银行业金融机构全面风险管理体系

A. 什么是全面风险管理体系

全面风险管理体系
目前，国际先进银行已经普遍把风险管理贯穿到整个银行的经营管理之中，建立了全面的风险管理体系。全美反财务舞弊委员会的发起组织委员会认为，全面风险管理是一个受该实体的董事会、管理层和其他个人的影响，并应用在整个机构战略设定中的过程。
我们应清楚地认识到，商业银行所面临的风险是客观存在的，“零风险”是不存在的；实施全面风险管理的意义在于其能够培育全员的风险管理文化、建立起完善的组织架构和严密的风险控制体系，及时识别、管理和有效化解风险。更为完善的全面风险管理体系不是一种可有可无的奢侈品，而是银行赖以生存和发展的必需品。 全面风险管理框架的主要内容 从国际先进商业银行的实践来看，要建立和有效实施全面风险管理体系，应站在全行的高度，以全局视点审视体系建设，不能仅就风险管理而单一论之，重在全面风险管理的内涵要得到贯彻落实。全面的风险管理体系主要包括风险管理环境、风险管理流程、内部控制程序和风险审计等相互联系的子系统。
（一）风险管理环境。风险管理环境包括内、外部环境两个方面。外部环境是银行经营所处的宏观经济、社会文化以及监管要求等外部环境；内部环境主要包括风险文化、风险战略、风险偏好、风险管理组织架构、人员培养等。一位美国的银行家说：“一个金融机构的管理常常失败，其原因并不是因为它缺乏信用管理系统、政策及程序，而是因为它现有的占主导地位的企业文化不能使这些系统、政策、程序真正发挥出作用。”可见，风险管理环境对风险管理的效果具有重要影响。
（二）风险管理流程。所谓风险管理流程，是指从风险识别、风险评估到风险防范，以及贯穿其中的风险信息报告路径的管理全过程。虽然风险管理要保持与业务部门的独立性，但风险管理流程则必须建立在业务操作流程的基础上，实现和业务操作流程的有机结合。
（三）内部控制体系。内控体系的构建需要遵循全面性、独立性原则。内部控制应渗透到银行的各项业务过程和各个操作环节，做到全员参与、全程管理、全面覆盖。内部审计部门作为内控管理的核心部门，要保持相互独立，将内控评价结果直接向最高决策层负责。
（四）风险审计体系。风险审计的作用在于对全面风险管理体系及其运行进行后评价和持续改进，保持全面风险管理体系的稳定运行，是建立风险管理长效机制的重要保障。 国际知名银行业全面风险管理的启示

通过对国际先进商业银行风险管理模式的研究，可以总结出以下启示
一是重视风险文化和组织架构建设。风险管理能否发挥作用，以及在多大程度上发挥作用，是与该行的风险管理组织架构密切相关的，而组织架构相似的银行却可能因为风险文化、部门职责划分等因素而使风险管理效果差异甚巨。因此，商业银行必须重视风险文化和组织架构建设，二者相互协调，才能保证风险管理的效果。
二是强调对员工的培训、培养。要建立员工业务培训和风险培训计划，不断提高客户经理和风险经理的业务水平，强调客户经理和风险经理之间的沟通与配合，确保开发的客户是银行所需要的。
三是重视信息管理系统建设。即在业务流程分析整合的基础上，加强基础数据的分析整理，进行风险的量化、分析和评价，发挥信息技术在风险决策中的作用，使风险决策更具客观性。

B. 如何构建商业银行风险管理的组织体系

背景
为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。 该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险管理需求分析
合规性需求：
近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：
2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；
2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；
2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；
2006年6月，国务院国资委出台了《中央企业全面风险管理指引》；
2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；
2009年3月，银监会发布《商业银行信息科技风险管理指引》；
各商业银行如何满足日益严格的各类IT监管要求，成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。

IT风险管理需求
银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：
• 是否对所有潜在的重大IT风险都进行了识别、评估和管理？
• 面对数量众多的IT风险，应如何对其进行管理？
• 如何在全行范围内推行全面IT风险管理？
• 如何将IT风险管理体制与企业日常IT管理和运营相融合？
• IT风险管理的角色、责任和义务是否合理或明确？
• 如何增强风险意识，培育风险管理文化？
组建并管理IT风险管理团队
IT风险管理组织结构建立在IT治理目标组织架构的基础上，遵循IT治理的工作成果，从IT风险管理的主要工作与活动开始，逐步识别并定义IT风险管理的角色，并根据角色模型设计组织架构，确保IT风险管理的各项工作能够得到落实。IT风险管理生命周期以及生命周期各阶段的工作如下图所示：

IT风险生命周期管理

从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计IT风险管理的职能与组织架构。从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计银行业IT风险管理的职能与组织架构。

对于IT风险管理的角色的定位如下图所示。

设计IT风险管理框架体系
IT风险管理框架体系主要包括如下五个体系框架
 IT风险管理策略体系：建立企业IT风险管理策略，明确管理层对信息科技风险管理的期望与承诺，描述对企业信息科技风险进行有效管理的方法，规定人员操作的流程与规范，制定系统配置规格、使用策略等。
 IT风险管理组织体系：建立完成组织信息科技风险管理目标的组织机构，包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。
 IT风险管理运行保障体系：建立日常科技风险运行与维护机制，包括运行监控、问题处理、变更管理等。重点是建立生产运行中安全的问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理运行中的问题，强调执行过程的安全。
 IT风险管理技术保障体系：应用先进成熟的技术手段与产品，降低安全风险，包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。
 应急恢复保障体系：业务连续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT 系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。
 IT风险审计体系：审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。
建设IT风险管理制度与流程
 信息系统的开发和实施
信息系统的采购和开发
信息系统的采购和开发涉及系统的设计、采购/建造和布置，以支持业务目标的实现。制度与流程建设需要建立一套考虑到银行在安全、可用性和处理完整性等方面的要求的生命周期系统开发方法。
采购新的技术基础设施
采购和维护技术基础设施的流程涉及支持应用和通信的系统的设计、采购/建造和布置。基础设施组件，包括服务器、网络和数据库，对于信息处理的安全和可靠是至关重要的。在制度与流程建设中，需要制定并遵守相应的流程，确保基础设施系统，包括网络设备和软件，是根据它们要支持的财务应用程序的需要采购的。
应用系统和技术基础设施的安装和测试
系统安装测试和确认涉及新系统向生产环境的移植，它确保系统可以按照设计意图运行。没有合适的测试，系统将不能按照预想的方式运行，可能提供无效的信息，这将导致信息和报告的不可靠。在制度与流程建设中，需要制定应用软件和技术基础设施相关技术上的测试策略。
 信息系统的变更和维护
开发和维护政策及流程
开发和维护政策及流程涉及软件开发生命周期方法论、采购流程、应用的开发和维护以及相应的文档。这一领域相关的政策和操作程序使得企业能够持续地、有目标地进行商业运作。在制度与流程建设中，需要制定软件开发生命周期方法论和相应的流程、政策。
变更管理
变更管理表明了企业是如何通过调整系统功能来帮助业务活动满足财务报告目标的。在在制度与流程建设中，需要制定应用变动、系统维护的变更管理程序。
系统配置管理
系统配置管理保证安全、可获得的控制在系统中建立起来，并且在其生命周期内得到保持。在这方面的能力不足会导致系统安全和可靠性蒙受风险，并将允许对于系统和数据的非法访问。在制度与流程建设中，需要对系统基础设施，包括防火墙、服务器和其它有关设备，以及对应用软件和数据存储系统等配置管理程序，并建立配置基准。
 系统的操作和运行
操作管理
操作管理的好坏体现了一个组织通过保持可靠的应用系统来记录、处理和报告财务信息的水平。在这方面的能力缺乏将严重影响企业的财务报告。在制度与流程建设中，需要制定IT操作的标准程序，包括账户管理、批处理管理、系统操作管理、数据操作管理等。
服务水平的确定和管理
服务水平的确定和管理决定了企业如何满足其客户对其产品功能和业务操作的期望，进而满足其客户的业务目标。在这方面的能力缺乏将严重影响企业的财务报告和信息披露。在在制度与流程建设中，需要定义和管理服务水平来支持财务报告系统的要求。并定义一种框架，建立关键绩效指标，从内部和外部来管理服务水平协议。
外包服务管理
外包服务管理包括使用外包服务来支持财务应用和相关系统。在制度与流程建设中，需要定义第三方服务管理的程序。
 系统与信息安全管理
信息安全管理策略
系统安全方面的管理包括通过物理和逻辑上的控制来防止非法访问。在制度与流程建设中，需要参照ISO27001和国家信息安全等级保护标准，制定完整的系统安全策略体系。信息安全管理机制包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略涉及以下领域：
（一）安全制度管理。
（二）信息安全组织管理。
（三）资产管理。
（四）人员安全管理。
（五）物理与环境安全管理。
（六）通信与运营管理。
（七）访问控制管理。
（八）系统开发与维护管理。
（九）信息安全事故管理。
（十）业务连续性管理。
（十一）合规性管理。
问题和事故管理
问题和事故管理表明一个企业是如何对异常事件进行鉴别、记录和反应的。在制度与流程建设中，需要制定和执行问题管理系统，来确保所有标准操作之外的操作事件（如事故、问题和错误）都能得到及时的记录、分析和解决。制定安全事故响应流程，以支持对于非法活动的及时反应和调查。
数据管理
数据管理涉及用于管理信息完整性、准确性、授权和有效性的控制和程序，对信息的记录、处理和报告起支持作用。在制度与流程建设中，需要制定相应的政策和流程用于数据的处理、分发、保留和报告的输出。

IT风险管理软件平台方案
IT风险管理已经成为银行风险管理的重要组成部分，急需建立信息化平台支撑IT风险管理的日常工作。风险评估、风险控制、风险监控、监督与审计、风险沟通等工作均涉及大量的日常工作，需要建立相关的系统平台来满足银行IT风险管理相关部门的需求，谷安公司经过多年的行业经验积累，推出了国内首家IT风险管理平台系统。

IT风险管控系列软件目前包括如下主要模块：
风险评估管理-GooRisk
GooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。
风险控制管理-GooISMS
GooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行。
风险运营管理-GooProcess
GooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地。
风险审计管理-GooAudit
GooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理。
风险知识管理-GooAwareness
GooAwareness安全风险知识管理软件为企业提供了信息安全相关知识的管理与共享平台，包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能，方便安全知识的获取与管理，全面提高员工信息安全意识。

软件特色与优势：
完整的行业知识库：提供完整的银行业知识库支持，并且对知识库进行持续更新；知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等。
遵从各类监管要求：紧密结合企业信息安全与内部控制要求，遵从信息科技风险管理指引、ISO27001、等级保护、COBIT等标准，引导公司信息安全与IT控制工作，协助信息安全与IT风险管理体系建立，并管理文档记录、测评、评估、改进、测试等阶段的工作；全面符合国际标准ISO27001、国家标准GB20984《信息安全风险评估规范》，以及公安部等级保护测评要求
统一控制框架： 采取Unified Control Framework设计，可将超过2,000个“既定的”控制目标与等级保护、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等几十个标准和法律法规相挂钩，并可通过全面的可配置性和可扩展性应用到知识库中；
操作简单安全：基于B/S架构，通过浏览器的轻松灵活的使用、导航界面，能够根据组织要求调节界面外观，基于角色授权指派相关人士负责控制工作，轻松添加各种控制与遵从标准版本，支持本机Excel电子数据表输入。

C. 商业银行全面风险管理有哪些 研究视角

商业银行是经营风险的企业,其所面临的风险多种多样,具体包括信用风险、市场风险、操作风险、利率风险、流动性风险、声誉风险、法律风险等等,在这些风险当中,产生时间最久远的也是最致命的风险当属信用风险。通过对银行破产案例的分析研究可以发现,导致银行破产最常见的原因就信用风险。近三十年来,一系列金融危机表明,银行的危机通常是由市场风险、信用风险、操作风险等多因素引起的。国际会计准则委员会(IASC)、全美反舞弊性财务报告委员会发起组织(COSO)和巴塞尔银行监管委员会(BCBS)等专业组织、行业协会和研究机构开始对全面风险管理进行研究,20世纪90年代后,全面风险管理思想和理念逐步被西方发达国家的监管当局、广大商业银行所接受。 我国商业银行成立初期,由于国家经济体制的原因,风险管理水平与国外先进银行比差距很大,特别是信用风险管理水平很低,造成我国商业银行曾经不良贷款余额和不良贷款率很高,先后有过两次大规模的不良贷款资产剥离。随着我国市场经济的不断发展,国有商业银行相继完成股份制改造,我国商业银行公司治理机制、内部管理组织架构和风险管理水平较上世纪七、八十年代有了较为明显提高,但在与国外先进银行相比,在风险机制和架构上、风险管理方法和工具、风险量化水平和全面风险理念等方面仍有不小差距。 随着我国市场经济的不断成熟和完善,商业银行在国民经济中发挥着越来越重要的作用,商业银行的经营情况不仅影响到自己的生存和发展,还会影响整个国民经济的良性循环。因此,银行风险管理的好坏,特别是信用风险管理状况直接影响到我国经济的持续、健康发展。本文在巴塞尔新资本协议实施及全面风险管理理念和方法逐步被广泛应用的背景下,试图在全面风险管理视角下分析、研究我国商业银行信用风险管理,进而给出相关建议。 本文共分六章：第一章导论主要介绍了研究背景、意义、方法和内容,对国内外研究综述进行了梳理；第二章主要介绍了关于信用风险的古典理论、现代理论、信息经济学理论、金融学理论等方面的理论,信用风险技术和方法以及全面风险管理思想、理念和方法；第三章主要介绍了我国商业银行信用风险现状并对成因进行了分析；第四章通过对美联银行、法国农业信贷银行和星展银行在公司治理机制、风险管理的组织架构、业务操作流程、风险政策制度、风险管理方法和工具的比较,评价国外银行的先进做法以及对我国商业银行信用风险管理的启示；第五章以BOC银行风险信用风险管理现状分析为案例,具体分析我国商业银行信用风险和管理的现状；第六章在前述研究分析基础上,给商业银行的信用风险管理在社会信用体系、商业银行治理结构、组织框架、风险技术手段和风险文化等方面的改进建议。

D. 金融机构风险管理体系有哪些基本要素

金融机构风险管理体系有三个基本要素，分别是以下3点：

1、董事会对总体风险管理理念和基本风险管战略的确定

总体上说，董事会对金融机构承受的风险承担最终责任和义务，因此应负起监控职能。公司整体的风险管理及控制政策应由董事会审批，为保证战略和政策得到遵守并保持适应性，决策机构应通过独立的风险管理部门和独立的内部审计部门进行实施和评估。

2、确定风险管理的基本程序

董事会制定风险管理及控制战略的第一步是，根据预定的风险管理原则，并根据风险对资本比例情况，对公司业务活动及其带来的风险进行分析。在上述分析的基础上，要规定每一种主要业务或产品的风险数量限额，批准业务的具体范围，并应有充足的资本加以支持。此后，应对业务和风险不断进行常规检查，并根据业务和市场的变化对战略进行定期重新评估，并将结论应直接报告决策层。转贴于
看准网 http://www.kanzhun.com

在识别风险和确定了抵御风险的总体战略后，公司就可以制定用于日常和长期业务操作的详细而具体的指引。为此，风险管理的政策和程序中应包括，风险管理及控制过程中的权力及遵守风险政策的责任，有效的内部会计控制，内部和外部审计等。如果公司较大较复杂，则需要建立集中、自主的风险管理部门。就风险管理和控制部门而言，最重要的是配备适当的专业人员、并独立于产生风险的部门。

因为控制结构的有效性取决于运用它的人，因此，有效控制的前提是机构内所有员工都具有高度的责任。在确定风险管理及控制过程的权力和责任时，一个重要的因素应是将风险的衡量、监督和控制与产生风险的交易部门分开。高级管理层应保证职责适当分开，员工的责任不应互相冲突。

3、信用风险的管理策略

信用风险管理是金融机构整体风险管理构架中不可分割的组成部分，它由风险管理委员会下设的信用风险管理部门全面负责。信用风险管理部门直接向全球风险经理负责，全球风险经理再依次向执行总裁报告。信用风险管理部门通过专业化的评估、限额审批、监督等在全球范围内实施信贷调节和管理。在考察信用风险时，信用风险管理部门要对风险和收益间的关系进行平衡，对实际和潜在的信贷暴露进行预测。

E. 银行全面风险管理体系的内容提要

从理论上看,本书借鉴《巳塞尔新资本协议》和COSO发布的《企业全面风险管理框架》,按照管理系统工程的认识论和方法论,对商业银行全面风险管理体系的框架与构建作了全面探讨,是国内金融理论界第一本系统研究全面风险管理体系的著作。从实践上看,本书总结了大量国际活跃银行在风险管理理念、风险管理组织结构、风险评估技术、风险处置对策以及内部控制等方面的先进经验,在此基础上,结合我国商业银行风险和风险管理的实际情况,描述了我国商业银行实施全面风险管理改革的蓝图。

F. 对银行业全面风险管理建设的理解和看法

我觉得就是内控制度的全面建设管理，内控制度的各个方面，全面管理，一个是安全管理、一个是柜面操作管理，一个是贷款的全流程管理，银行是高度依靠负债经营的特殊行业，经过各个风险事件，亚洲金融危机、美国次贷危机、欧洲几个国家的破产，巴塞尔协议也相应的修改了其条款，银行业处于对自身业务与规模的考虑，都相应的对管理方式方法，工作思路做了调整，重视业务发展的同时也更加重视内部控制的相互制约与监督，所以我认为，全面的风险管理工作，不仅仅是针对贷款才有风险，对内部的监督约束也一样重要。当然，全面的风险管理是非常必要和重要的，万万不能忽视。