证券公司有效风险管理体系研究探讨

PAGEPAGE2证券公司有效风险管理体系研究探讨摘要：全面、有效的风险管理是现代金融机构获得成功的一个重要因素。而要对风险进行全面有效的管理，就必须有与之相适应的组织架构作为保障。本文从全面风险管理的内涵出发，并借鉴美国投资银行的经验和结合我国证券公司的现状，对国内证券公司如何建立一个相对科学的风险管理组织架构进行了探讨并提出了一些建议。全面风险管理的内涵及其基本要求作为资本市场主要的中介机构之一，证券公司核心业务的基本职能就是吸收客户的风险，充当风险的调解者或是向客户提供有关风险的咨询意见并获得相应的收入，因此它在经营过程中必须持有和库存各种风险。但是，证券公司必须有效管理客户和自身的各种风险，并通过金融创新等方式转移风险，这样才能保证所承担的各种风险不会危及到自身的支付能力，否则将可能会招致重大损失。过去几年国际金融市场发生的一系列重大亏损事件，如LTCM、美国橘郡破产事件、霸菱银行事件、大和银行舞弊案、MGRM避险亏损案、Hammersmith&Fulham诉讼案以及国内市场中一些大型证券公司发生的重大亏损甚至遭遇被托管的命运，都充分证明了风险管理对证券公司生存和发展的极端重要性。一、从内部控制到全面风险管理在20世纪90年代以前，企业对所面临的风险所采取的措施基本是以内部控制为基础的、对不同风险的逐一控制。内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。其中内部控制整体框架是对内部控制是全面的论述。根据COSO（TheCommitteeofSponsoringOrganizationoftheTreadwayCommission）组织的《内部控制统一框架》，内部控制首先要强调控制目标，即合理确保经营的效果和效率、财务报告的可靠性和经营的合规性；内部控制框架则包括五个要素即“控制环境、风险评估、控制活动、信息和交流、自我评估和内部监督”。在20世纪90年代后，企业在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险。即要实行全面风险管理（EnterpriseRiskManagement，简称ERM）。根据COSO组织2003年7月完成的《全面风险管理框架（草案）》（下称ERM框架），"全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。"ERM框架有三个维度，第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即控制环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是，全面风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。从COSO的ERM框架和内部控制框架可以看出，全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看，全面风险管理除包括内部控制的三个目标之外，还增加了战略目标；全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定，事件识别和风险对策三个要素。因此，全面风险管理涵盖了内部控制。从二者的实质内容看，两者存在以下几项重要差异。一是内部控制仅是管理的一项职能，而全面风险管理属于风险范畴，贯穿于管理过程的各个方面。二是在全面风险管理框架中，由于把风险明确定义为"对企业的目标产生负面影响的事件发生的可能性"（将产生正面影响的事件视为机会），因此，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。二、全面风险管理对风险管理组织框架的基本要求从ERM框架可以看出，证券公司要做到全面风险管理，其风险管理的组织架构必须具备如下特征：一是公司董事会和决策高层的积极参与和对风险管理工作坚定的承诺与支持，这是风险管理工作效果好坏的关键。首先全面风险管理框架中第一维度中的各个目标和第二维度中风险管理目标的设定都是需要董事会和决策高层进行决策的。其次，负责具体操作的风险管理部门要完成风险识别、风险衡量、风险管理、风险报告与响应的各个流程，就必须跨越公司部门的限制，汇总公司各部门的交易数据，并根据数据分析公司的风险现况，以提供决策层与公司各部门参考，各部门如有超越风险限额的事项发生，风险管理部还担任监督及监控业务部门风险，以符合风险规范的角色。这一角色并不受业务部门欢迎，如果公司决策层没有给予风险管理部门足够的职权与支持，风险管理工作将非常难以落实。二是风险管理部门要有高度的独立性。即风险管理部门必须独立于业务部门，这样才能避免“球员兼裁判”的情形发生，以免因利益冲突而无法客观执行风险管理工作。三是协调性。这表现两方面，一方面，由于风险管理过程贯穿于从企业战略制定一直到企业的各项活动中，因此风险管理的组织和部门虽然具有独立性质，但只有能够全盘了解业务及相关作业流程，才能胜任其职责；另一方面，风险管理的组织和部门必须有能力协调各业务部门，才能有效监控和管理各项风险。四是全面性。从执行层面来看，若是风险管理部门无法将对公司风险的分析结果迅速而有效地向高层决策部门反映，风险管理工作的效果将大打折扣，所以风险管理部门必须有可直接与决策高层沟通的地位。五是在公司层面风险决策和经营决策的一致性。如果公司层面风险决策和经营决策有冲突，则全面风险管理将无法开展。美国投资银行风险管理架构的经验借鉴本文详细考察了美国著名的三大投资银行即摩根斯坦利、高盛和美林风险管理的组织架构（详见附录1-3）后发现，尽管3家公司由于各自的经营风格和企业管理文化不同，因而风险管理组织的设置存在一定差异；但总体而言，其风险管理组织的架构都可以分成四个层级，见图1。三家投资银行风险管理组织的架构的最高层面都是董事会下属的执行机构。其中，摩根斯坦利是董事会下属的、全部由独立董事构成的审计委员会；美林是董事会下属的审计委员会和由公司的高层管理人员组成的执行委员会；高盛是董事会下属的、由包括公司首席执行官、首席运营官在内的高层管理人员组成的管理委员会。摩根斯坦利和美林的审计委员会主要职责是授权第二层级的风险（监视）委员会负责风险管理工作中的各种决策；审核、批准风险监视委员会的章程和定期提交的风险报告；定期评估公司风险管理的整个流程等。高盛的管理委员也主要是通过对风险委员会的授权，对公司的风险进行管理。风险管理组织架构的最高层由董事会下属的执行机构担当体现了前文所提的全面风险管理的组织架构必须具备的第一个特征，即董事会与公司决策高层的积极参与和对风险管理工作坚定的承诺与支持；处于第二层级的风险（监视）委员会主要职责是根据授权，具体负责风险管理工作中各种重大事项的决策。包括确定公司的风险管理政策（RiskPolicy）、确定公司所允许承受的最大风险限额或风险容忍度（RiskTolerance），评估公司总的风险态势（RiskProfile）并做出应变的决策；监控公司重大的财务、运营和其它特定风险；评估公司风险管理的效果等。各个公司还根据自身组织结构的特点，赋予了风险（监视）委员会其它一些职能。风险（监视）委员会直接向董事会下属的执行机构负责，体现了全面风险管理的组织架构必须具备的第二个特征，即风险管理部门高度的独立性。而风险委员会主要由公司高层人员组成也使其及下属的风险管理部门具备了协调各业务部门的能力。第四层级各事业部门内部的风险管理组织各风险管理部门（摩根斯坦利）各风险管理部门（美林）各事业部门内部的风险委员会承担风险管理职能的各部门（高盛）第三层级公司风险委员会下属的各专业委员会（高盛）公司风险委员会下属的各专业委员会（美林）首席风险管理官（摩根斯坦利）业务部门及其它部门存在的各种风险第二层级最高层级风险委员会或风险监视委员会图1美国投资银行风险管理的组织架构董事会的审计委员会（摩根斯坦利）董事会的审计委员会、公司执行委员会（美林）公司管理委员会（高盛）第四层级各事业部门内部的风险管理组织各风险管理部门（摩根斯坦利）各风险管理部门（美林）各事业部门内部的风险委员会承担风险管理职能的各部门（高盛）第三层级公司风险委员会下属的各专业委员会（高盛）公司风险委员会下属的各专业委员会（美林）首席风险管理官（摩根斯坦利）业务部门及其它部门存在的各种风险第二层级最高层级风险委员会或风险监视委员会图1美国投资银行风险管理的组织架构董事会的审计委员会（摩根斯坦利）董事会的审计委员会、公司执行委员会（美林）公司管理委员会（高盛）三家公司的风险管理组织架构在第三层级和第四层级出现了一些差异。第三层级的组织主要负责对各种业务风险和特定风险的评估和管理政策的制定。在美林公司，这一职能是由公司风险委员会下属的各种专业委员会包括权益资本承诺委员会、负债资本承诺委员会、不动产资本委员会、新产品评估等委员会、信用政策委员会、储备金委员会承担的。在高盛公司则也主要由风险委员会下属的各专业委员会包括资本委员会、信用政策委员会、委托责任委员会、操作风险委员会、财务委员会、结构性产品委员会等承担；属于第四层级的各事业部门内部的风险委员会也承担一些职能。而在摩根斯坦利，该职能则部分由上一层级的风险管理委员会承担，部分由首席风险管理官承担，另一部分由下一层级的组织共同承担。专业委员会的建立使风险决策更为科学。第三层级的组织的差异一定程度上决定了第四层级组织的差异。第四层级的组织通过一定的控制流程，帮助公司的高层管理人员和公司风险委员会监控和管理公司的风险。在美林公司，第四层级的组织只由全球流动性管理组、风险管理组和操作风险管理组等专门的风险管理部门组成；在摩根斯坦利，各事业部内有相应的风险管理组织配合市场风险管理部、信用风险管理部、财务控制部门、法律部门等专门的风险管理部门做好风险管理工作。而在高盛，风险的监控职能分散于其它的控制部门而不是专门的风险管理部门，如市场风险的监控和管理由财务部门负责；同时，各事业部内部也设有风险委员会，承担部分风险管理职能。相比较而言，美林采取的是相对集中的风险管理模式，即风险管理的职能全部集中于公司层面，各事业部内部没有相应的风险管理组织，我们认为，这可能归因于其建立有公司风险管理工作系统平台（RiskFramework）的缘故。国内券商目前无法满足全面风险管理的要求在过去的几年中，市场的大幅下跌使国内证券公司逐渐认识到了风险管理的重要性，部分公司建立了自己的风险管理组织架构。但我们认为，目前这些公司风险管理的组织架构还存在一些不足，不能保证各种风险的真正有效管理。这主要体现在：一是风险管理组织的独立性不够。我们考察了国内一些大型证券公司的组织架构发现，尽管这些公司也设有专门的风险控制委员会，但这些风险控制委员会的定位无外乎以下两种情形。一是作为董事会的专门委员会。由于董事会的专门委员会大都由董事组成，它不能成为一个常设机构；而更重要的是它只是一个提供建议的机构而不是执行机构，因此对公司风险管理工作的指导有限。另一种情形是风险控制委员会作为公司内部的一个执行机构，这虽然解决了第一种情形下存在的一些问题；但其中一个重要的缺陷是这些风险控制委员会接受公司经营管理层的领导而不是直接向董事会负责。这样，在缺乏董事会有效支持的情形下，风险管理部门的独立性将削弱。二是风险管理组织的协调性不强。在缺乏类似美国投资银行中的风险管理委员会支持和帮助的情形下，风险管理部门仅作为一个与业务部门一样共同对经营层负责的部门，很难有能力协调各业务部门。因为无论是在国外的投资银行还是国内的证券公司，风险管理部门的角色都是不太受业务部门欢迎的。如果没有协调各业务部门的能力，风险管理部门的工作可能会难以深入。三是风险管理组织中缺乏专业性委员会的指导。风险管理组织要对公司的各种风险进行全面管理，必须对各种业务及其存在的风险有深入了解。而这仅靠风险控制委员会和风险管理部并不容易做好。由于组织架构存在不足，国内证券公司目前无法控制一些重大风险，特别是大股东利益输送和内部人控制风险。对于国内证券公司存在的内部人控制风险，有一个事例可以说明。目前已在中国货币网公布了2004年经审计的报告的51家国内证券公司中，有38家公司04年年报显示的03年未分配利润与其03年当年公布的数据不符，其中31家公司有隐瞒亏损的嫌疑，13家公司03年隐瞒的亏损超过1亿元，最高的达到近40亿元。而且，这还不包括其余10多家至今无法公布04年经审计的报告的公司。对国内券商风险管理组织架构的一个设想在前文分析的基础上，以全面风险管理为出发点，本文提出搭建国内证券公司风险管理的组织架构的如下设想（见图2）。公司风险管理委员会公司风险委员会下属的各专业委员会操作风险评估委员会………证券发行风险评估委员会资金运营风险评估委员会对外投资风险评估委员会风险管理总部风险经理业务部门及其它部门存在的各种风险董事会图2国内券商风险管理组织架构设计公司风险管理委员会公司风险委员会下属的各专业委员会操作风险评估委员会………证券发行风险评估委员会资金运营风险评估委员会对外投资风险评估委员会风险管理总部风险经理业务部门及其它部门存在的各种风险董事会图2国内券商风险管理组织架构设计本文认为，国内证券公司风险管理的组织架构应该有如下四个层级。第一层级是董事会，它应对公司的风险管理负最终责任。考虑到董事会并不是常设机构，因此，它需要在证券公司内部设立风险管理委员会并授权风险管理委员会全面负责公司的风险管理工作。第二层级是董事会授权的风险管理委员会，它应该是一个常设的执行机构。其职责是根据董事会的授权全面负责公司的风险管理工作，对公司风险管理的重大事项如公司允许最大风险限额、各部门风险限额的分配、各业务部门风险的评估、例外情形的处理、风险的测量方法、风险管理的流程、创新业务和产品的风险管理等做出决策。首先需要说明的是，这里的风险管理委员会并不是董事会的一个专业委员会。因为如果它是董事会下属的专门委员会，那么它的成员需要是公司董事，这样就不能成为一个常设机构，而且国内董事会下属的专门委员会并不是一个执行机构，从而不能胜任所赋予它的职责。风险管理委员会的成员应该包括董事长、总经理、监事长和风险管理部门的负责人等公司的高级管理人员；同时考虑到国内证券公司一定程度上存在内部人控制的现实，还需要包括除董事长外的股东方代表，这样可以借此解决了公司股东担心的内部人控制问题。第三层级是风险管理委员会下属的各专业委员会，如对外投资风险评估委员会、资金运营风险评估委员会、证券发行风险评估委员会和操作风险评估委员会等。其人员可以包括风险管理委员会成员、各业务部门的负责人和其它专业人员等。其职责是协助风险管理委员，对业务风险和特定风险进行评估等。之所以要设立这一层级的组织，其原因如前所言，主要是为了使风险委员会对各项业务的理解更深入，风险管理工作更有效。第四层级是独立于其它业务部门的、专门的风险管理部门。其职责是通过一定的控制流程，帮助公司的高层管理人员和公司风险委员会监控和管理公司的风险。可以看到，在本文设计的组织架构中，没有像摩根斯坦利、高盛及国内部分公司一样，在各业务部门内设立部门内的风险管理组织，这主要是考虑到与国际大型的投资银行相比，一方面国内证券公司各业务部门的结构和业务要简单的多；另一方面，在部门规模较小的情形下，设立的内部风险管理组织很难有独立性。但是，我们认为，在业务部门内指定高级人员负责同风险管理部门的沟通也许是必要的。国内证券公司在设立如图2所示的风险管理组织架构后，要想使风险管理工作有效开展，还必须做到在公司层面风险决策与投资决策的统一。因为风险委员会的风险决策包括了对公司所允许承受的最大风险限额的设定、各部门风险限额的分配、各业务部门风险的评估、例外情形的处理等决策，这些都与公司层面的投资决策紧密联系在一起。正如本文开头指出的，证券公司实际是一种经营风险的中介机构，其经营活动中的大部分决策也就是对风险的决策。因此，如果公司总体层面的风险决策与投资决策不一致，风险管理及公司的总体发展都会受影响。附录1摩根斯坦利的风险治理结构附录1摩根斯坦利的风险治理结构资料来源：MorganStanleyannualreport2004管理路线事业部内业务部门事业部内的风险管理组织各事业部内部都设有风险委员会、操作和信息技术控制组等内部风险管理组织。事业部的内部控制组与公司控制组一起评估本事业部各项风险监控和管理的政策和流程。另外，控制组的高级管理人员要确保事业部风险管理的政策和流程、风险超限的例外原则、新产品的推出、有重大风险的交易等经过了事业部风险委员会和公司风险委员会的全面评估。各事业部公司内部审计部门公司内部审计部门在行政上由公司的首席法律官领导。其职责是定期对公司的运营和控制环境进行检查，对公司所有类别的风险进行审计，并向审计委员会提供独立的风险控制评估报告。公司风险委员会由公司大部分主要高级管理人员组成，负责监督公司风险管理的各个部门，其自身也接受公司董事会下属的审计委员会监督。其职责主要包括：制定或审核公司风险管理的原则、流程和公司所允许承受的最大风险限额监控公司重大的财务、运营和其它特定风险。如对新推出的产品进行风险评估、有重大风险的交易的审核等。公司的首席法律官业务路线公司控制组：市场风险管理部信用风险管理部财务控制部门法律部门公司控制组的各部门都严格独立于其它业务部门。它们的主要职责是，通过一定的控制流程，帮助公司的高层管理人员和公司风险委员会监控和管理公司的风险。首席风险管理官公司风险委员会的成员。其主要职责是：监视公司所承担的风险使之不超过既定的限额批准公司所承担的风险在一定范围内的超限评估重大的市场、信用、流动性等风险与审计委员会一起就公司风险管理过程的效果进行评估公司资本委员会负责从战略角度，对公司资源进行配置。其具体职责主要包括：批准公司的合并、分立和向董事会提出合并、分立的提议批准公司的减资负责资金在不同事业部间的分配通过公司和各事业部资金的配置方法董事会的资料来源：MorganStanleyannualreport2004管理路线事业部内业务部门事业部内的风险管理组织各事业部内部都设有风险委员会、操作和信息技术控制组等内部风险管理组织。事业部的内部控制组与公司控制组一起评估本事业部各项风险监控和管理的政策和流程。另外，控制组的高级管理人员要确保事业部风险管理的政策和流程、风险超限的例外原则、新产品的推出、有重大风险的交易等经过了事业部风险委员会和公司风险委员会的全面评估。各事业部公司内部审计部门公司内部审计部门在行政上由公司的首席法律官领导。其职责是定期对公司的运营和控制环境进行检查，对公司所有类别的风险进行审计，并向审计委员会提供独立的风险控制评估报告。公司风险委员会由公司大部分主要高级管理人员组成，负责监督公司风险管理的各个部门，其自身也接受公司董事会下属的审计委员会监督。其职责主要包括：制定或审核公司风险管理的原则、流程和公司所允许承受的最大风险限额监控公司重大的财务、运营和其它特定风险。如对新推出的产品进行风险评估、有重大风险的交易的审核等。公司的首席法律官业务路线公司控制组：市场风险管理部信用风险管理部财务控制部门法律部门公司控制组的各部门都严格独立于其它业务部门。它们的主要职责是，通过一定的控制流程，帮助公司的高层管理人员和公司风险委员会监控和管理公司的风险。首席风险管理官公司风险委员会的成员。其主要职责是：监视公司所承担的风险使之不超过既定的限额批准公司所承担的风险在一定范围内的超限评估重大的市场、信用、流动性等风险与审计委员会一起就公司风险管理过程的效果进行评估公司资本委员会负责从战略角度，对公司资源进行配置。其具体职责主要包括：批准公司的合并、分立和向董事会提出合并、分立的提议批准公司的减资负责资金在不同事业部间的分配通过公司和各事业部资金的配置方法董事会的审计委员会附录2附录2美林的风险治理结构首席财务官操作风险管理组该小组职责包括开发操作风险管理的各种方法和工具，监测和汇报操作风险的损失。小组在其它控制部门的参与下，消除操作风险和使各项业务操作符合法律规范各事业部公司其它的控制部门公司的内部审计、财务和法律事务办公室等部门，与全球流动性和风险管理组相互沟通，建立和维护风险管理和控制的整个流程。全球流动性和风险管理组全球流动性和风险管理组由市场风险组、信用和债务风险组等构成。各小组独立于公司的各业务部门，其负责人直接向副首席财务官汇报工作。全球流动性和风险管理组利用RiskFramework平台，具体各事业部内部及事业部之间的市场风险和信用风险的管理。涉及风险治理的其它委员会包括权益资本承诺、负债资本承诺、新产品评估等委员会。它们通过制定政策、评估业务活动等确保公司的现有业务和新业务的风险从一开始就处在既定的风险承受水平内。公司执行委员会由公司的高层管理人员组成，其职责包括：必须批准风险监视委员会提出的公司所允许承受的最大风险限额和风险政策重大变化的提议。将风险限额分配到不同的事业部对风险管理工作平台RiskFramework进行评估和批准其重大的变化重点关注公司的风险集中度和流动性审计委员会审计委员会由公司全部的独立董事构成，其职责包括：授权风险监视委员会建立公司的风险管理政策。审核、批准风险监视委员会的章程评估公司风险管理工作平台RiskFramework涉及的的主要参数。审阅风险监视委员会定期提交的风险报告定期评估公司风险管理的整个流程风险监视委员会公司监视委员会由各事业部的负责人、事业部和控制部门的高层人员组成，其主席由公司首席财务官担任。监视委员会根据审计委员会的授权，履行如下职责：建立公司的风险管理政策确定公司所允许承受的最大风险限额，批准公司风险概貌的重大变化确保公司所承受的风险在既定的限额内，并确认公司对所承受的风险采取了合适的政策和进行了有效管理监视公司所承担的风险使之不超过既定的限额帮助公司执行委员会确定各事业部的风险限额。向执行委员会和审计委员会汇报重大问题和重大交易。副首席财务官直接领导全球流动性和风险管理组业务路线管理路线资料来源：MerrillLynch’sannualreport2004首席财务官操作风险管理组该小组职责包括开发操作风险管理的各种方法和工具，监测和汇报操作风险的损失。小组在其它控制部门的参与下，消除操作风险和使各项业务操作符合法律规范各事业部公司其它的控制部门公司的内部审计、财务和法律事务办公室等部门，与全球流动性和风险管理组相互沟通，建立和维护风险管理和控制的整个流程。全球流动性和风险管理组全球流动性和风险管理组由市场风险组、信用和债务风险组等构成。各小组独立于公司的各业务部门，其负责人直接向副首席财务官汇报工作。全球流动性和风险管理组利用RiskFramework平台，具体各事业部内部及事业部之间的市场风险和信用风险的管理。涉及风险治理的其它委员会包括权益资本承诺、负债资本承诺、新产品评估等委员会。它们通过制定政策、评估业务活动等确保公司的现有业务和新业务的风险从一开始就处在既定的风险承受水平内。公司执行委员会由公司的高层管理人员组成，其职责包括：必须批准风险监视委员会提出的公司所允许承受的最大风险限额和风险政策重大变化的提议。将风险限额分配到不同的事业部对风险管理工作平台RiskFramework进行评估和批准其重大的变化重点关注公司的风险集中度和流动性审计委员会审计委员会由公司全部的独立董事构成，其职责包括：授权风险监视委员会建立公司的风险管理政策。审核、批准风险监视委员会的章程评估公司风险管理工作平台RiskFramework涉及的的主要参数。审阅风险监视委员会定期提交的风险报告定期评估公司风险管理的整个流程风险监视委员会公司监视委员会由各事业部的负责人、事业部和控制部门的高层人员组成，其主席由公司首席财务官担任。监视委员会根据审计委员会的授权，履行如下职责：建立公司的风险管理政策确定公司所允许承受的最大风险限额，批准公司风险概貌的重大变化确保公司所承受的风险在既定的限额内，并确认公司对所承受的风险采取了合适的政策和进行了有效管理监视公司所承担的风险使之不超过既定的限额帮助公司执行委员会确定各事业部的风险限额。向执行委员会和审计委员会汇报重大问题和重大交易。副首席财务官直接领导全球流动性和风险管理组业务路线管理路线资料来源：MerrillLynch’sannualreport2004附录3高盛的风险治理结构资料来源：GoldmanSachsannualreport2004业务路线管理路线承担风险管理职能的其它部门公司的财务部、法律部、审计部、操作风险部和客户投诉部等部门都承担有风险管理的责任。市场风险限额执行情况的监控由财务部负责，相关的委员会定期对此进行评估。当业务单位风险超限时，财务部要向相关的风险委员会和相关部门的经理做出汇报。对特定业务单位库存证券限额执行情况的监控也由财务部负责。当超限的情形出现时，要向财务委员会和相关部门的经理汇报。操作风险部对公司的操作风险负责财务委员会财务委员会的职责有：制定公司的流动性政策并保证政策的执行，对某些证券的库存头寸设定限额，对公司的流动性风险、信用评级负责；定期评估公司的资金头寸和资本价值并根据评估结果和风险敞口做出调整其它委员会主要包括负责结构性产品风险管理的结构性产品委员会和负责与公司声誉有关的投诉的商业惯例委员会。各事业部各事业部及事业部下属一级单位的风险限额由各种风险委员会决定。下属一级单位的负责人再将风险限额分配到各个交易组。委托责任委员会负责审批证券承销、配售活动；制定和完善承销活动的政策、流程以使得承销活动符合法律和商业规范，并保护公司的声誉部门风险委员会其职责是在公司既定的风险总限额下，设定各事业部的市场风险限额并交公司风险委员会审核。其中，在资产管理业务部门，还有控制监视委员会、投资政策组和评估委员会监督各种操作、信用和商业惯例等问题。操作风险委员会该委员会负责监督和指导与操作风险相关的管理政策、管理框架和管理方法的完善，以保证操作风险监控和管理的有效性信用政策委员会负责建立和评估主要的信用政策和参数。资本委员会资本委员会负责评估和审批一切涉及公司资本义务的交易，包括信用扩张、流