來源：財會信報

    作者：遠光軟件股份有限公司首席風險管理專家關晶奇
   
    對于風險管理從業人士來說，常常面臨著兩難的困境：要么是董事會及總經理認為業務沒有風險，風險管理無足輕重；要么是董事會高度重視，但認為風險管理只是相關風險管理專業部門的事情，如果出現風險損失事件，即認為是該部門風險管理不到位。那么風險損失事件的發生是否意味著風險管理的失敗？如何來對風險管理框架進行有效的評估？本文將集中回答這幾個問題。

    巨額損失不一定意味著風險管理失效
   
    首先，我們必須認識到的是，一些巨額損失的出現并不一定意味著風險管理本身的失效。有時，會有風險管理人員無法估測或管理的因素存在，對此，可以將之簡單地歸因于運氣不佳。假設某支基金收益率為-11%，損失數額要以數億乃至數十億美元級來計算，僅看這些數據，可能有些高層管理者會十分生氣，但是，我們并不能武斷地認為這說明了風險管理的失效。假如此時市場上平均收益率為-13%，則能證明風險管理者已經盡其所能地完成了工作。在經過相關人員仔細勘查后發現，風險管理者確實已經盡可能地控制了風險，那么，便可將這與市場平均收益率的2%差額視作風險管理帶來的收益。在這種情況下，不但不應懲戒風險管理者，反而應對其進行褒獎。

    當今管理界公認的風險分為三種

    無法計量的風險也便沒有辦法真正地進行管理，而無法認知的事情更是無法進行管理。因為人對周遭世界的認知存在著局限性，這就會對我風險管理目標產生負面影響。總體而言，當今風險管理者公認的風險包含三類：（1）已知-已知（known-knowns）；（2）已知-未知（known-unknowns）；（3）未知-未知（unknown-unknowns）。

    第一類表示風險已知，且預防措施也已知。這類風險主要包含了那些我們已經能夠辨識并且評估、計量的風險，但是即便風險管理者已經對其進行了盡可能多的風險辨識、評估出了重大風險，并對其中的重大風險進行了計量、風險預警等工作，它們仍可能因為決策失誤及不夠幸運而造成損失。然而，這樣的風險損失事件，發生概率會相對較低。在科學的風險管理框架中，風險管理者也會在風險承受度之內，對此類風險發生的頻率及可接受的損失金額進行限制，而非嚴格意義上不準許發生，因為接受這一類風險的部分存在是業務持續發展的客觀要求。

    第二類表示風險已知，但預防措施未知。這類風險主要包含了那些我們應該或已經意識到的風險建模的缺陷或不足，但風險管理者卻對于如何評估及計量這種缺陷或不足尚無良策。舉例來說，風險管理者可能在風險建模中遺漏了某項非常重要的風險因子，或是對風險因子的分布計量錯誤，沒有選取足夠反映經濟周期狀況的歷史區間的數據，抑或是映射過程不準確，或是風險管理者選擇了前提假設要求非常嚴格且對結果產生重大影響、但實際情況與該假設差距較大的風險模型，以上因素都可能導致這樣的問題。風險管理者因為其自身專業、背景、經驗等差異，可能導致第二類風險的發生。而這一類風險的發生，確實應歸因于風險管理者，而非簡單歸結為運氣不佳。

    第三類風險表示風險未知，預防措施也未知。這類風險的應對是最為困難的，因為這種風險在很多情況下都是來自于外部事件或監管的變化，譬如監管機構突然取消了某一種風險對沖的手段，造成原有的風險應對失效。另外，我們永遠無法完全地對交易對手的信用風險進行全面了解，了解你的直接交易對手固然是最為重要的，但是它的其他交易對手的信用狀況仍然會間接對你產生影響。

    并非所有的風險都能夠進行有效的管理

    如果是第二類風險造成的損失，我們可以直接論斷為風險管理的失效，并對風險管理者的相關工作進行檢討，加強對其培訓等工作來提高風險管理的有效性。但是，第一類風險及第三類風險所造成的風險損失事件，卻并不是完備的風險管理工作所能夠完全避免的。面臨這樣的風險時，并不能僅僅從風險的發生與否來判斷風險管理框架是否有效。換言之，風險管理框架的設計有效性及執行的有效性并不能由第一類風險或第三類風險的發生與否來判斷。然而，對于這兩類風險之后的處理仍能分辨出風險管理框架的完備性，例如：新的風險損失事件是否在最短的時間內觸發風險應急流程及報告流程，向相應層次的風險管理人員及相應的職能部門乃至管理層進行及時匯報；新的風險損失事件是否在處理結束后，提煉成新的風險事件進入相應層級的風險庫，或是與已有風險事件進行了映射，并將應對方案提煉后進入應急預案；對爆發的風險事件是否進行了評估，若確定為重大風險，則應為之建立應對機制；整體的風險管理信息是否在各個層級之間做到了順暢溝通及不斷改進；風險損失事件庫的數據是否在風險真實發生后及時進行了更新？如果這些都能有條不紊地通過機體的正常運轉來實現的話，則可視為該風險管理框架的完備及有效。