商业银行风险管理基本架构

了解并掌握健全的商业银行公司治理包含的主要内容和应遵循的基本原则；

　　了解商业银行管理战略的重要意义和主要内容。

　　掌握风险识别的作用、主要环节和实现方法。

　　理解数据的分类、特性及在信息系统中的重要作用。

第一节　商业银行风险管理环境

　　一、商业银行公司治理

　　公司治理是指控制、管理机构的一种机制或制度安排。其核心是在所有权、经营权分离的情况下，为妥善解决委托\\代理关系而提出的董事会、高管层组织体系和监督制衡机制。

　　良好的公司治理是商业银行有效管控风险，实现持续健康发展的基础，能够激励董事会和高级管理层一致地追求符合商业银行和股东利益的目标,以便于实施有效的监督。

　　通过合理的制度设计、建立分工明确的组织体系、实现公司权力的分配和制衡、强化对董事会和管理层行为的约束等来不断改善商业银行公司治理，将有利于商业银行自上而下地实施全面风险管理，加强内部控制，防范操作风险，增强核心竞争力，并实现安全运营。

　　我国商业银行公司治理的要求，主要内容包括：

　　（1）完善股东大会、董事会、监事会、高级管理层的议事制度和决策程序。

　　（2）明确上述人员的权利义务。

　　（3）建立、健全以监事会为核心的监督机制。

　　（4）建立完善的信息报告和信息披露制度。

　　（5）建立合理的薪酬制度，强化激励约束机制。

　　二、商业银行内部控制

　　（一）商业银行内部控制的定义和内涵

　　1.定义:商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监控和纠正的动态过程和机制。

　　2.内容和目标

　　1.商业银行内部控制的要素

　　（1）内部控制环境。

　　（2）风险识别与评估。

　　（3）内部控制措施。

　　（4）监督与纠正。

　　（5）信息交流与反馈。

　　2.商业银行内部控制的主要原则

　　商业银行的内部控制必须贯彻全面、审慎、有效、的原则，具体来说：

　　（1）内部控制应当渗透到商业银行的各项业务过程和各个操作环节。

　　（2）内部控制应当以防范风险、审慎经营为出发点。

　　（3）内部控制应当具有高度的权威性。

　　（4）内部控制的监督、评价部门应当于内部控制的建设、执行部门。

　　三、商业银行风险文化

　　（一）商业银行风险文化的定义和内涵

　　风险文化又称风险管理文化，是商业银行在经营管理活动中逐步形成的风险管理理念、哲学和价值观，通过商业银行的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种企业文化。

　　风险文化一般由风险管理理念、知识和制度三个层次组成，其中风险管理理念是风险文化的精神核心，也是风险文化中最为重要和最高层次的因素，比起知识和制度来说，员工的行为具有更直接和长效的影响力。

　　健康的风险文化以商业银行整体文化为背景，以经营价值最大化为目标，贯穿以人为本的经营理念，有机地融合先进的风险管理技术和科学的风险管理手段；始终面向不断变化的市场、客户，在与市场的不断博弈中完善制度，与时俱进地指导商业银行风险管理实践，是科学、高效、完整和可控的全面风险管理体系的灵魂。

　　健康的风险文化至少应包括以下几个方面的内容：

　　（1）树立正确的风险管理理念。

　　（2）加强高级管理层的驱动作用。

　　（3）创建学习型组织，充分发挥人的主导作用。

　　（二）先进的风险管理理念

　　（ l ）风险管理是商业银行的核心竞争力，是创造资本增值和股东回报的重要手段。

　　（2）风险管理的目标是通过主动的风险管理过程实现风险与收益的平衡。

　　（3）风险管理战略应纳入商业银行的整体战略之中，并服务于业务发展战略。

　　（4）商业银行应充分了解所有风险，建立和完善风险控制机制。

　　（三）风险文化的培植

　　（ 1）培植风险文化不是阶段性工作，而是商业银行的一项“终身事业”。

　　（2）商业银行应向全体员工广泛宣讲正确的风险管理理念、知识、规范和标准。

　　（3）商业银行应通过建立管理制度和实施绩效考核，将风险文化融入每一位员工的日常行为中。

　　四、商业银行管理战略

　　（一）商业银行管理战略的定义和内涵

　　商业银行管理战略是商业银行在综合分析外部环境、内部管理状况以及同业比较的基础上，提出的一整套中长期发展目标以及为实现这些目标所采取的行动方案。

　　（二）商业银行管理战略的基本内容

　　一般而言，商业银行管理战略分为战略目标和实现路径两个方而的内容。

　　战略目标可以分解为战略愿景、阶段性战略目标和主要发展指标等细项，以便管理层清晰了解战略的实施情况、存在的问题以及修正的必要性。从形式上看，战略愿景主要描绘商业银行的理想境界，如客户满意、股东回报率高、员工价值实现等宏观层面的景象；阶段性战略目标明确在未来某一时间段内，商业银行公司治理结构、管理模式、各项业务（可按区域、产品、行业等划分）发展、风险控制、人员管理等领域希望实现的目标；可将阶段性战略目标继续分解为主要发展指标使目标进一步细化、量化，增强可操作性。

　　战略目标决定了实现路径。商业银行的各项工作必须紧紧围绕战略目标展开，一旦战略目标发生改变，必须相应调整工作内容和方式。战略目标确立后，商业银行应重点研究如何保证实现路径的高质量和效率。

第二节　商业银行风险管理组织

　　一、董事会及最高风险管理委员会

　　（一）董事会及其主要职责

　　董事会是商业银行的最高风险管理／决策机构，承担商业银行风险管理的最终责任，确保商业银行有效识别、计量、监测和控制各项业务所承担的各种风险。董事会负责审批风险管理的战略、和程序，确定商业银行可以承受的总体风险水平，督促高级管理层采取必要的措施识别、计量、监测和控制各种风险，并定期获得关于风险性质和水平的报告，监控和评价风险管理的全面性、有效性以及高级管理层在风险管理方面的履职情况。

　　（二）最高风险管理委员会及其主要职责

　　董事会指派专门委员会（最高风险管理委员会）负责拟定具体的风险管理和指导原则。

　　各级风险管理委员会应当与金融风险管理部门和信息技术部门保持密切联系，随时获取相关的风险信息，并定期对所有业务单位及商业银行整体风险状况进行仔细评估。

　　二、监事会

　　监事会是我国商业银行所特有的监督机构，对股东大会负责，从事商业银行内部尽职监督、财务监督、内部控制监督等监察工作。监事会通过列席会议、调阅文件、检查与调研、监督测评、访谈座谈等方式，以及综合利用非现场监测与现场抽查手段，对商业银行的决策过程、决策执行过程、经营活动，以及董事、高级管理人员的工作表现，进行监督和测评。

　　在风险管理领域，监事会应当加强与董事会及内部审计、风险管理等相关委员会和有关职能部门的工作联系，全面了解商业银行的风险管理状况。

　　监事会需要处理好与股东大会、董事会、高级管理层之间的关系，加强相互理解、沟通与协调，充分听取对内部监督工作的要求、意见和建议，避免重复检查，不干预正常的经营管理活动，扩展对风险管理监督工作的深度和广度。

　　三、高级管理层

　　高级管理层的主要职责是负责执行风险管理，制定风险管理的程序和操作规程，及时了解风险水平及其管理状况，并确保商业银行具备足够的人力、物力和恰当的组织结构、管理信息系统以及技术水平，有效地识别、计量、监测和控制各项业务所承担的各种风险。

　　高级管理层的支持和承诺是商业银行有效风险管理的基石，只有高级管理层充分认识到并积极利用风险管理的潜在盈利能力时，风险管理才能够对商业银行整体产生最大的收益。高级管理层应当通过发布一致的日常风险管理信息，来证明其对风险管理知识、技术和效果的关注和决心，并且在商业银行内部明示风险管理部门的权限。

　　四、风险管理部门

　　商业银行具备目标明确、结构清晰、职能完备、功能强大的风险管理部门或单位，已经成为金融管理现代化的重要标志。

　　风险管理部门必须具备高度性，以提供客观的风险管理策略。

　　风险管理部门应当与业务部门保持相对，并具有的报告路线。

　　风险管理主要职责：

　　（1）监控各类限额。

　　一旦限额被设定，风险管理部门就会密切监督限额的适用状况是否遵从了商业银行风险管理的标准。

　　（2）核准金融产品的风险定价，并协助财务控制人员进行价格评估。

　　（3）掌握整体风险状况。

　　风险管理部门独特的地位使其可以全面掌握商业银行整体的市场风险、信用风险和操作风险状况，为经营管理决策提供辅助作用。

　　五、其它风险控制部门

　　（一）财务控制部门：提供收益/损失数据

　　风险管理部门接受来自财务控制部门的收益/损失数据，确保数据准确，并可用于事后校验。

　　风险管理部门与财务控制部门之间的密切合作是实现商业银行平衡风险与收益战略的重要基石：绩效评估方式从总收益或净利润转向注重经风险调整后的收益率；会计资本向监管资本、经济资本的转变。

　　风险管理部门协助财务部门深入了解以风险模型为基础的资本核算方法，有助于科学、合理地进行风险资本储备和经济资本分配。此外，财务部门与风险管理部门的密切合作，有助于方便、快捷地提取所需要的重要信息来完成监管报告，保障商业银行合规经营。

　　（二）内部审计部门：约束评价机制；第三道防线

　　内部审计定期（至少每年一次）对风险管理体系的组成部门和环节，进行准确性、可靠性、充分性和有效性的审查和评价。

　　内部审计的主要内容包括：

　　●经营管理的合规性及合规部门工作情况；

　　●内部控制的健全性和有效性；

　　●风险状况及风险识别、计量、监控程序的适用性和有效性；

　　●信息系统规划设计、开发运行和管理维护的情况；

　　●会计记录和财务报告的准确性和可靠性；

　　●与风险相关的资本评估系统情况；

　　●机构运营绩效和管理人员履职情况等。

　　（三）法律/合规部门：管理法律违规风险

　　与内部审计部相似，法律/合规部门同样应当于商业银行的经营管理活动，具有的报告路线、的调查权力以及的绩效考核。

　　法律/合规部门主要承担以下职责：

　　●协助制定法律／合规；

　　●适时修订规章制度和操作规程，使其符合法律和监管要求；

　　●开展法律／合规培训和教育项目；

　　●关注、准确理解法律／合规／监管要求及最新发展，为高级管理层提供建议；

　　●参与商业银行的组织架构和业务流程再造；

　　●参与商业银行新产品／服务开发，提供必要的法律／合规测试、审核和支持。

　　法律/合规部门的工作也需要接受内部审计部门的检查。

　　（四）外部监督机构：监管部门、市场约束

　　监管部门对商业银行风险管理能力的评估主要包括以下四个方面：

　　（1）董事会和高级管理层对银行所承担的风险是否实施有效监督；

　　（2）银行是否制定了有效的、措施和规定来管理业务活动；

　　（3）银行的风险识别、计量、检测和控制系统是否有效，是否全面涵盖各项业务和各类风险；

　　（4）内部控制机制和审计工作能否及时识别银行内控存在的缺陷和不足。

第三节　商业银行风险管理流程

　　一、风险识别/分析

　　（一）主要作用：适时、准确地识别风险是风险管理的最基本要求，但却对商业银行的风险管理水平提出了严峻的挑战。商业银行业务的日益多样化以及相关风险的复杂性，极大地增加了风险识别的难度。延误或错误判断，都将直接导致风险管理信息的传递和决策失效，甚至造成更为严重的风险损失。

　　（二）风险识别包括感知风险和分析风险两个环节。

　　●感知风险是通过系统化的方法发现商业银行所面临的风险种类、性质；

　　●分析风险是深入理解各种风险内在的风险因素。

　　（三）风险识别的方法

　　制作风险清单：商业银行识别风险的最基本、最常用的方法。它是指采用类似于备忘录的形式，将商业银行所面临的风险逐一列举，并联系经营活动对这些风险进行深入理解和分析；

　　资产财务状况分析法：风险管理人员通过实际调查研究以及对商业银行的资产负债表、利润表、财产目录等财务资料进行分析，从而发现潜在的风险；

　　失误树分析法：通过图解法来识别和分析风险事件发生前存在的各种风险因素；

　　分解分析法：将复杂的风险分解为多个相对简单的风险因素，从中识别可能造成严重风险损失的因素。

　　知识要点：风险管理的收益与平衡

　　风险因素考虑得愈充分，风险识别与分析也会愈加全面和深入。但随着风险因素的增加，风险管理的复杂程度和难度呈几何倍数增长，所产生的边际收益呈递减趋势。

　　二、风险计量

　　（一）作用：风险计量是全面风险管理、资本监管和经济资本配置得以有效实施的基础。商业银行能够有效运用计量模型来正确评价自身的风险/收益水平，这是商业银行的核心竞争优势。

　　（二）国际最佳实践：针对信用风险的 Risk Metrics, Credit Metrics, KMV 等模型；针对市场风险的 VaR模型；针对操作风险的高级计量法等。

　　（三）关键点：开发风险管理模型的难度不在于所应用的数学和统计知识有多么深奥，重要的是模型开发所采用的数据源是否具有高度的真实性、准确性和充足性。目的是确保最终开发的模型可以真实反映商业银行的风险状况。

　　商业银行应当根据不同的业务性质、规模和复杂程度，对不同类别的风险选择适当的计量方法，基于合理的假设前提和参数，尽可能准确计算可以量化的风险\\评估难以量化的风险。同时,充分认识到不同风险计量方法的优势和局限性，采用敏感性分析、情景分析、压力测试等其他分析手段进行补充。

　　（四）风险计量不是万能的，模型风险:商业银行在追求和采用高级风险量化方法时，应当意识到，高级量化技术通常伴随着计量方法的复杂化，进而形成新的风险（如模型风险等）。因此，在利用高级风险量化方法进行风险管理决策以及核算监管资本的数量时，商业银行应当具备相应的知识／技术条件，并且通过监管机构的审核。

　　三、风险监测：动态、连续的过程

　　两个层面的具体内容：

　　●监测各种可量化的关键风险指标（KRIs）以及不可量化的风险因素的变化和发展趋势，确保风险在进一步恶化之前提交相关部门，以便其密切关注并采取恰当的控制措施。

　　●报告商业银行所有风险的定性／定量评估结果，并随时关注所采取的风险管理／控制措施的实施质量／效果。

　　两个要求：动态连续；满足不同风险层级和不同职能部门对于风险状况的多样化需求。

　　四、风险控制

　　（一）目标：对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施，进行有效管理和控制的过程。

　　（二）要求：

　　（1）风险控制战略和策略符合经营目标的要求；

　　（2）具体措施与缓释工具符合成本／收益要求；

　　（3）通过对风险诱因的分析，发现管理中存在的问题，以完善风险管理程序。

　　（三）国际最佳实践：在日常风险管理操作中，具体的风险管理/控制措施可以采取从基层业务单位到业务领域风险管理委员会。最终到达高级管理层的三级管理方式。

第四节　商业银行风险管理信息系统

　　商业银行只有通过先进的风险管理信息系统，才能随时更新风险信息并及时做出分析和判断，以满足瞬息万变的市场和多样化的用户需求。

　　企业级风险管理信息系统极为复杂，具有多向交互式、智能化的特点，能够及时、广泛地采集所需要的各种风险信息和数据，并对这些信息进行集中海量处理，以辅助业务部门和风险管理人员作出正确决策。

　　一、数据的种类

　　内部数据：从各个业务信息系统中抽取的、与风险管理相关的数据。

　　外部数据：通过专业数据供应商所获得的数据。

　　二、数据仓库：多种有价值的风险数据/信息经过收集、整理和分类，形成数据仓库。

　　三、经过分析/处理的数据分为：

　　中间计量数据：是通过风险模型计量后的数据，可以为不同的风险管理业务目标所共享。

　　组合结果数据：是基于不同的风险管理目标所产生的组合计量结果。

　　企业级风险管理信息系统一般采用B/S结构，相关人员通过浏览器实现远程登录，这种信息传递方式的主要优点是：

　　（1）真正实现风险数据的全行集中管理、一致调用；

　　（2）不需要每个终端都安装风险管理软件，有助于最大限度地降低系统建设成本、保护知识产权和系统安全。

　　四、风险管理信息系统作为商业银行核心无形资产，必须设置严格的质量和安全保障标准，取保系统能够长期、不间断地运行。

　　●针对风险管理组织体系、部门职能、岗位职责等，设置不同的登陆级别；

　　●为每个系统用户设置独特的识别标志，并定期更换登录密码或磁卡；

　　●对每次系统登录或使用提供详细记录，以便为意外事件提供证据；

　　●设置严格的网络安全／加密系统，防止外部非法入侵；

　　●随时进行数据信息备份和存档，定期进行检测并形成文件记录；

　　●设置灾难恢复以及应急操作程序；

　　●建立错误承受程序，以便发生技术困难时，仍然可以在一定时间内保持系统的完整性。