1.如何构建商业银行风险管理的组织体系

背景 为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。

该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

信息科技风险管理需求分析 合规性需求：近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；2006年6月，**国资委出台了《中央企业全面风险管理指引》；2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；2009年3月，银监会发布《商业银行信息科技风险管理指引》；各商业银行如何满足日益严格的各类IT监管要求，成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。

IT风险管理需求 银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：? 是否对所有潜在的重大IT风险都进行了识别、评估和管理？? 面对数量众多的IT风险，应如何对其进行管理？? 如何在全行范围内推行全面IT风险管理？? 如何将IT风险管理体制与企业日常IT管理和运营相融合？? IT风险管理的角色、责任和义务是否合理或明确？? 如何增强风险意识，培育风险管理文化？组建并管理IT风险管理团队 IT风险管理组织结构建立在IT治理目标组织架构的基础上，遵循IT治理的工作成果，从IT风险管理的主要工作与活动开始，逐步识别并定义IT风险管理的角色，并根据角色模型设计组织架构，确保IT风险管理的各项工作能够得到落实。

IT风险管理生命周期以及生命周期各阶段的工作如下图所示：IT风险生命周期管理 从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计IT风险管理的职能与组织架构。从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计银行业IT风险管理的职能与组织架构。

对于IT风险管理的角色的定位如下图所示。设计IT风险管理框架体系 IT风险管理框架体系主要包括如下五个体系框架 ? IT风险管理策略体系：建立企业IT风险管理策略，明确管理层对信息科技风险管理的期望与承诺，描述对企业信息科技风险进行有效管理的方法，规定人员操作的流程与规范，制定系统配置规格、使用策略等。

? IT风险管理组织体系：建立完成组织信息科技风险管理目标的组织机构，包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。? IT风险管理运行保障体系：建立日常科技风险运行与维护机制，包括运行监控、问题处理、变更管理等。

重点是建立生产运行中安全的问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理运行中的问题，强调执行过程的安全。? IT风险管理技术保障体系：应用先进成熟的技术手段与产品，降低安全风险，包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。

? 应急恢复保障体系：业务连续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT 系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。? IT风险审计体系：审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。

利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。

建设IT风险管理制度与流程 ? 信息系统的开发和实施 信息系统的采购和开发 信息系统的采购和开发涉及系统的设计、采购/建造和布置，以支持业务目标的实现。制度与流程建设需要建立一套考虑到银行在安全、可用性和处理完整性等方面的要求的生命周期系统开发方法。

采购新的技术基础设施 采购和维护技术基础设施的流程涉及支持应用和通信的系统的设计、采购/建造和布置。基础设施。

2.农村信用社风险合规工作报告怎么写

XX省农村信用社合规风险管理指导意见为建立健全合规风险管理制度，完善合规风险管理组织架构，明确合规风险管理责任，构建合规风险管理体系，有效识别并积极主动防范化解合规风险，确保全省各县（市、区）农村信用社联合社、农村信用合作联社、农村合作银行、农村商业银行（以下简称“县级联社”）的安全稳健运行，根据《中华人民共和国银行业监督管理法》和中国银行业监督管理委员会制定的《商业银行内部控制评价试行办法》、《商业银行合规风险管理指引》等规定及XX监管局有关要求，结合我省农村信用社实际情况，特制定本指导意见。

一、合规与合规部门本指导意见所指的“合规”，是指县级联社的所有经营管理活动与所适用的法律、规则和准则相一致。本指导意见所指的法律、规则和准则是指适用于县级联社经营管理活动的法律法规、监管规定、行业自律规定、市场惯例、县级联社内部管理规章制度以及诚实守信等职业道德准则。

县级联社合规部门或未设置合规部门的专职合规岗（以下简称“合规部门”）是联社内部设立的识别、评估、通报、监测并报告县级联社合规风险，负责合规风险管理职能的部门或岗位。农村商业银行、农村合作银行和存贷规模达到50亿元及以上的县级联社应设立合规部门，配备1-2名专职合规员，并根据需要设立合规管理、法律事务等相应岗位；存贷规模未达到50亿元的县级联社（不含农商行、农合行）应设立专职合规岗，人员可1-2名，该岗应按照合规管理职能与内部审计职能分离的原则设置在风险管理部门。

县级联社所辖部门及机构应配备专（兼）职合规员，对设置兼职合规员的应由该部门或机构负责人兼任。市州办事处（联社）应设立专（兼）职合规岗，人员可1-2名，该岗设在稽核科。

二、合规风险与合规风险管理机制“合规风险”是指县级联社因未能遵循法律、规则和准则，而可能遭受法律制裁、监管处罚、重大财务损失或声誉损失的风险。“合规风险管理机制”是指县级联社有效识别、评估、监测合规风险，主动避免违规事件发生，主动采取各项纠正措施和适当的惩戒措施，持续修订相关制度及岗位手册，以有效管理合规风险，确保县级联社合规稳健运行的循环过程。

有效的合规风险管理机制是县级联社构建全面风险管理的基础，是构建有效内部控制机制的基础和核心，是县级联社安全稳健运行的重要基础，对县级联社成本控制、风险控制、资本回报等核心要素具有重要的保障作用，是经营活动的重要组成部分。三、合规目标县级联社的合规目标是指县级联社通过建立健全合规风险管理机制，实现对合规风险的有效识别和管理，促进全面风险管理体系的建设，确保县级联社依法合规经营。

四、合规文化县级联社应大力倡导、培育和推行合规文化，包括在全辖推行“合规从高管做起”、“合规人人有责”、“主动合规”、“合规创造价值”等合规理念，培养全体干部员工的合规意识，倡导诚实、守信、正直等职业道德与行为操守，惩处各种违规行为，鼓励主动报告合规问题和合规风险隐患，促进内部合规与外部监管的有效互动。合规文化是县级联社企业文化的核心组成部分。

合规应从高级管理层做起。高管人员必须做出合规表率，保证言行与县级联社的宗旨和价值观念相一致，领导全体员工以诚实守信的理念守法合规，构建县级联社合规文化。

五、合规责任合规不仅是合规部门或合规人员的责任，更是所有员工的责任。每一位员工都必须对其业务活动或管理活动是否合规负责。

县级联社对社会负责、对员工负责；员工对县级联社负责、对其他员工负责。县级联社各部门对本部门的经营管理活动是否合规承担直接责任；县级联社对所辖机构自身经营管理活动是否合规承担直接责任。

县级联社理事会（董事会）对其联社和所辖机构的经营管理活动是否合规负有最终责任。合规部门承担协助县级联社高级管理层有效管理合规风险的尽职责任。

六、理事会（董事会）的合规职责（一）审议批准县级联社的合规政策，并监督合规政策的实施；（二）确保县级联社战略、产品拓展以及潜在冲突和新的风险暴露都有独立的评审；（三）确保县级联社建立适当的合规绩效考核、问责（免责）机制、激励机制等配套措施；（四）定期获取和正确处理高级管理层提出的合规方案和合规问题报告，并对县级联社管理合规风险的有效性作出评价，以确保被认定的合规薄弱环节得到及时有效的解决；（五）在县级联社的发展战略上，体现对合规文化的倡导和鼓励，建立合规风险管理的长效机制；（六）授权合规风险管理委员会对县级联社合规风险管理工作进行日常监督、管理和评审，并对合规风险管理工作的重大事项进行决议；（七）每年至少一次对县级联社管理合规风险的有效性进行评估；（八）县级联社章程规定的其他合规职责。七、监事会的合规职责（一）监督县级联社合规政策的实施，确保被认定的合规薄弱环节得到及时整改；（二）监督理事会（董事会）和高级管理层履行合规职责的有效性与推广合规文化的实效性；（三）每年至少一次对县级联社管理合规风险的有效性进行评估；（四）县级联社章程规。

3.如何做好银行信用风险防控工作

一、强化内部控制和操作风险管理理念，建立良好的风险控制企业文化氛围 对于城市商业银行来说，引进国际银行业先进的操作风险管理理念，形成良好的风险控制企业文化氛围是迫在眉睫的任务。

建立良好的操作风险控制文化氛围首先要明确操作风险的科学含义和风险控制手段及方法。 现代银行风险管理理论对操作风险给出了明确的定义，即操作风险是指由于内部流程、人员行为和系统失当或失败，以及由于外部事件而导致直接和间接损失的危险。

操作风险主要来自内部控制和外部事件两个层面，主要包括：人员风险、制度和流程风险、技术风险以及操作策略风险。 银行操作风险的防范主要依赖完善的内部控制，完善的内部控制是有效实施银行操作风险管理的主要手段。

巴塞尔银行监管委员会1997年在《有效银行监管的核心原则》中提出：“最重大的操作风险在于内部控制及公司治理机制的失效”。根据2002年9月人民银行颁布的《商业银行内部控制指引》对商业银行内部控制的定义：商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

与国内其他商业银行相似，锦州市商业银行。一、强化内部控制和操作风险管理理念，建立良好的风险控制企业文化氛围 对于城市商业银行来说，引进国际银行业先进的操作风险管理理念，形成良好的风险控制企业文化氛围是迫在眉睫的任务。

建立良好的操作风险控制文化氛围首先要明确操作风险的科学含义和风险控制手段及方法。 现代银行风险管理理论对操作风险给出了明确的定义，即操作风险是指由于内部流程、人员行为和系统失当或失败，以及由于外部事件而导致直接和间接损失的危险。

操作风险主要来自内部控制和外部事件两个层面，主要包括：人员风险、制度和流程风险、技术风险以及操作策略风险。 银行操作风险的防范主要依赖完善的内部控制，完善的内部控制是有效实施银行操作风险管理的主要手段。

巴塞尔银行监管委员会1997年在《有效银行监管的核心原则》中提出：“最重大的操作风险在于内部控制及公司治理机制的失效”。根据2002年9月人民银行颁布的《商业银行内部控制指引》对商业银行内部控制的定义：商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

与国内其他商业银行相似，锦州市商业银行成立初期注重资产规模的扩张和市场占有率的提高，以期在区域银行市场获得一席之地，完成最初的生存和发展需要。在这一发展阶段，银行的风险意识还处于萌芽状态，虽然从管理层到员工都能够意识到风险的重要性，但是在制度上缺乏风险控制的有效手段和科学方法。

随着竞争的日益激烈以及银行风险监管要求的不断深入，管理层深刻地意识到必须形成风险控制企业文化，建立科学的风险管理和内部控制体系，将先进的风险控制手段和方法与银行自身经营特点相结合，做到“实用、管用和会用”，从而全面提升银行的风险管理水平。 通过风险管理和内部控制项目的实施，锦州市商业银行引入了科学的银行操作风险管理理念，加强了对管理层和员工的内部控制和操作风险管理理念和方法的培训。

在银行内部，将风险管理由高深的理论变为所有银行员工的自觉意识和行为，使从银行高层管理者到基层员工的所有银行员工对内控和操作风险的内容和含义有了准确的理解，清楚地认识到银行内控与操作风险和每名员工的相关程度。通过培训，员工们进一步明确了不同岗位风险的控制方法和手段，做到合理有效地控制风险。

在强化对内控和操作风险理念的宣传与培训工作的同时，项目小组对原有绩效考核和薪酬体系进行了重新设计，将包括操作风险管理在内的全面风险管理内容融入其中，使得内部控制和风险管理不仅是对员工日常工作的要求，并且成为衡量部门绩效的成本因素，直接影响部门的经营效益考核结果，进而形成管理者和员工风险管理的激励机制。通过事前培训，事中监督和事后考核，已经将银行内部控制和风险管理理念深入贯彻到每名员工，相信通过一段时间的实施将形成良好的内部控制和风险管理企业文化氛围。

二、进一步完善风险控制的组织结构和岗责体系 完善的组织架构是保证内部控制和风险管理的组织保障，而科学的岗位职责设计能够确保每名员工在内控和风险管理工作中权、责、利上的明确分工，进而通过合理的绩效考核和激励机制设计保证分工的有力执行。项目小组结合内控和风险管理的科学理念和最佳实践对自身的组织架构进行了改造，对岗位职责进行了重新设计。

良好的公司治理结构是商业银行建立有效风险管理制度的基础和前提。锦州市商业银行注重通过加强银行治理，强化股东会、董事会职能，从源头上提高内部控制和风险管理意识。

在项目中，进一步强化了董事会和各委员会的职能，确保董事会能够真正在银行重大决策中发挥作用。在完善原有职能的同时，将成立资产负债管理委员会、审计稽核管理委员会、提名管理委员会、信息管理委员会和。

4.请问银行的风险经理具体干什么工作

风险管理部总经理职责：

1、制定并组织实施风险管理部的年度工作计划；

2、牵头制定部门内部的管理制度、业务流程和操作细则；

3、审批被转授权权限内的授信业务，复核贷审岗的评审报告；

4、负责传达总行风险管理条件文件精神，总行信贷政策在分行的落实工作；

5、抽查、复核常规风险管理的重要业务材料；

6、组织召开月、季信贷风险分类会议；

7、组织、安排授信业务贷后管理工作；

8、定期（每月）或不定期向总行风险管理部门提交分行资产质量分析报告，负责分行重大风险事件的上报；

9、整理分行对总行信贷政策、制度等的反馈意见，形成相关改进建议，并及时报告总行风险管理部门；

10、负责对本部门员工日常管理考核。

5.合规的合规风险

根据新巴塞尔协议的定义，“合规风险”指的是：银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已经适用于银行自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

从内涵上看，合规风险主要是强调银行因为各种自身原因主导性地违反法律法规和监管规则等而遭受的经济或声誉的损失。这种风险性质更严重、造成的损失也更大。

合规风险与银行三大风险的关系 传统的银行风险包括信用风险、市场风险、操作风险三大风险，合规风险是基于三大风险之上的更基本的风险。合规风险与银行三大风险既有不同之处，又有紧密联系。

其不同之处是：合规风险简单地说是银行做了不该做的事（违法、违规、违德等）而招致的风险或损失，银行自身行为的主导性比较明显。而三大风险主要是基于客户信用、市场变化、员工操作等内外环境而形成的风险或损失，外部环境因素的偶然性、刺激性比较大。

其联系之处在于：合规风险是其他三大风险特别是操作风险存在和表现的重要诱因，而三大风险的存在使得合规风险更趋复杂多变而难于禁控，且它们的结果基本相同，即都会给银行带来经济或名誉的损失。过去，商业银行通常把合规风险视同于操作风险，多注重于在业务操作环节和操作人员上去设关卡，其结果并不奏效，操作风险仍然在银行内部人员中大量存在并不断变换手法。

这就说明，简单地把合规风险等同于操作风险的认识是不全面和不准确的。虽然大量的操作风险主要表现在操作环节和操作人员身上，但其背后往往潜藏着操作环节的不合理和操作人员缺乏合规守法意识。

而银行合规风险在绝大多数情况下发端于银行的制度决策层面和各级管理人员身上，往往带有制度缺陷和上层色彩。因此，就现实情况而言，银行即使防范了基层机构人员操作风险的发生也未必能防范制度或管理上合规风险的发生。

所以，对合规风险一定要格外重视，因为它有时造成的危害和损失比一般操作风险要大很多。建立合规风险管理机制的必要性 合规风险管理是指银行主动避免违规事件发生，主动发现并采取适当措施纠正已发生的违规事件，其岗位手册也是一个相关制度和相应做法持续修订的周而复始的循环过程。

这一合规风险管理的过程，是构建银行有效的内部控制机制的基础和核心。根据巴塞尔银行监管委员会关于合规风险的界定，银行的合规特指遵守法律、法规、监管规则或标准。

传统的操作风险、信用风险和市场风险这三大类风险有可能对银行资本造成损失，但合规风险主要判别在于银行经营过程是守法还是违法。近年来曝光的银行内部的一些案件，恰恰说明合规文化在我国银行业的肤浅或缺失，“合规文化”的管理理念还远远没有浸润到银行的日常管理和决策中。

中国银监会上海监管局局长王华庆强调，当前商业银行“合规文化”建设的核心是合规机制的建设，组建相对独立的合规部门。必须改变长期以来的粗放式管理套路，尽快建设透彻的“合规文化”，在运营管理的每个细节和环节上始终坚持以是否合规来判断和决策，进而逐步形成商业银行经营管理全新的合规文化传统。

国外商业银行大都设有合规部门，其职责包括合规风险的识别、监测、评估与报告，及时发现并制止风险产生以及由此造成的破坏；梳理整合银行的各项规章制度、合规培训、参与银行的组织构架和业务流程再造、为新产品提供合规支持。对国内大多数商业银行而言，构建合规风险管理机制任重而道远。

最明显的问题是没有单设的合规部门，或者其职能由审计部门、法律事务部或监察部门分担，而具体职能定位还只限于按照监管当局的要求进行的例行检查，对于如何建立有效的合规制度没有必要的准备。因此，商业银行培育合规文化，建立合规风险管理机制势在必行。

构建合规风险管理机制的有效途径2005年4月29日国际巴塞尔银行监管委员会发布了《合规与银行内部合规部门》的高级文件，提出了银行合规管理与合规部门建设的10项指导原则，可以说这是为国际银行业的合规管理确立了一个标准。合规是银行业一项核心的风险管理活动，健全、有效的合规风险管理机制，是实施以风险为本监管的基础。

商业银行可以从以下五方面构建合规风险管理机制。1、树立主动合规意识，克服被动合规心理。

合规是银行业稳健运行的基本内在需求，也是银行文化的重要组成部分。第一，在银行员工中树立合规人人有责、主动合规意识、合规创造价值等理念，让员工接触到每一笔业务时，就要想到必须进行合规风险的审查，倡导主动发现和暴露合规风险隐患或问题，以便及时整改。

第二，合规文化是由一整套的制度、方法和工具支持的，这需要银行加强规章制度的后评价。针对发现的问题相应地在业务政策、行为手册和操作程序上进行适当的改进，以避免任何类似违规事件的发生和纠正已发生的违规事件，并对相关责任人给予必要的惩戒措施。

如果发现了合规风险而隐瞒不报，一旦被内审部门或外部监管者查实，隐瞒不报者一定要受到更加严厉的惩罚；而对于主动报告问题或隐患的，则可以视情况减轻处罚，甚至免责乃至给予奖励。第三，。

6.商业银行信息科技风险管理指引的第三章 信息科技风险管理

第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。

第十五条 商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：

（一） 信息分级与保护。

（二） 信息系统开发、测试和维护。

（三） 信息科技运行和维护。

（四） 访问控制。

（五） 物理安全。

（六） 人员安全。

（七） 业务连续性计划与应急处置。

第十六条 商业银行应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别（包括外包供应商、产品供应商和服务商）。

第十七条 商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

（一） 制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。

（二） 确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：

1. 最高权限用户的审查。

2. 控制对数据和系统的物理和逻辑访问。

3. 访问授权以“必需知道”和“最小授权”为原则。

4. 审批和授权。

5. 验证和调节。

第十八条 商业银行应建立持续的信息科技风险计量和监测机制，其中应包括：

（一） 建立信息科技项目实施前及实施后的评价机制。

（二） 建立定期检查系统性能的程序和标准。

（三） 建立信息科技服务投诉和事故处理的报告机制。

（四） 建立内部审计、外部审计和监管发现问题的整改处理机制。

（五） 安排供应商和业务部门对服务水平协议的完成情况进行定期审查。

（六） 定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。

（七） 定期进行运行环境下操作风险和管理控制的检查。

（八） 定期进行信息科技外包项目的风险状况评价。

第十九条 中资商业银行在境外设立的机构及境内的外资商业银行，应当遵守境内外监管机构关于信息科技风险管理的要求，并防范因监管差异所造成的风险。

7.求银行操作风险管理的案例

商业银行操作风险管理的国际案例

案例一：巴林银行。1995年2月英国中央银行英格兰银行宣布了一条消息：巴林银行不得继续从事交易活动并将申请资产清理。10天后，以1英镑的象征性价格被荷兰国际集团收购。巴林银行总损失为13亿美元；资本损失100%；从违规到灾难发生的时间为三年；违规内容是未经授权及隐匿的期权和期货交易、隐匿亏损；违规者为新加坡附属机构交易员；操作风险发生的原因在组织因素上，治理、管理、文化多元、沟通失败；在政策因素上，违反政策、不合规、职责不清；在人员因素上，雇员不当、雇主判断失误。

具体分析巴林银行倒闭的原因

首先，巴林银行没有将交易与清算业务分开，允许里森既作为首席交易员，又负责其交易的清算工作。在大多数银行，这两项业务是分立的。因为让一个交易员清算自己的交易会使其很容易隐瞒交易风险或亏掉的金钱。这是一种制度上的缺陷。

其次，巴林银行的内部审计极其松散，在损失达到5,000万英镑时，巴林银行总部曾派人调查里森的账目，资产负债表也明显记录了这些亏损，但巴林银行高层对资产负债表反映出的问题视而不见，轻信了里森的谎言。里森假造花旗银行有5,000万英镑存款，也没有人去核实一下花旗银行的账目。

监管不力不仅导致了巴林银行的倒闭，也使其3名高级管理人员受到法律惩处。

8.简述商业银行风险管理的基本程序

商业银行风险管理流程：

风险管理部门承担了风险识别、风险计算、风险监测的重要职责，而各级风险管理委员会承担风险控制/管理决策的最终责任。

1.风险识别

适时、准确地识别风险是风险管理的最基本要求。

风险识别包括感知风险和分析风险两个环节：感知风险是通过系统化的方法发现商业银行所面临的风险种类、性质；分析风险是深入理解各种风险内在的风险因素。

制作风险清单是商业银行识别风险的最基本、最常用的方法。它是指采用类似于备忘录的形式，将商业银行所面临的风险逐一列举，并联系经营活动对这些风险进行深入理解和分析。此外，常用的风险识别方法还有：

①专家调查列举法

②资产财务状况分析法

③情景分析法

④分解分析法

⑤失误树分析方法

2.风险计量

风险计量/量化是全面风险管理、资本监管和经济资本配置得以有效实施的基础。准确的风险计量结果是建立在卓越的风险模型基础上的，而开发一系列准确的、能够在未来一定时间限度内满足商业银行风险管理需要的数量模型，任务相当艰巨。

商业银行应当根据不同的业务性质、规模和复杂程度，对不同类别的风险选择适当的计量方法，基于合理的假设前提和参数，计量承担的所有风险。

3.风险监测

①监测各种可量化的关键风险指标以及不可量化的风险因素的变化和发展趋势。

②报告商业银行所有风险的定性/定量评估结果，并随时关注所采取的风险管理/控制措施的实施质量/效果。

4.风险控制

风险控制是对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施，进行有效管理和控制的过程。风险管理/控制措施应当实现以下目标：

①风险管理战略和策略符合经营目标的要求；

②所采取的具体措施符合风险管理战略和策略的要求，并在成本/收益基础上保持有效性；

③通过对风险诱因的分析，发现管理中存在的问题，以完善风险管理程序。

按照国际最佳实践，在日常风险管理操作中，具体的风险管理/控制措施可以采取从基层业务单位到业务领域风险管理委员会，最终到达高级管理层的三级管理方式。