风控国际证券委关于风控之指导原则台湾.docx

1、风控国际证券委关于风控之指导原则台湾国际证券委员会组织关于证券公司及其主管机关之风险管理及控制指导原则台湾证券交易所企划部专员 张文毅 译壹、简介 本文主要是提供证券公司及其主管机关有关控制的指导原则，其重点在于攸关风险管理及控制政策、程序及内部控制制度者(注一)。本文的目的系提升证券公司及市场管理者对本国及国际性风险管理及控制架构的警觉性。所提出的建议事项都保留了弹性，俾使各国及各公司能够执行符合各公司及市场规模、复杂程度及业务性质的政策及程序。本文的前提是，虽然风险管理与控制乃是健全的公司及整体市场所不可或缺的，但是却无法取代资本适足性的规定。由于由公司的观点来探讨控制的文章已经很多，本文

2、将以监督者的角度来探讨。 本文所指的控制系指基本的内部会计控制及风险管理政策及程序。基本的内部会计控制系指能够合理确保交易均经妥适纪录并确认的系统，其亦包括权责的妥适区隔。风险管理与控制则系指用以管理市场风险、信用风险、法律风险、营运风险及流动性风险的系统(注二)。 风险管理与控制的本质及范围必须要切合其所欲保护的机构之需求。此代表着其不能以外来的命令加诸其上，而必须针对其组织架构、营业实务及风险胃纳等加以设计，以符合其需求。不论如何设计及执行，控制只能在一合理的程度上，确保公司控制目标的达成。 本文第四部份讨论的风险管理与控制的十二个要素构成了证券商及其主管机关的控制指导原则，其主要系作为一

3、效标(benchmark)，俾使各国的证券商及其主管机关可以据以衡量其控制系统是否健全。这些要素可概分为五个类别，而且均是任何控制系统不可或缺的成份：一、控制环境(control environment)1. 公司必须建立一机制，俾确保其有内部会计控制及风险管理控制。市场管理者则必须建立一机制，俾确保其所管理的机构备置有内部会计控制及风险管理控制。此一管理机制不须巨细靡遗地规定控制的方式及步骤，而仅须提供一般性的指导原则给公司。2. 公司及市场管理者必须确保控制系由公司资深管理阶层设立及监督，监督全般控制的责任有明确厘清，且资深管理阶层能提升公司各阶层的控制文化(culture of cont

4、rols)。二、控制的本质及范围3. 公司的指导原则及从主管机关而来的指导原则必须涵盖内部会计控制及风险管理与控制。4. 公司的内部会计控制必须包括各种有关帐簿、纪录的规定及责任的区隔，俾保障公司的资产及客户的财产之安全。5. 公司风险管理及控制应包含对公司整体及个别交易台(trading desk)的市场风险、信用风险、法律风险、营运风险及流动性风险的控制。三、执行6. 资深管理阶层传达给各事业单位(business unit)有关控制的公司指导原则，必须包括最资深阶层对此的一般指导原则，而当信息流向较小的事业单位及个别的交易台时，则应立求具体、详细。7. 公司应备置且主管机关应要求有关控制

5、程序的书面文件。四、确认(verification)8. 经营阶层建立控制系统后，公司及市场管理者必须确认该系统确实已依原来的设计，在持续的基础上有效运作。9. 公司及其主管机关必须建立一机制，来确认控制系统一经建立，即被确实遵行。确认程序应包含内部稽核及外部稽核。内部稽核应独立于交易台及创造收入的部门之外；外部稽核则应由独立的会计师为之。对市场管理者而言，则应采用检查的步骤来完成额外的确认。公司应确定稽核单位及市场管理者所提出之建议有被确实遵行。10. 公司及其主管机关应确保控制系统建立后，能够随新产品及产业科技的发展而与时俱进。五、报告(reporting)11. 公司应建立且主管机关应要

6、求建立一机制，俾在控制系统发生严重不足或损坏时，能够及时向资深管理阶层及主管机关报告。12. 公司应随时准备提供市场管理者有关控制系统之信息，不同管理者间应建立一机制，以便彼此分享有关控制之信息。 本文所提出的建议旨在帮助证券公司及其主管机关免受其所从事金融及证券业务所生之风险所波及。这些建议代表着审慎标准(prudent standard)，应将之与现有的公司控制系统及监管架构加以比较。 传统金融及证券业务的快速成长及复杂性，使吾人必须对其所衍生的风险加以指认、监督及管理。本文所提出的建议可适用于所有种类的金融及证券业务。贰、风险管理与控制的角色 证券公司执行具体有效的风险管理与控制可促进整

7、个金融体系的安定。析言之，内部风险管理控制具有四个重要功能： 保护公司免受市场、信用、流动性、营运及法律风险的影响。 使整个金融业免受系统风险的影响。 保护公司客户免受非与市场相关的巨大损失(如公司倒闭、misapp ropriation及诈欺等。)的影响。 使公司及其商誉不受负面事件的影响。 健全有效的风险管理与控制可以提升个别证券商及整个产业的稳定性，进而增加投资大众及交易对手方的信心。证券公司有经济及商业的动机来建构一有效的风险管理内部控制系统。如果没有此一控制系统，公司势必无法有效因应各种风险。 欲探讨有效的风险管理与控制在保护公司免受无法预期的重大损失的波及之重要性，最好的方法便是从

8、迩来一些因风险管理及控制系统崩溃或无法正常运作而产生严重灾难的实际案例着手：一、市场风险 所谓的市场风险，系指由于市场的波动，致投资无法如投资人所预期而获利之风险。市场风险包括因经济因素所生的价格或比率之反向变动，包括股价、利率、汇率及商品价格的反向变动。市场风险亦可包括与借券成本有关的风险、股利风险及不同商品价格间之相关性风险(correlation risk)。 美国加州橘郡(Orange Connty)的破产显明了市场风险所隐含的危险。该郡的财务长将橘郡投资基金(Orange County Investment Pool)的资金大量投资于结构债券(structured note)及逆浮动

9、利率债券(inverse floater)等之衍生商品。当利率上升时，这些债券及其衍生商品的价格都下跌，此导致橘郡投资基金17亿美元的巨额损失。 吉布森卡片公司(Gibson Greetings, Inc.)积极买进利率衍生商品，俾使其因利率下跌而获利时，亦面临了类似的市场风险。当利率上涨时，该公司的衍生商品合约损失了2亿美元。 同样地，宝碱公司 (Procter & Gamble) 为了结其与德国及美国利率连系的利率衍生商品部位，损失了1.57亿美元。当美、德两国的利率均上涨超过该衍生商品的关键利率 (hurdle rate)，使宝碱必须支付超过当时商业本票1412个基点之利率时，此一杠杆衍

10、生商品 (leveraged derivative) 的成本便显得相当的高了！二、信用风险 信用风险系指合约的一方未依约履行其合约义务的可能性。信用风险包括交易相对方在借款、交换交易(swap)、选择权及交割时违约所生之损失。当证券公司签订借款合约或店头市场合约或增加授信时，便面临了信用风险。风险管理与控制的程序可以降低信用风险，其可能的作法包括要求对方提供充足的担保品、支付保证金及安排净额相抵 (netting)的合约条款。 1998年1月当美国的银行表示其最近一季的营运受到东亚经济危机很大的影响时，信用风险又受到极大的重视。J.P. Morgan将6亿美元的贷款转为坏帐，其第四季的每股获利

11、亦从$2.04降至$1.33，降幅高达 35，且低于市场原先预期的$1.57。三、流动性风险 流动性风险系指金融工具的一方，无法以合理的价格迅速卖出或移转该金融工具，进而产生损失的风险。流动性风险包括了一公司无法将一部位了结或避险之风险。 Askin Management在1994年3月份的6亿美元损失是流动性风险的着例。该公司专门从事不动产抵押债务证券(mortgage-backed debt instrument)之交易，由于其承担了极大的信用风险及利率风险，故其商品在华尔街有有毒废弃物(toxic waste)之称。当利率急骤上涨时，这些债券的交易便戛然而止，所有市场参与者对其部位的报价

12、，均与其原始持有成本相差很多。此外，Kidder, Peabody & Co. 因融资给该公司，而损失了二千五百万美元。四、营运风险 营运风险系指交易处理或管理系统的不当运作，而有导致财务损失之虞的风险。营运风险包括因公司内部控制系统崩溃而产生损失的各种风险，其包括而不限于未授权交易、过度交易及交易诈欺，其亦可能发生于交易后台(back office)，如帐簿、纪录不完整、缺乏基本的内部会计控制、人员经验不足或计算机系统不稳定或易于进入。 霸菱(Barings)在1995年2月的崩溃显明了营运风险管理与控制的重要性。英国的银行监理委员会(Board of Banking Supervision

13、)认为霸菱的失败其实是导因于新加坡霸菱期货的受雇人XX且未揭露的衍生商品交易。该交易员身兼期货交易及交割两部门的主管，且未受上级之监督。该公司未能独立监督该交易员的交易，且未能划分前台及后台的功能，导致了终于使该公司完全崩溃的营运风险。 类似的管理不当使日本大和银行(Daiwa Bank Ltd.)在债券市场蒙受了更大的损失。1995年，该银行的一个债券交易员由于能够取得会计帐簿，而隐藏了大约10亿美元的交易损失。如同霸菱的例子，大和银行的交易员同时控制了帐簿及交易活动。因此，这两个公司都违反了风险管理的基本原则，即交易及其它支持性功能应予与分别独立。 1994年春Kidder, Peabod

14、y & Co.在政府债券交易的3亿5千万美元帐列虚假交易利益案例，亦是营运风险之一着例。当时，该公司发现此一交易员的交易利益乃是虚假的，实系该交易员操控公司的交易及会计系统所致。此一事件导致该公司将资产授予竞争对手，甚至沦落到被清算的下场。 维持充分的帐簿、纪录及内部控制乃是有效管理营运风险的不二法门。为强化其内部控制架构，所罗门公司(Salomon Inc.,)进行了一项深入审查其会计作业的计划，因为其财务部门所备置的总帐科目内容与其签证会计师Arthur Andersen LLP所备置者有一些无法调和的差异。此一计划的目的在于确保各总帐科目的正确性，且有允当的对帐作业程序。审查的结果发现有

15、些科目的余额并无会计凭证支持，而使 1994年的税前盈余须减列3.03亿美元。从此，该公司即致力于对帐及控制作业程序的改善。 1996年元月，所罗门公司坚强的风险管理控制发现因选择权部位不当洗价而产生的交易损失。有一交易员采用不正确的波动率(volatility)来粉饰其交易损失。该公司的内部控制架构包括了由风险管理人员的例行实地查核，且在查核时发现了此一问题，并将损失局限在1千5百万美元。 营运风险系透过妥适的管理程序来控制，包括充分的帐簿、纪录及基本的内部会计控制、独立于交易及业务部门的健全内部稽核功能、人员权责的明确划分及风险管理与控制政策。如果有妥当的管理监督，遵守基本的风险管理原则，

16、即将后台及交易的功能划分清楚，霸菱及大和的损失即可免于发生。纵使发生，其损失亦可缩小。而从这些金融危机事件亦可明显看出维持妥适的风险管理与控制之重要性。五、法律风险 法律风险源自一个体无法使相对方履行契约义务的可能性之风险，其损失的发生，可能系因合约不具法律效力或合约的签订，系属相对方的越权行为(ultra vires；注三)。换言之，法律风险包含了合约本身可能不合法，亦可能系因签订合约者未取得适当的授权。举例而言，在英国Hazell vs. Hammersmith & Fulham L.B.C.案中，法院判决一地方政府签订交换交易契约系属越权行为，故不具法律效力。此一半决使银行损失了大约十亿

17、美元。 目前，橘郡在与美林证券的诉讼中亦主张越权行为，辩称美林证券应知道渠所签订之合约违反了加州州宪(California Constitution)的数个条文，因此该合约无效(注四)。在目前全球化的环境中，主要的证券公司均因其业务的性质及范围，导致许多诉讼缠身。六、系统风险 系统风险系指(1) 一公司在市场或交割系统中发生问题，经由金融市场的骨牌效应(domino effect)而使其它金融机构接二连三发生问题的状况。(2) 投资人产生信心危机，而使市场失去流动性的状况。系统风险包括了市场上一公司或一产业的失败，会启动其它产业或整个金融市场失败的风险。 店头市场衍生商品一直是有关系统性风险的

18、管理重点。实际上，一些金融及证券业务系由少数的金融机构所把持，而其未避险的自有账户投机交易如果导致该金融机构倒闭，将会产生系统性风险的骨牌效应。一家主要金融机构的重大交易损失，有可能会快速地导致其散布全球的交易对手方违约，而这些机构合约义务的彼此纠葛及其与现货市场间的密切关系，在在使系统风险更加严重。 虽然在霸菱及大和银行案例中，各国及国际金融市场依然挺立，但是这些违约发生时，市场情况尚称稳定，而没有显著的市场变动。遇有各个资本市场波动率极大时，一旦股票市场或外汇市场崩盘，前所未见的重大违约极有可能会发生。 对主管机关及金融市场而言，系统性风险可能是最大的挑战。欲维持全球金融市场正常有序的运作

19、，统一且富弹性的风险管理与控制架构及充分的资本标准乃是不可或缺的。参、公司及主管机关的考虑一、公司 控制系统的最终目标在于藉由将各种可能突然侵蚀公司资源的风险降到最小，来使公司资产及资本受到最大程度的保护。而一个有效的风险管理与控制系统应具备的成份，会随着公司业务运作的规模及复杂程度而不同。然而，一个健全的风险管理与控制通常均需要有周延的风险管理与控制策略，其应包括可达成策略的政策及程序、风险衡量及控制方法、监督及报告规定被遵循的情形及持续评估策略、政策及程序的效率。以下仅就有效的风险管理与控制系统的各种要素予以分别讨论。1.风险管理与控制政策 一公司的管控单位(如董事会或与其相当之组织)对其

20、所承担的风险负有最终的责任，且应负起监督的职责。管控单位应核准公司的整体企业策略及风险管理及控制政策，并经由内部稽核部门进行独立的评估，俾确保各项政策及规定有确实被遵循，以及既定策略和政策的妥适性。采用矩阵式管理(matrix management)的公司则应明订各阶级的回报系报。 订定一风险管理及控制策略的第一个步骤是正式分析公司的业务活动及该等活动会为公司带来的风险(通常系以对公司资本的风险来衡量)。在进行此项分析时，必须明订每项主要业务活动及产品的数量化风险额度，并厘清被准许的业务活动范围之规格。此外，并须确保有足够之资本来支持这些业务。这些事项一旦订定后，必须持续地检验这些业务及其风险

21、， 并依据业务及市场的变化来定期评估策略的妥适性。如下文所述，内部及外部稽核的结果应直接向管控单位报告。 控管单位为履行其职责所需的专业技术水准会因公司的业务及产品的复杂度而有不同。在一个大型且复杂的组织内，控管单位的成员最好能拥有产业方面的专业知识。2.达成策略所需的政策及程序 一旦风险被指认，且如何因应这些风险的一般政策也已建立，公司即可发展详细、明确的指导原则，俾运用于公司长程及每日的运作。为达成管控单位的指导原则所需的政策及程序包括指定风险管理及控制处理的权力归属、遵循风险政策的责任归属、有效的内部会计控制、内部及外部稽核等。在规模较大且复杂度较高的公司中，可考虑设置一集中化的风险管理

22、及控制单位。无论如何安排，负责风险控管的人员必须具备足够的专业知识，且应独立于创造收入之单位。 由于控制架构有效与否完全取决于负责执行的人员，因此，控制人员强烈的使命感是不可或缺的要素。在厘清执行风险控管的权力归属及遵循的责任归属时，最主要的考虑是应将衡量、监督及控制风险的责任与会产生风险的执行交易划分清楚。资深管理阶层必须确保责任有明确的划分且不相冲突。然而，由于人的天性，内部控制出问题常可归咎于错误或勾结。准此，组织内对业务、交易的授权及风险容忍程度的决定，有正式的书面文件留存是非常重要的。 有效的内部会计控制及稽核程序是风险管理与控制系统最重要的要素。基本的内部控制包括交易的授权、责任的

23、区隔、资产及账册的安全保管、文件制作的标准及独立的勾稽控制。在风险控管及资本保护方面，最重要的内部控制乃系应将交易及内部控制、风险管理及交易授权的责任区隔开来。 有关内部与外部稽核角色功能的探讨已超逾本文讨论的范围，但吾人愿在此强调，主管机关应确保渠等功能的独立性并厘清渠等与公司管控单位之关系。 内部稽核部门应独立于交易及创造收入部门，且其酬劳应与所产生的收入相独立。外部稽核独立于公司之外，主要目的系对公司的财务报表表示意见。为此，外部稽核必须对公司内部控制系统质量的良莠有一定的看法。相对的，内部稽核人员则受雇于公司，但仍应藉由直接向监控单位来维持其独立性。内部稽核人员可以调整其稽核重点，俾兼

24、顾财务及业务的查核。 虽然外部稽核人员不适合对公司整体风险管理及控制的妥适性表达意见，但是内部及外部稽核人员查核的次数、范围及结果均可用以衡量风险控管系统的有效性。虽然一般而言，内部稽核及外部稽核各有不同的目的，但其常须倚赖对方的工作，俾决定其本身应执行的稽核工作的性质及范围。3.风险衡量的方法 风险衡量系统应有一具体方法，用以认明公司的部位、市场、外汇及交易对手方之风险。涉险值模式(Value-at-risk; VAR)及其它的数量化模型，包括模型的假设，应经常保持更新，并回溯测试 (back-testing) 所产生的数据。此一方法尚应包括敏感性分析 (sensitivity analys

25、is) 及重压测试 (stress testing)。附随着重压测试系统， 应有一紧急应变计划 (contingency plan)，俾供市场发生反向变动及最坏的状况发生时有所遵循。4.是否遵循既定政策及程序的报告系统 公司应设置一风险控管的报告及审核程序。此一程序应包括对是否遵循既定政策及程序之报告的审核机制，并特别强调各种未能遵循规定的例外状况。一般而言，应逐日向负责公司风险监控的主管报告涉险情形及损益结果，而该主管则应向负责公司整体运作的资深管理阶层简报。5.评估策略、政策及程序的有效性 公司应经常评估既定策略、政策及程序的有效性。在评估时，应考虑既定政策的结果、业务活动的改变及市场状况

26、的变动。风险管理及控制政策中有关方法、模型及假设的重大改变应经公司监控单位的审核。此外，风险控管政策亦需规定，在审核新的产品及业务活动时，应有风险控管部门的参与。二、主管机关 主管机关应尽力了解每一公司的控制环境，并确保各公司所设置的控制机制的充分性。主管机关为保护投资人及维护证券市场的适正性(market integrity)，应负起管理证券商业务的责任。为此，主管机关在筹划对瞬息万变的证券业之监督事宜时，应采取主动积极，而非被动的态度。一般而言，主管机关不应涉入公司具体控制标准之制定。本文所提出的指导原则并不是要妨碍公司的经营阶层履行其职责。当各国的主管机关发现其管辖的公司所设置的风险控管

27、质量低于可接受的国际标准时，则应要求该等公司订定明确的要求。 虽然达成监管目标的最佳方法取决于一国的法律、政治及管理环境，但下列所提出的建议应有助于主管机关对风险管理与控制程序的监督。 主管机关可订定法令规定，要求被监管的公司设置具体的风险管理与控制制度，并定期报告、检查渠等是否确实遵循各种规范。主管机关的优势在于其能够直接管理各公司风险控管监督。但是，此一取向可能因法律、管辖范围及政治等方面的因素而显得复杂。 主管机关可与产业协会共同合作，致力于将某一特定风险控管标准推展至其会员。此一建议的优势是藉由同侪压力(peer pressure)来提升法令被遵循的程度。然而，产业团体可能会以其会员的

28、利益为先，而使得遵循其所提出的建议沦为自愿性质，而使得主管机关仅有有限的执法能力。 主管机关可以藉由各种制订标准团体(standard-setting group)，如会计及稽核准则委员会，来间接推动风险控管的建立。国际证券管理机构组织技术委员会(IOSCO Technical Committee)及国际会计标准委员会(International Accounting Standard Committee)及国际稽核实务委员会(International Auditing Practices Committee)合作，共同致力于国际性证券发行人的会计及稽核标准的作法，即是主管机关与制定标准团体

29、合作的最好例子。未来的可能作法可能是要求会计师在对证券业内的公司稽核时，应将风险控管当成查核的一部份。如果内部控制不足增加稽核的时间及成本，或在签证报告中被提及，此一作法或可有助于风险控管的推动。然而，会计师业及证券业彼此对此一检查的必要性仍存有歧见，且欠缺风险控管程序的客观标准。 跨越地理、功能疆界的公司、市场及系统的全球化已迫使各国主管机关寻求正式地调和、统一其管理标准。IOSCO技术委员会及巴赛尔银行监理委员会(Basle Committee on Banking Supervision)的合作，即是主管机关间共同致力于提升金融市场稳定性的着例。1996年6月，一份有关银行及证券主管机关

30、合作的共同声明揭橥了管理合作的重要原则，包括信息分享、对资本的监督、对多角化公司的特别监督作法、主管机关取得有关营运及早期预警的正确报告之需要、及定期强化管理程序的必要性等。肆、风险管理及控制系统之要素 在金融界，一般咸认成功的证券商风险管理所应具备的关键因素乃是在于有一坚强、有效的风险管理与控制架构。以下所提一健全、有效的风险管理要素，乃是一建议的效标(benchmark)，可供每一国家的公司及其主管机关用以衡量其证券业务活动的控制环境是否充份。一、控制环境(control environment)1.公司必须建立一机制，俾确保其有内部会计控制及风险管理控制。市场管理者则必须建立一机制，俾确

31、保其所管理的机构备置有内部会计控制及风险管理控制。此一管理机制不须巨细靡遗地规定控制的方式及步骤，而仅须提供一般性的指导原则给公司。2.公司及市场管理者必须确保控制系由公司资深管理阶层设立及监督、监督全般控制的责任有明确厘清，且资深管理阶层能提升公司各阶层的控制文化(culture of controls)。 所谓的控制环境，系指证券公司的监控单位及资深管理阶层对该公司财务资源的安全保护及内部产生信息的健全性所持之态度、警觉性及所采取的行动。控制文化应推展到所有阶层的员工，并使公司内能够广泛分享控制文化。举例而言，稽核准则(Statement of Auditing Standard)第78号

32、即宣称控制环境设定了一组织的基调，影响其人员对控制的认知，且是所有其它内部控制要素的基础，并为组织提供了纪律及架构(注五)。 控制环境的有效性取决于许多因素，包括： 管理阶层的态度、信念及作法。 组织架构及其可信赖性。 公司管控单位及管理委员会的本质及范围。 受外部监督的程度。 坚强的控制环境是公司保护其本身免受突发的损失，避免其资本受侵蚀的必要基础。只要运作妥当，内部会 计控制及风险控管系统便可尽先发现并指出潜在的问题。虽然其无法完全避免无法预期的损失，其仍可以提早将问题反映给公司的监控单位及资深管理阶层(如上文有关营运风险中所罗门公司对衍生性商品评价的控管)。当一公司欠缺充份的控制环境时，只要一个不谨慎的员工即可能为公司带来毁灭性的灾难(例如霸菱的崩溃)。公司的监控单位及资深管理阶层欠缺足够的控制环境及控制意愿乃是最近霸菱、大和银行、Kidder Peabody及Natwest发失巨额损失的根源所在。 公司的管控单位应对证券公司的拥有者负起最终的责任，去了解该公司所面临的风险、确使资深管理阶层采取必要的步骤来监督、控管这些风险，并确保风险管