2.2.1 董事會及其專門委員會

　　董事會是商業(yè)銀行的最高風險管理/決策機構，承擔商業(yè)銀行管理的最終責任，確保商業(yè)銀行有效識別、計算、監(jiān)測和控制各項業(yè)務所承擔的各種風險。

　　董事會通常指派專門委員會（通常為最高風險管理委員會）負責擬定具體的風險管理政策和指導原則。

　　最高風險管理委員會以及業(yè)務單位風險管理委員會委員，可以由商業(yè)銀行內部具有豐富管理經驗的人士擔任，也可由外部專家/顧問擔任。風險管理總監(jiān)應當是商業(yè)銀行董事會成員，同時擔任商業(yè)銀行副總裁或以上職務。

　　2.2.2 監(jiān)事會

　　監(jiān)事會是我國商業(yè)銀行所特有的監(jiān)督機構，對股東大會負責，從事商業(yè)銀行內部盡職監(jiān)督、財務監(jiān)督、內部控制監(jiān)督等監(jiān)察工作。

　　在風險管理領域，監(jiān)事會應當加強與董事會及內部審計、風險管理等相關委員會和有關職能部門的工作聯(lián)系。

　　2.2.3 高級管理層

　　高級管理層的主要職責是負責執(zhí)行風險管理政策，制定風險管理的程序和操作規(guī)程，及時了解風險水平及其管理狀況，并確保商業(yè)銀行具備足夠的人力、物力和恰當?shù)慕M織結構、管理信息系統(tǒng)以及技術水平，來有效地識別、計量、監(jiān)測和控制各項業(yè)務所承擔的各種風險。

　　高級管理層的支持與承諾是商業(yè)銀行有效風險管理的基石。

　　2.2.4 風險管理部門

　　建立高效的風險管理部門應當固守兩個基本準則：風險管理部門必須具備高度獨立性，以提供客觀的風險管理策略；風險管理部門不具有或只具有非常有限的風險管理策略執(zhí)行權。時間操作中，商業(yè)銀行的“風險管理部門”和“風險管理委員會”既要保持相對獨立，又要互為支持，但絕不能混為一談。

　　1.風險管理部門結構

　　（1）集中型的風險管理部門

　　從全球金融風險管理實踐看，集中型風險管理部門包括了商業(yè)銀行風險管理的核心要素：風險監(jiān)控、數(shù)量分析、價格確認、模型創(chuàng)建和相應的信息系統(tǒng)/技術支持。更加適用于規(guī)模龐大，資金、技術、人力資源雄厚的大中小商業(yè)銀行。

　　（2）分散型風險管理部門

　　在某些情況下，商業(yè)銀行不需要建立完善的風險管理部門，因此可以考慮將數(shù)據(jù)分析、技術支持、價格確認等風險管理職能外包給專業(yè)服務供應商。分散型風險管理部門的缺點是，難以絕對控制商業(yè)銀行的敏感信息，無法形成長期的核心競爭力和強大的市場定價能力。

　　2.風險管理部門的主要職責

　　首先，風險管理部門履行的一個非常具體但卻至關重要職責是監(jiān)控各種金融產品和所有業(yè)務部門的風險限額。商業(yè)銀行的每日風險狀況報告和每日收益/損失表是現(xiàn)代商業(yè)銀行管理的最重要的兩份報告。

　　其次，風險管理部門負責核準復雜金融產品的定價模型，并協(xié)助財務控制人員進行價格評估。

　　最后，風險管理部門獨特的地位使其可以全面掌握商業(yè)銀行的整齊風險狀況，為管理決策提供不可替代的輔助作用。

　　3.風險管理所需的專業(yè)技能

　　集中性風險管理部門的人員必須具備以下五個方面的主要技能。

　　（1）風險監(jiān)控和分析能力

　　（2）數(shù)量分析能力

　　（3）價格核準能力

　　（4）模型創(chuàng)建能力

　　（5）系統(tǒng)開發(fā)/集成能力

　　2.2.5 其他風險控制部門

　　1.財務控制部門

　　現(xiàn)代商業(yè)銀行的財務控制部門通常采取每日參照市場定價的方法，及時捕捉市場價格/價值的變化，因此所提供的數(shù)據(jù)最為真實、準確，這無疑使財務控制部門處在有效風險管理的最前端。

　　2.內部審計部門

　　內部審計可以從風險識別、計量、監(jiān)測和控制四個主要階段，審核商業(yè)銀行粉線管理的能力和效果，發(fā)現(xiàn)/報告潛在的重大風險，提出應對方案并監(jiān)督風險控制措施的落實情況。

　　風險管理部門可以為內部審計部門提供最直接的第一手資料和記錄。

　　3.法律/合規(guī)部門

　　法律/合規(guī)部門應當獨立于商業(yè)銀行的經營活動。法律/合規(guī)部門應當有效識別、評估和監(jiān)測商業(yè)銀行潛在的法律風險及各項違規(guī)操作，并向高級管理層和董事會提出咨詢建議和報告。

　　4.外部風險監(jiān)督機構

　　監(jiān)管機構不斷強化從質量和數(shù)量方面綜合評估商業(yè)銀行的風險管理能力，同時要求商業(yè)銀行定期提供整體風險報告。外部審計機構也開始在年度審計報告中提供風險管理評估報告。

　　隨著公眾風險意識顯著提高，越來越多的機構/個人投資者、客戶開始重新審視商業(yè)銀行的風險管理能力。