-1-二OO八年十二月全面风险管理知识培训全面风险管理知识培训中央企业全面风险管理指引解读-2-中央企业全面风险管理指引核心内容第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则 指引架构核心内容三个概念一个目标五种风险三道防线一个流程两个体系一种文化四种方法原则、要求、定义流程流程流程流程、体系流程体系体系文化其它要求 -3-目录基本概念风险管理流程风险管理组织体系风险管理信息系统指引解读风险管理文化风险管理常用技术方法-4-全面风险管理架构-5-三个概念企业风险 指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）全面风险管理 指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 内部控制系统 指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。 -6-风险管理总体目标 财务报告真实可靠确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；合规合法确保遵守有关法律法规；高效运营确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；与战略目标一致确保将风险控制在与总体目标相适应并可承受的范围内；应对突发事件防止重大损失确保企业建立针对各项重大风险发生后的违纪处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。风险管理总体目标-7-五大风险法律风险运营风险战略风险财务风险市场风险企业风险-8-战略风险战略风险是指企业在发展方向和速度等战略方面的制订和实施上出现错误，或因未能随环境的改变而作出适当的调整，而导致经济上的损失。常见的战略风险包括： - 宏观政策及形势把握风险 - 发展方向失误风险 - 发展速度过快风险 - 新产品推广策略风险 - 对新市场开发投入风险 - 并购风险 战略风险定义三九集团“航空母舰”战略，承债式兼并大批地方国企经过10年的快速扩张，由成立时的500多万元资产扩张到超过200亿元资产、400多家子企业的“航空母舰”但银行负债达107亿元，子公司和关联公司的贷款和贷款担保余额约在60亿至70亿之间 ，合计约180亿元母公司难以偿还到期债务，引发危机的是法律风险、财务风险，根源在于战略风险战略风险案例-9-财务风险财务风险是指融资安排、会计核算与管理、会计及财务报告失误而对企业造成的损失。常见的财务风险包括： 资金结构与现金流风险 会计核算与流程的风险 会计及财务报告虚假、不准确风险等财务风险定义长虹集团2002年前后，在无法收回海外代理商货款的情况下，仍然向海外发货，忽视应收账款的坏账风险；在1998年至2003年间实现利润人民币33亿元，却遭受39亿元的海外欠款，最终不得不于2004年在美国向海外代理商提起诉讼，开始了长达一年半的跨国诉讼；为尽早结束无休止的跨国诉讼，2006年4月该企业与代理商签订和解协议，收回应收账款金额仅为人民币13.6亿元，损失25.4亿元，占同期利润的77%。财务风险案例-10-市场风险市场风险是指因市场等外界条件变化而使企业产生经济损失的风险。 常见的市场风险包括： 商品价格与物资供应风险 客户、供应商信用风险 影响市场需求的因素及变化风险 税收风险 利率、汇率风险 竞争对手给本企业带来的风险市场风险定义百富勤集团90年代，百富勤原是亚洲(除日本外)的最大投资银行。90年代末，百富勤没有充分意识到新兴金融市场的风险，并且低估了利率和汇率波动的风险，集中大量投资于印尼和泰国市场。在亚洲金融风暴的冲击下，百富勤在短短一年内出现入不敷出，至1999年1月宣布破产。市场风险案例-11-运营风险运营风险是指企业内部流程和系统、人为或外部因素给企业造成的经济损失。人为因素是指企业员工由于缺乏诚信道德而导致的舞弊行为，或缺乏知识、能力而导致的错误和重大损失。流程风险是指交易流程中出现错误而导致损失的风险，例如：在销售流程中（包括定价、记录、确认、出货等环节）出错而导致损失的风险。信息系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险 。外部事件风险是指火灾、自然灾害、市场扭曲等事件。运营风险定义法国兴业银行法国兴业银行2008年1月24日宣布：因交易员杰洛米 科维尔的“欺诈行为”造成近50亿欧元损失法国财政部调查报告认为：法兴银行内部监控系统有问题:-对交易员盘面资金的监督；-对资金流动的跟踪；-后台与前台完全隔离规则的遵守；-信息系统的安全及密码保护等。运营风险案例-12-法律风险法律风险是指企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失的风险。 常见的法律风险包括： 国内外政治法律环境与政策风险 员工道德操守风险 重大协议与合同的遵守与履行风险 法律纠纷 知识产权保护法律风险定义西门子公司西门子公司由于在电信商业竞标中的贿赂行为遭到意大利、瑞士、美国等国调查。2007年，西门子公司内部开展调查，公布涉嫌金额达4.2亿欧元；外部调查显示贿赂金额可能超过15亿美元。尽管西门子公司2007年业绩优异，前三财季净利润同比增长54%，但由于美国政府介入调查，78月公司股价下跌25%；2007年10月，西门子公司被慕尼黑地方法院处以2亿欧元的罚款和1.79亿欧元的补充税款；高管们被迫辞职甚至被捕、定罪；法律风险案例-13-风险管理三道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会 内部审计部门和董事会下设的审计委员会 定期自查和检验并汇报检查、检验并评价出具评价和建议报告 监督评价第一道防线第二道防线第三道防线核心是把风险管理融入企业管理的各部门、各业务流程中-14-目录基本概念风险管理流程风险管理组织体系风险管理信息系统指引解读风险管理文化风险管理常用技术方法-15-目录风险管理流程图初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-16-风险管理流程图风险管理初始信息风险评估风险管理策略风险管理解决方案风险管理的监督改进54321战略风险、财务风险、市场风险、运营风险、法律风险的初始信息收集风险辨识（针对业务、流程）风险分析（发生可能性高低、风险发生条件）风险评价（影响程度、风险价值）风险偏好、承受度、管理有效性标准；选择风险管理工具（风险态度）风险解决具体目标、组织领导、管理、流程、条件、手段；风险事件前、中、后采取的具体应对措施以及风险管理工具对风险管理解决方案的实施情况的有效性进行检验风险分析风险评估和控制风险管理流程-17-目录初始信息收集风险管理流程初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-18-风险管理初始信息收集的目的整个风险管理的第一步，在企业开展风险评估工作之前，首先需要收集风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测，作为风险评估的准备。旨在协助企业业务单位及职能部门于主要风险领域内清楚了解企业的目标、相关业务流程、各重大业务流程的关键成功因素及绩效指标,行业竞争优势，以及企业及行业竞争对手的重大损失事件案例分析等。这些信息与潜在风险驱动因素有着重大关系。-19-风险管理初始信息收集范围和内容战略风险 财务风险 市场风险 运营风险 法律风险 国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；科技进步、技术创新的有关内容；市场对本企业产品或服务的需求；与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；本企业主要客户、供应商及竞争对手的有关情况；与主要竞争对手相比，本企业实力与差距；本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。 负债、或有负债、负债率、偿债能力；现金流、应收账款及其占销售收入的比重、资金周转率；产品存货及其占销售成本的比重、应付账款及其占购货额的比重制造成本和管理费用、财务费用、营业费用盈利能力；成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。 产品或服务的价格及供需变化；能源、原材料、配件等物资供应的充足性、稳定性和价格变化；主要客户、主要供应商的信用情况；税收政策和利率、汇率、股票价格指数的变化；潜在竞争者、竞争者及其主要产品、替代品情况。 产品结构、新产品研发；新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；期货等衍生产品业务中曾发生或易发生失误的流程和环节；质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；企业风险管理的现状和能力。 国内外与本企业相关的政治、法律环境；影响企业的新法律法规和政策；员工道德操守的遵从性；本企业签订的重大协议和有关贸易合同；本企业发生重大法律纠纷案件的情况；企业和竞争对手的知识产权情况。 -20-目录风险评估风险管理流程初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-21-风险评估作用进行风险评估的工作可以提高管理层和员工的风险意识，并明确风险管理的职责引入共同的风险语言评估风险应涵盖企业的战略、财务、市场、运营及法律风险层面，并确定这些风险会给企业带来的影响评估能影响企业实现其战略目标的最重大的风险评估任何能损害企业名声的 “突发事件”决定企业 “下一步” 该如何管理及监督重大的风险-22-风险评估方法l评估风险对企业实现目标的影响程度、风险的价值等风险辨识风险评价l研究企业各业务单元、各项重要经营活动及其重要业务流程中有无风险、有哪些风险工作内容具体工作方法备注备注l对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生的可能性高低、风险发生的条件风险分析l定性分析问卷调查集体讨论专家咨询情景分析政策分析行业标杆比较管理层访谈工作访谈和调查研究l定量分析统计讨论（集中趋势法）计算机模拟（蒙特卡罗模拟）失效模式与影响分析事件树分析l定量分析进行风险定量分析时，应统一制定各风险的度量单位和风险度量模型并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性根据环境的变化定期对假设前提和参数进行复合和修改，并将定量评估系统的估算结果和实际效果对比l风险分析风险分析应包括风险的量化分析，风险之间的关系分析，一边发现各风险之间的自然对冲、风险实践发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理l风险评估企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，确定优先管理次序-23-风险评估步骤。Risk2risk1综合信息框架风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价评估报告重大风险模型。风险评估报告-24-目录风险策略风险管理流程初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-25-风险策略的定位风险管理策略在整个风险管理体系中起着统领全局的作用风险管理策略在企业风险管理的过程中起着承上启下的作用风险管理策略是根据企业经营战略制定的全面风险管理的整体策略整体战略统领全局承上启下-26-风险策略的概念 即企业愿意承担风险的限度，也是风险偏好的边界。 例如，某企业为实现快速发展愿意承担企业负债率在50-70%之间、投资损失占净资产比例为5-10%之间的风险。 在70%、10%下一定幅度确定两个风险的各自预警线。 风险管理有效性标准的作用是帮助企业了解： 企业现在的风险是否在风险承受度范围之内，即风险是否优化； 企业风险状况的变化是否是企业所要求的，即风险的变化是否优化。 因此，量化的企业风险管理有效性标准可以基于企业风险承受度的度量。 即企业在愿意承担风险的种类、大小等方面的基本态度。例如，某企业愿意承担快速发展带来的较大风险。风险偏好风险承受度风险管理有效性标准 风险管理策略是指企业根据自身条件和外部境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。-27-风险策略的关键l风险承受度的表述需要对所针对的风险进行量化描述l风险偏好可以定性，但风险承受度一定要定量l如果不能量化，仅靠直觉的观察或感觉很可能出错，不容易在整个企业统一思想，不能够准确计算成本与收益的关系，也不容易同绩效考核联系起来l很多风险管理手段如风险理财必需风险的量化描述-28-风险策略流程企 业 使 命风险管理策略风险应对策略风险偏好风险承受度战 略 重大风险管理的目标有效性标准风 险 承 担风 险 规 避风 险 转 移风 险 转 换风 险 对 冲风 险 补 偿风 险 控 制选择风险管理工具配置资源人力资源物力资源-29-风险管理工具风险承担企业面临的风险有许多。通常企业能够明确辨识的风险只占全部风险的少数。风险评估的工作结果对于企业是否采用风险承担影响很大对未能辨识出的风险，企业只能采用风险承担对辨识出的风险企业也可能缺乏能力进行主动管理，对这部分风险只能采用风险承担对企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担 风险承担是指企业对所面临的风险采取被动接受的态度，从而承担风险带来的后果-30-风险管理工具风险规避风险规避举例：退出某一市场以避免激烈的竞争拒绝与信用不好的交易对手进行交易外包某项对工人健康安全风险较高的工作停止生产可能有潜在客户安全隐患的产品回避政治动荡的地区禁止各业务单位在金融市场进行投机，只准套期保值不准员工访问某些网站或下载某些内容 风险规避是指企业回避、停止或退出蕴含某风险的商业活动或商业环境，避免成为风险的所有人-31-风险管理工具风险转移保险：保险合同规定保险公司为预定的损失支付补偿，作为交换，在合同开始时，投保人要向保险公司支付保险费非保险型的风险转移：将风险可能导致的财务损失负担转移给非保险机构。例如服务保证书等风险证券化：通过证券化保险风险构造的保险连接型证券（ILS）。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度 风险转移是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权-32-风险管理工具风险转换风险转换的手段包括战略调整和衍生产品等风险转换一般不会直接降低企业总的风险，其最简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款风险，但扩大了销售额企业可以通过风险转换在两个或多个风险之间进行调整，达到最佳效果风险转换可以在低成本或者无成本情况下达到目的 风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险-33-风险管理工具风险对冲常见的例子有资产组合的使用，多种外币结算的使用和战略上的分散经营等在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值在企业的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲风险对冲必须涉及风险组合，而不是对单一风险进行风险规避、控制 风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是，使这些风险的影响互相抵消-34-风险管理工具风险补偿对于那些无法通过风险分散、风险对冲或风险转移进行管理，而且又无法规避、不得不承担的风险，投资者可以采取在交易价格上附加风险溢价，即通过提高风险回报的方式，获得承担风险的价格补偿。 风险补偿主要是指事前（损失发生以前）对风险承担的价格补偿。这是风险管理主要目标之一。-35-风险管理工具风险控制通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。前者的例子如室内使用不易燃地毯，山上禁止吸烟等；后者的例子如修建水坝防洪，设立质量检查防止次品出厂等风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险 风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的可能性的目的-36-目录风险管理解决方案风险管理流程初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-37-风险管理解决方案风险管理解决方案 方案包含：风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具外包方案内控方案注重成本与收益的平衡注重外包工作的质量注重自身商业秘密的保护防止自身对风险解决外包产生依赖性风险应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则；针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。-38-风险管理解决方案实施流程-39-目录内部控制系统风险管理流程初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-40-内部控制的起源与发展战 略内部环境风险对策控制活动信息与沟通监 督经 营报 告遵 循子公司业务单位分支机构企业整体层次目标设定事件识别风险评估l内部控制的概念始于上世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容。l美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。l美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求。l2004年的COSO企业风险管理整合框架指出企业风险管理是一个过程，为一个企业的董事会、管理层和其他人员所影响，应用于战略制定和企业的各部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好内管理风险，为企业目标的实现提供合理保证。内部控制三维图-41-基于COSO模型的企业风险管理八要素控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。-42-内部控制系统概念l内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，对影响业务流程目标实现的各种风险进行有效管理和控制的过程。l内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措。l一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程，如流程执行过程中的偏差、质量问题、财务报告的不准确及合规问题。l内控系统以流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程；必要时，建立相关的流程。l完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，设计内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分。-43-内部控制系统作用与实施流程风险控制点控制措施? 流程是否存在 设计是否合理 职责是否明确 执行是否严格 奖惩是否明白 效果是否满意 风险是否辨识 影响什么指标 影响哪些环节 影响哪些部门或 哪一级企业 分析是否彻底 应对是否存在 设计是否合理 职责是否明确 是否经过检验 效果是否满意信息（会计信息和经营信息）的可靠性和完整性遵循政策、计划、程序、法律和法规资产的安全提高经营效益和效能.实现经营的目标和防止浪费资源内部控制的作用在于保证/保护-44-内部控制体系的基本原则l全面性覆盖企业所有重要业务及管理流程和流程的全过程l系统性按统一原则制定，与风险策略一致l合规性符合国家有关法律法规l成本效益控制与收益平衡l权力分离及相互制约岗位之间相互制约，重要流程及决策不能由一个人完成l激励平衡权责明确及奖惩结合l信息反馈内部控制应有自我调节功能l可操作性根据企业现有操作水平制定l包容性不致因个别环节失灵导致全系统失灵-45-内部控制系统与风险管理、企业管理的关系风险评估外部审计内部控制控制环境内部审计控制活动信息沟通持续监控风险管理目标设定风险识别风险应对企业管理各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理等风险战略治理结构组织体系风险理财正确认识内控与审计、风险管理、企业管理的关系-46-指引的内部控制系统内控岗位 授权制度 内控报 告制度 内控批 准制度 内控责 任制度 内控审 计检查 制度 内控考核 评价制度 重大风险 预警制度 企业法律 顾问制度 重要岗位权力制衡制度 内部控制系统-47-（一）内控岗位授权制度 (一) 建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；l授权制度至关重要。要做到事事有授权，尤其是重大决策更是要明确的授权。l授权应当遵循岗位分离的原则，授权范围要适当。不可过宽，过宽则内控失灵；不可过窄，过窄则影响效率。l授权应当结合激励机制，明确授权的同时明确奖惩。l信息系统在流程中的使用有助授权制度的刚性化-48-（二）内控报告制度 (二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；l内控报告制度是内控信息反馈原则的具体体现l内控报告制度是内控的有效性保证，其作用是使各级管理层和企业内外部的利益相关人能够及时得到企业的内控的真实信息l内控报告制度是风险管理信息沟通，其时间、频率、内容等应与针对的风险匹配-49-（三）内控批准制度 (三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；l内控批准制度是授权制度的表现l对内控所涉及的重要事项，如重大决策与重要信息的披露等建立明确的批准制度，使得流程的控制更加严密l要坚持风险控制与运营效率及效果相平衡的原则，对公司内控所涉及的事项进行分级、分类的管理，同时可利用信息系统提高运营效率-50-（四）内控责任制度 (四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；l内控责任制度应与内控授权制度配套，并配之以合理的奖惩措施l要明确每一个员工在内部控制中的责任及其奖惩，并严格执行。没有奖惩制度的责任会落空，不严格执行的奖惩制度也会落空l内控责任可能与业务无关，但同样需要考核-51-（五）内控审计检查制度 (五) 建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；l内控审计制度是内控系统中的重要组成部分，是内控系统执行风险管理基本流程中监控改进步骤的重要环节，是保证内控有效并不断提高的关键l应当坚持审计部门与内控的执行部门的相对独立l内控审计的计划和审计报告应当得到风险管理委员会的批准l内控审计是审计业务的一个新事物，是国际上的趋势。企业应当高度重视，配备人才，做好这项工作-52-（六）内控考核评价制度 (六) 建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；l内控的绩效考核是内控的奖惩措施的落实l在有条件时，要量化内控的绩效。可以考虑使用如内控失灵造成的损失、产生的次质品、客户满意度，人才流失度等指标来衡量内控的效果l不能量化内控的绩效时，可以采用同行评比，专家意见等方法-53-（七）重大风险预警制度 (七)建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；l重大风险预警制度是对引起风险事件发生的关键成因指标进行管理的方法，依靠对关键成因的监测，监控重大风险发生的可能性l关键风险成因管理可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险-54-（八）以总法律顾问制度为核心的企业法律顾问制度 (八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；l法律风险管理是企业全面风险管理的一部分，管理企业法律风险要服从企业整体风险管理策略l随着市场环境的变化和国企走出国门，法律风险日益突出l要充分考虑到法律风险的环境特性和复合特性，即法律风险管理的专业性-55-（九）重要岗位权力制衡制度 (九)建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。l这是内控的基本原则l首先要明确重要的岗位，涉及重大决策制定、重大事件应对、重大风险管理、重要信息的披露等的责任应视为重要岗位l完善的公司治理制度，即董事会和管理层的分离、决策层和执行层的分离是权力制衡的设计典范l特别要注意在大的流程设计层面，重要流程及决策不能由一个人或一个部门自始至终完成-56-目录风险管理的监督与改进风险管理流程初始信息收集风险评估风险策略风险管理流程风险管理解决方案内部控制系统风险管理的监督与改进-57-风险管理监督与改进的要点l监督与改进的工作是监控风险和风险管理的情况，并据此更新初始信息框架，以对全面风险管理的工作作出持续的改进。l监控包括：监控内外部风险的发展和风险事件的发生，如市场的变化、法律法规的变化、企业自身战略的改变、企业的运营状况等l监控全面风险管理体系的运行和实施效果l监控得到的信息要及时用于更新初始信息，以便对新的情况进行风险评估，并改进风险管理策略，改进解决方案，使风险管理的效果不断提升-58-风险管理的监督与改进 关注风险管理的目标 分析风险管理实施的有效性发现并传递重大风险管理缺陷持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。-59-风险管理监督的方法、对象、重点及结论监督的重点监督的对象1.风险管理初始信息 2.风险评估 3.风险管理策略 4.关键控制活动 5.风险管理解决方案 1. 重大风险2. 重大事项和重大决策3. 重要管理及业务流程风险管理活动是否有效改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守压力测试返回测试穿行测试风险控制自我评估-60-风险管理监督的方法概念压力测试指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。返回测试将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。穿行测试在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。-61-风险管理监督与改进的职责分工风险管理职能部门 内部审计部门 各有关部门和业务单位 l定期对风险管理工作进行自查和检验；l发现缺陷并改进；l向企业风险管理职能部门及时报送其检查、检验报告。 l定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验；l对风险管理策略进行评估；l对跨部门和业务单位的风险管理解决方案进行评价；l提出调整或改进建议；l出具评价和建议、报告并及时报送企业总经理或其委托分管风险管理工作的高级管理人员。 l至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价；l监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。 l对企业全面风险管理工作进行评价l出具风险管理评估和建议专项报告 专业中介咨询机构-62-目录基本概念风险管理流程风险管理组织体系风险管理信息系统指引解读风险管理文化风险管理常用技术方法-63-风险管理组织体系架构企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。-64-风险管理组织体系职能质量控制各相关职能部门和业务单位审计委员会总经理风险管理流程所有者 中介机构共同组建项目组风险管理委员会 (ICC)风险管理评估报告项目执行技术专家公司层面控制项目组业务层面控制项目组信息系统控制项目组内部审计师-65-风险管理体系的建立建立风险管理体系阶段主要包括分析风险管理体系现况、设计风险管理体系及架构、建立风险管理制度及流程。收集及分析基础资料通过访谈了解业务情况掌握现有状况及战略方向建立风险评估标准决定风险管理框架设计检讨并重建风险管理流程建立风险识别要素确定风险管理体系建立风险管理组织结构确定职责分工建立报告体系制定风险管理政策及指南制定风险管理手册报告培训及转变管理建立指标选定及评价标准分析风险管理体系现况设计风险管理体系建立风险管理架构建立风险管理制度及流程-66-目录基本概念风险管理流程风险管理组织体系风险管理信息系统指引解读风险管理文化风险管理常用技术方法-67-风险管理信息系统信息采集必须明确需要哪些基础信息，信息的来源、收集频度，不同基础信息之间的口径差异，信息的采集流程，技术手段等基础信息需要进行加工和提炼才能成为可进行分析的风险管理信息信息分析与测试信息传递信息采集信息存储信息加工信息存储需要建立良好的数据架构，解决好数据标准化和存储技术问题分析的内容、层次、方法和频度都应是信息分析环节关注的重点风险管理系统必须建立良好的信息传递机制，这种传递机制应当建立于风险管理的各个环节中企业应建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露。-68-对风险管理信息系统的要求沟通频率高、方式随意具有沟通所需的物质条件完善的沟通制度和系统全方位的信息共享传递的内容：以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。要求：及时保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整保证把应该传递的信息不打任何折扣地传递到相关部门和岗位-69-目录基本概念风险管理流程风险管理组织体系风险管理信息系统指引解读风险管理文化风险管理常用技术方法-70-风险管理文化内容企业应当建立有风险意识的企业文化，促进员工风险意识的提升；风险管理文化建设应当融入企业文化建设全过程；企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化培育、总经理负责培育风险管理文化日常工作，董事和高层管理人员在培育风险文化中起到表率作用；企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲诚信、合法合规经营的风险管理文化；风险管理文化应当同薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识；企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。-71-风险管理文化三要素风险管理文化三要素： 树立正确的风险管理理念； 增强员工风险管理意识； 把风险管理意识转化为员工的自觉行动。-72-企业文化建设风险管理培训全面营造风险管理文化薪酬人事制度法律素质教育培育风险管理文化风险管理文化架构风险管理文化是风险管理体系的灵魂，风险管理体系建设必须以先进的风险管理文化培育为先导。 -73-目录基本概念风险管理流程风险管理组织体系风险管理信息系统指引解读风险管理文化风险管理常用技术方法-74-风险管理常用技术方法风险坐标图 风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）；用定性、定量等方法对风险发生可能性的高低、风险对目标影响程度进行评估。 蒙特卡罗方法 蒙特卡罗法是一种随机模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。 关键风险指标管理 一项风险事件发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。 压力测试 压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。 -75-风险坐标图法承担A区域中的各项风险且不再增加控制措施严格控制B区域中的各项风险且专门补充制定各项控制措施确保规避和转移C区域中的各项风险且优先安排实施各项防范措施A区域极低 低 中等 高 极高 影响程度 可能性B区域C区域B区域285341769极低 低 高l定性方法是直接用文字描述风险发生可能性的高低、风险对目标的影响程度，如“极低”、“低”、“中等”、“高”、“极高”等。l定量方法是对风险发生可能性的高低、风险对目标影响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程度用损失金额来表示。-76-风险发生可能性的定性、定量评估举例定量方法一定量方法一评分评分12345定量方法二定量方法二一定时期发生一定时期发生的概率的概率10%以下10% - 30%30% - 70%70% - 90%90%以上 定定性性方方法法文字描述一文字描述一极低低中等高极高文字描述二文字描述二一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生常常会发生文字描述三文字描述三今后10年内发生的可能少于1次今后510年内可能发生1次今后25年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次风险发生可能性的定性、定量评估举例-77-风险发生对目标影响程度的定性、定量评估举例定量方法定量方法一一评分评分12345定量方法定量方法二二企业财务损失占税企业财务损失占税前利润的百分比前利润的百分比(%(%）1%以下1%-5%6%-10%11%-20%20%以上定性方法定性方法文字描述一文字描述一极轻微的轻微的中等的重大的灾难性的文字描述二文字描述二极低低中等高极高文文字字描描述述三三企业日常企业日常运行运行不受影响轻度影响(造成轻微的人身伤害，情况立刻受到控制)中度影响(造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制)严重影响(企业失去一些业务能力，造成严重人身伤害，情况失控，但无致命影响)重大影响(重大业务失误，造成重大人身伤亡，情况失控，给企业致命影响)风险发生对目标影响程度的定性、定量评估举例-78-蒙特卡罗风险方法1量化风险。将需要分析评估的风险进行量化，明确其度量单位，得到风险变量，并收集历史相关数据。2根据对历史数据的分析，借鉴常用建模方法，建立能描述该风险变量在未来变化的概率模型。建立概率模型的方法很多，例如：差分和微分方程方法，插值和拟合方法等。这些方法大致分为两类：一类是对风险变量之间的关系及其未来的情况作出假设，直接描述该风险变量在未来的分布类型（如正态分布），并确定其分布参数；另一类是对风险变量的变化过程作出假设，描述该风险变量在未来的分布类型。3计算概率分布初步结果。利用随机数字发生器，将生成的随机数字代入上述概率模型，生成风险变量的概率分布初步结果。4修正完善概率模型。通过对生成的概率分布初步结果进行分析，用实验数据验证模型的正确性，并在实践中不断修正和完善模型。5利用该模型分析评估风险情况。 正态分布是蒙特卡罗风险方法中使用最广泛的一类模型。通常情况下，如果一个变量受很多相互独立的随机因素的影响，而其中每一个因素的影响都很小，则该变量服从正态分布。在自然界和社会中大量的变量都满足正态分布。描述正态分布需要两个特征值：均值和标准差。 量化风险。 由于蒙特卡罗方法依赖于模型的选择，因此，模型本身的选择对于蒙特卡罗方法计算结果的精度影响甚大。蒙特卡罗方法计算量很大，通常借助计算机完成。 -79-关键风险指标管理 具体操作步骤：1.分析风险成因，从中找出关键成因；2.将关键成因量化，确定其度量单位，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值；3.以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标；4.建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息；5.制定出现风险预警信息时应采取的风险控制措施；6.跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。-80-关键风险指标的分解企业目标的实现要靠企业的各个部门和业务单元共同的努力，同样，企业的指标要分解到企业的各个部门和业务单元。对于关键风险指标也是一样。但是，对于关键风险指标的分解要注意部门和业务单元之间的关系。这里的关键是从企业整体出发和把风险控制在一定范围内。切不可采用“最大化”的说法。比如，信用管理部门负责信用风险的管理，如果其强调最小化信用风险，紧缩信用，则会给负责扩大市场占有率和销量的市场和销售部门造成伤害，从而影响公司整体目标的实现。对于关键风险指标的分解，要兼顾各部门和业务单元的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单元间的协商。以易燃易爆危险品储存容器泄漏引发爆炸的风险管理为例。容器泄漏的成因有：使用时间过长、日常维护不够、人为破坏、气候变化等因素，但容器使用时间过长是关键成因。若容器使用最高期限为50年，人们发现当使用超过45年后则易发生泄漏。该“45”年即为关键风险指标。为此，制定使用时间超过“45”年需采取的风险控制措施，一旦使用时间接近或达到“45”年时，发出预警信息，即采取相应措施。该方法既可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险。使用该方法，要求风险关键成因分析准确，且易量化、易统计、易跟踪监测。-81-压力测试要点 具体操作步骤如下：1针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。极端情景是指在非正常情况下，发生概率很小，而一旦发生，后果十分严重的事情。假设极端情景时，不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训，还要考虑历史上不曾出现，但将来可能会出现的事情。2评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。3制定相应措施，进一步修改和完善风险管理模型或内控流程。 以信用风险管理为例。 如：一个企业已有一个信用很好的交易伙伴，该交易伙伴除发生极端情景，一般不会违约。因此，在日常交易中，该企业只需“常规的风险管理策略和内控流程”即可。采用压力测试方法，是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗)，被迫违约对该企业造成了重大损失。而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件，为此，该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施。-82-其它风险管理技术方法风险管理的方法有很多种，国资委只是将常用几种方法推荐送给企业，企业也可以根据自身实际情况采用不同的方法风险识别方法：五因子法（GFREO模型） 风险解构识别法 事故树法 因子识别法风险测评方法：风险矩阵风险控制方法：风险策略五梯度模型 风险控制规划矩阵-83-风险识别方法：风险识别五因子法（GFROE模型） 风险识别五因子法（GFREO 模型）目标因素风险事件结果GoalGFREOFactorRiskEventOutcome1、目标（Goal）：企业经营目标、部门绩效指标等2、风险因素（ factor）：在实现目标过程中的关键因素3、风险（ risk ）：企业、部门或岗位面临的不确定性4、风险事件（event）：发生的风险事件5、风险结果（outcome）：发生的风险事件/结果-84-开始工作内容工作时间工作标准前端保障胜任能力工作设备相关方配合控制与监督结束风险：工作内容定义不清晰风险：工作时间紧迫风险：工作标准不切实工作实际工作标准难以达成风险：前端部门提交材料不充分或有误风险：员工经验不足员工信息搜集和分析能力较弱风险： 缺乏监督岗位上级领导审核工作不到位风险：工作设备配备不到位工作设备不能支持工作风险：相关部门配合工作不到位示意图风险识别方法：风险解构识别法-85-风险识别方法：事故树法事件树法以树状图形方式分析风险事件因果关系的方法，树的顶端是关注的主要事件（即事故），树的分支表示事件发生的所有原因。适用范围适于分析复杂的系统或问题，揭示系统中的哪些部分对风险的影响最大，更重要的是确定导致主要事件发生的最小量的次要事件组合。实际应用可与概率法相结合，通过确定次要事件的概率，计算出主要事件发生的概率；可与案例分析法相结合，分析国内外同行业其他企业发生的重大风险事件，揭示风险形成的所有原因及影响路径，对本企业的风险评估和管理起到很好的借鉴作用。-86-风险识别方法：因子识别法内部风险企业文化项目风险组织与流程战略转型资源风险外部风险技术风险行业环境政策监管产业风险经济社会在研究公司战略基础上，结合行业特点，对外源性、内源性风险进行识别-87-风险测评方法：风险矩阵（B）从“发生可能性”维度测量：如某风险情况是“每年发生几次”，则“发生可能性”等级取D级（A）从“结果”维度测量：如某风险在“战略或经营目标”无损失（0级）、“财产”较小损失（2级）、“声誉损失/环境危害/人身伤害”方面无影响（0级），则“结果”等级取这些标准中最严重的 2 级（A）从“结果”维度测量：看该风险的损失符合“战略或经营目标损失”“财产”“声誉损失/环境危害/人身伤害”的哪个级别，选择最严重的！（B）从“发生可能性”维度测量：通过经验判断风险发生状况，确定可能性维度该风险等级：D2示意图-88-风险控制方法：风险策略五梯度模型按照风险偏好、风险承受度、风险趋势、风险发生原因、风险态度五个梯度对重大风险行为进行判定风险承受度：风险承受能力，指的是投资者/企业所能承受的最大损失风险趋势：近期风险发生呈现出的上升或是下降的态势风险态度：依据风险偏好、承受度、性质等因素确定的对风险处理的态度风险偏好：是指人们对待风险的态度，也是人们在承担风险时对回报的态度风险发生原因：依据风险发生的主要原因对风险进行分类综合上述各分析，对重大风险事件做出判定重大风险事件-89-风险控制方法：风险控制规划矩阵按照明确责权、明确执行者能力要求、分离不相容职务、部门内法律审查等十二个维度对风险/风险事件控制状况进行评估，并针对此评估制定控制措施/计划示意图- 90 -谢 谢!