企业风险管理框架董中超.ppt

企业风险管理框架,董中超,郑州航空工业管理学院,2,序言,1.目的： 提供原则、术语和实务操作指南 提供统一的基础，交流平台（达成共识） 无意取代1992年的报告（94年修订），包含了1992年的报告及更为宽泛的目标,郑州航空工业管理学院,3,内容摘要,主体实现价值不确定性 ERM包括： 协调风险偏好（risk appetite）与战略 增进风险应对决策 抑减经营意外和损失 识别和管理多重的和贯穿于企业的风险 抓住机会 改善资本调配,郑州航空工业管理学院,4,内容摘要,事项风险与机会 ERM的定义 企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。,郑州航空工业管理学院,5,内容摘要,目标 战略（strategic）目标 高层次目标，与使命相关联并支撑其使命； 经营（operations）目标有效和高效率地利用其资源； 报告（reporting）目标报告的可靠性； 合规（compliance）目标符合适用的法律和法规。,郑州航空工业管理学院,6,内容摘要,要素 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控,郑州航空工业管理学院,7,内容摘要,目标与构成要素之间的关系,郑州航空工业管理学院,8,内容摘要,有效性 如果确定企业风险管理在所有四类目标上都是有效的，就可以合理保证 八个构成要素在每个主体中的运行并不是千篇一律的,郑州航空工业管理学院,9,内容摘要,局 限 决策 成本效益 串通 管理当局超越ERM,郑州航空工业管理学院,10,内容摘要,涵盖内部控制 企业风险管理框架涵盖了内部控制 内部控制的定义和框架依然有效,郑州航空工业管理学院,11,内容摘要,职能与责任 CEO负有首要责任 其他管理人员 风险官、财务官、内部审计师 其他人员 董事会 很多外部方面,郑州航空工业管理学院,12,内容摘要,本报告的结构 第一卷 “内容摘要” “基本框架” 第二卷 应用技术,郑州航空工业管理学院,13,内容摘要,本报告的使用 董事会讨论ERM现状，提供必要监督 高层管理当局本项研究建议首席执行官评估组织的企业风险管理能力 主体中的其他人员管理人员和其他人员应该考虑如何根据本框架去履行他们的职责 监管者本框架能增进有关企业风险管理的共识，包括它能干什么，以及它的局限 专业组织为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织应该对照本框架去考虑它们的准则和指南。 教育机构本框架可以作为学术研究和分析的对象，以便探讨在哪些方面还能作进一步的改进,郑州航空工业管理学院,14,一、定义,1.目的 达成共识、整合共识、提供起点 2.不确定性与价值 主体实现价值不确定性 不确定因素：全球化、技术、重组、变化中的市场、竞争和管制 价值最大化：目标和风险的平衡及有效的配置资源,郑州航空工业管理学院,15,一、定义,ERM包括： 增进风险应对决策 抑减经营意外和损失 识别和管理贯穿于企业的风险 提供对多重风险的整体应对 抓住机会 改善资本调配,郑州航空工业管理学院,16,一、定义,2.事项风险与机会 事项是源于内部或外部的影响目标实现的或事件。 风险 带有负面影响的事项可能源于看似正面的情况 机会,郑州航空工业管理学院,17,一、定义,3.企业风险管理的定义 企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体的实现提供合理保证。,郑州航空工业管理学院,18,一、定义,A.过程 非静止、嵌入业务流程，非独立 B.由人员实施 由人实施 影响人的行为 C.应用于战略制定 考虑愿景和风险 D.应用贯穿于企业 贯穿各个部门、层级 组合的观念,郑州航空工业管理学院,19,一、定义,E.风险偏好（Risk Appetite ） 追求价值的过程中所愿意承受的的风险 它反映了主体的风险管理理念，进而影响主体的文化和经营风格 与战略相关 衡量：定性，定量 对资源调配的影响 风险容忍度（Risk tolerances ）：与目标相关,郑州航空工业管理学院,20,一、定义,F.合理保证 G.目标的实现 目标的多样性 四个目标 H.构成要素 八个要素 要素的相互、交叉影响 ERM的不同方式,郑州航空工业管理学院,21,一、定义,I.目标与要素的关系（前已述及，略） J.有效性（前已述及，略） K.ERM与管理过程的关系,郑州航空工业管理学院,22,二、控制环境,是基础，影响其它要素 受到主体的历史和文化的影响 1.风险管理理念 风险管理理念反映了主体的价值观 当风险管理理念被很好地确立和理解、并且为员工所信奉时，主体就能有效地识别和管理风险 日常行动,郑州航空工业管理学院,23,二、控制环境,2.风险偏好 主体在追求价值的过程中所愿意承担的广泛意义上风险的数量 与战略结合，定量、定性 3.董事会 对ERM影响重大 要求及人员构成 4.诚信与道德价值观 道德是有价值的 树立道德价值观的困难 影响道德的因素：短期、忽视 形式,郑州航空工业管理学院,24,二、控制环境,5.胜任能力 能力与成本的平衡 确定所需能力 6.组织结构 符合实际 7.权力和职责的分配 鼓励自主解决问题的限度 理解主体目标 8.人力资源标准（用人标准） 传递了管理层的期望 培训和惩戒,郑州航空工业管理学院,25,二、控制环境,9.影响 一个主体内部环境的重要性和它对企业风险管理的其他构成要素所能产生的正面或负面影响，怎么强调都不过分。 某能源公司有着有效的企业风险管理，因为它有强有力而受人尊敬的高层管理者、声望卓著的董事会、富有创新意识的战略、设计良好的信息系统和控制活动、描述和控制职能的广泛的政策手册，以及全面的调整和监督途径。但是，它的内部环境却有重大缺陷。管理当局参与了十分可疑的经营业务，而董事会却视而不见,郑州航空工业管理学院,26,实务中的考虑-形式和技术,1. 形式：出版物、网络、标牌、以身示范（案例汇编） 2.提供电子文本的格式的规范 3.确认全体员工收到了信息 4.集中培训和学习 5.在完成工作的过程中自动参考使用的规范和指南 6.对员工必要行为的自动提醒 7.如果未及时采取措施，通知职工的直接主管和更高级主管 8.获取遵循证明的方法 9.各项活动的审计痕迹 10.通俗易懂，喜闻乐见,郑州航空工业管理学院,27,例.评价组织内目前内部环境的表格（问卷）,郑州航空工业管理学院,28,三、目标设定,在管理当局识别和评估实现目标的风险并采取行动来管理风险之前，首先必须有目标 1.战略目标 2.相关目标 战略目标的分解 考虑过去 了解和计量 3.相关目标的类别 受经营性质、经营风格的影响 经营目标：为引导所配置的资源提供了一个焦点 报告目标 合规目标 次级分类 目标的交叉 4.目标的实现,郑州航空工业管理学院,29,例.愿景、各级目标的关系,愿景：成为该地区最主要的、最值得信赖的家庭金融服务提供者，从而为我们经营所在社区做出贡献 战略目标：保持15%的资本收益率；3年内通过扩展50%的分支机构网络从而增长30%的客户数量 战略：在符合目标人口统计特征的区域租赁房产；保持分支机构目前的成本结构,郑州航空工业管理学院,30,例.愿景、各级目标的关系-续,财产单位目标： 与一家有资格的房地产公司发展外购关系，根据资产组合所需要的增长确定和取得适当的租赁 在下一年开15个新分支机构 保持租赁成本为每平方英尺平均*元 另外招聘两个内部资产经理 人力资源目标： 客户服务员工的年度流动率在10%以下 在下一年招聘和培训100个客户服务员工 为即将到来的与工会有关新雇员待遇问题的谈判确定谈判立场和计划 ,郑州航空工业管理学院,31,三、目标设定,5.风险偏好（Risk Appetite）和风险容忍度（Risk Tolerances） 风险偏好反映在主体的战略之中，进而指导资源配置 风险容忍度相对于目标的实现而言所能接受的偏离程度 一家公司的目标是98%按时送达，可接受的时间偏离范围是97%100%；它的培训目标是90%的通过率，可接受的成绩是至少75%；它希望员工在24 小时之内答复所有的客户投诉，但是接受最多25%的投诉可以在2436 小时内得到答复。,郑州航空工业管理学院,32,三、目标设定,有效的企业风险管理并不是指明管理当局应该选择什么目标，而是管理当局应当制订程序来使战略目标与主体的使命相协调，并且确保所选择的战略和相关的目标与主体的风险容量相一致。,使命：在我们经营的区域成为高级家用产品的主要生产者,战略目标：占据所生产产品零售市场的25% 计量方法：市场份额,战略：扩大销售前五位的产品生产以满足增长需求,相关目标 下年度单元X的生产增加15% 计量方法：生产单元 雇佣180名合格的新员工 计量方法：职工人数 维持产品质量4.0 计量方法：用衡量质量,风险偏好 接受公司将消耗大量的资本投资于新的资产、人力和流程； 接受当我们增加市场份额时，竞争加剧而导致的边际利润减少； 不能接受对产品质量的侵蚀。,计量方法 市场份额 产品数量 增加职工数 质量指标,目标 25% 150000单位 180人 4.0,风险容忍度 20%-30% -7500/+10000 -15/+20 4.04.5,使命、目标、风险偏好、风险容忍度的关系,郑州航空工业管理学院,34,四、事项识别,1.事项 事项是源于内部或外部的影响战略实施或目标实现的事故或事件 正面、负面；明显的、隐晦的 2.影响因素 外部经济、自然、政治、社会、技术 内部组织结构、人员、流程、技术 3.事项识别技术 事项目录 内部分析会议 扩大或底限触发器 推进式研讨与访谈 过程流动分析 首要事项触发器 损失事项数据方法,郑州航空工业管理学院,35,例.事项风险识别技术,A.风险事项目录/清单 管理当局使用一个特定行业或职能领域所共有的潜在风险事项清单，由组织内的人员编制，或来自外部。,郑州航空工业管理学院,36,公司可能面对的风险,业务风险 错误的业务策略 价格市场占有率受到的竞争压力 全球区域经济问题 行业衰退 政治风险 不利的政府政策 忽视策略及实施方面的信息科技层面 技术过时 替代产品 成为收购目标 无法获取更多资本 不利的收购 改革及再造的步伐过慢 响应市场及客户需求过慢,财务风险 市场风险 信贷风险 利息风险 货币风险 金融风险 流动资金风险 过度交易 高昂的资本成本 财务资源不当使用 持续经营问题 出现对业务敏感的欺诈 有关公布失实财务数据的风险 会计系统故障 不可靠的会计记录 未记录的负债 信息科技系统受黑客入侵及攻击 根据不完整或错误资料作出决定 资料太多但分析不足 向投资者作出无法履行的承诺保证,合规风险 违反上市规则 违反财务法规 违反公司条例规定 违反竞争法规 违反其它规例及法律 诉讼风险 税务问题 健康及安全风险 环境问题 营运及其它风险 缺乏效率效益的管理程序 业务程序未能配合客户市场需求及策略性目标 丧失企业家精神 错失或忽视商机 其它商业诚信问题 导致影响信誉的其它问题 品牌管理欠佳 主要改革计划失败 无法实施改革 原料缺货 缺乏技巧,营运及其它风险-续 自然灾害（例如火灾及爆炸） 计算机病毒或其它系统故障 未能创造及利用无形资产 损失无形资产 损失有形资产 损失要员 损失主要合约 缺乏订单 业务无法持续 继任问题 无法降低成本基础 过度依赖主要供货商或客户 主要客户施加严苛的合约责任 新产品或服务不合格 未能满足客户 服务水平欠佳 质量问题 产品责任 主要项目失败 与科技有关的大型项目失败 外包供货商未能交货 雇员缺乏动力或效率 工业行动 发展中国家剥削雇员所引起的问题 文件的处理缺乏效率效益 违反保密原则,郑州航空工业管理学院,38,四、事项识别,B.推进式研讨 如果风险事项与公司的战略、业务单元或过程目标有关，需要把交叉职能的或多层级的人聚集在一起，利用团队的集体知识开发一个风险事项清单。,郑州航空工业管理学院,39,例.推进式研讨概要,在研讨之前 确定有经验的推进者来领导会议、管理团队动态以及计划如何以可行的形式最好地抓住产生的想法 在研讨开始时制定基本规则并就其达成一致意见 识别不同参与者的风格和人格类型，考虑如何优化他们的作用 确定要关注的目标、目标类别和事项类别 邀请适当数量的研讨参与者，一般限于15人或更少 关于研讨会要实现的目标，预先设定实际的期望,郑州航空工业管理学院,40,议程 1.介绍 解释研讨会的背景和邀请每个参与者的原因 说明基本规则 2.说明研讨会程序 根据每一业务计划的公司目标要考虑的事项 对每个目标来说，推进者要鼓励对下列因素引发的事项及其影响进行讨论： 外部 内部 经济因素 基础结构 自然环境 人员 政治因素 流程 社会因素 技术 科技因素 描述如何、何时使用投票工具和口头意见 解释如何记录观点和结论,例.推进式研讨概要-续,郑州航空工业管理学院,41,3.探讨目标 识别目标、它的计量单位及已设定的目标 就可控风险程度取得一致意见 讨论与目标相关的潜在风险事项（内部因素和外部因素） 确定哪些事项代表目标实现的风险，哪些代表机会 考虑影响这个目标的多重风险之间的联系 4.随后的步骤和结束 48小时之内把研讨结果和随后步骤的行动计划分发给所有参会者,例.推进式研讨概要-续,郑州航空工业管理学院,42,四、事项识别,C.访谈 以一对一或二对一的方式（配有一人记录），目的是查明访谈对象对过去实际发生事项和未来潜在事项的公正观点和认识。,郑州航空工业管理学院,43,例.访谈程序,访谈程序 1.介绍 2.提供有关项目和访谈过程的背景 3.确认该人的职位、背景和当前的职责 4.确认他们收到并阅读了预先提供的所有背景材料 战略和目标 1.识别被访问者所在的业务单元或公司部门内的主要目标 2.确定这些目标如何与主体的战略和目标一致并支持主体的战略目标 3.为每个目标及相关已设定的目标确定计量单位 4.确定已设立的风险承受程度 5.讨论与目标有关的潜在事项 6.识别给目标带来风险的潜在事项和代表机会的潜在事项 7.在考虑可能性和影响的基础上，考虑被访问者如何区分这些事项的优先次序 8.识别在过去12个月里已经发生的、对主体产生了影响、但没有被管理当局和员工识别出的事项 9.考虑风险识别机制是否需要提高,郑州航空工业管理学院,44,四、事项识别,D.调查问卷和调查 提出别调查者要考虑的一系列问题，把他们的思维集中在已经引起或可能引起风险事项的内部或外部因素上。可以是自由回答或限定回答。 调查的对象可以是组织内或外部人员。,郑州航空工业管理学院,45,例.调查问卷,公司要求采购部门的员工在接受一个新的供应商前完成一份调查问卷。该调查问卷要求员工考虑一些列问题，调查潜在供应商的： 质量过程 风险管理过程 保险范围 限制性规定 在考虑这些问题时，员工要识别公司在与该供应商进行交易的情况下会面临的如下风险： 供应商交货不稳定的历史造成了供应链断裂的风险 供应商不能证明存在适当的质量标准：提供的原材料不能满足公司质量要求而导致产品问题、失去客户和声誉损失 供应商对产品缺陷有不适当的保险范围：公司将不能挽回相关的损失 供应商的限制性条件要求与公司签订两年的买卖契约：消费者需求变化和相关经济损失的风险,郑州航空工业管理学院,46,四、事项识别,E.流程分析 流程分析主要包括对一个流程的图示，目的是更好的了解其构件输入、任务、输出和职责的相互关系。一旦绘制了流程图，就能参照流程目标识别和考虑风险事项。 可以从高层视角使用，也可以从业务层面来使用。,例.流程分析,任务 1.员工用日期印戳给支票盖上印记 2.支票记入支票登记簿 3.员工存入支票 4.汇款单和支票登记簿传递给应收账款员 5.应收账款员把支票记入应收账款分类账 6.过账报告与存款单核对,可能事项,支票在送往银行途中丢失 支票存入和错误的银行账户 银行记录了错误的金额 盖有印记的存单丢失,员工没有记录支票详细情况 员工记录了错误的支票详细情况 员工私吞了支票,支票记入了错误的账户 在客户明细账中记录的错误的金额 应收账款员未把支票入账,汇款单或支票登记簿忘记放在何处或丢失,细节不相符,员工没有给支票盖上印戳,郑州航空工业管理学院,49,四、事项识别,F.首要风险事项指标和扩大触发器 前者是提供对潜在风险事项（如燃料价格、投资者账户成交量、上网流量等）的了解的定性或定量方法。 后者特别集中关注日常经营，并且当超过一个预先设定底限时，在例外基础上进行报告。,郑州航空工业管理学院,50,四、事项识别,4.事项的相互依赖性 5.事项类别 按内部因素和外部因素 按不同的主体 按业务 6.识别风险与机会,郑州航空工业管理学院,51,五、风险评估,1.风险评估的背景 整体的观念 考虑非预期 持续性 2.固有风险和剩余风险 3.估计可能性和影响 定性和定量 时间范围 计量单位 4.数据来源 过去的可观察数据 内部和外部 5.风险评估的主观性 肯定的利得240 美元，或者25%的机会获利1000 美元和75%的机会一无所获 肯定的损失750 美元，或者75%的机会损失1000 美元和25%的机会不受损失,郑州航空工业管理学院,52,五、风险评估,6.评估技术（见后举例） 7.事项之间的联系,定性技术-例.计算机运行风险排序,郑州航空工业管理学院,54,定性技术-例.其它风险排序格式,郑州航空工业管理学院,55,风险衡量定量技术,概率技术 VaR(风险价值） 风险现金流量 风险收益 损失事项评估 事后检验 非概率技术 敏感性分析 情景分析 压力测试 设定基准,郑州航空工业管理学院,56,例.描绘风险评估,1.热图,郑州航空工业管理学院,57,例.描绘风险评估-续,2.风险地图,郑州航空工业管理学院,58,六、风险应对,1.风险应对的类型： 回避（avoidance）退出会产生风险的活动 降低（reduction）采取措施降低风险的可能性或影响，或者同时降低两者 分担（sharing）通过转移来降低风险的可能性或影响，或者分担一部分风险。常见的技术包括购买保险产品、从事避险交易（hedging transactions）或外包一项业务活动。 承受（acceptance）不采取任何措施去干预风险的可能性或影响 需考虑的因素 潜在应对对风险的可能性和影响的效果 成本与效益；（衡量） 除了应付具体的风险之外，实现主体目标可能的机会。,郑州航空工业管理学院,59,六、风险应对,2.选定的应对 制定控制措施保证应对方案的有效 剩余风险的考虑 组合观,郑州航空工业管理学院,60,七.控制活动,1.控制活动 是帮助确保管理当局的风险应对得以实施的政策和程序 控制活动与目标的相关性 控制活动与风险应对的关系 建立于管理过程,郑州航空工业管理学院,61,七.控制活动,2.控制活动的类型 不同的分类方法 通用 高层复核复核是指相对于预算，预测，前期和竞争对手的实际业绩情况。 职能指导或业务管理职能或业务部门的经理们复核业绩报告。 信息处理这类控制被用于核对交易的准确性、完整性和遵循性。 实物控制设备、存货、证券、现金及其他资产实物应得到保护，并定期进行盘点和帐实核对。 业绩指标将不同类的数据（经营或财务的）联系起来，连同关联性分析、调查和改进行为，构成了这一控制活动。如采购价格差异，紧急订货的比重，以及退货占总订货的比重等。 职责分离,郑州航空工业管理学院,62,七.控制活动,3.政策和程序 形式 执行,郑州航空工业管理学院,63,七.控制活动,4. 信息系统的控制 （1）一般性控制 信息技术管理一个指导委员会提供对信息技术活动和改进行动的监督、监控和报告。 信息技术基础结构将控制应用于系统的办公室、获取、安装、配置、整合和维护。 安全管理类似安全密码等逻辑进入控制限制进入网络、数据库和应用层。 软件获取、开发和维护如源代码控制，软件开发者隔离，对系统变更的控制等等,郑州航空工业管理学院,64,七.控制活动,（2）应用性控制 应用控制直接关注数据获取和处理的完整性、准确性、授权和有效性。目的是防止错误进入系统，以及在错误发生时予以察觉和矫正 平衡控制活动通过将人工或自动输入的数据调整为一个控制总和来侦查数据获取错误。 核对数位通过计算来验证数据。一家公司的部分数据包含了一个核对数位，以便侦查和矫正来自供应不准确的订单。 预告确定数据清单向使用者提供预告确定的可接受数据清单。 数据合理性测试将所获取的数据与现有的或学到的合理性模式相比较。如对异常大额订单或数据的自动提示。 逻辑测试包括对范围限度或价值或混合符号测试的运用。一家政府机构通过检查所有输入的数据是否包含9 位数字，来侦查社会保障数据的潜在错误。,郑州航空工业管理学院,65,七.控制活动,5.主体的特殊性,郑州航空工业管理学院,66,八、信息与沟通,有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通,郑州航空工业管理学院,67,八、信息与沟通,1.信息 信息与目标 信息的来源 2.信息系统 形式 适应变化 与战略整合 与经营相结合,郑州航空工业管理学院,68,八、信息与沟通,3.信息的深度和及时性 需要与主体的内部和外部环境的变动程度保持一致 加工与处理 4.信息质量 内容是否恰当信息是否处于正确的详细程度？ 信息是否及时需要时是否有信息？ 信息是不是当前的是不是最新可利用的信息？ 信息是否准确数据是否正确？ 信息