金融风险管理实施指南

金融风险管理实施指南第1章金融风险管理概述1.1金融风险管理的定义与重要性金融风险管理（FinancialRiskManagement,FRM）是指通过系统化的方法识别、评估、监测和控制金融活动中可能产生的风险，以降低潜在损失并提高组织财务稳健性的过程。这一概念由国际金融风险管理体系（IFRS）和国际风险管理标准（IRIS）共同推动，强调风险的量化与动态管理。根据《国际金融风险管理体系》（2011）的定义，金融风险涵盖市场风险、信用风险、流动性风险、操作风险等，是影响金融机构盈利能力和资本充足率的关键因素。金融风险的存在是不可避免的，但有效的风险管理能够显著提升金融机构的抗风险能力，确保其在经济波动中保持稳定运营。例如，2008年全球金融危机中，缺乏有效的风险识别和控制机制导致许多金融机构遭受重创，凸显了风险管理在金融稳定中的核心作用。国际货币基金组织（IMF）指出，良好的风险管理能力是金融体系可持续发展的基础，能够增强市场信心并促进经济高质量增长。1.2金融风险的类型与成因金融风险主要包括市场风险、信用风险、流动性风险和操作风险四大类。市场风险涉及市场价格波动带来的损失，如股票、债券和外汇市场的价格变化；信用风险则源于交易对手违约的可能性；流动性风险指资产变现困难或资金不足；操作风险源于内部流程、系统或人为错误。市场风险是金融活动中最普遍的风险类型，根据《金融风险管理导论》（2019），市场风险主要由利率、汇率、股票价格和商品价格波动引起，其影响范围广泛，且具有高度不确定性。信用风险在金融机构间尤为突出，尤其是银行和投资机构，其成因包括借款人信用状况恶化、违约概率上升以及信息不对称等。例如，2018年某大型银行因过度依赖高风险贷款，导致信用风险显著上升，最终引发系统性风险。金融风险的成因复杂，通常涉及宏观经济环境、政策变化、市场预期和企业内部管理等多个因素，需综合分析以制定有效的风险管理策略。1.3金融风险管理的目标与原则金融风险管理的核心目标是实现风险最小化、收益最大化和资本安全，确保金融机构在不确定环境中维持稳健运营。根据《金融风险管理理论》（2020），风险管理应遵循全面性、独立性、持续性、动态性等原则，确保风险识别、评估、监控和应对措施的全过程闭环管理。全面性原则要求对所有可能的风险进行识别和评估，避免遗漏关键风险点；独立性原则强调风险管理应由独立部门或团队负责，避免利益冲突。持续性原则要求风险管理是一个长期过程，需定期更新风险评估模型和应对策略，适应市场变化。动态性原则强调风险管理应根据外部环境和内部条件的变化进行调整，确保风险管理措施与实际风险状况保持一致。第2章金融风险管理框架构建2.1金融风险管理的组织架构金融风险管理组织架构应遵循“三三制”原则，即设立风险管理委员会、风险管理部门和业务部门三级架构，确保风险识别、评估、监控与应对的全周期管理。根据《国际金融风险管理体系》（IFRS9）的建议，风险管理组织应具备独立性、专业性和协调性，以保障风险管理的有效实施。通常，金融机构会设立专门的风险管理部门，负责制定风险管理政策、流程和工具，并对业务部门的风险进行监督与指导。根据美国银行监管机构的实践，风险管理部门应与业务部门保持密切沟通，确保风险控制与业务战略一致。金融风险管理组织架构应明确职责分工，避免职责重叠或缺失。例如，风险管理部门应负责风险识别与评估，而业务部门则需在执行业务过程中主动识别和报告风险事件。这种分工有助于提高风险管理的效率和效果。金融机构应建立跨部门的风险治理机制，确保风险管理政策在组织内部得到统一执行。根据《银行风险管理与监管》（BankRiskManagementandRegulation）一书，风险管理政策应涵盖风险识别、评估、监控、报告和应对等全过程。有效的组织架构应具备灵活性和适应性，能够根据市场环境、业务变化和监管要求进行动态调整。例如，随着金融科技的发展，风险管理组织可能需要引入更多数据驱动的分析工具和实时监测机制。2.2金融风险管理的流程与步骤金融风险管理流程通常包括风险识别、风险评估、风险监控、风险应对和风险报告五个主要阶段。根据《金融风险管理导论》（IntroductiontoFinancialRiskManagement）一书，风险识别是风险管理的第一步，需通过内外部数据收集来发现潜在风险。风险评估是风险识别后的关键步骤，通常采用定量与定性相结合的方法。例如，VaR（ValueatRisk）模型用于衡量市场风险，而压力测试则用于评估极端市场条件下的风险敞口。根据《风险管理与金融工程》（RiskManagementandFinancialEngineering）一书，风险评估应涵盖风险类型、发生概率和潜在影响。风险监控是风险管理的持续过程，涉及实时监测和定期回顾。金融机构应建立风险指标体系，如流动性比率、杠杆率等，并通过信息系统进行数据采集和分析。根据《金融风险管理实践》（PracticalFinancialRiskManagement）一书，风险监控应与业务操作紧密结合，确保风险信息及时传递。风险应对是风险管理的核心环节，包括风险规避、转移、减轻和接受四种策略。根据《风险管理理论与实践》（TheoryandPracticeofRiskManagement）一书，风险应对应根据风险的性质和影响程度选择最合适的策略，以最小化损失。风险报告是风险管理的最终环节，需向管理层和监管机构定期汇报风险状况。根据《金融风险管理报告指南》（GuidelinesforFinancialRiskReporting）一书，风险报告应包含风险敞口、风险指标、风险事件和应对措施等内容，以支持决策和监管合规。2.3金融风险管理的工具与方法金融风险管理常用的工具包括风险矩阵、风险图、蒙特卡洛模拟、VaR模型和压力测试等。根据《金融风险管理工具与方法》（ToolsandMethodsinFinancialRiskManagement）一书，风险矩阵用于评估风险发生的可能性和影响程度，而蒙特卡洛模拟则用于量化复杂金融产品的风险。风险评估方法中，定量方法如VaR和CVaR（ConditionalValueatRisk）被广泛应用于市场风险评估。根据《风险管理与金融工程》（RiskManagementandFinancialEngineering）一书，VaR模型能够提供风险敞口的总体估计，而CVaR则更关注极端损失的概率和损失大小。风险监控工具包括风险指标（如流动性比率、资本充足率）和风险预警系统。根据《金融风险管理实践》（PracticalFinancialRiskManagement）一书，风险预警系统应具备实时数据采集、异常检测和风险提示功能，以及时发现潜在风险。风险应对策略包括风险转移、风险规避、风险减轻和风险接受。根据《风险管理与金融工程》（RiskManagementandFinancialEngineering）一书，风险转移可通过保险、衍生品等方式实现，而风险规避则需调整业务策略以避免风险发生。风险管理工具的选用应结合机构的规模、业务类型和风险特征。例如，大型金融机构可能采用更复杂的模型和系统，而中小型机构则可能依赖简单工具和人工监控。根据《金融风险管理导论》（IntroductiontoFinancialRiskManagement）一书，风险管理工具的选择应与组织的战略目标和资源状况相匹配。第3章信用风险管理3.1信用风险的识别与评估信用风险识别是金融机构在开展业务前对潜在违约风险进行初步判断的过程，通常包括客户信用评级、行业分析及财务状况评估。根据《巴塞尔协议》（BaselII）的框架，信用风险识别需结合定量与定性分析，以识别可能影响借款人偿债能力的因素。信用风险评估主要通过定量模型如违约概率（PD）、违约损失率（LGD）和违约风险暴露（EAD）进行测算。例如，CAMELs（CapitalAdequacyAssessmentModel）模型中，银行会评估客户资产质量、盈利能力及流动性状况，以判断其违约可能性。在实际操作中，金融机构常采用蒙特卡洛模拟（MonteCarloSimulation）或历史模拟法（HistoricalSimulation）对信用风险进行量化。这些方法能够模拟不同经济情景下的违约概率，帮助银行制定更稳健的风险管理策略。信用风险识别还涉及对行业和宏观经济环境的分析，例如通过行业生命周期理论（IndustryLifeCycleTheory）判断行业是否处于高风险阶段，从而影响客户信用等级的判断。依据国际清算银行（BIS）的研究，信用风险评估应结合客户财务报表、经营状况及历史违约记录，同时考虑外部因素如政策变化、市场波动等，以全面评估其信用风险水平。3.2信用风险的计量模型信用风险计量模型主要分为内部模型（InternalModels）和外部模型（ExternalModels）。内部模型如CreditMetrics（信用度量模型）和CreditRisk+（信用风险模型）被广泛应用于银行风险管理中，能够提供更精确的违约概率预测。信用风险计量模型通常采用统计方法，如Logit模型、Probit模型或Copula模型，以捕捉信用风险之间的相关性。例如，Copula模型能够有效描述不同客户之间的违约相关性，提高模型的准确性。根据《巴塞尔协议III》的要求，银行需采用符合监管标准的信用风险计量模型，并定期进行模型验证与调整，确保其适用性和有效性。在实际应用中，模型的参数设置和数据质量是关键因素。例如，违约概率（PD）的估计需基于历史数据，而违约损失率（LGD）则需结合行业特性进行调整。有研究表明，采用机器学习算法（如随机森林、支持向量机）对信用风险进行预测，能够提高模型的灵活性和适应性，但需注意模型的可解释性和风险控制。3.3信用风险的控制与缓释信用风险控制的核心在于通过多样化投资、分散风险和优化资产结构来降低整体风险暴露。例如，银行可通过资产组合多样化（PortfolioDiversification）减少单一客户或行业带来的风险。信用风险缓释工具主要包括担保（Guarantee）、抵押（Mortgage）、信用保险（CreditInsurance）和信用衍生品（CreditDerivatives）。根据《巴塞尔协议》要求，银行需采用符合监管标准的缓释工具，以降低潜在损失。在实际操作中，信用风险缓释工具的使用需符合监管要求，例如银行需确保担保物的价值不低于贷款余额的一定比例，并定期评估担保物的市场价值。信用风险缓释还可以通过信用评级提升（CreditRatingEnhancement）实现，例如通过发行优先股或债券来增强信用评级，从而降低融资成本。根据国际清算银行（BIS）的案例分析，采用多种缓释工具组合可有效降低信用风险敞口，同时提升银行的资本充足率和风险管理能力。第4章市场风险管理4.1市场风险的识别与监测市场风险的识别主要依赖于对各类金融工具和市场变量的监控，如股票价格、利率、汇率和信用价差等。根据《国际金融风险报告》（IFRS）的定义，市场风险是指由于市场价格波动导致的潜在损失风险。金融机构通常采用压力测试和情景分析来识别市场风险。例如，蒙特卡洛模拟（MonteCarloSimulation）和VaR（ValueatRisk）方法被广泛用于评估市场风险敞口。2018年，全球最大的银行之一——摩根大通（JPMorganChase）使用VaR模型对市场风险进行了全面评估。市场风险监测需要建立实时监控系统，利用大数据和技术分析市场数据。例如，Black-Scholes模型是常用的期权定价模型，用于估算资产价格波动对投资组合的影响。金融机构应定期进行市场风险回顾，结合历史数据和当前市场环境，识别潜在风险点。根据《金融风险管理导论》（FinancialRiskManagement:APracticalGuide）的建议，市场风险监测应包括对市场因子（如利率、汇率、商品价格）的持续跟踪。市场风险识别与监测应结合定量分析与定性分析，通过专家判断和历史经验，识别可能引发重大损失的市场事件，如地缘政治事件或宏观经济变化。4.2市场风险的计量与控制市场风险的计量主要通过VaR（ValueatRisk）和CVaR（ConditionalValueatRisk）等模型进行量化。VaR表示在一定置信水平下，资产在特定时间内可能遭受的最大损失。例如，根据2020年巴塞尔协议III，银行需将VaR作为市场风险资本的计量依据。风险价值（VaR）的计算需考虑市场波动率、资产相关性及风险敞口分布。根据《金融风险管理实务》（PracticalFinancialRiskManagement）的分析，VaR模型在实际应用中常采用历史模拟法（HistoricalSimulation）或蒙特卡洛模拟法（MonteCarloSimulation）。金融机构应建立市场风险计量框架，包括风险因子的识别、参数估计、风险敞口的分类与计量。例如，利率风险通常通过久期（Duration）和凸性（Convexity）进行衡量。市场风险计量需结合压力测试，评估极端市场条件下可能的损失。例如，2008年金融危机中，许多金融机构因未充分计量信用风险和市场风险而遭受重大损失。为控制市场风险，金融机构应制定风险限额（RiskLimits），并建立风险预警机制。根据《风险管理框架》（RiskManagementFramework），风险限额应涵盖市场风险、信用风险等，并通过动态监控机制进行调整。4.3市场风险的对冲策略市场风险对冲通常采用衍生品工具，如期权、期货、远期合约等。根据《金融衍生工具应用指南》（DerivativesApplicationGuide），期权是一种常见的对冲工具，可对冲股票价格波动风险。金融机构应根据风险敞口的性质选择合适的对冲工具。例如，利率风险可通过利率互换（InterestRateSwap）进行对冲，汇率风险可通过外汇远期合约（ForeignExchangeForwardContract）进行对冲。对冲策略需考虑对冲比率（Delta）、风险敞口的匹配及对冲成本。根据《衍生品风险管理》（DerivativesRiskManagement），对冲比率应保持在合理范围内，以避免过度对冲或不足对冲。多种对冲策略可组合使用，如组合对冲（HedgingCombination）或动态对冲（DynamicHedging）。例如，银行可采用期权组合对冲股票市场风险，同时利用期货对冲利率风险。对冲策略需定期评估和调整，以适应市场变化。根据《市场风险管理实务》（PracticalMarketRiskManagement），对冲策略应与市场环境、经济周期及政策变化保持同步，确保风险控制的有效性。第5章操作风险管理5.1操作风险的识别与评估操作风险的识别应基于全面的风险管理框架，包括流程分析、系统评估和事件记录，以识别潜在的操作风险源，如内部流程缺陷、人员失误、系统故障及外部事件影响。根据巴塞尔协议Ⅲ（BaselIII）要求，金融机构需建立操作风险识别模型，如基于事件的分析（Event-BasedAnalysis）和流程分析（ProcessAnalysis）。评估操作风险通常采用定量与定性相结合的方法，如使用风险矩阵（RiskMatrix）或情景分析（ScenarioAnalysis），以量化风险发生的可能性与影响程度。例如，2017年摩根大通（JPMorganChase）的操作风险事件中，系统故障导致巨额损失，凸显了系统性风险评估的重要性。操作风险评估应纳入日常业务流程，通过定期审计、压力测试和风险回顾，持续识别新出现的风险点。根据国际金融公司（IFC）的研究，操作风险评估应覆盖所有关键业务环节，包括交易处理、客户管理、合规审查等。识别操作风险时，需考虑内部和外部因素，如技术更新、监管变化及市场波动。例如，2020年新冠疫情对金融机构的运营造成显著冲击，凸显了外部事件对操作风险的潜在影响。操作风险识别应结合历史数据与实时监控，利用机器学习和大数据技术提高识别效率。根据普华永道（PwC）的报告，采用（）进行操作风险识别可提升风险发现的准确性和及时性。5.2操作风险的控制与缓解控制操作风险的核心在于建立完善的内部控制体系，包括职责分离、授权审批和流程标准化。根据国际会计准则（IAS）和商业银行操作风险管理指引，内部控制应覆盖所有关键业务流程，确保风险可控。金融机构可通过风险转移、保险和对冲等手段缓解操作风险。例如，使用操作风险保险（OperationalRiskInsurance）可降低因系统故障或人为失误带来的经济损失，据美国银行（BankofAmerica）的实践，此类保险可减少高达30%的潜在损失。风险缓解措施应与业务战略相匹配，例如对高风险业务实施更严格的审批流程，或引入自动化系统减少人为操作误差。根据麦肯锡（McKinsey）的研究，自动化可降低操作风险发生率约25%-40%。建立操作风险应急机制，如操作风险应急计划（OperationalRiskEmergencyPlan），确保在突发事件中能迅速响应并控制损失。例如，2019年瑞银（UBS）因操作风险事件导致巨额罚款，凸显了应急机制的重要性。操作风险缓解应持续优化，通过定期审查和更新控制措施，确保其适应不断变化的业务环境。根据国际清算银行（BIS）的建议，操作风险控制应与业务发展同步，实现动态管理。5.3操作风险的监控与报告操作风险监控应建立实时监测系统，包括风险指标（RiskMetrics）和预警机制，确保风险变化能够及时被识别。根据巴塞尔委员会（BaselCommittee）的指导，操作风险监测应覆盖关键风险指标（KRI）和压力测试结果。操作风险报告需遵循统一标准，如《操作风险报告指引》（OperationalRiskReportingGuidelines），确保信息透明、准确和及时。例如，2021年欧盟实施的操作风险报告要求，金融机构需在季度报告中披露关键风险指标，提升风险透明度。操作风险报告应包含风险识别、评估、控制及应对措施，以及风险事件的影响与恢复情况。根据国际金融协会（IFMA）的实践，报告应包含定量与定性分析，确保管理层全面了解风险状况。监控与报告应与内部审计和合规管理相结合，确保风险信息的准确性与完整性。例如，定期开展操作风险审计，结合风险评估结果，形成闭环管理机制。操作风险监控与报告应与外部监管机构保持沟通，确保符合监管要求。根据美国联邦储备委员会（FED）的规定，金融机构需定期向监管机构提交操作风险报告，确保风险控制符合监管标准。第6章法律与合规风险管理6.1法律风险的识别与评估法律风险识别是金融风险管理的基础，需通过法律合规审查、合同审查及业务流程分析，识别潜在的法律冲突、监管要求不一致或合规漏洞。根据《巴塞尔协议III》要求，金融机构应建立法律风险评估体系，运用定量与定性相结合的方法，评估法律风险发生的可能性与影响程度。识别法律风险时，需关注政策变化、司法解释更新、行业规范调整等动态因素。例如，2022年《个人信息保护法》实施后，金融机构需重新评估其数据处理合规性，避免因法律变更导致的业务中断或罚款。法律风险评估应结合企业战略与业务模式，如跨境业务需评估外汇管制、数据跨境传输等法律风险。据国际清算银行（BIS）研究，2021年全球跨境金融业务中，约35%存在合规风险，主要集中在反洗钱、数据保护及反恐融资领域。评估方法可采用风险矩阵，将法律风险分为高、中、低三级，并结合历史事件与行业数据进行量化分析。例如，某银行在2020年因未及时更新反洗钱法规，被罚款2000万元，说明风险评估需动态更新。法律风险识别需建立法律风险清单，明确各类风险点、责任人及应对措施。根据《中国银行业监督管理委员会关于加强银行法律风险防控的指导意见》，金融机构应定期更新法律风险清单，确保与监管政策及业务变化同步。6.2合规风险管理的实施合规风险管理需贯穿于业务全流程，从战略规划到操作执行，确保业务活动符合法律法规及监管要求。根据《商业银行合规风险管理指引》，合规管理应与内部审计、风险控制等职能协同，形成闭环管理。合规管理应建立合规组织架构，明确合规部门职责，如制定合规政策、开展合规培训、监督合规执行等。某大型商业银行通过设立合规委员会，2022年合规培训覆盖率提升至95%，有效降低合规风险。合规管理需建立合规制度体系，包括合规政策、操作规程、检查评估等。例如，《商业银行法》要求金融机构必须制定合规管理制度，明确合规职责与操作流程，确保业务活动合法合规。合规管理应结合业务发展动态调整制度，如金融科技快速发展带来新的合规要求，需及时修订相关制度。据2023年《中国银保监会合规管理白皮书》，合规制度更新频率应与业务变化同步，避免滞后风险。合规管理需强化合规文化建设，通过宣传、培训、考核等方式提升员工合规意识。某银行通过“合规月”活动，员工合规意识提升显著，2023年合规事件发生率下降40%。6.3合规风险的监控与应对合规风险监控需建立常态化机制，如定期开展合规检查、风险评估与审计。根据《商业银行合规风险管理指引》，金融机构应每季度进行合规风险评估，识别新出现的合规风险点。监控手段包括内部审计、外部审计、合规报告分析及监管数据监控。例如，某银行通过合规管理系统，实时监控交易合规性，2022年违规交易发现率提升至80%。合规风险应对需制定应急预案，明确风险事件的处理流程与责任分工。根据《银行业监督管理法》，金融机构应制定合规风险应急预案，确保在突发合规事件中能够快速响应、控制损失。合规风险应对需结合业务实际情况，如跨境业务需加强反洗钱审查，零售业务需强化消费者权益保护。某银行通过引入合规监测系统，有效提升合规风险识别效率。合规风险应对需持续改进，通过复盘分析、整改落实及制度优化，形成闭环管理。根据《中国银保监会合规管理指引》，合规管理应建立持续改进机制，定期评估合规风险应对效果，并根据反馈调整管理策略。第7章风险事件应对与恢复7.1风险事件的识别与报告风险事件的识别应基于系统化的风险监测机制，包括实时监控、数据采集与分析，以确保风险信号的及时捕捉。根据《金融风险管理导论》（2020）中的定义，风险事件识别需结合定量与定性分析，利用预警模型与压力测试等工具进行识别。风险事件的报告应遵循统一的流程与标准，确保信息传递的准确性和时效性。根据《金融机构风险管理指引》（2019），风险事件报告应包含事件类型、影响范围、损失程度及应对措施等关键信息，并需在规定时间内提交至相关监管机构与管理层。识别与报告过程中需建立多层级的反馈机制，确保信息在不同部门之间有效传递。例如，风险事件发生后，应由风险管理部门第一时间启动应急响应，并同步向董事会及外部审计机构报告。风险事件的报告应遵循“及时、准确、完整”的原则，避免信息滞后或遗漏。根据《国际金融风险报告准则》（IFRS7），风险事件报告需包含事件发生的时间、原因、影响及应对措施，以支持后续的损失评估与恢复计划。风险事件的识别与报告应结合历史数据与实时数据进行交叉验证，以提高识别的准确性。例如，通过压力测试模型模拟极端市场情景，结合实际数据进行对比，从而判断风险事件的严重程度。7.2风险事件的应对策略风险事件的应对策略应根据事件类型、影响范围及业务影响程度制定，包括风险缓释、风险转移、风险规避等措施。根据《风险管理框架》（2018）中的“风险应对策略”分类，应对策略需遵循“风险识别-评估-应对-监控”闭环管理。对于信用风险事件，应采取资产证券化、风险对冲、信用保险等手段进行风险缓释。例如，银行可通过发行债券或购买信用衍生品来对冲信用风险，根据《金融风险管理实务》（2021）中的案例，此类措施可有效降低损失幅度。对于市场风险事件，应采用对冲策略，如期权、期货或期权组合，以对冲价格波动带来的损失。根据《金融衍生工具应用指南》（2022），市场风险对冲需符合监管要求，确保风险敞口的合理控制。风险事件的应对策略应结合组织结构与资源能力，确保措施的可行性和有效性。例如，大型金融机构应建立跨部门的风险应对小组，协调不同业务单元的资源，以提升应对效率。风险事件的应对策略需持续优化，根据事件发生后的损失评估与经验教训进行调整。根据《风险管理持续改进指南》（2020），应对策略应定期复盘，形成闭环管理，以提升整体风险管理水平。7.3风险事件的恢复与改进风险事件的恢复应以损失控制为核心，包括资金调配、业务恢复、系统修复等措施。根据《金融风险管理实务》（2021），恢复过程需遵循“先处理、后恢复”的原则，确保业务连续性与客户权益不受影响。恢复过程中应建立专项工作组，明确责任分工与时间节点，确保各项措施有序推进。例如，银行在遭受信用风险事件后，应设立专项小组负责资金划拨、系统修复及客户沟通，以加快恢复进程。恢复后需进行损失评估与分析，识别事件根源并制定改进措施。根据《风险管理评估与改进指南》（2022），损失评估应涵盖直接损失与间接损失，包括声誉损失、运营成本及监管处罚等。恢复与改进应纳入组织的持续改进体系，通过定期复盘与审计，确保措施的有效性。例如，金融机构可建立风险事件复盘机制，将事件处理经验纳入培训体系，提升整体风险管理能力。恢复与改进需结合信息技术与流程优化，提升系统韧性与业务弹性。根据《金融科技风险管理实践》（2023），通过引入预测模型与自动化系统，可有效提升风险事件的监测与应对能力，降低未来风险发生概率。第8章风险管理的持续改进8.1风险管理的评估与审计风险管理的评估与审计是确保风险管理有效性的重要手段，通常包括风险识别、衡量、监控和应对措施的评估。根据ISO31000标准，风险管理的评估应涵盖风险敞口、风险事件发生频率及影响程度等关键指标，以确保风险管理目标的实现。评估过程通常采用定量与定性相结合的方法，如风险矩阵、情景分