整合风险管理

一、整合风险管理的产生及定义

整合风险管理(Integrated Risk Management，IRM)是风险管理理论与现代企业管理实践相结合的产物，代表了现代风险管理理论的最新发展成果，其主要起源于20世纪90年代欧美主要发达国家风险管理实践活动。整合风险管理理论的产生和发展具有深刻的理论和现实背景。

第一，20世纪90年代以来，在世界范围内发生了多次影响深远的企业破产事件，如1995年巴林银行(Barings Bank)的破产事件，使人们意识到现代企业的破产通常不再只是单个风险事件作用的结果，而是由包括财务风险、市场风险和操作风险在内的一系列风险综合作用的结果。在这些破产案例中，风险管理人员或企业经营管理人员很难将财务风险、市场风险和操作风险按照传统的风险管理方法进行分开管理，因此不禁使人们对传统风险管理的有效性产生了怀疑。

第二，世界经济逐渐向一体化和全球化的方向发展，这种“你中有我，我中有你”的经济体系，为企业开拓了广阔的发展前景，聚集了大量的财富，同时也使企业面临的风险不断复杂化，传统的风险管理在管理这些风险时愈显捉襟见肘。全球化的本质就是人员、物质、资本等跨国流动的加速，这必然导致原来一个国家或地区的风险向周边国家扩散，由于各国家或者地区之间在政治、经济、金融体制之间存在着区别，各国风险存在差异，这些风险在扩散的过程中，彼此产生互动，产生新的风险源，诱发相关风险的发生。经济全球化在诱发新的风险的同时，也扩大了风险的潜在后果，如1984年墨西哥金融危机、1997年亚洲金融危机、2008年美国金融危机等。这些危机在国际资本全球化的条件下，从一个国家或地区向其他国家或地区扩散，比如2008年美国金融危机，影响了全球经济的发展，给几乎整个世界带来了经济的衰退。

第三，随着消费需求的不断变化以及金融创新、监管的放松等，金融混业经营的趋势愈加明显，风险在各个金融领域间的影响和传播更加紧密，对金融企业风险管理的水平提出了更高要求。混业经营使企业内部某些子公司之间利益冲突加剧，而利益冲突的根源在于信息不对称，如果在混业经营的条件下子公司依据信息为自身盈利，可能导致其他子公司风险增加，导致风险的发生及在公司内部的扩散。同时，在混业经营背景下，银行、保险、证券等机构间的相关性进一步增强，这种相互影响使风险传导机制变得更加复杂，增加公司整体风险判断、衡量和管理的难度，特别是规模巨大的混业经营体，不仅风险管理难度增加，一旦破产，将会使整个金融体系面临巨大风险。

正是在这样的背景下，2001年，巴塞尔委员会(The Basel Committee on Banking Supervision)发布了新巴塞尔协议(《巴塞尔协议Ⅱ》)。《巴塞尔协议Ⅱ》首次将操作风险引入风险管理的范畴中，将市场风险和操作风险提高到与信用风险同等的高度，使金融机构认识到市场风险和操作风险的重要性，为银行业实施整合风险管理奠定了基础。随着金融混业经营的迅猛发展，在银行业中已获得广泛使用的新巴塞尔协议，也逐渐引起了保险监管者的注意，欧洲的偿付能力监管体系Ⅱ(SolvencyⅡ)和美国的风险资本监管体系(Risk Based Capital，RBC)便是保险业的有益尝试。相关监管立法的实施为保险业实施整合风险管理奠定了基础，促进了整合风险管理在保险业的发展。

保险业的整合风险管理既继承了整合风险管理理论的特点，同时也融入了保险业自身风险管理的特点。尽管保险业对整合风险管理开展了广泛和深入的研究，但是对于保险公司整合风险管理概念的界定和构成的限定并没有清晰的界定。目前无论是理论界还是实务界，对保险公司整合风险管理的研究主要从两个方面展开：第一个就是将经济资本管理等同于整合风险管理，注重于保险公司经济资本的量化和评估;另一个就是以COSO委员会公布的整合风险管理八要素作为整合风险管理的基础。应该看到，这两个方面均没有抓住整合风险管理的实质，将经济资本管理等同与整合风险管理实际上是缩小了整合风险管理的范围。实际上，经济资本只是整合风险管理实施过程中使用的一个工具(随着研究的深入，经济资本逐渐成为实施整合风险管理的标准工具)。而经济资本管理实际上是保险企业进行资本管理，资本管理只是整合风险管理的一个很重要的内容，将资本管理等同于整合风险管理缩小了保险公司整合风险管理的范围。而COSO报告所提出的八要素只是保险公司运行全面风险管理的基础和条件，是属于运行层面的要素，并未解释保险公司全面风险管理的本质内容。因此，如果以COSO报告的全面风险管理框架为目标，会使保险公司陷入“形而上”的境地，无法触及全面风险管理的内容，以至于在运营中没有管理的对象。

本项目将整合风险管理定义为：一个通过风险识别、风险度量、风险限额管理和风险缓释等步骤对保险公司风险进行组合管理，以便最大限度地提高保险公司价值的综合风险管理框架。与以损失补偿为主要目标的传统风险管理相比，整合风险管理的主要目标是为了最大限度地提高保险公司的价值，即价值创造。保险公司进行整合风险管理应该包含两个层次的含义：第一，整合风险管理应该涵盖对所有风险的管理，这些风险可以是来自不同的风险种类、不同的地理位置和不同的管理层面;第二，整合风险管理应该是站在保险公司整体的角度对风险进行全面的汇总(Aggregation)和整合(Integration)，这些汇总和整合本质上是为了充分考虑不同风险之间的分散化效应。作为一种先进的风险管理方法，整合风险管理应该包括以下7个功能。

(1)执行报告。对风险管理进行报告、汇总和执行的机制。

(2)能够对风险进行全面分类及进行整合风险测度。在整合风险管理中，应该能够对风险种类进行清晰和全面的分类，并且运用整合化风险测度工具对风险进行测度。

(3)损失/事件追踪。对发生损失事件后的追踪等各种后继行动的管理程序。

(4)完善的早期风险限额预警系统。必须设置相应的风险限额早期预警系统，对风险进行合理的限额管理。

(5)风险缓释项目跟踪。采用各种风险缓释工具，并对风险缓释的效果进行跟踪评估。

(6)保险公司整合风险管理的内容管理。整合风险管理体系必须对风险管理的内容进行管理，这类功能包括文档的更新、信息的及时传递、不同管理流程的及时调整等。

(7)风险控制的自我评价和风险学习。一旦风险损失发生，应该分析现有风险控制和管理程序中是否存在可以避免或限制损失的方法。如果存在，就需要进一步确认这些方针没有被采纳的原因，然后调整程序以便将来发生同一情况时有所帮助;如果现有的操作还不足以限制或避免损失，公司则需要开发和应用新程序。

由整合风险管理的主要功能可以看出，整合风险管理不仅包括定性分析和管理，还应该包括对风险的量化分析。要对风险进行定量分析，首要的任务就是持续、全面地收集与风险量化相关的数据，建立相关数据库。因此数据库管理是整合风险管理的基石。然后，通过各种反映实际风险状况的定量和定性模型，风险管理专家能够准确地测度各种风险，并进行风险转移。为了实现这些功能，整合风险管理系统将帮助保险公司估算各种风险参数，评估基于经济资本的资本充足性，进行基于情境分析的压力测试。所有这些风险管理措施将以实现股东价值为最终管理目标。所以，企业全面风险管理系统可以概括分成3个部分：数据库建设、风险评估和企业风险管理控制台，如图2-4所示。

图2-4保险公司整合风险管理基本框架

二、整合风险管理与传统风险管理的比较

传统风险管理也被称为纯粹风险管理，主要管理的风险是纯粹风险。然而，不断涌现的破产案例表明，传统的风险管理已经不能满足现代保险公司对风险管理的需求。传统风险管理的局限性主要体现在以下几个方面：第一，传统风险管理不是对风险进行全面管理，它只注重管理纯粹风险，而忽略了对市场风险、操作风险等其他风险的管理;第二，传统风险管理的目标主要是为了在风险发生时，保险公司能够获得补偿，从而以较快的速度恢复生产，因此保险公司在管理风险时是将风险管理视为成本控制的过程，而不是价值创造的过程;第三，传统风险管理在风险管理过程中，将风险单独、孤立地进行管理，忽视了企业风险作为一个整体共同作用于企业的特性;第四，传统风险管理的管理决策被分散到保险公司各个业务部门，风险管理的交流性差，不利于企业形成统一的风险管理文化。

相较于传统风险管理，整合风险管理代表了一种新型风险管理方式，它是风险管理理论与实践经验不断发展和融合而逐渐形成的最新理论成果。虽然整合风险管理与传统风险管理具有一些共通的地方，但是整合风险管理与传统风险管理之间已经有了本质的区别。整合风险管理和传统风险管理的主要区别可以用表2-1表示。

表2-1保险公司整合风险管理与传统风险管理的主要区别

三、保险公司整合风险管理实施的主要步骤

在理想状况下，保险公司整合风险管理框架首先要能够识别风险，然后再对风险进行测量和管理。全面风险管理体系的重要性在于确保企业各部门和业务线的工作目标与企业的战略发展方向保持一致，而且，各个业务领域的管理都必须明确地阐述其经营目标如何在风险管理框架中得以实现。理想的整合风险管理框架应该具备以下5个主要步骤。

(1)风险识别。识别风险是保险公司进行整合风险管理的基础，保险公司能否有效识别风险是保险公司成功进行整合风险管理的基础。识别风险要求保险公司能够识别所有影响保险公司经营和发展的风险，并对各种风险的相关情况建立完备的数据库系统，帮助保险公司运用先进的风险测度工具衡量保险公司的风险。

(2)风险测度。在识别风险的基础上，保险公司接下来就需要测度风险。测度风险的核心是风险测度函数的选取，风险测度函数的选取应该满足以下3个基本特征：可以测度风险分散化效应、可比较性和可评估性。不同风险之间相互影响、相互作用，共同作用于保险公司，对风险分散化的承认可以帮助保险公司更加精确地测度风险和节约应对风险的成本。可比较性要求保险公司能够使用选取的风险测度函数统一地测度保险公司的所有风险，这些风险包括市场风险、信用风险、承保风险、操作风险和业务风险等。可评估性则主要是针对管理者和监管者而言，他们可以通过风险测度的结果从总体上把握保险公司的整体风险状况，评估保险公司资本的充足性，保证在不利状况时企业的盈利能力。经济资本满足上述3个基本特征，因此是保险公司理想的风险测度指标。

(3)风险限额管理。风险限额管理是保险公司整合风险管理的核心。风险限额管理是希望将保险公司承受的风险降低到风险限额限定的范围之内，保证保险公司即便在市场状况不好时，也能够获得足够的收益。风险限额管理的主要步骤包括：第一步，保险公司需要结合企业发展战略、经营管理和财务目标、公司股东风险偏好等信息量化自身的风险容忍程度;第二步，在量化风险容忍程度的基础上，运用RAPM、资产组合管理等现代管理技术确定保险公司愿意自留的风险大小(总体的风险限额)，并将总体风险限额配置到各业务部门;第三步，对风险限额执行情况进行监控，风险限额一旦被配置之后就需要严格执行，否则便会削弱风险限额管理的权威性。

(4)风险缓释管理。风险缓释管理是保险公司整合风险管理的落脚点。风险缓释管理与风险限额管理是相对应的，保险公司为了获取风险收益必须承担一定的风险，这部分风险属于风险限额管理的内容，而对于那些不属于风险限额管理的风险，保险公司就需要启动风险缓释管理。风险缓释的方法主要包括风险控制、风险融资和内部风险抑制3种。近些年来，随着金融市场和保险市场的不断创新，产生了一些创新性风险融资方法，其中具有代表性的是：有限风险再保险(Finite Risk Reinsurance)和巨灾风险证券化(Insurance Risk Securitization)。保险公司必须根据自身风险状况选择合适的风险缓释方法。

(5)对整合风险管理执行情况和对风险回报平衡指标进行监控和调整。保险公司需要对整合风险管理执行情况进行监控，同时应该不断调整和完善整合风险管理程序。风险回报平衡指标的监控也是监控的重要方面，风险回报平衡指标主要是由保险公司所有者或者董事会综合各方信息对未来保险公司经营收益和风险设置的下限。风险回报平衡机制的核心是寻找合适的风险调整后的绩效评估(Risk-adjusted Performance Measure，RAPM)指标。目前，广泛被使用的RAPM指标主要有两类：一类是由Sharp(1966)提出的Sharp指标;另一类是风险调整后资本资产收益率(RAROC)指标和经济增加值(Economic Value Added，EVA)指标。Sharp指标是用投资组合获得的超额收益与为了获得超额收益所承担风险的比值来表示，并根据评估的结果评判投资的绩效，但是采用Sharp指标会使投资者倾向于较为保守的资产配置策略。RAROC指标和EVA指标的核心思想是将未来可预见的风险损失量化为当期成本，进而得到经风险调整后的收益，并据此评估组合的绩效。RAROC指标和EVA指标在一定程度上克服了Sharp指标的缺陷，因此RAROC指标也获得了更广泛的使用。常见的风险回报平衡指标包括RAROC指标和EVA指标，因此在监控时也就需要对这两个指标的执行情况进行监控。

针对各种潜在的风险，保险公司的整合风险管理系统要能够制订相应的行动计划。总体来看，有效的行动计划应该帮助保险公司减少风险资产的波动性，并且采用有效和安全的运行手段促进保险公司资产的流动性。当然，相关的行动计划应该遵守内部和外部的政策和法规。

很明显，任何商业决策都带有不确定性，也就是风险，有效的风险管理系统可以提高商业决策的价值。风险管理的目标不是随意地减少或消除风险，而是在明确自己对风险容忍度的基础上，对风险管理进行控制，以达到最佳的投资回报。

四、整合风险管理的功能(陈公越等，2011)

整合风险管理最终的效果应该表现在企业的经营效率上，即保险公司通过实施整合风险管理可以最大化股东的价值。Hoyt和Liebenberg(2009)通过实证研究发现整合风险管理的实施情况与保险公司的企业价值呈现出正相关的关联，从而促使保险公司积极实施整合风险管理。事实上，保险公司直接对市场风险、信用风险、承保风险和操作风险等风险进行管理，不仅避免了潜在风险造成的损失，降低了企业资产的波动，同时也为企业创造了价值，例如保险公司对面临巨灾风险的承保标的进行管理，降低了巨灾风险发生时保险公司发生的损失;利率风险的准确测量可以帮助保险公司对利率敏感性保险产品定价，提高了利率敏感性保险产品的市场竞争力，为企业创造了价值。在整合风险管理中，一些风险管理的益处体现在企业的整体效益上，另外业务风险的管理则体现在企业战略角度对整体经营环境的管理理念。因此，有效风险管理框架的功能不仅体现在战术层面，还必须包括战略层面的管理功能。图2-5简单说明了整合风险管理的组织功能是如何通过企业的关联层面反映到经营效益上的。

图2-5企业风险管理互动

所以，我们可以将保险公司面临的各类风险分为两大类：战略风险和战术风险。战略风险从本质上讲是一种长期风险，这种风险不能通过某些风险缓释方式完全减免，并且相关的损失时间可能对企业造成重大影响。战术风险是一种短期波动的风险，可以通过风险缓释工具减免，并通过日常的企业运营框架进行管理。例如，可以将业务风险等归入战略风险，而把市场风险、信用风险、操作风险和承保风险等归入战术风险。当然，战术风险和战略风险的分类很难严格区分，但是总体来看，战略类风险以企业的业务规划和战略途径来确定，而战术风险则通过执行行业规划及管理交付流程来确定。

在整合风险管理框架下，风险的评估和管理建议应该建立在业务部门能够承受的范围内进行，同时相关风险承受能力必须受到企业整体的风险轮廓和容忍度约束。在这样的框架下，需要建立合理的风险过滤器对风险管理进行筛选，例如有些风险被严格限制，有些风险需要严格管制，而某些风险需要容忍。这样的风险过滤器应该被纳入战略和战术层面的日常决策中，而关键的战略决策应通过正式的风险评估来反映其潜在的影响，并通过战术决策来加强风险管理的实践。