基層央行風險管理研究

摘 要：西方發達國家央行大多按照COSO風險管理框架建立了一整套較為完善的風險管理體系，且有較為成熟的風險評估方法。本文擬借鑒國外風險管理理論和發達國家央行風險管理模式，對我國基層央行風險管理狀況進行分析，并嘗試構建基層央行風險管理框架，以期提高基層央行的風險管理水平。

關鍵詞：基層央行；風險管理；COSO

Abstract：The central banks of developed countries have established the relatively perfect risk management system according to COSO—ERM. This article researches the foreign theory of risk management and the risk management mode of the central bank of developed countries，and analyses the present situation of risk management of PBC branches. In order to improve risk management of PBC branches，the article attempts to construct the risk management framework of PBC branches.

Key Words：central bank branch， risk management， COSO

中圖分類號：F832 文獻標識碼：A 文章編號：1674-2265（2012）01-0011-06

基層央行作為中國人民銀行總行的派出機構，既是金融調控與監管體系的組成部分，又是促進經濟發展的重要力量。近年來，隨著中央銀行職能的轉變、新業務的拓展、新系統的使用，基層央行面臨的風險呈現出多樣性和復雜性的特點。目前西方央行大多根據COSO（Committee of Sponsoring Organization）風險管理框架建立了各具特點的風險管理體系，基層央行可參照其主要做法，運用COSO風險管理框架構建符合自身實際的風險管理體系和方法。

一、西方央行風險管理開展狀況

2004年10月，COSO對沿用了近10年的《企業內部控制——整體框架》進行了修改和延展，發布了《企業風險管理——整體框架》。風險管理整體框架由內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等八個相互關聯的要素構成。目前，西方央行大多是按照COSO風險管理框架開展風險評估和風險管理活動的。

（一）紐約聯邦儲備銀行（簡稱紐聯儲）風險管理模式

1. 紐聯儲風險管理架構。紐聯儲與風險管理相關的組織層次很多，體現了全面風險管理原則。一是董事會層面有審計與操作風險委員會。二是業務部門負責人層面有操作風險委員會、風險監督委員會、信息安全委員會、應急管理委員會等。三是業務部門層面，機關管理部下設的業務流程優化辦公室負責協調全行業務流程優化，戰略投資與風險評估辦公室負責協調全行的操作風險管理、投資審查和業務連續性管理，法規部下設的合規與道德辦公室負責對全行雇員的行為規范進行指導和檢查，技術服務部下設的信息安全處負責協調指導全行的信息安全政策。四是人事部門和內審部門也參與紐聯儲全行層面的風險管理工作。

2. 紐聯儲風險評估方法。紐聯儲將識別出來的風險分為操作風險、市場風險、信用風險、戰略風險、信譽風險五類。其中：操作風險包括業務流程、技術和信息管理、持續經營計劃、人力資源、外部環境/事件等五個方面的風險。每類風險設置不同權重。各類風險又分為1到4四個等級，等級越高、風險越大。

紐聯儲風險評估模型為：V=∑A（i）*Wi 。其中V為風險評估值，A（i）為第i項風險因素的評級，Wi為權重。

通過計算風險評估值，即風險等級乘以相應的權重，既可以對被評價對象上述風險因素分別進行評價，也可以將各項風險得分相加進行總體評價。風險評估值越高風險越大。

（二）英格蘭銀行風險管理模式

1. 英格蘭銀行風險管理架構。英格蘭銀行在不同層次上都設有風險管理組織機構。一是董事會。負責內部控制系統和風險管理框架的建立。二是審計及風險委員會。協助董事會對財務報告、內部控制和風險管理有效性進行監督和評價。三是行領導層。分類審批風險管理標準，在風險運營委員會的監督下建議制定有關風險領域的應對策略。四是部門主管層。各部門總監除負責管理各自部門層面的風險外，還需要共同管理和決定全行層面的風險。五是風險運營委員會。其主要職責是確保風險管理框架適用和有效運行，及時和適當地向各部門總監和董事會報告操作風險事項。六是風險監控中心。作為日常辦事機構，向高級管理層提交全行層面的風險報告。七是各部門內設的風險管理處。

2. 英格蘭銀行風險評估方法。

（1）英格蘭銀行將其面臨的風險分為金融風險、操作風險和政策與分析風險共三類風險。其中，金融風險分為市場風險、信貸風險和流動性風險；操作風險分為人力資源風險、業務中止風險、信息系統風險、安全風險、項目風險、聲譽風險、法律風險和操作控制風險。

（2）風險評估。一是將風險事件按發生的概率分為5個等級：1—幾乎不可能、2—不太可能、3—可能、4—非常可能、5—幾乎確定。二是將風險事件造成損失的影響程度分為5個等級：1—可忽略、2—小、3—明顯、4—重大、5—十分嚴重。三是將風險事件描繪到矩陣上，其中：矩陣的橫向坐標代表風險帶來的影響，數值越高影響越大；矩陣的縱向坐標代表風險發生的可能性，數值越大可能性越高。矩陣的區域Ⅴ代表的風險程度為緊急；區域Ⅳ的風險程度為重大；區域Ⅲ為風險程度明顯；區域Ⅱ為風險程度小；區域Ⅰ為風險程度可忽略（見圖1）。

圖1：英格蘭銀行風險矩陣

（三）澳大利亞儲備銀行風險管理模式

1. 澳大利亞儲備銀行風險管理架構。澳大利亞儲備銀行的風險管理組織體系主要由風險管理委員會、風險管理中心、審計部組成。風險管理委員會的主要職責是統籌安排澳大利亞儲備銀行的各項風險管理活動。風險管理中心的主要職能是協助風險管理委員會履行職責，具體工作是幫助各業務部門在全行統一的框架之內管理各自的風險環境。審計部獨立于風險管理中心，作為風險管理中心的補充，確保儲備銀行的風險管理政策有效，測試銀行各個層面流程和控制的充分性。

2. 澳大利亞儲備銀行風險評估方法。

（1）選擇能夠較好地代表央行各職能部門業務風險的最具代表意義的10個因素， 作為其風險因素及權重應用模型的變量因素，并分別確定這10類風險的權重（見表1）。

（2）設定各風險因素的風險等級衡量方法。其中對于前4項風險因素采取定量分析的風險評價方法，5-10項風險因素采用定性分析的風險評價方法。每個風險因素分為5個等級，等級越高、風險越大。

（3）風險評估值的計算與紐聯儲一樣，為：V=∑A（i）*Wi 。但不同的是，澳大利亞儲備銀行考慮了控制有效性因素（上次審計至今的時間長度、內控質量），對剩余風險，即管理層采取風險應對措施之后所殘余的風險進行評估。

（四）啟示

通過考察西方主要央行的風險管理情況，不難發現西方央行風險管理體系具有如下特點：一是大多實施了全面風險管理模式，按照COSO框架開展風險評估和風險管理活動。二是根據組織的管理模式，設計出與之對應的較為完善的風險管理架構，以便能在組織的各個層面對風險進行控制。三是都能夠結合自身的實際情況，統一標準劃分全行風險類別，進行風險事項識別。四是重視風險評估工作，能夠結合自身的實際情況，建立量化評估模型進行風險評估。

二、基層央行風險管理框架設計

（一）基層央行風險管理存在的問題

目前基層央行的風險管理模式屬于“分散控制與集中監督”的模式，“分散控制”主要指風險管理分散于各部門，“集中監督”是指在基層央行多個監督部門中，風險管理監督職責相對集中于內部審計。通過多年實踐，基層央行現行風險管理模式在促進央行履行中央銀行職責、有效發揮風險管理作用等方面取得了較好成效，同時存在以下問題：

1. 風險管理組織、制度體系不夠完善。一是在風險管理組織機構的具體設置上，缺乏一個集中統一的風險管理部門。二是在風險控制功能的實施上，主要是事后管理，事前防范和事中監控有待進一步提高。

2. 風險管理意識有待加強。目前部分基層央行員工對風險管理的認識不足，尚未認識到風險管理的重要性，風險觀念和規范意識不強。

3. 尚未形成完善的風險評估方法。一是風險評價方法比較單一，缺少定量方法對風險進行評估。二是未建立相關的風險信息數據庫，與風險評估相關的資料和數據掌握不全面。

（二）基層央行風險管理體系的構成及運轉

通過了解西方央行風險的管理狀況不難發現，要完善基層央行的內部控制、加強風險管理，可以以COSO風險管理框架為參照，建立基層央行風險管理機制。一是在管理的理念上，COSO風險管理框架是將單位戰略與風險管理戰略緊密結合在一起的全面風險管理戰略，這將有助于基層央行最大限度地實現風險管理的目標。二是從管理技術上來看，COSO風險管理框架要求有先進的風險管理技術做依托，因此在實施該框架的過程中，新管理技術的不斷引入可以在一定程度上提高基層央行管理技術水平。三是從管理文化上來講，COSO風險管理框架體系的實施強調風險管理觀念的普及，強調由共同風險管理文化的建立而帶來企業各個層面的支持。由此可見，COSO風險管理框架的特點與基層央行風險管理中存在的問題具有較強的對應性，其應用能夠提高基層央行現有的風險管理水平，對基層央行發展起到很好的推動作用。

1. 風險管理組織體系構建。針對基層央行風險管理體制的現狀，結合COSO風險管理框架，建議對基層央行風險管理組織結構做出如下設計：一是設立風險管理委員會。風險管理委員會作為基層央行風險與內控管理的決策執行機構，由行長擔任委員會負責人，委員會成員包括行領導、風險管理委員會辦公室、內審、紀檢監察等部門負責人。二是在風險管理委員會下設立辦公室。辦公室負責日常風險管理組織工作與信息溝通，業務上接受上級行風險管理部門的指導。三是成立專業風險評估小組，由單位內具有豐富管理經驗的人員組成。四是在各業務部門設立風險管理崗。五是設立監督部門，主要包括內審和紀檢監察部門，重點負責對風險管理運行情況進行監督。

2. 風險管理組織體系的運轉方式。風險管理組織體系的各組成部門主要按照以下職責進行運轉，從而將COSO風險管理整體框架中提出的八個組成要素融入其中。

（1）風險管理委員會。一是研究并確定組織要實現的總體目標、業務管理目標、風險管理目標。二是確定全行性風險管理措施和重大風險應對措施。

（2）風險管理委員會辦公室。一是組織風險評估小組開展風險識別和評估，定期向風險管理委員會報告評估結果以及風險監測分析報告。二是按照重要性原則，向風險管理委員會提出重大風險應對措施建議，確定一般性風險應對措施，督促業務部門落實風險應對措施。三是具體組織業務部門制定風險控制措施，收集、整理風險管理信息。四是根據風險管理委員會要求開展全行性風險管理理念培養活動。

（3）專業風險評估小組。一是根據風險管理委員會的安排，對業務部門和下屬機構開展風險識別和評估。二是根據風險識別和評估情況，向風險管理委員會辦公室及被評估對象提出具體風險應對措施。

（4）各業務部門。一是根據全行性風險管理要求樹立正確的風險管理理念。二是要制定具體風險管理措施。三是落實風險管理以及風險應對措施。四是及時向風險管理委員會辦公室報告風險管理中存在的問題。

（5）監督部門。一是對風險管理委員會辦公室定期進行監督，保證其認真履行風險管理職責。二是對業務部門定期進行監督，重點是對風險管理和風險應對措施的執行情況進行檢查。三是為風險管理委員會和業務部門提供風險管理咨詢服務。四是定期向風險管理委員會報告風險監控情況。

三、基層央行風險識別和評估方法研究與實踐

風險識別和評估是進行風險管理的關鍵。只有采取科學的風險識別和評估方法，才能對風險管理狀況進行準確判斷，從而采取有效的風險管理措施。

（一）基層央行的風險識別

開展風險識別首先要對風險分類。央行風險主要可分為市場風險、信用風險、流動性風險、法律風險、聲譽風險、資產風險、信息技術風險、效率風險、操作風險等類型。市場風險、信用風險、流動性風險主要集中在總行層面。因此本文將基層央行的風險分為法律風險、聲譽風險、資產風險、信息技術風險、效率風險、操作風險等六類風險（見表2）。

確定基層央行的風險類別后，在風險管理實務中，需要對基層央行所面臨的重要風險事項進行系統、詳盡的識別，形成一個風險清單，并按照風險發生后果確定各個風險事項所屬的風險類別和風險等級（可以按照嚴重、較大、中等和輕微四個等級）。然后根據風險清單開展風險評估，確定風險控制措施。風險清單被確定之后，并不是一成不變的，還需要對清單進行不斷的完善。實踐中需要盡可能多地收集風險樣本，進而使風險清單能夠盡可能完整地囊括并反映會對基層央行產生潛在影響的事項，為之后的風險評估奠定基礎。

（二）風險評估

在對基層央行所面臨的風險進行分類、對具體的風險事項和相應的風險等級進行識別的基礎上，擬從六類風險角度構建風險評估模型。

1. 構建風險評估指標體系。由于基層央行所面臨的風險事項很多，為便于將風險事項歸類，可對六類風險進行再次細分。

（1）法律風險：①行政管理違法，包括處罰主體、處罰內容、處罰對象不合法，以及程序違法；②合同訂立違法，主要指主體不符合法律規定、合同內容違法或合同要素不完整。

（2）聲譽風險：①決策失誤風險，包括決策的信息不充分、決策程序不合規；②道德風險，主要指行政不作為、利益驅動導致逆向選擇；③媒體、輿論等負面報導或評論，指由于履職不到位、內部管理缺陷或違規操作，被傳媒報道或受到非議。

（3）資產風險：①資金損失風險，指由于舞弊、業務差錯或管理不到位等因素導致資金損失的風險；②實物資產損失風險，指由于舞弊、業務差錯、管理不到位或不可抗力等因素導致實物資產損失的風險。

（4）信息技術風險：①基礎設施風險，指機房、網絡等軟硬件設備管理方面的風險；②運行維護風險，主要指設備運行環境不合規定，因維護不足或遭到破壞等原因導致系統無法穩定運行的風險；③信息安全風險，主要指系統的訪問權限不明確、口令密碼管理混亂以及感染病毒等原因致使數據記錄不完整、被篡改或非法訪問；④應急、備份和技術支持風險，包括應急管理、備份和外包技術服務方面的風險。

（5）效率風險：①資源浪費，指由于業務差錯、管理不善或信息溝通不暢等原因造成各類資源的浪費；②行為低效率，指人員素質差異、管理監督不力或信息溝通不暢等原因導致工作效率低下。

（6）操作風險：①業務流程風險，指流程設計和執行中存在的風險；②人員風險，主要指人員舞弊、業務差錯、關鍵崗位配置不當等方面；③外部事件風險，指由于自然災害、政治事件等外部因素所造成的不利影響。

根據上述兩層基本要素的內容，構造風險評估指標體系如下（見表3）。

2. 風險評估模型構建方法的選擇。根據上述風險評估指標體系的特點來構建風險評估模型，需要解決兩個重要問題：一是需要科學確定各指標所占權重。二是如何根據風險評估小組成員對各指標的評分，結合所確定的權重計算出風險評估綜合分值。

（1）運用層次分析法確定各指標要素的權重。層次分析法是對一個問題的多個影響因素的重要性進行判斷時，先將這些因素進一步分解，形成一個有序的遞階層次結構，然后對這些元素進行相互“兩兩比較”得出一定的重要性數值，計算確立各元素的權重，以此作為評價和選擇方案的依據。它綜合運用定性分析與定量分析，適用于解決多層次因素的復雜問題。

（2）采用模糊綜合評價方法計算風險評估綜合分值。由于進行風險評估離不開主觀判斷，所選擇的評估要素具有一定主觀性，評價的結果不可避免帶有一定主觀判斷，因此本文選擇模糊綜合評價方法來具體計算風險評估總分值。其基本思路是：根據上述綜合評估指標體系，針對每個指標要素，運用專家意見法進行評分，結合層次分析法所確定的要素權重，逐級采用加權平均法，計算出風險評估綜合分值。

3. 運用層次分析法確定指標要素的權重。具體步驟：第一，對同層次各評估指標的重要性按“1—9標度”法予以賦值，構造兩兩比較判斷矩陣。第二，運用幾何平均法，求得特征向量（權重向量）。第三，計算判斷矩陣的最大特征根、平均隨機一致性指標CR。第四，若CR<0.1，說明矩陣具有滿意的一致性，可以確定該層指標的權重，否則就需要調整矩陣，直到具有滿意的一致性為止。

（1）構造兩兩比較判斷矩陣。采用美國匹茲堡大學薩迪教授于二十世紀80年代建議的1—9標度方法（見表4），根據本級別指標要素之間相對重要性的比較，構建兩兩比較判斷矩陣。

（2）運用幾何平均法進行計算：計算判斷矩陣每一行指標元素的乘積Mi：Mi＝；計算Mi的6次方根：＝；對向量＝[ ]T規范化，Wi＝，得W＝[W1 W2 W3 W4 W5 W6]T。

（3）計算判斷矩陣的最大特征根；計算一致性指標CI：；計算平均隨機一致性指標CR：。按照上述方法計算得出如下數值：W=[0.1984 0.1114 0.3335 0.1114 0.0469 0.1984] T，最大特征值，一致性指標CI＝0.0116，平均一致性指標CR＝0.009（見表6）。

（4）由于CR<0.1，所以矩陣具有滿意的一致性，確定權重向量W=[0.1984 0.1114 0.3335 0.1114 0.0469 0.1984] T（見表7）。

表7：各類風險權重

風險類別法律風險聲譽風險資產風險信息技術風險效率風險操作風險

權重0.38000.25110.15990.06860.03960.1008

同理，建立二級指標要素比較判斷矩陣，使用上述方法計算相應二級指標的權重Wij，并判斷矩陣是否具有滿意的一致性，必要時對矩陣進行調整，直到具有滿意的一致性為止，以最終確定指標權重（見表8）。

4. 采用模糊綜合評價法計算風險評估綜合分值并確定風險等級。

（1）確定風險等級評分標準。本文將風險等級確定為“輕微、中等、較高、嚴重”四個等級，為了便于量化評分，采用百分制將四個等級分別賦值為100、75、50和25，據此形成風險等級的量化評分標準（見表9）。

（2）運用專家意見法確定各個風險要素等級。對于每個二級指標，評估小組成員均要按照“輕微、中等、較高、嚴重”的等級進行討論確定分值。

為了更好地說明模糊綜合評價法如何計算風險評估綜合分值，本文選擇轄內某中心支行進行風險評估，評估小組評分結果如下（見表10）。

（3）計算風險評估綜合分值。將二級指標評分Ri和對應的權數Wij（i=1，2，…，n）相乘求和， 運用公式V＝ΣWij×Ri（i=1，2，…，n）逐項計算一級評價指標的加權分數，然后再運用加權平均公式計算得到一級指標要素的綜合評分值V為84。參照評價定量分級標準表9，可知該中心支行風險總體評估結果為風險水平“中等”，屬于Ⅲ級。

參考文獻：

[1]中國人民銀行國際司.中國人民銀行境外短期調研報告選集[M].中國金融出版社，2011.

[2]中國人民銀行內審司.紐約聯邦儲備銀行內部審計基礎.

[3]戴春蘭，揭火艷.企業內部控制風險評估數學模型探析[J].財會通訊，2010，（4）.

[4]中國人民上海總部課題組.內部審計對央行風險管理的監督與評價[J].中國內部審計，2008，（3）.

[5]呂永波.系統工程（修訂本）[M].清華大學出版社、北京交通大學出版社，2006.

[6]美國反欺詐財務報告委員會，方紅星，王宏譯.企業風險管理—整合框架[M].東北財經大學出版社，2005.

[7]劉艷瓊等.風險評估理論方法及國內外研究現狀述評.第十三屆中國系統工程學會年會會議論文集，2004.

（責任編輯 孫 軍；校對 SJ）