第二章 风险管理体系

　　2.1风险治理

　　2008年金融危机后，国际监管机构总结了金融机构公司治理存在的四个问题：一是董事会未有效履行风险管理职责;二是风险治理能力薄弱;三是薪酬与激励机制不合理;四是组织结构过于复杂和不透明。

　　董事会(资本管理首要责任、风险管理最终责任)及其风险管理委员会—监事会(监督机构)—高级管理层(执行机构)—风险管理部门。

　　三道防线建设：

　　第一道防线：业务条线部门，是风险的承担责，应负责持续识别、评估和报告风险敞口;

　　第二道防线：风险管理部门和合规管理部门，风险管理部门负责监督和评估业务部门承担风险的业务活动;合规管理部门负责定期监控银行对法律、公司治理规则、监管规定、行为规范和政策的执行情况。

　　第三道防线：内部审计部门，对银行的风险治理框架的质量和有效性进行独立的审计。

　　2.2风险偏好和风险文化

　　2.2.1风险偏好的定义

　　风险偏好是商业银行在追求实现战略目标的过程中，愿意且能够承担的风险类型和风险总量。

　　金融稳定理事会《有效风险偏好框架制定原则》，主要内容包括风险偏好框架、风险偏好声明关键因素、风险限额、内部管理角色和职责四个主要部分。

　　2.2.2风险偏好管理框架和风险偏好声明

　　风险偏好框架是确定、沟通和监控风险偏好的总体方法，包括政策、流程、控制环节和制度

　　国内银行一般通过风险偏好制度来明确风险偏好的制定、实施、监控、调整等环节的政策、流程。

　　风险偏好声明是金融机构愿意接受或避免的风险总体水平和风险类型的书面说明，包括定性说明以及有关盈利、资本、风险措施和流动性的定量措施，还需阐明难以量化的风险。

　　国内银行一般通过风险偏好表来阐明能够接受的定量风险水平和定性的描述。

　　有效的风险偏好声明应满足以下原则：(1)包括银行在制定战略和业务规划时所使用的关键背景信息和假设;(2)与银行长短期战略规划、资本规划、财务规划、薪酬机制相关联;(3)考虑客户的利益和对股东的受托义务、资本及其他监管要求，在完成战略目标和业务计划时，确定银行愿意接受的风险总量;(4)基于总体风险偏好、风险能力、风险轮廓，应为每类实质性风险和总体风险确定能够接受的最高风险水平;(5)包括定量指标;(6)包括定性的陈述;(7)具有前瞻性。

　　2.2.3制定风险偏好过程中需要考虑的因素

　　1.风险偏好与利益相关人的期望; 2.银行需要考虑该行愿意承担的风险，以及承担风险的能力;

　　3.监管要求; 4.充分考虑压力测试(是风险偏好指标的描述、制定、监测)。

　　2.2.4风险偏好的维度、指标和体现方式

　　风险偏好的维度包括：(1)资本类，包括一级资本、监管资本和经济资本等指标;(2)收益类，包括相应置信水平下的经济资本、收益的波动水平等;(3)特定风险类指标，包括定量和定性(包括零容忍)的指标。

　　选取风险偏好指标的原则是兼顾全面性和重要性，突出先进性和原则性。

　　2.2.5风险文化 风险文化是银行在经营管理活动中逐步形成的风险管理理念、哲学和价值观，通过商业银行的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种企业文化。

　　除了风险治理和风险偏好外，风险承担机制和薪酬激励机制是风险文化的两个重要内容。

　　风险承担机制的元素包括：谁产生了风险、升级程序、明确的后果。

　　2.3风险限额 限额管理是最常用的风险事前控制手段

　　2.3.1风险限额管理的一般原则

　　一些基本的限额管理原则包括：限额种类要覆盖风险偏好范围内的各类风险;限额指标通常包括盈利、资本、流动性或其他相关指标(如增长率、波动率);强调集中度风险;参考最佳市场实践，但不以同业标准或以监管要求作为限额标准等。

　　2.3.2风险限额的种类

　　按照约束的风险类型，限额主要分为：信用风险限额、市场风险限额、操作风险限额、国别风险限额。

　　信用风险限额：单一客户贷款集中度、单一集团客户授信集中度、行业限额;

　　市场风险限额：交易账户VaR限额、产品和组合敞口限额、敏感度限额、止损限额;

　　操作风险限额：操作风险损失率、监管处罚率、千人重大操作风险事发率、千人发案率、案件风险率、操作风险事件败诉率、信息系统主要业务时段可用率、操作风险经济资本率;

　　流动性风险限额：流动性比例、存贷比、流动性覆盖率、净稳定资金比例、流动性缺口率、核心负债依存度、单日现金错配限额、一个月累计现金错配限额、最大十家存款集中度、最大十家金融同业集中度。

　　国别风险限额：国别风险敞口。

　　2.3.3限额管理 限额管理包括风险限额设定、风险限额监测、风险限额控制。

　　风险限额的设定分四个阶段：第一，全面风险计量，确定各类敞口的预期损失和非预期损失;第二，利用会计信息系统，对各业务敞口的收益和成本进行量化分析;第三，运用资产组合模型，对各业务敞口确定经济资本的增量和存量;第四，综合考虑监管部门的政策要求以及银行战略管理层的风险偏好，最终确定各业务敞口的风险限额。

　　国际先进银行的限额管理

　　风险限额主要包括：集中度限额、VaR限额和止损限额三种。

　　集中度限额直接设定于单个敞口的规模上限，目的是保持投资组合的多样性，避免风险过度集中;

　　VaR限额是对业务敞口的风险价值进行限制，科学，但高度依赖模型和数据，国内很难达到建模要求;

　　止损限额以实际损失而非可能损失为检测对象，是集中度限额和VaR限额的重要补充，主要用于控制市场风险，多采取“盯市”方式。

　　2.4风险政策及管理流程

　　2.4.1风险政策，是一系列的风险管理制度规定，目的是确保银行的风险识别、计量、缓释和监控能力与银行的规模、复杂性及风险状况相匹配。

　　2.4.2风险管理流程 风险管理流程可以概括为：风险识别、风险计量、风险监测和风险控制四个主要步骤。

　　风险识别/分析是对影响各类目标实现的潜在事项或因素予以全面识别，进行系统分类并查找出风险原因的过程，其目的在于帮助银行了解自身面临的风险及风险的严重程度，为下一步计量和防控打好基础。

　　风险识别包括感知风险和分析风险两个环节。

　　风险计量/评估是在风险识别的基础上，对风险发生的可能性、风险将导致的后果及严重程度进行充分的分析和评估，从而确定风险水平的过程。

　　风险监测/报告包含风险管理的两项重要内容：一是监测各风险水平变化和发展趋势，在风险进一步恶化之前提交相关部门，以便其密切关注并采取恰当的控制措施，确保风险在银行设定的目标范围内;二是报告商业银行所有风险的定性/定量评估结果，并随时关注所采取的风险管理/控制措施的实施质量/效果。

　　风险报告要具有准确性、综合性、清晰度和可用性，并满足报告频率和分发的要求。

　　风险控制/缓释，风险控制与缓释流程应当符合以下要求：一是风险控制/缓释策略应与银行的整体战略目标保持一致;二是所采取的具体控制措施与缓释工具符合成本/收益要求;三是能够发现风险管理中存在的问题，并重新完善风险管理程序。

　　常用的事前控制方法有：限额管理、风险定价和制定应急预案等。

　　常用的风险事后控制方法有：风险缓释或风险转移;风险资本的重新分配;提高风险资本水平。

　　质量保证和控制机制是风险管理流程正确和有效运转的重要保障。

　　2.5风险数据与IT系统

　　2.5.1风险数据

　　风险数据包括内部数据和外部数据，内部数据是从各个业务系统中抽取的、与风险管理相关的数据信息，外部数据是通过专业数据供应商所获得的数据。

　　《数据质量良好标准》分为制度体系、数据标准体系、系统体系、考核评价体系和监督检查体系五大方面，共15项原则，61条标准。

　　巴《有效风险数据加总和风险报告原则》，风险数据加总是按照银行的风险报告要求，定义、收集和处理风险数据，是银行能够衡量其风险容忍度/偏好下的业绩表现。14项原则，主要包括数据治理和IT基础设施，风险数据的准确性、完整性、及时性和灵活性，风险报告以及对监管部门的要求。

　　《通用数据模板》要求按周、月、季、年等他不同频率提供金融机构之间或金融机构对整个市场的信用暴露和融资数据，这些数据主要是解决下列风险识别和应对中出现的问题：集中度风险、市场风险、融资风险、传染/溢出风险。

　　数据缺失、支离破碎、不完整成为妨碍监管部门制定对应政策的障碍

　　2.5.2风险IT系统 风险管理信息系统应当：

　　1.针对风险管理组织体系、部门职能、岗位职责等，设置不同的登陆级别;

　　2.为每个系统用户设置独特的识别标志，并定期更换登陆密码或磁卡;

　　3.对每次系统登录或使用提供详细记录，以便为意外事件提供证据;

　　4.设置严格的网络安全/加密系统，防止外部非法入侵;

　　5.随时进行数据信息备份和存档，定期进行监测并形成文件记录;

　　6.设置灾难恢复及应急操作程序;

　　7.建立错误承受程序，以便发生技术困难时，仍然可以在一定时间内保持系统的完整性。

　　2.6内部控制与内部审计

　　内部控制侧重于建立控制机制，内部审计侧重于重评估发现缺陷。

　　2.6.1内部控制定义

　　COSO定义：内部控制是由董事会、管理层和其他员工实施的、旨在为经营的有效性和效率、财务报告的可靠性、法律法规的遵循性等目标的实现提供合理保证的过程。目标包括以下三类：

　　第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性;

　　第二类目标关于编制可靠的公开发布的财务报表，包括中期和简要的财务报表及精选的财务数据;

　　第三类目标涉及对于企业所适用的法律及法规的遵循。

　　为实现上述目标银行应建立包括控制环境、风险评估、控制活动、信息与沟通、监控五个要素的内部控制体系。

　　巴赛尔定义：内部控制目标概括为三个方面：效率与效益，财务与管理信息的可靠性、完整性和及时性，遵守法律及管理条例的情况。同时指出内部控制包括五大相互联系的因素：管理性监管与内部控制文化、风险认定与评估、控制措施与职责分工、信息与交流、监督行为与修正缺陷。

　　银监会定义：银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。银行内控目标之一是保证商业银行风险管理的有效性。

　　2.6.2内部控制的五大要素 内部环境、风险评估、控制活动、内部监督、信息与沟通

　　内部环境处于五大要素之首;

　　风险评估包括：设置目标、风险识别、风险分析、风险应对;

　　控制活动：控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

　　内部监督主要包括监督活动、缺陷认定和责任追究;

　　信息与沟通主要包括：信息搜集、信息传递、信息共享和反舞弊机制。

　　2.6.3内部审计

　　独立性被看做审计职能的一种属性，客观性则是内部审计师的属性。

　　独立性指内部审计活动独立于他们所审查的活动之外;

　　客观性指一种公正的、不偏不倚的态度，是一种精神状态。

　　内部审计以企业的全部经营活动为审计对象，包括：公司治理、风险管理和内部控制。

　　内部审计在组织风险管理框架中发挥不可替代的作用：

　　第一，帮助组织识别、评价重要的风险暴露，促进风险管理和控制系统的改进;

　　第二，监控和评价组织风险管理系统的效果;

　　第三，评价与组织的治理、运营和信息系统有关的风险暴露;

　　第四，把在咨询业务中对风险的了解结合到发现和评价组织的重大风险暴露的过程中去。