2011年银行从业考试风险管理讲义-商业银行风险管理基本架构(3)

　　(二)内部审计部门：约束评价机制;第三道防线

　　内部审计定期(至少每年一次)对风险管理体系的组成部门和环节，进行准确性、可靠性、充分性和有效性的独立审查和评价。

　　内部审计的主要内容包括：

　　●经营管理的合规性及合规部门工作情况;

　　●内部控制的健全性和有效性;

　　●风险状况及风险识别、计量、监控程序的适用性和有效性;

　　●信息系统规划设计、开发运行和管理维护的情况;

　　●会计记录和财务报告的准确性和可靠性;

　　●与风险相关的资本评估系统情况;

　　●机构运营绩效和管理人员履职情况等。

　　(三)法律/合规部门：管理法律违规风险

　　与内部审计部相似，法律/合规部门同样应当独立于商业银行的经营管理活动，具有独立的报告路线、独立的调查权力以及独立的绩效考核。

　　法律/合规部门主要承担以下职责：

　　●协助制定法律/合规政策;

　　●适时修订规章制度和操作规程，使其符合法律和监管要求;

　　●开展法律/合规培训和教育项目;

　　●关注、准确理解法律/合规/监管要求及最新发展，为高级管理层提供建议;

　　●参与商业银行的组织架构和业务流程再造;

　　●参与商业银行新产品/服务开发，提供必要的法律/合规测试、审核和支持。

　　法律/合规部门的工作也需要接受内部审计部门的检查。

　　(四)外部监督机构：监管部门、市场约束

　　监管部门对商业银行风险管理能力的评估主要包括以下四个方面：

　　(1)董事会和高级管理层对银行所承担的风险是否实施有效监督;

　　(2)银行是否制定了有效的政策、措施和规定来管理业务活动;

　　(3)银行的风险识别、计量、检测和控制系统是否有效，是否全面涵盖各项业务和各类风险;

　　(4)内部控制机制和审计工作能否及时识别银行内控存在的缺陷和不足

　第三节　商业银行风险管理流程

　　一、风险识别/分析

　　(一)主要作用：适时、准确地识别风险是风险管理的最基本要求，但却对商业银行的风险管理水平提出了严峻的挑战。商业银行业务的日益多样化以及相关风险的复杂性，极大地增加了风险识别的难度。延误或错误判断，都将直接导致风险管理信息的传递和决策失效，甚至造成更为严重的风险损失。

　　(二)风险识别包括感知风险和分析风险两个环节。

　　●感知风险是通过系统化的方法发现商业银行所面临的风险种类、性质;

　　●分析风险是深入理解各种风险内在的风险因素。

　　(三)风险识别的方法

　　制作风险清单：商业银行识别风险的最基本、最常用的方法。它是指采用类似于备忘录的形式，将商业银行所面临的风险逐一列举，并联系经营活动对这些风险进行深入理解和分析;

　　资产财务状况分析法：风险管理人员通过实际调查研究以及对商业银行的资产负债表、利润表、财产目录等财务资料进行分析，从而发现潜在的风险;

　　失误树分析法：通过图解法来识别和分析风险事件发生前存在的各种风险因素;

　　分解分析法：将复杂的风险分解为多个相对简单的风险因素，从中识别可能造成严重风险损失的因素。

　　知识要点：风险管理的收益与平衡

　　风险因素考虑得愈充分，风险识别与分析也会愈加全面和深入。但随着风险因素的增加，风险管理的复杂程度和难度呈几何倍数增长，所产生的边际收益呈递减趋势。

　　二、风险计量

　　(一)作用：风险计量是全面风险管理、资本监管和经济资本配置得以有效实施的基础。商业银行能够有效运用计量模型来正确评价自身的风险/收益水平，这是商业银行的核心竞争优势。

　　(二)国际最佳实践：针对信用风险的 Risk Metrics, Credit Metrics, KMV 等模型;针对市场风险的 VaR模型;针对操作风险的高级计量法等。

　　(三)关键点：开发风险管理模型的难度不在于所应用的数学和统计知识有多么深奥，重要的是模型开发所采用的数据源是否具有高度的真实性、准确性和充足性。目的是确保最终开发的模型可以真实反映商业银行的风险状况。

　　商业银行应当根据不同的业务性质、规模和复杂程度，对不同类别的风险选择适当的计量方法，基于合理的假设前提和参数，尽可能准确计算可以量化的风险\评估难以量化的风险。同时,充分认识到不同风险计量方法的优势和局限性，采用敏感性分析、情景分析、压力测试等其他分析手段进行补充。

　　(四)风险计量不是万能的，模型风险:商业银行在追求和采用高级风险量化方法时，应当意识到，高级量化技术通常伴随着计量方法的复杂化，进而形成新的风险(如模型风险等)。因此，在利用高级风险量化方法进行风险管理决策以及核算监管资本的数量时，商业银行应当具备相应的知识/技术条件，并且通过监管机构的审核。

　　三、风险监测：动态、连续的过程

　　两个层面的具体内容：

　　●监测各种可量化的关键风险指标(KRIs)以及不可量化的风险因素的变化和发展趋势，确保风险在进一步恶化之前提交相关部门，以便其密切关注并采取恰当的控制措施。

　　●报告商业银行所有风险的定性/定量评估结果，并随时关注所采取的风险管理/控制措施的实施质量/效果。

　　两个要求：动态连续;满足不同风险层级和不同职能部门对于风险状况的多样化需求。

　　四、风险控制

　　(一)目标：对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施，进行有效管理和控制的过程。