商业银行的风险管理应该是全面风险管理，这既是巴塞尔协议的要求，也是商业银行应对未来挑战的要求。

运用工程的技术，贯彻全面风险管理思想，构筑城市商业银行内部风险控制体系，是城市商业银行应对面临的严峻金融风险的挑战的重要举措。

一、全面风险管理的必要性与紧迫性近年来，我国的商业银行对信用风险的防范作了大量工作，但形势仍然严峻，特别是不良资产，并未从根本上解决。

面对加入世界贸易组织的形势，随着利率市场化的深入，商业银行的利率风险必然加剧。

同时随着业务，操作风险问题也越来越严重。

形势的发展越来越需要城市商业银行具有全面风险管理的体系。

的城市商业银行缺乏全面风险管理的思想观念，目前实行的是部门分散管理的风险管理方式。

各个部门从上到下制定了不少的规章制度，但这些制度很多变成了墙上贴着的制度和书本上写着的制度，而不是实际运行中的制度。

构筑全面风险管理体系，就是要克服目前的这种混乱状态，将风险管理变成流程管理和系统管理。

二、全面风险管理与内部控制（一）全面风险管理的内涵与层次按照监管部门的风险层次划分，商业银行的风险可以分为信用风险、操作风险和市场风险。

信用风险是指交易对手或债务不能正常履型合约或信用品质发生变化而导致交易另一方或债权人遭受损失的潜在可能性，是商业银行面临的重要风险。

市场风险又称价格风险，是指由于被用于交易的资产或可交易的资产的价值发生变化而导致损失的风险。

可以分为利率风险、汇率风险、股市风险、商品价格风险（期货风险）。

对于商业银行来说，市场风险主要是利率风险和汇率风险。

操作风险是指由于不完善或失灵的内部控制、人为的错误、制度失灵以及外部事件给银行带来直接或间接损失的可能性。

操作风险包括诸如控制风险、信息技术风险、欺诈风险以及和商誉风险等。

与信用风险、市场风险相比，操作风险有显著不同支出：操作风险大多是在银行可控范围内的内生风险，与收益无关；而信用风险和市场风险更多表现为外生风险，与收益相关。

就当前来说，信用风险是最主要的风险，直接表现就是不良贷款上升，业务指标恶化。

按照新的监管标准，不良贷款率不得高于5%.操作风险则主要取决于日常管理的效率。

随着利率市场化改革和汇率改革的推进，市场风险离城市商业银行越来越近。

（二）全面风险管理下的内部控制实施全面风险管理的关键在于构筑商业银行内部控制系统，来落实风险管理的要求。

在构筑内控体系时，要运用现代金融工程的成果，创造性运用各种金融工具和策略解决金融财务问题。

城市商业银行的内部控制体系的标准应达到：风险内控有标准、部门有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核。

在这样的标准下设计的风险内控体系，要做到覆盖事前、事中、事后各个风险管理关键环节。

这也是监管部门对商业银行风险内控体系建设的基本要求。

未来商业银行的风险管理，侧重点应放在事前预测与事中控制方面，决不会在事后风险处置上。

风险管理落脚点是在于建立相应的内控体系方面，一个完整的内控体系包括：内部控制组织体系、内部控制岗责体系、内部控制业务流程和管理流程体系、内部控制工具体系和内部控制考评体系。

三、构筑符合全面风险管理要求的内控体系（一）内部控制体系的总体思路1、基本要素。

一个完整的内控包括五项要素：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。

2、基本框架。

按照以上基本要素要求，设计的城市商业银行内部控制体系的具体，应按如下路径展开：内部控制组织体系、内控岗责体系、内控业务流程和管理流程体系、内部控制工具体系、内部控制考评体系。

在设计过程中，可以考虑按总行、分支行两个层次展开，并始终保证与巴塞尔协议和银监会的要求一致，力求体现绩效考核、内部审计和外部监管三者的一致性。

（二）业务流程、管理流程与风险点无论是业务流程的风险控制平台，还是管理流程的风险控制平台，都必须依赖岗位责任的设置来实施银行内部风险管理的控制。

作用在于，提示管理者根据风险预警信号设计和实施风险拦截的对策。

建立并不断优化流程，目的就是在于建立一个有效有效控制风险的平台。

按照这一思路，业务流程的建立应按照产品线来设计，并贯彻以下几个原则：1、品种完全覆盖。

2、内控操作完整独立。

3、可计量并有预警功能。

目前城市商业银行的业务流程运行体系基本上按照这一思路设计并运行，需要强化的是评价与预警功能。

管理流程建立在业务流程之上。

管理流程设计按照管理部门层面特征，按管理级次设计。

城市商业银行按照总行和基层行两个层面设计，并结合业务流程。

分领导班子管理流程、人力资源管理流程、计划财务管理流程、信贷审批流程、与核算管理流程、法规管理流程、安全保卫管理流程、稽核监察管理流程、机管理流程、公司业务管理流程、个人银行业务管理流程、房地产业务管理流程、国际业务管理流程、中间业务管理流程、资产保全业务管理流程。

各行可以根据具体情况合并设计。

在业务流程和管理流程的设计中，通过文字图表来明示风险点。

内部控制的关键就在于管理行为覆盖全部风险点，从而控制风险。

比如，银监会关于加强操作风险管理的通知中提到的“13条”，就是13个风险管理的关键风险点。

风险管理说到底，就是要贯彻“全面覆盖、重点监控”的思想。

（三）内部控制与岗责体系岗责体系存在于一定的组织结构下，岗责体系的设计必须服从于内部控制组织结构体系。

它是风险管理信息传递和全面风险管理具体的实现途径。

1、岗责体系设计原则。

根据城市商业银行岗责体系现状，结合银行业趋势，主要遵循全面风险管理、风险管理与业务管理平行作业原则、矩阵式报告制度原则、精简效率原则、相互牵制原则、协调配合原则、程式定位原则等7条原则。

2、岗责体系分层设计。

根据管理级次，分总行和分行（支行）两个或三个级次设置。

与常规设置不同的是，总行层面的风险管理岗位设置，除了设置风险管理委员会、风险管理部之外，为了将全面风险管理思想贯彻于全部业务活动中，必须在所有业务职能部门设置风险管理科室或岗位，明确负责对部门所负责业务的风险的监测、记录、报告、考核等工作。

各分支行的风险管理，主张仅设立风险管理部统一实行风险控制与管理，只有业务规模较大支行在各业务职能部门内设立风险管理岗位。

3、风险管理职责必须明确。

之所以考虑通过组织体系来管控风险，主要是通过组织与人力保证管理责任的落实。

风险管理职责的明确，主要通过岗位职责描述和授信授权书进行，授权范围内事项分别由风险管理岗和风险管理部负责，风险管理委员会则主要是制定规则和处理例外事项。

风险管理的关键则是，一是所有业务必须进行风险监控，绝对不能有游离于管理之外的业务；二是符合重要性要求的业务必须贯彻集体决策的原则，集体决策的规则必须有效。

（四）内控体系的衡量与评价1、风险管理技术与工具（1）信用风险。

信用风险管理技术包括风险识别、度量、管理策略等多个方面。

传统信用风险度量技术包括：专家评定制度、信用评分、信用评级和贷款风险度测算。

，城市商业银行主要采取上述方法一种或多种组合。

这些方法尽管具有简便明了，易于理解，对实践操作环境要求不高的优点，但缺点也十分显著：一是主要以会计账面价值为基础，但会计数据并不能全面反映公司的实际状况和前景，因而难以发现借款人经营状况中更细微、更快速的变化；二是主要借助定性，主观随意性较大，在防范道德风险上有缺陷；三是效率较低，耗费人力时间过多。

因此国际银行业开始采取开发数学模型来度量信用风险，《巴塞尔新资本协议》提出了相应的内部评级法。

目前国际金融界较流行的内部信用风险模型有：KMV公司的信用监控模型、JP摩根的信用度量术模型、麦肯锡公司的信贷组合观点模型等。

（2）市场风险。

主要包括利率风险和汇率风险，利率风险是指由于利率的变化，可能导致的资产的回报率变得更低或负债变得更为巨大。

这种风险针对利率敏感型资产和敏感型负债而言，它直接利差，从而影响盈利。

汇率风险又称外汇风险，当商业银行经营外汇业务时，汇率变化可能导致银行相关资产变低或负债变大，从而对银行形成亏损。

市场风险的综合度量技术主要有风险状况图、VaR方法、压力测试法、情景分析法等。

（3）操作风险。

对操作风险的度量，国际上一些银行开始对风险因素进行跟踪，但多数银行的跟踪还处于初级阶段。

只有少数银行采用程度不同的统计技术来评估风险，方法主要有基本指标法、标准化方法、内部衡量法、损失分布法等。

但关注操作风险的度量及管理无疑对城市商业银行具有特别重要的前瞻意义。

2、风险预警。

管控风险的前提是必须识别风险。

建立风险预警机制，事前揭示、报告风险，防患于未然，是全面风险管理的关键环节。

一叶落知天下秋，事物的变化由量变到质变，变坏之前必然有征兆。

收集、整理、归纳这些导致变化的因素，形成系统化的预警信号，进行风险预报，可以为控制化解风险争取足够的时间与空间。

如在信用风险预警上，一般包括财务风险预警和非财务因素预警两个方面。

财务因素预警，通过对借款人财务会计数据关注，计算其财务指标值，并与标准值对比分析指标变化，揭示指标值变化隐含的实质。

非财务因素预警，通过对借款人行业风险、经营风险、管理风险分析，归纳出影响贷款归还的早期预警信号，并建立预警模型，形成风险预警提示报告制度。

3、考核与评价。

对风险内部控制的考评，是一个非常重要的环节，如果没有考评，一切风险管理的制度设计努力都将付之东流，毫无意义。

对风险内控的考评，首先要设计全面的考评规则，采取定性定量方法，从道德环境、风险识别和管理、内控组织效力、内部审计效力等方面进行评价。

可以采取问卷式、评分式等辅助考评。

其次对风险内控的考评要与经营管理目标的完成实现结合起来。

将全面风险管理思想贯彻与经营目标责任制中，进行严格考评。

换言之，绩效考核评价是个指挥棒，经营目标考核项目内容设计就是风向标。

随着我国银行业的全面对外开放，面对日益多元与波动的金融市场，国内商业银行把加强风险管理提上了议事日程。

眼下从美国次贷危机演化而来的全球金融危机，也进一步要求银行加强全面风险管理，通过更为有效的管理机制来应对挑战。

构建全面风险管理体系，提升抗风险能力，是我国银行业改革中一件迫在眉睫的大事。

下面结合本人工作实践，谈谈对我国商业银行全面风险管理体系建设的一些体会和看法，概括起来，主要包括以下几项对策：一、建立健全有效的公司治理结构我国商业银行虽然大多都完成股份制改造，建立了现代公司治理结构，但是治理结构还存在一定程度的形式化，还没有根本解决商业银行“内部人控制”问题。

监事会难以对董事、高管层及公司财务状况进行有效监督，董事会难以对高管等经营者进行有效监控，高管层难以对分支机构的经营进行有效管理。

商业银行风险管理必须与产权改革、完善法人治理结构相结合，将经营者与风险承担者统一起来，从根本上保证银行自负盈亏、自担风险、自我约束、自我发展，从而使银行有内在动力去进行风险管理。