德勤：企業(yè)全面風險管理概述

,企業(yè)全面風險管理概述德勤企業(yè)風險管理服務2007年3月,風險及全面風險管理概述風險的一般概念全面風險管理的愿景全面風險管理的一般概念和內(nèi)容全面風險管理的發(fā)展中央企業(yè)全面風險管理指引簡介指引的定位和意義指引內(nèi)容框架指引主要內(nèi)容解讀全面風險管理的實踐國內(nèi)外企業(yè)風險管理調(diào)查結(jié)果企業(yè)風險管理工作的開展,培訓大綱,風險及全面風險管理概述,風險的一般概念全面風險管理的愿景全面風險管理的一般概念全面風險管理的內(nèi)容全面風險管理的發(fā)展和實踐,風險是未來的不確定性對企業(yè)實現(xiàn)其目標的影響。,風險的一般概念,EIU（TheEconomistIntelligenceUnitLimited）關于未來經(jīng)濟、產(chǎn)業(yè)和公司發(fā)展趨勢的調(diào)查顯示：2005年-2020年這15年間，下述風險將對公司產(chǎn)生較大影響（單位：%）：,風險就在我們身邊,企業(yè)的風險,企業(yè)的重大損失甚至倒閉都是由于不良的風險管理所造成。,不良風險管理的后果,全面風險管理的愿景,NORISKS,NORETURNS,我們公司有什么風險？這些風險有多大？我們公司如何管理這些風險？我們管理是否有效？我們有多少把握能夠達到我們預定的戰(zhàn)略目標？98，或95？如果是98%，那么2%的可能性又意味著什么情況？這些意外情況對我們公司有什么樣的影響？我們應該怎樣應對這些情況？,全面風險管理是使企業(yè)在實現(xiàn)其未來戰(zhàn)略目標的過程中將市場的不確定性和變化所產(chǎn)生的影響控制在可接受范圍內(nèi)的過程和系統(tǒng)方法。,全面風險管理的一般概念,全面風險管理的內(nèi)容：是一個流程和方法以企業(yè)戰(zhàn)略為導向辨識對企業(yè)有潛在影響的事件，并根據(jù)風險偏好管理風險為企業(yè)管理層和董事會提供合理的保證風險管理貫穿在企業(yè)管理的每一個方面：落實到企業(yè)作為一個整體和企業(yè)的各個業(yè)務流程作為從董事會到高級管理層直至每一個員工的責任,全面風險管理的內(nèi)容,全面風險管理不是獨立于現(xiàn)有管理體系的另外一個體系全面風險管理是對現(xiàn)有數(shù)據(jù)的挖掘和利用全面風險管理是對現(xiàn)有管理體系的整合全面風險管理是對現(xiàn)有管理職能的強化全面風險管理的內(nèi)容融入現(xiàn)有管理職能,預算,ISO9000,投資,規(guī)劃,全面風險管理與現(xiàn)有管理體系,-實物牽制-薄記牽制,COSO內(nèi)部控制整體框架,企業(yè)全面風險管理COSOERM框架,內(nèi)控評價內(nèi)部審計,1940s,1940s1970s,1980s1990s,1990s,21世紀,內(nèi)部牽制,內(nèi)部控制結(jié)構(gòu)完善,-控制環(huán)境-會計系統(tǒng)-控制程序,-控制環(huán)境-風險評估-控制活動-信息溝通-監(jiān)督,-建立內(nèi)控-數(shù)據(jù)準確一致-內(nèi)控可靠性,-控制環(huán)境-目標設置-事件辨識-風險評估-風險反應-控制活動-信息溝通-監(jiān)督,風險管理的發(fā)展,金融業(yè)風險,企業(yè)風險,全球主要風險管理標準路線圖,中央企業(yè)全面風險管理指引簡介,指引的定位和意義指引內(nèi)容框架指引主要內(nèi)容解讀,中央企業(yè)全面風險管理指引正式出臺,中國風險管理的里程碑站在全球企業(yè)管理的前沿內(nèi)容和要求基本超過目前資本市場的合規(guī)要求對非央屬企業(yè)也有很強的指導意義,指引的定位和意義,目的：明確要求中央企業(yè)要重視和開展全面風險管理；明確什么是全面風險管理；指導企業(yè)如何開展全面風險管理工作。主要內(nèi)容：第一章總則第二章風險管理初始信息第三章風險評估第四章風險管理策略第五章風險管理解決方案第六章風險管理的監(jiān)督與改進第七章風險管理組織體系第八章風險管理信息系統(tǒng)第九章風險管理文化第十章附則,指引的主要內(nèi)容,風險管理文化,全面風險管理體系,風險管理基本流程,一個流程,一個體系,一種文化,全面風險管理框架,全面風險的目標,五個目標,全面風險管理的目標,指引明確指出：企業(yè)開展全面風險管理要努力實現(xiàn)以下風險管理總體目標：,參見指引第七條,確保將風險控制在與總體目標相適應并可承受的范圍內(nèi)；確保內(nèi)外部，尤其是企業(yè)與股東之間實現(xiàn)真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；確保遵守有關法律法規(guī)；確保企業(yè)有關規(guī)章制度和為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動的效率和效果，降低實現(xiàn)經(jīng)營目標的不確定性；確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失。,全面風險管理框架的結(jié)構(gòu),+,風險管理基本流程,全面風險管理體系,風險管理文化,風險管理初始信息,收集與風險和風險管理相關的內(nèi)外部信息，并將其整理成可用于分析的形式，為風險評估和風險戰(zhàn)略的制定奠定基礎。,不同類別收集的范圍、方法、頻率有所不同；注重信息的系統(tǒng)、完整、真實、及時,程序規(guī)范、方法合理,參見指引第二章,風險評估是風險管理的基礎，指引要求，“企業(yè)應對收集的風險管理初始信息和企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行風險評估?！?風險評估的方法,風險評估的目的,全面了解公司整體的風險現(xiàn)狀，評估公司目前的風險水平。,統(tǒng)一公司各個層面對風險的認識，形成一套通用的風險語言。,找出公司在現(xiàn)有內(nèi)外部環(huán)境、發(fā)展態(tài)勢和管理水平下，對目標實現(xiàn)影響最大的風險，并進行管理優(yōu)先排序。,1,2,3,風險評估的成果,風險列表,風險圖譜,重大風險模型,參見指引第三章,風險評估,風險評估的步驟,綜合信息框架,風險圖譜,風險辨識,風險分析,風險初步判斷,確認風險事件,風險定義歸類,風險列表,分析結(jié)果,風險表現(xiàn)分析,風險影響分析,風險動因分析,風險關系分析,風險發(fā)生可能性評價,風險影響程度評價,風險評價,風險模型,重大風險模型,風險評估報告,風險評估可分為風險辨識、風險分析和風險評價等幾個步驟。,風險圖譜,風險圖譜示意,展示風險評估結(jié)果的重要工具是風險圖譜，通過分析公司的風險圖譜，可以直觀地看到公司的風險分布情況，從而確定風險管理的重要控制點和風險管理解決方案。風險圖譜被兩條“等風險線”分隔為“紅燈區(qū)”、“黃燈區(qū)”和“綠燈區(qū)”：處于“紅燈區(qū)”的風險大多集中在第一象限，其發(fā)生的概率和影響程度均較高。公司應該根據(jù)風險的屬性和風險管理偏好來選擇風險管理方案；處于“黃燈區(qū)”的風險，有兩種情況：處于第二象限的風險更多的是一些非常事件，但影響程度較大。對于這類風險，公司應該在采取防范措施的同時，制定應急計劃；,處于第四象限的風險，其影響程度不是很高而發(fā)生概率偏高，這往往與日常經(jīng)營和遵守法律方面的問題有關，這些風險的累計影響不可低估。對于這類風險要注意日常的管理和監(jiān)控；“綠燈區(qū)”中的風險大多集中在第三象限，是指那些發(fā)生概率和影響程度均不太高的風險，通常在目前可以接受。公司可以取消與此風險相關的、多余的風險控制措施，以減少成本和資源消耗以管理更重要的風險。風險圖譜不是一成不變的，公司應該定期評估風險，動態(tài)地對風險圖譜進行調(diào)整和更新。,現(xiàn)金流量表,資產(chǎn)負債表,損益表,*財務報表*,風險調(diào)整前,風險調(diào)整后,風險影響,現(xiàn)金,銀行存款,信用風險,利率風險,匯率風險,1000,2000,資產(chǎn)負債表,現(xiàn)金,銀行存款,1500,2300,風險的財務價值,參見指引第四章,企業(yè)使命,風險管理策略,風險應對策略,戰(zhàn)略,風險管理策略是根據(jù)企業(yè)經(jīng)營戰(zhàn)略制定的全面風險管理的整體策略；風險管理策略在整個風險管理體系中起著統(tǒng)領全局的作用；風險管理策略在企業(yè)戰(zhàn)略管理的過程中起著承上啟下的作用。,重大風險管理的目標,風險管理策略,風險偏好解決“公司愿意承擔什么風險”的問題描述公司對待風險的基本態(tài)度和看法風險偏好的確定基于公司的使命、愿景,風險承受度解決“公司能夠承擔多大風險”的問題描述公司能夠承擔的風險的限度風險承受度的確定可借助于模型的構(gòu)建和公司基礎數(shù)據(jù)的積累（歷史經(jīng)驗）,風險應對策略解決“公司如何管理風險”的問題闡述針對各類重大風險的應對策略：風險承擔、風險規(guī)避、風險轉(zhuǎn)移、風險轉(zhuǎn)換風險對策的確定基于風險評估和診斷的結(jié)果要根據(jù)風險與收益相平衡的原則以及風險的重要程度確定風險管理的優(yōu)選順序，,重大風險管理目標,風險管理策略的核心內(nèi)容,政策風險,市場風險,業(yè)務模式風險,合同管理風險,信用風險,現(xiàn)金流風險,客戶風險,積極利用,適度承擔,堅決避免,風險厭惡,風險喜好,合規(guī)風險,風險偏好,樣例,風險承受度,樣例,戰(zhàn)略措施,產(chǎn)業(yè)結(jié)構(gòu)調(diào)整組織變革兼并購活動分包或轉(zhuǎn)包結(jié)盟,流程優(yōu)化全面質(zhì)量管理6西格瑪,遠期合約傳統(tǒng)保險金融衍生品,風險準備金,運營措施,風險理財,剩余風險,風險總量,風險接受,首先考慮在戰(zhàn)略上規(guī)避風險；平衡風險管理收益與成本，對各類風險選擇風險規(guī)避、風險控制、風險轉(zhuǎn)移或風險接受等手段；設立風險準備金，并重新對產(chǎn)品和服務進行定價。,風險承受度,風險應對策略,樣例,風險管理解決方案,參見指引第五章,內(nèi)部控制體系,內(nèi)部控制是通過針對企業(yè)的各個業(yè)務主要流程設計和實施一系列政策、制度、規(guī)章和措施，對影響業(yè)務流程目標實現(xiàn)的各種風險進行有效管理和控制的過程。內(nèi)部控制的對象主要是可控風險，如流程執(zhí)行過程中的偏差、質(zhì)量問題、財務報告的不準確及合規(guī)問題。,流程,風險控制點,控制措施,?,流程是否存在設計是否合理職責是否明確執(zhí)行是否嚴格獎懲是否明白效果是否滿意,風險是否辨識影響什么指標影響哪些環(huán)節(jié)影響哪些部門或哪一級企業(yè)分析是否徹底,應對是否存在設計是否合理職責是否明確是否經(jīng)過檢驗效果是否滿意,參見指引第五章,參見指引第六章,風險管理的監(jiān)控改進,+,各管理主體定期監(jiān)督檢查風險和風險管理情況；根據(jù)成本與效益的平衡確定監(jiān)控頻率。,持續(xù)改進風險管理體系和基本流程以及各種相關制度。,提交風險監(jiān)控、改進報告以及評價建議報告；內(nèi)審部門或外部機構(gòu)每年至少一次的審核評價。,實施監(jiān)控,持續(xù)改進,報告,系統(tǒng)的風險管理組織結(jié)構(gòu)明確的風險管理職責清晰的風險報告線路,風險管理是貫穿于企業(yè)的各個層面和各項管理工作中，風險管理既是一項具有專業(yè)理論、專門工具和特定職責的管理活動，也是對現(xiàn)有管理功能的強化：,參見指引第七章,風險管理職能,全方位的風險管理組織體系,風險管理組織體系各組成部分及其職責,風險文化是關于企業(yè)在日常運營中對待風險的態(tài)度、價值和實踐；企業(yè)文化影響風險管理策略，風險管理策略反映了企業(yè)的風險管理文化；在中央企業(yè)，總體上主張審慎的風險文化，在局部上，根據(jù)企業(yè)的風險管理策略，有可能采用較為激進的手段和方針；,風險管理文化,參見指引第九章,管理層應該考慮企業(yè)的風險文化是如何影響全面風險管理的其他要素的，當它們不匹配時，應考慮重塑文化；企業(yè)應在內(nèi)部各個層面營造風險管理文化氛圍；采取多種途經(jīng)和形式，加強對風險管理理念、知識、流程、管控核心內(nèi)容的培訓，培養(yǎng)風險管理人才，培育風險管理文化。,風險管理信息系統(tǒng),信息系統(tǒng)是風險管理的生命線：基于內(nèi)控體系的完善，以風險監(jiān)控和風險預警為基礎內(nèi)容；與財務管理、業(yè)務管理等系統(tǒng)之間開辟接口和數(shù)據(jù)通道；完成日常風險監(jiān)控、日常風險辨識、風險評估、控制評價、合規(guī)檢查等功能；逐步完善自動分析的職能，即加載商業(yè)智能模型；最終達到管理層對關鍵風險點的報告需求。,樣例,參見指引第八章,第八章風險管理信息系統(tǒng),第五十三條企業(yè)應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié)的風險管理信息系統(tǒng)，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。,第五十四條企業(yè)應采取措施確保向風險管理信息系統(tǒng)輸入的業(yè)務數(shù)據(jù)和風險量化值的一致性、準確性、及時性、可用性和完整性。對輸入信息系統(tǒng)的數(shù)據(jù)，未經(jīng)批準，不得更改。,第五十五條風險管理信息系統(tǒng)應能夠進行各種風險的計量和定量分析、定量測試；能夠?qū)崟r反映風險矩陣和排序頻譜、重大風險和重要業(yè)務流程的監(jiān)控狀態(tài)；能夠?qū)Τ^風險預警上限的重大風險實施信息報警；能夠滿足風險管理內(nèi)部信息報告制度和企業(yè)對外信息披露管理制度的要求。,第五十六條風險管理信息系統(tǒng)應實現(xiàn)信息在各職能部門、業(yè)務單位之間的集成與共享，既能滿足單項業(yè)務風險管理的要求，也能滿足企業(yè)整體和跨職能部門、業(yè)務單位的風險管理綜合要求。,第五十七條企業(yè)應確保風險管理信息系統(tǒng)的穩(wěn)定運行和安全，并根據(jù)實際需要不斷進行改進、完善或更新。,第五十八條已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應補充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應將風險管理與企業(yè)各項管理業(yè)務流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行。,風險管理信息系統(tǒng)的核心,風險管理信息系統(tǒng)可以看作是信息化、電子化的風險管理信息報告和應用系統(tǒng)。因此，建立風險管理信息系統(tǒng)的基礎是建立風險管理信息的報告系統(tǒng)，而報告的基礎是數(shù)據(jù)，包括歷史數(shù)據(jù)、實時或準實時數(shù)據(jù)。,全面風險管理的實踐,國內(nèi)外企業(yè)風險管理調(diào)查結(jié)果企業(yè)風險管理工作的開展,國外公司的風險管理實踐,目前，發(fā)達國家的企業(yè)已經(jīng)把建立全面風險管理體系作為獲得競爭優(yōu)勢的基本手段。,2001年，發(fā)達國家的大企業(yè)中計劃實施全面風險管理的企業(yè)占20%，正在實施的占35%，而已經(jīng)建立了完整的風險管理體系的企業(yè)只占11%。2004年，建立了完整的全面風險管理體系的企業(yè)已經(jīng)達到了38%，而沒有計劃實施全面風險管理體系的企業(yè)從2001年的31%下降到10%。,您的企業(yè)是否應用了以下風險管理工具,在風險管理的執(zhí)行中，CFO依然是最主要的責任人（合計首要責任人和第二責任人），排在第二位的是經(jīng)營部門的管理者,多數(shù)企業(yè)比較傾向于均衡風險控制與企業(yè)發(fā)展的需求，但只有較少的公司合理平衡了風險控制與業(yè)務發(fā)展的關系,多數(shù)被調(diào)查企業(yè)認為它們辨識與管理風險的能力還有相當?shù)母倪M空間,41%的受訪企業(yè)認為它們已經(jīng)在最大程度上做到了風險量化,國外公司的風險管理實踐,Protiviti公司2005年全美大型企業(yè)風險管理狀況調(diào)查,缺乏風險管理專門人才缺乏適當?shù)娘L險評估過程和程序缺乏風險量化技術缺乏對風險評估工作如何開展的整體把握崗位負責人缺乏必要的風險管理專業(yè)知識缺乏外部專家的支持缺乏足夠的人力和時間缺乏資金,國企實施全面風險管理的困難,企業(yè)風險管理水平的發(fā)展階段,注意到風險，但總是忙于應付預料外發(fā)生的情況個案處理，因此每次方法結(jié)果都不同注重依靠個人能力解決問題缺乏結(jié)合戰(zhàn)略的指導方針,第一臺階,問題反應型,規(guī)范操作型,體系完善型,第二臺階,第三臺階,建立了業(yè)務和管理流程依靠系統(tǒng)和程序解決問題缺乏整體的風險戰(zhàn)略和統(tǒng)一的指導方針,建立完善了全面風險管理體系統(tǒng)一管理影響戰(zhàn)略目標實現(xiàn)的重大風險,范圍要擴大：內(nèi)部控制不僅要覆蓋財務報告有關的流程，還要覆蓋所有重要的業(yè)務和管理流程；超越狹義的內(nèi)控，應覆蓋的最重要的流程是戰(zhàn)略管理流程，人事管理流程等。要從全面風險管理的角度