銀行全面風險管理體系十步法

福利福利！預定《銀行全面風險管理體系培訓》定制企業培訓方案，請私聊《銀行全面風險管理體系培訓》企業內訓講師手機號13810048130，微信18749492090百度搜索“交廣國際企業培訓”，點擊進入官網www.ftyjxsb.com留言，交廣國際管理咨詢公司贈您免費管理培訓課程公開課名額！

主講專家：交廣國際簽約銀行全面風險管理體系講師《銀行風險管理體系》課程以實用性和操作性見長，講師憑借豐富的個人經驗和授課技巧，見地獨到，穩定輸出，在各行業獲得了良好的口碑，歡迎預定課程、咨詢合作。

交廣國際內訓特色:
運用國際室內體驗式課程教學七步模型進行課程設計
運用交廣國際室內體驗式管理培訓道具進行互動教學
運用當前世界500強企業或結合行業現實案例進行分享
課程以學員為中心，而非講師為中心，倡導“做中學”
課后設計學員個人行動方案，幫助企業驗證學習效果
管理培訓工具課程包可留在企業重復使用，賦能于人

在商業銀行的發展中實施風險管理，有助于銀行及時的發現風險，并對風險進行控制，繼而可以提升銀行的競爭能力，同時可以使銀行在激烈的市場競爭中獲取更大的利益。在設計全面風險管理體系時，銀行可以利用十步法。

第一步是現狀調研和總體評估。這里就不多說了，診斷二字就可以了。

第二步，風險管理體系框架設計。首先風險管理體系與集團戰略、集團管控之間的關系，集團戰略決定集團管控，風險管理體系是集團管控的其中一個分支，這是我們大家要明白的，它們三者之間的關系是什么。風險管理在整個集團管控里面，是一個組成部分，那么集團管控，是戰略的一個組成部門，所以他們二者之間的關系，就是這么一個母子孫的關系。

其次是風險管理建設的基本框架，就是一個文化，一個信息系統，所以風險管理的環境，尤其是風險文化的建設，風險信息系統的建設。風險信息系統不僅在ERP里有所表現，而且各種子公司的風險管理部，給母公司風險管理中心上哪些報告，母公司的風險管理中心給風險管理委員會上哪些報告，風險管理部門如何參與到各級會議里去，如何協助決策，都是這里面的一個組成部分。

最后，風險管理組織怎么設，風險管理組織怎么運作，作為一個組織和流程。這些設計完了以后，整個風險管理體系的基本框架就完成了。專門就是風險方面的一些認識、理念，一些行為等等。那么這是風險管理當中，各級組織，母公司下面有風險管理委員會，另外有風險管理部門，公司層面上有風險控制的部門，在子公司里有風險控制的部門，就是子公司風險管理部或專員，在信息系統里面有風險管理的派駐機構，這樣的話，風險管理部門才是完全的。另外呢，外部還有中介機構，外審等等。

第三步，風險信息系統的建設。首先是風險基礎信息收集，整個所有其他公司發生過的風險，歷史以來的風險的法律法規，風險管理方面的各種文件，做法全部收集在這里，另外整個公司的風險地圖，就是公司面臨哪些風險，所有羅列的風險全部畫出來，另外風險數據庫，把各種風險初始信息全部收集上來，甚至按照風險感覺宇宙，分門別類，你看成根目錄就好了，一個目錄，然后就不斷地在這上面填空，發動各級員工，公司外部內部的，全部去收集，然后風險識別。

第四步，風險的識別和評估。首先是對內部風險、外部風險進行識別，具體識別手法可以有這么一些，比如頭腦風暴，一些人坐在這里，我們法律上有哪些風險，大家一說，一個人記錄，差不多就下來了，不是說這些記錄下來就可以了，記錄下來的都是原始記錄，可能有些邏輯表述不清，還有些包容關系，母與子的關系，還有一些不搭介的等等，還要再識別。

其次是對風險進行評估，那么風險識別出來以后，對風險進行分析，這個風險它的成因是什么，類別是什么，這個風險可能發生的可能性高低，破壞性高低，對風險進行分析。

最后，把所有的風險根據它的影響度和可能性進行進一步的分析，最后對風險進行評價，這是剛才的風險分析。風險分析出來以后，比如說所有落在藍的里面的都是重大風險，但是即使是重大風險，我們仍然要進一步打分，不能說重大風險都是等量齊觀的，還有風險一，風險二，給權重評分，把重大風險找出來了。

第五步，風險管理策略。風險管理策略就是整個公司面對風險的基本的態度，為什么要制定最基本的態度呢，因為如果太害怕風險，對公司不敢向前，也有問題，太不害怕風險，傻大膽，基本上它的成功就是概率事件，我們認為首先要建立一個風險管理策略。

風險管理策略標準有三個，一是風險偏好，風險偏好在這里特指公司風險偏好，而不是個人風險偏好。有些大膽的領導，被分配到一個膽子很小的公司里去，行業很謹慎，千萬不能出錯。因此有些行業本身是低風險偏好的，不能冒險，有些行業是高風險偏好的，必須冒險。二是風險承受度，不同的公司風險承受度不同，不同的行業有不同的風險承受度，有些行業根本承受不了風險，風險太敏感了，放大杠桿倍數非常高，一下子就把你推垮了，而有些行業完全不所謂，有很強的風險抗擊能力，比如說那種兩元店，哪怕世界毀滅，兩元店都干不掉，我在兩元店里可以買到很多東西，甚至一元店里面可以買到非常好的指甲刀，像那種指甲刀，正常買的話要7、8塊錢，甚至十幾塊錢，777牌的，我就可以在那里一元錢買到，而且一看，一剪就知道是正規牌子，它通過供應鏈，它的處理，總之把價格降到這么低了，有絕對的風險承受度。三是風險管理的有效性標準。要把風險管理到什么程度，有些有效性標準過高。

以上這三點是企業的最基本的出發點，這三點和企業所在的行業、戰略、領導人、管理風格、文化，甚至宏觀環境有絕對的關系。有了這三個以后，才談得上企業的風險策略，風險策略就這幾個東西，一是不設防或有計劃地風險承擔或者有計劃地承擔。二是少冒險或低風險。三是對沖。如果同時承擔多個風險的話，風險與風險之間可能本身會互相抵消，我們進行風險組合，舉一個最基本的例子，比如說摩根史丹利從華容手上買了30億元的資產包，它就是典型的一個對沖，因為有些資產肯定是死資產，盤不活，但是畢竟會有些資產盤活，一旦盤活，那我就賺了。四是風險補償，就是用風險補償機制進行創新，風險補償講得很簡單，如果要讓承受高風險，必須高回報，如果讓我低回報，必須低風險。最后風險控制，控制風險因素或發生的頻度和程度。因為風險控制不住，所以只好控制風險因素，就風險的造成因素進行控制。具體就風險策略來講的話，只能說這幾大類是最具代表性的，不是說整個風險就這六大策略。

第六步，設計風險控制計劃體系。簡言之，就是整個公司所有的風險全部找出來以后，辯證性地分析，固定的風險我們就把它內控化了，就不管了，哪些風險設置到哪些部門，財務部、人力資源部，各自涉及到哪些風險，所涉及到的風險，從部門層面編制控制計劃，當然這里的部門，也是指子公司，它的風險，只不過子公司的風險，需要單獨再做一套。

部門層面設計風險控制計劃，最后匯合成為公司風險控制計劃，這很簡單，當然不是簡單加總，沿用我們剛開始講的思路，總體層面，總部層面還有一些風險控制，各個部門層面有些風險控制。具體的風險控制計劃，所有的風險控制計劃，由兩個部分構成，一個是內控方案。這里只需內部執行方案就好了，否則會引起歧義，先內部執行，因為有些是可以內控化，有些沒法內控化，只能說內部執行，還有些風險要外包掉，風險的檢查、管理。另一個是建立一個預警體系，預警體系在執行過程當中，最簡單的預警就是，根據財務報表，根據數據，連續兩三個月沒達成目標，偏離目標的，我們就進行行動，但是廣泛地來說，預警一直可以預警到先兆、因素。

第七步，導入全面風險管理體系。體系設計完后、方案寫好后，并不意味著企業按這個操作了，其實企業里面導入一個體系是非常麻煩的，要把體系切換進制度，各種工作和崗位掛起鉤來，原先的考核流程發生改變，動員等等。

體系導入以后，整個企業就建立了三道防線，第一道防線就是日常，由風險管理部門、內審部門和業務部門共同完成的，事前、事中的風險管理。第二道防線就是風險發生了以后，風險管理部門報告給風險管理委員會，這個事已經提到議事日程上，最后一道防線就是審計委員會和審計。

現在有一種做法是錯誤的，就是把風險部門和審計合并到一起，好就好在很直接，壞就壞在，如果這兩個部門合并到一起，等于是一次性地通過兩個人，相當于后衛當守門員，如果繞過后衛，基本上這個球就必進了，理論上這個防火墻應單獨設。

第八步，各種風險處置方案的實施。企業里面一般會把前20大，或者前30大風險，每一個建立一個預案，這個風險用哪些數據來衡量，一旦出現了以后怎么管理，或者事前、事中怎么管理，領導人是誰，每一個領導人管理兩三個風險，等于風險有分管領導。除了前30大風險會分別建立風險管理手冊以外，后面的大類風險，用類來管理，這一類的怎么管理，而不會說具體的后面的31到50，51到80，那基本上就垮掉了，完全管不過來。每季度，至少每半年重新對風險排個隊，羅列一下，排一下權重，看風險的高低。風險管理處置方案的實施，就看實施得是不是到位，是不是有效，在實施過程里面再檢討，主要就是PDCA。

第九步，持續進行監測與評估。整個風險體系導入了，但是執行體系的有效性如何，對它的有效性進行持續的監測與評估，提高執行的有效性。

監督和改進就是執行自我檢測和自我評估，風險管理實施的有效性，發現并傳遞重大風險管理缺陷，根據變化加以改進，持續提升風險管理水平。我們要注意的是，它是個長期工作，不是短期內能完成的，它要求所有人管理素質相當高，基本上不是基礎性管理可以想象的，要求素質也相當高，要監督，要動態修正，風險事項和業務流程。

第十步，優化風險管理體系。進行風險管理體系特別是風險管理能力的提升，因為我們特別強調，風險它是有主觀性，風險在企業面前并不平等，什么意思呢？風險本身并不具備絕對性，不同的企業，面對風險會給它打上不同的分數。

盡管我們沒法改變風險，但我們可以改變風險管理能力、分析能力、識別能力、處理能力、控制能力，我們沒法控制風險，提升風險管理能力。其實一個企業風險管理系統的建設的成功標志，就是風險管理能力的高低，越高，我對風險越有辦法，持續優化。

從根本上來說，風險管理是個內控的升級版本，它是個戰略管理的升級版本。另外它追求的是一種混合式的經營，將固化的風險內控化，將動態的風險進行動態的風險經營，就是有些可以處理的就處理，有些可以利用的就利用，這是總體思維。一個企業建立風險管理體系的過程，是由低到高，爬坡的一個過程，在這個過程中企業通過風險管理體系的完善、風險管理能力的提升，來提高管控風險的水平，而不是對風險怎么樣簡單地去加以管理和控制。