资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,2004 Deloitte,保密资料,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,风险管理,项目总体实施方法论,2009,年,1,月,风险管理2009年1月,德勤风险管理及内控整体框架,风险管理及内部控制是一个动态、不断反馈与完善的过程,风险分析,/,衡量,:,分析风险发生可能性及相应后果,评估现有控制手段,风险评估,:,比较不同风险,/,确定不同风险的优先级,风险措施和控制活动,:,制定风险防范措施及实施计划,加强内部监管和监督,交流与沟通,Establish context,风险点鉴别,风险分析,风险评估,风险处理,/,控制活动,监督与评价,关键业务流程鉴别,:,哪些事情可能会带来风险,?,哪些关键点是需要特别关注的,?,管理,/,控制环境,:,企业战略及总体组织构架,企业的道德意识,风险评估与控制,风险管理,/,内控环境建立,德勤风险管理及内控整体框架风险管理及内部控制是一个动态、不断,整体框架与,COSO,的关系,德勤风险管理及内控整体框架中结合了国际最佳实践,-COSO,委员会颁布的内部控制框架的思想,交流与沟通,Establish context,风险点鉴别,风险分析,风险评估,风险处理,/,控制活动,监督与评价,风险评估与控制,风险管理,/,内控环境建立,信息及沟通,控制活动,风险评估,控制环境,持续监控,业务操作,财务报告,合规,COSO,内部控制框架,德勤风险管理与内控整体框架,整体框架与COSO的关系德勤风险管理及内控整体框架中结合了国,风险管理,/,内控环境建立,风险管理,/,内控环境是要确定那些影响整个组织风险管理和内控的关键因素是否存在而且明确,也是后面进一步进行管理控制的基础,银行发展方向,/,业务经营战略,银行风险管理,/,内部控制指导原则和政策,银行组织治理体系,/,绩效评估,银行道德标准,/,人员职业操守,风险管理,/,内控环境,思想,保障,目标,驱动,机制,保障,银行是否建立了科学治理体系?是否实行了扁平化、线条式管理?银行是否有有效的考核激励机制来保障企业经营?,银行的组织架构和绩效评估如何保证风险管理和内控原则,/,政策得以落实从而保证其内部权威性?,银行如何通过制定合理的风险管理,/,内部控制原则和政策来保证银行业务经营实现安全性、流动性和效益型的最佳平衡,并符合外部监管的要求?,银行是否诚信经营,?,员工是否具有良好职业道德?是否具有奋斗精神,/,团队合作精神?,银行以什么样的准则来制定原则和政策?银行的原则是否能得以坚持?政策是否能得以落实?,思路,指引,风险管理/内控环境建立风险管理/内控环境是要确定那些影响整个,风险点鉴别,风险点鉴别需要找出存在于银行业务经营中的那些关键风险点并记录各自风险特征,计算步骤,3,2,风险点诊断,1,业务流程梳理,具体目标,根据风险点对应的风险内涵进行风险归类,针对不同业务对应的操作流程确定关键风险点,包括现有和潜在,详细理清银行各主要业务的操作流程,风险点总结归类,风险点鉴别风险点鉴别需要找出存在于银行业务经营中的那些关键风,风险点鉴别,业务流程梳理,业务流程梳理通常将采用,QTCR,方法来进行,其中对风险的鉴别是关键,R,isk,风险,C,ost,成本,T,ime,时间,Q,uality,质量,对客户和对自己是否有价值,是否达到客户期望,做这件事情的人工成本及其他的成本有多大,需要花多少时间做这件事,是否可以进行电子化,做这件事情的风险点在哪里,可能的风险有多大,风险点鉴别业务流程梳理业务流程梳理通常将采用QTCR方法来,风险点鉴别,风险点诊断,基于业务流程疏理得到的详细业务流程的图,可以鉴别其中关键步骤的风险点,示例,风险点,风险点鉴别风险点诊断基于业务流程疏理得到的详细业务流程的图,风险点鉴别,风险点总结归类,通过对业务流程中风险点的诊断,可以将不同的风险点进行归类,为以后的分析和评价作准备,风险类别,编号,风险描述,发生频率,导致因素,潜在后果,信用风险,信用风险,操作风险,操作风险,市场风险,市场风险,示例,风险点鉴别风险点总结归类通过对业务流程中风险点的诊断,可以,风险评估与控制,风险评估与控制从风险发生可能性和影响程度出发来确定风险属性,再结合对应控制手段有效性分析最终得到风险的综合评估结果,风险评估与控制总体思路,风险属性,控制手段有效性评分,风险综合评估矩阵,发生可能性评分,影响程度,评分,风险分析,风险评估,风险评估与控制风险评估与控制从风险发生可能性和影响程度出发来,风险评估与控制,风险分析,风险分析中的发生可能性分析是从风险发生的频率来对其进行数值判定,评分,发生可能性,罕见,1,基本上不可能发生或者一年内会发生一次,偶尔,2,一年内会发生,2-5,次,可能,3,一年内会发生,5-10,次,一些,4,一年内会发生,10-20,次,经常,5,一年内会发生,20,次以上,示例,注:具体评分标准可以根据规划的时间间隔进行调整,风险评估与控制风险分析风险分析中的发生可能性分析是从风险发,风险评估与控制,风险分析,风险分析中的影响程度分析是根据风险一旦发生可能带来的影响来对其进行数值判定,评分,财务,运营,法规条例,声誉,战略管理,人员,信息系统,无关,1,Little or no impact on financial positions and stability.Direct opportunity cost of$1M.,Inability of the firm to continue Operations.,Legal investigations,Adverse global/national media.Major public concern.Loss of license.,An event that Management is not able to impact by increased management.,A large number of key executives or directors leave the company.,Permanent loss of data and systems,示例,注:具体评分标准可以根据锦州商行实际情况进行调整,风险评估与控制风险分析风险分析中的影响程度分析是根据风险一,风险评估与控制,风险分析,根据风险发生可能性和影响程度分析的结果可以确定风险属性,6,7,8,9,10,5,6,7,8,9,4,5,6,7,8,3,4,5,6,7,2,3,4,5,6,影响程度,发生可能性,低,中,高,风险属性,风险属性分析矩阵,使用方法说明,为了得到较为客观的风险属性,需要各方在风险影响程度和发生可能性这两方面达成共识,避免局部片面性,由于存在信息的局限性,在进行评分的时候需要综合各种方式,包括历史数据,调研,研讨会等,建议先从风险属性高的入手,但不能忽视对风险属性为中或低的监控,C1,C2,O1,O2,M1,风险评估与控制风险分析根据风险发生可能性和影响程度分析的结,风险评估与控制,风险分析,通常可以用文档将每一个风险相关的各种特征和评分信息进行综合以便进一步的分析,风险索引:,风险类别:,风险描述:,潜在导致因素:,潜在风险影响后果,:,发生可能性评分:,影响程度评分:,风险属性评分:,示例,风险评估与控制风险分析通常可以用文档将每一个风险相关的各种,风险评估与控制,风险评估,风险评估中的,控制手段有效性评分,是通过考察风险对应的控制措施的满意程度来进行评分,评分,有效性说明,满意,非常有效,1 or 2,The system(of mitigating practices/controls)is effective in mitigating the risk.Systems and processes exist to manage the risk and management accountability is assigned.The systems are well documented and regular monitoring and review indicates high compliance with the process.,有效,3 or 4,Systems and processes exist which manage that risk.Some improvement opportunities have been identified but not yet actioned.,不满意,局部有效,5 or 6,Systems and processes exist which partially mitigate the risk.,效果差,7 or 8,The systems and process for managing the risk has been subject to major change or is in the process of being implemented and its effectiveness cannot be confirmed.,无效,9 or 10,No system or process exists to manage the risk.,示例,注:具体评分标准可以根据锦州商行实际情况进行调整,风险评估与控制风险评估风险评估中的控制手段有效性评分是通过,风险评估与控制,风险评估,根据风险属性和控制手段有效性的评分结果可以进一步确定风险综合评估,为进行风险处理提供依据,综合风险评估矩阵,加强监控,马上行动,暂可省心,不断完善,满意,不满意,0,10,10,低,中,高,风险属性,控制手段有效性,暂可省心,不断完善,加强监控,马上行动,风险属性为中或低并且现有控制手段令人满意。建议管理层对控制手段进行周期性评估(可以按年)从而保证控制有效性的持续,风险属性为中或低但现有控制手段不令人满意,对于这类风险需要定期进行控制措施的完善,风险属性为高但现有控制手段令人满意。对于此类风险需要加强监控并需要继续维护已有控制手段,风险属性为高且现有控制手段不令人满意。对于此类风险需要管理层马上采取控制措施以防风险恶化,风险评估与控制风险评估根据风险属性和控制手段有效性的评分结,风险处理,/,控制活动,风险处理,/,控制活动主要可以通过控制流程、组织架构和人员行为以及风险量化评估这四方面来实现,有效风险处理,/,强化内部控制,组织架构,人员行为,控制流程,风险量化,以业务流程再造为出发点,结合内控流程实施来提高流程有效性,结合改进后业务流程并利用,RACI,模型对现有组织架构进行必要调整,从业务流程的人员需要出发,强化操作行为标准,建立科学奖惩机制,逐步建立现代化风险量化体系,运用先进工具和系统来支持定量评估,风险处理/控制活动风险处理/控制活动主要可以通过控制流程、组,风险处理,/,控制活动,控制流程,从控制流程的及时性角度来看,主要是针对前面所确定的风险从内部控制的角度制定相应的处理方法和处理策略,风险处理计划表,风险索引,负责人,处理方案,下一次评估时间点,当前状态,信用风险,1,信贷管理部*经理,对业务操作人员进行信贷政策的强化培训,培训结束后的第三周,时间确定了,对象已经选定,但培训资料还在准备,示例,风险处理/控制活动控制流程从控制流程的及时性角度来看,主要,风险处理,/,控制活动,控制流程,从控制流程的长效性来看,再采取及时控制措施的同时对不同风险制定详
展开阅读全文