1、风险管理基础知识分享风险管理基础知识分享目目 录录风险管理基础理论介绍风险管理基础理论介绍风险评估流程和步骤风险评估流程和步骤全面风险管理与内部控制监管的发展历程全面风险管理与内部控制监管的发展历程 美国蓝丝带委员会美国蓝丝带委员会改善企业审计委员会有效性的报告改善企业审计委员会有效性的报告 经济合作与发展组织经济合作与发展组织公司治理原则公司治理原则 世界银行世界银行公司治理:实施的框架公司治理:实施的框架 英格兰及威尔斯特许会计师公会英格兰及威尔斯特许会计师公会内部控制:综合守则内部控制:综合守则董事董事会指引会指引 美国国会美国国会 萨班斯萨班斯 奥克斯利法案奥克斯利法案 香港交易所香港
2、交易所 企业管治常规守则企业管治常规守则 经济合作与发展组织对经济合作与发展组织对公司治公司治理原则理原则进行修订进行修订2003200219992000200420062007 国资委国资委中央企业财务内部控制工作指引中央企业财务内部控制工作指引 深交所深交所中小企业板上市公司内部审计工作中小企业板上市公司内部审计工作指引指引 国资委国资委中央企业全面中央企业全面风险管理指引风险管理指引 深圳证券交易所深圳证券交易所上市上市公司内部控制指引公司内部控制指引 上海证券交易所上海证券交易所上市上市公司内部控制指引公司内部控制指引 英国财务报告委员会英国财务报告委员会企企业管治综合守则业管治综合守
3、则2008 五部委联合发布五部委联合发布企业内企业内部控制基本规范部控制基本规范及三个及三个指引(征求意见稿)指引(征求意见稿)美国证监会美国证监会审计委员会披露原则审计委员会披露原则外部驱动因素外部驱动因素合规压力合规压力出现新的经营风险出现新的经营风险股东或投资者对风险和控制关注程股东或投资者对风险和控制关注程度的提高度的提高股东要求更强的可问责性股东要求更强的可问责性宏观经济及政治因素存在更大程度宏观经济及政治因素存在更大程度的不确定性的不确定性金融市场的波动金融市场的波动引起风险与控制变革的主要因素高级管理层及董事会关注程度的提高级管理层及董事会关注程度的提高高对成本削减和效率的关注对
4、成本削减和效率的关注市场扩展市场扩展经营区域的扩展经营区域的扩展出现新的经营风险出现新的经营风险组织内部逐渐强化的风险文化组织内部逐渐强化的风险文化内部驱动因素内部驱动因素几个基本概念几个基本概念企业目标:企业目标:可量化,可衡量,可以实现的业务目标风险风险:企业面临的风险是由内部或外部因素引起的,对企业的现实目标或潜在目标造成影响的一系列不确定事件内部控制措内部控制措施:施:通过系统的管理程序或活动确保风险应对策略的有效实施,减少不确定性的影响风险风险应对策略:应对策略:企业根据自身条自身条件和风险偏好件和风险偏好、风险承受度风险承受度,选择风险承担、规避、转移、转换、对冲、补偿、控制等适合
5、的风险管理总体策略?企业目标企业目标风险风险风险应对策略风险应对策略内部控制措施内部控制措施目标:确保海外公司编制的财务报表符合当地准则规定,且能够满足合并要求“风险”具有发生可能性和影响程度可能性和影响程度两个基本属性。通过有效的控制手段,可以降低发生的可能性或一旦发生后的严重程度,从而总体上降低风险。没影响 较小 普通 较大 极大经常可能普通较小极小固有风险固有风险剩余风险剩余风险发生的可能性发生的可能性影响的严重性影响的严重性高低图示图示:极高中会计系统设置不符合当地准则会计人员不熟悉当地准则子公司报表存在错误风险风险风险风险的属性风险的属性那么,内部控制是什么?那么,内部控制是什么?C
6、OSO(The Committee of Sponsoring Organizations of the Treadway Commission,即美国反对虚假财务报告委员会的发起组织委员会)把内部控制定义为一种过程,受到企业董事会、管理当局和其它职员的影响,旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。基本概念包括基本概念包括:内部控制是一种过程;内部控制的有效运作受人影响;内部控制只能为企业提供合理保证;内部控制的设计旨在达成企业之目标。COSO的网址:http:/www.coso.org 1协助企业实现目标协助企业实现目标协助企业实现目标协助企业实现目标为
7、什么要实施内部控制?为什么要实施内部控制?2与目标相关的内外与目标相关的内外与目标相关的内外与目标相关的内外部风险部风险部风险部风险内部控制的对象是什么?内部控制的对象是什么?3企业全体员工企业全体员工企业全体员工企业全体员工由谁来实施内部控制?由谁来实施内部控制?内部控制是什么内部控制是什么所有五大元素必须同时发挥作用,才能让内部控制有效地运作所有五大元素必须同时发挥作用,才能让内部控制有效地运作控制活动控制活动l确保落实管理层的政策/流程l措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离l监控l评估内部控制系统l整合及时独立的评估l管理层和监控机构的工作l内部审计信息和沟通信息
8、和沟通l定期获取、确定并交流相关的信息l评审内部和外部获取的信息l信息流:职责指导 管理层的总结 成功的措施控制环境控制环境l管理哲学和经营风格l因素包括正直、道德价值、能力、权威和责任l董事会和审计委员会l人力资源政策和实务l是其它内部控制组成部分的基础风险评估风险评估l风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作营运营运财务报告财务报告合规性合规性监控监控信息和沟通信息和沟通控制活动控制活动控制环境控制环境业业务务单单位位甲甲业业务务单单位位乙乙活活动动一一活活动动二二风险评估风险评估9COSO内部控制框架内部控制框架COSOCOSO内部控制整合框架内部控制整
9、合框架COSOCOSO企业风险管理整合框架企业风险管理整合框架弥补缺口COSO框架的演化框架的演化2004年9月,COSO发布了全面风险管理综合框架报告。报告指出,全面风险管理是由董事会、管理层及其他人员实施,在战略制定过程中和整个企业中予以采用的一个过程,旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内。营运营运财务报告财务报告合规性合规性监控监控信息和沟通信息和沟通控制活动控制活动控制环境控制环境业业务务单单位位甲甲业业务务单单位位乙乙活活动动一一活活动动二二风险评估风险评估从两者的发展关系来看从两者的发展关系来看从两者的包含关系来看从两者的包含关系来看风险管理理论是
10、在内部控制风险管理理论是在内部控制理论基础上的发展和延伸理论基础上的发展和延伸但风险管理框架但风险管理框架并非替代内并非替代内部控制框架,而是包含了内部控制框架,而是包含了内部控制框架的精髓,在内部部控制框架的精髓,在内部控制的有关概念上,两者都控制的有关概念上,两者都保持了一致和连贯保持了一致和连贯风险管理框架更为广泛,风险管理框架更为广泛,包含了内部控制的内容包含了内部控制的内容但内部控制框架中也包但内部控制框架中也包含了风险评估的内容含了风险评估的内容内部控制与风险管理的关系内部控制与风险管理的关系风险管理流程风险管理流程目目 录录风险管理基础理论介绍风险管理基础理论介绍风险评估流程和步
11、骤风险评估流程和步骤第一步:风险识别,考虑:第一步:风险识别,考虑:现有风险管理文档现有的风险评估结果行业风险第三步:确定可能性,考虑:第三步:确定可能性,考虑:风险评估范围控制环境的有效性职业判断和历史经验第二步:确认风险类别,包括:第二步:确认风险类别,包括:风险分类定义风险层级架构风险目录及组合第四步:确定严重性,考虑:第四步:确定严重性,考虑:与第三步一样的内容多个风险发生的可能性,而不只是考虑最坏情景普通风险评估以外的风险第五步:固有风险排序及应对,包括第五步:固有风险排序及应对,包括:确定关键固有风险排序确定风险应对授权及方式方法确定风险应对报告及负责人第六步:风险应对有效第六步:
12、风险应对有效性评估,包括性评估,包括:固有关键风险应对措施有效性评估第七步:剩余风险评级排第七步:剩余风险评级排序与进一步应对,包括序与进一步应对,包括:确认剩余风险评级并进行排序;对超出公司承受范围的剩余风险采取进一步的应对措施风险评估方法论风险评估方法论风险风险识别识别风险风险分类分类固有风险固有风险发生可能性发生可能性固有风险固有风险发生严重性发生严重性固有风险排固有风险排序及应对序及应对风险应对风险应对有效性评有效性评估估持续监控持续监控剩余风险剩余风险排序与进排序与进一步应对一步应对第八步:持续监控风险,包括第八步:持续监控风险,包括:持续监控风险确保风险处于公司可接受的范围内 评估
13、剩余风险评估剩余风险 固有风险 控制有效性 调整因素评估固有风险评估固有风险风险发生可能性风险发生可能性历史数据库违约概率损失事件发生频率风险影响程度风险影响程度风险偏好和风险容风险偏好和风险容忍度忍度声誉和品牌财务报告的准确性对业务的影响管理层投入精力评估控制有效性评估控制有效性COSO内部控制框架内部控制自我评估以前年度内部审计结果审计项目报告风险评估风险评估固有风险固有风险 控制有效性控制有效性=剩余风险剩余风险风险评估流程风险评估流程 固有风险评级固有风险评级 固有风险评级可以用固有风险矩阵固有风险评级可以用固有风险矩阵描述描述举例举例:假设该风险具有高固有风险可能性和低固有风险影响程
14、度,固有风险评级应为:高风险。影响程度影响程度可能性可能性轻微轻微较小较小中等中等严重严重非常严重非常严重非常高非常高高高极大极大极大较高较高中高高极大极大中中低中高极大极大低低低低中高极大极低极低低低中高极大IR风险评估流程风险评估流程控制有效性评级控制有效性评级控制有效性可以用控制有效性矩阵控制有效性可以用控制有效性矩阵描述描述举例:举例:假设对该风险的控制有很强的设计和强的实施有效性,控制有效性评级应为:很有效。控制控制执行执行控制设计控制设计很弱很弱弱弱中中强强很强很强很强很强很弱弱有效很有效很有效强强很弱弱有效很有效很有效中中很弱弱有效有效有效弱弱很弱弱弱弱弱很弱很弱很弱很弱很弱很弱
15、很弱控制有效性评级依据控制有效性评级依据很有效很有效控制很大程度上减少了风险,可能需要减少控制。有效有效控制合理地管理风险。弱弱需要进一步改进控制。很弱很弱有重大控制问题,需要管理部门马上行动进行修改。C风险评估流程剩余风险评级风险评估流程剩余风险评级剩余风险可以用剩余风险矩阵描述剩余风险可以用剩余风险矩阵描述举例举例:例如,风险的固有评级为高,控制有效性评级为很有效,得到风险的剩余风险评级为低。控制有效性控制有效性固有风固有风险评级险评级很有效很有效有效有效弱弱很弱很弱极大极大中高极大极大高高低中高高中中低低中中低低低低低低RR风险评估结果的应用风险评估结果的应用剩余风险为剩余风险为低低的风
16、的风险险剩余风险属于剩余风险属于中中的风的风险险剩余风险属于剩余风险属于高高的风的风险险剩余风险属于剩余风险属于极大极大的的风险风险检查是否存在过度控制的情况,是否减少不必要的控制能够节约成本;属于可以进行控制优化的领域。特别关注和持续监控执行有效性,控制一旦未被有效执行,可能出现剩余风险向高风险转化关注能否提高控制设计、执行有效性,并考虑必要的控制成本;以及采取其他应对措施如再保险、外包的可能性应立即考虑适当的应对方案:规避、转移、降低等,并将风险应对方案提交风险管理委员会审批。目目 录录风险管理现状风险管理现状风险和收益风险和收益相关联相关联衡量考虑风险因衡量考虑风险因素后的商业活动素后的商业活动的绩效的绩效评估价值并评估价值并创造商业活动创造商业活动战略优势战略优势投资资本于成投资资本于成功的商业活动功的商业活动中中 识别风险识别风险针对风险针对风险的持续监控的持续监控控制控制风险管理的复杂程度风险管理的复杂程度盈利平稳盈利平稳保护保护盈利潜力盈利潜力最大化最大化服务业服务业制造业制造业金融服务金融服务从基本向高阶发展从基本向高阶发展股股东东目目标标
浙ICP备2021020529号-1 | 浙B2-20240490 
