《风险管理治理架构规划课件rfd.ppt》由会员分享,可在线阅读,更多相关《风险管理治理架构规划课件rfd.ppt(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录目录q1.1.风险管理治理架构规划风险管理治理架构规划第第4 4页页q2.2.制度与流程规划制度与流程规划第第4 4页页q3.3.方法论与模型规划方法论与模型规划第第7 7页页q4.4.风险引擎规划风险引擎规划第第1212页页q5.5.风险限额方法论与流程设定规划风险限额方法论与流程设定规划q6.6.数据治理与数据治理与ITIT系统的规划系统的规划q7.7.报告体系与信息披露的规划报告体系与信息披露的规划q8.8.资本管理的规划资本管理的规划第第3232页页q9.9.基于经济资本的基于经济资本的RAROCRAROC管理体系建设规划管理体系建设规划第第4444页页q10.10.资产增长与结构
2、调整的规划资产增长与结构调整的规划第第5959页页1q1.1.风险管理治理架构规划风险管理治理架构规划2q2.2.制度与流程规划制度与流程规划v2.1 2.1 信用风险制度与流程规划信用风险制度与流程规划v2.2 2.2 市场风险制度与流程规划市场风险制度与流程规划v2.3 2.3 操作风险制度与流程规划操作风险制度与流程规划v2.4 2.4 银行账户利率风险与流动性风银行账户利率风险与流动性风险制度与流程规划险制度与流程规划v2.5 2.5 其他重大风险政策与流程规划其他重大风险政策与流程规划32.1信用风险制度与流程规划42.2市场风险制度与流程规划52.3操作风险制度与流程规划流程描述风
3、险识别固有风险评估固有风险水平现有控制分析控制评估(制度设计)可能性后果剩余风险评估剩余风险水平可能性后果12345662.4银行账户利率风险与流动性风险制度与流程规划72.5其他重大风险政策与流程规划8q3.3.方法论与模型规划方法论与模型规划9操作风险分类10巴塞尔新资本协议的资本计量要求资本本计量量基本指基本指标法法银行越大,非利息收入越高,操作风险就越大,分配的经济资本就越多;3年总收入的平均值作为衡量指标:操作操作风险的的监管成本管成本(前三年的前三年的总收入收入 X 固定百分比加固定百分比加总)3;提取总收入的15%作为资本:总收入净利息收入净非利息收总收入净利息收入净非利息收入入
4、不包括保险收入、银行账户上出售证券实现的盈利11巴塞尔新资本协议的资本计量要求资本本计量量标准法准法将整个业务分成8条产品线,度量每个业务线的风险,再把风险加总;巴塞尔设定了8种产品线每个产品线的值(商业银行在特定产品线的操作风险损失经营值与该产品线总收入之间的关系);计提的总资本等于各业务分别计提的资本之和;采用标准法的基本要求:董事会和高管层应当积极参与监督操作风险管理架构;具完整而且切实可行的操作风险的管理系统;该拥有充足的资源来支持在主要产品线上和控制及审计领域采用该方法。业务种类业务种类 财务指标财务指标 计提因子计提因子(%)企业融资 总收入 18贸易和销售 总收入 18零售银行业
5、务 总收入 12商业银行业务 总收入 15支付和结算 总收入 18代理服务和托管 总收入 15零售经纪 总收入 12资产管理 总收入 1212资本计量高级计量法a.资格要求;b.定性标准:设置独立的操作风险管理岗位,负责设计和实施操作风险管理框架;在全行范围内对主要业务条线分配操作风险资本。必须以正式文件形式制定内部操作风险管理政策、制度和流程,并在文件中明确规定对违规的处理办法;c.定量标准:表明采用的操作风险计量方法考虑到了潜在的较为严重的概率分布“尾部”损失事件;无论采用哪种方法,必须表明操作风险计量方法,与信用风险的内部评级法具有相当的稳健标准;任何操作风险内部计量系统,必须提供与巴塞
6、尔委员会所规定的操作风险范围和损失事件类型一致的操作风险分类数据;例外:在内部业务实践过程中,能够足以准确的计算出预期损失;d.内部数据要求:无论是用于损失计量还是用于验证,具有至少五年的内部损失数据。对于初次使用高级计量法的商业银行要求可以适度放宽,允许使用三年的历史数据;e.外部数据要求:对外部数据配合专家的情景分析,求出严重风险事件下的风险暴露,这相当于一个极端情况下的压力测试;f.业务经营环境和内部控制因素。13资本计量高级计量法14操作风险衡量模型计量模型基本指标法标准法内部衡量法高级计量法(损失分布法、极值模型法及其他)业务类型和损失事件类型单一业务类别8各业务类别8各业务类别,7
7、个损失事件类型,共56个组合多个业务类别,多个损失事件类型银行自主划定模型结构(系数X风险暴露X风险分布调整指数)使用损失频率和损失幅度分布来估计操作风险的风险价值(VaR);PE、LGE、EI有银行自定,资本要求转换系数r由监管当局确定参数选择单一风险暴露指标EI、比例指标多个EI(PE、LGE、RPI)多个风险资本比例监管机构统一划定监管资本高较高较低15操作风险管理流程识别RSA/ORAP/Riskmap测量LDC监督和报告KRI控制KORC/CSA操作风险管理的方法论关键风险指标风险自我评估其他风险审批过程关键操作风险控制损失数据库风险环境控制环境历史损失数据调整后分布业务和控制环境预
8、测损失分布模型基于预期ultult历史损失分布基于事实LikelihoodImpactLossesabsorbedbylossprovisionsLossesabsorbedbycapitalLossesnotabsorbedbycapitalExpectedlossUnexpectedlossCatastrophiclossDefault支柱1:最低资金要求支柱2:监督审查治理结构与政策/框架风险组织架构及原则稳健原则原则5:银行应定期监督操作风险的轮廓原则4:银行应识别并评估所有产品、活动和系统的固有操作风险原则4:银行应确保在新的产品、活动、流程以及系统出现之前,已对操作风险进行充分的评
9、估原则6:银行应该定期审查其风险限额和控制策略,依据适当的策略调整风险状况。原则5:银行应制定一套程序来定期监测操作风险状况和重大损失风险原则1:董事会应清楚银行操作风险的主要方面,并将其作为一个独特的风险类别进行管理,定期核准和监测银行操作风险管理的框架。原则3:应坚持在整个银行实施这个结构,各级工作人员应该了解自己在操作风险管理中的职责。工具包连接AMA资本计算操作风险管理框架管理对象ORM 治理结构、政策和程序ORM 风险偏好识别和评估监测和报告告测量实施和控制基础框架管理工具IT系统模型管理信息资本计量风险自评(RSA)评审程序(ORAP)损失数据库(CLD)关键风险控制(KORC)关
10、键风险指(KRI)业务持续性管理(BCM)ED&PMIn-FraudEx-FraudEP&WSCP&BPDPABD&SF北京天津上海浙江广东四川风险类型业务线分支行公司融资交易销售商业银行零售银行支付结算代理服务资产管理控制自评:操作风险控制自我评估(RCSA)n操作风险控制自我评估(RCSA)根据操作风险管理的基本原理,按照规定的工作流程,采用一定的方法,对操作风险状况与控制效果进行的内部评价活动,是操作风险管理持续改进的基础工作和关键环节操作风险控制自我评估的程序不充分的风险识别和评估事故原因事故原因问题解决问题解决直接诱因缺乏控制风险根源存在事故险情最最高高限限度度与RCSA有关的定义(
11、一)n可能性用作对事件发生概率或频率的定性描述。频率:是以规定的时间内发生次数来表达事件发生率的量度。概率:是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达,0表示一个不可能的事件或结果,而1表示一个必然的事件或结果。n影响以定量或定性的方式表示的一个事件的结果(一个事件可能有多个与其相关的结果)。与RCSA有关的定义(二)n风险点指操作风险因素在业务流程中环节的反映和表现。n损失指任何财务或其他方面的负面影响。n固有风险指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的操作风险。n剩余风险指在采取控制活动或其他风险
12、减轻措施后所剩余的操作风险。操作风险损失事件分类内部欺诈外部欺诈雇佣关系客户关系,产品及业务操作对物理资产的损害业务中断和系统失灵实施、交付和流程管理流程图:流程描述风险识别事件分类(一级)事件分类(二级)事件分类(三级)提示:风险可能发生的环节:职能接口的环节流程衔接的环节人机交互的环节风险识别风险点与流程对应关系事件类型(一级)事件类型(二级)事件类型(二级)风险点1风险点2风险点3风险点4风险点n固有风险评估可能性可能性:用作对事件发生的概率或频率的定性描述。【注1】频率(frequency)是以规定的时间内发生次数来表达事件发生率的量度。【注2】概率(probability)是以特定事
13、件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达,0表示一个不可能的事件或结果,而1表示一个必然的事件或结果。可能性评估值解释损失事件发生频率(参考)极少发生极少发生 1在在某某种种情情况况下下能能够够发发生生,但但可可能能性性较较小小;或偶尔发生或偶尔发生10年以上年以上很少发生很少发生2在某种情况下可能发生;在某种情况下可能发生;1-10年(含)年(含)间歇性发生间歇性发生3在在某某种种情情况况下下很很可可能能会会发发生生;或或发发生生过过几次几次1个月个月-1年(含)年(含)常见的常见的4在在大大多多数数情情况况下下很很可可能能会会发发生生;或
14、或经经常常发生发生1周周-1个月(含)个月(含)经常周期性发生经常周期性发生的的5预期大多数情况下发生;或总是发生预期大多数情况下发生;或总是发生1周以内(含)周以内(含)固有风险评估影响后果评估值财务损失(人民币)其他相关方对损失事件的反应及对公司造成的影响媒体的态度监管机构行动法律行动员工信息系统很小1较小的财务损失,参考数量级:10万元级无负面报道或在报纸或网络上对公司进行简单的报道监管者认为合规或未发现不合规对公司采取法律行为的可能性很小,或对方胜诉可能性很小员工没有受到影响,或影响很小信息系统运行安全、稳定,或对偶尔出现的不稳定现象能够及时处理中等2无法忽略的损失,参考数量级:100
15、万元级在报纸、电视或网络上发表批评意见,引起部分负面公众影响,潜在的导致单一客户群体的丧失个别方面不合规或偶尔不合规,监管者对公司进行口头警告对公司违约事件采取单个诉讼,可能庭外和解员工可能受到轻微伤害或者占用正常非工作时间无法登陆信息系统;部分信息被泄漏较大3超乎寻常的损失,参 考 数 量 级:1000万元级多家媒体和/或国家电视台进行负面报道,引起较广范围的负面公众影响,潜在的导致一些客户或业务的丧失部分方面不合规或时常不合规,监管者对公司进行监管调查并发出书面整改函对公司违约情况采取单个或数个诉讼,但快速解决的可能性较小不止一个员工受伤,并需要治疗;本地裁员信息系统遭到入侵,对业务产生较
16、大影响严重4非常严重的损失,参考数量级:1亿元级多家媒体和/或者国家电视台的主要新闻节目连续几天负面报道,引起非常大范围的负面公众影响,潜在的导致一些关键客户或业务的丧失在重要方面不合规,或大范围、持续不合规,导致监管者对公司进行处罚对公司重大违约事件采取集体诉讼,公司败诉可能性很大,且会遭受重大声誉损失或经济损失重伤,可能有死亡;大量裁员系统或其中的数据遭到破坏,对业务产生严重影响灾难性的5很可能导致破产的损失,参考数量级:10亿元级对政府或政治产生影响;公众对其失去信心严重不合规,监管者对公司勒令停业或限制业务、吊销经营业务牌照(资格)或高额罚款,若构成刑事责任则移交司法机构对公司重大违约
17、事件采取集体诉讼,公司胜诉可能性很小,会遭受严重声誉损失或经济损失,很可能导致公司破产出现死亡或者对员工生命产生重大影响;大规模裁员系统瘫痪,导致业务中断后果:以定量或定性的方式表示的一个事件的影响程度。【注】一个事件可能有多个与其相关的后果。固有风险评估风险等级风险等级含义极高风险EExtreme不可接受风险,控制无效。此类风险要求立即引起董事会、公司高层的注意和重视,应立即采取控制措施,这样的风险极有可能发生并有不可挽回的负面影响;超出公司可承受的能力,形成巨大的财务损失。高风险HHigh不可接受风险,控制基本无效。此类风险要求立即引起公司高层的注意和重视,应及时决定适当的控制措施,这样的
18、风险发生频率高影响等级较小或不大可能发生但影响等级严重;形成较大的财务损失。中等风险MModerate不可接受风险,控制不足。此类风险需要进行监控和处理,应采取控制措施,这样的风险极有可能发生但影响很小或影响严重但几乎不可能发生;有一定的财务损失。低风险LLow基本可接受风险,控制基本有效。此类风险被视为非常轻微,在现有的控制下可选择补救方案,发生的频率较低或影响性较小;形成较小的财务损失。极低风险Nnegligible可接受风险,控制有效。此类风险可以视为极小,现有控制措施即可,这类风险不大可能发生并且影响性很小或较小;极小的财务损失,几乎没什么影响。风险地图:固有风险评估风险水平确定将风险
19、事件的可能性和影响性评估后的两个评分等级相乘得出的风险等级 后果等级 可能性等级1-很小2-较小3-中等4-较大5-严重5-极有可能中等风险(51=5)高风险(52=10)极高风险(53=15)极高风险(54=20)极高风险(55=25)4-很可能低风险(41=4)中等风险(42=8)高风险(43=12)极高风险(44=16)极高风险(45=20)3-比较可能低风险(31=3)中等风险(32=6)高风险(33=9)高风险(34=12)极高风险(35=15)2-不大可能极小风险(21=2)低风险(22=4)中等风险(23=6)中等风险(24=8)高风险(25=10)1-几乎不可能极小风险(11=
20、1)极小风险(12=2)低风险(13=3)低风险(14=4)中等风险(15=5)在多人参与操作风险评估时,一般采取折衷原则(取平均值),但对于风险较大的领域,可以采取悲观原则(取最大值),一般不采取乐观原则(取最小值)。固有风险总体分布平均分布固有风险评估控制2控制1控制31432控制45非流程控制5流程内控制n控制与风险重合n控制环节前置n控制环节后置流程外控制n其他流程控制(如监控流程控制)n非流程控制(如政策控制、责任控制)政策与流程职责分离双重控制授权委托确认财务核对合规性检查合同与交易的限额控制账实核对实施独立的内部审计招募可靠人员信息系统控制现有控制分析正式控制与非正式控制现有控制
21、分析控制类型(仅供确定控制措施时参考)控制类型控制措施描述管理层审查管理层对相关业务或经营情况进行审查和检查,如本年度上年度对比,本行与同业的对比分析结果,掌握公司经营及内部控制整体状况。不相容职务分离全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。授权审批根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。权限控制根据风险偏好和风险容忍度,对不同级别员工分配不同的权限,如不同信贷审批人员的授信审批权限、资金交易员的交易权限等会计系统控制严格执行国家统一的会计准则制度,加强会计基础工作,明确会计
22、凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。财产保护控制建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。运营分析建立运营情况分析制度,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。预算控制实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。绩效考评控制建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗
23、、辞退等的依据。固有风险剩余风险剩余风险总体分布风险的变迁剩余风险评估现有控制评估(设计层面)控制有效当采取控制措施后,风险从不可接受(E、H、M)达到I(极小风险)时,可以认为控制有效。控制基本有效当采取控制措施后,风险从不可接受(E、H、M)达到L(低风险)时,可以认为控制基本有效。控制不足当采取控制措施后,风险水平虽有所降低,等级仍处于不可接受(E、H、M)时,可以认为控制不足,需要进一步采取控制措施。控制过度当采取控制措施后,风险水平能够从不可接受(E、H、M)达到基本可接受或可接受(L或I),但为此付出的控制的成本过高,适当减少控制时仍能使风险处于可接受状态,此时可以认为控制过度。操
24、作风险管理工具的定义操作风险管理工具的目的与各部门的责任操作风险操作风险管理工具管理工具工具目的工具目的风险管理风险管理部的责任部的责任业务单位业务单位的责任的责任工具所提工具所提供的结果供的结果风险自我风险自我评估评估(RSA)确认现有业务中合适的风险改善计划提供识别方法、架构、原则识别风险及拟定改善计划现有业务经营风险及其改善方案风险地图风险地图 (Risk Map)有效识别汇总各类风险点确认各类风险点识别风险点并提交操作风险整体分布二维图表损失数据损失数据库库(LED)籍由历史损失识别操作风险损失资料分析、维护、呈报记录及通报损失事件操作损失季报(业务单位)操作损失季报(管理单位)关键操
25、作风关键操作风险控制险控制(KORC)检查重要流程的控制点保存最近的控制点资料识别流程主要控制点重要业务流程的主要控制点清单关键风险关键风险指标指标(KRI)监控操作风险风险敞口情况提供风险评估架构及规范监督风险变化情况控制点评估报表操作风险评操作风险评估程序估程序(ORAP)识别适合新业务的风险改善计划提供风险评估架构及规范取得相关部门的意见新业务经营风险及其改善方案重点重点:控制控制重点重点:风险风险重点重点:损失损失关键操作风险关键操作风险控制控制(KORC)关键风关键风险指标险指标(KRI)风险自我评估风险自我评估(RSA)风险地图风险地图(Risk Map)损失数据库损失数据库(LED)操作风险评估程操作风险评估程序序(ORAP)每一种工具每一种工具的的其重点与优势其重点与优势操作风险管理工具的重点与使用操作风险管理工具的重点与使用38演讲完毕,谢谢观看!