银行从业资格《风险管理》重点讲义：其他风险控制部门

　　2.2.5其他风险控制部门

　　1.财务控制部门

　　现代商业银行的财务控制部门通常采取每日参照市场定价的方法，及时捕捉市场价格/价值的变化，因此所提供的数据最为真实、准确，这无疑使财务控制部门处在有效风险管理的最前端。

　　2.内部审计部门

　　内部审计可以从风险识别、计量、监测和控制四个主要阶段，审核商业银行粉线管理的能力和效果，发现/报告潜在的重大风险，提出应对方案并监督风险控制措施的落实情况。

　　风险管理部门可以为内部审计部门提供最直接的第一手资料和记录。

　　3.法律/合规部门

　　法律/合规部门应当独立于商业银行的经营活动。法律/合规部门应当有效识别、评估和监测商业银行潜在的法律风险及各项违规操作，并向高级管理层和董事会提出咨询建议和报告。

　　4.外部风险监督机构

　　监管机构不断强化从质量和数量方面综合评估商业银行的风险管理能力，同时要求商业银行定期提供整体风险报告。外部审计机构也开始在年度审计报告中提供风险管理评估报告。

　　随着公众风险意识显著提高，越来越多的机构/个人投资者、客户开始重新审视商业银行的风险管理能力。

　　商业银行风险管理流程

　　2.3商业银行风险管理流程

　　风险管理部门承担了风险识别、风险计算、风险监测的重要职责，而各级风险管理委员会承担风险控制/管理决策的最终责任。

　　2.3.1风险识别

　　适时、准确地识别风险是风险管理的最基本要求。

　　风险识别包括感知风险和分析风险两个环节：感知风险是通过系统化的方法发现商业银行所面临的风险种类、性质;分析风险是深入理解各种风险内在的风险因素。

　　制作风险清单是商业银行识别风险的最基本、最常用的方法。它是指采用类似于备忘录的形式，将商业银行所面临的风险逐一列举，并联系经营活动对这些风险进行深入理解和分析。此外，常用的风险识别方法还有：

　　①专家调查列举法

　　②资产财务状况分析法

　　③情景分析法

　　④分解分析法

　　⑤失误树分析方法

　　2.3.2风险计量

　　风险计量/量化是全面风险管理、资本监管和经济资本配置得以有效实施的基础。准确的风险计量结果是建立在卓越的风险模型基础上的，而开发一系列准确的、能够在未来一定时间限度内满足商业银行风险管理需要的数量模型，任务相当艰巨。

　　商业银行应当根据不同的业务性质、规模和复杂程度，对不同类别的风险选择适当的计量方法，基于合理的假设前提和参数，计量承担的所有风险。

　　2.3.3风险监测

　　①监测各种可量化的关键风险指标以及不可量化的风险因素的变化和发展趋势。

　　②报告商业银行所有风险的定性/定量评估结果，并随时关注所采取的风险管理/控制措施的实施质量/效果。

　　2.3.4风险控制

　　风险控制是对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施，进行有效管理和控制的过程。风险管理/控制措施应当实现以下目标：

　　①风险管理战略和策略符合经营目标的要求;

　　②所采取的具体措施符合风险管理战略和策略的要求，并在成本/收益基础上保持有效性;

　　③通过对风险诱因的分析，发现管理中存在的问题，以完善风险管理程序。

　　按照国际最佳实践，在日常风险管理操作中，具体的风险管理/控制措施可以采取从基层业务单位到业务领域风险管理委员会，最终到达高级管理层的三级管理方式。

　　商业银行风险管理信息系统

　　2.4商业银行风险管理信息系统

　　风险信息在各业务单元的流动不完全是单向循环，其过程具有多向交互式、智能化的特点。有效的风险管理信息系统应当能够及时整合各种风险类别的信息和数据，提供卓越的风险分析功能，具有很强的备份和恢复能力。

　　2.4.1数据收集

　　(1)风险信息/数据的种类

　　①内部数据：一般通过商业银行内部的业务数据仓库获得。

　　②外部数据：通过专业数据供应商所获得的数据

　　l国内市场行情和信息数据

　　l外部评级数据

　　l行业统计分析数据

　　l外部损失数据

　　(2)风险信息的特征及系统结构方面的问题

　　①精确性

　　②及时性

　　③系统结构方面的问题。

　　交易系统的数据信息可能没有记录系统那样精确，需要特别留意。区分系统“真实的”和交易人员“假设的”分析操作。信息系统需要设计远程数据的传输和储存结构。

　　2.4.2数据处理

　　(1)处理输入数据/信息

　　①中间计量数据。中间计量数据应该存储到数据仓库中，一般采用三维存储方式，例如时间、情景、金融工具。

　　②组合结果数据。组合结果数据根据不同的风险管理目标存储到风险数据仓库中，以便业务人员和风险管理人员通过信息终端获取。

　　(2)信息储存操作

　　信息储存系统应当结合以下能力：

　　①增添最初没有预计到的产品特性(新产品风险技术改进);

　　②以特定的投资组合方式集中并计量风险;

　　③重新定义投资组合，以及如何将不同的产品组合在一起。

　　2.4.3信息传递

　　有效的风险管理是指在正确的时间将正确的信息传递给正确的人。先进的企业级风险管理信息系统一般采用B/S结构，操作人员通过IE方式实现远程登录，就可以在最短的时间内获得所有相关的风险信息。

　　发布风险分析信息/报告分为两个步骤：

　　①预览

　　②发布

　　2.4.4信息系统安全管理

　　①针对风险管理组织体系、部门职能、岗位职责等，设置不同的进入级别;

　　②为每个系统用户设置独特的识别标志，并定期更换登录密码或磁卡;

　　③对每次系统登录或使用提供详细笔记，以便为意外事件提供证据;

　　④设置严格的网络安全/加密系统，防止外部非法入侵;

　　⑤随时进行数据信息备份和存档，定期进行检测并形成文件记录;

　　⑥设置灾难恢复以及应急操作程序;

　　⑦建立错误承受程序，以便发生技术困难时，仍然可以在一定时间内保持系统的完整性。