銀行業金融機構全面風險管理體系

A. 什麼是全面風險管理體系

全面風險管理體系
目前，國際先進銀行已經普遍把風險管理貫穿到整個銀行的經營管理之中，建立了全面的風險管理體系。全美反財務舞弊委員會的發起組織委員會認為，全面風險管理是一個受該實體的董事會、管理層和其他個人的影響，並應用在整個機構戰略設定中的過程。
我們應清楚地認識到，商業銀行所面臨的風險是客觀存在的，「零風險」是不存在的；實施全面風險管理的意義在於其能夠培育全員的風險管理文化、建立起完善的組織架構和嚴密的風險控制體系，及時識別、管理和有效化解風險。更為完善的全面風險管理體系不是一種可有可無的奢侈品，而是銀行賴以生存和發展的必需品。 全面風險管理框架的主要內容 從國際先進商業銀行的實踐來看，要建立和有效實施全面風險管理體系，應站在全行的高度，以全局視點審視體系建設，不能僅就風險管理而單一論之，重在全面風險管理的內涵要得到貫徹落實。全面的風險管理體系主要包括風險管理環境、風險管理流程、內部控製程序和風險審計等相互聯系的子系統。
（一）風險管理環境。風險管理環境包括內、外部環境兩個方面。外部環境是銀行經營所處的宏觀經濟、社會文化以及監管要求等外部環境；內部環境主要包括風險文化、風險戰略、風險偏好、風險管理組織架構、人員培養等。一位美國的銀行家說：「一個金融機構的管理常常失敗，其原因並不是因為它缺乏信用管理系統、政策及程序，而是因為它現有的佔主導地位的企業文化不能使這些系統、政策、程序真正發揮出作用。」可見，風險管理環境對風險管理的效果具有重要影響。
（二）風險管理流程。所謂風險管理流程，是指從風險識別、風險評估到風險防範，以及貫穿其中的風險信息報告路徑的管理全過程。雖然風險管理要保持與業務部門的獨立性，但風險管理流程則必須建立在業務操作流程的基礎上，實現和業務操作流程的有機結合。
（三）內部控制體系。內控體系的構建需要遵循全面性、獨立性原則。內部控制應滲透到銀行的各項業務過程和各個操作環節，做到全員參與、全程管理、全面覆蓋。內部審計部門作為內控管理的核心部門，要保持相互獨立，將內控評價結果直接向最高決策層負責。
（四）風險審計體系。風險審計的作用在於對全面風險管理體系及其運行進行後評價和持續改進，保持全面風險管理體系的穩定運行，是建立風險管理長效機制的重要保障。 國際知名銀行業全面風險管理的啟示

通過對國際先進商業銀行風險管理模式的研究，可以總結出以下啟示
一是重視風險文化和組織架構建設。風險管理能否發揮作用，以及在多大程度上發揮作用，是與該行的風險管理組織架構密切相關的，而組織架構相似的銀行卻可能因為風險文化、部門職責劃分等因素而使風險管理效果差異甚巨。因此，商業銀行必須重視風險文化和組織架構建設，二者相互協調，才能保證風險管理的效果。
二是強調對員工的培訓、培養。要建立員工業務培訓和風險培訓計劃，不斷提高客戶經理和風險經理的業務水平，強調客戶經理和風險經理之間的溝通與配合，確保開發的客戶是銀行所需要的。
三是重視信息管理系統建設。即在業務流程分析整合的基礎上，加強基礎數據的分析整理，進行風險的量化、分析和評價，發揮信息技術在風險決策中的作用，使風險決策更具客觀性。

B. 如何構建商業銀行風險管理的組織體系

背景
為加強商業銀行的信息科技風險管理，提升信息科技風險管理能力，09年3月份銀監會正式發布了《商業銀行信息科技風險管理指引》（以下簡稱《指引》），這是繼出台有關《商業銀行操作風險管理指引》、《商業銀行市場風險管理指引》和《商業銀行合規風險管理指引》等一系列的監管文件之後，銀監會發布的又一重要風險管理指引。 該指引適用於在中華人民共和國境內依法設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信託公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。
信息科技風險管理需求分析
合規性需求：
近年來，國家各部門不斷推出了各種監管要求，對IT管控領域也提出了明確的要求。其中與銀行業信息科技風險相關的法律、法規與行業監管指引有：
2002年，美國國會發布了SOX《薩班斯—奧克斯利法案》；
2004年9月30日，中國銀監會發布了《商業銀行內部控制評價辦法》；
2006年，銀監會發布《電子銀行安全評估指引》 、《銀行業金融機構信息系統風險管理指引》和《銀行業金融機構內部審計指引》；
2006年6月，國務院國資委出台了《中央企業全面風險管理指引》；
2007年，公安部明確了《信息系統等級保護基本要求與實施指南》；
2009年3月，銀監會發布《商業銀行信息科技風險管理指引》；
各商業銀行如何滿足日益嚴格的各類IT監管要求，成為銀行風險管理部門、合規部門、信息科技部門以及審計部門面臨的挑戰。

IT風險管理需求
銀行業隨著信息化工作的不斷深入，信息系統的開發、維護與運行均面臨較大的挑戰，如何保障業務的持續運營，如何支撐銀行各項業務的風險管理，如何保障客戶與自身信息的安全，成為各商業銀行信息科技部門與風險管理部門的重要任務，因此信息科技風險的管理就顯得迫在眉睫。商業銀行針對信息科技風險需要審視：
• 是否對所有潛在的重大IT風險都進行了識別、評估和管理？
• 面對數量眾多的IT風險，應如何對其進行管理？
• 如何在全行范圍內推行全面IT風險管理？
• 如何將IT風險管理體制與企業日常IT管理和運營相融合？
• IT風險管理的角色、責任和義務是否合理或明確？
• 如何增強風險意識，培育風險管理文化？
組建並管理IT風險管理團隊
IT風險管理組織結構建立在IT治理目標組織架構的基礎上，遵循IT治理的工作成果，從IT風險管理的主要工作與活動開始，逐步識別並定義IT風險管理的角色，並根據角色模型設計組織架構，確保IT風險管理的各項工作能夠得到落實。IT風險管理生命周期以及生命周期各階段的工作如下圖所示：

IT風險生命周期管理

從IT風險管理生命周期中各個階段主要工作中識別出IT風險管理所需要的角色，結合IT治理規劃成果，並參考國際最佳實踐，設計IT風險管理的職能與組織架構。從IT風險管理生命周期中各個階段主要工作中識別出IT風險管理所需要的角色，結合IT治理規劃成果，並參考國際最佳實踐，設計銀行業IT風險管理的職能與組織架構。

對於IT風險管理的角色的定位如下圖所示。

設計IT風險管理框架體系
IT風險管理框架體系主要包括如下五個體系框架
 IT風險管理策略體系：建立企業IT風險管理策略，明確管理層對信息科技風險管理的期望與承諾，描述對企業信息科技風險進行有效管理的方法，規定人員操作的流程與規范，制定系統配置規格、使用策略等。
 IT風險管理組織體系：建立完成組織信息科技風險管理目標的組織機構，包括跨部門的信息科技風險管理委員會、工作小組、第三方安全服務組織等。
 IT風險管理運行保障體系：建立日常科技風險運行與維護機制，包括運行監控、問題處理、變更管理等。重點是建立生產運行中安全的問題處理機制，形成完善的運行保障機制，及時、准確、快速地處理運行中的問題，強調執行過程的安全。
 IT風險管理技術保障體系：應用先進成熟的技術手段與產品，降低安全風險，包括產品的購置與配置加固、防病毒、加強安全域和網路訪問控制，統一監控管理平台、統一身份認證與授權管理平台等。
 應急恢復保障體系：業務連續性計劃及災難恢復規劃的實施，包括建立數據災難備份中心，各個業務系統及IT 系統的應急方案，其目標是控制事態發展，保障生命財產安全，恢復正常生產運行狀態。
 IT風險審計體系：審核工作是審計機構對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機制進行獨立的體系審核是一種強有力的監督機制。可以由組織的內部稽核部門階段性地組建立審核組，培訓審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計機構對組織進行外部審核。
建設IT風險管理制度與流程
 信息系統的開發和實施
信息系統的采購和開發
信息系統的采購和開發涉及系統的設計、采購/建造和布置，以支持業務目標的實現。制度與流程建設需要建立一套考慮到銀行在安全、可用性和處理完整性等方面的要求的生命周期系統開發方法。
采購新的技術基礎設施
采購和維護技術基礎設施的流程涉及支持應用和通信的系統的設計、采購/建造和布置。基礎設施組件，包括伺服器、網路和資料庫，對於信息處理的安全和可靠是至關重要的。在制度與流程建設中，需要制定並遵守相應的流程，確保基礎設施系統，包括網路設備和軟體，是根據它們要支持的財務應用程序的需要采購的。
應用系統和技術基礎設施的安裝和測試
系統安裝測試和確認涉及新系統向生產環境的移植，它確保系統可以按照設計意圖運行。沒有合適的測試，系統將不能按照預想的方式運行，可能提供無效的信息，這將導致信息和報告的不可靠。在制度與流程建設中，需要制定應用軟體和技術基礎設施相關技術上的測試策略。
 信息系統的變更和維護
開發和維護政策及流程
開發和維護政策及流程涉及軟體開發生命周期方法論、采購流程、應用的開發和維護以及相應的文檔。這一領域相關的政策和操作程序使得企業能夠持續地、有目標地進行商業運作。在制度與流程建設中，需要制定軟體開發生命周期方法論和相應的流程、政策。
變更管理
變更管理表明了企業是如何通過調整系統功能來幫助業務活動滿足財務報告目標的。在在制度與流程建設中，需要制定應用變動、系統維護的變更管理程序。
系統配置管理
系統配置管理保證安全、可獲得的控制在系統中建立起來，並且在其生命周期內得到保持。在這方面的能力不足會導致系統安全和可靠性蒙受風險，並將允許對於系統和數據的非法訪問。在制度與流程建設中，需要對系統基礎設施，包括防火牆、伺服器和其它有關設備，以及對應用軟體和數據存儲系統等配置管理程序，並建立配置基準。
 系統的操作和運行
操作管理
操作管理的好壞體現了一個組織通過保持可靠的應用系統來記錄、處理和報告財務信息的水平。在這方面的能力缺乏將嚴重影響企業的財務報告。在制度與流程建設中，需要制定IT操作的標准程序，包括賬戶管理、批處理管理、系統操作管理、數據操作管理等。
服務水平的確定和管理
服務水平的確定和管理決定了企業如何滿足其客戶對其產品功能和業務操作的期望，進而滿足其客戶的業務目標。在這方面的能力缺乏將嚴重影響企業的財務報告和信息披露。在在制度與流程建設中，需要定義和管理服務水平來支持財務報告系統的要求。並定義一種框架，建立關鍵績效指標，從內部和外部來管理服務水平協議。
外包服務管理
外包服務管理包括使用外包服務來支持財務應用和相關系統。在制度與流程建設中，需要定義第三方服務管理的程序。
 系統與信息安全管理
信息安全管理策略
系統安全方面的管理包括通過物理和邏輯上的控制來防止非法訪問。在制度與流程建設中，需要參照ISO27001和國家信息安全等級保護標准，制定完整的系統安全策略體系。信息安全管理機制包括信息安全標准、策略、實施計劃和持續維護計劃。
信息安全策略涉及以下領域：
（一）安全制度管理。
（二）信息安全組織管理。
（三）資產管理。
（四）人員安全管理。
（五）物理與環境安全管理。
（六）通信與運營管理。
（七）訪問控制管理。
（八）系統開發與維護管理。
（九）信息安全事故管理。
（十）業務連續性管理。
（十一）合規性管理。
問題和事故管理
問題和事故管理表明一個企業是如何對異常事件進行鑒別、記錄和反應的。在制度與流程建設中，需要制定和執行問題管理系統，來確保所有標准操作之外的操作事件（如事故、問題和錯誤）都能得到及時的記錄、分析和解決。制定安全事故響應流程，以支持對於非法活動的及時反應和調查。
數據管理
數據管理涉及用於管理信息完整性、准確性、授權和有效性的控制和程序，對信息的記錄、處理和報告起支持作用。在制度與流程建設中，需要制定相應的政策和流程用於數據的處理、分發、保留和報告的輸出。

IT風險管理軟體平台方案
IT風險管理已經成為銀行風險管理的重要組成部分，急需建立信息化平台支撐IT風險管理的日常工作。風險評估、風險控制、風險監控、監督與審計、風險溝通等工作均涉及大量的日常工作，需要建立相關的系統平台來滿足銀行IT風險管理相關部門的需求，谷安公司經過多年的行業經驗積累，推出了國內首家IT風險管理平台系統。

IT風險管控系列軟體目前包括如下主要模塊：
風險評估管理-GooRisk
GooRisk信息科技風險評估軟體提供了系統化的風險評估方法論和行業風險知識庫，包括評估范圍定義，安全現狀調查，資產威脅分析、漏洞分析、風險綜合分析、風險控制措施等主要功能，幫助客戶快速自動化的評估自身的資產風險與流程風險。
風險控制管理-GooISMS
GooISMS風險管理體系建設軟體提供了IT風險管理體系規劃與管理體系建設的方法論和行業模板庫，包括體系規劃，體系設計，體系實施，體系保障等主要功能，幫助客戶快速建立安全管理體系，通過內部審計、管理評審等管理過程，保障體系的有效運行。
風險運營管理-GooProcess
GooProcess信息科技風險運營管理軟體提供了基本的信息安全日常運作流程，通過自動化工作流引擎，可自主定義帳號管理、許可權管理、人員安全、設備安全、物理安全、安全檢查、安全事件、安全培訓、通知公告等流程，將安全管理流程真正落地。
風險審計管理-GooAudit
GooAudit安全風險審計管理軟體提供了信息安全風險審計檢查工具與審計管理流程，包括了各種業務、系統、設備的安全檢查列表，符合性測試、實質性測試工具，定期審計管理流程，以及審計底稿、審計報告的管理。
風險知識管理-GooAwareness
GooAwareness安全風險知識管理軟體為企業提供了信息安全相關知識的管理與共享平台，包括安全通告、內部知識庫、外部資料庫、標准與法規、案例警示、常用模板、知識地圖、個人知識庫等基本功能，方便安全知識的獲取與管理，全面提高員工信息安全意識。

軟體特色與優勢：
完整的行業知識庫：提供完整的銀行業知識庫支持，並且對知識庫進行持續更新；知識庫包括行業業務流程、業務系統、信息資產、威脅類型、漏洞類別、風險指標、安全策略、管理流程、行業法規等。
遵從各類監管要求：緊密結合企業信息安全與內部控制要求，遵從信息科技風險管理指引、ISO27001、等級保護、COBIT等標准，引導公司信息安全與IT控制工作，協助信息安全與IT風險管理體系建立，並管理文檔記錄、測評、評估、改進、測試等階段的工作；全面符合國際標准ISO27001、國家標准GB20984《信息安全風險評估規范》，以及公安部等級保護測評要求
統一控制框架： 採取Unified Control Framework設計，可將超過2,000個「既定的」控制目標與等級保護、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等幾十個標准和法律法規相掛鉤，並可通過全面的可配置性和可擴展性應用到知識庫中；
操作簡單安全：基於B/S架構，通過瀏覽器的輕松靈活的使用、導航界面，能夠根據組織要求調節界面外觀，基於角色授權指派相關人士負責控制工作，輕松添加各種控制與遵從標准版本，支持本機Excel電子數據表輸入。

C. 商業銀行全面風險管理有哪些 研究視角

商業銀行是經營風險的企業,其所面臨的風險多種多樣,具體包括信用風險、市場風險、操作風險、利率風險、流動性風險、聲譽風險、法律風險等等,在這些風險當中,產生時間最久遠的也是最致命的風險當屬信用風險。通過對銀行破產案例的分析研究可以發現,導致銀行破產最常見的原因就信用風險。近三十年來,一系列金融危機表明,銀行的危機通常是由市場風險、信用風險、操作風險等多因素引起的。國際會計准則委員會(IASC)、全美反舞弊性財務報告委員會發起組織(COSO)和巴塞爾銀行監管委員會(BCBS)等專業組織、行業協會和研究機構開始對全面風險管理進行研究,20世紀90年代後,全面風險管理思想和理念逐步被西方發達國家的監管當局、廣大商業銀行所接受。 我國商業銀行成立初期,由於國家經濟體制的原因,風險管理水平與國外先進銀行比差距很大,特別是信用風險管理水平很低,造成我國商業銀行曾經不良貸款余額和不良貸款率很高,先後有過兩次大規模的不良貸款資產剝離。隨著我國市場經濟的不斷發展,國有商業銀行相繼完成股份制改造,我國商業銀行公司治理機制、內部管理組織架構和風險管理水平較上世紀七、八十年代有了較為明顯提高,但在與國外先進銀行相比,在風險機制和架構上、風險管理方法和工具、風險量化水平和全面風險理念等方面仍有不小差距。 隨著我國市場經濟的不斷成熟和完善,商業銀行在國民經濟中發揮著越來越重要的作用,商業銀行的經營情況不僅影響到自己的生存和發展,還會影響整個國民經濟的良性循環。因此,銀行風險管理的好壞,特別是信用風險管理狀況直接影響到我國經濟的持續、健康發展。本文在巴塞爾新資本協議實施及全面風險管理理念和方法逐步被廣泛應用的背景下,試圖在全面風險管理視角下分析、研究我國商業銀行信用風險管理,進而給出相關建議。 本文共分六章：第一章導論主要介紹了研究背景、意義、方法和內容,對國內外研究綜述進行了梳理；第二章主要介紹了關於信用風險的古典理論、現代理論、信息經濟學理論、金融學理論等方面的理論,信用風險技術和方法以及全面風險管理思想、理念和方法；第三章主要介紹了我國商業銀行信用風險現狀並對成因進行了分析；第四章通過對美聯銀行、法國農業信貸銀行和星展銀行在公司治理機制、風險管理的組織架構、業務操作流程、風險政策制度、風險管理方法和工具的比較,評價國外銀行的先進做法以及對我國商業銀行信用風險管理的啟示；第五章以BOC銀行風險信用風險管理現狀分析為案例,具體分析我國商業銀行信用風險和管理的現狀；第六章在前述研究分析基礎上,給商業銀行的信用風險管理在社會信用體系、商業銀行治理結構、組織框架、風險技術手段和風險文化等方面的改進建議。

D. 金融機構風險管理體系有哪些基本要素

金融機構風險管理體系有三個基本要素，分別是以下3點：

1、董事會對總體風險管理理念和基本風險管戰略的確定

總體上說，董事會對金融機構承受的風險承擔最終責任和義務，因此應負起監控職能。公司整體的風險管理及控制政策應由董事會審批，為保證戰略和政策得到遵守並保持適應性，決策機構應通過獨立的風險管理部門和獨立的內部審計部門進行實施和評估。

2、確定風險管理的基本程序

董事會制定風險管理及控制戰略的第一步是，根據預定的風險管理原則，並根據風險對資本比例情況，對公司業務活動及其帶來的風險進行分析。在上述分析的基礎上，要規定每一種主要業務或產品的風險數量限額，批准業務的具體范圍，並應有充足的資本加以支持。此後，應對業務和風險不斷進行常規檢查，並根據業務和市場的變化對戰略進行定期重新評估，並將結論應直接報告決策層。轉貼於
看準網 http://www.kanzhun.com

在識別風險和確定了抵禦風險的總體戰略後，公司就可以制定用於日常和長期業務操作的詳細而具體的指引。為此，風險管理的政策和程序中應包括，風險管理及控制過程中的權力及遵守風險政策的責任，有效的內部會計控制，內部和外部審計等。如果公司較大較復雜，則需要建立集中、自主的風險管理部門。就風險管理和控制部門而言，最重要的是配備適當的專業人員、並獨立於產生風險的部門。

因為控制結構的有效性取決於運用它的人，因此，有效控制的前提是機構內所有員工都具有高度的責任。在確定風險管理及控制過程的權力和責任時，一個重要的因素應是將風險的衡量、監督和控制與產生風險的交易部門分開。高級管理層應保證職責適當分開，員工的責任不應互相沖突。

3、信用風險的管理策略

信用風險管理是金融機構整體風險管理構架中不可分割的組成部分，它由風險管理委員會下設的信用風險管理部門全面負責。信用風險管理部門直接向全球風險經理負責，全球風險經理再依次向執行總裁報告。信用風險管理部門通過專業化的評估、限額審批、監督等在全球范圍內實施信貸調節和管理。在考察信用風險時，信用風險管理部門要對風險和收益間的關系進行平衡，對實際和潛在的信貸暴露進行預測。

E. 銀行全面風險管理體系的內容提要

從理論上看,本書借鑒《巳塞爾新資本協議》和COSO發布的《企業全面風險管理框架》,按照管理系統工程的認識論和方法論,對商業銀行全面風險管理體系的框架與構建作了全面探討,是國內金融理論界第一本系統研究全面風險管理體系的著作。從實踐上看,本書總結了大量國際活躍銀行在風險管理理念、風險管理組織結構、風險評估技術、風險處置對策以及內部控制等方面的先進經驗,在此基礎上,結合我國商業銀行風險和風險管理的實際情況,描述了我國商業銀行實施全面風險管理改革的藍圖。

F. 對銀行業全面風險管理建設的理解和看法

我覺得就是內控制度的全面建設管理，內控制度的各個方面，全面管理，一個是安全管理、一個是櫃面操作管理，一個是貸款的全流程管理，銀行是高度依靠負債經營的特殊行業，經過各個風險事件，亞洲金融危機、美國次貸危機、歐洲幾個國家的破產，巴塞爾協議也相應的修改了其條款，銀行業處於對自身業務與規模的考慮，都相應的對管理方式方法，工作思路做了調整，重視業務發展的同時也更加重視內部控制的相互制約與監督，所以我認為，全面的風險管理工作，不僅僅是針對貸款才有風險，對內部的監督約束也一樣重要。當然，全面的風險管理是非常必要和重要的，萬萬不能忽視。