商业银行风险识别与评估管理制度与流程

1、商业银行风险识别与评估管理制度与流程第一章总则第一条为规范商业银行（以下简称本行）风险识别与评估管理， 全面识别出各项业务和管理活动的风险，并准确评估其风险等级，制 定出针对性控制措施，预防和控制风险的发生，特制定本制度。第二条本制度明确了本行各项业务和管理活动的风险识别、评估 和控制的程序和方法。第三条本制度适用于本行各项业务和管理活动的风险识别与评 估。第四条威胁是指可能对银行造成损害的不期望事件的潜在原因。 第五条脆弱点是指可能被一个或多个威胁所利用的弱点。第六条风险指商业银行在经营管理活动中，由于不确定因素影响 使得银行实际收益偏离预期收益，从而导致发生损失或获取额外收益 的可能性。或

2、特定的威胁利用脆弱点，进而对银行造成损害的不期望 事件。第七条风险识别对本行经营管理活动中存在的所有风险进行排 查和确定其特性的全过程。第八条风险评估指测算估计风险大小及确定风险是否可接受的 全过程。第九条信用风险是指债务人或交易对手未能履行合同所规定的 义务或信用质量发生变化，影响金融产品价值，从而给债权人或金融 产品持有人造成经济损失的风险。第十条市场风险指因市场价格（利率、汇率、股票价格和商品价 格）的不利变化而使银行表内和表外业务发生损失的风险。第条操作风险指因操作流程不完善、人为过失、系统故障或 失误以及外部事件造成损失的风险。第十二条流动性风险指商业银行无力为负债的减少或资产的增

3、加提供融资而造成损失或破产的风险。第十三条国家风险指由于他国宏观经济、政治、社会环境的影响 导致商业银行的外国客户或交易对方不能偿还债务的可能性。第十四条声誉风险指由于意外事件、商业银行的政策调整、市场 表现或日常经营活动所产生的负面结果，可能对商业银行的这种无形 资产造成损失的风险。第十五条法律风险指因无法满足或违反法律要求，导致商业银行 不能履行合同、发生争议、诉讼或其他法律纠纷，而可能给商业银行 造成经济损失的风险。第十六条战略风险指商业银行在追求短期商业目的和长期发展 目标的系统化的管理过程中，不适用的未来发展规划和战略决策可能 威胁商业银行未来发展的潜在风险。第二章职责与权限第十七条

4、各支行（总行营业部）、总行各部室负责各自范围内的 风险识别与评估及控制措施的实施。第十八条合规风险部负责风险识别与评估的指导与汇总工作。第十九条董事长负责本行不可接受风险的确定。第二十条行长负责本行可接受风险的确定。第二十一条分管行领导负责分管部门可接受风险的确定。第三章基本规定第二十二条风险评估的周期（一）一般情况下，每年进行一次风险评估。特殊情况下可增加 风险评估的频次，由风险管理委员会确定，按本程序实施。（二）特殊情况包括：新增业务；经营环境发生重大变化；组织机构、技术发生重大变化；本行认为有必要的其他情况。第二十三条新业务的风险识别每项新业务产品的推出，要首先进 行风险识别和评估，确定

5、风险等级，然后制定出预防和控制措施。风 险识别与评估管理流程一、流程图盘够理由心眼卜|虹蜉,出回片氏也一、流程图增株I4ff_lmlB游弟惬二、流程说明（一）风险评估的策划需求提出风险管理岗依据本部门风险现状提出对造成风险事项的活动进 行风险点识别与评估需求。前期准备（1）组织安排全面风险管理岗依据本次风险识别与评估的对象、范围、风险 现状、需要达到目的编制风险识别与评估计划报合规风险部总经 理审核。合规风险部总经理对风险识别与评估计划进行审核，并确 定风险评估工作小组组长和人员组成。工作小组人员应有三年以上相关业务经历的经办人员、管理人 员、检查人员、风险管理人员。风险评估计划由合规风险部总

6、经理审核后报经分管行长批准 后发放至有关部门。风险评估计划的内容包括评估目的、评估范围、 评估小组以及评估日程安排等。资料准备评估组组长负责提供资料清单，指定小组成员。准备资料的内容至少包括：（1）相关风险以前评估情况的资料；（2）现行有效的法律法规、政策；（3）体系文件；（4）与引起本次风险变化的因素相关的背景资料等。法律法规 资料的有关要求见适用法律法规和其他要求管理制度与流程。（二）风险识别实施1.风险识别的范围风险识别和评估的范围包括所有的业务活动、 管理活动和后勤支持活动中的风险，主要包括：（1）资产业务活动；（2）负债业务活动；（3）中间业务活动；（4）计算机系统管理活动；（5）安

7、全保卫活动；（6）资金管理活动；（7）采购活动；（8）市场营销活动；（9）业务及后勤支持活动；（10）其他活动等。风险识别的方法（1）各支行、总行营业部、总行各部室主要采用讨论与交流、 查阅有关记录、获取有关信息、流程图等方法进行风险识别；（2）调动经验丰富的业务骨干的积极性，充分征求他们的意见， 认真研究金融系统及监管部门印发的案例通报，从通报中识别风险;（3）查阅本行以往的差错登记薄，从差错中总结风险；（4）分析研究事后监管信息，从信息中发现风险；（5）认真剖析各项业务和管理活动的流程，从流程的各环节中 寻找风险。风险识别应考虑的因素（1）应考虑业务和管理活动所处的状态，是属于正常的业务管

8、理活动，还是在火灾发生、抢劫实施、盗窃发生等7非正常状态情况 下产生的风险。（2）应考虑内部和外部因素。内部因素主要指组织结构的复杂 程度、银行业务性质、机构变革和员工流动；外部因素要考虑经济形 势的波动、行业变动趋势、国家宏观调控政策等。威胁识别根据威胁来源的不同，将威胁的类型分为以下几类：（1）商业关系：本行与其他机构之间，如客户之间的关系；（2）法律法规：本行所必须遵循的法律、法规所调节的关系；（3）人员行为：与本行有关或无关的人员的行为；（4）自然事件：地震、火灾、洪灾、疾病等不可抗力；（5）科学和技术：本行内部和外部的科学技术问题；（6）政治环境：政局稳定、立法变化以及可能影响其他风

9、险的政治 因素；（7）管理活动和控制：外部机构或本行内部的管理或控制活动。脆弱点识别（1）风险评估小组识别每项威胁可能利用的脆弱点，将识别结果填 入风险识别与评估调查评估表中。一项威胁可能利用多个脆弱点， 一个脆弱点也可能被多个威胁所利用。（2）脆弱点来源于以下几个方面：物理脆弱点：组织的物理布局中存在的漏洞或缺陷；技术脆弱点：系统、程序、设备中存在的漏洞或缺陷；管理脆弱点：安全策略、规章制度、人员意识、组织结构等方面存在的不足。确定风险类型本行面临的风险类型包括：（1）信用风险；（2）市场风险；（3）操作风险；（4）流动性风险；（5）国家与转移风险；（6）法律风险；（7）声誉风险；（8）战略

10、风险；（9）其他风险等。风险评估（1）风险评估的半定量评价法半定量评价法是指根据业务发生频次、风险发生频次和风险发生导致 的后果，分别设定一个参数，然后利用业务发生频次评价法（LEC） 法，计算出三种因素的指标值之积来评价风险等级的大小。这三种因素是：L风险发生的频次E业务和管理活动发生的频次C风险发生可能导致的后果 其公式为：D=LEC业务和管理活动发生的频次本行依据前三年的业务量统计数据和 以往的管理经验，分别确定出几年发生一次、每年发生一次、每月发 生一次、每周发生一次、每日发生一次和每日发生多次等的业务和管 理活动。然后分别设定0.5、1、2、3、6和10为参数，如表一：表一业务和管理

11、活动发生的频次（E）代号业务发生的频次分数值E6多日/次10E5一次/日6E4一次/周3E3一次/月2E2一次/年1E1一次/几年0.5b.风险发生的频次风险发生的可能性的大小，用概率表示时，绝对不可能的事件发生概 率为0;必然发生的事件的概率为1;但在做系统安全考虑时，绝对 不发生风险是不可能的，所以人为的将“发生风险的可能性极小的分 值定为0.1，而必然要发生的事件的分值定为10。介于这两种情况之 间的情况指定了若干个中间值。各部门管理人员和业务骨干根据以往 的实际和本身的经验对业务和管理活动发生风险的可能性做出判断。 如表二：表二业务和管理活动发生风险的可能性代号风险发生的可能性分数值L

12、7完全可以预料要发生10L6相当可能要发生6L5可能发生，但不经常3L4可能性小，完全意外1L3很不可能，可以设想0.5L2极不可能0.2L1完全不可能0.1c.风险发生可能导致的后果风险发生可能导致的后果范围很大，可从很小的资金损失，到超过资 本金的损失或人员伤亡。由于范围广阔，所以规定分值为1100， 很小的资金损失分值为1，把造成超过本行资本金以上的损失或10 人以上的死亡的可能性分值规定为100。其他情况的数值在1与100 之间。各部门管理者根据经验，可给出不同的分值。如表三：表三（C）代号风险发生可能造成的后果代号风险发生可能造成的后果分数值C65亿元以上的损失或2人以上的死 亡10

13、0C5亿元以上的损失或1人死亡40C42000万元以上的损失或1人死亡15C3500万以上的损失7C220万以上的损失3C120万以上下的损失1d.风险等级分值根据计算公式D=LEC，可以计算出风险程度。但关键是如何确定各个 分值和总分的评价。根据经验，可参照表四的方法进行风险等级的划 分，但应注意风险等级的划分是凭经验判断，难免有局限性，不能认 为是普遍适用的，应同时需要根据实际情况予以修正。如表四:D值风险程度分数值320特大风险5160-320重大风险470-160严重风险320-70一般风险220稍有风险1（三）确定风险是否可接受属于严重风险以上的（不含严重风险）都是不可接受的风险。一

14、般 风险、稍有风险为可接受风险。采用直接判断法，凡具备下列条件之一的均应判定为不可接受的风 险。（1）不符合适用法律法规和监管要求的；（2）金融诈骗、盗窃、抢劫、爆炸，造成重大影响或损失；（3）发生挤提事件；（4）业务系统故障，造成重大影响或损失；（5）曾经发生事故，且未采取有效防范和控制措施的；（6）直接意识到可能导致风险的发生，且无适当控制措施的；（7）根据本行实际需要重点控制的。（四）风险处置根据（三）所确定的风险接受准则判定风险是否可接受。风险 评估小组针对不可接受的风险，制定风险处置计划。风险处置的优先级风险等级越高，其风险处置的优先级别也越 高，即特大风险的处置优先于其他级别风险，

15、重大风险的处置优先于 严重风险和一般风险，一般风险的处置优先于稍有风险。风险处置可包括：（1）控制风险：实施有效控制，降低威胁发生的现实可能性和 造成的影响，将风险降低到可以接受的等级，包括：减少威胁，即通过有效实施风险控制措施，避免威胁发生，从 而保护信息资产;减少脆弱点，即通过有效实施风险控制措施，减少脆弱点。如 采取适当的技术措施，对员工实施安全教育培训，强化员工的安全意 识和安全操作能力。（2 ）降低风险，即通过预防性措施降低威胁发生后可能造成的损失。 如对重要信息的备份、制定业务连续性计划等。转嫁风险：将风险全部或部分地转移到其他责任方，如通过购 买保险或外包等方式将风险转移给他方。

16、接受风险：接受风险的决策，包括接受一般风险级和稍有风险 级的风险的决定，也包括因技术、成本等因素被迫接受的重大风险级 和特大风险级风险的决策。风险处置措施的选择责任部门在收到“风险处置计划后，应认 真进行原因分析，并针对识别的原因，制定相应的处置措施，将风险 降低到本行可以接受的等级。针对一项风险可能需要采取多个处置措 施，而这些处置措施通常不是单独作用的，更多的情况是多个处置措 施联合作用才能将风险降低到可接受的水平。制定控制方案工作小组根据风险识别和评估结果及根据判断 结果确定可接受风险和不可接受风险。对可接受风险制定相应的控制 措施，不可接受风险要制定内部控制方案。（1）控制方案的内容包

17、括：控制目标、控制职责、控制措施；所需资源（人员、资金、设备、设施、技术和方法）；达到目标的时限要求。（2）制定控制方案时应考虑的因素：现有控制措施所能达到的控制效果；新措施的经济性、技术的可行性、现有资源的可行性；持续改进的需求；现有人员的职业素质与技能；法律法规、监管机构、国际惯例的要求；f.措施本身所带来的 风险。控制方案的审核、批准（1）工作小组将制定的控制方案报风险合规部审核，由风险合 规部门报分管行长批准实施。（2）各业务部门负责风险控制方案中各项措施的落实。（3）若控制措施存在问题，需要实施更改，由工作小组书面提 出申请，所在部门负责人审核，合规风险部门按本规定重新进行风险 识别与评估。因技术水平、风险处置的成本等因素的限制而无法对不可接受 的风险进行有效处置时，责任部门应将下列情况详细反应在风险处 置计划中并报分管行长审批：（一）银行目前采取的措施；（二）将该风险降低到可接受的水平所需的采取的措施和花费的 资源；（三）如果不对该风险进行处置，银行可能面临的问题等。经分 管行长批准后，将该风险列入残余风险表中。残余风险风险评估小组将残余风险填入残余风险表中，报风 14险管理委员会负责人审批。风险识别与评估的更新当本行出现以下情形时，按本规定的要 求对风险进行重新识别与评估，以确保任何新的和以前未曾予以控制 的风险得到识别和控制。（1）推出新产品