第二章 商业银行风险管理基本架构
第二章主要内容 商业银行风险管理环境 商业银行风险管理组织 商业银行风险管理流程 商业银行风险管理信息系统
第一节 商业银行风险管理环境
第一节主要内容 商业银行公司治理 商业银行内部控制 商业银行风险文化 商业银行管理战略
一、商业银行公司治理 商业银行公司治理是指控制、管理商业银行的一种机制或制度安排,是商业银行内部组织结构和权力分配体系的具体表现形式。 其核心是在所有权、经营权分离的情况下,为妥善解决委托——代理关系而提出的董事会、高管层组织体系和监督制衡机制。良好的公司治理能够激励商业银行的董事会和管理层一致追求符合商业银行和股东利益的目标,并便于有效的监督。
商业银行公司治理的原则和做法 经济合作与发展组织(OECD)的公司治理准则(P34) 巴塞尔委员会的商业银行公司治理八大原则(P34)
二、商业银行内部控制 商业银行内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
内部控制的内容 ①明确划分股东、董事会和高级管理层、经理人员各自的权利、责任和利益形成的相互制衡关系; ②为遵守既定政策和预定目标所采取的方法和手段; ③为保证各项业务和管理活动有效进行,保护资产的安全和完整,保证资料的真实、合法和完整,而制定和实施的政策与程序; ④及时防范、发现和动态调整管理风险的机制。
商业银行内部控制的目标 ①确保国家法律规定和商业银行内部规章制度的贯彻执行; ②确保商业银行发展战略和经营目标的全面实施和充分实现, ③确保风险管理体系的有效性; ④确保业务记录、财务信息和其他管理信息的及时、真实和完整。
商业银行内部控制体系的主要要素 ①内部控制环境。P36 ②风险识别与评估。 ③内部控制措施。 ④信息交流与反馈。 ⑤监督、评价与纠正。
商业银行内部控制的原则 ①内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查; ②内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求; P37
③内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正; ④内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
三、商业银行风险文化 风险文化,又称风险管理文化,是商业银行在经营管理活动中逐步形成的风险管理理念、哲学和价值观,通过商业银行的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种企业文化。 风险文化一般由风险管理理念、知识和制度三个层次组成,其中风险管理理念是风险文化的精神核心。
先进的风险管理理念 1.风险管理是商业银行的核心竞争力,是创造资本增值和股东回报的重要手段。 2.风险管理的目标不是消除风险,而是通过主动的风险管理过程实现风险与收益的平衡。 3.风险管理战略应纳人商业银行的整体战略之中,并服务于业务发展战略。 4.商业银行应充分了解所有风险,建立和完善风险控制机制,对不了解或无把握控制风险的业务,应采取审慎态度。P39
风险文化的培植 首先,培植风险文化不是阶段性工作,而是商业银行的一项终身事业。 其次,商业银行应向全体员工广泛宣讲正确的风险管理理念、知识、规范和标准,大力倡导和强化风险意识。 最后,商业银行应通过建立管理制度和实施绩效考核,将风险文化融入到每一位员工的日常行为中。
商业银行管理战略 商业银行管理战略是商业银行在综合分析外部环境、内部管理状况以及同业比较的基础上,提出的一整套中长期发展目标以及为实现这些目标所采取的行动方案。
商业银行管理战略的基本内容 商业银行管理战略分为战略目标和实现路径两个方面的内容。 战略目标可以分解为战略愿景、阶段性战略目标和主要发展指标等细项,以便管理层清晰了解战略实施情况、存在的问题以及修正的必要性。
商业银行管理战略与风险管理的关系 商业银行管理战略与风险管理密切相关,并互相作用。风险管理是商业银行核心竞争力的体现,是商业银行管理战略的一个十分重要的方面。 战略目标中包括风险管理目标,风险管理过程本身是实现风险管理目标以及整个战略目标的重要路径。各家商业银行的风险管理摸式和水平不尽相同正是由于战略目标不同所致。
第二节 商业银行风险管理组织
一、董事会及其专门委员会 董事会是商业银行的最高风险管理/决策机构,承担商业银行风险管理的最终责任,确保商业银行有效识别、计量、监测和控制各项业务所承担的各种风险。 董事会通常指派专门委员会(通常为最高风险管理委员会)负责拟定具体的风险管理政策和指导原则。 最高风险管理委员会以及业务单位风险管理委员会委员,可以由商业银行内部具有丰富管理经验的人士担任,也可由外部专家/顾问担任。风险管理总监应当是商业银行董事会成员,同时担任商业银行副总裁或以上职务。
民生银行组织结构图
中国银行组织结构图
招商银行组织结构图
二、监事会 监事会是我国商业银行所特有的监督机构,对股东大会负责,从事商业银行内部尽职监督、财务监督、内部控制监督等监察工作。 在风险管理领域,监事会应当加强与董事会及内部审计、风险管理等相关委员会和有关职能部门的工作联系,全面了解商业银行的风险管理状况,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和调研日常经营活动中是否存在违反既定风险管理政策和原则的行为。
三、高级管理层 高级管理层的主要职责是负责执行风险管理政策,制定风险管理的程序和操作规程,及时了解风险水平及其管理状况,并确保商业银行具备足够的人力、物力和恰当的组织结构、管理信息系统以及技术水平,来有效地识别、计量、监测和控制各项业务所承担的各种风险。 高级管理层的支持与承诺是商业银行有效风险管理的基石,只有当高级管理层充分意识到并积极利用风险管理的潜在盈利能力时,风险管理才能够对商业银行整体产生最大的收益。
四、风险管理部门 1.风险管理部门结构 风险管理部门必须是一个相对独立的部门,需要最高管理层积极倡导和大力支持,同时配备具有高度职业精神和风险管理技能的专业人员。 (1)集中型的风险管理部门 (2)分散型风险管理部门
2.风险管理部门的主要职责 首先,风险管理部门履行的一个非常具体但却至关重要职责是监控各类金融产品和所有业务部门的风险限额。 其次,风险管理部门负责核准复杂金融产品的定价模型,并协助财务控制人员进行价格评估。 最后,风险管理部门独特的地位使其可以全面掌握商业银行的整体风险状况,为管理决策提供不可替代的辅助作用。
3.风险管理所需的专业技能 (1)风险监测和分析能力 (2)数量分析能力 (3)价格核准能力 (4)模型创建能力 (5)系统开发/集成能力
五、其他风险控制部门 1.财务控制部门 2.内部审计部门 3.法律/合规部门 4.外部风险监督机构
第三节 商业银行风险管理流程
基本流程 商业银行的风险管理流程可以慨括为风险识别、风险计量、风险监测和风险控制四个主要步骤。 其中,风险管理部门承担了风险识别、风险计量、风险监测的重要职责,而各级风险管理委员会承担风险控制/管理决策的最终责任。
一、风险识别 风险识别包括感知风险和分析风险两个环节:感知风险是通过系统化的方法发现商业银行所面临的风险种类、性质;分析风险是深入理解各种风险内在的风险因素。 ①专家调查列举法。 ②资产财务状况分析法。 ③情景分析法。 ④分解分析法。 ⑤失误树分析方法。
分解分析法
失误树分析
二、风险计量 风险计量/量化是全面风险管理、资本监管和经济资本配置得以有效实施的基础。 准确的风险计量结果是建立在卓越的风险模型基础上的,而开发一系列准确的、能够在未来一定时间限度内满足商业银行风险管理需要的数量模型,任务相当艰巨。 商业银行应当根据不同的业务性质、规模和复杂程度,对不同类别的风险选择适当的计量方法,基于合理的假设前提和参数,计量承担的所有风险。
三、风险监测 ①监测各种可量化的关键风险指标(Key Risk Indicators, KRls)以及不可量化的风险因素的变化和发展趋势,确保风险在进一步恶化之前提交相关部门,以便其密切关注并采取恰当的控制措施; ②报告商业银行所有风险的定性/定量评估结果,并随时关注所采取的风险管理/控制措施的实施质量/效果。
四、风险控制 风险控制是对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施,进行有效管理和控制的过程。 具体的风险管理/控制措施可以采取从基层业务单位到业务领域风险管理委员会,最终到达董事会和高级管理层的三级管理方式。
风险控制三级管理方式 三级: 高级管理层5-7人 二级: 每个领域3-5人 一级:基层业务单位1-2人
风险控制三级管理方式 一级 二级 三级 汇报
第四节 商业银行风险管理信息系统
风险管理系统的结构 商业银行风险管理是一个极为复杂的动态过程,风险信息在各业务单元的流动不完全是单向循环,其过程具有多向交互式、智能化的特点
一、数据收集 (1)风险信息/数据的种类: (2)风险信息的特性及系统结构方面的问题: ①内部数据。 ②外部数据。 ①精确性。 ②及时性。 ③系统结构方面的问题。
数据收集
二、数据处理 风险管理信息系统中,有些数据是静态的,有些则是动态的,系统不能制约数据的特性。现代化商业银行通常设有大型的集中计算/处理中心来及时处理/分析海量数据,包括历史统计数据以及实时交易/组合数据。 (1)处理输入数据/信息 (2)信息储存操作
数据处理
三、数据传递 有效的风险管理是指在正确的时间将正确的信息传递给正确的人。 B/s结构的主要优点是: 发布风险分析信息/报告分为两个步骤: ①真正实现风险数据的全行集中管理、一致调用。 ②分支机构业务人员和管理人员的PC机中不需要安装任何风险管理软件,最大限度地降低软件购买和维护成本。 发布风险分析信息/报告分为两个步骤: ①预览。 ②发布。
数据传递
四、信息系统安全管理 ①针对风险管理组织体系、部门职能、岗位职责等,设置不同的进入级别。 ②为每个系统用户设置独特的识别标志,并定期更换登录密码或磁卡; ③对每次系统登录或使用提供详细记录,以便为意外事件提供证据; ④设置严格的网络安全/加密系统,防止外部非法入侵; ⑤随时进行数据信息备份和存档,定期进行检测并形成文件记录; ⑥设置灾难恢复以及应急操作程序; ⑦建立错误承受程序,以便发生技术困难时,仍然可以在一定时间内保持系统的完整性。
信息系统安全管理