中级银行从业风险管理教材要点：第二章风险管理体系_第2页

　　国际先进银行的限额管理

　　风险限额主要包括：集中度限额、VaR限额和止损限额三种。

　　集中度限额直接设定于单个敞口的规模上限，目的是保持投资组合的多样性，避免风险过度集中;

　　VaR限额是对业务敞口的风险价值进行限制，科学，但高度依赖模型和数据，国内很难达到建模要求;

　　止损限额以实际损失而非可能损失为检测对象，是集中度限额和VaR限额的重要补充，主要用于控制市场风险，多采取“盯市”方式。

　　2.4风险政策及管理流程

　　2.4.1风险政策，是一系列的风险管理制度规定，目的是确保银行的风险识别、计量、缓释和监控能力与银行的规模、复杂性及风险状况相匹配。

　　2.4.2风险管理流程 风险管理流程可以概括为：风险识别、风险计量、风险监测和风险控制四个主要步骤。

　　风险识别/分析是对影响各类目标实现的潜在事项或因素予以全面识别，进行系统分类并查找出风险原因的过程，其目的在于帮助银行了解自身面临的风险及风险的严重程度，为下一步计量和防控打好基础。

　　风险识别包括感知风险和分析风险两个环节。

　　风险计量/评估是在风险识别的基础上，对风险发生的可能性、风险将导致的后果及严重程度进行充分的分析和评估，从而确定风险水平的过程。

　　风险监测/报告包含风险管理的两项重要内容：一是监测各风险水平变化和发展趋势，在风险进一步恶化之前提交相关部门，以便其密切关注并采取恰当的控制措施，确保风险在银行设定的目标范围内;二是报告商业银行所有风险的定性/定量评估结果，并随时关注所采取的风险管理/控制措施的实施质量/效果。

　　风险报告要具有准确性、综合性、清晰度和可用性，并满足报告频率和分发的要求。

　　风险控制/缓释，风险控制与缓释流程应当符合以下要求：一是风险控制/缓释策略应与银行的整体战略目标保持一致;二是所采取的具体控制措施与缓释工具符合成本/收益要求;三是能够发现风险管理中存在的问题，并重新完善风险管理程序。

　　常用的事前控制方法有：限额管理、风险定价和制定应急预案等。

　　常用的风险事后控制方法有：风险缓释或风险转移;风险资本的重新分配;提高风险资本水平。

　　质量保证和控制机制是风险管理流程正确和有效运转的重要保障。

　　2.5风险数据与IT系统

　　2.5.1风险数据

　　风险数据包括内部数据和外部数据，内部数据是从各个业务系统中抽取的、与风险管理相关的数据信息，外部数据是通过专业数据供应商所获得的数据。

　　《数据质量良好标准》分为制度体系、数据标准体系、系统体系、考核评价体系和监督检查体系五大方面，共15项原则，61条标准。

　　巴《有效风险数据加总和风险报告原则》，风险数据加总是按照银行的风险报告要求，定义、收集和处理风险数据，是银行能够衡量其风险容忍度/偏好下的业绩表现。14项原则，主要包括数据治理和IT基础设施，风险数据的准确性、完整性、及时性和灵活性，风险报告以及对监管部门的要求。

　　《通用数据模板》要求按周、月、季、年等他不同频率提供金融机构之间或金融机构对整个市场的信用暴露和融资数据，这些数据主要是解决下列风险识别和应对中出现的问题：集中度风险、市场风险、融资风险、传染/溢出风险。

　　数据缺失、支离破碎、不完整成为妨碍监管部门制定对应政策的障碍

　　2.5.2风险IT系统 风险管理信息系统应当：

　　1.针对风险管理组织体系、部门职能、岗位职责等，设置不同的登陆级别;

　　2.为每个系统用户设置独特的识别标志，并定期更换登陆密码或磁卡;

　　3.对每次系统登录或使用提供详细记录，以便为意外事件提供证据;

　　4.设置严格的网络安全/加密系统，防止外部非法入侵;

　　5.随时进行数据信息备份和存档，定期进行监测并形成文件记录;

　　6.设置灾难恢复及应急操作程序;

　　7.建立错误承受程序，以便发生技术困难时，仍然可以在一定时间内保持系统的完整性。

　　2.6内部控制与内部审计

　　内部控制侧重于建立控制机制，内部审计侧重于重评估发现缺陷。

　　2.6.1内部控制定义

　　COSO定义：内部控制是由董事会、管理层和其他员工实施的、旨在为经营的有效性和效率、财务报告的可靠性、法律法规的遵循性等目标的实现提供合理保证的过程。目标包括以下三类：

　　第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性;

　　第二类目标关于编制可靠的公开发布的财务报表，包括中期和简要的财务报表及精选的财务数据;

　　第三类目标涉及对于企业所适用的法律及法规的遵循。

　　为实现上述目标银行应建立包括控制环境、风险评估、控制活动、信息与沟通、监控五个要素的内部控制体系。

　　巴赛尔定义：内部控制目标概括为三个方面：效率与效益，财务与管理信息的可靠性、完整性和及时性，遵守法律及管理条例的情况。同时指出内部控制包括五大相互联系的因素：管理性监管与内部控制文化、风险认定与评估、控制措施与职责分工、信息与交流、监督行为与修正缺陷。