德勤企业全面风险管理概述

企业全面风险管理概述

德勤企业风险管理服务

2007年3月风险及全面风险管理概述风险的一般概念全面风险管理的愿景全面风险管理的一般概念和内容全面风险管理的发展《中央企业全面风险管理指引》简介《指引》的定位和意义《指引》内容框架《指引》主要内容解读全面风险管理的实践国内外企业风险管理调查结果企业风险管理工作的开展培训大纲风险及全面风险管理概述

风险的一般概念全面风险管理的愿景全面风险管理的一般概念全面风险管理的内容全面风险管理的发展和实践风险是未来的不确定性对企业实现其目标的影响。行为目标曲线可能路径的概率分布Y3Y2Y1Y0可能的实际曲线风险的一般概念？您所在公司的战略目标是什么？影响目标实现的不确定性因素有哪些？EIU（TheEconomistIntelligenceUnitLimited）关于未来经济、产业和公司发展趋势的调查显示：2005年-2020年这15年间，下述风险将对公司产生较大影响（单位：%）：2430261552039261241827202114173327176173430145162726201016322618813302920916272620101319222620122529241192932219923252815管理决策失误定价来自低成本市场的竞争顾客忠诚度下降经济衰退高素质员工的缺乏合规成本的增加政治和安全风险产品或服务商品化新技术突破产业整合生产力缺乏增长进入壁垒的降低1（很小）2345（很大）风险就在我们身边按行业划分的五大风险风险排序金融服务零售生产高科技/电信公共事业/能源化工/制药1市场风险股票、现金和利率的波动竞争风险宏观经济风险竞争风险市场风险商品价格的波动性环境风险2客户风险人才风险竞争风险客户风险合规风险合规风险3竞争风险操作风险操作风险合规风险竞争风险客户风险4宏观经济风险客户风险供应链风险人才风险客户风险研发风险5合规风险宏观经济风险人才风险供应链风险人才风险操作风险资料来源:EIU（TheEconomistIntelligenceUnitLimited）企业的风险

企业的重大损失甚至倒闭都是由于不良的风险管理所造成。

中航油中储棉安然巴林银行风险长虹世通德隆长期资本管理八佰伴安达信不良风险管理的后果全面风险管理的愿景NORISKS

,NORETURNS我们公司有什么风险？这些风险有多大？我们公司如何管理这些风险？我们管理是否有效？我们有多少把握能够达到我们预定的战略目标？98％，或95％？如果是98%，那么2%的可能性又意味着什么情况？这些意外情况对我们公司有什么样的影响？我们应该怎样应对这些情况？KNOWRISKS,KNOWRETURNS全面风险管理是使企业在实现其未来战略目标的过程中将市场的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。预测值时间经营目标经营目标可接受区间可能的实际值经营目标可接受区间不可接受不可接受全面风险管理为企业实现其经营目标提供合理保证。全面风险管理的一般概念执行层面目标财务报告风险运营风险应用范围企业整体和所有业务流程全面风险管理的内容：是一个流程和方法以企业战略为导向辨识对企业有潜在影响的事件，并根据风险偏好管理风险为企业管理层和董事会提供合理的保证风险管理贯穿在企业管理的每一个方面：落实到企业作为一个整体和企业的各个业务流程作为从董事会到高级管理层直至每一个员工的责任全面风险管理的内容全面风险险管理不是独立于现现有管理理体系的的另外一一个体系系全面风险险管理是是对现有有数据的的挖掘和和利用全面风险险管理是是对现有有管理体体系的整整合全面风险险管理是是对现有有管理职职能的强强化全面风险险管理的的内容融融入现有有管理职职能预算ISO9000投资规划全面风险险管理与与现有管管理体系系-实物牵制制-薄记牵制制COSO内部控制制整体框架架企业全面面风险管理理COSOERM框架内控评价价内部审计计~1940’s1940’s~1970’s1980’s~1990’s1990’s21世纪内部牵制制内部控制制结构完善善-控制环境境-会计系统统-控制程序序-控制环境境-风险评估估-控制活动动-信息沟通通-监督-建立内控控-数据准确确一致-内控可靠靠性-控制环境境-目标设置置-事件辨识识-风险评估估-风险反应应-控制活动动-信息沟通通-监督风险管理理的发展展时间机构/国家标准内部控制相关风险管理相关1988年BCBS《巴塞尔协议》金融业风险1992年COSO《内部控制—整合框架》内部控制1999年澳大利亚AS／NZS4360：1999企业风险2001年证监会证券公司内部控制指引内部控制2002年加拿大风险管理：决策者指南—加拿大国家标准企业风险2003年英国AIRMIC/ALARM/IRM标准企业风险2004年COSO企业风险管理—整合框架企业风险2004年BCBS巴塞尔协议Ⅱ（新巴塞尔协议）金融业风险2004年银监会商业银行内部控制评价试行办法内部控制2005年银监会商业银行市场风险管理指引金融业风险2005年香港会计师公会内部控制与风险管理的基本架构内部控制2006年国资委中央企业全面风险管理指引企业风险2006年上交所上海证券交易所上市公司内部控制指引内部控制2006年深交所深圳证券交易所上市公司内部控制指引内部控制未知财政部企业内部控制标准内部控制金融业风风险企业风险险全球主要要风险管管理标准准路线图图《中央企企业全面面风险管管理指引引》简介介《指引》的定位和和意义《指引》内容框架架《指引》主要内容容解读《中央企企业全面面风险管管理指引引》正式出台台中国风险险管理的的里程碑碑站在全球球企业管管理的前前沿内容和要要求基本本超过目目前资本本市场的的合规要要求对非央属属企业也也有很强强的指导导意义全面风险管理标准与实施情况《指引》》的定位位和意义义目的：明确要求求中央企企业要重重视和开开展全面面风险管管理；明确什么么是全面面风险管管理；指导企业业如何开开展全面面风险管管理工作作。主要内容容：第一章总总则第二章风风险管管理初始始信息第三章风风险评评估第四章风风险管管理策略略第五章风风险管管理解决决方案第六章风风险管管理的监监督与改改进第七章风风险管管理组织织体系第八章风风险管管理信息息系统第九章风风险管管理文化化第十章附附则《指引》》的主要要内容风险管理理文化全面风险险管理体体系风险管理理基本流流程一个流程程一个体系系一种文化化全面风险险管理框框架全面风险险的目标标五个目标标全面风险险管理的的目标《指引》》明确指指出：企企业开展展全面风风险管理理要努力力实现以以下风险险管理总总体目标标：参见《指引》第七条确保将风风险控制制在与总总体目标标相适应应并可承承受的范范围内；；确保内外外部，尤尤其是企企业与股股东之间间实现真真实、可可靠的信信息沟通通，包括括编制和和提供真真实、可可靠的财财务报告告；确保遵守守有关法法律法规规；确保企业业有关规规章制度度和为实实现经营营目标而而采取重重大措施施的贯彻彻执行，，保障经经营管理理的有效效性，提提高经营营活动的的效率和和效果，，降低实实现经营营目标的的不确定定性；确保企业业建立针针对各项项重大风风险发生生后的危危机处理理计划，，保护企企业不因因灾害性性风险或或人为失失误而遭遭受重大大损失。。风险战略组织职能综合内控风险理财风险管理信息系统信息框架风险评估监控改进风险战略解决方案全面风险险管理框框架的结结构+风险管理理基本流流程全面风险险管理体体系风险管理理文化风险管理理初始信信息收集与风风险和风风险管理理相关的的内外部部信息，，并将其其整理成成可用于于分析的的形式，，为风险险评估和和风险战战略的制制定奠定定基础。。综合信息框架战略类风险投资类风险运营类风险财务性风险风险现状及变化。。。。。。风险管理现状及变化。。。。。。。。。。。。。。。。。。。。。。。。风险文化风险理财风险管理成本与收益筛选提炼对比分类组合风险评估不同类别别收集的的范围、、方法、、频率有有所不同同；注重信息息的系统统、完整整、真实实、及时时程序规范、方方法合理参见《指引》第二章风险评估是风风险管理的基基础，《指引》要求，“企业业应对收集的的风险管理初初始信息和企企业各项业务务管理及其重重要业务流程程进行风险评评估。”访谈研讨

定性定量分析其他工具方法风险评估问卷调查风险图谱

企业内外部资料分析风险库风险评估的方方法风险评估的目目的全面了解公司司整体的风险险现状，评估估公司目前的的风险水平。。统一公司各个个层面对风险险的认识，形形成一套通用用的风险语言言。找出公司在现现有内外部环环境、发展态态势和管理水水平下，对目目标实现影响响最大的风险险，并进行管管理优先排序序。123风险评估的成成果风险列表风险图谱重大风险模型型参见《指引》第三章风险评估风险评估的步步骤。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。risk1Risk2。。。。。。综合信息框架架风险图谱风险辨识风险分析风险初步判断断确认风险事件件风险定义归类类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析析风险影响分析析风险动因分析析风险关系分析析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型型。。。。。。。。。风险评估报告告风险评估可分分为风险辨识识、风险分析析和风险评价价等几个步骤骤。风险图谱ⅠⅡⅢⅣ影响程度中高低中发生概率高低23172112161433113223056218281529361113424252026935331072732风险图谱示意意展示风险评估估结果的重要要工具是风险险图谱，通过过分析公司的的风险图谱，，可以直观地地看到公司的的风险分布情情况，从而确确定风险管理理的重要控制制点和风险管管理解决方案案。风险图谱被两两条“等风险险线”分隔为为“红灯区””、“黄灯区区”和“绿灯灯区”：处于““红灯灯区””的风风险大大多集集中在在第一一象限限，其其发生生的概概率和和影响响程度度均较较高。。公司司应该该根据据风险险的属属性和和风险险管理理偏好好来选选择风风险管管理方方案；；处于““黄灯灯区””的风风险，，有两两种情情况：：处于第第二象象限的的风险险更多多的是是一些些非常常事件件，但但影响响程度度较大大。对对于这这类风风险，，公司司应该该在采采取防防范措措施的的同时时，制制定应应急计计划；；处于第第四象象限的的风险险，其其影响响程度度不是是很高高而发发生概概率偏偏高，，这往往往与与日常常经营营和遵遵守法法律方方面的的问题题有关关，这这些风风险的的累计计影响响不可可低估估。对对于这这类风风险要要注意意日常常的管管理和和监控控；“绿灯灯区””中的的风险险大多多集中中在第第三象象限，，是指指那些些发生生概率率和影影响程程度均均不太太高的的风险险，通通常在在目前前可以以接受受。公公司可可以取取消与与此风风险相相关的的、多多余的的风险险控制制措施施，以以减少少成本本和资资源消消耗以以管理理更重重要的的风险险。风险图图谱不不是一一成不不变的的，公公司应应该定定期评评估风风险，，动态态地对对风险险图谱谱进行行调整整和更更新。。高风险中风险低风险现金流流量表表资产负负债表表损益表表风险3风险1风险4风险2风险5*财务务报表表*风险调调整前前风险调调整后后风险影影响现金银行存存款……信用风险利率风险汇率风险10002000…………√√√√√资产负负债表表现金银行存存款……15002300……风险的的财务务价值值参见《指引》第四章章企业业使使命命风险管管理策策略风险应应对策策略风险偏好风险承受度战略略风险管管理策策略是是根据据企业业经营营战略略制定定的全全面风风险管管理的的整体策策略；风险管管理策策略在在整个个风险险管理理体系系中起起着统领全全局的作用用；风险管管理策策略在在企业业战略略管理理的过过程中中起着着承上启启下的作用用。重大风风险管管理的的目标标风险管管理策策略风险偏偏好解决““公司司愿意意承担担什么么风险险”的的问题题描述公公司对对待风风险的的基本本态度度和看看法风险偏偏好的的确定定基于于公司司的使使命、、愿景景风险承承受度度解决““公司司能够够承担担多大大风险险”的的问题题描述公公司能够承承担的的风险险的限限度风险承承受度度的确确定可可借助助于模模型的的构建建和公公司基基础数数据的的积累累（历历史经经验））风险应应对策策略解决““公司司如何何管理理风险险”的的问题题阐述针针对各各类重重大风风险的的应对对策略略：风风险承承担、、风险险规避避、风风险转转移、、风险险转换换……风险对对策的的确定定基于于风险险评估估和诊诊断的的结果果要根据据风险险与收收益相相平衡衡的原原则以以及风风险的的重要要程度度确定定风险险管理理的优优选顺顺序，，重大风风险管管理目目标风险管管理策策略的的核心心内容容政策风风险市场风风险业务模模式风风险合同管管理风风险信用风风险现金流流风险险客户风风险积极利利用适度承承担坚决避避免风险厌厌恶风险喜喜好合规风风险

高 中 低战略趋同

l

风险特性 l 管理能力

l 获利可能机会风险是既有损失可能，也有获利可能的风险，如市场风险，对于这类风险，集团可以采取积极利用或适度承担的态度一般情况下，纯粹风险没有获利的可能，只会给集团带来损失，对于这类风险，集团可以采取坚决避免的态度战略趋同对于符合集团发展战略的风险，如投资风险,集团可以采取积极利用的态度对于不符合集团发展战略的风险，如非主业市场风险,集团应该采取坚决避免的态度管理能力对于集团管理能力较强的风险，如投资风险,集团可以采取积极利用的态度对于集团管理能力较差的风险，如业务模式风险,集团可以采取适度承担的态度风险偏偏好样例例风险承承受度度样例例战略措措施产业结结构调调整组织变变革兼并购购活动动分包或或转包包结盟流程优优化全面质质量管管理6西格玛玛远期合合约传统保保险金融衍衍生品品风险准准备金金运营措措施风险理理财剩余风风险风险总总量风险接接受首先考考虑在在战略略上规规避风风险；；平衡风风险管管理收收益与与成本本，对对各类类风险险选择择风险险规避避、风风险控控制、、风险险转移移或风风险接接受等等手段段；；设立风险准备备金，并重新新对产品和服服务进行定价价。风险承受度风险应对策略略样例例风险管理解决决方案参见《指引》第五章内部控制体系系内部控制是通通过针对企业业的各个业务务主要流程设设计和实施一一系列政策、、制度、规章章和措施，对对影响业务流流程目标实现现的各种风险险进行有效管管理和控制的的过程。内部控制的对对象主要是可可控风险，如如流程执行过过程中的偏差差、质量问题题、财务报告告的不准确及及合规问题。。流程风险控制点控制措施?流程是否存在在设计是否合理理职责是否明确确执行是否严格格奖惩是否明白白效果是否满意意风险是否辨识识影响什么指标标影响哪些环节节影响哪些部门门或哪一级企业分析是否彻底底应对是否存在在设计是否合理理职责是否明确确是否经过检验验效果是否满意意参见《指引》第五章风险管理的监监控改进收集外界信息阅读分析报告内部测验检验内部过程审计全面风险管理信息系统风险战略内部控制风险理财组织职能信息框架风险评估监控改进实施风险战略+各管理主体定定期监督检查查风险和风险险管理情况；；根据成本与效效益的平衡确确定监控频率率。持续改进风险险管理体系和和基本流程以以及各种相关关制度。提交风险监控控、改进报告告以及评价建建议报告；内审部门或外外部机构每年年至少一次的的审核评价。。实施监控持续改进报告参见《指引》第六章系统的风险管管理组织结构构明确的风险管管理职责清晰的风险报报告线路风险管理是贯贯穿于企业的的各个层面和和各项管理工工作中，风险险管理既是一项具有专业业理论、专门门工具和特定定职责的管理理活动，也是对现有有管理功能的的强化：风险管理的基本职责及时发现风险科学地评估风险选择合理的风险组合确立风险管理目标制定统一的风险管理政策和制度风险实时监控和预警危机处理与应急反应风险信息的有效沟通具体风险的有效管理内控体系的建立、检查和完善参见《指引》第七章风险管理职能能全方位的风险险管理组织体体系审计委员会风险管理委员会内部审计风险管理业务部门和业务单位总经理董事会内容董事会风险管理委员会总经理风险管理专职部门其他职能部门监督部门工作报告审议工作报告在董事会领导下，审议并提交风险管理各项方案、报告主持全面风险管理日常工作提出风险管理工作报告执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价，出具评价报告风险策略确定风险管理总体目标和策略提出风险管理策略风险评估批准重大风险评估报告研究提出跨部门重大风险评估报告控制决策重大风险控制决策研究提出跨部门重大风险管理方案监督评价批准监督评价报告负责有效性评估提出改进方案组织机构批准组织协调日常工作风险管理组织织体系各组成成部分及其职职责风险文化是关关于企业在日日常运营中对对待风险的态态度、价值和和实践；企业文化影响响风险管理策策略，风险管管理策略反映映了企业的风风险管理文化化；在中央企业，，总体上主张张审慎的风险险文化，在局局部上，根据据企业的风险险管理策略，，有可能采用用较为激进的的手段和方针针；风险管理文化化参见《指引》第九章管理层应该考考虑企业的风风险文化是如如何影响全面面风险管理的的其他要素的的，当它们不不匹配时，应应考虑重塑文文化；企业应在内部部各个层面营营造风险管理理文化氛围；；采取多种途经经和形式，加加强对风险管管理理念、知知识、流程、、管控核心内内容的培训，，培养风险管管理人才，培培育风险管理理文化。风险管理信息息系统信息系统是风风险管理的生生命线：基于内控体系系的完善，以以风险监控和和风险预警为为基础内容；；与财务管理、、业务管理等等系统之间开开辟接口和数数据通道；完成日常风险险监控、日常常风险辨识、、风险评估、、控制评价、、合规检查等等功能；逐步完善自动动分析的职能能，即加载商商业智能模型型；最终达到管管理层对关关键风险点点的报告需需求。样例例参见《指引》第八章第八章风风险管理信信息系统第五十三条条企业应将信信息技术应应用于风险险管理的各各项工作，，建立涵盖盖风险管理基基本流程和内部控制系系统各环节节的风险管理理信息系统统，包括信信息的采集集、存储、、加工、分分析、测试试、传递、、报告、披披露等。第五十四条条企业应采取取措施确保保向风险管管理信息系系统输入的的业务数据和风险量化值值的一致性、、准确性、、及时性、、可用性和和完整性。。对输入信信息系统的的数据，未未经批准，，不得更改改。第五十五条条风险管理信信息系统应应能够进行行各种风险险的计量和和定量分析、定量量测试；能能够实时反反映风险矩阵和排序频谱谱、重大风风险和重要要业务流程程的监控状态；能够够对超过风风险预警上上限的重大大风险实施施信息报警；能够满足足风险管理理内部信息息报告制度度和企业对对外信息披露管理制度的的要求。第五十六条条风险管理信信息系统应应实现信息息在各职能能部门、业业务单位之之间的集成成与共享，，既能满足足单项业务务风险管理理的要求，，也能满足足企业整体体和跨职能能部门、业业务单位的的风险管理理综合要求。第五十七条条企业应确保保风险管理理信息系统统的稳定运行和和安全，并根据实实际需要不不断进行改改进、完善善或更新。。第五十八条条已建立或基基本建立企企业管理信信息系统的的企业，应应补充、调调整、更新新已有的管管理流程和和管理程序序，建立完完善的风险险管理信息息系统；尚尚未建立企企业管理信信息系统的的，应将风风险管理与与企业各项项管理业务务流程、管管理软件统统一规划、、统一设计计、统一实实施、同步步运行。风险管理信信息系统的的核心风险管理信信息系统可可以看作是是信息化、、电子化的的风险管理理信息报告告和应用系系统。因此此，建立风风险管理信信息系统的的基础是建建立风险管管理信息的的报告系统统，而报告告的基础是是数据，包包括历史数数据、实时时或准实时时数据。核心内容具体要求数据管理数据管理流程的顺畅性数据模型和来源的统一性数据所有权的清晰性数据质量的准确性和可靠性数据传递的及时性等

风险报告系统设计清晰的风险报告系统风险报告系统应满足跨职能部门、业务单位的综合性风险管理要求风险报告应关注影响公司战略目标实现的重大风险信息风险管理应用系统避免系统间功能界定不清晰、缺乏某些关键功能或者功能重复的现象遵循信息共享、规范需求、注重投资效益、责任明确的原则在信息化部门的统筹管理下开发和设计风险管理应用系统风险管理应用系统应作为企业管理信息系统的一个核心组成部分全面风险管管理的实践践国内外企业业风险管理理调查结果果企业风险管管理工作的的开展国外公司的的风险管理理实践目前，发达国家的的企业已经经把建立全全面风险管管理体系作作为获得竞竞争优势的的基本手段段。2001年，发达国国家的大企企业中计划划实施全面面风险管理理的企业占占20%，正在实施施的占35%，而已经建建立了完整整的风险管管理体系的的企业只占占11%。2004年，建立了了完整的全全面风险管管理体系的的企业已经经达到了38%，而没有计计划实施全全面风险管管理体系的的企业从2001年的31%下降到10%。您的企业是是否应用了了以下风险险管理工具具在风险管理理的执行中中，CFO依然是最最主要的责责任人（合合计首要责责任人和第第二责任人人），排在在第二位的的是经营部部门的管理理者多数企业比比较倾向于于均衡风险险控制与企企业发展的的需求，但但只有较少少的公司合合理平衡了了风险控制制与业务发发展的关系系多数被调查企企业认为它们们辨识与管理理风险的能力力还有相当的的改进空间41%的受访企业认认为它们已经经在最大程度度上做到了风风险量化国外公司的风风险管理实践践Protiviti公司2005年全美大型企企业风险管理理状况调查缺乏风险管理理专门人才缺乏适当的风风险评估过程程和程序缺乏风险量化化技术缺乏对风险评评估工作如何何开展的整体把握岗位负责人缺缺乏必要的风风险管理专业知识缺乏外部专家家的支持缺乏足够的人人力和