歡迎進入：銀行從業課程免費試聽

　　更多信息請訪問：考試吧 銀行從業考試論壇

　　第2章 商業銀行風險管理基本架構

　　2.1 商業銀行風險管理環境

　　2.1.1商業銀行公司治理

　　1.定義和內涵

　　商業銀行公司治理是指控制、管理商業銀行的一種機制或制度安排，是商業銀行內部組織結構和權力分配體系的具體表現形式。其核心是在所有權、經營權分離的情況下，為妥善解決委托-代理關系而提出的董事會、高管層組織體系和監督制衡機制。

　　2.商業銀行公司治理的原則和做法

　　(1)經濟合作和發展組織OECD的公司治理原則

　　OECD認為，公司治理應當維護股東的權利，確保包括小股東和外國股東在內的全體股東受到平等的待遇;

　　如果股東的權利受到損害，他們應有機會得到有效補償;

　　治理結構應當確認利益相關者的合法權利，并且鼓勵公司和利益相關者為創造財富和工作機會以及為保持企業財務健全而積極地進行合作;

　　治理結構應當保證及時、準確地披露與公司有關的任何重大問題的信息(包括財務狀況、經營狀況、所有權狀況和公司治理狀況的信息);

　　治理結構框架應確保董事會對公司的戰略性指導和對管理人員的有效監督，并確保董事會對公司和股東負責。

　　(2)巴塞爾委員會的公司治理準則

　　①董事會成員應稱職，清楚理解其在公司治理中的角色，有能力對商業銀行的各項事務作出正確的判斷。

　　②董事會應核準商業銀行的戰略目標和價值準則，并監督其在全行的傳達貫徹。特別值得注意的是，價值準則應當禁止外部交易和內部往來活動的所有腐敗和賄賂行為。

　　③有效的董事會應清楚界定自身和高級管理層的權力及主要責任，并在全行實行問責制。

　　④董事會應確保對高級管理層是否執行董事會政策實施適當的監督。高級管理層是商業銀行公司治理的關鍵部門，為防治內部人控制，董事會必須對其實行有效監督。

　　⑤董事會和高級管理層應有效發揮內部審計部門、外部審計單位及內部控制部門的作用。在公司治理過程中，審計是至關重要的，審計的有效性會保證董事會及高級管理層職能的實現。

　　⑥董事會應確保薪酬政策及其做法與商業銀行的公司文化、長期目標和戰略、控制環境相一致。

　　⑦商業銀行應保持公司治理的透明度。這是商業銀行正常運轉的積極表現，否則，商業銀行將很難把握董事會和高級管理層是否對其行為和表現負責。

　　⑧董事會和高級管理層應了解商業銀行的運營架構，包括在低透明度國家或在透明度不高的架構下開展業務(了解商業銀行的架構)。

　　(3)我國商業銀行公司治理的要求

　　①完善股東大會、董事會、監事會、高級管理層的議事制度和決策程序;

　　②明確股東、董事、監視和高級管理人員的權力、義務;

　　③建立、健全以監事會為核心的監督機制;

　　④建立完善的信息報告和信息披露制度;

　　⑤建立合理的薪酬制度，強化激勵約束機制。

　　2.1.2 商業銀行內部控制

　　1.定義和內涵

　　商業銀行內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。是指商業銀行內部的控制系統。

　　完善商業銀行內部控制機制，不僅可以保障風險管理體系的健全，改善公司治理結構，而且還可以促進風險管理策略的有效實施，同時風險管理水平的提升也會極大提高內部控制的質量和效率。

　　2.商業銀行內部控制的目標和要素

　　(1)目標

　　確保國家法律規定和商業銀行內部規章的貫徹執行

　　確保商業銀行發展戰略和經營目標的全面實施和充分實現

　　確保風險管理體系的有效性

　　確保業務記錄、財務信息和其他管理信息的及時、真實和完整。

　　(2)要素

　　內部控制環境

　　風險識別與評估

　　內部控制措施

　　信息交流與反饋

　　監督、評價與糾正

　　(3)主要原則

　　商業銀行的內部控制必須貫徹全面、審慎、有效、獨立的原則

　　2.1.3 商業銀行風險文化

　　1.定義和內涵

　　風險文化是指商業銀行在經營管理過程中逐步形成的風險管理理念、哲學和價值觀，是通過商業銀行的風險管理戰略、風險管理制度以及廣大員工的風險管理行為表現出來的一種企業文化。風險文化一般由風險管理理念、知識和制度三個層次組成，其中風險管理理念是精神核心。

　　2.先進的風險管理理念

　　風險管理是商業銀行的核心競爭力，是創造資本增值和股東回報的重要手段。

　　風險管理的目標不是消除風險，而是通過主動的風險管理過程實現風險與收益的平衡。

　　風險管理戰略應該納入商業銀行整體戰略之中，并服務于業務發展戰略

　　商業銀行應該充分了解所有風險，建立和完善風險控制機制，對于不了解或無把握控制風險的業務，應該采取審慎態度。

　　3.風險文化的培植

　　首先，風險文化不是階段性工作，而是商業銀行的一項終身事業

　　其次，商業銀行應向全體員工廣泛宣講正確的風險管理理念等內容，使之成為商業銀行和員工一致的價值觀。

　　最后，商業銀行應該通過建立管理制度和實施績效考核，將風險文化融入到每一位員工的日常行為。

　　2.1.4 商業銀行管理戰略

　　1.定義和內涵

　　商業銀行管理戰略是商業銀行在綜合分析外部環境、內部管理狀況以及同業比較的基礎上，提出的一整套中長期發展目標以及為實現這些目標所采取的行動方案。

　　2.基本內容

　　商業銀行管理戰略分為戰略目標和實現路徑兩個方面的內容。戰略目標可以分解為戰略愿景、階段性戰略目標和主要發展指標等細項。

　　戰略目標決定了實現路徑。一旦戰略目標發生改變，必須相應調整工作內容和方式。

　　3.商業銀行管理戰略和風險管理的關系

　　2.2 商業銀行風險管理組織

　　2.2.1 董事會及其專門委員會

　　董事會是商業銀行的最高風險管理/決策機構，承擔商業銀行管理的最終責任，確保商業銀行有效識別、計算、監測和控制各項業務所承擔的各種風險。

　　董事會通常指派專門委員會(通常為最高風險管理委員會)負責擬定具體的風險管理政策和指導原則。

　　最高風險管理委員會以及業務單位風險管理委員會委員，可以由商業銀行內部具有豐富管理經驗的人士擔任，也可由外部專家/顧問擔任。風險管理總監應當是商業銀行董事會成員，同時擔任商業銀行副總裁或以上職務。

　　2.2.2 監事會

　　監事會是我國商業銀行所特有的監督機構，對股東大會負責，從事商業銀行內部盡職監督、財務監督、內部控制監督等監察工作。

　　在風險管理領域，監事會應當加強與董事會及內部審計、風險管理等相關委員會和有關職能部門的工作聯系。

　　2.2.3 高級管理層

　　高級管理層的主要職責是負責執行風險管理政策，制定風險管理的程序和操作規程，及時了解風險水平及其管理狀況，并確保商業銀行具備足夠的人力、物力和恰當的組織結構、管理信息系統以及技術水平，來有效地識別、計量、監測和控制各項業務所承擔的各種風險。

　　高級管理層的支持與承諾是商業銀行有效風險管理的基石。

　　2.2.4 風險管理部門

　　建立高效的風險管理部門應當固守兩個基本準則：風險管理部門必須具備高度獨立性，以提供客觀的風險管理策略;風險管理部門不具有或只具有非常有限的風險管理策略執行權。時間操作中，商業銀行的“風險管理部門”和“風險管理委員會”既要保持相對獨立，又要互為支持，但絕不能混為一談。

　　1.風險管理部門結構

　　(1)集中型的風險管理部門

　　從全球金融風險管理實踐看，集中型風險管理部門包括了商業銀行風險管理的核心要素：風險監控、數量分析、價格確認、模型創建和相應的信息系統/技術支持。更加適用于規模龐大，資金、技術、人力資源雄厚的大中小商業銀行。

　　(2)分散型風險管理部門

　　在某些情況下，商業銀行不需要建立完善的風險管理部門，因此可以考慮將數據分析、技術支持、價格確認等風險管理職能外包給專業服務供應商。分散型風險管理部門的缺點是，難以絕對控制商業銀行的敏感信息，無法形成長期的核心競爭力和強大的市場定價能力。

　　2.風險管理部門的主要職責

　　首先，風險管理部門履行的一個非常具體但卻至關重要職責是監控各種金融產品和所有業務部門的風險限額。商業銀行的每日風險狀況報告和每日收益/損失表是現代商業銀行管理的最重要的兩份報告。

　　其次，風險管理部門負責核準復雜金融產品的定價模型，并協助財務控制人員進行價格評估。

　　最后，風險管理部門獨特的地位使其可以全面掌握商業銀行的整齊風險狀況，為管理決策提供不可替代的輔助作用。

　　3.風險管理所需的專業技能

　　集中性風險管理部門的人員必須具備以下五個方面的主要技能。

　　(1)風險監控和分析能力

　　(2)數量分析能力

　　(3)價格核準能力

　　(4)模型創建能力

　　(5)系統開發/集成能力

　　2.2.5 其他風險控制部門

　　1.財務控制部門

　　現代商業銀行的財務控制部門通常采取每日參照市場定價的方法，及時捕捉市場價格/價值的變化，因此所提供的數據最為真實、準確，這無疑使財務控制部門處在有效風險管理的最前端。

　　2.內部審計部門

　　內部審計可以從風險識別、計量、監測和控制四個主要階段，審核商業銀行粉線管理的能力和效果，發現/報告潛在的重大風險，提出應對方案并監督風險控制措施的落實情況。

　　風險管理部門可以為內部審計部門提供最直接的第一手資料和記錄。

　　3.法律/合規部門

　　法律/合規部門應當獨立于商業銀行的經營活動。法律/合規部門應當有效識別、評估和監測商業銀行潛在的法律風險及各項違規操作，并向高級管理層和董事會提出咨詢建議和報告。

　　4.外部風險監督機構

　　監管機構不斷強化從質量和數量方面綜合評估商業銀行的風險管理能力，同時要求商業銀行定期提供整體風險報告。外部審計機構也開始在年度審計報告中提供風險管理評估報告。

　　隨著公眾風險意識顯著提高，越來越多的機構/個人投資者、客戶開始重新審視商業銀行的風險管理能力。

　　2.3 商業銀行風險管理流程

　　風險管理部門承擔了風險識別、風險計算、風險監測的重要職責，而各級風險管理委員會承擔風險控制/管理決策的最終責任。

　　2.3.1 風險識別

　　適時、準確地識別風險是風險管理的最基本要求。

　　風險識別包括感知風險和分析風險兩個環節：感知風險是通過系統化的方法發現商業銀行所面臨的風險種類、性質;分析風險是深入理解各種風險內在的風險因素。

　　制作風險清單是商業銀行識別風險的最基本、最常用的方法。它是指采用類似于備忘錄的形式，將商業銀行所面臨的風險逐一列舉，并聯系經營活動對這些風險進行深入理解和分析。此外，常用的風險識別方法還有：

　　①專家調查列舉法

　　②資產財務狀況分析法

　　③情景分析法

　　④分解分析法

　　⑤失誤樹分析方法

　　2.3.2 風險計量

　　風險計量/量化是全面風險管理、資本監管和經濟資本配置得以有效實施的基礎。準確的風險計量結果是建立在卓越的風險模型基礎上的，而開發一系列準確的、能夠在未來一定時間限度內滿足商業銀行風險管理需要的數量模型，任務相當艱巨。

　　商業銀行應當根據不同的業務性質、規模和復雜程度，對不同類別的風險選擇適當的計量方法，基于合理的假設前提和參數，計量承擔的所有風險。

　　2.3.3 風險監測

　　①監測各種可量化的關鍵風險指標以及不可量化的風險因素的變化和發展趨勢。

　　②報告商業銀行所有風險的定性/定量評估結果，并隨時關注所采取的風險管理/控制措施的實施質量/效果。

　　2.3.4 風險控制

　　風險控制是對經過識別和計量的風險采取分散、對沖、轉移、規避和補償等措施，進行有效管理和控制的過程。風險管理/控制措施應當實現以下目標：

　　①風險管理戰略和策略符合經營目標的要求;

　　②所采取的具體措施符合風險管理戰略和策略的要求，并在成本/收益基礎上保持有效性;

　　③通過對風險誘因的分析，發現管理中存在的問題，以完善風險管理程序。

　　按照國際最佳實踐，在日常風險管理操作中，具體的風險管理/控制措施可以采取從基層業務單位到業務領域風險管理委員會，最終到達高級管理層的三級管理方式。

　　2.4 商業銀行風險管理信息系統

　　風險信息在各業務單元的流動不完全是單向循環，其過程具有多向交互式、智能化的特點。有效的風險管理信息系統應當能夠及時整合各種風險類別的信息和數據，提供卓越的風險分析功能，具有很強的備份和恢復能力。

　　2.4.1 數據收集

　　(1)風險信息/數據的種類

　　①內部數據：一般通過商業銀行內部的業務數據倉庫獲得。

　　②外部數據：通過專業數據供應商所獲得的數據

　　l 國內市場行情和信息數據

　　l 外部評級數據

　　l 行業統計分析數據

　　l 外部損失數據

　　(2)風險信息的特征及系統結構方面的問題

　　①精確性

　　②及時性

　　③系統結構方面的問題。

　　交易系統的數據信息可能沒有記錄系統那樣精確，需要特別留意。區分系統“真實的”和交易人員“假設的”分析操作。信息系統需要設計遠程數據的傳輸和儲存結構。

　　2.4.2 數據處理

　　(1)處理輸入數據/信息

　　①中間計量數據。中間計量數據應該存儲到數據倉庫中，一般采用三維存儲方式，例如時間、情景、金融工具。

　　②組合結果數據。組合結果數據根據不同的風險管理目標存儲到風險數據倉庫中，以便業務人員和風險管理人員通過信息終端獲取。

　　(2)信息儲存操作

　　信息儲存系統應當結合以下能力：

　　①增添最初沒有預計到的產品特性(新產品風險技術改進);

　　②以特定的投資組合方式集中并計量風險;

　　③重新定義投資組合，以及如何將不同的產品組合在一起。

　　2.4.3 信息傳遞

　　有效的風險管理是指在正確的時間將正確的信息傳遞給正確的人。先進的企業級風險管理信息系統一般采用B/S結構，操作人員通過IE方式實現遠程登錄，就可以在最短的時間內獲得所有相關的風險信息。

　　發布風險分析信息/報告分為兩個步驟：

　　①預覽

　　②發布

　　2.4.4 信息系統安全管理

　　①針對風險管理組織體系、部門職能、崗位職責等，設置不同的進入級別;

　　②為每個系統用戶設置獨特的識別標志，并定期更換登錄密碼或磁卡;

　　③對每次系統登錄或使用提供詳細筆記，以便為意外事件提供證據;

　　④設置嚴格的網絡安全/加密系統，防止外部非法入侵;

　　⑤隨時進行數據信息備份和存檔，定期進行檢測并形成文件記錄;

　　⑥設置災難恢復以及應急操作程序;

　　⑦建立錯誤承受程序，以便發生技術困難時，仍然可以在一定時間內保持系統的完整性。