風險識別評估教程北京正信嘉華管理顧問有限公司培訓目標掌握風險識別和評估的基本原理和方法能夠熟練開展風險識別與評估為文件編寫做準備第一部分基本原理和方法標準-----衡量質量和質量管理的尺度，標準具有約束性、協(xié)調性、適用性和科學性。標準的本質-----約束

——人為的約束

——有利于發(fā)展的約束——取得效益的約束——某種特定形式的約束風險定義的解釋風險---對目標有所影響的某個事情發(fā)生的可能性與后果的結合?？赡苄杂米鲗Ω怕驶蝾l率的定性描述?！咀?】頻率是以規(guī)定的時間內(nèi)發(fā)生次數(shù)來表達發(fā)生率的量度。【注2】概率是以特定事件或結果與可能發(fā)生事件或結果的總數(shù)之比來量度的特定事件或結果的可能性。

后果以定量或定性的方式表示的一個事件的結果。【注】一個事件可能有多個與其相關的結果。

與風險有關的幾個重要定義（二）損失-任何財務或其他方面的負面影響?？山邮茱L險其程度已降低到建設銀行考慮監(jiān)管要求和內(nèi)控政策后能接受的水平的風險。險情可能造成損失的狀態(tài)。安全脫離不可接受的風險。

風險來源（一）商業(yè)關系：建設銀行與其他機構之間，如客戶之間的關系。法律法規(guī)：建設銀行所必須遵循的法律、法規(guī)所調節(jié)的關系。經(jīng)濟環(huán)境：建設銀行、國際和國際的經(jīng)濟環(huán)境，以及造成這些環(huán)境的因素如匯率、通貨膨脹、經(jīng)濟衰退等。人員行為：與建設銀行有關或無關的人員的行為。風險來源（二）自然事件：地震、火災、洪災、疾病等不可抗力。政治環(huán)境：政局穩(wěn)定、立法變化以及可能影響其他風險的政治因素?？茖W和技術：建設銀行內(nèi)部和外部的科學技術問題。管理活動和控制：外部機構或建設銀行內(nèi)部的管理或控制活動風險影響的范圍資產(chǎn)的安全收入和權利成本人員聲譽風險控制需考慮因素考慮可能會發(fā)生什么考慮風險來源考慮風險類型考慮風險階層考慮可能影響的范圍考慮風險和經(jīng)營的均衡性第二部分風險識別和評估

不適宜識別過程尋找風險點根源、路徑影響范圍現(xiàn)有狀況下風險級別原措施是否適宜按原措施繼續(xù)控制制定控制方案評審確定控制目標控制方案實施定期評審方案進入下一循環(huán)適宜是否風險識別原則和方法從上到下

風險控制關口前移，從環(huán)境和政策層面控制：國家法律--〉人行監(jiān)管--〉總行管理要求從內(nèi)到外

風險控制從組織內(nèi)部擴張到行業(yè)、社會：行內(nèi)已識別--〉同行業(yè)已識別--〉其他行業(yè)已識別從已知到未知無爭議的風險--〉尚存爭議需要分析的風險商業(yè)銀行風險商業(yè)銀行在業(yè)務經(jīng)營和管理中因受不確定因素影響，使商業(yè)銀行的資產(chǎn)、收入和信譽遭受損失的可能性；測量商業(yè)銀行風險損失用商業(yè)銀行損失比商業(yè)銀行資產(chǎn)；測量風險程度（金融不利因素）用商業(yè)銀行風險性資產(chǎn)比商業(yè)銀行資產(chǎn)。風險類型（巴塞爾銀行監(jiān)管委員會風險分類）信用風險市場風險操作風險利率風險法律風險流動性風險信譽風險國家和支付轉移風險商業(yè)銀行風險的特征客觀性可控性擴散性隱藏性加速性周期性風險評估的步驟確定并描述現(xiàn)有的控制分析現(xiàn)有控制下風險的可能性和后果確定風險等級確定風險是否可接受評價現(xiàn)有控制的適宜性和充分性確定期望的風險等級制定相應的控制方案考慮控制措施和經(jīng)營的均衡性風險分析定性分析：根據(jù)經(jīng)驗分析風險后果和可能性的判斷。

半定量分析：根據(jù)經(jīng)驗判斷結合一些定量分析對風險的可能性和后果進行判斷。定量分析：運用數(shù)量統(tǒng)計或其他定量技術對風險的可能性和后果進行判斷。如內(nèi)部評級法（IRB）、風險價值法（VAR）等。商業(yè)銀行風險的識別方法（一）利用資產(chǎn)負債表，從資產(chǎn)負債的性質來識別是簡單、直接的方法。壓力測試法：假設在某一風險發(fā)生的極端情況下，對銀行所能承受的風險的測量。商業(yè)銀行風險的識別方法（二）專家意見法（德爾菲法）——風險管理人員制定調查方法確定內(nèi)容（工作底稿）；—聘請專家，建立專家?guī)?；由行?nèi)或外部有經(jīng)驗的人員組成；——每次隨機選定3-5名專家，用調查表向他們提問，并提供相關背景資料；——專家依據(jù)提問和資料，背對背填表提出自己意見；——風險管理人員限時匯集整理，并反饋各位專家；第二次提意見；——多次反復，逐漸收斂，風險管理人員決定停止在某一點，結果趨于目標要求。

完全不可控風險(自然災害、戰(zhàn)爭）；

部分可控風險（信用、市場）；基本可控風險（操作風險）?；究煽仫L險是指通過制定和實施科學嚴密的工作規(guī)程、管理措施、內(nèi)部制度和監(jiān)管措施后可基本控制的風險——操作風險。按風險可控制程度可分：商業(yè)銀行的操作風險（一）在現(xiàn)代資本市場中，操作風險的管理在風險管理中占有越來越重要的位置；紐約聯(lián)邦儲備銀行董事長威廉?麥克多納：“巴塞爾委員會關注并提醒有關銀行就使用鑒別、測量、管理和監(jiān)控操作風險的新技術問題通告它們負責監(jiān)控的部門?！鄙虡I(yè)銀行的操作風險（二）最大的操作風險就是銀行內(nèi)部控制系統(tǒng)與治理機制的失控——缺乏系統(tǒng)的管理思想；——內(nèi)控制度殘缺、功能不全、難以有效發(fā)揮作用；——內(nèi)控制度滯后，基本屬于補救為主的事后控制；——制度落后缺乏統(tǒng)一尺度（標準），缺乏剛性。基于過程方法、系統(tǒng)方法的風險評價

利用過程方法（輸入、輸出、相互關聯(lián)和相互作用的活動）找出：過程網(wǎng)絡的風險；過程網(wǎng)絡中流程（過程）的風險；流程中各環(huán)節(jié)的風險點；建立風險庫。風險識別評估的特例無流程圖的風險評估：法律法規(guī)的角度識別上一級流程識別多流程圖的風險識別：分別識別。合并同類項。共性問題識別：在每個流程標識合并后在更高的層次進行控制（政策、環(huán)境）。沒有具體流程的風險點歸屬：放在手冊中。制定單獨預案風險評價（一）評價風險點的風險程度；根據(jù)風險的特點、類型、可能性與后果，以風險點評價為基礎，綜合確定過程或活動的風險等級；根據(jù)風險等級評價原有控制措施的有效性；采用“專家意見法”依據(jù)控制政策、目標最終確定過程（或活動）、過程網(wǎng)絡的風險評價結論：——可接受、有條件接受、不可接受。針對有條件接受、不可接受風險制定控制方案：——確定控制目標；——制定控制措施；——明確關鍵控制點、落實責任；——配置相應資源；——對控制方案實施的考核方法。對控制方案進行評審。風險評價（二）風險評價（三）針對風險點的控制找關鍵控制點關鍵控制點的選擇：——關鍵控制點不是點對點的逐個控制；——關鍵控制點是對過程或活動、對過程網(wǎng)絡有影響的風險控制點(如：計算機運行控制的數(shù)據(jù)丟失、非法進入、越權修改、索取和操作)；——從風險控制前置、預先防范、分類控制的原則考慮；可能性等級描述等級描述詞詳細描述（推薦值）A幾乎肯定預期大多數(shù)情況下發(fā)生（可能性大于95％）B很可能在大多數(shù)情況下很可能會發(fā)生（可能性在60％－95％）C可能在某種情況下可能發(fā)生（可能性在10％－60％）D不太可能在某種情況下能夠發(fā)生，但可能性較小（可能性在10％以下）E罕見僅在例外的情況下會發(fā)生（可能性在1％以下）后果等級描述等級描述詞詳細描述（示意）1災難性超出可承受的能力，巨大的財務損失。如：系統(tǒng)數(shù)據(jù)全部丟失；財務損失超過經(jīng)濟資本等。

2較大較大的財務損失或人員傷害，極其不良的影響。如：造成較大的貸款損失。3中等中等財務損失，有一定不良影響。如：金額較大的存款糾紛。4較小較小的財務損失。如：如金額較小的短款。5無關緊要極小的財務損失，幾乎沒什么影響。如：普通憑證遺失。風險等級含義風險水平

詳細描述

E－Extreme極度風險，不可接受，要求立即采取措施H－High高風險，不可接受，需要高度關注M－Medium中等風險，不可接受，必須規(guī)定控制程序和責任L－Low低風險，有條件接受，需持續(xù)監(jiān)控，或通過評審決定是否需要另外的控制措施

I－Ignoring極小風險，可接受風險，基本不用處理。毋須采取措施且不必保留文件記錄。風險等級矩陣

后果可能性5無關緊要4較小3中等2較大1災難A幾乎肯定

MHHEEB很可能MMHEEC可能

LMMHED不太可能

LLMHEE罕見ILLMH不可接受風險有條件接受風險區(qū)間線（討論在后面，可接受風險XY可接受風險區(qū)域Y=-kX+b風險區(qū)間線方程——是否接受風險的界限為便于分析簡化為直線方程區(qū)間線上移：擴大可接受區(qū)域，管理能力提高；區(qū)間線下移：擴大不可接受區(qū)域，管理成本提高；直線斜率(k=b/a)的變化也會對風險評級的尺度產(chǎn)生影響.ba風險等級的色彩代號極小風險，可接受風險，基本不用處理。毋須采取措施且不必保留文件記錄。I－Ignoring：低風險，有條件接受，需持續(xù)監(jiān)控，或通過評審決定是否需要另外的控制措施

L－Low中等風險，不可接受，必須規(guī)定控制程序和責任；M－Medium高風險，不可接受，需要高度關注H－High極度風險，不可接受，要求立即采取措施E－Extreme詳細描述

風險水平

4444476人民銀行授權主管記賬員接柜員客戶A54321EDCB4出售憑證客戶申請主管授權是否通過資料交客戶是否報批資格審查是否符合條件預留印鑒開戶復核報人行開戶許可證開戶資料申購憑證YYYNNN風險等級評估前為無色色彩的含義見上頁本圖顏色僅為示意配置流程圖及風險等級示意管理決策層縣支行網(wǎng)點、柜臺客戶經(jīng)理電子銀行網(wǎng)絡銀行二級機構（市分行、直屬支行）公司業(yè)務個人銀行中間業(yè)務國際業(yè)務房地產(chǎn)金融信貸審批資產(chǎn)保全會計結算辦公室（法律事務）計劃財務風險管理會計管理人事管理計算機系統(tǒng)安全保衛(wèi)審計紀檢監(jiān)察后勤行政事務宣傳綜合管理活動支持保障活動業(yè)務管理活動管理層次與活動示意圖個人客戶公司客戶10080604020會計結算公司業(yè)務個人銀行房地產(chǎn)金融信貸審批資產(chǎn)保全國際業(yè)務

業(yè)務管理活動風險程度極度風險高風險中等風險低風險極小風險風險程度分級示意（一）計算機系統(tǒng)行政后勤紀檢監(jiān)查審計風險管理安全保衛(wèi)

支持保障活動風險程度極度風險高風險中等風險低風險極小風險風險程度分級示意（二）1008060

4020極度風險高風險中等風險低風險極小風險授信（對公）產(chǎn)品風險程度固定資金貸款流動資金貸款額度授信買方信貸

商業(yè)匯票貼現(xiàn)

銀團貸款

項目融資

出口信貸

法人賬戶透支

信貸擔保

建筑業(yè)流動資金貸款

房地產(chǎn)開發(fā)企業(yè)貸款單位購房貸款……

風險程度分級示意（三）1008060

4020受理作業(yè)

信貸調查信貸審批

貸款發(fā)放貸后管理資產(chǎn)保全……

授信業(yè)務活動風險程度極度風險高風險中等風險低風險極小風險風險程度分級示意（四）1008060

4020結算類擔保類代理類委托類保管類融資租賃外匯期貨業(yè)務

中間業(yè)務（產(chǎn)品）風險程度極度風險高風險中等風險低風險極小風險風險程度分級示意（五）1008060

40202001。62001。122002。62002。122003。32003。62003。9

同一產(chǎn)品、不同年度風險評級變化示意極度風險高風險中等風險低風險極小風險風險程度分級示意（六）1008060

4020風險識別評估工作底稿A100風

險

識

別與評

估工

作

底

稿（見附件）風險識別與評估應注意的幾個方面1)包括常規(guī)、非常規(guī)的活動與過程2)考慮計算機系統(tǒng)運用帶來的風險3)識別與評估應是主動的4)負責風險識別、評估過程的人員的作用和權限，以及能力要求和培訓需求5)確定風險級別，風險評估的結果應形成文件或體現(xiàn)在文件當中風險識別與評估應注意的幾個方面6)確定風險是否可接受主要依據(jù)：法律法規(guī)要求、監(jiān)管要求、內(nèi)控總要求、內(nèi)控政策

風險可接受時——監(jiān)測、定期評審，確?？山邮茱L險不可接受時——確定控制目標，制定控制方案環(huán)境、條件變化時——再識別，再評估體系的動力－風險識別與評估是評價改進風險識別風險評估是否可接受維持控制改善控制檢查糾正否持續(xù)改進風險再識別和再評估（內(nèi)部變化）損失、險情或案件新產(chǎn)品和新業(yè)務進入新設備和新系統(tǒng)的應用業(yè)務流程的變化組織機構變革重要員工的流動等

風險再識別和再評估（外部變化）法律法規(guī)、監(jiān)管要求的變化經(jīng)濟周期性波動行業(yè)的變革競爭形勢顧客需求新技術應用同業(yè)新的案例新的作案手段方式等第三部分文件編寫的輸入風評結果可能直接形成文件---預案風評結果為文件的組成部分風評結果作為文件編寫的依據(jù)之一質量管理體系的輸入之一控制方案的輸出形式程序措施操作要求預案

A120控制目標和方案策劃工作底稿（見附件）

注：根據(jù)風險控制要求和適用性決定采取哪種方式控制策略回避降低發(fā)生的可能性減輕后果轉移分散保留等

控制方法（一）

授權控制限額控制（授信控制）組織控制（部門制約）職務控制（分管和輪換）憑證控制程序控制控制方法（二）政策控制計劃控制會計核算（制度）控制實物（保險柜、金庫、安全門）控制檢查控制責任控制等控制方案評審（一）控制措施是否會達到可接受的風險水平；是否產(chǎn)生新的風險；是否選擇了成本效益最佳方案；受影響的人員如何評價修訂后的預防措施的必要性和可行性；修訂后的控制措施是否會被用于實際工作中，在面對諸如完成工作的壓力等情況下將不被忽視。控制方案評審（二）

一個體系（平臺）——標準化的、系統(tǒng)的、能夠應對各種風險的管理體系；——職責清晰、反應靈敏、措施有效、持續(xù)改進的動態(tài)管理機制；我們的目標（一）我們的目標（二）一套文件（規(guī)范、制度）——覆蓋全部經(jīng)營、管理活動；——清晰表述活動的內(nèi)控要求；——充分利用流程圖、矩陣表展示活動的順序接口和相互作用關系；——模塊化：邊界清晰、可擴充、可不斷修改完善；——既滿足管理者要求，又滿足操作要求。我們的目標（三）一支隊伍（專業(yè)化）——經(jīng)過不斷培訓，接受先進管理理念，——掌握內(nèi)控標準要求，熟悉法規(guī)和監(jiān)管要求，——使用科學管理工具；——能夠通過不斷識別、評估各種風險，完善控制措施，有