使用全面综合性工具管理组合风险

江李蕰盈  前瑞士信贷（美国）（Credit Suisse USA IHC）董事总经理

 

在风险偏好范围内管理风险，应该是每一个金融机构甚至是一般公司，都要做风险管理。这不仅是外部利益相关者的要求，例如金融监管机构、股东及其公司董事会等，都会要求一个公司健全金融监管机制，要使得它的作用能够充分发挥出来；也是来自内部利益相关者的需求，即金融机构的风险治理和控制部门，公司内部、前台都一定要受到风险管理部门的监督和控制，要做定期检查。

使用一套全面综合性工具来实现360度风险视图，该视图具有前瞻性，并支持在各种场景（包括压力场景）下的业务战略。这种方法将帮助投资组合经理满足内部和外部利益相关者的需求，并支持业务目标。

那么，如果能有一套全面综合性的工具来实现360度无死角的风险视图，使得该视图既有后瞻性，最重要的是有前瞻性，并支持在各种场景（包括压力场景）下完成业务战略。这种方法将帮助投资组合经理满足内部和外部利益相关者的需求，并支持业务目标。

 

一、风险偏好限额和风险管理的背景

（一）风险偏好限额和风险管理的背景

一谈风险管理，大家会想到很多模型，比如说测试在最坏的情况下，在最高的Percentage（百分比）下，公司会损失多少？Exposure（风险暴露）能有多大？这些都可以用一个通常比较有效的工具来控制，即控制风险承担的限额。总公司有一个总的限额，总公司下面每个分部都有它的限额，总公司的限额就是各分部的限额加起来的总和。而这个限额几乎是每一家金融公司一直都在做，有的是直接和金融管理机构的要求挂钩，有的是适应自己的Scenario Design（场景设计），比如用压力测试的一些工具来做限额。基本上每间公司，并且每个分部包括每个分部底下如果有不同的Portfolio（投资组合），也是有一定的限额，限额已经被应用得非常普遍了。限额是一个能够被大家接受并且认可的有效控制风险的方法。

那么把限额定出来以后呢，一个公司必须有足够的资本支持风险承担，并且保持在风险限额之内。这个限额不应该被经常打破，因为它毕竟是一个风险的上限，如果经常被打破的话，那就是说可能当初设定的就不是很准确，对自己公司的风险评估不到位，所以导致限额经常被打破。但是限额也不是说一定不会被打破，如果限额定得远远高于公司的风险，一定要有足够的资本来反映确实是需要这样的限额。你把更多的资本放在旁边来Hedge the Risk（对冲风险） ，会导致浪费，因为公司的资本也不能放得太多，应该放出去来获取Return（回报）。所以，限额基本上要和公司的风险相匹配。如果风险限额已经被打破了，公司的First Line（第一道防线）、Second Line（第二道防线）都不知道的话，那可能就要进行非常严肃的分析，然后还要上报给公司的高级管理人员，有没有认识到风险已经很高了，已经把限额打破了，并且没有足够的处理或者Remediation（补救）方法，那可能第二道防线的督察、Corporate Audit（公司审计），还有Financial Regulator（金融监管机构）的监管人员也会对公司的高级管理人员进行审查，并且要让他们负起责任。对打破限额的责任人会有责罚，有的人会因此丢掉工作，或者是金融监管机构会对公司实行一定的制裁。

（二）金融机构限额的关键要素

设定限额的目的就是为了做好风险控制，并且是在一个公司或者一个分部的Risk Appetite Framework（风险偏好框架）之内。

设置限额的目的，就是为了让业务始终在基本上所有的经济条件下都能够正常运作。

设置限额的方法有很多，主要有三个特性，第一个是公司使用定量和定性的工具来做，特别是在设限的时候，大家不一定要用模型，就算要用，也要加一些模型没有包括的因素，用定性的方法来加进去。一般限额设置都是两部分，一部分定量，另一部分定性。第二个，特别是在美国做了CCAR以后，大家都认识到前瞻性是非常重要的，因为设限额是为了保证公司的总风险或者是分布的风险，都能够在这个限额之内，那就是说限额的本身就有这个前瞻性。所以说在设定限额的时候，一定要把这个前瞻性的因素也放进去。有的公司呢，就直接用这个美联储的CCAR压力测试的方法来设定限额。可能大家都知道压力测试呢，既有美联署的那些Scenario（场景），也有公司自己的Severely Adverse Scenario（严重不利情景），而公司内部的美联署的Severely Adverse Scenario（严重不利情景）是不一样的，一定要用公司自己的Risk ID（风险识别）、Scenario Design（场景识别）来找出这样的Scenario（场景），然后用他自己的Scenario（场景）来做压力测试，用这个压力测试做出来的Risk直接做它的限额。有的公司就是用Adverse Scenario（不利情景）测试出来的风险来做限额。第三个，限额设置方法一定要考虑敏感度，Key Drivers  and Sensitivity，它的敏感度是多少？那限额设置出来以后，一定要有一个管理流程。比如说限额被突破了以后，应该通过怎样的渠道去上报，公司应该怎么样来补救，怎么样来降低Risk Exposure（风险暴露）使得Remediation（补救）有一定的时间可以真正显示出它的效果，就是把公司的风险降到限额之内。这些补救计划，一定要有一个特别清楚的文件表明行动顺序，并且能在减低风险的时候，有一套事先已经考虑的、非常周到的一步一步的计划，这叫Pecking Order（行动顺序），从最优化的计划到最不优化的计划。就是说，这些计划都必须经过第一道防线、第二道防线、第三道防线，还有风险Committee（委员会）要带大家讨论并一致表决，然后把这样的Playbook经常更新，来反映公司Up to Date（最新的）线下的情况。不可以说，这个Playbook做出来以后就被放在那儿，可能公司再发展一段时间，这个Playbook就和公司没有什么直接的相关性了，所以说要这样一直更新。

现在就是每家公司基本上都有专门的Requirement（要求），就是说这个Playbook一定要反映当时公司的情况，而且所有的这些因素要放在一起。比如说限额设置出来以后，公司的技术部门怎样把Risk Drivers（风险驱动因素）、Sensitivity（敏感度）等不同的因素都能放在一个自动通知和诊断分析的一个系统里面。就是不要每天都看风险的程度、当天的数据，还要手工打印出去，应该是所有这些系统都可以让公司的技术部门把它们联系起来。比如说我每天去公司，打开电子信件时就会自动得到一个汇报，总结了所有子投资组合的风险是多少，今天的风险是多少，明天的是多少。如果我想再看，比如说一周或者更长一点时间，那就需要预测。就是每天只要我把电脑打开，就可以看到这样的汇报和预测。如果我的一些子投资组合的变化非常快，那么我也希望这个系统能及时通知。我是在第一线，同事是在第二线，他们虽然负责这个报告，但是不需要人工电子信件来通知，而是系统自动去报告子投资组合的变化。不仅仅是组合的风险，包括Return（收益），也可以给我同样的报告，而且不但能把报告及时地交给我，也能给我做变化的诊断分析。比如说今天的变化，风险是高是低，是什么推动了这个风险的高低，给的限额距离我还有多近，是不是有突破限额的风险，它都会自动地每天在不同的时间内把报告给我。

 

二、限额设定和监测的目标和职责

在金融公司里面一般都设置了三条防线。

第一条防线就是业务条线部门，我现在的工作职责就是要预测需要多少资本来支持现在的投资组合。并且由于我知道限额是多少，所以我的投资风险就不可以太高。如果限额被突破了以后，那一定要提出修复计划，比如哪些借贷应该尽快卖掉，或者是用其他的方法使得投资组合风险能在限额之内。因此需要监控投资组合，以及预测、创新、重新分配。如果投资组合不可能一下子就减少的话，还要在短期、中期和长期作出一些建议，然后在相关的会议上大家讨论后再通过。

第二条防线是公司的风险部门，他们的责任是告诉我限额是多少，并且在限额底下有一个数额小于限额的阈值（Threshold）。Threshold是想敲下警钟，如果风险已经和Threshold接近，说明风险已经很高了，这就是警戒作用，让我和第二条防线的人都知道，应该要警惕，要做出相应的策略把风险降低，不至于突破限额。他们对于违反限额或者是Threshold的行为，设计了一些必须遵守的政策。比如说当我发现投资组合的风险已经超过了上限了，必须Escalate（上报）给老板，并且上报给第二条防线。第二条防线要验证我的风险是否有这么高，并且要审查缓解计划，如果他认为有问题的话，他可以完全拒绝。

财务部门主要是保证有足够的资金来支持我的限额。就是说我需要多少资金，那么财务要提供这个资金来满足需求，就是以资金供给满足资金需求，是供和需的关系。

另一个部门就是公司的内部审计部门。他是确保第一条防线、第二条环线都能遵守管理方法和政策。他的目标就是说，我在做投资组合方面第一条防线自己的政策，还有第二条防线给制定出的政策，以及过程和程序都没有什么故障，没有任何违规的方面。

 

三、实现有效风险管理和限额监测的全面综合性工具

（一）实现有效风险管理和限额监测的全面综合性工具

如何实现有效风险管理和限额监测的全面综合性工具，主要有三个方面。第一个就是正常公司运营下的风险度量，第二个是压力测试，第三个是限额、阈值还有上报的触发线。就是说，公司在做风险管理和限额监督的时候，他要把以上内容都考虑进去。

首先是正常公司运作情况下的风险度量，BAU风险度量。主要是看三个方面，第一是大家在做风险度量时候，一定要清楚投资组合都有什么样的特性，比如Security（证券）、Exposure（风险暴露），并且要有一个计划，哪些可能下个月就要卖掉，哪些是下个月又买回来的，一直要做Dynamic Monitor，就是一直要知道我需要度量的Position，今天会怎么样，明天、后者又是什么样的组合，中期、长期投资目标分别是什么，以及投资组合从现在到一星期以后，到一个月以后，甚至三个月以后都有什么样的变化，一定要有这些工具能帮我测试。比如说今天我的Position是多少？风险是多少？风险和限额有多大的关系，相比限额是比较低还是比较高，如果离限额很近就要及时对投资组合做一些调整。不单是说有足够的模型，还要经常看模型之外漏掉的一些东西，所以我的度量工具就不单是量化的，还要看定性方面。然后还要再看有没有达到监管部门最低的要求，如果没有达到，那以后的组合就是连想都不要想，基本上投资组合已经暴露在监管风险之外。所以当我在度量的时候，一定要纳入这些最基本的监管的资本要求。除了公司一般运营过程中把风险做好，还要做一些压力测试，比如说CCAR这些方法，再加上跟不同的公司部门谈谈最坏的情况下风险会达到多少，会损失多少；在最坏的情况下，我的风险跟限额的关系是怎么样，是十分接近还是有一定的Buffer（缓冲）。然后把这些限额、阈值，还有上报触发线做出来以后，一定要制定一些早期预警指标，还有做反向压力测试，就是说要达到怎样严重的程度会使得投资组合把阈值、限额都冲破了。并且要为一些早期行为设置上报触发线，而不需要等到限额已经被突破了。然后我要有一些采取行动的设置，一定要清楚补救计划的优先顺序，一定是从最优先开始到最不优先的把它列出来，并且根据公司要求，这个优先计划是要不停变更的。

（二）从风险识别，到场景设计，风险量化和行动

美联储之前就是提倡所有大银行都按照这四步骤来做风险管理。首先风险识别是第一步，场景设计是第二步，风险量化是第三步，最后采取行动是第四步。虽说这是美联储要求和设计，但是在没有这个要求之前，想做一个比较好的风险管理人员，这4步也是非常有用的。我觉得不管对哪一个公司或者哪一个投资组合做管理，不管是在第一道防线和第二道防线，这4步都是非常有用的。

第一步是风险识别，就是说你的风险是什么？在哪里？是只有市场风险、信贷风险，有没有Operational Risk（操作风险）、名誉风险？你自己是不是清楚你的风险，也知道你的风险是往哪个方向走，是走高、走低，还是正常。

第二步，就是场景设计。场景设计基本上就跟风险测试差不多，就是如何把风险一步一步描述成可看见、可量化的步骤。

第三步，我把这些风险都挑出来，用这些模型来得到实实在在的数据。如果没有模型，那我就用Business Knowledge，用知识，再看看市场去向，然后和同行对比一下，就会把数据都找出来。

第四步，数据做出来以后，要知道数据到底告诉我什么，是在置信区间内运作吗？是不是可以接受有一定的Room to move around（活动空间）？假如这个数据告诉我问题很严重，那么我下一步应该采取什么样的步骤？所以说作为一名在风险管理方面做了十几年的银行工作者，我觉得这四步是非常有用的，并且现在转到做第一线，这也对我非常有帮助。

（三）投资组合表现：从今天到明天

投资管理人总是要关心他今天的投资组合是怎样的，然后明天投资组合会是怎样的。这个椭圆形的圈就是我的Constraint（约束）。我必须控制投资组合，遵守一些法则和监管要求，不可以跳出这个椭圆形。可能监管部门、公司内部对我的要求都包含在Constraint（约束）里面了。我看看今天的组合，那么就想明白经济方面、银行监管方面等这些外部因素都会往哪个方向走？然后再看看自己所在行业的季节性，内部有什么样的经营战略转变，有什么样的业务重组，有什么样的模型等。把这三个方面组合起来以后，就能想到明天投资组合应该是什么样，这张图几乎是每天都会在我的脑海中走过一遍。

图1  投资组合表现：从今天到明天

当然，我们不管做哪一行，不会每天都有Crisis（危机），所以你每天考虑的重点都不太一样。我这样过一遍的时候，就会想Return（收益）怎样，如何Meet all the constraints （满足所有约束），并确保收益是高的，风险也在限额里面，并且把外部、内部，还有积极性等因素全都考虑到，再考虑定性、定量所有的知识放在一起，再看明天如果想投哪方面，在哪方面再做重新的组合，那收益是不是还会保持在这样的水准，风险是不是还是在限额之内？

（四）投资组合表现

这张表呢，就是我上面提到的部分，要把它切切实实地分到投资组合几方面的注意因素中。比如说每一个子投资组合，我要知道尺寸、暴露是多少，占总投资组合的份额是多少，回报率是多少，有可能损失多少，在当前的风险暴露下使用了多少资本，使用的资本和限额是什么样的关系，所有这些信息我一进公司打开电脑，电子信件就要给我这样的报告。我会再就表中间的三个方面（占总投资组合的份额、回报率、损失）再考虑对明天的投资组合的预测。我也会在报告中加一些属性，比如说Early warning indicator（早期预警指标）是已经到了什么样的程度，对整个投资组合有怎样的敏感度等。

表1 投资组合表现

 

（五）上报到补救的端到端流程

上报到补救的端到端的流程就是说，我自己很清楚每一天、每个月要监管什么，并且如果有长期的预测，也要把它放入每天看的端到端的流程，同时还包括情景冲击。如果上限被突破，下一步就是审查和上报，必须非常清楚是什么样的原因，是哪一个子投资组合导致的，然后一定要找出补救方法并进行影响分析。比如说某个子投资组合的风险太高，那么把它降低以后，对于其他部门或者对我自己的投资有什么样的影响？然后这些补救方法和分析都要拿到Risk Committee（风险委员会）的风险会议上大家讨论，补救方案通过以后一定要评估跟踪，要切实看看是不是有真正的实效。

图2 上报到补救的端到端流程

（六）设置触发线的示例

如果已经有了一个限额，我怎么样设定这个触发线能够提早知道风险情况，并且能够采取行动，而不用等到限额被突破。举个例子，每个月我都要监测子投资组合，数据从两年以前一直到现在都有。每个月要知道对应的风险，资本用了多少，资本就是要跟风险连在一起用来限制风险。这里有两年以前的历史数据，也有前瞻性的数据，把两个综合起来，主要看早期预警指标，这些指标就是我的投资组合平均驱动力，指示了投资组合的风险高低，并且对每一个早期预警指标都有Sensitivity（敏感度）。EWI的变化其实就是一个Delta，EWI的敏感度就是Beta，有这两者就可以反映资本使用的变化。如果说风险反映在资本的使用率上，显示风险比较高，那想降低风险的话一般要三个月的时间才可以慢慢看到效果，这三个月就是来设置触发线的。在做触发线的时候也要考虑到，模型给的数据不一定就像模型定出来的那样，我也要设置自己估计的敏感度，一般就是设置95%的置信区间。

图3 设置触发线的示例

 

从上面这个图可以看出，我的早期预警指标一个是5，一个是10，每个早期预警指标都有一个敏感度，比如说EWI的变化是5，乘以敏感度，表上最后一列就可以告诉我第一个EWI可能是主要驱动资本使用率或者损失或者其他的，收益和风险都有对应的EWI，最后把EWI和敏感度的乘积加起来总计得到一个区间。以资本使用率为例，如果变化在这个11%~14%的范围内，限额150，那么如何设置触发线呢？从11%~14%，取其中间值13%，从150每个月减13，一直这样减三个月，等于111，就是说如果我的资本使用到了111的话，我就知道，如果我不做任何事情，三个月以后它就会直接冲破限额。如果资本使用情况到了111的时候，我就开始减少Position或者采取其他行动，那还需要三个月的时间，可能第一个月、第二个月都继续高，到第三个月就不会高到150了。因为我已经在三个月之前采取了行动，慢慢把风险减下来，所以三个月以后就不会突破限额。这种方法就是不管你是什么样的投资组合，都要知道你的历史性和前瞻性的评估，评估它在未来会怎么样。最重要的就是你需要多长时间来降低风险，然后从限额上面慢慢往回倒推出来以后，就可以设定一个触发线了，告诉你如果到了这个触发线，就一定要开始采取行动了。

 

四、限额和风险监测灵活流程的设计

很多公司都认识到这个端到端的流程要保持最新的，并且要灵活，要动态地反映业务和投资组合的风险，并且这个报告要根据你投资组合的特性，需要每天或者每个月的更新来满足监管部门的需要，要经常地回顾，经常跟大家讨论看看有没有需要改进的。

 

来源：TGES2021前沿系列讲座（4月）

（责任编辑：张璐璐）