央企全面风险管理指引解读

/webmoney 中央企业全面风险管理指引 解读 国资委企业改革局 1/141 /webmoney 中央企业全面风险管理管理指引 2006年 6月 6日， 中央企业全面风险管 理指引 正式印发。 指引 是国务院国资委全面落实科学发 展观，坚持可持续发展，履行出资人职 责，指导和促进中央企业推进管理创新、 增强企业竞争力、促进企业持续、健康、 稳步发展的一个重要文件。 2/141 /webmoney 国外企业的风险管理实施进展 目前，越来越多的发达国家大公司建成或即将建成 全面风险管理系。 一家国际著名会计师事务所 2004年初对世界上 1400个 大中型公司的 CEO调查结果： 38%的 CEO声称本公司已经建成完整的全面风险管理体 系， 35%已经部分建成全面风险管理体系， 16%正在计划实施全面风险管理体系， 10%表示正在研究全面风险管理体系或尚无建设全面 风险管理体系的计划。 3/141 /webmoney 起草 指引 背景 企业风险最终由出资人承担，出资人关心企 业风险管理是天经地义的，是其最重要的职责。 建立全面风险管理体系，减少和防范资产损失： 企业清产核资 银行不良资产 中央企业必须适应经济全球化竞争。美国 萨 班斯法案 对在纽约上市的公司提出了建立内控体系的 要求，许多国际大公司在内控体系的基础上进一步建立 了全面风险管理体系。这些方面我们与国际大公司都有 较大的差距。 通过全面风险管理体系，提升企业管理水平。 4/141 /webmoney 国有企业风险管理存在的问题 风险管理工作薄弱，缺乏风险防范机制，是资产发生损失的重要 原因。多年来由于管理体制、制度、机制等方面的原因，国有企业存在 着如下不规范行为： 乱投资： 有的企业贪多求大，对高负债率、低现金流的财务风险 缺乏防范措施，不作投资回报分析，不作投资风险分析； 乱担保： 有的企业对从事证券、期货、股票、外汇等业务的风险 防范意识不强，对外乱担保因连带责任被冻结资产和强行偿债； 乱扩张： 有的企业对收购企业的成本和风险估计不足，并购资产 的同时引入了风险，对潜伏问题缺乏了解，甚至引发了危机。 乱理财： 有的企业盲目进行风险理财，而风险理财手段的不当使 用，包括策略错误和内控失灵，带来巨大的损失。 乱借款： 有的企业盲目借贷，高负债率带来了较大的财务风险， 沉重的利息负担进一步加剧企业的亏损。 乱放权： 有的企业因为没有控制好子企业、境外企业和境外业务 的风险，发生了巨额亏损，给企业造成颠覆性灾难。 5/141 /webmoney 国企风险管理现状带给我们的思考 中航油新加坡公司的事件给 我们的思考 三九集团由盛转衰给我们 的启示 6/141 /webmoney 指引 想解决什么问题？ 明确要求中央企业要 重视和开展全面风险管理。 明确什么是全面风险 管理。 企业如何开展全面风 险管理工作。 7/141 /webmoney 指引与其他文件的区别 其他文件是在企业大量实践的基础上归纳、 总结而制定的； 指引 是在总结国有企业的 经验、损失、教训的基础上， 参考国际经验、国际做法而 制定的，具有较强的现实性 和前瞻性。 8/141 /webmoney 萨班斯法案与风险管理的区别 萨班斯法案： 事后财务报表的真实披露 关心结果的真实性 不关心如何做出正确决策 关注财务层面 解决投资人信息对称问题 为投资人提供均等机会 使董事趋于保守 未解决利益冲突的结构性 问题 目标：合规经营、高效运 营、财务报告真实可靠 风险管理： 事先对企业风险的控制与防范 关心结果的好坏 关心科学决策的程序 关注战略层面 解决投资人的信任问题 为投资人提供长远利益 使董事会趋于理性 从体系上解决利益冲突的 结构问题 目标：将风险控制在与总体目 标相适应并可承受的范围内 9/141 /webmoney 国有企业面临的主要风险形式 1.企业对外投资（包括海外投资）的风险 2.企业多元化经营的风险 3.企业对外担保的风险 4.企业委托理财的风险 5.企业对外承包工程的风险 6.企业内部管理失控的风险 7.企业经营过程中存货增加的风险 8.企业产品研发、产品更新、产品升级的风险 9.企业并购的风险 10/141 /webmoney 国有企业面临的主要风险形式（续） 10.企业应收帐款的风险 11.企业面临的利率、汇率风险 12.企业法律风险 13.上市公司可持续生存风险（ SIRT） 14.企业供应商提供产品质量的风险 15.企业环保风险 16.企业环境（社会、人文）风险 17.企业现金流风险 18.企业员工劳动关系风险 11/141 /webmoney 正确认识风险的概念 12/141 风险 是未来的不确定性对目标的影响（正面影响 与负面影响）。风险是双刃剑，既能给人们带来 风险损失，又能带来风险收益。 风险投资的成败 就是最典型的例子。 风险投资中最重要的不是投资项目的好坏， 而是辨识拟投资的项目管理人的 “ 好、坏 ” 。 项目管理人的道德操守是 “ 零限度 ” ，即风险 承受度为零，一票否决。项目 管理人的道德操守 有问题是最大的风险。对人辨识不清，用人不慎 则会产生纯粹风险，项目再有投资价值也不能获 得成功。选择了 “ 好人 ” ，项目本身也有投资价 值，风险投资才能带来机会收益，国内外无数事 例反复证明了这一点。 /webmoney 建立全面风险管理的评价标准 1.企业全员树立风险意识，努力使风险意识印在脑 海里，溶化在血液中，落实在行动上。 风险意识是企业家的第一素质。 “ 企业家是一个经 营冒险事业的 组织者，是组织、拥有、管理并承 担这一事业全部风险的人。 ” 2.企业对标：与 指引 对标；与国内风险管理标 杆企业对标；与国际同行业企业对标。 3.没有意料之外，为意料之中做好了准备。 13/141 /webmoney 关于章节的设置及逻辑关系 第一章 第二章 第三章 总则（总体要求和原则） 风险管理初始信息 风险评估 第四章 第五章 第六章 风险管理策略 风险管理解决方案 风险管理的监督与改进 第七章 第八章 第九章 第十章 风险管理组织体系 风险管理信息系统 风险管理文化 附则（有关说明） 注：其中第四章风险管理策略也是风险管理体系的组成部分 流程、体系 体系 文化 14/141 /webmoney 第一章 总则（ 10条） 目的 依据 适用范围 督导实施 风险、全面风险管理、内控系统定义 基本流程 总体目标 实施要求 15/141 /webmoney 第二章 风险管理初始信息（ 7条） 收集初始信息及职责分工 战略风险信息 财务风险信 息 市场风险信息 运营风险信息 法律风险信息 信息筛选、提炼、对比、分类、组合 16/141 /webmoney 第三章 风险评估（条） 风险评估范围、步骤 风险评估的实施 风险辨识、分析、评价 定量分析和定性分析方法 分析风险之间关系 绘制风险坐标图 17/141 /webmoney 第四章 风险管理策略（条） 风险策略定义 风险偏好、承受度，风险管理 有效性标准 风险承担、规避、转移、转换 、对冲、补偿、控制风险管理 所需人力和财力资源配置原则 风险与收益平衡原则 评估风险管理策略 18/141 /webmoney 第五章 风险管理解决方案（条） 对各类风险或每一项重大风险制定方案 方案包括： 外包方案 内控方案 内控措施内容 方案的组织实施 19/141 /webmoney 第六章 风险管理的监督与改进（条） 监督与改进的重点 监督与改进的方法 监督与改进的基础 其他业务部门和单位的自查与检验 风险管理部门履行的检查与检验 内部审计部门评价 外部中介机构评价 20/141 /webmoney 第七章 风险管理组织体系 组织体系框架内容 规范公司法人治理结构 外部董事、独立董事制度 董事会风险管理职责 风 险管理委员会组成和职责 总经理风险管理职责 风险 管理职能部门职责 审计委员会和内审单位风险 管理职责 其他职能部门和业务单位风险管理职责 指导和监督子企业建立风险管理组织体系 21/141 /webmoney 第八章 风险管理信息系统（条） 风险管理信息系统涵盖的范围和内容 系统数据和风险量化值的要求 风险管理信息系统功能 风险管理信息系统的稳定和安全 风险管理信息系统的建设 22/141 /webmoney 第九章 风险管理文化（条） 风险管理文化与企业文化 董事会、总经理和重要管理人员在风险文 化建设中的地位和作用 风险管理文化与道德诚信、合法合规 风险管理文化与风险意识、风险管理责任 风险管理文化与薪酬制度、人事制度 风险管理文化与风险管理培训 23/141 /webmoney 第十章 附则（条） 未设立董事会的国有独资企业，经理办公会 议代行本董事会职责，总经理对本指引的贯彻执 行负责 中央企业投资、财务报告、衍生产品交易等 方面的配套文件另行下发 有关 附录 和解释的说明 24/141 /webmoney 附录 风险管理种常用技术方法 指引 中涉及的风险管理专业术语解释 25/141 /webmoney 中央企业全面风险管理指引 第一章 总则 26/141 /webmoney 第十条 全面风险管理工作与其他管理工作的关系 中央企业全面风险管理指引 第一条 指引 的目的、起草的依据 第二条 指引 的执行对象、督导和实施 第三条 风险的定义和分类 第四条 全面风险管理的定义 第五条 风险管理基本流程 第六条 内部控制系统的定义 第七条 全面风险管理总体目标 第八条 正确处理控制风险与抓住机遇的关系 第九条 开展全面风险管理的原则、重点、步骤 27/141 /webmoney 第一条： 指引 的目的、起草的依据 为指导国务院国有资产监督管理委员会 (以下简称国资委 )履行出资人职责的企业 (以下简称中央企业 )开展全面风险管理工 作，增强企业竞争力，提高投资回报，促进 企业持续、健康、稳定发展，根据 中华人 民共和国公司法 、 企业国有资产监督管 理暂行条例 等法律法规，制定本指引。 28/141 /webmoney 第二条： 指引 的执行对象、督导和实施 中央企业根据自身实际情况贯彻执行本 指引。中央企业中的国有独资公司董事会 负责督导本指引的实施；国有控股企业由 国资委和国资委提名的董事通过股东（大） 会和董事会按照法定程序负责督导本指引 的实施。 29/141 /webmoney 第三条：风险的定义和分类 本指引所称企业风险，指未来的不 确定性对企业实现其经营目标的影响。 企业风险一般可分为 战略风险、财务风 险、市场风险、运营风险、法律风险 等 ；也可以能否为企业带来盈利等机会为 标志，将风险分为 纯粹风险 (只有带来 损失一种可能性 )和 机会风险 (带来损失 和盈利的可能性并存 )。 30/141 /webmoney 第四条：全面风险管理的定义 本指引所称 全面风险管理 ，指企业围绕 总体经营目标，通过在企业管理的各个环节 和经营过程中执行风险管理的基本流程，培 育良好的风险管理文化，建立健全全面风险 管理体系，包括风险管理策略、风险理财措 施、风险管理的组织职能体系、风险管理信 息系统和内部控制系统，从而为实现风险管 理的总体目标提供合理保证的过程和方法。 31/141 /webmoney 收集风险 管理初始 信息 进行 风险 评估 提出和 实施风 险管理解 决方案 进行风 险管理 的监督 与改进 第五条：全面风险管理基本流程 高层重视、项目纳入年度管理计划 制定风 险管理 策略 持续培训，提高风险意识 32/141 /webmoney 第六条：内部控制系统的定义 本指引所称内部控制系统，指围绕风险管 理策略目标，针对企业战略、规划、产品研 发、投融资、市场运营、财务、内部审计、 法律事务、人力资源、采购、加工制造、销 售、物流、质量、安全生产、环境保护等各 项业务管理及其重要业务流程，通过执行风 险管理基本流程，制定并执行的规章制度、 程序和措施。 33/141 /webmoney 内控体系建设 : 全面风险管理的必要举措 内控系统是全面风险管理的重要组 成部分，是全面风险管理的基础设 施和必要举措 一般说来，内部控制系统针对的风 险一般是可控纯粹风险，其控制对 象是企业中的个人，其控制目的是 规范员工的行为，其控制范围是企 业的业务和管理流程 34/141 /webmoney 监控 信息沟通 控制活动 风险评估 控制环境 内控系统的历史发展 立的组织） 的内控整体框架对世界各国 公司立法和管理影响巨大 . 1992年 9月， COSO委员会正式发布了四份 COSO报 告，即管理者要览、框架、对外报告和评估工具。 1994年 7月， COSO委员会发表了对外报告补充规 定，将与保障资产安全有关的控制纳入了对外披露 的范围。 美国 2002年通过的萨班斯法案将建立和 维持有效的内控系统作为对上市公司的 法律合规要求 经 营 财 务 合 规 单 流 位 程 单 2 流 2 位 程 1 1 35/141 内部控制的概念始于上一世纪初的财务控制，在 80年 代以后逐渐受到各国的重视，特别是监管机构的重视。 在发展过程中，内部控制的理论吸收了控制论、系统 论、组织理论、行为科学、心理学、管理学等多学科 的内容 美国 COSO组织 （美国审计师协会、美国 注册会计师协会等五个民间团体共同成 /webmoney 内控设计的基本原则 全面性 覆盖企业 所有重要业务及管理流程和 流程的全过程 系统性 按统一原则制定，与风险策略一致 合规性 符合国家有关法律法规 成本效益 控制与收益平衡 权力分离及相互制约 岗位之间相互制约，重 要流程及决策不能由一个人完成 可操作性 根据企业现有操作水平制定 信息反馈 内部控制应有自我调节功能 激励平衡 权责明确及奖惩结合 包容性 不致因个 别环节失灵导致全系统失灵 36/141 /webmoney 萨班斯法案 404条款的要求 在美国上市的中国公司应 当遵守萨班斯法案的要求 萨班斯法案要求所有美国 的上市公司要建立所有与 财务报告有关的流程并维 持足够的内部控制 因此，满足萨班斯法案的 第一步就是识别所有与财 务报告有关的流程 外部审计师须对公司的财 务报告流程的内部控制进 行审计，并出具意见 Sarbanes-Oxley Act of 2002 404条款 - 年度财务报告内部 控制的公司管理层报告书 设立并维持了足够的财务 报告内控体系； 财务报告内控体系有效性 的评价； 为评价财务报告内控体系 而采用的评价体系的说明。 37/141 /webmoney 全面风险管理与内部控制的区别： 从体系上看 内部控制 着重于对流程的控制 全面风险管理 不但涉及流程控制，而 且包括风险战略、公司法人治理结构、组 织保障体系、风险理财等。 38/141 /webmoney 全面风险管理与内部控制的区别： 从实现目标上看， 内部控制 的目标为 3个 (合规经营、高效运营、 财务报告真实可靠 )。 风险管理 目标为 4个 (除以上 3个外，还包括：达 到与企业战略相匹配的风险最优化） 全面风险管理 的目标为 5个 ，（除以上 4个外，还 包括保护企业不致因灾害性事件或人为错误而遭受重 大损失 ) 39/141 /webmoney 第七条：全面风险管理总体目标 (一 )确保将风险控制在 与总体目标相适应并可承受的范围内 ； (二 )确保内外部，尤其是企业与股东之间实现 真实、可靠的信 息沟通 ，包括编制和提供真实、可靠的财务报告； (三 )确保 遵守有关法律法规 ； (四 )确保企业 有关规章制度 和为实现经营目标而采取的 重大措 施的贯彻执行 ，保障 经营管理的有效性 ，提高 经营活动的效率 和效果 ， 降低实现经营目标的不确定性 ； (五 )确保企业建立针对各项重大风险发生后的 危机处理计划 ， 保护企业不因灾害性风险或人为失误而遭受重大损失。 40/141 /webmoney 第八条：正确处理控制风险与抓住机遇的关系 企业开展全面风险管理工作，应注 重防范和控制可能给企业造成损失和危 害的风险，也应把机会风险视为企业的 特殊资源，通过对其管理，为企业创造 价值，促进经营目标的实现。 41/141 /webmoney 42/141 第九条：开展全面风险管理的原则、重点、步骤 企业应本着 从实际出发，务求实效 的原则，以 对 重大风险、重大事件 (指重大风险发生后的事实 ) 的管理和 重要流程的内部控制 为重点，积极开展全 面风险管理工作。 具备条件 的企业应全面推进，尽 快建立全面风险管理体系；其他企业应制定开展全 面风险管理的总体规划，分步实施，可先选择发展 战略、投资收购、财务报告、内部审计、衍生产品 交易、法律事务、安全生产、应收账款管理等一项 或多项业务开展风险管理工作，建立单项或多项内 部控制子系统。通过积累经验，培养人才，逐步建 立健全全面风险管理体系。 /webmoney 如何理解 “ 具备条件 的企业 ”？ 与企业规模、经济效益、所处行业没有关系 ,与以下 4个方面有关： 内部管理基础 公司治理结构 管理层对风险管理的认识 风险管理人才 43/141 /webmoney 第十条：全面风险管理工作与其他管理工作的关系 44/141 企业开展全面风险管理工作应与其他管 理工作紧密结合，把风险管理的各项要求融 入企业管理和业务流程中。具备条件的企业 可建立风险管理三道防线，即 各有关职能部 门和业务单位 为第一道防线； 风险管理职能 部门和董事会下设的风险管理委员会 为第二 道防线； 内部审计部门和董事会下设的审计 委员会 为第三道防线。 /webmoney 风险管理的三道防线 各相关部门和业务单位 风险管理职能部门和董事会下设的 风险管理委员会 定期自查和检验并汇报 检查、检验并评价 出具评价和建议报告 监督评价