某商业银行风险管理项目总体实施方法论

风险管理项目总体实施方法论2009年1月德勤风险管理及内控整体框架风险管理及内部控制是一个动态、不断反馈与完善的过程风险分析/衡量:分析风险发生可能性及相应后果

评估现有控制手段风险评估:比较不同风险/确定不同风险的优先级风险措施和控制活动:制定风险防范措施及实施计划加强内部监管和监督交流与沟通Establishcontext风险点鉴别

风险分析风险评估风险处理/控制活动监督与评价关键业务流程鉴别:哪些事情可能会带来风险?哪些关键点是需要特别关注的?

管理/控制环境:企业战略及总体组织构架企业的道德意识风险评估与控制风险管理/内控环境建立

整体框架与COSO的关系德勤风险管理及内控整体框架中结合了国际最佳实践-COSO委员会颁布的内部控制框架的思想交流与沟通Establishcontext风险点鉴别

风险分析风险评估风险处理/控制活动监督与评价风险评估与控制风险管理/内控环境建立

信息及沟通控制活动风险评估控制环境持续监控业务操作财务报告合规COSO内部控制框架德勤风险管理与内控整体框架风险管理/内控环境建立风险管理/内控环境是要确定那些影响整个组织风险管理和内控的关键因素是否存在而且明确，也是后面进一步进行管理控制的基础银行发展方向/业务经营战略银行风险管理/内部控制指导原则和政策银行组织治理体系/绩效评估银行道德标准/人员职业操守风险管理/内控环境思想保障目标驱动机制保障银行是否建立了科学治理体系？是否实行了扁平化、线条式管理？银行是否有有效的考核激励机制来保障企业经营？银行的组织架构和绩效评估如何保证风险管理和内控原则/政策得以落实从而保证其内部权威性？银行如何通过制定合理的风险管理/内部控制原则和政策来保证银行业务经营实现安全性、流动性和效益型的最佳平衡，并符合外部监管的要求？银行是否诚信经营?员工是否具有良好职业道德？是否具有奋斗精神/团队合作精神？银行以什么样的准则来制定原则和政策？银行的原则是否能得以坚持？政策是否能得以落实？思路指引风险点鉴别风险点鉴别需要找出存在于银行业务经营中的那些关键风险点并记录各自风险特征计算步骤32风险点诊断1业务流程梳理具体目标根据风险点对应的风险内涵进行风险归类针对不同业务对应的操作流程确定关键风险点，包括现有和潜在详细理清银行各主要业务的操作流程风险点总结归类风险点鉴别–业务流程梳理业务流程梳理通常将采用QTCR方法来进行，其中对风险的鉴别是关键Risk风险Cost成本Time时间Quality质量对客户和对自己是否有价值，是否达到客户期望做这件事情的人工成本及其他的成本有多大需要花多少时间做这件事，是否可以进行电子化做这件事情的风险点在哪里，可能的风险有多大风险点鉴别–风险点诊断基于业务流程疏理得到的详细业务流程的图，可以鉴别其中关键步骤的风险点示例风险点风险点鉴别–风险点总结归类通过对业务流程中风险点的诊断，可以将不同的风险点进行归类，为以后的分析和评价作准备风险类别编号风险描述发生频率导致因素潜在后果信用风险信用风险操作风险操作风险市场风险市场风险示例风险评估与控制风险评估与控制从风险发生可能性和影响程度出发来确定风险属性，再结合对应控制手段有效性分析最终得到风险的综合评估结果风险评估与控制总体思路风险属性控制手段有效性评分风险综合评估矩阵发生可能性评分影响程度评分风险分析风险评估风险评估与控制–风险分析风险分析中的发生可能性分析是从风险发生的频率来对其进行数值判定

评分发生可能性罕见1基本上不可能发生或者一年内会发生一次偶尔2一年内会发生2-5次可能3一年内会发生5-10次一些4一年内会发生10-20次经常5一年内会发生20次以上示例注：具体评分标准可以根据规划的时间间隔进行调整风险评估与控制–风险分析风险分析中的影响程度分析是根据风险一旦发生可能带来的影响来对其进行数值判定评分财务运营法规条例声誉战略管理人员信息系统无关1Littleornoimpactonfinancialpositionsandstability.Directopportunitycostof<$50,000.Littleornoimpactonoperations.Operationscontinueasnormal.LittleornolegalimplicationsfortheABC.Reputationintact;internalknowledgeonly.Aneventthatcanbeabsorbedintonormalactivity.Lowstaffturnover.LittleornoimpactonInformationsystems次要2Minorimpact–failedtrade,latesettlement.Directopportunitycostof$50,000-$100,000.Minorimpact–requirementforamanualprocess.Minorimpact–ASX/ASICfinesIndustryknowledgeofincident;clientconcerns.Anevent,whichtheimpactcanbeabsorbedbymanagement,howevereffortisrequired.Generalstaffmoraleproblems.Lossofdataandsystemsforoneday.中等3Moderateimpact-Clientcreditlosses.Directopportunitycostof$100,000-$500,000.Poorrecordkeepingcreatesaudit&complianceissues.ModerateImpact–ASX/ASICreviewandauditAdverselocalmediacoverage.Concernsraisedbyshareholders.Asignificantevent,whichcanbemanagedundernormalcircumstances.Akeyemployeeleaves.Poorreputationasanemployer.Lossofdataandsystemsformorethanoneday.严重4CreatesamajorimpactonthefinancialstabilityofABCandtheBankasawhole.Overinvestmentinunfavourableeconomicbusinesscycles,duetoinadequatemonitoringofinvestments.Directopportunitycostof$500,000-$1M.Inadequatesegregationofdutiescausesfraud&criminalactivity.LegalinvestigationsAdversecapitalcitymediacoverage.Lossofkeycustomer.ASXrequirespressstatement.Vaguestrategyplanning;strategyplannotcommunicatedtostaff.Keyexecutivesleavethecompany.ABCisnotperceivedastheemployerofchoice.Lossofdataandsystemsforoneweek.恶劣5Createscatastrophicimpactonfinancialstability.Directopportunitycostof>$1M.InabilityofthefirmtocontinueOperations.LegalinvestigationsAdverseglobal/nationalmedia.Majorpublicconcern.Lossoflicense.AneventthatManagementisnotabletoimpactbyincreasedmanagement.Alargenumberofkeyexecutivesordirectorsleavethecompany.Permanentlossofdataandsystems示例注：具体评分标准可以根据锦州商行实际情况进行调整风险评估与控制–风险分析根据风险发生可能性和影响程度分析的结果可以确定风险属性67891056789456783456723456影响程度发生可能性低中高风险属性风险属性分析矩阵使用方法说明为了得到较为客观的风险属性，需要各方在风险影响程度和发生可能性这两方面达成共识，避免局部片面性

由于存在信息的局限性，在进行评分的时候需要综合各种方式，包括历史数据，调研，研讨会等建议先从风险属性高的入手，但不能忽视对风险属性为中或低的监控C1C2O1O2M1风险评估与控制–风险分析通常可以用文档将每一个风险相关的各种特征和评分信息进行综合以便进一步的分析风险索引：

风险类别：风险描述：潜在导致因素：潜在风险影响后果:发生可能性评分：影响程度评分：风险属性评分：示例风险评估与控制–风险评估风险评估中的控制手段有效性评分是通过考察风险对应的控制措施的满意程度来进行评分评分有效性说明满意非常有效1or2Thesystem(ofmitigatingpractices/controls)iseffectiveinmitigatingtherisk.Systemsandprocessesexisttomanagetheriskandmanagementaccountabilityisassigned.Thesystemsarewelldocumentedandregularmonitoringandreviewindicateshighcompliancewiththeprocess.有效3or4Systemsandprocessesexistwhichmanagethatrisk.Someimprovementopportunitieshavebeenidentifiedbutnotyetactioned.不满意局部有效5or6Systemsandprocessesexistwhichpartiallymitigatetherisk.效果差7or8Thesystemsandprocessformanagingtheriskhasbeensubjecttomajorchangeorisintheprocessofbeingimplementedanditseffectivenesscannotbeconfirmed.无效9or10Nosystemorprocessexiststomanagetherisk.示例注：具体评分标准可以根据锦州商行实际情况进行调整风险评估与控制–风险评估根据风险属性和控制手段有效性的评分结果可以进一步确定风险综合评估，为进行风险处理提供依据综合风险评估矩阵加强监控马上行动暂可省心不断完善满意不满意01010低中高风险属性控制手段有效性暂可省心不断完善加强监控马上行动风险属性为中或低并且现有控制手段令人满意。建议管理层对控制手段进行周期性评估（可以按年）从而保证控制有效性的持续风险属性为中或低但现有控制手段不令人满意，对于这类风险需要定期进行控制措施的完善风险属性为高但现有控制手段令人满意。对于此类风险需要加强监控并需要继续维护已有控制手段风险属性为高且现有控制手段不令人满意。对于此类风险需要管理层马上采取控制措施以防风险恶化风险处理/控制活动风险处理/控制活动主要可以通过控制流程、组织架构和人员行为以及风险量化评估这四方面来实现有效风险处理/强化内部控制组织架构人员行为控制流程风险量化以业务流程再造为出发点，结合内控流程实施来提高流程有效性结合改进后业务流程并利用RACI模型对现有组织架构进行必要调整从业务流程的人员需要出发，强化操作行为标准，建立科学奖惩机制逐步建立现代化风险量化体系，运用先进工具和系统来支持定量评估风险处理/控制活动–控制流程从控制流程的及时性角度来看，主要是针对前面所确定的风险从内部控制的角度制定相应的处理方法和处理策略风险处理计划表风险索引负责人处理方案下一次评估时间点当前状态信用风险1信贷管理部**经理对业务操作人员进行信贷政策的强化培训培训结束后的第三周时间确定了对象已经选定但培训资料还在准备示例风险处理/控制活动–控制流程从控制流程的长效性来看，再采取及时控制措施的同时对不同风险制定详细的控制活动，并将其纳入到企业内部控制体系中进行固化风险控制活动固化方式表流程风险点列出业务流程中风险点，包括涉及流程和风险类别，如企业贷款流程中信用风险1对应风险综合评级列出该风险点对应的风险属性（包括发生可能性和影响程度评分），控制有效性评分和综合对应评级控制目标控制目标是指内部控制总体目标在各个业务流程中的具体反映，对应不同业务流程控制目标应该细化，例如在人工输入错误不能超过三次等当前的控制措施用户需要根据业务流程的实际情况，描述其当前实际存在的控制活动。改进的控制活动编号可以将整个内部控制体系对应的控制活动进行编号，如ZHKL_01_06等改进控制活动描述与当前控制措施的要求相同，只是要突出改建点控制活动重要性评级判断该控制活动是否为关键控制活动，如果对应风险属性评级为“高”或“中”的，选关键控制，如果对应风险属性评级为“低”，该列请选一般控制。执行频率选择该控制活动的执行频率，例如每周一次等控制执行方式选择该控制活动需要的执行方式是手工或自动，如自动需注明涉及的系统操作关键控制文档列出控制活动所涉及的重要单据、政策、程序等文档资料，对于单据表格等最好是空白和标准填写各一份流程负责人/相关部门