企业目标、风险与风险管理培训

企业目标、风险与风险管理培训主要内容

企业全面风险管理的必要性

企业面临的主要风险类型企业目标、风险与风险管理的关系普遍接受的风险管理原则风险管理最佳实践构建企业全面风险管理体系

第二页，共85页。一、企业全面风险管理的必要性第三页，共85页。案例一：美国安然公司在2002年，安然是美国最大的石油和天然气企业之一2001年末，安然宣布第三季度实现6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事与高级管理人员发放3.2亿美元的红利第四页，共85页。调查发现：安然的董事会与审计委员会均采取不干预的监控政策事件发生以后，部分董事表示不了解安然的财务状况、期货及期权的业务（安然事件促使了美国萨班斯法案的出台）由于股权激励计划，安然管理层重视短期业绩指标安然管理层常常藐视或违背公司制订的内部控制制度第五页，共85页。案例二：英国巴林银行巴林银行在90年代前是英国最大的银行之一，有超过200年的历史1992-1994年期间，巴林银行新加坡分行的总经理里森(NickLesson)，从事日本大阪与新加坡交易所之间的日经指数期货套期对冲和债券买卖活动1995年1月17日，日本神户大地震，日经指数大幅下跌，里森认为市场反映过度，市场即将反弹，于是进场连续做多，但到2月底，日经指数持续下跌，其累积亏损超过10亿美元，导致巴林银行于1995年2月破产第六页，共85页。调查发现：巴林银行的高层对里森所从事的业务并不了解，里森从事的“套利”交易并未经过巴林总部的授权巴林缺乏职责划分的机制，里森身兼双职，既担任前台首席交易员，又负责管理后台清算，使得里森能将所持头寸和损失置于一个错误帐号“88888”巴林银行的高层对财务报告不重视，管理层未能与时就1994年资产负债表上显示的5000万镑不明差额采取行动里森所从事的“套利”交易所承受的风险远远超过巴林银行的承受能力高层管理人员和审计委员会对公司内部审计意见缺乏足够的重视，实际上，公司内部审计意见曾指出，“里森的权力过于集中”第七页，共85页。案例三：日本八百伴

在90年代，八百伴是日本最大的百货公司之一，拥有236亿日元资本、42家日本国内骨干店铺、26家海外超市的连锁企业90年代，八百伴开始实施全球化战略，在巴西、新加坡、香港、上海、英国、美国大举扩张，而扩张的资金来源主要是依靠债务维持。随着94年美联储连续6次提高利率，八百伴财务压力增加，遂陆续出售店铺度日1997年9月，八百伴宣布破产，向法院申请“公司更生法”保护，当时八百伴的负债额达1,613亿日元，是日本战后最大的一宗企业破产案第八页，共85页。调查发现：八百伴低估经营非核心业务的风险八百伴实行高杠杆运营，低估了业务扩张的风险八百伴低估了开发新兴市场的风险与商业银行关系趋淡，在资金紧张时，得不到主要商业银行的支持第九页，共85页。案例四：齐齐哈尔第二制药公司假药事件齐齐哈尔第二制药公司采购员为贪图便宜，在从江苏省中国地质矿业公司泰兴化工总厂购入丙二醇时，既没有索取资质证明，也没有到厂查看，致使购入假冒丙二醇共计2吨之多，并最终作为辅料用于了“亮菌甲素注射液”的生产，造成多人死亡目前，该公司已被有关部门查封停产，并被吊销药品生产许可证，濒临倒闭第十页，共85页。调查发现：齐齐哈尔制药公司内部没有建立严格的采购、验收、检验程序，采购、验收和检验环节均存在严重问题齐齐哈尔没有独立的审计部门确保这些程序得到良好执行第十一页，共85页。案例五：江苏铁本事件2004年3月，部分媒体曝光江苏民企铁本钢铁公司违规占用耕地，在没有通过审批的情况下就上马大型钢铁项目，随后，国务院九个部委成立专项检查组，对此事开展调查2004年5月，铁本公司被查处，与“铁本事件”有关的八名当地要员就受到了严厉的处分，铁本的老总、有“地方钢铁大王”之称的戴国芳也被拘捕第十二页，共85页。调查发现：江苏铁本在决策过程中，忽视了外部环境的变化，包括新政府经济社会发展观的变化，新政府“以人为本”等执政理念的变化，从而遭受操作风险江苏铁本在中央强调加强宏观调控的情况下，对中央的宏观调控政策置若罔闻，搞“上有政策，下有对策”，为了使违规项目合法化，将项目“化整为零”，由地方政府越权审批；至于征用农田和环保评审，则根本未向国土资源部和国家环保总局报批，违反了国家法律法规；此外，江苏铁本还涉嫌偷税漏税，从而遭受法律风险第十三页，共85页。案例六：中航油事件2001年12月6日，中航油于新加坡交易所挂牌交易年前开始涉足石油衍生品投机交易,最初获得利润,但后来转盈为亏2004年11月，中航油因石油衍生品投机交易总亏损已达5.5亿美元，被迫向新加坡法院申请破产保护第十四页，共85页。调查发现：中航油投机额度巨大，其承担的风险远远超过公司可承担水平中航油相关风险管理制度未有效执行中航油高层风险管理能力严重欠缺，对公司经营业务所面临的风险没有清醒的认识中航油缺乏有效的公司治理结构，一言堂现象严重第十五页，共85页。更多的风险案例瀛海威，公司治理混乱秦池，央视“标王”引发财务危机爱多，为打败竞争对手，充当“标王”，结果自己被打败香港达利行地产，因玫瑰园事件陷入财务危机巨人集团，因巨人大厦陷入财务危机；声誉损失三株，过度扩张；声誉损失太阳神，过度扩张陷入财务危机南德，因资金紧张而进行信用证融资，涉嫌欺诈亚细亚，因过度扩张陷入财务危机江西铜业，投资铜期货巨额亏损德隆集团，过度扩展与资产流动性差导致资金链断裂……第十六页，共85页。我们可以吸取什么教训？熟悉企业本身的业务与相关风险切记：专营核心业务，避免制定不切实际的目标或盲目扩张，使企业承受无谓的风险建立内部控制和相互制衡的机制切记：权力过分集中就会出现腐败的情况现金为王，防范资金流动性风险常言：“会计数字只是参考意见，现金才真正令你感到踏实。”合理制定绩效评估与激励机制“如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”第十七页，共85页。我们可以吸取什么教训？（续）

建立规范和健全的财务报告系统财务报告系统必须有能力为企业提供与时、准确的财务资料，以帮助管理层管理业务和赢取股东的信心培育企业风险管理文化要建立健康的企业文化及价值观，企业必须由上而下，身体力行，建立严谨的“风险管理政策”，使员工能上行下效订立风险管理原则和行为规范通过绩效管理的方法，鼓励正确的行为和态度加强培训和沟通 企业必须建立有效机制，培训员工的风险管理意识和风险管理文化第十八页，共85页。我们可以吸取什么教训？（续）效益与风险：一个事情的两个方面不要对“不平常的数据”视而不见非预期盈利和非预期亏损都要予以重视。里森和陈久霖出事前都是公司内部的英雄监督检查的重要要求下属企业与时汇报风险固然重要，但确保制度的有效执行的监督检查机制同样重要企业全面风险管理的重要性企业面临的风险因素日益复杂，仅仅合法、合规并不能切实防范风险，还必须加强企业全面风险管理对重大项目，进行严谨的风险评估、制定事前的风险控制措施是不可或缺的第十九页，共85页。二、企业面临的主要风险类型第二十页，共85页。Nokia风险因素图第二十一页，共85页。安达信企业风险模型TM 竞争者 敏感性 股东关系 资金充足性 金融市场 灾难性损失 独立／政治 法律 行政管理 行业 环境风险信息技术风险使用权完整性 相关性可得到性基础设施 财务风险货币 利率流动性 结算再投资 信用双边关系现金转移或流速改变

道德风险管理欺诈 雇员欺诈非法行为 无授权使用商誉 授权风险领导力 权力限制 表现激励沟通 营运风险客户满意 人力资源产品开发 效率能力 表现差异循环时间 资源商品定价 过失或损失符合性 业务中断健康和安全 环境产品或服务失败商标或产品名侵蚀 营运价格 合同投入衡量结盟 完整性和精确性管理报告决策信息风险 财务预算和计划 完整性和精确性会计信息 财务报告评价税收 养老基金投资评估 管理报告战略环境检视 业务组合价值衡量 组织结构资源分配 计划生命周期第二十二页，共85页。安永企业风险宇宙TM(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会与管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产与流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规第二十三页，共85页。企业面临的十大风险因素数据来源：AONBiennial风险管理调查报告，2001第二十四页，共85页。全面认识风险风险：本意是指事件结果的不确定性，从企业管理角度来看是指对实现企业经营目标具有关键作用的因素的不确定性一般来说，风险因素可分为三类：有些因素是切切实实的威胁；有些因素只是一种不确定性，如违法、违规，在一些条件下可以为我所用，但运用不好也可带来威胁，如期货、期权；有些因素可能是一种机会，其不确定性较小威胁不确定因素机会战略风险财务/市场风险经营性的/法律法规性的风险第二十五页，共85页。企业面临的风险类型市场风险

利率、汇率、股票指数、商品价格等基本市场因素的不利变动信用风险

交易对手的违约、、交易对手评级的下降、主权风险等流动性风险

资产流动性风险和资金流动性风险合规风险

违反国家法律、行政法规、部门规章和公司对外承诺；招致法律诉讼操作风险

内部控制失效、人为操作失误、计算机系统故障以及外部事件第二十六页，共85页。法律风险定义：企业在经营过程中因违反国家法律、行政法规、部门规章、公司对外承诺或招致法律诉讼从而导致财产损失的风险特点：难以量化；损失较大；可以进行有效的事前控制；直接性法律风险是企业面临的主要风险之一，依法、合规经营是企业持续经营的前提，应高度重视譬如未经相关部门审批盲目上马项目（如江苏铁本）相关产品不符合国家标准（如齐齐哈尔假药事件）违反国家金融政策和财政政策（如高息揽存、偷税漏税）违反国家法律法规（如反商业贿赂和反洗钱规定）人力资源管理不符合国家规定……第二十七页，共85页。操作风险定义：是指企业内部流程失效、人为操作失误、系统故障或外部因素而令公司产生经济损失的风险特点：难以量化；突发性强；覆盖面广操作风险是企业目前面临的主要风险之一。与其他风险不同的是，操作风险存在于公司所有部门和所有业务环节，包括业务部门、职能部门和技术支持部门譬如流程风险：指业务流程不完善或业务流程没有得到良好执行而引致损失的风险，包括：采购、销售、定价、记录、确认、出货/提供服务等环节人为风险：指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险第二十八页，共85页。操作风险（续）系统风险：是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用等引致损失的风险；广义的系统风险还包括公司软硬件系统、公司文档、公司机密信息等信息资产管理不当而产生损失的风险关系风险：是指企业与股东、政府部门、商业伙伴、客户、雇员之间关系恶化从而导致公司损失的风险事件风险：是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险，如“9.11”事件业务风险：是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉与的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域声誉风险：是指由于外部媒体的不利报道而使公司面临损失的可能性第二十九页，共85页。市场风险定义：由于利率、汇率、股票指数、商品价格等基本市场因素的不利变动而导致的公司发生损失的可能性特点：风险来源多（利率、汇率、股票指数、商品价格）；可以量化；爆发力强譬如因买卖或投资金融产品而产生的风险原材料与产成品价格不能同步浮动而产生的风险汇率变动导致公司对外投资发生损失的风险国家下调成品药价格市场竞争加剧导致成品药价格下调原材料价格上调利率上调导致公司财务负担加重第三十页，共85页。信用风险定义：由于交易对手不能或不愿履行合约而使公司遭受损失的可能性；主权风险和结算风险是信用风险的两类特殊风险特点：可以量化；潜伏期较长；信息透明度较差譬如对外投资时外国政府或企业违约的风险贷款未能回收应收帐款未能回收（如四川长虹对美国出口）因信贷评级的减值或债务人未能履行付款义务，债券跌价买卖金融市场产品而未能兑现企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险交易无效风险第三十一页，共85页。流动性风险定义：流动性风险有两种形式，资产流动性风险和资金流动性风险。前者是指公司不能以合理的价格迅速地卖出或将资产转手而导致损失的风险；后者是指公司不能履行付款义务或支付保证金的风险特点：危害大，有致命性；可以量化国外统计资料表明：将近4/5的倒闭企业是获利企业，它们的倒闭并不是由于亏损，而是由于缺乏现金而引起的流动性风险譬如国家金融政策的调整使企业债务负担加剧引发的流动性风险因交易对手违约而引发的流动性风险资产流动性不足，如德隆二级市场投资（湘火炬、合金投资、新疆屯河），因控盘比例过高，股票流动性不足从而引发危机

声誉损失引发的流动性，如“3.27”国债期货事件后投资者对万国证券的挤兑过度扩张而引发的资金流动性危机……第三十二页，共85页。各风险类型之间的关系各类风险可以单独发生，也可能同时发生齐齐哈尔事件主要包括操作风险、法律风险巴林银行事件包括操作风险、市场风险不同风险类型之间可以进行转化信用风险一般与法律风险相伴，交易亏损的一方总是试图通过法律来证明交易无效信用风险可能引发流动性风险操作风险也可带来市场风险和信用风险市场风险最终可能引发流动性风险在风险管理过程中同时又酝酿新的风险风险管理过程中蕴涵模型风险（操作风险）第三十三页，共85页。三、企业目标、风险与风险管理关系第三十四页，共85页。企业目标、风险与风险管理企业目标可以是可量化，可衡量，可以达到的业务目标，也可以公司长远战略目标。譬如，1年内公司净利润提高30%等所谓风险，广义地讲，是任何可能影响企业实现其目标的事项所谓企业风险管理，是一套由企业董事会与管理层共同设立、与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险控制在一个企业可接受的水平，从而帮助企业达至它的目标企业制定目标（或年度预算）时不仅仅包含利润指标，而且还应包含反映企业风险承受能力的风险限额指标第三十五页，共85页。企业为何要建立风险管理风险控制不力的后果竞争失败经营中断法律诉讼商业欺诈无益开支资产损失决策失误第三十六页，共85页。股东对企业风险管理最关心的四个问题：企业了解它所面对的主要风险吗？什么风险正在或将会影响企业的业务？企业所面临的风险是否已超过公司的承受能力企业的品牌新产品、新市场的开发客户或供应链的管理国家的宏观经济政策企业声誉资本市场投资企业是否已对这些风险采取控制措施企业需要就各业务单位在日常运作中所面对的风险，构建风险管理体系，以确保企业能实现目标和符合各方面的法律、法规第三十七页，共85页。股东对企业风险管理最关心的四个问题：（续）企业的风险控制措施有效吗企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力哪一些风险控制措施必须改进企业内部和内部环境不停的变化，因此企业所面对的风险和所采取的监控措施也应相应作出改变第三十八页，共85页。回报并不总是越高越好风险承受度必须以公司承受能力为限（雷曼兄弟与LTCM的历史渊源）；风险调整回报更能客观地反映企业或部门的业绩；绩效评估引导员工行为，因此企业应合理制定激励机制，平衡风险与收益，将风险管理纳入考核范围；风险回报风险与回报成正比风险风险调整后的回报比较保守高度危险合理范围第三十九页，共85页。举例:企业目标、风险和风险管理的关系目标风险风险管理

(A)短期目标:

2006年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

-由于不可靠的和不切实际的销售预测,在进出口业务中造成严重囤货和存货作废.

-由于履行不平等的或不利的合同条款而造成严重损失(如赔偿损失,名誉损害)

-由于未被授权的/给予过多的折扣造成毛利降低或直接亏损

-严重的坏帐损失

-有效的编制和控制经营计划和财务预算

-采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险,比如:获得可靠的市场信息,将实际情况与预算进行比较等

-在主要的经营领域建立制度和程序(须涵盖集团总部的制度和程序):销售,采购,财会,投资等

第四十页，共85页。举例:企业目标,风险和风险管理的关系目标1风险风险管理(续)(A)短期目标:

2006年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

(续)

-由于买进不需要的产品,质量不合格的产品,价格没有竞争力的产品而造成库存积压/存货作废/资源浪费/品质不良带来的信誉损害

-错误的投资决定

-不正当的付款-舞弊行为

-外汇风险

-投机行为

(续)

-设置控制程序(包括预防性的和侦察性的)和监控系统,如-销售合同审阅和批准-折扣的授权和审批-信用控制-采购和付款的权限分配表-采购的申请(合理性),审阅,批准(整个过程需要书面化)-付款核对-常规的投资评价过程(如使用NPV(净现值)/PaybackMethod(收回方式)-加强内部审计功能

第四十一页，共85页。举例:企业目标,风险和风险管理的关系目标1风险风险管理(续)(A)短期目标:

2006年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

(续)

-由于不适当的赏罚制度,关键员工的流失或管理人员能力不足对业务造成的不利影响

-由于不遵守法规造成的罚款/处罚/名誉损害(续)

-在业务单位采取一些防止不正当的付款或舞弊等事件发生的措施,营造一个反对不正当付款行为的环境,如制订控制程序(预防性的和侦察性的),职业道德规范,签署利益冲突文件,签署不进行“不正当付款保证”文件等-外汇兑换管理包括Hedging-防止投机行为的措施-人力资源管理：－建立并贯彻制度和程序－公平而有效的奖罚制度－吸收,教育,培训及保留优秀员工－建立并贯彻职业经理人在责任，权利,和义务方面的标准－设置公平，客观和及时的效绩考核系统第四十二页，共85页。四、普遍接受的风险管理原则第四十三页，共85页。四个基调董事会对风险管理负最终责任，风险管理必须由对经营业务负责的有关人员自上而下推动董事会和最高管理层必须认识公司所面临的各类风险，并确保公司控制机制足以涵盖所有风险风险管理不仅仅是风险管理部门的责任，公司业务部门、支持和控制部门都需成为全面风险管理机制的一个不可分割的组成部分风险管理的目标和政策必须是公司整体经营战略的一个关键的驱动器，而且必须通过执行程序和控制机制予以实施第四十四页，共85页。一个基础：公司治理结构什么是公司治理公司治理是涉与责任的问题：它关系到董事会及管理层如何向股东负责，如何对公司进行有效的管理，而使股东能从公司的表现中得益公司治理与风险管理的关系完善的公司治理结构是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理完善的公司治理应建立企业风险管理框架和企业风险管理程序；确定公司的风险承受能力；确保公司风险管理程序得到遵循；贯彻一套重视风险管理的企业文化和价值观近年多个国家都订立了公司治理的最佳守则，这些最佳守则均清楚指出董事会及管理层在建立企业风险管理体系的责任，如美国的《纽约证交所最佳治理守则》、英国的《Cadbury/HampelReport》、加拿大的《DeyReport》等第四十五页，共85页。IOSCO风险管理框架IOSCO于1998年提出了企业风险管理和控制系统的12要素，该框架已被高盛、美林、摩根等普遍采用IOSCO风险管理12大要素

I.控制环境公司必须建立一套内部会计控制与风险管理控制机制。监管机构必须建立一套管理机制，以确保其所管理的机构拥有内部会计控制及风险管理控制，此一管理机制不需事无巨细地规定控制的方式和步骤，而仅需向公司提供一般性的指导原则公司及监管机构必须确保控制体系由公司高级管理阶层设立及监督，监督责任必须进行明确的定义第四十六页，共85页。IOSCO风险管理框架（续）II.控制范围公司的指导原则与从主管机关而来的指导原则必须涵盖内部会计控制及风险管理公司的内部会计控制必须包括各种有关帐簿、纪录的规定及责任的划分，以保障公司的资产及客户的财产的安全公司风险管理及控制应包含对公司整体及交易前台(TradingDesk)的市场风险、信用风险、法律风险、营运风险及流动性风险的控制III.执行1.高级管理阶层传达给各业务部门(BusinessUnit)有关控制的指导原则，对更小的业务部门，则应尽量具体、详细2.公司和监管机构应对它们的控制过程形成正式的书面文件第四十七页，共85页。IOSCO风险管理框架（续）

IV.确认管理层建立控制系统后，公司与监管机构必须确认该控制系统能按照原来的设计持续高效运作公司必须建立一套机制确保控制系统一经建立，即得到良好执行。确认程序应包含内部稽核及外部稽核。内部稽核应独立于交易部门和业务部门之外；外部稽核则应由独立的会计师承担公司应确保控制系统建立后，能够随着新产品及新业务的发展而更新V.报告

1.公司应建立且主管机关应要求证券公司建立一套机制，以便在控制系统发生严重不足时，能够及时向高级管理层和监管机构报告2.公司应随时准备向监管机构提供有关控制系统的信息，监管机构应建立一套机制，以便公司能彼此分享信息第四十八页，共85页。COSO风险管理模型1992年，COSO提出了COSO内控框架，这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架2003年，适应发展需要，COSO提出了COSO企业风险管理模型，增加了战略目标，强化了风险评估COSO企业风险管理模型由8因素组成1.控制环境：包括风险管理理念和风险承受能力、诚信和道德价值观，以与所处的经营环境2.目标设定：确保管理当局采取适当的程序设定目标，确保所设定的目标与它的风险承受能力相符3.事件识别：必须识别影响主体目标实现的内部和外部事项，区分风险和机会第四十九页，共85页。COSO风险管理模型（续）4.风险评估：通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据5.风险行动：管理当局采取一系列行动以便把风险控制在风险承受范围以内6.控制活动：制订和执行政策与程序以帮助确保风险行动得以有效实施7.信息与沟通：相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通8.监控：对企业风险管理进行全面监控，必要时加以修正第五十页，共85页。COSO风险管理模型（续）控制环境风险评估信息和沟通控制活动监控COSO风险管理模型方面需考虑的因素高管层的诚信、道德和行为控制意识和经营风格胜任能力和承担董事会或审计委员会的监管组织结构、权限和责任人力资源政策和程序风险评估流程对重要事件的预测、识别和反应机制识别会计准则差异、业务操作和内部控制变化的程序提供完整的业绩报告与业务策略相联系持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划便于职员履行职责而建立的沟通渠道有必要的政策和程序有明确的财务目标，并对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管对内部控制的定期评估实施改进建议建立内部审计职能以实施监控第五十一页，共85页。总结企业所面临的风险是无法完全避免，但风险是一定能被控制在最小范围中的企业的风险控制是企业各位员工的共同责任，而并不仅仅是管理层特别是控制部门的责任设立风险管理制度并非是在企业内对权力进行重新分配，风险控制部门应与业务部门进行良好的协调、沟通第五十二页，共85页。五、风险管理最佳实践第五十三页，共85页。

风险管理框架演变原始管理式分散管理式集中管理式全面管理式组织规模业务规模小业务规模扩展并具一定复杂度业务组织庞大，业务复杂度提高业务组织庞大，业务复杂度高风险管理方式缺乏风险管理部门与人员风险管理职能由各部门分别负责，无专设部成立专门风险管理部门，集中管理风险成立专门风险管理部门，业务部门参与监控自身风险市场环境市场形态简单市场环境复杂，面临多个市场市场多样化面对全球市场，情况复杂多变风险度量无风险度量以业务为单位进行简单估算结合系统因素进行风险的整体估算强化风险的精确、综合度量决策与操作不分离分离，但不彻底分离分离风险管理独立性不独立不独立独立独立业务效率无质量保证的高效率相对较高对业务运作效率有一定影响以质量为基础的高效率第五十四页，共85页。最佳实践：美林证券风险管理组织框架风险控制委员会风险管理部股东大会董事会市场风险部信用风险部数量分析小组分析报告与技术小组风险管理员小组美国国内地区1地区2地区n风险管理的最高管理机构；制定和完善公司的风险控制程序，设定各部门风险限额，评估和监控各部门的风险风险控制委员会的常设机构；在设定公司风险管理政策和风险限额方面具有建议权，并且在交易决策中拥有否决权；对公司持仓状况进行计量、跟踪、调查；监控、计量市场风险及流动性风险；计算不同交易的盈亏状况；监控交易对手、债券发行人、产品、国家及行业的信用状况，设定信用风险限额，管理信用暴露；对公司各类风险状况进行评估；建立计量及风险评估模型；按地理分布和产品类别进行组织；对每一个交易单位进行风险评估，设定最高限额；设定交易权限；负责生成各类报告；产业1产业n……第五十五页，共85页。最佳实践：美林证券风险管理理念管理风险比识别和计量风险更有意义金融产品的风险不在于产品本身，而在于对产品如何进行管理风险管理需要全员参与，全程管理，并进行与时沟通风险管理本质上是人员的积极管理，而不是某种风险的被动度量风险管理最重要的手段是经验、判断及持续沟通在全公司范围内必须持续不断地培养员工的风险意识，着重强调警惕性和纪律性第五十六页，共85页。最佳实践：美林证券风险管理原则对于涉与资金的业务，管理层必须制定简洁、明了的规定风险管理政策和程序必须清晰、有效表达，并确保得到充分理解管理人员必须考虑各种可能发生的情况，深入研究各种潜在的问题风险管理报告必须准确及时传递风险管理过程具有弹性，允许根据环境的变化进行相应改变风险管理的目的是使发生不可预期损失的可能性降低到最低限度第五十七页，共85页。最佳实践：高盛风险管理组织框架管理委员会股东大会董事会公司风险委员会资本委员会创新产品评审委员会公司风险委员会负责评估公司所有业务，审批创新业务和创新产品，评估和设定各部门风险限额；各部门风险委员会在公司总体VaR下，制定本部门风险限额；创新产品评审委员会负责审批公司各项创新产品，评估创新产品与创新业务所蕴涵的风险，设定控制程序；资本委员会负责评估和审批与公司资本相关的商业活动，包括债券承销、大宗交易等；资本委员会的职责是确保公司业务和声誉保持在一流水平；财务委员会操作风险委员会各部门风险委员会操作风险委员会负责研究、开发、提供与操作风险相关的管理政策、管理框架和分析模型，监督操作风险管理流程的有效性财务委员会负责制定公司资产流动性政策和科学合理的库存头寸限额，评估公司资金头寸和资本化率，评估公司现金流量和风险敞口管理委员会是风险管理框架中最高执行机构所有风险控制的信息最终均报告至管理委员会管理委员会通过直接授权或委托授权，审批公司所有经营活动、风险政策等第五十八页，共85页。最佳实践：摩根斯坦利风险管理组织框架股东大会风险控制团队（ControlGroups）由来自各业务部门、职能部门的专家组成，独立于公司其他业务部门它们协助公司高管层和风险管理委员会评估、监控公司的风险组合，负责测算、汇总公司各业务领域的风险状况，直接向公司高管层和风险管理委员会进行风险报告风险管理委员会董事会内部审计部门证券风险委员会各业务风险委员会审计委员会其附属执行委员会其附属执行委员会风险控制团队（市场风险专家、信用风险专家、财务专家、法律专家）风险管理委员会由公司部门高级管理人员组成；负责制定整个公司的风险管理政策、评估风险管理政策业绩；负责向下属风险委员会授权；内部审计部门通过对业务经营方面的考察，对公司的经营和控制环境进行评价，向公司高管层和审计委员会履行风险报告职能；证券风险委员会及其他业务风险委员会隶属于公司风险管理委员会，接受风险管理委员会的授权；它们在其下设的附属委员会帮助下，评估公司风险政策和风险管理流程的有效性，监控与其业务相关的风险状况，履行风险报告职能；第五十九页，共85页。六、构建企业全面风险管理体系第六十页，共85页。构建企业全面风险管理的关键成功要素股东确立对企业监督的机制，考虑是否需要在集团层面引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作与有效性作出定期的汇报管理高层的支持和全面参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定第六十一页，共85页。构建企业全面风险管理的关键成功要素（续）建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性采用先进的风险管理的实施方法借鉴如IOSCO和COSO的风险管理框架采用各种识别和度量风险的先进的方法，如VaR、CaR、情景分析法、压力测试法等采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统第六十二页，共85页。

企业全面风险管理体系的构成风险管理是一个由风险识别、风险评估、风险管理构成的循环过程

风险管理政策（明确风险管理战略和策略）健全的现代企业风险管理组织体系规范的风险管理流程完整的风险管理手册高效的风险计量与预警系统有效的风险决策与执行机制高效的风险管理信息系统持续优化监控与报告风险识别风险评估风险控制确定目标目标人员流程系统第六十三页，共85页。企业风险管理政策风险管理政策是公司关于风险管理的基本纲领，它确定公司的风险偏好。风险管理政策由风险管理部门协助风险管理委员会制订，并经公司董事会审批风险政策应包括明确企业风险管理组织架构业务部门、控制部门的风险管理职责各业务部门的风险限额和风险/收益期望公司风险管理现状与风险管理目标的差异性分析实现风险管理目标的商业计划公司相关政策（商业计划，年度预算）与风险预算的一致性公司的风险偏好应用关键风险指标的目标值和波动率表示：如经济资本、风险收益、VaR等第六十四页，共85页。企业风险管理目标确保将风险控制在与总体目标相适应并可承受的范围内确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告确保遵守有关法律法规确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失第六十五页，共85页。企业风险管理组织框架国资委于6月6日发布《中央企业全面风险管理指引》，提出了风险管理组织框架。该框架分为三条防线各有关职能部门和业务单位为第一道防线风险管理职能部门和董事会下设的风险管理委员会为第二道防线内部审计部门和董事会下设的审计委员会为第三道防线风险管理内部审计业务部门第六十六页，共85页。董事会风险管理职责审议并向股东（大）会提交企业全面风险管理年度工作报告确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案了解和掌握企业面临的各项重大风险与其风险管理现状，做出有效控制风险的决策批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制批准重大决策的风险评估报告批准内部审计部门提交的风险管理监督评价审计报告批准风险管理组织机构设置及其职责方案批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为督导企业风险管理文化的培育全面风险管理其他重大事项第六十七页，共85页。风险管理委员会风险管理职责提交全面风险管理年度报告审议风险管理策略和重大风险管理解决方案审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以与重大决策的风险评估报告审议内部审计部门提交的风险管理监督评价审计综合报告审议风险管理组织机构设置及其职责方案办理董事会授权的有关全面风险管理的其他事项第六十八页，共85页。风险管理职能部门风险管理职责研究提出全面风险管理工作报告研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制研究提出跨职能部门的重大决策风险评估报告研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案负责组织建立风险管理信息系统负责组织协调全面风险管理日常工作负责指导、监督有关职能部门、各业务单位以与全资、控股子企业开展全面风险管理工作办理风险管理其他有关工作第六十九页，共85页。内部审计部门风险管理职责负责研究提出全面风险管理监督评价体系制定监督评价相关制度开展监督与评价，出具监督评价审计报告第七十页，共85页。业务部门风险管理职责执行风险管理基本流程研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制研究提出本职能部门或业务单位的重大决策风险评估报告做好本职能部门或业务单位建立风险管理信息系统的工作做好培育风险管理文化的有关工作建立健全本职能部门或业务单位的风险管理内部控制子系统办理风险管理其他有关工作第七十一页，共85页。推荐框架风险管理委员会股东大会董事会内部审计部门行业1风险委员会行业2风险委员会审计委员会风险控制团队（市场风险专家、信用风险专家、财务专家、法律专家）行业3风险委员会第七十二页，共85页。风险管理部门与稽核审计部门关系风险管理委员会由董事会正式授权监管风险性活动，并须确保行政总裁的风险责任作迠当履行主要职责包括制订符合银行风险容忍度的风险管理策略，批准风险管理政策与程序审计委员会会由董事会正式授权对财务报告和内控框架的效率和成效进行独立评核

审阅财务报告/资料以确保法律法规得到遵守风险管理部门专注于审查市场风险，信用风险和流动性风险，以确保有适当的风险评核机制，而且风险管理政策和程序都能得到遵守.(例如:权限结构，风险评定方法和变量单位等)内部审计部门则专注监察营运政策及程序的遵守情况.(例如:需要批准的有关步骤/程序是否得到遵守，必需的资料收集是否齐备，交易审查是否及时等)风险管理部门风险管理执委会的全职执行机构，通过对逐单交易及风险组合资料的审查及预先/事后批准来确保风险管理政策和程序，得到遵守

通过风险管理经理在营运单位的日常工作以及风险管理总监等参予行政管理执委会并对重大事故向行政总裁作出汇报等渠道建立与管理部门(行政总裁/行政管理执委会/营运单位)的汇报机制內部审计部门审计执委会的全职执行机构，通过周期/临时审查营运单位和支持单位的具体运作来监察它们对营运的政策及程序的遵守情况

通过与业务部门保持紧密联系，了解确保风险管理政策及程序得以遵守的具体运作过程和相关文件，以便设计适当的审计步骤和执行方法

与风险管理总监讨论分析不遵守风险政策的事件及其产生的风险影响，必要的纠正措施等第七十三页，共85页。企业风险管理流程风险评估定性

-操作风险

-合规风险

定量

-市场风险

-信用风险

-流动性风险风险监测实时监控各部门风险管理报告各部门报送信息会议纪要媒体同业信息……风险识别风险矩阵风险控制风险缓释风险承担风险规避风险分散……风险报告汇报路径行动建议执行情况跟踪返回检验第七十四页，共85页。风险识别风险识别是企业将所面临的各种不确定因素一一鉴别出来的过程企业只有对自身所面临的风险有清晰的认识，才可能进行有效的风险管理风险识别需要对企业自身的经营状况、所处行业情况、其所出法律、政治、文化环境有更深入的了解，同时要有明确的企业战略，