全面风险管理(基本教案).pptx

资源描述

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2014-1-7,.,#,全面风险管理,张守真,2014.01,培训教案,.,教师介绍,姓名：张守真,1,、山东大学研究生导师、山东大学质量研究中心研究员,2,、国家注册质量工程师培训教师,3,、全国质量经理推进委员会专家委员会委员,4,、中国质量协会学术和培训委员会委员,5,、全国,6SIGMA,推进委员会专家委员会委员（,6SIGMA,黑带）,6,、全国质量奖评审员，山东省、河南省省长质量评审员,7,、国家注册质量管理体系高级审核员、验证审核员,8,、国家注册工业产品生产许可证审查员培训教师,9,、国家注册工业产品生产许可证高级审查员,10,、中国质量检验协会专家委员会委员,11,、国家注册审核员面试考官,12,、国家注册环境管理体系、职业安全健康管理,体系审核员,Zszjingwei,13065046697,2,.,前言,全面风险管理基础,.,20世纪30年代在美国开始萌芽,受当时世界性经济危机的影响，美国经济大萧条,，,约有40左右的银行和企业破产，为应对经营,上的,危机，美国许多大中型企业都在内部设立了,保险,管理部门，负责安排企业的各种保险项目，,保险,成为当时企业处理风险的主要,方法,20世纪50年代,，风险管理在美国以学科的形式,发展,，并逐步形成了独立的理论体系。,1970年代以后逐渐掀起了全球性的风险管理运动,。,美国一些大公司的重大损失使公司高层决策者,开始,认识到风险管理的重要性。,二、风险管理的起源和发展,.,20,世纪,90,年代开始随着国际资产证券化、债券的风险,进一步,扩大，使风险管理更迅速地在国际推行。,欧美,等国家先后建立起全国性和地区性的风险管理协会。,针对安然、世通等财务欺诈事件，美国国会出台了著名,的,2002,年萨班斯,奥克斯利法案,来规范上市公司的,行为,1983年,美国风险和保险管理协会年会上，通过了“101,条风险,管理准则”，标志着风险管理发展进入了一个新,阶段欧洲,11个国家成立了“欧洲风险管理委员会,”美国,多家专业团体成立了“反虚假财务报告委员会”和,著名,的专门研究内部控制的委员会,“COSO委员会”COSO,著名报告内部控制-整体框架(1992)和,COSO-ERM企业风险管理框架,(2004)，是风险管理的重要文献,。,二、风险管理的起源和发展,.,全面企业风险管理框架,风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。,国际较知名的国际会计准则委员会（IASC)、巴塞尔银行监管委员会(BASEL)、美国的COSO委员会研究、发展了一整套完整的全面企业风险管理框架。,COSO全面风险管理（ERM）框架的定义：,企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证。,二、风险管理的起源和发展,.,三、我国的风险管理,在我国，风险管理理论的发展及应用相对滞后，企业在风险管理上存在诸多问题：,1,、缺乏风险意识和策略，管理被动；,2,、缺乏风险管理技术、专业人才和资金；,3,、战略上急于求成或谨小慎微、小富即安，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中固有风险和剩余风险与企业的风险容量和风险容限不相适应，过于谨小慎微或者承担了过多自身不可承受风险；,国家对风险管理日益重视，2006年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引，对中央企业如何开展全面风险管理提出了明确要求；指导范围并不仅限于央企，对公司也同样具有普遍指导意义；指引的出台标志着我国有了自己的全面风险管理指导性文件，我国企业正向管理的更高阶段,全面风险管理迈进。,.,ISO的相关标准和指南,ISO,G,UIDE,73 风险管理词汇,ISO31000,风险管理原则和指南,IEC/ISO31010,风险管理风险评估技术,8,.,ISO,GUIDE,73:2009 风险管理词汇,与风险有关的术语；,与风险管理有关的术语；,与风险管理过程有关的术语。,9,ISO,GUIDE,73,.,ISO31000:2009,ISO31000,2009,风险管理原则和指南,1 范围,2 术语和定义,3 风险管理原则,4 风险管理框架,5 风险管理过程,10,.,11,ISO31000：2009,风险管理原则、框架和过程关系图,11,.,ISO31000:2009,ISO31000:2009 风险管理原则和指南Risk management Principles and guideline提供了风险管理的原则和通用性指南。,尽管所有的组织在某种程度上都在管理风险，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。,ISO31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。,.,ISO31000:2009,ISO31000:2009提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。,尽管所有的组织在某种程度上都在管理风险，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。,ISO31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。,风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，ISO31000的主要特点是在通用的风险管理过程中将“明确环境”作为初始活动。,“明确环境”将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。,.,ISO31010:2009,IEC ISO31010,2009,风险管理风险评估技术,1 范围,2 规范性引用文件,3 术语和定义,4 风险评估的相关概念.,5 风险评估过程.,6 风险评估技术的选择,附录A 风险评估技术的比较,附录B 风险评估技术,14,.,国家标准,(GB/T23694),GB/T23694 2009 风险管理术语,idtISO GUIDE 73 2002,1 基础术语,2 受风险影响的组织及个人的相关术语,3 与风险评估的相关术语,4 与风险处理和风险控制相关的术语,15,.,国家标准,(GB/T24353),风险管理过程,16,.,本次培训的重点,1,、全面风险管理的基本概念，教材是,全面风险管理,整合框架,。,2,、全面风险管理的应用，即“企业内部控制基本规范及其指引”。,3,、企业全面风险管理体系的建立原则、程序和主要步骤。,17,.,培训课件说明,1,、基本课件,3,个：全面风险管理整合框架、企业内部控制基本规范、全面风险管理体系设计。,2,、扩展课件,3,个：企业内部控制指引第,1,号至第,18,号。,3,、参考教案,2,个：企业内部控制评价指引、企业内部控制审计指引。,18,.,参考教材,1,、,全面风险管理,整合框架,，东北财经大学出版社。,2,、,企业内部控制规范,，中国财政经济出版社。,19,.,全面,风险管理框架,COSO,发布,20,.,目录,一、常用术语；,二、概述,三、基本概念,四、企业全面风险管理的要素,1,、内部环境,2,、目标设定,3,、事项识别,4,、风险评估,5,、风险应对,6,、控制活动,7,、信息与沟通,8,、监控,21,.,第一部分,术语,22,.,术语,不确定性（,uncertainty,）,不能事先知道未来事项的确切可能性或影响。,不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。不确定性也是主体的战略选择所带来和导致的。,23,.,术语,机会（,opportunity,）,一个事项将会发生并对目标的实现产生正面影响的可能性。,24,.,术语,风险（,risk,）,一个事项将会发生并对目标的实现产生负面影响的可能性。,25,.,术语,可能性（,likelihood,）,一个给定的事项将会发生的或然性。,相关的术语有时有着更加具体的含义，“可能性”意味着用定性语言表示的一个给定事项将会发生的或然性，例如高、适中和低，或者其他的判断性衡量尺度；而“概率”则意味着定量性的测度，例如百分比、发生的频率，或者其他数量化的尺度。,26,.,术语,企业风险管理,过程（,enterprise risk management,process,）,一个主体中所应用的,企业风险管理,的同义词,。,27,.,术语,固有风险（,inherent risk,）,一个主体在,管理层,不采取任何措施来改变风险的可能性或影响的情况下所面临的风险。,28,.,术语,剩余风险（,residual risk,）,管理层,采取措施改变风险的可能性或影响之后残存的风险。,29,.,术语,风险容量（,risk appetite,）,公司或其他主体在追求其使命（或愿景）的过程中所愿意承受的风险的广泛意义的水平。,30,.,术语,风险容限（,risk tolerance,）,与实现一项目标相关的可承受的偏离程度。,31,.,术语,合理保证,（,reasonable assurance,）,这个概念意味着不管,企业风险管理,设计和运行得有多么好，也不能就一个主体的目标的实现提供担保。,这是因为企业风险管理有固有局限。,32,.,术语,固有局限（,inherent limitations,）,企业风险管理的那些局限。,这些局限与人类判断的有限性、资源约束以及需要对照期望的效益去考虑控制的成本，可能发生故障的现实，以及,管理层,凌驾和串通的可能性有关。,33,.,术语,内部控制,（,internal control,）,一个由主体的董事会、,管理层,和其他人员实施的、旨在就以下各类目标的实现提供合理保证的过程：,经营的有效性和效果；,财务报告的可靠性；,符合适用的法律和法规。,34,.,术语,内部控制,系统（,internal control system,）,一个主体所应用的,内部控制,的同义词。,35,.,术语,构成要素（,component,）,企业风险管理有八个构成要素：主体的内部环境，目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通，以及监控。,36,.,术语,目标类别（,objectives category,）,主体的四类目标战略、经营的有效性和效率、报告的可靠性以及符合适用的法律和法规中的一种。,这些类别有交叉，所以一个特定的目标可能会归入超过一个类别。,37,.,术语,战略（,strategic,）,与目标连用：必须致力于与主体的使命（或愿景）相协调并支持它的高层次的目的。,38,.,术语,经营（,operations,）,与目标连用：必须致力于主体活动的有效性和效率，包括业绩和赢利目标，以及保护资源不受损失。,39,.,术语,控制（,control,）,（,1,）一个名词，表示一个项目，例如存在一项控制属于内部控制的一部分的一项政策或程序。控制可能存在于八个构成要素的任何一个之中。,（,2,）一个名词，表示一种状态或情形，例如实现控制用来进行控制的政策和程序的结果；其结果可能是有效的内部控制，也可能不是。,（,3,）一个动词，例如控制监管；制订或执行一项实现控制的政策,。,40,.,术语,一般控制（,general controls,）,帮助确保计算机信息系统持续、正常运行的政策和程序。,它们包括针对信息技术管理、信息技术基础结构、安全管理以及软件获取、开发和维护的控制。,一般控制支持设定应用控制的运行。,有时用来描述一般控制的其他术语是一般计算机控制和信息技术控制。,41,.,术语,应用控制,（,application controls,）,为了帮助确保信息处理的完整性和准确性而设计的应用软件中的设定程序和相关的人工程序。,例子包括对输入数据的电脑化编辑核对、数字序列核对和追查例外报告中所列示项目的人工程序。,42,.,术语,人工控制（,manual controls,）,利用人工而不是通过计算机来执行的控制。,43,.,术语,合规（,compliance,）,与“目标”连用：必须致力于遵守主体所适用的法律和法规。,44,.,术语,标准（,criteria,）,据以在确定有效性时对企业风险管理进行测度的一系列准绳。,考虑到企业风险管理的固有局限，企业风险管理的八个构成要素，代表着针对四类目标中的每一类而言企业风险管理有效性的标准。,45,.,术语,缺陷（,deficiency,）,在企业风险管理中值得注意的一种情况，它可能代表着一个已经察觉的、潜在的或实际的缺点，或者一个加强企业风险管理以便为主体的目标将会实现提供更大的可能性的机会。,46,.,术语,设计（,design,）,（,1,）意图。就像在定义中所使用的那样，企业风险管理旨在识别可能会影响主体的潜在事项，管理风险使其处于它的风险容量之内，并就目标的实现提供合理保证。,（,2,）计划；与其实际运行相对照，假定一个过程运行的方式。,47,.,术语,实施（,effected,）,与企业风险管理连用：设计和保持。,48,.,术语,主体（,entity,）,一个为了某个特定的目的而成立的任何规模的组织。,例如，一个主体可能是一家经营性的企业、非营利组织、政府团体或者学术性机构。,用作同义词的术语包括组织和企业。,49,.,术语,事项（,event,）,一个源自主体内部或外部的影响目标实现的事故或事件。,50,.,术语,影响（,impact,）,一个事项的结果或后果。,与一个事项相关的可能会有一系列可能的影响。,相对于主体的相关目标而言，一个事项的影响可能是正面的，或是负面的。,51,.,术语,诚信（,integrity,）,合乎良好道德原则的品质或状态；正直，诚实和真实；做正确的事情、承认并遵从一套价值观和期望的意愿。,52,.,术语,报告（,reporting,）,与目标连用：必须致力于主体报告的可靠性，包括有关财务和非财务信息的内部和外部报告。,53,.,术语,管理层,干预（,management intervention,）,管理层,出于合法的目的而破坏既定的政策或程序的行为，通常有必要通过,管理层,干预来处理非重复性的和非标准的交易或事项，否则可能会被系统不恰当地处理（把这个术语与,管理层,凌驾相对照）。,54,.,术语,管理层,凌驾（,management override,）,管理层,出于个人利益企图或不恰当地虚报主体的财务状况或合规情况等不合法的目的而破坏既定的政策或程序（把这个术语与,管理层,干预相对照）。,55,.,术语,管理过程（,management process,）,管理层,为运营一个主体所采取的各种行动。,企业风险管理是管理过程的一部分，并与其相结合。,56,.,术语,政策（,policy,）,管理层,关于应该做什么来实现控制的指示。政策充当所执行程序的依据。,57,.,术语,程序,（,procedure,）,执行一项政策的一个行动。,58,.,术语,利益相关者（,stakeholders,）,受到主体影响的各个方面，例如股东、主体运营所在的社区、员工、客户和供应商。,59,.,第二部分,概述,60,.,1,、全面风险管理的定义,COSO,委员会的定义：,企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在主体的风险容量之内，并为主体目标的实现提供合理保证。,61,.,定义,二六年六月六日,，国务院国有资产监督管理委员会制定的,中央企业全面风险管理指引,的定义：,全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,62,.,2,、全面风险的由来,自,1992,年美国,COSO,委员会（,全美反舞弊性财务报告委员会,）发布,COSO,内部控制整合框架,以来，该框架已在全球获得广泛的认可和应用。,2001,年，针对安然事件等一系列令人瞩目的企业丑闻和失败事件，投资者、公司员工和其他利益相关者因此而受到了巨大的损失。随之而来的是对采用新的法律、法规和上市准则来加强公司治理和风险管理的呼吁。,63,.,全面风险的由来,这样，对一个提供关键原则和概念、共同的语言以及明晰的方向和指南的企业风险管理框架的需要变得尤为迫切。,为此，,COSO,委员会推出了,企业风险,整合框架,，这个文件满足了企业和其他相关方的这些要求，并得到了企业和其他组织广泛认可。,2008,年,5,月,22,日我国国务院五部门下发了,关于印发,的通知,，正式将全面风险管理引入我国，使全面风险管理成为我国公司治理和企业管理的重要内容。,64,.,3,、全面风险管理与,质量发展纲要,2012,年,2,月,6,日国务院,在,质量发展纲要,(2011-2020,年,),中提出了“,实施质量安全风险管理,”的要求，因此，学习和实践全面风险管理成为企业质量安全风险管理的必由之路。,由于质量管理已经发展为全面质量管理，企业的质量风险管理也不仅仅是质量管理部门的职责，而应该与企业的全面风险控制相结合，只有这样，企业的质量风险控制才是有效的。,全面风险管理为质量安全风险管理提供了一个清晰地框架，只要企业能够从这个框架的,8,个方面和,4,个方面的目标建立和实施全面风险管理，企业的质量安全风险就应该是可控的（处于组织的风险容量和风险容限之内）。,65,.,4,、卓越绩效与风险管理,卓越绩效评价准则,中，规定“公司,治理,”,的内容是：,在组织的监管中实行的管理和控制系统。包括批准战略方向、监视和评价高层领导绩效、财务审计、风险管理、信息披露等活动。,风险控制是公司治理的重要内容之一。,66,.,卓越绩效与风险管理,卓越绩效评价准则,4.1,“领导”条款,4.1.4.2.3,说明为满足法律法规要求和达到更高水平而采用的关键过程及绩效指标，以及在应对产品、服务和运营的相关风险方面的关键过程及绩效指标。,67,.,卓越绩效与风险管理,卓越绩效评价准则,4.2,“战略”条款,4.2.2.2.2,如何确保制定战略时考虑下列关键因素，如何就这些因素收集和分析有关的数据和信息：,经济、社会、道德、法律法规以及其它方面的潜在风险；,68,.,卓越绩效与风险管理,卓越绩效评价准则,4.4,“资源”条款,4.4.3,财务资源,如何确定资金需求，保证资金供给。如何实施资金预算管理、成本管理和财务风险管理，将资金的实际使用情况与计划相比较，及时采取必要的措施，适时调整。如何加快资金周转，提高资产利用率，以实现财务资源的最优配置，并提高资金的使用效率和安全。,69,.,卓越绩效与风险管理,卓越绩效评价准则实施指南,4.1.2,高层领导的作用,f),持续经营旨在实现基业常青。为推动和确保持续经营，组织应培育和增强风险意识，开展战略、财务、市场、运营、法律、安全、环境、质量等方面的风险管理，提升应对动态的内外部环境的战略管理和运营管理能力，并重视培养组织未来的各层次领导者。,70,.,卓越绩效与风险管理,卓越绩效评价准则实施指南,4.1.4.2,公共责任,c),组织应识别、获取在上述各方面的法律法规要求，并识别和评估相应的风险，建立遵循法律法规要求和应对相关风险的关键过程及绩效指标，包括预防、控制程序和改进方案，在确保满足法律法规要求的基础上持续改进，达到更高水平。,71,.,卓越绩效与风险管理,卓越绩效评价准则实施指南,4.4.3,财务资源,组织进行财务风险评估，提出并实施风险管理解决方案，确保和提高财务安全性。,72,.,5,、全面风险管理与企业内部控制,内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适应的法律相符合提供一种合理的保证。,COSO,内部控制的整体框架,1992,全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主题目标的实现提供合理的保证。,COSO,企业风险管理整合框架,2004,73,.,全面风险管理与企业内部控制,两者的联系：,（,1,）全面风险管理涵盖了内部控制。,COSO,框架中明确地指出全面风险管理体系框架包括,企业内部控制的全部内容,，将之作为一个子系统。,（,2,）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。,74,.,第三部分,基本概念,75,.,一、基本概念,一、风险管理的定位（在企业管理和治理中的地位）：,企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。,所有的主体都面临不确定性，,管理层,所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。,不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。,企业风险管理使,管理层,能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。,76,.,基本概念,风险管理的作用：,当,管理层,通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。,企业风险管理包括：,77,.,基本概念,作用：,、,协调风险容量（,risk appetite,）,与战略,管理层,在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。,制药厂的例子：它的品牌价值风险容量较低（出现问题就砸了牌子），所以必须坚持大量的规程确保质量。,78,.,基本概念,作用：,、,增进风险应对决策,企业风险管理为识别和在备选的风险应对风险回避、降低、分担和承受之间进行选择提供了严密性。,公司的班车的,4,个选择：外包回避，保险分担，培训降低，简单承受。,79,.,基本概念,作用：,、,抑减经营意外和损失,主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。,一家制造公司调整部件和设备故障率，使误差误差接近正常水平，使用多种方法评估故障的影响，并据此制定维护方案来加以应对。,80,.,基本概念,作用：,、,识别和管理多重的和贯穿于企业的风险,每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。,一家食品公司，开发一套信息系统用于分析供应商和采购产品的质量，并进行跟踪和设定触发器，确保采购的质量满足要求。,81,.,基本概念,作用：,、,抓住机会,通过考虑全面范围内的潜在事项，促使,管理层,识别并积极地实现机会。,一家食品公司考虑认识到公民的健康意识越来越强，正在改变他们的饮食偏好，公司必须在满足法律法规的基础上，及时跟上这种偏好的转换，增强公司的整体竞争能力。,企业必须认识到，严格的质量监管、食品监管对于企业来说是机会而不是麻烦。,82,.,基本概念,作用：,、,改善资本调配,获取强有力的风险信息，使得,管理层,能够有效地评估总体资本需求，并改进资本配置。,一家食品企业面临新的监管规则，除非管理层确保采购原材料的质量，否则就要增加成本，在这种情况下，公司利用现有的信息系统，开发了更加精确的供应商和采购产品验证程序，避免了寻求额外资本的需要。,83,.,基本概念,企业风险管理所固有的这些能力帮助,管理层,实现所在主体的业绩和赢利目标，防止资源损失。,企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。,企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。,企业风险管理与卓越绩效是从不同的方面阐述的同一个问题，卓越绩效更加强调“如何成功”，风险管理提示企业注意防范“意外”。,84,.,二、事项,风险与机会,风险是一个事项将会发生并给目标实现带来负面影响的可能性。,事项是源于内部或外部的影响目标实现的事故或事件。,事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。,带来负面影响的事项代表风险。带有负面影响的事项阻碍价值创造，或者破坏现有价值。,85,.,事项,风险与机会,带来正面影响的事项可能会抵消负面影响，或者说代表机会。,机会是一个事项将会发生并对目标的实现产生正面影响的可能性。,机会支持价值创造或保持。,管理层,把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会。,86,.,三、,所定义的企业风险管理,企业风险管理处理影响价值创造或保持的,风险和机会,，定义如下：,企业风险管理是一个过程，它由一个主体的董事会、,管理层,和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。,87,.,3,、,所定义的企业风险管理,这个定义反映了几个基本概念。,企业风险管理是：,一个过程，它持续地流动于主体之内；,由组织中各个层级的人员实施；,应用于战略制订；,贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；,旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；,能够向一个主体的,管理层,和董事会提供合理保证；,力求实现一个或多个不同类型但相互交叉的目标。,88,.,一个过程,企业风险管理并不是静止的，而是渗透于一个主体的各种活动的持续的或反复的相互影响。,建立企业风险管理对于抑制成本具有重要意义，尤其是在许多公司所面临的高度竞争的市场中更是如此。,89,.,一个过程,在现有程序之外增加新的程序会增加成本。通过关注现有的经营业务以及它们对有效的企业风险管理的贡献，并将风险管理整合到基本的经营活动之中，企业就能够避免不必要的程序和成本。,把企业风险管理建立在经营业务的基本框架之中的做法，可以帮助,管理层,识别新的机会，以便抓住这些机会实现业务增长。,90,嵌入现有的管理中,.,四、,目标的实现,在主体既定的使命或愿景（,vision,）范围内，,管理层,制订战略目标、选择战略，并在企业内自上而下设定相应的目标。,企业风险管理框架力求实现主体的以下四种类型的目标：,战略,（,strategic,）目标高层次目标，与使命相关联并支撑其使命；,经营,（,operations,）目标有效和高效率地利用其资源；,报告,（,reporting,）目标报告的可靠性；,合规,（,compliance,）目标符合适用的法律和法规。,91,.,目标的实现,对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。,这些各不相同但却相互交叉的类别一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。,这个分类还有助于区分从每一类目标中能够期望的是什么。,一些主体采用的另一类目标保护资源也包含在上述类别之内。,92,.,目标的实现,因为有关报告的可靠性和符合法律、法规的目标,在主体的控制范围之内,，所以可以期望企业风险管理为实现这些目标提供合理保证。,但是，战略目标和经营目标的实现取决于,并不一定总在主体控制范围之内的外部事项,，对于这些目标而言，企业风险管理能够合理地保证,管理层,和起监督作用的董事会及时地了解主体朝着实现目标前进的程度。,说明：控制范围之内的目标和控制范围之外的目标，由此加深对两类质量的概念的理解。,93,.,五、,企业风险管理的构成要素,企业风险管理包括八个相互关联的构成要素。它们来源于,管理层,经营企业的方式，并与管理过程整合在一起。这些构成要素是：,说明：以下,8,个要素将企业风险管理抽象的理念转化为具体的、可操作的管理要素，企业只要落实了这些要素，企业的风险就是可控的。,94,.,构成要素,1,、,内部环境,内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。,95,.,构成要素,2,、,目标设定,必须先有目标，,管理层,才能识别影响目标实现的潜在事项。,企业风险管理确保,管理层,采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。,96,.,构成要素,3,、,事项识别,必须识别影响主体目标实现的内部和外部事项，区分风险和机会。,机会被反馈到,管理层,的战略或目标制订过程中。,97,.,构成要素,4,、,风险评估,通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,98,.,构成要素,5,、,风险应对,管理层,选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限（,risk tolerance,）和风险容量以内。,99,.,构成要素,6,、,控制活动,制订和执行政策与程序以帮助确保风险应对得以有效实施。,100,.,构成要素,7,、,信息与沟通,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。,有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。,101,.,构成要素,8,、,监控,对企业风险管理进行全面监控，必要时加以修正。,监控可以通过持续的管理活动、个别评价或者两者结合来完成。,102,.,要素,之间的相互关系,企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。,它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。,103,.,请勿照搬！,任何两个主体都不可能，也不应该以同样的方式应用企业风险管理。,公司和它们的企业风险管理能力和需求由于行业和规模，以及管理理念和文化的不同而大相径庭。,尽管所有的主体都应该具备每一个构成要素并有效运行，,但是,公司对企业风险管理的应用,，,包括采用的工具和技巧以及职能与责任的划分通常会各不相同。,104,.,六、,目标与构成要素之间的关系,目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什么来实现它们，二者之间有着直接的关系。,这种关系可以通过一个三维矩阵以立方体的形式表示出来。,105,.,目标与要素,目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什么来实现它们，二者之间有着直接的关系。,这种关系可以通过一个三维矩阵以立方体的形式表示出来。,106,.,目标与要素,四种类型的目标战略、经营、报告和合规用垂直方向的栏表示，八个构成要素用水平方向的行表示，而一个主体内的各个单元则用第三个维度表示。,这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。,107,.,目标与要素,108,内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通,监控,战略,经营,报告,合规,主体层次,分部,业务单元,子公司,.,七、,有效性,认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。,因此，构成要素也是判定企业风险管理有效性的标准。,构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。,109,.,有效性,如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和,管理层,就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。,八个构成要素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。,尽管如此，当八个构成要素存在且正常运行时，小规模主体依然会拥有有效的企业风险管理。,110,.,八、,涵盖内部控制,内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。,内部控制是在内部控制整合框架中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此那份文件对内部控制的定义和框架依然有效。,尽管内部控制整合框架的正文中只有一部分被本框架所引用，但是本框架通过参考的方式把该框架整体融合了进来。,111,.,第四部分,全面风险管理的要素,112,.,八大要素详解,、内部环境；,、目标设定；,、事项识别；,、风险评估；,、风险应对；,、控制活动；,、信息与沟通；,、监控。,113,.,要素,内部环境,114,.,本章摘要,内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。,内部环境因素包括主体的风险管理理念、它的风险容量、董事会的监督、主体中人员的诚信、道德价值观和胜任能力，以及,管理层,分配权力和职责、组织和开发其员工的方式。,风险管理与公司的治理和文化密切相关！,115,.,内部环境,内部环境是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。,它影响着战略和目标如何制订、经营活动如何组织以及如何识别、评估风险并采取行动。,它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。,116,.,内部环境,内部环境受到主体的历史和文化的影响。它包含许多要素，包括主体的道德价值观、员工的胜任能力和开发、,管理层,管理风险的理念以及如何分配权力和职责。,董事会是内部环境的一个关键部分，它对其他的内部环境要素有重大的影响。,117,.,内部环境,尽管所有要素都很重要，但是对每个要素的强调程度会因主体而异。,举例来说，一家员工较少、专注化经营的公司的首席执行官可能就不会制订正式的职责划分和具体的经营政策。,但是，这家公司也会有为企业风险管理提供合适基础的内部环境。,118,.,一、,风险管理理念,一个主体的风险管理理念是一整套共同的信念和态度，它决定着该主体在做任何事情从战略制订和执行到日常的活动时如何考虑风险。,风险管理理念反映了主体的价值观，影响它的文化和经营风格，并且决定如何应用企业风险管理的构成要素，包括如何识别风险，承担哪些风险，以及如何管理这些风险。,有的企业把质量主体责任落到实处，从高层管理者到员工，都承担各自的质量责任，有的则根本没有落到实处，有的明知故犯，存有侥幸心理，这都是风险理念的结果。,119,.,风险管理理念,企业的风险管理理念实质上反映在,管理层,在经营该主体的过程中所做的每一件事情上。,它可以从政策表述、口头和书面的沟通以及决策中反映出来。,无论,管理层,是强调书面的政策、行为准则、业绩指标和例外报告，还是更为非正式地大量通过与关键的管理者面对面的接触来进行运营，至关重要的是,管理层,不仅要通过口头、而且还要通过日常的行动来强化这种理念。,120,.,二、,风险容量,风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。,它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。,质量安全风险对于生产不同产品的企业是不相同的，有的企业能够承担的风险可能多一些，有的则比较少。,121,.,风险容量,风险容量在战略制订的过程中加以考虑，来自一项战略的期望报酬应该与主体的风险容量相协调。,不同的战略会使主体

展开阅读全文