天博集团公司曹国岭副所长：构建金融控股集团的核心是风险管理作者：曹国岭，中国党党员，北京邮电大学国家大学科技园金融科技研究所副所长、博士生导师、中安联合博士后科研工作站研究员，教授，曾

　　作者：曹国岭，中国党党员，北京邮电大学国家大学科技园金融科技研究所副所长、博士生导师、中安联合博士后科研工作站研究员，教授，曾先后就职于兴业银行、北京银行、中国银行，主要负责公司业务，零售业务，审计，风险管理与控制等。

　　进入经济新常态以来，中国对外开放的程度在日益提高，经济运行中的各种主要矛盾和风险不断暴露，并集中突出体现在金融领域，金融风险已成为当前最突出的重大风险之一。

　　显而易见，防范化解重大风险已经位列2018年三大攻坚战之首，而重中之重是防控金融风险。曹国岭副所长先后就职于国内大型银行，对于风险管理与控制有着丰富的实践经验，本文曹国岭副所长从风险类型和风险管理两个角度入手，深入浅出地分析了金融控股集团全面风险管理的方法和流程。

　　谈到金融风险，首先要将金融风险作出区分，金融风险可以按照金融性质、主体、区域、层次和形态进行度划分。

　　金融风险按照性质分，可以分为系统性金融风险和非系统性风险。系统性风险是指波及区域性和系统性的金融动荡或严重损失的金融风险。我们经常看到报道要守住底线，确保不发生系统性风险，就是因为系统性风险危害大，对国民经济正常运行会造成严重破坏。相对于系统性风险，那些个别事件，对其他经济主体不产生影响或影响不大，不会产生连锁反应的则是非系统风险。

　　国际商普遍接受和采用的分类方法是将金融风险划分为信用风险、市场风险（包括利率风险、汇率风险和投资风险）天博集团、流动性风险、操作风险、法律风险、合规风险、国别风险和声誉风险这八大类。

　　2016年，银监会印发《银行业金融机构全面风险管理指引》（银监发〔2016〕44号），要求银行业金融机构建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

　　信用风险是指由于债务人或者交易对手不能履行合同义务，或者信用状况的不利变动而造成损失的可能性。银监会补短板项目《商业银行信用风险管理指引》尚未制定，保监会印发的《保险公司风险管理指引（试行）》（保监发[2007]23号）中却有定义。

　　《商业银行市场风险管理指引》（中国银行业监督管理委员会令2004年第10号）将市场风险定义为：是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使银行表内和表外业务发生损失的风险。

　　市场风险存在于银行的交易和非交易业务中。市场风险可以分为利率风险、汇率风险（包括黄金）、股票价格风险和商品价格风险，分别是指由于利率、汇率、股票价格和商品价格的不利变动所带来的风险。利率风险按照来源的不同，可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。

　　《商业银行流动性风险管理办法（试行）》（中国银行业监督管理委员会令2015年第9号）将流动性风险定义为：是指商业银行无法以合理成本及时获得充足资金，用于偿付到期债务、履行其他支付义务和满足正常业务开展的其他资金需求的风险。

　　《商业银行操作风险管理指引》（银监发[2007]42号）将操作风险定义为：是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

　　《银行业金融机构国别风险管理指引》（银监发[2010]45号）将国别风险定义为：是指由于某一国家或地区经济、、社会变化及事件，导致该国家或地区借款人或债务人没有能力或者拒绝偿付银行业金融机构债务，或使银行业金融机构在该国家或地区的商业存在遭受损失，或使银行业金融机构遭受其他损失的风险。

　　《商业银行银行账簿利率风险管理指引（修订征求意见稿）》将银行账簿利率风险定义为：是指利率水平、期限结构等不利变动导致银行账簿经济价值和整体收益遭受损失的风险，主要包括缺口风险、基准风险和期权性风险。银行账簿记录的是商业银行未划入交易账簿的相关表内外业务。

　　《商业银行声誉风险管理指引》（银监发[2009]82号）将声誉风险定义为：是指由商业银行经营、管理及其他行为或外部事件导致利益相关方对商业银行负面评价的风险。

　　声誉事件是指引发商业银行声誉风险的相关行为或事件。重大声誉事件是指造成银行业重大损失、市场大幅波动、引发系统性风险或影响社会经济秩序稳定的声誉事件。

　　战略风险相关指引暂未发布，也无标准定义。风险的基本定义是损失的不确定性，战略风险就可理解为商业银行整体损失的不确定性。战略风险是影响整个商业银行的发展方向、企业文化、信息和生存能力或商业银行效益的因素。

　　《商业银行信息科技风险管理指引》（银监发[2009]19号）将信息科技风险定义为：是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

　　信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

　　近年来，世界各国的关注重点日益集中在风险管理上，迫切需要一个能够有效识别、评估和控制风险的强有力框架问世。为此，COSO发布了《企业风险管理整合框架》文件，这标志着拓展并内含内部控制体系的全面风险管理模式的问世。

　　曹国岭副所长指出，全面风险管理概念提出后，深受世界各国的重视和关注，我国也不例外。2006年6月20日，国资委正式对外发布了《中央企业全面风险管理指引》，对中央企业建设全面风险管理体系的内容、流程以及工具和方法进行了详细的阐述，并提出了明确执行要求。

　　巴塞尔委员会则将重点放在了商业银行的全面风险管理之中，2004年6月公布的“巴塞尔新资本协议”中就融入了全面风险管理的理念和要求，标志着商业银行风险管理出现了显著变化，从以前单一信用风险管理模式转向信用风险、市场风险和操作风险管理并举，信贷资产管理与非信贷资产管理并举，组织流程再造与技术手段创新并举的全面风险管理模式。

　　COSO在《企业风险管理整合框架》文件中认为：全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿与企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。

　　《银行业金融机构全面风险管理指引》并没有直接给出全面风险管理的含义，但字里行间透露出全面风险管理该做什么，比如采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。曹国岭副所长强调，全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。银行业金融机构应当承担全面风险管理的主体责任，建立全面风险管理制度，保障制度执行，对全面风险管理体系进行自我评估，健全自我约束机制。

　　COSO在《企业风险管理整合框架》文件中认为：全面风险管理是三个维度的立体系统。这三个维度分别为：第一，企业目标。包括战略目标、经营目标、报告目标和合规目标等四个目标。第二，风险管理的要素，包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控等8个要素。第三，企业层级，包括整个企业、各职能部门、各业务条线及下属子公司。全面风险管理的8个要素都为实现目标服务天博集团，8个要素的管理活动在每个层级展开。

　　《银行业金融机构全面风险管理指引》强调全面风险管理体系至少包括五大要素：风险治理架构；风险管理策略、风险偏好和风险限额；风险管理政策和程序；管理信息系统和数据治理控制机制；内部控制和审计体系。并提出全面风险管理应遵循匹配性、全覆盖、独立性和有效性四项基本原则。

　　《管理指引》第二章详细阐述了全面风险管理治理架构。总结而言，就是银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构，明确董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分工，建立多层次、相互衔接、有效制衡的运行机制。第三章则对银行业金融机构风险管理策略、风险偏好和风险限额做出了原则性要求。比如，明确风险管理策略有效性、风险偏好每年至少评估一次。应当制定风险限额管理的政策和程序。

　　全面风险管理的方法，包括各类风险的识别、计量、评估、监测、报告、控制或缓释，风险加总的方法和程序。而金融风险管理流程概括而言，都可以分为4个步骤：风险识别/分析风险计量/评估风险监测/报告风险控制/缓释。

　　风险识别是银行结合自身发展战略、经营情况和风险变化趋势，识别出可能影响其战略目标实施或经营活动产生的潜在事项的过程，其目的在于帮助银行了解自身面临的风险及风险的严重程度，为下一步风险计量和防控打好基础。风险识别包括感知风险和分析风险两个环节：感知风险是通过系统化的方法发现商业银行所面临的风险种类和性质；分析风险是深入理解各类风险的成因、变化及传导规律。

　　制作风险清单是商业银行识别风险和分析风险的最基本、最常用方法。尽管各类风险之间会相互传导，但仍需要厘清各类风险最基本特征，根据9大风险分类，将商业银行所面临的风险一一列举，并联系经营活动对这些风险进行深入理解与分析。此外，还有一些基于会计的资产财务状况分析法、失误树分析法、分解分析法等作为风险识别与分析的补充方法。

　　风险计量则是在风险识别的基础上，对风险发生的可能性、风险将导致的后果及严重程度进行充分的分析和评估，从而确定风险水平的过程。风险计量/评估是全面风险管理、资本监管和经济资本配置得以有效实施的重要基础。商业银行能够有效运用计量模型来正确评价自身的风险-收益水平，被认为是商业银行长期发展的一项核心竞争优势。

　　当然天博集团，准确的风险计量结果一定是建立在卓越的风险模型基础上，而开发一系列准确并能够在未来一段时间满足银行风险管理需要的数量模型，任务相当艰巨。开发风险管理模型的难度并不在于所应用的数理知识多么深奥，关键是模型开发所需要的数据源是否具有高度的真实性、准确性和充足性。另外，并非所有的风险都可以量化，对难以量化的风险，比如声誉风险、信息科技风险则应当建立另外一套风险识别、评估、控制和报告机制，确保相关风险得到有效管理。

　　监测各种风险水平的变化和发展趋势，在风险进一步恶化之前提交相关部门，以便其密切关注并采取适当的控制措施，确保风险在银行设定的目标范围之内，是银行风险管理的基本功。风险监测本身是一个动态、连续的过程，不但需要跟踪识别风险的发展变化情况、风险产生的条件和导致的结果变化，还应当根据风险的变化情况及时调整风险应对计划，并对已发生的风险及其产生的遗留风险和次生风险进行识别和分析。

　　风险报告则是商业银行实施全面风险管理的媒介，贯穿于整个风险管理流程和各个层面，风险报告将风险信息传递到银行内部部门和分支机构，使其了解商业银行客体风险和商业银行风险管理状况的工具。曹国岭副所长认为，一份可信度高的风险报告能够为管理层提供全面、及时和精准的信息，辅助管理决策，并未监控日常经营活动和合理的绩效考评提供有效支持。

　　针对已经识别和计量的风险，采取分散、对冲、转移、规避和不长等策略控制风险，以及合格的风险缓释工具进行有效管理则是银行风险控制的过程。风险控制分为事前控制和事后控制。常见的事前控制方法包括限额管理、风险定价和制定相应应急预案并定期开展压力测试。而常见的事后控制则包括风险缓释和风险转移，风险资本重新分配和提高风险资本水平。