1、企业风险管理与内部控制理论与实务2016年07月安永.吴玮Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.不会87.73%会95.05%您认为风险管理与内部控制失效导致的管理混乱可能会发生在贵公司吗?您认为风险管理与内部控制失效导致的管理混乱可能会发生在其他公司吗?2012年证监会和中国风险管理与内部控制协会开展了一次针对上市公司风险与内控意识的调查,对主板上市、证券公司等1250家企业进行了问卷统计调查,调查结果显示:对待风险控制的态度:风险内控意识调查Confidential All Rights Re
2、served Ernst&Young(China)Advisory Limited.对待风险控制的态度:华人世界首富的风险观我会不停研究每个项目要面对可能发生的坏情况下出现的问题,所以往往花90%考虑失败。就是因为这样,这么多年来李嘉诚雄踞华人首富十六年(截止2013年),屹立不倒的秘诀在于:2007年全球商业和商业周刊采访李嘉诚的访谈实录Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.对待风险控制的态度:海恩法则1000次事故隐患300次未遂先兆29次轻微事故1次严重事故严重问题;应急、追责、整改出现问题
3、;调查、整改、报告预警警报;监控、检查、报告没有损失;设计、执行、评价、改进Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.华丽且自信满满仅仅关注有限领域并不具备足够的风险承受能力并不能时时专心对待风险控制的态度:我们可能Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.我们遇到的问题?Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.目
4、目 录录1什么是风险管理与内部控制什么是风险管理与内部控制2为什么要开展风险管理与内部控制为什么要开展风险管理与内部控制3如何开展风险管理与内部控制如何开展风险管理与内部控制Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.第一部分什么是风险管理与内部控制目目 录录Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.什么是风险定义:R=f(O,U,E),O目标;U不确定性;E影响风险风险:“不确定性对目标的影响不确定性对目标的
5、影响”引自 ISO 指南 73:2009 风险管理术语为什么会存在风险?不确定性:不知道会不会发生?什么时候发生?发生的可能性有多大?发生的后果是什么?后果产生的影响有多大?不确定性既受制于外在的客观性(客观不确定性);在企业管理实践的实践规范里面,更重要的是受制于人的态度、能力和经验(主观不确定性)风险控制的根本目的是着眼于:改变人的意识,提升应对能力和积累判断经验!Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.什么是控制控制是根据组织的计划和事先规定的标准,监督检查各项活动及其结果,并根据偏差或调整行
6、动或调整计划,使计划和实际相吻合,保证目标实现的行为。风险管理术语Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.“风险管理是一种程序,由企业的董事会、管理层和其他成员共同使其生效,用以对以下目标的实现提供合理的保证:(b)适用法律法规的合规性 (a)财务报告的可靠性 (c)经营活动的效率和效果 (d)战略目标的实现。”监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO对风险管理的对风险管理的定义
7、:定义:什么是风险管理Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.“一套由董事会、管理层及其它相关人员共同实施的程序,以合理确保下列各项的目标得以实现:(b)适用法律法规的合规性 (a)财务报告的可靠性 (c)经营活动的效率和效果。”监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境风险评估控制措施信息与沟通监督检查COSO对内部控制的定义:对内部控制的定义:什么是内部控制Confidential All Rights Reserved Ernst&Youn
8、g(China)Advisory Limited.COSO模型的发展监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境风险评估控制措施信息与沟通监督检查监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO内部控制模型内部控制模型COSO风险管理模型Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.中央企业全面风险管理指引(一)收集风险管理初始信息(二)进行
9、风险评估(三)制定风险管理策略(四)提出和实施风险管理解决方案(五)风险管理的监督与改进风险管理基本流程控控 制制 环环 境境目目 标标 制制 定定事事 件件 识识 别别风风 险险 评评 估估风风 险险 应应 对对控控 制制 活活 动动信信 息息 与与 沟沟 通通监监 督督 检检 查查战战 略略经经 营营报报 告告合合 规规总总部部分分部部业业务务单单位位附附属属机机构构COSO全面风险管理框架风险管理三道防线Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.企业内部控制基本规范v 第一章 总则v 第二章 内
10、部环境v 第三章 风险评估v 第四章 控制活动v 第五章 信息与沟通v 第六章 内部监督v 第七章 附则 监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境经营报告风险评估控制措施信息与沟通监督检查合规企业战略资产安全COSO 内部控制模型Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.企业内部控制基本规范Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.有效的控制风险实现目标
11、目标风险控制管理提升风险管控不是消灭风险,而是把风险控制在合理的范畴,让目标的偏差能够接受。目标决定了我们该管控哪些风险目标的多样性、分层性和联动性,决定了风险管控需要系统化实施:中长期战略目标/产业战略目标/职能战略目标/年度经营目标/项目经营目标;Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.理解目标、风险、控制如果你有小孩,为了保护孩子安全,你需要控制什么风险?你有哪些控制措施?婴幼儿安全三聚氰胺甲醛PM2.5劣质玩具人贩子幼儿园行凶幼师虐童危险车辆当前社会,关于婴幼儿安全的不确定性因素越来越多,发
12、生的可能性越来越高:食品安全风险-香港限奶令家居安全风险-环保油漆和家居自然环境风险-口罩热销产品质量风险-玩具出口转内销社会治安风险-儿童定位手表交通环境风险-安全座椅热卖Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.第二部分为什么要开展风险管理与内部控制目目 录录Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.您是否听到过这样的声音?制度么,就是用来看看的,嘻嘻说归说,但是我们一般都不那样做,太费事了那个制度阿,我
13、不知道有没有人看,反正别人现在怎么做我就怎么做从来没看到过别的部门的制度,我们部门的也有吧,好几年了我们制度很多,很厚几本呢,但是太散乱,我也懒得去看哎,这个事情说不好,我也不知道其他部门的事情这个事情不是我们做的,但是,我也不知道其他部门是不是做了这个事情为什么是我来做啊(分工不太合理)这个事情啊,不是我不想做,但是也没有人告诉我怎么做啊我也不知道为什么要这么做,但是人家都这样做我知道这样做有风险,但是公司也没有说不让我这么做,我也不知道怎么做更好什么是内控呀,我们没有什么标准,反正一直就是这么做,都几十年了这个就是经验这个不用说的,我们都知道Confidential All Rights
14、Reserved Ernst&Young(China)Advisory Limited.以下这些事情在您的企业中可能发生吗?A.有人偷偷地溜到公司的计算机库房,把公司所有数据储存都毁了!B.市场竞争激烈,我们渐渐失去了资源的垄断优势。C.有人可能在挪用公司的资金,但也没人发现,没人管!D.公司的规章制度看上去挺多的,但实际比较混乱,大家平时工作基本不参照。E.公司大锅饭的氛围还是挺浓厚的,工作没啥积极性。F.公司想进军新的领域了,虽然不太懂这个新的行业,但大家都觉得前景很好!G.公司存货的管理比较混乱,东西多一件少一件,根本没人知道。H.公司领导天天审批,天天开会讨论经营事项,身陷繁杂的具体事
15、务。I.公司部门中的岗位只是为了区别工资待遇,和工作内容没啥关系,领导让你干嘛就干嘛J.Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.为什么要开展风险管理与内部控制大势所趋,保护领导Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控进入中共中央最高层公报中共中央十八届四中全会通过关于全面推进依法治国若干重大问题的决定-把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序,确保决策制度
16、科学、程序正当、过程公开、责任明确。建立行政机关内部重大决策合法性审查机制,未经合法性审查或经审查不合法的,不得提交讨论。-加强对政府内部权力的制约,是强化对行政权力制约的重点。对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权,定期轮岗,强化内部流程控制,防止权力滥用。完善政府内部层级监督和专门监督,改进上级机关对下级机关的监督,建立常态化监督制度。完善纠错问责机制,健全责令公开道歉、停职检查、引咎辞职、责令辞职、罢免等问责方式和程序。Confidential All Rights Reserved Erns
17、t&Young(China)Advisory Limited.风险管控成为国有企业领导履职的法定责任2014年1月份,由审计署、中纪委、国资委、中组部、人社部等七部委召开经济责任审计联席会议,提出2014年开始的经济责任审计实施细则指导意见。涉及到国有企业领导人相关会议精神:要严肃揭露和查处国有企业领导人重大的违法违规案件线索,重大的决策失当,重大的失职渎职行为,重大的损失浪费,重大的管理漏洞。2014年7月,七部委颁布党政主要领导干部和国有企业领导人员经济责任审计规定实施细则第十六条 国有企业领导人员经济责任审计的主要内容:(九)企业法人治理结构的健全和运转情况,以及财务管理、业务管理、风险
18、管理、内部审计等内部管理制度的制定和执行情况,厉行节约反对浪费和职务消费等情况,对所属单位的监管情况;Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控失效成为国有企业责任追究的重要因素2008年国务院国资委20号令中央企业资产损失责任追究暂行办法:第二十五条除第十六条至第二十四条以外,因企业内部控制存在重大缺陷或者内部控制执行不力等其他情形造成资产损失的,应当追究相关责任人的责任。第二十七条企业因未建立内控管理制度或者内控管理制度存在重大缺陷,造成企业重大或者特别重大资产损失的,除按照本办法对其他相
19、关责任人进行责任认定外,企业分管负责人和企业主要负责人应当分别承担分管领导责任和重要领导责任。第三十七条对调离工作岗位或者已离退休的资产损失相关责任人,应当按照本办法相关规定给予经济处罚、行政处分和禁入限制。给予经济处罚的,若离职后薪金尚未发放完毕,应当扣发相应的薪金;对继续在中央企业担任职务的,应当在其以后年度薪金中予以扣发;对调离中央企业的,应当向其工作单位提出处罚建议。第三十八条建立董事会制度的企业(含董事会试点企业),董事未履行或者未正确履行职责给企业造成资产损失的,除依法承担赔偿责任以外,国资委应当依照本办法及公司法规定的有关程序对其选任的董事进行处罚。Confidential Al
20、l Rights Reserved Ernst&Young(China)Advisory Limited.为什么要开展风险管理与内部控制监管要求,保障合规Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.国际化监管政策国会1977FCPAAICPA1980SAS No.30/60COSO1992ICIFAICPA1993 GAAS No.2/3AICPA1995 SAS No.78国会2002SOXCOSO2004ERMIFCOSO2006ICFR-GSPCPCAOB 2007ASNo.5PCAOB 2009
21、ASNo.7COSO2009GMICSIMA2010ICERMFRCOSO2013ICIF风险管控规范金融商品交易法内部控制评价与审计准则企业管治常规守则2014年修订公司治理联合准则风险管控框架报告公司监管守则COCO风险管控框架澳大利亚新西兰风险管控标准(AS/NZS 4360)金融安全法2009 ISO 310002009 ISO guide732009 ISO 310102013 ISO 31004201x ISO 31020Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.国内监管政策 直接对风险管
22、理/内部控制提出明确要求的单位包括:中共中央、中纪委、中组部、全国人大、财政部、交通部、原电力部、原煤炭部、证监会、保监会、银监会、审计署、中国人民银行、国务院国资委、国家税务总局、住建部、卫计委、安监总局、环保部、民航总局、国家标准委、中注协、上交所、深交所等超过150个法律法规、部门规章及规范文件等。近5年出台了60个文件!Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.直接监管文件:管“头”对下一年风险状况进行评估国资委办公厅关于2015年中央企业开展全面风险管理工作有关事项的通知1.明晰风险管理政策
23、,提升风险研判能力2.健全风险评估机制,服务重大事项决策3.构筑风险信息平台,完善监控预警机制4.融入日常经营管理,提高风险防控能力Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.直接监管文件:管“尾”对上一年风险控制进行评价财政部、证监会公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定1.本规则是对年度内部控制评价报告披露的最低要求。2.应当说明董事会、监事会及董事、监事、高级管理人员对内部控制及年度内部控制评价报告的相关责任。3.评价结论应当分别披露对财务报告内部控制有效性的评价
24、结论,以及是否发现非财务报告内部控制重大缺陷。4.评价工作情况应当披露内部控制评价范围、内部控制评价工作依据及内部控制缺陷认定标准,以及内部控制缺陷认定及整改情况。5.评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方面进行披露。6.评价工作依据及缺陷认定标准应当披露公司开展内部控制评价工作的具体依据以及进行缺陷认定的具体标准及其变化情况。7.缺陷认定及整改情况应当区分财务报告内部控制和非财务报告内部控制,分别披露报告期内部控制重大缺陷和重要缺陷的认定结果及缺陷的性质、影响、整改情况、整改计划等内容。Confidential All Rights Reserved Ernst
25、&Young(China)Advisory Limited.中国证监会对上市公司的要求:管“进门”2015年4月,中国证监会对中国核能电力股份有限公司IPO申请材料进行审核,并反馈了16项问题。这些问题,绝大部分和内部控制直接相关。其中财务管理部分直接要求第三方出具内部控制专项审核报告:独立规范:关联交易、信息披露、财务人员独立性(股份总部)市场营销:产品定价、市场竞争(股份总部+子公司)财务管理:成本控制、费用管理、资金管理、税收管理、存货管理(股份总部+子公司)风险评估:重大风险不清晰、过于泛化(股份总部+子公司)资产管理:金融资产、专利技术、土地获得(股份总部+子公司)人力资源:高管任职
26、、薪酬管理(股份总部+子公司)法律管理:证照管理(股份总部+子公司)Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.为什么要开展风险管理与内部控制经营所需,创造价值Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控对企业经营的价值:活得更久 自然界生存下来的,既不是四肢最强壮的,也不是头脑最聪明的,而是有能力适应变化的物种。达尔文物种起源Confidential All Rights Reserved Ernst&
27、Young(China)Advisory Limited.风险管控对企业经营的价值:活得明白Only when the tide goes out do you discover whos been swimming naked.Warren Edward Buffett只有当潮水退去的时候,你才知道谁在裸泳。沃伦巴菲特Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.第三部分如何开展风险管理与内部控制目目 录录Confidential All Rights Reserved Ernst&Young(Chin
28、a)Advisory Limited.风险管理与内部控制工作核心 固有风险可控风险(内控举措有效性)剩余风险风险辨识识别现有管理举措改善现有管理举措评价剩余风险高低进行风险应对完善内控体系降低剩余风险风险等式1 12 23 34 45 5风险管控就是做减法Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.制度流程体系授权体系岗位职责体系与现有管理相结合 真实反映运行管理现状目标设定风险控制水平评估差异/缺陷认定以风险控制优化为导向 优化提升现有管理体系 优化至固化是必须的过程内控评价-闭环管理持续优化与长效机
29、制以优化-固化-标准化为思路 固化管理程序控制点 管理制度化制度流程化流程信息化以信息化为目标 建立风控信息化系统诊断 优化 固化 信息化 工作实施路径风险管理与内部控制工作路径结合风险管控工作的内在规律和长期的内控建设经验,风险管控体系建设工作以建立风控长效机制为目标,构建风控闭环工作流程,具体包括管理现状诊断、风险控制优化、管理程序固化、内控体系信息化四方面,并以实现管理制度化、制度流程化、流程信息化作为风险管理体系建设的中长目标。风险识别与评估Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.目标风险识
30、别目标风险识别制度流程制度流程优化优化控制控制评价评价控制矩阵设计控制矩阵设计目标分解与跟踪目标分解与跟踪缺陷整改缺陷整改风险管控策略风险管控策略重点控制查重点控制查询监控询监控体系更新体系更新企业战略目标企业战略目标市场环境市场环境内部需求内部需求控制执行监控控制执行监控重要控制重要控制 监督检查监督检查缺陷管理缺陷管理 绩效考核绩效考核评价机制设计评价机制设计抽样测试抽样测试穿行测试穿行测试风险控制的长效运行机制风险控制评价监督机制风险控制职能部门履行职责风险管理与内部控制工作思路Confidential All Rights Reserved Ernst&Young(China)Advi
31、sory Limited.风险管理与内部控制工作程序 内部控制评价监督与改进构建体系框架设计及组织建设(明确风险管控功能的相关责任主体机构、价值定位)风险应对与内控梳理 (重大及重要 风险应对,梳理风险管理程序)风险监控预警 (重大及重要风险 关键预警指标)风险管理与内部控制文化培养与信息系统支持 风险识别与评估 (风险识别、风险分析、风险评价)目标设定闭环运行,持续运行、监督改善!Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风控实施程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评
32、价构建合理的风控组织架构构建合理的风控组织架构其中,风险管控“三道防线”的内涵为:所有业务部门和职能部门第一道防线:识别、评估和上报风险,设计并实施内控措施,保存控制执行证据,开展控制自我评价 风控管理职能部门 内部监督职能部门第二道防线:统筹组织、协调规划、技术支持、监控评价第三道防线:实施内控独立监督评价,促进内控体系的不断优化和完善建设期建设期运行期运行期优化期优化期Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.明确职责后,需要建立起纵向到底和横向到边的立体网状的风险管控组织机构。分管风控总经理风控
33、主责部门职能部门风控管理岗业务岗1业务岗2业务岗3风控合规岗分公司总经理办公会业务岗1业务岗2业务岗3分管风控总经理风控主责部门职能部门风控管理岗业务岗1业务岗2业务岗3风控合规岗直属项目总经理业务岗1业务岗2业务岗3董事会审计委员会分管风控副总风控主责部门XX事业部/中心职能部门风控管理岗业务岗1业务岗2业务岗3业务一处业务二处业务三处风控合规岗业务岗1业务岗2业务岗3风控合规岗监事会专门委员会总经理办公会审计部董事会审计委员会分管风控总经理风控管理部门XX事业部/中心职能部门风控体系处合规处风控评价处整改处业务一处业务二处业务三处风控合规处业务岗1业务岗2业务岗3风控合规岗监事会专门委员会
34、总经理办公会审计部建立纵向到底(分支机构和并表单位)风险管理组织机构建立横向到边(业务条线和部门)风险管理组织机构内控相关职能的整合与归并内控机构设置是刚性的内控岗位人员可以专职和兼职并举派驻式和内设式构建合理的风控组织架构Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.制度文件操作规范总体规划n风险管理与内部控制提升方案作为规划指导文件,明确公司风险管控工作的原则和整体要求。n风险管理与内部控制办法,从组织职责分工、风险管控工作内容和工作流程等方面明确对各项工作的基本要求。n围绕风险管理与内部控制办法,分
35、阶段制定风险评估、内控梳理、监控预警、内控评价指引,明确工作操作规范和要求。n根据风险管理与内部控制制度和细化规范,结合实施成果,形成风险管理与内部控制手册。风险管理与内部控制制度体系构建风控组织架构Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险识别风险分析风险评价查找企业各业务单元、各项重要经营活动及其重要业务流程中是否有风险,有哪些风险。对辨识出的风险及其特征进行分析和描述风险发生可能性的高低、评估风险发
36、生后对企业实现目标的影响程度。评估风险的价值,确定风险等级,明确风险管理重点。风险识别风险评价风险分析风险识别与评估Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险信息收集:内部风险内部风险识别管理因素人力资源因素自主创新因素财务因素组织结构经营方式资产管理业务流程营运安全员工健康环境保护研究开发技术投入信息技术财务状况经营成果现金流量职业操守专业胜任能力团队精神安全环保因素*注释:摘自企业内部控制基本规范风险识别Confidential All Rights Reserved Ernst&Young(
37、China)Advisory Limited.风险信息收集:外部风险外部风险识别经济因素自然环境因素社会因素行业技术因素经济形势产业政策融资环境法律法规监管要求安全稳定文化传统社会信用教育水平消费者行为技术进步工艺改进自然灾害环境状况法律因素市场竞争资源供给*注释:摘自企业内部控制基本规范风险识别Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.以公司主要业务板块的战略目标和经营目标为基础,构建公司风险数据库,建立规范统一的风险语言,为开展风险评估和应对提供基础。公司公司总部总部宏观经险风险投资风险现金流风险
38、土地开发板块土地开发板块工程项目风险安全运营风险采购管理风险基础设施板块基础设施板块工程项目风险安全运营风险持续运行风险房地产开发板块房地产开发板块工程项目风险安全运营风险采购管理风险投资板块投资板块投资组合风险风险评估技术风险持续监控风险公共服务设施板块公共服务设施板块安全运营风险管道设施风险价格风险安居工程安居工程项目风险安全运营风险项目开发项目开发设备检修风险价格风险土地资源获取土地资源获取环境保护风险价格风险骨干路网运营骨干路网运营安全运营风险价格风险公路运营公路运营大修风险路政风险产业园区产业园区环境保护风险安全风险商业地产商业地产政策风险资金风险酒店运营酒店运营标准化风险客户体验风
39、险城镇改造城镇改造政策风险招商风险公共服务设置公共服务设置安全风险管道设备风险配套设施配套设施管道设备风险价格风险物业管理物业管理环保风险价格风险海外窗口海外窗口国别风险投资论证风险风险投资风险投资人力资源风险退出风险产业投资产业投资环境保护风险价格风险 风险框架需至风险框架需至 上而下,统一上而下,统一 设计设计 风险相关概念风险相关概念 需明确,使用需明确,使用 规范规范 风险命名、分风险命名、分 类规则明确类规则明确 风险数据库维风险数据库维 护职责机制明护职责机制明 确确示例示例风险识别Confidential All Rights Reserved Ernst&Young(China
40、)Advisory Limited.战略风险市场风险财务风险运营风险法律风险 明确风险分类原则、命名规则编制风险数据库为,风险评估工作的基础。风险识别Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.进行风险分析与评价,应将定性与定量方法相结合,详见后表风险分析与评价标准对企业面临的风险进行有效识别后,应对各种风险发生的可能性及其对公司运营造成威胁的大小进行分析和评价,对风险进行排序,形成风险分析结果,为风险控制决策提供科学依据。风险分析与评价Confidential All Rights Reserved
41、Ernst&Young(China)Advisory Limited.根据风险的性质,通常运用说明性标准进行评分 适用于可以通过历史数据计算出风险发生概率的风险 针对大型灾害/事件类的潜在风险 针对日常运营中可能发生的潜在风险数值数值1 1)说明性)说明性2 2)发生概率(定)发生概率(定量)量)3 3)针对大型灾害)针对大型灾害/事件类(定量)事件类(定量)4 4)针对日常营运(定性)针对日常营运(定性)5基本确定=95%今后1年内至少发生1次常常会发生4很可能50-95%今后1年内可能发生1次较多情况下发生3可能30-50%今后25年内可能发生1次某些情况下发生2不太可能5-30%今后51
42、0年内可能发生1次极少情况下才发生1几乎不可能5%今后10年内发生的可能少于1次一般情况下不会发生风险发生可能性 评价标准(标准应当差异化、本地化)风险分析与评价Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险影响程度 评价标准(标准应当差异化、本地化)影响程度评分12345定量方法描述税前利润1%以下税前利润的1-5%税前利润的6-10%税前利润的11-20%税前利润20%以上定性方法描述极轻微的轻微的中等的重大的灾难性的极低低中等高极高适用于所有行业企业日常运行不会影响企业的日常运行对企业日常运营有
43、轻度影响,造成轻微的人身伤害,情况立刻受到控制对企业日常运营有中度影响,需要医疗救援,情况需要外部支持才能得到控制企业失去一些业务能力,造成严重人身伤害,情况失去控制但无致命影响重大业务失误及人身伤亡财务影响较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失声誉影响负面消息在企业内部流传,企业声誉未有受损负面消息在当地局 部流传,对企业声 誉造成轻微损害负面消息在某区域上 流传,对企业声誉造成中等损害负面消息在全国各地流传,对企业声誉造成重大损害负面消息造成国际影响,政府或监管机构进行调查,引起公众关注,对企业声誉造成无法弥补的损害风险分析与评价Confidential A
44、ll Rights Reserved Ernst&Young(China)Advisory Limited.风险序号风险名称各项风险之等级分值被选总和各项风险之等级被选次数平均值项:MAXP-AV平均值项:MAXS-AVRisk Grades 排序p1p2p3p4p5s1s2s3s4s5p1p2p3p4p5s1s2s3s4s5R31执行力风险5048162306454116705016446621829143.9342103.28947312.94148194R01政策与宏观经济风险41899108153147812820493327337263243.2105263.19736810.265
45、23545R06投资风险022215621588361168501171443841229174.1315783.32894713.75380882R09整合重组与改制风险5507844306407568552526116620251712.7236842.5526316.952562327R10人力资源风险314968810418788410373222249262122.7763152.5526317.086911356R12集团管控风险748903610646844057243092623281012.5131572.3815785.985283939R14现金流风险7120322658
46、83048170760853841012344.1578943.47368414.44321331R20筹资风险116257481585866361011311912382922922.5394732.3421055.9477146810R21偿债风险1250844051044725651225281011022241412.5131572.4605266.183691138R22市场风险6069441804060148406023113640203783.9342103.31578913.04501383根据风险发生的可能性和影响程度的标准,从定量和定性两个角度对企业各类风险进行分分析排序析
47、排序:风险分析与评价Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险序号风险描述风险发生可能性风险影响程度风险等级人数均值人数均值P1P2P3P4P5S1S2S3S4S5R14现金流风险7608534.15789841012343.4736814.4432开展德尔菲调研,运用离散度分析,进行多轮次打分,防止打分过程中的“噪音”。风险分析与评价Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.Risk=可能性*影响程度影
48、响程度极低低中等高极高极高高中等低极低1810734621159可能性根据最终确定风险等级及排序绘制风险坐标图风险坐标图,了解风险分布情况。风险分析与评价Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.基于企业价值实现过程明确重大、重要风险分布,以便风险应对:并购整合风险产业结构风险招商引资运作风险投资风险安全质量管理风险项目合作开发风险应收账款风险人力资源风险风险分析与评价识别重大风险,拟定风险应对方案确定风险责任人,明确重大风险管理责任,为重大风险的管理找到“落脚点”示 例清晰定义各项风险管理策略,为建
49、立重大风险管理体系搭建良好的基础排序风险名称风险责任部门137 人才储备风险 人力资源部212 组织结构风险 人力资源部335 制度风险 政策法律部45 战略规划风险 计划发展部5劳动力关系风险人力资源部641 执行不力风险内部控制合规审计内控部641 执行不力风险外部客户需求、法律行规合规政策法律部77 投资决策风险 计划发展部821 规模风险董事长990 工程地质及重大自然灾害风险水电工程工程项目部990 工程地质及重大自然灾害风险综合产业工程综合产业部1023 能源需求风险 商务部示 例成果展示风险分析与评价Confidential All Rights Reserved Ernst&Y
50、oung(China)Advisory Limited.根据风险评估结果,研究制定重大、重要风险的管理目标和策略,加强风险应对。梳理现有内部控制、专业管理制度加强风险控制;根据内外部环境变化,及时调整、完善风险应对措施,建立健全重大、重要风险应急预案。风险 控制=可接受风险度可接受风险度了解业务目标了解风险管理风险适当的内部控制能降低企业所面对的风险至它可接受的风险程度,但不能完全消除所有的风险。风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险应对与内控梳理Confidential All Rights Reserved Ernst&Young