一、风险管理概述CE

1、 风险管理概述风险管理概述第第 一一 章章内容提要内容提要一、风险与风险管理一、风险与风险管理二、风险管理的起源和发展二、风险管理的起源和发展三、我国的风险管理三、我国的风险管理四、风险管理标准四、风险管理标准五、实施风险管理的目的和意义五、实施风险管理的目的和意义六、风险管理在认证领域中的应用六、风险管理在认证领域中的应用一、风险与风险管理一、风险与风险管理所有类型和规模的组织都面临内部和所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是定性所具有的对

2、组织目标的影响就是“风险风险”。 一、一、风险与风险管理风险与风险管理风险管理是针对风险指挥和控制组织的协调风险管理是针对风险指挥和控制组织的协调活动。活动。组织的所有活动都涉及风险。组织的所有活动都涉及风险。组织通过识别、分析和评定是否运用风险处组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理理修正风险以满足它们的风险准则，来管理风险。风险。通过这个过程，它们与利益相关方进行沟通通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施进一步需求风险处理而修正风险的控制措

3、施 2020世纪世纪3030年代在美国开始萌芽年代在美国开始萌芽 受当时世界性经济危机的影响，美国经济大萧条受当时世界性经济危机的影响，美国经济大萧条， 约有约有4040左右的银行和企业破产，为应对经营上左右的银行和企业破产，为应对经营上 的危机，美国许多大中型企业都在内部设立了保的危机，美国许多大中型企业都在内部设立了保 险管理部门，负责安排企业的各种保险项目，保险管理部门，负责安排企业的各种保险项目，保 险成为当时企业处理风险的主要方法险成为当时企业处理风险的主要方法 20 20世纪世纪5050年代，风险管理在美国以学科的形式发年代，风险管理在美国以学科的形式发 展，并逐步形成了独立的理论

4、体系。展，并逐步形成了独立的理论体系。 1970 1970年代以后逐渐掀起了全球性的风险管理运动年代以后逐渐掀起了全球性的风险管理运动。 美国一些大公司的重大损失使公司高层决策者开美国一些大公司的重大损失使公司高层决策者开 始认识到风险管理的重要性。始认识到风险管理的重要性。 二、风险管理的起源和发展二、风险管理的起源和发展 示 例v19531953年年8 8月月1212日通用汽车公司在密歇根州的一个汽日通用汽车公司在密歇根州的一个汽车变速箱厂因火灾损失了车变速箱厂因火灾损失了50005000万美元，成为美国万美元，成为美国历史上损失最为严重的历史上损失最为严重的1515起重大火灾之一。起重大

5、火灾之一。v19791979年年3 3月美国三里岛核电站的爆炸事故，月美国三里岛核电站的爆炸事故，v19841984年年1212月月3 3日美国联合碳化物公司在印度的一家日美国联合碳化物公司在印度的一家农药厂发生了毒气泄漏事故，农药厂发生了毒气泄漏事故，v19861986前苏联乌克兰切尔诺贝利核电站的核事故前苏联乌克兰切尔诺贝利核电站的核事故v一系列事件一系列事件2020世纪世纪9090年代开始随着国际资产证券化、债券的风险进一年代开始随着国际资产证券化、债券的风险进一步扩大，使风险管理更迅速地在国际推行。步扩大，使风险管理更迅速地在国际推行。欧美欧美等国家先后建立起全国性和地区性的风险管理协

6、会。等国家先后建立起全国性和地区性的风险管理协会。针对安然、世通等财务欺诈事件，美国国会出台了著名的针对安然、世通等财务欺诈事件，美国国会出台了著名的20022002年萨班斯年萨班斯奥克斯利法案奥克斯利法案来规范上市公司的行为来规范上市公司的行为19831983年美国风险和保险管理协会年会上，通过了年美国风险和保险管理协会年会上，通过了“101“101条条风险管理准则风险管理准则”，标志着风险管理发展进入了一个新阶段，标志着风险管理发展进入了一个新阶段欧洲欧洲1111个国家成立了个国家成立了“欧洲风险管理委员会欧洲风险管理委员会”美国多家专业团体成立了美国多家专业团体成立了“反虚假财务报告委员

7、会反虚假财务报告委员会”和著和著名的专门研究内部控制的委员会名的专门研究内部控制的委员会“COSO“COSO委员会委员会”COSOCOSO著名报告内部控制著名报告内部控制- -整体框架整体框架(1992)(1992)和和COSO-COSO-ERMERM企业风险管理框架企业风险管理框架(2004)(2004)，是风险管理的重要文献，是风险管理的重要文献。二、风险管理的起源和发展二、风险管理的起源和发展 二、风险管理的起源和发展二、风险管理的起源和发展 三、我国的风险管理三、我国的风险管理 在我国，风险管理理论的发展及应用相对滞后，企业在风险管在我国，风险管理理论的发展及应用相对滞后，企业在风险管

8、理上存在诸多问题：理上存在诸多问题： 缺乏风险意识和策略，管理被动；缺乏风险意识和策略，管理被动； 缺乏风险管理技术、专业人才和资金；缺乏风险管理技术、专业人才和资金； 战略上急于求成，应对变化能力不强，导致个别企业不能有效战略上急于求成，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中承担了过多自身不可承受风险；应对重大风险事件，在发展中承担了过多自身不可承受风险； 国家对风险管理日益重视，国家对风险管理日益重视，20062006年国务院国有资产监督管理委年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引员会发布了中央企业全面风险管理指引 对中央企业如何开展全面风险

9、管理提出了明确要求；对中央企业如何开展全面风险管理提出了明确要求； 指导范围并不仅限于央企，对公司也同样具有普遍指导意义；指导范围并不仅限于央企，对公司也同样具有普遍指导意义； 指引的出台标志着我国有了自己的全面风险管理指导性文指引的出台标志着我国有了自己的全面风险管理指导性文件，我国企业正向管理的更高阶段件，我国企业正向管理的更高阶段全面风险管理迈进。全面风险管理迈进。 国际大环境，促进了风险管理的标准化和国际化国际大环境，促进了风险管理的标准化和国际化20042004年澳洲和新西兰联合推出年澳洲和新西兰联合推出AZ/NZS 4360AZ/NZS 4360风险管理标风险管理标准，是较早的国家

10、级风险管理标准准，是较早的国家级风险管理标准, ,为各个广泛采用，为各个广泛采用， 并为国际标准的出台奠定了基础并为国际标准的出台奠定了基础 风险管理风险管理的的国际标准国际标准ISO31000ISO31000为业界广为关注，为业界广为关注，ISOISO历历时四年，时四年，从从CDCD到到DISDIS再到再到FDISFDIS稿，不断完善标准稿，不断完善标准，于，于20092009年年1111月月1313日正式发布了日正式发布了ISO31000ISO31000：2009 2009 风管理风管理原则和指南原则和指南 该标准该标准明确了风险管理的原则和指南明确了风险管理的原则和指南为深入开展风险管理

11、工作提供了理论基础为深入开展风险管理工作提供了理论基础20022002年，我国已经依据年，我国已经依据ISO31000ISO31000标准的标准的DISDIS稿，颁布了稿，颁布了国家标准国家标准GB/T24353 GB/T24353 风险管理风险管理 原则与实施指南原则与实施指南 四、风险管理标准四、风险管理标准ISO的相关标准和指南的相关标准和指南 ISO31000:2009 ISO31000:2009ISO31000:2009 ISO31000:2009 风险管理风险管理 原则和指南原则和指南Risk management Principles and guideline提提供了风险管理的

12、原则和通用性指南。供了风险管理的原则和通用性指南。尽管所有的组织在某种程度上都在管理风险，尽管所有的组织在某种程度上都在管理风险，ISO31000ISO31000建立了一些为使风险管理变得有效而需建立了一些为使风险管理变得有效而需要满足的原则。要满足的原则。ISO31000ISO31000建议，组织制定、实施和持续改进一个建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、体治理、战略和规划、管理、报告过程、方针、价值观和文化中。价值观和文化中。 ISO31000:2009 ISO310

13、00:2009ISO31000:2009提供了在任何范围和状况下，以系统的、提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。清晰可靠的方式管理风险的原则和通用指南。 尽管所有的组织在某种程度上都在管理风险，尽管所有的组织在某种程度上都在管理风险，ISO31000ISO31000建建立了一些为使风险管理变得有效而需要满足的原则。立了一些为使风险管理变得有效而需要满足的原则。 ISO31000ISO31000建议，组织制定、实施和持续改进一个框架，其建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规目的是将风险管理过程整合到组织

14、的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。划、管理、报告过程、方针、价值观和文化中。 风险管理的每一个特定领域或应用都具有各自的需求、受风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，众、观念和准则。因此，ISO31000ISO31000的主要特点是在通用的的主要特点是在通用的风险管理过程中将风险管理过程中将“明确环境明确环境”作为初始活动。作为初始活动。 “明确环境明确环境”将捕获组织的目标，组织所追求目标的环境将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将，组织的利益相关方和风险准则的多样性，所有这些都将

15、帮助揭示和评价风险的性质和复杂性。帮助揭示和评价风险的性质和复杂性。ISO31010:2009 国家标准国家标准(GB/T23694)(GB/T23694)GB/T23694 2009 GB/T23694 2009 风险管理风险管理 术语术语 idt idtISO GUIDE 73 2002 ISO GUIDE 73 2002 1 1 基础术语（基础术语（8 8） 2 2 受风险影响的组织及个人的相关术语（受风险影响的组织及个人的相关术语（4 4） 3 3 与风险评估的相关术语（与风险评估的相关术语（6 6） 4 4 与风险处理和风险控制相关的术语（与风险处理和风险控制相关的术语（1111）国

16、家标准国家标准(GB/T24353)(GB/T24353)国家标准国家标准(GB/T24353)(GB/T24353) 风险管理的目的风险管理的目的: : 通过具有前瞻性的、充分地考虑各类风险的不确通过具有前瞻性的、充分地考虑各类风险的不确定性及其对目标的影响，制定行之有效的应对措定性及其对目标的影响，制定行之有效的应对措施，为组织在运营和决策中有效应对各类突发事施，为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障，以使组织能有效的配件和风险提供支持和保障，以使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风置资源、优化过程，及时、恰当、有效地应对风险，提高风险应对的效率和

17、效果，更好地实现组险，提高风险应对的效率和效果，更好地实现组织的目标。织的目标。 五、实施风险管理的目的五、实施风险管理的目的风险管理的意义风险管理的意义: : 1 1）提高实现目标的可能性；）提高实现目标的可能性； 2 2）鼓励主动性管理；）鼓励主动性管理；3 3）在整个组织意识到识别和处理风险的需求）在整个组织意识到识别和处理风险的需求; ;4 4）改进对机会和威胁的识别；）改进对机会和威胁的识别；5 5）遵守相关的法律法规要求及国际规范；）遵守相关的法律法规要求及国际规范；6 6）改进强制性和自愿性报告）改进强制性和自愿性报告 7 7）改善治理）改善治理 8 8）提高利益相关者的信心和信

18、任；）提高利益相关者的信心和信任；五、实施风险管理的意义五、实施风险管理的意义 9 9）为决策和规划建立可靠的根基：）为决策和规划建立可靠的根基： 10 10）加强控制）加强控制 11 11）有效地分配和使用风险处理资源；）有效地分配和使用风险处理资源； 12 12）提高运作的效果和效率）提高运作的效果和效率 13 13）加强健康和安全绩效，以及环境保护）加强健康和安全绩效，以及环境保护 14 14）改善损失预防和事件管理；）改善损失预防和事件管理； 15 15）减少损失；）减少损失； 16) 16) 提高组织的学习能力；提高组织的学习能力； 17 17）增强组织的应变能力；）增强组织的应变能力；五、实施风险管理的意义五、实施风险管理的意义 ISO31000ISO31000中所描述的通用方法提供了在任中所描述的通用方法提供了在任何范围和背景下，以系统、清晰、可靠的何范围和背景下，以系统、清晰、可靠的方式管理风险的原则和指南。方式管理风险的原则和指南。作为管理方作为管理方法论，其原则和指南可以应用到认证的各法论，其原则和指南可以应用到认证的各个领域个领域OHSAS18000OHSAS18000标准包含了