第一節 商業銀行風險管理環境(★★★★★)

　　一、公司治理(見表2—1)

　　 二、內部控制(見表2—2)

　　 三、風險文化

　　(一)商業銀行風險文化的含義

　　風險文化是商業銀行在經營管理活動中逐步形成的風險管理理念、哲學和價值觀，通過商業銀行的風險管理戰略、風險管理制度以及廣大員工的風險管理行為表現出來的一種企業文化。

　　(二)健康的風險文化

　　健康的風險文化至少應包括以下幾方面的內容：

　　①樹立正確的風險管理理念。

　　②加強高級管理層的驅動作用。

　　③創建學習型組織，充分發揮人的主導作用。

　　風險文化由風險管理理念、知識和制度三個層次組成，其中風險管理理念是風險文化的精神核心，也是風險文化中最為重要和最高層次的因素，比起知識和制度來說，它對員工的行為具有更直接和長效的影響力。

　　(三)先進的風險管理理念

　　①風險管理水平體現商業銀行的核心競爭力，是創造資本增值和股東回報的重要手段。

　　②風險管理的目標不是消除風險，而是通過主動的風險管理過程實現風險和收益的平衡。

　　③風險管理戰略應納入商業銀行的整體戰略之中，并服務于業務發展。

　　④商業銀行應充分了解所有風險，建立和完善風險控制機制，對不了解或無把握控制風險的業務，應采取審慎態度。

　　四、管理戰略

　　1．商業銀行管理戰略是商業銀行在綜合分析外部環境、內部管理狀況以及同業比較的基礎上，提出的一整套包括長期發展目標，以及為實現這些目標所采取措施的行動方案。

　　2．商業銀行管理戰略包括戰略目標和實現路徑兩方面內容。戰略目標可以分解為戰略愿景、階段性戰略目標和主要發展指標等細項。

　　3．戰略目標決定實現路徑，商業銀行的各項工作必須緊緊圍繞戰略目標展開，風險管理過程本身就是實現風險管理目標以及整個戰略目標的重要路徑。

　　五、風險偏好

　　1．風險偏好是商業銀行在追求實現戰略目標的過程中，愿意且能夠承擔的風險類型和風險總量。

　　2．商業銀行風險偏好的闡述，具體見表2—3。

　　3．在風險偏好設置與實施過程中，需要注意以下幾點：

　　(1)充分考慮利益相關者的期望。

　　(2)將風險偏好與戰略規劃有機結合。

　　(3)向業務線條和分支機構傳導。

　　(4)持續地監測與報告。

第二節 商業銀行風險管理組織(★★★★★)

　　風險管理組織架構是商業銀行各項風險管理工作的組織載體，其完善與否直接決定了各項風險管理工作的質量，進而影響風險管理體系的有效性。

　　巴塞爾委員會、各國銀行業監管機構對商業銀行風險治理架構和風險管理組織體系，監管要求著重強調了以下三點：

　　一是公司治理架構。

　　二是風險管理組織架構。

　　三是風險管理的獨立性。

第三節 商業銀行風險管理流程(★★★★★)

　　商業銀行的風險管理流程可以概括為風險識別、風險計量、風險監測和風險控制四個主要步驟。

　　一、風險識別／分析

　　風險識別包括感知風險和分析風險兩個環節。良好的風險識別應遵循全面性和前瞻性原則。風險識別與分析常用的方法有：

　　1．制作風險清單是商業銀行識別與分析風險最基本、最常用的方法。它是指采用類似于備忘錄的形式，根據八大風險分類，將商業銀行所面臨的風險逐一列舉，并聯系經營活動對這些風險進行深入理解和分析。

　　2．資產財務狀況分析法：風險管理人員通過實際調查研究以及對商業銀行的資產負債表、損益表、財產目錄等財務資料進行分析，從而發現潛在的風險。

　　3．失誤樹分析方法：通過圖解法來識別和分析風險事件發生前存在的各種風險因素，由此判斷和總結哪些風險因素最可能導致風險事件。

　　4．分解分析法：將復雜的風險分解為多個相對簡單的風險因素，從中識別可能造成嚴重風險損失的因素。例如，可以將匯率風險分解為匯率變化率、利率變化率、收益率期間結構等影響因素。

　　二、風險計量／評估

　　風險計量／評估是全面風險管理、資本監管和經濟資本配置得以有效實施的重要基礎。監管機構對風險計量模型的監督檢查主要包括以下幾個方面：

　　①建立各類風險計量模型的原理、邏輯和模擬函數是否正確合理；

　　②是否積累足夠的歷史數據，用于計量、監測風險的各種主要假設、參數是否恰當；

　　③是否建立對管理體系、業務、產品發生重大變化，以及其他突發事件的例外安排；

　　④是否建立對風險計量模型的修正、檢驗和內部審查程序；

　　⑤對風險計量目標、方法、結果的制定、報告體系是否健全；

　　⑥風險管理人員是否充分理解模型設計原理，并充分應用其結果。

　　三、風險監測／報告

　　1．監控各種可量化的關鍵風險指標以及不可量化的風險因素的變化和發展趨勢，確保風險在進一步惡化之前提交相關部門，以便其密切關注并采取恰當的控制措施。

　　2．報告商業銀行所有風險的定性／定量評估結果，并隨時關注所采取的風險管理／控制措施的實施質量／效果。

　　四、風險控制／緩釋

　　風險控制／緩釋是商業銀行風險管理委員會對已經識別和計量的風險，采取分散、對沖、轉移、規避和補償等策略以及合格的風險緩釋工具進行有效管理和控制風險的過程。

　　風險控制與緩釋流程應當符合以下要求；

　　①風險控制／緩釋策略應與商業銀行的整體戰略目標保持一致；

　　②所采取的具體控制措施與緩釋工具符合成本／收益要求；

　　③能夠發現風險管理中存在的問題，并重新完善風險管理程序。

第四節 商業銀行風險管理信息系統(★)

　　一、數據收集

　　風險管理信息系統需要從很多來源收集海量的數據和信息，需要收集的風險信息／數據通常可分為：

　　①內部數據，是從各個業務信息系統中抽取的、與風險管理相關的數據。

　　②外部數據，是通過專業數據供應商所獲得的數據，由于國內的外部數據供應商規模／實力有限，很多數據還需要商業銀行自行采集、評估。例如，國內市場行情和信息數據，外部評級數據，行業統計分析數據，外部損失數據。

　　二、數據處理

　　風險管理信息系統中，有些數據是靜態的，有些則是動態的，系統不能制約數據的特性。經過分析和處理的數據主要分為：

　　①中間計量數據，是通過風險模型計量后的數據，可以為不同的風險管理業務目標所共享。中間數據在不同風險管理領域的一致應用，是商業銀行最終實現準確經濟資本計量的關鍵所在。

　　②組合結果數據，是基于不同的風險管理目標所產生的組合計量結果，也稱為具有風險管理目標的綜合數據，不僅為風險管理人員提供便于解讀的信息，而且為業務部門提供輔助決策信息。

　　三、信息傳遞

　　企業級風險管理信息系統一般采用B／S結構，這種信息傳遞方式的主要優點是：①真正實現風險數據的全行集中管理、一致調用；

　　②不需要每個終端都安裝風險管理軟件，有助于最大限度地降低系統建設成本、保護知識產權和系統安全。

　　四、信息系統安全管理

　　風險管理信息系統作為商業銀行的重要“無形資產”，必須設置嚴格的安全保障，確保系統能夠長期、不間斷地運行。

　　①針對風險管理組織體系、部門職能、崗位職責等，設置不同的登錄級別；②為每個系統用戶設置獨特的識別標志，并定期更換登錄密碼或磁卡；

　　③對每次系統登錄或使用提供詳細記錄，以便為意外事件提供證據；④設置嚴格的網絡安全／加密系統，防止外部非法入侵；

　　⑤隨時進行數據信息備份和存檔，定期進行檢測并形成文件記錄；

　　⑥設置災難恢復以及應急操作程序； ．

　　⑦建立錯誤承受程序，以便發生技術困難時，仍然可以在一定時間內保持系統的完整性。