1、企业风险评估培训教育训练中心目录一、风险评估二、管理责任一、风险评估过去常见的风险“风险是损失的可能性”“风险是损失的机会”“风险是可能造成的损失”“风险是未来的不确定性的状态”“风险是结果的不确定性”什么是风险风险是指未来的不确定性对企业目标所产生的影响。现行标准的定义(1)风险管理 原则与实施指南(中国国家标准GB/T 24353-2009)“风险是不确定性对目标的影响。”(2)国际标准ISO Guide 73&ISO 31000“风险是不确定性对目标的影响。”中央企业全面风险管理指引“第三条 本指引所称企业风险,指未来的不确定性对企业实施其经营目标的影响。”集团公司风险评估规范风险事件案
2、例:法国兴业银行法国兴业银行2008年1月24日宣布因交易元杰罗姆科威尔的欺诈行为“造成近50亿欧元损失”。兴业银行旗下巴黎分行一交易员超出了其职务允许的范围,秘密建立了欧洲股指期货相关头寸,导致了近50亿欧元的损失;法国财政部报告认为:兴业银行风险监控机制存在问题,内部监控系统多个环节有可能存在漏洞主要风险有:没有有效监督交易元盘面资金,没有有效跟踪资金流动,没有遵守后台与前台完全隔离规则。再严密的规章制度,再安全的电脑软件,都可能存在漏洞、死角!对于风险管理,决不能掉以轻心。特别是在市场繁荣之际,应警惕因盈利而放松正常监督。法兴悲剧警示法兴悲剧警示 我们我们一、规章出台背景(一)国外风险管
3、理监管要求(一)国外风险管理监管要求(二)国内风险管理制度(二)国内风险管理制度(三)公司风险管理实践(三)公司风险管理实践(一)国外风险管理监管要求1.COSO(COSO)企业风险管理框架企业风险管理是一个收到企业董事会、管理层和其他人员影响的过程,这个过程从企业战略制定一直贯穿到企业的各项活动中,旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险偏好之内,从而合理确保企业实现其既定目标。企业风险企业风险管理概念管理概念企业风险管理框架所对应的企业目标战略目标经营目标报告目标合规性目标规范中的目标、规范中的目标、风险类型风险类型企业风险管理框架八要素控制环境目标设定事项识别风险评估
4、风险反应控制活动信息与沟通监督评估风险评估风险分析风险分析风险明确现有风险:明确现有风险:结果、可能性、风险水平结果、可能性、风险水平识别风险识别风险建立风险评估基础:建立风险评估基础:外部基础外部基础内部基础内部基础风险管理相关的内容风险管理相关的内容应对应对风险风险应对风险:应对风险:识别并评估选择权识别并评估选择权准备及执行计划准备及执行计划分析及评估剩余风险分析及评估剩余风险沟沟通通及及协协商商监监控控及及评评价价YNISO31000风险管理标准(1)国际标准组织(ISO)于2005年2月决定制定风险管理通用标准(2)经过几年的工作,该标准已经ISO各成员国的标准组织投票通过,已于20
5、09年12月颁布(3)ISO31000的目的是提供共同的基础,以促进和协调而不是替代现存的各种标准,如ISO9001和ISO17799等(4)ISO31000的特点是应用范围极广,适用于任意规模的所有组织,并因此仅定义了风险管理的一般程序,而略去了有关体系设置的所有内容ISO31000风险管理过程风险应对建立环境风险分析风险识别风险 评估监督和评审沟通和协商(二)国内风险管理制度1.国资委全面风险管理指引2006年6月,国资委印发了中央企业全面风险管理指引(以下简称指引),要求“中央企业根据自身实际情况贯彻执行本指引”。全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中
6、执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。(二)国内风险管理制度(二)国内风险管理制度2.国内风险管理标准GB/T 24353 2009参考ISO31000编制,于2009年正式发布,包括2项,一是风险管理原则与实施指南(GBT24353),一是风险管理术语(GBT23694)。术语和定义:风险风险管理范围:本标准适用于公司层面、业务层面等的风险评估工作实施程序:风险评估实施程序一次为:建立风险评估基础、目标设置与分解、风
7、险识别、风险分析和风险评价总体要求:应有明确目标,并制定风险发生的可能性和影响程序的标准;开展风险评估应建立一支风险评估团队,充分收复企业各类人员的意见;风险评估结果具有一定的时效性,企业ing根据内外部形势的变化持续开展风险评估。风险评估二、风险管理程序及方法建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:为之后的风险评估流程奠定基础主要内容包括:(1)确定风险管理的目标和范围(2)建立风险管理的语言和标准1.建立风险评估基础(1)确定风险管理的目标和范围在什么层面、围绕
8、什么业务开展风险管理工作,形成什么成果和机制(2)确定风险管理的范围根据目标,确定涉及的具体的业务及部门、单位(3)确定风险管理组织,明确职责(4)制定工作计划详细,具有可操作性(5)形成工作方案或计划经相应层级领导审批后实施1.建立风险评估基础(1)明确风险类型(2)制定风险偏好、容忍度、预警指标(3)风险评估标准(4)根据风险管理理论与实践,逐步形成风险管理制度公司层面重大风险,高于业务层面但又与业务层面结合不同层级管控不同的风险,主要分三个层面,包括公司层面管控的重大风险、企业管理层管控的重大风险、业务操作层面管控的重要风险。(1)明确风险类型根据对风险做出应对策略所在层面的不同,可以将
9、风险分为:公司层面风险例如:公司风险管理报告、企业风险管理报告(关注重大风险)业务层面风险例如:内控手册中财务报告风险、投资、资本运营等业务的经营风险偏好是指为了实现目标,企业在承担风险的种类、大小等方面的基本态度(2)风险偏好风险偏好一个企业在追求价值的过程中愿意接受的风险水平。风险偏好反映了企业风险管理的理念,反过来又影响企业文化和经营风格。制定风险偏好时要充分考虑风险承受能力。容忍度指标选择:根据公司生产经营指标或管理目标、KPI指标等,选择合适的风险容忍度指标。例如:投资业务投资回报率、投资计划完成率;销售业务市场份额、零售总量;资产管理业务资产周转率;员工关系方面投诉事件数量;人力资
10、源管理业务员工总量;产线业务操作风险损失率(2)容忍度(2)风险预警指标为提前采取措施预防风险事件发生而在风险容忍度范围内设置的警示界限。根据实际,可以是定量,也可以是定性,或者二者相结合。预警指标选择:根据可以参考部分咨询公司的行业数据库、外部同行业上市公司披露的公开数据、国资委企业绩效评价标准值中的行业对标值、公司关键绩效考核指标(KPI)等,还包括预警迹象,选择合适的风险预警指标。可参考承受度指标的选择。用于风险分析。规范包括风险发生可能性标准、影响程度标准、风险等级标准。风险发生的可能性分为基本确定、很可能、有可能、不太可能、极小五个级别;分别对应5、4、3、2、1五个分值。风险影响程
11、度分为极高、高、中、低、极低五个级别;分别对应5、4、3、2、1五个分值。不同层面,标准的内容各有不同。(3)风险评估标准建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:目标的设置是风险评估的前提,只有先确立了目标,才能针对目标识别、分析影响目标的实现的风险,并采取必要应对措施来管理风险。通过目标的层层分解,将实现目标,防范风险的责任落实到具体部门和岗位,明确时限目标的具体步骤和具体阶段,以利于目标的实现。主要内容:(1)目标分类(2)收集目标(3)分解目标(1)目标分类借鉴COSO的ERM框架的目标分类方法(如下图),将企业目标分为战略目标、经营目标、
12、报告目标、合规目标。(风险分类的依据)。可以使管理者注意到企业风险管理的不同方面。企业的高层次目标与企业的使命或愿景相联系并支持漆其实现。与企业对其适用的相关法律和法规的遵循性相关。与企业报告的可能性相关,包括企业内部和外部的报告,既包括财务信息,也包括非财务信息。与使用企业资源进行经营的效果和效率相关,包括业绩和盈利能力目标和保护资产安全的目标。战略目标战略目标经营目标经营目标合规目标合规目标报告目标报告目标在确立目标时,首先把关注点放在企业战略目标上,制定企业层面的各个业务的经营目标等相关目标,以保证企业使命或愿景的实现。结合风险管理工作的目标和范围,确定目标收集的范围。结合实际设计工作模
13、板,便于收集、分解目标。(不限于集团公司公司风险管理报告中设计的目标设置与分解一览表一种形式)(2)收集目标(3)分解目标将收集的相关目标进行层层分解,分解到相应层级,便于识别相应层级的风险公司战略发展目标保障措施进一步分解到子目标(生产经营指标/管理指标/工作目标/KPI指标)对应到业务单元/职能部门和关键业务/事项建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查定义:风险识别是围绕具体目标,对可能影响目标实现的风险源、影响范围、事件原因和潜在的后果进行判断并记录风险的过程。主要内容:(1)信息收集(2)识别方法(3)风险数据库(1)信息收集围绕具体目标,收
14、集相关信息,并进行分析、整理,为风险识别做准备(2)识别方法围绕目标,充分运用收集的上述信息,选择合适的方法识别风险(3)风险数据库将识别的风险记录到风险数据库中。风险数据库是下步风险分析的基础。易菊风险管理目标何业务,设计风险数据库模板。(公司层面/业务层面)同一风险数据库中的风险描述要在同一层级上。风险点描述简洁明了,与风险应对措施区分开建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:充分分析风险发生可能性和影响程度等方面,为确定重大风险奠定基础。主要内容:(1)问卷调查表法(2)头脑风暴法(1)问卷调查表法结合实际设计问卷,按照风险评估标准,结合收
15、集信息(风险事件等),以及控制措施有效性,分析风险发生可能性大小、影响方面、影响程度大小等。分别对风险发生的可能性和影响程度进行分析。可能性评分按照风险评估可能性标准,依据风险的性质、掌握的信息量,确定风险发生可能性的种类(例如:安全环保风险评估安全部门可以选择大型灾害事件类标准)影响程度评分按照风险评估影响程度标准,从财务损失、企业声誉、法律、安全环境、营运等方面,选择其中一个主要方面对风险的影响程度进行评分。计算个体评分风险值。风险值=可能性分值*影响程度分值(2)头脑风暴法根据业务经验,充分利用已收集信息(领导讲话关注风险、风险事件等),结合控制措施有效性,共同讨论分析风险发生可能性大小
16、、影响方面、影响程度大小。建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:综合考虑风险分析结果,选择适用的风险评价方法,结合公司风险偏好,确定重大(重要)风险,为风险应对奠定基础。主要内容:(1)加权平均计算法(2)管理层偏好法(1)加权平均计算法 适用于采用问卷调查法(评分式调查问卷),对风险进行评分得出结论的情况 在前述评分结果基础上,计算加权平均风险值,根据本单位风险等级分值,确定重大(重要)风险。同时也要评估企业管控能力,合理确定重大风险个数。(2)管理层偏好法 适用于问卷调查法、头脑风暴法等多种风险分析方法得出的结论。管理层充分考虑管控能力(人
17、力、财力、物力等管理资源)大小,如何优化、合理配置,以及风险管理的紧迫性等因素,确定管理重大(重要)风险个数。建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查(1)确定风险责任部门 依据目标设置与分解情况,结合部门职责,确定风险责任部门。为以后年度风险识别、风险分析及应对奠定基础。(2)重大风险原因及特点分析 从根源分析重大(重要)风险产生原因,分析风险的特点,使下步的风险应对更有针对性。(3)重大风险管理策略(偏好、容忍度、预警指标)可以采用定量或定性方式描述。依据重大风险的管控目标,确定重大风险偏好。与企业总体偏好保持一致。依据重大风险管理目标、KPI指标
18、等,确定容忍度。在容忍度范围内,参考KPI指标及相关资料,确定预警指标,与生产经营相结合,为生产经营管理服务,逐步形成重大风险预警指标体系。(4)总体应对策略和具体解决方案不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内;或该风险在企业范围内与其他风险自然抵消;或由于风险应付成本过高,公司决定接受该风险。风险接受风险规避退出引起风险的活动,即在可能的情况下,决定不从事或尽量避免那些继续从事可能会导致风险的活动,如退出生产线、停止一个区域的业务或出售一部分经营性资产等。通过采取措施来转移和分担一部分风险来减少风险的可能性或影响,这包括与另外的单位合作来共同承担风险
19、,如成立合资企业、购买保险、套期保值、外包业务等。分担风险可能会带来新的风险,因为合作单位可能缺乏期望的能力和资源。风险分担风险减轻采取措施来减轻风险的可能性或影响,即通过改变风险发生的可能性来减少风险的不利后果,或改变风险的影响来减少损失的范围,减轻风险一般牵涉到所有大量的日常经营决策,例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程、用制度管控风险等。建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:建立后续的监督改进机制,使风险管控措施落到实处。监督检查包括但不限于以下层面:(1)业务部门和所属单位自我监督(2)风险管理部门的持续监
20、督、独立评估、缺陷报告(3)监察部门、审计部门的监督和独立审计(4)外审独立监督(1)业务部门和所属单位自我监督业务部门和所属单位根据内外环境及业务变化,对所负责的重大、重要风险的管理策略及解决方案的适用性进行评价,定期进行跟踪管理。业务部门和所属单位通过自我测试,即使发现内控体系运行中存在的问题,并认真组织分析和整改。(2)风险管理职能部门的持续监督、独立评估、缺陷报告强化监督检查;强化评价机制。要加大考核力度,将执行力纳入各级管理人员的业绩指标;加大责任追究力度,针对测试发现,做好缺陷评估,对测试发现的重大问题,进行责任追究。(3)监察部门、审计部门的监督和独立审计加强监督检查;开展管理层
21、测试及专项审计等(4)外部审计机构独立监督通过与外部审计机构的沟通,剖析审计中发现的问题,制定整改措施,组织落实整改,堵塞经营漏洞,促进内部风险管理工作,提高风险防范能力。建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:为实现风险管理的目标,在风险管理过程中,收集内外部风险信息,并在公司内部传递和共享。主要内容:信息收集(风险识别阶段已阐述)沟通包括但不限于:(1)与本单位业务部门沟通(2)与上级公司(机构)沟通(3)企业间交流(4)与外部机构交流学习与本单位业务部门沟通与外部机构交流学习等方式与上级公司(机构)沟通汇报企业间交流方案沟通:过程沟通,工作
22、模板简洁明了;成果共享;了解熟悉业务的过程;风险文化宣贯的过程。方案及风险评估成果的上报;风险管理工作开展过程中,通过培训会等方式沟通。通过交流会、典型宣传等多种方式、使单位间互相借鉴通过交流会、典型宣传等多种方式、使单位间互相借鉴聘请外部资深机构或讲师指导、培训二、管理责任该管理体系应包含以下要素:6)培训:应为管理层及工人制定培训计划,以落实参与者的政策、程序及改善目标,同时满足适用之法规的规定。7)沟通:应制定一套流程,将参与者的政策、实践、预期目标和绩效清晰准确地传达给工人、供应商和客户。8)工人反馈和参与:制定方案持续评估员工对本守则的理解并获取对本守则所覆盖的实践和条件的反馈意见,从而促进持续改进。该管理体系应包含以下要素:9)审核与评估:定期进行自我评估,以确保符合法规的要求、本守则内容以及客户合约中的社会与环境责任要求。10)校正措施:制定流程,以及时纠正在内、外部的评估、检查、调查和评论中所发现的不足之处。11)文件和记录:建立并保留文档和记录,以确保符合法规与公司的要求,同时应妥善保护机密。12)供应商责任:应制定一套流程,以将本守则的要求传达给供应商,并监督供应商对本守则的遵守情况。
