企业全面风险管理时代来临.doc

企业全面风险管理时代来临风险的定义和分类指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。 企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。 指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 内部控制系统的定义 指引所称内部控制系统，指围绕风险管理策略目标，针对企业各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。 内控系统与全面风险管理的异同 内控系统是全面风险管理的重要组成部分。一般来说，内控系统针对的风险大多是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程。 全面风险管理还包括对机会风险的管理，其管理目的是为企业带来价值。 全面风险管理与内部控制的关系 内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。内控解决的是合规性问题，真实性问题。 全面风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”。全面风险管理解决的是决策的体制问题、制度设计问题，防止重大决策失误，防止出现重大危机问题。全面风险管理要对结果的好坏负责。 专家们对两者异同的看法 内控与审计、风险管理、企业管理的关系 全面风险管理总体目标 （一）确保将风险控制在与总体目标相适应并可承受的范围内；（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；（三）确保遵守有关法律法规；（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。 正确处理控制风险与抓住机遇的关系 企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。 开展全面风险管理的原则、重点和步骤 原则：从实际出发，务求实效 重点：重大风险、重大事件（指重大风险发生后的事实）、重要流程的内部控制 步骤：总体设计、分步实施、突出重点、短期见效 具备条件的企业：全面推进 其他企业：总体规划，分步实施 风险管理的“三道防线” 风险管理初始信息 起步工作：收集信息 整个风险管理的第一步工作是收集风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。风险的判断基于信息。 为使收集信息工作条理化，并使企业风险管理有统一的“语言”，每家企业都应对风险有自己的分类。 指引把企业风险分为五大类：战略风险、财务风险、市场风险、运营风险、法律风险。 战略风险及其类别： 战略风险是指企业在战略的制定和实施上出现错误，或因未能随环境的改变而作出适当的调整，而导致经济上的损失。 常见的战略风险：宏观政策及形势把握风险、重大投资风险、“走出去”的国家风险、多元化经营风险、对新市场开发投入风险、并购风险、声誉风险。 战略目标的背面就是战略风险（一块硬币的两面）。 财务风险及其类别： 财务风险是指融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失。 常见的财务风险：现金流风险、财务报告风险、应收帐款风险、委托理财风险、对外担保风险。 市场风险及其类别： 市场风险是指因市场等外界条件变化而使企业产生经济损失的风险。 常见的市场风险包括：供应商产品质量风险，客户、供应商信用风险，影响市场需求的因素及其变化风险，税收风险，利率、汇率风险，竞争对手给本企业带来的风险。 运营风险及其类别： 运营风险是指企业内部流程和系统、人为或外部因素给企业造成的经济损失。 人为因素风险是指企业员工由于缺乏诚信道德而导致的舞弊行为，或缺乏知识、能力而导致的错误和重大损失。 流程风险是指交易流程中出现错误而导致损失的风险。 信息系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险。 外部事件风险是指火灾、自然灾害、市场扭曲等事件。 叠加风险是指放大效应。 法律风险及其类别： 法律风险是指企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失，及其他与法律事务有关的风险。 常见的法律风险：国内外政治法律环境与政策，重大协议与合同的遵守与履行，环保风险，企业环境（社会、人文）风险，法律纠纷，知识产权，员工劳动关系风险。 初始信息的收集：量大、面广、复杂。 风险评估 风险评估的三个主要步骤：风险辩识、风险分析、风险评价 风险辩识是指查找企业各业务单元、各项重要经营活动极其重要业务流程中有无风险，有哪些风险。 风险分析是对辩识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。 风险评价是评估风险对企业实现目标的影响程度、风险价值等。 风险评估方法：定性与定量相结合 定性方法可采用问卷调查、集体讨论、工作访谈、专家咨询、情景分析、政策分析、行业标杆比较、调查研究等。 定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。 风险管理策略 在风险管理策略方面，强调的是企业要在防止翻车性、毁灭性、颠覆性风险的基础上创造企业价值。 风险管理策略的三大任务：确定风险偏好、确定企业风险承受度、确定风险管理有效性的标准。 确定风险偏好：即企业在愿意承担风险的种类、大小等方面的基本态度。 确定企业风险承受度：即企业愿意承担风险的限度，也是风险偏好的边界。 若不能对风险进行量化，就不是真正意义上的风险管理。 确定风险管理有效性的标准：风险管理有效性标准的作用是帮助企业了解：企业现在的风险是否在风险承受度范围之内，即风险是否优化；企业风险状况的变化是否是企业所要求的，即风险的变化是否优化。 因此，量化的企业风险管理有效性标准可以用于企业风险承受度的度量。 风险与收益并非正相关关系 风险管理工具 “怎样管理重大风险？”七大工具：风险承担、风险规避、风险转移、风险转换、风险补偿、风险控制、风险对冲。 风险管理优先顺序 企业应根据风险与收益相平衡的原则以及各种风险在风险坐标图上的位置，进一步确定风险管理的优先顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。 关键是要首先解决“颠覆性的”重大风险问题，保证企业的持续发展。 风险管理解决方案 风险管理解决方案的基本要求 企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。 风险管理内部解决方案 风险管理解决方案分外部和内部解决方案。 内部解决方案是风险管理策略的实施，是全面风险管理体系的运转。因此，在具体实施中，一般是风险管理策略、组织职能、内部控制（包括政策、制度、程序）、信息系统（包括报告体系）、风险理财这几种手段的综合应用。 企业内控措施的主要内容是：建立内控岗位授权制度；建立内控报告制度；建立内控批准制度，建立内控责任制度；建立内控审计检查制度；建立内控考核评价制度；建立重大风险预警制度；建立健全以总法律顾问制度为核心的企业法律顾问制度；建立重要岗位权力制衡制度，明确规定不相容职责的分离。 风险管理的监督与改进 企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督。 监督与改进的实质 监督和改进的实质是关注风险管理的目标，深思熟虑地对风险管理进行分析，集中发现关于重大风险、重大事件、重要管理及业务。 监督的对象、重点及结论 外部解决方案：风险管理外包 企业经营活动外包是利用产业链专业分工，提高运营效率的必要措施。 企业许多风险管理工作可以外包出去，如企业使用投资银行、信用评级公司、保险公司、律师事务所、会计事务所、风险管理咨询公司等专业机构，将有关方面的工作外包，可以降低企业的风险，提高效率。 外包在使企业规避一些风险的同时，可能带来另一些风险，应当加以控制。 风险管理组织体系 企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。 企业应明确专业职能部门，专门人员负责风险管理。可以设风险管理经营岗位，专门负责风险评估。第三只眼看企业，做决策者的主要助手，使决策信息全面、对称，避免盲目、片面。 指引关于各组织机构在风险管理方面的职责：董事会10项；风险管理委员会6项；风险管理职能部门（可兼职）9项；其他职能部门和业务单位7项。 总经理就全面风险管理的有效性向董事会负责，主持该管理日常工作。 审计委员会执行中央企业内部审计管理暂行办法（国资委令第8号），并围绕全面风险管理监督评价，负责制定体系、制度，开展监督评价工作，出具该项审计报告。 母公司对子公司的职责：企业应通过法定程序，指导和监督其全资、