2
风险影响程度——四个等级 四个等级 风险影响程度
从三个方面来评估
财务方面 由风险引起的实际或潜在影响导致的可量化的利润损失，这里的利润 损失是指通过以下事项反映的净利润损失，包括：经营损失，或由于 没有抓住时机实现利益最大化而产生的损失，或资产损失。 运营方面 由于经营失误造成的实际或潜在的影响。包括由于管理失误引起的下 列情况：无法向客户提供有品质的服务；或不能正常经营业务；或无 力维持适当的经营纪录；或违背有关法律法规、政策或流程。 声誉方面 对公司的外部名誉造成的实际或潜在的影响。
12
分公司半年度风险报告 相关要求
13
分公司半年度风险管理报告要求
风险管理报告是反映分公司面临的总体风险状况和各职能 部门单个风险水平及控制措施的主要工具。 各部门应对其面临的风险按要求进行评估，并监控风险控 制措施的实施情况，向风险管理部报告。 风险管理部根据各部门的报告完成分公司整体风险管理报 告。 最终的风险管理报告在经分公司总经理审批后，上报到总 公司风险管理部，作为了解公司整体风险状况的重要依据。
5
Significant
财务方面： 财务方面： 对公司产生重大不良影响，但是这种影响本身不会对公司财务状况或实现公司 经营目标产生威胁。 运营方面： 对个别客户造成损失。 运营方面： • 对5%到25%的客户产生影响的运营失误。 • 某一个重要处理系统出现问题。 • 第三方（如再保险公司或采购供应商）出现局部经营问题。 • 某个合作方发生全局性的问题。 • 达成某一个或某几个经营目标受阻。 • 出现超额赔偿。 • 定价过程出现严重失误，而又没有在信息管理中被发现。 声誉方面： 声誉方面： 对声誉产生的不良影响给个别客户或股东造成损失。 • 在高级管理层中出现管理失误。 • 在全国性或同等范围内的新闻中出现重大不利于公司的评论。 • 任何严重违背主要监管机构（如中国保监会）监管法规的行为，并留下了受到处罚的 记录。
要改进，因此在降低风险水平上能起到的作用有限。不过已经制定并开始实 施解决控制措施缺陷的行动计划。 effectiveness（效果不明显） Developing effectiveness（效果不明显）: 控制措施存在明显的缺陷亟待 改进，虽然制定了解决这些缺陷的行动计划，但还没有开始实施或处于实施 的早期阶段。因此对于风险控制的效果不明显。 Ineffective（无效） Ineffective（无效）：控制措施存在重大的缺陷以至于对风险控制完全无效， 而且目前还没有相应的解决方案和行动计划。
14
Thank you!
15
9
风险可接受度 Risk Acceptability
红色：不可接受风险 红色 • 这些风险由于以下的原因而不能被接受： • 没有充分的缓解措施计划；或者 • 缓解措施计划不能及时降低风险。 黄红色/绿红色 黄红色 绿红色：易变化的风险 绿红色 • 这些风险可能是黄色或绿色的风险，同时， • 这种风险会由于外部因素而发生变化，并导致其产生的影响迅速扩大； • 现行的控制措施或将要采取的措施都是适当的，但是需要经常检查、 评估。
7
风险发生概率 4 Probability Categories
公司对风险发生概率的衡量标准如下：
Probability of occurrence in next year Event likelihood Extremely Remote Remote Possible Likely
1% 4% 10% 50% + 1 in 100 year event 1 in 25 years 1 in 10 years will probably happen in next year
风险评估方法
1
风险影响程度 4 Impact Categories
灾难性影响 Catastrophic 危险性影响 Critical 重大性影响 Significant 重要性影响 Important 为了评估风险产生的影响，应该按照财务 运营 声誉 财务、运营 声誉三 财务 运营和声誉 方面的标准对风险可能产生的结果进行评估。
且能持续发挥作用的, 不存在明显的缺陷，也没有改进的必要。
• Largely effective（基本有效）： 控制措施对于降低风险水平能起到重要 effective（基本有效）
的作用，也能持续发挥作用，但存在少量明显的不足，需要改进。
• Limited effectiveness（效果有限）： 控制措施存在一些明显的缺陷且需 effectiveness（效果有限）
3
Catastrophic
财务方面: 财务方面 严重威胁到公司的生存能力 • 证券市场崩溃导致偿付能力受到影响。 • 准备金状况恶化导致偿付能力出现问题。 • 在预计的范围和规模之外的、且没有进行再保险保障的灾难或恐怖事件。 运营方面： 运营方面：对公司经营业绩造成灾难性的影响。 • 对50%及以上的客户产生不良影响的经营失误。 • 重要信息技术处理中心遭遇重要灾难（如，爆炸、洪水、飞机坠毁，人为毁 坏等），此灾难使公司产生单点故障且没有针对此灾难的恢复计划。 • 没有实现若干重要经营目标。 声誉方面： 声誉方面：对公司的声誉和品牌产生灾难性影响。 • 类似巴林银行、安然、世界电信等公司曾经发生的财务或管理方面的失误 （即诸如此类程度的事件以至使公司面临破产风险）。 • 在最高管理层中发生的管理失误。 • 被撤销重要法定营业许可证。
6
Important
财务方面： 财务方面： 对公司的财务状况有轻微影响，但是不会对其经营结果产生 重要不良影响。一般通过控制措施使突发事件或高风险事件得到缓 解。 运营方面： 运营方面： 存在影响公司运营的问题，但是容易控制和管理。 • 影响到5%的客户的经营失误。 • 与公司有关的第三方的不良经营行为。 • 某个重要系统出现的问题在5天内无法解决。 声誉方面： 声誉方面： 存在影响公司声誉的问题，但是容易控制和管理。 • 公司受到来自本地新闻的负面评论。 • 轻度违反监管机构执行的法规，且没有留下处罚记录（罚款、公众 责难或补救方案）。
8
风险可接受度 Risk Acceptability
Risk Appetite 是指分公司对风险的接受程度。 在我们的风险地图上，风险接受度分为四个等级: 绿色：可接受风险 绿色 • “可接受风险”是指有足够的控制措施；并且 • 风险处于可接受的水平之内的风险。 黄色：正在采取措施使其缓解的风险 黄色 • 这些风险目前处于风险偏好之外，但是将会通过既定的缓解措施计 划使该类风险水平得到充分且迅速的降低
4
Critical
财务方面： 财务方面： 对公司的财务状况产生严重威胁，或严重影响到公司实现重要的经营目标。例 如：预计利润的5%或更多无法实现。 运营方面： 运营方面： 对公司经营业绩产生重要不良影响。 • 影响到25%至50%的客户的经营失误。 • 关键处理系统出现故障，并且在36小时以上无法恢复。 • 网络故障时间延长（延长了一周或更长）。 • 主要的第三方（如再保险公司，采购供应商）破产或出现重大亏损。 • 未能实现某一公司重要经营目标。 • 多个“不明”的重大审计或风险问题的累积。 声誉方面： 对公司的声誉和品牌产生长期的或难以克服的不良影响。 声誉方面： • 类似联合爱尔兰银行出现的财务和管理失误（即此类事项会导致重大的损失，但是 在总体上仍可以继续经营）。 • 违反监管规定导致对公司的监管限制。 • 严重违反监管法规导致大量的公众责难或在公司性的大规模补救措施（例如对销售 误导的复查）。
10
风险地图 Risk Map
Catastrophic
mportant
Extremely Remote
Remote
Possible
Likely to happen
11
控制措施有效性评估
• Fully effective（完全有效）：控制措施对于降低风险水平是充分、有效 effective（ 完全有效）