全面风险管理培训

1、全面风险管理培训授课授课目标目标第二页，共57页。目录目录何为风险？为什么要管理风险？何为风险？为什么要管理风险？风险管理概述风险管理概述民生人寿的风险管理实践民生人寿的风险管理实践第三页，共57页。风险的概念风险的概念中国古人对风险的认识中国古人对风险的认识天有不测风云，人有旦夕祸福。天有不测风云，人有旦夕祸福。祸兮福所倚，福兮祸所伏。祸兮福所倚，福兮祸所伏。 现代学界对风险的定义现代学界对风险的定义风险是指在一定情况下的不确定性，此不风险是指在一定情况下的不确定性，此不确定性是指确定性是指1 1发生与否不确定发生与否不确定2 2发生时发生时间不确定间不确定3 3发生状况不确定发生状况不确定

2、4 4发生的后发生的后果严重程度不确定果严重程度不确定企业风险指在企业经营的各种活动中发企业风险指在企业经营的各种活动中发生损失的可能性生损失的可能性第四页，共57页。由于旗下金融产品公司由于旗下金融产品公司(AIGFP(AIGFP大量购置和发行以次贷为抵押大量购置和发行以次贷为抵押品的担保债务权证品的担保债务权证(CDOs)(CDOs)和信和信用违约互换用违约互换(CDS)(CDS)，导致整个，导致整个集团资金链出现中断，引发次集团资金链出现中断，引发次贷危机。贷危机。原因：原因：- -母公司母公司AIGAIG近年来放松了对近年来放松了对AIGFPAIGFP的管治的管治 ，很少过问其业务，很

3、少过问其业务-AIG-AIG内设工作机制未发挥其应内设工作机制未发挥其应有监视作用有监视作用-AIG-AIG在对超级信用违约互换的估值在对超级信用违约互换的估值方面存在严重的缺陷。方面存在严重的缺陷。 8989年的经营历史年的经营历史总资产规模超过总资产规模超过1 1万亿美元万亿美元全球顶级金融保险集团全球顶级金融保险集团AIGAIG悲剧悲剧第五页，共57页。平安富通事件平安富通事件作为中国保险行业第一个海外战略投资，平安不断买入作为中国保险行业第一个海外战略投资，平安不断买入富通股票，成为富通单一的最大股东。富通股票，成为富通单一的最大股东。富通股票价值大大缩水，给平安带来富通股票价值大大缩

4、水，给平安带来238238亿元人民币浮亏亿元人民币浮亏近近9595的伤痛的伤痛 。原因原因 - -投资过于激进投资过于激进 - -投资过于单一。不能把鸡蛋放在同一个篮子里投资过于单一。不能把鸡蛋放在同一个篮子里 - -投资价值未进展有效评估投资价值未进展有效评估第六页，共57页。新华人寿挪用资金案新华人寿挪用资金案前新华人寿董事长关国亮实际控制新华人寿前新华人寿董事长关国亮实际控制新华人寿8 8年间，累计挪用年间，累计挪用公司资金公司资金130130亿元，将新华人寿资金大规模用于违规投资、亿元，将新华人寿资金大规模用于违规投资、担保或拆借。担保或拆借。原因原因- -公司管理缺乏有效性、合规性公

5、司管理缺乏有效性、合规性- -资金使用授权管理不健全资金使用授权管理不健全- -监控机制不健全监控机制不健全第七页，共57页。美国安然公司美国安然公司 (Enron)倒闭案倒闭案安然公司曾是美国最大的石油和天然气企业之一，在安然公司曾是美国最大的石油和天然气企业之一，在20002000年年? ?财富财富? ?世界世界500500强排名第强排名第1616位位第八页，共57页。安然的董事会及审计委员会均采取不干预安然的董事会及审计委员会均采取不干预(“hands-(“hands-offoff) ) 监控政策监控政策事件发生之后，局部董事表示不太了解安然的财事件发生之后，局部董事表示不太了解安然的财

6、务状况、期货及期权的业务务状况、期货及期权的业务安然重视短期的业绩指标安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度安然管理高层常常藐视或推翻公司制定的内控制度 调查发现调查发现第九页，共57页。美国世通公司美国世通公司 (Worldcom)舞弊案舞弊案世通是美国第二大电信公司世通是美国第二大电信公司20022002年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来虚报利润虚报利润735735亿美元亿美元世通于世通于20022002年末申请破产保护令，成为美国历史上最大的破产个案年末申

7、请破产保护令，成为美国历史上最大的破产个案世通的四名主管世通的四名主管( (包括公司的包括公司的CEOCEO和和CFO) CFO) 成认串谋讹诈，被联邦法院刑事起诉成认串谋讹诈，被联邦法院刑事起诉 第十页，共57页。世通的董事会持续赋予公司的世通的董事会持续赋予公司的CEO(Bernard Ebbers) CEO(Bernard Ebbers) 绝绝对的权力，让他一人独揽大权对的权力，让他一人独揽大权美国证监会的调查报告指出：世通完全没有制衡机美国证监会的调查报告指出：世通完全没有制衡机制制世通的董事会并没有负起监视管理层的责任世通的董事会并没有负起监视管理层的责任世通为公司的高级管理层提供丰

8、厚世通为公司的高级管理层提供丰厚( (不合理不合理) )的薪酬的薪酬和奖金和奖金调查发现调查发现第十一页，共57页。由案例得出的启示与思考由案例得出的启示与思考风险无时无处不在，对风险的态度和行为，可以决定企业的兴衰成败风险无时无处不在，对风险的态度和行为，可以决定企业的兴衰成败过于追求高回报，却无视随之而来的高风险，迟早会导致严重的损失过于追求高回报，却无视随之而来的高风险，迟早会导致严重的损失但风险并非都是坏事，对保险业而言，本身就是在经营风险以获取回报，消极地回避风险，但风险并非都是坏事，对保险业而言，本身就是在经营风险以获取回报，消极地回避风险，只会被市场淘汰只会被市场淘汰赢家都是能够

9、平衡好增长、收益和风险的强者赢家都是能够平衡好增长、收益和风险的强者那优秀的风险管理又是怎样做的呢？那优秀的风险管理又是怎样做的呢？第十二页，共57页。调查收到全球调查收到全球 111 111 家金融机构的回复，这些机构的总资产超过家金融机构的回复，这些机构的总资产超过 19 19 万亿美元，万亿美元，其中包括其中包括 9 9 家中国大中型银行和保险公司。家中国大中型银行和保险公司。调查显示，调查显示，49% 49% 的受访机构已经完全或充分地将风险管理职责融入高管人员的的受访机构已经完全或充分地将风险管理职责融入高管人员的绩效目标与薪酬决策；绩效目标与薪酬决策；77% 77% 的受访机构的董

10、事会承担了风险监管与治理的整体责的受访机构的董事会承担了风险监管与治理的整体责任，而任，而 63% 63% 的受访机构拥有经正式批准的风险偏好声明；的受访机构拥有经正式批准的风险偏好声明；73% 73% 的受访机构设有的受访机构设有 CROCRO首席风险官或同等职位；已有首席风险官或同等职位；已有 36% 36% 的受访机构有全面企业风险管理的受访机构有全面企业风险管理enterprise risk managemententerprise risk management，ERMERM，但另有，但另有 23% 23% 的受访机构正在创立中。的受访机构正在创立中。在资产不少于在资产不少于 1,0

11、00 1,000 亿美元的受访机构中，亿美元的受访机构中，58% 58% 已有已有 ERM ERM 方案。有方案。有 ERM ERM 方案方案的机构都觉得该方案非常有价值：的机构都觉得该方案非常有价值：85% 85% 的高管人员称其的高管人员称其 ERM ERM 方案带来的总价值方案带来的总价值包括可计量及不可计量的价值已经超过了所付出的本钱包括可计量及不可计量的价值已经超过了所付出的本钱 德勤全球金融效劳业风险管理状态调查德勤全球金融效劳业风险管理状态调查第十三页，共57页。目录目录何为风险？为什么要管理风险？风险管理概述内部控制风险管理风险监视民生人寿的风险管理实践第十四页，共57页。 风

12、险管理的开展阶段风险管理的开展阶段雏形阶段雏形阶段 4000 4000多年前，我国皮货商人的损失分担运货；公元前多年前，我国皮货商人的损失分担运货；公元前916916年国外的共同海损年国外的共同海损制度等制度等初期阶段，平安管理阶段初期阶段，平安管理阶段 19 19 世纪世纪4040年代以来，现代企业的形成，风险多元化，一些大企业开场重视自己的年代以来，现代企业的形成，风险多元化，一些大企业开场重视自己的经营平安问题。经营平安问题。保险管理阶段保险管理阶段 20 20世纪世纪3030年代出现了保险，进入了保险管理的时代，开场运用保险来躲避某些常年代出现了保险，进入了保险管理的时代，开场运用保险

13、来躲避某些常见的风险。见的风险。风险管理阶段风险管理阶段 20 20世纪中期以来，陆续发生了一些重大的人为和自然灾害事件，美国企业界世纪中期以来，陆续发生了一些重大的人为和自然灾害事件，美国企业界和学术界开场认识到风险管理的重要性。和学术界开场认识到风险管理的重要性。全面风险管理阶段全面风险管理阶段 21 21世纪以来，动态风险管理，整体风险管理，全面风险管理，公司治理，内部控世纪以来，动态风险管理，整体风险管理，全面风险管理，公司治理，内部控制，上市公司监管有了飞速的开展制，上市公司监管有了飞速的开展第十五页，共57页。内内 部部 环环 境境战战 略略目目 标标 设设 定定风风 险险 识识

14、别别风风 险险 评评 估估风风 险险 应应 对对控控 制制 活活 动动信息与沟通信息与沟通监监 控控经经 营营报报 告告合规合规分分支支机机构构业业务务单单位位职职能能部部门门企企业业整整体体COSO全面风险管理全面风险管理(ERM)的框架的框架COSOCOSO是美国全国虚假财务报告委员会下属的发是美国全国虚假财务报告委员会下属的发起人委员会的英文缩写。起人委员会的英文缩写。19921992年年COSOCOSO公布了公布了? ?内内部控制部控制综合框架综合框架? ?也称也称“COSO“COSO内部控制框架内部控制框架并于并于20042004年得到美国证券交易委员会的认同，年得到美国证券交易委员

15、会的认同，目前目前COSOCOSO框架已正式成为美国上市公司内部控制框架已正式成为美国上市公司内部控制框架的参照性标准。框架的参照性标准。四种目标用垂直方向的表示，八个构成要素四种目标用垂直方向的表示，八个构成要素用水平方向的行表示，一个主体内的各个单用水平方向的行表示，一个主体内的各个单元用第三个维度表示。元用第三个维度表示。可以从整体上关注一个主体的风险管理，也可可以从整体上关注一个主体的风险管理，也可以从目标类别、构成要素或主体单元的角度，乃以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度加以认识。至其中的任何一个分项的角度加以认识。目标目标要素要素涉及的管理层级涉及

16、的管理层级第十六页，共57页。COSOCOSO内控框架的渊源内控框架的渊源? ?萨班斯萨班斯奥克斯利奥克斯利? ?SOXSOX法案法案 COSO COSO内控框架的应用目的内控框架的应用目的于于20022002年公布的萨班斯法案，其目的是确保准确的财务状年公布的萨班斯法案，其目的是确保准确的财务状况报告及公开，以重塑公众对公司营业报告的信任；其核况报告及公开，以重塑公众对公司营业报告的信任；其核心理念是强化公司高管的财务报告和信息披露的责任，强心理念是强化公司高管的财务报告和信息披露的责任，强调公司治理和内部控制的重要性，提高外部审计的独立性。调公司治理和内部控制的重要性，提高外部审计的独立性

17、。萨班斯法案对企业管理者所需要承担的法律责任更加严格。萨班斯法案对企业管理者所需要承担的法律责任更加严格。法案要求上市公司的管理者必须为公司对外披露的财务报法案要求上市公司的管理者必须为公司对外披露的财务报告负责，一旦出现类似安然事件的情况，公司的管理者甚告负责，一旦出现类似安然事件的情况，公司的管理者甚至可能会被判入狱。因此许多企业的高层管理人员对此法至可能会被判入狱。因此许多企业的高层管理人员对此法案高度重视，千方百计地保证企业满足萨班斯法案的要求。案高度重视，千方百计地保证企业满足萨班斯法案的要求。 与公司相关度最高的有与公司相关度最高的有404404条款。条款。第十七页，共57页。40

18、4404条款条款 管理层对内部控制的评估规定，除对内部控制系统的有效性管理层对内部控制的评估规定，除对内部控制系统的有效性进展报告之外，上市公司还须负责保持内部控制系统的有效运进展报告之外，上市公司还须负责保持内部控制系统的有效运行。行。 主要内容主要内容- -管理层对建立和维护与财务报表相关的内部控制充足管理层对建立和维护与财务报表相关的内部控制充足的责任的声明；的责任的声明；- -管理层对有关公司最近财务年度末与财务报表相关的内管理层对有关公司最近财务年度末与财务报表相关的内部控制有效性评估的声明；部控制有效性评估的声明；- -识别管理层用以评价有关财务报告相关内部控制有效性的框识别管理层

19、用以评价有关财务报告相关内部控制有效性的框架的声明，以及外部审计师已就管理层的评估结果发表鉴证报架的声明，以及外部审计师已就管理层的评估结果发表鉴证报告的声明。告的声明。 第十八页，共57页。全面风险管理八要素全面风险管理八要素风险管理八要素风险管理八要素内内 容容内部环境内部环境内部环境包含主体的风险管理理念、风险容量、董事会监督、人员诚信和胜任能力、内部环境包含主体的风险管理理念、风险容量、董事会监督、人员诚信和胜任能力、道德价值观、管理层的职责分工和权力分配等。道德价值观、管理层的职责分工和权力分配等。目标设定目标设定是指一个主体力图实现什么，包括战略目标、经营目标、报告目标、合规目标等

20、四是指一个主体力图实现什么，包括战略目标、经营目标、报告目标、合规目标等四大类。大类。事件识别事件识别是指识别可能对公司的目标达成产生影响的潜在事项，包括代表风险的事项和代表是指识别可能对公司的目标达成产生影响的潜在事项，包括代表风险的事项和代表机会的事项，以及可能二者兼有的事项。机会的事项，以及可能二者兼有的事项。风险评估风险评估风险评估是指公司对已识别的风险进行分析，以便形成如何对其管理的依据。风险评估是指公司对已识别的风险进行分析，以便形成如何对其管理的依据。风险对策风险对策是指选择和确定应对风险的工具，包括规避、承担、降低和分担风险。是指选择和确定应对风险的工具，包括规避、承担、降低和

21、分担风险。控制活动控制活动控制活动是企业根据风险评估结果，采用相应有效的控制措施，将风险控制在可承控制活动是企业根据风险评估结果，采用相应有效的控制措施，将风险控制在可承受的范围之内。受的范围之内。信息与沟通信息与沟通信息与沟通是公司及时准确地收集、传递与风险管理、内部控制相关的信息，确保信息与沟通是公司及时准确地收集、传递与风险管理、内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。信息在公司内部、公司与外部之间进行有效沟通。内部监督内部监督内部监督是公司对风险管理、内部控制建立与实施情况进行监督检查，评价内部控内部监督是公司对风险管理、内部控制建立与实施情况进行监督检查，

22、评价内部控制的有效性。发现内部控制缺陷，应当及时加以改进。制的有效性。发现内部控制缺陷，应当及时加以改进。第十九页，共57页。保险企业风险分类保险企业风险分类战略风险战略风险保险风险保险风险市场风险市场风险信用风险信用风险操作风险操作风险业务风险业务风险声誉风险声誉风险 流动性风险流动性风险第二十页，共57页。战略风险战略风险保险风险保险风险市场风险市场风险信用风险信用风险操作风险操作风险业务风险业务风险声誉风险声誉风险 流动性风险流动性风险由于战略制定和实施的流程无效或由于战略制定和实施的流程无效或经营环境的变化，而导致战略与市经营环境的变化，而导致战略与市场环境和公司能力不匹配的风险。场环

23、境和公司能力不匹配的风险。由于死亡率、疾病率、赔付率、退由于死亡率、疾病率、赔付率、退保率等精算假设的实际经历与预期保率等精算假设的实际经历与预期发生偏离而造成损失的风险。发生偏离而造成损失的风险。第二十一页，共57页。战略风险战略风险保险风险保险风险市场风险市场风险信用风险信用风险操作风险操作风险业务风险业务风险声誉风险声誉风险 流动性风险流动性风险由于利率、汇率、权益价格和商品由于利率、汇率、权益价格和商品价格等的不利变动而使公司遭受非价格等的不利变动而使公司遭受非预期损失的风险。预期损失的风险。由于债务人或交易对手不能履行或按由于债务人或交易对手不能履行或按时履行其合同义务，或者信用状况

24、的时履行其合同义务，或者信用状况的不利变动而导致的风险不利变动而导致的风险. .第二十二页，共57页。战略风险战略风险保险风险保险风险市场风险市场风险信用风险信用风险操作风险操作风险业务风险业务风险声誉风险声誉风险 流动性风险流动性风险由于不完善的内部操作流程、人员由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间、系统或外部事件而导致直接或间接损失的风险接损失的风险, ,包括法律及监管合包括法律及监管合规风险。规风险。由于业务收入或费用的不利变动而造成由于业务收入或费用的不利变动而造成损失的风险。损失的风险。第二十三页，共57页。战略风险战略风险保险风险保险风险市场风险市场风险信用

25、风险信用风险操作风险操作风险业务风险业务风险声誉风险声誉风险 流动性风险流动性风险由于公司品牌及声誉出现负面事件由于公司品牌及声誉出现负面事件，而使公司遭受损失的风险。，而使公司遭受损失的风险。在债务到期发生给付义务时，由于在债务到期发生给付义务时，由于没有资金来源或必须以较高的本钱没有资金来源或必须以较高的本钱融资而导致的风险。融资而导致的风险。第二十四页，共57页。保险企业风险管理框架保险企业风险管理框架一个根底：企业治理构造一个根底：企业治理构造二个目标：公司利益最大化；履行保险责任二个目标：公司利益最大化；履行保险责任三道防线：内控；风险管理；内部审计三道防线：内控；风险管理；内部审计

26、管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会第二十五页，共57页。企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进展分析、确认、度量、管理和监控场风场和操作风险等等，系统化地进展分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进展记录和存档，对内控措施的有效性不企业需要把评估风险与内控措施的结果进展记录和存档，对内控措施的有效

27、性不断进展测试和更新断进展测试和更新第一道防线第一道防线-内部控制内部控制管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会第二十六页，共57页。? ?企业内部控制根本标准企业内部控制根本标准? ?由财政部、证监会、审计署、银监由财政部、证监会、审计署、银监会、保监会联合制定，于会、保监会联合制定，于20212021年年6 6月月2828日发布，自日发布，自20212021年年7 7月月1 1日起施行。根本标准提出了企业内部控制日起施行。根本标准提出了企业内部

28、控制5 5要素，对要素，对COSOCOSO内内控框架控框架8 8要素做了精简。要素做了精简。 在在? ?企业内部控制根本标准企业内部控制根本标准? ?根底上根底上, ,财政部会同证监会、审财政部会同证监会、审计署、银监会、保监会制定了计署、银监会、保监会制定了? ?企业内部控制应用指引第企业内部控制应用指引第1 1号号组织架构组织架构? ?等等1818项应用指引、项应用指引、? ?企业内部控制评价指引企业内部控制评价指引? ?和和? ?企业内部控制审计指引企业内部控制审计指引? ?以下简称企业内部控制配套指以下简称企业内部控制配套指引。引。第二十七页，共57页。? ?企业内部控制应用指引企业内

29、部控制应用指引? ?对治理架构、开展战略、人力资源、社会责任、企业文化、对治理架构、开展战略、人力资源、社会责任、企业文化、资金活动、采购业务等明确了指相关定义、应关注的风险资金活动、采购业务等明确了指相关定义、应关注的风险等内容。等内容。? ?企业内部控制评价指引企业内部控制评价指引? ?明确了内部控制评价的内容、程序、内部控制缺陷的认定、明确了内部控制评价的内容、程序、内部控制缺陷的认定、内部控制评价报告等。内部控制评价报告等。第二十八页，共57页。COSOCOSO内部控制框架内部控制框架 内部控制将管理、会计等内部控制将管理、会计等方面控制在预想的范围内，方面控制在预想的范围内，目标是减

30、少风险。目标是减少风险。第二十九页，共57页。内部控制目标内部控制目标合理保证经营管理合法合规、资产平安、财务报告及相关信息合理保证经营管理合法合规、资产平安、财务报告及相关信息可靠，提高经营效率和效果，促进公司实现开展战略可靠，提高经营效率和效果，促进公司实现开展战略 内部控制原那么内部控制原那么全面性原那么全面性原那么重要性原那么重要性原那么制衡性原那么制衡性原那么适应性原那么适应性原那么本钱效益原那么本钱效益原那么第三十页，共57页。COSOCOSO内部控制五要素内部控制五要素控制环境控制环境公司管理活动执行人员的操守，以及管理人员实施管理活动公司管理活动执行人员的操守，以及管理人员实施

31、管理活动的环境。的环境。包括：确立企业文化、树立诚信价值观、管理能力、审计委包括：确立企业文化、树立诚信价值观、管理能力、审计委员会与董事会的影响、管理哲学以及管理风格等内容。员会与董事会的影响、管理哲学以及管理风格等内容。风险评估风险评估确立目标与机制以识别、分析和管理风险。包括评估可慎重承确立目标与机制以识别、分析和管理风险。包括评估可慎重承受的风险程度、建立在总公司与分公司层面上识别与分析风险受的风险程度、建立在总公司与分公司层面上识别与分析风险的程序、区分风险上下程度、方案控制活动等内容。的程序、区分风险上下程度、方案控制活动等内容。 第三十一页，共57页。控制活动控制活动 管理当局的

32、指示得以贯彻执行的政策和程序。包括管理当局的指示得以贯彻执行的政策和程序。包括制定政策决定、使政策生效的程序与风险评估结合等制定政策决定、使政策生效的程序与风险评估结合等内容。内容。信息与沟通信息与沟通 及时、准确地收集、传递与内部控制相关的信息，确保信及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进展有效沟通的过程息在企业内部、企业与外部之间进展有效沟通的过程 。监视监视 评价一定时期内内部控制执行质量，并在情况变化下对内评价一定时期内内部控制执行质量，并在情况变化下对内控进展适当的修改。控进展适当的修改。 第三十二页，共57页。人 员 招 聘 及 培 训人

33、员 考 核 制 度人 员 轮 休 制 度人 员 控 制不 相 容 职 务 分 离岗 位 责 任 制业务 流 程组 织 控 制预 算 控 制会 计 控 制内 部 审 计风 险 财务 管 理财 务 控 制采 购 制度保 管 制度盘 点 制度实 物 控 制内 部 控 制内部控制制度框架内部控制制度框架第三十三页，共57页。第二道防线第二道防线风险管理风险管理现有风险现有风险潜在风险潜在风险 风险识风险识别别 风险评风险评估估可能性可能性重大程度重大程度评级与应评级与应对对 风险监风险监察察风险评级风险评级应对评级应对评级风险应对风险应对降低降低躲避躲避转移转移保存保存检查检查审计审计第三十四页，共5

34、7页。风险识别风险识别 风险识别是指查找企业各业务单元、风险识别是指查找企业各业务单元、各项重要经各项重要经营活动及其重要业务流程中有无风险，有营活动及其重要业务流程中有无风险，有哪些风险。哪些风险。 风险识别是一项持续性的工作。风险识别是一项持续性的工作。 通过风险识别，将识别出来的各种风通过风险识别，将识别出来的各种风险进展整理险进展整理和归类，形成公司风险库。和归类，形成公司风险库。 公司至少每年开展一次全面风险识别公司至少每年开展一次全面风险识别工作。工作。第三十五页，共57页。识别内部风险应关注的因素识别内部风险应关注的因素- -公司治理因素公司治理因素- -组织因素组织因素- -技

35、术因素技术因素- -经营管理因素经营管理因素识别外部风险应关注的因素识别外部风险应关注的因素- -社会因素社会因素- -经济因素经济因素- -政治因素政治因素- -自然因素自然因素第三十六页，共57页。风险评估风险评估积累历史损失数据，建立损失数据库积累历史损失数据，建立损失数据库评估内容评估内容- -风险发生的可能性风险发生的可能性可能性是风险在指定时间内发生的概率。可能性是风险在指定时间内发生的概率。- -影响程度影响程度影响程度是当风险发生后，对公司的财务、声誉、影响程度是当风险发生后，对公司的财务、声誉、监管和营运等方面的影响程度监管和营运等方面的影响程度。第三十七页，共57页。评估对

36、象评估对象- -固有风险固有风险: :是在没有采取任何措施的情况下公司面临的是在没有采取任何措施的情况下公司面临的风险。风险。- -剩余风险是在公司采取风险应对和控制后公司所面临的风剩余风险是在公司采取风险应对和控制后公司所面临的风险。险。风险评估频率风险评估频率- -每年至少组织一次风险评估。每年至少组织一次风险评估。第三十八页，共57页。风险发生的可能性风险发生的可能性评分评分可能性可能性说明说明5 5几乎肯定几乎肯定 在未来在未来1212个月内，这项风险几乎肯定会出现个月内，这项风险几乎肯定会出现至少至少1 1次次4 4极可能极可能在未来在未来1212个月，这项风险极可能出现个月，这项风

37、险极可能出现1 1次次3 3可能可能在未来在未来2 2至至1010年内，这项风险可能出现年内，这项风险可能出现1 1次次2 2低低在未来在未来1010至至100100年内，这项风险可能出现至年内，这项风险可能出现至少少1 1次次1 1极低极低这项风险出现的可能性极低，估计在这项风险出现的可能性极低，估计在100100年年内出现的可能性少于内出现的可能性少于1 1次次第三十九页，共57页。评分评分 损失程度损失程度说明说明5 5灾难灾难令企业失去继续运作的能力令企业失去继续运作的能力( (或占税前利润或占税前利润达达20%)20%)4 4重大重大对于企业在争取完成其策略性计划和目标，对于企业在争

38、取完成其策略性计划和目标，造成重大影响造成重大影响(5-10%(5-10%税前利润税前利润) )3 3中等中等对于企业在争取完成其策略性计划和目标的对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍过程，在一定程度上造成阻碍( (至至5%5%税前利税前利润润) )2 2轻微轻微对于企业在争取完成其策略性计划和目标，对于企业在争取完成其策略性计划和目标，只造成轻微影响只造成轻微影响( (至至1%1%税前利润税前利润) )1 1近乎没有近乎没有 影响程度十分轻微影响程度十分轻微风险对企业造成的影响风险对企业造成的影响第四十页，共57页。评分评分有效性有效性说明说明5 5极度过头极度过

39、头 处理方法能直接针对该项风险，但相信会处理方法能直接针对该项风险，但相信会令企业业绩令企业业绩 “倒退倒退” 或成本过高或成本过高4 4过头过头处理方法能直接针对该项风险，但由于需处理方法能直接针对该项风险，但由于需要投入大量资源或要投入大量资源或/ /及将其他资源转到处理及将其他资源转到处理该项风险上，会对企业的效率造成影响该项风险上，会对企业的效率造成影响3 3适中适中处理方法有效针对该项风险，同时并不影处理方法有效针对该项风险，同时并不影响企业的效率响企业的效率2 2低效低效处理方法针对该项风险的效果不理想，或处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或投入处理该风

40、险的资源不充分或/ /及对投入及对投入的资源未有适当利用的资源未有适当利用1 1近乎没有近乎没有 效果效果处理方法的效果十分低，可能是由于企业处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当根本没有处理方法，又或处理手法不当风险处理方法的效果风险处理方法的效果第四十一页，共57页。风险评估工具风险评估工具风险地图举例风险地图举例影响影响程度程度近乎没有近乎没有 轻微轻微中等中等重大重大灾难灾难几乎几乎 肯定肯定极可能极可能可能可能低低极极低低BCAGIDJKHEF可可能能性性说明说明: :A A 人力资源风险人力资源风险B B 财务风险财务风险C C 竞争风险竞争风险D

41、D 开发风险开发风险E E 过度自信风险过度自信风险F F 系统故障风险系统故障风险G G 主要客户风险主要客户风险H H 欺诈风险欺诈风险I I 政治风险政治风险J J 薪酬奖励风险薪酬奖励风险K K 科技风险科技风险第四十二页，共57页。风险处理组合风险处理组合举例举例 处理评级处理评级风风险险评评级级近乎没有效果近乎没有效果低效低效适中适中超标超标极度极度极高极高高高中等中等低低B CAGIDJKHE说明说明: :A A 人力资源风险人力资源风险B B 财务风险财务风险C C 竞争风险竞争风险D D 开发风险开发风险E E 过度自信风险过度自信风险F F 系统故障风险系统故障风险G G

42、主要客户风险主要客户风险H H 欺诈风险欺诈风险I I 政治风险政治风险J J 薪酬奖励风险薪酬奖励风险K K 科技风险科技风险F采取行动采取行动密切监控密切监控定期审阅定期审阅第四十三页，共57页。躲避躲避-制止交易制止交易-减少或限制交易量减少或限制交易量-离开市场离开市场转移转移-保险保险-策略性联盟策略性联盟-出售出售降低降低 -去杠杆化去杠杆化 -套期套期-订价反映风险程度订价反映风险程度 保存保存-预留储藏预留储藏 -增加监视增加监视风险风险应对策略应对策略影响程影响程度度大大小小可可能能性性转移转移规避规避降低降低保留保留高高低低第四十四页，共57页。风险控制措施风险控制措施建立

43、完善相应的管理政策和制度建立完善相应的管理政策和制度改善相应业务流程改善相应业务流程完善相应的内部控制机制完善相应的内部控制机制建立风险持续监控体系建立风险持续监控体系第四十五页，共57页。第三道防线第三道防线风险监视风险监视监视内容监视内容 对风险管理健全性、合理性、有效性进展监视检查对风险管理健全性、合理性、有效性进展监视检查监视层次监视层次- -各部门和业务单位对自身风险管理监视和自查各部门和业务单位对自身风险管理监视和自查- -风险管理部门对各部门和业务单位风险管理工作实施情风险管理部门对各部门和业务单位风险管理工作实施情况和有效性进展监视检查况和有效性进展监视检查- -审计部门定期对

44、全面风险管理体系与流程执行情况及有审计部门定期对全面风险管理体系与流程执行情况及有效性进展独立监视评价效性进展独立监视评价监视内容监视内容- -持续监视持续监视- -专项监视专项监视第四十六页，共57页。第一代第一代19801980之前之前第二代第二代8080年代年代第三代第三代9090年代年代第四代第四代2121世纪世纪控制控制企业风险企业风险企业风险管理流程企业风险管理流程控制构造控制构造 出发点是已有出发点是已有的流程、程序和的流程、程序和控制控制 以符合性测试以符合性测试为主为主 出发点是财务出发点是财务 风险和符合性风险和符合性 风险风险 确定应该存确定应该存 在的控制在的控制 审计目的是评审计目的是评 估控制的设计、估控制的设计、 运行效果和合运行效果和合 规性规性 出发点是对企出发点是对企 业和各种风险业和各种风险 的充分理解的充分理解 确定应该存确定应该存 在的控制在的控制 审计目的是评审计目的是评 估控制的设计、估控制的设计、 运行效果和合运行效果和合 规性规性 确定应该存在的能确定应该存在的能有效控制风险的企业有效控制风险的企业风险管理流程风险管理流程 评估在各个企业评估在各个企业 风险管理流程的风险管理流程的 设计、运行效果设计、运行效果 和合规性和合规性内部审计的演变历