德勤某商业银行风险管理咨询

风险管理项目总体实施方法论2009年1月©2004Deloitte保密资料德勤风险管理及内控整体框架风险管理及内部控制是一个动态、不断反馈与完善的过程风险分析/衡量:分析风险发生可能性及相应后果评估现有控制手段风险评估:比较不同风险/确定不同风险的优先级风险措施和控制活动:制定风险防范措施及实施计划加强内部监管和监督交流与沟通Establishcontext风险点鉴别风险分析风险评估风险处理/控制活动监督与评价关键业务流程鉴别:哪些事情可能会带来风险?哪些关键点是需要特别关注的?管理/控制环境:企业战略及总体组织构架企业的道德意识风险评估与控制风险管理/内控环境建立©2004Deloitte保密资料整体框架与COSO的关系德勤风险管理及内控整体框架中结合了国际最佳实践-COSO委员会颁布的内部控制框架的思想交流与沟通Establishcontext风险点鉴别风险分析风险评估风险处理/控制活动监督与评价风险评估与控制风险管理/内控环境建立信息及沟通控制活动风险评估控制环境持续监控COSO内部控制框架德勤风险管理与内控整体框架©2004Deloitte保密资料风险管理/内控环境建立风险管理/内控环境是要确定那些影响整个组织风险管理和内控的关键因素是否存在而且明确，也是后面进一步进行管理控制的基础银行发展方向/业务经营战略银行风险管理/内部控制指导原则和政策银行组织治理体系/绩效评估银行道德标准/人员职业操守风险管理/内控环境思想保障目标驱动机制保障银行是否建立了科学治理体系？是否实行了扁平化、线条式管理？银行是否有有效的考核激励机制来保障企业经营？银行的组织架构和绩效评估如何保证风险管理和内控原则/政策得以落实从而保证其内部权威性？银行如何通过制定合理的风险管理/内部控制原则和政策来保证银行业务经营实现安全性、流动性和效益型的最佳平衡，并符合外部监管的要求？银行是否诚信经营?员工是否具有良好职业道德？是否具有奋斗精神/团队合作精神？银行以什么样的准则来制定原则和政策？银行的原则是否能得以坚持？政策是否能得以落实？思路指引©2004Deloitte保密资料风险点鉴别风险点鉴别需要找出存在于银行业务经营中的那些关键风险点并记录各自风险特征计算步骤32风险点诊断1业务流程梳理具体目标根据风险点对应的风险内涵进行风险归类针对不同业务对应的操作流程确定关键风险点，包括现有和潜在详细理清银行各主要业务的操作流程风险点总结归类©2004Deloitte保密资料风险点鉴别–业务流程梳理业务流程梳理通常将采用QTCR方法来进行，其中对风险的鉴别是关键Risk风险Cost成本Time时间Quality质量对客户和对自己是否有价值，是否达到客户期望做这件事情的人工成本及其他的成本有多大需要花多少时间做这件事，是否可以进行电子化做这件事情的风险点在哪里，可能的风险有多大©2004Deloitte保密资料风险点鉴别–风险点诊断基于业务流程疏理得到的详细业务流程的图，可以鉴别其中关键步骤的风险点示例银行帐户建立及管理资金管理处总部与下属公司结束2帐户申请表1银行开户上报银行帐户信息提交给资金管理处报批同意3开始提交省总经理或集团部门处长审批同意批准开户并统一编码反馈给下属公司否是录入帐户管理信息库4567CT0101新建、变更及撤销帐户财务部总经理确认相关文件存档将已有的帐户录入到信息库已有帐户向总部申请汇总是8风险点©2004Deloitte保密资料风险点鉴别–风险点总结归类通过对业务流程中风险点的诊断，可以将不同的风险点进行归类，为以后的分析和评价作准备风险类别编号风险描述发生频率导致因素潜在后果信用风险信用风险操作风险操作风险市场风险市场风险示例©2004Deloitte保密资料风险评估与控制风险评估与控制从风险发生可能性和影响程度出发来确定风险属性，再结合对应控制手段有效性分析最终得到风险的综合评估结果风险评估与控制总体思路风险属性控制手段有效性评分风险综合评估矩阵发生可能性评分影响程度评分风险分析风险评估©2004Deloitte保密资料风险评估与控制–风险分析风险分析中的发生可能性分析是从风险发生的频率来对其进行数值判定评分发生可能性罕见1基本上不可能发生或者一年内会发生一次偶尔2一年内会发生2-5次可能3一年内会发生5-10次一些4一年内会发生10-20次经常5一年内会发生20次以上示例注：具体评分标准可以根据规划的时间间隔进行调整©2004Deloitte保密资料风险评估与控制–风险分析风险分析中的影响程度分析是根据风险一旦发生可能带来的影响来对其进行数值判定评分财务运营法规条例声誉战略管理人员信息系统无关1Littleornoimpactonfinancialpositionsandstability.Directopportunitycostof$50,000.Littleornoimpactonoperations.Operationscontinueasnormal.LittleornolegalimplicationsfortheABC.Reputationintact;internalknowledgeonly.Aneventthatcanbeabsorbedintonormalactivity.Lowstaffturnover.LittleornoimpactonInformationsystems次要2Minorimpact–failedtrade,latesettlement.Directopportunitycostof$50,000-$100,000.Minorimpact–requirementforamanualprocess.Minorimpact–ASX/ASICfinesIndustryknowledgeofincident;clientconcerns.Anevent,whichtheimpactcanbeabsorbedbymanagement,howevereffortisrequired.Generalstaffmoraleproblems.Lossofdataandsystemsforoneday.中等3Moderateimpact-Clientcreditlosses.Directopportunitycostof$100,000-$500,000.Poorrecordkeepingcreatesaudit&complianceissues.ModerateImpact–ASX/ASICreviewandauditAdverselocalmediacoverage.Concernsraisedbyshareholders.Asignificantevent,whichcanbemanagedundernormalcircumstances.Akeyemployeeleaves.Poorreputationasanemployer.Lossofdataandsystemsformorethanoneday.严重4CreatesamajorimpactonthefinancialstabilityofABCandtheBankasawhole.Overinvestmentinunfavourableeconomicbusinesscycles,duetoinadequatemonitoringofinvestments.Directopportunitycostof$500,000-$1M.Inadequatesegregationofdutiescausesfraud&criminalactivity.LegalinvestigationsAdversecapitalcitymediacoverage.Lossofkeycustomer.ASXrequirespressstatement.Vaguestrategyplanning;strategyplannotcommunicatedtostaff.Keyexecutivesleavethecompany.ABCisnotperceivedastheemployerofchoice.Lossofdataandsystemsforoneweek.恶劣5Createscatastrophicimpactonfinancialstability.Directopportunitycostof$1M.InabilityofthefirmtocontinueOperations.LegalinvestigationsAdverseglobal/nationalmedia.Majorpublicconcern.Lossoflicense.AneventthatManagementisnotabletoimpactbyincreasedmanagement.Alargenumberofkeyexecutivesordirectorsleavethecompany.Permanentlossofdataandsystems示例注：具体评分标准可以根据锦州商行实际情况进行调整©2004Deloitte保密资料风险评估与控制–风险分析根据风险发生可能性和影响程度分析的结果可以确定风险属性67891056789456783456723456影响程度发生可能性低中高风险属性风险属性分析矩阵使用方法说明1.为了得到较为客观的风险属性，需要各方在风险影响程度和发生可能性这两方面达成共识，避免局部片面性2.由于存在信息的局限性，在进行评分的时候需要综合各种方式，包括历史数据，调研，研讨会等3.建议先从风险属性高的入手，但不能忽视对风险属性为中或低的监控C1C2O1O2M1©2004Deloitte保密资料风险评估与控制–风险分析通常可以用文档将每一个风险相关的各种特征和评分信息进行综合以便进一步的分析风险索引：风险类别：风险描述：潜在导致因素：潜在风险影响后果:发生可能性评分：影响程度评分：风险属性评分：示例©2004Deloitte保密资料风险评估与控制–风险评估风险评估中的控制手段有效性评分是通过考察风险对应的控制措施的满意程度来进行评分评分有效性说明满意非常有效1or2Thesystem(ofmitigatingpractices/controls)iseffectiveinmitigatingtherisk.Systemsandprocessesexisttomanagetheriskandmanagementaccountabilityisassigned.Thesystemsarewelldocumentedandregularmonitoringandreviewindicateshighcompliancewiththeprocess.有效3or4Systemsandprocessesexistwhichmanagethatrisk.Someimprovementopportunitieshavebeenidentifiedbutnotyetactioned.不满意局部有效5or6Systemsandprocessesexistwhichpartiallymitigatetherisk.效果差7or8Thesystemsandprocessformanagingtheriskhasbeensubjecttomajorchangeorisintheprocessofbeingimplementedanditseffectivenesscannotbeconfirmed.无效9or10Nosystemorprocessexiststomanagetherisk.示例注：具体评分标准可以根据锦州商行实际情况进行调整©2004Deloitte保密资料风险评估与控制–风险评估根据风险属性和控制手段有效性的评分结果可以进一步确定风险综合评估，为进行风险处理提供依据综合风险评估矩阵加强监控马上行动暂可省心不断完善满意不满意