编者按：近日，美联储理事会成员苏珊.贝叶斯就商业银行全面风险管理问题发表演讲，反映了美国监管当局对商业银行风险管理发展的关注。国际部和深圳银监局对其中的重要观点进行了摘编，供业界人士参阅。
 
    关于全面风险管理的总体看法

    金融服务业不断变革，以应对由新技术和业务流程、新金融工具、金融机构规模和经营范围扩大、监管环境变化带来的挑战。作为美国州立银行的主要监管当局和金融控股公司的监管当局，美联储与其他监管机关及金融机构保持合作，提高监管的有效性和针对性。美联储一直强调被监管金融机构要建立适当、有效的内部控制，并不断完善风险为本监管的方法。这些年来，银行内部跨部门的全面风险管理也倍受重视。

    某些情况下，银行可能对每一笔业务都进行良好的风险管理，但对整体风险的重视不够。银行的快速成长可能给许多方面带来巨大压力，如管理信息系统、变革管理控制体系、战略计划、信贷集中度、资产/负债管理等。银行必须了解各项业务如何相互作用，其中一些业务可能相当复杂。成功的全面风险管理方法可以帮助银行应对这些挑战。

    全面风险管理包括：
－ 把企业的风险承受力和战略联系起来，
－ 提高企业应对风险、准确决策的能力，
－ 降低操作意外事件和损失的频率和严重性，
－ 识别和管理多种和跨企业风险，
－ 主动抓住机会，
－ 提高企业资本配置的有效性。

   在COSO框架中，全面风险管理由八大相互关联的部分组成。他们是从企业管理模式中产生的，与管理过程融为一体：（1）内部环境，（2）目标设定，（3）事件识别，（4）风险评估，（5）风险反应，（6）控制措施，（7）信息和交流，（8）监控。

    －   内部环境。内部环境??企业的基调??反映企业的风险管理观、风险承受力和道德价值。它决定全体员工如何看待和处理风险。企业的最高层确定基调。

    －   目标设定。在管理层可以识别那些影响企业实现目标的事件之前，必须设定目标。董事长批准企业目标，管理层负责实现目标。全面风险管理确保董事会有一套方法制定合适的目标，支持并符合企业的远期目标，以及与企业的风险承受力保持一致。

    － 事件识别。必须识别和衡量可能影响公司实现其目标的内部和外部事件。必须区别风险和机会。机会应反馈到管理层的战略决策或目标设定程序中。

    － 风险评估。分析各类风险发生的可能性和潜在影响，是银行管理风险决策的基础。应评估内在风险和剩余风险。

    － 风险反应。管理层决定如何应对风险??规避、接受、减少、或共担风险??制定一系列联系风险与风险承受力的行动方案。

    － 控制措施。建立并实施有关政策和流程，确保有效地实施必要的风险反应。

    － 信息和交流。用表格和时间表识别、捕捉和交流有关信息，帮助经理和员工履行职责。有效的交流还具有更广的含义，要在企业内部自由流动。企业常利用重要的风险指标和经营指标交流信息。

    － 监控。必须监控企业全面风险管理的全过程，并在必要时进行修改。在持续经营和独立评估中都要进行监控，这是一个持续的过程，不同于定期的测试和审计。 
 

    下面介绍最近发生的几个银行案例。这些案例凸现全面风险管理的重要性。管当局和商业银行都应该从这些案例中汲取教训。

    合规风险

    在管理合规风险方面，即受到法律或监管当局处罚的风险、财务损失或损害企业声誉和价值，全面风险管理可以实实在在地创造价值。当企业违反其业务和职能适用的法律、法规或行为守则时，这类风险可能增大。美联储希望银行建立识别、监控和有效控制合规风险的基础。毫无疑问，这个基础必须与其合规风险的情况相称。对于大型和业务复杂的银行，除非已建立起良好的风险管理规划，否则特别难以对付合规风险。

    要建立合适的合规风险控制手段，银行必须首先了解整体的合规风险。经理应每年至少评估一次他们职责范围内的风险和控制手段。我还要强调董事会建立自上而下的合规文化的必要性，由高级经理在银行内部作充分的沟通，确保所有员工理解他们的合规责任及其在合规管理规划中的作用。清楚的内部信息沟通和授权规定有助于避免利益冲突。

    整体合规风险管理规划应是动态的和主动的。这意味着，在增加新业务部门或种类时，或者现有业务和流程发生变化时，要持续地评估有关风险。在关程序应该包括评估这些变化将如何改变风险暴露的水平和性质，控制措施是否能把风险有效地控制在目标水平内。必须不断提高对（合规风险的）认识，不仅与银行的产品和服务战略相一致，还要与监管变化相适应。为避免某项程序无人管控，银行必须持续地重新评估其风险和控制手段，并与业务部门沟通。此外，如果合规风险管理被视为一次性工作，只在有新法规或产品时进行，那么这家银行的处境危险。没有合规风险管理程序，银行就不能保证合规风险管理规划的有效性。

    管理层要把合规风险管理融入银行的日常业务流程则更加困难，因为它通常反映的是立法或监管机构的要求，而银行并不把它看作成功的关键。比如，银行家了解信用风险管理和利率风险管理对银行如何重要，因为他们能减少收益的不稳定性，并控制损失。另一方面，法规是为更广泛的社会目的而制定的，在银行看到，对收入的增长的好处不大，把这些法规看作昂贵的命令。比如，《爱国者法案》要求银行向政府报告大额交易，国内银行界很多人表示，这种报告是一种负担。我可以向你们保证，我们承认银行针对监管要求在合规方面所做的投入和承诺，包括反洗钱和反恐的法规。美联储将继续与联邦政府的相关部门合作，鼓励大家多多反馈这种报告为反洗钱活动和反恐怖主义所做的贡献。

    操作风险

    在过去几年，美联储不断提高对操作风险的重视。对于在非金融机构工作的人，相对信用风险和利率风险的而言，企业最大的风险可能就是操作风险。银行从这些实践中学习到很多经验。现在，操作风险对银行家越来越重要，主要因为他们可以通过买卖贷款、利用金融衍生品、以及有效的模型来规避和管理利率和信用风险。此外，增长最快的收入越来越多地来源于交易处理、服务账户和买卖复杂的金融产品。为成功完成交易，银行必须具有复杂的系统。

    银行还应运用先进的模型来估计和管理信用风险和市场风险暴露。随着越来越多地运用复杂的模型，银行需要更强的风险管理。模型的操作设计和数据真实性方面的缺陷可能给银行带来重大损失。那么，有效的风险管理要求金融机构使用更加专业化的员工来识别系统需求、监控系统的有效性以及恰当地解释模型分析的结果。

    从对银行的检查中，我们掌握很多操作风险的知识。比如，在对操作风险的日常检查中，我们审查银行政策、流程和内控制度的充分性，包括对风险较高业务的日常控制的测试。经验告诉我们，操作控制方面存在的普遍问题值得关注。

    在电汇和类似业务中，如果不能有效降低操作风险，银行可能因未经授权而进行的资金调拨而遭受重大的财务和声誉损失。我们常常建议银行（1）针对电子交易，建立合理的批准和授权要求，保证相应的管理层知道交易情况，并培养更强的责任感；（2）针对客户电子转帐要求，建立电话回访程序、密码、资金交易协议和其他确认交易的控制程序；（3）增强对交易真实性的控制，因为这个领域也特别容易受到外部欺诈的影响。

    贷款管理是银行可能遭受重大财务损失的另一个领域，由于不当的责任分离或缺乏双重控制。银行还可能因为没有有效减少操作风险因素而遭受声誉损失。在这类检查中通常做以下建议，也适用于一般企业（1）确保信贷人员不做贷款的会计记账和管理工作；（2）限制员工进入与其职责无关的信贷系统电脑设备；（3）为业务员工提供一致的指引，以政策和流程的形式，指导如何识别和处理非正常交易。
 
    重新报送财务报表引发的操作风险

    有时会迅速出现意外的风险。比如，各行业的财务报表质量的变化。2005年，有大约1200家上市公司的财务报表重新报送，比2004年多出一倍。GAAP会计准则较复杂，审计师和监管机构（主要是证券和交易委员会）对会计准则的解释更严格，是导致重新报送的两大主要因素。

    重大的重新报送内容包括美国金融会计标准委员会衍生会计准则下对套期和租赁会计的问题。重新 该内容可能有会员内容，需要登录查看全文，点击这里在顶部登录