风险管理及控制系统的主要要素。

1.风险管理和控制环境

（1）证券公司需要建立一种机制，以保证其具备内部会计控制和风险管理控制的制度。监管当局需要建立一种机制，以保证其监管对象具备内部会计控制和风险管理控制的制度。监管制度不必规定具体和详细的控制措施，但应当给证券公司提供一般的风险管理及控制指引。

（2）证券公司和监管当局需要确认，证券公司已建立起由高级管理层监督的控制系统，并且已明确规定风险管理和控制的责任。

风险管理和控制环境代表了证券公司的决策机构和高级管理层对保护公司财务资源和内部信息完整性的态度、意识和行动。为促进控制文化在公司内部的广泛分享，应将控制文化扩展到公司所有的各级职员。审计标准第78号声明指出，风险管理和控制环境确定了一个机构的基调，影响着人们的风险控制意识，它也是内部控制其他要素的基础，为它们提供了规则和架构。风险管理和控制环境的有效性会受到下列因素的影响：管理层的态度、信条和实践，组织架构和会计责任，决策机构和管理委员会的特性及范围，外部监督的程度。

健全的风险管理和控制环境是证券公司免受意外损失和资本侵蚀的重要前提。如果运行良好，内部会计控制和风险管理及控制能使潜在的问题及早暴露，即使不能免遭意外的损失（事实上也不可能在各方面都避免损失），但它能够迅速将有关情况在决策层和高级管理层中曝光。如果证券公司缺乏充分的风险管理和控制环境，缺乏职业道德的职员重点控制公司进行欺诈，有时其后果不堪设想（例如巴林银行的倒闭）。公司决策机构和高级管理层缺乏充分的控制环境和控制意识是导致近年来巴林银行、百富勤、国家西敏士银行出现亏损的主要根源。

决策机构对证券公司的所有者负责，对了解公司面临的风险，保证高级管理层采取必要措施来监督和控制这些风险，确保风险管理及控制系统有效运作负有最终的责任。相应地，高级管理层负责公司日常业务的监控，实施适当的风险管理及控制政策，监控公司所面临的风险。决策机构和高级管理层均有责任来提高公司员工的职业标准。

证券公司的监管当局和公司本身都必须具有风险管理和控制意识。监管当局必须确定其监管的机构已具备适当的监管环境。为此，监管当局必须以一些手段和制度（例如法定权力、财务手段和人力资源等）作为保证。在某些方面，如识别公司内部重大薄弱点或判定其适应性方面还可能要借助于独立的外部审计师。监管当局不应制定详细的“一刀切”的风险管理和控制框架，因为每家证券公司在组织机构和开展业务方法上具有自身的特点。相反，监管当局应当提供灵活、适应性强的一般性指引。当然，这并不排除监管当局在确认某一家证券公司的风险控制水平已经低于国际一般标准或国内最低标准时，为其制定详细和具体的规定。

确保证券公司的风险管理和内部会计控制环境符合总体框架是监管当局义不容辞的责任。每家证券公司应将其风险管理和控制环境形成书面文件，并报经决策机构批准。通过将风险管理和控制环境文件化，证券公司可以清楚地向监管当局和外部第三者说明，它已具有适当的风险管理政策和程序，能够保证公司资产和资本不因越权使用而遭受损失。

2.风险控制的性质和范围

（1）证券公司指引和来自监管当局的指引应当包括内部会计控制和风险管理控制。

（2）证券公司的内部会计控制应当包括对会计账簿、会计记录的规定和职责适当分离的控制，以保护公司资产与客户资产的安全性和完整性。

（3）证券公司的风险管理及控制应当包括对整个公司和单个交易台限额、市场风险、信用风险、法律风险、操作风险和流动性风险的控制。

风险管理及控制的性质和范围必须适用于它们所保护的机构，也就是说，它们必须根据公司的组织结构、业务特点和风险收益偏好的内在需要进行设计，而不是从外部进行详细规定。但不管如何进行设计和实施，风险管理和控制在实现公司控制目标方面的作用也是有限的。

为了保证风险管理及控制有效，它必须包含一些基本要素。基本控制要素应以公司管理层发布的指引和监管当局发布的指引的形式来公布，应包括内部会计控制（包括对基本会计账目和会计记录的规定）和风险管理及控制。基本的内部会计控制应包括会计账目和会计记录的规定、妥善保护公司资产和客户财产的风险控制措施。这个目标只有在职责分离的环境下（例如前台和后台的职责必须分开）才能达到。如果要减少一个员工在正常业务过程中隐瞒自己错误的可能性，有必要进行职责的适当分离。因此指派不同的人各自负责授权交易、记录交易和保管资产是非常重要的，例如，可能会要求独立核实证券报价和其他信息。

风险管理及控制应包括对整个证券公司和单个交易台的风险限额、市场风险、信用风险、法律风险、流动性风险和操作风险的控制。虽然证券公司承受风险的程度一般并不是监管当局需要考虑的问题，但监管当局需清楚地了解公司的风险偏好，以检查其风险管理和控制架构是否适当。

3.实施

（1）公司高级管理层对业务单位的风险管理和控制指导应当包括最高层的总指引，以及面向较小经营单位和单个交易台的具体而详细的指引。

（2）公司应当具备、监管当局也应要求公司具备风险控制程序的书面文件。

实施程序的运作需有效地贯彻管理层关于风险控制（每家证券公司均需建立）的意愿。如果没有有效的实施程序，再好的制度也只不过是一纸空文。近年来，在发生巨额亏损的金融机构内部中，以文件形式存在的书面风险控制制度都没有得到有效地实施。

公司高级管理层的责任是为最高层提供总体指引，为较小的业务单位和单个交易柜台提供具体详细的指南，通过在各级风险控制机构使用关于控制的书面文件就可以达到这个要求。证券公司和监管当局应将缺乏控制的书面材料视为风险控制环境薄弱的信号，风险控制环境的薄弱点给公司、客户和交易对手都带来了重大的风险。

如果缺少有效的实施、各级管理层的检验和监管当局的监督，仅凭书面程序本身并不能保证适当的风险控制环境。这意味着各业务经理必须积极参与风险控制并经常加以运用。合理实施内控制度的适当程序最好留给各家证券公司自身去完成。公司的高级管理层负责制定公司内适当的风险管理及控制架构，这种架构必须节约成本开支。要使任何实施程序行之有效，都必须有各级管理层的积极参与，应对违反或忽视风险控制指令的职员加以严惩。

4.检验

（1）证券公司和监管当局需要确认，管理层建立的风险管理和控制制度能够持续有效地运作。

（2）证券公司和监管当局需要建立制度，以检验风险管理和控制制度得到了执行。检验程序应包括独立于交易柜台及业务收入方的内部审计和独立会计师的外部审计。监管当局应通过检查进一步验证。公司需要确认，审计部门和监管当局提出的建议得到了妥善执行。

（3）证券公司和监管当局需要确认，所建立的风险管理和控制制度能够适应新产品和技术进步的发展需要。

检验是风险管理及控制系统的关键因素之一。如果证券公司和监管当局不建立一套完整的检验程序，机构内部失控的风险就会不断增加。证券公司和监管当局需确认，经管理层制定的风险管理和控制制度是按照设计的要求来运作，并能适应新产品和技术进步的发展需要。

对证券公司来说，检验程序必须包括由经过专门训练并掌握足够知识的职员所作的内部审计。对监管当局而言，检验程序应包括对证券公司控制进行测试的监管检查。

此外，独立会计师的外部审计至少应包括对内部会计控制系统的监察，这应成为公司年度检验程序的一个组成部分，并由监管当局强制执行。有些国家的法律规定，外部审计是对监管当局检查的补充，可以针对一些特殊的问题进行特殊目的的审计。监管当局的检查和特殊目的的外部审计如何有效地结合运用，应由各国自行决定。

证券公司内部和外部四层风险防御监控体系包括内部日常管理、内部审计部门、外部审计师和监管当局，风险控制的检验程序应成为其中的一部分。业务经理负责内部的日常监控，并确保风险管理和控制有效；内部审计师负责对风险管理和控制系统的定期检查；外部审计师负责对风险管理和控制系统的独立检查。在没有取消或减少这三类人员（包括业务经理、内部审计师和外部审计师）职责的情况下，监管当局可以根据各自的法定权力或规章的授权，采取高层次的审查、检查或其他监督措施，以确保风险管理和控制环境不存在任何漏洞。

5.报告

（1）证券公司需要建立、监管当局也应要求公司建立及时将风险控制的实质性不足或失控向高级管理层和监管当局报告的制度。

（2）证券公司应准备向监管当局提供有关风险管理和控制的信息。

各监管当局间应当具备共享风险管理和控制信息的渠道。

要想保持有效的风险控制环境，有必要报告风险管理及控制的适当性。证券公司应当建立、监管当局也应要求公司建立及时向高层和监管当局报告风险控制不足或失控的制度。如果缺少及时报告失控的程序，管理层和监管当局就无法及时得到重要的决策信息，风险控制的有效性将大大降低。

有效的报告程序只有在证券公司具备完善的信息系统情况下才能保持，因为只有这样才能以及时可靠的方式取得准确详细的信息。监管当局对有关风险控制的财务、操作信息的收集和正确分析是实施有效监管的关键。

证券公司应随时向监管当局提供有关风险管理和控制系统的使用情况以及常规和紧急情况下失控的有关信息。监管当局应当建立共享风险控制信息的渠道。在紧急情况下，监管当局的需求往往是极具针对性的，并可能非常详尽。由于紧急情况主要是针对个别公司而言，因此监管当局的需求信息还包括保管人、交易所和清算机构的有关情况。