RCSA(風險控制自我評估)主要產物是高剩餘風險領域,該如何應用?
在銀行操作風險三大工具實施的過程中,會有一個很大的困惑。那就是LDC(損失數據收集)、KRI(關鍵風險指標)都會有一個比較明確的產出。
但是RCSA是業務部門的自我評估,主觀性會比較強,業務部門傾向於將控制活動評分打高,因而銀行會通過LDC數據等內容來校驗RCSA的評分。校驗規則:簡單說,比如發生過LDC事件,那麼對應的控制活動有效性不能超高某個分數,但這樣又造成另外一個問題:RCSA的高剩餘風險基本上和LDC事件一致,但是LDC事件一旦發生,業務部門基本上都會採取行動,那麼RCSA的結果就變成了跟LDC一樣了,無法起到給管理層建議的效果。隨著而來的有另外一個疑問:RCSA的高剩餘風險領域是否必然要有LDC等內容支持?比如說:某控制點從設計、控制執行來講的確不大好,只不過去年沒有發生,但業務部門評出來的高剩餘風險,彙報給管理層的時候又很難解釋原因;但如果都有LDC支持的話,那相當於只是LDC的另外一種表現形式了。
所以想請教各位大神:RCSA在實施的過程當中,怎麼才能更有效?即能讓業務部門主動、真實地反應真實的控制情況,同時也不會成為LDC的另外一種體現形式呢?謝謝!
RCSA是從未來的視角,是在風險發生之前做的,類似對身體的全面檢查一樣的工作;但LDC則是從歷史的視角,是在風險發生之後做的,以史為鑒的工作。
怎麼樣能讓業務部門在RCSA中主動、真實地反應真實的控制情況?
一般來講,操作風險管理的牽頭部門首先會在考核機制上進行設計,正如樓上說的,如果是在RCSA中識別出的高剩餘風險,那是主動坦白的問題或者是有價值的風險提示,可以乘以一個折扣係數(如0.5),但如果這個風險RCSA結果為低剩餘風險,但近期或後來通過LDC、內控抽查甚至外部監管檢查發現了問題,那就要有一個幾倍的懲罰係數(如2或3);然後就是在宣傳上拚命的強調這點,各種培訓啊,知識園地啊,小冊子啊之類的,都著重宣傳這個。
如何讓RCSA不會成為LDC的另外一種體現形式?
LDC和RCSA的關係確實比較緊密,RCSA識別的高剩餘風險,可以指導重點去哪些區域收集損失事件,一定程度上可以防止部門瞞報、漏報損害事件;LDC反過來也可以驗證RCSA的結果,防止部門亂評風險和控制,但是RCSA的高剩餘風險領域並不是必然要有LDC等內容支持,如開頭所說,RCSA是一個防範於未然的事,評出高的剩餘風險,只是說這個地方可能會攤上大事,比如最近某個信息系統老是不穩定,但還沒出大簍子,但是看這個趨勢,說不定就得出鬧出大問題來,所以RCSA的結果是高(這也可以看出RCSA其實不是要兩三年才發生作用的,RCSA做得好的話,風險提示的作用很明顯的),然後提改進建議,及時改進的話就把這個可能性提前扼殺掉了。那LDC的話就是之前發現有這樣的事件,說明我們哪裡是薄弱的,那做出一些改進,防止同類事件再次發生。形象點說,RCSA就是在生病之前,梳理一下這個人生活上哪些做得不好,比如睡得晚,不運動等等,這以後八成是會得病的,早點提出早點改;KRI則類似血壓計、體重秤,某些關鍵指標超出正常範圍了說明你不妙了,得趕緊採取措施;LDC則是你之前得過高血壓高血脂,那麼你以後可不許胡吃海喝了,就是這樣。諮詢公司進場前能做點兒啥工作好?作為諮詢公司的底層小兵,對這麼高深的問題還真不知道咋回答……不過現在諮詢公司應該已經進場了吧,那就祝樓上項目進展順利,反正操風項目挺繁瑣的,各種培訓,各種溝通啊……據說某行鼓勵分支行自評多發現問題,自評發現問題不扣分,但總行一旦發現分行沒發現的問題,就要扣分了……
老實說,這個工具好像確實閑置期比較長,也聽諮詢公司說這個工具要發揮作用,兩三年之後才看得到效果…而且日常工作又不能拍腦袋,負責這塊兒的人到底日常到底干點兒什麼好呢……
唉,求教題主,諮詢公司進場前能做點兒啥工作好?快被領導逼瘋了……推薦閱讀:
※金融業的結局會是怎樣的?還是會永遠存在下去?
※從事互聯網金融的產品經理與傳統互聯網產品經理有什麼不同?
※商業銀行網點轉型的方向是什麼?
※互聯網金融衝擊下,銀行從業人員何去何從?
※銀行與信託公司如何合作?