德勤：企业全面风险管理概述

null 企业全面风险管理概述 德勤企业风险管理服务 2007年3月null风险及全面风险管理概述 风险的一般概念 全面风险管理的愿景 全面风险管理的一般概念和内容 全面风险管理的发展 《中央企业全面风险管理指引》简介 《指引》的定位和意义 《指引》内容框架 《指引》主要内容解读 全面风险管理的实践 国内外企业风险管理调查结果 企业风险管理工作的开展 培训 焊锡培训资料ppt免费下载焊接培训教程 ppt 下载特设培训下载班长管理培训下载培训时间表下载 大纲 风险及全面风险管理概述 风险及全面风险管理概述 风险的一般概念 全面风险管理的愿景 全面风险管理的一般概念 全面风险管理的内容 全面风险管理的发展和实践风险的一般概念风险是未来的不确定性对企业实现其目标的影响。风险的一般概念风险就在我们身边EIU（The Economist Intelligence Unit Limited）关于未来经济、产业和公司发展趋势的调查显示：2005年-2020年这15年间，下述风险将对公司产生较大影响（单位：%）：风险就在我们身边企业的风险企业的风险不良风险管理的后果 企业的重大损失甚至倒闭都是由于不良的风险管理所造成。 不良风险管理的后果全面风险管理的愿景我们公司有什么风险？这些风险有多大？ 我们公司如何管理这些风险？我们管理是否有效？ 我们有多少把握能够达到我们预定的战略目标？98％，或95％？如果是98%，那么2%的可能性又意味着什么情况？ 这些意外情况对我们公司有什么样的影响？我们应该怎样应对这些情况？全面风险管理的愿景NO RISKS , NO RETURNS全面风险管理的一般概念全面风险管理是使企业在实现其未来战略目标的过程中将市场的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。全面风险管理的一般概念全面风险管理的内容全面风险管理的内容： 是一个流程和方法 以企业战略为导向 辨识对企业有潜在影响的事件，并根据风险偏好管理风险 为企业管理层和董事会提供合理的保证 风险管理贯穿在企业管理的每一个方面： 落实到企业作为一个整体和企业的各个业务流程 作为从董事会到高级管理层直至每一个员工的责任全面风险管理的内容全面风险管理与现有管理体系全面风险管理不是独立于现有管理体系的另外一个体系 全面风险管理是对现有数据的挖掘和利用 全面风险管理是对现有管理体系的整合 全面风险管理是对现有管理职能的强化 全面风险管理的内容融入现有管理职能预算ISO9000投资规划全面风险管理与现有管理体系风险管理的发展-实物牵制 -薄记牵制COSO 内部控制 整体框架企业全面 风险管理 COSO ERM框架内控评价 内部审计~1940’s1940’s~1970’s1980’s~1990’s1990’s21世纪内部牵制内部控制 结构完善-控制环境 -会计系统 -控制程序-控制环境 -风险评估 -控制活动 -信息沟通 -监督-建立内控 -数据准确一致 -内控可靠性-控制环境 -目标设置 -事件辨识 -风险评估 -风险反应 -控制活动 -信息沟通 -监督 风险管理的发展全球主要风险管理标准路线图金融业风险企业风险全球主要风险管理标准路线图《中央企业全面风险管理指引》简介《中央企业全面风险管理指引》简介 《指引》的定位和意义 《指引》内容框架 《指引》主要内容解读 null《中央企业全面风险管理指引》正式出台null 中国风险管理的里程碑 站在全球企业管理的前沿 内容和要求基本超过目前资本市场的合规要求 对非央属企业也有很强的指导意义《指引》的定位和意义null目的： 明确要求中央企业要重视和开展全面风险管理； 明确什么是全面风险管理； 指导企业如何开展全面风险管理工作。 主要内容： 第一章　总则 第二章　风险管理初始信息 第三章　风险评估 第四章　风险管理策略 第五章　风险管理解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 第六章　风险管理的监督与改进 第七章　风险管理组织体系 第八章　风险管理信息系统 第九章　风险管理文化 第十章　附则 《指引》的主要内容风险管理文化全面风险管理体系风险管理基本流程一个流程一个体系一种文化全面风险管理框架全面风险的目标五个目标null全面风险管理的目标《指引》明确指出：企业开展全面风险管理要努力实现以下风险管理总体目标：参见《指引》第七条确保将风险控制在与总体目标相适应并可承受的范围内； 确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告； 确保遵守有关法律法规； 确保企业有关 规章制度 食品安全规章制度下载关于安全生产规章制度关于行政管理规章制度保证食品安全的规章制度范本关于公司规章制度 和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性； 确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。全面风险管理框架的结构全面风险管理框架的结构+风险管理基本流程全面风险管理体系风险管理文化风险管理初始信息风险管理初始信息收集与风险和风险管理相关的内外部信息，并将其整理成可用于分析的形式，为风险评估和风险战略的制定奠定基础。不同类别收集的范围、方法、频率有所不同； 注重信息的系统、完整、真实、及时程序规范、方法合理参见《指引》第二章null风险评估是风险管理的基础，《指引》要求，“企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。”风险评估的方法风险评估的目的全面了解公司整体的风险现状，评估公司目前的风险水平。统一公司各个层面对风险的认识，形成一套通用的风险语言。找出公司在现有内外部环境、发展态势和管理水平下，对目标实现影响最大的风险，并进行管理优先排序。123风险评估的成果风险列表风险图谱重大风险模型参见《指引》第三章风险评估风险评估的步骤风险评估的步骤风险评估可分为风险辨识、风险分析和风险评价等几个步骤。综合信息框架风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生 可能性评价风险影响 程度评价风险评价风险模型重大风险模型风险评估报告风险图谱风险图谱展示风险评估结果的重要工具是风险图谱，通过分析公司的风险图谱，可以直观地看到公司的风险分布情况，从而确定风险管理的重要控制点和风险管理解决方案。 风险图谱被两条“等风险线”分隔为“红灯区”、“黄灯区”和“绿灯区” ： 处于“红灯区”的风险大多集中在第一象限，其发生的概率和影响程度均较高。公司应该根据风险的属性和风险管理偏好来选择风险管理方案； 处于“黄灯区”的风险，有两种情况： 处于第二象限的风险更多的是一些非常事件，但影响程度较大。对于这类风险，公司应该在采取防范措施的同时，制定应急计划；风险图谱示意处于第四象限的风险，其影响程度不是很高而发生概率偏高，这往往与日常经营和遵守法律方面的问题有关，这些风险的累计影响不可低估。对于这类风险要注意日常的管理和监控； “绿灯区”中的风险大多集中在第三象限，是指那些发生概率和影响程度均不太高的风险，通常在目前可以接受。公司可以取消与此风险相关的、多余的风险控制措施，以减少成本和资源消耗以管理更重要的风险。 风险图谱不是一成不变的，公司应该定期评估风险，动态地对风险图谱进行调整和更新。风险的财务价值现金流量表资产负债表损益表*财务报表*风险调整前风险调整后风险影响现金银行存款……信用 风险利率 风险汇率 风险10002000…………√√√√√资产负债表现金银行存款……15002300……风险的财务价值null参见《指引》第四章企 业 使 命风险管理策略风险应对策略战 略 风险管理策略是根据企业经营战略制定的全面风险管理的整体策略； 风险管理策略在整个风险管理体系中起着统领全局的作用； 风险管理策略在企业战略管理的过程中起着承上启下的作用。重大风险管理的目标风险管理策略null风险偏好 解决“公司愿意承担什么风险”的问题 描述公司对待风险的基本态度和看法 风险偏好的确定基于公司的使命、愿景风险承受度 解决“公司能够承担多大风险”的问题 描述公司能够承担的风险的限度 风险承受度的确定可借助于模型的构建和公司基础数据的积累（历史经验）风险应对策略 解决“公司如何管理风险”的问题 阐述针对各类重大风险的应对策略：风险承担、风险规避、风险转移、风险转换…… 风险对策的确定基于风险评估和诊断的结果 要根据风险与收益相平衡的原则以及风险的重要程度确定风险管理的优选顺序，重大风险管理目标风险管理策略的核心内容null政策风险市场风险业务模式风险合同管理风险信用风险现金流风险客户风险积极利用适度承担坚决避免风险厌恶风险喜好合规风险风险偏好样 例null风险承受度样 例null战略措施产业结构调整 组织变革 兼并购活动 分包或转包 结盟 流程优化 全面质量管理 6西格玛远期合约 传统保险 金融衍生品风险准备金 运营措施风险理财剩余风险风险总量风险接受首先考虑在战略上规避风险； 平衡风险管理收益与成本，对各类风险选择风险规避、风险控制、风险转移或风险接受等手段 ； 设立风险准备金，并重新对产品和服务进行定价。风险承受度风险应对策略样 例风险管理解决方案风险管理解决方案参见《指引》第五章内部控制体系内部控制体系内部控制是通过针对企业的各个业务主要流程设计和实施一系列政策、制度、规章和措施，对影响业务流程目标实现的各种风险进行有效管理和控制的过程。 内部控制的对象主要是可控风险，如流程执行过程中的偏差、质量问题、财务报告的不准确及合规问题。流程风险控制点控制措施? 流程是否存在 设计是否合理 职责是否明确 执行是否严格 奖惩是否明白 效果是否满意 风险是否辨识 影响什么指标 影响哪些环节 影响哪些部门或 哪一级企业 分析是否彻底 应对是否存在 设计是否合理 职责是否明确 是否经过检验 效果是否满意参见《指引》第五章风险管理的监控改进 风险管理的监控改进 +各管理主体定期监督检查风险和风险管理情况 ； 根据成本与效益的平衡确定监控频率。持续改进风险管理体系和基本流程以及各种相关制度。提交风险监控、改进报告以及评价建议报告； 内审部门或外部机构每年至少一次的审核评价。实施监控持续改进报告参见《指引》第六章null系统的风险管理组织结构 明确的风险管理职责 清晰的风险报告线路风险管理是贯穿于企业的各个层面和各项管理工作中，风险管理既是一项具有专业理论、专门工具和特定职责的管理活动，也是对现有管理功能的强化：参见《指引》第七章风险管理职能全方位的风险管理组织体系全方位的风险管理组织体系null风险管理组织体系各组成部分及其职责 风险管理文化风险文化是关于企业在日常运营中对待风险的态度、价值和实践； 企业文化影响风险管理策略，风险管理策略反映了企业的风险管理文化； 在中央企业，总体上主张审慎的风险文化，在局部上，根据企业的风险管理策略，有可能采用较为激进的手段和方针；风险管理文化参见《指引》第九章管理层应该考虑企业的风险文化是如何影响全面风险管理的其他要素的，当它们不匹配时，应考虑重塑文化； 企业应在内部各个层面营造风险管理文化氛围； 采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。风险管理信息系统风险管理信息系统信息系统是风险管理的生命线： 基于内控体系的完善，以风险监控和风险预警为基础内容； 与财务管理、业务管理等系统之间开辟接口和数据通道； 完成日常风险监控、日常风险辨识、风险评估、控制评价、合规检查等功能； 逐步完善自动分析的职能，即加载商业智能模型； 最终达到管理层对关键风险点的报告需求。样 例参见《指引》第八章第八章 风险管理信息系统第八章 风险管理信息系统第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 的要求。 第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。第五十八条 已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。 风险管理信息系统的核心风险管理信息系统的核心 风险管理信息系统可以看作是信息化、电子化的风险管理信息报告和应用系统。因此，建立风险管理信息系统的基础是建立风险管理信息的报告系统，而报告的基础是数据，包括历史数据、实时或准实时数据。全面风险管理的实践全面风险管理的实践国内外企业风险管理调查结果 企业风险管理工作的开展国外公司的风险管理实践国外公司的风险管理实践目前，发达国家的企业已经把建立全面风险管理体系作为获得竞争优势的基本手段。 2001年，发达国家的大企业中计划实施全面风险管理的企业占20%，正在实施的占35%，而已经建立了完整的风险管理体系的企业只占11%。 2004年，建立了完整的全面风险管理体系的企业已经达到了38%，而没有计划实施全面风险管理体系的企业从2001年的31%下降到10%。国外公司的风险管理实践您的企业是否应用了以下风险管理工具在风险管理的执行中，CFO依然是最主要的责任人（合计首要责任人和第二责任人），排在第二位的是经营部门的管理者多数企业比较倾向于均衡风险控制与企业发展的需求，但只有较少的公司合理平衡了风险控制与业务发展的关系多数被调查企业认为它们辨识与管理风险的能力还有相当的改进空间41%的受访企业认为它们已经在最大程度上做到了风险量化国外公司的风险管理实践Protiviti公司2005年全美大型企业风险管理状况调查null 缺乏风险管理专门人才 缺乏适当的风险评估过程和程序 缺乏风险量化技术 缺乏对风险评估工作如何开展 的整体把握 岗位负责人缺乏必要的风险管理 专业知识 缺乏外部专家的支持 缺乏足够的人力和时间 缺乏资金国企实施全面风险管理的困难企业风险管理水平的发展阶段企业风险管理水平的发展阶段注意到风险，但总是忙于应付预料外发生的情况 个案处理，因此每次方法结果都不同 注重依靠个人能力解决问题 缺乏结合战略的指导方针第一台阶问题反应型规范操作型体系完善型第二台阶第三台阶建立了业务和管理流程 依靠系统和程序解决问题 缺乏整体的风险战略和统一的指导方针建立完善了全面风险管理体系 统一管理影响战略目标实现的重大风险从内控向风险管理的提升范围要扩大： 内部控制不仅要覆盖财务报告有关的流程，还要覆盖所有重要的业务和管理流程； 超越狭义的内控，应覆盖的最重要的流程是战略管理流程，人事管理流程等。要从全面风险管理的角度考虑企业管理的方方面面； 目标要扩大：内部控制不仅要考虑财务报告和一般重要披露的真实性和合规性，还要考虑实现企业的经营目标的所有风险，实现全面风险管理的所有五个目标。 内控向全面风险管理的提升分为两个层面： 流程层面：包括流程内部的改进 公司层面：包括企业整体的、跨越各个现有流程的管理内容 从内控向风险管理的提升集团公司风险管理工作的几种做法集团公司风险管理工作的几种做法从工作的内容和深度上看，主要有两种形式： 由表及里：搭建全面风险管理体系的整体框架，做出工作规划—>对风险管理组成部分进行细化 由点及面：开展风险管理体系的某一组成部分（如风险评估等）的工作—>整体风险管理体系的搭建；开展某一重大风险（如信用风险）的管理工作—>逐渐扩大风险管理的范围。 从工作的主体和范围看，主要有三种形式： 自上而下：集团公司设计全面风险管理框架—>选取重点子公司开展示范试点工作 自下而上：试点子公司先开展全面风险管理体系建设工作—>经验移植，集团整体开展全面风险管理体系建设工作 平行开展：在集团和子公司层面同时开展全面风险管理体系框架设计工作 成功实施全面风险管理的关键成功实施全面风险管理的关键结合公司整体战略，从实际出发 高度重视，全员参与 详细规划，稳步推进，分步实施 组织落实，职能落实，责任落实 将风险管理的工作做在业务前端 风险防范与利用相结合 准备充足资源，包括培养风险管理人才 持续不间断的监控，改进，调整 培育风险文化 重视审计在风险管理工作中的作用 加强信息化建设工作null 谢 谢! 刘文京 高级经理 德勤华永会计师事务所企业风险管理服务部 电 话：010-85207367, 13601397203 E-mail: wjliu@deloitte.com.cn