1、风风 险险 识识 别别 评评 估估 教教 程程北京正信嘉华管理顾问有限公司北京正信嘉华管理顾问有限公司培训目标n掌握风险识别和评估的基本原理和方法n能够熟练开展风险识别与评估n为文件编写做准备第一部分 基本原理和方法n标准-衡量质量和质量管理的尺度,标准具有约束性、协调性、适用性和科学性。n标准的本质-约束 人为的约束 有利于发展的约束 取得效益的约束 某种特定形式的约束风险定义的解释n风险风险-对目标有所影响的某个事情发生的可能性与后对目标有所影响的某个事情发生的可能性与后果的结合。果的结合。n可能性可能性n用作对概率或频率的定性描述。用作对概率或频率的定性描述。n【注【注1 1】频率是以规
2、定的时间内发生次数来表达发生率的量度。】频率是以规定的时间内发生次数来表达发生率的量度。n【注【注2 2】概率是以特定事件或结果与可能发生事件或结果的总】概率是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。数之比来量度的特定事件或结果的可能性。n后果后果 n以定量或定性的方式表示的一个事件的结果。以定量或定性的方式表示的一个事件的结果。n【注】一个事件可能有多个与其相关的结果。【注】一个事件可能有多个与其相关的结果。与风险有关的几个重要定义(二)n损失损失 -任何财务或其他方面的负面影响。任何财务或其他方面的负面影响。n可接受风险可接受风险 n其程度已降低到建设
3、银行考虑监管要求和内控政策后能接受其程度已降低到建设银行考虑监管要求和内控政策后能接受的水平的风险。的水平的风险。n险情险情n可能造成损失的状态。可能造成损失的状态。n安全安全n脱离不可接受的风险。脱离不可接受的风险。风险来源(一)n商业关系:n建设银行与其他机构之间,如客户之间的关系。n法律法规:n建设银行所必须遵循的法律、法规所调节的关系。n经济环境:n建设银行、国际和国际的经济环境,以及造成这些环境的因素如汇率、通货膨胀、经济衰退等。n人员行为:n与建设银行有关或无关的人员的行为。风险来源(二)n自然事件:n地震、火灾、洪灾、疾病等不可抗力。n政治环境:n政局稳定、立法变化以及可能影响其
4、他风险的政治因素。n科学和技术:n建设银行内部和外部的科学技术问题。n管理活动和控制:n外部机构或建设银行内部的管理或控制活动风险影响的范围n资产的安全n收入和权利n成本n人员n声誉风险控制需考虑因素n考虑可能会发生什么n考虑风险来源n考虑风险类型n考虑风险阶层n考虑可能影响的范围n考虑风险和经营的均衡性第二部分 风险识别和评估 不适宜识别过程寻找风险点根源、路径影响范围现有状况下风险级别原措施是否适宜按原措施继续控制制定控制方案评审确定控制目标控制方案实施定期评审方案进入下一循环适宜是否风险识别原则和方法风险识别原则和方法n从上到下 风险控制关口前移,从环境和政策层面控制:国家法律-人行监管
5、-总行管理要求n从内到外 风险控制从组织内部扩张到行业、社会:行内已识别-同行业已识别-其他行业已识别n从已知到未知 无争议的风险-尚存争议需要分析的风险商业银行风险商业银行风险n商业银行在业务经营和管理中因受不确定因素影响,使商业银行的资产、收入和信誉遭受损失的可能性;n测量商业银行风险损失用商业银行损失比商业银行资产;n测量风险程度(金融不利因素)用商业银行风险性资产比商业银行资产。风险类型风险类型(巴塞尔银行监管委员会风险分类)(巴塞尔银行监管委员会风险分类)n信用风险n市场风险n操作风险n利率风险n法律风险n流动性风险n信誉风险n国家和支付转移风险商业银行风险的特征商业银行风险的特征n
6、客观性n可控性n扩散性n隐藏性n加速性n周期性风险评估的步骤n确定并描述现有的控制n分析现有控制下风险的可能性和后果n确定风险等级n确定风险是否可接受n评价现有控制的适宜性和充分性n确定期望的风险等级n制定相应的控制方案n考虑控制措施和经营的均衡性风险分析n定性分析:根据经验分析风险后果和可能性的判断。n半定量分析:根据经验判断结合一些定量分析对风险的可能性和后果进行判断。n定量分析:运用数量统计或其他定量技术对风险的可能性和后果进行判断。如内部评级法(IRB)、风险价值法(VAR)等。商业银行风险的识别方法(一)商业银行风险的识别方法(一)n利用资产负债表,从资产负债的性质来识别利用资产负债
7、表,从资产负债的性质来识别是简单、直接的方法。是简单、直接的方法。n压力测试法:假设在某一风险发生的极端情压力测试法:假设在某一风险发生的极端情况下,对银行所能承受的风险的测量。况下,对银行所能承受的风险的测量。商业银行风险的识别方法(二)商业银行风险的识别方法(二)n专家意见法(德尔菲法)专家意见法(德尔菲法)风险管理人员制定调查方法确定内容(工作底稿);风险管理人员制定调查方法确定内容(工作底稿);聘请专家,建立专家库;由行内或外部有经验的人聘请专家,建立专家库;由行内或外部有经验的人员员 组成;组成;每次随机选定每次随机选定3-5名专家,用调查表向他们提问,并名专家,用调查表向他们提问,
8、并提供相关背景资料;提供相关背景资料;专家依据提问和资料,背对背填表提出自己意见;专家依据提问和资料,背对背填表提出自己意见;风险管理人员限时汇集整理,并反馈各位专家;第风险管理人员限时汇集整理,并反馈各位专家;第二次提意见;二次提意见;多次反复,逐渐收敛,风险管理人员决定停止在某多次反复,逐渐收敛,风险管理人员决定停止在某一点,结果趋于目标要求。一点,结果趋于目标要求。完全不可控风险完全不可控风险(自然灾害、战争);自然灾害、战争);部分可控风险(信用、市场);部分可控风险(信用、市场);基本可控风险(操作风险)。基本可控风险(操作风险)。基本可控风险是指通过制定和实施科学严密基本可控风险是
9、指通过制定和实施科学严密的工作规程、管理措施、内部制度和监管措施的工作规程、管理措施、内部制度和监管措施后可基本控制的风险后可基本控制的风险操作风险。操作风险。按风险可控制程度可分:按风险可控制程度可分:商业银行的操作风险(一)商业银行的操作风险(一)n在现代资本市场中,操作风险的管理在风险管理在现代资本市场中,操作风险的管理在风险管理中占有越来越重要的位置;中占有越来越重要的位置;n纽约联邦储备银行董事长威廉纽约联邦储备银行董事长威廉麦克多纳:麦克多纳:“巴塞巴塞尔委员会关注并提醒有关银行就使用鉴别、测量、尔委员会关注并提醒有关银行就使用鉴别、测量、管理和监控操作风险的新技术问题通告它们负责
10、管理和监控操作风险的新技术问题通告它们负责监控的部门。监控的部门。”商业银行的操作风险(二)商业银行的操作风险(二)n最大的操作风险就是银行内部控制系统与治理机制的失最大的操作风险就是银行内部控制系统与治理机制的失控控缺乏系统的管理思想;缺乏系统的管理思想;内控制度残缺、功能不全、难以有效发挥作用;内控制度残缺、功能不全、难以有效发挥作用;内控制度滞后,基本属于补救为主的事后控制;内控制度滞后,基本属于补救为主的事后控制;制度落后缺乏统一尺度(标准),缺乏刚性。制度落后缺乏统一尺度(标准),缺乏刚性。基于过程方法、系统方法的风险评价基于过程方法、系统方法的风险评价 利用过程方法(输入、输出、相
11、互关联和相互利用过程方法(输入、输出、相互关联和相互作用的活动)找出:作用的活动)找出:n过程网络的风险;过程网络的风险;n过程网络中流程(过程)的风险;过程网络中流程(过程)的风险;n流程中各环节的风险点;流程中各环节的风险点;n建立风险库。建立风险库。风险识别评估的特例n无流程图的风险评估:无流程图的风险评估:n法律法规的角度识别法律法规的角度识别n上一级流程识别上一级流程识别n多流程图的风险识别:多流程图的风险识别:n分别识别。分别识别。n合并同类项。合并同类项。n共性问题识别:共性问题识别:n在每个流程标识在每个流程标识n合并后在更高的层次进行控制(政策、环境)。合并后在更高的层次进行
12、控制(政策、环境)。n没有具体流程的风险点归属:没有具体流程的风险点归属:n放在手册中。放在手册中。n制定单独预案制定单独预案风险评价(一)风险评价(一)n评价风险点的风险程度;评价风险点的风险程度;n根据风险的特点、类型、可能性与后果,以风险点评价为根据风险的特点、类型、可能性与后果,以风险点评价为基础,综合确定过程或活动的风险等级;基础,综合确定过程或活动的风险等级;n根据风险等级评价原有控制措施的有效性;根据风险等级评价原有控制措施的有效性;n采用采用“专家意见法专家意见法”依据控制政策、目标最终确定过程依据控制政策、目标最终确定过程(或活动)、过程网络的风险评价结论:(或活动)、过程网
13、络的风险评价结论:可接受、有条件接受、不可接受可接受、有条件接受、不可接受。n针对有条件接受、不可接受风险制定控制方案:针对有条件接受、不可接受风险制定控制方案:确定控制目标;确定控制目标;制定控制措施;制定控制措施;明确关键控制点、落实责任;明确关键控制点、落实责任;配置相应资源;配置相应资源;对控制方案实施的考核方法。对控制方案实施的考核方法。n对控制方案进行评审。对控制方案进行评审。风险评价(二)风险评价(二)风险评价(三)风险评价(三)n针对风险点的控制找关键控制点针对风险点的控制找关键控制点n关键控制点的选择:关键控制点的选择:关键控制点不是点对点的逐个控制;关键控制点不是点对点的逐
14、个控制;关键控制点是对过程或活动、对过程网络有关键控制点是对过程或活动、对过程网络有影响的风险控制点影响的风险控制点(如:计算机运行控制的数如:计算机运行控制的数据丢失、非法进入、越权修改、索取和操作据丢失、非法进入、越权修改、索取和操作);从风险控制前置、预先防范、分类控制的原从风险控制前置、预先防范、分类控制的原则考虑;则考虑;等级 描述词 详细描述(推荐值)A几乎肯定 预期大多数情况下发生(可能性大于95)B很可能在大多数情况下很可能会发生(可能性在6095)C可能 在某种情况下可能发生(可能性在1060)D不太可能 在某种情况下能够发生,但可能性较小(可能性在10以下)E罕见仅在例外的
15、情况下会发生(可能性在1以下)等级描述词详细描述(示意)1灾难性超出可承受的能力,巨大的财务损失。如:系统数据全部丢失;财务损失超过经济资本等。2较大较大的财务损失或人员伤害,极其不良的影响。如:造成较大的贷款损失。3中等中等财务损失,有一定不良影响。如:金额较大的存款纠纷。4较小较小的财务损失。如:如金额较小的短款。5无关紧要极小的财务损失,几乎没什么影响。如:普通凭证遗失。风险等级含义风险水平 详细描述 EExtreme极度风险极度风险,不可接受,要求立即采取措施HHigh高风险高风险,不可接受,需要高度关注MMedium中等风险中等风险,不可接受,必须规定控制程序和责任LLow低风险低风
16、险,有条件接受,需持续监控,或通过评审决定是否需要另外的控制措施 IIgnoring极小风险极小风险,可接受风险,基本不用处理。毋须采取措施且不必保留文件记录。风险等级矩阵 后果可能性5无关紧要4较小3中等2较大1灾难A几乎肯定 MHHEEB很可能MMHEEC可能 LMMHED不太可能 LLMHEE罕见ILLMH不可接受风险有条件接受风险区间线(讨论在后面,可接受风险XY可接受风险区域可接受风险区域Y=-kX+b风险区间线方程风险区间线方程是否接受风险的界限是否接受风险的界限 为便于分析简为便于分析简化为直线方程化为直线方程区间线上移:区间线上移:扩大可接受扩大可接受区域,管理能力提高;区域,
17、管理能力提高;区间线下移区间线下移:扩大不可接:扩大不可接受区域,管理成本提高;受区域,管理成本提高;直线斜率直线斜率(k=b/a)的变化也的变化也会对风险评级的尺度会对风险评级的尺度 产生产生影响影响.ba风险等级的色彩代号风险等级的色彩代号极小风险,可接受风险,基本不用处理。极小风险,可接受风险,基本不用处理。毋须采取措施且不必保留文件记录。毋须采取措施且不必保留文件记录。IIgnoring:低风险,有条件接受,需持续监控,或低风险,有条件接受,需持续监控,或通通过评审决定是否需要另外的控制措施过评审决定是否需要另外的控制措施 LLow中等风险,不可接受,必须规定控制程序中等风险,不可接受
18、,必须规定控制程序和责任;和责任;MMedium高风险,不可接受,需要高度关注高风险,不可接受,需要高度关注HHigh极度风险,不可接受,要求立即采取措施极度风险,不可接受,要求立即采取措施EExtreme详细描述详细描述 风险水平风险水平 4444476人民银行人民银行授权主管授权主管记账员记账员接柜员接柜员客户客户A54321EDCB4出售凭证出售凭证客户申请客户申请主管授主管授权权是否通过是否通过资料交客户资料交客户是否报批是否报批资格审资格审查查是否符合条是否符合条件件预留印鉴预留印鉴开户复开户复核核报人行报人行开户许可证开户许可证开户资料开户资料申购凭证申购凭证YYYNNN风险等级评
19、估前为无色风险等级评估前为无色色彩的含义见上页色彩的含义见上页本图颜色仅为示意本图颜色仅为示意配置流程图及风险等级示意配置流程图及风险等级示意管理决策层管理决策层 县支行县支行网点、柜台网点、柜台客户经理客户经理电子银行电子银行网络银行网络银行二级机构二级机构 (市分行、直属支行)(市分行、直属支行)公司业务个人银行中间业务国际业务房地产金融信贷审批资产保全会计结算办公室(法律事务)计划财务风险管理会计管理人事管理计算机系统安全保卫审计纪检监察后勤行政事务宣传综合管理活动支持保障活动业务管理活动管理层次与活动示意图管理层次与活动示意图个人客户个人客户公司客户公司客户100 80 60 40 2
20、0会计结算公司业务个人银行房地产金融信贷审批资产保全国际业务 业务管理活动风险程度业务管理活动风险程度极度风险极度风险高风险高风险中等风险中等风险低风险低风险极小风险极小风险风险程度分级示意(一)风险程度分级示意(一)计算机系统行政后勤纪检监查审计风险管理安全保卫 支持保障活动风险程度支持保障活动风险程度极度风险极度风险高风险高风险中等风险中等风险低风险低风险极小风险极小风险风险程度分级示意(二)风险程度分级示意(二)100 80 60 40 20极度风险极度风险高风险高风险中等风险中等风险低风险低风险极小风险极小风险授信(对公)产品风险程度授信(对公)产品风险程度固定资金贷款流动资金贷款额度
21、授信买方信贷 商业汇票贴现 银团贷款 项目融资 出口信贷 法人账户透支 信贷担保 建筑业流动资金贷款 房地产开发企业贷款单位购房贷款 风险程度分级示意(三)风险程度分级示意(三)100 80 60 40 20受理作业 信贷调查信贷审批 贷款发放贷后管理资产保全 授信业务活动风险程度授信业务活动风险程度极度风险极度风险高风险高风险中等风险中等风险低风险低风险极小风险极小风险风险程度分级示意(四)风险程度分级示意(四)100 80 60 40 20结算类担保类 代理类委托类保管类融资租赁外汇期货业务 中间业务(产品)风险程度中间业务(产品)风险程度 极度风险极度风险高风险高风险中等风险中等风险低风
22、险低风险极小风险极小风险风险程度分级示意(五)风险程度分级示意(五)100 80 60 40 202001。62001。12 2002。62002。122003。32003。62003。9 同一产品、不同年度风险评级变化示意同一产品、不同年度风险评级变化示意 极度风险极度风险高风险高风险中等风险中等风险低风险低风险极小风险极小风险风险程度分级示意(六)风险程度分级示意(六)100 80 60 40 20风险识别评估工作底稿nA100 风风 险险 识识 别与别与评评 估估工工 作作 底底 稿稿(见附件)风险识别与评估应注意的几个方面1)包括常规、非常规的活动与过程2)考虑计算机系统运用带来的风险
23、3)识别与评估应是主动的4)负责风险识别、评估过程的人员的作用和权限,以及能力要求和培训需求5)确定风险级别,风险评估的结果应形成文件 或体现在文件当中风险识别与评估应注意的几个方面6)确定风险是否可接受主要依据:法律法 规要求、监管要求、内控总要求、内控政策风险可接受时监测、定期评审,确保 可接受风险不可接受时确定控制目标,制定控制方案环境、条件变化时再识别,再评估体系的动力风险识别与评估是是评价改进评价改进风险识别风险识别风险评估风险评估是否可接受维持控制维持控制改善控制改善控制检查纠正检查纠正否否持续改进持续改进风险再识别和再评估(内部变化)风险再识别和再评估(内部变化)n损失、险情或案
24、件n新产品和新业务进入n新设备和新系统的应用n业务流程的变化n组织机构变革n重要员工的流动等 风险再识别和再评估(外部变化)风险再识别和再评估(外部变化)法律法规、监管要求的变化经济周期性波动行业的变革竞争形势顾客需求新技术应用同业新的案例新的作案手段方式等第三部分 文件编写的输入n风评结果可能直接形成文件-预案n风评结果为文件的组成部分 n风评结果作为文件编写的依据之一n质量管理体系的输入之一控制方案的输出形式n程序n措施n操作要求n预案 nA120 控制目标和方案策划工作底稿控制目标和方案策划工作底稿 (见附件)(见附件)注:根据风险控制要求和适用性决定采取哪 种方式控制策略n回避n降低发
25、生的可能性n减轻后果n转移n分散n保留等 控制方法(一)授权控制限额控制(授信控制)组织控制(部门制约)职务控制(分管和轮换)凭证控制程序控制控制方法(二)n政策控制n计划控制n会计核算(制度)控制n实物(保险柜、金库、安全门)控制n检查控制n责任控制等控制方案评审(一)n控制措施是否会达到可接受的风险水平;n是否产生新的风险;n是否选择了成本效益最佳方案;n受影响的人员如何评价修订后的预防措施的必要性和可行性;n修订后的控制措施是否会被用于实际工作中,在面对诸如完成工作的压力等情况下将不被忽视。控制方案评审(二)n 一个体系(平台)一个体系(平台)标准化的、系统的、能够应对各种风标准化的、系
26、统的、能够应对各种风险的管理体系;险的管理体系;职责清晰、反应灵敏、措施有效、持职责清晰、反应灵敏、措施有效、持续改进的动态管理机制;续改进的动态管理机制;我们的目标(一)我们的目标(一)我们的目标(二)我们的目标(二)n一套文件(规范、制度)一套文件(规范、制度)覆盖全部经营、管理活动;覆盖全部经营、管理活动;清晰表述活动的内控要求;清晰表述活动的内控要求;充分利用流程图、矩阵表展示活动的顺序接口充分利用流程图、矩阵表展示活动的顺序接口和相互作用关系;和相互作用关系;模块化:边界清晰、可扩充、可不断修改完善;模块化:边界清晰、可扩充、可不断修改完善;既满足管理者要求,又满足操作要求。既满足管
27、理者要求,又满足操作要求。我们的目标(三)我们的目标(三)n一支队伍(专业化)一支队伍(专业化)经过不断培训,接受先进管理理念,经过不断培训,接受先进管理理念,掌握内控标准要求,熟悉法规和监管要求,掌握内控标准要求,熟悉法规和监管要求,使用科学管理工具;使用科学管理工具;能够通过不断识别、评估各种风险,完善能够通过不断识别、评估各种风险,完善控制措施,有效维护内控管理体系;控制措施,有效维护内控管理体系;我们的目标(四)我们的目标(四)n模块化体系、系统化风险库结构,能够方便实模块化体系、系统化风险库结构,能够方便实现计算机管理,并彩色图形显示:现计算机管理,并彩色图形显示:n各项业务流程中的
28、风险点、控制点;n各项管理活动中的风险点、控制点;n各部门管理的风险数量及状况;n各类风险的 数量;n单个类型风险的累积变化情况;n为定量化风控技术、实时风险监控提供基础数为定量化风控技术、实时风险监控提供基础数据、接口和升级平台。据、接口和升级平台。n风险管理成为防范经营安全的风险管理成为防范经营安全的“雷达雷达”,成为,成为保障管理决策的保障管理决策的“安全线安全线”。内控体系建立的艰巨性(一)n国有商业银行转制尚未完成;n外资银行业务尚处于限制阶段;n市场经营压力、撤并机构减员压力、各项改革齐头并进;n在内控的相关方之间:顾客、管理者、员工、监管方、社会,利益与理解的不一致;内控体系建立
29、的艰巨性(二)n从提高顾客满意度、加快市场开拓、减少管理环节等角度看内控,矛盾多;n从风险分析、风险技术、风险管理要求看银行业现实管理现状,差距大;n从内控管理要求看现有内控定位、人员配置、可操作的方法、投入与效果,不明确;内控体系建立的艰巨性(三)n内控管理体系标准引入国有 商业银行是一项开拓性的工作,从观念、做法、目标达成一致,需要一个宣传理解的过程;n管理平台的搭建要梳理、描述全部业务与管理过程,工作量巨大,协调性强,方案调整、反复修改、逐级审批,需要一个必须的(至少半年)时间过程;n参加人员来自各个专业,但缺少从过程、体系角度分析问题的统一训练;部分咨询师缺少银行业经验;双方前期的沟通不畅与反复,也是认识逐步深化的必然过程。管理科学的探索实践n管理是一门科学,管理科学的道路上没有捷径;n内控体系标准的试点体现了管理改革前驱者的勇气、毅力和实践精神;n管理体系是管理者的体系,需要管理者的实际参与、理解和支持;n内控效果的评价是损失的减少,它对经营体系提供的是长期和稳固的保障。
