《公司战略与风险管理》第3版 课件 第7章 风险管理体系

风险管理体系第7章本章学习目标1.熟知风险管理策略及其内涵2.熟练掌握风险管理(风险应对)工具3.掌握主要的风险理财措施4.熟悉风险管理的组织体系和信息系统的内容5.熟练掌握COSO内部控制框架体系和我国内部控制发展状况第7章风险管理体系第一节风险管理策略第二节风险理财措施第三节风险管理组织体系第四节风险管理信息系统第五节内部控制系统第一节风险管理策略一、风险管理策略的内涵二、风险管理工具一、风险管理策略的内涵风险管理策略：企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。风险管理策略的定位：在整个风险管理体系中起着统领全局的作用;在企业战略管理过程中起着承上启下的作用。

风险管理策略的作用：为企业的总体战略服务,保证企业经营目标的实现;连接企业的整体经营战略和运营活动;指导企业的一切风险管理活动;为各领域的风险管理提供指导方针。二、风险管理工具风险管理工具：在实践中通常被称为“风险应对”。《中央企业全面风险管理》明确了企业管理重大风险的七种工具：风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制。二、风险管理工具风险承担：企业对所面临的风险采取接受的态度,从而承担风险带来的后果。风险规避：企业回避、停止或退出暗含某一风险的商业活动或商业环境,避免成为风险的所有人。风险转移：企业回避、停止或退出暗含某一风险的商业活动或商业环境,避免成为风险的所有人。风险转移通常使用的方式有:保险非保险型的风险转移。保险风险证券化。风险转换：企业通过战略调整等手段将企业面临的风险转换成另一种风险。风险对冲：采取各种手段,引入多个风险因素或承担多个风险,使得这些风险能够互相对冲,也就是使这些风险的影响互相抵销。风险补偿：企业对风险可能造成的损失采取适当的措施进行补偿。风险控制：控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。二、风险管理工具第二节风险理财措施一、风险理财基础知识二、风险自留三、保险四、套期保值一、风险理财基础知识风险理财又称融资型风险应对措施,是与控制型风险应对措施(简称风险控制)相对应的风险管理手段。风险理财就是通过金融手段来应对风险。风险理财与风险控制的关系如下图：典型的风险理财行为：（1）物流仓储企业为转移火灾损失购买火灾保险。（2）外贸企业为控制汇率波动带来的损失采用远期合约进行风险对冲。（3）石油加工企业为避免原油价格波动带来的损失采用期货手段进行套期保值。（4）公司为了应对可能的突发性资金需求,与银行签订应急资本协议。一、风险理财基础知识一、风险理财基础知识根据资金来源的不同,风险理财可以分为风险自留和风险转移两类。风险理财的必要性（1）对于可控风险,风险理财是风险控制的重要补充。（2）对于难以利用风险控制手段管理的风险,风险理财是重要的应对手段。风险理财发展迅速,形式灵活,覆盖面广,有很多创新,日益成为企业经营中不可回避的重要内容。一、风险理财基础知识风险理财的特征：（1）风险理财不改变风险事件发生的可能性以及风险事件可能引起的直接损失的程度,只是提供事后的损失补偿。（2）风险理财需要判断风险的定价,因此量化的标准较高,不仅需要知道风险事件的可能性和损失的分布,更需要量化风险本身的价值。（3）风险理财的应用范围一般不包括声誉等难以衡量其价值的风险,难以消除战略失误造成的损失。(4)风险理财技术性强,许多风险理财工具本身有着比较复杂的风险特性,使用不当容易造成重大损失。一、风险理财基础知识风险理财超出公司理财的范畴的具体表现：（1）风险理财关注的是风险因素对现金流的影响;（2）风险理财影响公司的资本结构,强调以最低成本获得稳定的现金流;（3）风险理财是公司战略的有机组成部分,其风险管理的结果直接影响公司整体价值的提升。一、风险理财基础知识风险理财创造价值传统的风险理财是损失理财,即为可能发生的损失融资,补偿风险造成的财务损失,如购买保险。传统的风险理财的目的是降低公司承担的风险。与损失理财相反,公司可以通过使用金融工具来承担额外的风险,改善公司的财务状况,创造价值。一、风险理财基础知识企业在选择风险理财策略时应注意以下原则和要求：（1）风险理财策略要与公司整体风险管理策略一致。（2）风险理财策略要与公司面对的风险的性质相匹配。（3）选择风险理财工具的要求。（4）成本与收益的平衡。一、风险理财基础知识二、风险自留风险自留是由经历风险的组织自己承担风险事故导致的损失的一种方法,它通过内部资金的融通来弥补损失。企业损失可分为预期损失和非预期损失。在风险自留情境下,预期损失摊入营业成本,作为运营资本的一部分;而非预期损失融资则属于风险资本的范畴。二、风险自留风险资本是除经营所需资本之外,公司需要的用于补偿风险造成的财务损失的额外资本。传统的风险资本表现形式是风险准备金。风险资本是使公司破产的概率低于某一给定水平所需的资金,取决于公司的风险偏好。两类重要的风险资本管理工具：应急资本与专业自保。（一）应急资本

应急资本是一个金融合约,规定在某一个时间段内、在某个特定事件发生的情况下,公司有权从应急资本提供方募集股本或贷款(或资产负债表上的其他实收资本项目),并为此按时间向资本提供方缴纳相关费用。二、风险自留某公司应急资本的结构应急资本的特点（1）应急资本的提供方并不承担特定事件发生的风险,而只是在事件发生并造成损失后提供用于弥补损失、持续经营的资金。（2）应急资本是一个综合运用保险和资本市场技术进行设计和定价的产品。（3）应急资本是一个有一定使用条件的融资选择权,公司可以不使用这个权利。（4）应急资本可以为经营持续性提供保证。二、风险自留（二）专业自保是另一类重要的风险资本管理工具。专业自保公司的优点是:降低运营成本;改善公司现金流;保障项目更多;公平的承保费率;保障的稳定性;直接进行再保险;提高服务水平;减少规章的限制;国外课税扣除和流通转移。专业自保公司的缺点是:内部管理成本高;资本投入较高;规模有限,损失储备金薄弱;面临税收检查;有可能减少其他保险的可得性。

二、风险自留三、保险保险是一种金融合约,是应对可保的纯粹风险的一种重要的风险理财工具。对于企业来说,通过缴纳保费将自身面临的风险转移给保险公司,即以小额成本(保费)替代大额的不确定损失(保险所保障的意外事故)。保险的基本功能是损失分担和经济补偿。派生功能则包括风险管理、资金融通、社会管理等。按照承保对象的差异,保险大致可划分为人身保险、财产保险、责任保险三类。三、保险人身保险转移的是那些可能会妨碍个人收入的风险。这类风险共有四种类型:死亡、意外事故与疾病、失业以及年老。按照保险责任的差异,人身保险可分为：人寿保险：主要是为了让家庭在户主死亡或退休后获得一定的经济保障。基本种类包括：定期寿险、终身寿险、两全保险、其他寿险等。年金保险：是用年金的方法给付保险金，保险人在被保险人或年金受领者的生存期或特定时期按照约定的金额做定期给付的产品,主要提供退休收入。健康保险：以疾病或人身伤害损失为保险标的的保险。主要包括：意外保险和医疗保险。三、保险财产保险：是以财产以及与其相关的利益为保险标的的保险,主要包括:火灾保险、海洋运输保险、内陆运输保险、盗窃保险、忠诚保证保险、锅炉保险、农业保险、信用保险。

责任保险：起源于19世纪,截至目前,主要包括如下几类:普通责任保险、受托人责任保险、职业责任保险、雇主责任保险。

四、套期保值金融衍生品的买卖具有双重属性。为冲抵风险而进行的买卖属于套期保值;与之相反的操作属于投机行为。套期保值的目的是降低风险;投机的目的是承担额外的风险以盈利。金融衍生品的类型金融衍生品的特点：优点:准确性高;时效性强;使用方便;有成本优势;有灵活性;对于管理金融资产价格等市场风险具有不可替代的作用。缺点:衍生产品的杠杆作用很大,因而风险很大,如用来投机可能会造成巨大损失。运用金融衍生品进行风险管理的主要思路增加自己愿意承担的风险;消除或减少自己不愿承担的风险;转换不同的风险。四、套期保值运用金融衍生产品进行风险管理需满足的条件满足合规要求;与公司的业务和发展战略保持一致;要建立完善的内部控制措施,包括授权、计划、报告、监督、决策等流程和规范;采用能够准确反映风险状况的风险计量方法,明确头寸、损失、风险限额;具备完善的信息沟通机制,保证头寸、损失、风险敞口的报告及时可靠;具备合格的操作人员。四、套期保值四、套期保值常见的套期保值工具主要有四种：1.远期合约套期保值2.互换交易套期保值3.期货合约套期保值4.期权合约套期保值1.远期合约套期保值远期合约(forwardcontract)指合约双方同意在未来日期按照固定价格交换金融资产的合约,承诺以当前约定的条件在未来进行交易,会指明买卖的商品或金融工具种类、价格及交割结算的日期。远期合约主要有远期利率协议、远期外汇合约、远期股票合约。常用术语:如果即期价格低于远期价格,市场状况被描述为正向市场或溢价(contango);如果即期价格高于远期价格,市场状况被描述为反向市场或差价(backwardation)。2.互换交易套期保值互换交易(swaptransaction,

swaps)主要指对相同货币的债务和不同货币的债务通过金融中介进行互换的一种行为。互换的种类包括:利率互换、货币互换、商品互换、其他互换3.期货合约套期保值期货(futures)指在约定的将来某个日期按约定的条件(包括价格、交割地点、交割方式)买入或卖出一定标准数量的某种资产。期货合约(futurescontract)是期货交易的买卖对象或标的物,是由期货交易所统一制定的,规定在某一特定的时间和地点交割一定数量和质量商品的标准化合约。期货价格是通过公开竞价达成的。利用期货套期保值有两种方式：空头期货套期保值、多头期货套期保值4.期权合约套期保值期权(option)是在规定的一段时间内,可以以规定的价格购买或者出卖某种规定的资产的权利。期权合约(optioncontract)指以金融衍生产品作为行权品种的交易合约,是在特定时间内以特定价格买卖一定数量交易品种的权利。按交易主体划分,期权可分为两类：买入期权套期保值：买方期权指赋予期权持有人在期权有效期内按履约价格买进(但不负有必须买进的义务)规定的资产的权利。卖出期权套期保值：卖方期权指期权持有人在期权有效期内按履约价格卖出(但不负有必须卖出的责任)规定的资产的权利。第三节风险管理组织体系一、规范的公司法人治理结构二、风险管理委员会三、风险管理职能部门四、审计委员会五、企业其他职能部门及各业务单位、下属公司六、风险管理组织体系的三道防线模型一、规范的公司法人治理结构企业应建立健全规范的公司法人治理结构,股东(大)会(对于国有独资公司或国有独资企业,即指国资委,下同)、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制。国有独资公司和国有控股公司应建立外部董事、独立董事制度,外部董事、独立董事人数应超过董事会全部成员的半数,以保证董事会能够在重大决策、重大风险管理等方面做出独立于经理层的判断和选择。一、规范的公司法人治理结构董事会就全面风险管理工作的有效性对股东(大)会负责。董事会在全面风险管理方面主要履行十项职责：审议并向股东(大)会提交企业全面风险管理年度工作报告;确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;批准重大决策的风险评估报告;批准内部审计部门提交的风险管理监督评价审计报告;批准风险管理组织机构设置及其职责方案;批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为;督导企业风险管理文化的培育;全面风险管理的其他重大事项。二、风险管理委员会具备条件的企业的董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。二、风险管理委员会风险管理委员会对董事会负责,主要六项职责：提交全面风险管理年度报告;审议风险管理策略和重大风险管理解决方案;审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;审议内部审计部门提交的风险管理监督评价审计综合报告;审议风险管理组织机构设置及其职责方案;办理董事会授权的有关全面风险管理的其他事项。三、风险管理职能部门

企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责：研究提出全面风险管理工作报告;研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;研究提出跨职能部门的重大决策风险评估报告;研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;负责组织建立风险管理信息系统;负责组织协调全面风险管理日常工作;负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作;办理风险管理的其他有关工作。四、审计委员会

企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。审计委员会履行职责的方式：董事会应决定委派给审计委员会的责任,审计委员会的任务会因企业的规模大小、复杂性及风险状况而有所不同。审计委员会与合规：审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。管理层的责任是编制财务报表,审计师的责任是编制审计计划和执行审计。审计委员会与内部审计：确保充分且有效的内部控制是审计委员会的义务,其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中充当的角色和发挥的作用。五、企业其他职能部门及各业务单位、下属公司

企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,主要履行以下职责：执行风险管理基本流程;研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;研究提出本职能部门或业务单位的重大决策风险评估报告;做好本职能部门或业务单位建立风险管理信息系统的工作;做好培育风险管理文化的有关工作;建立健全本职能部门或业务单位的风险管理内部控制子系统;办理风险管理其他有关工作。六、风险管理组织体系的“三道防线”

通过明确角色和职责，三道防线增强了对风险管理和控制的理解。它的基本前提是，在高级管理层和董事会的监督和指导下，组织内部有三道独立的防线，这对风险控制进行有效管理是必要的。在国际上，“三道防线”的含义并未统一，目前包括三种主流的提法：英国风险管理协会国际内部审计师协会COSO六、风险管理组织体系的“三道防线”

（一）英国风险管理协会的“三道防线”企业的业务部门作为前端部门是风险管理的第一道防线；企业风险管理职能机构作为风险管理的第二道防线；企业的内部审计职能机构作为风险管理的第三道防线。第一道防线建立风险偏好；实行风险管理程序；风险管理控制；对风险反应采取决策；为了管理的利益，实施风险应对；风险管理的责任。六、风险管理组织体系的“三道防线”

（一）英国风险管理协会的“三道防线“第二道防线促进风险的识别与评估；指导在应对风险方面的管理；统筹企业风险管理活动；综合风险报告；保持和发展企业风险管理框架；倡导企业风险管理的建立；为获得委员会批准，发展风险管理战略。六、风险管理组织体系的“三道防线”

（一）英国风险管理协会的“三道防线“第三道防线给予风险管理程序控制；给予正确评估风险的控制；评估风险管理程序；评估关键风险的报告；审查关键风险管理。六、风险管理组织体系的“三道防线”（二）国际内部审计师协会的“三道防线”第一道防线是管理控制、内部控制措施，功能是拥有和管理风险和控制；第二道防线是财务控制、安全、风险管理、质量、检查、承诺，监控风险和控制，以支持管理；第三道防线是内部审计部门，就风险和控制管理的有效性(内部审计)向董事会和高级管理层提供独立保证。高级管理人员理事机构/董事会/审计委员会第三道防线管理控制第一道防线第二道防线内部控制措施财务控制安全风险管理质量检查承诺内部审计外部审计监管机构国际内部审计师协会的“三道防线”六、风险管理组织体系的“三道防线”（三）COSO的“三道防线”第一道防线为核心业务，是管理层为了实现战略及经营目标，开展绩效和风险管理日常工作第二道防线为支持性职能（也称为业务辅助职能），包括负责监管绩效及企业风险管理的管理层及其他人员。第三道防线为保证职能，常由内部审计者负责，通常通过对企业风险管理实践的审计或检查、识别问题及改进机会、提出建议并使董事会及管理层时刻关注需解决的问题来履行最后一层职能。第四节风险管理信息系统企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试;能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。第五节内部控制系统一、1992年COSO关于内部控制的定义与框架二、2013年修订后的COSO内部控制框架三、我国内部控制规范体系一、1992年COSO关于内部控制的定义与框架内部控制:“由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。控制环境：决定了企业的基调,直接影响企业员工的控制意识。风险评估：每个企业都面临诸多来自内部和外部的有待评估的风险。控制活动：控制活动指那些有助于管理层决策顺利实施的政策和程序。信息和沟通：公允信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。监督：内部控制系统需要被监督,即对该系统有效性进行评估。一、1992年COSO关于内部控制的定义与框架COSO(1992)对内部控制五要素的概述是:内部控制是一个实现目标的程序及方法,其本身并非目标;内部控制只提供合理保证,而非绝对保证。内部控制要由企业各级人员实施与配合。COSO(1992)在全球有广泛的影响力。当时我国财政部、证监会、审计署、银监会、保监会(简称五部委)出台的有关内部控制规范和指引是基于它编制的。一、1992年COSO关于内部控制的定义与框架COSO(1992)强调:二、2013年修订后的COSO内部控制框架2013年版与1992年版相比,以下内容没有发生变化:内部控制的定义、内部控制五要素、评估内控体系有效性的标准等。强化公司治理的理念(旨在反映目前商业和运营环境的变化)。原则导向(基于原有COSO五要素提出了17条核心原则)扩大了报告目标的范畴(包括财务和非财务报告在内的内部报告)。强调管理层的判断。企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用。二、2013年修订后的COSO内部控制框架2013年版与1992年版相比发生变化的是:2