1、-0-中央企业全面风险管理指引中央企业全面风险管理指引解读解读-1-中央企业全面风险管理指引中央企业全面风险管理指引核心内容核心内容 第一章总则 第二章风险管理初始信息 第三章风险评估 第四章风险管理策略 第五章风险管理解决方案 第六章风险管理的监督与改进 第七章风险管理组织体系 第八章风险管理信息系统 第九章风险管理文化 第十章附则 指引架构指引架构核心内容核心内容三个概念一个目标五种风险三道防线一个流程两个体系一种文化四种方法 原则、要求、定义 流程 流程 流程 流程、体系 流程 体系 体系 文化 其它要求 -2-目录目录基本概念基本概念风险管理流程风险管理流程风险管理组织体系风险管理组织
2、体系风险管理信息系统风险管理信息系统指引指引解读解读风险管理文化风险管理文化风险管理常用技术方法风险管理常用技术方法-3-全面风险管理架构全面风险管理架构-4-三个概念三个概念企业企业风险风险 指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险纯粹风险(只有带来损失一种可能性)和机会风险机会风险(带来损失和盈利的可能性并存)全面风全面风险管理险管理 指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流
3、程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 内部控内部控制系统制系统 指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。 -5-风险管理总体目标风险管理总体目标 财务报告真实可靠财务报告真实可靠 确保内外部,尤其是企业与股东之间实现真实、可靠的
4、信息沟通,包括编制和提供真实、可靠的财务报告;合规合法合规合法 确保遵守有关法律法规;高效运营高效运营 确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;与战略目标一致战略目标一致 确保将风险控制在与总体目标相适应并可承受的范围内;应对突发事件应对突发事件防止重大损失防止重大损失 确保企业建立针对各项重大风险发生后的违纪处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。风风险险管管理理总总体体目目标标-6-五大风险五大风险法律风险运营风险战略风险财务风险市场风险企业风险企业风险-7-战略风险战略风险
5、战略风险是指企业在发展方向和速度等战略方面的制订和实施上出现错误,或因未能随环境的改变而作出适当的调整,而导致经济上的损失。常见的战略风险包括: - 宏观政策及形势把握风险 - 发展方向失误风险 - 发展速度过快风险 - 新产品推广策略风险 - 对新市场开发投入风险 - 并购风险 战略风险定义战略风险定义三九集团 “航空母舰”战略,承债式兼并大批地方国企 经过10年的快速扩张,由成立时的500多万元资产扩张到超过200亿元资产、400多家子企业的“航空母舰” 但银行负债达107亿元,子公司和关联公司的贷款和贷款担保余额约在60亿至70亿之间 ,合计约180亿元 母公司难以偿还到期债务,引发危机
6、的是法律风险、财务风险,根源在于战略风险战略风险案例战略风险案例-8-财务风险财务风险财务风险是指融资安排、会计核算与管理、会计及财务报告失误而对企业造成的损失。常见的财务风险包括: 资金结构与现金流风险 会计核算与流程的风险 会计及财务报告虚假、不准确风险等财务风险定义财务风险定义长虹集团 2002年前后,在无法收回海外代理商货款的情况下,仍然向海外发货,忽视应收账款的坏账风险; 在1998年至2003年间实现利润人民币33亿元,却遭受39亿元的海外欠款,最终不得不于2004年在美国向海外代理商提起诉讼,开始了长达一年半的跨国诉讼; 为尽早结束无休止的跨国诉讼,2006年4月该企业与代理商签
7、订和解协议,收回应收账款金额仅为人民币13.6亿元,损失25.4亿元,占同期利润的77%。财务风险案例财务风险案例-9-市场风险市场风险市场风险是指因市场等外界条件变化而使企业产生经济损失的风险。 常见的市场风险包括: 商品价格与物资供应风险 客户、供应商信用风险 影响市场需求的因素及变化风险 税收风险 利率、汇率风险 竞争对手给本企业带来的风险市场风险定义市场风险定义百富勤集团 90年代,百富勤原是亚洲(除日本外)的最大投资银行。 90年代末,百富勤没有充分意识到新兴金融市场的风险,并且低估了利率和汇率波动的风险,集中大量投资于印尼和泰国市场。 在亚洲金融风暴的冲击下,百富勤在短短一年内出现
8、入不敷出,至1999年1月宣布破产。市场风险案例市场风险案例-10-运营风险运营风险运营风险是指企业内部流程和系统、人为或外部因素给企业造成的经济损失。人为因素是指企业员工由于缺乏诚信道德而导致的舞弊行为,或缺乏知识、能力而导致的错误和重大损失。流程风险是指交易流程中出现错误而导致损失的风险,例如:在销售流程中(包括定价、记录、确认、出货等环节)出错而导致损失的风险。信息系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险 。外部事件风险是指火灾、自然灾害、市场扭曲等事件。运营风险定义运营风险定义法国兴业银行 法国兴业银行2008年1月24日宣布:
9、因交易员杰洛米 科维尔的“欺诈行为”造成近50亿欧元损失 法国财政部调查报告认为:法兴银行内部监控系统有问题:-对交易员盘面资金的监督;-对资金流动的跟踪;-后台与前台完全隔离规则的遵守;-信息系统的安全及密码保护等。运营风险案例运营风险案例-11-法律风险法律风险法律风险是指企业因违反法律、法规或规定,或侵害其他利益相关者的权益,而导致企业遭受经济或声誉损失的风险。 常见的法律风险包括: 国内外政治法律环境与政策风险 员工道德操守风险 重大协议与合同的遵守与履行风险 法律纠纷 知识产权保护法律风险定义法律风险定义西门子公司 西门子公司由于在电信商业竞标中的贿赂行为遭到意大利、瑞士、美国等国调
10、查。 2007年,西门子公司内部开展调查,公布涉嫌金额达4.2亿欧元;外部调查显示贿赂金额可能超过15亿美元。 尽管西门子公司2007年业绩优异,前三财季净利润同比增长54%,但由于美国政府介入调查,78月公司股价下跌25%; 2007年10月,西门子公司被慕尼黑地方法院处以2亿欧元的罚款和1.79亿欧元的补充税款; 高管们被迫辞职甚至被捕、定罪;法律风险案例法律风险案例-12-风险管理三道防线风险管理三道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会 内部审计部门和董事会下设的审计委员会 定期自查和检验并汇报检查、检验并评价出具评价和建议报告 监督评价第一道防线第二道防
11、线第三道防线核心是把风险管理融入企业管理的各部门、各业务流程中-13-目录目录基本概念基本概念风险管理流程风险管理流程风险管理组织体系风险管理组织体系风险管理信息系统风险管理信息系统指引指引解读解读风险管理文化风险管理文化风险管理风险管理常用技术常用技术方法方法-14-目录目录风险管理流程图风险管理流程图初始信息收集初始信息收集风险评估风险评估风险策略风险策略风险管理流程风险管理流程风险管理解决方案风险管理解决方案内部控制系统内部控制系统风险管理的监督与改进风险管理的监督与改进-15-风险管理流程图风险管理流程图风险管理初始信息风险管理初始信息风险评估风险评估风险管理策略风险管理策略风险管理解
12、决方案风险管理解决方案风险管理的监督改进风险管理的监督改进54321战略风险、财务风险、市场风险、运营风险、法律风险的初始信息收集风险辨识(针对业务、流程)风险分析(发生可能性高低、风险发生条件)风险评价(影响程度、风险价值)风险偏好、承受度、管理有效性标准;选择风险管理工具(风险态度)风险解决具体目标、组织领导、管理、流程、条件、手段;风险事件前、中、后采取的具体应对措施以及风险管理工具对风险管理解决方案的实施情况的有效性进行检验风风险险分分析析风风险险评评估估和和控控制制风风险险管管理理流流程程-16-目录目录初始信息收集初始信息收集风险管理流程风险管理流程初始信息收集初始信息收集风险评估
13、风险评估风险策略风险策略风险管理流程风险管理流程风险管理解决方案风险管理解决方案内部控制系统内部控制系统风险管理的监督与改进风险管理的监督与改进-17-风险管理初始信息收集的目的风险管理初始信息收集的目的整个风险管理的第一步,在企业开展风险评估工作之前,首先需要收整个风险管理的第一步,在企业开展风险评估工作之前,首先需要收集风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预集风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测,作为风险评估的准备。测,作为风险评估的准备。旨在协助企业业务单位及职能部门于旨在协助企业业务单位及职能部门于主要风险领域内主要风险领域内清楚了解企业
14、的清楚了解企业的目标、相关业务流程、各重大业务流程的关键成功因素及绩效指标目标、相关业务流程、各重大业务流程的关键成功因素及绩效指标, , 行行业竞争优势,以及企业及行业竞争对手的重大损失事件案例分析等。业竞争优势,以及企业及行业竞争对手的重大损失事件案例分析等。这些信息与潜在风险驱动因素有着重大关系。这些信息与潜在风险驱动因素有着重大关系。-18-风险管理初始信息收集范围和内容风险管理初始信息收集范围和内容战略风险战略风险 财务风险财务风险 市场风险市场风险 运营风险运营风险 法律风险法律风险 国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;科技进步、技术创新的有关内容;市场对
15、本企业产品或服务的需求;与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;本企业主要客户、供应商及竞争对手的有关情况;与主要竞争对手相比,本企业实力与差距;本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。 负债、或有负债、负债率、偿债能力;现金流、应收账款及其占销售收入的比重、资金周转率;产品存货及其占销售成本的比重、应付账款及其占购货额的比重制造成本和管理费用、财务费用、营业费用盈利能力;成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;与本企业相关的行
16、业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。 产品或服务的价格及供需变化;能源、原材料、配件等物资供应的充足性、稳定性和价格变化;主要客户、主要供应商的信用情况;税收政策和利率、汇率、股票价格指数的变化;潜在竞争者、竞争者及其主要产品、替代品情况。 产品结构、新产品研发;新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;期货等衍生产品业务中曾发生或易发生失误的流程和环节;质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节
17、;)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;企业风险管理的现状和能力。 国内外与本企业相关的政治、法律环境;影响企业的新法律法规和政策;员工道德操守的遵从性;本企业签订的重大协议和有关贸易合同;本企业发生重大法律纠纷案件的情况;企业和竞争对手的知识产权情况。 -19-目录目录风险评估风险评估风险管理流程风险管理流程初始信息收集初始信息收集风险评估风险评估风险策略风险策略风险管理流程风险管理流程风险管理解决方案风险管理解决方案内部控制系统内部控
18、制系统风险管理的监督与改进风险管理的监督与改进-20-风险评估作用风险评估作用进行风险评估的工作可以提高管理层和员工的风险意识,并明确风险管理的职责引入共同的风险语言评估风险应涵盖企业的战略、财务、市场、运营及法律风险层面,并确定这些风险会给企业带来的影响评估能影响企业实现其战略目标的最重大的风险评估任何能损害企业名声的 “突发事件”决定企业 “下一步” 该如何管理及监督重大的风险-21-风险评估方法风险评估方法l评估风险对企业实现目标的影响程度、风险的价值等风险辨识风险评价l研究企业各业务单元、各项重要经营活动及其重要业务流程中有无风险、有哪些风险工作内容工作内容具体工作具体工作方法方法备注
19、备注备注备注l对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生的可能性高低、风险发生的条件风险分析l定性分析问卷调查集体讨论专家咨询情景分析政策分析行业标杆比较管理层访谈工作访谈和调查研究l定量分析统计讨论(集中趋势法)计算机模拟(蒙特卡罗模拟)失效模式与影响分析事件树分析l定量分析进行风险定量分析时,应统一制定各风险的度量风险的度量单位和风险度量单位和风险度量模型模型并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性根据环境的变化定期对假设前提和参数进行复合和修改,并将定量评估系统的估算结果和实际效果对比l风险分析风险分析应包括风险的量化分析,
20、风险之间的关系分析,一边发现各风险之间的自然对冲、风险实践发生的正负相关性等组合效应,从风险策略上对风险进行统一集中管理l风险评估企业在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,确定优先确定优先管理次序管理次序-22-风险评估步骤风险评估步骤。Risk2risk1综合信息框架综合信息框架风险图谱风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表风险列表分析结果分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价评估报告重大风险模型。风险评估报告风险评估报告-23-目录目录风
21、险策略风险策略风险管理流程风险管理流程初始信息收集初始信息收集风险评估风险评估风险策略风险策略风险管理流程风险管理流程风险管理解决方案风险管理解决方案内部控制系统内部控制系统风险管理的监督与改进风险管理的监督与改进-24-风险策略的定位风险策略的定位风险管理策略在整个风险管理体系中起着统领全局的作用风险管理策略在企业风险管理的过程中起着承上启下的作用风险管理策略是根据企业经营战略制定的全面风险管理的整体策略整体战略统领全局承上启下-25-风险策略的概念风险策略的概念 即企业愿意承担风险的限度,也是风险偏好的边界。 例如,某企业为实现快速发展愿意承担企业负债率在50-70%之间、投资损失占净资产
22、比例为5-10%之间的风险。 在70%、10%下一定幅度确定两个风险的各自预警线。 风险管理有效性标准的作用是帮助企业了解: 企业现在的风险是否在风险承受度范围之内,即风险是否优化; 企业风险状况的变化是否是企业所要求的,即风险的变化是否优化。 因此,量化的企业风险管理有效性标准可以基于企业风险承受度的度量。 即企业在愿意承担风险的种类、大小等方面的基本态度。例如,某企业愿意承担快速发展带来的较大风险。风险偏好风险承受度风险管理有效性标准 风险管理策略是指企业根据自身条件和外部境,围绕企业发展战风险管理策略是指企业根据自身条件和外部境,围绕企业发展战略,确定略,确定风险偏好风险偏好、风险承受度
23、风险承受度、风险管理有效性标准风险管理有效性标准,选择风险,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。力和财力资源的配置原则。-26-风险策略的关键风险策略的关键l风险承受度的表述需要对所针对的风险进行量化描述风险承受度的表述需要对所针对的风险进行量化描述l风险偏好可以定性,但风险承受度一定要定量风险偏好可以定性,但风险承受度一定要定量l如果不能量化,仅靠直觉的观察或感觉很可
24、能出错,不如果不能量化,仅靠直觉的观察或感觉很可能出错,不容易在整个企业统一思想,容易在整个企业统一思想,不能够准确计算成本与收益不能够准确计算成本与收益的关系的关系,也不容易同绩效考核联系起来也不容易同绩效考核联系起来l很多风险管理手段如风险理财必需风险的量化描述很多风险管理手段如风险理财必需风险的量化描述-27-风险策略流程风险策略流程企企 业业 使使 命命风险管理策略风险管理策略风险应对策略风险应对策略风险偏好风险偏好风险承受度风险承受度战战 略略 重大风险管理的目标重大风险管理的目标有效性标准有效性标准风 险 承 担风 险 规 避风 险 转 移风 险 转 换风 险 对 冲风 险 补 偿
25、风 险 控 制选择风险管理工具选择风险管理工具配置资源配置资源人力资源物力资源-28-风险管理工具风险管理工具风险承担风险承担 企业面临的风险有许多。通常企业能够明确辨识的风险只占全企业面临的风险有许多。通常企业能够明确辨识的风险只占全部风险的少数。风险评估的工作结果对于企业是否采用风险承部风险的少数。风险评估的工作结果对于企业是否采用风险承担影响很大担影响很大 对未能辨识出的风险,企业只能采用风险承担对未能辨识出的风险,企业只能采用风险承担 对辨识出的风险企业也可能缺乏能力进行主动管理,对这部分对辨识出的风险企业也可能缺乏能力进行主动管理,对这部分风险只能采用风险承担风险只能采用风险承担 对
26、企业的重大风险,即影响到企业目标实现的风险,企业一般对企业的重大风险,即影响到企业目标实现的风险,企业一般不应采用风险承担不应采用风险承担 风险承担是指企业对所面临的风险采取被动接受的态度,从而承风险承担是指企业对所面临的风险采取被动接受的态度,从而承担风险带来的后果担风险带来的后果-29-风险管理工具风险管理工具风险规避风险规避风险规避举例:风险规避举例: 退出某一市场以避免激烈的竞争退出某一市场以避免激烈的竞争 拒绝与信用不好的交易对手进行交易拒绝与信用不好的交易对手进行交易 外包某项对工人健康安全风险较高的工作外包某项对工人健康安全风险较高的工作 停止生产可能有潜在客户安全隐患的产品停止
27、生产可能有潜在客户安全隐患的产品 回避政治动荡的地区回避政治动荡的地区 禁止各业务单位在金融市场进行投机,只准套期保值禁止各业务单位在金融市场进行投机,只准套期保值 不准员工访问某些网站或下载某些内容不准员工访问某些网站或下载某些内容 风险规避是指企业回避、停止或退出蕴含某风险的商业活动或商风险规避是指企业回避、停止或退出蕴含某风险的商业活动或商业环境,避免成为风险的所有人业环境,避免成为风险的所有人-30-风险管理工具风险管理工具风险转移风险转移 保险:保险合同规定保险公司为预定的损失支付补偿,作为交保险:保险合同规定保险公司为预定的损失支付补偿,作为交换,在合同开始时,投保人要向保险公司支
28、付保险费换,在合同开始时,投保人要向保险公司支付保险费 非保险型的风险转移:将风险可能导致的财务损失负担转移给非保险型的风险转移:将风险可能导致的财务损失负担转移给非保险机构。例如服务保证书等非保险机构。例如服务保证书等 风险证券化:通过证券化保险风险构造的保险连接型证券风险证券化:通过证券化保险风险构造的保险连接型证券(ILS)。这种债券的利息支付和本金偿还取决于某个风险事件)。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度的发生或严重程度 风险转移是指企业通过合同将风险转移到第三方,企业对转移后风险转移是指企业通过合同将风险转移到第三方,企业对转移后的风险不再拥有所有权的风
29、险不再拥有所有权-31-风险管理工具风险管理工具风险转换风险转换 风险转换的手段包括战略调整和衍生产品等风险转换的手段包括战略调整和衍生产品等 风险转换一般不会直接降低企业总的风险,其最简单形式就是风险转换一般不会直接降低企业总的风险,其最简单形式就是在减少某一风险的同时,增加另一风险。例如,通过放松交易在减少某一风险的同时,增加另一风险。例如,通过放松交易客户信用标准,增加了应收账款风险,但扩大了销售额客户信用标准,增加了应收账款风险,但扩大了销售额 企业可以通过风险转换在两个或多个风险之间进行调整,达到企业可以通过风险转换在两个或多个风险之间进行调整,达到最佳效果最佳效果 风险转换可以在低
30、成本或者无成本情况下达到目的风险转换可以在低成本或者无成本情况下达到目的 风险转换是指企业通过战略调整等手段将企业面临的风险转换成风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险另一个风险-32-风险管理工具风险管理工具风险对冲风险对冲 常见的例子有资产组合的使用,多种外币结算的使用和战略上常见的例子有资产组合的使用,多种外币结算的使用和战略上的分散经营等的分散经营等 在金融资产管理中,对冲也包括使用衍生产品,如利用期货进在金融资产管理中,对冲也包括使用衍生产品,如利用期货进行套期保值行套期保值 在企业的风险中,有些风险具有自然对冲的性质,应当加以利在企业的风险中,有些风险具
31、有自然对冲的性质,应当加以利用。例如,不同行业的经济周期风险对冲用。例如,不同行业的经济周期风险对冲 风险对冲必须涉及风险组合,而不是对单一风险进行风险规避、风险对冲必须涉及风险组合,而不是对单一风险进行风险规避、控制控制 风险对冲是指采取各种手段,引入多个风险因素或承担多个风险,风险对冲是指采取各种手段,引入多个风险因素或承担多个风险,使得这些风险能够互相对冲,也就是,使这些风险的影响互相抵消使得这些风险能够互相对冲,也就是,使这些风险的影响互相抵消-33-风险管理工具风险管理工具风险补偿风险补偿 对于那些无法通过风险分散、风险对冲或风险转移进行管理,对于那些无法通过风险分散、风险对冲或风险
32、转移进行管理,而且又无法规避、不得不承担的风险,投资者可以采取在交易而且又无法规避、不得不承担的风险,投资者可以采取在交易价格上附加风险溢价,即通过提高风险回报的方式,获得承担价格上附加风险溢价,即通过提高风险回报的方式,获得承担风险的价格补偿。风险的价格补偿。 风险补偿主要是指事前(损失发生以前)对风险承担的价格补偿。风险补偿主要是指事前(损失发生以前)对风险承担的价格补偿。这是风险管理主要目标之一。这是风险管理主要目标之一。-34-风险管理工具风险管理工具风险控制风险控制 通常影响某一风险的因素有很多。风险控制可以通过控制这些通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一
33、个或多个来达到目的,但主要的是风险事件发生的因素中的一个或多个来达到目的,但主要的是风险事件发生的概率和发生后的损失。前者的例子如室内使用不易燃地毯,山概率和发生后的损失。前者的例子如室内使用不易燃地毯,山上禁止吸烟等;后者的例子如修建水坝防洪,设立质量检查防上禁止吸烟等;后者的例子如修建水坝防洪,设立质量检查防止次品出厂等止次品出厂等 风险控制的对象一般是可控风险,包括多数运营风险,如质量、风险控制的对象一般是可控风险,包括多数运营风险,如质量、安全和环境风险,以及法律风险中的合规性风险安全和环境风险,以及法律风险中的合规性风险 风险控制是指控制风险事件发生的动因、环境、条件等,来达到风险控
34、制是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的可能性的目的减轻风险事件发生时的损失或降低风险事件发生的可能性的目的-35-目录目录风险管理解决方案风险管理解决方案风险管理流程风险管理流程初始信息收集初始信息收集风险评估风险评估风险策略风险策略风险管理流程风险管理流程风险管理解决方案风险管理解决方案内部控制系统内部控制系统风险管理的监督与改进风险管理的监督与改进-36-风险管理解决方案风险管理解决方案风险管理解决方案风险管理解决方案 方案包含:风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后
35、所采取的具体应对措施以及风险管理工具 外包方案外包方案内控方案内控方案 注重成本与收益的平衡 注重外包工作的质量 注重自身商业秘密的保护 防止自身对风险解决外包产生依赖性风险 应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则; 针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施; 对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。-37-风险管理解决方案实施流程风险管理解决方案实施流程-38-目录目录内部控制系统内部控制系统风险管理流程风险管理流程初始信息收集初始信息收集风险评估风险评估风险策略风险策略风险管理流程风险
36、管理流程风险管理解决方案风险管理解决方案内部控制系统内部控制系统风险管理的监督与改进风险管理的监督与改进-39-内部控制的起源与发展内部控制的起源与发展战 略内部环境风险对策控制活动信息与沟通监 督经 营报 告遵 循子公司业务单位分支机构企业整体层次目标设定事件识别风险评估l内部控制的概念始于上世纪初的财务控制,在80年代以后逐渐受到各国的重视,特别是监管机构的重视。在发展过程中,内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容。l美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大,内部控制是由企业董事会、监事会、经理层和全体员工实施的
37、、旨在实现控制目标的过程。l美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求。l2004年的COSO企业风险管理整合框架指出企业风险管理是一个过程,为一个企业的董事会、管理层和其他人员所影响,应用于战略制定和企业的各部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好内管理风险,为企业目标的实现提供合理保证。内部控制三维图-40-基于基于COSOCOSO模型的企业风险管理八要素模型的企业风险管理八要素控制活动控制活动目标设定目标设定事项识别事项识别风险评估风险评估风险应对风险应对内部环境内部环境信息与沟通信息与沟通监督监督内部环境包括组织基调,它
38、为企业人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标,确保目标支持和切合企业使命,并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实
39、施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。-41-内部控制系统概念内部控制系统概念l内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施,对影响业务流程目标实现的各种风险进行有效管理和控制的过程。l内控系统是全面风险管理的重要组成部分,是全面风险管理的基础设施和必要举措。l一般说来,内部控制系统针对的风险一般是可控纯粹风险,其控制对象是企业中的个人,其控制目的是规范员工的行为,其控
40、制范围是企业的业务和管理流程,如流程执行过程中的偏差、质量问题、财务报告的不准确及合规问题。l内控系统以流程为基础。因此,在建立内部控制系统时,首先要梳理现有的管理和业务流程;必要时,建立相关的流程。l完善的流程包括完善的内部控制;设计内控的过程也是完善流程的过程。因此,设计内部控制的过程一般会涉及流程的再造,加强现有流程的内控也是流程再造的一部分。-42-内部控制系统作用与实施内部控制系统作用与实施流程流程风险控制点风险控制点控制措施控制措施? 流程是否存在 设计是否合理 职责是否明确 执行是否严格 奖惩是否明白 效果是否满意 风险是否辨识 影响什么指标 影响哪些环节 影响哪些部门或 哪一级
41、企业 分析是否彻底 应对是否存在 设计是否合理 职责是否明确 是否经过检验 效果是否满意信息(会计信息和经营信息)的可靠性和完整性遵循政策、计划、程序、法律和法规资产的安全提高经营效益和效能.实现经营的目标和防止浪费资源内部控制的作用在于保证/保护-43-内部控制体系的基本原则内部控制体系的基本原则l全面性 覆盖企业所有重要业务及管理流程和流程的全过程l系统性 按统一原则制定,与风险策略一致l合规性 符合国家有关法律法规l成本效益 控制与收益平衡l权力分离及相互制约 岗位之间相互制约,重要流程及决策不能由一个人完成l激励平衡 权责明确及奖惩结合 l信息反馈 内部控制应有自我调节功能l可操作性
42、根据企业现有操作水平制定l包容性 不致因个别环节失灵导致全系统失灵-44-内部控制系统与风险管理、企业管理的关系内部控制系统与风险管理、企业管理的关系风险评估风险评估外部审计外部审计内部控制控制环境控制环境内部审计内部审计控制活动控制活动信息沟通信息沟通持续监控持续监控风险管理目标设定目标设定风险风险识别识别风险应对风险应对企业管理各项经营管各项经营管理活动,如理活动,如战略管理、战略管理、人力资源管人力资源管理、财务管理、财务管理、资产管理、资产管理等理等风险战略风险战略治理结构治理结构组织体系组织体系风险理财风险理财正确认识内控与审计、风险管理、企业管理的关系-45-指引指引的内部控制系统
43、的内部控制系统内控岗位内控岗位 授权制度授权制度 内控报内控报 告制度告制度 内控批内控批 准制度准制度 内控责内控责 任制度任制度 内控审内控审 计检查计检查 制度制度 内控考核内控考核 评价制度评价制度 重大风险重大风险 预警制度预警制度 企业法律企业法律 顾问制度顾问制度 重要岗位重要岗位权力制衡权力制衡制度制度 内内部部控控制制系系统统-46-(一)内控岗位授权制度(一)内控岗位授权制度 (一一) 建立内控岗位授权制度。建立内控岗位授权制度。对内控所涉及的各岗位明对内控所涉及的各岗位明确规定授权的对象、条件、确规定授权的对象、条件、范围和额度等,任何组织范围和额度等,任何组织和个人不得
44、超越授权做出和个人不得超越授权做出风险性决定;风险性决定;l授权制度至关重要。要做到授权制度至关重要。要做到事事有授权,尤其是重大决事事有授权,尤其是重大决策更是要明确的授权。策更是要明确的授权。l授权应当遵循岗位分离的原授权应当遵循岗位分离的原则,授权范围要适当。不可则,授权范围要适当。不可过宽,过宽则内控失灵;不过宽,过宽则内控失灵;不可过窄,过窄则影响效率。可过窄,过窄则影响效率。l授权应当结合激励机制,明授权应当结合激励机制,明确授权的同时明确奖惩。确授权的同时明确奖惩。l信息系统在流程中的使用有信息系统在流程中的使用有助授权制度的刚性化助授权制度的刚性化-47-(二)内控报告制度(二
45、)内控报告制度 (二二)建立内控报告制度。建立内控报告制度。明确规定报告人与接受报明确规定报告人与接受报告人,报告的时间、内容、告人,报告的时间、内容、频率、传递路线、负责处频率、传递路线、负责处理报告的部门和人员等;理报告的部门和人员等;l内控报告制度是内控信息反内控报告制度是内控信息反馈原则的具体体现馈原则的具体体现l内控报告制度是内控的有效内控报告制度是内控的有效性保证,其作用是使各级管性保证,其作用是使各级管理层和企业内外部的利益相理层和企业内外部的利益相关人能够及时得到企业的内关人能够及时得到企业的内控的真实信息控的真实信息l内控报告制度是风险管理信内控报告制度是风险管理信息沟通,其
46、时间、频率、内息沟通,其时间、频率、内容等应与针对的风险匹配容等应与针对的风险匹配-48-(三)内控批准制度(三)内控批准制度 (三三)建立内控批准制度。建立内控批准制度。对内控所涉及的重要事项,对内控所涉及的重要事项,明确规定批准的程序、条明确规定批准的程序、条件、范围和额度、必备文件、范围和额度、必备文件以及有权批准件以及有权批准的部门和人员及其相应的部门和人员及其相应责任;责任;l内控批准制度是授权制度的内控批准制度是授权制度的表现表现l对内控所涉及的重要事项,对内控所涉及的重要事项,如重大决策与重要信息的披如重大决策与重要信息的披露等建立明确的批准制度,露等建立明确的批准制度,使得流程
47、的控制更加严密使得流程的控制更加严密l要坚持风险控制与运营效率要坚持风险控制与运营效率及效果相平衡的原则,对公及效果相平衡的原则,对公司内控所涉及的事项进行分司内控所涉及的事项进行分级、分类的管理,同时可利级、分类的管理,同时可利用信息系统提高运营效率用信息系统提高运营效率-49-(四)内控责任制度(四)内控责任制度 (四四)建立内控责任制度。建立内控责任制度。按照权利、义务和责任相按照权利、义务和责任相统一的原则,明确规定各统一的原则,明确规定各有关部门和业务单位、岗有关部门和业务单位、岗位、人员应负的责任和奖位、人员应负的责任和奖惩制度;惩制度;l内控责任制度应与内控授权内控责任制度应与内
48、控授权制度配套,并配之以合理的制度配套,并配之以合理的奖惩措施奖惩措施l要明确每一个员工在内部控要明确每一个员工在内部控制中的责任及其奖惩,并严制中的责任及其奖惩,并严格执行。没有奖惩制度的责格执行。没有奖惩制度的责任会落空,不严格执行的奖任会落空,不严格执行的奖惩制度也会落空惩制度也会落空l内控责任可能与业务无关,内控责任可能与业务无关,但同样需要考核但同样需要考核-50-(五)内控审计检查制度(五)内控审计检查制度 (五五) 建立内控审计检查制建立内控审计检查制度。结合内控的有关要求、度。结合内控的有关要求、方法、标准与流程,明确方法、标准与流程,明确规定审计检查的对象、内规定审计检查的对
49、象、内容、方式和负责审计检查容、方式和负责审计检查的部门等;的部门等;l内控审计制度是内控系统中内控审计制度是内控系统中的重要组成部分,是内控系的重要组成部分,是内控系统执行风险管理基本流程中统执行风险管理基本流程中监控改进步骤的重要环节,监控改进步骤的重要环节,是保证内控有效并不断提高是保证内控有效并不断提高的关键的关键l应当坚持审计部门与内控的应当坚持审计部门与内控的执行部门的相对独立执行部门的相对独立l内控审计的计划和审计报告内控审计的计划和审计报告应当得到风险管理委员会的应当得到风险管理委员会的批准批准l内控审计是审计业务的一个内控审计是审计业务的一个新事物,是国际上的趋势。新事物,是
50、国际上的趋势。企业应当高度重视,配备人企业应当高度重视,配备人才,做好这项工作才,做好这项工作-51-(六)内控考核评价制度(六)内控考核评价制度 (六六) 建立内控考核评价制建立内控考核评价制度。具备条件的企业应把度。具备条件的企业应把各业务单位风险管理执行各业务单位风险管理执行情况与绩效薪酬挂钩;情况与绩效薪酬挂钩;l内控的绩效考核是内控的奖内控的绩效考核是内控的奖惩措施的落实惩措施的落实l在有条件时,要量化内控的在有条件时,要量化内控的绩效。可以考虑使用如内控绩效。可以考虑使用如内控失灵造成的损失、产生的次失灵造成的损失、产生的次质品、客户满意度,人才流质品、客户满意度,人才流失度等指标
