一、制度. 2

1.风险管理框架: 2

2.风险管理报告制度. 2

3.风险管理评价体系. 3

4.风险限额管理制度. 4

5.风险管理系统. 5

6.授权授信管理. 5

二、组织架构. 6

三、职能设计. 7

1.总行风险管理委员会. 7

2.风险管理部. 8

四、一般流程和管理步骤. 9

1.贷款流程. 9

2.分行授信流程. 10

五、使用的模型. 10

1.评级体系. 10

2.分析方法. 13

3.内部评级法工程. 13

一、制度

1.风险管理框架:

参照COSO委员会《企业风险管理—整合框架》，充分考虑工行风险管理现状。

框架包括的内容：

    总则

    内部环境

    目标管理

    风险管理流程

    各专业风险管理

    风险管理信息与沟通

    监督与评价

    附则

2.风险管理报告制度

总行报告路径：

分行报告路径：

3.风险管理评价体系

   风险管理评价体系的作用：

   风险管理评价体系的结构：

4.风险限额管理制度

5.风险管理系统

6.授权授信管理

   授权是上级行对下级行的风险管理政策。工商银行总行对境内分支机构信贷业务实施授权、转授权和特别授权等综合管理政策。山东分行在总行授权范围内，根据二级分行的资产规模、管理水平、同业竞争能力、区域资源状况等按照一定比例对二级分行进行转授权。授信是银行对客户的风险管理政策。

   在授信政策上，工商银行对全部客户实行统一的授信管理。.按照工商银行制定的授信管理办法，采用定性分析与定量分析相结合的方式，通过对客户资信状况及融资风险的综合分析，核定客户在我行的最高授信额度，以控制客户在银行系统内的融资风险总量。

二、组织架构

上图中，直属于首席风险官的风险管理部的组织结构图：

三、职能设计

1.总行风险管理委员会，是本行行长进行风险管理的决策机构，管理范围主要包括信用风险、市场风险和操作风险等。委员会设立常设办事机构——秘书处，负责组织协调委员会的日常工作，设秘书长一名，由风险管理部总经理担任。

   秘书处联席会议：

a)  秘书处承担跨部门、跨产品的风险管理协调职能，需要在各个部门间进行协调

b)  秘书处联席会议是各部门进行充分交流的平台，是解决多部门交叉问题的良好形式

c)  联席会议适宜解决单个部门无法独立解决的问题

d)  委员会会议前、后均可召开联席会议

      总行主要职责:负责内部评级体系的设计或选择、测试和监控、实施与运行，风险级的量化与评审;负责确定每年评级检查;生成评级体系的总报告，包括各等级一年的违约情况、评级迁移分析以及对关键评级标准趋势变化的监控。

     各分支机构也相应的成立了与之相对应的风险量化部门，主要负责辖内权限的评审工作和对下级分支机构的监督检查工作，撰写本地区的信用风险评级报告。

   总行及各分支机构还都成了信贷评估委员会或信用评级委员会，在所有评级的重要方面进行决策，包括评级标准的重大变化、评级结果的推翻等事项。

2.风险管理部

a) 牵头负责全面风险管理工作，汇总、报告全行各类风险（包括信用风险、市场风险和操作风险等）管理工作情况，构建全面风险管理体系

b) 承担全行市场风险管理职能，制定全行市场风险管理相关政策、制度、办法和流程，审查定价模型，进行市值验证，建立、完善和维护市场风险管理信息系统，报告市场风险，制定、监控市场风险限额，承担市场风险管理委员会秘书处职能

c) 组织推动内部评级法工程，负责收集、整理、分析与测算各类风险要素数据，进行模型设计

d) 承担风险管理委员会秘书处职能，汇总各类风险管理工作情况，报总行风险管理委员会和董事会风险管理委员会审议

e) 制订全行对公及个人特殊资产处置的管理制度和操作流程，并在授权范围内组织开展特殊资产清收、转化和处置工作

四、一般流程和管理步骤

1.贷款流程

   a)前期调查

   贷前调查是贷款审查的前期工作，一般由基层行的客户经理完成。客户经理进行贷前调查，确定客户贷款是否可以进入的政策依据就是总、省行制定的信贷政策。客户经理通过深入企业搜集相关资料，形成调查报告，按照相应授权报上级主管领导，经领导审核后报贷款审批部门。负责贷前调查的客户经理，按照客户规模及综合贡献度的不同，既可以由单个信贷员担任，也可以是由信贷员、中级客户经理、高级客户经理、首席客户经理等多人组成的客户经理团队。

   b)贷款审查

   目前工商银行贷款审查主要由专门的审查委员会负责。在总行、分行、市行均设立信贷审查委员会，按照授权负责贷款审批。贷款审查是风险分析和风险评估的重要环节。信贷审查委员会的成员要根据调查报告，依据统一的信贷政策要求，对企业财务指标及非财务指标进行全面分析，并就贷款金额、贷款期限、贷款利率、贷款品种、贷款方式、贷款利率等做出明确的规定。通过无记名投票的方式对贷款审查结果进行表决。

   c)贷后管理

   贷款发放后，要按照贷后管理的要求，对贷款进行监督检查，以确保贷款的按时收回。贷后检查是风险应对及风险监督的重要阶段。该工作由前台客户经理与信贷管理部门共同完成。客户经理要根据客户风险类别定期对贷款企业进行走访，了解企业的偿债能力，盈利能力以及企业的经营状况，及时掌握企业财务指标及非财务指标的变化情况，对可能出现的影响银行信贷资产安全的事件系统分析，并定期调整贷款的分类。以确保贷款到期后能够按时收回。

2.分行授信流程

五、使用的模型

1.评级体系：客户评级与债项评级的二维评级体系。

   （1）客户评级体系

客户评级是对客户偿债能力和偿债意愿的评价，是银行风险管理的基本手段，贯穿信用风险管理的整个流程。主要是运用一定的评级方法，通过对客户财务状况及经营状况的定量和定性分析，得出对客户的评级结果。

目前工商银行信用评级主要采用打分卡方法。在专家经验和数据分析的基础上，确定定量和定性指标及其权重和标准值，并根据实际情况验证、调整，通过历史违约经验实现风险的量化。客户信用评级体系由指标与权重两部分组成。

评级指标分为基本指标、修正指标、评议指标二个层次。基本指标反映客户信用评级内容的基本情况。修正指标是依据客户有关实际情况对基本指标结果进行逐一修正。基本指标和修正指标主要对客户的偿债能力、财务效益状况、资金运营状况及发展能力状况进行综合评价。评议指标是对影响客户信用等级的非定量因素进行判断分析，包括市场竞争力、管理水平、经营状况、信誉状况、发展前景等方面。

定量指标权重75%、定性指标权重25%，二个层次的指标相互校正，最后形成对客户的信用评级结果。

信用评级结果分为AAA级、AA级(AA+、AA、AA-)、A级(A+、A、A-)、BBB级、BB级、B级。工商银行在考虑其所面临的信贷市场的基础上，将借款人评级的风险敞口分为了公司、同业、零售和主权，评级办法覆盖了所有的评级范围。对公司和同业，根据行业、规模的特点和风险要素的一致性，分别制定了工业、商业、房地产、建筑、专业外贸、教育医疗、银行、保险、证券、小企业等13种评级指标体系，对于工业、商业企业还制定了84个行业的标准值。

   （2）债项评级

   20##年正式实施贷款十二级分类法(正常四类、关注二类、次级和可疑均两类，损失维持一类不变)，细化的十二类，能够掌握贷款迁徙变化的过程，便于下一步建立贷款预测模型。分类范围包括表内、表外业务形成的各项资产以及或有资产。表内业务包括，法人客户贷款、贸易融资、法人帐户透支、表外业务垫款，不含票据贴现和委托贷款。表外业务包括银行承兑汇票、担保、信用证、承诺等业务。贷款分类的核心是对还款可能性进行分析，因此，决定贷款偿还最主要的因素，是借款人的还款能力。分类主要从财务状况、现金流量、担保状况和非财务因素四个方面，综合考虑借款人的还款能力、信用记录、还款意愿、贷款担保、贷款偿还的法律责任和银行的信贷管理等因素的影响，对借款人在银行贷款进行分类。贷款分类由支行业务部门的客户经理、负责人以及信贷管理部门审查人、负责人共同完成。贷款分类工作通过CMZO02信贷资产质量分类系统完成。支行业务部门的客户经理在系统中录入相关资料，根据系统初分结果提出分类意见，经前台业务部门负责人复核后报信贷管理部，信贷管理审查人员对前台业务部门提报的分类级别进行审核后，报信贷管理部门负责人核准认定。超出本级认定权限的，由本级信贷管理部门提出认定意见后报上级行信贷管理部门核准认定。贷款分类工作按月进行，纳入日常信贷管理，并根据信贷资产风险变化情况进行实时监控和调整。

2.分析方法

①专家法:就是利用一些专家的专业技能，对贷款企业进行主观判断，权衡该企业的一些关键的因素，评估其信用风险，进而做出决策。常见的专家法有SC法，定性分析以判别借款人的还款意愿和还款能力，具体指贷款人的道德品质(Character)、还款能力(Capacity)，资本实力(Capital)，担保(Collateral)和经营环境条件(Condition)五个方面。或将其归纳为5W因素，即借款人(Who)、借款用途(Why)、还款期限(When)、担保物(What)及如何还款(How)。或将其归纳为5P因素，即个人因素(Personal)，借款目的(Purpose)，偿还(Payment)、保障(Protection)和前景(Perspective)。

②贷款评级分级法:该方法是对资产及资产组合的信用状况进行评价，并针对不同级别的贷款提取不同的损失准备。该方法吧贷款分为五级:正常、关注、次级、可疑、损失。

③财务分析法:包括报表分析和财务比率分析。信用危机往往由财务危机引起，及早发现财务指标的恶化可以及早判断其财务状况，为信贷提供依据。

3.内部评级法工程

    二期工程非零售业务项目提交的主要成果：

    (1)信用风险量化体系：

   

    (2)信用风险量化结果的应用方案：

   

    建立十二个信用等级与违约概率的一一对应关系：

第二篇：工商银行信息科技风险管理的思考和实践__

工商银行信息科技风险管理的思考和实践

中国工商银行首席信息官 林晓轩

随着信息科技在商业银行发展中的作用日益凸现，商业银行在面临传统的信用风险、市场风险和操作风险的同时， 又面临信息技术与银行业务交融引发的新型风险——商业银行信息科技风险。信息技术的发展，一方面大力促进了银行客户服务和管理水平，降低了银行的管理成本和交易费用；另一方面，银行对信息科技的依赖以及由此产生的风险日益加剧。近年来，监管部门对信息科技风险管理高度重视，提出了明确的要求。国内各商业银行在信息系统软硬件建设和安全管理方面投入了大量资源，注意防范各类信息科技风险。在步入“十二五”信息科技发展新阶段之际，如何进一步提高信息科技风险管理水平，是各家商业银行在规划未来一段时期信息化建设过程中需要思考和解决的一项重要课题。

一、商业银行加强信息科技风险管理的重要性

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还事关整个银行业的安全和国家金融体系的稳定，因此国家对银行信息科技风险管理日益重视，各监管机构均对银行信息科技风险管理提出了明确要求，各商业银行也普遍提高了对信息科技风险管理的关注程度。

1.加强信息科技风险管理是金融监管部门关注的重要内容

随着国内银行纷纷上市并在全球金融格局中扮演日益重要的角色，对于包括系统运行风险在内的信息科技风险管理工作，得到了监管部

门越来越多的关注和各家上市商业银行的日益重视。20xx年3月，银监会颁布了《商业银行信息科技风险管理指引》（以下简称《指引》），从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面，对商业银行信息科技风险管理工作提出了全面要求。国家有关监管部门这些卓有成效的管理措施对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义，充分体现出了我国政府对银行业信息科技风险管理的高度重视。

2.加强信息科技风险管理是商业银行自身发展和提高IT治理水平的需要

根据IT治理模型，信息科技风险管理与战略一致性、资源管理、绩效评估等一起构成IT治理总体架构，是其中一个重要方面。随着各家银行信息化建设的深入，对信息科技风险的认识也在逐步深入，从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面信息科技风险管理，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改革和上市之后，商业银行更是普遍认识到信息科技一旦发生风险事件，不仅会影响业务的正常办理，还可能会对银行的声誉和市值产生负面影响，因此更为重视信息科技风险，这也相应对加强信息科技风险管理提出了更高要求。

3.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求

20xx年正式公布的新《巴塞尔资本协议》（BaselⅡ,）以及后续公布的BaselⅢ中，对银行风险的分类和定义进行了明确，强调银行在进行风险管理的时候，不仅要重视传统的信用风险、市场风险、流动性风险，而且要将操作风险放在一个重要的地位，并将信息科技风险明确划归至操作风险的范畴，从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

二、商业银行加强信息科技风险管理的有关举措

根据国际权威机构“ 信息系统审计与控制委员会”（ISACA）发布的信息系统风险控制和IT审计工作的最佳实践指南，信息科技风险管理应关注IT治理、软件生命周期管理（即项目开发与变更）、IT服务交付与支持（即系统运行维护）、信息安全、业务连续性管理等几大领域。银监会《指引》规定，“信息科技风险是指信息科技业务在商业银行应用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”，同时明确了商业银行信息科技风险管理覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理等内容。总体而言，商业银行在具体实践过程中主要从科技治理、生产运行、应用研发、信息安全等四个方面落实信息科技风险管理措施。

多年来，工商银行坚持“科技兴行”、“科技引领”发展战略，建立了集约化的信息科技组织管理体系，并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自20xx年起，工商银行将信息科技

风险纳入了全行风险管理体系，作为操作风险管理的重要组成部分，围绕上述四个领域在信息科技风险管理方面开展了大量工作。

1.建立健全信息科技管理组织体系和信息科技风险管理体系，是加强信息科技风险管理的基础

根据银监会《指引》要求，工商银行成立了由行长任主任委员、主管副行长和首席风险官任副主任委员、各相关部门参加的信息科技管理委员会，负责审议信息科技战略、科技制度和技术规范体系建设规划、信息科技重大决策事项及信息科技风险管理、信息安全管理等工作，推动信息科技治理建设，并定期向董事会、高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体工作情况。同时，信息科技管理委员会下设技术审查委员会，负责重大科技项目方案的审查，确保全行信息科技架构体系的合理性和延续性。此外，近期工商银行设立了首席信息官，信息科技管理体系得到进一步完善。

依靠自行科技管理所积累的经验，工商银行建立了较为完善的信息科技管理制度及技术标准规范体系，其中总行层面的信息科技管理制度达到126项，包括信息安全、系统、应用等七大类的技术规范超过100项，有效提升了全行信息科技管理的标准化和规范化水平。除了制度和规范约束外，工商银行将各项管理要求体现到系统平台中，实现了科技管理的自动化，确保各项既定管理要求得到有效落实。同时，工商银行还建立了信息科技现场检查和非现场检查机制，面向各级科技部门每年开展2次现场检查，每月利用各类技术管理平台定期开展

1次非现场检查，并对检查发现问题的整改进展进行持续的跟踪、管理和考核，确保整改措施落实到位。

2.认真落实信息科技风险管理三道防线职能是加强信息科技风险管理的保障

根据银监会《指引》的有关规定，商业银行应设立或指派一个特定部门负责信息科技风险管理工作，建立由信息科技部门、信息科技风险管理部门、内部审计部门三道防线组成的信息科技风险管理体系，共同防范和控制信息科技风险。

近年来，工商银行逐步形成并确立了由信息科技部门、风险管理部门和内部审计部门组成的信息科技风险管理三道防线，相关部门在信息化建设、信息科技管理、风险监测、风险控制和评估、信息科技审计等方面分别相应落实有关职责，持续提升了全行信息科技风险管理水平，有效控制了信息科技风险。特别是，根据银监会《指引》内容和全面风险管理的有关要求，参考借鉴国内外信息科技风险管理和内部控制与审计等领域的最佳实践，20xx年以来工商银行对第二道防线的工作职责进行了全面梳理，并从信息科技风险管理策略、信息科技风险评估、风险控制、风险监测、风险报告、业务连续性计划等六个方面认真落实第二道防线的工作职能。

3.有效防范生产运行风险是加强信息科技风险管理的关键

生产运行风险是信息科技风险的突出外在表现，工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想，

并持续强化运行管理操作的各项措施，降低运行风险。

首先，建立了信息系统安全等级体系，根据系统安全等级在性能容量管理、灾备、监控等方面采取不同的风险管理措施，在保证系统对外服务水平的同时，也有效控制了科技成本投入。其次，建立了全行统一的信息系统运行监控平台，针对关键应用系统实现了面向业务可用性的监控目标，并建立了数据中心对一级分行、一级分行对二级分行的远程监控。再次，实现生产运行的自动化监控和操作，数据中心主机系统已经全面实现操作自动化，开放平台系统的操作自动化率也已经达到55％，既有效提高了生产运维效率，又切实降低了手工操作所带来的风险。最后，建立了主机核心业务的远程异地灾备系统和同城数据备份系统，实现了关键业务集中式营运中心的场地灾备，同时参考业界相关技术标准，建立了全行统一的应用灾备等级标准，针对全行200余个应用系统实施分等级的灾备保护措施，确保所有应用系统都具备灾备恢复能力；在上述工作基础上，工商银行正在规划按照“两地三中心”布局进一步优化生产运行和灾备体系。

4.信息安全贯穿于信息科技全流程，是信息科技风险管理的重要内容 信息安全管理的核心是要建立健全信息安全的内部控制体系，通过技术和管理手段，确保银行信息系统和数据的机密性、完整性和可用性。对此，工商银行认真落实信息系统安全等级保护、风险评估和审计检查等管理措施，并在客户端安全、互联网安全、应用交易安全等方面采取了有效的技术防护手段。一方面，在健全信息安全管理制度体系、明确各部门职责和管理流程的基础上，通过规范相关制度，落

实信息系统等级保护、实施风险评估和安全检查、加强日常安全检测和管理以及安全教育等措施来强化信息安全的管理工作。另一方面，持续完善信息安全技术控制措施，提升硬控制能力，近年来不断从信息安全、信息系统安全和客户端安全三个方面加强对信息安全的技术控制，有效控制了信息安全风险。

三、信息科技风险管理需要科技部门和各业务部门共同推进、共担风险

从信息科技风险管理实践来看，虽然信息科技风险管理更多关注的是信息科技领域，但其中相当一部分内容与业务部门息息相关。因此，信息科技风险管理实际上是商业银行的一项全局性工作，需要业务部门共同参与和推进。

（1）在生产运行领域的业务连续性管理方面，在信息科技部门灾备系统的基础上，需要业务部门制定业务层面的应急计划，指导业务人员在信息系统中断和恢复时进行业务的应急处理，从而与信息科技部门协同开展应急恢复工作。

（2）在应用研发方面，产品质量会引发系统运行风险，而引发产品质量问题的因素是多方面的，既包括程序设计和开发缺陷等技术因素，也包括业务测试验证和需求不完善或质量不高等业务因素。因此，在应用产品研发过程中，需要科技部门与业务部门共同做好项目管理工作，实现风险共担。

（3）在信息安全方面，信息安全管理涉及多个部门职责，除了信息科技部门外，还涉及信息及信息系统归属部门、信息及信息系统使用部

门、内控合规部门、内部审计部门、保密管理部门等，在日常工作中需要科技部门与业务部门按照职责分工共同落实信息安全管理措施，防范信息安全风险。

总之，信息科技风险管理是商业银行发展以及信息化进程中面临的十分重要和紧迫的问题，需要银行业各方面共同关注和推进，也需要各家商业银行内部科技部门和业务部门协同配合，共同打造一个安全的、抗风险的金融IT平台，促进银行业务的健康快速发展。