金融机构全面合规管理系列（三）：全面风险管理体系建设之合规要点

为推进金融机构的全面风险管理体系建设，金融监管部门、行业自律组织及国资管理部门均发布过相关规定和规范。如中国证券业协会《证券公司全面风险管理规范（2016修订）》（中证协发〔2016〕251号）、原中国银行业监督管理委员会《关于印发银行业金融机构全面风险管理指引的通知》（银监发〔2016〕44号）、中国证券监督管理委员会《证券公司风险控制指标管理办法（2020修正）》以及原中国保险监督管理委员会《保险公司风险管理指引（试行）》（保监发〔2007〕23号）等。另外，国务院国有资产监督管理委员会发布的《中央企业全面风险管理指引》（国资发改革〔2006〕108号），相关金融央企也需根据自身实际情况贯彻执行。

从某种角度来看，全面风险管理是全面合规管理的顶层设计，而全面合规管理则是全面风险管理的核心组成部分和重要实现途径。本文拟以证券、银行和保险机构及金融央企为例，综述金融机构建设全面风险管理体系的合规要点如下：

一、风险类别全覆盖

显而易见，“全面风险管理”的应有之义就是格外强调风险管理的“全面性”，即风险管理体系对相关风险类别的全覆盖，包括企业在围绕总体经营目标开展各类活动而产生的所有风险，涉及企业经营和管理的各个环节和整个过程。根据金融机构的不同业务类型，相关法规和自律规范列明的、须纳入全面风险管理的风险类型包括：

证券

1. 流动性风险

2. 市场风险

3. 信用风险

4. 操作风险

5. 声誉风险

6. 其他风险

银行

1. 风险治理架构

2. 风险管理策略、风险偏好和风险限额

3. 风险管理政策和程序

4. 管理信息系统和数据质量控制机制

5. 内部控制和审计体系

保险

1. 其他风险

2. 保险风险

3. 市场风险

4. 信用风险

5. 操作风险

6. 战略规划风险

7. 公司治理风险

央企

1. 风险管理策略

2. 风险理财措施

3. 风险管理的组织职能体系

4. 风险管理信息系统

5. 内部控制系统

由于企业、行业以及市场环境的不断变化，上述风险类型清单并非穷尽性的列举，而是需要与时俱进、持续调整。各类金融机构应关注以下工作的开展：首先，将新增风险类别纳入管理范畴，如随着金融机构数字化转型而产生的数据安全、网络安全和信息保护等领域的风险。其次，关注全面管理与重点管理的平衡，如在大国竞争及俄乌冲突的局势下，须特别关注相关地域政治风险的影响。最后，做好风险类型化管理中的衔接工作，应当考虑不同风险之间的关联性，审慎评估各类风险之间的相互影响，尤其是防范跨境、跨业的风险传递和渗透。

二、组织架构全建制

在全面风险管理体系建设中，金融机构需要落实“三道防线”框架，建立并完善治理层、管理层和执行层等各个层面的组织架构，明确下述各个机构的风险管理职权职责、资源配备、决策程序、管理工具、报告流程和问责机制等，包括：

证券

董事会

监事会

经理层

各部门

分支机构

子公司

全体员工

银行

董事会

监事会

经理层

各部门

分支机构

子公司

全体员工

保险

董事会

管理层

风险管理机构

各职能部门和业务单位

央企

股东（大）会

董事会

监事会

经理层

风险管理职能部门

内部审计部门

法律事务部门以

其他有关职能部门、业务单位

全资、控股子企业

从风险治理及管理的全面性出发，金融机构在全面风险管理中应特别重视董事会下设风险管理委员会，以及管理层中首席风险官的设置和履职情况。而从具体执行和实施的层面来看，如何确定全面风险管理部门、协调部门或牵头部门的职能与职责，如何确定某个风险类型的所有人（Risk Type Owner）、某个具体风险的所有人（Risk Owner），则更具实操意义，但也存在普遍挑战。同时，金融机构也需要关注机构变革和监管趋势等情况，如金融控股集团、银行理财子公司等新型机构的出现，以及监管对于金融机构大股东行为、集团并表管理问题的关注等等，并据此对全面风险管理的组织架构进行适时调整。

三、管理体系全要素

如果说组织到位、架构到位、人员到位是全面风险管理的硬件，那么政策制度、指标体系、监控机制、内控流程和信息系统就是全面风险管理的软件。根据相关监管规定和自律规范，金融机构搭建全面风险管理体系的核心要素包括：

证券

1. 可操作的管理制度

2. 健全的组织架构

3. 可靠的信息技术系统

4. 量化的风险指标体系

5. 专业的人才队伍

6. 有效的风险应对机制

银行

1. 风险治理架构

2. 风险管理策略、风险偏好和风险限额

3. 风险管理政策和程序

4. 管理信息系统和数据质量控制机制

5. 内部控制和审计体系

保险

1. 重点风险监控机制

2. 全面评估和集中管理机制

3. 风险管理主体职责

4. 成本效益机制

5. 管理信息系统

6. 风险管理绩效与人事薪资挂钩机制

央企

1. 风险管理策略

2. 风险理财措施

3. 风险管理的组织职能体系

4. 风险管理信息系统

5. 内部控制系统

此外，业界流传着一句看似老生常谈的话，“风险管理不仅仅是风险管理部门的事情，正如合规管理职能也不是合规管理部门一家所能完全履行的”，但这确实是某些金融机构风险事件层出不穷、风险暴露日益严峻、风险底线易攻难守的根本原因。风险管理需要全员参与，尤其要强化风险意识、厘清岗位职责、完善流程衔接，应把员工行为与绩效考核、履职问责明确挂钩。风险文化的种子是自上而下培育的，也是自下而上生长的。

四、数据信息全打通

与很多行业一样，金融业也正经历着一场影响深远的数字化转型。虽然本文讨论的逐项法规和规范大多发布于2006年至2017年之间，但这些文件均前瞻性地强调了获取数据、共享信息、统筹规划和有效使用在全面风险管理中的重要作用。

证券

《证券公司全面风险管理规范（2016修订）》：

证券公司应当建立与业务复杂程度和风险指标体系相适应的风险管理信息技术系统，覆盖各风险类型、业务条线、各个部门、分支机构及子公司，对风险进行计量、汇总、预警和监控，并实现同一业务、同一客户相关风险信息的集中管理，以符合公司整体风险管理的需要。

银行

《银行业金融机构全面风险管理指引》：

银行业金融机构应当具备完善的风险管理信息系统，能够在集团和法人层面计量、评估、展示、报告所有风险类别、产品和交易对手风险暴露的规模和构成。

保险

《保险公司风险管理指引（试行）》：

保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统，提高风险管理的信息化水平。保险公司应当统筹规划风险管理和业务管理信息系统，使风险信息能够在职能部门和业务单位之间实现集成与共享，充分满足对风险进行分析评估和监控管理的各项要求。

央企

《中央企业全面风险管理指引》：

企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

可以想见，未来的金融机构风险管理体系，将与如今正在技术前沿和投资风口的汽车自动驾驶系统高度相似。一部自动驾驶的汽车或停或走、或快或慢，都是数据系统和算法模型进行实时交互的结果。如何实现业务数据、风险数据、市场数据以及其他相关数据的全量获取，如何通过有效建模和机器学习梳理和分析这些数据，并使之及时地支持决策、实施控制和提供反馈，将是金融机构下一步重构全面风险管理体系所需解决的核心命题。