第二章 风险管理相关文献与理论综述.doc

第二章 风险管理相关文献与理论综述2.1 风险管理理论风险是对所有可能造成损失的不确定现象和过程等的通称。所谓风险管理，就是人们在日常活动中，通过对风险因素、风险环境、风险事件的分析，采取相应决策和行动来规避和减小风险损失，或者在风险值确定的情况下，追求最大收益的行为。2.1.1 风险管理发展起源风险管理作为一门专门的管理科学最早由西方国家提出，是管理科学的一个分支。作为一门管理科学，风险管理既具有数理范畴的科学性属性，同时又具有非数理概念的艺术性属性，因此，对于风险管理，不同的学者由于研究角度和侧重点不同，提出的观点也各有千秋。1风险管理的思想起源于中世纪的欧洲，发展于 20 世纪的美国。法国著名管理学家亨利法约尔很早就认为风险管理是公司的基本管理活动之一。1952 年美国学者格拉尔在其调查报告费用控制的新时期风险管理中，首次使用了“风险管理”一词。1963 年梅尔和霍斯奇的企业的风险管理以及 1964 年威廉姆斯和汉斯的风险管理和保险的出版，被普遍认为是风险管理系统研究的开始。美国学者克里斯蒂在风险管理基础一书中指出：风险管理是企业或组织为控制偶然损失的风险，以保全所得能力和资产所做的努力。2.1.2 国内外研究成果及文献综述2.1.2.1 国外金融、证券风险管理研究情况金融行业是伴随风险而诞生的行业。对金融行业风险管理的研究，也是由来已久。尤其是上世纪的后半叶，国际金融发展迅速，各类金融机构、各项金融产品及衍生工具不断创新，金融风险越来越大，有关金融风险的研究也愈加广泛和深入。其中，大量的数学、统计学、系统工程，甚至物理学的理论和方法都被应用于风险管理的研究。在欧美国家，实行金融行业混业经营的模式，证券业务包含在投资银的业务中，相关风险管理理论与实务的研究成果非常丰富，早期有 J.R.希克斯和 J.M.卡尔博特森对纯粹预期理论进行修正提出了流动性偏好假设，促进了利率风险管理研究的发展；美国经济学家马柯维茨将统计学中期望与方差的概念引入资产组合问题的研究，提出用资产收益的期望来度量预期收益、用资产收益的标准差来度量风险的思想，将风险进行量化研究；威廉夏普、林内尔和莫森分别推导出资本资产定价模型（Capital Asset Pricing Model-CAPM），运用该模型对均值方差模型进行优化，进行单种资产系统风险的定量研究，金融界和经济学界一直将CAPM 作为处理风险问题的重要工具，被大量运用在风险管理与财务决策等方面。上世纪 90 年代起，VaR（Value at Risk，受险价值法）为基础的风险管理方法被提出并逐步兴起，VaR 法指在正常市场条件下，在一定的置信水平和持有期内，衡量某个特定的头寸和组合所面临最大可能损失17。该方法首先由 J.P摩根针对市场风险的研究提出，用规范的统计技术来衡量风险，大大增加了风险管理系统的科学性，目前被金融界和学术界大量应用于风险管理的定量研究上；Duncan Wilson 在 1995 年发表操作风险 VaR， 提出操作风险经济资本配置，文章认为，操作风险可以使用 VaR 技术进行精确计量，在建立来自于内部和外部的操作损失事件数据库的基础上，用数据拟合操作损失的分布。随后，通过设置一个置信区间，比如 99%，由此算出操作风险 VaR，再根据增量和存量的配置原则，确定相应的经济资本额度。而全面风险管理理论（Total Risk Management，TRM）的提出，从整个系统的角度对风险管理进行界定，其中心理念是，对整个机构内各个层次业务单、业务环节、各种风险来源、类型的通盘管理和控制，将市场风险、信用风险、流动性风险、操作风险、法律风险和其他各种风险以及各相关产品、业务单位纳入到统一的系统中，对各类风险统一进行测量评估并汇总，并根据业务相关性对风险进行有效管理和控制。2国际著名的证券金融机构均非常重视风险管理，并各自拥有比较完善的风险管理体系。J.P.摩根从 1994 年起就致力推广“风险矩阵系统”（Risk Metrics） 分析法，致力于 VaR 方法在风险管理中的应用研究，在风险管理基本原则上，坚持风险管理是全方位、独立监控的过程原则；Merrill Lynch(美林)总结了一套风险管理理念，包括六项原则，尽管风险管理的方法和策略一变再变，但风险管理的理念确一直维持延续，美林认为，业务的主要风险并非来自金融产品本身，而是来自管理上的失误，例如违规运作和缺乏监管等等。Goldman Sachs(高盛)制定了全面风险管理程序，对公司业务中的风险进行监督、评估和管理，公司通过一系列独立但是互补的财务、信用、操作和法律报告系统对公司风险暴露进行监控。在金融风险管理的研究上，相关组织也做出了巨大贡献。巴塞尔监督管理委员会 1988 年制定的风险管理规范，后来被简称为巴塞尔协议，标志了国际银行业基本形成相对完整的风险管理原则体系。2004 年，巴塞尔新资本协议最终定稿。新协议对风险的反映和计量不仅包括信用风险和市场风险，还包括操作风险和其他风险28，提出了操作风险的定量研究，提出了操作风险资本计量的六种方法：基本指标法(BIA)、标准法(SA)、计分卡方法(SCA)、内部衡量法(IMA)、损失分布法(LDA)以及极值理论方法(EVT)，以及用于操作风险计量的高级计量法(AMA)。AMA 法是指经过监管当局批准，采用规定的定量和定性标准，通过金融机构内部操作风险管理系统计算经济资本的方法。这些都对金融业提高风险管理水平起到了巨大推动作用。美国全国反虚假财务报告委员会（ TreadyCommission）下属的组织 COSO（Committee of Sponsoring Organization）于 1992年 9 月发布内部控制整合框架（COSO-IC），并于 1994 年进行了增补。2004 年 9 月，COSO 正式颁布了企业风险管理整合框架（COSO-ERM），对企业内部控制和企业风险管理进行定义，确定内部控制整合框架五个要素，提出企业风险管理的构成八要素：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中。其后，COSO 报告几乎成为企业风险管理和内部控制研究的圣经。国际证券委员会组织 (InternationalOrganization of Securities CommissionIOSCO)于 1998 年 5 月发布证券公司及其监管者的风险管理和控制指引（以下简称指引）。该指引从证券公司监管的视角，重点提出了风险管理控制政策、程序和内控制度，其目的增强证券公司和监管部门对国内、国际风险管理和控制。IOSCO 将证券公司面临的风险划分为市场风险、信用风险、流动性风险、操作风险、法律风险和系统风险等六大类型。几乎涵盖了证券经纪业务风险管理的全部内容，丰富了巴塞尔协议和 COSO企业风险管理整合框架关于证券行业风险管理的内容，对证券金融企业风险管理、对证券经纪业务风险管理的研究和实践具有重大意义。2.1.2.2 国内金融、证券风险管理研究情况1990 年末到 1991 年初，上海证券交易所和深圳证券交易所先后成立，标志着证券行业正式融入中国经济运行体系21，我国对证券行业风险管理的研究也从此起步。随着中国证券市场的发展，证券经纪业务空间越来越深、越来越大，但在市场表现上，证券公司因经纪业务风险管理失控而导致经营损失的案例也层出不穷，显示出国内对证券经纪业务风险管理的研究和实践还存在很大不足。近年来，国内学术理论界、证券机构、政府监管部门越来越重视证券经纪业务风险管理的研究与实践，取得了一定的研究成果。卢文莹在金融风险管理一书中，全面介绍了金融行业风险管理的理念和原则，分析各薄弱环节，从各方面分析阐述证券业务风险管理的要素，并详细阐述了 VaR 受险值方法在证券业风险管理中的应用原理，对证券行业风险管理定量分析提出相关方法；郑明川、刘静、于研等学者对 VaR 方法的应用领域进行了理论研究；杜海涛通过实证进行了基于 Risk Metric VaR 风险管理模型对国内证券市场风险管理的研究；盛军、任有泉分别对金融业操作风险进行了相关高级计量法（AMA）定量研究；刘睿、詹原瑞、刘家鹏对实践中如何恰当地量化操作风险进行了研究，对实践中损失数据的来源、收集和处理进行了讨论，在概括了现有主要操作风险量化方法的基础上，针对操作风险的特征，详细阐述了极值模型的应用步骤，并给出了发展量化方法的建议。杨淑琴提出了基于因果模型的 Delt_EVTTM 技术应用于证券经纪业风险管理的一种综合方法，对证券经纪业务的操作风险进行定量研究，通过运用EVT 技术度量网上交易等外部事件风险，同时运用 Delt 技术度量内部操作系统、人员等造成的风险，对操作风险产生的来源以及度量模型提供一种可行的分析思路。16李进安利用美国匹兹堡大学 A.L.SAATY 教授提出的 APH（AnalyticalHierarchy Process）分析方法，分析证券公司经营风险，通过建立层次结构模型，将各种风险由上到下按风险因素之间的关系排列于不同到层次，形成层次结构图，确定风险因素权重值，进行定量方法进行风险识别，以采取应对措施。巴曙松对操作风险进行的研究，指出在操作风险管理上，要建立于市场风险和信用风险相一致的操作风险管理框架，确定个人在风险管理中的责任，在此基础上构建操作风险管理体系。马世兵在分析证券经纪业务创新全面风险基础上提出多级多因素多层次模糊综合评估体系，运用评价指标集合、权重集、模糊变换矩阵推导出综合模糊评价结果，定性识别加定量计算，提出研究证券经纪业务创新风险管理的方法。在实际应用中，雷斯克电子科技（北京）有限公司于 1998 年研制开发了“米微风险管理模型MuVAR”系统，为用户提供从数据库管理、IT 系统风险监控、风险分析到风险控制和评估机制的全面解决方案，是定量风险研究技术应用于实践的可喜尝试，引起众多券商的关注。22国内金融、证券监管部门对证券公司风险管理也做了相当多的工作。早在1997 年 5 月，为了防范金融风险，健全金融机构内部控制及风险防范机制，中国人民银行就制定了加强金融机构内控制度的指导原则；2001 年，为了促进证券公司的规范发展，有效防范和化解金融风险，维护证券市场的安全与稳定，依据中华人民共和国证券法等法律法规，中国证监会制定了证券公司内部控制指引，规定证券公司风险管理及内部控制应当按照指引的要求，建立运行高效、控制严密的风险管理及内部控制机制，制定科学合理、切实有效的风险管理及内控制度。2003 年 12 月，中国证监会又出台了证券公司治理准则（简称准则），修改完善了原证券公司内部控制指引，这些都成为完善证券公司风险管理和内部控制的基础性制度规范。目前，国内证券经纪业务风险管理的研究虽然取得了一定成绩，但跟国际先进水平比较还相对落后，尤其是定量研究与实践，还基本处于初级阶段。虽然国内的证券公司都建立了一套经纪业务风险管理的规章制度，但从实际情况看，各种风险事件仍时有发生。总之，证券经纪业务风险管理还有很多研究和实践工作需要我们去做。2.2 证券公司风险管理研究经典文献有关公司风险管理尤其是证券等金融企业风险管理研究的基础的、经典性的文献资料，被公认具有权威性且堪称风险管理和内部控制理论研究“圣经”的有以下几个：巴塞尔银行监管委员会内部控制系统评估框架报告；COSO企业风险管理整合框架报告；IOSCO证券公司及其监管者的风险管理和控制指引的研究报告。2.2.1 巴塞尔体系巴塞尔银行监管委员会于 1998 年 1 月发布了内部控制系统评估框架（以下简称评估框架）。评估框架主要对银行内部控制的目标、要素及其评估原则和外部审计师在银行内部控制中的角色定位等内容进行了阐述，提出了许多独到的有价值的见解。评估框架着重通过强调内部控制来实现风险管理，内部控制是董事会、高级管理人员和所有层次的职员实施的一个过程，其主要目标包括：（1）营业目标即营业的效率和效果，是指银行在使用资产和其他资源以及保护自身免遭损失的过程中的效率和效果目标，要求不超支成本和损害银行自身的利益；（2）信息目标即财务信息和管理信息的可靠性和完整性，是指银行决策所需报告编制的及时性与可靠性目标，要求信息完整和符合决策需要；（3）符合性目标即适用法律法规的符合性，是指银行所有业务的开展应符合法律法规、监管要求和银行内部的政策和程序，以维护银行的信誉和特许权。评估框架中提出，内部控制及风险管理由五个相互联系的要素组成：管理人员监察与控制文化、风险评估、控制活动、信息与沟通、监控。全面涵盖了现代风险管理理论关于风险管理要素的内容。评估框架用信息目标取代了传统习惯上财务报告目标的提法，是对内部控制理论的又一发展。信息目标在范围上包括财务信息和管理信息的可靠性和完整性，较财务报告目标在范围上、观念上更进了一步。由于国外金融业大多是银行与证券业务混业经营，该评估框架同时也是面对证券行业风险管理与内控管理的经典研究报告，因此对我国证券公司风险管理及内部控制也具有一定的指导借鉴作用。2.2.2 COSO 关于企业风险管理的两个重要报告1985 年，由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了“全国反欺诈财务报告委员会”（通常称 Treadway 委员会，属独立民间组织）。两年后，即 1987 年，基于该委员会的建议，其赞助机构成立 Committee of SponsoringOrganization 委员会（简称 COSO），专门研究内部控制和企业风险管理问题。2.2.2.1 内部控制整合框架1992 年 9 月，COSO 对外发布内部控制整合框架（COSO-IC），简称 COSO 报告，并于 1994 年进行了增补。之所以称之“整合框架”，主要是因为当时美国各方面（监管者、企业家、审计师、学者等）虽然都在谈内部控制，但何为“内部控制”及其如何建立和实施内部控制，没有形成统一的认识。而COSO 成果的发表，引起了各方的关注，并很快得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于 1995 年发布了审计准则公告第 78 号。在内部控制整合框架中，内部控制是指 ：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。同时，该框架报告把内部控制划分为五个相互关联的要素，分别是：控制环境；风险评估；控制活动；信息与沟通；监控。每个要素均承载三个目标：经营目标、财务报告目标、合规性目标。由于 COSO 报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的纲领性文件，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。2.2.2.2 企业风险管理整合框架随着企业经营环境的深刻变化、风险的不断累加，要求企业内部控制也要作相应的调整，强调以风险管理为导向。自 1992 年 COSO 发布内部控制整合框架以来，该框架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2002 年颁布的萨班斯法案也要求上市公司全面关注风险，加强风险管理 ，在客观上也推动了内部控制整体框架的进一步发展。与此同时，COSO 委员会也意识到内部控制整合框架自身也存一些问题，如过分注重财务报告，而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素，新框架必须出台以适应发展需求。2003 年 7 月，COSO 根据萨班斯法案的相关要求，颁布了“企业风险管理整合框架”的讨论稿，该讨论稿是在内部控制整合框架的基础上进行了扩展而得来的，2004 年 9 月正式颁布了企业风险管理整合框架（COSO-ERM）。风险管理整合框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高。企业风险管理整合框架指出，企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。30与 1992 年内部控制框架相比，企业风险管理框架有几大的突破：（1）拓展了内部控制，更有力、更广泛地关注企业风险管理这一更加宽泛的领域；（2）将原来的构成五要素，即控制环境、风险评估、控制活动、信息和沟通、监督检查，扩展为八个：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监控。八个要素相互关联，贯穿于企业风险管理的过程中；（3）增加了一个目标，即在经营目标、报告目标和合规目标基础上，增加了战略目标；（4）增加了一个观念：风险组合观；两个概念：风险偏好和风险容忍度。COSO-ERM 框架是一个指导性的理论框架，为公司的董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的，应用于企业战略制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面，流程化的企业风险管理过程，它为企业目标实现提供合理保证。42企业目标与企业风险管理构成要素这两者之间的关系，可以通过一个三维矩阵以立方体的形式表示出来，如下图：图 2.1 企业目标与风险管理要素关系图四种类型的目标战略、经营、报告和合规用垂直方向的栏表示，八个构成要素用水平方向的行表示，而一个主体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。2004 年 COSO整合框架的发布，适应了企业不断创新的风险管理需要，为众多的上市公司、大型企业和中介机构广泛采用，也使内部控制从一般意义上的风险控制扩展至全面风险控制，成为企业加强管理、提高经营效率和效果，从而实现战略目标的有力手段。2.2.3 IOSCO证券公司及其监管者的风险管理和控制指引国际证券委员会组织(International Organization of Securities Commission，以下简称 IOSCO)下属的技术委员会于 1998 年 5 月提交了题为证券公司及其监管者的风险管理和控制指引（以下简称指引）的研究报告。该报告的重点就是关于风险管理的政策、程序和内控制度的指引。从证券公司及其监管的视角，提出了风险管理和控制系统的功能、要素和组成部分等方面的观点。2.2.3.1 指引的主要内容1、对风险管理的解释指引所指的“风险控制”包括基本的内部会计控制和风险管理的政策、程序。所谓内部会计控制是指在适当的职务分离环境下为业务的恰当记录和查核提供合理保证而设计的系统。所谓风险管理和控制系统，是指市场风险、信用风险、法律风险、操作风险和流动性风险管理、控制系统，具体包括由控制环境、控制的性质和范围、实施、查核和报告五个关键要素构成的框架结构。432、风险管理与控制系统要素指引提出，证券公司的风险管理和控制系统有五个关键要素：（1）控制环境公司需要建立一种机制，确保其具有内部会计控制和风险管理控制。监管者需要建立一种机制，确保其监管的公司具有内部会计控制和风险管理控制。监管机制不需要规定具体、详细的控制，但需要为公司提供一般指南。公司和监管者需要确定，控制由公司高级管理人员制定和进行监督；监控责任界定清楚；高级管理人员在公司的所有层级倡导一种控制文化。（2）控制的性质和范围公司指南和监管者提供的指南应包含内部会计控制和风险管理控制两方面。公司的内部会计控制应包括账簿记录要求和职务分离控制，以保护公司资产和客户财产的安全。公司的风险管理和控制应包括对整个公司及每一交易柜台终端、市场风险、信用风险、法律风险、营业风险和流动性风险的控制。（3）实施公司高级管理人员提供给营业部的控制指南应包括最高层的一般指南和随着信息流向较小的营业部和交易柜台而变得详细、具体的指南。公司应具有、监管者应要求控制程序的书面文件。（4）查核公司和监管者需要确定，凡经管理人员建立的控制持续、有效运行。公司和监管者需要建立机制，查核凡经建立的控制是否正得到遵循。查核程序应包括独立于柜台交易和后台结算的内部审计以及由独立会计师进行的外部审计。监管者还需要通过检查程序来完成查核。公司需要确定，审计机构和监管者的建议得到恰当实施。公司和监管者需要确定，凡经建立的控制跟得上新产品和产业技术发展的步伐。（5）报告公司需要建立、同时监管者应要求一种机制，及时向高级管理人员和监管者报告控制的重大不足或失效。公司应准备向监管者提供控制的相关信息。监管者应具有共享控制信息的机制。3、风险管理和控制系统的组成指引认为，证券公司的风险管理和控制系统由五部分组成。（1）风险管理和控制战略。董事会对可接受风险水平的确定负有最终责任，并负责批准总体营业战略以及风险管理和控制政策。（2）完成战略的政策和程序。一旦风险得以