第三章 风险管理制度体系

做风控这些年,我最大的体会是:制度不是挂在墙上的,是要能落地的。很多公司花大价钱请咨询公司写了一套完美的制度,结果没人看、没人用,最后变成一纸空文。说白了,制度体系要解决三个问题——谁来做、怎么做、做不好怎么办

核心观点:风险管理制度体系 = 框架 + 文件 + 流程。缺一不可。

3.1 风险管理制度框架

我习惯把制度框架比作一个「三层蛋糕」:

  • 顶层:基本制度——纲领性文件,比如《风险管理办法》。它规定了风险管理的目标、原则、组织架构、基本流程。说白了,就是公司的「宪法」。
  • 中层:管理办法——针对具体风险类型的专项制度,比如《风险限额管理办法》、《套期保值业务管理办法》。这些是「部门法」。
  • 底层:操作细则——岗位操作手册、流程表单、系统操作指南。这些是「执行手册」。

我在项目中遇到过一家贸易公司,他们只有顶层制度,没有中层和底层。结果风控经理每天靠「口头传达」来管理风险,出了事谁也说不清楚责任。嗯,这就是典型的「有框架没血肉」。

风险管理制度框架(三层结构) 顶层:基本制度 《风险管理办法》——纲领性文件 中层:管理办法 《风险限额管理办法》《套期保值管理办法》等 底层:操作细则 岗位操作手册 · 流程表单 · 系统操作指南 谁来做? 怎么做? 做不好怎么办? 制度层级越高,越稳定;层级越低,更新越频繁

3.2 核心制度文件

你想想看,一个期货公司或者实体企业的风控部门,最核心的文件有哪些?我列个清单,这些都是我在实际项目中反复打磨过的:

文件名称 核心内容 我的经验
风险管理办法 风险管理目标、原则、组织架构、职责分工、基本流程 这是「宪法」,必须经董事会审批。我见过有的公司把办法写得像操作手册,反而失去了纲领性作用。
风险限额管理办法 限额体系、限额设定方法、监控频率、超限处理流程 限额不是拍脑袋定的。我曾经帮一家企业重新设计限额体系,把VaR、希腊字母、压力测试结合起来,效果比单一指标好得多。
应急预案 极端行情应对、系统故障处理、流动性危机处置 应急预案要「演」不要「写」。我建议每季度做一次桌面推演,否则真出事时,制度就是废纸。
套期保值管理办法 套保策略审批、头寸管理、会计核算、信息披露 很多企业把套保做成了投机,就是因为制度里没有明确「套保关系认定」的标准。
授权管理办法 交易权限分级、审批额度、授权变更流程 授权要「最小化」原则。我见过一个交易员权限过大,一天亏了公司半个月的利润。

💡 小提示:制度文件不是越多越好。我建议核心制度控制在5-8个,操作细则可以多一些。太多制度反而没人记得住。

3.3 制度制定与修订流程

制度怎么来的?不是领导拍脑袋,也不是风控部闭门造车。我总结了一个标准流程,你参考一下:

  1. 需求提出——业务部门、风控部门或监管要求触发。比如监管出了新规,或者业务上线新品种。
  2. 草案起草——由风控部牵头,必要时请法务、财务、业务一起参与。我个人习惯先写一个「一页纸概要」,把核心逻辑讲清楚,再展开写。
  3. 征求意见——发到相关部门征求意见。这一步很重要,我曾经因为没让交易部参与,结果制度出台后他们根本不执行。
  4. 合规审查——法务和合规部门审核,确保不违反监管规定。
  5. 审批发布——根据制度层级,分别由风控委员会、董事会或总经理审批。
  6. 培训宣贯——制度发布后必须培训。我见过最离谱的是,制度发到邮箱就完事了,结果三个月后还有人问「有这个规定吗」。
  7. 定期修订——至少每年review一次。遇到重大市场变化或监管政策调整,要立即修订。

⚠️ 避坑指南:我曾经帮一家企业做制度梳理,发现他们的《风险管理办法》还是2018年的版本,里面连「场外衍生品」都没提。这种制度,说白了就是「僵尸制度」——有等于没有。

3.4 制度落地的关键点

制度写得好不好,不看文字,看执行。我分享几个让制度「活起来」的经验:

  • 制度要「可操作」——不要写「加强风险管理」这种空话。要写「每日收盘后30分钟内,风控员需完成限额监控报表」。
  • 制度要「有温度」——我建议在制度前面加一段「编制说明」,讲清楚为什么要制定这个制度。大家理解了初衷,执行起来才不抵触。
  • 制度要「有反馈」——设立制度意见箱或者定期座谈会。一线员工最清楚制度哪里不合理。
  • 制度要「有奖惩」——违反制度要有明确的处罚措施,执行得好也要有奖励。否则制度就是「纸老虎」。

嗯,说到奖惩,我想起一个案例。某公司规定交易员超限额要罚款,但从来没执行过。结果有一次一个交易员超了限额三倍,风控部上报了,领导说「这次算了,下不为例」。你猜怎么着?不到一个月,同样的事情又发生了。所以,制度的权威性,来自于执行的刚性

3.5 制度体系的持续优化

制度不是一成不变的。市场在变,业务在变,监管也在变。我建议每年做一次制度「体检」:

检查维度 检查内容 检查频率
合规性 是否符合最新监管要求 每季度
适用性 是否覆盖当前业务品种和风险类型 每半年
可操作性 流程是否清晰、表单是否合理 每年
执行效果 违规率、超限次数、应急响应时间 每月

最后说一句:制度体系的核心不是「管住人」,而是「理顺事」。好的制度让好人更容易做好事,让坏人做不了坏事。这是我做了十几年风控,最深的体会。


公众号:蓝海资料掘金营,微信deep3321