中级银行从业-风险管理教材要点

第一章风险管理基础
2007年美国次贷危机带来的教训：一是与实体经济脱节的金融创新潜藏着巨大的风险；二是资产价格泡沫破裂使银行资产负债表短时间内严重受损；三是信息披露制度的不完善助推了危机的形成和扩大；四是全球经济金融一体化进程的加快为金融危机向全球扩散创造了条件。

各国金融监管存在的问题：一是金融监管标准过于宽松；二是金融监管制度建设未及时跟进金融创新的步伐；三是监管标准不一致导致监管套利。

1.1风险管理的基本概念
1.1.1风险、收益与损失
金融风险可能造成的损失分为：预期损失、非预期损失、灾难性损失。

预期损失指商业银行业务发展中基于历史数据分析可以预见到的损失，通常为一定历史时期内损失的平均值（有时也采用中间值）；
非预期损失指利用统计分析方法（在一定置信区间和持有期内）计算出的对预期损失的偏离，是商业银行难以预见的较大损失；
灾难性损失指超出非预期损失之外的可能威胁到商业银行安全性和流动性的重大损失。

应对和吸收预期损失一提取损失准备金和冲减利润；非预期损失一资本金；
灾难性损失一购买商业保险、限制业务。

1.1.2商业银行风险管理的主要策略
风险分散（非系统风险）、风险对冲（管理市场风险一自我对冲与市场对冲）、风险转移（保险转移、
非保险转移）、风险规避（消极）、风险补偿（价格补偿）
1.1.2商业银行风险的主要类别
八类：信用风险、市场风险、操作风险、流动性风险、国别风险、声誉风险、法律风险、战略风险。

信用风险观察数据少不易获取，具有明显的非系统性风险特征；
市场风险数据充分易于计量，适于采用量化技术加以控制，具有明显的系统性风险特征；
操作风险具有普遍性和非营利性，不能给商业银行带来盈利；
流动性风险最具破坏力，其管理水平体现了商业银行的整体经营管理水平；
声誉风险是多维风险；
法律风险是一种特殊类型的操作风险；与法律风险密切相关的还有违规风险和监管风险
八大类风险之外，巴又提出了交易对手信用风险、集中度风险、银行账户利率风险等
1.2商业银行风险管理的发展
1.2.1风险管理与商业银行经营
风险管理与商业银行经营的关系主要体现在以下几个方面：一是承担和管理风险既是商业银行的基本职能，也是其业务发展的原动力；二是风险管理改变了商业银行的经营模式；三是风险管理能够为商业银行风险定价提供依据，并有效管理金融资产和业务组合；四是健全的风险管理体系能为商业银行创造价值；
五是风险管理水平体现了商业银行的核心竞争力。

1.2.2商业银行风险管理的发展阶段（四个）
资产风险管理模式阶段（60年代以前）一负债风险管理模式阶段（60年代）一资产负债风险管理模
式阶段（70年代）一全面风险管理模式阶段（80年代以后）。

哈瑞•马柯维茨与20世纪50年代提出的不确定条件下的投资组合理论，成为现代风险管理理论的重要基石；
威廉•夏普在1964年提出的资本资产定价模型（CAPM）,揭示了在一定条件下资产的风险溢价、系统性风险的非系统性风险的定量关系，为现代风险管理提供了重要的理论基础；
1973年，费雪•布莱克、麦隆•斯科尔斯、罗伯特•默顿提出的欧式期权定价模型，为金融衍生产品定价及广泛应用铺平了道路，开辟了风险管理的全新领域。

1.3商业银行风险管理与资本管理
1.3.1资本的定义和作用
从保护存款人利益和增强银行体系安全性的角度出发，资本的核心功能是吸收损失。

资本的作用：资本为商业银行提供融资；吸收和消化损失；限制业务过度扩张和承担风险，增强银行系统的稳定性；维持市场信心；为风险管理提供最根本的驱动力。

商业银行资本主要有账面资本（静态反映资本金）、经济资本（又称风险资本）和监管资本。

1.3.2监管资本的构成：一级资本（核心一级资本、其他一级资本）和二级资本
1.3.3最低资本充足率要求：四个层次监管资本要求：
1•最低资本要求：核心一级资本充足率（5%）、一级资本充足率（6%）、资本充足率（8%）;
2•储备资本要求（2.5%）和逆周期资本（0-2.5%）要求；
3•系统重要性银行附加资本要求（1%）；
4.针对特殊资产组合的特别要求和针对单家银行的特定资本要求，即第二支柱资本要求。

1.4风险管理常用的数理知识
1.4.1方差和标准差
1.4.2正态分布
正态分布具有如下重要性质：
1.关于x=u对称，在x=u处曲线最高，在x+/-d处各有一个拐点；
2.若固定d，随u值不同，曲线位置不同，故也称u为位置参数；
3.若固定u，随d值不同，曲线肥瘦不同，故也称d为形状参数；
4.整个曲线下面积为1 ；
5.正太随机变量X落在距离均值1倍、2倍、2.5倍标准差范围内的概率分别为：68%、95%、99%。

1.4.3投资组合分散风险的原理
充分多样化的资产组合可以消除组合中不同资产的非系统性风险，但不能消除系统性风险。

第二章风险管理体系
2.1风险治理
2008年金融危机后，国际监管机构总结了金融机构公司治理存在的四个问题：一是董事会未有效履行
风险管理职责；二是风险治理能力薄弱；三是薪酬与激励机制不合理；四是组织结构过于复杂和不透明。

董事会（资本管理首要责任、风险管理最终责任）及其风险管理委员会一监事会（监督机构）一高级管理层（执行机构）一风险管理部门。

2.2风险偏好和风险文化
2.2.1风险偏好的定义
风险偏好是商业银行在追求实现战略目标的过程中，愿意且能够承担的风险类型和风险总量。

金融稳定理事会《有效风险偏好框架制定原则》，主要内容包括风险偏好框架、风险偏好声明关键因
素、风险限额、内部管理角色和职责四个主要部分。

2.2.2风险偏好管理框架和风险偏好声明
风险偏好框架是确定、沟通和监控风险偏好的总体方法，包括政策、流程、控制环节和制度
国内银行一般通过风险偏好制度来明确风险偏好的制定、实施、监控、调整等环节的政策、流程。

风险偏好声明是金融机构愿意接受或避免的风险总体水平和风险类型的书面说明，包括定性说明以及有关盈利、资本、风险措施和流动性的定量措施，还需阐明难以量化的风险。

国内银行一般通过风险偏好表来阐明能够接受的定量风险水平和定性的描述。

有效的风险偏好声明应满足以下原则：（1）包括银行在制定战略和业务规划时所使用的关键背景信息
和假设；（2）与银行长短期战略规划、资本规划、财务规划、薪酬机制相关联；（3）考虑客户的利益和对
股东的受托义务、资本及其他监管要求，在完成战略目标和业务计划时，确定银行愿意接受的风险总量；
（4）基于总体风险偏好、风险能力、风险轮廓，应为每类实质性风险和总体风险确定能够接受的最高风险水平；（5）包括定量指标；（6）包括定性的陈述；（7）具有前瞻性。

2.2.3制定风险偏好过程中需要考虑的因素
1•风险偏好与利益相关人的期望；2•银行需要考虑该行愿意承担的风险，以及承担风险的能力；
3•监管要求；4•充分考虑压力测试（是风险偏好指标的描述、制定、监测）。

2.2.4风险偏好的维度、指标和体现方式
风险偏好的维度包括：（1）资本类，包括一级资本、监管资本和经济资本等指标；（2）收益类，包括
相应置信水平下的经济资本、收益的波动水平等；（3）特定风险类指标，包括定量和定性（包括零容忍）
的指标。

选取风险偏好指标的原则是兼顾全面性和重要性，突出先进性和原则性。

2.2.5风险文化风险文化是银行在经营管理活动中逐步形成的风险管理理念、哲学和价值观，通过商业银
行的风险管理战略、风险管理制度以及广大员工的风险管理行为表现出来的一种企业文化。

除了风险治理和风险偏好外，风险承担机制和薪酬激励机制是风险文化的两个重要内容。

风险承担机制的元素包括：谁产生了风险、升级程序、明确的后果。

2.3风险限额限额管理是最常用的风险事前控制手段
2.3.1风险限额管理的一般原则
一些基本的限额管理原则包括：限额种类要覆盖风险偏好范围内的各类风险；限额指标通常包括盈利、
资本、流动性或其他相关指标（如增长率、波动率）；强调集中度风险；参考最佳市场实践，但不以同业
标准或以监管要求作为限额标准等。

2.3.2风险限额的种类
按照约束的风险类型，限额主要分为：信用风险限额、市场风险限额、操作风险限额、国别风险限额。

信用风险限额：单一客户贷款集中度、单一集团客户授信集中度、行业限额；
市场风险限额：交易账户VaR限额、产品和组合敞口限额、敏感度限额、止损限额；
操作风险限额：操作风险损失率、监管处罚率、千人重大操作风险事发率、千人发案率、案件风险率、操作风险事件败诉率、信息系统主要业务时段可用率、操作风险经济资本率；
流动性风险限额：流动性比例、存贷比、流动性覆盖率、净稳定资金比例、流动性缺口率、核心负债依存度、单日现金错配限额、一个月累计现金错配限额、最大十家存款集中度、最大十家金融同业集中度。

国别风险限额：国别风险敞口。

2.3.3限额管理限额管理包括风险限额设定、风险限额监测、风险限额控制。

风险限额的设定分四个阶段：第一，全面风险计量，确定各类敞口的预期损失和非预期损失；第二，利用会计信息系统，对各业务敞口的收益和成本进行量化分析；第三，运用资产组合模型，对各业务敞口确定经济资本的增量和存量；第四，综合考虑监管部门的政策要求以及银行战略管理层的风险偏好，最终确定各业务敞口的风险限额。

2.4风险政策及管理流程
2.4.1风险政策，是一系列的风险管理制度规定，目的是确保银行的风险识别、计量、缓释和监控能力与银行的规模、复杂性及风险状况相匹配。

2.4.2风险管理流程风险管理流程可以概括为：风险识别、风险计量、风险监测和风险控制四个主要步骤。

风险识别/分析是对影响各类目标实现的潜在事项或因素予以全面识别，进行系统分类并查找出风险原因的过程，其目的在于帮助银行了解自身面临的风险及风险的严重程度，为下一步计量和防控打好基础。

风险识别包括感知风险和分析风险两个环节。

风险计量/评估是在风险识别的基础上，对风险发生的可能性、风险将导致的后果及严重程度进行充分的分析和评估，从而确定风险水平的过程。

风险监测/报告包含风险管理的两项重要内容：一是监测各风险水平变化和发展趋势，在风险进一步恶化之前提交相关部门，以便其密切关注并采取恰当的控制措施，确保风险在银行设定的目标范围内；二是报告商业银行所有风险的定性/定量评估结果，并随时关注所采取的风险管理/控制措施的实施质量/效果。

风险报告要具有准确性、综合性、清晰度和可用性，并满足报告频率和分发的要求。

风险控制/缓释，风险控制与缓释流程应当符合以下要求：一是风险控制/缓释策略应与银行的整体战
略目标保持一致；二是所采取的具体控制措施与缓释工具符合成本/收益要求；三是能够发现风险管理中存在的问题，并重新完善风险管理程序。

常用的事前控制方法有：限额管理、风险定价和制定应急预案等。

常用的风险事后控制方法有：风险缓释或风险转移；风险资本的重新分配；提高风险资本水平。

质量保证和控制机制是风险管理流程正确和有效运转的重要保障。

2.5风险数据与IT系统
2.5.1风险数据
风险数据包括内部数据和外部数据，内部数据是从各个业务系统中抽取的、与风险管理相关的数据信息，外部数据是通过专业数据供应商所获得的数据。

《数据质量良好标准》分为制度体系、数据标准体系、系统体系、考核评价体系和监督检查体系五大方面，共15项原则，61条标准。

巴《有效风险数据加总和风险报告原则》，风险数据加总是按照银行的风险报告要求，定义、收集和
处理风险数据，是银行能够衡量其风险容忍度/偏好下的业绩表现。

14项原则，主要包括数据治理和IT基
础设施，风险数据的准确性、完整性、及时性和灵活性，风险报告以及对监管部门的要求。

《通用数据模板》要求按周、月、季、年等他不同频率提供金融机构之间或金融机构对整个市场的信用暴露和融资数据，这些数据主要是解决下列风险识别和应对中出现的问题：集中度风险、市场风险、融
资风险、传染/溢出风险。

数据缺失、支离破碎、不完整成为妨碍监管部门制定对应政策的障碍
2.5.2风险IT系统风险管理信息系统应当：
1•针对风险管理组织体系、部门职能、岗位职责等，设置不同的登陆级别；
2•为每个系统用户设置独特的识别标志，并定期更换登陆密码或磁卡；
3•对每次系统登录或使用提供详细记录，以便为意外事件提供证据；
4•设置严格的网络安全/加密系统，防止外部非法入侵；
5.随时进行数据信息备份和存档，定期进行监测并形成文件记录；
6•设置灾难恢复及应急操作程序；
7•建立错误承受程序，以便发生技术困难时，仍然可以在一定时间内保持系统的完整性。

2.6内部控制与内部审计
内部控制侧重于建立控制机制，内部审计侧重于重评估发现缺陷。

2.6.1内部控制定义
COSO定义：内部控制是由董事会、管理层和其他员工实施的、旨在为经营的有效性和效率、财务报告的可靠性、法律法规的遵循性等目标的实现提供合理保证的过程。

目标包括以下三类：
第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性；
第二类目标关于编制可靠的公开发布的财务报表，包括中期和简要的财务报表及精选的财务数据；第三类目标涉及对于企业所适用的法律及法规的遵循。

为实现上述目标银行应建立包括控制环境、风险评估、控制活动、信息与沟通、监控五个要素的内部控制体系。

巴赛尔定义：内部控制目标概括为三个方面：效率与效益，财务与管理信息的可靠性、完整性和及时性，遵守法律及管理条例的情况。

同时指出内部控制包括五大相互联系的因素：管理性监管与内部控制文化、风险认定与评估、控制措施与职责分工、信息与交流、监督行为与修正缺陷。

银监会定义：银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

银行内控目标之一是保证商业银行风险管理的有效性。

2.6.2内部控制的五大要素
内部环境、风险评估、控制活动、内部监督、信息与沟通
内部环境处于五大要素之首；
风险评估包括：设置目标、风险识别、风险分析、风险应对；
控制活动：控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

内部监督主要包括监督活动、缺陷认定和责任追究；
信息与沟通主要包括：信息搜集、信息传递、信息共享和反舞弊机制。

2.6.3内部审计
独立性被看做审计职能的一种属性，客观性则是内部审计师的属性。

独立性指内部审计活动独立于他们所审查的活动之外；
客观性指一种公正的、不偏不倚的态度，是一种精神状态。

内部审计以企业的全部经营活动为审计对象，包括：公司治理、风险管理和内部控制。

内部审计在组织风险管理框架中发挥不可替代的作用：
第一，帮助组织识别、评价重要的风险暴露，促进风险管理和控制系统的改进；
第二，监控和评价组织风险管理系统的效果；
第三，评价与组织的治理、运营和信息系统有关的风险暴露；
第四，把在咨询业务中对风险的了解结合到发现和评价组织的重大风险暴露的过程中去。