风险管理培训资料

1、风险管理基础知识分享,目 录,全面风险管理与内部控制监管的发展历程, 美国蓝丝带委员会改善企业审计委员会有效性的报告 经济合作与发展组织公司治理原则 世界银行公司治理：实施的框架 英格兰及威尔斯特许会计师公会内部控制：综合守则董事会指引, 美国国会 萨班斯 奥克斯利法案, 香港交易所 企业管治常规守则 经济合作与发展组织对公司治理原则进行修订, 国资委中央企业财务内部控制工作指引 深交所中小企业板上市公司内部审计工作指引, 国资委中央企业全面风险管理指引 深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引, 英国财务报告委员会企业管治综合守则, 五部委联合发布企业内部控制基

2、本规范及三个指引（征求意见稿）, 美国证监会审计委员会披露原则,外部驱动因素,合规压力 出现新的经营风险 股东或投资者对风险和控制关注程度的提高 股东要求更强的可问责性 宏观经济及政治因素存在更大程度的不确定性 金融市场的波动,引起风险与控制变革的主要因素,高级管理层及董事会关注程度的提高 对成本削减和效率的关注 市场扩展 经营区域的扩展 出现新的经营风险 组织内部逐渐强化的风险文化,内部驱动因素,几个基本概念,企业目标： 可量化，可衡量，可以实现的业务目标,风险： 企业面临的风险是由内部或外部因素引起的，对企业的现实目标或潜在目标造成影响的一系列不确定事件,内部控制措施： 通过系统的管理程序

3、或活动确保风险应对策略的有效实施，减少不确定性的影响,风险应对策略： 企业根据自身条件和风险偏好、风险承受度，选择风险承担、规避、转移、转换、对冲、补偿、控制等适合的风险管理总体策略,目标： 确保海外公司编制的财务报表符合当地准则规定，且能够满足合并要求,“风险”具有发生可能性和影响程度两个基本属性。通过有效的控制手段，可以降低发生的可能性或一旦发生后的严重程度，从而总体上降低风险。,没影响 较小 普通 较大 极大,经常 可能 普通 较小 极小,固有风险 剩余风险,发生的可能性,影响的严重性,高,低,图示:,极高,中,会计系统设置不符合当地准则,会计人员不熟悉当地准则,子公司报表存在错误,风险

4、,风险,风险,风险的属性,那么，内部控制是什么？,COSO (The Committee of Sponsoring Organizations of the Treadway Commission，即美国反对虚假财务报告委员会的发起组织委员会) 把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。 基本概念包括： 内部控制是一种过程； 内部控制的有效运作受人影响； 内部控制只能为企业提供合理保证； 内部控制的设计旨在达成企业之目标。 COSO的网址: ,1,协助企

5、业实现目标,为什么要实施内部控制？,2,与目标相关的内外部风险,内部控制的对象是什么？,3,企业全体员工,由谁来实施内部控制？,内部控制是什么,所有五大元素必须同时发挥作用，才能让内部控制有效地运作,控制活动 确保落实管理层的政策 / 流程 措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离,监控 评估内部控制系统 整合及时独立的评估 管理层和监控机构的工作 内部审计,信息和沟通 定期获取、确定并交流相关的信息 评审内部和外部获取的信息 信息流：职责指导 管理层的总结 成功的措施,控制环境 管理哲学和经营风格 因素包括正直、道德价值、能力、权威和责任 董事会和审计委员会 人力资源政策

6、和实务 是其它内部控制组成部分的基础,风险评估 风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作,9,COSO内部控制框架,COSO内部控制整合框架,COSO企业风险管理整合框架,弥补缺口,COSO框架的演化,2004年9月，COSO发布了全面风险管理综合框架报告。报告指出，全面风险管理是由董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的一个过程，旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内。,从两者的发展关系来看,从两者的包含关系来看,风险管理理论是在内部控制理论基础上的发展和延伸 但风险管理框架并非替代内部控制框架，而

7、是包含了内部控制框架的精髓，在内部控制的有关概念上，两者都保持了一致和连贯,风险管理框架更为广泛，包含了内部控制的内容 但内部控制框架中也包含了风险评估的内容,内部控制与风险管理的关系,风险管理流程,目 录,第一步：风险识别，考虑： 现有风险管理文档 现有的风险评估结果 行业风险,第三步：确定可能性，考虑： 风险评估范围 控制环境的有效性 职业判断和历史经验,第二步：确认风险类别，包括： 风险分类定义 风险层级架构 风险目录及组合,第四步：确定严重性，考虑： 与第三步一样的内容 多个风险发生的可能性，而不只是考虑最坏情景 普通风险评估以外的风险,第五步：固有风险排序及应对，包括： 确定关键固有

8、风险排序 确定风险应对授权及方式方法 确定风险应对报告及负责人,第六步：风险应对有效性评估，包括： 固有关键风险应对措施有效性评估,第七步：剩余风险评级排序与进一步应对，包括： 确认剩余风险评级并进行排序； 对超出公司承受范围的剩余风险采取进一步的应对措施,风险评估方法论,第八步：持续监控风险，包括： 持续监控风险确保风险处于公司可接受的范围内,评估剩余风险 固有风险 控制有效性 调整因素,评估固有风险,风险发生可能性 历史数据库 违约概率 损失事件发生频率 ,风险影响程度 风险偏好和风险容忍度 声誉和品牌 财务报告的准确性 对业务的影响 管理层投入精力 ,评估控制有效性,COSO内部控制框架

9、 内部控制自我评估 以前年度内部审计结果 审计项目报告 ,风险评估,固有风险 控制有效性 = 剩余风险,风险评估流程 固有风险评级,固有风险评级可以用固有风险矩阵描述 举例： 假设该风险具有高固有风险可能性和低固有风险影响程度，固有风险评级应为：高风险。,IR,风险评估流程控制有效性评级,控制有效性可以用控制有效性矩阵描述 举例： 假设对该风险的控制有很强的设计和强的实施有效性，控制有效性评级应为：很有效。,C,风险评估流程剩余风险评级,剩余风险可以用剩余风险矩阵描述 举例： 例如，风险的固有评级为高，控制有效性评级为很有效，得到风险的剩余风险评级为低。,RR,风险评估结果的应用,剩余风险为低的风险,剩余风险属于中的风险,剩余风险属于高的风险,剩余风险属于极大的风险,检查是否存在过度控制的情况，是否减少不必要的 控制能够节约成本；属于可以进行控制优化的领域。,特别关注和持续监控执行有效性，控制一旦未被有效执行， 可能出现剩余风险向高风险转化,关注能否提高控制设计、执行有效性， 并考虑必要的控制成本； 以及采取其他应对措施如再保险、外包的可能性,应立即考虑适当的应对方案