(一)掌握董事会及其风险管理委员会、监事会、高级管理层和风险管理部门在风险治理架构中的职责;
(二)理解并掌握风险文化、偏好和限额管理;
(三)掌握风险管理政策和流程;
(四)熟悉风险数据加总与IT系统建设;
(五)熟悉内部控制与内部审计的内容及作用。
【考点】
第二章风险管理体系
2.1风险治理
2008年金融危机后,国际监管机构总结了金融机构公司治理存在的四个问题:一是董事会未有效履行风险管理职责;二是风险治理能力薄弱;三是薪酬与激励机制不合理;四是组织结构过于复杂和不透明。
董事会(资本管理首要责任、风险管理最终责任)及其风险管理委员会—监事会(监督机构)—高级管理层(执行机构)—风险管理部门。
三道防线建设:
第一道防线:业务条线部门,是风险的承担责,应负责持续识别、评估和报告风险敞口;
第二道防线:风险管理部门和合规管理部门,风险管理部门负责监督和评估业务部门承担风险的业务活动;合规管理部门负责定期监控银行对法律、公司治理规则、监管规定、行为规范和政策的执行情况。
第三道防线:内部审计部门,对银行的风险治理框架的质量和有效性进行独立的审计。
2.2风险偏好和风险文化
2.2.1风险偏好的定义
风险偏好是商业银行在追求实现战略目标的过程中,愿意且能够承担的风险类型和风险总量。
风险偏好框架是确定、沟通和监控风险偏好的总体方法,包括政策、流程、控制环节和制度
国内银行一般通过风险偏好制度来明确风险偏好的制定、实施、监控、调整等环节的政策、流程。
国内银行一般通过风险偏好表来阐明能够接受的定量风险水平和定性的描述。
2.2.3制定风险偏好过程中需要考虑的因素
3.监管要求;4.充分考虑压力测试(是风险偏好指标的描述、制定、监测)。
2.2.4风险偏好的维度、指标和体现方式
风险偏好的维度包括:(1)资本类,包括一级资本、监管资本和经济资本等指标;(2)收益类,包括相应置信水平下的经济资本、收益的波动水平等;(3)特定风险类指标,包括定量和定性(包括零容忍)的指标。
选取风险偏好指标的原则是兼顾全面性和重要性,突出先进性和原则性。
2.2.5风险文化风险文化是银行在经营管理活动中逐步形成的风险管理理念、哲学和价值观,通过商业银行的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种企业文化。
除了风险治理和风险偏好外,风险承担机制和薪酬激励机制是风险文化的两个重要内容。
风险承担机制的元素包括:谁产生了风险、升级程序、明确的后果。
2.3风险限额限额管理是最常用的风险事前控制手段
2.3.1风险限额管理的一般原则
2.3.2风险限额的种类
按照约束的风险类型,限额主要分为:信用风险限额、市场风险限额、操作风险限额、国别风险限额。
信用风险限额:单一客户贷款集中度、单一集团客户授信集中度、行业限额;
市场风险限额:交易账户VaR限额、产品和组合敞口限额、敏感度限额、止损限额;
操作风险限额:操作风险损失率、监管处罚率、千人重大操作风险事发率、千人发案率、案件风险率、操作风险事件败诉率、信息系统主要业务时段可用率、操作风险经济资本率;
流动性风险限额:流动性比例、存贷比、流动性覆盖率、净稳定资金比例、流动性缺口率、核心负债依存度、单日现金错配限额、一个月累计现金错配限额、最大十家存款集中度、最大十家金融同业集中度。
国别风险限额:国别风险敞口。
2.3.3限额管理限额管理包括风险限额设定、风险限额监测、风险限额控制。
风险限额的设定分四个阶段:第一,全面风险计量,确定各类敞口的预期损失和非预期损失;第二,利用会计信息系统,对各业务敞口的收益和成本进行量化分析;第三,运用资产组合模型,对各业务敞口确定经济资本的增量和存量;第四,综合考虑监管部门的政策要求以及银行战略管理层的风险偏好,最终确定各业务敞口的风险限额。
国际先进银行的限额管理
风险限额主要包括:集中度限额、VaR限额和止损限额三种。
集中度限额直接设定于单个敞口的规模上限,目的是保持投资组合的多样性,避免风险过度集中;
VaR限额是对业务敞口的风险价值进行限制,科学,但高度依赖模型和数据,国内很难达到建模要求;
止损限额以实际损失而非可能损失为检测对象,是集中度限额和VaR限额的重要补充,主要用于控制市场风险,多采取“盯市”方式。
2.4风险政策及管理流程
2.4.1风险政策,是一系列的风险管理制度规定,目的是确保银行的风险识别、计量、缓释和监控能力与银行的规模、复杂性及风险状况相匹配。
2.4.2风险管理流程风险管理流程可以概括为:风险识别、风险计量、风险监测和风险控制四个主要步骤。
风险识别/分析是对影响各类目标实现的潜在事项或因素予以全面识别,进行系统分类并查找出风险原因的过程,其目的在于帮助银行了解自身面临的风险及风险的严重程度,为下一步计量和防控打好基础。
风险识别包括感知风险和分析风险两个环节。
风险计量/评估是在风险识别的基础上,对风险发生的可能性、风险将导致的后果及严重程度进行充分的分析和评估,从而确定风险水平的过程。
风险报告要具有准确性、综合性、清晰度和可用性,并满足报告频率和分发的要求。
风险控制/缓释,风险控制与缓释流程应当符合以下要求:一是风险控制/缓释策略应与银行的整体战略目标保持一致;二是所采取的具体控制措施与缓释工具符合成本/收益要求;三是能够发现风险管理中存在的问题,并重新完善风险管理程序。
常用的事前控制方法有:限额管理、风险定价和制定应急预案等。
常用的风险事后控制方法有:风险缓释或风险转移;风险资本的重新分配;提高风险资本水平。
质量保证和控制机制是风险管理流程正确和有效运转的重要保障。
2.5风险数据与IT系统
2.5.1风险数据
《数据质量良好标准》分为制度体系、数据标准体系、系统体系、考核评价体系和监督检查体系五大方面,共15项原则,61条标准。
巴《有效风险数据加总和风险报告原则》,风险数据加总是按照银行的风险报告要求,定义、收集和处理风险数据,是银行能够衡量其风险容忍度/偏好下的业绩表现。14项原则,主要包括数据治理和IT基础设施,风险数据的准确性、完整性、及时性和灵活性,风险报告以及对监管部门的要求。
《通用数据模板》要求按周、月、季、年等他不同频率提供金融机构之间或金融机构对整个市场的信用暴露和融资数据,这些数据主要是解决下列风险识别和应对中出现的问题:集中度风险、市场风险、融资风险、传染/溢出风险。
数据缺失、支离破碎、不完整成为妨碍监管部门制定对应政策的障碍
2.5.2风险IT系统风险管理信息系统应当:
1.针对风险管理组织体系、部门职能、岗位职责等,设置不同的登陆级别;
2.为每个系统用户设置独特的识别标志,并定期更换登陆密码或磁卡;
4.设置严格的网络安全/加密系统,防止外部非法入侵;
5.随时进行数据信息备份和存档,定期进行监测并形成文件记录;
6.设置灾难恢复及应急操作程序;
2.6内部控制与内部审计
内部控制侧重于建立控制机制,内部审计侧重于重评估发现缺陷。
2.6.1内部控制定义
COSO定义:内部控制是由董事会、管理层和其他员工实施的、旨在为经营的有效性和效率、财务报告的可靠性、法律法规的遵循性等目标的实现提供合理保证的过程。目标包括以下三类:
第一类目标针对企业的基本业务目标,包括业绩和盈利目标以及资源的安全性;
第三类目标涉及对于企业所适用的法律及法规的遵循。
为实现上述目标银行应建立包括控制环境、风险评估、控制活动、信息与沟通、监控五个要素的内部控制体系。
巴赛尔定义:内部控制目标概括为三个方面:效率与效益,财务与管理信息的可靠性、完整性和及时性,遵守法律及管理条例的情况。同时指出内部控制包括五大相互联系的因素:管理性监管与内部控制文化、风险认定与评估、控制措施与职责分工、信息与交流、监督行为与修正缺陷。
银监会定义:银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。银行内控目标之一是保证商业银行风险管理的有效性。
2.6.2内部控制的五大要素内部环境、风险评估、控制活动、内部监督、信息与沟通
内部环境处于五大要素之首;
风险评估包括:设置目标、风险识别、风险分析、风险应对;
内部监督主要包括监督活动、缺陷认定和责任追究;
信息与沟通主要包括:信息搜集、信息传递、信息共享和反舞弊机制。
2.6.3内部审计
独立性被看做审计职能的一种属性,客观性则是内部审计师的属性。
独立性指内部审计活动独立于他们所审查的活动之外;
客观性指一种公正的、不偏不倚的态度,是一种精神状态。
内部审计以企业的全部经营活动为审计对象,包括:公司治理、风险管理和内部控制。
内部审计在组织风险管理框架中发挥不可替代的作用:
第一,帮助组织识别、评价重要的风险暴露,促进风险管理和控制系统的改进;
第二,监控和评价组织风险管理系统的效果;
第三,评价与组织的治理、运营和信息系统有关的风险暴露;
第四,把在咨询业务中对风险的了解结合到发现和评价组织的重大风险暴露的过程中去。