兰台商规 | 关于商业银行风险管理概述——银行监管与合规专题

《银行业金融机构全面风险管理指引》第三条规定，银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

（一）信用风险

信用风险指的是交易对手在合约到期时没能按照合约规定履行全部债务义务的风险，也可称作信用违约风险，信用风险是银行面临的主要风险，即交易对象不能按照合同完全履行义务的风险。对于银行来说，信用风险可存在于银行的信贷、担保、保证、贸易融资等多种类型业务中，表内业务和表外业务均有涉及。、

根据《中国银监会关于进一步加强信用风险管理的通知》，信用风险的管理涉及改进统一授信管理，加强授信客户风险评估，规范授信审批流程，完善集中度风险的管理框架，加强国别风险管理，提高贷款分类的准确性，开展非信贷资产分类，提升风险缓释的有效性等内容。

（二）市场风险

《商业银行市场风险管理指引》第三条规定，市场风险是指因市场价格（利率、汇率、股票价格和商品价格）的不利变动而使银行表内和表外业务发生损失的风险。市场风险存在于银行的交易和非交易业务中。

市场风险可以分为利率风险、汇率风险（包括黄金）、股票价格风险和商品价格风险，分别是指由于利率、汇率、股票价格和商品价格的不利变动所带来的风险。利率风险按照来源的不同，可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。

《商业银行市场风险管理指引》对市场风险管理政策和程序提出了十项主要内容，此外，该指引中以“应制定”、“应采取措施”等方式对账簿分类、并表管理、模型管理、压力测试、重大事项报告、专项管理等提出了制度规范性要求。

（三）流动性风险

《商业银行流动性风险管理办法》将流动性风险定义为：“商业银行无法以合理成本及时获取充足资金，用于偿还到期债务、履行其他支付义务和满足正常业务开展的其他资金需求的风险。”

该办法要求建立流动性综合监管体系。包括建立有效的流动性风险管理治理架构和建立完整的流动性风险管理政策和程序。其中，完整的流动性风险管理政策和程序包括流动性风险计量、限额管理、日间流动性风险管理、压力测试、应急计划、优质流动性资产管理、管理信息系统支持等。同时监管方法要多样化，可以采用审核报告、非现场监管、现场检查、高管约谈等方法。

（四）操作风险

《商业银行操作风险管理指引》第三条规定，本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

银行操作风险管理的主要内容包括制定操作流程，建立管理架构；设立组织结构，建立管理部门；开展评价系统，保证连续有效；建立内部机构，加强风险防范；建立审计部门，制定规章制度，建立奖惩制度等。

（五）国别风险

《银行业金融机构国别风险管理办法》所称的国别风险，“是指由于某一国家或地区政治、经济、社会变化及事件，导致该国家或地区债务人没有能力或者拒绝偿付银行业金融机构债务，或使银行业金融机构在该国家或地区的商业存在遭受损失，或使银行业金融机构遭受其他损失的风险。

国别风险可能由一国或地区经济状况恶化、政治和社会动荡、资产被国有化或被征用、政府拒付对外债务、外汇管制或货币贬值等情况引发。

国别风险的主要类型包括转移风险、主权风险、传染风险、货币风险、宏观经济风险、政治风险以及间接国别风险。”

根据《银行业金融机构国别风险管理办法》第十条的规定，国别风险管理体系包括以下基本要素：（一）董事会和高级管理层的有效监控；（二）完善的国别风险管理政策和程序；（三）完善的国别风险识别、计量、监测和控制过程；（四）完善的内部控制和审计。

（六）银行账户利率风险

《商业银行银行账簿利率风险管理指引》第三条规定，“本指引所称银行账簿利率风险指利率水平、期限结构等不利变动导致银行账簿经济价值和整体收益遭受损失的风险，主要包括缺口风险、基准风险和期权性风险。银行账簿记录的是商业银行未划入交易账簿的相关表内外业务。”

银行账户利率风险管理的主要内容包括：建立完善的银行账簿利率风险治理架构，制定包括风险策略、风险偏好、限额体系等在内的风险管理政策框架，并定期对银行账簿利率风险管理流程进行评估和完善。

（七）声誉风险

《银行保险机构声誉风险管理办法（试行）》第二条规定，“本办法所称声誉风险，是指由银行保险机构行为、从业人员行为或外部事件等，导致利益相关方、社会公众、媒体等对银行保险机构形成负面评价，从而损害其品牌价值，不利其正常经营，甚至影响到市场稳定和社会稳定的风险。

声誉事件是指引发银行保险机构声誉明显受损的相关行为或活动。”

近年来银行机构声誉风险的来源，重点包括银行高管违法违规、代销踩雷和理财业务等致投资人大额亏损、信用卡分期还款侵害消费者权益、节日营销活动给消费者带来较差的参与体验等。

《银行保险机构声誉风险管理办法（试行）》要求，银行保险机构应以公司治理为着力点，将声誉风险管理纳入全面风险管理体系，覆盖各业务条线、所有分支机构和子公司，覆盖各部门、岗位、人员和产品，覆盖决策、执行和监督全部管理环节，同时应防范第三方合作机构可能引发的对本机构不利的声誉风险，充分考量其他内外部风险的相关性和传染性。

银保机构进行声誉风险管理，应与自身规模、经营状况、风险状况及系统重要性相匹配，并结合外部环境和内部管理变化适时调整。同时，建立声誉事件分级机制，结合本机构实际，对声誉事件的性质、严重程度、传播速度、影响范围和发展趋势等进行研判评估，科学分类，分级应对。

（八）信息科技风险

信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

银行业当前面临的常见信息科技风险包括：业务创新风险新技术风险、敏感信息保护及资金安全、变更及操作风险、基础设施全局性风险、供应商风险等。信息科技风险的内容包括制定全面的信息科技风险管理策略，制定持续的风险识别和评估流程，依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施，建立持续的信息科技风险计量和监测机制等。

（一）内部控制评价机制

内部控制与风险管理不可分割且相互交叉融合。内部控制是进行风险管理的保障。现代化的银行建设对内部控制评价工作的覆盖面和对重要风险环节的识别、分析、预判提出了更高更细的要求。商业银行应建立全面性和重要性有效均衡的内部控制评价机制，指定专门的部门牵头，安排专业化的人员将内控评价作为年度重要工作组织开展。着重关注高风险领域、重要业务单元和内控关键控制环节，对新兴业务、高风险业务以及风险事件频发的机构或领域重点要求。

（二）信息披露制度

规范化的信息披露可以帮助准确核算有关银行风险的数据信息。银行信息披露既要考虑强化市场约束，规范经营管理的因素，又要考虑到信息披露的安全性与可行性。我国商业银行应严格执行信息披露责任机制，加强对信息披露的管理，适当地增加非财务信息的披露，从多角度、多层次、多方位对现有和潜在风险进行披露，从而有利于实行科学可行的风险监管防范措施，高效推行风险预防工作，也能够适当地提升商业银行在社会上的信誉，保证其运营的稳健性和发展的可持续性。

（三）排查业务风险机制

要提升商业银行风险管理能力，实现可靠管理，还需要构建业务风险的有效排查机制，全面检查各项业务的信用风险，增加风险检视与排查程序，对业务进行有效把控。

（四）数据安全评估机制

银行应该建立数据安全评估机制，聘请专家对于信息和数据的安全展开独立的风险评估以及安全检查。针对未来可能出现的风险情形，需要提早进行演练。例如对于数据的追补以及关键数据的保护和恢复，应当制定一套完备的应急方案。建立对于客户隐私数据的保护机制，对于银行所用数据的获得、传输、使用等权限制定一系列的条例。同时银行也需要强化自身的监管与审查，以此确保数据安全。