1、2022-7-241 22022-7-24n企业风险管理是一个过程过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。?企业风险管理32022-7-24企业风险管理关键原则事项识别监控目标设定风险评估风险应对控制活动信息与沟通内部环境职能与职责职能与职责风险管理包括的八个相互关联的构成要素 2022-7-244内部环境内部环境风险管理理念风险管理理念 风险容量风险容量 董事会董事会 诚信和价值观诚信和价值观 对胜任能力的要求对胜任能力的要求 组织结构组织结构
2、权力和职责分配权力和职责分配 人力资源准则人力资源准则52022-7-24风险管理理念n主体考虑风险的信念和态度n反映主体价值观n影响主体应用风险管理的构成要素n需被很好的确立和理解,并信奉n体现在政策描述、沟通及决策中n管理当局强化的理念62022-7-24风险容量n反映风险管理理念,影响文化和经营风格n战略应与风险容量协调董事会n董事会应当是积极的,拥有一定的管理、技术专长,具有履行职责所需的思维方式n审查和质疑管理当局的活动n独立的外部董事至少占多数n监督企业风险管理,知道并同意主体风险容量72022-7-24诚信与道德价值观n主体的行为准则反映了诚信和道德价值观n道德价值观通过明确指南
3、进行沟通,并与其共存n通过正式的行为准则予以沟通n向上的沟通渠道使员工感到舒服n良好的奖励和处罚机制n管理当局的行动、树立榜样82022-7-24对胜任能力的要求n完成任务所需的知识和技能n协调胜任能力和成本组织结构n界定职责和责任的关键范围n确立报告途径n要考虑到主体规模和活动性质n使有效的风险管理成为可能92022-7-24权力和职责的分配n确立了个人和团队处理问题,解决问题的程度,还为权力提供了限制n确立了报告关系和授权规程n描述恰当经营实务政策,关键员工的知识和经验,以及相关资源n个人知道他们的行动如何相互关联及对实现目标的贡献人力资源准则n针对雇佣、定位等人力措施的准则,推动诚信水平
4、、道德行为和胜任能力n惩戒措施102022-7-24目标设定目标设定战略目标战略目标 相关目标相关目标 选定的目标选定的目标 风险容量风险容量 风险容限风险容限 组织结构组织结构 112022-7-24战略目标n联结和支持愿景的高层次目的n反映了管理当局战略选择n管理当局识别与战略选择相关的风险,并考虑其影响相关目标n支持选定目标,与其相协调,与主体所有活动相关n各层次目标与具体目标相关联n被充分理解、可计量n与风险容量相协调122022-7-24选定的目标n使战略目标与主体的使命协调一致,确保战略目标和相关目标与风险容量相符风险容量n战略制定中的指向标n引导资源配置n联结组织、人员、流程和基
5、础结构风险容限n可计量n与风险容量相协调132022-7-24事项识别事项识别事项事项 影响因素影响因素 事项识别技术事项识别技术相互依赖性相互依赖性 区分风险与机会区分风险与机会142022-7-24事项n管理当局能识别影响战略执行或目标实现的潜在事项n应考虑可能性低、但有重大影响的事项影响因素n管理当局认识到了解内外部因素以及由此可能产生的事项类型的重要性n要识别主体和活动层次的事项152022-7-24事项识别的技术n识别的技术要着眼于过去和未来n选择适合其风险管理理念的技术,确保主体形成主体所需的事项识别能力n事项识别强有力,为风险评估和风险应对打下基础162022-7-24区分风险与
6、机会n管理当局要了解事项之间如何关联相互依赖性n风险是有负面影响的事项,管理当局应予评估和应对n代表机会的事项应反馈到管理当局的战略或目标制定过程中172022-7-24风险评估风险评估在风险评估过程中,管理当局要考虑预期在风险评估过程中,管理当局要考虑预期和非预期的事项和非预期的事项固有风险和剩余风险固有风险和剩余风险 估计可能性和影响估计可能性和影响 评估技术评估技术 事项之间的关系事项之间的关系182022-7-24固有风险和剩余风险n从可能性和影响两方面对潜在事项进行评价n评估过程中,应通常采用与该目标所采用的计量单位相同的或适合的计量单位n用来评估风险的时间范围应该与相关战略和目标的
7、时间范围相一致估计可能性和影响n管理当局要评估固有风险n风险应对一旦确定,就要考虑剩余风险192022-7-24评估技术n定性和定量相结合的技术n该技术支持对风险的复合评估事项之间的关系n将存在相互关联或相互结合、相互影响的几个事项应放在一起评估202022-7-24风险应对风险应对评价可能的应对评价可能的应对 选定的应对选定的应对 组合观组合观 在应对风险的过程中,管理当局在风险回避、降低、在应对风险的过程中,管理当局在风险回避、降低、分担和承受之间进行考虑分担和承受之间进行考虑212022-7-24评价可能的应对n用实现剩余风险与主体的风险容限相协调的程度来评价风险应对n评价过程中管理当局
8、要考虑应对对可能性和影响的效果n考虑成本和效益,及新的机会222022-7-24选定的应对n旨在使预期的风险可能性和影响处于风险容限之内n考虑一项应对可能导致的额外风险组合观n从整个主体范围即组合的角度考虑风险n确定剩余风险是否与总体风险容限相称232022-7-24控制活动控制活动与风险应对相结合与风险应对相结合 控制活动的类型控制活动的类型 政策与程序政策与程序 针对信息系统的控制针对信息系统的控制242022-7-24与风险应对相结合n识别所需的控制活动以帮助风险应对的实施n考虑控制对于风险应对和相关目标的相关性和恰当性n考虑控制活动如何相互关联控制活动的类型n管理当局从多种类型的控制活
9、动中选择(预防性的、侦查性的、人工的、计算机的和管理控制)252022-7-24政策与程序n政策被仔细地、认真地和一贯地执行n执行程序时要关注政策所针对的情况n调查程序的结果,并采取适当矫正措施针对信息系统的控制n执行适当的一般控制和应用控制262022-7-24信息与沟通信息与沟通信息信息 沟通沟通272022-7-24信息n从内部、外部来源获取n获取和利用支持有效的企业风险管理所需的历史和当前数据n信息基础结构把原始数据转换成相关信息;信息以可归责的、可充分利用的以及与界定的责任相关联的深度、形式和时机予以提供n原始资料数据和信息是可靠的,并有效地提供n信息流动的及时性与主体的内外部环境变
10、化程度一致n信息系统要做必要的变化以支持新目标282022-7-24沟通n管理当局提供具体的和指导性的沟通n有关与期望的文化相协调并支撑其过程和程序的沟通n所有员工收到来自高层管理当局的关于企业风险管理必须严格执行的信息n员工知道他们的活动与他人的工作如何关联n员工知道什么被看作可接受和不可接受的行为n有畅通的沟通渠道和倾听的意愿,并且员工相信上级真的希望了解并解决问题n存在正常的报告途径之外的沟通渠道,并且员工了解不会有报复行为n高层管理当局和董事会之间存在畅通的沟通渠道,从而使恰当的信息及时沟通n畅通的外部沟通渠道,客户和供应商能够通过它们提供重要信息n主体向监管者、财务分析师和其他外部方
11、面沟通相关的信息内部沟通外部沟通292022-7-24监控监控持续监控活动持续监控活动 个别评价个别评价 报告缺陷报告缺陷 管理当局通过持续监控活动或个别评价或者两者的结合来确定企业风险管理的运行是否继续有效302022-7-24个别评价n包含在主体正常、反复的经营活动中,在正常业务经营过程中以执行n被实时地执行,并动态地对变化的情况作出反应持续的监控活动n个别评价直接关注企业风险管理的有效性,提供了考察持续监控活动的持续有效性的机会n评价者了解主体的各项活动和企业风险管理的各构成要素n评价者以管理当局的既定标准为背景来进行分析312022-7-24报告缺陷n要仔细考虑报告的缺陷对企业风险管理
12、的影响,并采取恰当矫正措施n所识别的缺陷要报告给相关人员以采取必要措施n调查和矫正所报告的交易或事项,并重新评价潜在的过失所属程序n制定规程以确定一个特定层级作出有效决策需要什么信息322022-7-24职能与责任职能与责任董事会董事会 管理当局管理当局主体中的其他人员主体中的其他人员 与主体互动的各方与主体互动的各方 Back up332022-7-24董事会n董事会知道管理当局在组织中建立有效的风险管理的程度n知道并同意主体的风险容量n审核风险组合观并对照风险容量对其进行考虑n知悉重大的风险以及管理当局是否在恰当的应对342022-7-24管理当局n首席执行官最终对企业风险管理负责n确保存
13、在积极的内部环境,并且企业风险管理的所有构成要素都存在n各单元高级管理人员负责管理单元目标相关的风险n指导企业风险管理的应用,以确保应用与风险容限相一致n每位管理人员都对更高层级负责,CEO对董事会负责352022-7-24主体中的其他人员n企业风险管理是每个人的职位描述中的一个明显的或隐藏的部分n员工了解抵抗来自上级的参与不当行为的压力的需要,并且有可利用的报告这种情况渠道n所有员工的企业风险管理职能与责任被很好的界定和有效的沟通362022-7-24与主体互动的各方n存在从与主体互动的各方获取相关信息并采取恰当措施的机制n措施包括致力于所报告的特定情形,还包括调查问题的根本原因并对其进行修正n对于外包出去的活动,管理当局要执行一项计划以监控n管理当局要考虑那些可能会增进企业风险管理的财务分析师、债券评级机构和新闻媒体的观察和见解372022-7-24企业风险管理框架流程内部环境:风险管理文化、风险容量等目标设定事项识别:确定不同的风险固有风险风险评估:固有风险、剩余风险风险应对:组合风险观,具体的应对措施监督控制活动:结果、指标、报告剩余风险目标风险应对不同的机会
