《全面风险管理erm概论》由会员分享,可在线阅读,更多相关《全面风险管理erm概论(74页珍藏版)》请在金锄头文库上搜索。
1、企业全面风险管理企业全面风险管理(ERM)概论概论报告人:茅宁教授报告人:茅宁教授工作单位:南京大学商学院工作单位:南京大学商学院电话电话: 025-83686040Email: 参考文献n詹姆斯.林,企业全面风险管理-从激励到控制,中国金融出版社,2006年n萨扬.查特吉,险中求胜,中国人民大学出版社,2006年n目录n企业风险管理的必要性企业风险管理的必要性n案例分析n教训与启示n股东对企业风险管理最关心的四个问题n风险管理风险管理: 从内部控制到全面风险管理从内部控制到全面风险管理n什么是风险n风险管理的发展模式n内部控制制度存在的问题内部控制制度存在的问题n企业全面风险管理框架企业全面
2、风险管理框架n风险管理框架:一个基础、三道防线n构建风险管理的关键成功要素一、企业风险管理的必要性一、企业风险管理的必要性企业需要关注的三件大事n实现持续的成长n获得充沛的现金n有效的风险管理n现状n缺乏足够的重视(除了金融保险企业)n非系统性:财务、业务、法律各管一块n殃及他人n内部控制不能实现有效的风险控制n风险管理的战略思维圣经的传说及其现代版圣经的传说及其现代版n在很久很久以前,一个主人雇了三个忠实的仆人在很久很久以前,一个主人雇了三个忠实的仆人n一次,主人要出远门一年,他把自己的全部积蓄(一次,主人要出远门一年,他把自己的全部积蓄(30枚金币)交给三位仆人保管,每人枚金币)交给三位仆
3、人保管,每人10枚枚n一年后,当主人回到家,三位仆人如下汇报一年后,当主人回到家,三位仆人如下汇报nA:我把金币埋在安全的地方,现在完好无损我把金币埋在安全的地方,现在完好无损nB:我把金币借给别人,现在连本带利共有我把金币借给别人,现在连本带利共有11枚枚nC:我用金币去做生意,现在共有我用金币去做生意,现在共有14枚枚n问题:哪位仆人值得赞扬?问题:哪位仆人值得赞扬?n实质:实质:n风险与收益的权衡风险与收益的权衡n陈久霖的陈久霖的豪赌豪赌与中航油的与中航油的5.54亿美元巨额损失亿美元巨额损失纵有千千罪,我心坦然对。竭忠为大众,失误当自悔。案例一:美国安然公司案例一:美国安然公司 (En
4、ron) (Enron)在2002年,安然是美国最大的石油和天然气企业之一2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利调查发现调查发现n安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策n事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务n安然重视短期的业绩指标n安然管理高层常常藐视或推翻公司制定的内控制度案例二:美国世通公司案例二:美国世通公司 ( (
5、WorldcomWorldcom) )世通是美国第二大的电信公司2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元世通于2002年末申请破产保护令,成为美国历史上最大的破产个案世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈,被联邦法院刑事起诉 调查发现调查发现:n世通的董事会持续赋予公司的世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力,让他一人独揽大权绝对的权力,让他一人独揽大权n美国证监会的调查报告指出:世通完全没有制美国证监会的调查报告指出:世通完全没有制衡机制衡机制n世通的董事会并没有负起监督管理层的
6、责任世通的董事会并没有负起监督管理层的责任n世通为公司的高级管理层提供丰厚世通为公司的高级管理层提供丰厚(不合理不合理)的的薪酬和奖金薪酬和奖金某国有控股的上市企业(简称“国企A”)1994年以约4.2亿元人民币收购某汽车制造公司95%权益,两年后,该国企以3.2亿元人民币向一家马来西亚公司出售其在汽车公司中50%的权益,而记录了一笔4,000万元人民币的营业外收入。但其后,该马来西亚公司并没有按协议支付交易金额,而交易亦被迫中断。19X7年,国企A为掩饰交易失败而重新与三家公司签约,以3.2亿元人民币的同样金额将汽车公司的50%权益转售给这三家公司,但这三家公司最终都没有向国企A支付任何款项
7、。案例三:案例三:投资与出售股权权益投资与出售股权权益调查发现:调查发现:n国企A未有就对外投资建立完善的风险管理,投资前既没有清楚考虑其高级管理层缺乏汽车制造业的经验,亦没做好可行性研究的各种分析。n在出售投资权益予该马来西亚公司时,并未充分考虑对方的信誉和偿付能力,亦未有利用买卖协议为可能出现的违约事件提供保障。n在转售投资权益予该三家公司时,并未披露这三家公司均为关联的“空壳公司”。财务报表亦没有如实反映交易中断的情况。n汽车公司从成立至19X9年的5年间,一直未能调试投产,亦未有竣工验收,最终,该国企以大幅度低于成本的价钱,把该汽车公司出售,造成严重亏损。案例四:中航油新加坡公司n总裁
8、陈久霖擅自扩大业务范围,从2003开始从事石油衍生品期权交易,同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外签订了合同。n陈久霖买了“看跌”期权,赌注每桶38美元,没想到国际油价一路攀升2004年10月以后,新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同,中航油需向交易对方(银行和金融机构)支付保证金,每桶油价每上涨1美元,中航油新加坡公司要向这些银行支付5000万美元的保证金n其结果导致中航油现金流量枯竭,实际损失和潜在损失总计约5.54亿美元。调查发现:n石油期权投机交易,其股东方中航油集团公司是明令禁止的,中航油从事以上交易时,一
9、直未向中国航油集团公司报告,而且集团也没有发现。n直到保证金支付问题难以解决、经营难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告,但此时也没有向集团公司说明实情,提供了假账。n集团通过正常的财务报表没有发现陈久霖的秘密,新加坡当地的监督机构也没有发现其有违规现象。n中航油事件从一个并不很大的失误开始,酿成为石破天惊的大案、要案。我们可以从上述案例中我们可以从上述案例中吸取什么吸取什么教训?教训?n熟悉企业本身的业务与相关风险n切记:避免制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险n建立内控和相互制衡的机制n切记:权力过分集中就会出现腐败的情况n紧盯着现金n所有犯案、挪用公款
10、和偷窃行为均与现金有关n常言:“会计数字只是参考意见,现金才真正令你感到踏实。”教训n合理制定绩效评估与激励机制n“如果你发现精明的员工做出蠢事,你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”n建立规范和健全的财务报告系统n财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料,以帮助管理层管理业务和赢取股东的信心n深化企业风险管理文化n由上而下,身体力行,建立严谨的“风纪”,使员工能上行下效n订立管理原则和行为规范n通过绩效管理的方法,鼓励正确的行为和态度n加强培训和沟通结论n企业的股东与管理层常常要面对一些令他们寝食难安的问题n企业需要系统化地建立一套风
11、险管理体制,从而识别影响企业盈利的关键因素,并对那些会影响企业达标的风险进行监控及管理n企业必须建立有效的风险管理机制,使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中吸取教训股东对企业风险管理最股东对企业风险管理最关心的四个问题关心的四个问题:1. 1.企业企业知道它所面对的主要风险吗?知道它所面对的主要风险吗?例如:什么风险正在或将会影响企业的业务?v 企业的品牌v 新产品、新市场的开发v 战略联盟v 客户或供应链的管理理想的情况理想的情况: 企业能开发一套标准的、共通的风险语言,从而识别企业所面对的风险,并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进
12、行沟通2. 2.企业是否已对这些风险设置内部控制?企业是否已对这些风险设置内部控制?企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险),构建内部控制(包括预防性控制及觉察性控制) ,以确保企业能实现目标和符合各方面的法律、法规理想的情况理想的情况: 企业就其所面对的风险和采取的内控,编制一套完整的文档,并借鉴国际最佳的实务不断进行检讨 3. 3.企业的内部控制有效吗?企业的内部控制有效吗?企业要对其内控系统不间断地进行监控和测试,以确保其对风险控制的能力理想的情况理想的情况: 企业把各类风险控制在可接受的水平,并在这基准上赚取合理的回报 4. 4.哪一些内部控制
13、必须改进哪一些内部控制必须改进?企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况理想的情况: 企业能建立一套具前瞻性的信息管理系统和预警系统,使企业能及时识别新生的风险,并对相关的业务计划、政策和程序进行修正 二.风险管理:从内部控制到ERM什么是风险n风险定义为那些影响企业实现其战略目标的不确定性n风险总是源于企业的战略。企业的使命是实现其战略目标,而风险正是企业实现战略目标的障碍,因此,企业的战略目标不同,所面临的一系列风险也可能不一样n风险并不代表一个单一的估计结果,是代表一系列可能发生的结果,即众多不确定性n风险意味着机会与威胁并存,错过难得的商业机会
14、从而丧失竞争优势同样是一种风险什么是风险n管理层所面临的最严峻挑战是决定本企业准备接受多大的风险,因为风险可以经过奋斗而创造价值。n当管理层制定的战略目标能达到增长和利润目标与相关风险之间的最佳平衡,并在追求本企业目标的过程中有效地调度资源时,能实现企业价值的最大化。风险管理对风险的定义n“风险是指可能对实现组织目标产生负面影响的事情或活动”战略性风险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位、高级管理层和董事会的共同责任常见的战略性风险包括:企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立战略性风险与战略性伙伴的合作投资和融资的策略员工的素质和
15、雇员关系企业的信息及监控系统战略性风险的分类n需求风险n顾客不能在预期的水平上接受企业提供的产品或服务n竞争风险n市场竞争者生产的产品与本企业产品差异不大,因而可能抡走顾客n能力风险n企业不具备实现战略目标的能力市场风险是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素:因买卖或投资金融产品而产生的风险因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括:利率风险外汇风险股票与债券市场风险商品价格风险期货、期权与衍生工具风险市场风险信用风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险常见的信用风险包括:贷款未能
16、回收应收帐款未能回收债券跌价 (因信贷评级的减值或债务人未能履行付款义务)买卖金融市场产品而未能兑现企业因合资、合作、联盟、外包等经济活动而产生或暴露的信用风险信用风险操作风险操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险,它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险流程风险是指交易流程中出现错误而引致损失的风险,流程包括如:销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险系统风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统
17、的非法接入与使用而引致损失的风险事件风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险,所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险( (风险宇宙风险宇宙TM TM ) )资信资信制度知识产权财务财务流动资产与信贷资本结构市场财务报告营运营运法律生产程序营商环境营商环境市场结构民风与文化管治管治策略董事会活动交易交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通
18、有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙风险宇宙企业风险管理模式的发展n内部牵制阶段(内部牵制阶段(Internal Check)n内部牵制主要以流程设计和岗位分工,辅之以交叉检查,达内部牵制主要以流程设计和岗位分工,辅之以交叉检查,达到防范操作失误和内部人操纵等的目的。到防范操作失误和内部人操纵等的目的。n内部控制阶段(内部控制阶段(Internal Control)n内部控制分为内部会计控制
19、和内部管理控制两个部分,前者内部控制分为内部会计控制和内部管理控制两个部分,前者在于保护企业资产、检查会计数据的准确性和可靠性;后者在于保护企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针。在于提高经营效率、促使有关人员遵守既定的管理方针。n内部控制结构阶段(内部控制结构阶段(Internal Control Structure)n控制环境、会计控制制度和控制程序控制环境、会计控制制度和控制程序n内部控制整体框架阶段(内部控制整体框架阶段(Internal Control- Integrated Framework)n控制环境、风险评估、控制活动、信
20、息和沟通控制环境、风险评估、控制活动、信息和沟通。内部控制的定义演化内部控制的定义演化n1936年:为保证公司现金和其他资产的安全,检查帐簿的准确性而采取的各种措施和方法n1949年:基于保护企业资产,检查其会计资料正确可靠,提高业务效率,促进企业经营方针、组织计划的贯彻执行而在企业内部采取的各种稽查措施n1958年:内部控制制度n内部管理控制制度内部管理控制制度包括但不限于:组织机构包括但不限于:组织机构的计划(设计)的计划(设计); 管理部门批准的性质与记录管理部门批准的性质与记录n会计控制制度会计控制制度包括组织机构设计;与财产财包括组织机构设计;与财产财产保护和财务会计记录可信性直接相
21、关的各种措产保护和财务会计记录可信性直接相关的各种措施施1994年的定义n内部控制内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证n经营的效果和效率n财务报告的可靠性n法律法规的遵循性n要点n内部控制是一个过程n内部控制受人为影响n内部控制提供合理保证而非绝对保证n内部控制为了实现组织的3个目标控制5要素之一:控制环境n控制环境是组织的基调,主导或左右着组织成员的控制理念n控制环境控制环境6要素要素n正直与道德价值观正直与道德价值观n人员素质与人力资源政策人员素质与人力资源政策n董事会及审计委员会董事会及审计委员会n管理层哲学及行事作风管理
22、层哲学及行事作风n组织结构设计组织结构设计控制5要素之二:风险评估n何为企业的风险何为企业的风险n内部控制过程关心的风险:妨碍企业三内部控制过程关心的风险:妨碍企业三大目标的实现大目标的实现n经营的效果和效率n财务报告的可靠性n法律法规的遵循性n导致风险的因素是什么导致风险的因素是什么控制5要素之三:信息系统与交流n信息系统是与财务报告目标相关之系统,用以保持相关资产和负债的受托报告责任n交流是与财务报告相关之内部控制中,每个人应清晰说明个人在此过程中的作用和责任。控制5要素之四:控制行为n确保管理指令付诸实施的政策和程序n5要素n充分的职责分割充分的职责分割n交易与业务行为的适当授权交易与业
23、务行为的适当授权n文件化文件化n实物与信息的接触控制实物与信息的接触控制n独立稽核独立稽核控制5要素之五:监督n部门和主管日常监督n部门自我评估n内部审计企业持续发展企业持续发展决策支持决策支持费用、收入资产、负债股东价值分析股东价值分析投资评估投资评估需求预测需求预测定价定价制造成本、业务成本、质量成本制造成本、业务成本、质量成本预算及控制预算及控制绩效评估绩效评估盈利或亏损盈利或亏损资产和负债资产和负债能源及材料的流动路径业务过程记录产品特征及政策环境保护监督环境保护评估内部审计内部审计目标历史未来管理与控制交易的财务数据及报告非财务数据内部控制制度基本结构:内部控制存在的问题n缺乏保障资
24、产或资源的概念n资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等n缺乏报告的完整性n内部的和外部的;财务的和非财务的报告n风险的定义n机会和危险并存n忽视对战略目标的考虑n战略规划阶段的风险管理中航油案例的再思考n关注企业风险比关注企业细节控制更为重要n应将风险管理作为内部控制的最主要内容,而不所有细节的控制上n执行制度比设计制度更重要n中航油有安永设计的风险管理手册,但设定的风险管理体系并没有发挥任何作用n将所有业务活动分离出授权、批准、执行、记录及监督,并将这些职能分别授于不同部分执行,形成一个相互牵制、相互制约的过程,是内部控制的精髓三、企业全面风险管理框架Enterpris
25、eRiskManagement,简称ERM)企业风险管理-一体化框架n美国反欺诈性财务报告委员会的主办机构委员会(简称COSO)提出的框架n规定了必不可少的企业风险管理的八个相关组成部分,讨论了关键的企业风险管理原则、概念、效果和局限性等内容,建议用一种企业风险管理的共同语言,为企业风险管理提供方向和指南。 什什么是全面风险管理么是全面风险管理ERM框架最大的变化,就是将企业内部控制更名为企业全面风险管理企业全面风险管理是为了公司价值最大化而建立的管理信用风险、市场风险、操作风险、经济资本和风险转移的全面管理框架。企业全面风险管理是一套由企业董事会与管理层共同企业全面风险管理是一套由企业董事会
26、与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达至它的目标。到一个企业可接受的水平,从而帮助企业达至它的目标。全面风险管理方法论全面风险管理方法论n制定通用的风险模型(BusinessRiskmodel):通用的风险语言和定义n制定有效的组织层面控制架构(OrganizationalControl)n战略层面n管理层面n制定业务流程控制(ProcessControl)风险的分类n环境风险(环境风险(En
27、vironment Risk)n指由外部因素引起的可能导致公司产生重大损失或使公司战略目标难以实现的风险,如资本的可获得性,竞争对方的行动及监管条例的变化等等;n流程实施风险(流程实施风险(Process Risk)n指因所设计的流程/业务活动无法实现其所设定的目标而产生的风险,其原因可能是:n流程并没有同公司的战略目标有效地结合起来;n流程在向客户提供服务方面失败;n流程并未有效运作从而无法保护重大财务资产、有形资产的安全;n流程设计不健康;n信息技术风险导致流程动作失败;n决策所使用信息风险(决策所使用信息风险(Information For Decision-Making Risk”)n
28、指由于决策所使用的信息不完整、过时、不精确或缺乏相关性,从而导致决策失误的风险。ERM框架的三个维度n企业的目标(3目标到4目标)n战略目标、经营目标、报告目标和合规目标。n全面风险管理要素(5要素到8要素)n内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控n控制环境扩展为内部环境n增加了3个要素,即目标设定、事情识别和风险对策n企业的层级n整个企业、各职能部门、各条业务线及下属各子公司全面风险管理8要素n内部环境:风险文化、风险偏好、政策和组织架构n目标设定风险目标,保证与公司的使命和愿景相一致,符合公司的风险偏好。n事项识别识别可能对公司产生影响的所有潜在事项。
29、风险或机遇。n风险评估要对识别的风险进行评估n风险应对避免风险、接受风险、降低风险和分散风险n控制活动内部控制政策和程序n信息与沟通信息平台,员工明晰职能和责任。n监控多层面的监督。传统风险管理方法传统风险管理方法现代风险管理方法现代风险管理方法 (全面风险管理全面风险管理)风险评估被视为是后勤支持性行为,只有管理层认为必要时候才采取该行为风险评估是企业进行的一个持续的行为只有会计、财务和内审部门才关注风险和风险控制组织机构中的任何人都关注企业风险的识别和管理松散性各职能和部门各自独立行事风险评估和控制开始关注企业的流程,而流程往往是跨部门、跨职能的,并在高层的监督下相互配合风险管理只关注财务
30、风险和财务结果风险管理首先制定控制程序以确保企业避免接受不能承受的经营风险,而之后对其他经营风险采取紧密控制以将其降低至可接受水平并无经营风险管理政策制定明确的风险管理控制政策,并经由管理层和重事会批准之后,广泛传播并可以让员工清晰理解对经营风险先是检查和预防,然后采取应对措施在经营风险的源头就估计和预防其发生,并持续不断地采取监督性控制产生经营风险的主要原因是人的因素产生经营风险的主要原因是经营活动流程失败新要素的意义n目标设定n公司在认识到影响其业绩的潜在事项之前,必须有一定的目标n战略目标决定风险n许多内部控制的失败,往往是在一开始确立公司目标时就已经铸定了n事项识别n影响其目标实现的内
31、、外部事项,区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会企业风险管理框架企业风险管理框架一个基础三道防线管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会一个基础:公司治理结构一个基础:公司治理结构什么是公司治理什么是公司治理?公司治理是涉及公司的表现:它关系到一家公司如何得到有效的管理,从而发挥最佳表现公司治理是涉及责任的问题:它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益公司
32、治理与风险管理有什么关系公司治理与风险管理有什么关系?公司治理是风险管理的一个必要的组成部份,因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则:美国:纽约证交所最佳治理守则英国:Cadbury/Hampel Report、The Combined Code加拿大:Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任如何构建一个有利风险管理的公司治理结如何构建一个有利风险管理的公司治理结构构?建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略,包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观第一道
33、防线:业务单位防线第一道防线:业务单位防线业务单位包含了企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线如何建立第一道防线如何建立第一道防线1.了解企业战略目标及可能影响企业达标的风险2.识别风险类别3.对相关风险作出评估4.决定转移、避免或减低风险的策略5.计设及实施风险策略的相关内部控制风险发生的可能性风险发生的可能性评评分分可能性可能性说明说明5几乎肯定 在未来12个月内,这项风险几乎肯定会出现至少 1次4极可能在未来12个月,这项风险极可能出现1次3可能在未来2至10年内,
34、这项风险可能出现1次2低在未来10至100年内,这项风险可能出现至少1次1极低这项风险出现的可能性极低,估计在100年内出现的可能性少于1次评分评分损失程损失程度度说明说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标,造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程,在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标,只造成轻微影响(至1%税前利润)1近乎没有 影响程度十分轻微风险对企业造成的影响风险对企业造成的影响评评分分有效性有效性说明说明5极度过头 处理方法能直接针对该项风
35、险,但相信会令企业业绩 “倒退” 或成本过高4过头处理方法能直接针对该项风险,但由于需要投入大量资源或/及将其他资源转到处理该项风险上,会对企业的效率造成影响3适中处理方法有效针对该项风险,同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想,或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有 效果处理方法的效果十分低,可能是由于企业根本没有处理方法,又或处理手法不当风险处理方法的效果风险处理方法的效果风险地图风险地图( (或风险共同语言或风险共同语言) )影响程度影响程度近乎没有轻微中等重大灾难几乎 肯定极可能可能低极低BCAGIDJKHEF可可能能性性说明:A 人
36、力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险风险处理组合风险处理组合 处理评级处理评级风风险险评评级级近乎没有效果低效适中超标极度极高高中等低BCAGIDJKHE说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险F采取行动密切监控定期审阅风险处理策略风险处理策略影响程影响程度度可可能能性性转移转移避免避免小心管理小心管理可接受可接受大大小小高高低低风险策略风险策略n避免n禁止交易n减少或
37、限制交易量n离开市场n转移n套期n保险n策略性联盟n其他分担风险的安排n小心管理n投资n广泛保护的安排n订价反映风险程度n可接受n自我保险n预留储备n增加监督风险处理策略风险处理策略影响程度影响程度大大小小可可能能性性转移转移避免避免小心管理小心管理可接受可接受高高低低企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新第一道防线:总结第一道防线:总结管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部
38、门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会第二道防线:风险管理单位防线第二道防线:风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析,为各业务单位分配经济资本金“内部审计是一项独立、客观的审查和咨询
39、活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。” 美国内部审计师协会美国内部审计师协会第三道防线:内审单位防线第三道防线:内审单位防线第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题内部审计的定义:内部审计的内部审计的三大功能三大功能n财务监督n财务帐的可用性n内部管理和制度的执行n典型例子:检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况n经营诊断n管理审计以及效率和效益审计n检查和诊断经营和管理过程中的偏差和失误n典型例子:企业对某业务单位或某部门执行效益审计(一个
40、输入与产出的关系)n咨询顾问n企业风险管理和发展策略方面的咨询n调查领导关心的热点问题和管理薄弱环节n典型例子:兼并收购时调查被投资公司的内部管理和流程操作,了解薄弱环节或其他影响并购交易的重大事项,从而确定管理方法和并购策略构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素1. 1.股东确立对企业监督的机制,考虑是否需要在集团层股东确立对企业监督的机制,考虑是否需要在集团层面:面:引入以董事会领导的管理体制聘任有经验的外部董事,来加强对企业的监督要求企业建立风险管理和内控系统,并对其运作及有效性作出定期的汇报2. 2.管理高层的支持和参与管理高层的支持和参与确立方向和目标营造必要的
41、环境为平衡风险与回报作出战略性的决定风险回报风险与回风险与回报成正比报成正比?风险调整风险后的回报冒险程度冒险程度 不够进不够进取取冒险程冒险程度度 高危高危冒险程度冒险程度 理想范理想范围围3. 3.建立风险管理文化建立风险管理文化风险管理的手段,必须融入日常的管理流程通过讨论和培训,使风险管理的实施得到“全民” 的支持通过经验的分享,不断加强风险管理的认同性4. 4.采用先进的风险管理的实施方法采用先进的风险管理的实施方法借鉴如美国 Treadway 委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务,构建信息管理系统和预警系统
