德勤某商业银行风险管理咨询课件.ppt

1、风险管理风险管理项目总体实施方法论项目总体实施方法论20092009年年1 1月月 2004 Deloitte保密资料德勤风险管理及内控整体框架德勤风险管理及内控整体框架风险管理及内部控制是一个动态、不断反馈与完善的过程风险管理及内部控制是一个动态、不断反馈与完善的过程风险分析风险分析/衡量衡量:分析风险发生可能性及相应后果 评估现有控制手段风险评估风险评估:比较不同风险/确定不同风险的优先级风险措施和控制活动风险措施和控制活动:制定风险防范措施及实施计划加强内部监管和监督交流与沟通交流与沟通Establish context 风险点鉴别风险点鉴别 风险分析风险分析风险评估风险评估风险处理风险

2、处理/控制活动控制活动监督与评价监督与评价关键业务流程鉴别关键业务流程鉴别:哪些事情可能会带来风险?哪些关键点是需要特别关注的?管理管理/控制环境控制环境:企业战略及总体组织构架企业的道德意识风险评估与控制风险评估与控制风险管理风险管理/内控环境建立内控环境建立 2004 Deloitte保密资料整体框架与整体框架与COSO的关系的关系德勤风险管理及内控整体框架中结合了国际最佳实践德勤风险管理及内控整体框架中结合了国际最佳实践 -COSO-COSO委员会颁委员会颁布的内部控制框架的思想布的内部控制框架的思想交流与沟通交流与沟通Establish context 风险点鉴别风险点鉴别 风险分析风

3、险分析风险评估风险评估风险处理风险处理/控制活动控制活动监督与评价监督与评价风险评估与控制风险评估与控制风险管理风险管理/内控环境建立内控环境建立 信息及沟通信息及沟通控制活动控制活动风险评估风险评估控制环境控制环境持续监控持续监控业务操作业务操作财务报告财务报告合规合规COSO内部控制框架内部控制框架德勤风险管理与内控整体框架德勤风险管理与内控整体框架 2004 Deloitte保密资料风险管理风险管理/内控环境建立内控环境建立风险管理风险管理/内控环境是要确定那些影响整个组织风险管理和内控的关键内控环境是要确定那些影响整个组织风险管理和内控的关键因素是否存在而且明确，也是后面进一步进行管理

4、控制的基础因素是否存在而且明确，也是后面进一步进行管理控制的基础风险管理风险管理/内控环境内控环境思想思想保障保障目标目标驱动驱动机制机制保障保障银行是否建立了科学治理体系？是否实行了扁平化、线条式管理？银行是否有有效的考核激励机制来保障企业经营？银行的组织架构和绩效评估如何保证风险管理和内控原则/政策得以落实从而保证其内部权威性？银行如何通过制定合理的风险管理/内部控制原则和政策来保证银行业务经营实现安全性、流动性和效益型的最佳平衡，并符合外部监管的要求？银行是否诚信经营?员工是否具有良好职业道德？是否具有奋斗精神/团队合作精神？银行以什么样的准则来制定原则和政策？银行的原则是否能得以坚持？

5、政策是否能得以落实？思路思路指引指引 2004 Deloitte保密资料风险点鉴别风险点鉴别风险点鉴别需要找出存在于银行业务经营中的那些关键风险点并记录风险点鉴别需要找出存在于银行业务经营中的那些关键风险点并记录各自风险特征各自风险特征计算步骤计算步骤32风险点诊断风险点诊断1业务流程梳理业务流程梳理具体目标具体目标根据风险点对应的风险内涵进行风险归类针对不同业务对应的操作流程确定关键风险点，包括现有和潜在详细理清银行各主要业务的操作流程风险点总结归类风险点总结归类 2004 Deloitte保密资料风险点鉴别风险点鉴别业务流程梳理业务流程梳理业务流程梳理通常将采用业务流程梳理通常将采用QTC

6、RQTCR方法来进行，其中对风险的鉴别是关键方法来进行，其中对风险的鉴别是关键Risk风险Cost成本Time时间Quality质量对客户和对自己是否有价值，是否达到客户期望做这件事情的人工成本及其他的成本有多大需要花多少时间做这件事，是否可以进行电子化做这件事情的风险点在哪里，可能的风险有多大 2004 Deloitte保密资料风险点鉴别风险点鉴别风险点诊断风险点诊断基于业务流程疏理得到的详细业务流程的图，可以鉴别其中关键步骤的基于业务流程疏理得到的详细业务流程的图，可以鉴别其中关键步骤的风险点风险点示例示例风险点 2004 Deloitte保密资料风险点鉴别风险点鉴别风险点总结归类风险点总

7、结归类通过对业务流程中风险点的诊断，可以将不同的风险点进行归类，为以通过对业务流程中风险点的诊断，可以将不同的风险点进行归类，为以后的分析和评价作准备后的分析和评价作准备风险类别风险类别编号编号风险描述风险描述发生频率发生频率导致因素导致因素潜在后果潜在后果信用风险信用风险操作风险操作风险市场风险市场风险示例示例 2004 Deloitte保密资料风险评估与控制风险评估与控制风险评估与控制从风险发生可能性和影响程度出发来确定风险属性，再风险评估与控制从风险发生可能性和影响程度出发来确定风险属性，再结合对应控制手段有效性分析最终得到风险的综合评估结果结合对应控制手段有效性分析最终得到风险的综合评

8、估结果风险评估与控制总体思路风险评估与控制总体思路风险属性风险属性控制手段有效控制手段有效性评分性评分风险综合评估风险综合评估矩阵矩阵发生可能性发生可能性评分评分影响程度影响程度评分评分风险分析风险分析风险评估风险评估 2004 Deloitte保密资料风险评估与控制风险评估与控制风险分析风险分析风险分析中的发生可能性分析是从风险发生的频率来对其进行数值判定风险分析中的发生可能性分析是从风险发生的频率来对其进行数值判定 评分评分发生可能性发生可能性罕见1基本上不可能发生或者一年内会发生一次偶尔2一年内会发生2-5次可能3一年内会发生5-10次一些4一年内会发生10-20次经常5一年内会发生20

9、次以上示例示例注：具体评分标准可以根据规划的时间间隔进行调整 2004 Deloitte保密资料风险评估与控制风险评估与控制风险分析风险分析风险分析中的影响程度分析是根据风险一旦发生可能带来的影响来对其风险分析中的影响程度分析是根据风险一旦发生可能带来的影响来对其进行数值判定进行数值判定评分评分财务财务运营运营法规条例法规条例声誉声誉战略管理战略管理人员人员信息系统信息系统无关无关1Little or no impact on financial positions and stability.Direct opportunity cost of$1M.Inability of the fir

10、m to continue Operations.Legal investigationsAdverse global/national media.Major public concern.Loss of license.An event that Management is not able to impact by increased management.A large number of key executives or directors leave the company.Permanent loss of data and systems示例示例注：具体评分标准可以根据锦州商

11、行实际情况进行调整 2004 Deloitte保密资料风险评估与控制风险评估与控制风险分析风险分析根据风险发生可能性和影响程度分析的结果可以确定风险属性根据风险发生可能性和影响程度分析的结果可以确定风险属性67891056789456783456723456影响程度影响程度发生可能性发生可能性低中高风险属性风险属性风险属性分析矩阵风险属性分析矩阵使用方法说明使用方法说明1.为了得到较为客观的风险属性，需要各方在风险影响程度和发生可能性这两方面达成共识，避免局部片面性 2.由于存在信息的局限性，在进行评分的时候需要综合各种方式，包括历史数据，调研，研讨会等3.建议先从风险属性高的入手，但不能忽视

12、对风险属性为中或低的监控C1C2O1O2M1 2004 Deloitte保密资料风险评估与控制风险评估与控制风险分析风险分析通常可以用文档将每一个风险相关的各种特征和评分信息进行综合以便通常可以用文档将每一个风险相关的各种特征和评分信息进行综合以便进一步的分析进一步的分析风险索引：风险索引：风险类别：风险类别：风险描述：风险描述：潜在导致因素：潜在导致因素：潜在风险影响后果潜在风险影响后果:发生可能性评分：发生可能性评分：影响程度评分：影响程度评分：风险属性评分：风险属性评分：示例示例 2004 Deloitte保密资料风险评估与控制风险评估与控制风险评估风险评估风险评估中的风险评估中的控制手

13、段有效性评分控制手段有效性评分是通过考察风险对应的控制措施的满是通过考察风险对应的控制措施的满意程度来进行评分意程度来进行评分评分评分有效性说明有效性说明满意满意非常有效非常有效1 or 2The system(of mitigating practices/controls)is effective in mitigating the risk.Systems and processes exist to manage the risk and management accountability is assigned.The systems are well documented and

14、regular monitoring and review indicates high compliance with the process.有效有效3 or 4Systems and processes exist which manage that risk.Some improvement opportunities have been identified but not yet actioned.不满意不满意局部有效局部有效5 or 6Systems and processes exist which partially mitigate the risk.效果差效果差7 or

15、8The systems and process for managing the risk has been subject to major change or is in the process of being implemented and its effectiveness cannot be confirmed.无效无效9 or 10No system or process exists to manage the risk.示例示例注：具体评分标准可以根据锦州商行实际情况进行调整 2004 Deloitte保密资料风险评估与控制风险评估与控制风险评估风险评估根据风险属性和控制手

16、段有效性的评分结果可以进一步确定风险综合评根据风险属性和控制手段有效性的评分结果可以进一步确定风险综合评估，为进行风险处理提供依据估，为进行风险处理提供依据综合风险评估矩阵综合风险评估矩阵加强监控加强监控马上行动马上行动暂可省心暂可省心不断完善不断完善满意不满意01010低中高风险属性风险属性控制手段有效性控制手段有效性暂可省心暂可省心不断完善不断完善加强监控加强监控马上行动马上行动风险属性为中或低并且现有控制手段令人满意。建议管理层对控制手段进行周期性评估（可以按年）从而保证控制有效性的持续风险属性为中或低但现有控制手段不令人满意，对于这类风险需要定期进行控制措施的完善风险属性为高但现有控制

17、手段令人满意。对于此类风险需要加强监控并需要继续维护已有控制手段风险属性为高且现有控制手段不令人满意。对于此类风险需要管理层马上采取控制措施以防风险恶化 2004 Deloitte保密资料风险处理风险处理/控制活动控制活动风险处理风险处理/控制活动主要可以通过控制流程、组织架构和人员行为以及控制活动主要可以通过控制流程、组织架构和人员行为以及风险量化评估这四方面来实现风险量化评估这四方面来实现有效风险处理有效风险处理/强化内部控制强化内部控制组织架构组织架构人员行为人员行为控制流程控制流程风险量化风险量化以业务流程再造为出发点，结合内控流程实施来提高流程有效性结合改进后业务流程并利用RACI模

18、型对现有组织架构进行必要调整从业务流程的人员需要出发，强化操作行为标准，建立科学奖惩机制逐步建立现代化风险量化体系，运用先进工具和系统来支持定量评估 2004 Deloitte保密资料风险处理风险处理/控制活动控制活动控制流程控制流程从控制流程的及时性角度来看，主要是针对前面所确定的风险从内部控从控制流程的及时性角度来看，主要是针对前面所确定的风险从内部控制的角度制定相应的处理方法和处理策略制的角度制定相应的处理方法和处理策略风险处理计划表风险处理计划表风险索引风险索引负责人负责人处理方案处理方案下一次评估时间点下一次评估时间点当前状态当前状态信用风险1信贷管理部*经理对业务操作人员进行信贷政

19、策的强化培训培训结束后的第三周时间确定了对象已经选定但培训资料还在准备示例示例 2004 Deloitte保密资料风险处理风险处理/控制活动控制活动控制流程控制流程从控制流程的长效性来看，再采取及时控制措施的同时对不同风险制定从控制流程的长效性来看，再采取及时控制措施的同时对不同风险制定详细的控制活动，并将其纳入到企业内部控制体系中进行固化详细的控制活动，并将其纳入到企业内部控制体系中进行固化风险控制活动固化方式表风险控制活动固化方式表流程风险点流程风险点列出业务流程中风险点，包括涉及流程和风险类别，如企业贷款流程中信用风险1对应风险综合评级对应风险综合评级列出该风险点对应的风险属性（包括发生

20、可能性和影响程度评分），控制有效性评分和综合对应评级控制目标控制目标控制目标是指内部控制总体目标在各个业务流程中的具体反映，对应不同业务流程控制目标应该细化，例如在人工输入错误不能超过三次等当前的控制措施当前的控制措施用户需要根据业务流程的实际情况，描述其当前实际存在的控制活动。改进的控制活动编号改进的控制活动编号可以将整个内部控制体系对应的控制活动进行编号，如ZHKL_01_06等改进控制活动描述改进控制活动描述与当前控制措施的要求相同，只是要突出改建点控制活动重要性评级控制活动重要性评级判断该控制活动是否为关键控制活动，如果对应风险属性评级为“高”或“中”的，选关键控制，如果对应风险属性评

21、级为“低”，该列请选一般控制。执行频率执行频率选择该控制活动的执行频率，例如每周一次等控制执行方式控制执行方式选择该控制活动需要的执行方式是手工或自动，如自动需注明涉及的系统操作关键控制文档关键控制文档列出控制活动所涉及的重要单据、政策、程序等文档资料，对于单据表格等最好是空白和标准填写各一份流程负责人流程负责人/相关部门相关部门列出该控制活动的相关部门或人，一般为该控制活动的复核人或执行人示例示例注：具体固化方式可以根据锦州商行实际情况进行调整 2004 Deloitte保密资料RACI模型模型风险处理风险处理/控制活动控制活动组织架构组织架构从组织架构方面来看，需要对业务流程中确定的关键风

22、险点建立一种管从组织架构方面来看，需要对业务流程中确定的关键风险点建立一种管理控制机制，通常可以采用理控制机制，通常可以采用RACIRACI模型模型定义定义说明说明R 实施人Responsible代表那些有责任执行业务活动人员，可以是单人，也可以是多人A 责任人Accountable代表那个最终对整个业务活动负责的人，包括是与否的决策并有彻底否决权，一项业务活动/决策通常只能有一个最终责任人C 咨询人Consulted代表在进行最后决策或者行动之前需要咨询的人（们），属于双向的沟通I 通知人Informed代表在最后决策或者行动完成后需要通知的人（们），属于单向的沟通业务流程风险控制点 200

23、4 Deloitte保密资料人员行为管理体系人员行为管理体系风险处理风险处理/控制活动控制活动人员行为人员行为从人力资源的角度，需要根据风险管理从人力资源的角度，需要根据风险管理/内控的强化控制要求定义内控的强化控制要求定义“零零容忍容忍”行为，并建立相应的后果管理机制和监督机制行为，并建立相应的后果管理机制和监督机制确定“零容忍”行为实行后果管理机制并在内部进行沟通建立有效监督机制并进行监控执行后果处理结合个人绩效管理违规是否“零容忍”行为是那些操作人员必须执行的行为或必须满足的标准和程序体现流程和法规两方面的要求对于确定的“零容忍”行为需要检查现有政策和操作程序是否到位，是否有效在内部进行传达完善对应政策/操作程序并公布建立对应“零容忍”行为出现违规的处理方式，需要明确的相关要求建立对应“零容忍”行为出现违规的处理方式，需要明确的相关要求建立一种监控机制，包括频率、方式和执行主体和对象等