风险是金融中介和交易活动中不可避免的因素。金融机构在风险和收益间权衡，监管者的目标则是判定何时其风险敞口相对于资本规模和财务状况来说过大，或者已使其处于不安全的经营状态，而银行未能及时发现识别。

分析金融机构的风险管理体系能否有效计量和控制其面临的风险具有特别重要的意义。健全的风险管理体系的基本要素包括全面的风险计量方法；详细完备的限额管理、风控政策和其他风控参数体系；以及监测和报告风险的强大的管理信息系统。无论对交易业务还是非交易业务而言这些都是风险控制的基本要素。而且，尽管交易业务的风险计量比传统的信贷业务复杂，但其所涉及的所有风险类别（市场风险、信用风险、流动性风险、操作风险、法律风险等）对银行而言都不是什么新鲜事。因此，资本市场和交易业务的风控过程应整合到金融机构整体的风控系统中，尽可能与其他业务采用相同的框架。统一的风控框架有利于金融机构更有效地合并风险敞口，因为资本市场和交易业务中涉及的风险往往会交互作用或超出特定的市场范围。

要评估一家银行的风险管理体系，监管者必须进行大量分析，要考虑到不同的风险类别、金融工具类型、以及不同的职能和业务领域。检查人员必须深入了解机构的业务范围、全面风险管理框架、风险计量模型和内控体系；必须认真评估其风险管理系统中采用的各种定量和定性假设及其风险控制方法的有效性；必须检查机构的计算机系统、管理信息报告系统和其他信息系统能否适应其业务发展水平，准确、充分地传递信息。

一、全面风险管理框架

风险管理的首要目标是确保金融机构的交易行为、持仓量、信用扩张和操作行为等不至给其带来危及生存的巨大损失。银行董事会和高管人员是全面风险管理的最终责任人，因为全面风险管理与制定银行发展战略方向和确定机构整体风险承受度密切相关。检查人员应确证银行对资本市场和交易业务的风险管理植根于健全的全面风险管理体系，董事和高管人员积极监督检查各类金融工具的风险管理。

（一）董事和高管人员职责

董事和高管人员应全面把握银行各项业务所涉及的各类风险，经常向相关业务管理者询问风险的性质和管理情况；重视针对内控机制和经营损失等及时展开的开放性研讨，促使各级管理者对那些可能给银行带来重大损失的事件及其发展状况积极组织讨论；清晰描述各部门的风险管理责任，相关政策和流程文件应经董事会审议通过，并与机构整体业务发展战略和风险承受意愿相一致。由此，董事会应定期获得银行整体风险敞口情况报告，并结合风险承受能力重新评估相关交易业务的风险敞口；高级和中层管理人员（包括交易和风控部门的职员）都应深入掌握本行所采用的风险计量和风险管理方法。

确保银行指导长期和日常交易行为的相关政策和流程充分完备是高管人员的职责之一。银行应具有对风险管理相关责任的清晰描述、完备的风险计量系统、适宜的风险限额管理体系、有效的内控机制和完善的风险报告机制。

董事会和高管人员对风险管理的指导和监督应及于如下方面：1.识别和评估风险；2.建立相关政策、流程和风险限额管理体系；3.监测和报告限额指标遵守情况；4.清晰描述资本配置和资产组合管理情况；5.制定新产品开发运作的指导原则，把随新产品而来的新增风险敞口纳入现行风险管理框架；6.对既有产品采用新的风险计量方法。

在机构风险概况、业务范围和经营管理目标既定的条件下，银行的风险限额管理体系应与其风险计量系统和风险承受能力相适应，同时要考虑自身的管理经验和水平及整体财务实力。

此外，董事会和高管人员有责任确保交易业务的风险控制和管理得到足够的财力和人力支持。训练有素的高水平雇员不仅应被配置在交易岗位或会计、销售等前台部门，也应兼顾负有风险管理和内控职能的后台部门的需要。

（二）风险管理系统的全面性

检查人员应确证银行风险管理系统具有全面性，能够充分识别其面临的主要风险。全面风险管理系统应覆盖该机构所有业务范围，包括那些“特殊资产组合”，例如外币现金、利率期权和一些特殊结构的衍生品等，最低限度也应能做到在全行范围内对信用风险、市场风险、流动性风险、法律风险和操作风险分类计量管理。

“全面风险”与银行的资本状况、盈利能力、面临的市场流动性、具备的专业和技术资源等因素均相关，评价“全面风险”是高管人员的关键职责之一。检查人员还应确证高管人员能对每个主要的风险类别（信用、市场、流动性、操作和法律风险等）分别实施监督管理。

检查人员应分析金融机构是否具有评估和审查新产品（要么对该行而言，要么对市场而言是新的，同时对该行具有潜在利益）风险的有效手段。原则上，只有当高管人员和所有相关职员（风险管理、内控、法律、会计、审计等）都理解新产品特性，并能将其纳入本行的风险管理和控制体系时，银行才能正式参与该产品交易。监管者应检查机构是否有审查新产品引入的正式流程，该流程是否充分考虑了如何避免新产品交易带来的潜在损失。

在衍生品市场上较为活跃的金融机构往往会创设一些他们原本在交易的金融工具的“变种”。判断这类产品是否要受新产品审查流程制约，监管者应综合考虑该机构是否有能力充分识别和加总其所有重要风险。总的来说，期权产品只要经过明显的结构改变就应在某种程度上按新产品流程审查，即使银行已在交易类似的产品也是如此。

二、风险管理的组织结构

监管者应检查银行的组织结构和岗位职责描述，以确保银行对风险控制所要求的部门和员工间的相互制约有清晰的理解。特别应注意，计量和设定机构整体风险参数的职能必须与日常经营中的风险管理相分离。通常这些参数设定应经董事会批准，由高管人员独立管理。

交易业务的风险管理职责包括：1.制定交易业务风险管理政策；2.设定统一的风险评估和资本配置标准；3.向高管人员提供全面风险评估报告；4.监测限额指标遵守情况；5.协助制定与风险管理相关的战略规划。

有些银行的风险管理部门具有控制和约束职能，而另外一些则相当于交易职能的顾问部门。无论具体如何运作，风险管理的报告链都应完全独立于交易部门。

风险管理人员定义机构风险敞口时应包含所有风险，既包括易于量化的风险也要包括那些很难量化的。很多交易风险可以用统计估计方法计量，与价格变化相关的风险量化应持续应用，以推导市场风险敞口的实际估计值。监管者应切合实际地对机构的资本市场和交易业务相关风险做出自主评估。

风险计量和管理系统的健康程度一定程度上取决于内控体系的完善程度。监控风险的有效内控机制要求风险管理人员对交易和市场部门保持独立性，这种独立性不仅是对概念性的风险管理框架而言的，同时也要体现在日常市场风险评估的参数确定上。风险管理部门应对风险计量、风险参数设定、风险点识别、风险限额管理监控、定价和估值模型的统计估计和验证等负责。检查人员应确证被检查机构的风险管理部门具有独立性，向高管人员报送全面风险管理信息的频率应与交易业务发展水平相适应。

日常风险管理的组织架构既可以集中化也可以采用分散模式，银行应根据其自身风险概况、交易理念和发展战略的特点加以选择。如果银行采用的是高度分散化的结构，那么检查人员应注意该行有否足够的控制手段确保向董事会和高管人员报送加总风险信息的完整性。交易持仓状况应精确反映到风险控制体系中。风险数据应覆盖所有产品，包括那些在主控网络之外单独监测的新产品。对以往的风险管理报告应经常回顾，以把握一段时期内风险限额管理指标被超出的频率和规模。交易人员、风险管理人员和高管人员均应熟悉对交易行为的限制政策，并能及时识别违反限额指标的交易行为，管理信息系统的整体性在这一点上就显得特别重要。监管者还应对银行风险管理人员的激励补偿机制加以检查评估，以确保激励指标不会与风险控制的整体性相冲突。

（一）风险的计量

随着资本市场日渐全球化，各类复杂的金融工具日益增多，风险管理工作及其评价也变得越来越困难。幸运的是，一些风险计量系统被开发出来并逐渐普及，为金融机构评估其特定的风险敞口起到了辅助作用。这些系统的功能定位是识别特定业务领域内的风险并将其按类分组，使每类风险均能得以单独计量。同时，也使银行得以从资产组合的角度管理风险，将风险敞口结合到机构整体战略和风险概况的背景中综合考量。

管理资产组合的净持仓或风险敞口余额，而不是单个产品的交易或仓位有两点好处：一是可以更好地把握资产组合的整体风险敞口状况；二是可以更有效地对冲。在市场风险管理中，造市商的资产组合具有规模经济，大规模的资产组合包含了更多可抵消头寸，这将显著减小组合整体的市场风险；针对资产组合净仓位的风险余额做对冲，而不是对每笔交易做对冲，将大大降低交易成本。此外，以资产组合为对象的风险管理方法降低了持仓量跟踪和管理的复杂性。

对银行面临的所有主要风险都应持续、准确计量，并纳入全面风险管理体系。尽管有些风险只能近似估计，还有一些风险（例如金融工具的市场流动性风险）随经济和市场环境的不同而不断变化。但对银行的主要风险点还是必须基于变化的市场环境做出明确估计。

健全的风险计量系统应能持续、准确地辨识那些有可能给银行带来负面冲击的事件或市场行为。银行应对经济环境和市场变化冲击的能力一定意义上取决于其数据管理系统的全面性和灵活性。

（二）风险限额管理体系

银行风险管理系统应包含一套健全的、适用于全行范围的风险限额管理体系。该体系应在董事会和高管人员的督导下建立并经董事会批准；应应用于该机构所有业务所涉及的风险领域。对信用风险和市场风险而言，衍生工具的风险限额指标应直接纳入应用于全行其他业务领域的全面风险控制指标体系。如果风险是不可量化的，那么管理者应充分了解其可能的潜在冲击。

除了信用风险和市场风险，对资金流动性风险、操作风险和法律风险等也需建立相应的指标体系。认真评估机构的操作风险具有特别重要的意义，因为辨识操作过程中的风险点有助于银行优化操作流程、改善数据处理系统、完善应急机制，从而显著降低此类风险。

检查人员应判断银行管理层有否估计到在不利情况下（即使该假定情形发生的可能性极小）可能发生的最大损失额。评估最坏的假定情形并不是说风险限额管理体系必须按照最坏情形下的可能结果来设定，也不是说一旦最坏情形发生，银行就必定要承担巨大损失的风险，而是要求银行对此类风险究竟有多大，以及万一真的发生此类事件将如何管理其头寸有明确的认识和思路。正确评估此类假定情形对风险管理而言相当重要，因为显著偏离既往经验的事情确实会发生，例如欧洲货币体系中美元汇率与其他欧洲货币汇率间一度存在的高度相关性在1992年和1993年间就突然不存在了。

机构的风险敞口及其限额管理应由完全独立于交易部门的风控人员加以监测。交易人员在超限前至少要获得独立于交易部门的高管人员的口头许可。一般来说，超限应经书面审批，并保存相关文件。限额并非绝对不可突破，但在超限前必须与非交易部门高管人员充分沟通。高管人员应对那些频繁超限及背离既定交易策略的行为加以重点关注。

相关制度应明确限额管理检查的频率、超限审批的流程、有权更改限额管理指标的机构等；应对相关管理报告的内容及其报告路径做出清晰描述。

（三）风险管理体系的维护

评估复杂金融工具的风险需要借助一些以严密的金融理论和数学为基础的分析工具。由于在结构性产品、复杂的现金工具、衍生品等方面投入的资源越来越多，银行应要求其相关职员充分理解、掌握本行采用的风险分析方法。应力求避免只有交易人员有能力评估市场风险的情形，新产品及其伴随的风险特性应在全行范围内普及。

在检查既存风险管理框架的同时，监管者还应对银行为维护风险计量系统的完整性所投入的资源进行评估。限额管理体系每年至少应更新一次，应结合银行战略、风险承受度或市场环境的变化重新审查确定限额管理指标体系的基础性假设。在使用新的估值方法或分析工具评估新产品风险时，必须及时更新自动化系统以适应不断增大的处理量和不断提高的复杂度。对“线下”记录（不在主机和计算机网络上进行交易记录）的产品应做到能够向风险计量系统自动输入数据，以降低手工操作错误的可能性。

（四）内控和审计

内控机制检查长期以来一直是银行资本市场和交易业务检查的中心环节。检查银行的内控体系是为了确保其能够提高操作的有效性和操作效率，保障财务及监管报告的可靠性，及促进银行合规遵守法律法规、安全稳健原则和董事会及管理层制定的相关政策。要评价银行内控机制实现上述目标的能力需要理解其内部审批、核查、协调等控制行为并予以备案。

在评价银行内控体系时，监管者应关注其内部和外部审计的频率、范围和结果，以及审计人员对资本市场和交易相关业务的审查能力。内部审计人员应定期对风险管理过程和内控机制进行审计和检查，其频率应与谨慎风险评估的要求相一致；应及时在风险管理报告中就交易持仓情况所反映的风险因素加以总结归纳，对那些独立于交易或控制体系的风险计量算法加以确认，特别是要关注那些新产品或结构复杂的产品；内部审计人员还应检查风险限额管理指标的遵守情况，评估向董事会和高管人员报告信息的可靠性、及时性及风险管理职能部门的独立性和有效性。

检查人员对审计工作的信任程度、审计结果的性质以及银行管理层对审计结果的态度将影响检查的范围。即使审计过程和结果令人满意，监管人员仍应检查银行关键的内控流程，包括再评估体系、信贷审批流程和限额管理遵守情况等，特别要关注银行产品线、模型、风险管理方法、限额管理体系和内控制度的重要变化。对于资本市场和交易业务收入、持仓规模和与之相关的风险价值(VAR)的明显变化也必须深入把握。这些评估和检查结果以及其他一些因素，适当条件下可以作为判断是否应向该行交易业务监管投入更多资源的依据。

三、小结：健全的风险管理要素

不同金融机构的资本市场和交易业务操作有显著差别。这些差别来自于交易规模、交易及其管理的专业技术、银行的组织结构、计算机系统的复杂程度、业务专业化领域和发展战略、以往的和预期的收益、过去存在的问题和损失状况、面临的风险、交易产品和交易行为的类型及复杂程度等等。由此，风险管理的实务、政策和流程在不同的金融机构也有所不同，对有的机构来说必须的对其他机构而言就未必如此。在承认上述差别的前提下，我们可将积极参与资本市场和交易业务的金融机构的“健康”行为准则归纳如下：

1.风险管理职能必须独立于交易部门。

2.必须具有一套完备的风险管理政策，每年需经董事会重新审议通过，应包括对交易产品的概述、风险参数体系、限额管理体系、超限审批流程及检查频率的各项规定。此外，对限额管理指标、定价假设和市场环境变化后的模型输入变量应定期检查更新。对有些市场而言，必须保障经常地、高水平地进行上述检查更新。

3.引入新产品须经所有与该产品相关的部门（例如风险管理部门、信贷管理部门、交易部门、会计部门、监管报告机构、内勤部门、审计部门、合规部门和法律部门）审查认可。

4.能够在通用的风险管理框架内合计每一主要类别的风险，包括市场风险、信用风险和操作风险。最好能够在统一的风险价值（VAR）框架内评估风险，以确定机构面临的整体风险水平。风险计量系统应能分别按风险类别、客户类型、金融工具类别和业务单元分类计量风险，以对风险管理和控制提供有效支持。

5.应具备针对资产组合的关键变量或关键事件的压力测试系统，以模拟“最差情形”下的结果供高管人员参考。设定限额管理体系也应参考压力测试结果。

6.应配备能有效控制市场风险并提供全面风险报告的综合管理信息系统。系统的复杂程度应与机构风险水平和交易行为的复杂程度相匹配。金融计算机软件必须足以完成计量和监测风险及处理当前大量金融工具交易的工作，对交易操作和监测的人工干预应力求最小化。

7.风险管理或风险控制部门应提交风险管理报告，重点报告与交易行为相关的持仓状况、限额管理、超限情况等。该报告应经高管人员审查、签发，并反馈风险控制部门。

8.应以替代成本（replacemen-cost）和潜在敞口（potential-exposure）为基础计量交易对手在衍生品交易上的信用风险敞口。应对信用风险敞口定期评估以更新用于推导潜在敞口的统计参数。

9.在信用风险方面，如果要使用网上交易，则必须具备与网络协议相关的风险管理政策。应进行适当的合法性审查以确定业务合法，交易对手符合法定要求，只有当法律上可行时才能应用网络交易。

10.交易部门内外都应有精通市场风险和信用风险原理的中、高层管理者，对交易商所采用的定价方法也应深入把握。

11.对无法量化的风险（例如操作风险）必须有一定认识,有适当方法对其加以评估，有既定指导方针和交易规程对其加以控制。

12.交易业务发展水平较高的机构应能针对迅速变化的市场环境或在危机环境下及时调整交易策略和仓位。

13.对深入介入的交易业务领域应逐日检查风险敞口。

14.管理信息系统应为相关决策提供包括市场风险、信用风险和盈利性、未结算项目、支付额等操作数据在内的充足信息。

15.应定期进行合规性检查，以确保与美国联邦、州和海外市场的证券法律和监管法规的要求相一致。

16.应建立与保持风险控制体系整体性激励相容的利益补偿机制。

17.审计人员应每年对风险管理体系进行一次全面审查，重在分离责任和确认数据完整性。当机构引入大量新产品或新模型时也应进行相应检查。前、后台使用的模型都应定期重新评估以确保其结果可靠。