3第三章企业风险管理组织体系

第三章企业风险管理组织体系十分钟悲剧十分钟悲剧。雷曼兄弟公司在2008年9月15日上午10:00时向法院申请破产保护，消息转瞬间通过电视、广播和网络传遍地球的各个角落。国际互换与衍生工具协会（InternationalSwapsandDerivativesAssociation，以下简称ISDA）于雷曼兄弟公司正式提交破产申请的前一天（2008年9月14日）所发表的声明称，ISDA将于纽约时间的2008年9月14日的下午2：00到6：00为相关的场外金融衍生交易提供终止净额结算时段安排，以减少因雷曼兄弟公司破产而带来的风险。令人匪夷所思的是，德国国家发展银行（KfW）于10:10时，居然按照外汇掉期协议的交易，通过计算机自动付款系统，向雷曼兄弟公司即将冻结的银行账户转入了3亿欧元（约合4.35亿美元）。德国销量最大的《图片报》在2008年9月18日头版标题中，称KfW是“德国最愚蠢的银行”。雷曼的债务总额达6130亿美元，债权人超过10万个。众多的债权人中，中国工商银行、建设银行和中国银行等至少7家中资银行持有雷曼兄弟公司相关资产的总额在数亿美元以上。十分钟悲剧案例：短贷长投资扼住“标王”的咽喉

秦池酒厂是山东临胞县的一家生产“秦池”白酒的企业。1995年，临胞县人口88.7万人，人均收入1150元，低于山东省平均水平。

1995年秦池酒厂厂长赴京参加第一届“标王”竞标，以6666万元的价格夺得中央电视台黄金时段广告“标王”后，引起轰动效应，秦池酒厂一夜成名，秦池白酒也身价倍增。案例：短贷长投资扼住“标王”的咽喉

中标后的一个多月时间里，秦池酒厂就签订了销售合同4亿元；头两个月秦池酒厂销售收入就达2.18亿元，实现利税6800万元，相当于秦池酒厂建厂以来前55年的总和。至6月底，订货已排到了年底。1996年秦池酒厂的销售也由1995年的7500万元一跃为9.5亿。

1996年11月秦池酒厂以3.2亿元人民币的“天价”，买下了次年中央电视台黄金时段广告。然而，好景不长，1998年便传出了秦池酒厂生产、经营陷入困境，出现大幅亏损的消息。案例：秦池酒厂

一方面在扩大生产规模、提高生产能力，从而提高固定资产等长期性资产比例的同时，使流动资产在总资产中的比例相应下降，由此降低了企业的流动能力和变现能力；另一方面，巨额广告支出和固定资产上的投资所需资金要求企业通过银行贷款解决，按当时的银行政策，此类贷款往往为短期贷款，这就造成了银行的短期贷款被用于资金回收速度慢、周期较长的长期性资产上，由此使企业资产结构与资本结构在时间和数量上形成较大的不协调性，并因此形成了“短贷长投”。案例：高息借款将企业推入财务险境吉林化学工业股份有限公司是由吉林化学工业公司进行重组并于1994年12月13日成立的股份有限公司，经营范围是石油产品、石化及有机化工产品、合成橡胶、化肥及无机化工产品的生产和销售等。1993年集团公司开始建设30万吨乙烯工程，设想是解决当时生产的缺口以及满足需求的增长，投产后公司的乙烯年设计能力增加30万吨，达到45万吨，成为国内最大的乙烯生产商之一。整个乙烯工程总投资包括资本化利息约为人民币72亿多元。案例：高息借款将企业推入财务险境公司乙烯工程所需资金大部分是企业从银行贷款，其中一部分为30万吨乙烯建设所借的4.2亿美元的外币贷款，还款期为1997-2008年，贷款利息沉重，最多时年财务费用高达10亿元，年最高贷款利息率达到10%以上，后来财务费用虽有所减少，但每年仍在5亿元以上。1998—2001年累计财务费用为24.5亿元，超过同期公司累计主营业务利润的一半。案例：高息借款将企业推入财务险境沉重的债务负担造成吉林化工极高的资产负债率。截止到2002年中期，公司的资产负债率为75.46%，在同行业属明显偏高（同期上海石化为47.38%、扬子石化为56.27%、齐鲁石化为38.21%），公司长短期借款合计约83亿元。由于主要产品价格下降造成主营业务利润减少，更由于高额的财务费用，在经营困境和财务困境的双重挤压下，吉林化工2000年度和2001年度连续亏损，分别亏损8.79亿元和18.03亿元。案例：华为商业秘密案2004年12月7日，深圳市南山区人民法院对深圳华为公司原职工王某、刘某、秦某侵犯商业秘密一案进行了公开宣判。被告人王某、刘某被判侵犯商业秘密罪，两被告人均被判处有期徒刑3年，并处罚金人民币5万元；被告人秦某犯侵犯商业秘密罪，判处有期徒刑两年，并处罚金人民币3万元。已被冻结的沪科公司账户内款项，责令退赔给深圳华为公司，退赔金额以人民币588.01万元为限。案例：华为商业秘密案一审法院审理查明：被告人王某、刘某、秦某于1997年被深圳华为公司聘用，三被告人均曾任职硬件工程师并参与了华为公司光网络设备的研发工作，在职时分别与华为公司签订了《员工聘用协议书》和《员工保密合同书》。一审法院认为，三被告人均违反了其与华为公司签订的保密协议；被告人王某、刘某明知是他人违法获取的华为公司商业秘密并加以使用、允许他人使用及披露;被告人秦某以盗窃的手段获取华为公司的部分商业秘密，共同给华为公司造成重大经济损失,三被告人的行为均已构成侵犯商业秘密罪。案例：华为商业秘密案据报道，美国联邦调查局2009年10月16日宣布，美国福特汽车公司中国籍前雇员、北汽集团现任专业总师郁向东因涉嫌盗窃商业机密和非法侵入电脑系统于周四在芝加哥被捕。

郁向东曾于1997年至2007年期间，担任福特产品工程师。从福特离职后，郁向东曾示好上汽，最终投靠北汽。美国当局称，郁向东在任职福特期间被指控窃取和试图窃取商业交易机密及其他资料，并利用这些资料为中国汽车公司工作。案例：华为商业秘密案“窃取商业机密将对国家产业安全造成威胁，”美国FBI特别代理人AndrewG.Arena表示，“尤其对密歇根等美国汽车工业重镇来说影响甚大。”据悉，这一罪名如果成立，郁向东最大可能被判罚45年监狱之刑和125万美元的罚金。2008-8-22，武汉一家进口汽车销售公司高层主管，去汉口黄浦路4S销售展厅进行盘库时，觉得奇怪：前不久还停这儿的128.5万元的越野宝马车怎么不见了？14案例：美女经理侵吞8辆宝马车调看保安门岗监控记录，更觉得离谱，失踪的宝马是销售经理李琳(化名)8月6日开走的，没在财务办理任何手续。继续盘库，情况离谱得越来越怵目惊心：一辆客户已付133.6万元预定款的宝马X5越野车也不见了，款项被李琳挪于其他客户的应交车款。再次调看监控录像，该车也是李琳开走的。盘库进一步深入，车库账目越来越清晰得令人震惊：李琳一共开走了8辆宝马！2008-8-23，李琳被警方刑拘，被武汉检方以涉嫌职务侵占罪起诉。调查发现，她共侵占公司656万元。15案例：美女经理侵吞8辆宝马车资料来源：荆楚网—楚天都市报，2009-5-19第一次：2007-5-9，她将公司一辆36万余元的宝马320L轿车出售，客户付款时，她说公司POS机坏了，请客户将车款打入她的账户。很快，36万元被她挥霍一空。【第一招】可这“窟窿”怎么补呢？一阵恐慌之后，她冷静下来，用后面卖出的汽车款，垫付先挪用的前一辆车的车款。她就这样拆东墙补西墙，“窟窿”一个个得以补上。【第二招：后账还前账，雪球越滚越大！终于崩盘了！】月薪4000多。8辆车卖了900多万。李琳戴的是10多万元一块的名表，每月都要去香港购物！16犯罪只用了两招4S店汽车销售流程是这样的：客户到展厅看车，销售顾问接待，客户看中车型后下定单，签合同，交款提车。财务规定：每卖一辆车，财务要凭汽车合格证和客户身份证开具机动车销售统一发票，一共6联，其中3联留存到公司财务做账或作为完税凭证，另3联给客户留存。该4S店财务人员称：李琳共从她那里拿走8份发票，每份发票的1-6联全拿走，至今未还。8份发票如果财务没收上来，公司总部就无法掌握展厅的销售情况，车库少了车，总部也无法实时监控。17好大一个漏洞！定期由财务监盘，以免资产的减少流失；【该例中历时一年多，且跨年，可见没有有效的盘库】需盖有财务收款章的有效发票或提货单方可提车；财务收款后开具出门证给门卫，门卫需检验手续完备后方可放车出门；监控录像保留证据；建立ERP系统，实时监控跟踪进销存情况。18存货的实物安全控制19女出纳贪污拆迁款250余万元获刑无期

她负责公章、拆迁款领取表、通知拆迁户签字领款；重复记账案例新华网2006年1月12日：

27岁的女出纳员白艳华，利用其担任北京市延庆县八达岭高速公路（三期）领导小组办公室出纳、负责向拆迁户发放拆迁补偿款的职务便利，在2001年至2003年两年半的时间里多次伪造拆迁补偿协议，虚增、贪污拆迁款250余万元，购买了高档住宅、高级轿车，大肆进行挥霍，还用赃款出国留学。北京市第一中级人民法院日前以贪污罪一审判处其无期徒刑。白艳华在2000年8月经人介绍担任出纳员。虽然拆迁补偿协议不由白艳华负责填写，但办公室的公章由她保管，她还负责制作拆迁款领取表，把补偿款从办公室账上支出来到银行办成存折，通知拆迁户签字领款。白艳华就是利用这个机会，伪造、复印已存档的十余人的拆迁补偿协议，并重复记账，将多增加的补偿款以被拆迁人的名字存入银行，再将钱取出后占为己有。【其实就是“发空饷”】白艳华将贪污的公款用于个人购买高档商品房、高级小轿车或挥霍，并为自己出国留学准备了学费。2005年春节期间，反贪机关将回国过春节的白艳华抓获归案。案发后追缴部分赃款、赃物，尚有人民币130余万元赃款未能追回。扬州一家韩资企业负责人在银行向警方报案称，公司出了“家贼”。28岁的女会计利用职务之便，在一年多时间内疯狂敛财67万余元！16日，该会计被刑事拘留。案发前女会计主动向灾区捐款1.9万元。22案例：工资舞弊今犹在来源：2008年6月18日扬子晚报“罪恶就像一个漩涡，越陷越深。”“我一个女孩子，拿了这么多钱，心里很害怕。为了让良心好受一点，我向灾区捐款，算是给自己的良心赎罪。”手段：5名员工离厂，将工资卡上交公司财务部门，贾某私自藏匿起来，并获知了其密码。23案例：工资舞弊今犹在该公司负责人审批工资账单时，发现会计拿来报批的是51万。此前他偶然了解到会计报银行的是60万。这才起疑，去银行查账。漏洞在哪儿？劳动密集企业，人多，流失率高？朝阳区青少年活动中心原女会计郭萍于1999年至2006年，虚构12个账户冒领工资，贪污470万元，获刑15年。“如果不是有同事凑巧知道郭萍哥哥的名字，此案很难察觉。”检察官说。郭萍冒领的都是活动中心支付外聘教师的讲课费。利用负责制作工资明细表并核发工资的职务便利，郭萍开设了12个虚假工资账户，将其加入工资明细表中，再存入软盘交到银行，银行据以将工资打入每人的工资卡里。这张软盘由郭萍一人制作并交到银行，其他财务人员很难接触到。依仗自己是中心的“老人”，郭萍在工作中的“各色”行为也被大家网开一面：每次发工资，郭萍只是口头告知出纳工资总额，而拒绝给出纳看明细单。中心为财务安装了专用软件，出纳和会计的电脑可以联网，互相监督，但这个软件很快就被人卸载，而且郭萍坚决拒绝重新安装。24又一个工资舞弊案北京青年报，2009-03-0125合规目标：“小会计”玩转2亿元2004年10月18日,北京市第一中级人民法院审理国家自然科学基金委员会会计卞中贪污挪用公款一案。1995～2003年的8年贪污和挪用26笔，近2亿元,占整个基金会年掌控经费的1/10。被判处死缓,剥夺政治权利终身,并处没收个人全部财产。卞中其人:其貌不扬；独来独往；沉默寡言；对女友宣称自己是中国首富26大戏如何上演？内控缺陷：经费管理处无人监督、查账，一人掌控，14年没有内部审计，基金委严重失察办案人员：“查到最后感觉偌大一个基金委，拨款权实际上就掌握在一个会计手中”。手法：打包拨款，退汇重拨，以拨代收；伪造银行进账单、对账单案例第一节企业风险管理组织体系标准一、风险管理组织体系和企业目标的关系27完善的风险管理完善的风险管理组织体系业务绩效法规遵守企业战略目标二、风险管理组织体系标准28第一节企业风险管理组织体系标准完善的风险管理组织体系保持精简风险意愿基本监督（财务、运营、法规）企业内部的全面咨询持续运用监控策略认识企业目标预警机制及迅速反应可靠地业务资讯看重行为的改变企业成功的要素分为必不可少的四个层次清晰的远景目标及战略合理的组织结构及决策体系有效的管理程序优秀的核心经营程序说明明确的、鼓舞人心的公司发展远景目标实现远景目标所需的积极的致胜战略雄心勃勃的业绩目标确保战略有效实施的公司组织结构分工合理、职责分明的高层管理队伍及高效的决策体系指引公司发展方向，指导下属业务单元经营发展及促进业务单元业绩改善的战略规划及经营预算计划程序确保所需管理资源及后备力量的人力资源管理及完善的激励机制日常经营活动所需的专业技能及程序确保公司经营安全，规避风险的内控程序严格的内控程序今天将讨论的内容：围绕财务管理分别归属于不同的层次清晰的远景目标及战略合理的组织结构及决策体系有效的管理程序优秀的核心经营程序说明以创造价值为导向的战略思想条理清晰的财务组织模式指导业务单元发展方向的规划程序指导业务单元日常经营活动的经营预算计划程序建立业绩至上企业文化的人才考核激励程序日常经营活动所需的专业技能及程序确保公司经营安全，规避风险的内控程序严格的内控程序任何内部控制程序都具有三个主要的成功因素清晰地定义每一个内控流程，其中可能包括交易审批的流程，客户资信管理的流程和资金管理流程每个流程的每个环节要有明确的活动和负责人以及最终产品通过设立独立的组织机构如风险管理部和资金管理部门对公司根本性的风险进行集中管控分离风险的引入部门和风险的控制部门，使其达到相互制约不同岗位设计关键业绩指标，制度化地报告这些指标，并将这些指标与奖惩相联系对以多种理由违反内控规定的行为给以严厉的处罚组织上的平衡与制约机制内控流程业绩文化与内控环境第二节企业风险管理组织体系构成要素一、董事会二、风险管理委员会和审计委员会三、总经理（风险管理总监）四、风险管理职能部门五、其他职能部门及各业务单位32一、董事会1.创造良好的风险控制环境2.审议并向股东大会提交企业全面风险管理年度报告；3.确定风险管理目标、风险偏好与风险承受度4.以面对整个企业的全局视野，而不是面对业务单位或部门的狭隘视野来选择企业风险与回报的整体优化战略；5.了解和掌握企业面临的各项重大风险及其风险管理现状，批准风险管理策略和重大风险管理解决方案，作出有效控制风险的决策；6.批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，批准重大决策的风险评估报告，在高风险领域实行有效地内部控制和核查与平衡机制；7.批准风险管理监督评价审计报告8.批准风险管理措施33二、风险管理委员会和审计委员会风险管理委员会风险管理委员会一般由3-5名董事组成，设主任委员一名。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监督知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责，向董事会提交风险管理决策和报告。34风险管理委员会1.提交全面风险管理年度报告；2.审议风险管理策略和重大风险管理决策方案；3.审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；4.对公司风险及管理状况和风险管理能力及水平进行评价，提出完善公司风险管理和内部控制的建议；5.审议内部审计部门提交的风险管理监督评价审计综合报告，对已出现的风险提出化解措施；6.审议风险管理组织机构设置及其职责方案；7.办理董事会授权的有关全面风险管理的其他事项。35审计委员会1.对企业的财务收支、财务预算、财务决算、资产质量、经营绩效及其他有关经济活动进行审计监督；2.对企业采购、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督；3.对企业全面风险管理系统的合理性、健全性和有效性进行检查、评价和反馈，对企业有关业务的经营风险进行评估和意见反馈；4.将内部审计结果反馈给董事会和其他相关机构。36三、总经理总经理COSO《企业风险管理——整合框架》指出，企业总经理对企业风险管理的执行，“承担最根本的职责，并应当负有主体责任”。总经理对企业全面风险管理工作的有效性向董事会负责，为企业的风险管理工作确定基调。37总经理1.组织并管理企业风险管理职能部门，任命风险管理总监；2.安排业务职能部门的职责分工并制定风险汇报和审批机制；3.负责设计、操作及监督风险管理系统；4.审批非重大决策的评估报告；5.落实董事会有关风险决策和方案；6.组织日常风险监督和改进工作；7.就风险管理工作计划和结果向董事会汇报。38风险管理总监（风险经理或首席风险官）负责组织制定并具体执行企业整体性风险管理政策和控制策略，并负责建立涵盖战略风险、财务风险、市场风险、营运风险等在内的全面风险管理组织架构。1.确立和传达企业的风险管理愿望2.确立和实施适宜的企业风险管理基础设施3.建立、沟通和促进适宜的企业了解风险管理方法、工具和技术4.推动全企业的风险评估，监督企业主要风险管理能力5.向董事会、风险管理委员会、审计委员会和总经理汇报39四、风险管理职能部门1.研究提出全面风险管理工作报告；2.就提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；3.研究提出跨职能部门的重大决策风险评估报告；4.研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控5.负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；6.负责组织建立风险管理信息系统；7.负责组织协调全面风险管理日常工作；8.负责指导、监督有关职能部门，各业务单位以及全资、控股子企业开展全面风险管理工作；9.办理风险管理其他有关工作。40五、其他职能部门及各业务单位风险管理的执行工作需要落实到各个业务部门和职能单位。个职能部门和业务单位还必须配合其他部门或单位进行风险管理。41其他职能部门及各业务单位1.执行风险管理基本流程2.研究提出本职能部门的企业重大决策、重大风险、重大事件和重要业务流程的判断标准和判断机制；3.研究提出本职能部门的企业重大决策风险评估报告；4.做好本职能部门有关建立风险管理信息系统的工作；5.做好培育风险管理文化的有关工作；6.建立健全本职能部门的风险管理内部控制子系统；7.负责风险管理其他工作4243第三节企业风险管理组织体系设计44股东对企业风险管理最关心的四个问题风险管理框架：一个基础、三道防线构建风险管理的关键成功要素45企业为何要建立风险管理？因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理46股东对企业风险管理最关心的四个问题：企业知道它所面对的主要风险吗？ 例如：什么风险正在或将会影响企业的业务？企业的品牌新产品、新市场的开发战略联盟客户或供应链的管理理想的情况： 企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通47企业是否已对这些风险设置内部控制？ 企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面的法律、法规理想的情况： 企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨

48企业的内部控制有效吗？ 企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况： 企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报

49哪一些内部控制必须改进？ 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况：

企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正

50企业风险管理框架一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会51一个基础：公司治理结构什么是公司治理？公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益52公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport

这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任53如何构建一个有利风险管理的公司治理结构？建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观54第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线如何建立第一道防线调整风险排序、风险容忍度和风险战略，使其符合企业的政策和指导方针按照企业的整体风险承受能力，调整经营和产品开发活动的针对性，从而为企业开辟新的价值来源；识别和度量风险，查明风险来源为各项流程确定基准，交流最佳实践方法，以期持续地改进各项措施和流程向主要的经理分派风险管理职责和责任；就风险应对措施、控制活动以及信息与沟通的整体质量进行报告5556(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙57战略性风险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位、高级管理层和董事会的共同责任常见的战略性风险包括：企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立战略性风险与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统58信贷风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险常见的信贷风险包括：贷款未能回收应收帐款未能回收债券跌价(因信贷评级的减值或债务人未能履行付款义务)买卖金融市场产品而未能兑现企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险信贷风险59市场风险是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素：因买卖或投资金融产品而产生的风险因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括：利率风险外汇风险股票与债券市场风险商品价格风险期货、期权与衍生工具风险市场风险60操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险61风险发生的可能性评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少

1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次62评分损失程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险对企业造成的影响63评分有效性说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高4过头处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当风险处理方法的效果64风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几乎肯定极可能可能低极低BCAGIDJKHEF可能性说明:A–

人力资源风险B–

财务风险C–

竞争风险D–

开发风险E–

过度自信风险F–

系统故障风险G–

主要客户风险H–

欺诈风险I–

政治风险J–

薪酬奖励风险K–

科技风险65风险处理组合

处理评级风险评级近乎没有效果低效适中超标极度极高高中等低BCAGIDJKHE说明:A–

人力资源风险B–

财务风险C–

竞争风险D–

开发风险E–

过度自信风险F–

系统故障风险G–

主要客户风险H–

欺诈风险I–

政治风险J–

薪酬奖励风险K–

科技风险F采取行动密切监控定期审阅66风险处理策略影响程度可能性转移避免小心管理可接受大小高低67风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督风险处理策略影响程度大小可能性转移避免小心管理可接受高低68企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会69第二道防线：风险管理委员会和风险管理职能部门第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配风险管理相关资源70“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”

美国内部审计师协会第三道防线：审计委员会和内部审计部门第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：71内部审计的三大功能财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子：企业对某业务单位或某部门执行效益审计(一个输入与产出的关系)

咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子：兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略72构建企业风险管理的关键成功要素1.

股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报732. 管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定风险回报风险与回报成正比？风险调整风险后的回报冒险程度

–

不够进取冒险程度–

高危冒险程度–

理想范围743. 建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4. 采用先进的风险管理的实施方法借鉴如美国Treadway委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统75案例分析诺基亚的风险管理

1998年，当时全球惟一供应芯片的菲利普的欧洲芯片厂因失火导致作为手机主板上必不可少的芯片的供货几乎中断。情况万分危急。作为主要手机生产商的诺基亚公司立即采取了行动：CEO亲自飞抵该制造厂，将仅有的库存拿了下来，并且获得了其恢复生产后对诺基亚公司优先供货的保证；而同样对这件事情的不同处理，使当时手机行业最著名的爱立信公司永远退出了手机制造业……76一、解读风险管理“风险”这个词，在诺基亚被认为是那些会导致经营目标（包括短期和长期的经营目标）受损的相关风险。由于诺基亚公司控制企业经营的风险出发点非常明确——为股东创造最大价值，因此，根据股东价值模型：股东价值＝公司利润／公司风险：即利润越高股东价值越大，风险越大股东价值越小。如果企业管理者进行了很好的风险管理和控制，风险可以转化为成本，那么，在这种情况下，股东价值＝公司利润。77诺基亚的风险管理目标：通过减少纯粹风险的成本而使股东的商