风险管理体系

1、 风险管理标准 & 风险管理体系2教师介绍n安全工程博士、经济学硕士，教授级高工；n全国风险管理技术委员会委员；n中国职业健康安全协会安全经济学委员会委员;n国家注册质量管理体系高级审核员；n国家注册环境管理体系高级审核员；n国家注册职业健康安全管理体系高级审核员;3 课 程主要内容u 风险管理知识介绍； 风险管理术语 u 国内外主要风险管理法规及标准： 中央企业全面风险管理指引； 风险管理 原则与实施指南（GB-T24353-2009 ）；u 风险管理体系、建立与实施u 风险管理体系与其他体系的关系4Part1第一部分第一部分 风险管理知识介绍风险管理知识介绍5风险管理的起源n风险管理是一门

2、新兴学科，但发展很快，己成为一种国际性的运动，受到了世界各国经济界的重视，在企业管理中得到了广泛而迅速地运用。虽然风险管理思想的萌芽可以追溯到远古时代原始人类的生存活动，但是，作为系统的科学，风险管理则产生于上世纪初产生于上世纪初的西方工业化国家的西方工业化国家。n风险管理起源于德国起源于德国。第一次世界大战之后，战败的德国发生了严重的通货膨胀，造成经济衰竭，提出了包括风险管理在内的企业经营管理问题。6风险管理的起源n美国1929-1933年经济危机，使风险管理问题成为许多经济学家研究的重点： 1931年，由美国管理协会保险部首先提出风险管理概念； 1932年成立纽约保险经纪人协会，该协会的成

3、立标志着风险管理学科的兴起。 n50年代：风险管理问题真正在美国工商企业中引起足够的重视并得到推广（2起事故）：美国通用汽车公司的自动变速器装置引发火灾，造成巨额经济损失；美国钢铁行业因团体人身保险福利问题及退休金问题诱发长达半年的工人罢工，给国民经济带来难以估量的损失。7风险管理的起源n1963年，美国出版的保险手册刊载了企业的风险管理一文，引起欧洲各国的普遍重视。风险管理也成了企业管理科学中一门独立学科。n风险管理已成为一门跨越自然科学和社会科学的边缘学科。它不仅同地质学、生态学、气象学相关，而且与系统工程学、行为科学有密切的联系，是一种包含多类学科的综合经济管理。 8企业的风险n国外统计

4、资料表明：在正常年份宣布破产的企业数量约占国外统计资料表明：在正常年份宣布破产的企业数量约占企业总数的企业总数的1%。日本学术振兴会特别研究员清水刚通过。日本学术振兴会特别研究员清水刚通过研究发现，研究发现，1896年到年到1982年的年的10次总资产排名前次总资产排名前100家家的上市公司中，企业平均寿命为的上市公司中，企业平均寿命为25年。年。n1983年壳牌石油公司的一项调查发现，年壳牌石油公司的一项调查发现，1970年名列年名列财财富富杂志杂志500家大企业排行榜的公司，有家大企业排行榜的公司，有13已经销声匿已经销声匿迹。迹。n许多研究表明，在企业的演进和发展历史中，企业的平均许多研

5、究表明，在企业的演进和发展历史中，企业的平均寿命很低，死亡率很高。但是，与此同时，也有一些百年寿命很低，死亡率很高。但是，与此同时，也有一些百年以上长寿公司，甚至还有存续二、三百年的企业。以上长寿公司，甚至还有存续二、三百年的企业。 9风险类别 n政治法规风险；n经济风险 （利率、汇率的变化）；n商业风险 （如合同关系发生变更）；n决策风险；n生产经营风险；n科技技术风险；n管理风险；n 质量风险；n 环境风险；n 财务风险、审计风险；n 安全生产事故风险；n 自然灾害；n 公共责任风险；n 保安n 其他：党风廉政风险 10企业风险因素市场风险市场风险 外汇风险外汇风险 体制风险体制风险 自然

6、灾害风险自然灾害风险 政策风险政策风险 外交风险外交风险 产品风险产品风险 经营风险经营风险 人事风险人事风险 购并风险购并风险 11国内外主要风险管理标准n我国风险管理国家标准风险管理 术语、 风险管理 原则与实施指南、供应链风险管理指南、公司治理风险管理指南；nISO31000，;nISO/IEC GUIDE 73:2002, nAS/NZS 4360：2004, ；nCOSO, ;nSarbanes-Oxley Act ;nAIRMIC, ALARM, IRM, n中央企业全面风险管理指引，2006.6.6 12 风险管理术语和定义n风险风险 riskrisk 某一特定危害性事件发生的概

7、率和其后果的组合。n n事件事件 eventevent 特定情况的发生。 注1：事件可能是确定的 ，也可能是不确定的； 注2：事件可能是单一的，也可能是系列的。13风险管理术语和定义n风险管理风险管理 risk managementrisk management 指导和控制某一组织的风险风险问题的协调活动。 通俗的定义：风险管理是指经济单位对风险进行识别、衡量、分析，并在此基础上有效地处置风险，以最低成本实现最大安全保障的科学管理方法。n概率概率 probabilityprobability 某一事件发生的可能程度。n后果后果 consequenceconsequence 某一事件事件的结果。

8、14 风险管理术语和定义n风险管理体系风险管理体系 risk management systemrisk management system 组织管理体系中与管理风险有关的要素集合。 注1：管理体系要素可以包括战略规划，决策以及处理风险的其它过程。 注2：组织的文化体现在风险管理体系中。n风险辨识风险辨识 risk identificationrisk identification 发现、列举和描述风险风险要素的过程。15 风险管理术语和定义n风险分析风险分析 risk analysisrisk analysis 系统地运用现有的信息来确定某一事件发生的可能性 和后果。n风险评价风险评价 ri

9、sk evaluationrisk evaluation 将估计后的风险风险与给定的风险准则风险准则对比，来决定风险严重性的过程。n风险处理风险处理 risk treatmentrisk treatment 选择及实施风险风险措施的过程。 注1：术语“风险处理”有时指应对措施本身。 注2：风险处理措施包括规避、优化、转移或保留风险。16风险管理术语和定义n风险评估风险评估 risk assessmentrisk assessment 包括风险识别、风险分析风险分析和风险评价风险评价在内的全部过程。n风险降低风险降低 risk reductionrisk reduction 减少风险风险的消极后

10、果后果，降低其发生概率概率或二者兼有的行为。n风险规避风险规避 risk avoidancerisk avoidance 决定不陷入风险，或者从风险状态中撤离的行为。 注：这个决定可能是以风险评价的结果为依据的。 17 风险管理术语和定义n风险转移风险转移 risk transferrisk transfer 与其它组织共同承担风险损失，共享风险收益的行为。 注1：法律法规可能对某一特定风险的转移进行限制、禁止或强制执行。 注2：风险转移可以通过保险或其它协议来实施。 注3：风险转移可能会引发新的风险也可能会改变现有的风险。 注4：重新安排风险来源不属于风险转移。n风险自留风险自留 risk

11、retentionrisk retention 接受某一特定风险带来的损失或收益。n残余风险残余风险 residual riskresidual risk 风险处理后剩余的风险。18Part2第二部分第二部分 国内风险管理法规与标准介绍国内风险管理法规与标准介绍 1.中央企业全面风险管理指引2006.620第一章总第一章总 则则 n企业风险：指未来的不确定性对企业实现其经营目标的影响。n企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；n企业风险也可分为：纯粹风险、机会风险21全面风险管理的定义n企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流

12、程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。22风险管理基本流程n 收集风险管理初始信息；n 进行风险评估；n 制定风险管理策略；n 提出和实施风险管理解决方案；n 风险管理的监督与改进。23内部控制系统n指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程

13、序和措施。24第二章风险管理初始信息第二章风险管理初始信息n企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测：战略风险；财务风险；市场风险；运营风险；法律风险。25第三章风险评估第三章风险评估n企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估；n风险评估包括风险辨识、风险分析、风险评价三个步骤；n进行风险辨识、分析、评价，应将定性与定量方法相结合 ；n风险评估可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施；26中央企业全面风险管理指引nCHAP4CHAP4风险管理策略风险管理策略; ;nCHAP5CHAP5

14、风险管理解决方案风险管理解决方案: : 外包方案外包方案、内控方案nCHAP6CHAP6风险管理的监督与改进风险管理的监督与改进企业风险管理职能部门定期进行检查和检验企业风险管理职能部门定期进行检查和检验; ;企业内部审计部门应至少每年一次对各有关部门和业务企业内部审计部门应至少每年一次对各有关部门和业务单位进行监督评价单位进行监督评价; ;企业企业可聘请中介机构可聘请中介机构对企业全面风险管理工作进行评价，对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。出具风险管理评估和建议专项报告。 27第七章风险管理组织体系第七章风险管理组织体系n企业应建立健全风险管理组织体系，主要包括

15、规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。n具备条件的企业，董事会可下设风险管理委员会 n企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。 * 参考：公司治理风险管理指南（国家标准）28 中央企业全面风险管理指引nCHAP8风险管理信息系统风险管理信息系统nCHAP9 风险管理文化风险管理文化nCHAP10附则附则n附录：风险管理常用技术方法简介附录：风险管理常用技术方法简介 2.风险管理 原则与实施指南（GB-T24353-2009 ）30国家标准概况n标准号：GB/T24353-2009n2009.

16、9.30发布，12月1日实施；n是风险管理系列标准中的指导性标准；n标准的编制参考了ISO/DIS31000风险管理 原则与实施指南；n适用范围：各种类型和规模的组织，适用于组织的生命周期及其各阶段，也适用于组织的各种活动，包括流程管理、职能行为、项目管理以及与产品、服务、资产、运作好决策等有关的各项活动。31风险管理原则n控制损失，创造价值；n融入组织管理过程；n支持决策过程（组织所有决策都应该考虑风险和风险管理）；n应用系统的、结构化的方法；n以信息为基础；n环境依赖；n广泛参与 、充分沟通；n持续改进 3233 建立环境n建立外部环境外部环境是组织寻求实现其目标时所处的外界环境。 外部环

17、境以组织整体环境为基础，包括法律和监管要求、利益相关者的认知和与具体风险管理过程相关的其他风险方面的细节。外部环境可包括： - 国际的、国内的、地区的、或当地的文化、政治、法律、法规、金融、技术、经济、自然环境和竞争环境； - 影响到组织目标的关键推动因素和趋势； - 外部利益相关者的认知和价值观。34建立环境n建立内部环境 内部环境是组织寻求实现其目标所处的内在环境。 组织有必要从以下方面了解内部环境： -在资源和知识方面的能力； -信息系统、信息流和决策过程； -内部利益相关者； -方针、目标、以及现有的实现目标的策略； -认知、价值观和文化； -组织采用的标准和参考模型； -结构（例如治

18、理结构、任务和责任）。 35建立环境n建立风险管理过程环境- 确定应当执行的风险管理活动的范围、深度和广度，明确具体包含和不含的内容；- 确定活动、过程、职能、项目、产品、服务或资产等的时间、地点、目标及目的；n制定用于评定风险重要程度的准则- 该准则应反映组织的价值观、目标和资源。- 一些准则是法律和法规要求或其它的组织需要遵循的要求。36风险辨识n组织应当辨识风险源、影响范围、事件；n辨识的范围视组织拟确立的风险管理范围而定；n组织应根据拟定的风险管理范围、风险性质、所处的行业特点等选择适宜的辨识风险的方法；n风险辨识的方法： 专家调查法、流程图分析、头脑风暴法、访谈等。 37风险分析n组

19、织应该采用适当的方法分析识别出的风险；n风险分析应包括某一非确定事件发生的可能性和后果以及影响可能性和后果的各种因素；n分析可以是定性的、半定量的、定量的或其组合。在实践中经常首先采用定性分析以一般性了解风险等级和揭示主要风险。n风险分析的方法包括：专家调查法；系统工程方法如：失效模式研究、故障树等；计算机模拟；数学、经济学模型。38 风险评价n风险评价的目的是在风险分析结果的基础上做出关于哪个风险需要处理的决策，以决定优先处理方案。n风险评价涉及将分析过程中发现的风险等级与考虑环境信息时制定的准则进行比较。如果风险等级不符合风险准则，则应当对风险进行处理。39高风险行业中风险行业低风险行业医

20、药和化学制品制造商银行、金融机构航空、铁路、公交和地铁系统宾馆、饭店旅游公司核电厂食品制造和分销企业夜总会、娱乐休闲场所软饮料和果汁生产商建筑、房地产公司煤气站公共设施及私人设施、机场水泥供应商和结构工程公司大学、医院、非赢利性机构、教堂、博物馆零售连锁店生物技术公司石油生产商和分销商电信公司家庭用品制造商包装公司网络中心组织计算机制造商饿分销商发动机和重金属制造商电梯制造商医药、卫生所超市和购物中心烟酒公司健康俱乐部、日常护理中心保险代理 软件公司慈善机构广播电视财务会计公司服饰生产商地方性商务企业旅行社法律公司咨询公司汽车出租公司邮购和目录服务公司国际组织（如世界银行等）40 风险处置过程

21、41风险处置之回避风险l任何组织对风险的对策，首先考虑到的是避免风险，尤其是对静态风险尽可能予以避免。凡风险所造成的损失不能由该项目可能获得利润予以抵消时，回避风险是最可行的简单方法。l局限性n只有在风险可以避免的情况下，避免风险才有效果；n有些风险无法回避；n有些风险可能回避但成本过大；n消极地回避风险，只能使企业安于现状，不求进取。 42风险处置之回避风险n避免风险的方法还可以分为完全避免和部分避免两种。n完全避免，就要不惜放弃伴随风险而来的盈利机会。部分避免，主要取决于成本因素和非经济因素。如果避免收益大于避免成本，就可以考虑避免，否则可以不要避免。n在采取部分避免风险时，往往还有两种战

22、略：进攻性战略，即在高收益和低风险“替代选择”中，挑选高收益而不顾忌风险；防守战略，即在高收益和低风险的“替代选择”中，挑选低风险而不在乎收益。 43风险处置之风险控制n组织在风险不能避免或在从事某项经济活动势必面临某些风险时，首先想到的是如何控制风险发生、减少风险发生，或如何减少风险发生后所造成的损失，即为控制风险预防和抑制风险。n控制风险主要有两方面意思：一是控制风险因素，减少风险的发生；二是控制风险发生的频率和降低风险损害程度。 44BP的风险自留政策nBP允许经理们为小规模的损失购买保险却自留大规模损失；nBP停止为 1000万到5亿美元范围的损失进行保险，其主要原因是：考虑到BP的利

23、润和资产规模，这种规模的损失不可能严重破坏BP的经营和投资。对于超过5亿美元的损失， 保险市场的能力是有限的。n ？无论基本指导原则如何，有限的保险市场能力使得自留巨大损失成为相对于保险来说是合乎需要的，甚至是惟一可行的选择方案。* 讨论45监督和检查n监督和检查过程应当涵盖风险管理过程的所有方面： -监测事件 ； -风险处置过程 -发现内部和外部环境信息的变化，包括风险本身的变化 ； -对照风险管理计划，测量工作进度和与计划的偏差； -报告关于风险、风险管理计划进度和风险管理政策的遵循情况 n风险监控可以借助计算机技术和组织现有的一些数据库、平台等。n监督和检查活动可能包括常规检查、定期或随

24、机的检查。46 沟通与协商n内外部沟通与协商发生于风险管理的全过程；n协商与沟通应包括： -联系适当的外部利益相关者和保证有效的信息交换； -符合法律、规定和公司治理要求的对外报告； -提供沟通和协商的反馈和报告； -在发生危机和紧急形势时与利益相关者沟通；n对风险承担责任的人员，应该确保就风险的信息及时地与相关方面进行了沟通。47风险分析评价方法n层次分析法n模糊分析法n灰色系统理论n故障树分析n敏感性分析n蒙特卡罗方法n头脑风暴法n专家调查法n风险矩阵法n失效模式与影响分析n关键风险指标管理48 1. 风险矩阵法n风险矩阵法把风险分成可能性可能性和严重度和严重度两个方面。n把风险发生可能性

25、的高低、风险发生后对主体目标的影响程度，作为两个维度绘制在同一个平面上，称之为风险矩阵风险矩阵。 49定性方法描述风险事件可能性和严重度定性方法描述风险事件可能性和严重度 50风险矩阵（定性方法）风险矩阵（定性方法）51定量方法描述风险事件可能性和严重度定量方法描述风险事件可能性和严重度 52风险矩阵（定量方法）风险矩阵（定量方法）532. 关键风险指标管理n一项风险事件的发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。 1分析风险成因，找出关键成因。 2将关键成因量化，分析确定导致风险事件发生时该成因的具体数值。 3以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。 4建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。 5制定出现风险预警信息时应采取的风险控制措施。 6跟踪监测关键成因数值的变化，一旦出现预警，实施风险控制措施。54Part3第三部分第三部分 风险管理体系、建立及