001.风险治理架构

第02章风险管理体系
目录
2.1 风险治理架构
2.2 风险文化、偏好和限额
2.3 风险管理政策和流程
2.4 风险数据与IT系统
2.5 内部控制与内部审计
2.1 风险治理架构
风险治理是董事会、高级管理层、业务条线、风险管理部门之间在风险管理职责方面的监督和制衡机制。

风险治理是公司治理框架的一部分，董事会和管理层通过该框架建立并决定银行的战略和风险管理方法，制定并监控银行战略对应的风险偏好和风险限额，识别、计量、缓释、控制风险。

巴塞尔委员会、各国银行业监管机构均强调完善银行风险治理架构的重要性，并出台了一系列监管指引。

尤其是2008年国际金融危机后，国际监管机构总结了金融机构公司治理存在的四个问题：
一是董事会未有效履行风险管理职责；
二是风险治理能力薄弱；
三是薪酬和激励机制不合理；
四是组织架构过于复杂和不透明。

为解决上述问题，巴塞尔委员会2010年公布了第三版《加强银行公司治理的原则》。

为评估国际金融危机以来各国当局和银行业在风险治理领域取得的进展，金融稳定理事会（FSB）于2013年2月发表了《风险治理主题评估》。

评估发现金融机构和各国当局已经采取措施改善风险治理。

然而，各国当局和银行仍然需要更加努力地建立有效的风险治理框架，强化首席风险官的权力和独立性，加强评估银行风险治理和风险文化有效性的能力，提高与董事会及其风险和审计委员会互动的频率。

鉴于公司治理的持续发展，并考虑到金融稳定理事会同业评估建议，巴塞尔委员会决定重新审视2010年的治理指南，主要目标：
一是明确加强董事会的集体监督和风险治理责任；
二是强调风险治理的关键组成部分；
三是描述董事会、董事会风险委员会、高级管理层以及首席风险官和内部审计的具体职责；
四是加强银行的总体制衡，重点是董事会及董事会风险委员会在加强银行风险治理方面的关键作用。

2015年7月，巴塞尔委员会公布了第四版《银行公司治理原则》。

2016年9月，银监会印发《银行业金融机构全面风险管理指引》，对董事会及专业委员会、高管层、首席风险官、业务条线和风险管理部门的职责进行了明确，要求银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构，明确董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分工，建立多层次、相互衔接、有效制衡的运行机制。

2021年6月，银保监会印发了《银行保险机构公司治理准则》，首次将党的领导与公司治理有机融合的要求正式写入银行业保险业监管制度。

—、董事会及其风险管理委员会
在现代公司治理机制下，企业所有权与经营权的分离，董事会受托于公司股东，成为银行公司治理结构的重要组成部分。

董事会向股东大会负责，是商业银行的决策机构。

2016年9月，银监会印发的《银行业金融机构全面风险管理指引》规定，董事会应承担全面风险管理的最终责任。

2021年6月，银保监会印发的《银行保险机构公司治理准则》提出，董事会承担全面风险管理的最终责任。

2023 年11 月，国家金融监督管理总局印发的《商业银行资本管理办法》规定，商业银行董事会承担资本管理的最终责任，对其在银行风险管理和资本管理方面应履行的职责进行了详细规定。

概括来说，在风险管理方面，负责设定与银行发展战略和外部环境相适应的风险偏好，确保资本充分覆盖主要风险，持续关注银行的风险状况，充分了解风险计量、风险加总的主要假设和局限性等。

巴塞尔委员会发布的第四版《银行公司治理原则》，强调董事会对银行负有整体责任。

在风险文化方面，巴塞尔委员会强调董事会应加强“最高层的基调”，传达董事会的预期，即董事会不支持过度承担风险，所有员工有责任在已确定的风险偏好和风险限额范围内经营。

在设立风险委员会方面，巴塞尔委员会提出，董事会可以建立一些专业委员会。

《银行保险机构公司治理准则》规定，董事会应当根据法律法规、监管规定和公司情况，单独或合并设立专门委员会。

巴塞尔委员会认为，风险委员会是系统性重要银行的必备委员会。

二、监事会
《银行保险机构公司治理准则》规定，监事会对股东大会负责，监事会职权由公司章程根据法律法规、监管规定和公司情况明确规定。

监事会对股东大会负责，监事会职权由公司章程根据法律法规、监管规定和公司情况明确规定。

《银行保险机构公司治理准则》《银行业金融机构全面风险管理指引》《商业银行资本管理办法》等均对监事会职责进行了明确。

概括来说，监事会主要监督董事会、高级管理层履职尽责情况并向股东大会报告，对商业银行的财务活动、经营决策、风险管理和内部控制等进行监督检查并督促整改。

在风险管理领域，监事会应当加强与董事会及董事会审计委员会、风险管理委员会等相关专门委员会，高管层以及审计部门、风险管理部门的工作联系，全面了解商业银行的风险管理和内部控制状况，跟踪监督董事会和高级管理层为加强风险管理、完善内部控制所做的相关工作，检查和调研银行日常经营活动中是否存在违反既定风险管理政策和原则的行为。

监事会需要处理好与董事会、高级管理层之间的关系，加强相互的理解、沟通与协调，充分昕取对内部监督工作的要求、意见和建议，避免重复检查，不干预正常的经营管理活动，扩展对风险管理监督工作的深度和广度，更加客观、全面地对商业银行的风险管理能力和风险状况进行监督、评价。

三、高级管理层
（一）高级管理层
高级管理层向董事会负责，是商业银行的执行机构。

巴塞尔委员会2010年发布的第三版《银行公司治理的原则》提出：高管层应在董事会的指导下，确保银行业务活动与董事会审核通过的经营战略、风险偏好和各项政策相符。

具体而言，在风险管理方面，高管层负责组织实施经董事会审核通过的重大风险管理事项，以及在董事会授权范围内就有关风险管理事项进行决策，负责建设银行风险管理体系，组织开展各类风险管理活动，识别、计量、监测、控制或缓释银行的风险，向董事会就银行风险管理和风险承担水平进行报告并接受监督。

在巴塞尔委员会第四版《银行公司治理原则》中进一步强调，高级管理层的成员应对他们管理的人员和业务提供全面监督，并确保银行的业务符合董事会批准的经营战略、风险偏好和政策。

高级管理层应定期向董事会提供经营战略、风险战略/风险偏好的调整，银行的业缋和财务状况，违反风险限额或合规规定，内部控制失效等有关的充足信息。

（二）专业委员会
为提高高级管理层工作效率并更深入了解特定领域的风险，许多国家的商业银行在高管层层面设立了专业委员会。

由于风险管理对于商业银行的重要性，大部分银行，特别是大型银行和国际活跃银行，在高级管理层层面设立了风险管理相关委员会，对银行风险管理相关重要事项进行讨论、审议或决策。

在我国商业银行，高管层层面普遍设立负责对风险管理政策制度、风险管理和风险水平等进行审议的风险管理委员会，负责对信用风险进行审议的信用风险委员会，负责对市场风险进行审议的市场风险委员会，负责对操作风险进行审议的操作风险委员会，负责对流动性风险进行审议的资产负债委员会；在各分支机构层面，一般也会根据风险管理工作需要，设立风险管理相关委员会。

（三）首席风险官
随着银行对风险管理重要性程度认识的提高，一些国际大型银行开始在高管层层面设立首席风险官，具体负责组织实施银行风险管理工作。

《银行保险机构公司治理准则》指出，银行保险机构应当设立首席风险官或指定一名高级管理人员担任风险责任人。

巴塞尔委员会在第四版《银行公司治理原则》提出：大型、复杂且拥有国际业务的银行以及其他银行（基于风险状况和当地监管要求）应委任一名高级管理人员（首席风险官或同等职位），全面负责银行的风险管理职能。

在银行集团中，除了子公司层面的风险官之外，还应任命集团首席风险官。

首席风险官的主要职责是监督银行的风险管理职能的建立和实施，其中包括持续加强员工技能并强化必要的风险管理体系、政策、流程、定量模型和报告，确保银行的风险管理能力足够强大和有效，从而可以充分支持银行的战略目标及所有的风险承担活动。

对于首席风险官的角色，《银行业金融机构全面风险管理指引》明确规模较大或业务复杂的银行业金融机构应当设立风险总监（首席风险官），董事会应当将风险总监（首席风险官）纳入高级管理人员，风险总监（首席风险官）或其他牵头负责全面风险管理的高级管理人员应当保持充分的独立性，独立于操作和经营条线，可以直接向董事会报告全面风险管理情况。

四、风险管理部门
风险管理部门在高管层（首席风险官）的领导下，负责建设完善包括风险管理政策制度、工具方法、信息系统等在内的风险管理体系，组织开展各项风险管理工作，对银行承担的风险进行识别、计量、监测、控制、缓释以及风险敞口的报告，促进银行稳健经营、持续发展。

（一）三道防线
业务条线部门是第一道风险防线，其是风险的承担者，应负责持续识别、评估和报告风险敞口。

风险管理部门和合规部门是第二道风险防线。

风险管理部门负责监督和评估业务部门承担风险的业务活动。

合规部门负责定期监控银行对于法律、公司治理规则、监管规定、行为规范和政策的执行情况。

风险管理和合规管理部门均应独立于业务条线部门。

内部审计是第三道风险防线。

内审部门对银行的风险治理框架的质量和有效性进行独立的审计。

（二）前、中、后台分离
与风险管理三道防线相呼应，前、中、后台分离体现了通过职责分工和流程安排形成的相互监督和制约的风险治理原则。

通常，
前台主要是市场营销部门，负责对公司类、机构类和个人类目标客户开展市场营销，推介金融服务方案；
中台主要是财务管理和风险管理部门，负责信用分析、贷款审核、风险评价控制等；
后台主要是人力资源管理、稽核监督、业务处理、信息技术等支持保障部门。

（三）独立的风险管理职能
风险管理部门应具有一定的独立性。

《银行保险机构公司治理准则》规定，银行保险机构应当设立独立的风险管理部门负责全面风险管理。

巴塞尔委员会在第四版《银行公司治理原则》指出：银行应设立有效的独立风险管理职能，由首席风险官领导，具有充足的权威性、独立性、资源。

独立的风险管理职能是银行第二道防线的重要组成部分。

在实践中，风险管理职能的独立性通过独立的报告职能得以体现，具体来说就是风险管理部门通过对各项业务和风险的监控、分析，以独立于业务部门的报告路线，直接向高管层和董事会报告业务的风险状况。

习题
【单项选择题】风险管理部门在（ ）的领导下，负责建设完善包括风险管理政策制度、工具方法、信息系统等在内的风险管理体系。

A．监事会B．高管层C．经营部门D．董事会
【答案】B
【解析】
风险管理部门在高管层（首席风险官）的领导下，负责建设完善包括风险管理政策制度、工具方法、信息系统等在内的风险管理体系，组织开展各项风险管理工作，对银行承担的风险进行识别、计量、监测、控制、缓释以及风险敞口的报告，促进银行稳健经营、持续发展。

【多项选择题】在商业银行风险管理“三道防线” 中，属于第二道防线的是（ ）。

A．风险管理部门B．监察稽核部门C．公司业务部门
D．合规部门E．内部审计部门
【答案】AD
【解析】
风险管理部门和合规部门是第二道风险防线。

风险管理部门负责监督和评估业务部门承担风险的业务活动。

合规部门负责定期监控银行对于法律、公司治理规则、监管规定、行为规范和政策的执行情况。

C 项属于第一道防线；B E两项属于第三道防线。