ParK's 論文后花園

对外经济贸易大学
硕士学位论文
Y 862080
论文题目：全面风险管理理念与
模式
——我国商业银行全面风险管理体系研究
主题词：全面风险管理框架全面风险管理体系商业银行
专业： 金融堂
研究方向： 垒融塑塑堂
研究生姓名昱垩昱
导师姓名： 刘亚
写作时间：2Q!!生!!月=!!!i生!月
论文提要
银行业是一个特殊的行业，其特殊性就在于银行是经营货币的金融企业，主
要利用社会的存款以及其他借款作为营运资金，自有资本占比较低，这一特点决
定了银行业是一个高风险行业。因此，自商业银行产生以来，风险就与之相随、
形影不离。一百多年来，商业银行在市场风险、信用风险、操作风险等风险的管
理研究和实践方面均取德了极大的进展。但1997年以后的数次金融危机，让银
行家和经济学家们认识到，现代金融危机的风险趋于多元化。这种风险多元化的
危机对金融体系和银行的破坏性是非常强的。针对此，全面风险管理理念出现了，
它将现代银行风险管理理论带入了一个新时代。
目前，我国银行仍没有建立起符合国际标准的风险管理体系，这严重制约了
我国商业银行的发展。在金融业全面开放的压力下，要想在国际金融市场上占有
一席之地，我国商业银行必须建立健全的风险管理体系，学习掌握先进的风险量
化技术和信息技术，培育先进的风险管理文化。
论文分为四个部分。第一部分是商业银行全面风险管理的发展历程。从20
世纪60年代起，商业银行风险管理理论经历了不断的发展，先后形成了资产风
险管理、负债风险管理、资产负债风险管理、资本充足率管理、内部控制框架以
及全面风险管理等理论。这部分着重阐述了《巴塞尔新资本协议》与COSO《全
面风险管理框架》对商业银行全面风险管理理论的推动。《巴塞尔新资本协议》
是商业银行全面风险管理理论发展的一个推动力。2004年6月发布的《巴塞尔
新资本协议》将信用风险、市场风险和操作风险纳入资本约束的范围，对商业银
行风险有着全面的涵盖；新资本协议对银行风险的识别、计量、控制等各环节均
提出了明确的要求；此外新资本协议提出的资本充足率、监管部门监督检查和市
场约束三大监管支柱体现了新资本协议对全面风险管理的宏观要求。因此，新资
本协议己蕴含了全面风险管理的理念。商业银行全面风险管理理论发展的另外一
个推动力是对金融机构内部控制理念和技术有着深刻影响的著名的COSO委员会
的《全面风险管理框架》，COSO委员会2003年7月颁布《全面风险管理框架》
以替代影响广泛的1992年的《内部控制统一框架》。《全面风险管理框架》中
定义“全面风险管理是一个过程，这个过程受组织的董事会、管理层和其他人员
影响，应用于战略制定、贯穿在整个组织之中。全面风险管理旨在识别影响组织
的潜在事件并管理风险，使之在企业的风险偏好之内，从而为组织目标的实现提
供合理的保证”。COSO的《全面风险管理框架》覆盖面是所有企业，并没专门
针对银行。第一部分通过对全面风险管理理论的分析，为我国商业银行建立全面
风险管理体系提供理论基础。
论文的篼二部分，首先对商业银行实施全面风险管理体系进行了成本收益分
析：商业银行通过全面风险管理赢得收益，同时，建立全面风险管理体系也会产
生很大的成本，这些成本影响着全面风险管理体系的构建过程，考验管理层的支
持力度和改变银行风险管理文化的决心。其次分析了我国商业银行建立全面风险
管理体系的内在动力是对外开放带来的竞争压力。最后分析了我国商业银行建立
全面风险管理体系的外在动因是国际活跃银行已有的先进的全面风险管理体系。
国际活跃银行的风险管理动向往往代表最先进的风险管理理论的发展动向，也为
我国商业银行的风险管理指明了发展方向，因而成为我国商业银行建立全面风险
管理体系的外在动因。这一部分还以美洲银行为例，分析美洲银行的风险管理文
化、风险管理流程、组织结构及其三层防御体系，希望能为我国商业银行实施全
面风险管理提供参考和借鉴。论文第二部分论证了我国商业银行的实施全面风险
管理的必要性和紧迫性。
全面风险管理包括八个要素，即内部环境、目标设定、风险识别、风险评估、
风险对策、内部控制活动、信息和交流、监控， 这几个要素来自管理层经营企
业的方式，．并和管理流程整合在一起。确定全面风险管理是否有效，主要判断八
要素是否存在，是否有效运作。因而论文三、四部分按照全面风险管理八要素的
顺序分析了我国商业银行风险管理中存在的主要问题，提出了我国商业银行实施
全面风险管理的对策和措施。
总之，本文认为我国商业银行应当借鉴国外先进的风险管理理论和方法，明
确风险管理的方向和原则，采取有效的对策和措施建立全面风险管理体系，提高
经营和管理风险的能力，保证持续稳定的发展。
Il
Abstract
The banking industry is special in that commercial banks are financiaI enterprises who
manage the currency and most of its capital is social savings．Therefore．it is a highly
risky jndustry．Commercial banks have never left from risks since it is conle into
being．Commercial banks play the roles of the borrower and lender．It helps to solve
the problem of information asymmetry between the borrower and the lender．It is
important for commercial banks to manage risks．Many commercial banks had made a
great progress in researching and practicing on risk management．The finance crises
arising after 1997 make many bankers and economists aware of that the risks
triggering the modem finance crisis is in variety．nle speculator speculated in several
markets at the same time，then credit risk and market risk are accumulated，the crisis
broke out．The crl‘sis CaB seriously destroy our financial system and slowed down our
economy．Enterprise—Wide Risk Management fERM)appears which leads the modem
banking risk management into a new era．The core idea of ERM is the overalI
management of risks in all-leveI business sectors of an entity．Nowadays，We still do
not have any Risk Management System comply with international standard．It had
seriously restricted the development of our commercial banks and brought a hidden
danger to our national economy．
under the pressure of general opening policy in Chinese finance market，ifwe want to
develop in intemational finance market，the commercial banks of ourCountry must set
up and focus on the risk-management system and Icam to grasp advanced risk
measuring technology and information technology,cultivate advanced risk
management culture，create good environment condition．The first part of the thesis
discusses about the geneml enterprise risk management theory of the commercial
bank．By analyzing“The New Capital Agreement of Basel”and(Enterprise Risk
Management—Into：掣ated Framework)，provides theoretical foundation for the
commercial banks in our country and implements enterprise risk management．
ThrouIgh analyzing the risk management of western commercial banks and the
break-even analysis of enterprise risk management，the second part demonstrates the
necessity and urgency for our commercial banks to implement enterprise risk
management．The third part and the fourth part of the thesis analyses the main
problem that exist in the risk management of ourcommercial banks and expounds the
countermeasures and measures for the our commercial banks to carry out enterprise
risk management．
In a word，the thesis insist on that our commercial banks should leam from foreign
advanced risk management theory and methods jn a few years after our entry into the
WTO，define the direction and principle of risk management，and take effective
countermeasures and measure to implement enterprise risk management，In order to
improve the ability that our Commercial banks function and control the risks，and to
keep the continual and steady development of state．owned commercial banks of our
Country．
“I
全面风险管理——理念与模式
引言
(一)选题的背景与目的
全面风险管理是现代风险管理的最新发展，始于90年代中后期，其主要原
因是会融机构面I临的风险因素多样化和人们对于风险因素更加全面的认识，尤其
是对于操作风险因素的认识。在过去的20年中，从墨西哥金融危机、亚洲金融
危机、拉美部分国家出现的金融动荡等系统性事件，到巴林银行、爱尔兰联合银
行、长期资本基金倒闭等个体事件，都昭示着损失不再是由单一风险造成，而是
由信用风险、市场风险和操作风险等多种风险因素交织作用而成的。人们意识到
一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减
少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险
组合的观点，从贯穿整个企业的角度看风险。《巴塞尔新资本协议》形成了全面
风险管理发展的一个推动力，《巴塞尔新资本协议》将市场风险和操作风险纳入
资本约束的范围，提出了资本充足率、监管部门监督检查和市场纪律三大监管支
柱，蕴含了垒面风险管理的理念。全面风险管理发展的另外一个推动力是，对金
融机构内部控制理念和技术有着深刻影响的著名的COSO委员会的《全面风险管
理框架》。《全面风险管理框架》中定义“全面风险管理是一个过程，这个过程
受组织的董事会、管理层和其他人员影响，应用于战略制定、贯穿在整个组织之
中。全面风险管理旨在识别影响组织的潜在事件并管理风险，使之在企业的风险
偏好之内，从而为组织目标的实现提供合理的保证”。随着我国银行业对外开放
步伐的加大，外资银行大量涌入，同时我国商业银行也加快融入国际金融市场的
步伐。这给我国银行业带来了机会，也加大了竞争，如何把握和抓住机会，提高
竞争力，是我国商业银行在新形势下面临的重要课题。而风险管理水平是商业银
行管理的核心竞争力的重要要素。因而建立全面风险管理体系，提高风险管理水
平，是我国商业银行的内在要求和动力的结果。
论文试图结合全面风险管理理论和方法，借鉴国际活跃银行的先进经验，提
出适合我国商业银行实际情况的全面风险管理方法和对策。
(二)国内外的主要研究动态
由于关于我国商业银行风险管理的研究课题具有较强的理论意义和现实意
义，国内外的学术界和金融界都极为重视。许多研究人员纷纷发表有关文章，对
我国商业银行面临的各种风险以及风险管理中存在的问题进行研究，并提出了许
多提高风险管理水平的方法。综合国内外在相关课题上的研究，目前主要的研究
动态如下：
全面风险管理——理念与模式
一是对《巴塞尔协议》和《巴塞尔新资本协议》进行了深入的研究。研究者
大都认为随着商业银行面I临越来越大的风险，世界各国大都采取严格的立法和监
管来约束商业银行的经营，促使其提高防范和化解风险的能力；商业银行自身为
了能够实现稳健经营，也在不断的改进和提高自身管理风险的能力。因此，商业
银行风险管理的理论也得到了很大的发展，1988年出台的《巴塞尔协议》标志
着风险管理理论达到了～个新高度，进入了资本充足率风险管理理论阶段。丽从
2004年巴塞尔管理委员会推出的《巴塞尔新资本协议》，对商业银行的风险管
理提出了更高的要求，商业银行风险管理的理论得到了进一步深化。
二是对COSO委员会的《全面风险管理框架》和《内部控制统一框架》的研
究。研究者大都认为全面风险管理框架与内部控制框架既相互联系又有重要差
异。全面风险管理框架不是对内部控制框架的替代，而是对内部控制框架的发展，
涵盖了内部控制框架。
三是大多数研究者认为目前我国银行仍没有建立起符合国际标准的风险管
理体系，这严重制约了我国商业银行的发展，给我国的国民经济带来了隐患。在
中国金融业全面开放的压力下，要想在国际金融市场上占有一席之地，我国商业
银行必须建立健全的风险管理体系，学习掌握先进的风险量化技术和信息技术，
培育先进的风险管理文化。
四是许多研究者认为我国商业银行必须采用先进的风险管理理论和方法，还
应当借鉴西方商业银行的先进经验，并结合我国商业银行的特点，采取有效的措
施从根本上提高我国商业银行经营、管理风险的能力，为迎接即将到来的全球化
金融竞争做好准备。
以上的研究使人们更加认识了我国商业银行面临的各种风险，对提高我国商
业银行的风险管理能力有着重要的指导意义。但是，上述的研究成果往往只侧重
对某一类风险或某一种风险管理方法的研究，没有从理论到实践对我国商业银行
的全面风险管理进行深入研究。论文希望能够通过对以往研究成果的借鉴，结合
我国商业银行面幅的风险以及风险管理的特点，确定我国商业银行建立全面风险
管理体系的原则和方向，提出我国商业银行实施全面风险管理的对策与措施。
(三)研究方法
论文坚持从理论到实践的研究方法，从实际出发，以国际上先进的理论和经
验为指导，坚持历史和逻辑相统一的原则以及从抽象到具体的方法，并结合科学
的分析手段迸行分析。主要的研究方法中既有理论分析，也有实际分析；既有宏
观分析，也有微观分析：既有规范分析，还有实证分析。
2
全面风险管理——理念与模式
(四)论文的内容安排以及主要创新观点
论文分为四章，具体内容安排如下
第一章是商业银行全面风险管理的发展历程。首先介绍了从20世纪60年代
起，一百年来商业银行风险管理的发展历程，着重是阐述《巴塞尔新资本协议》
与COSO《全面风险管理框集》对商业银行全面风险管理理论的推动。通过刑全
面风险管理理论的分析，为我国商业银行的全面风险管理提供理论依据。第二章
是我国商业银行实行全面风险管理的必要性分析。首先，对商业银行实施全面风
险管理体系进行了成本收益分析：其次，分析了我国商业银行建立全面风险管理
体系的内在动力是对外开放带来的竞争压力；最后分析了我国商业银行建立全面
风险管理体系的外在动因是国际活跃银行的先进的全面风险管理体制，并以美洲
银行为例进进行了全面风险管理的实例分析，为我国商业银行实施全面风险管理
提供了参考和借鉴。第三、四章按照全面风险管理八要素分析了我国商业银行风
险管理中存在的主要问题，提出了我国商业银行实施全面风险管理的对策和措
施。
。论文的特点是：论文综合借鉴了COSO报告和《巴塞尔新资本协议》中的全
面风险管理理念；通过分析商业银行实施全面风险管理体系的成本收益和我国建
立全面风险管理体系的内外动因三方面确认我国实旌全面风险管理的必要性；总
结提炼了大量国际先进银行在风险管理理念、风险管理组织结构、风险评估技术、
风险处置对策以及内部控制等方面的经验；根据全面风险管理框架的八要素的每
一个要素针对我国商业银行提出了详尽的改进措旌，并设计出我国商业银行建立
全面风险管理架构的蓝图。
全面风险管理——理念与模式
一、商业银行风险管理的发展历程
(一)商业银行风险管理的发展轨迹
商业银行风险管理的理论历史悠久，早期商业银行的风险管理理论主要偏重
于存、贷款业务风险管理理论，而随着其经营环境的变化，商业银行风险管理理
论经历了不断的发展，先后形成了资产风险管理、负债风险管理、资产负债风险
管理、资本充足率管理、内部控制框架以及全面风险管理等理论。
1、资产风险管理
20世纪60年代以前，商业银行的风险管理主要偏重于资产业务的风险管理，
强调保持银行资产的流动性，这主要是与当时商业银行业务以资产业务为主有
关。在当时，商业银行经营中最直接、经常性的风险来自于资产业务，商业银行
如果出现大额的信贷损失往往会导致资金周转困难甚至停业倒闭。因此，在商业
银行发展早期的很长一段时间内，商业银行都非常重视对资产业务的风险管理。
2、负债风险管理
20世纪60年代以后，商业银行经营从被动负债方式向主动负债方式的转变，
负债规模扩大，商业银行业务变成以负债业务为主。商业银行利用发达的金融市
场扩大资金来源，使用许多如大额存单、回购协议等创新金融工具，这极大地加
剧了银行经营的不确定性。在这种背景下，风险管理的重点转向负债风险管理。
3、资产负债风险管理
20世纪70年代末，布雷顿森林体系崩溃，汇率、利率波动性急剧上升，市
场竞争日趋激烈，单一的资产风险管理模式和单一的负债风险管理模式都不能保
证银行安全性、流动性和盈利性的均衡。于是，风险管理发展到资产负债风险管
理阶段，资产负债风险管理兼顾了银行的资产与负债结构，强调资产与负债两者
之间的规模与期限搭配协调，强调对资产业务、负债业务风险的协调管理，在利
率波动的情况下实现利润最大化。
4、资本充足率管理
20世纪80年代后期，随着国际金融业竞争的加剧、存贷款利差的变窄，
银行业竞争加剧，大量储蓄和贷款机构倒闭。市场环境的变化显现出原有的资产
负债风险管理理论存在的局限性。银行变得不仅关心资产回报率，更关心权益回
全面风险管理——理念与模式
报率，风险管理开始强调资本充足率为目标，结果产生了1988年《巴塞尔资木
协议》，国际银行业开始了资本充足性管理的理论和实践。该协议对加强银行资
本充足率，保护银行安全起到了巨大作用。
5、内部控制框架
内部控制的概念是在实践中逐步产生、发展和完善起来的。早在上世纪70
年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制
问题给以高度重视。1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同
赞助成立了全国舞弊性财务报告委员会，即tread--way委员会，Tread--way委
员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健
全的问题，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread--way
委员会的赞助机构成立了私人性质的COS01。COSO成立后，一是建议公司管理层
在披露财务报表时，提交一份关于内控系统的报告：二是建议外部独立审计师对
管理者内控报告提出审计报告。内部控制审计的职业标准逐渐成形。而且，这些
标准逐渐得到了监管者和立法者的认可。1992年，COSO公布了《内部控制统一
框架》，将内部控制定义为一个过程，过程的目的是为了合理确保取得经营的效
果和效率、财务报告的可靠性、对相关法律和法规的遵守，同时提出内部控制包
括控制环境、风险评估、控制活动、信息与交流和监督评审五个相互联系的要素。
COSO报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框
架，得到了广泛的认可，成为迄今最权威的内部控制定义。COSO的《内部控制
统一框架》覆盖面是所有企业，并没专门针对银行业，1998年巴塞尔银行监管
委员会以《内部控制统一框架》为基础针对银行经营活动的特殊性制定《银行机
构内部控制制度框架》，根据该框架，银行内控制度的内涵应该包括三大目标和
六大要素。
表卜l列出了《银行机构内部控制制度框架》与COSO《内部控制统一框架》
的比较。
。COSO(Committee of Sponsoring Organizations of the Treadway Commission)，其组成人士包括1美
国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。
5
全面风险管理——理念与模式
表1-1《银行机构内部控制制度框架》与COSO《内部控制统一框架》的比较
COSO《内部控制统一框架》《银行机构J=^!I部控制制度框架》
内控制经营目标：经营的效果和效率操作目标：各种活动的效果与效率
度的目报告目标：财务报告的可靠性信息目标：财务和管理目标的可靠性
标监管目标：对相关法律和法规的遵守监管目标：遵守现行的法律与规章制度
内控制控制环境管理层的督促与控制文化
度的要风险评估风险的识别与评估
素控制活动控制活动与职责分离
信息与交流信息与沟通
监督评审银行内部监督评审活动与缺陷纠正
监管当局对内控的检查和评价
从比较可以看出， 《银行机构内部控制制度框架》结合银行业的具体情况，
丰富和发展了内控制度五大要素的内涵，并增加了监管当局对内控的检查和评
价，把它作为内控的不可忽视的内容。
6、全面风险管理框架
全面风险管理是现代风险管理的最新发展，主要始于90年代中后期，其主
要原因是金融机构面临的风险因素多样化和人们对于风险因素更加全面的认识。
在过去的20年中，从墨西哥金融危机、亚洲金融危机、拉美部分国家出现的金
融动荡等系统性事件，到巴林银行、爱尔兰联合银行、长期资本基金倒闭等个体
事件，都昭示着损失不再是由单一风险造成，而是由信用风险、市场风险和操作
风险等多种风险因素交织作用丽造成的。人们意识到一个企业内部不同部门或不
同业务的风险，有时相互叠加放大，有时相互抵消减少。因此，企业不能仅仅从
某项业务、某个部门的角度考虑风险，必须从贯穿整个企业的角度看风险。
《巴塞尔新资本协议》形成了商业银行全面风险管理理论发展的一个推动
力。2004年6月公布的《巴塞尔新资本协议》，将市场风险和操作风险纳入资
本约束的范围，提出了资本充足率、监管部门监督检查和市场纪律三大监管支柱，
新资本协议已蕴含了商业银行全面风险管理的理念。
商业银行全面风险管理理论发展的另外一个重要推动力是，对金融机构内部
控制理念和技术有着深刻影响的著名的COSO委员会的《全面风险管理框架》2。
COSO委员会2003年7月颁布《全面风险管理框架》以替代影响广泛的1992年
的《内部控制统一框架》。《全面风险管理框架》中定义“全面风险管理是一个
2‘全面风险管理框架》共分两卷，首卷包含“框架”和“内容提要”。“框架”定义全面风险管理，阐述
原则、概念，框架，为企业和其他类型组织的各层管理人员在评价和加强全面风险管理上提供指导。‘t内容
提要”主要供cEo、其他高层主管、董事会、监管人员作高层概览。第二卷是“应用技术”．为运用框架提
供实用的技术指南。《全面风险管理框架》建议采取的行动取决于参与方的职位和角色。
6
全面风险管理——理念与模式
过程，这个过程受组织的董事会、管理层和其他人员影响，应用于战略制定、贯
穿在整个组织之中。全面风险管理旨在识别影响组织的潜在事件并管理风险，使
之在企业的风险偏好之内，从而为组织目标的实现提供合理的保证”。《全面风
险管理框架》覆盖面是所有企业，并没专门针对银行。
(二)《巴塞尔新资本协议》与商业银行的全面风险管理
作为全面风险管理发展的一个推动力，《巴塞尔新资本协议》虽然没有明确
提出全面风险管理这一概念，但蕴含了其理念和主要内容。
《新协议》关于银行全面风险管理的理念，可以从三个方面来理解，一是新
协议对商业银行风险的全面涵盖，二是新协议对商业银行全面风险管理的微观要
求，三新协议对商业银行全面风险管理的宏观要求。
1．新协议对商业银行风险的全面涵盖
新资本协议将银行风险主要分为三类：信用风险、市场风险、操作风险，银
行各类业务的风险主要可以归结为以上云类风险。因而银行的全面风险可以理解
为由银行不同部门与不同风险类别组成的“银行业务x风险矩阵”中涵盖的各种
风险(见表卜2)。因此新协议对商业银行风险有着全面的涵盖
表I-2银行业务x风险矩阵3 ＼堡行公司业务机构业务零售业务投资业务支付业务代理、信托和风险性质＼ 资产管理
信用风险高高高低低低
市场风险低低低高低低
操作风险低低高低高高
2．新协议对商业银行全面风险管理的微观要求
新资本协议对全面风险管理的微观要求是指新资本协议规定了商业银行如
何全面管理“银行业务X风险矩阵”中各类风险。新资本协议对银行风险的识别、
计量、控制等各环节均提出了明确的要求。由于新资本协议中银行的微观全面风
险管理内容非常广泛和具体，有利于银行进行借鉴并建立全面风险管理体系。
3．新协议对商业银行全面风险管理的宏观要求
3银行业务x风睑矩阵是摩根银行，1988年推出的。这个矩阵中，横坐标指的是银行的业务类型，纵坐标是
指风险类型，某一个矩阵的元素可以清晰地显示出某一种银行业务和特定风险的相关性，这个x矩阵可
以让银行经营管理人员清楚地了解某一种业务处于风险高低状态。
全面风险管理——理念与模式
在1988年《巴塞尔资本协议》中，资本充足率监管是主要内容，要求监管
部门实施对银行的最低资本充足率的监管。面《巴塞尔新资本协议》全面继承了
1988年《巴塞尔协议》，继续延续以资本充足率为重点。第一支柱的主要内容
是资本充足率要求，资本充足率计算时要求考虑银行的全面风险。因此，新协议
的第一支柱——最低资本要求，是对银行全面风险状况的监管。新协议增加的第
二支柱——监管当局的监督检查，既是监督银行的资本金是否与风险匹配，更足
监督银行的资本金与其风险管理水平是否匹配，可见新协议是对银行全面风险管
理体系的监管。新协议的第三支柱——市场约束，对银行的公丌信息披露提出强
制性的规定和要求，如果说第二支柱是对银行全面风险进行的行业监管，那么市
场纪律则是银行全面风险进行的社会监管。因此，结合运用《新协议》的三大支
柱，就可以从宏观角度对银行进行全面的风险管理。
(三)全面风险管理框架对内部控制框架的发展
全面风险管理发展的另外一个重要推动力，是对金融机构内部控制理念和技
术有着深刻影响的著名的COSO委员会的《全面风险管理框架》。COSO委员会于
2003年7月颁布《全面风险管理框架》，替代影响广泛的1992年的《内部控制
统一框架》。
1、内部控制框架
1992年，美国著名的专业机构COSO公布了《内部控制统一框架》，并将内
部控制定义为：“内部控制是一个过程。对该过程产生影响的是一个单位的董事
会、管理层和其他人员；设计该过程的目的是为了确保取得经营的效果和效率、
财务报告的可靠性、对相关法律和法规的遵守”。根据此定义，COSO内部控制
整体框架由内部控制的目标和要素所构成。
(1) 内部控制的目标
内部控制包括三个目标：经营目标、报告目标和监管目标。
——经营目标是为组织经营活动的有效性而确定的，关注于组织在实现战略
目标过程中如何提高经营活动的效率。
——报告目标是指提供可信报告，为管理层提供了精确和全面的信息，支持
管理层决策的做出，并为经营活动的监控和正确合理的绩效考评提供有效支持。
可信的报告是管理层提供外部报告的前提。报告内容包括财务报表和脚注，调研
讨论和分析报告等。
全面风险管理——理念与模式
——监管目标是指组织管理自身的行为，并采取检查活动保证对相关法律法
规的遵守。一个组织的遵守法规的情况深远的影响着它在社会和市场中的声誉。
这三大目标满足不同的需要，又相互贯通。
(2) 内部控制的要素
内部控制包括五个要素：控制环境、风险评估、控制活动、信息交流和监控。
——控制环境是所有其他内控要素的基础，它奠定组织的文化和结构。
——风险评估是识别和测量那些妨碍实现经营管理目标的因素的活动，对风
险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标
和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实
现的变化的认识和各项政策与工作程序的调整。
——控制活动是为了合理地保证经营管理目标的实现，指导员工实施管理指
令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、
实物控制、确定指标、职责分离等。
——信息交流存在于所有经营管理活动中，使员工得以搜集和交换为开展经
营、从事管理和进行控制等活动所需要的信息。
——监控意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。
监测的实施途径可以是内部审计，也可以是内部控制自我评估。
以上三个目标和五个因素有机地相结合，构成了内部控制的完整体系。这个
体系适用于包括金融机构在内的所有法人实体。
1998年9月，巴塞尔委员会采用了COSO的框架发布《银行业组织内部控制
体系框架》，比较系统提出了银行内部控制的框架和“十三条原则”。我国银行
监管部门非常重视银行内部控制，不断采取措施加强对商业银行内部控制的评
估和监督。1997年5月，人民银行颁布了《加强金融机构内部控制的指导原则》，
对金融机构内部控制的原则与目标、基本内容与要求、管理与检查等方面，进行
了明确的指导性规定，成为我国金融机构内控建设的纲领姓文件。2002年9月，
中国人民银行以巴塞尔协议委员会的《银行业组织内部控制体系框架》为主要框
架，制定了适用于国内依法设立的各类金融机构的《商业银行内部控制指引》，
第一次系统提出银行内部控制的涵义、框架和具体要求。2004年10月，中国银
监会发布《商业银行内控评价试行办法》，对银行内控管理提出了明确要求，制
定了具体内控管理的考核标准。《内控指引》和《内控评价办法》在不同程度上
都借鉴了COSO内部控制整体控制的一些理念。
9
全面风险管理——理念与模式
2、全面风险管理框架的理念与模式
2003年7月，COSO完成了《Enterprise Risk Management—Integrated
Framework}(全面风险管理框架，草案)并公开向业界征求意见。《全面风险
管理框架》中定义“全面风险管理是一个过程，这个过程受组织的董事会、管理
层和其他人员影响，应用于战略制定、贯穿在整个组织之中。全而风险管】：!f!旨在
识别影响组织的潜在事件并管理风险，使之在企业的风险偏好之内，从而为组织
目标的实现提供合理的保证。”这个定义下得比较宽泛，可以运用于不同组织、
不同行业和不同领域。定义的重心直接落在特定组织目标的实现上，为评价全面
风险管理的有效性打下基础。
如图卜l所示全面风险管理框架有三个维度。
图l—l 全面风险管理三维框架4
(1) 第一维：风险管理目标
风险管理目标和组织的风险要求紧密联系，决定着组织经营活动中对风险的
容忍度。在管理层能够识别风险并且采取必要的行动以管理风险之前，必须要有
明确目标。目标有四类：战略目标、经营目标、报告目标和监管目标。
——战略目标，战略目标是组织最高层次目标，和组织的远景紧密关联。战
略目标关乎组织定位以及为股东创造价值的管理抉择；
——运营目标，涉及组织资源使用的有效性；
4摘自cosO的{Enterprise Risk Management—Integrated Framework》第五贞。
10
全面风险管理——理念与模式
——报告目标，涉及组织报告的可信性i
——监管目标，涉及组织对其适用的法律法规的遵守。
这种分类可以把重心放在全面风险管理的不同侧面，不同类型的目标互相重
叠，一种特定的目标可能会落入不止一个类别，不同类别的目标对应组织的不同
需要。这种分类可以分清对不同类别目标的不同期望，报告目标和骼管目标在纽
织的控制范围内，因此能够期望全面风险管理能为这些目标的实现提供合理的保
证，而战略目标和运营目标的实现受外部事件影响，不一定在组织的控制范围内，
因此，全面风险管理只能使管理层和负责监督的董事会能及时了解组织在朝战略
目标和运营目标实现的方向进展到了什么地步。
(2) 第二维：全面风险管理要素
全面风险管理包括八个方面的要素，即内部环境、目标设定、风险识别、风
险评估、风险对策、控制活动、信息和交流、监控， 这几个要素来自管理层经
营企业的方式，并和管理流程整合在一起。
图卜2 全面风险管理八要素关系图
——内部环境a管理部门建立一套关于风险的哲学，并且确定组织的风险偏
好。内部环境为组织人员正确看待风险及如何控制风险奠定了基础。任何组织的
核心都是组织的人员，内部环境包括他们的人品、性格以及在环境中的经营能力。
全面风险管理——理念与模式
他们是推动组织发展的内在动力，也是组织内一切事物赖以生存的基础。
——目标确定。只有先确定目标，管理部门才能确定可能影响目标实现的事
件。全面风险管理确保管理部门有一套确定目标的程序，并保证已确定的目标与
公司的任务相一致，而且符合组织的风险偏好。
——风险识别。事件的识别包括对组织内部和外部的因素识别，这些因素会
对潜在事件如何影响战略实施和目标实现产生作用。事件的识别也包括区别哪些
潜在事件代表风险，哪些代表机遇。
——风险评估。分析确定的风险，为如何应对风险打下基础。风险的评估是
以其固有风险和剩余风险为基础的，而且这种评估会考虑到风险发生的概率及其
产生的影响，一个潜在事件可能会产生一系列可能的结果。
——风险应对。在特定的战略和目标下，管理部门选择一种方法或_系列的
行动，使已确定的风险符合组织的风险偏好。风险应对对策包括避免风险、接受
风险、降低风险和分散风险。
——内部控制。制订和实施一套政策和程序，以确保管理部门选定的风险应
对对策能够有效地执行。
——信息和交流。信息在组织中的各个层面被需要，用来确认风险、评估风
险和应对风险。信息要以能够促使员工履行其职责为目的，恰当并适时地确认、
捕捉和交流。交流也必须在一个更广泛的意义上出现，自上而下地贯穿于整个组
织。
——监控。整个全面风险管理过程应该被监控，并在必要时做出修正。在这
种方式下，系统能积极地做出反映，并能随着条件的变化而变化。监控通过持续
的管理活动、独立评估二者的结合来完成。
图卜3是全面风险管理八要素的关系图。八个因素相互独立、相互联系又相
互制约，共同构成了全面风险管理这一有机体系。内部环境是全面风险管理的平
台，风险管理环境中的管理理念和风险偏好影响决定了风险管理目标的设定；风
险管理目标设定是风险识别、风险评估和风险对策的前提，具体风险管理战略和
流程都要符合风险管理政策的要求，实现风险管理的目标：风险识别、风险评估、
风险对策是风险管理的具体实施流程，是对风险管理目标的细化和执行；内部控
制活动是风险管理目标实现和风险管理流程有效运行的保障：风险信息交流是保
障银行全面实施风险管理的媒介；监控是对风险管理体系进行再控制和再完善．
以保持风险管理体系的科学性和适宜性。此外，全面风险管理不是严格的顺序流
程，不是得按顺序一步一步来，而是多方向的、不断重复的流程。确定组织的全
12
全面风险管理——理念与模式
面风险管理是否有效，主要判断八要素是否存在，是否有效运作，如果要素齐全
并正常运转，就不会有什么大的缺陷，也不会有什么风险超出组织的风险容忍度
之外。如果确定组织的全面风险管理各个目标都各自有效，董事会和管理层就可
以获得合理保证，了解组织的战略和营运目标的实现程度，确保组织的报告可靠，
组织活动遵循合适的法律法规。
(3) 第三维：企业的各个层级
企业的各个层级包括组织的高级管理层、各职能部门、各条业务线及下属各
子公司。组织里的每个人对全面风险管理都有责任。组织领导人负最终的责任并
且承担所有者的责任。其他管理人员支持全面风险管理的理念，促使组织在风险
偏好内经营，并在各自负责的领域负责把风险降低到相应的风险容忍度内。风险
主管、财务主管、内部审计及其他人员通常承担关键的支持性责任。组织的其他
人员负责按照制定的指令和协议执行全面风险管理。董事会对全面风险管理进行
监督，要知道并同意组织的风险偏好。至于组织的外部团体，如顾客、商业伙伴、
外部审计、监管者、。财务分析师，经常能提供一些有用的信息影响到全面风险管
理，但他们不是全面风险管理的一部分，而且他们也不对组织全面风险管理的有
效性负责。
全面风险管理框架三个维度的关系是，全面风险管理的八个要素都是为组织
的四个目标服务的；组织各个层级都要坚持同样的四个目标；每个层级都必须从
以上八个方面迸行风险管理。该框架适合各种类型的企业或机构的风险管理。
全面风险管理框架对内部控制框架的发展
我们可以看出，全面风险管理框架与内部控制框架既相互联系又有重要差
异。全面风险管理不是对内部控制的替代，而是对内部控制的发展，涵盖了内部
控制。
(1) 全面风险管理对内部控制框框架的继承
全面风险管理的定义采用了1992内部控制框架定义的模式，认为组织风险
管理与内部控制同样是一个程序，它不是静态的，而是处于不断的调整和变化之
中，以适应组织环境的变化。
(2) 全面风险管理的内涵大于内部控制
全面风险管理——理念与模式
从两者的框架结构看，全面风险管理的组织目标除了包括内部控制的三个目
标之外，还增加了战略目标，全面风险管理的八个要素除了包括内部控制的全部
五个要素之外，还增加了目标设定、风险识别和风险应对三个要素。由此可见，
全面风险管理的内涵要大于内部控制。
(3) 全面风险管理框架区分了风险和机会
源于组织内部与外部的事件都对实施组织的战略及实现组织的目标具有潜
在的影响。事件对组织既有潜在的负面影响，又有潜在的正面影响，有时甚至是
币负面影响的结合。在全面风险管理框架中，风险明确定义为“对组织的目标产
生负面影响的事件发生的可能性”。相应的，对组织有潜在正面影响的事件表现
为机会。内部控制框架没有区分风险和机会。
(4) 全面风险管理框架引入了一些新的概念和方法
全面风险管理框架引入了一些新的概念和方法，如风险偏好、风险容忍度、
压力测试、情景分析等，所以组织的风险管理可以在概率统计的基础上，合理确
保组织的发展战略与风险偏好相一致，从而帮助组织的董事会和高级管理层实现
风险管理的四个目标；而内部控制则由于没有引入这些风险概念和方法，仅能在
定性判断的基础上确保内控目标的实现。
——风险偏好是组织在追求价值过程中愿意接受的风险的程度。常常采取定
性分析法，将风险偏好分为高、中、低三个层次，或者采取定量分析法，反映和
平衡有关增长、回报与风险的目标。一家银行的风险偏好与它的战略密切关联，
对于不同的增长和回报目标都有许多不同战略可供选择，不同的战略将银行暴露
于不同的风险之中，每种都与不同的风险偏好相联系。用于战略设定的全面风险
管理，可辅助管理层选择一个与银行风险偏好相一致的战略。如果与战略相连的
风险与银行的风险偏好不一致，战略就应被修改。由于银行的风险偏好影响着银
行战略目标的设定，而银行战略又引导着资源分配，管理层应将风险偏好与资源
分配一起考虑，制定出为有效应对和监控风险必须建立的基础设施。
——风险容忍度是指与目标实现相关的、可接受的交数。风险容忍度可被度
量，并且度量同一部门中的相关吕标最合适。对于银行而言，风险容忍度是银行
可以容忍风险损失敞口相对于风险偏好管理目标的偏离程度。通过设定风险容忍
度，将风险容忍和风险偏好连在一起，在风险容忍范围之内经营，使管理部门妥
善把握相关目标的相对重要性，以确保实际结果在可接受的范围之内，保障银行
能够实现既定的风险偏好管理目标。
14
全面风险管理——理念与模式
——压力测试是市场风险计量的一种方法，目的是评估组织在极端4i利情况
下的亏损承受能力。商业银行应当使用银行监管当局规定的压力情景和根据本行
业务性质、市场环境设计的压力情景进行压力测试。
——情景分析是一种多因素分析方法，结合设定的各种可能情景的发生概
率，研究多种因素同时作用时可能产生的影响，是市场风险管理的方法，在情景
分析过程中要注意考虑各种头寸的相关关系和相互作用。
二、我国商业银行建立全面风险管理体系的必要性
(一)商业银行建立全面风险管理体系的收益与成本
1．建立全面风险管理体系的收益
商业银行的业务活动自始至终都存在着风险，同客户打交道有信用风险，在
市场上运作有价格风险，在内部管理中有操作风险与道德风险。即使实施了全面
风险管理也不会出现无风险的经营环境。商业银行通过管理存在于其核心业务中
的风险(如信用及市场风险)以及在追求核心业务中导致的相关风险(如操作风险)
而赢得收益，这种收益是不好量化的无形收益。
(1) 提高银行风险管理的主动性
全面风险管理体系促进银行风险管理的主动性。首先，实施全面风险管理体
系能使银行主动适应各种规范的要求，先于监管机构的监管，主动地、最大限度
地规避或管理风险。其次，全面风险管理体系可以使银行风险管理放眼于未来，
而不是被动地面对意外风险。
(2) 提高银行的声誉
实施全面风险管理体系能提高银行规范化管理水平，从而导致股东、银行监
管当局、内部员工和客户对银行更大的信任，使银行得到更好的市场声誉和股价
的攀升。此外，评估机构通过描述和监督一个金融机构的运营正常程度和市场信
誉来评价其管理水平及其风险管理能力。实施全面风险管理体系会得到更高的评
价。因此，真正到位的全面风险管理体系实施会导致银行机构的声誉的提升，赢
利能力的提高。
(3) 帮助银行建立和健全风险管理文化
全面风险管理——理念与模式
金融业发展的历史经验表明，一些金融机构之所以在风险管理一卜．出现问题甚
至常常失败，其原因并不是因为缺乏风险管理系统、政策及程序，而是因为落后
的企业文化尤其是风险管理文化不能使这些系统、政策、程序真正发挥出应有的
作用。全面风险管理不仅是一种管理组织和秩序、方法，而且是一一种需要普及和
推及的企业理念与企业文化。全面风险管理文化是融合现代商业银行经营思想、
风险管理理念、风险管理行为、风险道德标准与风险管理环境等要素于一体，是
商业银行企业文化的重要组成部分，它渗透到银行业务的各个环节。因而，在评
价实施全面风险管理体系的收益时，银行企业文化方面的改观可以被看作是所有
无形收益中最大的一部分。
(4) 使银行资本的结构和配置更加合理
首先，全面风险管理体系能较完善的评估银行资本需求量。全面风险管理体
系对银行的全部风险因素有更透彻的理解，从而对银行资本需求量做出较完善的
评估。
其次，全面风险管理体系能更合理地分配经济资本。只有建立在加强全面风
险管理能力的基础上，银行才能更清楚地剖析各业务单元的风险与赢利间的关
系，才能根据风险调整后资本收益率的高低及其波动性大小、风险偏好和容忍度，
在各业务单元之间进行动态的经济资本配置管理。
(5) 促使银行更好地识别风险
首先，通过实旌全面风险管理，银行会拥有更强的能力识别潜在的风险，评
估风险和建立应对措施，从而减少运作过程中意外事件的发生，降低相关损失。
其次，全面风险管理体系能更好的识别共同风险。每个银行都面临着大量风
险，这些风险影响着银行内不同部门。有些风险是某个部门单独的风险，但大多
数风险存在于多个部门，并且部门之间会相互影响。全面风险管理体系可以具体
分解到部门、客户、对应方、交易伙伴和交易层，可以整合银行原本分散在各部
门的资料，更好的识别风险。
(6) 使银行的风险测量更加准确有效
全面风险管理通过统一管理整个机构的风险，不但考虑了单一产品、单一
交易的风险，在此基础上考虑了整个机构风险分散化带来的好处，较传统风险管
理更加真实地反映了风险成本，增强了银行的定价能力，从而提高了市场竞争力。
从这层意义上讲，全面风险管理是商业银行核心竞争力的重要组成部分，商业银
全面风险管理——理念与摸式
行是否愿意承担风险，能否妥善管理风险，将决定商业银行的盈亏和生死。
(7) 使银行加强应对风险的决策
首先，全面风险管理体系使风险分板一体化。银行需要测量整体风险，但只
有在具有了全面风险管理体系以后，才有可能真正进行这种测量。对银行的各个
业务进行全面的风险管理，有助于确保分析结果互相一致，并且可以互相比较以
利于决策。全面风险管理体系有利于各级决策人员在决策时全盘考虑风险状况，
同时，帮助解决各业务单位分散的决策者之间合作、协调问题，并且在理论上可
以使各层次做出质量更高的风险管理决策，产，t更大的经济效益。
其次，全面风险管理体系能有效分散风险。现代分散理论(MPT)j能说明实施
全面风险管理体系的益处，在IdPT严密的分析方法中，将总赢利指标分散到若干
投资项目中可明显减少风险系数，并可实现类似或更高的回报。由于全面风险管
理体系众能使风险人员的视野超越于自身职责范围，能以联系的观点看待其它业
务环节的风险，这样就为分散风险的协调与整合分折打下良好的基础。此外，全
面风险管理体系可以以更低的成本及更高效简明的决策从风险分散中受益，且对
分散后风险的整合分析对单项业务的风险管理也有很大益处。
最后，全面风险管理体系可以为管理部门管理风险提供完整的解决方案。银
行经营过程存在许多固有的风险，银行管理部门应根据公司的战略和目标，在可
供选择的应对措施中识别和评估风险，并且开发一个影响深远意义的风险管理系
统，这个系统能为各类风险提供规避、转移风险的对策。
(8) 使银行改进产品和服务，更好地抓住业务机会
首先，全面风险管理体系改进产品和服务。全面风险管理体系可以使一线客
户经理和风险经理具备必备的信息，对其所提供的金融产品及服务的相关风险进
行评估。把风险成本计入产品价格，会使产品的赢利性会变得更好预测，而且对
整个银行各业务上存在的风险有了更好的理解，更有利于设计满足客户需求的金
融产品。因而，在对整个机构的风险进行整合分析后确定的金融产品价格能带来
更大的收益。
其次，全面风险管理体系对所有的潜在事项进行通盘考虑，区分风险和机会，
可使银行能更好的抓住机会、利用机会。
5 MPT(Modem PortfolioTheory)，这个理论的核心是解释组合投资的机制与效应，指出分散投资对象
能一定程度的规避风险。
17
全面风险管理——理念与模式
(9) 便于股东和投资者的投资决策
由于使用全面风险管理可以使银行可以更充分、精确地报告其风险头寸，向
股东及潜在投资人提供更好的风险信息，使股东以及投资者更加清晰，全面的了
解该银行的风险状况，从而使投资人做出更有根据的决策，也让人们更清楚的了
解银行风险敞口、资本配置及风险防范措施，有助于信息披露程度n0提高，便于
监督。
(10) 能增强金融系统的安全性，确保国民经济的稳定发展
商业银行是金融体系的主要组成部分，商业银行经营管理的好坏对整个社会
经济发展的作用非常大，如果商业银行出现经营管理不善甚至倒闭就会波及到其
他银行，影响公众对整个金融体系的信心，严重的还会造成金融危机，危及整个
社会经济的安全。因此，各国政府以及金融监管当局都非常重视商业银行的稳健
经营，强调金融系统的安全性，同时也要求商业银行通过实行严格的、全面的风
险管理来实现稳健经营。
2．建立全面风险管理体系的成本
计算全面风险管理体系的有形成本远比量化它的无形收益要容易，但是，就
像它的无形收益一样，实施它的组织也会产生很大的无形成本。无形成本和有形
成本一样影响银行实施全面风险管理体系的过程，因为它们都在考验管理层的支
持力度和改变银行风险管理文化的决心。
(I) 有形成本
——基础设施成本。实施一个全面风险管理体系项目的基础设施成本包括聘
用专业人员设计分析模型，信息技术的安装与集成成本，以及正常维持费用和人
员培训费用等。
——管理费用。全面风险管理体系运行过程中所需的费用。比如，风险管理
过程中所需专业人员(评估师、会计、顾问、律师等)的费用，用金融工具和金
融衍生工具对冲风险时的交易费用等。
(2) 无形成本
——磨合成本。将原风险管理体系转型为全面风险管理体系的磨合成本占据
了无形成本的大部分，由于银行机构实施改革进度及深度不同，磨合成本的大小
全面风险管理——理念与模式
也有很大不同。对于一些实施稆对集中的风险管理的银行，磨合成本会小一些a
但对于管理结构分散的银行来说，磨合成本会比较大。磨合成本可能来自于实施
进程与银行传统文化及原有的基础设施不相容，或者是来自于银行受困于内部变
化丽错失外部市场机会。磨合成本与机构内部的不和谐程度密切相关，很难曼化。
——声誉成本。支持全面风险管理体系的管理层及董事会成员需要坚定的站
在全面风险管理体系的立场上，把他们的职业声誉与之密切联系在一起。因为如
最初的构想失败了，他们有可能会失去影响力和信任。此外，投资者、评估机构
和银行监管当局对银行管理的信任也会受到打击。这些现实因素会迫使高管层及
董事会审慎权衡对全面风险管理体系的实施的成本付出。
此外，于局限因素的存在，董事会和管理层无法就组织目标的实现获得绝对
保证。一些情况会限制全面风险管理发挥其功能，如决策人的判断可能出错，风
险反应决策或制定控制措施时要考虑成本效益，有时简单差错过失也会导致全面
风险管理失效。
(二)我国商业银行建立全面风险管理体系的内在动力
随着我国银行业对外开放步伐的加大，外资银行大量涌入，同时我国商业银
行也加快融入国际金融市场的步伐，这给我国银行业带来了机会，也加大了竞争，
如何把握和抓住机会，提高竞争力，是我国商业银行在新形势下面临的重要课题。
风险管理水平又是商业银行管理的核心竞争力的重要要素，因此，建立全面风险
管理体系，提高风险管理水平，是我国商业银行的内在要求和动力。
1．外资银行的大量进入中国市场，加大了银行业竞争
随着国内外资银行行政性限制的减少，外资银行的竞争优势也逐渐显现出
来。在体制上外资银行完全是以利润为中心的商业银行，其经营方式遵循市场规
律以及国际惯例的做法，能够适应灵活多变的市场经济。此外，外资银行在操作
规范程度、管理的先进性以及和一些大型的跨国公司的长期合作关系等方面都要
优于国内银行，而且它们的国际信誉度高，资金优势也明显。外资银行这些方面
的优势，得益于它们对风险的全面控制和管理能力。所以，我国银行要提高自身
竞争力，积极开拓国外金融市场，最重要的环节就是提高自身的风险控制和管理
能力。
2．银行业务在国内外的不断拓展。加大了银行风险
按照我国加入WTO时的承诺，我国金融业日趋开放，不仅越来越多的外资金
t9
全面风险管理——理念与模式
融机构将进入我国市场，我国金融机构也加快了融入国际金融市场的步伐，我国
商业银行将在全球范围拓展业务。为了吸引国际客户，国际业务种类必须推陈出
新，要广泛涉及到金融衍生产品业务和国际金融市场融资业务，随之而柬的即是
风险的加大，因此，要求我国商业银行提高自身的风险管理水平。
(三)我国商业银行建立全面风险管理体系的外在动因
国际活跃银行6在采纳全面风险管理的思想，构建全面风险管理体系方面已
经走在了我国商业银行的前面。全面风险管理涵盖从董事会到各个基层经营单位
的自上而下的整个银行组织，拥有完整和明确的结构。全面风险管理的管理范围
涉及到银行的信用风险、流动性风险、市场风险、利率风险、国家风险、法律风
险和声誉风险等所有风险。国际活跃银行的风险管理动向往往印证最先进的风险
管理理论的发展动向，也为我国商业银行的风险管理指明了发展方向，因而成为
我国商业银行建立全面风险管理体系的外在要求。同时凭我们自身开发全面风险
管理系统，耗时长，成本高，不适于目前的形势，故有必要借鉴国际活跃银行的
全面风险管理经验，并结合自身的实际情况，实行符合我国银行实际的全面风险
管理系统。
国际活跃银行有着良好的全面风险管理的机制、科学合理的风险管理组织结
构和先进的技术方法。
1、良好的实施全面风险管理的机制
第一，明确的风险管理战略。国际活跃银行在其总体经营与发展战略中，包
含一个明确的风险管理战略，只是不同的银行之闯的风险管理战略有所差异，或
者同一银行在不同时期的风险管理战略的侧重有所不同。国际活跃银行的风险管
理战略会根据银行的经营战略、经营环境变化与资产质量状况经常调整和更新。
第二，成熟的风险管理文化和理念。国际活跃银行具有成熟的风险管理文化
和理念，其风险管理理念以提升资产质量为中心，银行管理者和一般员工都对风
险性质有充分的理解，将风险管理作为一个长期和动态的过程融于一般的经营活
动中，无论是决策者制定决策还是普通员工执行决策时都有一种强烈的风险控制
和管理意识。
第三，严密的风险管理流程。国际活跃银行由风险管理委员会对其所面临的
风险进行测量和全面考虑，并将银行业务的发展战略，资本结构以及市场发展情
况相匹配，在交于董事会的审计部门进行定期审核通过和调整的同时，由风险管
6菌际活跃银行(international]y active banks)，巴塞尔新资本协议对国际先进银行的提法。
20
全面风险管理——理念与模式
理部门统一实施，在保证权责分明和分工明确的前提下保持几方面的良好沟通和
协调。
第四，科学的风险管理政策和方法。国际活跃银行制定风险管理政策之前，
风险管理委员会会在充分理解各种法律法规的基础上，考虑内外部环境，总体经
营战略，资产规模和风险承受能力，业务的性质和交易复杂性，风险和所对应的
预期收益情况，以及以往的风险管理经验等。如花旗银行的信贷风险管理中的授
权审批制度，是现代商业银行中的典型模式，由总行设信贷政策委员会，决定信
贷委员会成员人选，授权每个委员的贷款审批额度，规定客户授信额度必须由信
贷委员会中至少三个委员签字批准
2、科学合理的风险管理组织结构设置
国际活跃银行拥有科学的全面风险管理组织结构。该结构是决定银行内部各
个业务部门承受风险能力的关键。决定风险管理是否符合银行的总体发展战略，
是否符合银行风险管理的内在要求。国际活跃银行风险组织机构主要包括：董事
会、风险管理委员会、风险管理部门、稽核委员会以及各级风险经理。
——董事会。国际活跃银行中，董事会对风险负最终责任，承担银行财产损
失和股东权益减少等职责，其最重要的职能是防范、控制和处理银行所面临的各
种风险，确保银行的稳健经营，实现股东利益最大化。
——风险管理委员会7。国际活跃银行中，风险管理委员会主要职能是：对
经济金融运行趋势进行敏锐的判断：准确而及时地分析、计算银行面l|每的各种风
险。为了保证银行系统内部对风险政策以及各部门的特殊风险有～个统一的认
识，风险管理委员将制定并适时修改银行的风险管理政策，以指导银行各项业务
稳健的开展以及规范所有员工的行为：风险管理委员会还为银行评估能够量化的
风险制定量化风险的标准：对内部评估不容易量化的风险，建立相应的操作规程。
——风险管理职能部门。国际活跃银行的风险管理职能部门，负责风险管理
政策的制定以及实施。风险管理职能部门隶属于风险管理委员会，风险管理职能
部门可能是由分离的几个部门组成的，也可能是整合成一个完整的风险管理部。
风险管理职能部门在风险管理委员会的直接领导下，行使日常的监督、衡量、评
价、量化风险的职责。
——稽核委员会。国际活跃银行稽核委员会负责实施内部控制监督，主要职
能是通过稽核人员来保证银行的内部控制得到有效地执行。稽核人员定期稽核银
’风险管理委员会属于董事会直接管理，并独立于银行的其他管理部门．成员主要是由银行内部和外部的经
济金融专家组成。
21
全面风险管理——理念与模式
行内部各个业务部门的风险管理和控制，并及时向稽核委员会报告。稽核委员会
对各种问题进行汇总分析后向董事会和执行委员会提起报告，以便管理层及时采
取措施对存在的问题加以解决。
——风险经理。风险经理是风险管理和控制的一线人员，在风险管理职能部
门和业务部门之间发挥纽带作用，其职责是确保业务部门贯彻风险管理政策，并
向风险管理部门提供日常报告，使风险管理部门与各个部门之间保jj’联系，确保
银行各个部门能够有效地进行本部门的风险管理和控制。
3、先进的风险管理技术
(1) 信用风险管理技术
——银行内部评级法(IRB)8。内部评级法的基本要义是通过衡量各类风险敞
口的违约概率，确定相应的预期损失参数，并结合资产组合的相关性特征，计算
相应风险所要求的经济资本。因此，内部评级法本质上是一个基于银行某种信用
风险管理技术基础计算资本充足率的方法。利用内部评级法计算信用风险和分配
资本金需要四个风险因素，即违约概率、违约损失率、风险暴露和期限。内部评
级方法分为基本法和高级法，其主要区别在于在基本法中违约损失率、风险暴露
和期限由监管机构确定，而在高级法中允许采用银行内部评级系统的结果计算。
——信用矩阵法(CreditMetrics)9。信用矩阵法是度量组合价值和信用风险
的方法，用于度量由贷款人资信状况变化而引起的投资组合价值变动的风险。它
根据每一项金融工具的信用风险特征分别计算其风险暴露，并考虑了各种资产之
间的相关性，可以得出资产分散化带来的好处以及发现资产过度集中的潜在风
险。在评估时不仅考虑违约事件，还考虑贷款人信用等级的变动。国际活跃银行
风险管理者使用该方法来评估、调整和管理投资组合的预期损失和风险值(VaR)。
(2) 市场风险管理技术
——敏感性分析方法。敏感性分析是指在其他条件不变的前提下，研究单个
市场风险要素(利率、汇率、股票价格和商品价格)的变化对金融工具或资产组
合的收益或经济价值产生的可能影响。
8‘巴塞尔新资本协议)提出．银行可根据自身的信用风险管理水平．选择采取标准法或内部评级法来计
量资产风险权重，计算银行的资本充足事水平。其中标准法是1988年颁布实施的巴塞尔资本协议的主流方
法，其核心是基本依靠外部评级机构确定银行资产的风险权重，适用于现有信用风硷管理能力一般的商业
银行；而内部评级法是‘巴塞尔新资本协议’撮据部分国际活跃银行已经建立自身内部评级体系的新情况，
允许商业银行在评估资产组台的信用甄硷时．使用银行自己对借教人资信情况的评佶资料。
’信贷矩阵是1997年J．P摩根财团等几家国际化丈银行共同研究推出的评估银行信用风险的组合模型。
22
全面风险管理——理念与揆式
——情景分析。情景分析是一种多因素分析方法，结合设定的各种可能情景
发生的概率，研究多种因素同时作用时可能产生的影响。在情景分析过程中要注
意考虑各种头寸的相关关系和相互作用。情景分析中所用的情景通常包括基准情
景、最好的情景和最坏的情景。情景可人为设定，也可以从对市场风险要素历史
数据变动的统计分析中得到，或通过运行在特定情况下市场风险要素变动的随机
过程得到。
——风险价值法⋯。风险价值是指在一定的持有期和给定的置信水平下，利
率、汇率等市场风险要素发生变化时可能对某项资金头寸、资产组合或机构造成
的潜在最大损失。风险价值通常是由银行的市场风险内部定量管理模型来估算。
目前常用的风险价值模型技术主要有三种：方差一协方差法、历史模拟法和蒙特
卡洛法。现在，风险价值已成为计量市场风险的主要指标，也是银行采用内部模
型计算市场风险资本要求的主要依据。
——事后检验。事后检验是指将市场风险计量方法或模型的估算结果与实际
发生的损益进行比较，以检验计量方法或模型的准确性、可靠性，并据此对计量
方法或模型进行调整和改进的一种方法。
——压力测试。国际活跃银行通过压力测试来估算突发的小概率事件等极端
不利情况可能对其造成的潜在损失，如在利率、汇率、股票价格等市场风险要素
发生剧烈变动、国内生产总值大幅下降、发生意外的政治和经济事件或者几种情
形同时发生的情况下，银行可能遭受的掇失。压力测试的目的是评估银行在极端
不利情况下的亏损承受能力。
——限额管理。限额管理是对市场风险进行控制的一项重要手段，确保将所
承担的市场风险控制在可以承受的合理范围内。使市场风险水平与其风险管理能
力和资本实力相匹配。国际活跃银行根据所采用的市场风险计量方法设定市场风
险限额。市场风险限额可以分配到不同的地区、业务单元和交易员，还可以按资
产组合、金融工具和风险类别进行分解。常用的市场风险限额包括交易限额、风
险限额和止损限额等。
——风险调整收益率。长期以来，衡量企业盈利能力普遍采用的是股本收益
率和资产收益率指标，其缺陷是只考虑了企业的账面盈利而忽略了风险因素。银
行是经营特殊商品的高风险企业，用不考虑风险因素的指标衡量其盈利能力，具
有很大的局限性。目前，国际活跃银行业的发展趋势是采用经风险调整的资本收
益率。经风险调整的资本收益率是指经预期损失和以经济资本计量的非预期损失
调整后的收益率，其计算公式如下：
10风险价值法-是近年在国外兴起的一种以概率论为基础，运用统计方法定量测量金融风险的管理工具。
23
全面风险管理——理念与模式
风险调整资本收益率=(收益一预期损失)／经济资本“ 公式(3一1)
银行承担风险是有成本的，在计算公式的分子项中，风险带来的预期损失被
量化为当期成本，直接对当期盈利进行扣减，以此衡量经风险调整后的收益；在
分母项中，则用经济资本，或非预期损失代替传统股本收益率指标中的所有者权
益，表示银行应为不可预计的风险提取相应的经济资本，整个公式衡量的是经济
资本的使用效益。目前按经风险调整的资本收益率已在国际活跃银行rp得到了，“
泛运用，在其内部各个层面的经营管理活动中发挥着重要作用。
(3) 操作风险管理技术
——基本指数法(BIA)。基本指标法是指以单一的指标作为衡量银行整体
操作风险的尺度，并以此为基础配置操作风险资本的方法。一般地，常采用总收
入(即银行净利息收入与净的非利息收入之和)作为这一指标。这样，每个银行
的操作风险监管资本就等于一个固定的百分比(a)”乘以各银行的总收入。
——标准法(SA)。标准法将银行业务活动分为标准业务单位和业务类别，能
更好地体现特定银行业务的特定风险层面。与基本指标法相同，操作风险监管资
本仍由监管者统一确定。监管者通过与各行业部门的讨论，将银行的业务活动分
解成不同的业务单位和业务类别，在这种分解过程中，每一个业务单位都有几个
不同的业务类别，每一个业务类别，监管者都会规定一个能充分体现该业务规模
和风险特性的指标，这样单个业务类别的操作风险资本准备金要求就可以通过各
指标与另一个百分比(B)”的乘积得出。整个银行的操作风险资本要求就是将各
个业务类别的风险资本要求加总。
——内部衡量法(I姒)。内部衡量法是银行采用监管者规定的方法，自己
收集整理损失数据，自己估算风险资本的一种方法
——损失分布法(LDA)。损失分布法是银行内部衡量法的更高级形式，它使
用银行内部数据，为每个业务类别和风险类型估计两个随机变量——损失程度和
损失概率的概率分布。在这两个估计的概率分布的基础上，银行计算累积的操作
风险的概率分布，风险资本要求就是每个业务类别和风险类型VAR的简单加总。
银行基于操作风险损失在未来时期内的可能分布来估计资本准备金。
—极值理论方法(EVT)。极值理论方法衡量操作风险损失分布的一种方
”或非预期损失．
12日前作为临时性估计，a值被定为3傩左右．但是这种估计缺乏充足的数据基础，为了鼓励使用其他方法，
巴塞尔委员会认为应提高a值．
”一般情况使用的计算8值的公式为：B=(20％的目前的最小监管资本准备金×业务类别的权重)／从样本
银行中得到的所有业务类别的金融指标的加总。
24
全面风险管理——理念与模式
法，即主要是用来衡量超过一定损失水平的极端损失“。
4、美洲银行的实证分析
美洲银行于1929年成立，总部设在美国北卡罗来纳州的夏洛特，是全球最
大的金融机构之一。
(1) 美洲银行风险管理文化
美洲银行实行全面广泛的风险管理，风险计划包括战略、财务、客户和公司
计划，以使目标和责任贯穿整个公司。风险管理在全行范田内系统地展丌，包括
个人业务单元、产品、服务和交易。在风险管理过程中这种方法需要团结协作，
每个员工都是风险经理。
第一，美洲银行奉行的经营理念是要在风险和收益之间取得平衡，风险管理
的目标是使得长期收益最大化。
第二，美洲银行风险管理文化的基础是员工的责任感。每个员工都必需意识
到自己在风险管理中的角色，并不断执行自己的责任。风险管理应成为绩效评估
的重要组成部分。
第三，合规文化是美洲银行风险管理文化的核心。由于所有对法律、监管、
道德规范要求和内部政策程序的违反都可给财务和声誉产生严重影响，因此合规
文化需要所有员工遵循相关法规、道德标准和内部政策程序。合规是各种风险的
核心，美洲银行不仅仅将合规当作法律风险，更就将其作为业务经营的一种方式。
(2) 美洲银行风险管理流程
为确保风险与收益适当平衡，美洲银行采用完整、广泛的方式在在全行范围
内设立识别、计量和监管风险的管理流程(图2-1)，包括：
——识别和计量：确保了解全行的风险头寸；
——决策和审批：将每日的决策与全行风险管理目标不同程度联系起来：
——缓解和扩大：管理并化解风险；
—报告和评估：持续评估风险和合规；
一培训和认知：确保所有员工了解并执行问责制度。
4如果要精确地衡量这种极端损失，就要借助概率论的知识来建立～个损失分布的模型——EvT模型。
25
全面风险管理——理念与模式
图2-1美洲银行风险管理组织流程图”
(3) 美洲银行治理结构及风险管理组织结构
美洲银行的公司治理结构支持风险和收益的积极联结，清楚地阐明了监管
团体的角色和授权。
——董事会通过监督公司的治理架构有效管理公司事务。董事会对管理委
员会授权，接着这些委员会在合适的情况下向附属委员会及管理层授权。
——资产质量委员会：通过审查信贷资产质量和变化趋势，判断监管是否
遵循谨慎、健全的信用政策，提供信用风险总体评价。此外，委员会同时会审查
某些市场风险报告。
——审计委员会：协助董事会对内部控制、整体财务状况的完整性、法律
和管理要求的有效性进行监控，审查公司自我审计和外部会计事务所审计的能
力，并牵头负责审查操作风险。
——财务委员会：为管理信用风险、市场风险和操作风险出台有关政策和
战略，以使公司盈利并获取资本。财务委员会将董事会的授权(包括政策和限额
的审批)向附属委员会及管理层进一步授权。
——资产负债委员会：审定确保市场风险稳定和资产负债平衡。
“摘鲁美洲银行2004年撮。
全面风险管理——理念与模式
——信用风险委员会：审定公司对谨慎、稳健的信用风险管理政策的遵循。
——合规和操作风险委员会：审定确保公司稳健经营的操作风险政策。
——风险和资本委员会：评价公司战略与目标，并在全行范围内对主要业
务分配资本。
——内部审计：直接向审计委员会提供评价公司绩效和控制情况的全行性
审计报告。
美洲银行治理结构如图2—2：
公司治理I I执行l l资产质量
委员会I委员会I 委员会
揭发
委员会
全球风险l 1业务线I I风险和资本
负责人I l负责人l I 委员会
各种风§
委员会
行政汇报路线
赔付
委员会
审计
委员会
茹I l巍l篡性菇。
资产负《
委员会
信用风嚼l合规和操作
委员会} l风险委员会
图2-2美洲银行治理结构图“
美洲银行风险管理组织结构的具体职责如下：
——首席执行官：在考虑整体业务战略的基础上批准风险取向。
——首席风险官：将董事会和首席执行官对风险的要求落实为银行集团的风
险标准和政策；对银行集团风险管理流程的充分性和适用性负责：审核全部业务
单元的总体风险，并在宏观层面对业务组合的风险构成和质量进行评估：批准具
体业务的风险管理政策；确保所有业务单元都在风险限额内运营：审核并决定具
体业务风险政策的例外情况；批准所有独立风险管理经理的任命等。
——风险架构部主管：遵循银行的风险管理和监管标准，监督独立风险管理
所要求的核心管理架构，负责管理银行集团整体的市场风险、流动性风险和操作
‘6摘自美洲银行2004年报，虚线代表信息流动，叶t表由董事会组成的委员会，¨代表由董事会成员组成。
27
全面风险管理——理念与模式
风险；建立Jxl险系统的基础架构，以确保及时识别、衡量和汇总银行各业务单元
内或业务单元之间的风险敞口；通过业务单元内和业务单元之问的充分沟通以保
证承担风险的透明度等。
——业务单元风险主管：制定与银行集团整体风险标准相一致的针对特定业
务的风险管理政策；确保相关业务单元遵守为其制定的风险管理政策；向业务堆
元具体提出其面临的风险，并负责制定消除这些风险的战略；在银行接受的风险
范围内批准各业务风险部门的风险限额；对资产组合构成和质量在业务单元的层
面上进行评估：设立为业务目标提供支持和独立监督的业务风险管理机构等。
美洲银行风险管理组织结构如图2—3：
首席风险官
风险架构管理
部主管
全球风险管理部
主管
全球企业
投资银行
部风险管
理部主管
全球企
业投资
银行部
首席信
贷官
风险汇
总部主
管
企业投资银行、市
场风险管理部、运
营风险部、资本市
场批准委员会、跨
境风险管理部主管
全球个人
银行风险
管理韶主
管
商业信贷风险
管理部
全球投资
管理风险
管理韶主
管
图2-3美洲银行风险管理组织结构图“
(4) 美洲银行风险管理的三层防御体系
国际
部风
险主
管
美洲银行的风险管理结构和流程建立在三层防御体系基础上，其中的任一层
7摘自美洲银行2004年报。
仝蛳风险管理——理念与模式
对确保经营活动中风险和收益的合理淤别、计量和管理都有重要意义。三层防御
体系需要有效的团队，每个角色都应对自己岗位负责。
如图2—4所示，在第一层防御体系中，业务单元负责人对业务单元内的所有
己经存在和未来町能发生的风险负责；在第二层防御体系中，业务单元的联合负
责人和业务单元配合来识别、评估并降低风险：在第三层防御体系中，审计部门
和审计委员会测试、确认并评估J越险管理控制措施。
回
国
图2-4美洲银行风险管理三层防御体系图18
(5) 美洲银行有效的风险管理技能与工具
美洲银行采用了一套有效的风险管理技能与工具，使产品的价格能够覆盖可
能的风险从而实现盈利。尤其令人称道的是，通过有效运用银行内部各种工具、
模型来计量评估客户风险，美洲银行已经大大减轻了对社会征信系统的依赖。美
洲银行研究出了一套根据信用卡客户行为预测其风险的行为模型(behavioral
model)，运用这个模型，即使在社会征倍体系不完善或不敷使用的国家和地区
(比如其新进入的爱尔兰、西班牙、加拿大以及中东欧等市场)，仍然能够健康
快速地推动信用卡业务发展。
三、我国商业银行风险管理现状分析
全面风险管理包括八个要素，即内部环境、目标设定、风险识别、．1xIl险评估、
风险对策、内部控制活动、信息和交流、监控，这几个要素来自管理层经营企
业的方式，并和管理流程整合在—起。确定全面风险管理是否有效，主要判断八
业的方式，并和管理流程整合在—起。确定全面风险管理是否有效，主要判断八
“摘自美洲银行2004年报。
29
全面风险管理——理念与模式
要素是否存在，是否有效运作。下文用这八个要素来分析我国风险管理体系的现
状。
(一)风险管理内部环境上的缺陷
1、尚未形成良好的风险管理文化
风险管理文化决定商业银行经营管理中的风险管理理念和行为模式，渗透到
银行业务的各个环节。金融业发展的历史和经验表明，一些金融机构之所以在风
险管理上出现问题，并不是因为缺乏风险管理系统、政策及程序，而是因为落后
风险管理文化不能使这些系统、政策、程序真正发挥山作用。山于历史和体制原
因，我国商业银行风险管理起步比较晚，风险管理理念比较落后，具体表现在以
下三个方面：
第一，不能正确处理业务发展与风险管理的关系。错误地把防范风险与业务
发展和经营效益对立起来，在强调业务发展时，往往忽视风险管理，在强调风险
管理和控制时，又放松了市场营销和市场拓展。
第二，缺乏整体风险意识。全面风险管理的理念还不到位，仍以信用风险管
理为主，对市场风险、操作性风险重视不够，缺乏整体风险意识。
第三，未形成全员风险管理的意识。风险管理意识还没有贯穿到全行全员，
还没有贯穿到业务拓展、经营管理的全过程，往往把风险管理和风险控制看作是
风险控制部门的事情。
2、风险管理组织结构和机制上的缺陷
第一，目前我国商业银行缺乏独立的垂直管理的风险管理部门。由银行董事
会及高级经理直接领导的，以独立风险管理部门为中心，与各个业务部门紧密联
系的风险管理系统是现代金融风险管理的组织保障。但是我国大多数银行都还没
有现代意义上的独立的垂直管理的风险管理部门，金融机构的风险管理工作较为
分散，风险管理部门由于管理体系、机构设置等方面的原因并未能总揽全部风险
管理工作，对于分散在各个部门的风险管理并未起到检查和督导作用。
第二，功能性风险经理的岗位和职权尚未独立。目前，我国商业银行风险经
理的功能性职权(确定操作的政策和标准的职权)还未能从业务经理的业务职权
中分离出来。一个风险管理人员可能既要负责信贷款审查、人员管理，又要负责
制定制度、信贷流程设计、设计模型等多项职能。如果不尽快将功能性风险经理
从业务经理中解脱出来，我国商业银行就难以培养自己的职能风险专家，全面风
全面风险管理——理念与模式
险管理的实施将难以得到有效支撑。
第三，基层行风险管理职能未实现集中。国内银行分支行普遍未设立综合风
险管理部门，尚未整合全面风险管理职能，仍仅限于信贷风险管理，风险管理职
能在基层行未实现集中。
3、风险管理人才严重匮乏
现代风险管理是一门技术性非常强、非常复杂的新兴管理学科，要求有专业
的风险管理人员。国外银行中积聚了大批金融专业人才，中级风险管理人员人都
有国际银行的工作背景或不同行业(如保险、投行)的工作经历，信贷人员也贝
有丰富的从业经验。我国目前金融风险管理尽管没有西方那样复杂，然而，即便
是与我国金融风险管理现代化的要求相比，我国金融风险管理人才仍然显得相当
匮乏，尤其缺乏精通风险管理理论和风险计量技术的专业人才。而实际上，全面
风险管理体系中，人员的质量比风险模型的质量更重要。
(二)风险管理目标不明确
全面风险管理体系要求银行有战略目标、经营目标、报告目标和监管目标，
围绕战略目标设计各项业务风险的经营目标；设定明确的报告目标以保障报告的
准确性和有效性；明确提出监管目标并确保遵循。依据确定的风险偏好和风险容
忍度，管理层制定明确统一的风险管理政策以实现风险管理和银行目标的紧密结
合。我国商业银行虽己明确了战略指标、经营目标、报告目标和监管目标，但是
战略目标和各项经营目标的协调性缺乏统筹考虑。
(三)缺乏系统化的风险识别机制
银行的风险识别是一系列兼顾过去与未来的识别技术的组合，同时以相应的
辅助工具作支撑。通过建立系统化、制度化的风险识别机制，提高风险管理的主
动性和反应速度，支持风险管理决策的有效性，提升经济资本的配置效率。国际
活跃银行往往建立科学的风险识别程序并建立相应的风险识别系统，为风险的评
估准备数据信息基础。相比而言，我国商业银行缺乏系统化的风险识别机制：风
险识别活动随机、分散和局部，风险识别标准缺失；风险识别权责不清晰，前、
中、后台之间分工与合作不够：风险识别活动覆盖面有限，识别活动存在盲区。
(四)缺乏量化的风险评估
风险评估应从定性和定量两个方面分析风险发生的可能性和影响程度。国际
活跃银行很多都以VAR为核心度量方法，建立市场风险评估系统和信用风险内部
评级系统，并努力将操作风险的内部计量包括进来，建立一体化的风险评估体系，
全面风险管理——理念与模式
使风险评估的结果能相互比较n．,t利-7--决策，合理地在不同业务问配置经济资本。
我国商业银行以前大多对风险进行定性分析多，定量分析少，往往是通过现实损
失来衡量风险大小。由于新资本协议的推动，目前，我国商业银行尤其是四大国
有商业银行纷纷启动“内部评级工程”，开始运用模型对公司类客户的信用风险
进行评估；在个人客户信用风险、市场风险也初步开展了风险评估系统的尝试；
但由于缺乏操作风险数据的积累，操作风险评估体系仍是空白。
(五)风险控制与处理的方法有限
在商业银行的经营中，有些风险损失的发生是防范机制无法阻止的，如市场
风险、系统性国家风险。因此，即使有严密的风险防范机制的保护，商业fi=c!行也
必须有充分的准备面向风险损失的处置问题。我国商业银行风险控制与处理的方
法很不充足。目前，西方商业银行大量使用金融衍生工具作为避险工具，如资产
证券化、信贷违约掉期等信贷衍生产品，我国商业银行还处于起步的阶段，缺乏
运用这些衍生工具的机制和外部条件。
(六)内部控制活动的运行机制存在缺陷
内控管理是商业银行全面风险管理体系的重要组成部分之一，是商业银行的
一种自律行为，是商业银行董事会、高级管理层和各级管理人员为完成既定的工
作目标和防范风险，对内部组织及其工作人员从事的业务活动进行风险控制、制
度管理和相互制约的方法、措施和程序的总称。有效的内部控制机制必须建立在
完善的公司治理结构的基础上。主要包括严密有效的内控组织结构、相互独立业
务部门和清晰的职责分工、完善的会计控制体系、严密的授权审批制度、合理的
内部稽核检查制度、有效的员工管理制度和先进的计算机管理系统。我国商业银
行的内部控制存在许多问题，主要表现在：第一，我国商业银行对内控的认识还
不确切、不完整，我国商业银行的高级管理层自我约束不够，存在较大的“道德
风险”；第二，我国商业银行在内控与发展、内控与风险的关系上认识有偏差，
侧重于抓规模、抓眼前效益，放松对风险的防范和管理，导致违规违纪现象严重；
第三，对所属分支机构控制不力，重任务布置、轻检查管理，在经营过程中以个
人意志为主，内控规章制度缺乏落实，流于形式；第四，内控规章制度不健全，
在考核指标、考核内容和方法上不适应现代商业银行业务经营发展和风险控制的
需要。
(七)风险管理信息系统建设严重滞后
我国商业银行风险管理信息系统建设严重滞后，风险管理所需要的大量业务
信息缺失，银行无法建立相应的资产组合管理模型，无法准确掌握风险敞口。风
险管理信息失真，直接影响到风险管理的决策科学性。
全面风险管理——理念与模式
(／k)缺乏有效的风险监测和预警系统
我国商业银行风险管理的工作重心主要集中在对风险事后管理上，而在风险
的事前、事中控制所做的工作甚少。目前，大部分国内商业银行都没有专门的风
险监测和预警系统，对于早期风险的防范上仍是一片空白，尤其对可能产生的欺
诈行为更是无能为力。
四、我国商业银行全面风险管理体系的构建
(一)创造良好的风险管理环境
风险管理环境包括风险管理文化、风险管理组织结构、权责分配以及风险话：
理人员的培训和管理等。我国商业银行应该从培育健康的风险管理文化、构建垂
直管理的全面风险管理组织架构、培养高素质风险管理人才等多方面，循序渐进，
逐步创造良好的风险管理环境。
1．培育健康的风险管理文化
我国商业银行必须营造一个良好的，与全面风险管理基本要求相一致的文化
氛围，加强全面性风险管理理念，培养全员风险管理意识。
第一，牢固树立全面风险管理的理念。全面性风险管理理念可赔纳为两个“确
保”，即银行首先应确保其风险管理能够涵盖所有业务和所有环节中的一切风险，
所有风险都有专门的、对应的岗位来负责；其次，还应确保风险管理能够识别银
行面临的一切风险。
第二，培育全员风险管理意识。在全面风险管理框架中，企业里的每个人对
全面风险管理都有责任，领导人负最终的责任，其他管理人员支持全面风险管理
的理念，促使企业在风险偏好内经营，并在各自负责的领域负责把风险降低到相
应的风险容忍度内。因而，强化全员风险意识是中国商业银行构建全面风险管理
体系的基础和前提条件。每个员工在每个岗位拓展业务时都应该考虑风险因素，
在风险可以控制的情况下去操作和经营业务。为了培养全员风险管理意识，首先
要借鉴国际先进风险管理理念，培养自己的风险管理核心理念，通过各种途径将
这些理念传递给每一个员工，最终实现风险管理文化的精神层面与政策、制度、
机制和技术层面有机衔接，把风险管理理念渗透到每个部门、每个岗位和每个工
作环节，并内化为员工的职业态度和工作习惯，植根于整个银行的运作行为之中，
力求最大限度地发挥各级员工在风险管理方面的主动性、积极性和刨造性，在整
个银行形成一种风险控制的文化氛围，形成～种风险防范的道德评价和职业环
全面风险管理——理念与模式
境；其次要通过广泛的风险教育和重视业务上的风险估计来培养所有人员对风险
的敏感和了解，在对经营管理中的风险做深入研究的基础上，形成系统的风险控
制制度和奖惩制度。
2．构建垂宜管理的全面风险管理组织架构
构建垂直管理的全面风险管理组织架构，要做到以下三点：
第一，将风险管理职能集中于风险管理部。我国商业银行可以根据本行实际
情况，引进国际咨询机构，借鉴国际活跃银行管理经验，推动风险管理组织结构
的改革，构建以风险管理委员会为核心，全方位、全过程的商业银行风险管理组
织体系。在总行设置风险管理委员会和首席风险宫，设置专门的信用风险、市场
风险以及操作风险的管理机构，将风险管理职能集中于风险管理部，并明确其具
体职责和权限。
第二，实施风险管理部门垂直化管理。我国商业银行要组织实施“风险管理
部门垂直管理”，应实行上级行风险管理部门对下级行风险管理部门负责人和同
级业务部门“风险管理窗口”负责人的直接管理和考核，下级行风险管理人员和
风险窗口管理人员在所管辖的区域和领域内全面监控执行总行风险管理政策，包
括搭建运作组织，推广风险管理工具，量化评估与分析报告等，以利于总行风险
管理部门综合归纳各区域、各领域的风险暴露，进行全面风险接合和对冲，实现
对整个机构的积极风险配置。
第三，建立确保垂直化管理有效执行的配套制度，包括推行风险报告制和授
权制度。要对所有业务流程和关键风险实施有效监控，对重大风险事项及时预警
和报告，确保对业务流程中的任一环节均能体现“四眼”原则。
3。培养高素质的风险管理人才
风险管理是一项系统工程，它不仅以现代管理学、金融工程学、经济学、数
量统计等学科的知识为基础，还引入了系统工程学、物理学等自然科学的研究方
法，要求从事风险管理人员应具备较高的素质，因此，必须加大风险管理人才的
选拔和培养。
第一，建立高素质、复合型的风险管理队伍。选拔或培养有证券、保险、信
托、投资等多种从业经验的人才，建立高素质、复合型的风险管理队伍，加强对
金融交叉产品的风险识别、度量和控制的研究，致力于高效、全面的风险管理。
第二，建立风险经理制度。我国商业银行要建立风险经理制度，实现客户经
全面风险管理——理念与模式
理与风险经理“分设”并“平行作业”。风险经理根据银行风险管理的需要，进
行客户的风险识别，决定贷款的授信、发放等等，具备最后责任人的职能。考虑
到国内商业银行目前的风险管理水平，必须要建立相关的考试和选拔“准入”制
度，合理界定风险经理和客户经理之间的职责划分。
(二)明确设定风险管理目标
全面风险管理体系中目标有四类：战略目标、经营目标、报告目标和监管目
标，因而我国商业银行必须从以下几个方面着手明确风险管理目标，制定合理的
风险管理政策：
第一，明确战略目标。战略目标是银行商层次日标，关乎银行定位以及为股
东创造价值的管理抉择。实现银行的战略目标，需要对战略目标在各个领域进行
分解，从而使管理层能有效识别与战略相关联的风险，并且考虑这些风险之间的
相互关联，以战略目标为依据确定风险偏好和容忍度。
第二，制定分层次的经营目标。最高层面上，设定分年度的不良贷款率控制
目标、扣除风险损失后赢利目标；中间层面上，设定资产组合管理目标、信用风
险管理目标、市场风险管理目标、操作风险管理目标、资产负债比例管理目标、
分区域的不良贷款率控制目标、分区域的扣除风险损失后赢利目标等；微观层面
上，设定对单一客户或业务流程的风险控制目标和综合赢利目标。将风险容忍度
贯彻到中间层面和微观层面的目标设定过程中，例如，可根据明确的风险偏好和
容忍度，确定我国商业银行可接受客户的信用风险底线和利率定价等目标。
第三，明确列示监管目标，作为经营目标的必要补充。具体包括：资本充足
率目标、资产组合和客户风险集中度日标、资产负债比例目标等。
第四，要明确对各类风险、各项业务的风险报告目标。确保风险报告的有效
性，具体包括对各项经营目标和监管目标履行的情况的报告，及对报告频率的要
求。
第五，目标协同。要以各项经营目标为标尺，以风险报告目标为手段，建立
对责任人的激励约束机制，对新增业务的预期损失进行提前计提。
表4—1是A银行风险管理目标设定体系。
全面风险管理——理念与模式
———————————————————————————————————————————————————————一一
表4-1 A银行风险管理目标设定19
一争取在三年内盈利和效率达到国内股份制银行的领先水平；
一在十年内成为中国银行业刨造股东价值最高的股份制商业银行。并在亚
战略目标
洲市场处于领先地位；
一作为一个行业的领导者被当地市场所认可。
一设定分年度的ROA、ROE、不良贷款率、资产增长率目标；(最高层蕊)
一资产组合管理目标(含行业、区域、客户组合管理)、信用风险管理目标、
市场风险管理目标、操作风险管理目标、资产负债比例管理目标、中间
经营目标
业务发展目标、负债业务发展目标等：(中间层面)
一对单一客户的风险控制目标和综合赢利目标、对单一业务流程的风险控
制目标等。(微观层面)
监管目标一资本充足率目标、风险集中度目标、资产负债比例目标。
一明确对各类风险、各项业务的风险报告目标，确保风险搬告的有效性，
报告目标
具体包括对各项经营目标和监管目标履行情况的报告目标
一以各项经营目标为标尺，以风险报告目标为手段，建立对责任人的激励
目标协同
约束机制，明确对目标执行情况的奖惩，确保各项目标的执行力
(三)健全风险识别的流程，引入先进的技术工具
根据我国商业银行风险识别目前水平，我们要健全风险识别流程，引入先进
的风险识别技术工具。
1．健全风险识别流程
根据风险偏好、容忍度和设定的风险管理政策，制定风险识别管理要求和风
险识别的工作流程，确定风险识别的精度、频度、深度和广度，设计风险识别、
风险评估和风险应对管理办法。在实施步骤上，首先，以战略、流程和业务活动
为出发点，以风险偏好和风险容忍度为标杆，在管辖范围内，自下而上、由内到
外对各类潜在风险因素进行全方位梳理，形成事件详细目录清单；其次，进行风
险事件排序：最后，建立风险事件分类矩阵，筛选尚未有效进行管理的风险事件。
2．引入先进风险识别技术工具
第一，在信用风险方面，加快对历史模拟法、蒙特卡罗模拟法等定量分析技
术在信用风险识别上的应用，全面收集、整理和提炼对财务风险、经营风险、法
律风险、产权交易风险等定性风险识别支持系统，实现对发行人风险、单一客户
违约风险和集中度风险的有效识别。补充完善风险预警评级系统在信用风险识别
方面的功能。
第二，在市场风险方面，改进优化市场风险识别技术体系。通过引入并完善
”摘自金融出版杜2005年出版的‘商业银行全面风险管理体系》。
36
全面风险管理——理念与模式
VAR、损益表敏感度分析、情景分析与压力测试等技术和支持工具的应用，设计
并优化价格限额和流动性限额，逐步建立交易部门、交易单元、交易台、交易员
等多个层面的限额体系，实现对市场风险的高效识别。
第三，在操作风险方面，组织人员借鉴新资本协议的操作风险分类树的思路，
以战略、流程和业务活动为出发点，自下而上、山内到外对各类潜在风险因素进
行全方位梳理，形成事件详细目录清单，并进行风险事件排序。最后，建立符合
我国银行业务的操作风险分类树，并不断进行动态调整，优化改进对操作风险的
识别功能。
第四，引入交叉风险识别技术。通过专家判断和数据挖掘，建立山每两类风
险之间的相关系数矩阵，渐次过渡到交叉风险的损失曲线分布和定量研究上。利
用各类风险问的相关性及由此导致的自然套期行为，实现在银行整体范围内进行
整合化的交叉风险识别：
(四)提高风险评估技术水平
风险评估应从定性和定量两个方面分析风险发生的可能性和影响程度。我国
商业银行以前大多对风险进行定性分析多，定量分析少，往往是通过现实损失来
衡量风险大小。由于新资本协议的推动，目前，我国商业银行尤其是四大国有商
业银行纷纷开始运用模型对公司类客户的信用风险进行评估，在个人客户信用风
险、市场风险也初步开展了风险评估系统的尝试，但由于缺乏操作风险数据的积
累，操作风险评估体系仍是空白。针对这一现状，我国商业银行必须优化改进对
信用风险、市场风险及组合的评估，补充建立对操作风险、交叉风险的评估体系。
第一，改进信用风险评估。在我国商业银行中逐步建立起符合国际银行业标
准的内部评级系统，综合客户财务和非财务因素分析的量化评估技术，适时采用
概率模型和非概率模型对事件发生的可能性及影响程度进行评估。开发和改进对
公的风险评估工具，补充建立汽车贷款、个人住房按揭、信用卡和个人信用贷款
方面的信用评估模型。补充开发抵押品评估系统，改进并建立担保人评估体系。
研究设计针对资产组合的信用风险评估方法。
第二，改进市场风险评估。开发系统化的资产负债管理系统和市场风险评估
工具；设置以风险价值为核心的市场风险限额体系，初步建立并逐步优化市场风
险情景分析和压力测试模型；引入敏感度分析，实现对交易头寸与非交易头寸的
有效评估；跟踪国际风险管理发展的最新动态，研究市场风险管理技术，作好模
型引进、开发和验证工作，全面提升市场风险管理的技术水平等。
第三，改进操作风险评估，建立操作风险评估技术。初期应建立操作风险评
全面风险管理——理念与模式
分卡，每半年进行一次评估计量，逐步创造条件建立操作风险内部评估法。
第四，完善交叉风险评估。从定量和定性两方面引入并完善对交叉风险的评
估技术和方法；改进和优化债项评级技术和方法，完善信贷风险减值准备测算方
法；提高经济资本计量的准确性，启动自上而下的经济资本配置机制石J『究，逐步
实现自下而上的经济资本配置程序，建立并完善基于风险的资本配置体系。
(五)建立商业银行风险处理体系
我国商业银行要建立风险处理体系，要补充细化、提炼和归纳风险应对策
略的具体措施，建立并逐步优化风险应对决策程序，提高风险应对过程的科学性。
第一，信用风险的处置。明确客户及项目准入标准，全面梳理审批政策，制
定清晰统一的信贷政策。
第二，市场风险的处置。在明确的市场风险容忍度边界下。明确各类市场工
具、产品极其组合的应对策略：一是通过建立准备金制度进行运行，包括建立投
资风险准备金，用于对付商业银行长期投资市场风险的补偿。二是采用谨慎财
务会计处理方法，将损失直接摊入成本自担风险，即对一些损失较小的市场风险
损失记入当期成本，采用价格补偿机制，即事先将可预测的风险报酬打入价格之
中，使一部分市场风险预先得到补偿。
第三，操作风险的处置。建立健全系统化的内部控制体系降低操作风险；为
操作风险分配经济资本抵御预期和非预期损失；同保险公司合作探索银行业务操
作风险保险机制，通过保险转移操作风险；引入并启动操作风险和灾难性事件风
险应对管理机制和决策流程。
(六)完善内部控制活动的运行机制
结合我国商业银行内部控制的发展现状以及全面风险管理的需要，我国商业
银行的内部控制活动运行机制的改进和完善应当从以下几个方面着手：
第一，牢固树立严格内部控制的经营意识。要从战略的高度充分认识到完善
的内控机制是金融安全、有序运作的前提和基础，是防范金融风险的关键。
第二，进一步加强我国商业银行的内控建设。要完善各种规章制度，并认真
抓落实，要坚持内控先行的原则，防止管理漏洞。
第三是完善我国商业银行内控的运行机制。必须成立一个强有力的内部控制
监管机构，加强对各项经营活动的控制。
第四是完善权力制约与稽核机制。对于权力制约机制，首先要完善内部等级
管理、分别授权的制度；其次要完善民主集中议事制度。而在内部稽核监督方面，
全面风险管理——理念与模式
应逐步与国际接轨，通过股份制改造，建立适应现代市场经济的公司治理结构，
实行由董事会以及董事会直属领导下的内部控制管理。
(七)建立和完善信息系统及有效的风险报告渠道
我国商业银行要建立和完善信息系统及有效的风险报告渠道，要不断加大银
行信息系统建设的投入，而且要使信息系统的71-发具有自口赡睫和连续性，使点乜
系统能够涵盖银行所有的业务活动，并具有准确性和一致性，充分满足银行风险
管理的需求。另外建立适当的组织结构，完善的工作制度和通畅的交流渠道，保
证风险信息的充分流动。
第一，建立全面风险管理信息系统。借鉴国际商业银行风险管理信息系统的
经验，考虑国内市场环境，利用现有客户资源和历史数据，构建风险管理信息系
统，涵盖风险监测、风险分析和不良资产处置等风险管理环节。在保证信息安全
的前提下，使风险管理信息系统与业务系统终端联网，实现风险管理信息的收集、
整理、分析、评价、预警以及建议方案等生成自动化、传输网络化，尽量减少人
工操作。以确保风险管理信息的时效性和准确性。
第二，完善风险报告制度。明确风险报告的频度、深度和职责进行，针对信
用风险、市场风险和操作风险的不同特点，制定差别化的风险信息传导机制。建
立纵向报送与横向报送相结合的信息交流线路，保证信息的真实准确，实现信息
共享，使风险管理部门制定的风险政策能够得到良好的贯彻。
第三，建立对外信息披露机制。制定对外信息披躇管理办法，对信息披露的
内容、格式、频度及职责等进行规范，按照由内到外逐步公开的原则．建立系统
化、透明度高、及时性强的信息披露机制。
C／k)建立风险管理后评价和持续改进机制
对每～项风险管理要求，完善其后评价和持续改进机制，建立相应的问责机
制，形成风险管理的“激励相容约束”和执行驱动力，保障各个风险管理要素达
到预期的效果，同时保障风险管理体系的优化走向规范化、定期化、制度化。逐
步完善风险管理目标的差距分析和反应机制，风险管理部门和相关业务管理部门
应加强对银行经营行为和风险敝IZl的实时监控，找出与预定目标的差距，及时采
取措施做出调整，保障风险管理目标的顺利实现。
全面风险管理——理念与模式
结论
风险管理是商业银行永恒的话题。特别是在银行业务越来越复杂的今天，商
业银行越来越重视从整体上对银行风险进行管理，商业银行的风险管理已进入了
全面风险管理时代。论文综合借鉴了COSO报告和《巴塞尔新资本协议》中的全
面风险管理理念：通过分析商业银行实施全面风险管理体系的成本I改益和我国建
立全面风险管理体系的内外动因三方面确认我国实施全面风险管理的必要性：总
结提炼了大量国际先进银行在风险管理理念、风险管理组织结构、风险评估技术、
风险处置对策以及内部控制等方面的经验；根掘全面风险管理框架的八要素针对
我国商业银行提出了详尽的改进措施，并设计出我国商业银行建立全面风险管理
架构的蓝图。
鉴于论文命题偏重理论阐述的特点及受信息渠道的限制，文中可能会实证及
数理分析较少。加之笔者水平有限，对我国商业银行面临的风险及风险管理技术
认识有限，论述过程中难免出现错误与疏漏，但笔者想就此文抛砖引玉，给以后
的学者提供一些参考。
全面风险管理——理念与模式
参考文献
(1)顾京圃．《中国建设银行实施全面风险管理培训提纲》，2002，lO
(2)5k文峰．谈全面风险管理与内部控制．财会论坛，2005，3
(3)黄宪商业银行全面风险管理体系及其在我国的构建中国软科学，2004，11
(4)陈岩．全面风险管理在我国商业银行中的运用．金融研究，2004，5
(5)唐国储，李选举．新巴塞尔协议的风险新理念与我国国有商业银行全面风险管理体系
的构建．金融研究．2003，1
(6)马崇明．论构建我国商业银行全面风|{盘管理体系，新金融，2003，9
(7)叶永刚，顾金圃．中国商业银行内部控制体系研究、设计与实施．北京：中国金融出
版社，2003
(8)COSO．Enterprise Risk Management—Integrated Framework．2003
(9)COSO．Applying COSO’S Enterprise Risk Management Integrated Framework．2004．
(10)COSO．FAQsforCOSO毫EnferpriseRiskManagement—Integrated Framework．
(11)COSO．Internal Control--Integrated Framework．1992．
(12)Basel Committee．The New Basel Capital Accord．2003．
(13)Bank for International Settlements．New Basel Capital Acoord．http：／／w w
w+bis．Or。g／publ／bcbsca，2003—05—01．
(14)Joseph Neu．The Treasurer’S Role in Leading Companies Down the ERM Path to
Better Corporate Governance．29-09-2004．
(15)Christy Chapman．Bringing E枷into Focus．June 2003．
(16) Financial Executires Research Foundation．What is COSO?Defining the
A1liance(1)That Defined Internal Contr01．April 2003．
(17)Mike Bridge and Inn Moss．C0sO Back in the Limel ight．PricewaterhouseCoopers
Perspectives on Financial Services，April 2003．
(18)Ernst＆Young．Preparing for Internal Control Reporting．Spring 2003．
(19)Protiviti．Guide to the Sarhanes-Oxley Act：Internal Control Reporting
Requirements． March 2003．
(20)Paul E．Lindow and Jill D．Race．Beyond Traditional Audit Techniques．Journal
of Accountancy．July 2002．
41
全面风险管理——理念与模式
(21)American Accouoting Association．COSO Launches New Study to Provide Guidance
on Assessing and Managing Enterprise Risks．January 2002
(I)Carlo di Florin．COSO Study on Fraud in Financial Reporting．The 9th
International Anti-Corruption Conference．October 1999
(22)The Institute of Internal Auditors．Does Your Control System Pass the COSO
Test．March 1998．
(23)Mark R．Simmons．COSO Based Auditing．The Internal Auditor．December 1997．
(24)COSO．What is COSO：Background and Events Leading to Internal
Control—Integrated Framework．1992
(25)David B Crawford．COSO and Self—Assessment．1993
42
致谢
经过数个月的努力，我终于完成了硕士论文的撰写工作，很高兴在论文的写
作过程中，能整理自己对我国商业银行全面风险管理体制和技术上的思考。在写
作过程中，我研究了我国商业银行现有的风险管理体系和现状，学习了国际上先
进的管理技术和观念。通过这次写作，也为自己阱后工作理清了努力方向。这个
领域的知识在不断更新，管理方法不断改进，我将在工作中继续这个方面的学习
和研究。
在论文的定题、拟大纲、初稿、二稿以至最后定稿，每个阶段都倾注了我的
导师刘亚老师的大量心血。他的严谨的治学态度和渊博的学识是我所深深佩服
的。在此，我谨借此机会向尊敬的刘老师表示深深的谢意，感谢他对我学习上的
指导和关怀。论文的写作还要特别感谢金融学院的老师们对我的教育和帮助。在
论文的写作过程中，我还得到了同学的大力支持和宝贵意见，在此也一并向他们
表示感谢。