风险管理1PPT

1、 风险管理概述风险管理概述第第 一一 章章内容提要内容提要一、风险与风险管理一、风险与风险管理二、风险管理的起源和发展二、风险管理的起源和发展三、我国的风险管理三、我国的风险管理四、风险管理标准四、风险管理标准五、实施风险管理的目的和意义五、实施风险管理的目的和意义六、风险管理在认证领域中的应用六、风险管理在认证领域中的应用一、风险与风险管理一、风险与风险管理所有类型和规模的组织都面临内所有类型和规模的组织都面临内部和外部的、使组织不能确定是部和外部的、使组织不能确定是否及何时实现其目标的因素和影否及何时实现其目标的因素和影响。这种不确定性所具有的对组响。这种不确定性所具有的对组织目标的影响就

2、是织目标的影响就是“风险风险”。 一、一、风险与风险管理风险与风险管理 风险管理是针对风险指挥和控制组织的协风险管理是针对风险指挥和控制组织的协调活动。调活动。 组织的所有活动都涉及风险。组织的所有活动都涉及风险。 组织通过识别、分析和评定是否运用风险组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来处理修正风险以满足它们的风险准则，来管理风险。管理风险。 通过这个过程，它们与利益相关方进行沟通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保通和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控不再进一步需求风险处理而修正风险的控制

3、措施制措施 2020世纪世纪3030年代在美国开始萌芽年代在美国开始萌芽 受当时世界性经济危机的影响，美国经济大萧条，受当时世界性经济危机的影响，美国经济大萧条， 约有约有4040左右的银行和企业破产，为应对经营上左右的银行和企业破产，为应对经营上 的危机，美国许多大中型企业都在内部设立了保的危机，美国许多大中型企业都在内部设立了保 险管理部门，负责安排企业的各种保险项目，保险管理部门，负责安排企业的各种保险项目，保 险成为当时企业处理风险的主要方法险成为当时企业处理风险的主要方法 20 20世纪世纪5050年代，风险管理在美国以学科的形式发年代，风险管理在美国以学科的形式发 展，并逐步形成了

4、独立的理论体系。展，并逐步形成了独立的理论体系。 1970 1970年代以后逐渐掀起了全球性的风险管理运动。年代以后逐渐掀起了全球性的风险管理运动。 美国一些大公司的重大损失使公司高层决策者开美国一些大公司的重大损失使公司高层决策者开 始认识到风险管理的重要性。始认识到风险管理的重要性。 二、风险管理的起源和发展二、风险管理的起源和发展 2020世纪世纪9090年代开始随着国际资产证券化、债券的风险进一年代开始随着国际资产证券化、债券的风险进一步扩大，使风险管理更迅速地在国际推行。步扩大，使风险管理更迅速地在国际推行。欧美欧美等国家先后建立起全国性和地区性的风险管理协会。等国家先后建立起全国性

5、和地区性的风险管理协会。针对安然、世通等财务欺诈事件，美国国会出台了著名的针对安然、世通等财务欺诈事件，美国国会出台了著名的20022002年萨班斯年萨班斯奥克斯利法案奥克斯利法案来规范上市公司的行为来规范上市公司的行为19831983年美国风险和保险管理协会年会上，通过了年美国风险和保险管理协会年会上，通过了“101“101条条风险管理准则风险管理准则”，标志着风险管理发展进入了一个新阶段，标志着风险管理发展进入了一个新阶段欧洲欧洲1111个国家成立了个国家成立了“欧洲风险管理委员会欧洲风险管理委员会”美国多家专业团体成立了美国多家专业团体成立了“反虚假财务报告委员会反虚假财务报告委员会”和

6、著和著名的专门研究内部控制的委员会名的专门研究内部控制的委员会“COSO“COSO委员会委员会”COSOCOSO著名报告内部控制著名报告内部控制- -整体框架整体框架(1992)(1992)和和COSO-COSO-ERMERM企业风险管理框架企业风险管理框架(2004)(2004)，是风险管理的重要文献，是风险管理的重要文献。二、风险管理的起源和发展二、风险管理的起源和发展 二、风险管理的起源和发展二、风险管理的起源和发展 三、我国的风险管理三、我国的风险管理 在我国，风险管理理论的发展及应用相对滞后，企业在风险管在我国，风险管理理论的发展及应用相对滞后，企业在风险管理上存在诸多问题：理上存在

7、诸多问题： 缺乏风险意识和策略，管理被动；缺乏风险意识和策略，管理被动； 缺乏风险管理技术、专业人才和资金；缺乏风险管理技术、专业人才和资金； 战略上急于求成，应对变化能力不强，导致个别企业不能有效战略上急于求成，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中承担了过多自身不可承受风险；应对重大风险事件，在发展中承担了过多自身不可承受风险； 国家对风险管理日益重视，国家对风险管理日益重视，20062006年国务院国有资产监督管理委年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引员会发布了中央企业全面风险管理指引 对中央企业如何开展全面风险管理提出了明确要求；对中央

8、企业如何开展全面风险管理提出了明确要求； 指导范围并不仅限于央企，对公司也同样具有普遍指导意义；指导范围并不仅限于央企，对公司也同样具有普遍指导意义； 指引的出台标志着我国有了自己的全面风险管理指导性文指引的出台标志着我国有了自己的全面风险管理指导性文件，我国企业正向管理的更高阶段件，我国企业正向管理的更高阶段全面风险管理迈进。全面风险管理迈进。 国际大环境，促进了风险管理的标准化和国际化国际大环境，促进了风险管理的标准化和国际化20042004年澳洲和新西兰联合推出年澳洲和新西兰联合推出AZ/NZS 4360AZ/NZS 4360风险管理标风险管理标准，是第一个国家级的风险管理标准准，是第一

9、个国家级的风险管理标准, ,并为国际标准的并为国际标准的出台奠定了基础出台奠定了基础 风险管理风险管理的的国际标准国际标准ISO31000ISO31000为业界广为关注，为业界广为关注，ISOISO历历时四年，时四年，从从CDCD到到DISDIS再到再到FDISFDIS稿，不断完善标准稿，不断完善标准，于，于20092009年年1111月月1313日正式发布了日正式发布了ISO31000ISO31000：2009 2009 风管理风管理原则和指南原则和指南 该标准该标准明确了风险管理的原则和指南明确了风险管理的原则和指南为深入开展风险管理工作提供了理论基础为深入开展风险管理工作提供了理论基础2

10、0022002年，我国已经依据年，我国已经依据ISO31000ISO31000标准的标准的DISDIS稿，颁布了稿，颁布了国家标准国家标准GB/T24353 GB/T24353 风险管理风险管理 原则与实施指南原则与实施指南 四、风险管理标准四、风险管理标准ISO的相关标准和指南的相关标准和指南 ISO31000:2009 ISO31000:2009 ISO31000:2009 ISO31000:2009 风险管理风险管理 原则和指南原则和指南Risk management Principles and guideline提供了风险管理的原则提供了风险管理的原则和通用性指南。和通用性指南。 尽

11、管所有的组织在某种程度上都在管理风险，尽管所有的组织在某种程度上都在管理风险，ISO31000ISO31000建立了一些为使风险管理变得有效建立了一些为使风险管理变得有效而需要满足的原则。而需要满足的原则。 ISO31000ISO31000建议，组织制定、实施和持续改进建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。过程、方针、价值观和文化中。 ISO31000:2009 ISO31000:2009ISO31000:2009提供了在任

12、何范围和状况下，提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则以系统的、清晰可靠的方式管理风险的原则和通用指南。和通用指南。 风险管理的每一个特定领域或应用都具有各风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，自的需求、受众、观念和准则。因此，ISO31000ISO31000的主要特点是在通用的风险管理过的主要特点是在通用的风险管理过程中将程中将“明确环境明确环境”作为初始活动。作为初始活动。 “明确环境明确环境”将捕获组织的目标，组织所追将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准求目标的环境，组织的利益相关方和风险准则的多样性

13、，所有这些都将帮助揭示和评价则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。风险的性质和复杂性。ISO31010:2009 国家标准国家标准(GB/T23694)(GB/T23694)GB/T2GB/T236943694 2009 2009 风险管理风险管理 术语术语 idt idtISOISO GUIDE GUIDE 73 2002 73 2002 1 1 基础术语（基础术语（8 8） 2 2 受风险影响的组织及个人的相关术语（受风险影响的组织及个人的相关术语（4 4） 3 3 与风险评估的相关术语（与风险评估的相关术语（6 6） 4 4 与风险处理和风险控制相关的术语（与风险处理

14、和风险控制相关的术语（1111）国家标准国家标准(GB/T24353)(GB/T24353)国家标准国家标准(GB/T24353)(GB/T24353) 风险管理的目的风险管理的目的: : 通过具有前瞻性的、充分地考虑各类风险的通过具有前瞻性的、充分地考虑各类风险的不确定性及其对目标的影响，制定行之有效不确定性及其对目标的影响，制定行之有效的应对措施，为组织在运营和决策中有效应的应对措施，为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障，以对各类突发事件和风险提供支持和保障，以使组织能有效的配置资源、优化过程，及时、使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风险，提高

15、风险应对的效恰当、有效地应对风险，提高风险应对的效率和效果，更好地实现组织的目标。率和效果，更好地实现组织的目标。 五、实施风险管理的目的五、实施风险管理的目的 风险管理的意义风险管理的意义: : 1 1）提高实现目标的可能性；）提高实现目标的可能性； 2 2）鼓励主动性管理；）鼓励主动性管理；3 3）在整个组织意识到识别和处理风险的需求）在整个组织意识到识别和处理风险的需求; ;4 4）改进对机会和威胁的识别；）改进对机会和威胁的识别；5 5）遵守相关的法律法规要求及国际规范；）遵守相关的法律法规要求及国际规范；6 6）改进强制性和自愿性报告）改进强制性和自愿性报告 7 7）改善治理）改善治

16、理 8 8）提高利益相关者的信心和信任；）提高利益相关者的信心和信任；五、实施风险管理的意义五、实施风险管理的意义 9 9）为决策和规划建立可靠的根基：）为决策和规划建立可靠的根基： 1010）加强控制）加强控制 11 11）有效地分配和使用风险处理资源；）有效地分配和使用风险处理资源； 1212）提高运作的效果和效率）提高运作的效果和效率 13 13）加强健康和安全绩效，以及环境保护）加强健康和安全绩效，以及环境保护 1414）改善损失预防和事件管理；）改善损失预防和事件管理； 1515）减少损失；）减少损失； 16) 16) 提高组织的学习能力；提高组织的学习能力； 1717）增强组织的应

17、变能力；）增强组织的应变能力；五、实施风险管理的意义五、实施风险管理的意义 不确定性对目标的影响不确定性对目标的影响 注注1 1：影响是与期待的偏差：影响是与期待的偏差积极和积极和/ /或消极或消极注注2 2：目标可以有不同方面（如财务、健康安全、以及环：目标可以有不同方面（如财务、健康安全、以及环境目标），可以体现在不同的层次（如战略、组织范境目标），可以体现在不同的层次（如战略、组织范围、项目、产品和过程）。围、项目、产品和过程）。注注3 3：风险通常以潜在事件和后果，或它们的组合来描述。：风险通常以潜在事件和后果，或它们的组合来描述。注注4 4：风险通常以事件（包括环境的变化）后果和发生

18、可：风险通常以事件（包括环境的变化）后果和发生可能性的组合来表达。能性的组合来表达。注注5 5：不确定性是指，对事件、其后果或可能性的认识或：不确定性是指，对事件、其后果或可能性的认识或了解方面的信息的缺乏或不完整的状态。了解方面的信息的缺乏或不完整的状态。 2.2.后果后果 某一事件的结果。某一事件的结果。注注1 1：某一事件可能会产生不止一种的后果。：某一事件可能会产生不止一种的后果。注注2 2：后果可以是正面的负面的。然而，从：后果可以是正面的负面的。然而，从安全方面来看，后果往往都是负面的。安全方面来看，后果往往都是负面的。注注3 3：后果可以定性或定量表述。：后果可以定性或定量表述。

19、3.3.可能性：可能性：某一事发生的机会某一事发生的机会4 4. .概率概率 某一事件发生的可能程度。某一事件发生的可能程度。注注1 1：GB/T3358.1-1993 GB/T3358.1-1993 给出了一个关于给出了一个关于“概率概率”的数学定的数学定 义，度量某一随机事件发生可能性大小的实数，其值义，度量某一随机事件发生可能性大小的实数，其值 介于介于0 0与与1 1之间，它可以用来指在一段相当长的时间内，之间，它可以用来指在一段相当长的时间内， 某一事件将要发生的频率，或者这一事件发生的可信某一事件将要发生的频率，或者这一事件发生的可信 程度。对于高可信度来说，概率接近程度。对于高可

20、信度来说，概率接近“1 1”。注注2 2：在描述风险时，常用：在描述风险时，常用“频率频率”一词而不是用一词而不是用“概率概率” 一词。一词。注注3 3：有关可能性的程度可以用不同的等级来表示：有关可能性的程度可以用不同的等级来表示： -极不可能极不可能/ /不大可能不大可能/ /可能可能/ /很可能很可能/ /几几乎确定；或者乎确定；或者 -难以置信难以置信/ /不可能不可能/ /可能性极小可能性极小/ /偶尔偶尔/ /有可能有可能/ /经常。经常。 5 5. .事件事件 特定情况的发生。特定情况的发生。注注1 1：事件可能是确定的，也可能是不确定的。：事件可能是确定的，也可能是不确定的。注

21、注2 2：事件可能是单一的，也可能是系列的。：事件可能是单一的，也可能是系列的。注注3 3：对于给定时间内事件发生的概率可以估算：对于给定时间内事件发生的概率可以估算出来出来 确定的事件，是预知的，而不确定的事件，确定的事件，是预知的，而不确定的事件，是没有预知的，但也是有可能发生的。是没有预知的，但也是有可能发生的。 事件可能是明显的，也可能是模糊的，其影事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。响可能是正面的，也可能是负面的。 指导和控制某一组织与风险相指导和控制某一组织与风险相关问题的协调活动。关问题的协调活动。 提供在组织内设计、实施、监测、评审提供在组织内

22、设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要和持续改进风险管理的基础和组织安排的要素集合。素集合。 注注1 1：基础包括管理风险的方针、目标、指令和承：基础包括管理风险的方针、目标、指令和承诺诺 注注2 2：组织安排包括计划、关系、责任、资源、过：组织安排包括计划、关系、责任、资源、过程和活动。程和活动。 注注3 3：风险管理框架被嵌入到组织的整个战略和运：风险管理框架被嵌入到组织的整个战略和运营的方针和实践中营的方针和实践中指令和承诺指令和承诺 风险管理框架的设计风险管理框架的设计 理解组织和其状况理解组织和其状况 建立风险管理方针建立风险管理方针 责任责任 嵌入组织的过程嵌

23、入组织的过程 资源资源 建立内部沟通和报告机制建立内部沟通和报告机制 建立外部沟通和报告机制建立外部沟通和报告机制框架的持续改进框架的持续改进实施风险管理实施风险管理实施风险管理框架实施风险管理框架实施风险管理过程实施风险管理过程框架的监测和评审框架的监测和评审内部环境内部环境信息沟通信息沟通 监测监测控制活动控制活动风险应对风险应对风险评估风险评估事项识别事项识别目标设定目标设定战略战略经营经营报告报告合规合规公司层面公司层面科室科室业业务务单单位位子公司子公司COSO COSO 全面风险管理框架全面风险管理框架（三维三维图图） 一个组织对风险管理的意图和一个组织对风险管理的意图和方向的陈述

24、。方向的陈述。 在风险管理框架内规定用于风险管在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。理的方法、管理要素、资源的方案。 注注1 1：管理要素一般包括程序、惯例、职责分配、：管理要素一般包括程序、惯例、职责分配、活动顺序和时间安排。活动顺序和时间安排。 注注2 2：风险管理计划可应用于特定的产品、过程：风险管理计划可应用于特定的产品、过程和项目、组织的部分或整体。和项目、组织的部分或整体。 管理方针、程序和惯例对沟通、管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、协商、明确环境、以及识别、分析、评价、处理、监测和评审风险活动评价、处理、监测和评审风险活动的系统

25、应用的系统应用。 组织针对风险管理，提供、共享或获取信息，组织针对风险管理，提供、共享或获取信息，与利益相关者进行对话的持续和反复的过程。与利益相关者进行对话的持续和反复的过程。 注注1 1：信息涉及风险管理的存在、性质、形式、可能：信息涉及风险管理的存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。性、严重程度、评定、可接受性、处理。 注注2 2：协商是组织与它的利益相关方，在做出决策或：协商是组织与它的利益相关方，在做出决策或 确定某一问题的方向前，针对问题双向有事实确定某一问题的方向前，针对问题双向有事实 依据的沟通的过程。协商是：依据的沟通的过程。协商是： 通过影响力而非权力

26、对决策施加影响；通过影响力而非权力对决策施加影响； 作为决策的输入，而非加入决策。作为决策的输入，而非加入决策。 可以影响风险、受到风险影响或可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、自认为会受到风险影响的任何个人、团体或组织。团体或组织。 注注1 1：决策者也是利益相关者之一。：决策者也是利益相关者之一。 注注2 2：术语：术语“利益相关者利益相关者”包括包括GB/T19000-GB/T19000- 2008 2008中定义的中定义的“相关方相关方”。组织的利益相关者可以包括组织的利益相关者可以包括 1 1）组织的决策者；）组织的决策者；2 2）组织内部负责制定风险管理政策

27、的人员；）组织内部负责制定风险管理政策的人员；3 3）组织或活动中实施风险管理的人员；）组织或活动中实施风险管理的人员；4 4）需要对组织的风险管理实践进行评估的人员；）需要对组织的风险管理实践进行评估的人员；5 5）组织中负责制定风险管理标准、指南、程序、）组织中负责制定风险管理标准、指南、程序、应用准则的人员；应用准则的人员；6 6）股东、董事会、高级管理人员、员工、债权）股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作人、供应商、顾客、银行、监管机构、合作伙伴等伙伴等. .（见（见GB/T24353:2009GB/T24353:2009前言部分）。前言部分）。

28、1313. .风险感知风险感知 利益相关者根据其价值观或利利益相关者根据其价值观或利害关系看待风险的方式。害关系看待风险的方式。 注注1 1：风险感知取决于利益相关者的需要、关注点及：风险感知取决于利益相关者的需要、关注点及知识。知识。 注注2 2：风险感知可能不同于客观数据。：风险感知可能不同于客观数据。风险感知反映利益相关者的需求，问题、知识、信风险感知反映利益相关者的需求，问题、知识、信念和价值念和价值。利益相关者的需要及关注的问题不同，因而风险感利益相关者的需要及关注的问题不同，因而风险感知会有所不同。知会有所不同。 风险感知会存在一定的主观判断，因而可能与客观风险感知会存在一定的主观

29、判断，因而可能与客观数据有不同。数据有不同。 界定外部和内部参数，以便在界定外部和内部参数，以便在管理风险和设置风险管理方针的管理风险和设置风险管理方针的范围及风险准则时，予以考虑。范围及风险准则时，予以考虑。 1 14.4.明确环境明确环境 。注：风险准则包括相关的成本及收益，法律法规要求，社注：风险准则包括相关的成本及收益，法律法规要求，社会及环境因素，利益相关者的态度，优先次序和在评估会及环境因素，利益相关者的态度，优先次序和在评估过程中的其他要素。过程中的其他要素。风险准则是组织用于评价风险重要度的标准，因此，风风险准则是组织用于评价风险重要度的标准，因此，风险准则需体现组织的风险承受

30、度，并反映组织的价值观、险准则需体现组织的风险承受度，并反映组织的价值观、目标和资源。目标和资源。风险评价准则会涉及到各个方面，如成本收益、法律法风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。规、利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要风险准则也会直接或间接反映法律法规要求或其他需要组织遵循的要求。准则也是使组织对接受风险做出决定组织遵循的要求。准则也是使组织对接受风险做出决定的依据。的依据。1 15.5.风险准则风险准则 。 1 16.6.风险评估风险评估 风险评估风险评估 风险识别风险识别 风险分析风险分析 风险评价风险评价 。 注：风险源

31、可能是有形的或者是无形的。 具有风险管理权限和责任的具有风险管理权限和责任的个人或实体个人或实体。 注注1 1：风险分析为风险评价和风险处理决策提供：风险分析为风险评价和风险处理决策提供了基础。了基础。 注注2 2：风险分析包括风险估测。：风险分析包括风险估测。 注：风险评定有助于有关风险处理的决策。 一个组织愿意追求或保留风险一个组织愿意追求或保留风险的数量和类型。的数量和类型。 GB/T24353:2009 5.6.1 GB/T24353:2009 5.6.1 中提到这一词汇中提到这一词汇 COSOCOSO指出：指出： 风险偏好是企业追求目标中愿意接受风风险偏好是企业追求目标中愿意接受风险

32、的程度险的程度 指导企业的资源配置；指导企业的资源配置；23.23.风险偏好风险偏好 risk appetite 接受某一风险的决定。接受某一风险的决定。 注：风险承受取决于风险准则。注：风险承受取决于风险准则。 任何规模和类型的组织都面临风险，组织的所任何规模和类型的组织都面临风险，组织的所有活动都涉及风险。只是组织应通过确定风险有活动都涉及风险。只是组织应通过确定风险准则，来决定对某一风险是否接受。准则，来决定对某一风险是否接受。 组织的价值取向和能力不同，因而是否能接受组织的价值取向和能力不同，因而是否能接受某一风险会有不同的决定，这些决定会依据风某一风险会有不同的决定，这些决定会依据风

33、险准则的要求。险准则的要求。24.24.风险承受风险承受 risk acceptance 注注1 1：风险处理可包括：风险处理可包括：通过决定不启动或停止产生风险的活动而避免风险。通过决定不启动或停止产生风险的活动而避免风险。为了追求机会采取或增加风险。为了追求机会采取或增加风险。消除风险源。消除风险源。改变可能性。改变可能性。改变后果。改变后果。与其他方面共同分担风险（包括合同、风险融资）。与其他方面共同分担风险（包括合同、风险融资）。通过有事实依据的决策保留风险。通过有事实依据的决策保留风险。注注2 2：对消极后果的风险处理有时可以称为：对消极后果的风险处理有时可以称为 “ “风险减缓（风

34、险减缓（risk mitigation）”、 “ “风险消除（风险消除（risk eliminate）”、 “ “风险预防（风险预防（risk prevention）”和和 “ “风险减小（风险减小（risk reduction）”。注注3 3：风险处理可以产生新的风险或修正已：风险处理可以产生新的风险或修正已 存在的风险。存在的风险。 决定不陷入风险，或者从风险决定不陷入风险，或者从风险状态中撤离的行为。状态中撤离的行为。 注：这个决定可能是以风险评价结果为依据的。注：这个决定可能是以风险评价结果为依据的。在风险评价之后，风险管理者会发现某些风险发生损失的在风险评价之后，风险管理者会发现某些

35、风险发生损失的可能性很大，或者一旦发生且损失的程度非常严重时，可可能性很大，或者一旦发生且损失的程度非常严重时，可以采取主动放弃原来承担风险或完全拒绝承担该风险的实以采取主动放弃原来承担风险或完全拒绝承担该风险的实施行动，就是对风险的规避。施行动，就是对风险的规避。风险规避是一种主动的行为，但放弃风险同时也意味着收风险规避是一种主动的行为，但放弃风险同时也意味着收 益的丧失。益的丧失。26.26.风险规避风险规避 为实现风险处理及其他相关活动为实现风险处理及其他相关活动的费用提供资金的活动。的费用提供资金的活动。 注：在某些行业中，风险融资特指对风险造成注：在某些行业中，风险融资特指对风险造成

36、 的财务后果提供资金。的财务后果提供资金。 组织在风险处理（风险规避、风险优化、风组织在风险处理（风险规避、风险优化、风险转移、风险自留）过程中，需要支付一定险转移、风险自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而的费用，以实现管理风险或补偿损失，因而会采用各种方式融通资金。会采用各种方式融通资金。 融通资金是为风险管理对资金的筹措，也是融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险风险的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。评价是融资的主要数据依据。27.27.风险融资风险融资 接受某一特定风险带来的损失或收益。接受某一特

37、定风险带来的损失或收益。注注1 1：风险自留包括接受那些没有得到识别的风险。：风险自留包括接受那些没有得到识别的风险。注注2 2：风险自留不包括运用保险或者其他方法进行：风险自留不包括运用保险或者其他方法进行 的风险转移的处理。的风险转移的处理。注注3 3：对风险的接受程度和对风险准则的依赖程度：对风险的接受程度和对风险准则的依赖程度 可能会有变化。可能会有变化。28.28.风险自留风险自留 2 29.9. monitoring。 30.30. review原则一：风险管理创造并保护价值原则一：风险管理创造并保护价值原则二：风险管理嵌入组织的管理过程原则二：风险管理嵌入组织的管理过程原则三：风

38、险管理支持决策过程原则三：风险管理支持决策过程原则四：明确风险管理涉及的不确定性原则四：明确风险管理涉及的不确定性原则五：风险管理是系统的，结构化的原则五：风险管理是系统的，结构化的和及时的和及时的原则六：风险管理是基于最可用的信息原则六：风险管理是基于最可用的信息原则七：风险管理是定制的原则七：风险管理是定制的原则八：风险管理考虑人文因素原则八：风险管理考虑人文因素原则九：风险管理是透明的和包原则九：风险管理是透明的和包 容的容的原则十：风险管理是动态的，原则十：风险管理是动态的，迭迭 代的和适应变化的代的和适应变化的原则十一：风险管理有利于组织原则十一：风险管理有利于组织 持续改进持续改进

39、 风险管理创造并保护价值风险管理创造并保护价值 这项原则的价值在于风险管理的目这项原则的价值在于风险管理的目的就是为了的就是为了创造并保护价值，控制创造并保护价值，控制损失。损失。风险是客观存在的，任何组织都面风险是客观存在的，任何组织都面临风险，组织的所有活动都涉及风临风险，组织的所有活动都涉及风险，风险会影响组织目标的实现。险，风险会影响组织目标的实现。在组织的运营活动中，机遇和威胁并存，在组织的运营活动中，机遇和威胁并存，风险管理风险管理就是就是要趋利避害，创造价值。要趋利避害，创造价值。在某些特定领域，如金融业、从风险管在某些特定领域，如金融业、从风险管理的角度理的角度出发，币值波动既

40、能造成潜在出发，币值波动既能造成潜在损失，又是可能盈利的机会。损失，又是可能盈利的机会。因此风险管理过程越来越多地被认为是因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响，既要关注不确定因素带来的消极影响，又要关注这些不确定性因素的积极影响。又要关注这些不确定性因素的积极影响。 风险管理不是独立于组织主要活动风险管理不是独立于组织主要活动和各项管理过程的单独的活动，而是和各项管理过程的单独的活动，而是组织管理过程不可缺少的重要组织部组织管理过程不可缺少的重要组织部分，包括战略规划、所有项目、变更分，包括战略规划、所有项目、变更管理过程。管理过程。 组织的管理是一个综合管理，风

41、险管理组织的管理是一个综合管理，风险管理是组织综合管理的一个组成部分。是组织综合管理的一个组成部分。 组织应把风险管理的各项要求融入企业组织应把风险管理的各项要求融入企业管理和业务流程中，如：企业战略、规管理和业务流程中，如：企业战略、规划、产品研发、投融资、市场运营、财划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等。流、质量、安全生产、环境保护等。 COSOCOSO于于20012001年起开始进行企业风险管年起开始进行企业风险管理研究，强调

42、风险管理框架必须和内理研究，强调风险管理框架必须和内部控制框架相一致，把内部控制目标部控制框架相一致，把内部控制目标和要素整合到企业全面风险管理过程和要素整合到企业全面风险管理过程中。中。 因此，全面风险管理（因此，全面风险管理（ERMERM）框架是对）框架是对内部控制框架的扩展和延伸，它涵盖内部控制框架的扩展和延伸，它涵盖了内部控制，并且比内部控制更完整、了内部控制，并且比内部控制更完整、有效有效。 首先，该框架扩展了内部控制框架，强首先，该框架扩展了内部控制框架，强调风险管理与企业战略目标相协调，并调风险管理与企业战略目标相协调，并最终融人企业文化之中；最终融人企业文化之中； 其次，该框架

43、更强调风险管理贯穿于企其次，该框架更强调风险管理贯穿于企业运行过程的各个方面，涉及到企业的业运行过程的各个方面，涉及到企业的治理、管理和操作等所有层级，扩展了治理、管理和操作等所有层级，扩展了单纯的内部控制职能；单纯的内部控制职能； 最后，引入了风险组合、风险和机会的最后，引入了风险组合、风险和机会的区分、风险应对、风险偏好、风险容量区分、风险应对、风险偏好、风险容量等风险管理理论新的研究成果。等风险管理理论新的研究成果。 风险管理是一个过程，就符合过程管风险管理是一个过程，就符合过程管理的原则，组织的风险管理是由许多理的原则，组织的风险管理是由许多风险管理过程组成，在风险管理的过风险管理过程

44、组成，在风险管理的过程中，要将多个风险管理过程按照一程中，要将多个风险管理过程按照一个统一的风险管理系统来管理，这样个统一的风险管理系统来管理，这样能够取得最优的效率和结果能够取得最优的效率和结果 组织体系是风险管理的保障组织体系是风险管理的保障 风险管理是及时的，有组织的风险管理是及时的，有组织的 风险管理是定制的风险管理是定制的 风险管理与组织的内外部环境及风险管理与组织的内外部环境及风险环境是匹配的。风险环境是匹配的。 风险管理与组织的内外部环境有关。风险管理与组织的内外部环境有关。风险管理与组织的行业、产品、经营风险管理与组织的行业、产品、经营模式、客户、竞争对象风险水平等相模式、客户

45、、竞争对象风险水平等相适应。适应。 组织的风险管理与组织所承担的风险组织的风险管理与组织所承担的风险有关，受组织的文化、地域、历史、有关，受组织的文化、地域、历史、信仰、人员等人文因素的影响不同的信仰、人员等人文因素的影响不同的组织风险偏好不一样，风险标准不一组织风险偏好不一样，风险标准不一样，风险管理的决策和风险实施就不样，风险管理的决策和风险实施就不一样。一样。 风险管理考虑人文因素风险管理考虑人文因素 风险管理意识是可以促进或阻碍风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的组织目标的实现的内部和外部人的能量、观念和意图。能量、观念和意图。 风险管理是透明的和包容的风险管理是

46、透明的和包容的 在组织的风险管理过程中，风险管理的在组织的风险管理过程中，风险管理的决策者要参与分风险管理过程，要和风决策者要参与分风险管理过程，要和风险管理过程的人员进行充分的沟通，要险管理过程的人员进行充分的沟通，要在风险管理的各个环节明确要求和准则，在风险管理的各个环节明确要求和准则，及时掌握风险动态，做出准确的决策。及时掌握风险动态，做出准确的决策。 风险管理是动态的，风险管理是动态的， 迭代的和适应变化的迭代的和适应变化的 风险管理有利于风险管理有利于 组织持续改进组织持续改进 组织应制定和实施战略，以改组织应制定和实施战略，以改善组织各个方面的风险管理水平。善组织各个方面的风险管理

47、水平。1.1.总则（风险管理框架的含义）总则（风险管理框架的含义）2.2.风险管理的指令与承诺风险管理的指令与承诺3.3.风险管理框架的设计风险管理框架的设计4.4.风险管理的实施风险管理的实施5.5.框架的监视与评审框架的监视与评审6.6.框架的持续改进框架的持续改进 通常意义上的理解通常意义上的理解 边界、基础要素、结构的集合边界、基础要素、结构的集合1.2 1.2 风险管理框架的含义风险管理框架的含义 提供在组织内设计、实施、监测、提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和评审和持续改进风险管理的基础和组织安排的要素集合。组织安排的要素集合。 基础基础包括风险管理的：包

48、括风险管理的：n 方针方针n 目标目标n 指令和承诺等；指令和承诺等； 组织安排组织安排包括风险管理的：包括风险管理的：n 计划计划n 关系关系n 职责职责n 资源资源n 过程和活动过程和活动 嵌入嵌入到组织整体的战略以及运营方针和实践到组织整体的战略以及运营方针和实践之中之中 嵌入：嵌入：n 非孤立存在；非孤立存在；n 成为运行对象的一部分；成为运行对象的一部分；n 整合高度成熟的一种状态；整合高度成熟的一种状态；组织的运营过程组织的运营过程n 风险管理框架自身并不构成一个单独的风险管理框架自身并不构成一个单独的“风风险管理体系险管理体系”；n 框架追求的结果是将风险管理嵌入到组织整框架追求

49、的结果是将风险管理嵌入到组织整体的管理体系之中；体的管理体系之中；n 更为有效的方式是在组织现有的体系过程中，更为有效的方式是在组织现有的体系过程中，整合应用框架内的风险管理要素；整合应用框架内的风险管理要素；指令和承诺指令和承诺 风险管理框架的设计风险管理框架的设计 理解组织和其状况理解组织和其状况 建立风险管理方针建立风险管理方针 责任责任 融入组织的过程融入组织的过程 资源资源 建立内部沟通和报告机制建立内部沟通和报告机制 建立外部沟通和报告机制建立外部沟通和报告机制框架的持续改进框架的持续改进实施风险管理实施风险管理实施风险管理框架实施风险管理框架实施风险管理过程实施风险管理过程框架的

50、监测和评审框架的监测和评审 管理层的行为管理层的行为 组织组织“权力权力”方面的保证方面的保证 目的在于支持：目的在于支持：n 在组织内部引入风险管理在组织内部引入风险管理n 保持风险管理的持续有效性保持风险管理的持续有效性 风险管理方针的制定风险管理方针的制定( (统一方向统一方向) ) 协调性的保证协调性的保证n 风险管理方针风险管理方针 VS VS 组织文化组织文化n 风险管理绩效指标风险管理绩效指标 VS VS 组织的其他指标组织的其他指标n 风险管理目标风险管理目标 VS VS 组织的其他目标和战略组织的其他目标和战略 合规性合规性 职责权限的分配职责权限的分配 资源的配置资源的配置

51、 对风险管理收益的沟通对风险管理收益的沟通 框架适宜性的保持框架适宜性的保持 基础：对组织内外部环境（状况）的评基础：对组织内外部环境（状况）的评价和理解价和理解 设计的内容涉及：设计的内容涉及：n 风险管理方针风险管理方针n 责任责任n 与组织过程的融合与组织过程的融合n 资源资源n 内外部沟通与报告机制内外部沟通与报告机制 国际、国内、区域和当地的社会和文化、政国际、国内、区域和当地的社会和文化、政治、法律、法规、财务、技术、经济、自然治、法律、法规、财务、技术、经济、自然和竞争环境；（客观存在）和竞争环境；（客观存在） 对组织目标实现产生关键影响的驱动因素和对组织目标实现产生关键影响的驱

52、动因素和趋势；（与组织的目标相关联）趋势；（与组织的目标相关联） 与外部利益相关方的关系以及观念和价值观；与外部利益相关方的关系以及观念和价值观；（与组织的外部利益相关方有关）（与组织的外部利益相关方有关） 公司治理、组织结构、角色和职责；公司治理、组织结构、角色和职责； 计划实现的方针、目标和战略；计划实现的方针、目标和战略； 能力（从资源和知识的角度）（例如，资本、时能力（从资源和知识的角度）（例如，资本、时间、人员、过程系统和技术）；间、人员、过程系统和技术）； 信息系统、信息流和决策过程（正式和非正式信息系统、信息流和决策过程（正式和非正式的）；的）； 与内部利益相关方的关系、他们的观

53、念和价值观；与内部利益相关方的关系、他们的观念和价值观； 组织的文化；组织的文化； 组织所采用的标准、指南和业务模式；组织所采用的标准、指南和业务模式； 合同关系的形式和范围；合同关系的形式和范围； 风险管理方针：组织对风险管理的意图风险管理方针：组织对风险管理的意图和方向的陈述和方向的陈述 建立方针是管理层的职责建立方针是管理层的职责 风险管理方针应清晰表述的内容：风险管理方针应清晰表述的内容： 风险管理的目标风险管理的目标 组织对风险管理的承诺组织对风险管理的承诺 方针应得到沟通方针应得到沟通 风险管理方针应指明的典型内容：风险管理方针应指明的典型内容：n 组织管理风险的基本原理；组织管理

54、风险的基本原理；n 组织目标、方针与风险管理方针的联系；组织目标、方针与风险管理方针的联系；n 管理风险的责任和职责；管理风险的责任和职责；n 处理利益相关方冲突的方式；处理利益相关方冲突的方式；n 为管理风险提供所需资源的承诺；为管理风险提供所需资源的承诺；n 风险管理绩效测量和报告的方法；风险管理绩效测量和报告的方法；n 对风险管理方针和框架周期性的评审和改对风险管理方针和框架周期性的评审和改进以及对环境中的事件或变革进行应对的进以及对环境中的事件或变革进行应对的承诺；承诺； 涵盖的范围：职责、权限和能力涵盖的范围：职责、权限和能力 需要明确定义职责、权限和能力的领域需要明确定义职责、权限

55、和能力的领域 实施和保持风险管理过程；实施和保持风险管理过程； 为确保控制的充分性、有效性和效率为确保控制的充分性、有效性和效率所需的活动；所需的活动； 确定的主要方式：确定的主要方式： 识别风险所有者；识别风险所有者； 识别对风险管理框架负有建立、实施和保持职责识别对风险管理框架负有建立、实施和保持职责的人员；的人员； 识别组织所有层次在风险管理过程方面的其他职识别组织所有层次在风险管理过程方面的其他职责建立绩效测量过程以及外部和或内部报告和分责建立绩效测量过程以及外部和或内部报告和分发过确保适宜的认可程度；发过确保适宜的认可程度； 基本的方法论：基本的方法论： 风险管理过程应是组织过程中的

56、一部分；风险管理过程应是组织过程中的一部分； 风险管理应融入方针建立、业务和战略策划风险管理应融入方针建立、业务和战略策划和评审以及变革管理过程；和评审以及变革管理过程； 融合的要求：融合的要求： 以紧密相关的、有效的、有效率的方式将风以紧密相关的、有效的、有效率的方式将风险管理嵌入至组织所有的实践和过程险管理嵌入至组织所有的实践和过程 融合的载体融合的载体 风险管理计划风险管理计划 组织应为风险管理配置适宜的资源组织应为风险管理配置适宜的资源 应考虑以下方面的内容：应考虑以下方面的内容： 人员、技能、经验和能力；人员、技能、经验和能力； 风险管理过程步骤所需的资源；风险管理过程步骤所需的资源

57、； 组织应用于风险管理的过程、方法和工具；组织应用于风险管理的过程、方法和工具； 文件化的过程和程序；文件化的过程和程序； 信息和知识管理系统；信息和知识管理系统； 培训方案培训方案 目的：支持和鼓励风险的职责和责任归属；目的：支持和鼓励风险的职责和责任归属； 确保：确保： 风险管理框架的关键组成部分以及任何后续的修改得风险管理框架的关键组成部分以及任何后续的修改得 到适宜的沟通；到适宜的沟通； 存在充分的关于框架的，有效性和输出的内部报告；存在充分的关于框架的，有效性和输出的内部报告； 来自于风险管理应用所获得的相关信息在适宜的层次来自于风险管理应用所获得的相关信息在适宜的层次 和频次上可获

58、得；和频次上可获得； 存在与内部利益相关方协商的过程；存在与内部利益相关方协商的过程； 对多来源信息的统一对多来源信息的统一 对信息敏感性的考虑对信息敏感性的考虑 沟通与报告的对象：外部利益相关方沟通与报告的对象：外部利益相关方 机制的载体：沟通计划机制的载体：沟通计划 计划的内容：计划的内容： 使适宜的利益相关方参与并确保有效地沟通信息；使适宜的利益相关方参与并确保有效地沟通信息；法律、法规和政府要求遵守情况的对外通告；法律、法规和政府要求遵守情况的对外通告；为沟通和协商提供反馈和报告；为沟通和协商提供反馈和报告；利用沟通以使组织内建立信任；利用沟通以使组织内建立信任；当危机或意外事故发生时

59、与利益相关方进行沟通当危机或意外事故发生时与利益相关方进行沟通 对多来源信息的统一对多来源信息的统一 对信息敏感性的考虑对信息敏感性的考虑 定义合适的实施该框架的时间表和策略；定义合适的实施该框架的时间表和策略； 为组织的过程应用风险管理方针和过程；为组织的过程应用风险管理方针和过程； 符合法律和法规要求；符合法律和法规要求； 确保决策、包括建立和设定目标等与风险管确保决策、包括建立和设定目标等与风险管理过程的输出相协调；理过程的输出相协调； 保持信息和培训机制并保持信息和培训机制并 与利益相关方沟通和协商以确保其风险管理与利益相关方沟通和协商以确保其风险管理框架保持适宜框架保持适宜4.2 4

60、.2 风险管理过程的实施风险管理过程的实施 目的：持续有效地支持组织绩效目的：持续有效地支持组织绩效 手段：手段：n 与指标进行比照与指标进行比照n 评价风险管理计划的实施情况评价风险管理计划的实施情况n 基于内外部环境的变化，对框架、方针和基于内外部环境的变化，对框架、方针和计划的持续适宜性进行评审计划的持续适宜性进行评审n 风险报告、方针得到遵循的程度风险报告、方针得到遵循的程度n 风险管理框架的有效性风险管理框架的有效性 频次：周期性的频次：周期性的 改进的输入：监视和评审的结果改进的输入：监视和评审的结果 改进的领域：改进风险管理的框架、改进的领域：改进风险管理的框架、方针和计划。方针