风险管理标准_风险管理体系.ppt

,风险管理标准国家注册质量管理体系高级审核员；国家注册环境管理体系高级审核员；国家注册职业健康安全管理体系高级审核员;,3,课程主要内容,风险管理知识介绍；风险管理术语国内外主要风险管理法规及标准：中央企业全面风险管理指引；风险管理原则与实施指南（GB-T24353-2009）；风险管理体系、建立与实施风险管理体系与其他体系的关系,4,Part1,第一部分风险管理知识介绍,5,风险管理的起源,风险管理是一门新兴学科，但发展很快，己成为一种国际性的运动，受到了世界各国经济界的重视，在企业管理中得到了广泛而迅速地运用。虽然风险管理思想的萌芽可以追溯到远古时代原始人类的生存活动，但是，作为系统的科学，风险管理则产生于上世纪初的西方工业化国家。风险管理起源于德国。第一次世界大战之后，战败的德国发生了严重的通货膨胀，造成经济衰竭，提出了包括风险管理在内的企业经营管理问题。,6,风险管理的起源,美国1929-1933年经济危机，使风险管理问题成为许多经济学家研究的重点：1931年，由美国管理协会保险部首先提出风险管理概念；1932年成立纽约保险经纪人协会，该协会的成立标志着风险管理学科的兴起。50年代：风险管理问题真正在美国工商企业中引起足够的重视并得到推广（2起事故）：美国通用汽车公司的自动变速器装置引发火灾，造成巨额经济损失；美国钢铁行业因团体人身保险福利问题及退休金问题诱发长达半年的工人罢工，给国民经济带来难以估量的损失。,7,风险管理的起源,1963年，美国出版的保险手册刊载了企业的风险管理一文，引起欧洲各国的普遍重视。风险管理也成了企业管理科学中一门独立学科。风险管理已成为一门跨越自然科学和社会科学的边缘学科。它不仅同地质学、生态学、气象学相关，而且与系统工程学、行为科学有密切的联系，是一种包含多类学科的综合经济管理。,8,企业的风险,国外统计资料表明：在正常年份宣布破产的企业数量约占企业总数的1%。日本学术振兴会特别研究员清水刚通过研究发现，1896年到1982年的10次总资产排名前100家的上市公司中，企业平均寿命为25年。1983年壳牌石油公司的一项调查发现，1970年名列财富杂志500家大企业排行榜的公司，有13已经销声匿迹。许多研究表明，在企业的演进和发展历史中，企业的平均寿命很低，死亡率很高。但是，与此同时，也有一些百年以上长寿公司，甚至还有存续二、三百年的企业。,9,风险类别,政治法规风险；经济风险（利率、汇率的变化）；商业风险（如合同关系发生变更）；决策风险；生产经营风险；科技技术风险；管理风险；,质量风险；环境风险；财务风险、审计风险；安全生产事故风险；自然灾害；公共责任风险；保安其他：党风廉政风险,10,企业风险因素,市场风险,外汇风险,体制风险,自然灾害风险,政策风险,外交风险,产品风险,经营风险,人事风险,购并风险,11,国内外主要风险管理标准,我国风险管理国家标准风险管理术语、风险管理原则与实施指南、供应链风险管理指南、公司治理风险管理指南；ISO31000，;ISO/IECGUIDE73:2002,AS/NZS4360：2004,；COSO,;Sarbanes-OxleyAct;AIRMIC,ALARM,IRM,中央企业全面风险管理指引，2006.6.6,12,风险管理术语和定义,风险risk某一特定危害性事件发生的概率和其后果的组合。,事件event特定情况的发生。注1：事件可能是确定的，也可能是不确定的；注2：事件可能是单一的，也可能是系列的。,13,风险管理术语和定义,风险管理riskmanagement指导和控制某一组织的风险问题的协调活动。通俗的定义：风险管理是指经济单位对风险进行识别、衡量、分析，并在此基础上有效地处置风险，以最低成本实现最大安全保障的科学管理方法。,概率probability某一事件发生的可能程度。后果consequence某一事件的结果。,14,风险管理术语和定义,风险管理体系riskmanagementsystem组织管理体系中与管理风险有关的要素集合。注1：管理体系要素可以包括战略规划，决策以及处理风险的其它过程。注2：组织的文化体现在风险管理体系中。风险辨识riskidentification发现、列举和描述风险要素的过程。,15,风险管理术语和定义,风险分析riskanalysis系统地运用现有的信息来确定某一事件发生的可能性和后果。风险评价riskevaluation将估计后的风险与给定的风险准则对比，来决定风险严重性的过程。风险处理risktreatment选择及实施风险措施的过程。注1：术语“风险处理”有时指应对措施本身。注2：风险处理措施包括规避、优化、转移或保留风险。,16,风险管理术语和定义,风险评估riskassessment包括风险识别、风险分析和风险评价在内的全部过程。风险降低riskreduction减少风险的消极后果，降低其发生概率或二者兼有的行为。风险规避riskavoidance决定不陷入风险，或者从风险状态中撤离的行为。注：这个决定可能是以风险评价的结果为依据的。,17,风险管理术语和定义,风险转移risktransfer与其它组织共同承担风险损失，共享风险收益的行为。注1：法律法规可能对某一特定风险的转移进行限制、禁止或强制执行。注2：风险转移可以通过保险或其它协议来实施。注3：风险转移可能会引发新的风险也可能会改变现有的风险。注4：重新安排风险来源不属于风险转移。风险自留riskretention接受某一特定风险带来的损失或收益。残余风险residualrisk风险处理后剩余的风险。,18,Part2,第二部分国内风险管理法规与标准介绍,1.中央企业全面风险管理指引2006.6,20,第一章总则,企业风险：指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；企业风险也可分为：纯粹风险、机会风险,21,全面风险管理的定义,企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,22,风险管理基本流程,收集风险管理初始信息；进行风险评估；制定风险管理策略；提出和实施风险管理解决方案；风险管理的监督与改进。,23,内部控制系统,指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。,24,第二章风险管理初始信息,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测：战略风险；财务风险；市场风险；运营风险；法律风险。,25,第三章风险评估,企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估；风险评估包括风险辨识、风险分析、风险评价三个步骤；进行风险辨识、分析、评价，应将定性与定量方法相结合；风险评估可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施；,26,中央企业全面风险管理指引,CHAP4风险管理策略;CHAP5风险管理解决方案:外包方案、内控方案CHAP6风险管理的监督与改进企业风险管理职能部门定期进行检查和检验;企业内部审计部门应至少每年一次对各有关部门和业务单位进行监督评价;企业可聘请中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。,27,第七章风险管理组织体系,企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。具备条件的企业，董事会可下设风险管理委员会企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。*参考：公司治理风险管理指南（国家标准）,28,中央企业全面风险管理指引,CHAP8风险管理信息系统CHAP9风险管理文化CHAP10附则附录：风险管理常用技术方法简介,2.风险管理原则与实施指南（GB-T24353-2009）,30,国家标准概况,标准号：GB/T24353-20092009.9.30发布，12月1日实施；是风险管理系列标准中的指导性标准；标准的编制参考了ISO/DIS31000风险管理原则与实施指南；适用范围：各种类型和规模的组织，适用于组织的生命周期及其各阶段，也适用于组织的各种活动，包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作好决策等有关的各项活动。,31,风险管理原则,控制损失，创造价值；融入组织管理过程；支持决策过程（组织所有决策都应该考虑风险和风险管理）；应用系统的、结构化的方法；以信息为基础；环境依赖；广泛参与、充分沟通；持续改进,32,33,建立环境,建立外部环境外部环境是组织寻求实现其目标时所处的外界环境。外部环境以组织整体环境为基础，包括法律和监管要求、利益相关者的认知和与具体风险管理过程相关的其他风险方面的细节。外部环境可包括：-国际的、国内的、地区的、或当地的文化、政治、法律、法规、金融、技术、经济、自然环境和竞争环境；-影响到组织目标的关键推动因素和趋势；-外部利益相关者的认知和价值观。,34,建立环境,建立内部环境内部环境是组织寻求实现其目标所处的内在环境。组织有必要从以下方面了解内部环境：-在资源和知识方面的能力；-信息系统、信息流和决策过程；-内部利益相关者；-方针、目标、以及现有的实现目标的策略；-认知、价值观和文化；-组织采用的标准和参考模型；-结构（例如治理结构、任务和责任）。,35,建立环境,建立风险管理过程环境-确定应当执行的风险管理活动的范围、深度和广度，明确具体包含和不含的内容；-确定活动、过程、职能、项目、产品、服务或资产等的时间、地点、目标及目的；制定用于评定风险重要程度的准则-该准则应反映组织的价值观、目标和资源。-一些准则是法律和法规要求或其它的组织需要遵循的要求。,36,风险辨识,组织应当辨识风险源、影响范围、事件；辨识的范围视组织拟确立的风险管理范围而定；组织应根据拟定的风险管理范围、风险性质、所处的行业特点等选择适宜的辨识风险的方法；风险辨识的方法：专家调查法、流程图分析、头脑风暴法、访谈等。,37,风险分析,组织应该采用适当的方法分析识别出的风险；风险分析应包括某一非确定事件发生的可能性和后果以及影响可能性和后果的各种因素；分析可以是定性的、半定量的、定量的或其组合。在实践中经常首先采用定性分析以一般性了解风险等级和揭示主要风险。风险分析的方法包括：专家调查法；系统工程方法如：失效模式研究、故障树等；计算机模拟；数学、经济学模型。,38,风险评价,风险评价的目的是在风险分析结果的基础上做出关于哪个风险需要处理的决策，以决定优先处理方案。风险评价涉及将分析过程中发现的风险等级与考虑环境信息时制定的准则进行比较。如果风险等级不符合风险准则，则应当对风险进行处理。,39,40,风险处置过程,41,风险处置之回避风险,任何组织对风险的对策，首先考虑到的是避免风险，尤其是对静态风险尽可能予以避免。凡风险所造成的损失不能由该项目可能获得利润予以抵消时，回避风险是最可行的简单方法。局限性只有在风险可以避免的情况下，避免风险才有效果；有些风险无法回避；有些风险可能回避但成本过大；消极地回避风险，只能使企业安于现状，不求进取。,42,风险处置之回避风险,避免风险的方法还可以分为完全避免和部分避免两种。完全避免，就要不惜放弃伴随风险而来的盈利机会。部分避免，主要取决于成本因素和非经济因素。如果避免收益大于避免成本，就可以考虑避免，否则可以不要避免。在采取部分避免风险时，往往还有两种战略：进攻性战略，即在高收益和低风险“替代选择”中，挑选高收益而不顾忌风险；防守战略，即在高收益和低风险的“替代选择”中，挑选低风险而不在乎收益。,43,风险处置之风险控制,组织在风险不能避免或在从事某项经济活动势必面临某些风险时，首先想到的是如何控制风险发生、减少风险发生，或如何减少风险发生后所造成的损失，即为控制风险预防和抑制风险。控制风险主要有两方面意思：一是控制风险因素，减少风险的发生；二是控制风险发生的频率和降低风险损害程度。,44,BP的风险自留政策,BP允许经理们为小规模的损失购买保险却自留大规模损失；BP停止为1000万到5亿美元范围的损失进行保险，其主要原因是：考虑到BP的利润和资产规模，这种规模的损失不可能严重破坏BP的经营和投资。对于超过5亿美元的损失，保险市场的能力是有限的。？无论基本指导原则如何，有限的保险市场能力使得自留巨大损失成为相对于保险来说是合乎需要的，甚至是惟一可行的选择方案。*讨论,45,监督和检查,监督和检查过程应当涵盖风险管理过程的所有方面：-监测事件；-风险处置过程-发现内部和外部环境信息的变化，包括风险本身的变化；-对照风险管理计划，测量工作进度和与计划的偏差；-报告关于风险、风险管理计划进度和风险管理政策的遵循情况风险监控可以借助计算机技术和组织现有的一些数据库、平台等。监督和检查活动可能包括常规检查、定期或随机的检查。,46,沟通与协商,内外部沟通与协商发生于风险管理的全过程；协商与沟通应包括：-联系适当的外部利益相关者和保证有效的信息交换；-符合法律、规定和公司治理要求的对外报告；-提供沟通和协商的反馈和报告；-在发生危机和紧急形势时与利益相关者沟通；对风险承担责任的人员，应该确保就风险的信息及时地与相关方面进行了沟通。,47,风险分析评价方法,层次分析法模糊分析法灰色系统理论故障树分析敏感性分析蒙特卡罗方法,头脑风暴法专家调查法风险矩阵法失效模式与影响分析关键风险指标管理,48,1.风险矩阵法,风险矩阵法把风险分成可能性和严重度两个方面。把风险发生可能性的高低、风险发生后对主体目标的影响程度，作为两个维度绘制在同一个平面上，称之为风险矩阵。,49,定性方法描述风险事件可能性和严重度,50,风险矩阵（定性方法）,51,定量方法描述风险事件可能性和严重度,52,风险矩阵（定量方法）,53,2.关键风险指标管理,一项风险事件的发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。1分析风险成因，找出关键成因。2将关键成因量化，分析确定导致风险事件发生时该成因的具体数值。3以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。4建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。5制定出现风险预警信息时应采取的风险控制措施。6跟踪监测关键成因数值的变化，一旦出现预警，实施风险控制措施。,54,Part3,第三部分风险管理体系、建立及实施,风险管理体系要求及使用指南,中