1、1.2 银行风险管理基本架构 本章概要 本章是对商业银行内部风险管理基本架构 的介绍。 1.好的风险管理环境 2.合理设置风险管理组织 3.科学的风险管理基本流程 4.安全高效的风险管理信息系统。章节架构v2.1 商业银行风险管理环境 2.1.1 商业银行公司治理 2.1.2 商业银行内部控制 2.1.3 商业银行风险文化 2.1.4 商业银行管理战略v2.2 商业银行风险管理组织 2.2.1 董事会及其专门委 员会 2.2.2 监事会 2.2.3 高级管理层 2.2.4 风险管理部门 2.2.5 其他风险控制部门 v2.3 商业银行风险管理流程 2.3.1 风险识别 2.3.2 风险计量 2
2、.3.3 风险监测 2.3.4 风险控制v2.4 商业银行风险管理信息系统 2.4.1 数据收集 2.4.2 数据处理 2.4.3 信息传递 2.4.4 信息系统安全管理2.1 商业银行风险管理环境v2.1.1 商业银行公司治理 1. 定义和内涵 (1)商业银行公司治理是控制、管理商业银的一种机制或制度安排,是商业银行内部组织结构和权利分配体系的具体表现形式。 (2) 核心:在所有权和经营权分离的情况下,为妥善解决委托代理关系而提出的董事会、高管层组织体系和监督制衡机制。 (3)良好的公司治理结构的标志: 能够激励董事会和管理工作层一致追求商业银行和股东的利益目标。 分工明确的组织体系、实现公
3、司权力的分配和制衡、有利于有效的监督。 (4)作用: 良好的公司治理是商业银行安全稳健运行的一项基本要素; 公司治理所涉及的董事会和高管层所承担的政策制定、政策实施以及监督合规操作等职能,是商业银行实施有效风险管理的关键。 良好的公司治理有利于实施全面风险管理、加强内部控制、防范操作风险,实现安全运营。 2. 商业银行公司治理的原则和做法 目前较为通行的是经济合作与发展组织(OECD)的公司治理准则和巴塞尔委员会的公司治理原则。 (1)OECD认为: 公司治理应维护股东权益,保证全体股东的平等待遇; 如果股东利益受损,股东有权得到补偿; 治理结构应当确认利益相关者的合法利益,并鼓励公司与利 益
4、相关者的积极合作; 治理结构应当保证公司信息及时、准确地批露; 确保董事会对公司的战略性指导和对管理人员的有效监督。 (2)巴塞尔委员会认为,商业银行公司治理应遵循八大原则: 董事会成员应称职应称职,有能力对商业银行各项事务做出正确判断。 董事会应核准商业银行的战略目标和价值准则战略目标和价值准则,并监督其在全行的贯彻执行。 董事会应界定自身和高管层的权责权责,并在全行实行问责制。 董事会应对高管层是否执行董事会政策实施适当的监督监督。 董事会和高管层应有效发挥内 部审计审计部门、外部审计单位以及内部控制部门的作用。 董事会应确保薪酬薪酬政策及其做法与企业文化、长期战略控制环境相一致。 商业银
5、行应保持公司治理的透明透明度。 董事会和高管层应充分了解商业银行的运营架构运营架构。 (3)我国商业银行监管当局借鉴国际先进经验,也提出了商业银行公司治理的要求: 完善股东大会董事会、监事会、高管层的议事制度和决策程序。 明确股东董事监事和高管人员的权利和义务。 建立健全以监事会为核心的监督机制。 建立完善的信息报告和信息批露制度。 建立合理的薪酬制度,强化激励约束机制。v2.1.2 商业银行内部控制 1. 定义和内涵 商业银行内部控制是商业银行为实现经营目标,通过制定一系列制度、程序和方法,对风险进行事前防范事中控制事后监督和纠正的动态机制和过程。即内部的管理控制系统。具体包括: 明确划分股
6、东董事会和高管层各自的权责利形成的相互制衡关系。 为遵循既定政策和预定目标所采取的方法和手段。 为保证各项业务和管理活动的有效进行,保护资产的完整和安全,而制定和实施的政策和程序。 及时防范发现和动态调整管理风险的机制。v完善商业银行内控机制的作用:v保证风险管理体系的健全;v改善公司治理结构;v促进风险管理策略的有效实施2. 商业银行内部控制的目标和要素 目标主要是: 确保国家法律法规和商业银行内部规章制度的贯彻实施。 确保商业银行发展战略和经营目标的全面实施和充分实现。 确保风险管理体系的有效性。 确保业务记录、财务信息和其他管理信息的及时真实完整。 为了确保以上目标的实现,需要注意以下要
7、素: 内部控制环境 风险识别与评估 内部控制措施 信息交流与反馈 监督评价与纠正v3.商业银行内部控制的主要原则v全面v审慎v有效v独立v2.1.3 商业银行风险文化 1. 定义和内涵 风险文化,是商业银行在经营管理活动中逐步形成的风险管理理念、哲学和价值观,通过风险管理战略、风险管理制度、风险管理行为表现出的一种企业文化。 风险文化一般由风险管理理念、知识和制度三个层面组成。 风险管理理念是风险文化的核心,也是风险文化中最为主要和最高层次的因素。有直接和长效的影响力. 2. 先进的风险管理理念 主要包括: 风险管理是商业银行的核心竞争力,是创造资本增值和股东回报的重要手段。 粗放、冒进、盲目
8、追求市场份额精细化、审慎型、风险收益管理的可持续发展 风险管理的目标不是消除风险,而是通过主动的风险管理过程来实现风险与收益的平衡。 风险管理战略应纳入商业银行的整体战略之中,并服务于业务发展战略。 商业银行应充分了解所有风险,建立和完善风险控制机制,对不了解或无把握的业务,应采取审慎态度。 3. 风险文化的培植 首先,培植风险文化不是阶段性工作,而是商业银行的一项终身事业终身事业,根据变化了的内外部环境而修正。 其次,商业银行应向全体员工宣扬正确的风险管理理念、知识、规范,大力倡导和强化风险意识,使银行和员工形成一致的风险价值观一致的风险价值观,真正使风险文化成为促进商业银行发展的原动力;
9、最后,商业银行应通过建立管理制度和实施绩效考核,将风险文化融入的每一位员工的日常行为融入的每一位员工的日常行为中。v2.1.4 商业银行管理战略 1.定义和内涵 商业银行管理战略是商业银行在综合分析外部环境、内部管理状况以及同业比较的基础上,提出一整套中长期发展目标以及为实现这些目标所采取的行动方案。 2. 商业银行管理战略的基本内容 一般而言,分为战略目标和实现路径两方面内容。(1)战略目标又可分为战略远景、阶段性战略目标和主要发展目标等细项,以便管理层了解战略实施状况、存在的问题以及修正的必要性。战略远景:描绘的商业银行的理想境界。阶段性战略目标:在未来一时间段内在相关领域希望实现的目标。
10、主要发展目标:是对阶段性目标的分解,使目标进一步细化/量化,增强可操作性。 (2)实现路径:战略目标决定了实现路径,商业银行的各项工作必须紧紧围绕战略目标展开,战略目标一旦确立,商业银行应重点研究如何保证实现路径的高质量和高效率。 3. 商业银行管理战略与风险管理的关系 商业银行管理战略与风险管理密切相关,相互作用。 风险管理是管理战略的重要方面,积极有效的风险管理有助于整体管理战略的最终实现。2.2 商业银行风险管理组织v2.2.1 董事会及其专门委员会 董事会是商业银行的最高风险管理/决策机构,承担商业银行风险管理的最终责任,确保商业银行有效识别、计量、检测和控制各项业务所承担的各种风险。
11、 董事会通常指派专门委员会(通常是最高风险管理委员会)负责拟定具体的风险管理政策和指导原则。v2.2.2 监事会 监事会是我国商业银行所特有的监督机构,对股东大会负责,从事商业银行内部尽职监督、财务监督、内部控制监督等监察工作。 在风险管理领域:在风险管理领域:监事会应当加强与董事会及内部审计、风险管理等相关委员会和有关职能部门的协调和联系;全面了解商业银行的风险管理状况;跟踪监督董事会和高管层为完善内部控制所做的相关工作;检查和调研日常经营活动中是否存在违反风险管理政策和原则的问题。v2.2.3 高级管理层作用:高级管理层对风险管理的支持和承诺是商业银行有效风险管理的基石;只有当高级管理层充
12、分意识到并积极利用风险管理的潜在盈利能力时,风险管理才能够对商业银行产生最大的收益。 高级管理层的主要职责是:高级管理层的主要职责是:负责执行风险管理政策,制定风险管理的程序和操作规程,及时了解风险水平及其管理状况,并确保商业银行具备足够的人力、物力和恰当的组织机构、管理信息系统以及技术水平,来有效识别、计量、监测和控制各项业务所承担的风险。在实践操作中:在实践操作中:高管层必须明确与组织机构相适应的风险管理部门结构,明确所能承受的风险规模,建立有关风险管理政策和指导原则的档案和手册。高管层应当通过发布一致的日常风险管理信息,来证明其对风险管理各个方面的关注和决心,并且在商业银行内部明示风险管
13、理部门的权限。v2.2.4 风险管理部门 商业银行具备目标明确、结构清晰、职能完备、功能强大的风险管理部门,已成为金融管理现代化的重要标志。 要求: 风险人员具备很强的识别潜在风险的思维意识和解释风险信息和知识能力。 强有力的风险管理流程和信息技术。 独立性、客观性和准确性。 建立高效的风险管理部门应固守两个基本原则:建立高效的风险管理部门应固守两个基本原则: 风险管理部门必须具备高度独立性; 风险管理部门不具有或具有非常有限的风险管理策略执行权。商业银行的风险管理部门和风险管理委员会绝不能混商业银行的风险管理部门和风险管理委员会绝不能混为一谈。为一谈。 前者的职能是风险信息的收集、分析、报告
14、, 后者的职能是根据前者提供的信息,做出决策并付诸实施。1. 风险管理部门结构 通常有两种类型:集中型和分散型。 (1)集中型结构如下图所示,部门自身包含了完整的功能(核心要素:风险监控、数量分析、价格确认、模型创建和相应的信息系统/技术支持。),涉及的风险管理领域非常全面,对专业人员和管理系统要求很高,资源投入巨大,因此适合于规模庞大、资金、技术、人力资源雄厚的商业银行。 (2)分散型结构如下图所示,在某些情况下,一些不具备建立集中型风险管理部门条件的商业银行,可以考虑建立分散型风险管理部门,将数据分析、技术支持、价格确认等风险管理职能外包给专业服务供应商。 缺点:难以绝对控制商业银行敏感信
15、息,无法形成长期的核心竞争力和强大的市场定价能力。 2. 风险管理部门的主要职责第一,监控各类金融产品和所有业务部门的风险限额。一旦风险限额被设定,风险管理部门就要密切监督限额的使用状况是否遵从了风险管理的限制标准;第二,负责核准复杂金融产品的定价模型,并协助财务控制人员进行价格评估,在这个过程中,风险管理部门要不断识别新的风险要素,并将其及时整合到控制程序和模型中;第三,风险管理部门的独特地位使其能够全面掌握商业银行的整体风险状况,为管理决策提供不可替代的辅助作用。 3. 风险管理所需的专业技能 金融风险管理是一门技术性很强、结构复杂的新型管理学科,涵盖了管理学、金融学、经济学、数量统计学等
16、多种学科知识,并与先进的信息系统高度融合。 参照国际风险管理标准,集中型风险管理部门的人员必须具备五个方面的主要技能: 风险监控和分析能力。 数量分析能力。 价格核准能力。 模型创建能力。 系统开发/集成能力。v2.2.5 其他风险管理部门 1. 财务控制部门 风险管理部门接受来自财务控制部门的收益/损失数据,并于来自前台业务部门的信息调整一致,以确保风险管理系统中的收益/损失信息的准确性。 财务控制部门通常采用每日参考市场定价的方法,及时捕捉市场价格的变化,因此所提供的数据最为真实、准确。风险管理部门与财务控制部门的密切合作是商业银行密切合作是商业银行战略决策的重要基石:战略决策的重要基石:
17、一方面,现代银行的绩效评估日益注重风险调整后的收益率。另一方面,财务部门传统的记账方法逐渐难以满足监管要求,需要在风险控制部门的协助下深入了解以模型为基础的资本核算方法,更加科学地进行风险资本储备和经济资本分配。 2. 内部审计部门 内部审计作为一项独立、客观、公正的约束和评价机制,在风险管理过程中发挥重要作用。 从风险识别、计量、监督和控制四个主要阶段,审核商业银行风险管理的能力和效果,发现/报告潜在的重大风险,提出应对方案并监督风险控制措施的落实状况。 3. 法律/合规部门 法律/合规部门应当独立于商业银行的经营活动,包括独立的报告路线、调查权力以及绩效考核。 应当能够有效识别、评估、监测
18、商业银行潜在的法律风险以及各项违规操作,并向高管层和董事会提出建议和报告。 法律/合规部门的工作也要接受内部审计部门的审计检查,以确保其公正性和合规性。 4. 外部风险监督机构 主要包括一些外部审计机构、评级机构、以及越来越多的个人/机构投资者、客户等利益相关者。 这有助于商业银行的良好运营,弥补单一内部监管的不足之处,更好的满足内外部监管的要求。2.3 商业银行风险管理流程 按照公司治理结构和内部控制机制,商业银行的风险控制流程可以概况为风险识别、风险计量、风险监测和风险控制四个主要步骤。 其中风险管理部门承担了风险识别、风险计量和风险监测,各级风险管理委员会承担了风险控制/管理决策的最终责
19、任。v2.3.1 风险识别 及时、准确的识别风险是风险管理的最基本要求,任何延误和错判,都将直接导致风险管理信息流动和决策的失效,甚至造成严重的风险损失。 风险识别包括感知风险和分析风险两个环节: 感知风险感知风险是通过系统化的方法发现商业银行所面临的风险种类、性质; 分析风险分析风险是深入理解各种风险内在的风险因素。风险识别必须采用科学的方法,避免简单化和主管臆断。 识别风险的方法:识别风险的方法: 常用方法:制作风险清单常用方法:制作风险清单是识别风险最基本、最常用的方法,它用类似备忘录的形式,将商业银行所面临的风险一一列举,并联系经营活动对这些风险进行深入理解和分析。 其它方法:专家调查
20、列举法,资产财务状况分析法,情景分析法,分解分析法,失误树分析法。 要注意的是,随着所考虑风险因素的增加,风险管理的复杂度和难度程几何倍数增长,而边际收益程递减趋势。因此商业银行必须针对实际需求,平衡风险管理的成本和收益。v2.3.2 风险计量 风险计量是全面风险管理、资本监管和经济资本配置得以有效实施的基础。 目前国际上较为先进的计量方法有: 针对信用风险的RiskMetrics、CreditMetrics、KMV等模型, 针对市场风险的VaR模型, 针对操作风险的高级计量法, 新巴塞尔资本协议也通过降低监管资本要求,鼓励商业银行采用高级风险量化技术。 准确的风险计量是建立在卓越的风险模型模
21、型基础上的,开发管理模型的难度不在于所用的数学和统计知识的深奥。重要的是模型所采用的数据是否有高度的真实性、准确性和充足性。 商业银行应当根据不同的业务,对不同的业务选择适当的计量方法,基于合理的假设前提和参数,计量承担的所有风险 v2.3.3 风险监测 功能强大、动态/交互式的风险监测报告系统对于提高商业银行风险管理效率和质量具有十分重要的作用。 风险监测包含两个层面的内容: 监测各种可量化的关键风险指标以及不可量化的风险因素的变化和发展趋势,确保风险进一步恶化之前提交相关部门,以便其密切关注并采取适当的控制措施。 报告商业银行所有风险的定量/定性评估结果,并随时关注所采取的风险管理/控制措
22、施的实施质量/效果。v2.3.4 风险控制 风险控制是对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施,进行有效管理和控制的过程。风险控制应当实现以下目标: 风险管理战略和策略符合经营目标的要求。 所采取的措施符合风险管理战略和策略的要求,并在成本/收益基础上保持有效性。 通过对风险诱因的分析,发现管理中存在的问题,以完善风险管理程序。 照国际经验,具体的风险控制措施一般采取从基层业务单位到业务领域风险管理委员会,最终到达高级管理层的三级管理方式,如图所示:2.4 商业银行风险管理信息系统 商业银行只有通过先进的风险管理信息系统,才能随时更新风险并及时作出分析和判断。 商业银行风险
23、管理是一个极为复杂的动态过程,风险信息在各业务单元的流动不完全是单向循环,其过程具有多向交互式、智能化的特点。 风险信息管理系统正是连结各业务单元和关联市场的一条纽带,形成一个集中/整合的信息平台,及时、广泛的采集所需的大量风险信息,并进行充分加工/分析,以辅助风险管理决策。 其结构简图如下所示:v2.4.1 数据收集 风险管理信息系统需要从很多来源收集海量数据,除非采用大规模的、先进的自动处理技术,否则无法维持对这种数据信息环境的有效管理和控制,这也决定了系统本身极其复杂。 通常的方案是,尽量在每一个环节都设置自动化操作、自动生成信息处理状态和异常状况报告,并在必要时进行人为干预。 风险信息
24、/数据的种类 风险信息通过信息载入模块加以过滤和验证后,形成可靠的数据信息加以分类保存,等待处理。 数据按来源可分为: 内部数据,即从各个业务信息系统中抽取的、与风险管理相关的数据,一般通过商业银行内部的业务数据库获得; 外部数据,即从专业数据供应商所获得的数据。 风险信息的特征及系统结构方面的问题 精确性和及时性是对风险信息本质特征的最好描述。 产品分析数据通常直接来自交易系统,交易系统是连续运行的,而记录系统则每日进行结算,因此记录系统的数据信息可能没有交易系统那样及时,而交易系统的数据信息则可能没有记录系统那样精确。 从系统结构角度看,尽量保持最少数量的数据源更具有运算效率上的优势,但也
25、要针对具体风险状况增加或减少数据源,以满足风险管理的需要。 多种有价值的风险数据经过收集、分类、汇总后成为数据仓库,它是风险管理信息系统的核心要件之一。v2.4.2 数据处理 现代化商业银行通常设有大型的集中计算/处理中心来分析/处理海量数据,包括历史统计数据以及及时交易/组合数据。 处理输入数据/信息 风险管理数据的处理主要分为两步: 中间计量数据,即通过风险模型计量后的数据,可以为不同的风险管理业务目标所共享。国际先进银行的长期实践表明,风险管理信息系统应当调用一致的风险计量/运算模块,应用于不同的风险管理目标中。 组合结果数据,即基于不同的风险管理业务目标所产生的组合计量结果数据。它不仅
26、为风险管理人员提供便于解读的信息,而且为相关的业务人员提供便于业务决策的支持信息。 信息存储操作 信息存储是一项灵活性较强的工作,在信息系统中设置一个状态信息库会有很大帮助,它可用于保存系统状态信息和用来发布不同模块的工作状态。通过存储输入数据信息状态,可以容易地设置系统警报,提醒丢失的数据,也可以获得载入过程的完整描述。 信息存储系统应结合以下能力: 增添最初没有预计到的产品特性;以特定的投资组合方式集合并计量风险;重新定义投资组合,以及如何将不同的产品组合在一起。v2.4.3 信息传递 有效的风险管理需要在正确的时间将正确的信息传递给正确的人。先进的企业级风险管理信息系统一般采取B/S结构
27、,操作人员通过 IE方式实现远程登录,就可在最短的时间内所有相关的风险信息。 这种方式的优点在于:真正实现风险数据的全行集中管理、一致调用;分支机构业务人员和管理人员的PC机不需要安装任何风险管理软件,降低了成本。 发布风险分析信息/报告分为两个步骤:预览,此时风险报告只有风险检测人员才能看到,他们在报告发送外界之前,最后核准风险报告结果准确无误;发布,即风险报告传递给所有的终端用户。发布系统应该设有不同的安全级,以确保适当的人员得到他们所应看到的风险信息。v2.4.4 信息系统安全管理 风险管理信息系统作为商业银行的核心“无形资产”,必须设置严格的的质量和安全保障标准,确保系统能够长期、稳定运行。 系统应当:针对风险管理组织体系、部门职能、岗位职责,设置不同的进入级别;为每个系统用户设置独特的的识别标志,并定期更换登录密码或磁卡;对每次系统登录或使用提供详细记录,以便为意外事件提供证据;设置严格的网络安全/加密系统,防止外部非法入侵;随时进行数据信息备份和存档,定期进行检测并形成文件记录;设置灾难回复以及应急操作程序;建立错误承受程序,以便发生技术困难时,仍可在一定时间内保持系统的完整性。