1.2 风险管理的基础知识

风险管理是企业经营管理的关键模块之一，而对于本质上是经营风险的金融企业来说，风险管理更是重中之重，是一切业务的根本。风险管理也是监管机构的核心工作，是确保金融稳定、社会和谐的基本举措之一。

开展风险管理工作和实施风险管理数字化转型的第一步是认识风险。风险管理人员需要掌握的知识和技能很多，如企业管理、业务、数学和统计学、财务、IT等。入门风险管理需要先了解和掌握风险及风险管理的相关定义、流程、方法、工具，再根据自己所定位的风险管理领域学习和掌握对应的知识与技能。

本节主要介绍风险的定义、分类、框架、操作流程以及其他相关的概念、基础知识和技能领域，这也是入门风险管理的先决条件之一。

1.2.1 风险和风险管理的概念

关于风险的定义，当前最简洁的观点是：风险是指“可能性”和“损失”两个维度的组合。其中可能性用数学语言描述即概率，损失则包括财务损失和非财务损失。风险的二维坐标图形如图1-2所示。

除此之外，还有下列对风险的主流定义。

1）COSO风险管理框架中的定义：风险是指一个事件将会发生并给目标实现带来负面影响的可能性。

2）ISO31000中的定义：风险是指一个事件发生的不确定性及其对目标带来的影响，影响可以是正面的或负面的。

3）国务院国资委《中央企业全面风险管理指引》中的定义：企业风险指未来的不确定性对企业实现其经营目标的影响。一般可分为战略风险、信用风险、市场风险、运营风险、法律风险、财务风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

ISO31000和国务院国资委《中央企业全面风险管理指引》中对风险的定义更加客观地反映了实践中风险的本质特征。我们不仅应看到风险带来的负面影响，也应关注到它可以带来的积极影响，例如基于风险的投资可能带来超额收益。

在生产生活中，人们对于风险的理解和认知各不相同，常见的风险如图1-3所示。

风险管理是运用科学的方法从治理、管理与执行层面对各类风险进行识别、评估、应对、监测并得出报告的全过程。无论国家治理、企业经营还是社会生活，都普遍面临着各式各样的风险。

1.2.2 风险和风险管理的分类

1.风险的分类

按照风险成因划分，主要风险类型如下。

1）信用风险。

□ 违约风险：因交易对手不能或者不愿意履行合同约定的条款而导致损失的可能性。

□ 评级风险：因债务人信用评级降低所引发的债务价格下跌而导致损失的可能性。

□ 结算风险：由于不可预测的客观原因，导致债务人短期内无法进行交割的风险。

2）市场风险。市场风险又称为价格风险，是指由于资产的市场价格发生变化或波动所导致的未来损失的可能性，可细分为利率风险、汇率风险、股票价格风险、商品价格风险、衍生品价格风险等。

3）操作风险。操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件造成损失的风险。本定义所指操作风险包括一般操作风险、法律风险、合规风险、信息科技风险，但不包括战略风险和声誉风险。

4）流动性风险。流动性风险是指无法及时获得充足资金或以合理成本获得充足资金以应对资产增长或支付到期债务的风险。

□ 融资流动性风险：在不影响日常经营或财务状况的情况下，无法及时、有效地满足资金需求的风险。

□ 市场流动性风险：由于市场深度不足或市场动荡，无法以合理的市场价格变现资产的风险，又称为筹资流动性风险。

5）其他风险：战略风险、银行账户利率风险、声誉风险、国别风险、模型风险、数字化风险等。

总结一下，实践中一般对风险的分类如图1-4所示。不同的方法论下分类不一样。对于操作风险的下级分类有多种处理方式；随着信息科技及其风险的重要性日益突出，也可以将其单独列为一种大类风险；洗钱风险一般作为合规风险的下级风险。

2.风险管理的分类

按照“三道防线”理论划分，风险管理的领域包括但不限于如下方面，具体如图1-5所示。

1）前台业务风险管理：主要是指经营机构针对各项业务开展过程中和企业日常管理中的各类风险进行管理，管理部门一般是经营机构自身。

2）中台管理风险管理：主要是指各中台风险管理部门对经营机构的业务营销和日常管理进行二次风险管理，以及对整个企业的宏观运行和微观风险进行管理，管理部门一般涉及风险管理部、法律合规部、计划财务部、信息科技部等。

3）后台审计监督管理：是以独立客观的角度对企业整体的风险和特定领域的风险进行监督和评价，提供专业咨询，改善风险管理水平，管理部门一般是内审部、纪检监察部、道德委员会等。

需要说明的是，虽然不同的公司和不同的方法论对风险管理的划分各不相同，但总体来看这些划分的核心原理是接近的。各公司可以根据通用的风险或风险管理划分方法，结合自身实践、特点和诉求，设计出一套个性化的划分方法。

下面我们看一下中国工商银行（简称“工商银行”）是如何基于三道防线进行风险管理架构设计的。工商银行建立了董事会及其专门委员会、监事会、高级管理层及其专业委员会、风险管理部门和内部审计局等构成风险管理的组织架构，其中：风险管理部负责全面风险、市场风险和国别风险管理，信贷与投资管理部负责信用风险管理，资产负债管理部负责流动性风险和银行账户利率风险管理，内控合规部负责操作风险和合规风险管理，法律事务部负责法律风险管理，办公室负责声誉风险管理，金融科技部负责信息科技风险管理，全面深化改革领导小组办公室负责战略风险管理。工商银行的风险管理组织架构体系如图1-6所示。

1.2.3 风险管理的框架

1.风险管理框架的内容

风险管理的框架包括风险管理环境、风险管理战略和策略、风险管理预算、组织架构和职责、明确的权限与控制、完善的风险数据库、可靠的风险管理信息系统、针对特定风险的定性和定量方法、考核与激励措施、持续的风险管理培训教育、风险管理流程，以及定期的风险预警和风险管理报告等。下面介绍其中主要的部分。

（1）风险管理环境

风险管理环境是指支撑风险管理全过程的风险管理政策制度和操作流程、企业风险管理文化、胜任的工作人员、及时有效的信息交流沟通、庞大准确的风险管理数据、高效先进的风险管理信息系统等。

（2）风险管理战略

风险管理战略包括整体的风险管理目标、实施规划及实现路径。

（3）风险管理策略

风险管理策略在风险管理中的价值理念（是否承认风险的存在，是否愿意投入资源管理风险）、风险偏好（在业务和管理活动的选择中对个别风险的态度）和风险承受度（风险发生后，对所承担影响的容忍范围）。

（4）风险管理预算

风险管理预算是指在年度预算中考虑风险的影响，并对预算进行调整。

（5）风险管理流程

风险管理的基本流程是指识别、评估、控制、报告和监督风险的工作步骤，以及风险管理流程和用以支持流程实施的工具。

风险事件管理流程是指识别、评估、控制、报告和监督风险事件的工作步骤，以及风险事件管理流程和用以支持流程实施的工具。

（6）风险管理的方法和工具

风险管理流程各个环节都需要风险管理工具的大力支持。

□ 信用风险：尽职调查、审查审批、内部评级体系、担保、保证金、资产风险分类、资产减值、限额管理模型、损失拨备、抵债资产管理、催收、诉讼等。

□ 操作风险：内部控制、操作风险与控制自我评估、关键风险指标、损失数据收集、计量模型、预测模型。

□ 市场风险：市场价值重估、风险价值模型法、内部资金转移定价、限额控制、投资审查等。

□ 综合性方法：包括经济资本、压力测试、内部资本充足性评估程序（ICAAP）、风险定价、风险审计等。

2.全面风险管理

全面风险管理是指企业通过自上而下和自下而上的方式，对包括信用风险、市场风险、操作风险、流动性风险以及战略风险、声誉风险、数字化风险等其他风险在内的各种风险，运用科学的方法、工具和流程进行管理的全过程。全面风险管理的框架如图1-7所示。

此外，工商银行认为，全面风险管理是指通过建立有效制衡的风险治理架构，培育稳健审慎的风险文化，制定统一的风险管理策略和风险偏好，执行风险限额和风险管理政策，有效识别、评估、计量、监测、控制或缓释、报告各类风险，为实现集团经营和战略目标提供保证。工商银行在全面风险管理中遵循的原则有全覆盖、匹配性和独立性。

1.2.4 风险因素、事件、损失、价值和大小

风险因素是引起或增加风险发生可能性并引发风险事故发生的机会或产生损失机会的条件。风险因素是风险事件发生的潜在原因，并不会直接导致损失。只有当风险因素增加到一定程度或者遇到某一特殊情况时，才会引发风险事件。

风险事件是促使风险变成现实的事件，是引起损失的直接原因。

风险程度又称损失程度，是指如果某项事件发生，公司会遭受损失的最大数额。在同等条件下，风险程度越高，相关的风险就越大。置信度是度量风险程度时需要用到的关键指标，期望损失、非期望损失和极端损失是衡量风险程度大小的常用指标。

1）置信度：反映了风险偏好和对风险的容忍程度，决定资本覆盖风险的程度，如99.9%、95%。

2）期望损失：经营业务所产生的平均损失，可以通过对企业损失的历史数据统计得出。期望损失通过定价和损失准备进行覆盖。

3）非期望损失：在一定置信水平下，损失超出平均水平的幅度，即超过平均损失之上的损失。非期望损失是期望损失的标准偏差，用资本进行覆盖。

4）极端损失：超出企业正常承受能力的损失，通常发生概率极低但损失巨大，一般通过极端情景假设进行测试，可通过保险来覆盖。

风险价值（Value at Risk，VaR）是一种度量风险程度的指标，使用它进行风险度量的方法被称为VaR方法。美国摩根大通公司对其下的定义为：VaR是在既定头寸被冲销或重估前对可能发生的市场价值最大损失的估计值。G30集团在研究衍生品种的基础上，于1993年发表了题为《衍生产品的实践和规则》的报告，提出了度量市场风险的VaR方法已成为目前金融界测量市场风险的主流方法。实际上在度量其他风险，如操作风险时，也可以使用VaR的概念。

当前常见的定性判断风险等级的方法是使用计算公式和矩阵。计算公式如下：

风险等级=风险发生的可能性等级×风险的影响程度等级

一种常见的风险等级判定矩阵如图1-8所示。

1.2.5 风险管理的流程

风险管理的基本流程是风险识别、风险评估、风险应对、风险监测和风险报告。

风险识别是指风险管理人员运用有关的知识和方法，系统、全面、连续地发现经济单位面临的各种风险。其目的是衡量风险和应对风险，实际上就是收集有关风险因素、风险事故和损失暴露等方面的信息，发现导致潜在损失的因素。

风险识别技术实际上就是收集有关损失原因、危险因素及损失暴露等方面信息的技术。风险识别所要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要原因是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些，等等。

风险是客观存在的，风险事件的发生是一个从渐变到质变的过程，是风险因素积聚、增加的结果。因此，在风险识别中，最重要、最困难的工作是寻找和确定风险因素，即识别风险的来源。

风险评估是指针对已经识别出的风险，采取定性、定量或者定性与定量相结合的方式对风险的大小进行评估。

风险应对是指针对已经存在的风险采取各项应对措施，如控制风险、接受风险、转移风险等。其中控制风险是重点，由其衍生出风险控制理论和内部控制理论等。

风险监测是指运用各项方法、指标、技术、信息系统等，对各类风险开展静态或动态、整体或局部、长期或短期的监测预警，目的是发现潜在的风险，或者在出现风险的初期即及时采取应对措施，降低风险的负面影响。

风险报告是针对全面风险和单项风险，对风险管理的全过程进行定期和不定期汇报，包括风险管理报告、风险事件报告等。

1.2.6 风险管理的能力要求

风险管理是一项十分专业的工作，从业人员必须掌握特定的技能，方能在风险管理日常工作和数字化转型过程中得心应手地洞察风险因素，处理好各项问题，提升公司价值。风险管理的能力要求包括但不限于以下几个方面。

1）企业管理。风险管理本身属于企业经营管理的一个模块，掌握公司治理、战略规划、流程管理、合规管理、绩效管理等知识是入门风险管理的基本要求。缺乏相关经营管理知识的风险管理人员极有可能缺乏对企业宏观经营管控和微观业务流程的综合分析能力。

2）业务操作。企业各项业务的操作流程和操作规范是风险管理的直接着力点，风险管理的一个重要目标是改进业务流程，规范业务操作，最终提升业务价值。实践中常有“不懂业务就做不好风险管理”这样的说法。一般来说，不懂业务的风险管理人员很难认识到风险的实质影响因素，导致在具体风控措施的落地执行上存在不足。

3）数学和统计学。风险管理中可以使用数学和统计学方法来进行风险识别、评估、计量，比如基于数据挖掘的统计模型法是当今风险计量领域的主流方法，用于信贷领域的申请评分卡、行为评分卡和催收评分卡等。

4）财务分析。很多风险管理活动实质上是对企业或个人进行财务分析，例如：在信用风险管理领域，需要对公司客户进行大量的专业财务分析，如资产负债分析，利润和现金流分析，偿债能力、盈利能力、营运能力、成长能力分析；又如非零售信用风险评级模型的核心风险因子是由财务指标组成的，建模过程需要专业的财务分析。

5）法律。一方面合规经营是企业必须遵循的基本原则，另一方面企业经营管理过程中面临着众多的法律和合规风险。在战略风险、信用风险、操作风险、洗钱风险、消费者权益保护、信息科技风险、声誉风险，以及采购管理、人力资源管理、产品管理、创新管理等领域均存在众多的法律和合规要求，因此法律是一般风险管理人员特别是从事法律、合规相关工作的风险管理人员需要掌握的知识和技能，具体的掌握程度取决于所从事领域对相关知识的要求。

6）数据分析和挖掘。数据分析和挖掘与数学和统计学密切相关，但这里说的数据分析和挖掘更聚焦于编程方向。由于人工几乎无法完成大量数据的计算，因此使用Python、R等编程语言对数据进行分析和挖掘是风险分析与风险建模的基本功之一。

7）信息科学技术。信息技术之所以能成为风险管理的核心技能，有三大原因：其一，信息科技在企业经营管理中的重要性将会越来越突出，信息科技已成为企业整体的核心能力之一；其二，信息科技风险及信息安全本身也是风险管理的热点主题，信息科技风险管理是风险管理的重要模块；其三，在数字化时代，企业将应用更多的信息技术来完成数字化转型和提升数字化的实施效果。

8）逻辑分析和推理。许多企业在招聘员工的职位介绍上会对应聘人员的逻辑分析能力提出要求，具备严谨的逻辑分析能力几乎成为对任何一个工作岗位的基础要求。风险管理是一项追求真理、洞察本质、发现真相和预测未来的综合性工作，目的是更加完整、准确、严谨、规范、动态地分析和改进问题，因此对风险管理人员的逻辑分析和推理能力要求极高。而缺乏逻辑的从业者则不能达成目标，反而很容易得出错误的结论。

9）信息沟通。在风险管理工作中需要进行大量的自下而上、自上而下、同部门和跨部门、内部和外部、监管和非监管的信息沟通与交流。信息不对称是最大的风险因素，信息沟通不到位将直接降低风险管理工作的效率并增加风险。由于良好的信息沟通能力能够降低信息不对称风险、减少人际交往的障碍、降低风险管理成本，因此它是风险管理人员必备的基础技能之一。

下面我们从中选取数学和财务分析两个主题进行专项介绍，梳理在风险管理工作中需要掌握的一些重要知识。