《风险识别评估教程》由会员分享,可在线阅读,更多相关《风险识别评估教程(61页珍藏版)》请在金锄头文库上搜索。
1、风 险 识 别 评 估 教 程,北京正信嘉华管理顾问有限公司,培训目标,掌握风险识别和评估的基本原理和方法 能够熟练开展风险识别与评估 为文件编写做准备,第一部分 基本原理和方法,标准-衡量质量和质量管理的尺度,标准具有约束性、协调性、适用性和科学性。 标准的本质-约束 人为的约束 有利于发展的约束 取得效益的约束 某种特定形式的约束,风险定义的解释,风险-对目标有所影响的某个事情发生的可能性与后果的结合。 可能性 用作对概率或频率的定性描述。 【注1】频率是以规定的时间内发生次数来表达发生率的量度。 【注2】概率是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。
2、 后果 以定量或定性的方式表示的一个事件的结果。 【注】一个事件可能有多个与其相关的结果。,与风险有关的几个重要定义(二),损失 - 任何财务或其他方面的负面影响。 可接受风险 其程度已降低到建设银行考虑监管要求和内控政策后能接受的水平的风险。 险情 可能造成损失的状态。 安全 脱离不可接受的风险。,风险来源(一),商业关系: 建设银行与其他机构之间,如客户之间的关系。 法律法规: 建设银行所必须遵循的法律、法规所调节的关系。 经济环境: 建设银行、国际和国际的经济环境,以及造成这些环境的因素如汇率、通货膨胀、经济衰退等。 人员行为: 与建设银行有关或无关的人员的行为。,风险来源(二),自然事
3、件: 地震、火灾、洪灾、疾病等不可抗力。 政治环境: 政局稳定、立法变化以及可能影响其他风险的政治因素。 科学和技术: 建设银行内部和外部的科学技术问题。 管理活动和控制: 外部机构或建设银行内部的管理或控制活动,风险影响的范围,资产的安全 收入和权利 成本 人员 声誉,风险控制需考虑因素,考虑可能会发生什么 考虑风险来源 考虑风险类型 考虑风险阶层 考虑可能影响的范围 考虑风险和经营的均衡性,第二部分 风险识别和评估,不适宜,风险识别原则和方法,从上到下 风险控制关口前移,从环境和政策层面控制:国家法律-人行监管-总行管理要求 从内到外 风险控制从组织内部扩张到行业、社会:行内已识别-同行业
4、已识别-其他行业已识别 从已知到未知 无争议的风险-尚存争议需要分析的风险,商业银行风险,商业银行在业务经营和管理中因受不确定因素影响,使商业银行的资产、收入和信誉遭受损失的可能性; 测量商业银行风险损失用商业银行损失比商业银行资产; 测量风险程度(金融不利因素)用商业银行风险性资产比商业银行资产。,风险类型(巴塞尔银行监管委员会风险分类),信用风险 市场风险 操作风险 利率风险 法律风险 流动性风险 信誉风险 国家和支付转移风险,商业银行风险的特征,客观性 可控性 扩散性 隐藏性 加速性 周期性,风险评估的步骤,确定并描述现有的控制 分析现有控制下风险的可能性和后果 确定风险等级 确定风险是
5、否可接受 评价现有控制的适宜性和充分性 确定期望的风险等级 制定相应的控制方案 考虑控制措施和经营的均衡性,风险分析,定性分析:根据经验分析风险后果和可能性的判断。 半定量分析:根据经验判断结合一些定量分析对风险的可能性和后果进行判断。 定量分析:运用数量统计或其他定量技术对风险的可能性和后果进行判断。如内部评级法(IRB)、风险价值法(VAR)等。,商业银行风险的识别方法(一),利用资产负债表,从资产负债的性质来识别是简单、直接的方法。 压力测试法:假设在某一风险发生的极端情况下,对银行所能承受的风险的测量。,商业银行风险的识别方法(二),专家意见法(德尔菲法) 风险管理人员制定调查方法确定
6、内容(工作底稿); 聘请专家,建立专家库;由行内或外部有经验的人员 组成; 每次随机选定3-5名专家,用调查表向他们提问,并提供相关背景资料; 专家依据提问和资料,背对背填表提出自己意见; 风险管理人员限时汇集整理,并反馈各位专家;第二次提意见; 多次反复,逐渐收敛,风险管理人员决定停止在某一点,结果趋于目标要求。,完全不可控风险(自然灾害、战争); 部分可控风险(信用、市场); 基本可控风险(操作风险)。 基本可控风险是指通过制定和实施科学严密的工作规程、管理措施、内部制度和监管措施后可基本控制的风险操作风险。,按风险可控制程度可分:,商业银行的操作风险(一),在现代资本市场中,操作风险的管
7、理在风险管理中占有越来越重要的位置; 纽约联邦储备银行董事长威廉麦克多纳:“巴塞尔委员会关注并提醒有关银行就使用鉴别、测量、管理和监控操作风险的新技术问题通告它们负责监控的部门。”,商业银行的操作风险(二),最大的操作风险就是银行内部控制系统与治理机制的失控 缺乏系统的管理思想; 内控制度残缺、功能不全、难以有效发挥作用; 内控制度滞后,基本属于补救为主的事后控制; 制度落后缺乏统一尺度(标准),缺乏刚性。,基于过程方法、系统方法的风险评价,利用过程方法(输入、输出、相互关联和相互作用的活动)找出: 过程网络的风险; 过程网络中流程(过程)的风险; 流程中各环节的风险点; 建立风险库。,风险识
8、别评估的特例,无流程图的风险评估: 法律法规的角度识别 上一级流程识别 多流程图的风险识别: 分别识别。 合并同类项。 共性问题识别: 在每个流程标识 合并后在更高的层次进行控制(政策、环境)。 没有具体流程的风险点归属: 放在手册中。 制定单独预案,风险评价(一),评价风险点的风险程度; 根据风险的特点、类型、可能性与后果,以风险点评价为基础,综合确定过程或活动的风险等级; 根据风险等级评价原有控制措施的有效性; 采用“专家意见法”依据控制政策、目标最终确定过程(或活动)、过程网络的风险评价结论: 可接受、有条件接受、不可接受。,针对有条件接受、不可接受风险制定控制方案: 确定控制目标; 制
9、定控制措施; 明确关键控制点、落实责任; 配置相应资源; 对控制方案实施的考核方法。 对控制方案进行评审。,风险评价(二),风险评价(三),针对风险点的控制找关键控制点 关键控制点的选择: 关键控制点不是点对点的逐个控制; 关键控制点是对过程或活动、对过程网络有影响的风险控制点(如:计算机运行控制的数据丢失、非法进入、越权修改、索取和操作 ); 从风险控制前置、预先防范、分类控制的原则考虑;,可能性等级描述,后果等级描述,风险等级含义,风险等级矩阵,不可接受风险,有条件接受风险,区间线(讨论在后面,,可接受风险,X,Y,可接受风险区域,Y=-kX+b,风险区间线方程是否接受风险的界限,为便于分
10、析简化为直线方程 区间线上移:扩大可接受区域,管理能力提高; 区间线下移:扩大不可接受区域,管理成本提高; 直线斜率(k=b/a)的变化也会对风险评级的尺度 产生影响.,b,a,风险等级的色彩代号,极小风险,可接受风险,基本不用处理。毋须采取措施且不必保留文件记录。,IIgnoring:,低风险,有条件接受,需持续监控,或通过评审决定是否需要另外的控制措施,LLow,中等风险,不可接受,必须规定控制程序和责任;,MMedium,高风险,不可接受,需要高度关注,HHigh,极度风险,不可接受,要求立即采取措施,EExtreme,详细描述,风险水平,4,4,4,4,4,4,出售凭证,Y,Y,Y,N
11、,N,N,风险等级评估前为无色 色彩的含义见上页 本图颜色仅为示意,配置流程图及风险等级示意,管理决策层,县支行,二级机构 (市分行、直属支行),公司业务 个人银行 中间业务 国际业务 房地产金融 信贷审批 资产保全 会计结算,办公室(法律事务) 计划财务 风险管理 会计管理 人事管理,计算机系统 安全保卫 审计 纪检监察 后勤行政事务 宣传,管理层次与活动示意图,100 80 60 40 20,业务管理活动风险程度,风险程度分级示意(一),支持保障活动风险程度,风险程度分级示意(二),100 80 60 40 20,授信(对公)产品风险程度,风险程度分级示意(三),100 80 60 40
12、20,授信业务活动风险程度,风险程度分级示意(四),100 80 60 40 20,中间业务(产品)风险程度,风险程度分级示意(五),100 80 60 40 20,同一产品、不同年度风险评级变化示意,风险程度分级示意(六),100 80 60 40 20,风险识别评估工作底稿,A100 风 险 识 别与评 估工 作 底 稿 (见附件),风险识别与评估应注意的几个方面,1) 包括常规 、非常规的活动与过程 2) 考虑计算机系统运用带来的风险 3) 识别与评估应是主动的 4) 负责风险识别、评估过程的人员的作用和权限, 以及能力要求和培训需求 5) 确定风险级别,风险评估的结果应形成文件 或体现
13、在文件当中,风险识别与评估应注意的几个方面,6) 确定风险是否可接受主要依据:法律法 规要求、监管要求、内控总要求、内控政策 风险可接受时监测、定期评审,确保 可接受 风险不可接受时确定控制目标,制定控制方案 环境、条件变化时再识别,再评估,体系的动力风险识别与评估,风险再识别和再评估(内部变化),损失、险情或案件 新产品和新业务进入 新设备和新系统的应用 业务流程的变化 组织机构变革 重要员工的流动等,风险再识别和再评估(外部变化),法律法规、监管要求的变化 经济周期性波动 行业的变革 竞争形势 顾客需求 新技术应用 同业新的案例 新的作案手段方式等,第三部分 文件编写的输入,风评结果可能直
14、接形成文件-预案 风评结果为文件的组成部分 风评结果作为文件编写的依据之一 质量管理体系的输入之一,控制方案的输出形式,程序 措施 操作要求 预案 A120 控制目标和方案策划工作底稿 (见附件) 注:根据风险控制要求和适用性决定采取哪 种方式,控制策略,回避 降低发生的可能性 减轻后果 转移 分散 保留等,控制方法(一),授权控制 限额控制(授信控制) 组织控制(部门制约) 职务控制(分管和轮换) 凭证控制 程序控制,控制方法(二),政策控制 计划控制 会计核算(制度)控制 实物(保险柜、金库、安全门)控制 检查控制 责任控制等,控制方案评审(一),控制措施是否会达到可接受的风险水平; 是否
15、产生新的风险; 是否选择了成本效益最佳方案; 受影响的人员如何评价修订后的预防措施的必要性和可行性; 修订后的控制措施是否会被用于实际工作中,在面对诸如完成工作的压力等情况下将不被忽视。,控制方案评审(二),一个体系(平台) 标准化的、系统的、能够应对各种风险的管理体系; 职责清晰、反应灵敏、措施有效、持续改进的动态管理机制;,我们的目标(一),我们的目标(二),一套文件(规范、制度) 覆盖全部经营、管理活动; 清晰表述活动的内控要求; 充分利用流程图、矩阵表展示活动的顺序接口和相互作用关系; 模块化:边界清晰、可扩充、可不断修改完善; 既满足管理者要求,又满足操作要求。,我们的目标(三),一支队伍(专业化) 经过不断培训,接受先进管理理念, 掌握内控标准要求,熟悉法规和监管要求, 使用科学管理工具; 能够通过不断识别、评估各种风险,完善控制措施,有效维护内控管理体系;,我们的目标(四),模块化体系、系统化风险库结构,能够方便实现计算机管理,并彩色图形显示: 各项业务流程中的风险点、控制点; 各项管理活动中的风险点、控制点; 各部门管理的风险数量及状况; 各类风险的 数量; 单个类型风险的累积变化情况; 为定量化风控技术、实时风险监控提供基础数据、接口和升级平台。 风险管理成为防范经营安全的“雷达”,成为保障管理决策的“安全线”。,内控体系建立的艰巨性(一),国
