华尔街的风险管理新政策（AMT研究院 周瑛 编译）

2005年，金融公司的重点将放在法规遵从上。SOX法案和巴塞尔2号协议的新要求迫使金融公司修改或重写特定的系统，以保证有效地预防、管理、承担金融交易中的风险。

1. 法规的新要求

2002年出台的SOX法案（《2002年公众公司会计改革和投资者保护法》）是最近几十年中最深刻的审计改革和公司治理改革。根据SOX法案的要求，公众公司的证明、可审计性、信息披露、信息安全必须符合审计部门的新规定。

SOX法案的主要规定有：证券犯罪的处罚，由外部审计师对公司内部审计工作提供证明，加强有关CEO薪酬、内部交易、财务报告的信息披露。

SOX法案的目标是要重建投资者对公众公司财务报告的信心，要求CEO/CFO对财务报告的真实性承担法律责任。SOX法案对管理责任的强调将对IT造成很大影响，因为对财务报告的内部控制主要是通过信息安全工具和技术来实现的。当CEO和CFO在公司年报上签名的时候，即意味着他们保证公司的财务系统进行了有效的控制，能够保证财务证明的准确性和可靠性。假如内部控制不合法规要求，或是无法按时提交财务报告，又或是报告出错，都将对公司股东的利益、CEO/CFO的职业生涯、众多业务关系造成巨大损害。

巴塞尔1号资本协议是在1988年制订的，重点是对银行总资本做出规定，以降低银行破产时产生的风险。巴塞尔1号协议为银行业服务了十几年，但最近金融机构出现的运营风险失败暴露出银行风险管理的薄弱性。这导致了巴塞尔2号协议的诞生，它提供了一种更具风险敏感性的框架。除了标准的风险测评方法之外，巴塞尔2号协议还提供了多种风险测评方法备选。这些方法要求公司建立风险管理战略，建立数据仓库，执行复杂的计算。巴塞尔2号协议为银行和金融机构带来了巨大的挑战。

2. 数据架构和数据管理

PVA International Inc.是一家总部在纽约的咨询机构，它为全球顶尖的金融服务公司提供战略和管理咨询服务以及软件解决方案。PVA International的总裁Peter Vinella认为，巴塞尔2号协议在信用风险管理方面对巴塞尔1号协议进行了大量的扩充，并建立起了运营风险管理体系，这是与信用风险管理和市场风险管理并列的一个体系。Vinella说：“巴塞尔2号协议对信用风险的规定比巴塞尔1号协议更加定量化，银行可以采取三种方法中的任意一种来计算它们的资本充足性（Capital Adequacy Requirement，CAR）。高级衡量法和内部衡量法将得出最低的CAR，但是它们要求对未来的风险预期建立大量模型。这些方法对计算的要求很高，因此对数据库架构和数据管理能力都提出了要求。”

“此外，巴塞尔2号协议要求为证券借贷活动提供额外的资本。随着对冲基金的发展，大宗经纪业务、重购和证券借贷活动也十分活跃。为了保证安全参与这些交易，必须进行全面的抵押品管理。抵押品、证券等资产必须实时估价，以正确评估保证金风险，同时其执行方式要保证大宗经纪人所提供的对冲基金借贷率具有市场竞争力。无疑这也要求强大的数据库架构和数据管理能力，提供迅速的定价和风险计算。”

3. 在流程中植入风险管理

虽然银行正在实施巴塞尔2号协议，但许多问题仍然未得到解决：它们是否真的能够将数据组织成协议所要求的那样？银行在新协议的实施方面是否做得和同行一样好？它们怎样才能从被动的遵从风险管理（包括信用风险、市场风险、运营风险）转为利用风险管理创造价值？

要想成功的实施巴塞尔2号协议，就必须从整个企业的角度出发，考察多个系统中的业务事件，交付高质量的数据给巴塞尔2号协议合规解决方案。只有这样，企业才能够真正遵从新协议，并利用新协议实现ROI和长期的业务价值。银行和第三方软件供应商一直在开发一系列的运营风险工具。许多银行和软件供应商都在开发个人工具方面取得了较大的成功。但是，要获得一致而有意义的成果，这些工具必须进行整合。那些将法规遵从视为业务形式的企业将无法收获真正的价值。

风险管理的另一个趋势是企业风险管理（Enterprise Risk Management，ERM），它将捕获金融机构有关风险的所有信息，并将这些信息放在一个单一环境中进行分析，按照经济资本的形势来考虑它们对金融机构资产负债表的影响。但是，ERM是十分复杂的，因为它无法包含传统金融机构所面临的全部风险，包括信用、市场、运营、流动性、资产负债表或地理政治风险。另外ERM计算所需的数据并非存储在单一的数据库中。

Consul Risk Manangement是一家提供主机管理和审计产品的知名公司，其技术总监Kristin Lovejoy认为，知道实际的发生情况是至关重要的。“SOX法案要求公司迅速采取行动证明自己保证了财务信息的透明性、责任性、完整性。但是公司如何才能监控所有分散的财务数据，展示自己合乎法规呢？假如人们按照法规所要求的方式进行工作，那么他们将无法完成工作。公司在满足内外部要求的同时，应保持正常的业务绩效。”

因此，有效的技术是实现风险管理必不可少的工具，但仅仅有技术是不行的。公司必须建立深厚的风险文化。这意味着要将风险管理植入公司的核心流程中去。风险经理必须参与风险回报的讨论。公司必须注重IT系统和业务判断的联系。

4. 数据标准化

风险管理也推动着数据标准化的发展。著名管理咨询公司毕博公司的经理Jeffrey Brashear在最近Waters杂志的采访中谈到“数据标准化能够降低复杂性，这将为风险管理带来许多便利。数据标准化还将大大改善数据质量，而这正是风险管理所面临的大问题。因为风险计算和评估需要整合大量的数据，对数据质量的要求也很高。此外，建立风险管理所需的数据基础设施的成本也可以通过数据标准化得到降低。”

数据标准化要求扩展数据模型和元数据定义，以包含诸如隐私、安全、权利等属性。Jeffrey Brashear认为“这正是当前数据标准化工作尚未考虑到的。当然仅凭数据标准化是无法解决数据隐私和安全问题的，因为我们只是在现有数据模型的基础上加以扩展。元数据定义需要加入权利、数据隐私偏好、顾客偏好。”