以统一的混业监管为特色的英国金融服务局(Financial Services Authority，简称FSA)，近年来致力于对包括证券公司、银行、保险公司等不同金融机构在内的金融机构建立一致性的风险评估和监管的框架。作为一个阶段性的成果，2003年初英国金融服务局发布了《金融机构风险评估框架》，比较全面地探讨了英国金融服务局对于不同金融机构的风险进行评估的基本步骤、思路和方法，值得我们予以借鉴。

蔡依琳演唱会票价1元? 索爱K700c新上市1元拍 海纳百川 候车亭媒体 财富之旅诚邀商户加盟

　　一 英国金融服务局“风险评估框架”的形成

　　2000年1月，英国金融服务局完成了报告“新千年中的新监管”，该报告描述了其新职责和达到新职责的新方法，如重点强调了英国金融服务局的主要职责应当包括四个方面，即：维持公众对于英国金融体系的信心；保证对于金融服务消费者的适度保护；降低金融犯罪；推进公众对于金融体系的理解。该报告设立了英国金融服务局在执行其法律职责时应采取的运作框架。随后，为了进一步落实该报告的内容，英国金融服务局在2000年12月、2002年2月以及2002年10月分别总结了其工作的最新进展。

　　英国金融服务局法律职责所包括的四个方面的内容，全面反映出政府设立金融服务局的主要目的。为了贯彻和落实该4类目标，英国金融服务局致力于将良好监管所需要的原则牢记在心。随后，英国金融服务局完成了报告“建立新监管机构的进程——报告2”，该报告明确了英国金融服务局的操作性框架，并且说明了通过该框架，人们可以更直观地了解监管机构的目标以及原则，了解一个更加透明、统一、以风险管理为基础的监管机构是怎样运作的。

　　英国金融服务局的运作框架设立了一套战略目标，以帮助英国金融服务局来实施其法律职责。该套战略目标包括三方面内容，即评估环境因素、进行风险评估以及完善新职责。这些目标的确定不仅将帮助监管机构和被监管机构确立工作重心、进行资源的调配，同时将影响金融市场、行业以及金融产品及其消费者对于资源的调配。英国金融服务局每年对上述战略目标进行一次评估并且在其预算报告中予以公布评估结果。

　　作为金融监管的重要组成部分之一，对金融机构进行风险评估的运作性框架是基础性的工作，可以帮助被监管对象了解英国金融服务局进行风险评估的运作过程。在该框架中，英国金融服务局明确了被监管对象可能存在的风险以及对于这些风险监管机构应采取的措施。

　　(一)英国金融服务局进行风险评估对于被监管对象的重要性

　　这主要体现在以下几个方面：

　　1、 英国金融服务局对于被监管对象进行的公司风险评估及其结果将直接决定英国金融服务局对其采取的监管措施的严厉强度；

　　2、 风险评估的结果将直接决定公司应采取哪些措施来控制和消化风险；

　　3、 在进行风险评估时，英国金融服务局将主要依靠高级管理层，因此在评估的过程中要高级管理层充分了解风险评估的过程并且对风险问题予以足够的关注；

　　4、 风险评估的结果将成为英国金融服务局是否要求被监管机构修订其资本金比例时考虑的关键因素之一。

　　英国金融服务局指出，其风险评估运作框架适用于含交易所、清算机构以及保险公司在内的所有金融类企业。

　　(二)英国金融服务局风险评估的过程

　　主要包括以下几个阶段:

　　新的评估周期开始时，首先进入准备阶段；

　　其次，进入可能性分析阶段；

　　在此基础上，要设计完成风险弱化报告，进而在公司进行内部确认；

　　在此之后，和被监管对象进行沟通；

　　采取监管措施和手段；

　　对于风险的扩大要持续评估和采取措施予以减弱。

　　在完成上述阶段后，再循环开始新的一轮评估。

　　(三)英国金融服务局对于风险的定义

　　包括以下几个方面的内容：

　　1、 该风险不同于公司内部管理所关注的风险，而是集中于公司可能影响英国金融服务局落实完成其法律职责的风险。英国金融服务局所讲的风险始终指的是后者。

　　2、 在识别和评估风险时，英国金融服务局主要关注的是风险的影响以及风险发生的可能性。影响(impact)主要指的是如果该风险成为现实，会给英国金融服务局的法定义务带来什么样的影响，而可能性分析(probability)主要分析风险成为现实的可能性。

　　3、 根据分析，英国金融服务局将对所监管的对象确定其风险级别。如果被监管对象处于“低风险影响(low impact)”级别，则英国金融服务局不会对其进行单独的风险评估，也不会要求其对风险提出一套整改和预防措施计划。相反，处于低风险影响类别的被监管对象，主要依靠英国金融服务局的一套监测系统予以跟踪。该监测系统包括baseline监测、提出预防风险的措施、随机监测其是否遵循了行业规范以及将其置于行业评估的范围。随着英国金融服务局不断跟踪，如果被监管对象的风险高于低风险影响类别，则需要英国金融服务局对其进行单独的风险评估和测定，并在此基础上，要求该公司进行相应的风险控制。

　　4、 风险评估的过程是一个高级别的评估过程，它不同于审计，也不是按照英国金融服务局的有关操作手册来逐一对照被监管对象是否完全符合有关规范。

　　5、 风险评估既包括对公司经营风险、控制制度以及外部风险的评估，但是更重要的是，评估时的重点是考察这些被监管对象存在的风险对于英国金融服务局实现其法定义务可能带来的风险。对此英国金融服务局将后者主要划分出7类，称之为RTO风险。

　　6、 在评估公司风险时，英国金融服务局采取的并不是一刀切的方法，相反，在评估公司风险时，英国金融服务局更关注的是从公司业务的性质和规模出发，来考察其存在的风险因素。

　　7、 在风险评估完成之后，英国金融服务局将以信函方式通知被监管对象其存在的风险，以及英国金融服务局认为其应采取的一揽子控制风险的计划。

　　8、 一揽子控制风险计划主要强调，公司的高级管理层应承担起建立有效内部控制机制的责任，并确保公司能够按照监管要求和标准开展业务活动。

　　9、 在此基础上，英国金融服务局还设定了对被监管对象进行再次评估的时间表。如果被监管对象的风险状况有所恶化，英国金融服务局也将修订其提出的一揽子控制风险计划。

　　二 英国金融服务局风险评估过程的基本框架

　　英国金融服务局进行风险评估主要分为以下几个阶段：

　　1、 准备阶段

　　2、 对风险变为现实的可能性进行分析

　　3、 形成一揽子风险控制计划

　　4、 内部确认

　　5、 将评估结果和控制计划向管理层进行沟通

　　6、 跟踪评估，如风险恶化，则加强控制。

　　第一阶段： 准备阶段

　　主要包括3个方面的内容：风险影响评估、确定被评估单位以及对于集团公司的处理、法律管辖问题等。

　　1、风险影响(impact)评估

　　英国金融服务局对于监管对象进行风险影响评估时，首先根据的是监管对象日常向英国金融服务局提供的有关数据信息，例如公司获得的总保费收入、公司所管理的资产总值、公司总资产负债等。在此基础上，对公司业务量规模设定不同区间(threshold)。据此数据，英国金融服务局将公司业务量区间、公司业务类别、与该公司对于英国金融服务局实现其4个法定职责可能带来的影响进行对照，来确定该公司的风险影响级别。由此可见，对照不同性质的公司，例如银行、证券、保险公司，英国金融服务局确定了不同的业务量区间对应的风险级别。总体而言，风险级别包括4类：高风险影响级、中高风险影响级、中低风险影响级以及底风险影响级。一般而言，在确定业务量区间时，高风险影响级/中高风险影响级：中高风险影响级/中低风险影响级:中低风险影响级/低风险影响级之间业务规模的比例为200：20：1。但是对于咨询、承销以及证券买卖的代理机构，英国金融服务局确定其资本实力指标和风险影响对应关系时，其区间比例为200：20：1.33。由此可见，对于小型公司和大公司，英国金融服务局认为其业务量、其资金实力和其风险影响是有差别的。对于小公司，其资金实力主要是为了日常开支，而对于大公司，其资金实力主要是牵涉其代理的头寸规模。对于业务涉及多类金融机构的金融集团，英国金融服务局根据其不同业务类型和所处行业分别确定其风险影响级，然后予以汇总，得出整个集团的风险影响级别。

　　除了低风险影响级别的被监管对象外，所有其它风险影响级别的企业均应接受单独的风险评估。对于处于集团公司内部的某一企业，一般英国金融服务局会对其单独进行风险评估后，将其它同处于同一集团内部的其它机构的风险评估合并。在英国金融服务局完成风险评估后，将以信函的方式告知被监管机构其风险影响级的种类。

　　2、确定评估单位以及对于集团公司的处理方式

　　对此，英国金融服务局 作出如下规定：

　　在准备阶段，英国金融服务局需要做的另一项工作就是研究公司的法律、业务以及管理结构，以确定被评估的单位(units)。最基本的评估单位是公司。如果是单独的公司，则可以简单套用英国金融服务局设计出的风险影响级别矩阵，来确定该公司所处的风险影响级。

　　但是在多数情况下，问题并不是如此简单。因为一般而言，多数金融机构属于集团性公司，内部有不同的公司，法律、业务以及管理结构都比较复杂。因此，在这种情况下，英国金融服务局就需要首先选择并确定被评估的单位。选择时考虑的主要因素是公司的管理结构。所确定出的评估单位一般是公司的实质业务单位(MBUs, material business units)。所谓实质业务单位，一般是对于整个集团整体风险具有显著作用且是集团主要收入来源的公司。在确定实质业务单位的同时，英国金融服务局也会关注集团内部的控制和支持系统的功能，例如内部的风险控制、内部审计以及IT等部门。

　　实质业务单位的确定不仅是在评估集团性公司时会有所应用，在一个公司内部有时也会使用。例如，如果某公司业务范围十分广泛，分别处于不同行业，那么确定其实质业务单位往往会有助于分析其风险影响级。

　　具体而言，英国金融服务局在确定实质业务单位时，所采用的标准是10%，也就是说，实质业务单位在其公司或者其所属的集团公司中，其收入、税前利润或者资本金占据10%或者以上。不过，如果英国金融服务局或者被监管对象认为其某个公司或者公司的某项业务是实质性业务，那么即便比例未达到10%，英国金融服务局也会将其认定为实质业务单位。

　　上述确定过程意味着，对于结构较为复杂的公司，往往实质业务单位不只一个，而可能是多个。举例来说，有一个保险集团，其下属公司业务分别涉及寿险、财险、再保险以及其它一些小额业务等。集团的资本金结构一般，但是其利润结构十分清晰。寿险、财险以及再保险利润在集团总利润中所占比例分别为45%、30%以及7%。显然，寿险和财险均超过了10%的标准，因此是实质业务单位。再保险虽然比例未达到10%，但是由于英国金融服务局发现其再保险有一些严重的风险隐患，因此，再保险也会被视为其实质业务单位之一。再比如，一个投资银行集团其业务主要包括证券交易和资产管理。其中，属下多个公司从事证券交易业务，多个公司从事资产管理业务。这些公司均独立运作。前者利润占集团税前利润的70%，后者占据30%。在英国金融服务局中，负责监管证券交易和监管资产管理的部门是不同的。相应的监管部门将其监管的业务分别视作实质业务单位。在这种情况下，英国金融服务局中负责监管证券交易的部门就将集团中多个从事证券交易的公司视作一个实质业务单位，负责监管资产管理业务的部门就将集团中多个从事资产管理的部门视作另一个实质业务单位。在这种情况下，实质业务单位并不是集团内部的一个独立机构，而是从事同一业务的不同公司。

　　3、司法管辖权的问题

　　对此，英国金融服务局规定如下：

　　在准备阶段，英国金融服务局还需要考虑一些司法管辖权的问题。这是因为英国金融服务局在实现其法定权责时，必然牵涉到法定权责适用的地理范围。越来越多的金融机构往往具有庞大的海外分支机构或者海外业务，因此英国金融服务局在履行其法定权责时，必然牵涉到和其它国家监管机构的合作问题。此外，欧盟有关行业指引的一些规定及其影响也同样需要英国金融服务局予以关注。

　　尽管英国金融服务局的法定权责是在英国境内实施金融监管，但是就其业务来说，并不限制在此地理范围之内。由于金融机构的国际化运作，任何其它国家金融机构的业务也可能影响英国金融服务局履行其法定权责。因此，在对待国际性业务或者国际化集团时，英国金融服务局同样充分考虑其监管职责，只要需要，就会和相关的海外监管机构进行合作。

　　在和其它海外监管机构进行合作时，英国金融服务局会以效率为原则确定其和海外监管机构的业务分配。同时英国金融服务局会从多个指标体系出发，来评估其它国家监管机构的水平，这些指标包括监管机构执行国际监管标准的水平，例如对于巴塞尔核心监管原则的掌握和运用，以及该国对于国际会计准则的执行情况等。对于英国金融服务局监管的机构来说，在其它条件同等的情况下，如果其海外业务所在国家的监管机构效率不高，则英国金融服务局对其在英国的业务监管就会相对更严格一些。

　　举例来说，如果一家欧洲大陆银行在英国有分支机构，该分支机构同时从事零售经纪业务和批发证券业务。根据欧盟银行业联合指引的规定，英国金融服务局并不负责对该公司进行审慎性监管，对该公司进行审慎性监管的职责在于其母公司所在国家的监管机构。不过，英国金融服务局对该公司在以下方面的确负有监管职责(除非和母公司所在国监管机构另有约定)，例如公司流动性、公司将金融产品出售给英国消费者、可能滥用英国金融市场、在英国开展金融营销以及可能通过该分支机构洗钱等方面。上述范围就牵涉到前文论及的RTO风险，例如管理操作不规范、消费者知情权受影响、金融欺诈、滥用市场以及洗钱等。这时英国金融服务局就有权对其进行风险影响级别的评估。除此之外，由于该分支机构从事批发证券业务，对于英国证券市场具有相当的影响力，因此英国金融服务局还必须确保其母公司所在地的金融监管当局在实施审慎性监管时，必须对该公司在英国分支机构的运作可能对英国金融服务局实施其监管职责带来的风险予以足够重视。

　　再比如，注册地在非欧盟国家的一个金融机构，其所有业务均通过设在英国的分支机构开展。在此情况下，技术上英国金融服务局就拥有对该机构充分的监管权。英国金融服务局会从RTO全部风险角度对于该机构进行风险评估，不过英国金融服务局也会和其注册地监管机构进行分工。如果对方监管能力较强，则英国金融服务局会更多依赖其监管报告，而减轻自身工作量；如果对方监管能力较差，则英国金融服务局会按照比例增加自己的监管内容。

　　第二阶段：对风险变为现实的可能性分析(probabilty assessment)

　　进行可能性分析的目的有两个。一是英国金融服务局希望评估被监管对象对英国金融服务局履行其法定权责可能带来的风险，变为现实的概率有多大；更重要的是，英国金融服务局希望通过可能性评估，来形成一套针对该机构的控制风险的一揽子计划。

　　可能性分析的过程是诊断被监管对象实质业务单位风险因素的过程。一般主要牵涉三个步骤：诊断外部环境风险因素、识别被监管对象特定风险以及对于这些风险进行评估。

　　可能性分析主要是非现场分析，分析主要依靠被监管对象日常提供的信息以及不断补充的新信息。必要时，英国金融服务局也会进行现场评估。

　　1、 诊断外部环境风险因素

　　可能性分析的第一个步骤是分析被监管对象面临的外部环境。这些风险一般是外在的，但是会对企业的业务和风险控制能力产生直接或者间接的影响。一旦确认外部风险因素，在整个可能性分析过程中，英国金融服务局必须始终考虑到这些因素。

　　外部环境因素主要包括以下6大类：政治法律因素、社会人口因素、技术因素、经济因素、竞争因素以及市场结构因素。

　　举例来说，有一家从事长期储蓄业务的零售银行，它主要依靠自己设计金融产品并靠自身来销售其金融产品。那么，英国金融服务局就需要了解环境因素是否会对该机构业务带来重要影响。例如，利益相关人产品的出现是否会影响该企业销售自身设计的金融产品？引入竞争对于该企业业务和风险控制有怎样的影响？同时英国金融服务局还需要了解，一旦环境发生变化，公司战略怎样发生相应变化，如果发生相应变化，会带来什么风险？特别是，这些外部因素变化会如何影响公司和客户的关系以及会如何影响公司的风险控制系统。

　　再比如，英国金融服务局通过调查发现，有相当数量的客户在还债时面临一定的困难。英国金融服务局希望了解，对于英国金融服务局的该项调查结果，一个在零售抵押市场上占据较大份额的企业，是否会对其资产进行压力测试？如果客户还款能力下降，该企业的抵押资产有多大的风险？

　　2、 识别被监管对象的特定风险

　　识别被监管对象的特定风险主要有两个角度：一是风险的来源及其表现，而是被监管对象的特定风险是如何影响英国金融服务局实现其法定权责的。因此，识别被监管对象的特定风险是从风险角度出发的。英国金融服务局将特定风险分为2大类，即业务经营风险和风险控制能力。其中前者由被细分为4类，后者被细分为5类。

　　具体来看，业务经营风险包括以下4大类：

　　-战略

　　-市场、信贷、承保以及操作性风险；

　　-金融稳健性

　　-客户/用户、产品/服务的性质特点

　　风险控制能力包括以下5类：

　　-和客户/用户的关系

　　-组织机构

　　-内部系统和控制

　　-董事会、管理层以及职工

　　-企业文化

　　上述9类因素又被进一步细分为45项，以供英国金融服务局予以对照评分。例如，内部系统和控制中单就“内部审计”一项，又被细分为“要求”、“结构、报告路线、资源”、“内部审计计划”、“方法论”、“内部审计报告”以及“后续跟进”等方面。需要说明的是，这45项并不是具体的评分问题，而是一个清单，以便英国金融服务局在考虑特点风险时能够注意到上述方面，从而在制定一揽子计划时，能够全面考虑到业务经营风险和风险控制的各个方面。

　　在此基础上，英国金融服务局将诊断出的企业的特定风险与英国金融服务局履行其法定权责进行对照，以判断公司在业务经营和风险控制方面存在哪些风险是如何影响英国金融服务局履行其某项或者某几项法定权责的？具体来说，就是看被监管对象的特定风险是如何与RTO风险对应的。

　　RTO风险主要包括如下几项：

　　1. 金融失败，即被监管对象倒闭可能对市场信心以及消费者保护带来的风险。对于那些处于高影响级别的被监管对象，当其处于亏损状态，足以对市场信心造成负面影响，但是还尚未倒闭时，也会产生此类风险。

　　2. 操作或者管理不当，即对产品交叉销售时由于操作不当或者管理不当，而可能会对消费者保护和市场信心带来的风险。

　　3. 消费者知情权，即当消费者购买某种金融产品时，由于缺乏足够的知情，而导致的有损消费者保护或者有损公众知情权的风险。

　　4. 欺诈不实，即由于欺诈或者不诚实而可能产生金融犯罪或者影响市场信心的风险；

　　5. 市场滥用，即公司滥用市场而可能导致的金融犯罪或者影响市场信心的风险；

　　6. 洗钱，即通过公司进行洗钱而可能导致的金融犯罪和影响市场信心的风险；

　　7. 市场素质，即由于市场不完善或者市场恶化而对市场信心和消费者保护带来的风险。此类风险仅和某些大公司或者在某一市场占据较大份额的公司相关。

　　英国金融服务局根据公司提供的信息资料，来确定公司是否存在上述风险。如果必要，还会对公司进行现场检查，特别是对于那些被确定为高风险影响级的企业。在进行现场咨询前，英国金融服务局往往还需要事先要求某些信息资料，以便更好识别和确认公司的风险状况。这样，英国金融服务局在进行现场核实时，能够主要集中于存在信息缺口的方面，例如公司的业务和风险管理结构发生变化时，或者存在需要核实的方面。

　　需要注意的是，在这一阶段，当确认公司风险时，往往存在跨越多个RTO风险组别的风险问题。举例来说，市场上有一家销售高回报基金产品的公司，英国金融服务局收到大量消费者关于该产品的投诉。英国金融服务局对于此事进行了现场调查，随后发现公司在销售人员培训方面较为薄弱、公司对于销售材料的把关不够严格、公司的业务督导人员不足，无法严格地监督销售过程。由此可见，上述不足牵涉到很多因素，包括人员培训和招募、金融推介、产品信息公布、督导以及公司文化等。英国金融服务局将根据这些因素及其可能造成的效果将公司风险分别归类为操作管理不当、消费者知情权等类别；并以此为基础来设计公司的弱化风险的一揽子计划。

　　尽管上述框架是一个单一的风险评估框架，但是在应用中英国金融服务局会根据公司所处的不同市场和不同行业而灵活处理。其中主要的方式是针对不同行业和不同市场，评估该行业和市场具有的风险，并对照RTO风险类别进行评估。举例来说，金融市场上基础设施的提供者所具有的风险因素可能和其它市场参与者具有的风险因素有所不同。前者的风险主要集中于市场功能发挥不好方面，例如市场效率、市场清晰度以及结算清算安排等因素。因此RTO风险组别类中的消费者保护可能对其并不适用。再比如，市场上有一家公司，主要从事公司型批发性存贷款业务，那么一般消费者知情权类风险对其就不适用。

　　第三阶段：对于风险进行评分并加以汇总

　　根据上述标准，英国金融服务局将公司风险与RTO风险组别加以对照，确定风险评分。风险评分标准包括以下几类：

　　-N/A，此类因素和RTO风险组别无关；

　　-D/K，信息不足，无以判断此类因素是否和风险组别相关；

　　-低(Low)，此类因素和RTO风险组别低度相关，一般不需要采取行动。Low为默认标准。

　　-中低，此类因素和RTO风险组别中低度相关，可选择采取行动或者不采取行动。

　　-中高，除非有消除此类因素的行动，否则会存在较高风险；

　　-高，必须采取行动消除此类风险因素。

　　如上所述，英国金融服务局在评定风险时，根据公司来确定风险因素，一类风险因素可能牵涉不同的RTO组别。因此，一类风险可能在不同RTO组别中被计算多次。需要注意的是，英国金融服务局在评定风险时，按照业务风险和控制风险组别分别进行评估，也就是说，在评估业务风险时，暂时不考虑控制风险因素可能对业务风险评估带来的影响。

　　英国金融服务局针对公司不同因素，对照不同RTO组别评定风险，并在此基础上汇总出公司的整体风险。在汇总风险时，要考虑公司控制风险的能力对于整体风险的影响。公司控制风险的能力可能会加大或者减弱公司的业务风险评分。另外，在确定风险评分时，如果英国金融服务局官员认为某些因素可能对某公司来说更重要，则可以在汇总时，加大该因素的权重。例如，某一公司从事现金交易业务，其海外客户，特别是非欧盟国家客户所占比例不同寻常，那么英国金融服务局就会认为其现金业务的洗钱风险较高。经过调查，发现该公司具备较为完善的控制洗钱风险的体系，例如较好的人员培训、有效的开户程序、有效的帐户监管系统以及公司高管对于该类问题的高度关注。因此，英国金融服务局在评定公司控制洗钱风险分值时，就将其确定为“低”。英国金融服务局将公司业务风险和控制风险综合评定为“中低”。鉴于该公司其它风险类别，如金融犯罪风险、市场滥用风险以及欺诈不实风险等为“低”，因此对于该公司的总体可能性风险确定为“中低”。

　　第四阶段：形成风险控制的一揽子计划

　　在完成可能性分析之后，英国金融服务局即开始形成风险控制的一揽子计划(RMP)。所谓RMP指的是采取一系列的监管措施来减弱风险，达到风险评估的目的。设计形成RMP的依据是上文所述的风险评分。

　　RMP中所使用的监管措施主要根据的是风险的性质、风险的严重程度以及英国金融服务局希望取得的效果。在绝大多数情况下，RMP所使用的监管措施往往需要被监管对象采取行动，而不是英国金融服务局采取行动来减弱风险。

　　RMP监管措施主要可以归为以下四类：

　　-诊断性监管措施，主要用来识别和衡量风险；

　　-监测性监管措施，主要用来监测风险

　　-预防性监管措施，目的是减弱风险

　　-修正性监管措施，目的是解决风险已经带来的后果。

　　对于风险评估结果为“高”或者“中高”的被监管对象，特别是内部风险控制体系为“高”或者“中高”的监管对象，通常需要采取措施，降低弱化风险，一般会采用预防性监管措施甚至修正性监管措施。对于“中低”风险企业，一般会采用监测性措施，例如对特定风险定期进行案头分析。对于某些企业有时会采取诊断性措施，要求其提供特定信息。对于“低”风险企业，一般不采用更多的措施。

　　对于较高风险影响级别的企业，RMP一般还应具有附属功能，例如能够帮助英国金融服务局识别其企业业务内部出现的新的风险因素，能够帮助英国金融服务局继续依赖公司管理层以及公司内部控制体系来减弱风险。为了达到上述目标，英国金融服务局通常使用诊断性和监测性措施来测试公司内部控制体系，例如公司风险管理、公司合规性督察以及内部审计等部门的有效性。公司还应该帮助英国金融服务局了解其主要业务部门风险状况的新变化。

　　举例来说，如果在评估一个保险企业的过程中，英国金融服务局发现其内部审计部门，一般是在业务主管要求审计的时候才进行审计。公司内部没有正式的程序完成审计，并跟踪审计结果。对此，英国金融服务局将其风险确定为“内部审计程序薄弱”，具体表现为缺乏以风险为基础的内部审计计划、公司缺乏跟踪审计结果的制度。因此，英国金融服务局要求公司管理层内部应采取措施来纠正这一问题；与此同时，由于公司内部审计还存在其它薄弱环节，英国金融服务局确定采取的监管措施还包括，要求公司聘用外部专业人员根据FSMA第166条款要求完成报告，聘请外部专业人员对公司的内部审计目标以及程序进行评估，以确保公司管理层采取的措施能够真正达到强化内部审计的效果。

　　再比如，在英国金融服务局走访一家独立的财务咨询公司的督察部门时发现，该部门只是应付性工作，并没有建立有效的监测体系。在此情况下，公司的风险被确定为“缺乏分别合规业务的能力”。针对这一问题，英国金融服务局采取的措施是要求企业建立一套督察计划来帮助其进行业务监测，并将新计划发送英国金融服务局，英国金融服务局会在6个月后来访，跟踪该计划的实施情况。这一措施的目的是使公司管理层确保其督察程序是有效的。

　　在设计RMP时，英国金融服务局掌握的原则是要和“好监管”(good regulation)原则一致，即确保资源的经济有效利用。因此，在考虑RMP时，必须充分考虑实施RMP的总体成本。在成本方面，不仅考虑英国金融服务局实施RMP的内部成本，而且考虑被监管对象可能付出的外部成本，例如要求被监管对象按照FSMA第166条款规定完成报告等。

　　英国金融服务局需要确保RMP的总体严格性应于企业的风险影响级别以及可能性风险级别一致。需要注意的是，英国金融服务局越依赖企业内部职能部门，例如内部审计、内部风险管理发挥其风险减弱作用，则企业依赖英国金融服务局检查、依赖外部专家来控制风险的成本就越低，RMP的强度就越低。

　　英国金融服务局一般还设定了监管期间。所谓监管期间，指的是两次正式风险评估之间的时间，通常也是第一次风险评估后企业实施风险减弱一揽子计划的时期。根据企业风险程度不同，监管期间从12月到36月不等。

　　第五阶段：内部确认

　　在完成风险评估和制定了风险弱化一揽子计划后，英国金融服务局要求，在该计划送达企业之前，英国金融服务局内部需对评估结果和计划进行确认。

　　对于较高风险影响级的企业，内部确认程序一般包括委员会的正式评估。委员会的组成一般是相关部门的主管，或者至少是处室的主管。对于低风险影响级的企业，内部确认工作也许只是交给委员会过目，或者至少要求负责该公司的监管官员进行评估。

　　内部确认程序的目的主要包括以下内容：

　　-针对特定企业的风险问题，对于评估结果提出疑义；

　　-在不同部门之间进行风险状况的比较；

　　-确认RMP的成本是同时适合英国金融服务局和被监管对象的；

　　-进行整体质量和一致性把关。

　　第六阶段：以信函方式通知被监管企业

　　经过内部确认后，英国金融服务局将评估结果和制定的RMP以信函方式正式通知被监管对象。

　　第七阶段：跟踪评估，如风险恶化，则加强控制

　　对于监管期间超过12个月的企业，英国金融服务局一般还进行中期风险评估。中期风险评估一般是案头工作，主要是对所有风险因素、监管问题以及监管措施进行评估。对于中期评估中发现的关于可能性评估以及RMP的重大变化，英国金融服务局会通知企业。对于高风险影响级企业，中期评估一般每年一次。对于其它企业，一般是在监管期间的中间时段进行。例如监管期间为24个月的企业，中期评估一般是在第12个月后开始；监管期间为36个月的企业，中期评估一般是在第18个月后开始。

　　如果有影响企业的特殊事件临时发生，英国金融服务局还会进一步跟进风险评估。这些事件主要包括：

　　-企业外部环境发生重大变化；

　　-企业的业务范围、战略、基础设施和管理层发生预期或者实际的重大变化；

　　-RMP的顺利实施应明显改善企业的风险状况

　　除此以外，当出现其它情况，例如监管措施未取得预期成效时，英国金融服务局还必须对RMP中的监管措施的有效性进行评估。如果上述临时事件的发生对于企业发生了严重的负面影响，英国金融服务局进行中期评估，则可能会对风险评估结果以及RMP进行重大调整。对此英国金融服务局会通知被监管企业。

　　有时，例如，企业业务超过了英国金融服务局确定其风险影响级别的标准或者企业可能违背有关法规导致企业风险过大时，英国金融服务局会考虑采取其它修正性措施，例如对企业实施某些强制措施。

　　在监管期间内，英国金融服务局会跟进企业的RMP进展，采取措施确保RMP以及预期效果能够在规定的时间内实现。

　　三 英国金融服务局对于集团公司的风险评估

　　英国金融服务局对于集团公司进行风险评估往往有两种分类方法，一种是由英国金融服务局一个处对集团公司的所有组成进行风险评估，另一种是由不同的英国金融服务局处室分工协作对其进行风险评估，这主要取决于集团公司的结构。具体来说：

　　-当集团内所有企业均属于同一行业时，一般由集团内负责该行业的处室单独负责对于该集团公司进行风险评估。例如，某集团内企业均属于财险和寿险范围，因此由英国金融服务局中负责监管保险的处室负责风险评估。如果英国金融服务局认定该集团管理和控制结构是一个整体，则负责评估的部门将对集团进行整体评估，并提出一个风险控制的整体一揽子计划。如果该集团的管理和控制结构是相互独立的，则英国金融服务局需要对集团内部各个组成部分分别进行评估，然后汇总对于集团的整体评估意见。

　　-当集团内企业不属于同一行业时，负责不同行业监管的英国金融服务局处室分别对集团内企业进行风险评估、分别提出风险控制的一揽子计划。但是，要选定一个主导监管处室。当进行风险评估时，这个主导监管处室负责协调英国金融服务局不同处室的工作进度和协调各部门认定的风险以及提出的风险控制计划。例如，某集团内既有寿险公司，又有资产管理公司，这时由英国金融服务局内分别负责监管寿险公司和资产管理公司的处室分别对其进行风险评估和提出风险控制的一揽子计划，但是其中必须有一个主导监管处室来联络该集团有关事务。

　　-在某些情况下，英国金融服务局会采取集团监管的模式。由英国金融服务局抽调不同部门人员，组成一个多部门联合小组，在统一的监管官员指挥下，统一对集团内所有机构进行统一的风险评估和认定。这种模式的采用往往和集团内部公司所涉及的业务范围、企业规模、公司结构复杂程度、管理控制的整合程度有关。例如，某集团既有银行、证券也有资产管理等业务，往往需要采取集团监管模式。采取这种评估模式，一般需要对集团进行统一的评分和提出统一的风险控制一揽子计划，在集团内部予以实施。

　　四 英国金融服务局与被监管对象之间的沟通与后续监管措施

　　英国金融服务局开展风险评估时首先要由英国金融服务局通知被监管对象。随后，英国金融服务局将主要针对公司提供的信息资料进行案头工作，往往英国金融服务局还会通知被监管对象准备风险评估需要的其它资料。有时还需要进行现场调查，不过在现场调查之前英国金融服务局会通知被监管对象其需要的资料类型。

　　这些资料主要包括以下内容：

　　-公司最新的业务机构、法律和管理以及控制框架；

　　-主要委员会的负责人联系方式，因为英国金融服务局也许会提出查看公司董事会以及有关委员会的会议记录；

　　-公司最新的战略规划

　　-高级管理层的帐户状况

　　-风险报告，包括信贷、市场、操作以及承保等业务风险

　　-合规性报告

　　-洗钱报告

　　-内部审计计划以及审计方法，英国金融服务局也许会要求查看一份公司内部审计报告样本或者审计委员会的会议机要样本，以便评估内部审计的质量和审计的覆盖面；

　　-外部审计的审计报告

　　当英国金融服务局拥有足够的信息时，一般不在风险评估阶段走访公司。但是当公司业务或者公司的管理构架可能对英国金融服务局实现其法定权责带来重大影响时，英国金融服务局会走访被监管对象以便更好的识别风险。

　　走访公司一般需要了解的内容如下：

　　-当英国金融服务局获得的关于公司运作的日常信息(例如收益、公司投诉)、先前的风险评估报告、针对特定领域的评估报告(例如英国金融服务局风险审定部门的报告)和需要公司补充提供的信息之间存在缺口时，英国金融服务局会走访被监管对象。例如，英国金融服务局在工作中发现有一家投资银行，新开展了一个关于信贷产品的金融衍生物交易品种。但是对于该业务，英国金融服务局对其了解并不多。因此在进行风险评估时，英国金融服务局决定就该新业务进行专访。专访时审阅的文件包括业务拓展计划、交易伙伴的选择、前台业务控制以及风险偏好等。与此同时，英国金融服务局还走访了公司内部负责信贷和市场风险管理的部门、负责IT系统的部门、负责抵押物管理的部门以及负责文本的督察部门等。

　　-对早期识别和获得的信息跟进时，英国金融服务局需要走访被监管对象。例如，英国金融服务局在上次对一家证券公司的风险评估中发现，公司在信贷风险管理中压力测试和方案分析方面均较为薄弱，并且公司的管理层对上述问题并不重视。为了跟进这一问题，英国金融服务局决定走访公司的风险管理部门来讨论公司是否就此有新进展。在此过程中，英国金融服务局和公司管理层的其它人员讨论了公司应对该问题予以重视的程度。

　　-当需要测试某些控制措施，来证实英国金融服务局对于被监管对象管理控制结构的认知是否准确时，英国金融服务局需要走访被监管对象。例如，英国金融服务局注意到一段时间以来，某公司向NCIS提供的MLRO报告明显不同于同行。因此英国金融服务局决定在风险评估过程中，走访该公司，阅览公司向MLRO提供的内部报告的样本以及阅览公司对牵涉到可疑交易报告的职员进行培训的报告样本。

　　英国金融服务局走访时一般会和主要的工作人员会谈。会谈的人员数量以及会谈需要的时间取决于公司的规模、业务范围以及英国金融服务局在初期准备阶段所发现的问题的性质。

　　英国金融服务局一般对公司进行走访的官员是英国金融服务局中具体负责该公司监管的人员。有时，可以组成一个团队。团队由英国金融服务局监管人员以及英国金融服务局认为必要的其它部门专家构成，例如在审核信贷衍生产品业务时，需要有风险审核部门的官员来加入。

　　随后，英国金融服务局会在形成最终报告前进行初步反馈。初步反馈的目的是英国金融服务局在形成最终风险报告，制定一揽子风险控制计划之前，和被监管机构共同讨论英国金融服务局在风险评估过程中发行的重大问题。这种反馈的形式一般是和被监管对象会谈，一般是在现场核查完成时进行。有时，也可能会稍晚一些，因为英国金融服务局需要就现场核查发现的问题进行分析，得出初步结论。

　　英国金融服务局并不是在所有的风险评估中，都会有初步反馈会。如果在风险评估过程中，未发行什么重大问题，就不需要进行初步反馈。或者，当发现的问题过于重大，必须要有更正式的反馈时，或者发现的问题已经通过电话沟通等，这是初步反馈就不是必需的了。被监管对象需要了解的是，初步反馈会是十分重要的，因为它为被监管对象提供了澄清事实的机会，被监管对象不应将初步反馈会当作谈判会。在初步反馈会之后，英国金融服务局有时还会对影响RMP制定的基本问题及其事实进行核实。

　　一般英国金融服务局会在现场工作快结束时，告知被监管企业是否需要召开初步反馈会以及召开初步反馈会的时间。

　　在将正式信函以及风险控制的一揽子内容通知被监管对象之前，英国金融服务局需要将有关内容进行内部确认。正式信函的内容入下：

　　-针对英国金融服务局的法定职责确定的被监管对象的影响级别评分和风险变为现实的可能性评分；

　　-英国金融服务局认为被监管对象面临的主要的环境风险或者说是外部风险，以及这些风险对于被监管企业带来的特定问题；

　　-当被监管企业的可能性评分为高或者中高，英国金融服务局会说明导致这一评分结果的主要原因；

　　-风险控制一揽子计划的要点

　　以及-监管期间的长度。

　　英国金融服务局风险控制一揽子计划包括：

　　-英国金融服务局发现的风险因素以及被监管对象与这些风险的关系；

　　-针对每个风险因素，英国金融服务局希望达到的治理效果；

　　-为了达到治理效果，需要采取的措施以及措施，明确措施是由被监管企业来采取还是由英国金融服务局采取；

　　-采取措施的时间表。

　　英国金融服务局的正式信函一般是直接给董事会或者给相当于董事会的部门。这么做的目的是为了强调董事会在建立和运行有效的内部控制体系以及按照监管要求经营企业方面的责任。因此，英国金融服务局会强调要由公司管理层而不是英国金融服务局来采取行动，取得预期效果，强调公司管理层有责任来确保实施有效措施，降低风险。另外，正式信函的复印件也会给公司内的负责和英国金融服务局联系的某些个人。

　　另外，如果被监管对象总部在海外，其是这些机构在英国境内的分行或者分公司，那么英国金融服务局会将风险评估报告和RMP同时送达其它机构，具体规定如下：

　　-如果英国公司是EEA国家金融机构在英国的分支机构，那么风险评估报告和RMP会送达英国公司的总经理；同时复印机抄送母公司负责英国业务的主管；

　　-如果英国公司是非EEA国家金融机构在英国的分行，那么风险评估报告和RMP首先会送达母公司负责英国业务的主管，复印机抄送英国公司的总经理；

　　-如果英国公司是分公司，则风险评估报告和RMP会送达母公司的监管机构。

　　在正式信函发送之前，英国金融服务局不会就草稿再征求被监管机构的意见，因为英国金融服务局不会就信函内容和被监管对象进行谈判。即便有不同意见，这些意见应该在初步反馈会上已经得以解决。不过，如果被监管对象提出不同的降低风险的方案，并且英国金融服务局认为这些解决方案比英国金融服务局提出的解决方案更有效的话，英国金融服务局会对其制定的控制风险的一揽子计划进行修订。

　　在收到英国金融服务局的正式信函之后，被监管对象必须正式回复英国金融服务局，确认其将按照RMP要求进行整改。英国金融服务局的正式信函一般是保密的，只有被监管对象能够看到，不过英国金融服务局要求被监管对象应将信件内容通知公司的咨询专家，例如审计师或者精算师。

　　如果公司非常不同意英国金融服务局出具的风险评估报告，无论是评估的事实还是RMP的内容，公司可以向监管官员正式提出。监管官员应充分考虑不同意见并对公司作出答复。如果公司认为监管官员的答复是没有充分理由的，公司应在第一时间通知监管官员的主管或者英国金融服务局的部门主管。

　　如果被监管对象拒绝按照RMP要求进行整改，英国金融服务局会考虑采取其它监管措施，例如要求公司聘用外部专家按照166条款完成报告或者按照FSMA165条款要求提供信息。如果公司还不解决问题，则英国金融服务局会核实公司是否已经违背了有关规定、原则以及界限，然后采取更加正式的监管措施，例如强制执行。在采取正式的强制措施时，英国金融服务局会按照通常的决策程序办理，这些决策程序内部有申诉机制；英国金融服务局甚至会将问题交给“金融服务和市场仲裁委员会”来处理。

　　英国金融服务局提出的RMP必须在监管期间内予以实施。监管期间一般为12-36个月，具体长度取决于被监管对象的风险状况。例如，可能性分析评估结果为“低”和“中低”的企业一般监管期间为24-36个月，而处于“高”和“中高”的企业的监管期间为12-24个月。

　　在监管期间内，被监管对象可能会发现自己处于英国金融服务局横向或者主题性工作当中。这种状况出现的原因如下：

　　-有一些问题是多个公司共同具有的，因此对于英国金融服务局来说，横向处理起来会更为有效。这些问题包括某个公司RMP中出现的问题，随后英国金融服务局认为应和其它公司的同一问题采取同样的措施予以处理；或者英国金融服务局在对其它公司评估时发现前者也有类似问题，但是却没有包括在前者的RMP中；

　　-所谓主题性问题一般是就顾客、产品以及服务等引发的问题，对于这些问题，英国金融服务局一般会同时对几个公司进行评估，提出处理方法。

　　当英国金融服务局同时处理几个公司的风险评估问题时，会兼顾不同公司独特的问题。如果监管期间超过12个月，英国金融服务局会进行中期评估。中期评估是案头工作。如果对公司的可能性评估或者实施控制风险的一揽子计划发生变化，英国金融服务局会通知被监管对象。英国金融服务局希望被监管机构始终让英国金融服务局了解其任何可能影响风险评估结果的事件。事实上，被监管机构在及时知会英国金融服务局的态度和表现，也会在英国金融服务局对其进行风险评估的过程中予以考虑。这些可能影响风险评估结果的事件在手册的SUP15中都列举出来，举例来说，主要包括如下内容：

　　-当公司雇员欺诈客户时，公司能够及时了解这一事件；

　　-公司系统或者控制烯烃出现的任何重大问题；

　　-公司开始提供新产品或者新的服务品种；

　　-严重违反规则。

　　上述事件可能促使英国金融服务局更新其对被监管对象的风险评估。其它一些因素也会要求英国金融服务局更新其对被监管对象的风险评估，例如公司外部环境变化。在英国金融服务局更新改变对被监管对象的风险评估以及一揽子风险控制计划之前，英国金融服务局会和被监管对象进行讨论。

　　例如，有一家资产管理公司，同时从事零售业务和机构业务。英国金融服务局对其进行的可能性分析结果分别是“中低”和“中高”，确定监管期间为两年。在监管期间过了9个月后，该公司通知英国金融服务局，其打算通过收购其主要竞争对手来扩展其零售业务，但是其收购的企业曾经在合规性方面存在问题。收购完成后，被收购企业的业务将融入收购企业的零售业务平台，这样有可能提高公司的业务量，降低后台的成本，来自双方公司的代表将组成新的管理团队。

　　公司在进行收购前，应向英国金融服务局提出变更控制体系的申请，与此同时，英国金融服务局还需要更新其对公司的风险评估。针对该公司情况，英国金融服务局将公司的可能性风险分析中的“市场信心”和“消费者保护”从“中低”更新为“中高”，原因在于公司的IT部门和后台部门合并可能带来的风险以及公司新的控制系统级别存在的不确定性。为此，英国金融服务局也对原先的风险控制一揽子计划进行了修订，要求公司报送详细的关于IT和后台业务合并的计划、定期报送该计划的实施情况的报告、以及公司内部审计部门定期就公司管理层变更情况向英国金融服务局作出的报告。