德勤：企业全面风险管理概述PPT课件

企业全面风险管理概述德勤企业风险管理服务2007年3月 风险及全面风险管理概述风险的一般概念全面风险管理的愿景全面风险管理的一般概念和内容全面风险管理的发展 中央企业全面风险管理指引 简介 指引 的定位和意义 指引 内容框架 指引 主要内容解读全面风险管理的实践国内外企业风险管理调查结果企业风险管理工作的开展 培训大纲 风险及全面风险管理概述 风险的一般概念全面风险管理的愿景全面风险管理的一般概念全面风险管理的内容全面风险管理的发展和实践 风险是未来的不确定性对企业实现其目标的影响 风险的一般概念 EIU TheEconomistIntelligenceUnitLimited 关于未来经济 产业和公司发展趋势的调查显示 2005年 2020年这15年间 下述风险将对公司产生较大影响 单位 风险就在我们身边 企业的风险 企业的重大损失甚至倒闭都是由于不良的风险管理所造成 不良风险管理的后果 全面风险管理的愿景 NORISKS NORETURNS 我们公司有什么风险 这些风险有多大 我们公司如何管理这些风险 我们管理是否有效 我们有多少把握能够达到我们预定的战略目标 98 或95 如果是98 那么2 的可能性又意味着什么情况 这些意外情况对我们公司有什么样的影响 我们应该怎样应对这些情况 全面风险管理是使企业在实现其未来战略目标的过程中将市场的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法 全面风险管理的一般概念 全面风险管理的内容 是一个流程和方法以企业战略为导向辨识对企业有潜在影响的事件 并根据风险偏好管理风险为企业管理层和董事会提供合理的保证风险管理贯穿在企业管理的每一个方面 落实到企业作为一个整体和企业的各个业务流程作为从董事会到高级管理层直至每一个员工的责任 全面风险管理的内容 全面风险管理不是独立于现有管理体系的另外一个体系全面风险管理是对现有数据的挖掘和利用全面风险管理是对现有管理体系的整合全面风险管理是对现有管理职能的强化全面风险管理的内容融入现有管理职能 预算 ISO9000 投资 规划 全面风险管理与现有管理体系 实物牵制 薄记牵制 COSO内部控制整体框架 企业全面风险管理COSOERM框架 内控评价内部审计 1940 s 1940 s 1970 s 1980 s 1990 s 1990 s 21世纪 内部牵制 内部控制结构完善 控制环境 会计系统 控制程序 控制环境 风险评估 控制活动 信息沟通 监督 建立内控 数据准确一致 内控可靠性 控制环境 目标设置 事件辨识 风险评估 风险反应 控制活动 信息沟通 监督 风险管理的发展 金融业风险 企业风险 全球主要风险管理标准路线图 中央企业全面风险管理指引 简介 指引 的定位和意义 指引 内容框架 指引 主要内容解读 中央企业全面风险管理指引 正式出台 中国风险管理的里程碑站在全球企业管理的前沿内容和要求基本超过目前资本市场的合规要求对非央属企业也有很强的指导意义 指引 的定位和意义 目的 明确要求中央企业要重视和开展全面风险管理 明确什么是全面风险管理 指导企业如何开展全面风险管理工作 主要内容 第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则 指引 的主要内容 风险管理文化 全面风险管理体系 风险管理基本流程 一个流程 一个体系 一种文化 全面风险管理框架 全面风险的目标 五个目标 全面风险管理的目标 指引 明确指出 企业开展全面风险管理要努力实现以下风险管理总体目标 参见 指引 第七条 确保将风险控制在与总体目标相适应并可承受的范围内 确保内外部 尤其是企业与股东之间实现真实 可靠的信息沟通 包括编制和提供真实 可靠的财务报告 确保遵守有关法律法规 确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行 保障经营管理的有效性 提高经营活动的效率和效果 降低实现经营目标的不确定性 确保企业建立针对各项重大风险发生后的危机处理计划 保护企业不因灾害性风险或人为失误而遭受重大损失 全面风险管理框架的结构 风险管理基本流程 全面风险管理体系 风险管理文化 风险管理初始信息 收集与风险和风险管理相关的内外部信息 并将其整理成可用于分析的形式 为风险评估和风险战略的制定奠定基础 不同类别收集的范围 方法 频率有所不同 注重信息的系统 完整 真实 及时 程序规范 方法合理 参见 指引 第二章 风险评估是风险管理的基础 指引 要求 企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估 风险评估的方法 风险评估的目的 全面了解公司整体的风险现状 评估公司目前的风险水平 统一公司各个层面对风险的认识 形成一套通用的风险语言 找出公司在现有内外部环境 发展态势和管理水平下 对目标实现影响最大的风险 并进行管理优先排序 1 2 3 风险评估的成果 风险列表 风险图谱 重大风险模型 参见 指引 第三章 风险评估 风险评估的步骤 综合信息框架 风险图谱 风险辨识 风险分析 风险初步判断 确认风险事件 风险定义归类 风险列表 分析结果 风险表现分析 风险影响分析 风险动因分析 风险关系分析 风险发生可能性评价 风险影响程度评价 风险评价 风险模型 重大风险模型 风险评估报告 风险评估可分为风险辨识 风险分析和风险评价等几个步骤 风险图谱 风险图谱示意 展示风险评估结果的重要工具是风险图谱 通过分析公司的风险图谱 可以直观地看到公司的风险分布情况 从而确定风险管理的重要控制点和风险管理解决方案 风险图谱被两条 等风险线 分隔为 红灯区 黄灯区 和 绿灯区 处于 红灯区 的风险大多集中在第一象限 其发生的概率和影响程度均较高 公司应该根据风险的属性和风险管理偏好来选择风险管理方案 处于 黄灯区 的风险 有两种情况 处于第二象限的风险更多的是一些非常事件 但影响程度较大 对于这类风险 公司应该在采取防范措施的同时 制定应急计划 处于第四象限的风险 其影响程度不是很高而发生概率偏高 这往往与日常经营和遵守法律方面的问题有关 这些风险的累计影响不可低估 对于这类风险要注意日常的管理和监控 绿灯区 中的风险大多集中在第三象限 是指那些发生概率和影响程度均不太高的风险 通常在目前可以接受 公司可以取消与此风险相关的 多余的风险控制措施 以减少成本和资源消耗以管理更重要的风险 风险图谱不是一成不变的 公司应该定期评估风险 动态地对风险图谱进行调整和更新 现金流量表 资产负债表 损益表 财务报表 风险调整前 风险调整后 风险影响 现金 银行存款 信用风险 利率风险 汇率风险 1000 2000 资产负债表 现金 银行存款 1500 2300 风险的财务价值 参见 指引 第四章 企业使命 风险管理策略 风险应对策略 战略 风险管理策略是根据企业经营战略制定的全面风险管理的整体策略 风险管理策略在整个风险管理体系中起着统领全局的作用 风险管理策略在企业战略管理的过程中起着承上启下的作用 重大风险管理的目标 风险管理策略 风险偏好解决 公司愿意承担什么风险 的问题描述公司对待风险的基本态度和看法风险偏好的确定基于公司的使命 愿景 风险承受度解决 公司能够承担多大风险 的问题描述公司能够承担的风险的限度风险承受度的确定可借助于模型的构建和公司基础数据的积累 历史经验 风险应对策略解决 公司如何管理风险 的问题阐述针对各类重大风险的应对策略 风险承担 风险规避 风险转移 风险转换 风险对策的确定基于风险评估和诊断的结果要根据风险与收益相平衡的原则以及风险的重要程度确定风险管理的优选顺序 重大风险管理目标 风险管理策略的核心内容 政策风险 市场风险 业务模式风险 合同管理风险 信用风险 现金流风险 客户风险 积极利用 适度承担 坚决避免 风险厌恶 风险喜好 合规风险 风险偏好 样例 风险承受度 样例 战略措施 产业结构调整组织变革兼并购活动分包或转包结盟 流程优化全面质量管理6西格玛 远期合约传统保险金融衍生品 风险准备金 运营措施 风险理财 剩余风险 风险总量 风险接受 首先考虑在战略上规避风险 平衡风险管理收益与成本 对各类风险选择风险规避 风险控制 风险转移或风险接受等手段 设立风险准备金 并重新对产品和服务进行定价 风险承受度 风险应对策略 样例 风险管理解决方案 参见 指引 第五章 内部控制体系 内部控制是通过针对企业的各个业务主要流程设计和实施一系列政策 制度 规章和措施 对影响业务流程目标实现的各种风险进行有效管理和控制的过程 内部控制的对象主要是可控风险 如流程执行过程中的偏差 质量问题 财务报告的不准确及合规问题 流程 风险控制点 控制措施 流程是否存在设计是否合理职责是否明确执行是否严格奖惩是否明白效果是否满意 风险是否辨识影响什么指标影响哪些环节影响哪些部门或哪一级企业分析是否彻底 应对是否存在设计是否合理职责是否明确是否经过检验效果是否满意 参见 指引 第五章 参见 指引 第六章 风险管理的监控改进 各管理主体定期监督检查风险和风险管理情况 根据成本与效益的平衡确定监控频率 持续改进风险管理体系和基本流程以及各种相关制度 提交风险监控 改进报告以及评价建议报告 内审部门或外部机构每年至少一次的审核评价 实施监控 持续改进 报告 系统的风险管理组织结构明确的风险管理职责清晰的风险报告线路 风险管理是贯穿于企业的各个层面和各项管理工作中 风险管理既是一项具有专业理论 专门工具和特定职责的管理活动 也是对现有管理功能的强化 参见 指引 第七章 风险管理职能 全方位的风险管理组织体系 风险管理组织体系各组成部分及其职责 风险文化是关于企业在日常运营中对待风险的态度 价值和实践 企业文化影响风险管理策略 风险管理策略反映了企业的风险管理文化 在中央企业 总体上主张审慎的风险文化 在局部上 根据企业的风险管理策略 有可能采用较为激进的手段和方针 风险管理文化 参见 指引 第九章 管理层应该考虑企业的风险文化是如何影响全面风险管理的其他要素的 当它们不匹配时 应考虑重塑文化 企业应在内部各个层面营造风险管理文化氛围 采取多种途经和形式 加强对风险管理理念 知识 流程 管控核心内容的培训 培养风险管理人才 培育风险管理文化 风险管理信息系统 信息系统是风险管理的生命线 基于内控体系的完善 以风险监控和风险预警为基础内容 与财务管理 业务管理等系统之间开辟接口和数据通道 完成日常风险监控 日常风险辨识 风险评估 控制评价 合规检查等功能 逐步完善自动分析的职能 即加载商业智能模型 最终达到管理层对关键风险点的报告需求 样例 参见 指引 第八章 第八章风险管理信息系统 第五十三条企业应将信息技术应用于风险管理的各项工作 建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统 包括信息的采集 存储 加工 分析 测试 传递 报告 披露等 第五十四条企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性 准确性 及时性 可用性和完整性 对输入信息系统的数据 未经批准 不得更改 第五十五条风险管理信息系统应能够进行各种风险的计量和定量分析 定量测试 能够实时反映风险矩阵和排序频谱 重大风险和重要业务流程的监控状态 能够对超过风险预警上限的重大风险实施信息报警 能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求 第五十六条风险管理信息系统应实现信息在各职能部门 业务单位之间的集成与共享 既能满足单项业务风险管理的要求 也能满足企业整体和跨职能部门 业务单位的风险管理综合要求 第五十七条企业应确保风险管理信息系统的稳定运行和安全 并根据实际需要不断进行改进 完善或更新 第五十八条已建立或基本建立企业管理信息系统的企业 应补充 调整 更新已有的管理流程和管理程序 建立完善的风险管理信息系统 尚未建立企业管理信息系统的 应将风险管理与企业各项管理业务流程 管理软件统一规划 统一设计 统一实施 同步运行 风险管理信息系统的核心 风险管理信息系统可以看作是信息化 电子化的风险管理信息报告和应用系统 因此 建立风险管理信息系统的基础是建立风险管理信息的报告系统 而报告的基础是数据 包括历史数据 实时或准实时数据 全面风险管理的实践 国内外企业风险管理调查结果企业风险管理工作的开展 国外公司的风险管理实践 目前 发达国家的企业已经把建立全面风险管理体系作为获得竞争优势的基本手段 2001年 发达国家的大企业中计划实施全面风险管理的企业占20 正在实施的占35 而已经建立了完整的风险管理体系的企业只占11 2004年 建立了完整的全面风险管理体系的企业已经达到了38 而没有计划实施全面风险管理体系的企业从2001年的31 下降到10 您的企业是否应用了以下风险管理工具 在风险管理的执行中 CFO依然是最主要的责任人 合计首要责任人和第二责任人 排在第二位的是经营部门的管理者 多数企业比较倾向于均衡风险控制与企业发展的需求 但只有较少的公司合理平衡了风险控制与业务发展的关系 多数被调查企业认为它们辨识与管理风险的能力还有相当的改进空间 41 的受访企业认为它们已经在最大程度上做到了风险量化 国外公司的风险管理实践 Protiviti公司2005年全美大型企业风险管理状况调查 缺乏风险管理专门人才缺乏适当的风险评估过程和程序缺乏风险量化技术缺乏对风险评估工作如何开展的整体把握岗位负责人缺乏必要的风险管理专业知识缺乏外部专家的支持缺乏足够的人力和时间缺乏资金 国企实施全面风险管理的困难 企业风险管理水平的发展阶段 注意到风险 但总是忙于应付预料外发生的情况个案处理 因此每次方法结果都不同注重依靠个人能力解决问题缺乏结合战略的指导方针 第一台阶 问题反应型 规范操作型 体系完善型 第二台阶 第三台阶 建立了业务和管理流程依靠系统和程序解决问题缺乏整体的风险战略和统一的指导方针 建立完善了全面风险管理体系统一管理影响战略目标实现的重大风险 范围要扩大 内部控制不仅要覆盖财务报告有关的流程 还要覆盖所有重要的业务和管理流程 超越狭义的内控 应覆盖的最重要的流程是战略管理