全面风险管理培训材料课件

1、全面风险管理Enterprise Risk Management2006.9.15我国企业面临的风险环境复杂随着社会主义市场经济体制日益完善和世界经济全球化的不断发展，国有企业面临的环境日益复杂，经营的不确定性大大增加。但是，国内企业风险管理的实践与国外企业存在较大的差距，较为落后的风险管理现状给所有企业带来的巨大的挑战。中国国有企业国内外立法的变化巨大的政治地理差异国内经济转轨期的结构信息，资本流通加速新技术的开发世界市场的一体化中国经济20年的高速发展中国特有的文化环境国有企业面临日益复杂的风险环境我国企业的风险管理现状企业风险程度普遍偏高，管理层的风险意识有待进一步加强。缺乏系统的风险管

2、理知识，风险管理不能体系化，存在头痛医头、脚痛医脚的普遍现象。缺乏对公司整体风险的统一认识，控制风险的主动性差，应对风险没有统一政策和指导，造成各业务单元业绩好时保守，业绩差时冒进的投机心理，缩小风险的收益，放大风险的损失。企业绩效考核标准上没有引入风险管理的因素，风险管理的好坏不能和激励机制有效的联系起来，从而造成一些企业领导人的短视行为，不利于企业的长远发展。2在这种形势下，国资委为了确保国有资产保值增值，增强国有企业的控制力和竞争力，对国有企业的风险管理工作提出了越来越高的要求。国有企业面临日益复杂的风险环境 2003年5月27日，国资委颁布企业国有资产监督管理暂行条例，规定国资委的主要

3、义务包括：探索有效的企业国有资产经营体制和方式，加强企业国有资产监督管理工作，促进企业国有资产保值增值，防止企业国有资产流失； 指导和促进国有及国有控股企业建立现代企业制度，完善法人治理结构，推进管理现代化。 条例要求： 国有及国有控股企业应当加强内部监督和风险控制，依照国家有关规定建立健全财务、审计、企业法律顾问和职工民主监督等制度 。李荣融：中央企业要实现持续稳定发展，必须树立风险意识，加强风险管理，在发展战略的制定、投融资决策包括对外收购股权、日常业务运作尤其是涉及期货等高风险业务、财务报告管理、内部审计体系建设等方面，要完善相关制度，建立健全风险的识别、监测控制和防范机制，使风险管理日

4、常化、制度化。2003年开始，国资委牵头，由国家开发银行和第一会达参加，成立企业全面风险管理研究课题组，编写中央企业全面风险管理指引，并于今年7月正式出台该文件。3从2004年3月至2006年7月，历时2年多，国资委完成了从调查、研究、起草、征求意见到修改、定稿的艰辛过程，最终发布了中央企业全面风险管理指引，作为国有企业风险管理方面的指导性文件，为国内所有国有企业加强风险管理实践提供了最好的参考标准；指引明确要求：内容要求关于全面风险管理的涵义：一个健全的全面风险管理体系；一套规范的风险管理基本流程；一个良好的风险管理文化。建立健全风险管理组织体系，包括法人治理机构、风险管理专职部门、内审部门

5、、其他职能部门和业务单位等，将风险管理工作融入管理和业务流程，建立风险管理三道防线。评估企业重大风险，并根据不同业务特点统一确定风险偏好和承受度，确定预警线和应对策略；满足合规要求，针对重大风险管理和业务流程制定涵盖各个环节的全流程控制措施；将信息技术应用于风险管理的各项工作，建立风险管理信息系统。执行要求从实际出发、务求实效，以对重大风险、重大事件的管理和重要流程的内部控制为重点，积极开展全面风险管理工作；有条件的企业（与企业规模、效益、行业无关，在内部管理基础、公司治理结构、管理层对风险管理认识、风险管理人才上有条件）应全面推进，其他企业制定总体规划，分布实施，选择重点业务开展工作，通过积

6、累经验和人才逐步建立全面风险管理体系；董事会（或总经理办公会）按法定程序督导实施；国资委要求中央企业在3年内建设符合企业自身特点的全面风险管理体系，并将风险管理工作纳入国资委绩效考核范畴。指引最好的参考标准4这里介绍的风险与风险管理的概念与我们平时的理解有什么不同？我以及我所在的部门在企业风险管理中的地位和作用是什么？我们应该如何加强风险管理，从哪里着手，会遇到什么困难？建设全面风险管理体系将在哪些方面改变我们的企业？应关注的几个问题什么是风险、风险管理、全面风险管理？建设全面风险管理能帮助我们解决什么问题？我们如何来开展风险管理？个人理解认识国内外的最佳实践5今日议题风险与全面风险管理的基本

7、概念全面风险管理框架介绍国有企业如何建立全面风险管理体系61、风险与全面风险管理的概念风险的一般概念风险管理的历史演进全面风险管理的概念现代企业管理中的全面风险管理7 风险是未来的不确定性对企业实现其目标的影响。可能的实际行为目标行为情景分布时间经营指标0T风险的定义8风险是有关未来的风险是有关不确定性的风险是与目标有关的风险是有正负两面的风险是有价值的风险是有管理主体的风险的几个特征9内部外部战略风险新技术，新产品，购并风险，品牌建立，收益变化市场需求变化，法律改变，诉讼，失去主要客户或供应商，竞争对手财务风险现金流，资产流动性，预算经济周期，股票市场，外汇汇率，贷款利息，期货市场，信用风险

8、运营风险安全生产，工程建设，设备管理，知识产权，网络安全，环境保护，人力资源，新项目，价格谈判管理责任，合规，供应链危害性风险火灾，车船事故，人身伤亡水灾，偷盗，恐怖袭击常见的风险分类10企业的外部风险来自企业经营的外部环境，包括外部环境本身和外部环境的变化对企业的影响。这些风险可分为社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险。企业外部企业的外部风险社会政治法律法规市场自然环境竞争对手供应链灾害技术革新11企业的内部风险来源于企业的决策和经营活动。企业决策的风险一方面表现在与外界环境不相适应，另一方面表现在企业本身的经营活动中。经营

9、活动中的风险来自企业的各个流程和各个部门。流程和部门的交叉点就是企业的各类经营活动。部门1部门2部门3流程1活动11流程2活动22活动23流程3活动13企业内部企业的内部风险12 风险按其是否有盈利的可能又分为纯粹风险和机会风险：纯粹风险不含盈利的可能性。例如，灾害性风险，大多数运营风险。机会风险是盈利与损失的可能性并存的风险。例如，许多战略风险，市场风险。纯粹风险和机会风险 企业风险是企业资源的一部分。13风险事件是风险的物化；换句话说，未来的不确定性对企业目标的影响是通过风险事件的发生来实现的。一个风险可能由许多风险事件造成。风险事件之间的关系可能是相当复杂的。比如，因果关系，或一般的正、

10、负的相关关系。风险事件14一个情景是在未来时间段上的一种可能的现实情况。简单说，情景可以认为是由一系列的风险事件组成。情景T0T1T2T3T4T5事件树15概率分布是为了描述人们一般说的事件发生的可能性。概率用一个0到1之间的数字来表示，如0.5，50%等。0表示不可能；1表示一定发生。所有事件的概率加起来等于1。把事件和对应的概率画在一张图上，就得到所谓的概率分布图。概率分布16数学期望值E：数学上的加权平均值E = pi x ai例：E =10 x.18+20 x.22+30 x.28+40 x.2+50 x.12=28.6 方差V：V =pi x(E-ai)2 例：V = 160.04标

11、准差：方差的平方根例： = 12.65概率的基本指标10 20 30 40 50 0.280.120.20.220.1817在未来的情况是不确定的，因此对每一个风险，我们就得到一个概率分布。不同的风险可能其分布的形状是不一样的。常见的分布有正态分布、二项分布等。单个风险的概率分布市场风险信用风险18一个企业的所有风险的分布情况称为该企业的风险性状 (Risk Profile)。全面风险管理考虑所有的风险，因此风险形状可能相当复杂。战略风险财务风险运营风险灾害性风险企业的风险性状 (Risk Profile)19世界市场上企业面临的风险 Tillinghast Towers-Perrin 200

12、1EIU（The Economist Intelligence Unit Limited）关于未来经济、产业和公司发展趋势的调查显示：2005年-2020年这15年间，下述风险将对公司产生较大影响（单位：%）：5152630244122639201421202718617273317514303417102026271681826321692029301316272620102026221913112429251292132299152825239管理决策失误定价来自低成本市场的竞争顾客忠诚度下降经济衰退高素质员工的缺乏合规成本的增加政治和安全风险产品或服务商品化新技术突破产业整合生产力缺乏增

13、长进入壁垒的降低1（很小）2345（很大）20 企业全面风险管理研究课题组在2004年对部分中国企业进行了调研，调研的结果表明经理们最关心的十大风险依次为： 市场竞争加剧 国家政策导向 战略决策失误 关键人才流失 WTO及全球一体化 环境保护 成本上升 客户需求发生转变 利率及汇率波动 坏账风险企业全面风险管理研究课题组 2004中国企业面临的风险21不同行业面临的风险种类各不相同，不同企业亦然，因为他们所面临的内外部环境千差万别。但同行业或同类型企业所面临的风险具有共通性，下面列示了国内某电力生产企业自身评估的重大风险，可做为本企业的参考。某公司电力业务重大风险行业风险政策法规风险价格风险安

14、全生产风险竞争风险工程建设风险电力单元3重大风险宏观经济风险行业风险利率风险价格风险自然地理环境风险竞争风险政策法规风险安全生产风险工程建设风险采购风险电力单元1重大风险电力单元2重大风险宏观经济风险行业风险相关行业风险价格风险竞争风险政策法规风险投资管理风险安全生产风险人力资源风险采购风险行业风险政策法规风险价格风险工程建设风险销售风险人力资源风险竞争风险采购风险国内某电力生产企业评估出的重大风险22风险名称风险定义典型风险事件行业风险电力行业的外部环境发生变化导致行业吸引力下降，行业供需关系发生重大变化以及行业运行周期等因素影响未来投资收益。国内电力市场呈现供求平衡，甚至供过于求的局面；国

15、家对高能耗行业进行宏观调控；电网网架薄弱进一步加剧电力供需矛盾。 风险描述近年来电力建设项目将集中形成投产高峰，电力供应已呈现饱和之势，电量消纳问题突出，供应增加、需求下降，发电企业的机组利用小时数下降，企业利润将下降，此外，国家对高能耗行业采取一系列宏观调控政策以限制其盲目发展，无疑使用电需求有所放慢；行业供求关系的变化对电力生产企业战略目标的实现、保持现有的市场规模、实现稳定的利润和现金流影响重大；煤炭和电力行业的市场化步伐不一致，双方利益分配分歧日益突出，煤炭和电力行业的相互融合是今后发展的必然趋势；水电机组“靠天吃饭”，特别是径流式机组不具备常年调节能力，机组出力受制于流域来水情况，影

16、响水电机组的发电量；电网建设落后导致电网跨区送电能力不足，随着电源建设不断加快，特别是目前电源项目集中建设，电网输送能力薄弱的矛盾将进一步激化，电网成为电力企业发展的“瓶颈”。风险举例行业风险23风险名称风险定义典型风险事件健康安全风险企业在工程建设、生产、运输、存储等过程中发生重大安全事故，导致财产和人员损失，或医药、食品不安全影响消费者身体健康甚至威胁消费者生命安全。工程建设中出现安全和质量问题；发生安全生产事故导致设备损坏、人员伤亡、生产中断等；产品质量事故导致消费者人身财产受损害。风险描述在目前煤、电、油、运非常紧张的情况下，企业基本上都处于满负荷生产状态，往往为了生产和效益而忽视安全

17、生产的情况是存在的，很多企业仍然有重大事故隐患和安全生产管理上的问题。电力企业，水电项目前期建设存在自然条件恶劣、地址地形复杂、交叉作业多、战线长等诸多不利因素 ，一些主要设备和水工建筑物还存在重大事故隐患，管理上存在不到位的问题，安全生产压力较大。煤炭企业，瓦斯、煤层自燃发火、顶板等自然灾害对这些矿井的安全生产威胁还相当严重 ，矿井生产系统不完善，安全生产管理水平还存在一定差距。交通运输企业，港航运输企业存在重大型货物装卸、危险货物装卸等事故隐患和台风的安全生产威胁；在建的港口存在多单位同时作业的安全生产管理问题 。风险举例健康安全风险24风险名称风险定义典型风险事件工程建设风险工程建设过程

18、中出现工期拖延、质量问题或成本超出预算等问题，影响公司投资计划。工程建设中出现安全和质量问题；工程投资超预算；工程进度延迟。风险描述未来工程建设和生产运营将是众多电力企业面临的常态。工程建设中面临的采购设备的质量可能不合要求 、工程施工中可能出现安全和质量问题 、工程投资可能会超出预算 、工程可能发生延期等问题对电力影响巨大。项目不能正常投产，企业的发展规划将严重受到影响，同时将承担沉重的财务费用；随着企业规模扩展的加快，在建规模、开发规模和预备项目规模增多，电力生产企业可能在未来几年中都将面临基建和生产同时进行的情况，增加了经营管理的难度；若不能按计划实现在未来年份中有合理均衡的投产规模，企

19、业发展目标的实现将受到影响。风险举例工程建设风险25企业的流动性风险一般是指企业不能够满足现金需求的风险，即不能及时填补企业未来的资金缺口。比如，不能按时付息，不能按时发工资，不能按时还款或按时交纳保证金等。流动性风险有两个特性：企业的流动性风险往往是其它风险的加速器、催化剂，造成损失的叠加效应，引起连锁反应；企业的流动性风险有时被称为是最后的风险，因为，凡是倒闭、破产的企业，其最后的表现总是流动性风险事件，即现金流中断，或资金链断裂。风险举例流动性风险资金缺口a期初余额+现金流入现金流出现金流量2010304002005年份20062004200720036050708090100资金缺口a

20、现金流量缺口分析示意图单位：亿元26风险按其风险事件的发生是否可控又分为可控风险和不可控风险。可控风险指企业可以通过某些风险管理手段影响其风险事件发生的可能性和发生方式；反之，则称为不可控风险。应当注意的是，可控风险和不可控风险对企业的影响都是可以控制的。风险的可控性27时间走向2000可持续性发展保险、生产安全企业管理目标供应链管理、风险资本结构以风险为基础的资源配置与绩效考核风险最优化、全面风险管理收益最大化收益稳定197019901980风险管理的复杂程度越来越高与企业战略目标结合越来越紧密避免损失风险管理的历史发展趋势28时间机构/国家标准内部控制相关风险管理相关1988年BCBS巴塞

21、尔协议金融业风险1992年COSO内部控制整合框架内部控制1999年澳大利亚ASNZS 4360：1999企业风险2001年证监会证券公司内部控制指引内部控制2002年加拿大风险管理：决策者指南加拿大国家标准企业风险2003年英国AIRMIC/ALARM/IRM标准企业风险2004年COSO企业风险管理整合框架企业风险2004年BCBS巴塞尔协议（新巴塞尔协议）金融业风险2004年银监会商业银行内部控制评价试行办法内部控制2005年银监会商业银行市场风险管理指引金融业风险2005年香港会计师公会内部控制与风险管理的基本架构企业风险2006年国资委中央企业全面风险管理指引企业风险2006年上交所

22、上海证券交易所上市公司内部控制指引企业风险2007年（未颁布）财政部企业内部控制标准企业风险全球风险管理标准的沿革2938%没有计划全面风险管理体系计划实施全面风险管理体系完整的全面风险管理体系35%0%60%80%100%20%16%6%4%40%部分的全面风险管理体系正在调研全面风险管理体系11%20%22%9%38%- 2004- 2001 Tillinhgast Tower-Perrin 2001 & Pwc 2004国外全面风险管理的实践30 企业全面风险管理研究课题组在2004年对部分中国企业进行调研的结果表明，今后的一至三年内，企业建设全面风险管理的态度积极：92%综合运用金融风

23、险理财手段将风险管理纳入公司总体战略 加强并完善内控制度建设 87%0%100%50%56%完善信息系统，提高监控水平 全面建设风险管理体系 80%70%45%培养风险管理团队 企业全面风险管理研究课题组 2004国内全面风险管理的实践31 全面风险管理是使企业在实现其未来战略目标的过程中将来自企业内外部的不确定性所产生的影响控制在可接受范围内的过程和系统方法。预测值时间经营目标经营目标可接受区间可能的实际值经营目标可接受区间不可接受不可接受全面风险管理为企业实现其经营目标提供合理保证。全面风险管理的涵义32 企业的全面风险管理是一个过程1。这个过程由全体员工实施，包括建立并维护全面风险管理体

24、系2，在企业层面和企业各个流程的层面3，执行全面风险管理的一般程序4，管理企业的所有重大风险5，以实现全面风险管理的目标6 。 定义中的要素：过程体系层面程序风险目标全面风险管理的定义33 5. 遵守法律法规 4. 可靠的信息沟通，包括可靠的财务报告 3. 有效和有效率的运营 2. 保护企业不致因灾害性事件或错误而遭受重大损失 1. 达到与企业整体经营战略相结合的风险最优化全面风险管理的目标34全面风险管理框架风险管理的基本流程 一套 流程 一个体系 一种文化全面风险管理体系风险管理文化35全面风险管理框架监控改进制定风险管理策略风险评估1.2.5.4.3.信息沟通贯穿始终制定实施解决方案建立

25、初始信息风险管理信息系统风险策略内部控制风险理财组织职能+风险管理基本流程全面风险管理体系风险管理文化36监控改进制定风险管理策略风险评估1.2.5.4.3.信息沟通贯穿始终制定实施解决方案建立综合信息框架风险管理的基本流程37全面风险管理信息系统风险策略内部控制风险理财组织职能全面风险管理体系的组成38风险文化是全面风险管理体系得以运行的软性环境。风险管理文化培育主要目的在于树立符合企业发展要求的适宜的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理长效机制企业文化影响风险管理策略，风险管理策略反映了企业的风险管理文化。

26、在大企业，总体上主张审慎的风险文化在局部上，根据企业的风险管理策略，有可能采用较为激进的手段和方针。风险管理文化39战略管理风险管理运营管理强调防范灾害性事件，避免损失强调策略和计划的制定强调运营效率的改进传统企业管理过程中的风险管理40愿景、使命战略决策过程建立战略选择企业目标目标决定过程建立考核体系实现经营目标全面风险管理的应用覆盖企业管理的绝大部分领域，为实现企业目标提供合理的保证。所有管理活动全面风险管理内容非全面风险管理内容现代企业管理中的全面风险管理41传统风险管理全面风险管理方式就单个风险个体实施风险管理从总体上集中考虑和管理所有风险职能部门分散的职能部门集中的管理部门态度被动的

27、将风险管理作为成本中心主动积极的将风险管理作为价值中心目标与企业战略联系不紧。目标是转移或避免风险紧密联系企业战略。目标是寻求风险最优化手段基本上采用保险手段和内部控制手段采用多种手段，结合战略、组织、信息、金融、内控等多种手段注意焦点专注在纯粹和灾害性风险 以及可控的运营风险注意焦点在所有利益关系人的共同利益最大化全面风险管理与传统风险管理42全面风险管理不是独立于现有管理体系的另外一个体系全面风险管理的内容融入现有管理职能全面风险管理是对现有管理体系的整合全面风险管理是对现有管理职能的强化全面风险管理是对现有数据的挖掘和利用预算ISO9000投资规划全面风险管理与企业现有管理体系43巴林银

28、行 (Barings Bank)长期资本管理 (LTCM)安然 (Enron)安达信 (Arthur Andersen)世通 (WorldCom) 埃克森 (Exxon) 中航油（新加坡） 企业的重大损失甚至倒闭都是由于不良的风险管理所造成 近年的风险管理案例 442、全面风险管理框架介绍框架构成中的重点风险评估风险管理策略组织职能内部控制45全面风险管理体系框架中的重点 风险战略风险管理职能综合内控风险理财风险管理信息系统信息框架风险评估监控改进解决方案风险战略风险管理程序 风险管理体系+风险管理程序+公司现有的管理体系公司战略公司业务模式+公司现有的管理流程风险评估和诊断是风险管理的起点和

29、基础；风险管理策略是风险管理工作的核心和“龙头”；组织职能是执行风险管理策略的关键；内部控制是风险管理的基本手段。46 风险评估是风险管理的起点和基础，它是从收集和分析风险管理初始信息，到评价企业风险水平和风险管理现状的过程和方法，可分为风险辨识、风险分析和风险评价几个步骤。访谈研讨 定性定量分析第一会达其他工具方法风险评估问卷调查风险图谱 企业内外部资料分析第一会达风险库风险评估的方法风险评估的目的和意义全面了解公司整体的风险现状，评估公司目前的风险水平和风险管理水平。统一公司各个层面对风险的认识，形成一套通用的风险语言。找出公司在现有内外部环境、发展态势和管理水平下，对目标实现影响最大的风

30、险，并进行管理优先排序。&1&2&3风险评估的成果风险列表风险图谱重大风险模型风险管理水平诊断意见风险评估是起点47 风险评估工作通过一整套完善的流程保证其在企业全面风险管理体系建设中的有效实施。风险辨识风险分析风险评价风险管理诊断。risk1Risk2。综合信息框架风险图谱风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险动因分析风险相关性分析风险特征值分析风险发生可能性评价风险影响程度评价具体风险管理诊断风险管理体系诊断。风险评估诊断报告风险评估工作流程481.辨识风险事件 外部风险事件 内部风险事件 岗位风险事件辨识 流程风险事件辨识风险辨

31、识风险分析风险评价风险管理诊断2.判断风险事件属性特征影响程度发生概率管理水平责任岗位现有管理措施监控指标 风险评估工作流程49企业的风险是指企业在未来经营中面临的、可能对其经营产生影响的所有不确定性。不确定性：未能达到预期目标机会：利用风险创造价值损害：造成损失或伤害风险事件是风险在企业的具体表现形式，它的出现或发生会影响企业的目标实现或经营效果与效率。 例如，在某岗位的投资决策活动中存在风险事件“在投资项目可行性研究时对国家方针政策把关不严”。风 险风险事件 风险评估的第一步工作通常是从辨识企业的风险事件入手，然后再将各个风险事件根据其特征归结到不同的风险之中，最终形成企业的风险库。风险事

32、件辨识基本原理50 从每一个岗位职责所涉及的业务活动出发，考虑各种可能出现的会影响工作绩效的情况，概括各岗位及各职能发挥中会涉及到的所有风险事件。岗位风险事件辨识决策失误健康受损技能不足预算不准可能发生的潜在事件事件会影响所在岗位的业务活动或与之有关事件可以归类到各个风险类别企业所面临的风险类别安全风险战略风险风险事件运营风险财务风险岗位职责/业务活动风险类别风险事件辨识的基本原理51 根据企业运营管理的特点，以企业经营管理活动的流程主线，搜集每个流程运转中可能存在相关的风险事件，辨识企业整体运营过程中存在的风险。流程风险事件辨识政策变化保护措施失效信息丢失资金不足可能发生的潜在事件事件会存在

33、于企业经营管理活动流程中或影响流程工作目标事件可以归类到各个风险类别企业所面临的风险类别安全风险战略风险风险事件运营风险财务风险流程/目标风险类别风险事件辨识的基本原理521.风险归类与定义政策风险电力市场风险战略规划风险人力资源风险资金管理风险工程建设风险 风险辨识风险分析风险评价风险管理诊断3.风险属性的分析定性分析定量分析风险事件各个属性值的统计风险各个属性值的计算与分析2.风险相关性分析因果关系分析影响路径分析 风险分析53 风险属性分析一般可以分为定性分析和定量分析，评估工作中基本都采取定性分析和定量分析相结合的方法。 定性分析是对风险事件的各项定性描述的属性信息进行整理和分析，通过

34、这些方面的定性分析，可以更清楚地明晰风险事件之间的相关性，确定风险的属性特征，为将来提高这些风险的管理和控制水平提供参考依据。风险的相关责任岗位风险事件发生后的应对措施风险事件影响的KPI改进建议风险发展趋势 风险事件所产生的影响导致风险事件发生的原因可参照的书面工作制度及操作规程现有风险防范措施员工培训情况风险事件过去的发生情况风险属性分析的基本原理54风险的发生概率风险事件的发生概率是指在企业的现有风险管理水平下，该风险事件发生的可能性。风险的影响程度风险事件所产生的影响程度是指如果该风险事件发生，会对企业运营管理活动或理论目标实现等所产生的影响程度。风险的管理水平风险事件的管理水平是指在

35、企业现有风险意识和资源配置情况下，该风险事件得到管理的有效程度和效果。风险分析三个变量相互独立对风险事件进行定量分析之前需要做一些基本假设和变量定义 定量分析会根据企业不同的特点以及实施风险评估的目标而定义不同的分析变量，国际上风险评估定量分析的常用变量主要包括影响程度、发生概率、管理水平等。风险属性分析的基本原理55影响程度发生概率管理水平企业风险的整体分布特性影响程度分为5个等级，分别赋予1分至5分，从1分至5分表示影响程度逐渐增强。在风险辨识过程中对各风险事件的影响程度进行分值判断，加以搜集、整理、统计和计算，判断各风险的影响程度。 发生概率分为5个等级，分别赋予1分至5分，从1分至5分

36、表示发生概率逐渐增加。在风险辨识过程中对各风险事件的发生概率进行分值判断，加以搜集、整理、统计和计算，判断各风险的发生概率。 管理水平分为5个等级，分别赋予1分至5分，从1分至5分表示管理有效性逐渐增加。在风险辨识过程中对各风险事件的管理水平进行分值判断，加以搜集、整理、统计和计算，判断各风险的管理水平。风险重要性程度=f影响程度,发生概率,管理水平 在有充分历史数据积累和足够行业数据的基础上，可以对各风险进行纯粹的数据量化分析。（如历史模拟法、蒙特卡罗模拟法等） 在没有足够数据支持的情况下，企业可以采取打分的方法对各风险进行量化分析。（如专家意见法、期望值法、概率分布法等)风险属性分析的基本

37、原理56风险投资风险风险事件1投资决策中缺乏对国家方针政策的把握。风险事件2投资论证审批不严，项目不符合公司战略发展要求。风险事件3投资机制不健全，投资方向受个人意志所左右。风险事件n 影响程度发生概率管理水平影响程度发生概率管理水平影响程度发生概率管理水平影响程度发生概率管理水平影响程度发生概率管理水平风险属性分析的基本原理571.绘制风险图谱 风险重要性标准曲线 风险等级标准曲线 二维风险图谱 三维风险图谱 风险辨识风险分析风险评价风险管理诊断2.风险分级评价 重要性程度为高的风险 重要性程度为中的风险 重要性程度为低的风险 高等级风险 中等级风险 低等级风险风险评价58 根据风险分析的结

38、果，依据评估前设定的风险分析变量，即可以在风险分析空间上对企业风险的整体分布进行分析评价。图谱直观展示了各类风险重要性的分布情况，便于找到管理的重点；不同区间对应着不同的风险管理策略；目标是不断调整的，风险特征及影响路径是不断变化的，因此图谱具有一定时效性。 风险的三维分析空间风险三维图谱风险图谱分析的基本原理59 通过标准曲线将全部风险划分为三个等级：高等级风险：企业管理资源分配优先级为高的风险，即当前情况下企业需要重点关注，优先分配管理资源、积极提高风险管理水平、改善风险管理效果的风险；中等级风险：企业管理资源分配优先级为中的风险，即企业需根据风险变化趋势持续关注，并相应调整管理资源、保证

39、风险管理效果的风险；低等级风险：企业管理资源分配优先级为低的风险，即企业维持现有管理水平即可，并可适当调整其风险管理资源至其它风险管理上的风险。重要程度为高的风险、为中的风险、为低的风险高等级风险、中等级风险、低等级风险重要程度为高的风险高等级风险管理改进急迫性风险图谱分析的基本原理601.管理体系现状诊断风险战略风险管理组织职能内部控制风险理财风险管理信息系统风险文化 风险辨识风险分析风险评价风险管理诊断2.具体风险管理水平诊断应对策略职责落实管理流程控制措施信息报告预警应对 3.确定改进内容管理体系改进内容具体风险管理改进内容风险管理诊断61风险管理水平诊断的基本原理 我们主要从三个方面对

40、企业单个重大风险管理现状进行分析和评价：风险应对措施：公司对该风险采取了什么管理措施，是否有相应的风险管理制度、流程和职能；风险应对的效果：即公司目前所采取的风险应对策略多大程度上降低了风险发生的可能性或影响程度；风险应对的效率：即公司目前实施风险应对策略所付出的人力、时间和金钱等方面的成本是否与其效果相匹配。目标值实施风险应对策略前概率目标概率目标目标值实施风险应对策略后62企业风险管理体系的诊断主要是根据国资委中央企业全面风险管理指引中的内容与要求，从管理体系和管理流程的各个维度去诊断具体风险现状，确定问题与不足。风险管理水平诊断的基本原理风险管理体系内部控制有无健全、合理的管理制度？有无

41、合理的风险应对流程？有无配套的考核机制？有无外部监督体系？组织职能有无相应的风险管理职责部门与岗位？是否明晰了风险管理责任？风险管理绩效是否与考核挂钩？多部门的协作配合效果如何？风险战略有无统一、合理的风险管理指导方针？有无统一的应对政策？有无风险的度量分析？有无合理的资源配置方案？信息系统有无信息报告制度？是否实时搜集、汇报风险信息？有无应用信息系统？有无风险预警体系？风险理财有无针对该风险的金融领域应对手段？有无统一的风险敞口分析？有无配套的风险止损措施？是否切实应用授权与预警机制？管理流程有无动态的评估与应对流程？有无相关责任部门负责该风险管理流程的建设和实施？是否对风险变化和互动影响进

42、行整理和分析？63战略风险投资风险财务风险运营风险风险目录风险类别(40) 销售风险(41) 物流风险(42) 客户风险(43) 产品风险(16) 投资管理风险(26) 计划预算风险(27) 融资风险(5) 资本市场风险(33)诉讼风险(39) 生产风险(44) 产权市场风险(45)资产转入风险 (1)社会政治环境风险(2) 宏观经济风险(3) 行业风险(12) 竞争风险(15) 投资决策风险(17) 投资退出风险(28) 担保风险(32)合规风险(25) 现金流风险(23) 人力资源风险(22) 环境风险(21) 健康安全风险(29) 信息风险(35)道德风险(31) 对外合作(30) 商誉

43、风险(10) 灾害性风险(9) 自然地理环境（36)内部合作沟通风险(24) 信用风险(6) 利率风险(7) 汇率风险(14)政策法规风险(13) 替代品风险(18) 工程建设风险(20)外部关系风险(34) 社会稳定风险(11) 技术风险(49)税收风险(4) 相关行业风险(8) 价格风险(19)战略定位风险(37) 研发风险(38) 采购风险（46）资产评估风险(47) 资产定价风险(48)资产管理风险风险评估举例某大型企业风险列表64风险评估举例某电力公司风险图谱65宏观经济风险行业风险竞争风险政策法规风险投资决策风险投资管理风险投资退出风险人力资源风险健康安全风险担保风险现金流风险接受

44、转移控制规避 评级风险评估举例某公司单个风险诊断结果66风险管理体系评价公司优势公司不足风险战略形成了审慎、稳健的风险文化；在行业选择层面初步确定了风险偏好；公司考核指标和权重体现了公司在现有风险组合下对投资管理、投资退出等风险的偏好和承受水平。确定风险偏好和承受度时更多地凭经验和感觉，缺乏定量分析及相关性分析；没有针对具体重大风险确定统一、清晰的风险偏好和承受度。风险管理组织职能法人治理结构建设走在国有企业前列；具体风险管理的责任部门明确，风险管理职责明确，权责对等；审计工作及时揭示风险，提出风险管理意见和建议。缺乏跨职能部门的、专业的风险管理机构；风险管理职责需要进一步明确和规范；审计职能

45、在风险管理方面的作用有待加强。内部控制建立了规范的管理流程和业务流程体系，形成以流程控制为主体的内控体系；建立了比较完善的制度文件体系，明确规定了决策、执行、监察部门和岗位的职责和权限。没有形成明晰的风险评估、应对和监控改进流程，风险预警机制尚不成熟；风险理财已经采用一些传统理财手段进行风险转移，对健康安全风险、汇率风险等进行了风险转移、对冲和财务承担。缺少对重大风险敞口的定量分析；缺少熟悉风险理财工具的人才储备；缺乏对企业风险理财手段的统一管理政策。风险管理信息系统正在抓紧建设企业管理信息系统；企业管理信息报告体系比较健全。缺少专门的风险管理信息系统；缺乏对风险信息的汇总和综合分析；缺少风险

46、监控指标。风险评估举例某大型企业风险管理体系诊断结果67如何平衡风险评估的效率和效果不同风险管理主体重大风险标准的不同风险评估是风险管理工作的起点风险评估结果的时限性风险评估的关键问题68使 命风险管理策略风险应对策略风险偏好风险承受度战 略 风险管理策略是企业战略的一部分，受控并服务于企业战略；风险管理策略是企业风险管理工作的纲领，目的是保证企业的风险最优化；制定风险管理策略的前提是明确企业战略目标以及风险度量。重大风险管理的目标风险管理策略（风险战略） 是核心69解决“公司愿意承担什么风险”的问题 描述公司对待风险的基本态度和看法 风险偏好的确定基于公司的使命、愿景解决“公司能够承担多大风

47、险”的问题描述公司能够承担的风险的限度风险承受度的确定可借助于模型的构建和公司基础数据的积累（历史经验）解决“公司如何管理风险”的问题 阐述针对各类重大风险的应对策略 风险对策的确定基于风险评估和诊断的结果风险承受度风险偏好 风险应对策略风险偏好的边界是什么？用什么指标进行风险监控预警，到什么时候预警？承担什么风险？承担多少风险？可以用哪些方式应对风险？用哪些方式能达到风险管理收益与成本的平衡？重大风险管理目标哪些风险是管理的重点？将这些风险控制在什么水平？风险管理策略的核心内容 70政策风险市场风险设备管理风险工程建设风险信用风险现金流风险客户风险积极利用适度承担坚决避免风险厌恶风险喜好合规

48、风险高中低战略趋同 l 风险特性l 管理能力l风险特性机会风险是既有损失可能，也有获利可能的风险，如市场风险，对于这类风险，企业可以采取积极利用或适度承担的态度一般情况下，纯粹风险没有获利的可能，只会给企业带来损失，对于这类风险，企业可以采取坚决避免的态度战略趋同对于符合企业发展战略的风险，如投资风险,公司可以采取积极利用的态度对于不符合企业发展战略的风险，如非主业市场风险企业应该采取坚决避免的态度管理能力对于企业管理能力较强的风险，如投资风险,企业可以采取积极利用的态度对于企业管理能力较差的风险，如市场风险,企业可以采取适度承担的态度风险偏好安全生产风险71风险承受度 速动资产/流动负债EB

49、IT/利息现金流风险度量企业现金流风险承受度（2，4）流动性好偿债能力好流动性差偿债能力好流动性差偿债能力差流动性好偿债能力差速动比率利息保障倍数短期流动性风险长期偿债风险现金流风险度量2143风险承受度为风险管理提供了一个客观、可测量、可调控的标准；风险承受度确定的前提是选择合适的风险度量指标和度量模型；风险承受度的设定是风险日常监控预警的基础。72 常用的风险度量包括： 最大可能损失 概率值：损失发生的概率或可能性 期望值：统计期望值，效用期望值 波动性：方差或均方差 在险值：又称VaR，其它类似的度量风险度量方法73风险偏好和承受度的确定：建立风险与目标之间的量化关系；企业结合自身状况，

50、根据风险与目标之间的量化关系确定企业对该风险的偏好和承受度。风险偏好和承受度取决于企业能够承受的目标波动范围，一般可用关键绩效指标（KPI）来表示。一级承受度和二级承受度风险承受度可分为一级承受度和二级承受度，分别代表企业不同的承受水平，对应着企业不同的应对措施。风险指标触及一级承受度即亮黄色警报，有关责任部门予以高度关注并采取相应措施；风险指标触及二级承受度即亮红色警报，应启动重大风险事件应急机制。预警指标风险偏好范围一级承受度（一级预警点）二级承受度（二级预警点）时间风险偏好和承受度的确定 74一旦确定了企业对重大风险的承受度，企业可通过风险的动因分析，找出导致风险发生或存在的主要因素，确

51、定重大风险的预警指标。风险预警指标可以是风险度量指标，也可以是与风险度量指标密切相关的其它指标。风险预警指标的基本要求风险预警指标的不同值与风险的各种状态之间存在着易于理解和接受的明确关系，其数值的变化能较直观地反映出风险的变化。风险预警指标应便于风险管理人员的观测和度量。风险预警指标应反映风险动因的变化，能前瞻性地预示风险。123风险预警指标的不同数值便于与不同的风险应对措施联系起来。4风险承受度和风险预警 75风险偏好和承受度为管理风险提供了基本依据。制定具体风险应对策略时，企业应：权衡风险损失（风险损失=风险暴露额风险发生概率）与风险应对成本之间的关系；考虑风险一旦发生最坏的情况。财务运

52、营风险现金流风险战略风险政策法规风险宏观经济风险投资退出风险行业风险投资决策风险投资风险担保风险健康安全风险投资管理风险人力资源风险竞争风险风险偏好和风险承受度风险规避风险控制风险转移风险接受风险应对策略重大风险风险应对策略的确定 76战略措施产业结构调整组织变革兼并购活动分包或转包结盟流程优化全面质量管理6西格玛远期合约传统保险金融衍生品风险准备金 运营措施风险理财剩余风险风险总量风险接受首先考虑在战略上规避风险；平衡风险管理收益与成本，对各类风险选择风险规避、风险控制、风险转移或风险接受等手段 ；设立风险准备金，并重新对产品和服务进行定价。风险承受度风险应对策略的确定 77我们可以借助风险

53、图谱，从风险的特征和属性出发制定公司一般性的风险应对策略。在第一象限的风险，其发生的概率和影响程度均较高，公司的应对策略一般是风险规避或通过源头控制降低该风险发生的可能性和影响程度。影响程度中高低中发生概率高低23172112161433113223056218281529361113424252026935331072732某公司风险图谱处于第二象限的风险发生的可能性较低，但对公司的影响程度很大，多是一些非常事件，如自然灾害风险。对于这类风险，公司一般采取风险转移的应对策略，如保险、分包等；另外，公司在采取一定的防范控制措施的同时，还应制定针对该类风险的应急计划；处于第四象限的风险，其影响程

54、度不是很高而发生概率偏高，这往往与日常经营和遵守法律方面的问题有关，这些风险的累计影响不可低估。这类风险的应对策略一般是风险控制，重点是日常的管理和监控；第三象限是那些发生概率和影响程度均不太高的风险，可采取风险接受的应对策略。公司可以取消与此风险相关的、多余的风险控制措施，减少成本和资源消耗。风险应对策略的确定 78风险战略举例 某集团公司重大风险承受度79风险战略举例 某集团公司重大风险承受度80如何抓住关键风险决策者应统一认识确定的风险偏好如何落实到基层决策者风险战略调整的机制风险战略制定和调整的职责如何落实风险度量及量化直接影响效率和效果风险战略的关键问题 81系统的风险管理组织结构明

55、确的风险管理职责清晰的风险报告线路风险管理是贯穿于企业的各个层面和各项管理工作中，风险管理既是一项具有专业理论、专门工具和特定职责的管理活动，也是对现有管理功能的强化：风险管理的基本职责及时发现风险科学地评估风险选择合理的风险组合确立风险管理目标制定统一的风险管理政策和制度风险实时监控和预警危机处理与应急反应风险信息的有效沟通具体风险的有效管理内控体系的建立、检查和完善风险管理组织职能是关键82风险委员会风险管理部董事会审计委员会披露委员会高管审计部外部审计外部咨询其它部门/业务单元总经理风险管理组织职能基本结构83总裁办公会风险管理委员会风险管理专职机构业务经营单位风险管理负责人其他职能部门

56、风险管理岗位战略层面执行层面操作层面风险分层管理风险集中管理风险分类管理在战略、执行、操作三个管理层级上划分相应的风险管理责任和风险报告责任。现有各职能部门在规定的风险管理权限范围内，主导管理相关风险。汇总分析和评估各类风险信息；对整体的风险组合和风险应对进行系统化、专业化管理；组织协调跨部门和业务经营单位的风险管理工作。风险管理组织职能设计原则84管理层面职责分工管理对象战略层面制定公司风险战略，明确风险管理目标选择公司愿意接受的风险组合制定公司的风险管理政策和管理制度公司整体风险组合执行层面制定具体风险的管理制度并监督执行在职责范围内，对具体风险实行监控和管理通过系统协调，把公司整体风险控

57、制在承受度范围内通过风险报告，使决策层及时了解风险现状公司各重要的具体风险操作层面执行风险管理制度和内控制度将风险信息及时报告给相关管理部门业务运营中的操作风险风险分层管理原则解决的是在公司组织架构中纵向层级上的分工问题。强化风险分层管理的关键问题是：把风险管理工作上升到战略高度，在公司发展战略中充分考虑风险因素，根据公司目前的治理模式和管控模式，明确战略层面的风险管理职责。风险分层管理85主导管理责任：制定具体风险的管理办法、管理制度和分工方法，报风险管理委员会批准；负责该风险的评估和风险信息的整理分析；组织协调各协助管理部门的工作；负责与风险管理部直接沟通和合作，包括讨论落实风险的关键监控

58、指标、定期报告相关的风险信息。协助管理责任：执行具体风险的管理制度和管理流程；根据具体的管理分工，按要求及时向主导管理部门报告相关的风险信息。风险分类管理原则解决的是公司组织架构中横向的职能部门之间的分工问题。强化风险分类管理的关键问题是：在现有职能分工的基础上，明确具体风险的主导管理责任部门和协助管理责任部门。落实主导管理责任的原则：根据风险和管理活动的对应关系，按各部门现有的管理职责归类；考虑各部门管理活动在具体风险管理流程中所产生的影响大小；考虑管理条件的便利性和管理资源的充分性。风险分类管理86需要特别说明的是：风险的集中管理是基于分层管理和分类管理展开的。风险的集中管理不是具体风险管

59、理责任和管理工作的集中，而是风险信息的分析处理和报告的集中，以及风险管理的战略性决策职能的集中。风险集中管理原则解决的是对风险实行科学化、专门化管理的问题。强化风险集中管理的关键是：成立专门的职能机构，开展对公司风险管理的整体协调和对重大风险的系统监控，把汇总分析后的风险信息及时反馈给公司领导。同时要在战略层面形成风险管理的集中决策机制，从全局的高度进行风险管理决策。风险集中管理87内部审计部门风险管理部门由董事会决定评估全面风险管理体系评估重大风险报告过程评估内部控制保证全面风险管理体系评估保证可靠的风险管理评估报告等协助风险评估过程就风险有关事项向管理层提供咨询和建议维护和发展全面风险管理

60、体系协调全面风险管理各项活动等开发风险战略执行全面风险管理的各项流程设计并选择全面风险管理的各项决策管理各项业务风险确保全面风险管理得到实施等内审部与风险管理部门的分工88风险管理职能在企业的特殊性职能设计是一步到位还是平稳过渡职能的落实以及考核风险管理人才的培养风险管理组织职能的关键问题89COSO 的综合内控体系对各国公司立法和管理影响巨大；美国通过的Sarbanes-Oxley (2002)法案将建立和维持有效的内控系统作为对上市公司的法律合规要求。COSO 1992内部控制是围绕风险管理策略目标，针对企业各项业务和管理流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施；内