IFM风险管理2

1、培训内容：风险管理培训内容：风险管理风险管理诠释风险管理诠释风险管理的基石：企业组织结构风险管理的基石：企业组织结构风险管理程序与方法风险管理程序与方法案例分析案例分析 如果一切皆在掌控中，说明你前进得不够快。 马里奥安德列蒂，美国一级方程式赛车手 我们已经遇到了敌人就是我们自己。我们已经遇到了敌人就是我们自己。 波哥，漫画人物第一部分第一部分风险管理诠释风险管理诠释开篇小案例年收入年收入450450万美元的陈久霖与阿卜杜拉万美元的陈久霖与阿卜杜拉亏损亏损5.55.5亿美元的陈久霖亿美元的陈久霖 警钟长鸣警钟长鸣 警钟长鸣 中航油在新加坡一直被当作一家中航油在新加坡一直被当作一家“业绩出众且具

2、高透业绩出众且具高透明度的企业明度的企业”。新加坡总理吴作栋。新加坡总理吴作栋20032003年年1111月访问中国月访问中国时，特邀陈久霖随新加坡企业代表团访问中国，向中国时，特邀陈久霖随新加坡企业代表团访问中国，向中国企业家介绍他在新加坡的成功经验。企业家介绍他在新加坡的成功经验。20042004年年9 9月月2424日晚，日晚，中航油刚刚荣获新加坡证券投资者协会颁发的中航油刚刚荣获新加坡证券投资者协会颁发的20042004年度年度“最具透明度企业最具透明度企业”奖，这是其第二次获得这项荣誉。奖，这是其第二次获得这项荣誉。 原油期货价格03下半年开始期下半年开始期权交易，权交易，200万桶

3、万桶04年年3月亏月亏580万，万，后移仓，期价后移仓，期价38美元，美元，13年年最高最高8月月48美元美元/桶桶6月亏月亏3000万美元，万美元，油价油价21年最高。年最高。加仓加仓10月亏月亏1亿，不亿，不得不向集得不向集团求援团求援10月月20日，集团日，集团减持减持15股份补保股份补保证金证金10月月26日三井发日三井发出违约函，出违约函，开始斩仓开始斩仓过度投机过度投机2003年下半年 中航油开始参与200万桶原油期货买卖，初期获利； 2004年一季度 国际油价飙升，中航油持淡仓，录得账面亏损580万美元，为求收复失地，加大投资增持淡仓； 2004年二季度 油价续升，中航 油账面亏

4、损增至3000万美元。为避免在账目上出现实际亏损，公司决定将交割日期延后至2005及2006年，再加大投资，希望油价回落时可翻身； 2004年 10月中航油的原油期货合约已增至5200万桶，油价到达历史高位，中航油面临巨额亏损； 2004年10月10日 中航油首次向中航油集团呈交报告，说明交易情况及面对1.8亿美元的账面损失，并已缴付了期货交易的8000万美元补仓资金，公司同时面对严重的现金流问题，已接近用尽2600万美元的营运资金、1.2亿美元的银团贷款及6800万美元的应收贸易款，上述数据从未向其它股东及公众披露； 2004年10月20日中航油集团为了筹集资金支付补仓资金，透过德意志银行新

5、加坡分行配售15%的中航油股份，令集团持股比例由75%减至60%，集资1.08亿美元； 2004年10月26日28 中航油未能补仓，多张合约被逼平仓，实际损失增至1.32亿美元； 2004年10月26日29 巴克莱资本开始追债行动，要求中航油偿还2646万美元； 2004年11月8日中航油再有合约被逼平仓，亏损增加1亿美元； 2004年11月9日三井(mitsui)能源风险管理公司加入追债行列，追讨7033万美元； 2004年11月16日另一批合约被平仓，再亏7000万美元； 2004年11月17日standard bank london ltd追讨1443万美元， 并指如果未能在12月9 日

6、支付欠款，将会申请将之破产； 2004年11月25日最后一批合约被平仓，总亏损合计达3.81亿美元，债权银行陆续追债，合计追讨2.48亿美元，该公司同时已违反法国兴业银行牵头的1.6亿美元银团贷款条款，同样面对被清盘危机； 2004年11月29日陈久霖向新加坡法院申请破产保护，并指中航油集团已承诺继续支付及偿还该公司欠款，并正与新加坡政府拥有的淡马锡集团联合注资1亿美元协助公司重组，但淡马锡尚未答应； 2004年11月30日中航油终止所有原油期货交易。中航油没有落实内控制度 中航油其实有严格的内控制度，但没有执行。 中航油内部有严格的交易制度：每位中航油期货交易员，每笔交易损失20万美元以上时

7、，继续交易与否要提交给公司的风险管理委员会评估；累计损失超过35万美元的交易必须得到总裁的同意才能继续；任何将导致50万美元以上损失的交易将自动平仓。换句话说，中航油10位交易员的损失额上限本来只有500万美元，最终却损失5.5亿美元，110倍，或者说有110次的斩仓机会。 一根火柴的价值只有一分钱，但是它能毁掉价值千万的大厦。 建立一个成功的 企业需要长年的努力，而毁掉它，只需要一个错误的决策。若干案若干案例例： 安然公司 世通公司 巴林银行 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷 从案例中吸取的教训 八百伴公司 某国企投资非核心业务案例一：美国安然公司案例一：美国安然公司

8、 (enron)(enron)在2002年，安然是美国最大的石油和天然气企业之一2001年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利调查发现：调查发现：安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策事件发生之后，部分董事表示不太了解安然的财务状况、 期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度 案例二：美国世通公司案例二：美国世通公司

9、 (worldcom)(worldcom)世通是美国第二大的电信公司2002年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来虚报利润735亿美元世通于2002年末申请破产保护令，成为美国历史上最大的破产个案世通的四名主管(包括公司的ceo和cfo) 承认串谋讹诈，被联邦法院刑事起诉 调查发现：调查发现：世通的董事会持续赋予公司的ceo(bernard ebbers) 绝对的权力，让他一人独揽大权美国证监会的调查报告指出：世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金案例三：英国巴林银行案例三：英国巴林银行 (

10、barings bank)(barings bank)巴林银行在90年代前是英国最大的银行之一，有超过200年的历史1992-1994年期间，巴林银行新加坡分行的总经理里森(nick lesson) ，从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动 ，累积亏损超过10亿美元，导致巴林银行于1995年2月破产调查发现：调查发现：巴林银行的高层对里森所从事的业务并不了解巴林缺乏职责划分的机制巴林银行的高层对财务报告不重视案例四：日本八百伴案例四：日本八百伴 (yohan)(yohan)在90年代，八百伴是日本最大的百货公司之一1997年9月，八百伴宣布破产，向法院申请“公司更生

11、法”保护，当时八百伴的负债额达1,613亿日元，是日本战后最大的一宗企业破产案调查发现：调查发现：八百伴低估经营非核心业务的风险八百伴低估扩张业务的风险八百伴低估了开发新兴市场的风险某国营企业(简称“国企b”)于19x6至19x8的两年间，动用接近10亿元人民币，投资了15家公司，而该国企在每家公司的权益均在10%至30%之间，这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。调查发现：调查发现：1.国企b未有就对外投资建立完善的风险管理系统。2.这15家公司大部分没有为国企b提供经审计的财务报表，亦一直未派股息；国企b亦没有利用投资协议来保障其权益。案例五：投资非核

12、心性业务案例五：投资非核心性业务教训与启示教训与启示 公司经营：八缸七盖（胡雪岩） 常言：智者从别人失败经验中吸取教训，聪明者从自己失败经验中吸取教训，愚者则永不懂从经验中学习。pwc什什么是企业风险管理？么是企业风险管理？企业风险管理是一个过程，它由一个主体的董事会、企业风险管理是一个过程，它由一个主体的董事会、管理当局和其它人员实施，应用于战略制订并贯穿于管理当局和其它人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主题的潜在事项，管企业之中，旨在识别可能会影响主题的潜在事项，管理风险以使其在该主题的风险容量之内，并为主体目理风险以使其在该主题的风险容量之内，并为主体目标的实现

13、提供合理保证。标的实现提供合理保证。 coso 2004年年9月月企业风险管理是企业在实现未来战略目标的过程中，企业风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程，以确保和促进组织的整体利益范围内的方法和过程，以确保和促进组织的整体利益实现。实现。 aarcm 2006 什什么是企业操作风险管理？么是企业操作风险管理？由于不完善或失灵的内部程序、人员和系统，由于不完善或失灵的内部程序、人员和系统，或外部事件导致的损失的风险。或外部事件导致的损失的风险。巴塞尔新资本协议巴塞尔新资本协议wha

14、t keeps management up at night?什么事情使管理层夜不能寐什么事情使管理层夜不能寐?what doesnt keep management up at night, but should? 什么事情应该引起管理层的注意，而实际却没有什么事情应该引起管理层的注意，而实际却没有?any issue which could impact an organizations ability to meet its objectives. 任何可能影响某一组织实现其目标的事项。任何可能影响某一组织实现其目标的事项。通过管理程序或活动减少风险通过管理程序或活动减少风险可量化，可衡

15、量，可以达到的业务目标可量化，可衡量，可以达到的业务目标可能影响业务目标实现的事件可能影响业务目标实现的事件风险管理是平衡风险与报酬的科学与艺术风险不仅是一种损失，更是一种收益控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别内部控制coso内部控制整合框架和coso企业风险管理整合框架1992年，coso内部控制整合框架，五要素，三大目标2002年，萨班斯法案2004年，coso企业风险管理整合框架，8要素，4大目标。风险管理与内部控制的联系体现在两个方面：1全面

16、风险管理函盖了内部控制系统。内部控制系统是全面风险管理中五个部分中的一个部分，是风险管理一个重要方式和手段。2风险管理是对内部控制的拓展和细化。从国际上看，coso内部控制综合框架，早在1992年就颁布了。而coso风险管理综合框架，是2004年9月颁布的。全面风险管理与内部控制的区别：从体系上看内部控制着重于对流程的控制，全面风险管理不但涉及流程控制，而且包括风险战略、公司法人治理结构、组织保障体系、风险理财等。 从实现目标上看，内部控制的目标为3个(合规经营、高效运营、财务报告真实可靠)。风险管理目标为4个(除了合规经营、高效运营、财务报告真实可靠，还包括：达到与企业战略相匹配的风险最优化

17、）全面风险管理的目标为5个，（除合规经营、高效运营、财务报告真实可靠，达到与企业战略相匹配的风险最优化外，还包括保护企业不致因灾害性事件或人为错误而遭受重大损失)信息体系“索尼之父”盛田昭夫 索尼的传统故事索尼的传统故事:订单、员工责任与风险管理订单、员工责任与风险管理 在公司艰难创业时期，一个美国大买主曾经要负责美洲业务的盛田昭夫分别报订购5千、1万、3万、5万和10万台收音机的单价。 一般说来，总是订货越多单价越低。但盛田昭夫经过计算之后却报了一个奇怪单价：5千台是常规价，1万台要给折扣，3万台价格开始上升，5万台的单价居然高于5千台，10万台的单价最高。所有的人都大惑不解。盛田昭夫解释说

18、，要是我们签了l0万台的合同，就得建新的工厂、购进设备和招聘工人，如果第二年签不到续订的合同，公司就会陷入困境。他郑重声明：“在日本，我们不能按订货的上升和下降来聘请员工和解聘员工。我们对员工负有长期的义务，员工对我们也是这样。” 索尼的员工一开始接受的不是“感恩教育”，而是“责任教育”。尤为重要的是，他们的“责任教育”是对等的。身处这样的企业文化之下，员工首先想到的不是解聘的危机，而是基于被认同被尊重而产生的骄傲、自豪和承担义务的慷慨。 系统风险 责任风险 财产风险 人身保险 可保风险 不可保风险 意外风险 收支性风险收支性风险 现金流风险 决策信息风险 流程风险 企业风险 纯粹风险控制 投

19、机风险决策 是否可分散 发生 形态 风险因素发生地点 风险导致结果 环境风险 非系统风险 潜在风险 经营风险经营风险 经济风险经济风险 财务风险财务风险 如：经营者道德风险基于风险管理的风险分类l企业收益流与收支性风险 销售额因公司所处的经济、政治、社会和竞争环境的不确定而出现波动，这就是经济风险；这最初的风险又由于固定成本的存在而加大，使得ebit的波动更大，造成了经营风险；最后，经营风险由于固定的利息支出的存在而加大，形成了财务风险。贡献毛益sebitebteat属于普通股股东的利润eps经济风险经营风险财务风险-b s- f- i-t企业风险类别犹如森林需要更有力需要更有力的控制的控制s

20、ears误导性的汽车销售方法误导性的汽车销售方法salomon债券拍卖丑闻债券拍卖丑闻bausch & lomb来自来自ceo的的的销售压力的销售压力hudson foods污染的牛肉污染的牛肉general motors未能察觉的虚假未能察觉的虚假的代理商销售的代理商销售beech-nut foods质量控制的合规性质量控制的合规性archer daniels midland控制价格的指控控制价格的指控barings未得许可的交易风险未得许可的交易风险daiwa贸易损失贸易损失cathy lee gifford压榨劳工压榨劳工foundation for newera philant

21、hropyponzi 投资计划投资计划texaco种族歧视种族歧视united way有问题的管理模式有问题的管理模式dennys歧视歧视firestone产品质量产品质量不幸的转轮不幸的转轮普华永道归纳的风险 管理层的能力管理层的能力 (competence of management ) 管理层的道德观管理层的道德观 (integrity of management) 近期系统变化近期系统变化 (recent changes in systems) 组织规模组织规模 (size of unit) 资产流动性资产流动性 (liquidity of assets) 变革变革 (change)

22、复杂程度复杂程度 (complexity) 快速增长快速增长 (rapid growth) 规章制度是否健全规章制度是否健全 (level of regulation)管理层对风险的看法的转变低层次低层次/经营层次。风险监控是内部审计经营层次。风险监控是内部审计人员的职能。人员的职能。风险是一个需要控制的负面因素。风险是一个需要控制的负面因素。风险管理在企业各部分个别展开风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险管理的责任被委派到低层次的人员风险的衡量是主观的风险的衡量是主观的无组织以及杂乱的风险管理职能无组织以及杂乱的风险管理职能从过往操作角度从过往操作角度过渡到董事

23、会关注过渡到董事会关注是是ceo的工作的工作 (也是董事会的监管也是董事会的监管)风险其实是一个机会风险其实是一个机会在整个企业范围内进行一体化的风险管理在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担风险管理的责任由高级和部门管理人员承担风险的数化风险的数化风险管理被纳入所有企业管理系统风险管理被纳入所有企业管理系统竞争者竞争者敏感性敏感性股东关系股东关系资金充足性资金充足性 金融市场金融市场灾难性损失灾难性损失独立政治独立政治法律法律行政管理行政管理行业行业环境环境风险风险信息技术风险信息技术风险使用权使用权 完整性完整性相关性相关性 可得到性可得到性 基础设施基

24、础设施财务风险财务风险货币货币利率利率流动性流动性结算结算再投资再投资信用信用双边关系双边关系现金转移或流速改变现金转移或流速改变廉政风险廉政风险管理欺诈管理欺诈雇员欺诈雇员欺诈非法行为非法行为无授权使用商誉无授权使用商誉授权风险授权风险领导力领导力权力权力限制限制 表现激励表现激励沟通沟通营运风险营运风险客户满意客户满意人力资源人力资源产品开发产品开发效率效率能力能力表现差异表现差异循环时间循环时间资源资源商品定价商品定价过失或损失过失或损失符合性符合性业务中断业务中断健康和安全健康和安全 环境环境产品或服务失败产品或服务失败 商标或产品名侵蚀商标或产品名侵蚀营运营运价格价格合同投入衡量合同

25、投入衡量结盟结盟完整性和精确性完整性和精确性管理报告管理报告决策信决策信息风险息风险财务财务预算和计划预算和计划 完整性和精确性完整性和精确性会计信息会计信息财务报告评价财务报告评价税收税收养老基金养老基金投资评估投资评估管理报告管理报告 战略战略环境检视环境检视业务组合业务组合价值衡量价值衡量组织结构组织结构资源分配资源分配计划计划生命周期生命周期环境风险环境风险（续）流程风险营运风险流程风险营运风险流程风险营运风险（续）流程风险营运风险（续）流程风险营运风险（续）流程风险营运风险（续）流程风险营运风险（续）流程风险营运风险（续）流程风险财务风险流程风险财务风险流程风险财务风险（续）流程风险

26、财务风险（续）流程风险授权风险流程风险授权风险流程风险信息处理流程风险信息处理 /技术风险技术风险流程风险廉正风险流程风险廉正风险决策信息风险营运风险决策信息风险营运风险决策信息风险营运风险（续）决策信息风险营运风险（续）决策信息风险财务决策信息风险财务决策信息风险财务（续）决策信息风险财务（续）决策信息风险战略决策信息风险战略决策信息风险战略（续）决策信息风险战略（续） 请根据您所要实现的企业目标请根据您所要实现的企业目标, 列出将面对的风险并评价其对实现企业列出将面对的风险并评价其对实现企业目标的关键性目标的关键性: 目标目标风险风险高高 /中中/低低1. 2. 3. 4. 5. 第二部分

27、第二部分风险管理的基石：企业组织结构风险管理的基石：企业组织结构企业为何要建立风险管理？企业为何要建立风险管理？因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理股东对企业风险管理最关心的四个问题：股东对企业风险管理最关心的四个问题：1. 1. 企业知道它所面对的主要风险吗？企业知道它所面对的主要风险吗？例如：什么风险正在或将会影响企业的业务？ 企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理理想的情况：理想的情况： 企业能开发一套标准的、共通的风险语言，

28、从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通2. 2.企业是否已对这些风险设置内部控制？企业是否已对这些风险设置内部控制？企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制) ，以确保企业能实现目标和符合各方面的法律、法规理想的情况：理想的情况： 企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨 3. 3.企业的内部控制有效吗？企业的内部控制有效吗？企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况

29、：理想的情况： 企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报4. 4.哪一些内部控制必须改进？哪一些内部控制必须改进？企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况：理想的情况： 企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正企业风险管理框架企业风险管理框架一个基础三道防线管理层管理层ceo第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会风险管理部总风险管理

30、部总经理职位经理职位 风险管理组织体系各组成部分及其职责风险管理组织体系各组成部分及其职责 内容内容 董事会董事会 风险风险管理管理委员委员会会 总总经经理理 风险管理专职部门风险管理专职部门其他其他职能职能部门部门 监督监督部门部门 工作报告工作报告 审议工作报告 在董事会领导下，审议并提交风险管理各项方案、报告 主主持持全全面面风风险险管管理理日日常常工工作作 提出风险管理工作报告 执行风险管理基本流程和制度规范。负责本部门工作。 开展监督评价，出具评价报告风险策略风险策略 确定风险管理总体目标和策略 提出风险管理策略 风险评估风险评估 批准重大风险评估报告 研究提出跨部门重大风险评估报告

31、 控制决策控制决策 重大风险控制决策 研究提出跨部门重大风险管理方案 一、一个基础：公司治理结构一、一个基础：公司治理结构什么是公司治理？什么是公司治理？公司的治理公司的治理是企业产权关系、控制方式和决策规则的总体安排，它规范了企业相关利益各方的行为，是企业实现有效管理的条件和前提。公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益股东大会董事会经理监事会公司职工(工会)选举选举聘任选举监督监督党组织信息不对称信息不对称多层次的多层次的委托代理问题委托代理问题文化、制度与行为

32、的关系文化、制度与行为的关系示图文化制度行为集权与规制相悖？故事：素质并非天生与留学生公司治理与风险管理有什么关系公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：cadbury/hampel report、the combined code加拿大：dey reportoecd report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任如何构建一个有利风险管理的公司治理结如何构建一个有利风险管理的公司治理结构？构？建立一个健全的、以董事会为首的公司治理结

33、构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观企业文化和价值观公司治理的两大核心公司治理的两大核心1.1.有效制衡：有效制衡： 公司法人治理结构的各部分之间不仅要协公司法人治理结构的各部分之间不仅要协调配合，而且还要有效地实现制衡，包括调配合，而且还要有效地实现制衡，包括不同层级机构之间的制衡，不同利益主体不同层级机构之间的制衡，不同利益主体之间的制衡，利用制衡控制风险。之间的制衡，利用制衡控制风险。2.2.科学决策：科学决策： 科学决策是现代企业制度建设追求的一个科学决策是现代企业制度建设追求的一个重要目标。它要求企业设计好企业法人治重要目标。它要求企

34、业设计好企业法人治理结构中的决策权的配置与控制体系、科理结构中的决策权的配置与控制体系、科学的决策程序，以及董事责任可追溯制度，学的决策程序，以及董事责任可追溯制度，从决策环节防范企业风险。从决策环节防范企业风险。 股东承担企业经营的最终风险，即以其出资股东承担企业经营的最终风险，即以其出资额为限承担有限责任。因此股东，尤其是大额为限承担有限责任。因此股东，尤其是大股东，本能的关心企业产生的各种风险。各股东，本能的关心企业产生的各种风险。各级国有资本的出资人关心并要求企业控制风级国有资本的出资人关心并要求企业控制风险是天职。险是天职。 董事会的主要有三项职责：第一是把方向；董事会的主要有三项职

35、责：第一是把方向；第二是选对人；第三是控风险。董事会的重第二是选对人；第三是控风险。董事会的重要职责就是判断风险、控制风险，并承担风要职责就是判断风险、控制风险，并承担风险决策的责任。险决策的责任。 监事会负责对总经理及董事会全面风险管理监事会负责对总经理及董事会全面风险管理工作进行评价和监督。工作进行评价和监督。 总经理对企业日常全面风险管理负责，全面总经理对企业日常全面风险管理负责，全面掌控风险的能力是判断总经理是否称职的重掌控风险的能力是判断总经理是否称职的重要条件。要条件。上市公司应建立外部董事、独立董事制度，外上市公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全

36、部成部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判重大风险管理等方面作出独立于经理层的判断和选择。断和选择。 设立以外部董事、设立以外部董事、独立董事为主独立董事为主的董事会，是的董事会，是建立大企业稳定发展的体制基础，是企业防范建立大企业稳定发展的体制基础，是企业防范风险的制度保障。从企业制度上解决了科学决风险的制度保障。从企业制度上解决了科学决策的问题和出题的问题。策的问题和出题的问题。 董事会应当依据什么原则控制风险？董事会应当依据什么原则控制风险？ 这个原则并不是凡是有风险的决策董

37、事会这个原则并不是凡是有风险的决策董事会都予以反对。因为，风险与机遇并存，有都予以反对。因为，风险与机遇并存，有多大机遇就有多大风险。但董事会应当对多大机遇就有多大风险。但董事会应当对风险度加以控制，不能超越企业的承受范风险度加以控制，不能超越企业的承受范围，应在董事会可控范围内把握机遇。同围，应在董事会可控范围内把握机遇。同时，董事应对其风险判断、风险控制的结时，董事应对其风险判断、风险控制的结果负责。总之，企业既不能不发展，又不果负责。总之，企业既不能不发展，又不能失控地发展。能失控地发展。董事会就全面风险管理工作的有效性对股东（大）会董事会就全面风险管理工作的有效性对股东（大）会负责。负

38、责。董事会在全面风险管理方面主要履行以下职责董事会在全面风险管理方面主要履行以下职责：（一）审议并向股东（大）会提交企业全面风险管理年度工作一）审议并向股东（大）会提交企业全面风险管理年度工作报告；报告； 由董事会审议并向股东（大）会提交企业全面风险管理年度由董事会审议并向股东（大）会提交企业全面风险管理年度工作报告，并将这项工作作为董事会在风险管理中的首要职工作报告，并将这项工作作为董事会在风险管理中的首要职责，这是过去没有明确的。此次提出，是从制度体系上明确责，这是过去没有明确的。此次提出，是从制度体系上明确董事会在企业全面风险管理中的重要职责，使董事会的责任董事会在企业全面风险管理中的重

39、要职责，使董事会的责任更加明确化、具体化。更加明确化、具体化。（二）确定企业风险管理总体目标、风险偏好、风险承受度，（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；批准风险管理策略和重大风险管理解决方案； 董事会是企业决策的制定者，同时在全面风险管理中担当着董事会是企业决策的制定者，同时在全面风险管理中担当着统领全局的重要角色。统领全局的重要角色。 风险偏好和风险承受能力通俗而言就是指企业承担什么样的风险偏好和风险承受能力通俗而言就是指企业承担什么样的风险以及承担多少风险。董事会在充分考虑企业风险管理总风险以及承担多少风险。董事会在充分考虑企业风险

40、管理总体目标、风险偏好及风险承受度之后，批准企业的风险管理体目标、风险偏好及风险承受度之后，批准企业的风险管理策略和重大风险管理解决方案。策略和重大风险管理解决方案。 （一）审议并向股东（大）会提交企业全面风险管理年度工一）审议并向股东（大）会提交企业全面风险管理年度工作报告；作报告； 由董事会审议并向股东（大）会提交企业全面风险管理年由董事会审议并向股东（大）会提交企业全面风险管理年度工作报告，并将这项工作作为董事会在风险管理中的首度工作报告，并将这项工作作为董事会在风险管理中的首要职责，这是过去没有明确的。此次提出，是从制度体系要职责，这是过去没有明确的。此次提出，是从制度体系上明确董事会

41、在企业全面风险管理中的重要职责，使董事上明确董事会在企业全面风险管理中的重要职责，使董事会的责任更加明确化、具体化。会的责任更加明确化、具体化。 （二）确定企业风险管理总体目标、风险偏好、风险承受度，（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；批准风险管理策略和重大风险管理解决方案； 董事会是企业决策的制定者，同时在全面风险管理中担当董事会是企业决策的制定者，同时在全面风险管理中担当着统领全局的重要角色。着统领全局的重要角色。 风险偏好和风险承受能力通俗而言就是指企业承担什么样风险偏好和风险承受能力通俗而言就是指企业承担什么样的风险以及承担多少

42、风险。董事会在充分考虑企业风险管的风险以及承担多少风险。董事会在充分考虑企业风险管理总体目标、风险偏好及风险承受度之后，批准企业的风理总体目标、风险偏好及风险承受度之后，批准企业的风险管理策略和重大风险管理解决方案。险管理策略和重大风险管理解决方案。（三）了解和掌握企业面临的各项重大风险及其风险管（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；理现状，做出有效控制风险的决策；董事应从宏观层面上，如国家大的方针政策、行业发展董事应从宏观层面上，如国家大的方针政策、行业发展态势、竞争对手的竞争格局，甚至国际政治经济重大变态势、竞争对手的竞争格局，甚至国际政治经济重大

43、变化等方面，了解这些情况、掌握这些信息，才能做出有化等方面，了解这些情况、掌握这些信息，才能做出有效控制风险的决策。效控制风险的决策。（四）批准重大决策、重大风险、重大事件和重要业务（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；流程的判断标准或判断机制；公司董事在业务判断、企业管理、会计与财务、危机反公司董事在业务判断、企业管理、会计与财务、危机反应、行业知识、国际市场经验、战略远见中的某个或某应、行业知识、国际市场经验、战略远见中的某个或某几个领域具有丰富的知识与阅历。在利用这些知识与阅几个领域具有丰富的知识与阅历。在利用这些知识与阅历的基础上，董事应对企业的重大

44、决策、重大风险、重历的基础上，董事应对企业的重大决策、重大风险、重大事件和重要业务流程进行全面深刻的了解，并能够做大事件和重要业务流程进行全面深刻的了解，并能够做出自己的独立判断。出自己的独立判断。（五）批准重大决策的风险评估报告；（五）批准重大决策的风险评估报告；企业管理层对一些重大事项的决策提出风险评估报告，企业管理层对一些重大事项的决策提出风险评估报告，由董事会进行评估与判断（个案的判断）。对这些个由董事会进行评估与判断（个案的判断）。对这些个案的评估与判断是对企业日常经营以及重大决策风险案的评估与判断是对企业日常经营以及重大决策风险控制的。控制的。（六）批准内部审计部门提交的风险管理监

45、督评价审（六）批准内部审计部门提交的风险管理监督评价审计报告；计报告；内部审计部门所进行的风险管理是在一般职能部门所内部审计部门所进行的风险管理是在一般职能部门所进行的风险管理基础上的再监督，其提交的风险管理进行的风险管理基础上的再监督，其提交的风险管理监督评价报告应包括三个方面内容：第一，评估风险监督评价报告应包括三个方面内容：第一，评估风险识别的充分性；第二，评价已有风险衡量的恰当性；识别的充分性；第二，评价已有风险衡量的恰当性；第三，评估风险防范措施的充分性，并提出改进措施。第三，评估风险防范措施的充分性，并提出改进措施。（七）批准风险管理组织机构设置及其职责方案；（七）批准风险管理组织

46、机构设置及其职责方案；企业应当根据各自的业务特点与企业组织架构的具体企业应当根据各自的业务特点与企业组织架构的具体情况，灵活设置风险管理组织机构。其中，对于风险情况，灵活设置风险管理组织机构。其中，对于风险职能部门是单独设立，还是将其职责放到某个其他机职能部门是单独设立，还是将其职责放到某个其他机构中，由董事会做出判断。构中，由董事会做出判断。（八）批准风险管理措施，纠正和处理任何组（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定织或个人超越风险管理制度做出的风险性决定的行为；的行为；其实质是由董事会对内部违规性行为作出处理。其实质是由董事会对内部违规性行为作出

47、处理。（九）督导企业风险管理文化的培育；（九）督导企业风险管理文化的培育；风险管理文化的培育是企业全面风险管理的基风险管理文化的培育是企业全面风险管理的基础工作。础工作。（十）全面风险管理其他重大事项。（十）全面风险管理其他重大事项。具备条件具备条件的企业，董事会可下设风险管理委员会。的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，

48、以及具备风险管理重要管理及业务流程的董事，以及具备风险管理监管知识或经验，具有一定法律知识的董事。监管知识或经验，具有一定法律知识的董事。 战略战略委员委员会会风险风险管理管理委员委员会会审计审计委员委员会会薪酬薪酬委员委员会会提名提名委员委员会会董事会董事会常设常设 对于对于“具备条件企业具备条件企业”的理解：的理解： 第一，从企业规模上理解。大企业或特大第一，从企业规模上理解。大企业或特大型企业具备设立风险管理委员会的条件，型企业具备设立风险管理委员会的条件，特别是特大型企业，原则上都应该设立风特别是特大型企业，原则上都应该设立风险管理委员会。险管理委员会。 第二，从企业经营类型上理解。若

49、企业所第二，从企业经营类型上理解。若企业所经营的业务风险度高，则应设立风险管理经营的业务风险度高，则应设立风险管理委员会；若企业业务风险度小，则可以不委员会；若企业业务风险度小，则可以不设风险管理委员会。设风险管理委员会。 风险管理委员会对董事会负责，主要履行以下职责：风险管理委员会对董事会负责，主要履行以下职责：（一）提交全面风险管理年度报告；（一）提交全面风险管理年度报告；（二）审议风险管理策略和重大风险管理解决方案；二）审议风险管理策略和重大风险管理解决方案；（三）审议重大决策、重大风险、重大事件和重要业务流程（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及

50、重大决策的风险评估报告；的判断标准或判断机制，以及重大决策的风险评估报告；（四）审议内部审计部门提交的风险管理监督评价审计综合（四）审议内部审计部门提交的风险管理监督评价审计综合报告；报告；（五）审议风险管理组织机构设置及其职责方案；（五）审议风险管理组织机构设置及其职责方案；（六）办理董事会授权的有关全面风险管理的其他事项。（六）办理董事会授权的有关全面风险管理的其他事项。 董事会董事会风险管理委员会风险管理委员会总经理总经理 提交全面风险管理年度报告提交全面风险管理年度报告咨询、建议咨询、建议企业总经理对全面风险管理工作的有效性向企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总

51、经理委托的高级董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机工作，负责组织拟订企业风险管理组织机构设置及其职责方案。构设置及其职责方案。 董事会董事会总经理总经理负责负责监督监督 全面风全面风险管理险管理工作的工作的有效性有效性 股东大会股东大会负责负责监督监督企业应在董事会下设立审计委员会，企业内部审计部门对审企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合计委员会负责。审计委员会和内部审计部门的职责应符合中央企业内部审计管理暂行办法中央企业

52、内部审计管理暂行办法（国资委令第（国资委令第8 8号）的号）的有关规定。内部审计部门在风险管理方面，主要负责研究有关规定。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。开展监督与评价，出具监督评价审计报告。 负责负责 董事会董事会审计委员会审计委员会 内部审计内部审计部门部门其他职能其他职能部门部门 监督指导监督指导总经理总经理 审计委员会在公司的组织结构中隶属于董事会，是董事会审计委员会在公司的组织结构中隶属于董事会，是董事会下属的一个专门委员会，一般由下属

53、的一个专门委员会，一般由3-53-5名独立董事组成。从公名独立董事组成。从公司整体组织架构而言，审计委员会的地位要高于内部审计司整体组织架构而言，审计委员会的地位要高于内部审计部门，并形成对其的一种监督关系。通过对内部审计的监部门，并形成对其的一种监督关系。通过对内部审计的监督而与之保持信息的沟通与互动，审计委员会可以充分利督而与之保持信息的沟通与互动，审计委员会可以充分利用内部审计的资源优势，更好地履行职责。用内部审计的资源优势，更好地履行职责。 企业审计委员会应当履行一下主要职责：企业审计委员会应当履行一下主要职责： 审议企业年度内部审计工作计划；审议企业年度内部审计工作计划； 监督企业内

54、部审计质量与财务信息披露；监督企业内部审计质量与财务信息披露； 监督企业内部审计机构负责人的任免，提出有关意见；监督企业内部审计机构负责人的任免，提出有关意见； 监督企业社会中介审计等机构的聘用、更换和报酬支付；监督企业社会中介审计等机构的聘用、更换和报酬支付； 审查企业内部控制程序的有效性，并接受有关方面的投审查企业内部控制程序的有效性，并接受有关方面的投诉；诉； 其他重要审计事项。其他重要审计事项。二、三道防线第一道防线：业务单位防线第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线常工作

55、中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防位的工作与流程中，才能建立好防范风险的第一道防线线如何建立第一道防线如何建立第一道防线1.了解企业战略目标及可能影响企业达标的风险2.识别风险类别3.对相关风险作出评估4.决定转移、避免或减低风险的策略5.计设及实施风险策略的相关内部控制企业建立的第一道防线，就是要各业务单位就其战略性风险、信用风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存企业需要把评估风险与

56、内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新档，对内控措施的有效性不断进行测试和更新管理层管理层ceo第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会第二道防线：风险管理单位防第二道防线：风险管理单位防线线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，险方面的工作，它的职

57、责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金 建立高效的风险管理职能部门应当遵建立高效的风险管理职能部门应当遵循两个基本准则循两个基本准则: :一是风险管理职能部门必须具备高度一是风险管理职能部门必须具备高度独立性，以提供最佳的风险规避策独立性，以提供最佳的风险规避策略略; ;二是风险管理职能部门不具备或具备二是风险管理职能部门不具备或具备非常有限的风险管理策略执行权，非常有限的风险管理策略执行权，以降低运营风险以降低运营风险

58、( (例如道德风险等例如道德风险等) )“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。” 美国内部审计师协会美国内部审计师协会第三道防线：内审单位防线第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：内部审计的三大功能内部审计的三大功能 财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况 经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程

59、中的偏差和失误典型例子：企业对某业务单位或某部门执行效益审计(一个输入与产出的关系) 咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子： 兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略理 解 期 望分 析 相 关 程 序 及 风 险 汇 报 结 果确 认 相 关 程 序 及 风 险 跟 踪理 解 、 分 析 经 营 状 况理 解 企 业 经 营 战 略， 目 标 企企 业业 整整 体体 经经 营营 风风 险险 分分 析析理 解 有 关 业 绩 衡 量 指 标了 解 有 关 程 序理 解 分

60、析 相 关 经 营 风 险 及 内 部 控 制评评 估估 具具 体体 程程 序序 的的 有有 效效 性性 及及 缺缺 陷陷评评 估估 具具 体体 程程 序序 内内 的的 风风 险险测测 试试 现现 有有 的的 控控 制制 程程 序序 确确 认认 控控 制制 弱弱 点点 原原 因因 补补 救救 措措 施施 程程 序序 改改 进进 程程 序序 测测 试试 程程 序序 分分 析析内部审计过程简介构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素1. 1.股东确立对企业监督的机制，考虑是否需要在集团层股东确立对企业监督的机制，考虑是否需要在集团层面：面：引入以董事会领导的管理体制聘任有经验的外部董事