风险管理培训资料

风险管理基础知识分享目录风险管理基础理论介绍风险评估流程和步骤全面风险管理与内部控制监管的发展历程●美国蓝丝带委员会《改善企业审计委员会有效性的报告》●经济合作与发展组织《公司治理原则》●世界银行《公司治理：实施的框架》●英格兰及威尔斯特许会计师公会《内部控制：综合守则董事会指引》●美国国会《萨班斯奥克斯利法案》●香港交易所《企业管治常规守则》●经济合作与发展组织对《公司治理原则》进行修订2003200219992000200420062007●国资委《中央企业财务内部控制工作指引》●深交所《中小企业板上市公司内部审计工作指引》●国资委《中央企业全面风险管理指引》●深圳证券交易所《上市公司内部控制指引》●上海证券交易所《上市公司内部控制指引》●英国财务报告委员会《企业管治综合守则》2008●五部委联合发布《企业内部控制基本规范》及三个指引（征求意见稿）●美国证监会《审计委员会披露原则》外部驱动因素•合规压力•出现新的经营风险•股东或投资者对风险和控制关注程度的提高•股东要求更强的可问责性•宏观经济及政治因素存在更大程度的不确定性•金融市场的波动引起风险与控制变革的主要因素•高级管理层及董事会关注程度的提高•对成本削减和效率的关注•市场扩展•经营区域的扩展•出现新的经营风险•组织内部逐渐强化的风险文化内部驱动因素几个基本概念企业目标：可量化，可衡量，可以实现的业务目标风险：企业面临的风险是由内部或外部因素引起的，对企业的现实目标或潜在目标造成影响的一系列不确定事件内部控制措施：通过系统的管理程序或活动确保风险应对策略的有效实施，减少不确定性的影响风险应对策略：企业根据自身条件和风险偏好、风险承受度，选择风险承担、规避、转移、转换、对冲、补偿、控制等适合的风险管理总体策略？？？———————————————企业目标风险风险应对策略内部控制措施目标：确保海外公司编制的财务报表符合当地准则规定，且能够满足合并要求“风险”具有发生可能性和影响程度两个基本属性。通过有效的控制手段，可以降低发生的可能性或一旦发生后的严重程度，从而总体上降低风险。没影响较小普通较大极大经常可能普通较小极小固有风险剩余风险发生的可能性影响的严重性高低图示:极高中会计系统设置不符合当地准则会计人员不熟悉当地准则子公司报表存在错误风险风险风险风险的属性那么，内部控制是什么？COSO(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission，即美国反对虚假财务报告委员会的发起组织委员会)把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。基本概念包括：•内部控制是一种过程；•内部控制的有效运作受人影响；•内部控制只能为企业提供合理保证；•内部控制的设计旨在达成企业之目标。COSO的网址:协助企业实现目标为什么要实施内部控制？2与目标相关的内外部风险内部控制的对象是什么？3企业全体员工由谁来实施内部控制？内部控制是什么所有五大元素必须同时发挥作用，才能让内部控制有效地运作控制活动确保落实管理层的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离监控评估内部控制系统整合及时独立的评估管理层和监控机构的工作内部审计信息和沟通定期获取、确定并交流相关的信息评审内部和外部获取的信息信息流：职责指导管理层的总结成功的措施控制环境管理哲学和经营风格因素包括正直、道德价值、能力、权威和责任董事会和审计委员会人力资源政策和实务是其它内部控制组成部分的基础风险评估风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作监控信息和沟通控制活动控制环境业务单位甲业务单位乙活动一活动二风险评估9COSO内部控制框架COSO内部控制整合框架COSO企业风险管理整合框架弥补缺口COSO框架的演化2004年9月，COSO发布了《全面风险管理－综合框架》报告。报告指出，全面风险管理是由董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的一个过程，旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内。监控信息和沟通控制活动控制环境业务单位甲业务单位乙活动一活动二风险评估从两者的发展关系来看从两者的包含关系来看风险管理理论是在内部控制理论基础上的发展和延伸但风险管理框架并非替代内部控制框架，而是包含了内部控制框架的精髓，在内部控制的有关概念上，两者都保持了一致和连贯风险管理框架更为广泛，包含了内部控制的内容但内部控制框架中也包含了风险评估的内容内部控制与风险管理的关系风险管理流程目录风险管理基础理论介绍风险评估流程和步骤第一步：风险识别，考虑：•现有风险管理文档•现有的风险评估结果•行业风险第三步：确定可能性，考虑：•风险评估范围•控制环境的有效性•职业判断和历史经验第二步：确认风险类别，包括：•风险分类定义•风险层级架构•风险目录及组合第四步：确定严重性，考虑：•与第三步一样的内容•多个风险发生的可能性，而不只是考虑最坏情景•普通风险评估以外的风险第五步：固有风险排序及应对，包括：•确定关键固有风险排序•确定风险应对授权及方式方法•确定风险应对报告及负责人第六步：风险应对有效性评估，包括：•固有关键风险应对措施有效性评估第七步：剩余风险评级排序与进一步应对，包括：•确认剩余风险评级并进行排序；•对超出公司承受范围的剩余风险采取进一步的应对措施风险评估方法论风险识别风险分类固有风险发生可能性固有风险发生严重性固有风险排序及应对风险应对有效性评估持续监控剩余风险排序与进一步应对第八步：持续监控风险，包括：•持续监控风险确保风险处于公司可接受的范围内评估剩余风险固有风险控制有效性调整因素评估固有风险风险发生可能性•历史数据库•违约概率•损失事件发生频率•……风险影响程度•风险偏好和风险容忍度•声誉和品牌•财务报告的准确性•对业务的影响•管理层投入精力•……评估控制有效性•COSO内部控制框架•内部控制自我评估•以前年度内部审计结果•审计项目报告•……风险评估固有风险–控制有效性=剩余风险风险评估流程–固有风险评级固有风险评级可以用固有风险矩阵描述举例：假设该风险具有高固有风险可能性和低固有风险影响程度，固有风险评级应为：高风险。影响程度可能性轻微较小中等严重非常严重非常高高高极大极大极大较高中高高极大极大中低中高极大极大低低低中高极大极低低低中高极大IR风险评估流程–控制有效性评级控制有效性可以用控制有效性矩阵描述举例：假设对该风险的控制有很强的设计和强的实施有效性，控制有效性评级应为：很有效。控制执行控制设计很弱弱中强很强很强很弱弱有效很有效很有效强很弱弱有效很有效很有效中很弱弱有效有效有效弱很弱弱弱弱弱很弱很弱很弱很弱很弱很弱控制有效性评级依据很有效控制很大程度上减少了风险，可能需要减少控制。有效控制合理地管理风险。弱需要进一步改进控制。很弱有重大控制问题，需要管理部门马上行动进行修改。C风险评估流程－剩余风险评级剩余风险可以用剩余风险矩阵描述举例：例如，风险的固有评级为高，控制有效性评级为很有效，得到风险的剩余风险评级为低。控制有效性固有风险评级很有效有效弱很弱极大中高极大极大高低中高高中低低中中低低低低低RR风险评估结果的应用剩余风险为低的风险剩余风险属于中的风险剩余风险属于高的风险剩余风险属于极大的风险检查是否存在过度控制的情况，是否减少不必要的控制能够节约成本；属于可以进行控制优化的领域。特别关注和持续监控执行有效性，控制一旦未被有效执行，可能出现剩余风险向高风险转化关注能否提高控制设计、执行有效性，并考虑必要的控制成本；以及采取其他应对措施如再保险、外包的可能性应立即考虑适当的应对方案：规避、转移、降低等，并将风险应对方案提交风险管理委员会审批。目录风险管理现状风险和收益相关联衡量考虑风险因素后的商业活动的绩效评估价值并创造商业活动战略优势投资资本于成功的商业活动中识别风险针对风险的持续监控控制风险管理的复杂程度盈利平稳保护盈利潜力最大化服务业制造业金融服务从基本向高阶发展股东目标