全美证券托管清算公司全面风险管理框架

研究何晓雷朱立元刘鸿诚杜会峰1[摘要]作为全球金融市场基础设施(FMI)的标杆,全美证券托管清算公司(简称DTCC)拥有40余年丰富的风险管理经验,并一直保持着零风险损失的良好记录,包括成功抵御了2008年次贷危机及雷曼兄弟破产风险.
即便如此,DTCC仍在全球金融危机之后,全面检讨和改进了其风险管理框架,进一步加强其风险管理能力.
2014年12月,DTCC遵照《金融市场基础设施原则》(PFMI)要求,对外披露了三家子公司DTC、NSCC、FICC的自评估报告,系统介绍了其全面风险管理框架.
我们结合PFMI、《ISO31000风险管理标准族》和COSO《企业风险管理—整合框架》等风险管理国际标准,对DTCC的风险管理经验与做法进行了梳理和总结,并对进一步完善中国结算全面风险管理工作提出了具体建议.
一、DTCC全面风险管理的经验总结围绕公司风险管理需要,我们从风险分类、组织结构与职责分工、管理流程与风控制度措施、监督考核机制等方面,1作者系中国结算公司总部员工.
本文在公司风险监控部总监汪有为同志的悉心指导下完成,部分翻译工作得到了公司风险监控部杨阳、刘浩达的帮助.
对DTCC全面风险管理框架进行了剖析.
具体而言,DTCC全面风险管理具有以下四个特点:(一)以科学、全面的风险识别为基础,实施风险的分类管理.
DTCC秉持"风险管理创造并保护价值"的理念,以风险的全面识别、科学分类为逻辑起点,针对不同类型风险建立健全组织架构、管理制度和流程,实施分类管理.
截至目前,DTCC已全面识别五大类风险,包括业务风险(细分为信用风险、市场风险、流动性风险)、运作风险(细分为业务及运作连续性风险、信息技术风险、财务及内控风险、人力资源风险)、系统性风险、创新业务风险和法律合规风险,并对每类风险进行统一定义和清晰描述(见附表1).
值得注意的是,金融危机后,DTCC加强了对系统性风险的研究和管理,防范风险在金融市场体系与作为系统性重要机构的DTCC之间的双向传导.
另外,DTCC强调对创新业务的风险管控,将创新业务风险单独列为一种风险类型加以管理.
(二)以健全的组织架构、清晰的职责分工和顺畅的工作机制为保障,层层落实管理责任.
DTCC构建了董事会2、管理层、执行层的风险管理"三层组织架构"(见附表2),并在每层设臵相关职位、机构和2DTCC董事会目前共有19名董事,其中12名来自结算会员代表,3名来自结算会员之外(非参与人董事),2名来自优先股股东单位(纽交所和金融行业管理当局),还有2名来自DTCC的管理层.
部门,层层落实风险管理责任.
1、董事会层面DTCC董事会主要负责监督管理层风险管理工作及全面风险管理框架的有效性,并对风险战略、风险容忍度等重大事项进行决策.
董事会下设风险委员会及相关专业委员会(审计委员会、业务、技术与运作委员会等),协助董事会履行风险管理职责(见图1).
图1:DTCC董事会风险治理结构其中,董事会风险委员会起主导作用,直接监督业务风险、运作风险、创新业务风险和系统性风险的管理,其主要职责是以会议形式(每年不得少于6次),重点审查管理层提交的风险报告、风险容忍度政策,审议风险管理内外部审计报告、会员准入及持续管理标准等.
其他委员会发挥各自领域专长,协助、支持董事会风险委员会开展工作(见附表3).
例如:审计委员会负责监督法律和合规风险,定期交换信息;业务、技术与运作委员会协助监督创新业务风险;薪酬与人力资源委员会通过绩效考核和薪酬体系激励和引导风险委员会审计委员会业务风险运作风险系统性风险法律和合规风险业务、技术与运作委员会薪酬与人力资源委员会创新业务风险风险管理工作.
DTCC董事会成员主要来自会员和市场机构,董事会下属各委员会主席与副主席大多不得由DTCC雇员担任,这既在治理结构上形成了对风险管理的有效外部监督,也为DTCC与会员之间加强良性互动、充分利用行业资源提供了便利.
2、管理层层面DTCC管理层主要负责构建并持续完善全面风险管理框架;通过实施有效管理将各类风险控制在董事会设定的风险容忍度范围内;领导、组织执行层开展风险管理工作,监督其风险管理职责落实情况.
DTCC管理层层面职位设臵和工作开展具有两个显著特征:一是实现风险管理与业务运营二者职能和角色的分离.
2011年DTCC在管理层新设执行主席(ExecutiveChairman),与首席执行官(CEO)分立,由董事长兼任,专司统领、协调和监督风险管理工作.
风险管理与业务运营二者角色的分离有利于保障风险管理工作的独立性,进而形成内部相互监督和制衡.
执行主席下设首席风险官(下设管理层风险委员会)、首席合规官、总审计师等职位和机构协助开展工作.
其中,首席风险官负责构建和实施风险管理战略,以保证风险管理计划和董事会决议顺利嵌入集团日常运作;首席合规官负责DTCC合规项目的设计与管理,包括政策、程序的合理化设计以确保合规事项能够被管理层迅速有效地解决.
首席风险官和首席合规官直接向执行主席汇报工作;若有必要,二者可分别直接向董事会风险委员会、审计委员会报告.
总审计师负责指导内部审计项目和活动,支持董事会提升内部控制环境.
总审计师直接向董事会审计委员会报告;若有必要,也可向执行主席汇报涉及风险管理的工作情况.
图2:风险管理相关的高级管理层职位二是突出管理层风险委员会主导作用(ManagementRiskCommittee,MRC).
与董事会架构类似,DTCC在管理层同样设立了风险委员会(ManagementRiskCommittee,MRC),接受首席风险官领导,主要负责监督、管理业务运作过程中产生的各类风险;评估创新业务、产品及计划的固有风险并制定风险应对措施;识别系统性风险点并审核相关应对计划等.
此外,DTCC管理层还设立了多个专业委员会和顾问委员会支持、配合管理层风险委员会开展相关工作(详见附表4).
3、执行层层面风险委员会执行主席审计委员会首席风险官首席合规官总审计师首席执行官风险管理业务运作DTCC执行层主要负责识别、管理和缓释日常业务中的各类风险;执行风险管理政策及流程;开发各类风险管理工具、系统;分析和评估风险状况,定期上报风险管理分析报告.
在执行层层面,DTCC设臵了三道防线进行日常风险管理工作:一是各业务与运作部门构成风险管理第一道防线.
主要包括集团产品管理、运作管理、信息技术、法律支持、人力资源等关键部门以及各分支机构,首席执行官负责该道防线的管理和监督.
第一道防线的主要职责是识别、度量日常业务过程中的各类风险因素,并采取必要的针对措施进行风险控制与管理.
此外,各业务与运作部门均设有一名或多名风险管理专员(风险管理岗位)、合规专员,负责本部门风险管理工作,并专职负责与第二道防线保持联络,协助识别或管理业务和产品层面的风险、合规问题.
二是各风险管理部门构成风险管理第二道防线.
DTCC按照已识别的风险类型,分别设立专门的风险管理部门或工作组(共7个)作为第二道防线,针对每类风险建立自成一体的垂直管理流水线,均有配套的管理主体、管理制度和流程、具体举措,主要包括业务风险管理部(ERM)、运作风险管理部(ORM)、业务连续性管理部(BCM)、技术风险管理部(TRM)、系统性风险办公室(SRO)、创新业务办公室(NIO)和合规办公室(OCRC)等.
其主要职责包括(见附表5):建立风险管理的标准和流程,指导第一道防线开展风险管理工作;组织和协助第一道防线及时、充分报告风险信息;监督第一道防线是否履行其风险管理职责;开发和运用专业的风险管理模型、系统,对于适于量化度量的风险(主要是市场风险、流动性风险),进行集中度量、监测与分析(压力测试).
执行主席负责第二道防线的管理和监督,这为第二道防线履行风险监督责任提供较强的独立性保障.
三是内部审计部门构成风险管理第三道防线.
DTCC的内部审计部门(InternalAuditDepartment,IAD)是风险管理的第三道防线,其主要职责是是对第一、二道防线风险管理工作执行情况进行独立、客观地稽核审计,对风险管理有效性进行监督,以持续改进DTCC的风险管理实践.
具体工作机制包括:(1)与风险管理部门和外部审计形成风险协同工作组(RiskHarmonizationworkinggroup),在共同的风险术语框架下开展工作;(2)引入风险管理质量控制项目,要求所有单位自行评估并主动报告相关控制问题,以提升内部控制质量,同时借助数据挖掘方法和技术系统加强内部审计;(3)定期对运行中的产品或流程发起内部审计流程,同时负责审计创新业务,确保在创新业务运行前有效植入必要风险控制手段;(4)监督DTCC管理层风险管理工作,并向董事会审计委员会提供结果以协助其履行监督职能.
审计委员会和总审计师负责监督管理第三道防线,保障内部审计部门的业务独立性、内部监督的有效性.
为防止内部人控制,DTCC还专门建立了内部审计师定期轮换制度.
需要特别说明的是,DTCC采用集团式运营模式,在风控组织构架方面表现出如下特点:一是第一道防线主要设立在分支机构层面(即DTC、NSCC、FICC等),以及集团层面的相关业务职能部门(例如信息技术部、法律部、人力资源部、财务部等).
二是第二道、第三道防线全部设立在集团层面,同时为多个分支机构提供风险管理支持与服务.
三是根据风险特性实施分级、分类、分工管理.
对于便于集中度量、监测和管理的风险(如信用风险、流动性风险)由风险管理部实行集中统一管理,对于专业性较强的风险(如法律合规风险、信息技术风险)由法律、技术等其他部门专司负责.
图3:DTCC风险管理三道防线示意图(三)以管理制度和流程、管理技术系统、量化分析为手段,实施精细化、科学化管理.
目前,DTCC采用集团化运营模式,针对每类风险DTCC均建立了统一的风险管理制度、流程和措施,适用于各分支机构、各项业务,并借助信息技术系统、量化分析等手段进行持续评估、实时监测、压力测试,实施精细化、科学化管理(见附表6).
以信用风险和流动风险为例:在信用风险方面,除会员准入、会员资格持续管理等常规性措施外,DTCC还定期通过信用风险评级矩阵系统(CreditRatingMatrixSystem)对会员进行内部评级,并根据评级结果实行差异化管理;在流动性风险管理方面,除尽可能多渠道获取流动性各业务条线(产品管理、运作、财务,信息技术、法律支持、人力资源)内部审计部门第三道防线第二道防线总审计师首席风险官系统性风险业务风险运作风险合规风险ERM、ORM、BCMTRM、SRO、NIO首席执行官首席合规官创新业务风险OCRC执行主席第一道防线资源(如清算基金、银行授信)外,DTCC每日监测会员层面和整体市场的流动性需求,并通过技术系统模拟流动性需求进行压力测试,测试条件覆盖会员违约、市场波动、证券流动性下降、流动性提供者失效等场景.
此外,DTCC还定期聘请外部专家对压力测试假设和条件进行审核,确保测试结果合理、准确.
为保证全面风险管理框架有据可依,DTCC将其风险管理的政策、流程及控制手段贯穿于内部管理规章制度和外部业务规则中(见附表7),并开发建立数据库系统,实现规章制度和规则审查、批准、发布和查询自动化处理.
同时,DTCC建立了一系列配套风险管理系统,为有效实施全面风险管理框架、政策、流程及控制提供了强大的技术保障.
目前DTCC披露的风险管理系统主要有:一是业务风险管理部(ERM)系统.
业务风险管理部(ERM)为有效识别、度量和控制DTCC及其分支机构面临的信用、市场和流动性风险,建立了一系列风险管理系统,主要包括:信用风险矩阵系统、清算基金管理系统、担保品管理系统、流动性监测系统、压力测试与回溯测试系统等.
二是运作风险管理部(ORM)系统.
运作风险管理部(ORM)为有效识别、监控、控制和报告DTCC在日常运作过程中产生的运作风险,建立了一系列风险管理系统,主要包括:运作风险控制系统、风险事件监测与报告系统、运行能力和效率监测系统、运作风险压力测试系统等.
三是合规办公室(OCRC)系统.
合规办公室(OCRC)开发了一系列数据收集和跟踪系统以支持合规风险等的管理,包括客户尽职调查系统、合规数据库系统和雇员投资监控系统等.
(四)以报告体系、内部审计监督、绩效考核和薪酬激励为抓手,提升风险管理的执行力和可持续性.
为保证风险管理框架和管理责任得到有效落实,DTCC建立配套的内部控制和管理体系,提高执行力.
主要包括:1、建立了完备的风险报告体系.
风险报告体系是全面风险管理框架中的重要组成部分,有利于促进风险信息及时、高效地内部流转,为公司决策、风险监督和考核奠定基础.
大致可分为两部分:风险框架报告(包含风险容忍度陈述)和风险状况报告.
风险框架报告由首席风险官每年如期提交,主要用途是实现董事会、各级风险委员会对全面风险管理框架进行审核、修正和批准,并设定当年的风险容忍度.
风险状况报告主要用于日常定期汇报风险事件、状况及控制效果(见附表8).
2、建立自上而下、与业务运作相对独立的多层级风险监督机制.
具体包括:一是董事会授权董事会风险委员会和审计委员会履行风险管理监督职能,避免风险管理出现不足或过度情况;二是管理层设立执行主席,统领并监督首席风险官、首席合规官的风险管理职能;三是管理层下设立风险管理三道防线,风险管理部门负责指导并监督第一道防线风险管理,而内部审计部门对前两道防线的风险管理工作进行监督.
正如前文所述,风险管理与业务运作之间会存在不可避免的利益冲突,而DTCC的风险管理部门对执行主席负责,业务运作部门对首席执行官负责,较好地实现风险管理和业务运作职能和角色分离,形成风险管理与业务运作之间的制衡机制,"两个轮子"相互协作保障公司整体平稳运行.
3、通过绩效考核和薪酬体系激励和引导风险管理工作.
DTCC通过将风险管理活动融入绩效考核和薪酬体系,建立了风险考核与激励机制,既避免执行层面过度追求业务发展而承担不必要风险、又防范过度强调风险控制而制约业务发展,谋求风险控制与业务发展的均衡,促进风险管理框架实施、风险管理责任落实.
此外,风险管理部门的绩效考核和薪酬设计有别于业务部门,进一步确保风险管理的独立性和有效性.
4、建立了一整套持续检查、评估和更新风险管理框架的机制.
DTCC定期会对全面风险管理框架进行评估、检查,进而形成不断完善全面风险管理框架的闭环,确保了风险管理框架的持续有效.
二、对完善中国结算风险管理的思考与建议(一)夯实公司风险管理制度体系,引导各方归位尽责,提高风险管理的整体性、协同性.
DTCC以集团模式运营,其分支机构、职能部门和业务条线均极为庞杂,但其风险管理工作却能长期保持顺畅运转.
究其原因,通过制度体系定流程、定标准、定职责,用制度管人、用流程管事是关键因素.
在国内资本市场业务类型不断拓展,国际化竞争加剧的背景下,建议在现有公司架构的制度安排下,进一步夯实公司风险管理制度体系,通过建章立制厘清风险职责、理顺体制机制,引导各方归位尽责,确保各项工作有章可循;并发挥制度"穿针引线"功能,串联已有各风险管理模块("搭积木"),整合三地资源,搭建科学、有效的风险管理体系,提高风险管理的整体性、协同性,进而进一步提升公司核心竞争力.
(二)设臵立体化的风险管理层级与防线,落实风险责任,提高公司风险管理的执行力与可持续性.
DTCC构建了风险管理的"三层组织架构"和"三道防线"将风险管理贯穿于公司的所有决策与过程中.
"三层组织架构"的设计使公司各层级能够在风险管理中,既支持协作又监督制约;而"三道防线"(第一道防线按风险来源,第二道防线按风险类型,第三道防线检查风险管理网络)确保了风险管理能够从多个角度贯彻落实,保证了管理的全面性和有效性.
建议公司在完善风险管理框架的过程中,结合公司目前的组织架构和业务格局,按照业务实操部门、业务管理部门、风险管理专职部门的不同功能定位,在董事会、总经理办公会下构建风险管理的立体化层级与防线,层层落实风险责任.
并且通过进一步健全完善监督检查与激励约束机制,提高公司风险管理的执行力与可持续性.
(三)实施风险分类管理,全面覆盖风险点,发挥风险管理的规模效应.
风险管理的意义在于要以最小的成本获得最大的安全保障.
DTCC通过对风险进行合理分类,不仅实现了对已识别风险点的全面覆盖,而且针对不同来源(如不同业务条线)的同类风险,使用相同或相似的风险管理手段,能够产生风险管理的规模效应,可以大幅降低风险管理的成本.
鉴此,建议公司在完善风险管理框架过程中,全面梳理各业务条线中的风险点并对其进行科学分类,保证不遗漏任何风险点的同时,为下一步设计风险管理流程,加强风险管理手段打好基础.
(四)提高量化和信息化技术能力,加强风险精细化管理,保障风险管理决策的准确性.
现代风险管理理论有"计算复杂"、"技术性强"、"工作量大"等特点,而量化和信息化技术的发展,使得众多风险管理理论呈现出可操作性并走向实际应用.
DTCC依据自身需求,开发出了多样化的量化工具,并通过技术系统使这些量化工具应用于生产,成为风险管理决策的有效支持.
相比DTCC,公司虽然建立了统一风险监测系统,但其功能更侧重于统计分析,对风险管理的决策支持能力不够.
换句话讲,目前公司风险管理决策还停留在主要依赖专家经验、定性判断的阶段.
鉴此,公司亟待依据自身需求引进、开发风险管理的量化工具,使定量分析与定性分析相互结合、相互补充,从而提高风险管理的质量.
同时,公司应加大信息技术投入,将所开发出来的量化工具通过技术系统实现,对相关风险数据进行收集、汇总、分析和挖掘,快速地对自身面临的风险进行识别、度量、评估、监测和报告,提高对风险管理决策的支持能力.
附表1:DTCC已识别的风险种类附表2:DTCC风险治理及组织结构职责和定位附表3:董事会各专业委员会风险管理职责附表4:管理层层面各专业委员会风险支持职能附表5:各风险管理部门的具体职责附表6:各类风险管理手段附表7:DTCC风险管理规章制度与规则附表8:风险状况报告附表1:DTCC已识别的风险种类风险分类风险定义业务风险信用风险指结算会员的主体信用风险,由于结算会员不符合DTCC规定的会员财务和运作标准,导致DTCC遭受损失或结算中断的风险.
市场风险指结算会员发生违约时,DTCC处置变卖其相关资产(担保品、清算基金或其他资产)后不足以覆盖其带给DTCC的风险敞口,而使DTCC遭受损失的风险.
由于DTCC已通过DVP机制完全覆盖了本金风险,DTCC面临的市场风险主要来自价差风险,即证券价格波动带来的风险.
流动性风险指结算会员发生违约时,DTCC没有充足的流动性资源垫付,以代替违约会员履行其结算义务的风险.
运作风险业务与运作连续性风险指由于人为差错、系统故障或其他外部事件(自然的或人为的),导致业务处理不当或失败,从而使DTCC遭受损失或无法继续运作的风险.
信息技术风险指由于信息技术系统出现系统损坏、中断及数据丢失,或因为技术落后带来的风险.
以及信息技术部门无法提供技术支持及维护服务或因技术落后,最终导致受到威胁(包括损坏、崩溃及丢失)的风险.
财务及内控风险指由于财务账目不准确,内部管理及内控不完善;运营和长期资本无法支持DTCC及其分支机构的运作;所购保险不足以覆盖风险敞口;各类投资策略不适当而导致DTCC遭受损失的风险.
人力资源风险指DTCC因缺乏充足称职的雇员,或因重要职位人员流失导致无法正常开展业务的风险.
系统性风险指影响到整体金融市场稳定运行的潜在威胁和风险因素,这些潜在威胁和风险因素一旦发生将会最终引发巨大经济损失及对整个金融系统信心的丧失,这将严重影响到DTCC的正常运作,并给DTCC带来经济损失.
创新业务风险指DTCC引入新的产品或服务时,由于实施前分析不全面、不透彻,对自身、会员和行业带来潜在的未知风险;或因为新产品、新服务挤占了现有资源,而影响了日常业务正常运作或挤占其他重要项目资源.
法律和合规风险指DTCC由于无法执行合同或违反法律、法规、监管规则以及相关业务标准、指南而遭受损失的风险.
附表2:DTCC风险治理及组织结构职责和定位层级具体职责董事会层面DTCC董事会及各类委员会负责监督DTCC管理层风险管理工作及检查全面风险管理框架的有效性,负责风险战略选择以及确定风险容忍度.
管理层层面DTCC管理层负责建立和运作全面风险管理框架,具体负责识别、管理和缓释DTCC日常各类风险的责任;通过有效的风险管理,将DTCC面临的各类风险控制在董事会设定的风险容忍度范围内;负责全面领导、组织职能和执行部门开展具体风险管理工作,并监督其风险管理职责落实情况.
职能部门和执行层面具体负责在日常业务中识别、管理和缓释DTCC日常各类风险,具体执行各项风险管理政策及流程,开发各类风险管理工具、系统,分析和评估风险状况,填报各类风险管理分析报告等.
附表3:董事会各专业委员会风险管理职责委员会支持类型风险相关职责董事会审计委员会法律和合规风险直接对法律和合规风险进行监督:(1)监督DTCC合规项目的设计与管理,包括政策、流程是否合理,确保法律和合规问题能够被首席合规官和高级管理层高效并迅速地解决;(2)监督合规管理部门的结构、员工配备和资源;(3)听取首席合规官报告,持续监督合规活动及问题;(4)获悉DTCC适用的法律、规则、指南和行业实践变化对DTCC的潜在影响,并确保关键问题和系统性风险点能够被报送至董事会.
业务、技术与运作委员会创新业务风险负责协助董事会风险委员会监督创新业务中的风险:(1)从创新业务的可行性分析到最终的项目上线,全程各环节上都施加必要的风险评估与控制,同时还负责对创新业务的潜在系统性风险(包括效益)进行评估和分析;(2)审查对会员公司产生重大影响的创新业务和配套沟通方案;并就此与董事风险委员会沟通和协调,确保与创新业务相关的关键事项和实质风险上报董事会;(3)对创新举措(包括合并、收购、合资及合伙)进行审查批准,并在委员会主席认为必要时请求董事会批准.
薪酬与人力资源委员会运作风险通过绩效考核和薪酬计划等方式支持运作风险的监督:(1)与董事会风险委员会协商,审查并评估薪酬计划是否促进了风险的识别和管理,以及阻止了执行官员承担不必要的风险;(2)与董事会风险和审计委员会协商,确保薪酬政策满足薪酬实践的需求.
附表4:管理层层面各专业委员会风险支持职能委员会支持类型人员构成主要风险管理支持职能内部运作委员会运作风险创新业务风险DTCC管理层人员负责制定业务发展战略;审核和批准创新业务;监督财务报告和重点运行指标;以及监测外部环境变化,并向管理层风险委员会提供运作和创新业务风险管理的建议.
创新业务委员会创新业务风险系统性风险DTCC管理层人员负责批准创新业务,并向管理层风险委员会提供创新业务和系统性风险管理方面的建议.
反洗钱监督委员会法律和合规风险不详负责DTCC反洗钱项目的开发与维护,以支持相关法律和合规风险的管理.
系统性风险顾问委员会系统性风险创新业务风险DTCC主营业务条线及职能部门的负责代表负责按年检查全球金融业威胁背景下的系统性风险策略,识别影响DTCC和其会员的系统性风险点,并向风险管理委员会提供相关应对建议.
模型风险治理顾问委员会业务风险风险管理部门量化团队、相关业务部门的代表负责测试、检查、批准、管理和监督风险评估模型,并指导DTCC的各个单位使用这些模型监测其风险敞口.
外部风险咨询顾问委员会全面风险DTCC会员的高级执行代表负责对具体的风险管理创新提供建议和意见,如DTCC分支机构的融资方式等.
清算机构流动性顾问会员会附表5:各风险管理部门的具体职责管理职位风险管理部门风险管理职责首席风险官业务风险管理部(ERM)DTCC最为核心的风险管理部门,统一负责对DTCC全部信用风险、市场风险和流动性风险进行识别、度量和应对,其目标是保证DTCC清算与结算系统的安全与稳定.
ERM的主要工作有:通过风险模型度量每个结算会员带来的风险敞口;计算结算会员应缴纳的保证金数额,以及附加其他必要的风险管理措施覆盖结算会员的风险敞口;进行回溯测试、压力测试和风险情形分析,检验保证金、清算基金等风险管理财务资源的充足性;负责结算会员的准入和持续管理,持续监测和评估结算会员的信用状况.
运作风险管理部(ORM)负责建立运作风险管理框架,并通过建立跟踪和度量运作风险的平台,协助业务运作部门将该框架应用到日常运作中;识别和监控DTCC在日常业务运作过程中产生的运作风险;监督相关运作风险管理流程的执行情况.
业务连续性管理部(BCM)负责建立DTCC的业务连续性管理政策,并制定业务连续性计划.
技术风险管理部(TRM)负责建立并维护DTCC的信息安全与技术风险管理框架.
系统性风险办公室(SRO)负责与内外部相关主体和资源(包括监管机构和会员等)合作,建立并维护DTCC的系统性风险管理策略;分析并评估影响DTCC及其会员的系统性风险;制定应对系统性风险的计划.
创新业务办公室(NIO)负责分析和评估创新业务风险及管理措施,执行创新业务审核流程,提议、评估和批准创新业务,并持续跟进创新业务的实施情况.
首席合规官合规办公室(OCRC)与法律咨询部门合作,负责建立法律和合规风险管理框架以评估DTCC提供服务及产品、业务运作中,及由会员产生的法律和合规风险.
附表6:各类风险管理手段风险类型管理手段具体内容信用风险会员准入DTCC主要从财务标准(包括最低资本金)、信用状况以及运作能力标准方面建立了会员准入标准.
DTCC建立了严格的会员准入流程,会员加入申请首先需要经过ERM的严格审核,以确保申请人符合会员准入标准,此后还需经管理层风险委员会(MRC)以及董事会风险委员会(BRC)批准,才能最终获得会员资格.
会员持续管理与监控DTCC对会员遵守会员标准情况、财务状况以及信用状况进行持续监控,至少每年对会员进行一次信用状况检查和评估.
ERM具体负责会员持续管理与监控,通过信用风险评级矩阵系统(CreditRatingMatrixSystem)对会员进行信用评级,评估时主要依据参与人定期报送的财务数据(主要是信用、杠杆、流动性以及盈利方面的财务信息),此外还会从监管部门、自律组织以及其他金融信息供应商处获得相关信息.
DTCC还通过持续收集和关注会员的股票价格、新闻、其他市场公开信息等市场信号(market-basedsignal)来帮助评估会员信用风险.
DTCC会根据会员信用评级结果采取不同的管理措施,例如对于信用评级差的会员收取更高水平的清算基金,进行更高频率的监控,要求提供更多的披露信息等.
市场风险保证金和清算基金ERM借助清算基金管理系统(ClearingFundManagementSystem,CFM)使用VaR模型基于99%置信度(或更高)度量会员的市场风险敞口,并据此计算会员应缴纳的保证金和清算基金以充分覆盖其风险敞口.
该方法考虑了市场波动、逐日盯市、持续净额结算失败缴款、流动性、市场集中度及其他特定因素.
清算基金模型每年须通过业内第三方专家的独立验证,以确保其合理性和有效性.
目前,DTCC每日日终计算一次会员应缴纳的保证金和清算基金,并规定会员应于美国东部时间上午10:00之前缴纳到位.
为进一步提供其市场风险管理能力,DTCC正在发展日间实时结算保证金和清算基金的能力,实施后将可以日间必要时向会员及时追缴保证金.
压力测试与回溯测试机制ERM每日对清算基金的充足性进行压力测试与回溯测试,按月对测试结果进行检查,分析异常状况并制定对策.
压力测试及回溯测试主要方法是:通过使用历史情景(如美国1987年的股票市场波动情况)和设定极端但合理的情景("what-if"scenario)模拟风险事件,测试现有清算基金资源是否可以覆盖压力情景下的风险敞口;对会员结算头寸进行回溯测试,比较会员的清算基金与会员结算头寸(过去3天的)的价值变化,以测试会员清算基金要求的充足性.
同时,ERM还会对清算基金合格抵押品证券的折扣率进行压力测试与回溯测试,确保折扣率充足.
违约处置流程DTCC各分支机构建立了标准化的违约处置流程,明确了违约处置过程中各方(BRC、MRC、ERM、分支机构和顾问等)的角色和责任.
DTCC违约处置流程主要分工是:董事会风险委员会(BRC)根据分支机构的业务规则判定会员违约情况,决定是否暂停或停止向违约会员提供清算服务,并书面通知该会员;分支机构根据其规则和违约处置流程聘请投资顾问或经纪人协助对违约会员发起平仓流程(CloseoutProcess)或对冲交易,并持续跟进头寸变现情况,以及时替换流动性支持资源并弥补违约损失.
损失瀑布流DTCC清算基金计算方法是基于99%置信度(或更高)覆盖会员市场风险的,并未覆盖尾部风险3,因此会员违约时可能产生其缴纳的担保品不足以覆盖平仓风险损失的情况,需要进一步按照事先制定的损失瀑布流(LossWaterfall)分配相关损失.
DTCC的损失瀑布流大致顺序是:首先是违约会员缴纳的保证金和清算基金,以及该会员可动用的一切资源(主要包括其他清算机构的交叉保证金);其次是DTCC自身的部分留存收益;最后是其他补充资源,主要是非违约会员缴纳的清算基金.
流动性风险逐日流动性需求计算及监测分支机构的结算部门负责协助ERM每日监测会员层面和整体市场的流动性需求,并向结算义务较大的会员确认其流动性资源是否充足.
ERM负责每日模拟计算流动性需求量,运行流动性压力测试,以检测各分支机构的流动性资源是否足以覆盖结算义务最大的一家会员违约时的流动性垫付需求4,并监测各分支机构面临的流动性风险敞口.
ERM流动性压力测试的假设和条件主要包括:会员整体突发性违约,且当日交易量处于历史高位;市场波动较低(即清算基金水平较为稳定);最大的流动性提供者无法提供支持等.
同时,还包括违约会员头寸价格剧烈波动;多个参与人违约和证券流动性急剧下降等极端条件.
DTCC还会定期聘请业内第三方专家对压力测试假设和条件进行审核,确保流动性压力测试的合理性和有效性.
多渠道的流动性资源安排DTCC各分支机构通过多个渠道获取合格的流动性资源,主要包括:(1)清算基金中的现金部分;(2)针对流动性风险会员额外缴纳的"补充流动性存款";(3)经过ERM与DTCC财务部门认定的合格商业银行等流动性提供机构提供的授信额度5.
此外,经清算机构流动性顾问会员会充分讨论并评估,各分支机构根据证券品种不同还可采取其他方式进行融资,如FICC可通过对清算基金合格抵押证券、违约会员持有的债券头寸进行回购交易资获取流动性.
DTCC各分支机构为违约会员进行流动性垫付后,通过变现违约会员的抵押品和结算头寸替换、收回已垫付的流动性资源,如无法完全替换所垫付的流动性资源,则根据DTCC的损失瀑布流进入违约损失分配阶段.
目前,DTCC各分支机构的流动性资源是相互独立的,不能共享使用,但各分支机构流动性风险由集团业务风险管理部(ERM)统一集中负责管理.
运作风险运作风险状况评估ORM通过收集和跟踪内外部事件数据,定期深入分析一线业务部门的职能执行情况,检查有可能新增运作风险的业务流程,确定是否需要新增运作风险控制流程或改变风险控制目标等.
ORM每月编制运作风险报告,详细报告每个业务运作部门的运作风险细节状况,相对于前一个月和前一年的风险变化情况,以及需要重点关注的运作风险点.
3ERM已开发担保金(Guarantyfund)模型对尾部风险进行管理,目前正在备案和征求意见过程中.
4DTCC的结算周期为T+3,因此分支机构的流动性需求为代替会员履行违约之日起3天内结算义务的资金额总和.
5截至2014年6月30日,DTCC各分支机构获得商业银行的授信额度分别是:NSCC为134.
7亿美元、DTC为19亿美元,FICC暂时没有商业银行授信安排,主要通过清算基金供款、回购市场获得流动性支持.

反向压力测试为提升运作风险管理的有效性,ORM开发了反向压力测试工具作为前瞻性的运作风险管理工具.
该工具可识别并推测出可能对DTCC业务运作产生重大影响和威胁的情景.
运作可靠性管理DTCC主要从加强检测和质量管理两方面保障运作可靠性.
在监测方面,ORM通过一系列工具对运作稳定性进行监控,主要有:年度风险评估报告、风险控制自评估报告、风险事件报告,以及对项目开发、系统可获得性和数据报告方面的监控.
在质量控制方面,ORM引入多种质量管理工具改进业务流程控制和新业务开发控制,主要包括:6希格玛6、Kaizen、能力成熟度模型整合、信息技术基础构架库(ITIL)等.
同时,ORM还使用业务打分卡和标准化的内部服务协议(internalServiceLevelAgreement)7对技术系统的性能进行评估.
系统处理能力计划管理DTCC建立了专门的团队(theCapacityandPerformancegroup)负责对系统处理能力和利用率进行预测和监控,并分别按日、按周、按月生成系统处理能力监控报告提交给IT部门审核.
DTCC还建立了完善的系统压力测试制度,通过定期的系统压力测试确保系统处理能力在任何时候都至少达到历史峰值的两倍,此外,所有的新开发系统在投入实际生产前都必须经过充分的压力测试.
业务连续性计划业务连续性管理部(BCM)通过业务影响分析(BusinessImpactAnalysis)对业务单元的重要性、优先级、独立性进行分析,并确定特定业务单元的连续性需求8,从而为其制定业务连续性计划,确保各业务单元有效运转.
同时,DTCC还在不同区域建立多个灾备数据中心,并采用纽交所网络等非公用网络进行数据传输,确保数据服务安全连续地运作.
系统性风险制定专项计划为准确识别系统性风险点并实施有效管理,SRO每年向DTCC会员发起市场调查,分析并确认系统风险点,并由系统性风险顾问委员会对系统性风险的策略进行检查,同时提供减轻或降低系统性风险的意见.
目前所关注的系统性风险点主要有政策冲击、重要市场参与者破产、网络安全、重大业务连续性事件、突发性股票或债券市场混乱、美国经济衰退、部分或全部欧元区解体、重大合规或监管事件、金融主体高速连接和高频交易等.
创新业务风险创新业务审核流程NIO负责组织和发起审核流程,评估创新业务的复杂度、风险状况和对内外部、金融系统的影响等信息,并通过重要性、驱动力和风险评价三个指标反映出来,这些指标决定了创新业务推进和管理的级别.
需要重点指出的是,创新业务风险的评估贯穿项目的各个阶段(初始识别、项目实施和后续运行),并根据项目类别上报相应的董事会委员会审查.
法律与合规风险定期评估、执业道德监控OCRC协同总法律顾问办公室定期评估DTCC的运作、服务、产品及由会员产生的法律和合规风险.
评估结果由首席合规官报告执行主席和审计委员会,以驱动相关政策与程序、监测、报告和合规检查制度的建立与改进.
同时,OCRC通过执业道德监控和一系列技术系统如雇员投资监控系统(监测并预防内幕交易)保证DTCC的雇员能够在业务与关系的处理中保持诚信与廉洁.
66希格玛是一种改善企业质量流程的管理方法,该方法是一种统计评估法,是99.
99966%无缺陷的.