论现代金融机构风险管理十大原则.doc

论现代金融机构风险管理十大原则摘要：根据在现代风险管理实践中的重要性和对我国金融机构风险管理的借鉴意义，本文提出现代金融机构风险管理十大原则， 并讨论其对我国风险管理实践的重要意义。这十大原则是：1、资本金硬约束和依风险配置资本；2、治理结构和内控体系先行；3、事前管理；4、自上而下；5、重视利益冲突、保障独立性；6、全面风险整合管理；7、重视风险的双侧性质和风险收益平衡关系；8、风险量化的技术标准与制度标准相结合；9、科学方法与经验艺术相结合；10、内部管理与市场约束和外部监管相配合。Abstract：Based on their importance in modern risk management practice and their implications to risk management of Chinas financial institutions, ten fundamental principles are addressed in this paper and their implications to risk management practice of Chinas financial institutions are discussed. These 10 principles include: 1）Hard capital discipline and risk-based capital allocation；2）Priority of sound cooperate governance and internal control system；3）Ex-ante management；4）Top-down process；5）Awareness of interest conflict and independent nature of risk management function；6）Integration of enterprise-wide risks；7）Double-side nature of risk and risk-return trade-off；8）Combination of technique criteria and constitutional requirements for risk measurement ；9）Combination of science and experience and arts；10）Combination of internal, market and regulatory forces.关键词： 风险管理 金融机构管理 风险管理原则原则可以理解为理念的体现、决策的依据、行为的准则和共同的标准。近十多年以来，发达国家金融机构在风险管理的理念、制度和技术等方面都有了很大的发展和变革，其重要和具有普遍指导意义的进展通常被监管机构和咨询公司总结为所谓“指导原则（guiding principles）”、“通用原则（general principles）”、“最佳做法（best practice）”或“良好做法（sound practice）”。本文根据在现代风险管理实践中的重要性和对我国金融机构风险管理的借鉴意义提出现代金融机构风险管理十大原则， 并讨论其对我国风险管理实践的重要意义。原则1：资本金硬约束和依风险配置资本资本是市场经济的基本概念，资本金规则，包括资本金形成和补充、资本充足监管和资本丧失后的破产与重组等方面的规则，是市场经济的最根本的规则，也是市场经济下金融体系的根本所在。市场经济运行的这一基本规则要求，任何金融机构都要在资产价值高于负债价值的状况下开展经营，从而要求金融机构应当具有充足的资本金，以防止非预期损失的发生导致破产。因此，资本金对金融机构承担风险具有约束力，而且，这种约束应该是“硬性的”。这种“硬约束”主要表现在以下三个方面：首先，一旦金融机构所承担的风险转化为超过资本金的重大损失，资本金耗尽后的金融机构将不得不依法破产和重组（如1995年的英国巴林银行），或被重新注入资本（如1998年的美国LTCM），以示对承担过度风险负责；其次，在损失和破产发生以前，如果金融机构的风险相对于其资本金过小，监管当局有权限制金融机构开展风险较大的业务，以将金融机构的风险承担降低至与资本金相适应的水平，或者要求金融机构追加资本金，将其资本金提高至与其风险承担相适应的水平，这正是巴塞尔银行监管委员会所倡导的基于风险的资本监管的实质所在；最后，相对于外部法律和监管力量产生的硬约束，资本金对金融机构承担风险的硬约束还表现在金融机构对风险的内部管理和控制方面，即，金融机构应该在统一的风险政策下，依风险配置资本，即进行所谓风险资本配置，作好风险预算，任何业务部门或地区承担的风险必须受到内部所配置的资本份额的（硬）约束，各业务部门或地区要在与所分配的风险和资本相当的业务规模上开展经营。第一种约束是法律上的约束，其约束力来自于健全的破产法律制度和司法诉讼体系，第二种约束是监管约束，其约束力直接来自于完善的风险监管体系，而第三种约束是一种内部约束，其约束力直接来自于对风险承担最终责任和负责制定风险战略和政策的董事会和风险管理委员会。在种三种约束力量中，破产法律约束是最根本的约束力，也是后两种约束力的前提和基础，可以说，没有真正的破产约束，就没有这种的监管约束和内部管理约束，因而也就没有真正的风险管理。我国金融机构长期以来存在资本金对风险承担的软约束（甚至没约束）问题。具体表现为金融机构资本金不足（尤其是实际资本金）、资产（也就是风险承担）过度（无约束）膨胀，不良资产不断增加、尤其突出的是金融机构破产倒闭或重组的有效机制还没有形成，金融机构还没有实际承担起过度承担风险的责任，也就是说，资不抵债的机构没有得到相应的处置（包括倒闭、重组或注资），而是仍然在通过增加新的负债不断进行新的业务（风险承担）。在一个缺乏资本金对风险承担有效约束的环境里，风险管理失去了根基，管理风险的口号可以喊得非常响亮，实际行动往往在这种软约束中显得非常无力与无奈。在外力作用下的“硬约束”都不存在的情况下，金融机构内部风险资本配置对各部门和各地区的“硬约束”更是难以“硬化”。造成这种现象的主要原因有两个方面。一是金融机构全资国有的所有制性质，另一个是与破产相关的法律制度不健全 当然，这不仅包括金融机构的破产，也包括作为金融机构客户的企业的破产。从客观环境看，资不抵债的客户能够依据法律破产清算或重组是金融机构有效实施风险管理的重要条件，没有客户和企业的破产规则而片面要求金融机构的破产规则显然是行不通的。因此，覆盖整个经济体系的公司法和破产法等相关法律制度的完善程度和有效实施构成金融机构风险管理体系的客观基础。市场化改革，如金融机构上市，尤其是境外上市，将迫使该约束被“硬化”。原则2：治理结构和内控体系先行 治理结构是基于相关利益的利益相关者（Stakeholder）之间的责权利结构，尤其是股东和经理层之间关系是治理结构的核心内容，也是风险管理的最大前提。金融机构作为天生就是承担风险和管理风险进而获取风险收益的公司，承担风险和管理风险是金融机构最根本的责权利所在。具体而言，这里责权利分别是指承担风险的权力、管理风险的责任和获取风险收益的利益。治理结构是金融机构风险管理的原动力所在。在一个自上而下的风险管理系统中，只有良好的治理结构才能为金融机构风险管理提供充足的原动力。在良好的治理结构的基础上，建立起包括内部审计部门和风险管理部门在内的全面的内部控制体系是开展风险管理工作的前提条件，也是重要内容。风险管理的一切量化和控制技术及其有效性都建立在上述基础上。我国金融机构目前普遍存在缺乏现代公司治理结构和有效内控体系的问题。这是我国金融风险管理亟待解决的问题，其解决也是要先于一切技术方法，包括内部评级、数据库、量化模型和金融工程等。我国目前金融改革被认为进入了攻坚阶段，这种艰巨性主要表现在市场化改革的基础上建立起现代公司治理结构和相应的有效内部控制体系。金融机构的上市不仅要解决资本金不足的问题，更重要的是要在制度上解决资本金对风险承担的“软约束”的问题，要让这种约束“硬化”。这种约束“硬化”的过程就是现代治理结构和有效内控体系建立的过程，这一过程包括建立起有效的独立董事制度、内部审计制度和风险管理体系等各个方面的内容。在这一攻坚的改革过程中，西方金融机构的良好做法是值得我们学习和参考的，这些良好的做法集中反映在监管机构的指导性文件中，如COSO报告、BASEL关于内控的原则、治理结构的原则等等。我国目前许多金融机构都开始了以风险管理委员会和风险管理部为核心的风险管理组织体系的建设，以风险政策为中心的风险管理制度规定也正在形成之中。金融机构的上市使得这一过程明显加快。原则3：事前管理风险是损失（或盈利）发生前的状态或现象，通常被定义为损失的可能性，因此，对风险的管理应该是事前管理，而非事后。风险管理从根本上区别于损失管理。损失管理是事后管理，不良资产管理本质上是事后的损失管理，如资产剥离、冲销、拍卖等处置行为。事前管理特性决定了风险管理工作的挑战性。管理风险就是“与天为敌，与天对弈” 参见 Peter L.Bernstein (1998), Against the Gods, the remarkable story of risk, John Wiley & Sons, Inc，管理风险就是要“看见明天” 参见 Ron S. Dembo, Andrew Freeman (1998) , Seeing Tomorrow, rewriting the rules of risk, John Wiley & Sons, Inc。概率和统计分析技术在风险分析和管理中具有重要作用，尤其是大数定律在风险管理中发挥基本作用，是风险管理的基本定律。由此，风险管理区别于金融工程，后者基本定律被认为是无套利均衡。风险管理因此也区别于审计，审计主要是事后的，尽管近年来国际上审计也出现了由事后向事中甚至事前发展的趋势，如风险审计概念的提出。在我国，由于缺乏现代风险教育，不少人对风险的理解存在误区，一个典型的误区是将风险等同于损失，进而将风险管理等同于损失管理（包括不良资产处置），将风险资产等同于不良资产，进而对风险管理工作的方向和手段的理解产生误解和偏差。究其根本原因是忽略了风险和风险管理的事前性，将风险等同于损失。解决我国银行体系不良资产的问题的努力方向主要不在于属于损失管理范畴的不良资产剥离、拍卖等措施，而在于属于风险管理范畴的信用评估和管理体系以及操作风险管理制度建立和完善等措施。显然，这是非常具有挑战性的任务，在前述资本金硬约束、现代治理结构和有效内部控制原则的基础上，加强信用分析的技术方法（如内部评级体系），开发现代信用工程技术等现代方法也就显得尤为突出和重要。原则4：自上而下风险管理必须自上而下地推动，是一个自上而下的过程(Top-Down Process)，而非相反。投资决策有自上而下，也有自下而上(Bottom-Up Process)的决策模式可以选择，但风险管理只能自上而下，而不能自下而上。至上而下强调的是高级管理层，包括董事会和最高经理层在风险管理方面的首要责任，他们负责在整个公司范围内至上而下推动风险管理，职位越高，权力越大，风险管理的责任也越大。风险战略和政策作为金融机构的基本战略和最高政策，其重要作用和地位应该得到充分的认识，且其制定、审批、分解执行和监督的流程必须得到完善的组织制度保障。董事会和最高管理层（通过风险管理委员会）对风险政策的制定和审批负主要责任。风险管理部对风险政策的具体制定和执行与监督负责。风险管理的原动力在于董事会和最高管理层。另一方面，自上而下的管理原则对公司避免重大损失显得更加重要，那就是，高级管理层本身更应该成为风险管理的对象和重点，管理者职位越高，权力越大，其违规操作给金融机构带来的损失也越大，因而高级管理层更应该成为风险管理的重点。纵观国内外风险管理的历史，位高权重的管理者或者被授权过多的交易员往往是巨额损失发生的罪魁祸首。我国新加坡上市的中航油公司因总经理陈久霖违规操作造成5.5亿美元巨额损失的事件就是最新的例证。一个表面看来规章明确、人员齐备、组织健全甚至技术先进的公司内部控制和风险管理体系，其在实际运行中能否有效管理风险和防止发生重大损失，关键在于对高层领导在公司内部控制和风险管理体系中所发挥的作用。这不仅包括他们对公司风险管理需要承担首要责任和提供最基础的推动力，更重要的是他们本身所拥有的决策权利和决策过程也必须纳入到以“相互检查和权利制衡（Check and Balance）”为基本原则的整个内控体系中，成为控制和约束的重要对象。否则，如果公司的高层领导具有超越内控约束的特殊权利，整个内部控制和风险管理机制必然形同虚设，从根本上丧失有效性。中航油高达内部控制损失限额100多倍的巨额亏损说明的只能是这么一个并不复杂的道理。根据这一原则，我国金融机构风险管理工作一方面要从建立风险管理委员会和风险管理部开始，首先要明确最高管理层在推动风险管理的首要责任，这种责任的承担不仅表现为风险管理失败和损失发生后的事后责任论处，更加重要的是承担事前责任，包括为防范损失发生而建立起有效内部控制体系和为有效利用资本承担风险和增强市场竞争力而将风险承担和管理的政策作为金融机构管理的最高战略决策，在全机构范围内推动风险资本配置和风险管理的过程。另一方面，我们也要充分认识到风险管理的对象和重点也具有“自上而下”的性质，金融机构要如前所述在建立良好公司治理结构的基础上，利用“相互检查和权利制衡”的内部控制技术，以及如后所述保障风险管理的独立性，从而将高层管理人员的行为有效纳入风险管理体系。原则5：重视利益冲突，保障独立性在所有权与经营权相对分离的现代有限责任公司制度下，股东和经理在风险承担和风险管理上存在利益冲突，因为，在市场中承担风险的经理可能由于赚钱拿红包和奖金，而赔钱则由公司（股东）承担，这种不对称风险激励使得经理们具有承担高风险的偏好，从而使得他们自身控制风险的动力减弱。中航油总裁陈久霖在新加坡以年薪高达300多万美元而被誉为“打工皇帝”，而为公司造成的5.5亿美元的损失却只能由公司的股东承担。因此，利益冲突、委托代理关系和道德风险等问题在现代风险管理中得到充分重视，并通过合理的制度安排予以解决，独立的风险管理系统就是这种制度安排之一。风险管理的独立性强调风险管理应该独立于具体承担风险和以风险换收益的经理和业务部门，独立的风险管理部门要直接向代表股东利益的董事会汇报；风险管理体系中要设置独立风险经理，即这些风险经理的薪酬和晋升激励应该与业务部门的风险承担脱钩。当然，独立的风险经理和风险管理部门应该得到各个业务部门和其它管理部门在风险承担和风险管理上的及时、全面和真实准确的信息。向风险管理部门汇报的信息线路独立于向业务主管部门汇报的线路，但信息必须同样准确、全面和及时。由此，一个居于前台（front office）业务拓展和后台（back office）业务处理之间，独立从事风险控制的中台（middle office）在现代金融机构管理体系中迅速兴起。如果中航油的风险管理系统能够真正独立于“打工皇帝”陈久霖，能够将中航油的风险承担和遭受的损失及时独立地反映到公司的董事会，损失在几千万美元，甚至几百万美元的规模上就可能会受到有效的控制。 同时，我们也要看到，通过独立风险管理部门向董事会汇报这一制度安排能够有效防范损失是有前提条件的，那就是作为内部控制基础的良好的公司治理结构，其中能够合理处理大股东和广大中小股东利益关系的董事会是关键。中航油在这一方面显然也是存在严重缺陷的。我国金融机构的风险管理组织体系的建设刚刚起步，在其建设过程中，风险管理部的职能明确及其独立性是关键问题之一。在我国金融机构风险管理部组建和运行的实践中，风险管理部门的独立性问题主要表现在两个方面：一是新建的风险管理部与传统的审计部在职能上的分工与合作关系；二是风险管理部与业务部门的控制与合作关系的处理，尤其是风险管理部门在监督控制工作中的权威性和相关风险信息全面性、及时性和准确性等方面能否切实得到保障。前者如果处理不好将产生管理职能上的重叠和冲突，后者如果处理不好往往会导致风险管理部门成为摆设，无法真正发挥作用。解决前者的关键在于认识到风险管理是偏于事前的对风险评估、对风险的对冲调节，本质上是对决策的支持，甚至是决策的一部分，而审计部偏重事后的稽核检查，本质上是对决策执行过程的监督和检查。解决后者的关键在于真正认识到风险管理对金融机构自身的重要性，从而赋予和保障风险管理部有效的权威性和畅通的信息渠道。当然，风险管理部的职能行使对业务部门的日常经营和决策不能形成过度干预，更不能形成替代，风险管理部门的管理活动应该以信息搜集和整合、风险评估（尤其是金融机构整体评估）和对个业务部门的决策支持为主，在金融机构发展战略安排层面则通过资本配置过程和风险预算发挥重要作用。原则6：全面风险整合管理全面风险管理（enterprise-wide risk management, EWRM, 或者enterprise risk management, ERM）是现代风险管理的最新发展，主要始于九十年代中后期，其主要原因是金融机构面临的风险因素多样化和人们对于风险因素更加全面的认识，尤其是对于操作风险因素的认识，而1998年开始制定的新巴塞尔资本协议首次将操作风险纳入资本监管框架更形成了全面风险管理发展的推动力。 让金融机构和监管者深刻感到金融机构面临的风险因素的多样化和全面风险管理的重要性的典型案例是，1995年英国巴林银行的破产是市场风险和操作风险管理失败的结果而非传统银行的信用风险。另外一个推动力是，对金融机构内部控制理念和技术有着深刻影响的著名的COSO委员会在2001年也开始制定名为“全面风险管理框架（Enterprise Risk Management Framework）” 的新COSO报告以替代影响广泛的1992年内部控制经典COSO报告 参见Enterprise Risk Management Framework, COSO,2004。其中，Enterprise Risk Management直译应该为“企业风险管理”，但无论是从新COSO报告的具体内容和本质看还是从金融业界广泛使用该概念的实际所指来看，其本质含义应该指“考虑了企业所有的风险因素和所有业务部门及其相关性，基于企业整体的风险管理”，是相对于传统的单风险因素或单业务部门的风险管理而言的，因此，翻译为“企业全面风险管理”更合适。现代金融机构的全面风险管理强调两个基本层面的含义，一是风险管理要覆盖全面的风险因素，这些因素来自不同风险种类（信用、市场、操作、流动性及其它风险）、不同地理区域、不同业务部门和不同的管理层面；二是强调应该站在机构整体的角度对这些风险因素进行全面的汇总（Aggaregation）和整合(Intergration)。这种汇总和整合本质上强调的是针对风险重叠的处理（如操作风险与市场和信用风险的重叠，市场与信用风险的重叠等）以及针对风险相关性的处理和组合投资多样化分散风险的效用。为全面风险整合管理创造条件的是覆盖整个金融机构的风险管理体系和以统一货币单位量化风险并在各风险因素间具有可加性的VaR风险量化技术，前者提供了组织制度保障，后者提供了全面统一衡量和整合风险的技术条件。在这一原则下，我国目前金融机构风险管理实践中存在以下突出问题：一是各类金融机构对全面风险管理重视不足，银行偏重信用风险而忽视市场风险，证券公司或基金管理公司重视市场风险而对交易对手风险认识不足，因而也缺乏有效的管理制度和手段。二是对风险的重叠认识不足，进而管理手段缺乏针对性，突出的表现是不良贷款的形成因素中借款企业信用变化因素与银行内部管理因素分析不清，区分不明，进而将大量银行不良资产的形成归咎于信用风险，而忽略银行内部控制落后而造成的操作风险。三是整合管理落后，尤其是站在整个机构资产负债组合的角度对各项资产负债的风险相关性和风险贡献度的分析欠缺，从而导致对经济发展周期和宏观调控的适应性差。最后是全面风险管理的组织保障和技术条件都不成熟。 原则7：重视风险的双侧性质和风险收益平衡关系传统上，人们往往把风险理解甚至定义为损失的可能性，这种理解关注的只是损失的一侧，即所谓“下侧风险（Down-Side Risk）”。与此不同，现代风险观认为，风险具有“双侧性（Double-Side Nature）”，既是损失的可能，也是盈利的可能，也意味着投资机会，也是一种资源，因而在关注“下侧风险”的同时也关注 “上侧风险（Up-Side Risk）”。这种观念与人们长期以来认识到的高风险高收益、低风险低收益的基本投资规律（这种关系被称为风险与收益的平衡关系Risk-Return Trade-Off）是相吻合的，也与金融机构的基本使命就是承担风险、管理风险，进而从中获取盈利，即以（承担和管理）风险换（预期）收益的现代金融机构管理理念也是相一致的。因此，在金融市场上，现代金融机构并非一味回避或降低甚至消除风险，而是在投资和金融产品的风险和收益之间，在金融机构的稳健经营和竞争活力之间进行平衡和控制。这种平衡和控制在现代风险计量和交易技术支持下进而发展成为风险优化，这包括两个方面的内容，一是从产品和组合的角度优化风险和收益的关系，追求在给定风险承担水平下的预期收益的最大化（或者说给定预期收益水平下的风险最小化）；二是从金融机构的角度优化业务扩展和风险承担能力的关系，追求在由资本金规模和风险管理能力共同决定的金融机构风险承担能力下的业务扩展能力和风险承担竞争能力的最大化。重视风险的双侧性质和风险收益平衡关系的另外一个重要意义在于推动了“经风险调整的业绩衡量（Risk-Adjusted Performance Measurement）” 和对于业绩优良的“交易明星（Star Trader）”的管理。传统的只关注损失可能的单侧风险观将盈利与风险概念分割开来，这一方面造成衡量盈利时不能考虑对风险的承担，另一方面也使得对风险的管理仅仅关注在对损失制造者（或部门）的管理，而忽视对盈利制造者（或部门）的管理。在注重双侧风险的现代观念下，盈利被认为来自于对风险的承担，就如同损失一样，因此，对交易员盈利业绩的衡量要充分考虑其对风险的承担，即进行所谓的“经风险调整的业绩衡量（Risk-Adjusted Performance Measurement）”，“明星”们为公司带来丰厚利润的同时也很可能为公司带来了很大的风险。同时，在双侧风险观念下，风险管理的焦点就不仅仅局限在对损失制造者（或部门）的管理，而是同样重视对盈利制造者（或部门）的管理，尤其是对“明星”的管理。显然，双侧的风险观更加有利于我们进行全面风险管理。巴林银行的尼克里森、大和银行的井口俊英和美国橙县的罗伯特西特罗恩在事发前都曾是业绩卓著的“明星交易员”，而曾被誉为“打工皇帝”的陈久霖为中航油所造成的巨额损失再次教训我们，重视风险的双侧性，管理“明星”风险。在这个关乎现代风险管理最根本的理念方面，我国金融机构普遍存在认识模糊，困惑甚至误解，进而出现风险管理导向错误的现象。这突出表现在两个完全相反的极端方面，一是本着将风险视为“损失的可能”的片面理解，甚至错误地将风险等同于“损失”或“祸患”，一味强调回避或者降低，甚至提出“金融机构零风险经营”，将消极的风险规避策略视为风险管理的主要甚至全部内容，从而使金融机构在市场上失去有效的业务扩展能力和竞争活力，出现“一管就死”的局面；二是走向另外一个极端，本着对“以风险换收益”的片面理解，一味强调风险承担，而忽视风险管理，甚至将风险管理与最求盈利对立起来（如将规范与发展对立起来），进而实质上否定风险管理的必要性，最后导致“一放就乱”。破解这种困扰我国金融机构的“一管就死，一放就乱”的管理困境的根本方法在于提高对风险双侧性的认识，注重风险和收益的平衡关系，一方面要在资本金约束下放开，敢于承担与预期收益相平衡的风险，追求盈利机会，实现企业的基本使命，另一方面要以现代的理念和方法加强风险管理，将风险承担控制在与资本金和风险管理能力相适应的水平上，最终方可实现“管而不死”、“放而不乱”。原则8：风险量化的技术标准与制度标准相结合风险量化作为风险管理流程中的关键环节越来越受到观念上的重视和技术进步的支持。现代金融业务和风险管理技术的发展，包括风险定价、风险对冲、证券资产组合管理和信用组合管理、资产证券化、贷款销售、结构化融资以及经济资本配置等，无一不是以风险量化为前提条件，可以说，没有现代风险量化技术就没有现代风险管理。九十年代以来，在现代金融理论与技术、数理统计技术和计算机技术的支持下，以Riskmetrics、Creditmetrics和KMV模型为代表的现代风险计量技术迅速发展，同时，借鉴传统外部独立信用评级的经验和现代风险计量技术发展的支持，银行内部评级也得到迅速发展。在金融机构中，高级量化方法往往成为发达风险管理的标志。然而，量化技术的高级化通常伴随着方法的复杂化，进而形成新的风险，如模型风险（modeling risk）、定价风险(pricing risk)等认识失误的风险。美国华尔街的著名分析师，人称“悲观博士”的亨利考夫曼曾警告：风险模型具有极大的局限性。针对风险量化技术的重要性和局限性，现代风险管理在实践中提出了将风险量化的技术标准与制度标准相结合原则，所谓技术标准是与高级风险量化方法本身相关的技术要求，如对信用风险和操作风险采用内部计量模型在模型的选择、数据库、模型检验等方面的具体规定。所谓制度标准是指申请采用较高级风险量化方法的银行在风险内部控制机制，尤其是组织制度、管理流程和控制文化等方面应该达到的管理要求。这一原则突出反映在2004年6月出台的新巴塞尔资本协议中。新资本协议一方面通过对采用高级风险计量法给予监管资本降低的激励鼓励金融机构采用高级风险计量方法，另一方面又规定了银行为从监管当局获得采用较高级的风险量化方法的资格而必须达到的更高技术标准和制度标准，从而迫使银行在追求具有资本激励的高级计量方法的过程中全面提高风险管理水平。这种风险量化方法采用的技术标准和制度标准正是新巴塞尔资本协议促进全面风险管理的精髓之一，也正如我国的一句俗语所言：“没有金刚钻，莫揽瓷器活！”。金融机构内部风险管理同样适用这一原则，尤其是对规模大、结构复杂、决策分散的机构，技术标准能够有助于量化工作的准确性，制度标准则更能保障风险量化工作向正确的方向开展。鉴于风险量化是现代风险管理的核心环节，追求更加高级更加科学的量化方法是我国金融机构风险管理现代化的重要内容。然而，对现代风险量化方法的借鉴和使用必须注意包括技术和制度两方面的客观条件， 无论是监管机构从外部监管的角度还是金融机构自身从内部管理的角度出发，对高级风险量化方法的采用必须提出技术和制度两个方面的标准。在我国银行目前推行以内部评级为核心的风险量化体系的同时，不能忽略全面的与风险量化技术相适应的风险管理内部制度的建设。因此，制度优先的原则同样适用于风险量化技术的发展。原则9：科学方法与经验艺术相结合现代风险管理是科学还是艺术？ 这场争论随着现代金融分析理论和金融工程技术的发展，大量的数学、统计学、物理学以及计算机技术在金融中的应用显得越来越突出。现代风险管理的科学性在加强是毫无疑问的，尤其是最近一二十年来，市场风险和信用风险的计量分析技术和利用市场工具对冲风险的控制技术获得迅猛的发展，以风险计量和衍生产品设计和开发为主要内容的所谓金融工程技术和信用工程技术甚至被誉为金融领域的“高科技”。然而，与其它所有管理活动一样，风险管理远没有成为纯粹的科学，尤其在实践中，经验判断和艺术化的处理（包括通过制度和流程的控制）仍然占据重要甚至主导的地位。无论风险量化技术和金融工程技术如何发展，无论这些风险分析和产品设计中采用了多么高深的数理学科理论和技术，对风险承担和控制的决策将始终是人的行为活动，而不可能由计算机来替代进行。因此，科学和经验艺术的结合是现代金融机构在风险管理实践中的必然，也是合理的选择。分析过程中科学的成分多一些，而决策过程中经验和艺术的成分多一些。在风险管理的实践中，任何科学的分析模型都只能是分析的工具，决策的辅助，而不能替代决策，成为决策本身。Riskmetrics的使用说明书明确指出了这一点。在西方大金融机构中，尽管各种先进的风险量化方法开发和应用日新月异，但长期以来以经验丰富的信贷业务专家的经验和意见为主的专家系统法仍然占据主要地位，经典的5C信用分析方法并没有因为现代风险计量方法的出现而被忽视或被替代，相反而是得到了补充和发展。尽管标准普尔、穆迪和惠誉等著名信用评级机构近两年纷纷收购充满数理技术的风险分析公司，如Riskmetrics, KMV等，但这些风险公司的分析方法仍然只是在信用评级过程中起到补偿和支持作用，而传统的专家意见和严格的评级流程仍然是评级结果质量的最重要的保障。我国金融机构在改革的过程中加强风险管理的科学性显然是应该大力提倡的，尤其是在加强对各种交易和管理数据库的建设、借鉴西方发达国家开发包括内部评级和信用打分模型在内的现代信用风险计量模型和技术和建设风险管理信息系统等方面。这些科学分析方法的采用是我国金融机构风险管理现代化和增强国际竞争力的重要途径。然而，对各种风险量化技术和管理科技产品的采用应该本着客观务实的态度，做的以下三个方面的相互结合和补充。一是充分认识到这些风险科技本身的局限性和带来的新的风险，要如同原则八所述通过技术标准和制度标准的结合来共同保障现代科技方法在我国金融机构应用的有效性；二是要认识到源自于西方发达市场经济体系的风险科技产品来到充满制度转型和结构性变化的我国金融机构可能出现的水土不服的情况，不能盲目追求和盲从，要注意现代方法与我国市场经济和金融机构自身情况的结合；三是更不能以现代风险科技的科学性来否定经验判断的重要性，要努力将科学分析和经验判断在风险管理实践中较好地统一起来。原则10：内部管理与市场约束和外部监管相配合由于金融产品和服务的外部效应，金融机构的安全性也是一种公共产品，金融机构的内部风险管理必须接受外部监督。同时，由于股东拥有和经理经营金融机构的根本目的在于盈利，而盈利又只能来自于对风险的承担，因此，金融机构有可能在内部盈利动机的驱动和外部市场竞争压力的迫使下承担过大的风险（与其资本金水平和风险管理能力不相称的风险），从而使得金融机构内部风险管理机制被这种利益驱动和市场竞争弱化，甚至失效，这样，需要来自于金融机构外部的力量对金融机构内部风险管理进行监督和约束。在市场经济条件下，这种外部监督和约束主要来自于两个方面，一是来自于监管部门的监管检查，二是来自于市场，包括广大股东和债权人的约束。前者代表着现代金融监管正在由传统的合规监管向针对金融机构资本充足性、风险承担和风险管理的风险监管方向发展；后者主要是通过向市场公开披露其资本金和风险相关信息，包括资本金的充足性、风险的量化和管理方法以及重大风险项目的情况等，使金融机构的风险承担行为和风险管理行为在投资者公众的视野中得到约束。正是基于这样的理念，新巴塞尔资本协议确立了构成其基本框架的三大支柱体系：对风险敏感的监管资本要求、监管检查和市场约束，这也是新协议与老协议相比最大创新之处。这一原则本质