风险识别评估教程

风险识别评估教程北京正信嘉华管理顾问有限公司培训目标掌握风险识别和评估的基本原理和方法能够熟练开展风险识别与评估为文件编写做准备第一部分基本原理和方法标准-----衡量质量和质量管理的尺度，标准具有约束性、协调性、适用性和科学性。标准的本质-----约束

——人为的约束

——有利于发展的约束——取得效益的约束——某种特定形式的约束风险定义的解释风险---对目标有所影响的某个事情发生的可能性与后果的结合。可能性用作对概率或频率的定性描述。【注1】频率是以规定的时间内发生次数来表达发生率的量度。【注2】概率是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。

后果以定量或定性的方式表示的一个事件的结果。【注】一个事件可能有多个与其相关的结果。

与风险有关的几个重要定义（二）损失-任何财务或其他方面的负面影响。可接受风险其程度已降低到建设银行考虑监管要求和内控政策后能接受的水平的风险。险情可能造成损失的状态。安全脱离不可接受的风险。

风险来源（一）商业关系：建设银行与其他机构之间，如客户之间的关系。法律法规：建设银行所必须遵循的法律、法规所调节的关系。经济环境：建设银行、国际和国际的经济环境，以及造成这些环境的因素如汇率、通货膨胀、经济衰退等。人员行为：与建设银行有关或无关的人员的行为。风险来源（二）自然事件：地震、火灾、洪灾、疾病等不可抗力。政治环境：政局稳定、立法变化以及可能影响其他风险的政治因素。科学和技术：建设银行内部和外部的科学技术问题。管理活动和控制：外部机构或建设银行内部的管理或控制活动风险影响的范围资产的安全收入和权利成本人员声誉风险控制需考虑因素考虑可能会发生什么考虑风险来源考虑风险类型考虑风险阶层考虑可能影响的范围考虑风险和经营的均衡性第二部分风险识别和评估

不适宜识别过程寻找风险点根源、路径影响范围现有状况下风险级别原措施是否适宜按原措施继续控制制定控制方案评审确定控制目标控制方案实施定期评审方案进入下一循环适宜是否风险识别原则和方法从上到下

风险控制关口前移，从环境和政策层面控制：国家法律--〉人行监管--〉总行管理要求从内到外

风险控制从组织内部扩张到行业、社会：行内已识别--〉同行业已识别--〉其他行业已识别从已知到未知无争议的风险--〉尚存争议需要分析的风险商业银行风险商业银行在业务经营和管理中因受不确定因素影响，使商业银行的资产、收入和信誉遭受损失的可能性；测量商业银行风险损失用商业银行损失比商业银行资产；测量风险程度（金融不利因素）用商业银行风险性资产比商业银行资产。风险类型（巴塞尔银行监管委员会风险分类）信用风险市场风险操作风险利率风险法律风险流动性风险信誉风险国家和支付转移风险商业银行风险的特征客观性可控性扩散性隐藏性加速性周期性风险评估的步骤确定并描述现有的控制分析现有控制下风险的可能性和后果确定风险等级确定风险是否可接受评价现有控制的适宜性和充分性确定期望的风险等级制定相应的控制方案考虑控制措施和经营的均衡性风险分析定性分析：根据经验分析风险后果和可能性的判断。

半定量分析：根据经验判断结合一些定量分析对风险的可能性和后果进行判断。定量分析：运用数量统计或其他定量技术对风险的可能性和后果进行判断。如内部评级法（IRB）、风险价值法（VAR）等。商业银行风险的识别方法（一）利用资产负债表，从资产负债的性质来识别是简单、直接的方法。压力测试法：假设在某一风险发生的极端情况下，对银行所能承受的风险的测量。商业银行风险的识别方法（二）专家意见法（德尔菲法）——风险管理人员制定调查方法确定内容（工作底稿）；—聘请专家，建立专家库；由行内或外部有经验的人员组成；——每次随机选定3-5名专家，用调查表向他们提问，并提供相关背景资料；——专家依据提问和资料，背对背填表提出自己意见；——风险管理人员限时汇集整理，并反馈各位专家；第二次提意见；——多次反复，逐渐收敛，风险管理人员决定停止在某一点，结果趋于目标要求。

完全不可控风险(自然灾害、战争）；

部分可控风险（信用、市场）；基本可控风险（操作风险）。基本可控风险是指通过制定和实施科学严密的工作规程、管理措施、内部制度和监管措施后可基本控制的风险——操作风险。按风险可控制程度可分：商业银行的操作风险（一）在现代资本市场中，操作风险的管理在风险管理中占有越来越重要的位置；纽约联邦储备银行董事长威廉•麦克多纳：“巴塞尔委员会关注并提醒有关银行就使用鉴别、测量、管理和监控操作风险的新技术问题通告它们负责监控的部门。”商业银行的操作风险（二）最大的操作风险就是银行内部控制系统与治理机制的失控——缺乏系统的管理思想；——内控制度残缺、功能不全、难以有效发挥作用；——内控制度滞后，基本属于补救为主的事后控制；——制度落后缺乏统一尺度（标准），缺乏刚性。基于过程方法、系统方法的风险评价

利用过程方法（输入、输出、相互关联和相互作用的活动）找出：过程网络的风险；过程网络中流程（过程）的风险；流程中各环节的风险点；建立风险库。风险识别评估的特例无流程图的风险评估：法律法规的角度识别上一级流程识别多流程图的风险识别：分别识别。合并同类项。共性问题识别：在每个流程标识合并后在更高的层次进行控制（政策、环境）。没有具体流程的风险点归属：放在手册中。制定单独预案风险评价（一）评价风险点的风险程度；根据风险的特点、类型、可能性与后果，以风险点评价为基础，综合确定过程或活动的风险等级；根据风险等级评价原有控制措施的有效性；采用“专家意见法”依据控制政策、目标最终确定过程（或活动）、过程网络的风险评价结论：——可接受、有条件接受、不可接受。针对有条件接受、不可接受风险制定控制方案：——确定控制目标；——制定控制措施；——明确关键控制点、落实责任；——配置相应资源；——对控制方案实施的考核方法。对控制方案进行评审。风险评价（二）风险评价（三）针对风险点的控制找关键控制点关键控制点的选择：——关键控制点不是点对点的逐个控制；——关键控制点是对过程或活动、对过程网络有影响的风险控制点(如：计算机运行控制的数据丢失、非法进入、越权修改、索取和操作)；——从风险控制前置、预先防范、分类控制的原则考虑；可能性等级描述等级描述词详细描述（推荐值）A几乎肯定预期大多数情况下发生（可能性大于95％）B很可能在大多数情况下很可能会发生（可能性在60％－95％）C可能在某种情况下可能发生（可能性在10％－60％）D不太可能在某种情况下能够发生，但可能性较小（可能性在10％以下）E罕见仅在例外的情况下会发生（可能性在1％以下）后果等级描述等级描述词详细描述（示意）1灾难性超出可承受的能力，巨大的财务损失。如：系统数据全部丢失；财务损失超过经济资本等。

2较大较大的财务损失或人员伤害，极其不良的影响。如：造成较大的贷款损失。3中等中等财务损失，有一定不良影响。如：金额较大的存款纠纷。4较小较小的财务损失。如：如金额较小的短款。5无关紧要极小的财务损失，几乎没什么影响。如：普通凭证遗失。风险等级含义风险水平

详细描述

E－Extreme极度风险，不可接受，要求立即采取措施H－High高风险，不可接受，需要高度关注M－Medium中等风险，不可接受，必须规定控制程序和责任L－Low低风险，有条件接受，需持续监控，或通过评审决定是否需要另外的控制措施

I－Ignoring极小风险，可接受风险，基本不用处理。毋须采取措施且不必保留文件记录。风险等级矩阵

后果可能性5无关紧要4较小3中等2较大1灾难A几乎肯定

MHHEEB很可能MMHEEC可能

LMMHED不太可能

LLMHEE罕见ILLMH不可接受风险有条件接受风险区间线（讨论在后面，可接受风险XY可接受风险区域Y=-kX+b风险区间线方程——是否接受风险的界限为便于分析简化为直线方程区间线上移：扩大可接受区域，管理能力提高；区间线下移：扩大不可接受区域，管理成本提高；直线斜率(k=b/a)的变化也会对风险评级的尺度产生影响.ba风险等级的色彩代号极小风险，可接受风险，基本不用处理。毋须采取措施且不必保留文件记录。I－Ignoring：低风险，有条件接受，需持续监控，或通过评审决定是否需要另外的控制措施

L－Low中等风险，不可接受，必须规定控制程序和责任；M－Medium高风险，不可接受，需要高度关注H－High极度风险，不可接受，要求立即采取措施E－Extreme详细描述

风险水平

4444476人民银行授权主管记账员接柜员客户A54321EDCB4出售凭证客户申请主管授权是否通过资料交客户是否报批资格审查是否符合条件预留印鉴开户复核报人行开户许可证开户资料申购凭证YYYNNN风险等级评估前为无色色彩的含义见上页本图颜色仅为示意配置流程图及风险等级示意管理决策层县支行网点、柜台客户经理电子银行网络银行二级机构（市分行、直属支行）公司业务个人银行中间业务国际业务房地产金融信贷审批资产保全会计结算办公室（法律事务）计划财务风险管理会计管理人事管理计算机系统安全保卫审计纪检监察后勤行政事务宣传综合管理活动支持保障活动业务管理活动管理层次与活动示意图个人客户公司客户10080604020会计结算公司业务个人银行房地产金融信贷审批资产保全国际业务

业务管理活动风险程度极度风险高风险中等风险低风险极小风险风险程度分级示意（一）计算机系统行政后勤纪检监查审计风险管理安全保卫

支持保障活动风险程度极度风险高风险中等风险低风险极小风险风险程度分级示意（二）1008060

4020极度风险高风险中等风险低风险极小风险授信（对公）产品风险程度固定资金贷款流动资金贷款额度授信买方信贷

商业汇票贴现

银团贷款

项目融资

出口信贷

法人账户透支

信贷担保

建筑业流动资金贷款

房地产开发企业贷款单位购房贷款……

风险程度分级示意（三）1008060

4020受理作业

信贷调查信贷审批

贷款发放贷后管理资产保全……

授信业务活动风险程度极度风险高风险中等风险低风险极小风险风险程度分级示意（四）1008060

4020结算类担保类代理类委托类保管类融资租赁外汇期货业务

中间业务（产品）风险程度极度风险高风险中等风险低风险极小风险风险程度分级示意（五）1008060

40202001。62001。122002。62002。122003。32003。62003。9

同一产品、不同年度风险评级变化示意极度风险高风险中等风险低风险极小风险风险程度分级示意（六）1008060

4020风险识别评估工作底稿A100风

险

识

别与评

估工

作

底

稿（见附件）风险识别与评估应注意的几个方面1)包括常规、非常规的活动与过程2)考虑计算机系统运用带来的风险3)识别与评估应是主动的4)负责风险识别、评估过程的人员的作用和权限，以及能力要求和培训需求5)确定风险级别，风险评估的结果应形成文件或体现在文件当中风险识别与评估应注意的几个方面6)确定风险是否可接受主要依据：法律法规要求、监管要求、内控总要求、内控政策

风险可接受时——监测、定期评审，确保可接受风险不可接受时——确定控制目标，制定控制方案环境、条件变化时——再识别，再评估体系的动力－风险识别与评估是评价改进风险识别风险评估是否可接受维持控制改善控制检查纠正否持续改进风险再识别和再评估（内部变化）损失、险情或案件新产品和新业务进入新设备和新系统的应用业务流程的变化组织机构变革重要员工的流动等

风险再识别和再评估（外部变化）法律法规、监管要求的变化经济周期性波动行业的变革竞争形势顾客需求新技术应用同业新的案例新的作案手段方式等第三部分文件编写的输入风评结果可能直接形成文件---预案风评结果为文件的组成部分风评结果作为文件编写的依据之一质量管理体系的输入之一控制方案的输出形式程序措施操作要求预案

A120控制目标和方案策划工作底稿（见附件）

注：根据风险控制要求和适用性决定采取哪种方式控制策略回避降低发生的可能性减轻后果转移分散保留等

控制方法（一）

授权控制限额控制（授信控制）组织控制（部门制约）职务控制（分管和轮换）凭证控制程序控制控制方法（二）政策控制计划控制会计核算（制度）控制实物（保险柜、金库、安全门）控制检查控制责任控制等控制方案评审（一）控制措施是否会达到可接受的风险水平；是否产生新的风险；是否选择了成本效益最佳方案；受影响的人员如何评价修订后的预防措施的必要性和可行性；修订后的控制措施是否会被用于实际工作中，在面对诸如完成工作的压力等情况下将不被忽视。控制方案评审（二）

一个体系（平台）——标准化的、系统的、能够应对各种风险的管理体系；——职责清晰、反应灵敏、措施有效、持续改进的动态管理机制；我们的目标（一）我们的目标（二）一套文件（规范、制度）——覆盖全部经营、管理活动；——清晰表述活动的内控要求；——充分利用流程图、矩阵表展示活动的顺序接口和相互作用关系；——模块化：边界清晰、可扩充、可不断修改完善；——既满足管理者要求，又满足操作要求。我们的目标（三）一支队伍（专业化）——经过不断培训，接受先进管理理念，——掌握内控标准要求，熟悉法规和监管要求，——使用科学管理工具；——能够通过不断识别、评估各种风险，完善控制措施，有