兰台商规 | 关于商业银行风险管理概述——银行监管与合规专题
发布日期:
2023-01-17

关于商业银行风险管理的组织架构

根据《银行业金融机构全面风险管理指引》第十至十四条[1]的规定,银行风险管理的组织架构包括董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门等各个机构。

银行的全面风险管理组织架构应当健全,且职责划分清晰明确。明确董事会、高级管理层、监事会、风险管理委员会、业务部门、全面风险管理牵头部门、各类风险管理牵头部门、内部审计部门在风险管理工作中的职责范围。全面的风险管理组织架构应该是建立由董事会进行战略决策并承担最终责任、监事会有效监督、高级管理层直接实施,以风险管理职能部门为依托,相关业务部门和其他职能部门密切配合,能够有效进行全面主动风险管理的组织架构,确保风险管理责任清晰、权责对等、有效制衡、信息共享、协同高效。

商业银行建立有效的风险管理组织架构,必须与银行整体的经营管理架构相配套,将银行的职能部门划分为风险管理条线、业务拓展条线、运营支持条线,进一步强化风险管理条线的独立性,发挥其制约作用。董事会负责对风险战略和重要风险管理政策的审批和定期修订,风险管理委员会直接隶属于董事会,受董事会授权进行日常决策,风险管理委员会根据市场变化和银行经营情况定期评估战略目标,向董事会报告,以确保在长期、变动的经济周期下,战略能够与银行风险偏好和生存能力相一致。

实践中,风险管理组织架构的重点是董事会、监事会和高管层(两会一层)在风险管理体系中的履职和发挥的作用,首席风险官的设置和作用,风险管理职能部门的设置,三道防线的分工与协同,各级机构的风险管理职责。业务部门作为第一道防线的职责,包括对本部门的主体责任和对条线的管理责任,落实全面风险管理尽职履职制度措施,根据需要设立风险内控团队或者专业岗位。风险管理、内控合规等部门作为第二道防线,要通过合规审核、风险评估、实时监测、监督检查、内控评价等措施,落实全面风险管理责任。要保持管理独立性,要求第一道防线风险内控岗位同时向其报告。要按照协同联动要求,优化职责分工,风险管理更聚焦资本计量,内部控制聚焦全流程管理,合规管理聚焦监管合规。保证内部审计作为第三道防线的独立性,直接向董事会报告;审计人员薪酬待遇不与经营业绩直接挂钩,保证其职业发展。

关于商业银行风险管理的主要内容

《银行业金融机构全面风险管理指引》第三条规定,银行业金融机构应当建立全面风险管理体系,采取定性和定量相结合的方法,识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

(一)信用风险

信用风险指的是交易对手在合约到期时没能按照合约规定履行全部债务义务的风险,也可称作信用违约风险,信用风险是银行面临的主要风险,即交易对象不能按照合同完全履行义务的风险。对于银行来说,信用风险可存在于银行的信贷、担保、保证、贸易融资等多种类型业务中,表内业务和表外业务均有涉及。、

根据《中国银监会关于进一步加强信用风险管理的通知》,信用风险的管理涉及改进统一授信管理,加强授信客户风险评估,规范授信审批流程,完善集中度风险的管理框架,加强国别风险管理,提高贷款分类的准确性,开展非信贷资产分类,提升风险缓释的有效性等内容。

(二)市场风险

《商业银行市场风险管理指引》第三条规定,市场风险是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使银行表内和表外业务发生损失的风险。市场风险存在于银行的交易和非交易业务中。

市场风险可以分为利率风险、汇率风险(包括黄金)、股票价格风险和商品价格风险,分别是指由于利率、汇率、股票价格和商品价格的不利变动所带来的风险。利率风险按照来源的不同,可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。

《商业银行市场风险管理指引》对市场风险管理政策和程序提出了十项主要内容,此外,该指引中以“应制定”、“应采取措施”等方式对账簿分类、并表管理、模型管理、压力测试、重大事项报告、专项管理等提出了制度规范性要求。

(三)流动性风险

《商业银行流动性风险管理办法》将流动性风险定义为:“商业银行无法以合理成本及时获取充足资金,用于偿还到期债务、履行其他支付义务和满足正常业务开展的其他资金需求的风险。”

该办法要求建立流动性综合监管体系。包括建立有效的流动性风险管理治理架构和建立完整的流动性风险管理政策和程序。其中,完整的流动性风险管理政策和程序包括流动性风险计量、限额管理、日间流动性风险管理、压力测试、应急计划、优质流动性资产管理、管理信息系统支持等。同时监管方法要多样化,可以采用审核报告、非现场监管、现场检查、高管约谈等方法。

(四)操作风险

《商业银行操作风险管理指引》第三条规定,本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。

银行操作风险管理的主要内容包括制定操作流程,建立管理架构;设立组织结构,建立管理部门;开展评价系统,保证连续有效;建立内部机构,加强风险防范;建立审计部门,制定规章制度,建立奖惩制度等。

(五)国别风险

《银行业金融机构国别风险管理办法》所称的国别风险,“是指由于某一国家或地区政治、经济、社会变化及事件,导致该国家或地区债务人没有能力或者拒绝偿付银行业金融机构债务,或使银行业金融机构在该国家或地区的商业存在遭受损失,或使银行业金融机构遭受其他损失的风险。

国别风险可能由一国或地区经济状况恶化、政治和社会动荡、资产被国有化或被征用、政府拒付对外债务、外汇管制或货币贬值等情况引发。

国别风险的主要类型包括转移风险、主权风险、传染风险、货币风险、宏观经济风险、政治风险以及间接国别风险。”

根据《银行业金融机构国别风险管理办法》第十条的规定,国别风险管理体系包括以下基本要素:(一)董事会和高级管理层的有效监控;(二)完善的国别风险管理政策和程序;(三)完善的国别风险识别、计量、监测和控制过程;(四)完善的内部控制和审计。

(六)银行账户利率风险

《商业银行银行账簿利率风险管理指引》第三条规定,“本指引所称银行账簿利率风险指利率水平、期限结构等不利变动导致银行账簿经济价值和整体收益遭受损失的风险,主要包括缺口风险、基准风险和期权性风险。银行账簿记录的是商业银行未划入交易账簿的相关表内外业务。”

银行账户利率风险管理的主要内容包括:建立完善的银行账簿利率风险治理架构,制定包括风险策略、风险偏好、限额体系等在内的风险管理政策框架,并定期对银行账簿利率风险管理流程进行评估和完善。

(七)声誉风险

《银行保险机构声誉风险管理办法(试行)》第二条规定,“本办法所称声誉风险,是指由银行保险机构行为、从业人员行为或外部事件等,导致利益相关方、社会公众、媒体等对银行保险机构形成负面评价,从而损害其品牌价值,不利其正常经营,甚至影响到市场稳定和社会稳定的风险。

声誉事件是指引发银行保险机构声誉明显受损的相关行为或活动。”

近年来银行机构声誉风险的来源,重点包括银行高管违法违规、代销踩雷和理财业务等致投资人大额亏损、信用卡分期还款侵害消费者权益、节日营销活动给消费者带来较差的参与体验等。

《银行保险机构声誉风险管理办法(试行)》要求,银行保险机构应以公司治理为着力点,将声誉风险管理纳入全面风险管理体系,覆盖各业务条线、所有分支机构和子公司,覆盖各部门、岗位、人员和产品,覆盖决策、执行和监督全部管理环节,同时应防范第三方合作机构可能引发的对本机构不利的声誉风险,充分考量其他内外部风险的相关性和传染性。

银保机构进行声誉风险管理,应与自身规模、经营状况、风险状况及系统重要性相匹配,并结合外部环境和内部管理变化适时调整。同时,建立声誉事件分级机制,结合本机构实际,对声誉事件的性质、严重程度、传播速度、影响范围和发展趋势等进行研判评估,科学分类,分级应对。

(八)信息科技风险

信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

银行业当前面临的常见信息科技风险包括:业务创新风险新技术风险、敏感信息保护及资金安全、变更及操作风险、基础设施全局性风险、供应商风险等。信息科技风险的内容包括制定全面的信息科技风险管理策略,制定持续的风险识别和评估流程,依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施,建立持续的信息科技风险计量和监测机制等。

关于商业银行风险管理的制度机制

(一)内部控制评价机制

内部控制与风险管理不可分割且相互交叉融合。内部控制是进行风险管理的保障。现代化的银行建设对内部控制评价工作的覆盖面和对重要风险环节的识别、分析、预判提出了更高更细的要求。商业银行应建立全面性和重要性有效均衡的内部控制评价机制,指定专门的部门牵头,安排专业化的人员将内控评价作为年度重要工作组织开展。着重关注高风险领域、重要业务单元和内控关键控制环节,对新兴业务、高风险业务以及风险事件频发的机构或领域重点要求。

(二)信息披露制度

规范化的信息披露可以帮助准确核算有关银行风险的数据信息。银行信息披露既要考虑强化市场约束,规范经营管理的因素,又要考虑到信息披露的安全性与可行性。我国商业银行应严格执行信息披露责任机制,加强对信息披露的管理,适当地增加非财务信息的披露,从多角度、多层次、多方位对现有和潜在风险进行披露,从而有利于实行科学可行的风险监管防范措施,高效推行风险预防工作,也能够适当地提升商业银行在社会上的信誉,保证其运营的稳健性和发展的可持续性。

(三)排查业务风险机制

要提升商业银行风险管理能力,实现可靠管理,还需要构建业务风险的有效排查机制,全面检查各项业务的信用风险,增加风险检视与排查程序,对业务进行有效把控。

(四)数据安全评估机制

银行应该建立数据安全评估机制,聘请专家对于信息和数据的安全展开独立的风险评估以及安全检查。针对未来可能出现的风险情形,需要提早进行演练。例如对于数据的追补以及关键数据的保护和恢复,应当制定一套完备的应急方案。建立对于客户隐私数据的保护机制,对于银行所用数据的获得、传输、使用等权限制定一系列的条例。同时银行也需要强化自身的监管与审查,以此确保数据安全。

[1] 第十条银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构,明确董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分工,建立多层次、相互衔接、有效制衡的运行机制。

第十一条银行业金融机构董事会承担全面风险管理的最终责任,……。

第十二条银行业金融机构应当建立风险管理委员会与董事会下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟通机制,确保信息充分共享并能够支持风险管理相关决策。

第十三条银行业金融机构监事会承担全面风险管理的监督责任,负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。相关监督检查情况应当纳入监事会工作报告。

第十四条银行业金融机构高级管理层承担全面风险管理的实施责任,执行董事会的决议,……。

附件:关于商业银行风险管理的法规梳理

序号

名称

制订机构/文号

实施时间

整体性法规梳理

1. 

中华人民共和国银行业监督管理法(2006修订)

全国人民代表大会常务委员会

2007.01.01

2. 

中华人民共和国商业银行法(2015修正)

全国人民代表大会常务委员会

2015.10.01

3. 

银行业金融机构全面风险管理指引

银监发〔2016〕44号

2016.11.01

4. 

商业银行合规风险管理指引

银监发(2006)76号

2006.10.20

具体风险类法规梳理

5. 

银行保险机构声誉风险管理办法(试行)

银保监发[2021]4号

2021.02.08

6. 

商业银行流动性风险管理办法

中国银行保险监督管理委员会令2018年第3号

2018年7月1日

7. 

商业银行银行账簿利率风险管理指引(修订)

/

2019.01.01

8. 

银行业金融机构国别风险管理办法(征求意见稿)

/

/

9. 

商业银行市场风险管理指引

银监会令2004年第10号

2005.03.01

10. 

关于进一步加强商业银行市场风险管理工作的通知

银监发(2006)89号

2006.12.16

11. 

中国银监会关于进一步加强信用风险管理的通知

银监发(2016)42号

2016.09.13

12. 

商业银行操作风险管理指引

银监发(2007)42号

2007.05.14

13. 

银行业金融机构外包风险管理指引

银监发〔2010〕44号

2010.06.04

14. 

商业银行信息科技风险管理指引

银监发(2009)19号

2009.03.03

15. 

银行保险机构信息科技外包风险监管办法

银保监办发〔2021〕141号

2021.12.30

16. 

中国银行业监督管理委员会关于进一步加强外汇风险管理的通知

银监发(2006)16号

2006.02.28

17. 

法人金融机构洗钱和恐怖融资风险管理指引(试行)

/

/

具体业务类法规梳理

18. 

中国银监会办公厅关于加强银行卡发卡业务风险管理的通知

银监办发(2007)60号

2007.02.26

19. 

商业银行表外业务风险管理办法

银保监规〔2022〕20号

2023.01.01

20. 

商业银行并购贷款风险管理指引(2015修订

银监发〔2015〕5号

2015.02.10

21. 

商业银行房地产贷款风险管理指引

银监发(2004)57号

2004.08.30

22. 

中国银监会关于进一步加强房地产行业授信风险管理的通知

银监发(2008)42号

2008.05.26

23. 

中国人民银行关于进一步加强银行卡风险管理的通知

银发〔2016〕170号

2016.06.13

24. 

中国银监会关于进一步加强银行业金融机构境外运营风险管理的通知

银监发〔2016〕5号

2016.03.24

25. 

商业银行集团客户授信业务风险管理指引(2010修改)

/

2010.06.04

26. 

银监会办公厅关于加强银行金库业务风险管理的通知

银监办发(2007)107号

2007.04.29

27. 

中国银行业监督管理委员会办公厅关于加强商业银行债券投资风险管理的通知

银监办发(2009)129号

 

2009.03.26

28. 

中国银监会办公厅关于进一步加强商业银行代客境外理财业务风险管理的通知

银监办发〔2008〕259号

2008.10.23

29. 

中国银行业监督管理委员会关于建立银行业金融机构市场风险管理计量参考基准的通知

银监发(2007)48号

2007.05.20

30. 

中国银行业监督管理委员会办公厅关于加强对商业银行开展融资类担保业务风险管理的通知

银监办发〔2003〕145号

2003.12.05

31. 

中国银行业监督管理委员会关于做好网上银行风险管理和服务的通知

银监办发〔2007〕134号

2007.06.26

32. 

中国银监会关于加强融资平台贷款风险管理的指导意见

银监发〔2010〕 110 号

2010.12.16

33. 

中国银监会办公厅关于做好住房金融服务加强风险管理的通知

银监办发〔2011〕55号

2011.03.08

34. 

农村中小金融机构风险管理机制建设指引

银监发〔2009〕107号

2009.12.01

35. 

中国银监会办公厅关于加强农村合作金融机构信息系统风险管理的通知

银监办通〔2007〕227号

2007.09.24

36. 

中国银监会办公厅关于加强农村合作金融机构现金、存款和联行业务风险管理的通知

银监办发〔2008〕152号

2008.07.11

37. 

中国银监会办公厅关于加强银行业金融机构内控管理有效防范柜面业务操作风险的通知

银监办发[2015]97号

2015.06.02

商事合规团队