金融控股公司全面風險管理監管經驗比較研究

謝華軍

摘? ?要：金融控股公司因其規模龐大、股權結構復雜、關聯度高等特征，一直都是金融監管的重中之重。本文從比較研究的視角，系統地梳理了國際組織和美國、歐盟、日本、中國臺灣地區對金融控股公司全面風險管理的具體要求，并結合我國國內現有對銀行集團、保險集團等機構并表監管的實際，從秉持風險導向監管思路、穩步推進金融控股公司全面風險管理、注重風險評估與監管工具相結合等方面提出了相關建議。

關鍵詞：金融控股公司;全面風險管理;比較研究

DOI：10.3969/j.issn.1003-9031.2020.05.007

中圖分類號：F833/837? ?文獻標識碼：A? ? ? ? ? 文章編號：1003-9031（2020）05-0058-07

金融控股公司經營范圍廣、構成復雜，給金融監管帶來很大挑戰，特別是2008年爆發的金融危機凸顯了現有監管未能全面覆蓋金融控股公司的所有活動?；诖?，國際組織和世界各國先后出臺了多項監管規定，以期加強對金融控股公司的監管。

一、國際組織對金融控股公司風險管理的監管脈絡

（一）金融控股公司和全面風險管理定義

聯合論壇（The Joint Forum）將金融控股公司定義為在受監管的銀行業、證券業或保險業中，實質性地從事至少兩類金融業務，并對附屬機構有控制力和重大影響的所有集團公司（本文所論述的金融集團的概念等同于金融控股公司的概念）。全面風險管理指在董事會的企業戰略指導下，始終貫穿企業的各項經營管理中，用于識別、分析對企業可能產生不利影響的各類潛在風險，并將其控制在企業的風險偏好之內，確保企業目標的實現。本文重點從風險容忍度、風險偏好政策、風險限額管理、風險敞口、集中度管理、風險隔離、風險文化等方面闡述不同國家或地區金融控股公司全面風險管理的監管實踐。

（二）聯合論壇對金融控股公司的監管

為防止金融控股公司風險積聚與擴散，國際組織在充分研究全球金融控股公司監管問題的基礎上，出臺了具有廣泛適用性的金融控股公司監管國際標準，特別是聯合論壇1999年和2012年發布的兩版《金融集團監管原則》，成為各國對金融控股公司實施監管的重要參考。

1999年，聯合論壇首次發布了金融集團監管的基本框架，即《金融集團監管原則》，其中8個專題文件中有2個文件涉及到風險管理，分別為《集團內部交易及風險敞口原則》和《風險集中原則》，以促進金融集團對其風險集中度、內部交易及風險敞口進行審慎管理與控制①。

2000—2011年之間，聯合論壇對金融集團監管的一些具體問題進行了調查研究，并發布了相應的研究報告，包括有關風險管理方面的研究，如2001年《不同行業的資本監管比較》、2003年《關于操作風險在不同行業間的轉移問題》、2006年《金融集團流動性風險管理》、2008年《集團層面風險集中度識別與管理的跨業審查》、2010年《關于風險加總方法新進展的報告》等報告。2010年1月，聯合論壇發布《對金融監管性質和范圍差異的審議報告》，總結了金融危機中金融集團監管的經驗和教訓，提出對1999年版《金融集團監管原則》進行評估和補充，這為2012年版《金融集團監管原則》出臺奠定了基礎。

2012年，聯合論壇對全球金融危機中暴露出的金融集團監管方面的問題進行了反思，重新修訂發布了最新版《金融集團監管原則》。2012版《金融集團原則》共29條，其中有9條對風險管理進行了規定（見表1），所占比例為31%，可見國際社會對金融集團風險加強監管共識明顯加強。

2012年版《金融集團監管原則》重申了建立集團全面風險管理框架的重要性，提出需要建立有效的系統和流程來管理和報告集團范圍風險集中度、內部交易及其風險敞口情況，著重強調金融集團應有能力計量、管理和報告集團所面臨的所有重大風險，包括那些未受監管實體和活動所引發的風險。同時，提出了新的更高監管要求，要求構建良好的集團風險管理文化，制定風險偏好政策，并定義適宜的集團風險容忍度，管理新業務及外包業務風險，進行集團范圍壓力測試和情景風險，審慎加總各類風險，并將表外業務納入集團監管范疇?？傮w來看，在完善1999年版《金融集團監管原則》中風險集中度、內部交易具體監管準則的基礎上，2012年版《金融集團監管原則》著重提出了三個方面的新原則：監管者應要求集團以審慎態度加總其所面臨的風險暴露，防止風險傳染、過度杠桿、監管套利等“集團風險”;集團應對其主要的風險來源定期進行集團層面的壓力測試和情景分析;監管者應要求包括特殊目的實體在內的所有表外活動，在適當的情況下納入集團范圍的有效監管之下。

2013—2019年，國際組織對金融集團暫未修改和補充新的監管指引文件，但圍繞金融集團的部分監管要求逐步納入到了系統重要性金融機構的監管框架中，風險管理要求也更加嚴格，一定程度上降低了金融集團子公司的風險溢出。圍繞2012年版《金融集團監管原則》，美國、歐盟、日本、韓國等國家細化和完善了對金融集團的監管規定，加強了對金融集團層面的監管，以有效防范金融集團可能引發的系統性風險。

二、主要國家或地區金融控股公司全面風險管理監管實踐

從國際上對金融控股公司的監管實踐看，各國以聯合論壇發布的兩版《金融集團監管原則》為基礎，結合各自國內監管實踐，普遍重視加強對金融控股公司的風險管理，構筑金融控股公司風險管理體系，并從風險偏好、風險限額管理、風險敞口、風險集中度管理、風險隔離、風險文化等方面完善金融控股公司監管。

（一）以法律法規明確金融控股公司的全面風險管理框架

目前，從主要國家或地區的實踐看，風險管理往往嵌入到金融控股公司監管法律中予以明確，單獨以全面風險管理為單一主題的監管規定較少（見表2）。美國金融控股公司風險管理主要集中在《國內大型復雜銀行機構的并表監管指引》中，明確要求金融控股公司建立和實施有效的風險管理框架，以識別和控制當前和新出現的風險;歐盟《關于對金融集團中的信貸機構、保險企業和投資公司進行補充監管的指令》和《資本要求指令（CRD-VI）》對風險管理進行了規定;日本在《金融集團監管指引》就風險管理作出了具體安排;中國臺灣地區在《金融控股公司及銀行業內部控制及稽核制度實施辦法》中對風險管理提出了監管要求，其中第35條要求金融控股公司及銀行業應制定適當的風險管理政策與程序，建立獨立有效的風險管理機制，以評估及監督整體的風險承擔能力、已承受風險狀況、決定風險策略及風險管理程序遵循情形。

（二）董事會及高管層承擔風險偏好以及風險容忍度的制定

2012年版《金融集團監管原則》指出，監管機構應要求金融集團制定適宜的、經董事會批準的集團范圍風險容忍度和風險偏好政策。各國也制定了相應的監管要求，如美國《國內大型復雜銀行機構并表監管指引》針對風險偏好明確要求金融控股公司高管層建立和實施有效的風險管理框架，要確保風險承擔與既定的風險偏好保持一致，并依據業務條線、風險管理職能部門之間的相互溝通，調整既定的風險偏好;明確董事會及其成員要定期對風險容忍度進行溝通與監測，高管層應能夠清楚地了解金融集團風險承受能力。歐盟《資本要求指令（CRD-VI）》第86條就流動性風險提出，管理部門制定的戰略、政策、流程和系統應與公司的復雜性、風險、運營范圍和風險容忍度進行匹配，應向業務條線涉及到的所有人員傳達公司風險容忍度規定。

（三）風險限額要求傾向于集團層面的風險

主要國家在金融集團監管規定中，對金融集團的流動性風險、信用風險和市場風險限額提出了監管要求，但在風險限額的計算方法上并無詳細的規定。歐盟《資本要求指令（CRD-VI）》第50和158條要求密切監測流動性、償付能力、存款保證、大額風險敞口限額等易造成系統性風險的因素，第86條要求金融監管部門考慮不同的緩解流動性風險的工具，包括風險限額、流動性緩沖等工具，以應對不同的壓力情景，還規定應建立策略調整、內部政策和流動性限額的應急措施。日本主要就金融控股公司集團層面的信用風險和市場風險提出了風險限額的要求，日本《金融集團監管指引》明確要求金融控股公司或集團公司應當對集團的信用風險、市場風險定量化，并確定與資本基礎相稱的最大信用風險限額，還應當建立對集團承擔的信用風險總額超過預定的限額時采取適當措施的制度。

（四）加強對風險敞口的監管

各國在金融控股公司監管規定中，強化對風險敞口監測，部分國家將風險敞口提高到系統性風險的程度。美國《國內大型復雜銀行機構并表監管指引》要求大多數大型復雜銀行控股公司建立全面綜合的風險管理體系，以衡量和評估其風險敞口范圍以及不同風險敞口之間的相互關系，評估該組織管理和控制其風險敞口的方法。歐盟《資本要求指令（CRD-VI）》指出為了有效地監測金融集團的行動和決策，監管部門應能夠了解金融集團的業務、主要風險敞口以及業務和風險戰略的內涵，同時在審查評估時，如果金融集團絕對風險敞口較大，且擁有大量重要交易對手的情況下，更多地使用基于內部評級的方法來計算風險狀況。日本《金融集團監管指引》不僅要求對大額風險敞口設定上限，還要求金融集團就有關信用風險、投資風險、保險承保風險、其他風險、組合風險等風險敞口進行報告，特別是不同風險的疊加可能對整個集團財務狀況產生重大影響的風險，內部審計部門還應建立對集團內金融機構出現的重大風險敞口進行直接審計的機制。

（五）更加注重風險集中度管理

金融控股公司由于其組織架構、業務特性等因素，風險集中程度更高，監管要求則更高。歐盟《金融集團指令》指出，風險集中是指金融集團內實體（不限于受監管實體）承擔潛在損失，并且其程度足以威脅到集團內受監管實體的償付能力或一般財務狀況的所有風險敞口，這些風險敞口可能來自對手方風險/信貸風險、投資風險、市場風險、其它風險或這些風險的組合或相互作用;《資本要求指令（CRD-VI）》第81條要求監管部門應確保對每一交易對手方所暴露的集中風險，包括通過書面政策和程序處置和控制對每個交易對手的風險敞口，特別是與大型間接信用敞口（如單一抵押品發行人）相關的風險。日本《金融集團監管指引》要求金融集團應當建立識別集團風險集中度的體系，通過對集團風險集中度的識別、全面的風險衡量體系、對大額風險敞口和其他風險集中度設定上限、壓力測試、情景分析、相關性分析等方式來適當地評估價值波動、信用惡化、自然災害等不利因素對集團金融機構或整個集團的影響，同時應認識到無法量化的風險以及由從事不同業務類型的金融機構業務難以整合引起的風險集中情況。

（六）強化風險隔離體系建設

風險隔離是事前應對風險的重要環節。各國在監管金融集團中明確要求金融集團在母公司層面和子公司層面建立相應的風險隔離機制，重點從業務、人員、系統等各方面予以規定和限制。美國通過設立“防火墻”來避免金融控股公司內部的風險傳染，包括在金融控股公司內部，銀行子公司向非銀行子公司的貸款總額不得超過銀行子公司資本的20%，對單個非銀行子公司的貸款不得超過銀行子公司資本的10%，并設置必要的抵押或擔保;銀行子公司不能對非銀行子公司提供證券發行的擔保;對非銀行子公司發行的證券要限制銀行子公司的購買;限制銀行子公司對非銀行子公司提供資金支持，包括通過第三方完成;銀行子公司對非銀行子公司的資產的購買比例不能超過非銀行子公司資產的10%。同時，建立風險評估程序，要求金融控股公司定期提交公司內部風險評估和控制程序報告，及時了解金融控股公司及其子公司的風險狀況和風險管理措施。此外，要求各功能監管者定期向美聯儲就其監管的子公司提交監管報告，在此基礎上，美聯儲對單個金融控股公司以及整個金融業的風險情況做出客觀評價。日本《金融集團監管指引》在合規制度體系中，明確要求在集團層面建立適當的防火墻運作機制，從主辦銀行防火墻措施、信息交換限制、禁止聯合訪問、禁止共同營業場所、董事兼職限制、并表后的財務報表披露等方面規定了防火墻措施。中國臺灣地區《金融控股公司法》對共同營銷行為、利害關系人授信及交易行為、人員任職等方面進行規范，加強對金控公司的管理，完善金融防火墻制度，其中第51條要求金融控股公司應建立內部控制及稽核制度;《金融控股公司及銀行業內部控制及稽核制度實施辦法》要求金融控股公司及銀行業應建立自行查核制度、法令遵循制度與風險管理機制及內部稽核制度等內部控制三道防線。

（七）建立有效的風險文化

實踐中，各國對金融控股公司建立風險文化監管規定有所差異，其中，美國和歐盟強調需要建立風險文化機制，日本的監管規定并沒有特別強調風險文化。美國《國內大型復雜銀行機構并表監管指引》指出企業最高領導層建立的文化、預期和激勵機制為整個公司奠定了基礎，是決定公司是否能夠保持充分有效的風險管理和內部控制流程的重要決定因素，并明確要求董事會及其成員要注重建立遵守法律和道德商業慣例重要性的企業文化，高管層也需要建立有效的監督和合適的風險文化體系。歐盟《資本要求指令（CRD-VI）》第54條為了防范公司治理中可能存在的不利影響，要求金融控股公司通過建立原則和標準的形式，確保管理部門能夠有效監督，以構建不同部門的風險文化。日本《金融集團監管指引》沒有明確風險文化的具體內容。

三、國內金融機構全面風險管理監管現狀

國內金融監管部門先后出臺了針對銀行集團、保險集團、金融資產管理公司等機構的監管規定，規定中既有對風險管理的框架論述，也有具體的細化標準。整體上看，金融監管部門對金融機構的風險管理更加穩健，但對金融控股公司的全面風險監管還處在起步階段。

（一）從分行業監管上看，明確了金融機構全面風險管理要求

從目前的監管狀況看，國內金融監管部門加強了對不同類型金融機構的全面風險管理要求。如，銀保監會先后出臺了《商業銀行并表管理與監管指引》《保險集團并表監管指引》《金融資產管理公司并表監管指引》《銀行業金融機構全面風險管理指引》等監管指引文件，明確了金融機構全面風險管理的具體要求。

（二）從成熟度上看，銀行業并表監管風險管理最為成熟

國內金融監管部門監管規定中，有關銀行集團監管中的風險管理規定最為成熟，既有相應的并表管理與監管指引，也有整體的全面風險管理指引，更有針對全面風險管理中的某一點出臺具體的操作指引，如在《商業銀行并表管理與監管指引》的基礎上，銀保監會還就全面風險管理中的重點內容，如大額風險暴露等提出了額外監管要求，并出臺《商業銀行大額風險暴露管理辦法》予以規范。

（三）從監管內容上看，全面風險管理是重點

從已有的金融集團并表監管指引中，可以看出監管指引的規定覆蓋范圍廣，條款總數多的達111條，少的也有75條，其中20%左右的條款涉及到風險管理（見表3）。如《商業銀行并表管理與監管指引》中涉及風險管理的條款達到33條，占總條款總數的35.1%，顯示出監管部門對被監管機構風險管理的重視。在風險管理條款中，監管部門出于防范重點風險的考慮，會重點單設章節進行條款的細化，如單獨設置風險集中度管理章節或大額風險暴露章節，強化金融機構的風險監管。

四、啟示

（一）秉持以風險為導向的監管思路

鑒于金融控股公司較傳統的金融機構風險更復雜，金融控股公司全面風險管理監管可以考慮將傳統的業務風險與金融控股公司面臨的特定風險相結合。如傳統的業務風險包括市場風險、操作風險、流動性風險、聲譽風險、信息科技風險、國別風險等予以明確，同時還應針對金融控股公司面臨的集團風險、未受監管實體風險，特別是集中度風險、大額敞口風險進行詳細的規定，確保監管規定既遵循國際組織的監管標準，又能結合本國實際，制定符合中國特色的金融控股公司監管要求。

（二）穩步推進金融控股公司全面風險管理

不論是國際組織規定，還是各國監管實踐，金融控股公司監管除了建立相應的全面風險管理框架外，在監管辦法和規定中，還大篇幅就集中度風險和風險敞口進行了細化和明確。但就具體的監管過程而言，金融控股公司全面風險管理對集中度風險、風險敞口等重點內容可以先行提出整體監管框架，未來繼續圍繞金融控股公司監管中涉及到的具體問題，如大額風險暴露、集中度風險等重點出臺更為具體的實施細則，進一步防范金融控股公司風險。

（三）注重風險評估與監管工具相結合

可以考慮要求金融控股公司定期提交公司內部風險評估和控制程序報告，及時了解金融控股公司及其子公司的風險狀況和風險管理措施。同時要求各功能監管者也要定期向央行分支機構就其監管的金融機構提交監管報告。在此基礎上，央行主管部門對金融控股公司的風險情況做出客觀評價，進而結合定量和定性的監管判斷，運用監管工具對金融控股公司董事會、高管層、業務人員、業務內容等進行監管。

（特約編輯：陳國權）

參考文獻：

[1]聯合論壇.金融集團監管原則[M].北京：中國金融出版社，2014.

[2]謝平等.金融控股公司的發展與監管[M].北京：中信出版社，2014.

[3]汪洋.金融集團全面風險管理體系架構研究[J].區域金融研究，2010（10）：42-46.