美国投资银行风险管理的组织架构及风险管理技术

1我国证券公司有效风险管理体系探讨冯玉明刘娟娟（东方证券研究所，上海200120）摘要：全面、有效的风险管理是现代金融机构获得成功的一个重要因素。而要对风险进行全面有效的管理，就必须有与之相适应的组织架构作为保障。本文从全面风险管理的内涵出发，并借鉴美国投资银行的经验和结合我国证券公司的现状，对国内证券公司如何建立一个相对科学的风险管理组织架构进行了探讨并提出了一些建议。关键词：风险管理；组织架构；证券公司作者简介：冯玉明，东方证券研究所研究员。刘娟娟，女，供职于上海海事大学水运经济研究所。中图分类号：F830.39文献标识码：A2全面风险管理的内涵及其基本要求作为资本市场主要的中介机构之一，证券公司核心业务的基本职能就是吸收客户的风险，充当风险的调解者或是向客户提供有关风险的咨询意见并获得相应的收入，因此它在经营过程中必须持有和库存各种风险。但是，证券公司必须有效管理客户和自身的各种风险，并通过金融创新等方式转移风险，这样才能保证所承担的各种风险不会危及到自身的支付能力，否则将可能会招致重大损失。过去几年国际金融市场发生的一系列重大亏损事件，如LTCM、美国橘郡破产事件、霸菱银行事件、大和银行舞弊案、MGRM避险亏损案、Hammersmith&Fulham诉讼案以及国内市场中一些大型证券公司发生的重大亏损甚至遭遇被托管的命运，都充分证明了风险管理对证券公司生存和发展的极端重要性。一、从内部控制到全面风险管理在20世纪90年代以前，企业对所面临的风险所采取的措施基本是以内部控制为基础的、对不同风险的逐一控制。内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。其中内部控制整体框架是对内部控制是全面的论述。根据COSO（TheCommitteeofSponsoringOrganizationoftheTreadwayCommission）组织的《内部控制统一框架》，内部控制首先要强调控制目标，即合理确保经营的效果和效率、财务报告的可靠性和经营的合规性；内部控制框架则包括五个要素即“控制环境、风险评估、控制活动、信息和交流、自我评估和内部监督”。在20世纪90年代后，企业在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险。即要实行全面风险管理（EnterpriseRiskManagement，简称ERM）。根据COSO组织2003年7月完成的《全面风险管理框架（草案）》（下称ERM框架），全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。ERM框架有三个维度，第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即控制环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是，全面风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。从COSO的ERM框架和内部控制框架可以看出，全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看，全面风险管理除包括内部控制的三个目标之外，还增加了战略目标；全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定，事件识别和风险对策三个要素。因此，全面风险管理涵盖了内部控制。从二者的实质内容看，两者存在以下几项重要差异。一是内部控制仅是管理的一项职能，而全面风险管理属于风险范畴，贯3穿于管理过程的各个方面。二是在全面风险管理框架中，由于把风险明确定义为对企业的目标产生负面影响的事件发生的可能性（将产生正面影响的事件视为机会），因此，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。二、全面风险管理对风险管理组织框架的基本要求从ERM框架可以看出，证券公司要做到全面风险管理，其风险管理的组织架构必须具备如下特征：一是公司董事会和决策高层的积极参与和对风险管理工作坚定的承诺与支持，这是风险管理工作效果好坏的关键。首先全面风险管理框架中第一维度中的各个目标和第二维度中风险管理目标的设定都是需要董事会和决策高层进行决策的。其次，负责具体操作的风险管理部门要完成风险识别、风险衡量、风险管理、风险报告与响应的各个流程，就必须跨越公司部门的限制，汇总公司各部门的交易数据，并根据数据分析公司的风险现况，以提供决策层与公司各部门参考，各部门如有超越风险限额的事项发生，风险管理部还担任监督及监控业务部门风险，以符合风险规范的角色。这一角色并不受业务部门欢迎，如果公司决策层没有给予风险管理部门足够的职权与支持，风险管理工作将非常难以落实。二是风险管理部门要有高度的独立性。即风险管理部门必须独立于业务部门，这样才能避免“球员兼裁判”的情形发生，以免因利益冲突而无法客观执行风险管理工作。三是协调性。这表现两方面，一方面，由于风险管理过程贯穿于从企业战略制定一直到企业的各项活动中，因此风险管理的组织和部门虽然具有独立性质，但只有能够全盘了解业务及相关作业流程，才能胜任其职责；另一方面，风险管理的组织和部门必须有能力协调各业务部门，才能有效监控和管理各项风险。四是全面性。从执行层面来看，若是风险管理部门无法将对公司风险的分析结果迅速而有效地向高层决策部门反映，风险管理工作的效果将大打折扣，所以风险管理部门必须有可直接与决策高层沟通的地位。五是在公司层面风险决策和经营决策的一致性。如果公司层面风险决策和经营决策有冲突，则全面风险管理将无法开展。美国投资银行风险管理架构的经验借鉴本文详细考察了美国著名的三大投资银行即摩根斯坦利、高盛和美林风险管理的组织架构（详见附录1-3）后发现，尽管3家公司由于各自的经营风格和企业管理文化不同，因而风险管理组织的设置存在一定差异；但总体而言，其风险管理组织的架构都可以分成四个层级，见图1。三家投资银行风险管理组织的架构的最高层面都是董事会下属的执行机构。其中，摩根斯坦利是董事会下属的、全部由独立董事构成的审计委员会；美林是董事会下属的审计委员会和由公司的高层管理人员组成的执行委员会；高盛是董4事会下属的、由包括公司首席执行官、首席运营官在内的高层管理人员组成的管理委员会。摩根斯坦利和美林的审计委员会主要职责是授权第二层级的风险（监视）委员会负责风险管理工作中的各种决策；审核、批准风险监视委员会的章程和定期提交的风险报告；定期评估公司风险管理的整个流程等。高盛的管理委员也主要是通过对风险委员会的授权，对公司的风险进行管理。风险管理组织架构的最高层由董事会下属的执行机构担当体现了前文所提的全面风险管理的组织架构必须具备的第一个特征，即董事会与公司决策高层的积极参与和对风险管理工作坚定的承诺与支持；处于第二层级的风险（监视）委员会主要职责是根据授权，具体负责风险管理工作中各种重大事项的决策。包括确定公司的风险管理政策（RiskPolicy）、确定公司所允许承受的最大风险限额或风险容忍度（RiskTolerance），评估公司总的风险态势（RiskProfile）并做出应变的决策；监控公司重大的财务、运营和其它特定风险；评估公司风险管理的效果等。各个公司还根据自身组织结构的特点，赋予了风险（监视）委员会其它一些职能。风险（监视）委员会直接向董事会下属的执行机构负责，体现了全面风险管理的组织架构必须具备的第二个特征，即风险管理部门高度的独立性。而风险委员会主要由公司高层人员组成也使其及下属的风险管理部门具备了协调各业务部门的能力。5三家公司的风险管理组织架构在第三层级和第四层级出现了一些差异。第三层级的组织主要负责对各种业务风险和特定风险的评估和管理政策的制定。在美林公司，这一职能是由公司风险委员会下属的各种专业委员会包括权益资本承诺委员会、负债资本承诺委员会、不动产资本委员会、新产品评估等委员会、信用政策委员会、储备金委员会承担的。在高盛公司则也主要由风险委员会下属的各专业委员会包括资本委员会、信用政策委员会、委托责任委员会、操作风险委员会、财务委员会、结构性产品委员会等承担；属于第四层级的各事业部门内部的董事会的审计委员会（摩根斯坦利）董事会的审计委员会、公司执行委员会（美林）公司管理委员会（高盛）最高层级风险委员会或风险监视委员会第二层级图1美国投资银行风险管理的组织架构公司风险委员会下属的各专业委员会（高盛）公司风险委员会下属的各专业委员会（美林）各事业部门内部的风险管理组织各风险管理部门（摩根斯坦利）各事业部门内部的风险委员会承担风险管理职能的各部门（高盛）各风险管理部门（美林）业务部门及其它部门存在的各种风险第三层级第四层级首席风险管理官（摩根斯坦利）6风险委员会也承担一些职能。而在摩根斯坦利，该职能则部分由上一层级的风险管理委员会承担，部分由首席风险管理官承担，另一部分由下一层级的组织共同承担。专业委员会的建立使风险决策更为科学。第三层级的组织的差异一定程度上决定了第四层级组织的差异。第四层级的组织通过一定的控制流程，帮助公司的高层管理人员和公司风险委员会监控和管理公司的风险。在美林公司，第四层级的组织只由全球流动性管理组、风险管理组和操作风险管理组等专门的风险管理部门组成；在摩根斯坦利，各事业部内有相应的风险管理组织配合市场风险管理部、信用风险管理部、财务控制部门、法律部门等专门的风险管理部门做好风险管理工作。而在高盛，风险的监控职能分散于其它的控制部门而不是专门的风险管理部门，如市场风险的监控和管理由财务部门负责；同时，各事业部内部也设有风险委员会，承担部分风险管理职能。相比较而言，美林采取的是相对集中的风险管理模式，即风险管理的职能全部集中于公司层面，各事业部内部没有相应的风险管理组织，我们认为，这可能归因于其建立有公司风险管理工作系统平台（RiskFramework）的缘故。国内券商目前无法满足全面风险管理的要求在过去的几年中，市场的大幅下跌使国内证券公司逐渐认识到了风险管理的重要性，部分公司建立了自己的风险管理组织架构。但我们认为，目前这些公司风险管理的组织架构还存在一些不足，不能保证各种风险的真正有效管理。这主要体现在：一是风险管理组织的独立性不够。我们考察了国内一些大型证券公司的组织架构发现，尽管这些公司也设有专门的风险控制委员会，但这些风险控制委员会的定位无外乎以下两种情形。一是作为董事会的专门委员会。由于董事会的专门委员会大都由董事组成，它不能成为一个常设机构；而更重要的是它只是一个提供建议的机构而不是执行机构，因此对公司风险管理工作的指导有限。另一种情形是风险控制委员会作为公司内部的一个执行机构，这虽然解决了第一种情形下存在的一些问题；但其中一个重要的缺陷是这些风险控制委员会接受公司经营管理层的领导而不是直接向董事会负责。这样，在缺乏董事会有效支持的情形下，风险管理部门的独立性将削弱。二是风险管理组织的协调性不强。在缺乏类似美国投资银行中的风险管理委员会支持和帮助的情形下，风险管理部门仅作为一个与业务部门一样共同对经营层负责的部门