全面风险管理的8个要素.doc

全面风险管理的8个要素 全面风险管理的8个要素，你都了解清楚了吗？风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。风险管理的目标就是要以最小的成本获取最大的安全保障。因此，它不仅仅只是一个安全生产问题，还包括识别风险、评估风险和处理风险，涉及财务、安全、生产、设备、物流、技术等多个方面，是一套完整的方案，也是一个系统工程。 全面风险管理8个要素： 即内部环境、 目标设定、 事件识别、 风险评估、 风险对策、 控制活动、 信息和交流、 监控。 【相关内容】： 浅谈内部控制与风险管理的区别与联系 一、内部控制和全面风险管理在COSO框架中的内涵 1、COSO框架中关于内部控制与全面风险管理的定义 现代理论界对内部控制的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。在COSO委员会的《内部控制管理框架》中，把内部控制活动分成五大组成部分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。 在多年的管理实践中，人们意识到一个企业内部不同部门或不同业务的风险，有的会相互叠加放大，有的则相互抵消减少。因此，风险的考虑不能仅仅从某项业务、某个部门的角度出发，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。 依据COSO委员会 2003年7月完成的《全面风险管理框架》定义：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。该框架有三个维度，第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是：全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。 2、内部控制与全面风险管理的联系 (1)全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部控制的3个目标之外，还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。 (2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。 3、内部控制与全面风险管理的差异 (1)两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。 (2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。 (3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会)，将风险与机会区分开来;而在COSO委员会的内部控制框架中，没有区分风险和机会。 (4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。 二、内部控制和全面风险管理在国内的运用 1、国内关于内部控制与全面风险管理的定义 目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知以及国务院国资委发布的《中央企业全面风险管理指引》中有相关的表述。 财政部关于内部控制规范的《通知》中对内部控制的定义是：是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。 国资委《指引》中关于全面风险管理的定义是：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 2、国内关于内部控制和全面风险管理与COSO框架的差异 总体上来说，国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》，但结合国内的实际情况和一些前沿的研究成果，国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。 (1)目标纬度：财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展，增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。”另外，其他四个目标也与COSO全面风险管理四个目标在表述上有所差异，使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说，特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。 (2)要素纬度：财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架，同时在内容上体现了风险管理8要素框架的实质;国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素，但通过风险管理基本流程(如图1)将全面风险管理的一些要素融合到流程中，从实质来说，也体现的是8要素的COSO全面风险管理框架。 (3)层级纬度：财政发布的内部控制《通知》目前主要以财务报告内部控制目标为主线所涉及的业务层级有较详细的规范;国资委全面风险管理《指引》关注范围更广泛，包括战略、财务、市场、运营、法律等方面。因此，从企业的战略风险依次到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性应该各有不同。在战略风险方面，风险管理应该发挥主导作用，内部控制起到配合作用。这一角色逐步逆转，到财务报告层次，应该是内部控制发挥主导作用，风险管理起到配合作用。 (4)两者关系：国资委《全面风险管理指引》明确指出内部控制是全面风险管理体系的组成部分，同时也指出除内部控制外的其他全面风险管理组成部分(如图2)。但由于财政部内部控制《通知》出台较晚，且借鉴了COSO全面风险管理框架的内容，使得其内部控制的边界扩大了不少，包括实现目标和要素都与全面风险管理差异不大。因此，我们理解《全面风险管理指引》中提到的内部控制与财政部内部控制已经不可同日而语。从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。 3、国内关于内部控制与全面风险管理运用的一些误区 (1)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。 (2)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天，有时候先做起来比争论更有意义。 (3)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。 (4)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异或者关注度不够，除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些，事实是理论来源于实践又高于实践，这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。 三、内部控制与全面风险管理体系构建的一般过程 内部控制和全面风险管理体系的构建都是一个系统工程，基本涉及了企业管理的方方面面，因此企业不可能一步到位建立一个完善的体系。实践中企业往往根据自身的特点先搭建一个合理的体系框架并在此基础上选择某一目标或某一层面作为主线深入下去建立一个局域内部控制或风险管理体系，然后再在企业全局推广。因此，由于内容多，牵涉面广，工作量大，企业往往需要组建相应的专职团队以项目的方式来运作或者在外界咨询团队的协助下开展工作。一般来说，我们将体系建设分为以下五个步骤，如图3： 第一步：确定内控体系/风险管理体系建设的目标和依据：确定项目组织架构、项目管理制度和详细的工作计划;梳理、明晰企业的中长期战略发展目标，为从战略高度结合COSO框架建立内控体系/风险管理体系打下基础;内部控制/风险管理体系尤其是上市公司的内部控制/风险管理体系建设应当确定其需要遵循的相关法律法规;确定内控/风险管理体系需要实现的目标等。企业的业务特点、发展阶段、信息技术条件、外部环境要求等因素的不同，分析的目标重点也不同，随之也影响到后续步骤的工作内容。 第二步：各业务层面分析：综合运用各种调研手段和现状描述方法清晰表述出业务现状，并进行研究分析，归纳总结出内部控制/风险管理存在的问题点。层面的划分需要根据目标要求和企业特点，比如单体公司往往划分为公司层面、业务层面、信息系统层面等，而集团公司就可能多出集团公司层面。 第三步：差距分析：结合COSO框架中的5要素或8要素标准进行分析评价，发现差距，提出补充、修正或完善的方向。 第四步：内部控制/风险管理体系建设：以前几步工作成果为依据，搭建内部控制/风险管理框架体系;以某个目标或某个业务层面为主线，进行内部控制/风险管理体系的建设。 第五步：测试及运营维护：协助企业或外部审计机构进行评估和测试;根据测试结果进行调整;运行维护(推广实施计划)。 前三步骤紧密结合COSO框架的三个纬度展开(第一步审视企业体系建设目标纬度，强调体系建设的目标导向，第二步结合目标要求分析业务层面内部控制或风险管理存在的问题，第三步以某目标或业务为主线分析与COSO框架评价要素之间的差距)，第四步根据前三步的分析结果针对性的进行内部控制或风险管理体系的设计，第五步为测试及运行维护。 【案例分析】： 法国兴业银行巨亏 一、案情 2008年1月18日,法国兴业银行收到了一封来自另一家大银行的电子邮件,要求确认此前约定的一笔交易,但法国兴业银行和这家银行根本没有交易往来。因此,兴业银行进行了一次内部查清,结果发现,这是一笔虚假交易。伪造邮件的是兴业银行交易员凯维埃尔。更深入地调查显示,法国兴业银行因凯维埃尔的行为损失了49亿欧元,约合71亿美元。 凯维埃尔从事的是什么业务,导致如此巨额损失?欧洲股指期货交易,一种衍生金融工具产品。早在2005年6月,他利用自己高超的电脑技术,绕过兴业银行的五道安全限制,开始了违规的欧洲股指期货交易,“我在安联保险上建仓,赌股市会下跌。不久伦敦地铁发生爆炸,股市真的大跌。我就像中了头彩……盈利50万欧元。”2007年,凯维埃尔再赌市场下跌,因此大量做空,他又赌赢了,到2007年12月31日,他的账面盈余达到了14亿欧元,而当年兴行银行的总盈利不过是55亿欧元。从2008年开始,凯维埃尔认为欧洲股指上涨,于是开始买涨。然后,欧洲乃至全球股市都在暴跌,凯维埃尔的巨额盈利转眼变成了巨大损失。 二、原因 1.风险巨大,破坏性强。由于衍生金融工具牵涉的金额巨大,一旦出现亏损就将引起较大的震动。巴林银行因衍生工具投机导致9.27亿英镑的亏损,最终导致拥有233年历史、总投资59亿英镑的老牌银行破产。法国兴业银行事件中,损失达到71亿美元,成为历史上最大规模的金融案件,震惊了世界。 2.暴发突然,难以预料。因违规进行衍生金融工具交易而受损、倒闭的投资机构,其资产似乎在一夜间就化为乌有,暴发的突然性往往出乎人们的预料。巴林银行在1994年底税前利润仍为1.5亿美元,而仅仅不到3个月后,它就因衍生工具上巨额损失而破产。中航油(新加坡)公司在破产的6个月前,其CEO还公开宣称公司运行良好,风险极低,在申请破产的前1个月前,还被新加坡证券委员会授予“最具透明度的企业”。 3.原因复杂,不易监管。衍生金融工具风险的产生既有金融自由化、金融市场全球化等宏观因素,也有管理层疏于监督、金融企业内部控制不充分等微观因素,形成原因比较复杂,即使是非常严格的监管制度,也不能完全避免风险。像法兴银行这个创建于拿破仑时代的银行,内部风险控制不可谓不严,但凯维埃尔还是获得了非法使用巨额资金的权限,违规操作近一年才被发现。这警示我们,再严密的规章制度,再安全的电脑软件,都可能存在漏洞。对银行系统的风险控制,绝不可掉以轻心,特别是市场繁荣之际,应警惕因盈利而放松正常监管。 三、启示 衍生金融工具的风险很大程度上表现为交易人员的道德风险,但归根结底,风险主要来源于金融企业内部控制制度的缺乏和失灵。在国家从宏观层面完善企业会计准则和增强金融企业实力的同时,企业内部也应完善财务控制制度,消除企业内部的个别风险。 1.健全内部控制机制。在一定程度上,防范操作风险最有效的办法就是制定尽可能详尽的业务规章制度和操作流程,使内控制度建设与业务发展同步,并提高制度执行力。内部控制制度是控制风险的第一道屏障,要求每一个衍生金融交易人员均应满足风险管理和内部控制的基本要求,必须有来自董事会和高级管理层的充分监督,应成立由实际操作部门高级管理层和董事会组成的自律机构,保证相关的法规、原则和内部管理制度得到贯彻执行;要有严密的内控机制,按照相互制约的原则,对业务操作人员、交易管理人员和风险控制人员要进行明确分工,要为交易员或货币、商品种类设立金额限制、停损点及各种风险暴露限额等,针对特定交易项目与交易对手设合理的“集中限额”以分散风险;交易操作不得以私人名义进行,每笔交易的确认与交割须有风险管理人员参与控制,并有完整准确的记录;要有严格的内部稽核制度,对风险管理程序和内部控制制度执行情况以及各有关部门工作的有效性要进行经常性的检查和评价,安排能胜任的人员专门对衍生金融交易业务的定期稽核,确保各项风险控制措施落到实处,等等。 2.完善金融企业的法人治理结构。金融交易人员的行为风险可以通过内部控制制度防范,但再严格的内控对于企业高层管理人员也可能无能为力,管理层凌驾于内控之上的现象是造成金融企业风险的深层原因。我国国有商业银行所有者虚位的现象严重,对管理层的监督和约束机制还相对较弱。对于金融企业主要领导者的监督应借助于完善的法人治理结构。首先是建立多元的投资结构,形成科学合理的决策机构;其次是强化董事会、监事会的职责,使董事会应在风险管理方面扮演更加重要的角色;第三是强化内部审计人员的职责,建立内部审计人员直接向股东会负责的制度。