第三节
全面风险管理组织框架

为实现银行集团内全面风险管理，必须建立相应的风险组织机构，主要包括组织层级结构、风险管理流程、风险信息报告流程三个部分。由于各国的历史、文化、社会经济等因素的影响以及各家银行企业文化不同，不同的风险管理组织架构不尽相同。但它们都是根据面临的市场环境和业务特点，建立起符合自身特点的风险管理组织模式。尽管各家银行的风险组织架构各不相同，但它们都有一个共同特点，即，基本遵循了前面述及的构建银行风险管理组织的十项原则，且呈现出集中与分散相统一的管理趋势。

一、风险管理组织设计决定要素

一是银行的业务发展战略。每家银行都有自己不同的情况，有的银行希望朝着业务部方向发展，有的银行仍然希望维持单一制的社区银行模式，还有银行正在改革自己的组织框架以期实现矩阵式、扁平化。无论怎样，银行选择风险管理组织架构模式时，必须适应自己的业务发展战略。

二是银行的文化制度背景。银行风险组织设计总是在一定程度上继承了文化制度，组织机构设置是便于执行相应职责的人开展相关活动，必须适应银行文化制度背景，即使是进行组织变革，也要充分考虑文化制度变化过渡性，使新建组织按预期运作。

三是银行的资源状况。风险管理是一项系统工程，需要一系列资源支撑，比如人力资源、科技资源、设备资源以及资金，等等。有些风险管理组织框架模式需要大量资源支撑技术，如业务部模式。因此，银行必须充分衡量自身资源状况，绝不能超越目前资源水平。

四是经营成本/效益分析。风险管理是要花费成本的，人员的配备、设备的购置以及科技的投入，无一不需要大量的资金投入。那么银行在选择风险组织框架时，就要进行投入产出的成本效益分析。只有当收益大于成本时，这项投入才是科学的。

五是要满足当地监管要求。巴塞尔委员会关于风险管理组织及职责划分问题分散在几个文件之中，如《利率风险管理原则》（1997年7月）、《银行机构的内部控制制度框架》（1998年9月）、《健全银行公司治理》（2006年6月）、《信用风险管理原则》（2000年9月）等（见表2-2）。通过文件研究可以发现，委员会对风险管理职责的划分更多集中于董事会与高级管理层之间。银行董事会更多的是侧重于确定风险管理战略和风险偏好。管理层负责执行和实施风险战略。

六是管理信息系统。在这些文件中都非常强调管理信息系统的极度重要性，董事会和高管层要充分掌握全行范围风险状况，除其他条件外，技术上必须借助于先进的管理信息系统，实现风险集中集成控制和分散管理。

二、全面风险管理组织层级设计

从集团全面风险管理组织层级看，主要有董事会、高管层、业务执行三个层面，内部应形成激励相容的动态监督管理机制，见图2-8。

在集团董事会层面，集团董事会是银行集团全面风险管理系统层级最高的组织机构，负责审批银行整体经营战略和重大政策，并定期进行检查；集团董事会应了解银行主要风险，确定可接受的风险水平并保证高级管理层采取必要措施识别、衡量、监督和控制风险；负责审批风险组织架构；确保风险战略反映银行风险承受限度及相应预期收益水平。

集团风险管理委员会将行政审查监督、业务稽核审计和内部风险管理集于一身，直接对董事会负责，主要职责有：（1）确定集团风险管理目标；（2）制定并报批风险管理战略；（3）审定各种风险管理的标准和程序；（4）向董事会提交独立风险管理报告，并提出风险管理建议；（5）批准各下级层次的风险限额；（6）审阅所有的日常交易记录；（7）定期审查集团系统内的风险状况，听取风险管理职能部门、风险业务管理部门负责人以及审计部门的汇报，并形成风险管理建议；（8）聘任专业人员设计有效的风险管理指标体系和信息技术平台；（9）倡导建立独立的风险管理方法来计量、控制和报告风险；建立稽核检查制度和稽核处罚制度；（10）督促各项内部风险管理措施和规章制度的贯彻实施，保证独立地履行监督反馈职能；（11）定期或不定期评估审视风险管理政策等；（12）指导子公司风险管理委员会；（13）评价集团全面风险管理有效性。

以CEO为首的集团高级管理层负责执行董事会批准的风险管理战略，根据董事会授权，制定识别、衡量、监测、控制各种风险的政策、程序和方法，报批超权限的风险管理政策、制度和程序；负责建立责任明晰、授权明确、具有清楚报告关系的风险组织架构；为各层次的管理人员界定职责，但必须认识到管理人员以银行的经营业绩向董事会负责；负责监督各职能部门有效执行各项职责。首席执行官（集团行长）在考虑整体业务战略的基础上批准风险取向；确保风险管理职能的独立性；与首席风险官进行两周一次的定期会议来审核重要的风险议题。首席风险官与所有高层业务主管（副行长）平级并有权对他们说“不”；将董事会和首席执行官对风险的要求落实为银行集团的风险标准和政策；对集团风险管理流程的充分性和适用性负责；审核全部业务单元的总体风险，并在宏观层面对业务组合的风险构成和质量进行评估；批准具体业务的风险管理政策；确保所有业务单元都在风险限额内运营；审核并决定具体业务风险政策的例外情况；批准所有独立风险管理经理的任命；与财务部门分管副行长合作进行最负面情况的分析，从而理解对银行盈利能力和流动性的影响等。

在风险管理决策实施层面，集团各分行、各子公司的业务风险管理部门，拥有相当自主的、对职责内的部门业务风险和资金风险进行管理的权力，在业务一线负责全力督促业务部门全面正确实施集团风险管理战略、政策、程序和措施；向集团职能风险管理部门提供精确、及时的风险管理信息等。集团风险管理职能部门作为集团风险管理总部，一般设立银行风险整合模块、信用风险管理模块、市场风险管理模块和操作风险管理模块，其一般职能是：（1）确保机构内业务发展与集团风险管理委员会制定的风险偏好一致；（2）接受集团风险管理委员会的授权，制定、实施和修订本机构风险政策、程序和方法；（3）同时行使集团风险管理委员会办公室职责，负责召集集团风险管理委员会定期会议；（4）设定与分配限额来限制各子公司的最高风险限额；（5）进行定期的风险测量、监控，并定期向风险管理委员会提供风险管理信息，拟订风险管理建议；（6）监督集团各业务部门执行风险管理政策的情况；（7）就存在的问题与集团各业务部门和子公司的风险管理部门、风险经理进行联系等。

集团风险审计部门的主要职责是：（1）审核集团各部门和各子公司提供的风险报告和财务信息资料；（2）建立和健全集团内部审计网络，对集团各部门和子公司进行定期和不定期的合规性风险审查；（3）对下属子公司进行内审工作的指导服务，督促建立和健全有关内控制度；（4）评价集团公司风险管理总体有效性等。

三、集团风险管理系统内外互动

集团风险管理系统运行中，一方面要强调行使风险管理职责的独立性，另一方面，又要与集团内各业务部门之间有效互动。互动范围包括与内部互动和与外部互动，与内部互动包括与前台业务部门、后台职能部门以及高级管理人员之间的互动，与外部互动包括与外部机构或人员之间的互动，如监管机构、外部审计机构、资信评级机构以及商业客户等。集团风险管理部门与相关部门互动，主要体现在以下四方面：

第一，风险管理部门与业务部门的互动。与业务部门互动，主要是指导业务部门形成对资产头寸、市场和损益的看法，以及怎样为业务部门的交易或投资产品设计风险管理模型以正确把握风险和控制风险。业务部门是风险信息使用者，信息对业务人员行为影响很大。业务部门了解他们的产品和市场，风险管理部门应与他们沟通，风险经理应从全面风险管理角度，经常向业务部门的信贷员、交易员提供风险分析，或在设计风险模型时，征求业务经理意见。为正确评估风险，风险管理部门要透彻地了解业务经理对市场和业务交易策略的看法。沟通的前提是不破坏风险经理的独立性原则，并且当业务经理需求是合理时，应给予考虑和支持。风险经理应为业务经理准备一份有关他们风险数据的报告，即向业务经理适时提供经风险调整的收益数据，以便业务经理衡量评估相应的业务风险。

第二，风险管理部门与财务管理部门的互动。与财务管理部门互动，包括从财务管理部门取得损益数据，并且核实风险管理报告中反映事后监测的数据是否准确。财务管理部门每日以市场价格来分析公司财务状况的行为是提高风险管理有效性的重要前提，而且如果风险管理部门发现头寸或价格数据有误，必须传达给财务管理部门，以便记录在案。从发展趋势看，风险管理部门与财务管理部门互动将日益紧密，公司绩效的评价不再依靠公司回报或总收益，而是日益注重风险调整收益。由于财务管理部门拥有损益的会计记录，而风险管理部门负责风险数据，两部门工作上需要紧密协作。风险管理部门对财务管理部门贡献在于：随时汇报监管资本变动情况，且保证财务管理部门在准备分析报告时获取规范性风险数据。

第三，风险管理与其他职能部门的互动。与其他职能部门的互动表现在，风险管理部门需要其他职能部门提供准确的数据信息来推算风险结果，如果风险部门发现数据有误，必须立即反馈给其他职能部门，以便他们在下一个工作日及时更正。

第四，风险管理部门与技术部门的互动。与技术职能部门的互动表现在，风险统一管理要求较高的技术能力支持，并且需要不同的部门收集大量的数据，因此风险管理部门必须密切地与技术部门联系，更重要的是，风险管理部门需要借助于技术部门的技术优势开发风险管理的信息系统，以此大大提高风险管理的工作效率。

在银行集团风险管理系统与外部互动方面，主要体现在以下四个方面：

第一，风险管理部门与政府金融监管机构的互动。主要表现在，银行集团风险管理部门受到政府监管机构的严密监管。巴塞尔Ⅱ要求政府金融监管机构对银行集团实行并表基础上的风险监管，确保银行全面准确识别、衡量、控制和管理风险。

第二，风险管理部门与外部审计部门的互动。主要表现在，集团风险管理部门常在年度审计中配合接受外部审计。在年度审计中，风险管理部门必须和外部审计密切配合，向他们清楚地阐明所用的风险测算方法、风险定价模型以及风险管理程序等。

第三，风险管理部门与资信评级机构的互动。主要表现在：风险管理部门必须和信用评级机构密切配合，接受资信评级机构对银行集团稳健性和长期生存能力的评价，包括集团系统中风险管理部门的地位、风险管理能力等。

第四，风险管理部门与外部客户的互动。主要表现在：集团风险管理部门为外部客户，特别是机构投资者提供集团经营与管理的详细风险报告。在外部客户日趋形成风险管理偏好的趋向下，银行集团是否能进行有效的风险定量评估，客户是否能够得到风险的指导和建议，集团风险管理部门如何构成与运作都已成为业界竞争的强有力手段。

四、集团全面风险管理基本流程

银行集团风险管理流程主要由三个相互连接的环节组成：风险识别、评估与预警→风险防范与控制→风险转移与补救，见图2-9。第一环节是风险识别、评估与预警。其功能为：对风险源的分析、归纳和预测。识别、评估和预警风险的渠道一般有两种，依据财务报表和依据风险环境。常见的方法主要是模型控制，如：多层次指标（绝对与相对）体系法（AHP法与专家打分法）、VaR法、敏感性分析法、压力测试法及返回测试法等。

第二环节是风险防范与控制。其功能为：在将风险源划分为随机类、操作类和决策类三大类别基础上，针对各类风险分别进行规划、设计，并兼顾风险控制的效率和成本。常见的方法主要是程序控制，如：对随机类风险的管理侧重于一般预防和超前转移；对各部门操作类风险管理应立足于完善制度和强化监督（如分级定期核查、流程跟踪、基于风险调整绩效考核制度的建立和实施、风险处置措施等）；对决策类风险的管理除制度防范外，还应采取特别措施（如预先评审论证和集中制定决策等）。

第三环节是风险转移与补救。其功能为：在风险源已产生并造成损失时，借助于预先设计的方法将某些风险源产生的损失转移出去，或者予以弥补。常见的方法仍然是程序控制，如经营多元化组合、加入保险、事前政策论证及合法性与合规性审查等。

在风险管理流程三大环节中，关键是第一环节和第二环节；第三环节则是在风险损失发生后启动事前设定的转移和补救措施。

采用初级或高级内评级法的银行，尤其是采用高级内评法的银行，必须重建授信业务及交易业务的方法、程序及信息流的流程，这种流程重建既要以风险/收益为导向，更要以风险控制为导向，应牢记高管层的时间和注意力是最稀缺资源（见图2-10）。

业务领导很少能同时处理众多业务前沿问题，金融工具复杂性、海量信息涌入以及承担各种风险已改变了危机管理性质，需要更积极、更有效的工具来同时处理多个问题。

五、集团全面风险管理报告路径

（1）集团风险管理委员会责成业务风险管理部门和财务管理部门与下属子公司风险管理部门及各部门的风险经理等，在集团高级管理层下辖的各职能部门和业务部门的积极配合下，共同完成集团风险评估与预警指标体系，共同开发风险管理信息系统。

（2）集团本部同分支机构的风险经理按各自风险预警指标，监控风险状况。

（3）集团与分行及子公司各部门的风险经理每日下班前把计算结果与对风险情况的评价向本公司风险管理部、本部门主管分别报告（提交风险评估与预警报告）。

（4）集团与分行及子公司的风险管理部门把各自部门风险经理的上报结果进行汇总，对公司的风险情况进行整体评估，并提出意见。

（5）在正常情况下，集团与分行和子公司的风险管理部门应把每周总结报告、月度报告和季度报告汇报给风险管理委员会的各组成员，尤其是集团董事长和集团首席执行官（行长）（提交风险评估与预警报告）。

（6）集团或子公司的风险管理委员会提出意见，分别授权集团或子公司的首席执行官对公司与各部门下达风险调整等方面的指示。此外，对于子公司重大的风险调整措施，子公司风险管理委员会应及时请示集团风险管理委员会，并等待反馈意见。

（7）集团风险政策部门应定期对集团系统的风险管理政策进行评估，向集团董事长和集团首席执行官提出战略性意见。

（8）集团审计部门应定期对各部门管理与操作的合规性进行评估，并向集团风险管理委员会提交评估意见。