《中央企业全面风险管理指引》解读.ppt

1、中央企业全面风险管理指引解读,国资委企业改革局,2006年10月,1/141,中央企业全面风险管理管理指引,2006年6月6日，中央企业全面风险管,理指引正式印发。 指引是国务院国资委全面落实科学发 展观，坚持可持续发展，履行出资人职 责，指导和促进中央企业推进管理创新、 增强企业竞争力、促进企业持续、健康、 稳步发展的一个重要文件。 2/141,国外企业的风险管理实施进展,目前，越来越多的发达国家大公司建成或即将建成,全面风险管理系。,一家国际著名会计师事务所2004年初对世界上1400个,大中型公司的CEO调查结果：,38%的CEO声称本公司已经建成完整的全面风险管理体,系，,35%已经部

2、分建成全面风险管理体系， 16%正在计划实施全面风险管理体系，,10%表示正在研究全面风险管理体系或尚无建设全面,风险管理体系的计划。,3/141,起草指引背景,企业风险最终由出资人承担，出资人关心企 业风险管理是天经地义的，是其最重要的职责。 建立全面风险管理体系，减少和防范资产损失： 企业清产核资 银行不良资产,中央企业必须适应经济全球化竞争。美国萨 班斯法案对在纽约上市的公司提出了建立内控体系的 要求，许多国际大公司在内控体系的基础上进一步建立 了全面风险管理体系。这些方面我们与国际大公司都有 较大的差距。,通过全面风险管理体系，提升企业管理水平。,4/141,国有企业风险管理存在的问题

3、,风险管理工作薄弱，缺乏风险防范机制，是资产发生损失的重要 原因。多年来由于管理体制、制度、机制等方面的原因，国有企业存在 着如下不规范行为：,乱投资：有的企业贪多求大，对高负债率、低现金流的财务风险,缺乏防范措施，不作投资回报分析，不作投资风险分析；,乱担保：有的企业对从事证券、期货、股票、外汇等业务的风险 防范意识不强，对外乱担保因连带责任被冻结资产和强行偿债； 乱扩张：有的企业对收购企业的成本和风险估计不足，并购资产 的同时引入了风险，对潜伏问题缺乏了解，甚至引发了危机。 乱理财：有的企业盲目进行风险理财，而风险理财手段的不当使,用，包括策略错误和内控失灵，带来巨大的损失。,乱借款：有的

4、企业盲目借贷，高负债率带来了较大的财务风险，,沉重的利息负担进一步加剧企业的亏损。,乱放权：有的企业因为没有控制好子企业、境外企业和境外业务,的风险，发生了巨额亏损，给企业造成颠覆性灾难。,5/141,国企风险管理现状带给我们的思考,中航油新加坡公司的事件给,我们的思考,三九集团由盛转衰给我们 的启示,6/141,指引想解决什么问题？,明确要求中央企业要,重视和开展全面风险管理。,明确什么是全面风险,管理。,企业如何开展全面风,险管理工作。,7/141,指引与其他文件的区别,其他文件是在企业大量实践的基础上归纳、,总结而制定的；,指引是在总结国有企业的 经验、损失、教训的基础上， 参考国际经验

5、、国际做法而 制定的，具有较强的现实性 和前瞻性。,8/141,萨班斯法案与风险管理的区别,萨班斯法案： 事后财务报表的真实披露 关心结果的真实性 不关心如何做出正确决策 关注财务层面 解决投资人信息对称问题 为投资人提供均等机会 使董事趋于保守 未解决利益冲突的结构性 问题 目标：合规经营、高效运 营、财务报告真实可靠,风险管理： 事先对企业风险的控制与防范 关心结果的好坏 关心科学决策的程序 关注战略层面 解决投资人的信任问题 为投资人提供长远利益 使董事会趋于理性 从体系上解决利益冲突的 结构问题 目标：将风险控制在与总体目 标相适应并可承受的范围内 9/141,国有企业面临的主要风险形

6、式,1.企业对外投资（包括海外投资）的风险 2.企业多元化经营的风险 3.企业对外担保的风险 4.企业委托理财的风险,5.企业对外承包工程的风险 6.企业内部管理失控的风险,7.企业经营过程中存货增加的风险,8.企业产品研发、产品更新、产品升级的风险 9.企业并购的风险,10/141,国有企业面临的主要风险形式（续）,10.企业应收帐款的风险,11.企业面临的利率、汇率风险 12.企业法律风险,13.上市公司可持续生存风险（SIRT） 14.企业供应商提供产品质量的风险 15.企业环保风险,16.企业环境（社会、人文）风险 17.企业现金流风险,18.企业员工劳动关系风险,11/141,正确认

7、识风险的概念,12/141,风险是未来的不确定性对目标的影响（正面影响 与负面影响）。风险是双刃剑，既能给人们带来 风险损失，又能带来风险收益。,风险投资的成败就是最典型的例子。,风险投资中最重要的不是投资项目的好坏， 而是辨识拟投资的项目管理人的“好、坏”。 项目管理人的道德操守是“零限度”，即风险 承受度为零，一票否决。项目管理人的道德操守 有问题是最大的风险。对人辨识不清，用人不慎 则会产生纯粹风险，项目再有投资价值也不能获 得成功。选择了“好人”，项目本身也有投资价 值，风险投资才能带来机会收益，国内外无数事 例反复证明了这一点。,建立全面风险管理的评价标准,1.企业全员树立风险意识，

8、努力使风险意识印在脑,海里，溶化在血液中，落实在行动上。,风险意识是企业家的第一素质。“企业家是一个经 营冒险事业的组织者，是组织、拥有、管理并承 担这一事业全部风险的人。”,2.企业对标：与指引对标；与国内风险管理标,杆企业对标；与国际同行业企业对标。,3.没有意料之外，为意料之中做好了准备。,13/141,关于章节的设置及逻辑关系,第一章 第二章 第三章,总则（总体要求和原则） 风险管理初始信息 风险评估,第四章 第五章 第六章,风险管理策略 风险管理解决方案 风险管理的监督与改进,第七章 第八章 第九章 第十章,风险管理组织体系 风险管理信息系统 风险管理文化 附则（有关说明）,注：其中

9、第四章风险管理策略也是风险管理体系的组成部分,流程、体系,体系 文化,14/141,第一章,总则（10条）,目的 依据 适用范围 督导实施 风险、全面风险管理、内控系统定义 基本流程 总体目标 实施要求 15/141,第二章,风险管理初始信息（7条）,收集初始信息及职责分工 战略风险信息 财务风险信息 市场风险信息 运营风险信息 法律风险信息 信息筛选、提炼、对比、分类、组合 16/141,第三章,风险评估（条）,风险评估范围、步骤, ,风险评估的实施 风险辨识、分析、评价 定量分析和定性分析方法 分析风险之间关系 绘制风险坐标图,17/141,第四章,风险管理策略（条）,风险策略定义 风险偏

10、好、承受度，风险管理 有效性标准 风险承担、规避、转移、转换 、对冲、补偿、控制风险管理 所需人力和财力资源配置原则 风险与收益平衡原则 评估风险管理策略 18/141,第五章,风险管理解决方案（条）,对各类风险或每一项重大风险制定方案 方案包括：, ,外包方案 内控方案 内控措施内容 方案的组织实施,19/141,第六章,风险管理的监督与改进（条）,监督与改进的重点 监督与改进的方法 监督与改进的基础 其他业务部门和单位的自查与检验 风险管理部门履行的检查与检验 内部审计部门评价 外部中介机构评价 20/141,第七章,风险管理组织体系,组织体系框架内容 规范公司法人治理结构 外部董事、独立

11、董事制度 董事会风险管理职责 风险管理委员会组成和职责 总经理风险管理职责 风险管理职能部门职责 审计委员会和内审单位风险管理职责 其他职能部门和业务单位风险管理职责 指导和监督子企业建立风险管理组织体系 21/141,第八章,风险管理信息系统（条）,风险管理信息系统涵盖的范围和内容 系统数据和风险量化值的要求 风险管理信息系统功能 风险管理信息系统的稳定和安全 风险管理信息系统的建设 22/141,第九章,风险管理文化（条）,风险管理文化与企业文化 董事会、总经理和重要管理人员在风险文 化建设中的地位和作用 风险管理文化与道德诚信、合法合规 风险管理文化与风险意识、风险管理责任 风险管理文化

12、与薪酬制度、人事制度 风险管理文化与风险管理培训 23/141,第十章,附则（条）,未设立董事会的国有独资企业，经理办公会 议代行本董事会职责，总经理对本指引的贯彻执 行负责 中央企业投资、财务报告、衍生产品交易等 方面的配套文件另行下发 有关附录和解释的说明 24/141,附录,风险管理种常用技术方法,指引中涉及的风险管理专业术语解释,25/141,中央企业全面风险管理指引,第一章,总则,26/141,第十条 全面风险管理工作与其他管理工作的关系,中央企业全面风险管理指引 第一条指引的目的、起草的依据 第二条指引的执行对象、督导和实施 第三条 风险的定义和分类 第四条 全面风险管理的定义 第

13、五条 风险管理基本流程 第六条 内部控制系统的定义 第七条 全面风险管理总体目标 第八条 正确处理控制风险与抓住机遇的关系 第九条 开展全面风险管理的原则、重点、步骤,27/141,第一条：指引的目的、起草的依据,为指导国务院国有资产监督管理委员会 (以下简称国资委)履行出资人职责的企业 (以下简称中央企业)开展全面风险管理工 作，增强企业竞争力，提高投资回报，促进 企业持续、健康、稳定发展，根据中华人 民共和国公司法、企业国有资产监督管 理暂行条例等法律法规，制定本指引。,28/141,第二条：指引的执行对象、督导和实施,中央企业根据自身实际情况贯彻执行本 指引。中央企业中的国有独资公司董事

14、会 负责督导本指引的实施；国有控股企业由 国资委和国资委提名的董事通过股东（大） 会和董事会按照法定程序负责督导本指引 的实施。,29/141,第三条：风险的定义和分类,本指引所称企业风险，指未来的不 确定性对企业实现其经营目标的影响。 企业风险一般可分为战略风险、财务风 险、市场风险、运营风险、法律风险等 ；也可以能否为企业带来盈利等机会为 标志，将风险分为纯粹风险(只有带来 损失一种可能性)和机会风险(带来损失 和盈利的可能性并存)。,30/141,第四条：全面风险管理的定义,本指引所称全面风险管理，指企业围绕,总体经营目标，通过在企业管理的各个环节 和经营过程中执行风险管理的基本流程，培

15、 育良好的风险管理文化，建立健全全面风险 管理体系，包括风险管理策略、风险理财措 施、风险管理的组织职能体系、风险管理信 息系统和内部控制系统，从而为实现风险管 理的总体目标提供合理保证的过程和方法。,31/141,收集风险 管理初始 信息,进行 风险 评估,提出和 实施风 险管理解 决方案,进行风 险管理 的监督 与改进,第五条：全面风险管理基本流程 高层重视、项目纳入年度管理计划,制定风 险管理 策略,持续培训，提高风险意识 32/141,第六条：内部控制系统的定义,本指引所称内部控制系统，指围绕风险管 理策略目标，针对企业战略、规划、产品研 发、投融资、市场运营、财务、内部审计、 法律事

16、务、人力资源、采购、加工制造、销 售、物流、质量、安全生产、环境保护等各 项业务管理及其重要业务流程，通过执行风 险管理基本流程，制定并执行的规章制度、 程序和措施。,33/141,内控体系建设: 全面风险管理的必要举措,内控系统是全面风险管理的重要组 成部分，是全面风险管理的基础设 施和必要举措,一般说来，内部控制系统针对的风 险一般是可控纯粹风险，其控制对 象是企业中的个人，其控制目的是 规范员工的行为，其控制范围是企 业的业务和管理流程,34/141,内控系统的历史发展,立的组织）的内控整体框架对世界各国 公司立法和管理影响巨大., ,1992年9月，COSO委员会正式发布了四份COSO

17、报 告，即管理者要览、框架、对外报告和评估工具。 1994年7月，COSO委员会发表了对外报告补充规 定，将与保障资产安全有关的控制纳入了对外披露 的范围。 美国2002年通过的萨班斯法案将建立和 维持有效的内控系统作为对上市公司的 法律合规要求,经,营,财,务,合,规,单 流 位 程 单 2 流 2 位 程 1 1 35/141, ,内部控制的概念始于上一世纪初的财务控制，在80年 代以后逐渐受到各国的重视，特别是监管机构的重视。 在发展过程中，内部控制的理论吸收了控制论、系统 论、组织理论、行为科学、心理学、管理学等多学科 的内容 美国COSO组织（美国审计师协会、美国 注册会计师协会等五

18、个民间团体共同成,内控设计的基本原则,全面性 覆盖企业所有重要业务及管理流程和,流程的全过程,系统性 按统一原则制定，与风险策略一致 合规性 符合国家有关法律法规 成本效益 控制与收益平衡,权力分离及相互制约 岗位之间相互制约，重,要流程及决策不能由一个人完成,可操作性 根据企业现有操作水平制定 信息反馈 内部控制应有自我调节功能 激励平衡 权责明确及奖惩结合,包容性 不致因个别环节失灵导致全系统失灵,36/141,萨班斯法案404条款的要求 在美国上市的中国公司应 当遵守萨班斯法案的要求, 萨班斯法案要求所有美国 的上市公司要建立所有与 财务报告有关的流程并维 持足够的内部控制 因此，满足萨

19、班斯法案的 第一步就是识别所有与财 务报告有关的流程 外部审计师须对公司的财 务报告流程的内部控制进 行审计，并出具意见,Sarbanes-Oxley Act of 2002 404条款- 年度财务报告内部 控制的公司管理层报告书 设立并维持了足够的财务 报告内控体系； 财务报告内控体系有效性 的评价； 为评价财务报告内控体系 而采用的评价体系的说明。 37/141,全面风险管理与内部控制的区别：,从体系上看,内部控制着重于对流程的控制,全面风险管理不但涉及流程控制，而 且包括风险战略、公司法人治理结构、组 织保障体系、风险理财等。,38/141,全面风险管理与内部控制的区别：,从实现目标上看

20、，,内部控制的目标为3个(合规经营、高效运营、,财务报告真实可靠)。,风险管理目标为4个(除以上3个外，还包括：达,到与企业战略相匹配的风险最优化）,全面风险管理的目标为5个，（除以上4个外，还 包括保护企业不致因灾害性事件或人为错误而遭受重 大损失),39/141,第七条：全面风险管理总体目标,(一)确保将风险控制在与总体目标相适应并可承受的范围内； (二)确保内外部，尤其是企业与股东之间实现真实、可靠的信 息沟通，包括编制和提供真实、可靠的财务报告； (三)确保遵守有关法律法规；,(四)确保企业有关规章制度和为实现经营目标而采取的重大措 施的贯彻执行，保障经营管理的有效性，提高经营活动的效

21、率 和效果，降低实现经营目标的不确定性；,(五)确保企业建立针对各项重大风险发生后的危机处理计划， 保护企业不因灾害性风险或人为失误而遭受重大损失。,40/141,第八条：正确处理控制风险与抓住机遇的关系,企业开展全面风险管理工作，应注,重防范和控制可能给企业造成损失和危 害的风险，也应把机会风险视为企业的 特殊资源，通过对其管理，为企业创造 价值，促进经营目标的实现。,41/141,42/141,第九条：开展全面风险管理的原则、重点、步骤 企业应本着从实际出发，务求实效的原则，以 对重大风险、重大事件(指重大风险发生后的事实) 的管理和重要流程的内部控制为重点，积极开展全 面风险管理工作。具

22、备条件的企业应全面推进，尽 快建立全面风险管理体系；其他企业应制定开展全 面风险管理的总体规划，分步实施，可先选择发展 战略、投资收购、财务报告、内部审计、衍生产品 交易、法律事务、安全生产、应收账款管理等一项 或多项业务开展风险管理工作，建立单项或多项内 部控制子系统。通过积累经验，培养人才，逐步建,立健全全面风险管理体系。,如何理解“具备条件的企业”？,与企业规模、经济效益、所处行业没有关系 ,与以下4个方面有关： 内部管理基础 公司治理结构,管理层对风险管理的认识 风险管理人才,43/141,第十条：全面风险管理工作与其他管理工作的关系,44/141,企业开展全面风险管理工作应与其他管

23、理工作紧密结合，把风险管理的各项要求融 入企业管理和业务流程中。具备条件的企业 可建立风险管理三道防线，即各有关职能部 门和业务单位为第一道防线；风险管理职能 部门和董事会下设的风险管理委员会为第二 道防线；内部审计部门和董事会下设的审计 委员会为第三道防线。,风险管理的三道防线 各相关部门和业务单位,风险管理职能部门和董事会下设的 风险管理委员会,定期自查和检验并汇报,检查、检验并评价,出具评价和建议报告,监督评价,内部审计部门和董事会下设的审计 委员会 45/141,中央企业全面风险管理指引,第二章,风险管理初始信息,46/141,整个风险管理的第一步，在企业开展风险评估工作之 前，首先需

24、要收集风险和风险管理相关的内部、外部 初始信息，包括历史数据和未来预测，作为风险评估 的准备。,旨在协助企业业务单位及职能部门于主要风险领域内 清楚了解企业的目标、相关业务流程、各重大业务流 程的关键成功因素及绩效指标, 行业竞争优势，以及 企业及行业竞争对手的重大损失事件案例分析等。 这些信息与潜在风险驱动因素有着重大关系。,收集初始信息的目的,47/141,企业风险及其类别,48/141, 战略风险 财务风险 市场风险 运营风险 法律风险,企业风险指未来的不确定性对企业实现其经营 目标的影响。,企业的风险一般可以分为五大类：,战略风险及其类别,战略风险是指企业在战略的制订和实施上出现 错误

25、，或因未能随环境的改变而作出适当的调整， 而导致经济上的损失。,常见的战略风险包括：, 宏观政策及形势把握风险； 新产品推广策略风险； 对新市场开发投入风险； 并购风险。,49/141,战略风险案例：日本八佰伴,在90年代，八佰伴是日本最大的百货公司集团 之一。,90年代末，八佰伴由于错误的战略定位，低估 了经营非核心业务和开拓新兴市场的风险，最 终陷入难以自拔的困境。,1997年9月，八佰伴宣布破产。破产时八佰伴的 负债额达16亿美元，是日本战后最大的一宗企 业破产案。,50/141,财务风险及其类别,财务风险是指融资安排、会计核算与管理以及 会计或财务报告失误而对企业造成的损失。,常见的财

26、务风险包括：, 资金结构与现金流风险; 会计核算与流程的风险; 会计及财务报告风险等。,51/141,52/141,财务风险案例：四川长虹 四川长虹是中国最大的家电制造商之一； 由于在对外贸易中过多关注争夺客户和市场份额， 2002年前后，在无法收回海外代理商货款的情况下 ，仍然向海外发货，忽视应收账款坏账风险； 四川长虹在1998年至2003年间创造利润人民币33亿 元，却遭受39亿元的海外欠款，最终不得不于2004 年在美国向海外代理商提起诉讼，开始了长达一年 半的跨国诉讼； 2006年4月四川长虹为尽早结束无休止的跨国诉讼与 代理商签订和解协议，预计可收回应收账款金额仅,为人民币13.6

27、亿元。,市场风险及其类别 市场风险是指因市场等外界条件变化而使企业 产生经济损失的风险。 市场风险包括：, ,商品价格与物资供应风险； 客户、供应商信用风险； 税收风险； 利率、汇率风险； 竞争风险。,53/141,市场风险案例：香港百富勤公司 (Peregrine),90年代，百富勤原是亚洲(除日本外)的最大投资 银行。,90年代末，百富勤没有充分意识到新兴金融市场 的风险，并且低估了利率和汇率波动的风险，集 中大量投资于印尼和泰国市场。,在亚洲金融风暴的冲击下，百富勤在短短一年内 出现入不敷出，至1999年1月宣布破产。,54/141,事件,运营风险及其类型,55/141,运营风险是指企业

28、内部流程和信息系统、人为 因素或外部事件而给企业造成的经济损失。 人为因素是指企业员工由于缺乏诚信道德而导致 的舞弊行为，或缺乏知识或能力而导致的错误和 重大损失,流程风险是指交易流程中出现错误而导致损失的 风险，例如：在销售流程中（包括定价、记录、 确认、出货等环节）出错而导致损失的风险 信息系统风险是指因系统失灵、数据的存取和处 理、系统的安全和可用性、系统的非法接入与使 用而导致损失的风险,外部事件风险是指火灾、天然灾害、市场扭曲等,56/141,运营风险案例：英国巴林银行(Barings Bank) 巴林银行在90年代前是英国最大的银行之一，有 超过200年的历史。 1992-1994

29、年期间，由于缺乏足够的职责划分以 及上级对下级从事业务的监控机制，巴林银行新 加坡分行总经理里森(Nick Leeson)在从事日本 大阪及新加坡交易所之间的日经指数期货套期对 冲和债券买卖活动中，累计亏损超过10亿美元。,巴林银行因此于1995年2月破产。,法律风险及其类型 法律风险是指企业因违反法律、法规或规定，或 侵害其他利益相关者的权益，而导致企业遭受经 济或声誉损失的风险。 法律风险包括： 国内外政治法律环境与政策；, ,员工道德操守； 重大协议与合同的遵守与履行； 法律纠纷； 知识产权；,57/141,法律风险案例：壳牌石油公司,全球第三大石油公司，在财富500强中排名第四 （20

30、05年）。,2004年1月，壳牌公司宣布其披露的油气储量信 息有误，受到美国证券交易委员会及英国金融服 务局的调查。,2004年7月，向证交会及金融服务局交纳罚款达1 亿5千万美元。公司董事长及一名高管辞职。,58/141,59/141,-,国内外宏观经济政策以及经济运行情况、本行业状况、,国家产业政策；,- - - - - -,科技进步、技术创新的有关内容； 市场对本企业产品或服务的需求； 与企业战略合作伙伴寻求战略合伙伴的可能性； 本企业主要客户、供应商及竞争对手的有关情况； 与主要竞争对手相比，本企业实力与差距； 本企业发展战略规划、投融资计划、年度经营目标、经,营战略，以及编制这些战略

31、、规划、计划、目标的有关依据,-,本企业对外投融资流程中曾发生或易发生错误的业务流,程或环节,风险管理初始信息的搜集：以战略风险为例 针对战略风险需搜集的初始信息:,60/141,收集战略风险信息的渠道 外部渠道 国家、行业宏观政策与信息的发布平台和网络； 新闻、媒体报道及专业机构的出版物； 商业伙伴（客户、供应商）提供的战略信息； 私人商业与社会网络等。 内部渠道 内部会议纪要及战略分析报告； 以往战略决策的成功案例及重大偏差； 企业自身的战略规划、计划等决策信息；,企业战略规划方面的内部控制机制。,风险管理初始信息搜集主体以战略风险为例,风险管理初始信息的工作成果,行业资料 客户选择、保留

32、及管理 产品或服务定价 产品或服务素质 新产品或服务研发或改善 供应链 人才资源 财务业绩 损失事件案例及分析,企业资料 企业的战略目标 各重大业务流程的目标, 关键成功因素, 关键绩效指标等 企业架构图 根据企业情况制定业务流程模型 企业面对的挑战 企业于五个主要风险领域（包括战略、财 务、市场、运营和法律）面对的风险分类 目录 企业的竞争优势 企业的财务摘要 并购活动对企业的重要性 损失事件案例及分析 62/141,中央企业全面风险管理指引,第三章,风险评估,63/141,辨识风险,重大的风险,是,否,实施风险管 理应对方案 64/141,现有的内部控制是否 有效？有否执行？,评估现有的

33、内部控制,持续监控,制订改进 计划,分析及评 价风险 考虑风险潜在的影,响及发生的可能性,风险评估流程 什么会妨碍企业达到战略目标？,风险评估的三个主要步骤,风险 辨识,风险 分析,风险 评价,1,2,3,65/141,风险辨识,风险辨识是指查找企业各业务单元、各项重要经 营活动极其重要业务流程中有无风险，有哪些风险。 例如：,66/141,风险分析,风险分析是对辨识出的风险及其特征进行明确的定义描 述，分析和描述风险发生可能性的高低、风险发生的条件。,风险清单及风险发生可能性（举例）,67/141,风险评价 风险评价是评估风险对企业实现目标的影响程度、 风险的价值等。,极低,低,中等,高,极

34、高,风险坐标图 (以固有风险绘制) 极高,高 中等,低 极低,可 能,性,1 2 3 ,人力资源风险 财务风险 竞争风险,4 5 6 ,产品开发风险 客户信用风险 系统故障风险,7 8 9 10,外汇风险 欺诈风险 政治风险 投资风险,11,采购风险 68/141,风险评价,69/141,极高 高,中等,低,极低,极低,低,中等,高,极高,影响程度,A区域,B区域,承担A区域中的各项 风险且不再增加控 制措施,严格控制B区域中的 各项风险且专门补 充制定各项控制措,施,确保规避和转移C区 域中的各项风险且,优先安排实施各项 防范措施,2,8,5,3,4,1,7,6,9,风险坐标图 (以固有风险

35、绘制) 可能性 B区域 C区域,70/141,风险评估方法 方法介绍： 进行风险辨识、分析、评价，应将定性与 定量方法相结合 定性方法可采用问卷调查、集体讨论、管 理层访谈、专家咨询、情景分析、政策分 析、行业标杆比较、调查研究等 定量方法可采用统计推论(如集中趋势法) 、计算机模拟(如蒙特卡罗分析法)、失效,模式与影响分析、事件树分析等。,风险评估,分析风险之间的关系,各风险之间的自然对冲,风险事件发生的正负相关性等组合效应 从风险策略上对风险进行统一集中管理,71/141,72/141,风险管理信息的动态管理 什么是风险管理信息的动态管理？ 传统的风险管理方式是静止的，基于在某一时点上 对

36、风险信息的收集及对风险的评估。由于企业所处的环 境的不确定性和多变性，如果仅对风险信息进行一次性 的收集、整理与评估，其结果可能无法有机的嵌入到日 常工作中。 因此，必须对风险管理信息实施动态管理，根据变 化，随时检查、改进、修正风险信息，充分考虑风险的 不确定性、多变性，及其内在联系。 风险评估周期 企业可以根据自身情况对风险进行定期或不定期的 评估，从而对新的风险及原有风险的变化进行评估。评 估的周期与企业所处的行业、经济政治环境、内部外部,的变化等方面紧密相连。,中央企业全面风险管理指引,第四章,风险管理策略,73/141,风险管理策略,风险管理策略是指企业根据自,身条件和外部境，围绕企

37、业发展战 略，确定风险偏好、风险承受度、 风险管理有效性标准，选择风险承 担、风险规避、风险转移、风险转 换、风险对冲、风险补偿、风险控 制等适合的风险管理工具的总体策 略，并确定风险管理所需人力和财 力资源的配置原则。,74/141,风险管理策略的组成部分, 风险偏好和风险承受度,“承担什么风险？承担多少？”, 全面风险管理的有效性标准,“怎样衡量我们的风险管理工作成效？”, 风险管理的工具选择,“怎样管理重大风险？” 全面风险管理的资源配置,“如何安排人力、财力、物资、外部资源,等风险管理资源？”,75/141,风险管理工具分类,风险承担 风险规避 风险转移 风险转换 风险补偿 风险控制

38、风险对冲,76/141,风险承担, 风险承担是指企业对所面临的风险采取被动,接受的态度，从而承担风险带来的后果,企业面临的风险有许多。通常企业能够明确辨 识的风险只占全部风险的少数。风险评估的工作 结果对于企业是否采用风险承担影响很大。 对未能辨识出的风险，企业只能采用风险承担; 对辨识出的风险企业也可能缺乏能力进行主动,管理，对这部分风险只能采用风险承担;,对企业的重大风险，即影响到企业目标实现的,风险，企业一般不应采用风险承担。,77/141,风险规避, 风险规避是指企业回避、停止或退出蕴含某风险,的商业活动或商业环境，避免成为风险的所有人,风险规避举例：, 退出某一市场以避免激烈的竞争,

39、 拒绝与信用不好的交易对手进行交易, 外包某项对工人健康安全风险较高的工作 停止生产可能有潜在客户安全隐患的产品 回避政治动荡的地区, 禁止各业务单位在金融市场进行投机，只准套期保值 不准员工访问某些网站或下载某些内容,78/141,风险转移, 保险：保险合同规定保险公司为预定的损失支付,补偿，作为交换，在合同开始时，投保人要向保 险公司支付保险费, 非保险型的风险转移：将风险可能导致的财务损,失负担转移给非保险人而言。例如服务保证书等, 风险证券化：通过证券化保险风险构造的保险连,接型证券（ILS）。这种债券的利息支付和本金偿 还取决于某个风险事件的发生或严重程度, 风险转移是指企业通过合同

40、将风险转移到第,三方，企业对转移后的风险不再拥有所有权,79/141,风险转换, 风险转换是指企业通过战略调整等手段将企,业面临的风险转换成另一个风险, 风险转换的手段包括战略调整和衍生产品等, 风险转换一般不会直接降低企业总的风险，其最简单,形式就是在减少某一风险的同时，增加另一风险。例 如，通过放松交易客户信用标准，增加了应收账款， 但扩大了销售, 企业可以通过风险转换在两个或多个风险之间进行调,整，达到最佳效果, 风险转换可以在低成本或者无成本的情况下达到目的,80/141,风险对冲, 风险对冲是指采取各种手段，引入多个风险因素,或承担多个风险，使得这些风险能够互相对冲， 也就是，使这些

41、风险的影响互相抵消。, 常见的例子有资产组合的使用，多种外币结算的使用,和战略上的分散经营等, 在金融资产管理中，对冲也包括使用衍生产品，如利,用期货进行套期保值, 在企业的风险中，有些风险具有自然对冲的性质，应,当加以利用。例如，不同行业的经济周期风险对冲, 风险对冲必须涉及风险组合，而不是对单一风险进行,风险规避、控制,81/141,风险对冲举例：期货的套期保值, 期货的套期保值(Hedging)，亦称为期货对冲，,是指为配合现货市场上的交易，而在期货市场上 做与现货市场商品相同或相近但交易部位相反的 买卖行为，以便将现货市场的价格波动的风险在 期货市场上抵消, 套期保值交易之所以有利于回

42、避价格风险，其基 本原理就在于某一持定商品的期货价格和现货价 格受相同的经济因素影响和制约,期货的套期保值会降低风险,82/141,利用期货套期保值, 空头套期保值(short hedge)：如果某公司要在未,来某时间出售某资产，可以通过持有该资产期货 合约的空头来对冲风险。如果到期日资产价格下 降，现货出售资产亏了，但期货的空头获利。如 果到期日资产价格上升，现货出售资产获利(相对 合约签定日期)，但期货的空头亏了, 多头套期保值(long hedge)：如果要在未来某时,买入某种资产，则可采用持有该资产期货合约的 多头来对冲风险, 利用期货套期保值一般涉及两个时间的四个交易,83/141,

43、空头套期保值,84/141,多头套期保值,85/141,风险补偿,86/141, 风险补偿是指企业对风险可能造成的损失采,取适当的措施进行补偿., 风险补偿表现在企业主动承担风险，并采取措施以补,偿可能的损失, 风险补偿的形式有财务补偿、人力补偿、物资补偿等 财务补偿是损失融资，包括企业自身的风险准备金和,应急资本等。例如，某公司历史上一直购买灾害保 险，但经过数据分析，认为保险公司历年的赔付不足 以平衡相应的保险费用支出，同时，为了应付可能发 生的灾害性事件，公司与银行签订了应急资本协议， 规定在灾害发生时，由银行提供资本以保证公司的持 续经营,风险控制, 风险控制是指控制风险事件发生的动因

44、、环,境、条件等，来达到减轻风险事件发生时的 损失或降低风险事件发生的概率的目的。, 通常影响某一风险的因素有很多。风险控制可以通过,控制这些因素中的一个或多个来达到目的，但主要的 是风险事件发生的概率和发生后的损失。前者的例子 如室内使用不易燃地毯，山上禁止吸烟等；后者的例 子如修建水坝防洪，设立质量检查防止次品出厂等, 风险控制的对象一般是可控风险，包括多数运营风,险，如质量、安全和环境风险，以及法律风险中的合 规性风险,87/141,风险偏好、风险承受度和预警指标, 风险偏好 承担什么风险 承担多少风险, 风险承受度 作为风险偏好的边界 作为预警指标, 应当与这个公司联盟吗？ 是否需要套

45、期保值？ 应当在美国投资吗？投资多少？ 应当保持多高的资产负债率？, 市场表现到什么时候，我们 就应当追加投资或一定退 出？ 资产负债率高到什么时候， 我们就需要停止投资？ 88/141,风险的二重性 风险 = 机会 + 威胁,机会,威胁：可以承受,经 营 指 标,风险偏好 风险承受度 威胁：不可承受 时间 89/141,风险承受度与预警,预 警 指 标 风 险 偏 好 范 围,二级预警点 一级预警点 盈亏平衡点 时间 90/141,基于不同风险的风险偏好,91/141,市 场 风 险,信用风险,风险承受度,风险承受度,风险偏好方向,风险偏好方向 可接受风险区域 风险偏好度 不同信用杠杆 下的

46、等风险线,受控于经营战略 并基于风险度量,重大风险的风险偏好,风险偏好和风险承受度是针对公司的重大风险制,定的,对企业的非重大风险的风险偏好和风险承受度不,一定要十分明确，甚至可以先不提出,因此，企业的风险偏好依赖于企业的风险评估的 结果。由于企业的风险不断变化，企业需要持续 进行风险评估，并调整自己的风险偏好,重大风险的风险偏好是企业的重大决策，应由董,事会决定,92/141,防止两种错误倾向 “ 确定风险偏好和风险承受度，,要正确认识和把握风险与收益 的平衡，防止和纠正忽视风 险，片面追求收益而不讲条件、 范围，认为风险越大、收益越 高的观念和做法；同时，也要 防止单纯为规避风险而放弃发,

47、为了实现企业战略 目标，企业所承担 的风险是否过大或 过小？,展机遇。” 企业现在的战略目标与所 承担的风险是否匹配？ 93/141,风险管理有效性标准, 风险管理的有效性标准是指企业衡量企业风险,管理是否有效的标准, 风险管理有效性标准的作用是帮助企业了解：,企业现在的风险是否在风险承受度范围之,内，即风险是否优化,企业风险状况的变化是否所要求的，即风,险的变化是否优化, 因此，量化的企业风险管理有效性标准可以基,于企业风险承受度的度量,94/141,风险度量方法,常用的风险度量包括：,最大可能损失,概率值：损失发生的概率或可能性 期望值：统计期望值，效用期望值 波动性：方差或均方差,在险值

48、：又称VaR，其它类似的度量,95/141,选择合适的风险度量, 对不同种类的风险要使用不同的度量模型 对外部风险的度量包括市场指标、景气指数等 对内部运营风险的度量相对来讲比较容易，如,各种质量指标、执行效果、安全指数等, 对战略风险的度量比较困难，一般可以考虑财,务表现、市场对标、创新能力系数等, 要找到一种普适性的风险度量是很困难的，也,没有必要，因为人们有不同的目的和偏好,96/141,风险量化的困难,方法误差 数据 信息系统 整合管理,企业的情况很复杂，致使建立的风险度 量不能够准确反映企业的实际情况 很多情况下，企业的有关风险的数据不 足，质量不好 企业的信息传递不够理想，导致需要

49、的 信息未能及时到达 在数据和管理水平的现实条件下，不能 与现存的管理连接，有效应用结果 97/141,风险管理策略,企业应根据风险与收益相平衡的原则以及各风险在风 险坐标图上的位置，进一步确定风险管理的优选顺序，明 确风险管理成本的资金预算和控制风险的组织体系、人力 资源、应对措施等总体安排。,风险管理的优选顺序体现了企业的风险偏好。因此， 要找到一种普适性的方法来确定风险管理的优选顺序是很 困难的,一个很重要的原则是风险与收益相平衡的原则。在风,险评估的结果的基础上，全面考虑风险与收益,企业要特别重视对企业有影响的重大风险，要首先解,决“颠覆性的”风险问题，保证企业的持续发展,98/141

50、,确定风险管理的优选顺序,99/141, 根据风险与收益平衡的原则，确定风险管理的,优选顺序可以考虑以下几个因素：, 风险管理的难度, 风险事件发生的可能性和影响, 风险的价值，或管理可能带来的收益 合规的需要, 对企业技术准备、人力、资金的需求 利益相关人的要求,检讨风险管理策略 风险管理策略要随着企业经营,状况的变化，经营战略的变 化，外部环境风险的变化而调 整 风险管理策略定期检讨的频率 依赖于企业面临的风险 企业经营战略的回顾时应该同 时检讨风险管理策略 要重新评估风险以便确认风险 管理策略的有效性,制定风险管理策略 要注意整个全面风 险管理体系的配合 ，如是否有强有力 的组织职能支撑

51、， 经济上是否划算， 技术上能否掌握， 等等。因此，一个 好的风险管理战略 往往要到解决方案 的完善后才能完成, 必要时，调整有效性标准 100/141,中央企业全面风险管理指引,第五章,风险管理解决方案 101/141,风险管理解决方案,企业应根据风险管理策略，,针对各类风险或每一项重大风险 制定风险管理解决方案。方案一 般应包括风险解决的具体目标， 所需的组织领导，所涉及的管理 及业务流程，所需的条件、手段 等资源，风险事件发生前、中、 后所采取的具体应对措施以及风 险管理工具(如：关键风险指标 管理、损失事件管理等)。,102/141,风险管理解决方案,风险管理解决方案分外部和内部解决方

52、案 内部解决方案是前面所说风险管理策略的实 施，是全面风险管理体系的运转。因此，在具 体实施中，一般是以下几种手段的综合应用：, 风险管理策略； 组织职能；, 内部控制，包括政策、制度、程序； 信息系统，包括报告体系； 风险理财。,103/141,风险管理工具：以“关键风险指标管理”为例,关键风险指标管理（举例说明）, 一项风险发生可能有多种，但关键,成因往往只有几种。, 关键风险指标管理是对引起风险事,件发生的关键成因指标进行管理的 方法,104/141,风险管理工具：以“关键风险指标管理”为例,具体操作步骤：,1.分析风险成因，从中找出关键成因。,2.将关键成因量化，确定其度量，分析确定导

53、致风险事件发生（或极有,可能发生）时该成因的具体数值。,3.以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定 数值后形成新的数值，该数值即为关键风险指标,4.建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风 险预警信息,5.制定出现风险预警信息时应采取的风险控制措施,6.跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施,105/141,关键风险指标管理举例：,以易燃易爆危险品储存容器泄漏引发爆炸的风险管理为,例。容器泄漏的成因有：使用时间过长、日常维护不够、,人为破坏、气候变化等因素，但容器使用时间过长是,关键成因。如容器使用最高期限为50年，人们发现当使用

54、 超过45年后则易发生泄漏。该“45”年即为关键风险指标。 为此，制定使用时间超过“45”年需采取的风险控制措施， 一旦使用时间接近或达到“45”年时，发出预警信息，即采 取相应措施。,该方法既可以管理单项风险的多个关键成因指标，也可 以管理影响企业主要目标的多个主要风险。使用该方法， 要求风险关键成因分析准确，且易量化、易统计、易跟踪 监测。,106/141,风险解决的内控方案, 企业内控措施的主要内容, ,建立内控岗位授权制度 建立内控报告制度 建立内控批准制度 建立内控责任制度 建立内控审计检查制度 建立内控考核评价制度 建立重大风险预警制度 建立健全以总法律顾问制度为核心的企业法律顾问

55、制度 建立重要岗位权力制衡制度，明确规定不相容职责的分离 107/141,内控与流程再造, 内控设计以流程为基础。因此，在,建立内部控制系统时，首先要梳理 现有的管理和业务流程。必要时， 建立相关的流程, 完善的流程包括完善的内部控制；,设计内控的过程也是完善流程的过 程。因此，涉及内部控制的过程一 般会涉及流程的再造，加强现有流 程的内控也是流程再造的一部分,108/141,流程的内部控制,流程 流程是否存在 设计是否合理 职责是否明确 执行是否严格 奖惩是否明白 效果是否满意,风险控制点 ? 关键绩效区 风险是否辨识 影响什么指标 影响哪些流程 影响哪些部门 或哪一级企业,控制措施 应对是

56、否存在 设计是否合理 职责是否明确 是否经过检验 效果是否满意, 分析是否彻底 109/141,内控手册,内部控制手册 第一章 总则 1.1 前言 1.2 内部控制框架 第二章 业务流程 2.1 采购 2.2 成本 2.3 销售,内控控制的结果一般制 成业务手册，以便员工 遵照执行。 内控手册一般包括总 则，流程定义，流程目 标，流程步骤描述，流 程风险，控制点，相关 资料，流程图，权限， 信息沟通，监控等内容。 左图为内控手册一例。,示例,2.4 资金 2.5 投资 110/141,外部解决方案：风险管理外包, ,企业经营活动外包是利用产业链专 业分工，提供运营效率的必要措施 企业许多风险管

57、理工作可以外包出 去，如企业使用投资银行、信用评 级公司、保险公司、律师事务所、 会计事务所、风险管理咨询公司等 专业机构，将有关方面的工作外 包，可以降低企业的风险，提供效 率 外包可以使企业规避一些风险的同 时，可能带来另一些风险，应当加 以控制,111/141,中央企业全面风险管理指引,第六章,风险管理的 监督与改进,112/141,风险管理的监督与改进,“企业应以重大风险、重大事件和重大决策、重要管理及 业务流程为重点，对风险管理初始信息、风险评估、风 险管理策略、关键控制活动及风险管理解决方案的实施 情况进行监督，采用压力测试、返回测试、穿行测试以 及风险控制自我评估等方法对风险管理

58、的有效性进行检 验，根据变化情况和存在的缺陷及时加以改进。”,中央企业全面风险管理指引,113/141,监督和改进的实质 114/141,监督和改进的实质 监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、 集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、 并根据变化情况进行改进，持续提升风险管理水平。,分析风险管理实 施的有效性 执行相关测试和 自我评估 关注风险管理的 目标,发现并传递重大 风险管理缺陷 根据变化情况及 时加以改进 持续提升风险管 理水平,监 督 的 重 点,监 督 的 对 象,监督的对象、重点及结论 1.风险管理初始信息,2.风险评估

59、 3.风险管理策略 4.关键控制活动 5.风险管理解决方案,1. 重大风险 2. 重大事项和重大决策 3. 重要管理及业务流程,结论 风险管理活 动是否有效,改进,即管理层和董事会是否能在以下四 个方面得到合理保证： 了解企业战略目标实现的程度 了解企业经营目标实现的程度 企业财务报告的可靠性 115/141 企业对相关法律法规的遵守,高影响 低发生可能性 低影响 低发生可能性,高影响 高发生可能性 低影响 高发生可能性,风险发生的可能性,低,以重大风险、重大事件和重大决策、 重要管理及业务流程为重点 灾难,性的 对实现商业 目标的影响 影 响 不 大,高,116/141,4指在极端情景下，分析评估风险管理模型或内,4将历史数据输入到风险管理模型或内控流程,4在正常运行条件下，将初始数据输入内控流,4风险控制自我评估（RSA）是一种新兴的技术和,监督风险管理有效性的方法,117/141,控流程的有效性，发现问题，制定改进措施的方 法，目的是防止出现重大损失事件。