风险及控制

风险&控制江苏省政府牛津大学2015年6月9日2涵盖…•不同风险来源•如何建立风险管理环境•识别和评价风险•风险评价、监督和控制•风险管理的建议和对策•上下管理职责，风险管理功能和内部审计•内控系统，内审和风险管理不同风险来源不同风险来源•内部•外部•风险分类:–从CorGov手册第1卷中添加(战略,资金,职员，IT等等)青蛙的生命周期•蝌蚪在买卖中失败是因为根本不是健康的企业。•淹死的青蛙之所以失败是因为管理上的过度野心。•煮熟的青蛙是因为不适应变化。•牛蛙失败是因为主导型经理人以及欺骗或不道德行为的发生。总理答记者问,唐人街新闻发布会，2008年10月13日，早晨9:40am‘董事会成员更需要注意风险，很不寻常的是，董事会自己没有充分地了解其银行会接触何种风险……,第一道防线，不仅是为了股东，也是为了其他人，确保董事会能够工作。现在我认为监管系统需要问一些严肃的问题，确保人们适当的风险监控措施。北岩银行不会如此，例如，不像外表看起来那么强壮。’7200320042005200620072008200920102011201220132014董事会8879129122515191110墨西哥委员会9*16231311审计委员会91312121413131511**11**12**13*2010年4月20日**包含一次联合会议，每年年初回顾英国石油公司的上一年度的风险管理和内控系统，检查下一年的审计工作计划。总审计师（内部审计主管）审查团队调查结果和管理行为弥补工作中的重大问题。报告包括信息审计工作成果，由集团财务控制团队进行安全性和操作风险审查。英国石油公司会议频率英国石油公司会议频率200320042005200620072008200920102011201220132014董事会8879129122515191110墨西哥湾委员会916231311审计委员会91312121413131511111213标准样品委员会6867565安全、道德、环境保险委员会?799677提名61585446董事长4589865董事成员–主席1111111董事成员-非执行董事991111111010董事会成员-执行董事4534433董事会成员–合计14151516161414*审计委员会议程时间安排-财务报告34%31%?????-监控商业风险36%28%?????-内控和审计26%36%?????-其他4%5%?????9*不包含实地考察。如何建立风险管理环境如何建立风险管理环境•三道防线•定期风险评价•定义风险偏好•避免高风险–“从不以整个农场打赌!”•高层基调•恪守高道德标准•文化和价值观三道防线模型内部审计师协会@2013版权风险鉴定和评价风险评价、监督和控制风险总风险董事会结构控制说明控制的效力净风险或剩余风险行动职责审查日期影响可能性影响可能性1.2.3.4.数值尺度1至5强壮,良好,差，很差数值尺度1至5风险登记册样本布局15可能性影响0可能性影响0固有风险或总风险剩余风险或净风险=风险偏好可能性影响终止或应急计划监视器高管理层和董事会持续关注关注控制(程序/活动)BACD019风险响应关键因素搅局者:持续关注主要风险，并定期关注，目的是尽量消除这种不必要的结果转化为现实的风险，因为涉及风险规避。首要条件:风险必须由高层关注，尽量减少发生的可能性及影响。20风险响应关键因素意外事故:需要仔细预先设计和测试应急计划以防不测。家务管理:通过有效的内部控制最小化意外结果的可能性。21风险应对关键监控和审查:提供周期信息，确定该风险在可接受水平，加上分配责任，保持周期性信息审查。可能性影响低(5年)中等(1至5年)高1年及以上英镑0英镑5千万I324可能性影响01020284050607080901009182736455463728190816243240485664728071421283542495663706121824303642485460510152025303540455048121620242832364036912151821242730246810121416182012345678910终止或应急计划高层或董事会持续关注监视控制重点123424风险等级分数风险分类颜色60+关键红30–59高级橘黄16–29中等黄1-15低等白记分牌25风险管理建议和对策27风险类似于伦敦公交车“Whensorrowscome,theycomenotsinglespiesbutinbattalions’Hamlet28上下风险优秀业务流程标志1.目的在于有清晰的目标2.消除多余的步骤–什么都不做对目标取得不重要。3.绩效可以考核4.纠正不符合要求的绩效5.采用及时的方式完成活动6.流程有成本效益7.控制是预防而不仅仅是许可8.尽可能少的运动/阶段9.没有重复和冗余的控制，但在必要时补偿控制10.适当的授权11.在过程中尽快的确定控制位置12.文件记录13.拥有审计跟踪14.合适的人做合适的事15.适应的空间16.可扩展17.定义过程内部风险–监测和汇报重大风险趋势–高风险交易专用程序18.可重复19.简单20.少用纸张29上下管理的职责、风险管理功能和内审31风险管理之内审内控系统、内审和风险管理33管理风险控制内控政府,风险管理及内控之间的关系34控制控制内控-集成框架[发起组织委员会，1992年9月]‘内部控制广泛定义为一个过程，有影响的实体董事会、管理层和其他人员，设计并提供相关目标取得以下保证：1.工作效力和效率.2.财务报表可靠性.3.符合相关法规.35内控魔方(1992年)控制环境36框架-目标是内部的先决条件目标分类不同，但有重复符合规章制度:涉及遵守实体的规章制度。财务报表的可靠性:设计编制可靠公开报表，包括过渡和简明财务报表，从报表中选择财务数据，例如业绩发布、公开报道。运营效力和效率:涉及实体基本业务目标，包含绩效和利润目标以及保障资源。37新魔方38风险对策可分为四种不同类型的控制:•预防控制•校正控制•指令控制•检测控制•调查控制•绩效控制39预防控制‘设计这些控制的目的是限制未知的发生，更重要的是，不应该出现不好的结果，是实施适当的预防控制。在组织中实施的控制往往属于这一类，预防控制的例子包括职责分离，即没有一个人有权不同意另一个控制（如人的授权控制）。40校正控制‘这些控制旨在纠正产生的不良后果。提供线索实现丢失或损坏的回正。合同条款的设计允许超额付款。保险也可看作是一种纠正行控制，促进经济复苏对风险的认知。应急计划是纠正控制中重要的元素，因为在事件无法控制之后，组织业务持续或回正的计划。41指令控制‘设计这些控制是保证能够取得特定的结果。他们特别重要，关键是可避免未知的事件，通常与健康安全有关。这种控制类型包括在危险的工作中穿防护服，在监督之前，职员被训练相关技能。42侦测控制‘设计这些控制是为了识别产生不良后果的时机，他们的效果是，根据定义，在“事件”后，只是适当的接受发生的损失或损害。侦测控制的例子包括股票或资产检查，对账，职位履行审查，可从未来工作应用中学到，监测活动可检测到响应的变化。43调查控制‘调查控制是检查遗漏，改正错误。44绩效控制‘控制是想要定位和激发团体内人员全力于取得目标，适合于实体目标，例如：–收到指令，分派所有指令，24小时内。–秒回所有邮件或邮政信件。–低于2%的产品属于质量控制失败。45控制类型控制类型:1.预防性的2.指令性的3.侦测性的4.校正性的5.调查性的6.绩效性的风险目标:原因原因效果效果原因和效果原因46分离和监督•分离–可能不会有任何费用–可能有不良影响•监督–可能是昂贵的–是许可而不是预防47脆弱点•分离和监督控制的效力可被打破：–系统变化•例如仓库的新终端–重组–合谋•下级合作伙伴之间•在雇员和监督人之间48分离•知识•职责•操作•工作人员•数据•数据录入•记账•基本职责•实施权威的手段•权利•时间•审查操作4950企业风险管理组成51风险管理•明确目标•识别风险–外部，例如名誉,顾客,供应商,出借人–内部，例如运营,职员,营运资本,能力•评价风险、优先顺序，知道能够接受什么•管理风险–容忍(接受)–对待(还原)–传递(分享)–终止(回避)–追踪•监视、学习和改善，重新考虑目标。