德勤企业全面风险管理概述

优选德勤企业全面风险管理概述当前第1页\共有47页\编于星期三\0点风险及全面风险管理概述风险的一般概念全面风险管理的愿景全面风险管理的一般概念和内容全面风险管理的发展《中央企业全面风险管理指引》简介《指引》的定位和意义《指引》内容框架《指引》主要内容解读全面风险管理的实践国内外企业风险管理调查结果企业风险管理工作的开展培训大纲当前第2页\共有47页\编于星期三\0点风险及全面风险管理概述

风险的一般概念全面风险管理的愿景全面风险管理的一般概念全面风险管理的内容全面风险管理的发展和实践当前第3页\共有47页\编于星期三\0点风险是未来的不确定性对企业实现其目标的影响。行为目标曲线可能路径的概率分布Y3Y2Y1Y0可能的实际曲线风险的一般概念？您所在公司的战略目标是什么？影响目标实现的不确定性因素有哪些？当前第4页\共有47页\编于星期三\0点EIU（TheEconomistIntelligenceUnitLimited）关于未来经济、产业和公司发展趋势的调查显示：2005年-2020年这15年间，下述风险将对公司产生较大影响（单位：%）：2430261552039261241827202114173327176173430145162726201016322618813302920916272620101319222620122529241192932219923252815管理决策失误定价来自低成本市场的竞争顾客忠诚度下降经济衰退高素质员工的缺乏合规成本的增加政治和安全风险产品或服务商品化新技术突破产业整合生产力缺乏增长进入壁垒的降低1（很小）2345（很大）风险就在我们身边当前第5页\共有47页\编于星期三\0点按行业划分的五大风险风险排序金融服务零售生产高科技/电信公共事业/能源化工/制药1市场风险股票、现金和利率的波动竞争风险宏观经济风险竞争风险市场风险商品价格的波动性环境风险2客户风险人才风险竞争风险客户风险合规风险合规风险3竞争风险操作风险操作风险合规风险竞争风险客户风险4宏观经济风险客户风险供应链风险人才风险客户风险研发风险5合规风险宏观经济风险人才风险供应链风险人才风险操作风险资料来源:EIU（TheEconomistIntelligenceUnitLimited）企业的风险当前第6页\共有47页\编于星期三\0点

企业的重大损失甚至倒闭都是由于不良的风险管理所造成。

中航油中储棉安然巴林银行风险长虹世通德隆长期资本管理八佰伴安达信不良风险管理的后果当前第7页\共有47页\编于星期三\0点全面风险管理的愿景NORISKS

,NORETURNS我们公司有什么风险？这些风险有多大？我们公司如何管理这些风险？我们管理是否有效？我们有多少把握能够达到我们预定的战略目标？98％，或95％？如果是98%，那么2%的可能性又意味着什么情况？这些意外情况对我们公司有什么样的影响？我们应该怎样应对这些情况？KNOWRISKS,KNOWRETURNS当前第8页\共有47页\编于星期三\0点全面风险管理是使企业在实现其未来战略目标的过程中将市场的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。预测值时间经营目标经营目标可接受区间可能的实际值经营目标可接受区间不可接受不可接受全面风险管理为企业实现其经营目标提供合理保证。全面风险管理的一般概念当前第9页\共有47页\编于星期三\0点执行层面目标财务报告风险运营风险应用范围企业整体和所有业务流程全面风险管理的内容：是一个流程和方法以企业战略为导向辨识对企业有潜在影响的事件，并根据风险偏好管理风险为企业管理层和董事会提供合理的保证风险管理贯穿在企业管理的每一个方面：落实到企业作为一个整体和企业的各个业务流程作为从董事会到高级管理层直至每一个员工的责任全面风险管理的内容当前第10页\共有47页\编于星期三\0点全面风险管理不是独立于现有管理体系的另外一个体系全面风险管理是对现有数据的挖掘和利用全面风险管理是对现有管理体系的整合全面风险管理是对现有管理职能的强化全面风险管理的内容融入现有管理职能预算ISO9000投资规划全面风险管理与现有管理体系当前第11页\共有47页\编于星期三\0点-实物牵制-薄记牵制COSO内部控制整体框架企业全面风险管理COSOERM框架内控评价内部审计~1940’s1940’s~1970’s1980’s~1990’s1990’s21世纪内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性-控制环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息沟通-监督风险管理的发展当前第12页\共有47页\编于星期三\0点时间机构/国家标准内部控制相关风险管理相关1988年BCBS《巴塞尔协议》金融业风险1992年COSO《内部控制—整合框架》内部控制1999年澳大利亚AS／NZS4360：1999企业风险2001年证监会证券公司内部控制指引内部控制2002年加拿大风险管理：决策者指南—加拿大国家标准企业风险2003年英国AIRMIC/ALARM/IRM标准企业风险2004年COSO企业风险管理—整合框架企业风险2004年BCBS巴塞尔协议Ⅱ（新巴塞尔协议）金融业风险2004年银监会商业银行内部控制评价试行办法内部控制2005年银监会商业银行市场风险管理指引金融业风险2005年香港会计师公会内部控制与风险管理的基本架构内部控制2006年国资委中央企业全面风险管理指引企业风险2006年上交所上海证券交易所上市公司内部控制指引内部控制2006年深交所深圳证券交易所上市公司内部控制指引内部控制未知财政部企业内部控制标准内部控制金融业风险企业风险全球主要风险管理标准路线图当前第13页\共有47页\编于星期三\0点《中央企业全面风险管理指引》简介《指引》的定位和意义《指引》内容框架《指引》主要内容解读当前第14页\共有47页\编于星期三\0点《中央企业全面风险管理指引》正式出台当前第15页\共有47页\编于星期三\0点中国风险管理的里程碑站在全球企业管理的前沿内容和要求基本超过目前资本市场的合规要求对非央属企业也有很强的指导意义全面风险管理标准与实施情况《指引》的定位和意义当前第16页\共有47页\编于星期三\0点目的：明确要求中央企业要重视和开展全面风险管理；明确什么是全面风险管理；指导企业如何开展全面风险管理工作。主要内容：第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则《指引》的主要内容风险管理文化全面风险管理体系风险管理基本流程一个流程一个体系一种文化全面风险管理框架全面风险的目标五个目标当前第17页\共有47页\编于星期三\0点全面风险管理的目标《指引》明确指出：企业开展全面风险管理要努力实现以下风险管理总体目标：参见《指引》第七条确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；确保遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。当前第18页\共有47页\编于星期三\0点风险战略组织职能综合内控风险理财风险管理信息系统信息框架风险评估监控改进风险战略解决方案全面风险管理框架的结构+风险管理基本流程全面风险管理体系风险管理文化当前第19页\共有47页\编于星期三\0点风险管理初始信息收集与风险和风险管理相关的内外部信息，并将其整理成可用于分析的形式，为风险评估和风险战略的制定奠定基础。综合信息框架战略类风险投资类风险运营类风险财务性风险风险现状及变化。。。。。。风险管理现状及变化。。。。。。。。。。。。。。。。。。。。。。。。风险文化风险理财风险管理成本与收益筛选提炼对比分类组合风险评估不同类别收集的范围、方法、频率有所不同；注重信息的系统、完整、真实、及时程序规范、方法合理参见《指引》第二章当前第20页\共有47页\编于星期三\0点风险评估是风险管理的基础，《指引》要求，“企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。”访谈研讨

定性定量分析其他工具方法风险评估问卷调查风险图谱

企业内外部资料分析风险库风险评估的方法风险评估的目的全面了解公司整体的风险现状，评估公司目前的风险水平。统一公司各个层面对风险的认识，形成一套通用的风险语言。找出公司在现有内外部环境、发展态势和管理水平下，对目标实现影响最大的风险，并进行管理优先排序。123风险评估的成果风险列表风险图谱重大风险模型参见《指引》第三章风险评估当前第21页\共有47页\编于星期三\0点风险评估的步骤。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。risk1Risk2。。。。。。综合信息框架风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型。。。。。。。。。风险评估报告风险评估可分为风险辨识、风险分析和风险评价等几个步骤。当前第22页\共有47页\编于星期三\0点风险图谱ⅠⅡⅢⅣ影响程度中高低中发生概率高低23172112161433113223056218281529361113424252026935331072732风险图谱示意展示风险评估结果的重要工具是风险图谱，通过分析公司的风险图谱，可以直观地看到公司的风险分布情况，从而确定风险管理的重要控制点和风险管理解决方案。风险图谱被两条“等风险线”分隔为“红灯区”、“黄灯区”和“绿灯区”：处于“红灯区”的风险大多集中在第一象限，其发生的概率和影响程度均较高。公司应该根据风险的属性和风险管理偏好来选择风险管理方案；处于“黄灯区”的风险，有两种情况：处于第二象限的风险更多的是一些非常事件，但影响程度较大。对于这类风险，公司应该在采取防范措施的同时，制定应急计划；处于第四象限的风险，其影响程度不是很高而发生概率偏高，这往往与日常经营和遵守法律方面的问题有关，这些风险的累计影响不可低估。对于这类风险要注意日常的管理和监控；

“绿灯区”中的风险大多集中在第三象限，是指那些发生概率和影响程度均不太高的风险，通常在目前可以接受。公司可以取消与此风险相关的、多余的风险控制措施，以减少成本和资源消耗以管理更重要的风险。风险图谱不是一成不变的，公司应该定期评估风险，动态地对风险图谱进行调整和更新。高风险中风险低风险当前第23页\共有47页\编于星期三\0点现金流量表资产负债表损益表风险3风险1风险4风险2风险5*财务报表*风险调整前风险调整后风险影响现金银行存款……信用风险利率风险汇率风险10002000…………√√√√√资产负债表现金银行存款……15002300……风险的财务价值当前第24页\共有47页\编于星期三\0点参见《指引》第四章企业使命风险管理策略风险应对策略风险偏好风险承受度战略

风险管理策略是根据企业经营战略制定的全面风险管理的整体策略；风险管理策略在整个风险管理体系中起着统领全局的作用；风险管理策略在企业战略管理的过程中起着承上启下的作用。重大风险管理的目标风险管理策略当前第25页\共有47页\编于星期三\0点风险偏好解决“公司愿意承担什么风险”的问题描述公司对待风险的基本态度和看法风险偏好的确定基于公司的使命、愿景风险承受度解决“公司能够承担多大风险”的问题描述公司能够承担的风险的限度风险承受度的确定可借助于模型的构建和公司基础数据的积累（历史经验）风险应对策略解决“公司如何管理风险”的问题阐述针对各类重大风险的应对策略：风险承担、风险规避、风险转移、风险转换……风险对策的确定基于风险评估和诊断的结果要根据风险与收益相平衡的原则以及风险的重要程度确定风险管理的优选顺序，重大风险管理目标风险管理策略的核心内容当前第26页\共有47页\编于星期三\0点政策风险市场风险业务模式风险合同管理风险信用风险现金流风险客户风险积极利用适度承担坚决避免风险厌恶风险喜好合规风险

高 中 低战略趋同

l

风险特性 l 管理能力

l 获利可能机会风险是既有损失可能，也有获利可能的风险，如市场风险，对于这类风险，集团可以采取积极利用或适度承担的态度一般情况下，纯粹风险没有获利的可能，只会给集团带来损失，对于这类风险，集团可以采取坚决避免的态度战略趋同对于符合集团发展战略的风险，如投资风险,集团可以采取积极利用的态度对于不符合集团发展战略的风险，如非主业市场风险,集团应该采取坚决避免的态度管理能力对于集团管理能力较强的风险，如投资风险,集团可以采取积极利用的态度对于集团管理能力较差的风险，如业务模式风险,集团可以采取适度承担的态度风险偏好样例当前第27页\共有47页\编于星期三\0点风险承受度样例当前第28页\共有47页\编于星期三\0点战略措施产业结构调整组织变革兼并购活动分包或转包结盟流程优化全面质量管理6西格玛远期合约传统保险金融衍生品风险准备金

运营措施风险理财剩余风险风险总量风险接受首先考虑在战略上规避风险；平衡风险管理收益与成本，对各类风险选择风险规避、风险控制、风险转移或风险接受等手段；设立风险准备金，并重新对产品和服务进行定价。风险承受度风险应对策略样例当前第29页\共有47页\编于星期三\0点风险管理解决方案参见《指引》第五章当前第30页\共有47页\编于星期三\0点内部控制体系内部控制是通过针对企业的各个业务主要流程设计和实施一系列政策、制度、规章和措施，对影响业务流程目标实现的各种风险进行有效管理和控制的过程。内部控制的对象主要是可控风险，如流程执行过程中的偏差、质量问题、财务报告的不准确及合规问题。流程风险控制点控制措施?流程是否存在设计是否合理职责是否明确执行是否严格奖惩是否明白效果是否满意风险是否辨识影响什么指标影响哪些环节影响哪些部门或哪一级企业分析是否彻底应对是否存在设计是否合理职责是否明确是否经过检验效果是否满意参见《指引》第五章当前第31页\共有47页\编于星期三\0点参见《指引》第六章风险管理的监控改进收集外界信息阅读分析报告内部测验检验内部过程审计全面风险管理信息系统风险战略内部控制风险理财组织职能信息框架风险评估监控改进实施风险战略+各管理主体定期监督检查风险和风险管理情况；根据成本与效益的平衡确定监控频率。持续改进风险管理体系和基本流程以及各种相关制度。提交风险监控、改进报告以及评价建议报告；内审部门或外部机构每年至少一次的审核评价。实施监控持续改进报告当前第32页\共有47页\编于星期三\0点系统的风险管理组织结构明确的风险管理职责清晰的风险报告线路风险管理是贯穿于企业的各个层面和各项管理工作中，风险管理既是一项具有专业理论、专门工具和特定职责的管理活动，也是对现有管理功能的强化：风险管理的基本职责及时发现风险科学地评估风险选择合理的风险组合确立风险管理目标制定统一的风险管理政策和制度风险实时监控和预警危机处理与应急反应风险信息的有效沟通具体风险的有效管理内控体系的建立、检查和完善参见《指引》第七章风险管理职能当前第33页\共有47页\编于星期三\0点全方位的风险管理组织体系审计委员会风险管理委员会内部审计风险管理业务部门和业务单位总经理董事会当前第34页\共有47页\编于星期三\0点内容董事会风险管理委员会总经理风险管理专职部门其他职能部门监督部门工作报告审议工作报告在董事会领导下，审议并提交风险管理各项方案、报告主持全面风险管理日常工作提出风险管理工作报告执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价，出具评价报告风险策略确定风险管理总体目标和策略提出风险管理策略风险评估批准重大风险评估报告研究提出跨部门重大风险评估报告控制决策重大风险控制决策研究提出跨部门重大风险管理方案监督评价批准监督评价报告负责有效性评估提出改进方案组织机构批准组织协调日常工作风险管理组织体系各组成部分及其职责

当前第35页\共有47页\编于星期三\0点风险文化是关于企业在日常运营中对待风险的态度、价值和实践；企业文化影响风险管理策略，风险管理策略反映了企业的风险管理文化；在中央企业，总体上主张审慎的风险文化，在局部上，根据企业的风险管理策略，有可能采用较为激进的手段和方针；风险管理文化参见《指引》第九章管理层应该考虑企业的风险文化是如何影响全面风险管理的其他要素的，当它们不匹配时，应考虑重塑文化；企业应在内部各个层面营造风险管理文化氛围；采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。当前第36页\共有47页\编于星期三\0点风险管理信息系统信息系统是风险管理的生命线：基于内控体系的完善，以风险监控和风险预警为基础内容；与财务管理、业务管理等系统之间开辟接口和数据通道；完成日常风险监控、日常风险辨识、风险评估、控制评价、合规检查等功能；逐步完善自动分析的职能，即加载商业智能模型；最终达到管理层对关键风险点的报告需求。样例参见《指引》第八章当前第37页\共有47页\编于星期三\0点第八章风险管理信息系统第五十三条企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第五十四条企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。第五十五条风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

第五十六条风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。第五十七条企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。第五十八条已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。当前第38页\共有47页\编于星期三\0点风险管理信息系统的核心

风险管理信息系统可以看作是信息化、电子化的风险管理信息报告和应用系统。因此，建立风险管理信息系统的基础是建立风险管理信息的报告系统，而报告的基础是数据，包括历史数据、实时或准实时数据。核心内容具体要求数据管理数据管理流程的顺畅性数据模型和来源的统一性数据所有权的清晰性数据质量的准确性和可靠性数据传递的及时性等

风险报告系统设计清晰的风险报告系统风险报告系统应满足跨职能部门、业务单位的综合性风险管理要求风险报告应关注影响公司战略目标实现的重大风险信息风险管理应用系统避免系统间功能界定不清晰、缺乏某些关键功能或者功能重复的现象遵循信息共享、规范需求、注重投资效益、责任明确的原则在信息化部门的统筹管理下开发和设计风险管理应用系统风险管理应用系统应作为企业管理信息系统的一个核心组成部分当前第39页\共有47页\编于星期三\0点全面风险管理的实践国内外企业风险管理调查结果企业风险管理工作的开展当前第40页\共有47页\编于星期三\0点国外公司的风险管理实践目前，发达国家的企业已经把建立全面风险管理体系作为获得竞争优势的基本手段。2001年，发达国家的大企业中计划实施全面风险管理的企业占20%，正在实施的占35%，而已经建立了完整的风险管理体系的企业只占11%。2004年，建立了完整的全面风险管理体系的企业已经达到了38%，而没有计划实施全面风险管理体系的企业从2001年的31%下降到10%。当前第41页\共有47页\编于星期三\0点您的企业是否应用了以下风险管理工具在风险管理的执行中，CFO依然是最主要的责任人（合计首要责任人和第二责任人），排在第二位的是经营部门的管理者多数企业比较倾向于均衡风险控制与企业发展的需求，但只有较少的公司合理平衡了风险控制与业务发展的关系多数被调查企业认为它们辨识与管理风险的能力还有相当的改进空间41%的受访企业认为它们已经在最大程度上做到了风险量化国外公司的风险管理实践Protiviti公司2005年全美大型企业风险管理状况调查当前第42页\共有47页\编于星期三\0点缺乏风险管理专门人才缺乏适当的风险评估过程和