RCSA（風險控制自我評估）主要產物是高剩餘風險領域，該如何應用？

01-02

在銀行操作風險三大工具實施的過程中，會有一個很大的困惑。那就是LDC（損失數據收集）、KRI（關鍵風險指標）都會有一個比較明確的產出。
但是RCSA是業務部門的自我評估，主觀性會比較強，業務部門傾向於將控制活動評分打高，因而銀行會通過LDC數據等內容來校驗RCSA的評分。
校驗規則：簡單說，比如發生過LDC事件，那麼對應的控制活動有效性不能超高某個分數，但這樣又造成另外一個問題：RCSA的高剩餘風險基本上和LDC事件一致，但是LDC事件一旦發生，業務部門基本上都會採取行動，那麼RCSA的結果就變成了跟LDC一樣了，無法起到給管理層建議的效果。

隨著而來的有另外一個疑問：RCSA的高剩餘風險領域是否必然要有LDC等內容支持？比如說：某控制點從設計、控制執行來講的確不大好，只不過去年沒有發生，但業務部門評出來的高剩餘風險，彙報給管理層的時候又很難解釋原因；但如果都有LDC支持的話，那相當於只是LDC的另外一種表現形式了。
所以想請教各位大神：RCSA在實施的過程當中，怎麼才能更有效？即能讓業務部門主動、真實地反應真實的控制情況，同時也不會成為LDC的另外一種體現形式呢？謝謝！

RCSA是從未來的視角，是在風險發生之前做的，類似對身體的全面檢查一樣的工作；但LDC則是從歷史的視角，是在風險發生之後做的，以史為鑒的工作。

怎麼樣能讓業務部門在RCSA中主動、真實地反應真實的控制情況？

一般來講，操作風險管理的牽頭部門首先會在考核機制上進行設計，正如樓上說的，如果是在RCSA中識別出的高剩餘風險，那是主動坦白的問題或者是有價值的風險提示，可以乘以一個折扣係數（如0.5），但如果這個風險RCSA結果為低剩餘風險，但近期或後來通過LDC、內控抽查甚至外部監管檢查發現了問題，那就要有一個幾倍的懲罰係數（如2或3）；然後就是在宣傳上拚命的強調這點，各種培訓啊，知識園地啊，小冊子啊之類的，都著重宣傳這個。

如何讓RCSA不會成為LDC的另外一種體現形式？

LDC和RCSA的關係確實比較緊密，RCSA識別的高剩餘風險，可以指導重點去哪些區域收集損失事件，一定程度上可以防止部門瞞報、漏報損害事件；LDC反過來也可以驗證RCSA的結果，防止部門亂評風險和控制，但是RCSA的高剩餘風險領域並不是必然要有LDC等內容支持，如開頭所說，RCSA是一個防範於未然的事，評出高的剩餘風險，只是說這個地方可能會攤上大事，比如最近某個信息系統老是不穩定，但還沒出大簍子，但是看這個趨勢，說不定就得出鬧出大問題來，所以RCSA的結果是高（這也可以看出RCSA其實不是要兩三年才發生作用的，RCSA做得好的話，風險提示的作用很明顯的），然後提改進建議，及時改進的話就把這個可能性提前扼殺掉了。那LDC的話就是之前發現有這樣的事件，說明我們哪裡是薄弱的，那做出一些改進，防止同類事件再次發生。形象點說，RCSA就是在生病之前，梳理一下這個人生活上哪些做得不好，比如睡得晚，不運動等等，這以後八成是會得病的，早點提出早點改；KRI則類似血壓計、體重秤，某些關鍵指標超出正常範圍了說明你不妙了，得趕緊採取措施；LDC則是你之前得過高血壓高血脂，那麼你以後可不許胡吃海喝了，就是這樣。

諮詢公司進場前能做點兒啥工作好？

作為諮詢公司的底層小兵，對這麼高深的問題還真不知道咋回答……不過現在諮詢公司應該已經進場了吧，那就祝樓上項目進展順利，反正操風項目挺繁瑣的，各種培訓，各種溝通啊……

據說某行鼓勵分支行自評多發現問題，自評發現問題不扣分，但總行一旦發現分行沒發現的問題，就要扣分了……

老實說，這個工具好像確實閑置期比較長，也聽諮詢公司說這個工具要發揮作用，兩三年之後才看得到效果…而且日常工作又不能拍腦袋，負責這塊兒的人到底日常到底干點兒什麼好呢……

唉，求教題主，諮詢公司進場前能做點兒啥工作好？快被領導逼瘋了……