谢华军

摘   要：金融控股公司因其规模庞大、股权结构复杂、关联度高等特征，一直都是金融监管的重中之重。本文从比较研究的视角，系统地梳理了国际组织和美国、欧盟、日本、中国台湾地区对金融控股公司全面风险管理的具体要求，并结合我国国内现有对银行集团、保险集团等机构并表监管的实际，从秉持风险导向监管思路、稳步推进金融控股公司全面风险管理、注重风险评估与监管工具相结合等方面提出了相关建议。

关键词：金融控股公司;全面风险管理;比较研究

DOI：10.3969/j.issn.1003-9031.2020.05.007

中图分类号：F833/837   文献标识码：A          文章编号：1003-9031（2020）05-0058-07

金融控股公司经营范围广、构成复杂，给金融监管带来很大挑战，特别是2008年爆发的金融危机凸显了现有监管未能全面覆盖金融控股公司的所有活动。基于此，国际组织和世界各国先后出台了多项监管规定，以期加强对金融控股公司的监管。

一、国际组织对金融控股公司风险管理的监管脉络

（一）金融控股公司和全面风险管理定义

联合论坛（The Joint Forum）将金融控股公司定义为在受监管的银行业、证券业或保险业中，实质性地从事至少两类金融业务，并对附属机构有控制力和重大影响的所有集团公司（本文所论述的金融集团的概念等同于金融控股公司的概念）。全面风险管理指在董事会的企业战略指导下，始终贯穿企业的各项经营管理中，用于识别、分析对企业可能产生不利影响的各类潜在风险，并将其控制在企业的风险偏好之内，确保企业目标的实现。本文重点从风险容忍度、风险偏好政策、风险限额管理、风险敞口、集中度管理、风险隔离、风险文化等方面阐述不同国家或地区金融控股公司全面风险管理的监管实践。

（二）联合论坛对金融控股公司的监管

为防止金融控股公司风险积聚与扩散，国际组织在充分研究全球金融控股公司监管问题的基础上，出台了具有广泛适用性的金融控股公司监管国际标准，特别是联合论坛1999年和2012年发布的两版《金融集团监管原则》，成为各国对金融控股公司实施监管的重要参考。

1999年，联合论坛首次发布了金融集团监管的基本框架，即《金融集团监管原则》，其中8个专题文件中有2个文件涉及到风险管理，分别为《集团内部交易及风险敞口原则》和《风险集中原则》，以促进金融集团对其风险集中度、内部交易及风险敞口进行审慎管理与控制①。

2000—2011年之间，联合论坛对金融集团监管的一些具体问题进行了调查研究，并发布了相应的研究报告，包括有关风险管理方面的研究，如2001年《不同行业的资本监管比较》、2003年《关于操作风险在不同行业间的转移问题》、2006年《金融集团流动性风险管理》、2008年《集团层面风险集中度识别与管理的跨业审查》、2010年《关于风险加总方法新进展的报告》等报告。2010年1月，联合论坛发布《对金融监管性质和范围差异的审议报告》，总结了金融危机中金融集团监管的经验和教训，提出对1999年版《金融集团监管原则》进行评估和补充，这为2012年版《金融集团监管原则》出台奠定了基础。

2012年，联合论坛对全球金融危机中暴露出的金融集团监管方面的问题进行了反思，重新修订发布了最新版《金融集团监管原则》。2012版《金融集团原则》共29条，其中有9条对风险管理进行了规定（见表1），所占比例为31%，可见国际社会对金融集团风险加强监管共识明显加强。

2012年版《金融集团监管原则》重申了建立集团全面风险管理框架的重要性，提出需要建立有效的系统和流程来管理和报告集团范围风险集中度、内部交易及其风险敞口情况，着重强调金融集团应有能力计量、管理和报告集团所面临的所有重大風险，包括那些未受监管实体和活动所引发的风险。同时，提出了新的更高监管要求，要求构建良好的集团风险管理文化，制定风险偏好政策，并定义适宜的集团风险容忍度，管理新业务及外包业务风险，进行集团范围压力测试和情景风险，审慎加总各类风险，并将表外业务纳入集团监管范畴。总体来看，在完善1999年版《金融集团监管原则》中风险集中度、内部交易具体监管准则的基础上，2012年版《金融集团监管原则》着重提出了三个方面的新原则：监管者应要求集团以审慎态度加总其所面临的风险暴露，防止风险传染、过度杠杆、监管套利等“集团风险”;集团应对其主要的风险来源定期进行集团层面的压力测试和情景分析;监管者应要求包括特殊目的实体在内的所有表外活动，在适当的情况下纳入集团范围的有效监管之下。

2013—2019年，国际组织对金融集团暂未修改和补充新的监管指引文件，但围绕金融集团的部分监管要求逐步纳入到了系统重要性金融机构的监管框架中，风险管理要求也更加严格，一定程度上降低了金融集团子公司的风险溢出。围绕2012年版《金融集团监管原则》，美国、欧盟、日本、韩国等国家细化和完善了对金融集团的监管规定，加强了对金融集团层面的监管，以有效防范金融集团可能引发的系统性风险。

二、主要国家或地区金融控股公司全面风险管理监管实践

从国际上对金融控股公司的监管实践看，各国以联合论坛发布的两版《金融集团监管原则》为基础，结合各自国内监管实践，普遍重视加强对金融控股公司的风险管理，构筑金融控股公司风险管理体系，并从风险偏好、风险限额管理、风险敞口、风险集中度管理、风险隔离、风险文化等方面完善金融控股公司监管。

（一）以法律法规明确金融控股公司的全面风险管理框架

目前，从主要国家或地区的实践看，风险管理往往嵌入到金融控股公司监管法律中予以明确，单独以全面风险管理为单一主题的监管规定较少（见表2）。美国金融控股公司风险管理主要集中在《国内大型复杂银行机构的并表监管指引》中，明确要求金融控股公司建立和实施有效的风险管理框架，以识别和控制当前和新出现的风险;欧盟《关于对金融集团中的信贷机构、保险企业和投资公司进行补充监管的指令》和《资本要求指令（CRD-VI）》对风险管理进行了规定;日本在《金融集团监管指引》就风险管理作出了具体安排;中国台湾地区在《金融控股公司及银行业内部控制及稽核制度实施办法》中对风险管理提出了监管要求，其中第35条要求金融控股公司及银行业应制定适当的风险管理政策与程序，建立独立有效的风险管理机制，以评估及监督整体的风险承担能力、已承受风险状况、决定风险策略及风险管理程序遵循情形。

（二）董事会及高管层承担风险偏好以及风险容忍度的制定

2012年版《金融集团监管原则》指出，监管机构应要求金融集团制定适宜的、经董事会批准的集团范围风险容忍度和风险偏好政策。各国也制定了相应的监管要求，如美国《国内大型复杂银行机构并表监管指引》针对风险偏好明确要求金融控股公司高管层建立和实施有效的风险管理框架，要确保风险承担与既定的风险偏好保持一致，并依据业务条线、风险管理职能部门之间的相互沟通，调整既定的风险偏好;明确董事会及其成员要定期对风险容忍度进行沟通与监测，高管层应能够清楚地了解金融集团风险承受能力。欧盟《资本要求指令（CRD-VI）》第86条就流动性风险提出，管理部门制定的战略、政策、流程和系统应与公司的复杂性、风险、运营范围和风险容忍度进行匹配，应向业务条线涉及到的所有人员传达公司风险容忍度规定。

（三）风险限额要求倾向于集团层面的风险

主要国家在金融集团监管规定中，对金融集团的流动性风险、信用风险和市场风险限额提出了监管要求，但在风险限额的计算方法上并无详细的规定。欧盟《资本要求指令（CRD-VI）》第50和158条要求密切监测流动性、偿付能力、存款保证、大额风险敞口限额等易造成系统性风险的因素，第86条要求金融监管部门考虑不同的缓解流动性风险的工具，包括风险限额、流动性缓冲等工具，以应对不同的压力情景，还规定应建立策略调整、内部政策和流动性限额的应急措施。日本主要就金融控股公司集团层面的信用风险和市场风险提出了风险限额的要求，日本《金融集团监管指引》明确要求金融控股公司或集團公司应当对集团的信用风险、市场风险定量化，并确定与资本基础相称的最大信用风险限额，还应当建立对集团承担的信用风险总额超过预定的限额时采取适当措施的制度。

（四）加强对风险敞口的监管

各国在金融控股公司监管规定中，强化对风险敞口监测，部分国家将风险敞口提高到系统性风险的程度。美国《国内大型复杂银行机构并表监管指引》要求大多数大型复杂银行控股公司建立全面综合的风险管理体系，以衡量和评估其风险敞口范围以及不同风险敞口之间的相互关系，评估该组织管理和控制其风险敞口的方法。欧盟《资本要求指令（CRD-VI）》指出为了有效地监测金融集团的行动和决策，监管部门应能够了解金融集团的业务、主要风险敞口以及业务和风险战略的内涵，同时在审查评估时，如果金融集团绝对风险敞口较大，且拥有大量重要交易对手的情况下，更多地使用基于内部评级的方法来计算风险状况。日本《金融集团监管指引》不仅要求对大额风险敞口设定上限，还要求金融集团就有关信用风险、投资风险、保险承保风险、其他风险、组合风险等风险敞口进行报告，特别是不同风险的叠加可能对整个集团财务状况产生重大影响的风险，内部审计部门还应建立对集团内金融机构出现的重大风险敞口进行直接审计的机制。

（五）更加注重风险集中度管理

金融控股公司由于其组织架构、业务特性等因素，风险集中程度更高，监管要求则更高。欧盟《金融集团指令》指出，风险集中是指金融集团内实体（不限于受监管实体）承担潜在损失，并且其程度足以威胁到集团内受监管实体的偿付能力或一般财务状况的所有风险敞口，这些风险敞口可能来自对手方风险/信贷风险、投资风险、市场风险、其它风险或这些风险的组合或相互作用;《资本要求指令（CRD-VI）》第81条要求监管部门应确保对每一交易对手方所暴露的集中风险，包括通过书面政策和程序处置和控制对每个交易对手的风险敞口，特别是与大型间接信用敞口（如单一抵押品发行人）相关的风险。日本《金融集团监管指引》要求金融集团应当建立识别集团风险集中度的体系，通过对集团风险集中度的识别、全面的风险衡量体系、对大额风险敞口和其他风险集中度设定上限、压力测试、情景分析、相关性分析等方式来适当地评估价值波动、信用恶化、自然灾害等不利因素对集团金融机构或整个集团的影响，同时应认识到无法量化的风险以及由从事不同业务类型的金融机构业务难以整合引起的风险集中情况。

（六）强化风险隔离体系建设

风险隔离是事前应对风险的重要环节。各国在监管金融集团中明确要求金融集团在母公司层面和子公司层面建立相应的风险隔离机制，重点从业务、人员、系统等各方面予以规定和限制。美国通过设立“防火墙”来避免金融控股公司内部的风险传染，包括在金融控股公司内部，银行子公司向非银行子公司的贷款总额不得超过银行子公司资本的20%，对单个非银行子公司的贷款不得超过银行子公司资本的10%，并设置必要的抵押或担保;银行子公司不能对非银行子公司提供证券发行的担保;对非银行子公司发行的证券要限制银行子公司的购买;限制银行子公司对非银行子公司提供资金支持，包括通过第三方完成;银行子公司对非银行子公司的资产的购买比例不能超过非银行子公司资产的10%。同时，建立风险评估程序，要求金融控股公司定期提交公司内部风险评估和控制程序报告，及时了解金融控股公司及其子公司的风险状况和风险管理措施。此外，要求各功能监管者定期向美联储就其监管的子公司提交监管报告，在此基础上，美联储对单个金融控股公司以及整个金融业的风险情况做出客观评价。日本《金融集团监管指引》在合规制度体系中，明确要求在集团层面建立适当的防火墙运作机制，从主办银行防火墙措施、信息交换限制、禁止联合访问、禁止共同营业场所、董事兼职限制、并表后的财务报表披露等方面规定了防火墙措施。中国台湾地区《金融控股公司法》对共同营销行为、利害关系人授信及交易行为、人员任职等方面进行规范，加强对金控公司的管理，完善金融防火墙制度，其中第51条要求金融控股公司应建立内部控制及稽核制度;《金融控股公司及银行业内部控制及稽核制度实施办法》要求金融控股公司及银行业应建立自行查核制度、法令遵循制度与风险管理机制及内部稽核制度等内部控制三道防线。

（七）建立有效的风险文化

实践中，各国对金融控股公司建立风险文化监管规定有所差异，其中，美国和欧盟强调需要建立风险文化机制，日本的监管规定并没有特别强调风险文化。美国《国内大型复杂银行机构并表监管指引》指出企业最高领导层建立的文化、预期和激励机制为整个公司奠定了基础，是决定公司是否能够保持充分有效的风险管理和内部控制流程的重要决定因素，并明确要求董事会及其成员要注重建立遵守法律和道德商业惯例重要性的企业文化，高管层也需要建立有效的监督和合适的风险文化体系。欧盟《资本要求指令（CRD-VI）》第54条为了防范公司治理中可能存在的不利影响，要求金融控股公司通过建立原则和标准的形式，确保管理部门能够有效监督，以构建不同部门的风险文化。日本《金融集团监管指引》没有明确风险文化的具体内容。

三、国内金融机构全面风险管理监管现状

国内金融监管部门先后出台了针对银行集团、保险集团、金融资产管理公司等机构的监管规定，规定中既有对风险管理的框架论述，也有具体的细化标准。整体上看，金融监管部门对金融机构的风险管理更加稳健，但对金融控股公司的全面风险监管还处在起步阶段。

（一）从分行业监管上看，明确了金融机构全面风险管理要求

从目前的监管状况看，国内金融监管部门加强了对不同类型金融机构的全面风险管理要求。如，银保监会先后出台了《商业银行并表管理与监管指引》《保险集团并表监管指引》《金融资产管理公司并表监管指引》《银行业金融机构全面风险管理指引》等监管指引文件，明确了金融机构全面风险管理的具体要求。

（二）从成熟度上看，银行业并表监管风险管理最为成熟

国内金融监管部门监管规定中，有关银行集团监管中的风险管理规定最为成熟，既有相應的并表管理与监管指引，也有整体的全面风险管理指引，更有针对全面风险管理中的某一点出台具体的操作指引，如在《商业银行并表管理与监管指引》的基础上，银保监会还就全面风险管理中的重点内容，如大额风险暴露等提出了额外监管要求，并出台《商业银行大额风险暴露管理办法》予以规范。

（三）从监管内容上看，全面风险管理是重点

从已有的金融集团并表监管指引中，可以看出监管指引的规定覆盖范围广，条款总数多的达111条，少的也有75条，其中20%左右的条款涉及到风险管理（见表3）。如《商业银行并表管理与监管指引》中涉及风险管理的条款达到33条，占总条款总数的35.1%，显示出监管部门对被监管机构风险管理的重视。在风险管理条款中，监管部门出于防范重点风险的考虑，会重点单设章节进行条款的细化，如单独设置风险集中度管理章节或大额风险暴露章节，强化金融机构的风险监管。

四、启示

（一）秉持以风险为导向的监管思路

鉴于金融控股公司较传统的金融机构风险更复杂，金融控股公司全面风险管理监管可以考虑将传统的业务风险与金融控股公司面临的特定风险相结合。如传统的业务风险包括市场风险、操作风险、流动性风险、声誉风险、信息科技风险、国别风险等予以明确，同时还应针对金融控股公司面临的集团风险、未受监管实体风险，特别是集中度风险、大额敞口风险进行详细的规定，确保监管规定既遵循国际组织的监管标准，又能结合本国实际，制定符合中国特色的金融控股公司监管要求。

（二）稳步推进金融控股公司全面风险管理

不论是国际组织规定，还是各国监管实践，金融控股公司监管除了建立相应的全面风险管理框架外，在监管办法和规定中，还大篇幅就集中度风险和风险敞口进行了细化和明确。但就具体的监管过程而言，金融控股公司全面风险管理对集中度风险、风险敞口等重点内容可以先行提出整体监管框架，未来继续围绕金融控股公司监管中涉及到的具体问题，如大额风险暴露、集中度风险等重点出台更为具体的实施细则，进一步防范金融控股公司风险。

（三）注重风险评估与监管工具相结合

可以考虑要求金融控股公司定期提交公司内部风险评估和控制程序报告，及时了解金融控股公司及其子公司的风险状况和风险管理措施。同时要求各功能监管者也要定期向央行分支机构就其监管的金融机构提交监管报告。在此基础上，央行主管部门对金融控股公司的风险情况做出客观评价，进而结合定量和定性的监管判断，运用监管工具对金融控股公司董事会、高管层、业务人员、业务内容等进行监管。

（特约编辑：陈国权）

参考文献：

[1]联合论坛.金融集团监管原则[M].北京：中国金融出版社，2014.

[2]谢平等.金融控股公司的发展与监管[M].北京：中信出版社，2014.

[3]汪洋.金融集团全面风险管理体系架构研究[J].区域金融研究，2010（10）：42-46.