The Risky Business of Regulating
Risk Management in Listed Companies
by
Luca Enriques* and Dirk Zetzsche **
Policymakers around the world, including in Europe, increasingly display a tendency to embed risk management into law, for example, by mandating risk governance best practices or by requiring firms to have risk management functions in place. Most recently, the European Commission issued a proposal to increase disclosure by listed and large firms on their management of risks, which will indirectly imply greater attention to risk management procedures on their part. This paper, after documenting the phenomenon of Risk Management lsquo;Juridificationrsquo; (RMJ) with specific reference to developments in EU legislation, highlights the numerous shortcomings of such a policy: we first highlight the intrinsic limits of risk management and, even more, risk measurement techniques. Failure to understand such limits may lead to market participantsrsquo; over-reliance ex ante and to enforcersrsquo; over-reaction ex post. Next we show how risk management can hardly be distinguished from management and argue that RMJ may well lead to courtsrsquo; excessive ex post-review of managerial decisions. We then focus on the intensified perils of standardization, proceduralization, and acritical boxticking that RMJ implies. After clarifying that RMJ can do little to alleviate systemic risk, we further show that risk management requirements may serve managersrsquo; interests vis-agrave;-vis shareholders and are hard to justify for companies with controlling shareholders. Finally, we highlight their anticompetitive effects due to their higher relative burden on small companies. We conclude that absent special, industry-specific circumstances, RMJ is, if not an even dangerous exercise, a less effective and efficient regulatory tool than policymakers tend to think.
I. Introduction
In the last thirty years policymakers around the world have increasingly focused on risk management as an object of regulation, reflecting the idea that proper risk management within firms may prevent corporate scandals and financial crises.
Risk management-related regulation comes in many shapes. In descending order of intrusiveness, but with no pretence of completeness, the law may (1) require firms to adopt specific risk management/measurement techniques;1 (2) impose corporate governance arrangements to manage risks, such as by requiring companies to have a risk committee within the corporate board, the presence of independent directors therein, internal lsquo;statusrsquo; requirements for chief risk officers, separation of risk management from operating management functions, board duties to supervise risks, etc.;2 (3) validate firmsrsquo; risk management models as a condition to more favorable regulatory treat-
ment;3 (4) impose a generic requirement to adopt adequate risk management procedures;4 (5) require top management to certify the effectiveness of risk management (internal control) policies and procedures and identify material weaknesses thereof,5 and (6) impose disclosure obligations to explain risk management governance, policies, and procedures to investors and the public at large.6 Each of these rules is an example of what we call the juridification of risk management (hereinafter also RMJ), i.e. the fact that risk management arrangements become legally relevant.
The trend towards the juridification of risk management, before and after the crisis, has been particularly strong in the area of financial services, but it has also extended to listed companies, on which this article mainly focuses. At least in Europe, legal academics have mostly recommended, if not applauded to, lawrsquo;s greater role in this domain and, if at all, called for marginal improvements of how RMJ works rather than criticized it in principle.7
The European Commissionrsquo;s proposal to enhance disclosure of non-financial risks and their management,8 which follows risk management-related recommendations in various policy documents it has issued since 2010,9 prompts us to reflect upon the merits of RMJ and highlight its drawbacks and unintended consequences.
A few caveats are necessary before proceeding further. First of all, while we believe that the shortcomings of RMJ are significant and justify a highly skeptical view of its potential as an effective tool to regulate businesses, and especially listed and large companies per se, we stop short of concluding that RMJ is to be avoided in each and every one of its manifestations, for whatever business activity and in any given set of circumstances. That would only be possible by assessing how a world including a given risk management-related regulation would fare compared to one without it with specific regard to the industry in question and the existing and available policy alternatives.
Let us further clarify from the start that we do not challenge risk management as a managerial tool per se, but rather its juridification. Risk management as a managerial tool or business technology has its merits in guiding and advising
corporate directors and officers decision-making. Instead, we take issue with the trend towards embedding risk management in the law. As we argue below, this process relies on legal tools that are inherently inadequate to preserve the economic value that risk management as a mere managerial tool may have.
Let us finally dispose at the outset of a possible argument in favor of RMJ, specifically via rules that limit themselves to impose, whether directly or via disclosure or certification requirements, the adoption of risk management procedures.10 One may argue that such rules are an example of a broader regulatory phenomenon, sometimes11 referred to as lsquo;process-basedrsquo;12 or lsquo;management-based regulation,rsquo;13 which,
剩余内容已隐藏,支付完成后下载完整资料
监管的风险——上市公司风险管理
by
Luca Enriques* and Dirk Zetzsche **
包括欧洲在内的世界各国决策者越来越倾向于将风险管理纳入法律,例如,通过强制要求风险治理最佳实践,或要求企业具备风险管理职能。最近,欧盟委员会(European Commission)发布了一项提案,建议增加上市公司和大型公司对风险管理的披露,这将间接意味着它们将更加关注风险管理程序。本文结合欧盟立法的发展,记录了风险管理“法治化”(RMJ)现象,并指出了这一政策的诸多缺陷:我们首先强调了风险管理的内在局限性,甚至风险度量技术。如果不理解这些限制,可能会导致市场参与者事前过度依赖,事后过度反应。接下来,我们将展示风险管理与管理是如何难以区分的,并认为RMJ很可能导致法院对管理决策的事后过度审查。然后,我们将重点放在RMJ所暗示的标准化、程序化和尖刻的勾选框所带来的更严重的危险上。在阐明RMJ对缓解系统性风险作用甚微之后,我们进一步表明,风险管理要求可能符合管理者相对于股东的利益,而且对于拥有控股股东的公司来说是难以证明其合理性的。最后,我们强调了他们的反竞争效应,因为他们对小公司的相对负担更高。我们的结论是,如果没有特殊的、行业特定的环境,RMJ即使不是一种甚至是危险的做法,也是一种不如政策制定者往往认为的那么有效和有效的监管工具。
三.规范风险管理的问题
官方观点强调RMJ对市场效率的积极影响。本部分的目的是突出其风险和成本。
1. 风险管理的局限性
风险管理法规助长了对风险管理能做和不能做什么的误解。虽然风险管理作为一种管理工具本身是不完善的,但将风险管理纳入监管可能从两个方面产生负面影响。一方面,事前,市场参与者,尤其是公司外部的参与者,可能会产生一种错位的安全感,认为公司管理层在多大程度上控制着外部世界。那种认为管理风险意味着控制风险的观点显然是错误的,但只有在风险管理受到法律和政治制裁,且企业因此大举投资的情况下,才可能自然而然地分担风险。另一方面,事后的风险管理规定很可能使执法者产生一种相反的误解,他们在处理有害事件已经发生的情况时产生了误解。如果法律要求或预期足够的风险管理政策和程序,那么它很容易被领导认为,这些程序已经到位并遵守,没有有害的事件会出现,因此,管理层或董事会是错误的,因为他们的风险管理程序都低于最低可接受的标准。
不幸的是,风险管理作为一种管理工具的许多被广泛承认的特性说明了,事前(由市场参与者)和事后(由执行者)对风险管理技术的依赖可能是过度的。风险管理不是降低风险。风险管理工具包括选择避免某些高风险的商业活动;采取预防和反应性控制措施,以减轻业务风险;接受某些风险是产生适当回报所必需的;通过套期保值和保险将风险转移给第三方。在这里,选项和是特别有趣的。期权说明了风险管理并不一定是为了降低风险:通过管理风险,公司试图评估风险并据此采取行动,这很可能意味着,考虑到股东的预期回报,有意识地承担值得承担的风险。就期权而言,风险并没有消失,而是由其他人承担。例如,对冲和保险将一种类型的风险(比如交易对手的风险债务违约或地震)到另一种类型的风险。根据不同的情况,从公司的角度来看,这次交易的收益是积极的(如果投资公司或保险公司的财务状况良好),还是消极的(例如。在影响投资公司或保险公司偿付能力的金融危机期间)。
B.风险度量的极限。2013年新的COSO框架对非金融企业尤为重要,它强调了风险评估的重要性,称其为“确定风险将如何管理的基础”。因此,在这里更详细地暴露风险度量的极限是合理的。风险度量是指根据潜在的严重性和概率对最常见的风险维度进行量化。事实上,每种风险度量方法都有其局限性。
风险度量技术为基于事件概率的决策提供了一个量化框架。概率来自于基于过去数据、经验(“最佳猜测”)或“正常”(钟形曲线)分布的假设。即使是最好的数据也不能改变这样一个事实,即过去就是过去,未来是不确定的,即它包括概率未知的偶然事件的可能性:作为风险管理技术的风险度量意味着将不确定性视为风险。此外,风险管理创造了一种新的风险类型:模型风险,即模型是基于简化假设的风险,这些假设具有误导性或不恰当。模型风险对公司命运的影响取决于风险管理对决策的影响程度,这种影响是事实相关性的结果(就像在金融机构中,由于纯粹的大量数据)或RMJ带来的法律相关性。在过去的商业活动中,风险管理作为一种管理工具发挥着重要的作用,管理者和风险管理者被比作“飞机的飞行员和副驾驶,飞机几乎完全依赖于仪表来安全着陆”。飞机上电子设备的任何错误,再加上一场暴风雨,都会对飞机造成致命的伤害。这些风险度量的一般问题在过去被忽视了。但随后金融危机引起了广泛关注。现在人们普遍认为,风险管理系统中不充分的假设是导致危机的因素之一。此外,风险度量可能只针对某些类型的风险发送有意义的消息。特别是对于业务风险,风险度量是没有用的。商业风险无法量化,也很难通过传统的风险管理方法来缓解。例如,公司的主要产品随着竞争产品的推出而过时的风险可能导致公司在有或没有风险管理的情况下倒闭。业务风险很大程度上是通过管理的核心任务来管理的,比如产品和供应链的选择。
在其他情况下,风险度量批评关注(基本的)细节。例如,最流行的风险度量标准VAR (Value at Risk, VAR)的缺陷从根本上包括。这种计算方法本身忽视了低概率、高影响的“黑天鹅”事件和肥尾巴。例如,历史模拟提供的信息高达95%或99.5%,无法解释在考虑的时间范围内没有发生的事件。66此外,该模型并没有显示出如果风险成为现实,后果的严重性。
风险度量结果不是必需的:它们需要解释。这种解释是另一个值得关注的领域,因为有大量的隐含假设、模型和不确定的结果(如不确定性)与所有这些不一致。例如,对信贷投资组合的VaR解释不足,可能会导致信贷投资组合内的风险集中度更高,这与风险管理原则相悖。因此,风险度量需要熟练的管理人员,他们理解模型的含义和信息价值的终点。
最后,风险度量需要有关公司所面临风险的大量数据和信息。可用的数据越好,风险度量就越可靠。正如一篇关于风险管理的领先论文所承认的,“数据问题困扰着风险度量的所有领域。”
C.风险管理和运营风险。经营风险是非金融企业风险管理的核心。不幸的是,它的评估甚至比财务风险度量更成问题。运营风险的风险数据“高度主观,形式和功能不统一”。70这些数据通常不足以建立风险计算的概率,甚至是有根据的猜测,原因有三。首先,运营风险数据通常只捕捉到严重的事件,而不是灾难性的事件,因为只有没有经历过此类事件的公司才有可能生存下来。71 .第二,利益冲突企业减少对小的经营风险进行充分报告的可能性:在经营风险的源头有最好的知识,但却没有多少动力去报告它。相反,人们有强烈的动机保持沉默。例如,犯错或欺骗公司的人会因为害怕受到惩罚而隐藏自己的错误或欺骗。这种小的风险效应系统性地减少了企业内部的信息流,使得运营风险数据变得不那么有意义。第三,风险数据被收集起来,相关关系只是在一家公司内部发展起来的。由于数据的特殊性,一个公司的数据很难与另一个公司的数据进行比较,而且很难对单个公司的运营风险进行量化。由于担心泄露商业机密,行业参与者之间在数据收集方面的合作非常困难。72 .外部服务提供者汇集的数据库也引起了一些关注:(1)数据收集通常分配给缺乏风险管理专门知识的初级工作人员;(2)大多数事件是隐藏的,不显示在公开的数据中;(3)数据馈送是随机的,低影响事件不会像大影响事件那样上报;(4)收集的数据来自不同的文化、法律和地理背景,可能无法进行比较;外部数据库依靠简单的模型来适应大量的客户,而简单(标准化)是对公司最有利的定制模型的对手
由于这些数据的限制,操作风险度量与业务风险度量一样不可靠,其输出与管理几乎没有关联。风险经理的偏见。最后,风险管理者——就像律师和监管者一样——也是人,因此容易产生偏见:一些风险管理者对模型的产出充满热情,另一些则对用数字来管理风险持谨慎态度。前者推断得更多,后者比数据显示的要少。风险管理人员在工作期间或办公室中出现的风险往往被夸大,而理论或历史风险往往被低估。然而,预测和现实可能相去甚远,所有这些缺陷都没有挑战风险管理作为一门经济学科的地位。从管理层的角度来看,如果这些信息是可用的最佳猜测,那么考虑不完整的、甚至不准确的信息是有价值的:毕竟,管理层是在不确定的情况下做出决策的。但是,将风险模型直接或间接地嵌入到法律中,可以改变基于风险管理的决策的性质。风险管理可以转化为一种导致非黑即白结果的方法,这与法律的二元性相一致。在现实中,风险管理带来的结果是灰色的细微差别,因此总是需要经济判断。换句话说,RMJ的一个固有风险是未能在事后平等地考虑上行潜力(“机会”、“机会”)和下行风险。事实上,风险管理意味着平衡利弊:事后执行者很容易忽视风险限制功能和风险管理的业务优化功能是同一硬币的两面。
2. (经营)管理与风险管理的人为区别
风险管理是一个相对较新的现象,作为大型和复杂公司管理的一个单独功能,它反映了组织法制化的更广泛的现象,而不是管理公司和处理风险之间的本体论区别:前者包括后者。换句话说,管理本质上意味着对风险做出决策:承担多少风险,对冲多少风险,避免多少风险。正如斯蒂芬·班布里奇所说:“管理的风险和制造的风险是密不可分的。事实上,不仅公司的战略必须以风险评估为基础来定义,而且每一项都是正确的商业决策是对所涉风险进行评估的结果。因此,如果要进行风险管理,战略和日常管理都要受到规范。
这在金融领域尤其容易看到,在那里,风险管理有着更强大的传统,并已在许多风险度量模型中得到形式化。不管这些模型有多复杂,使用它们都意味着要根据公司承担的风险水平做出决策。为了应用风险度量模型,例如VaR,银行的管理层必须决定公司的风险承受能力:银行在一个交易日中可以承受多大的损失,而信心的百分比是多少?因此,风险度量模型的工作基础是关于风险回报概要的基本业务决策。更重要的是,“公司的整体风险承受能力不是某个离散的决策,而是几乎影响到公司所做的每一项投资和交易。
隔离风险管理管理是更加困难的非金融公司,至少直到最近,通常采用正式的风险管理procedures85较少,仍然很难衡量操作风险:86年,不那么正式的风险管理和可衡量的风险越少,越管理自由裁量权的空间处理风险,因此,任何对风险管理政策和程序的审查都将意味着评估业务选择本身。事实上,管理运营风险在本质上更像是运营管理,而不是风险管理。
无论相关规则多么具体和规定性,风险管理法规都会严重影响企业的决策。即使是一项宽松而通用的程序要求,比如规定公司必须有“有效的风险评估程序”,87号法案也将赋予执法机构(法院或监管机构)事后判断的权力:
(a)程序是否适当,根据商业部门和商业模式、市场或有情况等等;
(b)公司的战略,由于采用某一既定政策或程序的义务意味着一贯地按照该政策或程序经营业务的义务,因此,前后不一为-战略和与风险有关的程序之间至少是后者不足之处的证据;
(c)出于同样的理由作出个别商业决定。
欧盟委员会(European Commission)要求披露企业如何管理风险,并在报告中强制执行风险管理政策,或解释basis88,这一看似更为温和的提议,可能很容易通过审计师的控制、证券监管机构的公共执法和私人诉讼,导致同样的结果。私人原告对德国公司治理准则的严格执行,同样基于“遵守或解释”原则,生动地说明了这一点在风险管理法规的存在下,执法者通过对风险管理程序的评估和董事在制定过程中的勤奋,对企业决策和战略进行事后评估,很容易成为规范。换句话说,法院和监管机构可能认为,任何对股东和/或其他利益相关者造成不利后果的商业选择,都是风险管理体系存在缺陷的表现,并因此认为董事负有责任。例如,在德国,商业判断规则据称涵盖了管理失误,一家法院可能会这样做如果它发现(事后,通常是破产后)经理们违反了他们的职责,没有安装和维护(足够的)早期预警系统,则让董事们承担责任。93 .换句话说,如果法院事后认为早期预警系统不足,管理当局应对业务过程中产生的损失负责,而在正常情况下,业务判断规则本应保护这些损失。
在破产的情况下,将董事注意义务责任情况下转化为情况下围绕是否足够的风险管理程序已经到位很可能导致现代形式的责任主管公司的拖欠债务(臭名昭著的延伸动作业务判断规则的全面辩护超出了本文的范围。但是,至少就非金融公司而言,95有一个有很多话可以用来支持一种原则,即防止法官和监管机构(直接或间接)对管理决策进行事后批评。后见之明偏见和法院甚至监管机构缺乏机构能力的问题是无法克服的。在他们面前,对责任的恐惧可能导致过度的风险规避,违背股东利益,甚至不愿在公司董事会任职
3.均匀性和勾选框的压力
无论风险管理规则的说服力有多强,即使它们没有提到如何具体地在实践中管理风险,其不可避免的后果是促使企业适应流行的风险管理(最佳)实践。风险管理标准化是风险管理职能专业化的自然产物,是一种有案可查的现象。98 .标准化当然有它自己的优点:标准化的风险管理意味着降低成本,特别是在获取处理广泛分散和统一的风险所需的知识和传递有关公司的信息方面的经济效益。99然而,以广泛采用的程序安排和测量工具的形式进行的风险管理标准化也有其成本和风险,这些法律进一步扩大了与风险管理过程的法律相关性。
尤其是在风险管理过程成为法律相关,如果由于披露要求覆盖风险政策和安排,他们必须以可核实的方式实现,即它必须是可能的外部观察者(是一个监管机构,审计公司,或公司信息披露文件的读者),至少了解程序,或更多的干扰地,评估他们的充分性,并可能在实践中检验它们是否得到遵守。不能指望外部验证者对任何特定公司的特性有深入的了解:她会将公司的风险管理流程与她(以及与她同行的行业)认为是最佳实践的标准流程进行比较。任何偏差或定制都需要验证者额外的努力,首先要理解特殊过程的内容,然后评估它是否可接受/合理。随之而来的是对一致性的强烈偏见。
可以肯定的是,法律并不是风险管理“可审核性”和随之而来的标准
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[18137],资料为PDF文档或Word文档,PDF文档可免费转换为Word
课题毕业论文、外文翻译、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
