风险管理体系（一）

何为风险管理体系？既称之为体系，便说明它具备完整性、全面性，包括：良好的风险治理架构，明确的风险偏好，稳健的风险文化，严格的风险限额，清晰的风险政策和流程，高效的风险数据与IT系统，有效的内部控制与内部审计。

先来展开分析一下风险治理架构，这是风险管理的根基。风险治理架构自上而下分四个层次：

第一是董事会，承担全面风险管理的最终责任。在现代公司治理机制下，企业的所有权和经营权分离，董事会受托于股东，向股东会负责，是金融机构的决策机构。在全面风险管理方面，董事会主要承担的职责是根据公司的发展规模和速度，制定风险管理战略，判断公司面临的主要风险，确定适当的风险偏好和风险容忍度，督促高级管理层识别、计量、监测、控制和处置风险，并提出全面风险管理的意见。

作为董事会下设的专门委员会，风险管理委员会的主要职能则是监督高级管理层关于信用风险、流动性风险、市场风险、操作风险、合规风险、声誉风险等的控制情况，并对公司的风险管理情况及风险承受能力进行定期评估，提出风险管理和内部控制的意见。

第二是监事会。监事会在公司治理中的职能体现在“监”上，主要包括两个方面，一方面是对董事会、高管层的履职情况进行监督，另一方面是对公司的财务活动、经营决策、风险管理和内部控制进行监督。在全面风险管理方面，监事会主要负责监督董事会、高管层在风险管理方面的履职尽责情况并督促整改。

第三是高级管理层。高级管理层向董事会负责，是公司的执行机构。高级管理层在全面风险管理中的职责主要包括，一是建立经营管理架构，明确部门职责及分工，确保部门间既有相互配合又有相互制衡；二是制定清晰的执行和问责机制，保障董事会制定的风险管理战略的落地；三是根据董事会确定的风险偏好制定风险限额，包括行业、地域、客户、产品维度等；四是制定风险管理政策和程序并定期评估；五是定期评估风险管理状况并向董事会报告；六是建立完备的管理信息系统和数据质量控制机制。

（备注：金融机构的风险总监/首席风险官/分管风险的高级管理人员应保持充分的独立性，应独立于操作和经营条线，可以直接向董事会汇报全面风险管理情况。）

第四是风险管理部门，负责建设包括管理管理政策制度、工具方法、信息系统等在内的风险管理体系，对公司承担的风险进行识别、计量、监测、控制、缓释以及风险敞口的报告。三道防线：

业务部门是第一道防线，是风险的直接承担者，应持续识别、评估和报告风险。

风险部门和合规部门是第二道防线，风险部门负责监督和评估业务部门承担风险的业务活动，合规部门负责监控对于法律、监管规定、公司治理规则的执行情况。

内审部门是第三道防线，负责对公司的风险治理的质量和有效性进行独立审计。