2024/9/20迪博企业风险管理技术有限公司1如何将风险评估与内部控制有机结合如何将风险评估与内部控制有机结合 迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司 董事长董事长 胡为民胡为民�主讲人:胡为民主讲人:胡为民联系方式:联系方式:18610589258 迪博企业风险管理技术有限公司创始人迪博企业风险管理技术有限公司创始人,, 中山大学管理学院兼职导师、深圳证券交易所创业培中山大学管理学院兼职导师、深圳证券交易所创业培训中心讲师训中心讲师 ,财政部高级会计师考试命题组专家成员,财政部高级会计师考试命题组专家成员, ,财政部全国内控征文专家评委财政部全国内控征文专家评委迪博是迪博是一一家提供内部控制、全面风险管理解决方案的技术服务商,包括内部控制、风险管理体系咨询以及家提供内部控制、全面风险管理解决方案的技术服务商,包括内部控制、风险管理体系咨询以及内部控制、风险管理的软件开发内部控制、风险管理的软件开发 胡为民先生胡为民先生曾为中国中铁、曾为中国中铁、中国铁建、中国铁建、中国建筑、中国水利水电建设集团、中国葛洲坝集团、中国建筑、中国水利水电建设集团、中国葛洲坝集团、、、中国长江三峡集团、中国华能、国家核电技术公司、中国航天科工集团、中国长江三峡集团、中国华能、国家核电技术公司、中国航天科工集团、东风汽车东风汽车、中国西电、、中国西电、中国恒天集团、柳工中国恒天集团、柳工等数十家集团公司和上市公司等数十家集团公司和上市公司提供过咨询服务提供过咨询服务,在内部控制,在内部控制/ /风险管理方面风险管理方面积累了丰富的实践经验。
积累了丰富的实践经验 应国务院国有资产监督管理委员会的邀请曾多次给中央企业、地方国资委和地方国有企业讲应国务院国有资产监督管理委员会的邀请曾多次给中央企业、地方国资委和地方国有企业讲授风险管理授风险管理, , 应中国证券监督管理委员会、应中国证券监督管理委员会、深圳证券交易所的邀请给上市公司深圳证券交易所的邀请给上市公司高管高管讲授内部控制,讲授内部控制,应财政部邀请参与应财政部邀请参与相关相关内部控制规范的内部控制规范的起草、起草、审定工作审定工作 主持国家重大专项课题:中国上市公司内部控制指数研究主持国家重大专项课题:中国上市公司内部控制指数研究 参与国家自然科学基金的课题:内部控制与投资者保护参与国家自然科学基金的课题:内部控制与投资者保护——基于基于C-SOXC-SOX的实施研究的实施研究 参与参与财政部财政部的主要课题:信息技术内部控制指引及典型案例研究、关联交易内部控制指引及的主要课题:信息技术内部控制指引及典型案例研究、关联交易内部控制指引及典型案例研究、企业并购内部控制指引与典型案例研究、对子公司内部控制指引与典型案例研究典型案例研究、企业并购内部控制指引与典型案例研究、对子公司内部控制指引与典型案例研究 主持研究并发布主持研究并发布20082008、、20092009、、20102010、、20112011年中国上市公司内部控制白皮书以及年中国上市公司内部控制白皮书以及““迪博中国上迪博中国上市公司内部控制指数市公司内部控制指数””。
著有著有《《内部控制与企业风险管理内部控制与企业风险管理----实务操作指南实务操作指南》》、、 《《内部控制与企业风险管理内部控制与企业风险管理——案例分析案例分析与评价与评价》》、、《《上市公司内部控制实务上市公司内部控制实务》》、、《《中国上市公司内部控制指数研究中国上市公司内部控制指数研究》》、、 《《上市公司内上市公司内部控制评价实务部控制评价实务》》等等书 迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�目录目录目录目录何谓风险评估何谓风险评估 1 风险评估的程序与方法风险评估的程序与方法23风险评估与内部控制有机结合风险评估与内部控制有机结合3迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�目录目录目录目录何谓风险评估何谓风险评估 14迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险的定义风险的定义风险的定义风险的定义 风险是指未来的不确定性对企业实现其经营目标的风险是指未来的不确定性对企业实现其经营目标的影响–按企业经营管理的职能划分:战略风险、财务风险、市场风险、运按企业经营管理的职能划分:战略风险、财务风险、市场风险、运营风险、法律风险。
营风险、法律风险–按给企业造成的结果划分:纯粹风险按给企业造成的结果划分:纯粹风险( (只有带来损失一种可能性,如只有带来损失一种可能性,如安全事故、违法事件安全事故、违法事件) )和机会风险和机会风险( (带来损失和盈利的可能性并存,带来损失和盈利的可能性并存,如投资风险风险如投资风险风险) )–另外,风险的分类还有很多种例如,固有风险另外,风险的分类还有很多种例如,固有风险( (未采取风险管理手未采取风险管理手段之前的原有风险段之前的原有风险) )和剩余风险和剩余风险( (风险的存量、风险的存量、“现实的现实的”风险风险) )迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风风风风险评险评险评险评估的估的估的估的原则原则原则原则风险评估的原则:风险评估的原则:―根据设定的控制目标,全面系统持续地收集相关信根据设定的控制目标,全面系统持续地收集相关信息,及时进行风险评估息,及时进行风险评估―准确识别与实现控制目标相关的内部风险和外部风准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度险,确定相应的风险承受度 迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险承受度风险承受度风险承受度风险承受度确定风险承受度确定风险承受度―风险承受度是企业能够承担的风险限度,包括风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
整体风险承受能力和业务层面的可接受风险水平―风险风险承受度是董事会或公司高管层为了追求目承受度是董事会或公司高管层为了追求目标实现而愿意接受的风险数量和风险承受的限度标实现而愿意接受的风险数量和风险承受的限度―使用定量或定性的术语使用定量或定性的术语,(,(例如风险回报与名誉例如风险回报与名誉风险比风险比) )并考虑风险误差并考虑风险误差( (可接受变更范围可接受变更范围).).―确定风险承受度的关键问题:哪些风险是公司确定风险承受度的关键问题:哪些风险是公司不能接受的?不能接受的?( (例如,环境或质量方面的妥协)例如,环境或质量方面的妥协);;哪些风险是公司为了达成竞争目标而可能接受的哪些风险是公司为了达成竞争目标而可能接受的? ? ( (例如例如 毛利率与市场份额毛利率与市场份额?)?)迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�目录目录目录目录风险评估的程序与方法风险评估的程序与方法28迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险评估应注意的问题风险评估应注意的问题风险评估应注意的问题:风险评估应注意的问题:―企业进行风险分析,应当充分吸收专业人员,组成风险分析企业进行风险分析,应当充分吸收专业人员,组成风险分析团队团队―按照严格规范的程序开展工作,确保风险分析结果的准确按照严格规范的程序开展工作,确保风险分析结果的准确―采用定性与定量相结合的方法采用定性与定量相结合的方法―按照风险发生的可能性及其影响程度等,对识别的风险进行按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序分析和排序―确定关注重点和优先控制的风险确定关注重点和优先控制的风险 迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险分析风险分析建立初始建立初始信息框架信息框架风险识别与风险识别与评估的程序评估的程序风险识别风险识别风险评价风险评价风险管理风险管理应对策略应对策略1.2.3.4.5.迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法-- --建立初始信息框架建立初始信息框架建立初始信息框架建立初始信息框架风险分析风险分析建立初建立初始信息始信息框架框架风险识别与风险识别与评估的程序评估的程序风险识风险识别别风险评风险评价价风险管风险管理应对理应对策略策略1.2.3.4.5.1.建立初始信息框架建立初始信息框架―风险管理初始信息是风险管理风险管理初始信息是风险管理的第一步的第一步―企业在开展风险评估工作之前,企业在开展风险评估工作之前,首先需要首先需要 收集风险和风险管理相收集风险和风险管理相关的内部、外部初始信息关的内部、外部初始信息―包括历史数据和未来预测,建包括历史数据和未来预测,建立风险损失事件案例库立风险损失事件案例库(本企业、本企业、国内、国际国内、国际),为风险评估做好准,为风险评估做好准备。
备迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法-- --建立初始信息框架建立初始信息框架建立初始信息框架建立初始信息框架企业风险企业风险及其类别及其类别战略风险战略风险财务风险财务风险市场风险市场风险运营风险运营风险法律风险法律风险迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�战略风险企业在战略的制订和实施上出现错误,或因未能随环境的改变而作出适当的调整,而导致经济上的损失常见的战略风险: --宏观政策及形势把握风险 --重大投资风险 --“走出去”的国家风险 --多元化经营风险 --对新市场开发投入风险 --并购风险战略风险及其类别战略风险及其类别迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�财务风险融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失常见的财务风险: --现金流风险 --财务报告风险 --应收账款风险 --委托理财风险 --对外担保风险 财务风险及其类别财务风险及其类别迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�市场风险因广场等外界条件变化而使企业产生经济损失的风险。
常见的市风险:--利率、汇率风险--竞争风险市场风险及其类别市场风险及其类别迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�运营风险企业内部流程和系统、人为或外部因素而给企业造成的经济损失常见的运营风险: --道德风险 --产品质量风险 --客户、供应商信用风险 --产品研发、更新、升级风险 --内部管理失控的风险 --信息系统风险 --外部事件风险(火灾、自然灾害、市场扭曲等)运营风险及其类别运营风险及其类别迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�法律风险企业因违反法律、法规或规定,或侵害其他利益相关者的权益,而导致企业遭受经济或声誉损失,及其他与法律事务有关的风险常见的法律风险: --国内外政治法律环境与政策 --重大协议与合同的遵守与履行 --知识产权 --员工劳动关系风险 --法律纠纷法律风险及其类别法律风险及其类别迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险识别风险识别风险识别风险识别风险分析风险分析建立初建立初始信息始信息框架框架风险识别与风险识别与评估的程序评估的程序风险识风险识别别风险评风险评价价风险管风险管理应对理应对策略策略1.2.3.4.5.2.2.风险识别风险识别设定的控制目标设定的控制目标―风险是指一个潜在事项的发生对目风险是指一个潜在事项的发生对目标实现产生影响的可能性标实现产生影响的可能性―根据设定的控制目标,全面系统持根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,续地收集相关信息,结合实际情况,及时进行风险及时进行风险识别与识别与评估。
评估风险识别风险识别―有无风险?有无风险?―有哪些风险?有哪些风险?迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�19风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险识别风险识别风险识别风险识别风险识别的基础风险识别的基础 – 内外部风险因素内外部风险因素 n经济因素经济因素―经济形势经济形势―产业政策产业政策―融资环境融资环境―市场竞争、市场竞争、―资源供给等资源供给等n法律因素法律因素―法律法规法律法规―监管要求等监管要求等n社会因素社会因素―安全稳定安全稳定―文化传统文化传统―社会信用社会信用―教育水平教育水平―消费者行为等消费者行为等n科学技术因素科学技术因素―技术进步技术进步―工艺改进等工艺改进等n自然环境因素自然环境因素―自然灾害自然灾害―环境状况等环境状况等n其他有关外部其他有关外部风险因素风险因素n人力资源人力资源因素因素― 董事、监事、经理及其他高董事、监事、经理及其他高级管理人员的职业操守级管理人员的职业操守―员工专业胜任能力等员工专业胜任能力等n管理因素管理因素―组织机构组织机构―经营方式经营方式―资产管理、资产管理、―业务流程等业务流程等 n自主创新因素自主创新因素―研究开发研究开发―技术投入技术投入―信息技术运用等信息技术运用等。
n财务因素财务因素―财务状况财务状况―经营成果经营成果―现金流量等现金流量等n安全环保因素安全环保因素―营运安全营运安全―员工健康员工健康―环境保护等环境保护等n其他有关内部风险其他有关内部风险因素外外 部部 因因 素素内内 部部 因因 素素迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险识别风险识别风险识别风险识别风险分析风险分析建立初建立初始信息始信息框架框架风险识别与风险识别与评估的程序评估的程序风险识风险识别别风险评风险评价价风险管风险管理应对理应对策略策略1.2.3.4.5.2.2.风险识别(续)风险识别(续)风险识别的方法风险识别的方法―问卷调查问卷调查―自我评估自我评估―专家访谈专家访谈―专家咨询专家咨询―风险清单风险清单―风险提示列表风险提示列表―流程梳理流程梳理―风险事件库等风险事件库等迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险分析风险分析风险分析风险分析风险分析风险分析建立初建立初始信息始信息框架框架风险识别与风险识别与评估的程序评估的程序风险识风险识别别风险评风险评价价风险管风险管理应对理应对策略策略1.2.3.4.5.3.风险分析风险分析风险分析的含义风险分析的含义―风险发生的可能性有多大?风险发生的可能性有多大?―风险发生的条件是什么?风险发生的条件是什么?风险分析方法风险分析方法定性方法包括:定性方法包括:―情景分析情景分析―政策分析政策分析―行业标杆分析等行业标杆分析等定量方法包括:定量方法包括:―统计推论统计推论―计算机模拟计算机模拟―失效模式分析失效模式分析―事件树分析等。
事件树分析等迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险分析风险分析风险分析风险分析定量定量方法方法一一评分评分12345定量定量方法方法二二一定时一定时期发生期发生的概率的概率10%以下以下10%~30%30%~70%70%~90%90%以以上上定性定性方法方法文字描文字描述一述一极低极低低低中等中等高高极高极高文字描文字描述二述二一般情况一般情况下不会发下不会发生生极少情极少情况下才况下才发生发生某些情某些情况下发况下发生生较多情较多情况下发况下发生生常常会常常会发生发生文字描文字描述三述三今后今后10年年内内发发生的生的可能少于可能少于1次次今后今后5~10年年内可能内可能发发生生1次次今后今后2~5年内可年内可能能发发生生1次次今后今后1年年内可能内可能发发生生1次次今后今后1年内至年内至少少发发生生1次次风险发生可能性的定性、定量评估举例风险发生可能性的定性、定量评估举例迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险评价风险评价风险评价风险评价风险分析风险分析建立初建立初始信息始信息框架框架风险识别与风险识别与评估的程序评估的程序风险识风险识别别风险评风险评价价风险管风险管理应对理应对策略策略1.2.3.4.5.4.4.风险评价风险评价风险评价的含义风险评价的含义―风险发生后带来的危害有多风险发生后带来的危害有多大?大?―对企业经营目标的影响程度对企业经营目标的影响程度有多大?有多大?风险评价方法风险评价方法―定性方法包括:定性方法包括:―情景分析情景分析―政策分析政策分析―行业标杆分析等行业标杆分析等定量方法包括:定量方法包括:―统计推论统计推论―计算机模拟计算机模拟―失效模式分析失效模式分析―事件树分析等。
事件树分析等迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险评价风险评价风险评价风险评价定量方定量方法一法一评分评分12345定量方定量方法二法二企业财务损企业财务损失占税前利失占税前利润的百分比润的百分比1%以下以下1%~5%6%~10%11%~20%20%以上以上定性方定性方法法文字描述一文字描述一极低极低低低中等中等高高极高极高文字描述二文字描述二极轻微极轻微轻微的轻微的中等的中等的重大的重大的灾难性的灾难性的文字描述三文字描述三(企业日常(企业日常运行)运行)不受影响不受影响轻度影响轻度影响(轻微人身(轻微人身伤害,情况伤害,情况可控)可控)中度影响中度影响(一定伤害,(一定伤害,需要医疗救需要医疗救援)援)严重影响严重影响(失去一定(失去一定业务能力,业务能力,造成严重伤造成严重伤害,但不致害,但不致命)命)重大影响重大影响(情况失(情况失控,给企控,给企业致命影业致命影响)响)风险发生对目标影响程度的定性、定量评估举例风险发生对目标影响程度的定性、定量评估举例迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险评价风险评价风险评价风险评价风险分析风险分析建立初建立初始信息始信息框架框架风险识别与风险识别与评估的程序评估的程序风险识风险识别别风险评风险评价价风险管风险管理应对理应对策略策略1.2.3.4.5.4.4.风险评价(续)风险评价(续)绘制风险坐标图绘制风险坐标图―企业在完成多项风险的评估后,企业在完成多项风险的评估后,可根据对风险发生可能性的高低可根据对风险发生可能性的高低和对目标的影响程度的评估,绘和对目标的影响程度的评估,绘制风险坐标图制风险坐标图―对各种风险进行比较,初步确对各种风险进行比较,初步确定出对各项风险的管理优先顺序定出对各项风险的管理优先顺序迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法风险识别与评估的程序及方法——风险应对策略风险应对策略风险应对策略风险应对策略风险分析风险分析建立初建立初始信息始信息框架框架风险评估的程序风险评估的程序风险识风险识别别风险评风险评价价风险应风险应对策略对策略1.2.3.4.5.5.5.风险应对策略风险应对策略的原则风险应对策略的原则::―根据风险分析、评价的结果,结合根据风险分析、评价的结果,结合风险承受度,权衡风险与收益,确定风险承受度,权衡风险与收益,确定风险应对策略。
风险应对策略 ―结合不同发展阶段和业务拓展情况,结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进持续收集与风险变化相关的信息,进行风险识别和风险分析与评价,及时行风险识别和风险分析与评价,及时调整风险应对策略调整风险应对策略风险应对策略:风险应对策略:―风险规避风险规避―风险降低风险降低―风险分担风险分担―风险承受风险承受迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�目录目录目录目录27风险评估与内部控制有机结合风险评估与内部控制有机结合3迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�内部控制设计的思路内部控制设计的思路内部控制设计的思路内部控制设计的思路•企业应当根据内部控制目标企业应当根据内部控制目标和风险评估结果,和风险评估结果,结合风险应对策略,综合运用结合风险应对策略,综合运用各种控制方法各种控制方法和和控制措施,对各种业务和事项实施有效控制控制措施,对各种业务和事项实施有效控制,将风险控制在可承受度之内将风险控制在可承受度之内控制方法一般包括:控制方法一般包括:―手工控制手工控制―自动控制自动控制―预防性控制预防性控制―发现性控制发现性控制控制措施一般包括:控制措施一般包括:―不相容职务分离控制不相容职务分离控制―授权审批控制授权审批控制―会计系统控制会计系统控制―财产保护控制财产保护控制―预算控制预算控制―运营分析控制和绩效考评控运营分析控制和绩效考评控制等。
制等迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�内部控制设计方法论内部控制设计方法论内部控制设计方法论内部控制设计方法论 确定目标- 战略目标- 经营目标- 控制目标识别与评估风险确定控制缺陷-控制优化-提升风险管理水平控制活动- 设计合理性- 执行有效性步骤一 步骤三 步骤二 步骤四 29风险偏好风险偏好风险容量风险容量风险应对风险应对控制优化控制优化合理保证合理保证迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险评估内与部控制设计的工具及案例风险评估内与部控制设计的工具及案例 30风险控制矩阵示例迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�风险评估与内部控制有机结合风险评估与内部控制有机结合风险评估与内部控制有机结合风险评估与内部控制有机结合311、进行目标、风险和控制活动三者的匹配,体现三者的逻辑关、进行目标、风险和控制活动三者的匹配,体现三者的逻辑关系系,并且充分体现了内部控制体系与经营活动和管理需求的内,并且充分体现了内部控制体系与经营活动和管理需求的内在联系2、、通过目标设定与风险评估,提供了合理的参照系,从而通过目标设定与风险评估,提供了合理的参照系,从而系统系统性评估现有控制体系的完整性与合理性性评估现有控制体系的完整性与合理性。
同时保证了在业务活同时保证了在业务活动或管理需求发生变化时,企业可以及时发现控制活动是否依动或管理需求发生变化时,企业可以及时发现控制活动是否依然适用 3、、可以帮助进行控制设计和评估,可以帮助进行控制设计和评估,有效发现有效发现重大风险应对和重大风险应对和控控制制的的缺陷,缺陷,从而从而进行控制体系优化和管理提升进行控制体系优化和管理提升特别针对某些特别针对某些复杂或专业性强的管理问题,控制有效性测试和评估应得到充复杂或专业性强的管理问题,控制有效性测试和评估应得到充分关注迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�结语结语结语结语谢谢 谢谢!!胡为民胡为民 董事长董事长Mobile:18610589258北京迪博风控技术有限公司北京迪博风控技术有限公司 北京市宣武门西大街金隅大厦北京市宣武门西大街金隅大厦1818Tel:010-66419419迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司�。