企业风险评估培训

企业风险评估培训,教育训练中心,目录,一、风险评估二、管理责任,一、风险评估,过去常见的风险“风险是损失的可能性”“风险是损失的机会”“风险是可能造成的损失”“风险是未来的不确定性的状态”“风险是结果的不确定性”,什么是风险,风险是指未来的不确定性对企业目标所产生的影响。,现行标准的定义（1）风险管理原则与实施指南（中国国家标准GB/T24353-2009）“风险是不确定性对目标的影响。”（2）国际标准ISOGuide73&ISO31000“风险是不确定性对目标的影响。”中央企业全面风险管理指引“第三条本指引所称企业风险，指未来的不确定性对企业实施其经营目标的影响。”,集团公司风险评估规范,风险事件案例：法国兴业银行,法国兴业银行2008年1月24日宣布因交易元杰罗姆科威尔的欺诈行为“造成近50亿欧元损失”。,兴业银行旗下巴黎分行一交易员超出了其职务允许的范围，秘密建立了欧洲股指期货相关头寸，导致了近50亿欧元的损失；法国财政部报告认为：兴业银行风险监控机制存在问题，内部监控系统多个环节有可能存在漏洞主要风险有：没有有效监督交易元盘面资金，没有有效跟踪资金流动，没有遵守后台与前台完全隔离规则。,再严密的规章制度，再安全的电脑软件，都可能存在漏洞、死角！对于风险管理，决不能掉以轻心。特别是在市场繁荣之际，应警惕因盈利而放松正常监督。,法兴悲剧警示我们,一、规章出台背景,（一）国外风险管理监管要求,1.COSO（COSO）企业风险管理框架,企业风险管理是一个收到企业董事会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险偏好之内，从而合理确保企业实现其既定目标。,企业风险管理概念,企业风险管理框架所对应的企业目标战略目标经营目标报告目标合规性目标,规范中的目标、风险类型,企业风险管理框架八要素控制环境目标设定事项识别风险评估风险反应控制活动信息与沟通监督,评估风险,分析风险明确现有风险：结果、可能性、风险水平,识别风险,应对风险：识别并评估选择权准备及执行计划分析及评估剩余风险,沟通及协商,监控及评价,Y,N,ISO31000风险管理标准,（1）国际标准组织（ISO）于2005年2月决定制定风险管理通用标准（2）经过几年的工作，该标准已经ISO各成员国的标准组织投票通过，已于2009年12月颁布（3）ISO31000的目的是提供共同的基础，以促进和协调而不是替代现存的各种标准，如ISO9001和ISO17799等（4）ISO31000的特点是应用范围极广，适用于任意规模的所有组织，并因此仅定义了风险管理的一般程序，而略去了有关体系设置的所有内容,ISO31000风险管理过程,风险应对,建立环境,风险分析,风险识别,风险评估,监督和评审,沟通和协商,（二）国内风险管理制度,1.国资委全面风险管理指引2006年6月，国资委印发了中央企业全面风险管理指引（以下简称指引），要求“中央企业根据自身实际情况贯彻执行本指引”。全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,（二）国内风险管理制度,（二）国内风险管理制度,2.国内风险管理标准GB/T243532009参考ISO31000编制，于2009年正式发布，包括2项，一是风险管理原则与实施指南（GBT24353），一是风险管理术语（GBT23694）。,术语和定义：风险风险管理,范围：本标准适用于公司层面、业务层面等的风险评估工作,实施程序：风险评估实施程序一次为：建立风险评估基础、目标设置与分解、风险识别、风险分析和风险评价,总体要求：应有明确目标，并制定风险发生的可能性和影响程序的标准；开展风险评估应建立一支风险评估团队，充分收复企业各类人员的意见；风险评估结果具有一定的时效性，企业ing根据内外部形势的变化持续开展风险评估。,风险评估,二、风险管理程序及方法,目的：为之后的风险评估流程奠定基础主要内容包括：（1）确定风险管理的目标和范围（2）建立风险管理的语言和标准,1.建立风险评估基础,（1）确定风险管理的目标和范围在什么层面、围绕什么业务开展风险管理工作，形成什么成果和机制（2）确定风险管理的范围根据目标，确定涉及的具体的业务及部门、单位（3）确定风险管理组织，明确职责（4）制定工作计划详细，具有可操作性（5）形成工作方案或计划经相应层级领导审批后实施,1.建立风险评估基础,（1）明确风险类型（2）制定风险偏好、容忍度、预警指标（3）风险评估标准（4）根据风险管理理论与实践，逐步形成风险管理制度,公司层面重大风险，高于业务层面但又与业务层面结合不同层级管控不同的风险，主要分三个层面，包括公司层面管控的重大风险、企业管理层管控的重大风险、业务操作层面管控的重要风险。,（1）明确风险类型,根据对风险做出应对策略所在层面的不同，可以将风险分为：公司层面风险例如：公司风险管理报告、企业风险管理报告（关注重大风险）业务层面风险例如：内控手册中财务报告风险、投资、资本运营等业务的经营,风险偏好是指为了实现目标，企业在承担风险的种类、大小等方面的基本态度,（2）风险偏好,风险偏好一个企业在追求价值的过程中愿意接受的风险水平。风险偏好反映了企业风险管理的理念，反过来又影响企业文化和经营风格。制定风险偏好时要充分考虑风险承受能力。,容忍度指标选择：根据公司生产经营指标或管理目标、KPI指标等，选择合适的风险容忍度指标。例如：投资业务投资回报率、投资计划完成率；销售业务市场份额、零售总量；资产管理业务资产周转率；员工关系方面投诉事件数量；人力资源管理业务员工总量；产线业务操作风险损失率,（2）容忍度,（2）风险预警指标,为提前采取措施预防风险事件发生而在风险容忍度范围内设置的警示界限。根据实际，可以是定量，也可以是定性，或者二者相结合。,预警指标选择：根据可以参考部分咨询公司的行业数据库、外部同行业上市公司披露的公开数据、国资委企业绩效评价标准值中的行业对标值、公司关键绩效考核指标（KPI）等，还包括预警迹象，选择合适的风险预警指标。可参考承受度指标的选择。,用于风险分析。规范包括风险发生可能性标准、影响程度标准、风险等级标准。风险发生的可能性分为基本确定、很可能、有可能、不太可能、极小五个级别；分别对应5、4、3、2、1五个分值。风险影响程度分为极高、高、中、低、极低五个级别；分别对应5、4、3、2、1五个分值。不同层面，标准的内容各有不同。,（3）风险评估标准,目的：目标的设置是风险评估的前提，只有先确立了目标，才能针对目标识别、分析影响目标的实现的风险，并采取必要应对措施来管理风险。通过目标的层层分解，将实现目标，防范风险的责任落实到具体部门和岗位，明确时限目标的具体步骤和具体阶段，以利于目标的实现。,主要内容：（1）目标分类（2）收集目标（3）分解目标,（1）目标分类,借鉴COSO的ERM框架的目标分类方法（如下图），将企业目标分为战略目标、经营目标、报告目标、合规目标。（风险分类的依据）。可以使管理者注意到企业风险管理的不同方面。,在确立目标时，首先把关注点放在企业战略目标上，制定企业层面的各个业务的经营目标等相关目标，以保证企业使命或愿景的实现。结合风险管理工作的目标和范围，确定目标收集的范围。结合实际设计工作模板，便于收集、分解目标。（不限于集团公司公司风险管理报告中设计的目标设置与分解一览表一种形式）,（2）收集目标,（3）分解目标,将收集的相关目标进行层层分解，分解到相应层级，便于识别相应层级的风险,公司战略发展目标保障措施,进一步分解到子目标（生产经营指标/管理指标/工作目标/KPI指标）,对应到业务单元/职能部门和关键业务/事项,定义：风险识别是围绕具体目标，对可能影响目标实现的风险源、影响范围、事件原因和潜在的后果进行判断并记录风险的过程。,主要内容：（1）信息收集（2）识别方法（3）风险数据库,（1）信息收集围绕具体目标，收集相关信息，并进行分析、整理，为风险识别做准备,（2）识别方法围绕目标，充分运用收集的上述信息，选择合适的方法识别风险,（3）风险数据库将识别的风险记录到风险数据库中。风险数据库是下步风险分析的基础。易菊风险管理目标何业务，设计风险数据库模板。（公司层面/业务层面）同一风险数据库中的风险描述要在同一层级上。风险点描述简洁明了，与风险应对措施区分开,目的：充分分析风险发生可能性和影响程度等方面，为确定重大风险奠定基础。,主要内容：（1）问卷调查表法（2）头脑风暴法,（1）问卷调查表法,结合实际设计问卷，按照风险评估标准，结合收集信息（风险事件等），以及控制措施有效性，分析风险发生可能性大小、影响方面、影响程度大小等。分别对风险发生的可能性和影响程度进行分析。可能性评分按照风险评估可能性标准，依据风险的性质、掌握的信息量，确定风险发生可能性的种类（例如：安全环保风险评估安全部门可以选择大型灾害事件类标准）影响程度评分按照风险评估影响程度标准，从财务损失、企业声誉、法律、安全环境、营运等方面，选择其中一个主要方面对风险的影响程度进行评分。计算个体评分风险值。风险值=可能性分值*影响程度分值,（2）头脑风暴法,根据业务经验，充分利用已收集信息（领导讲话关注风险、风险事件等），结合控制措施有效性，共同讨论分析风险发生可能性大小、影响方面、影响程度大小。,目的：综合考虑风险分析结果，选择适用的风险评价方法，结合公司风险偏好，确定重大（重要）风险，为风险应对奠定基础。,主要内容：（1）加权平均计算法（2）管理层偏好法,（1）加权平均计算法,适用于采用问卷调查法（评分式调查问卷），对风险进行评分得出结论的情况在前述评分结果基础上，计算加权平均风险值，根据本单位风险等级分值，确定重大（重要）风险。同时也要评估企业管控能力，合理确定重大风险个数。,（2）管理层偏好法,适用于问卷调查法、头脑风暴法等多种风险分析方法得出的结论。管理层充分考虑管控能力（人力、财力、物力等管理资源）大小，如何优化、合理配置，以及风险管理的紧迫性等因素，确定管理重大（重要）风险个数。,（1）确定风险责任部门依据目标设置与分解情况，结合部门职责，确定风险责任部门。为以后年度风险识别、风险分析及应对奠定基础。（2）重大风险原因及特点分析从根源分析重大（重要）风险产生原因，分析风险的特点，使下步的风险应对更有针对性。,（3）重大风险管理策略（偏好、容忍度、预警指标）可以采用定量或定性方式描述。依据重大风险的管控目标，确定重大风险偏好。与企业总体偏好保持一致。依据重大风险管理目标、KPI指标等，确定容忍度。在容忍度范围内，参考KPI指标及相关资料，确定预警指标，与生产经营相结合，为生产经营管理服务，逐步形成重大风险预警指标体系。,（4）总体应对策略和具体解决方案,不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内；或该风险在企业范围内与其他风险自然抵消；或由于风险应付成本过高，公司决定接受该风险。,风险接受,风险规避,退出引起风险的活动，即在可能的情况下，决定不从事或尽量避免那些继续从事可能会导致风险的活动，如退出生产线、停止一个区域的业务或出售一部分经营性资产等。,通过采取措施来转移和分担一部分风险来减少风险的可能性或影响，这包括与另外的单位合作来共同承担风险，如成立合资企业、购买保险、套期保值、外包业务等。分担风险可能会带来新的风险，因为合作单位可能缺乏期望的能力和资源。,风险分担,风险减轻,采取措施来减轻风险的可能性或影响，即通过改变风险发生的可能性来减少风险的不利后果，或改变风险的影响来减少损失的范围，减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程、用制度管控风险等。,目的：建立后续的监督改进机制，使风险管控措施落到实处。,监督检查包括但不限于以下层面：（1）业务部门和所属单位自我监督（2）风险管理部门的持续监督、独立评估、缺陷报告（3）监察部门、审计部门的监督和独立审计（4）外审独立监督,（1）业务部门和所属单位自我监督业务部门和所属单位根据内外环境及业务变化，对所负责的重大、重要风险的管理策略及解决方案的适用性进行评价，定期进行跟踪管理。业务部门和所属单位通过自我测试，即使发现内控体系运行中存在的问题，并认真组织分析和整改。（2）风险管理职能部门的持续监督、独立评估、缺陷报告强化监督检查；强化评价机制。要加大考核力度，将执行力纳入各级管理人员的业绩指标；加大责任追究力度，针对测试发现，做好缺陷评估，对测试发现的重大问题，进行责任追究。,（3）监察部门、审计部门的监督和独立审计加强监督检查；开展管理层测试及专项审计等（4）外部审计机构独立监督通过与外部审计机构的沟通，剖析审计中发现的问题，制定整改措施，组织落实整改，堵塞经营漏洞，促进内部风险管理工作，提高风险防范能力。,目的：为实现风险管理的目标，在风险管理过程中，收集内外部风险信息，并在公司内部传递和共享。主要内容：信息收集（风险识别阶段已阐述）沟通包括但不限于：（1）与本单位业务部门沟通