全面风险管理(基本教案)

全面风险管理张守真2014.01培训教案教师介绍姓名：张守真1、山东大学研究生导师、山东大学质量研究中心研究员2、国家注册质量工程师培训教师3、全国质量经理推进委员会专家委员会委员4、中国质量协会学术和培训委员会委员5、全国6SIGMA推进委员会专家委员会委员（6SIGMA黑带）6、全国质量奖评审员，山东省、河南省省长质量评审员7、国家注册质量管理体系高级审核员、验证审核员8、国家注册工业产品生产许可证审查员培训教师9、国家注册工业产品生产许可证高级审查员10、中国质量检验协会专家委员会委员11、国家注册审核员面试考官12、国家注册环境管理体系、职业安全健康管理体系审核员Zszjingwei@163.com130650466972前言全面风险管理基础20世纪30年代在美国开始萌芽受当时世界性经济危机的影响，美国经济大萧条，约有40％左右的银行和企业破产，为应对经营上的危机，美国许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目，保险成为当时企业处理风险的主要方法20世纪50年代，风险管理在美国以学科的形式发展，并逐步形成了独立的理论体系。1970年代以后逐渐掀起了全球性的风险管理运动。美国一些大公司的重大损失使公司高层决策者开始认识到风险管理的重要性。二、风险管理的起源和发展20世纪90年代开始随着国际资产证券化、债券的风险进一步扩大，使风险管理更迅速地在国际推行。欧美等国家先后建立起全国性和地区性的风险管理协会。针对安然、世通等财务欺诈事件，美国国会出台了著名的《2002年萨班斯—奥克斯利法案》来规范上市公司的行为1983年美国风险和保险管理协会年会上，通过了“101条风险管理准则”，标志着风险管理发展进入了一个新阶段欧洲11个国家成立了“欧洲风险管理委员会”美国多家专业团体成立了“反虚假财务报告委员会”和著名的专门研究内部控制的委员会“COSO委员会”COSO著名报告《内部控制-整体框架》(1992)和《COSO-ERM企业风险管理框架》(2004)，是风险管理的重要文献。二、风险管理的起源和发展全面企业风险管理框架风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。国际较知名的国际会计准则委员会（IASC)、巴塞尔银行监管委员会(BASEL)、美国的COSO委员会研究、发展了一整套完整的全面企业风险管理框架。COSO全面风险管理（ERM）框架的定义：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证。二、风险管理的起源和发展三、我国的风险管理在我国，风险管理理论的发展及应用相对滞后，企业在风险管理上存在诸多问题：1、缺乏风险意识和策略，管理被动；2、缺乏风险管理技术、专业人才和资金；3、战略上急于求成或谨小慎微、小富即安，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中固有风险和剩余风险与企业的风险容量和风险容限不相适应，过于谨小慎微或者承担了过多自身不可承受风险；国家对风险管理日益重视，2006年国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》，对中央企业如何开展全面风险管理提出了明确要求；指导范围并不仅限于央企，对公司也同样具有普遍指导意义；《指引》的出台标志着我国有了自己的全面风险管理指导性文件，我国企业正向管理的更高阶段——全面风险管理迈进。ISO的相关标准和指南《ISOGUIDE73风险管理词汇》《ISO31000风险管理原则和指南》《IEC/ISO31010风险管理风险评估技术》8《ISOGUIDE73:2009风险管理词汇》与风险有关的术语；与风险管理有关的术语；与风险管理过程有关的术语。9ISOGUIDE73ISO31000:2009《ISO310002009风险管理原则和指南》1范围2术语和定义3风险管理原则4风险管理框架5风险管理过程1011ISO31000：2009风险管理原则、框架和过程关系图11ISO31000:2009ISO31000:2009风险管理原则和指南《Riskmanagement–Principlesandguideline》提供了风险管理的原则和通用性指南。尽管所有的组织在某种程度上都在管理风险，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。ISO31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。ISO31000:2009ISO31000:2009提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。尽管所有的组织在某种程度上都在管理风险，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。ISO31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，ISO31000的主要特点是在通用的风险管理过程中将“明确环境”作为初始活动。“明确环境”将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。ISO31010:2009《IECISO310102009风险管理风险评估技术》1范围2规范性引用文件3术语和定义4风险评估的相关概念.5风险评估过程.6风险评估技术的选择附录A风险评估技术的比较附录B风险评估技术14国家标准(GB/T23694)《GB/T236942009风险管理术语》idt《ISOGUIDE732002》1基础术语2受风险影响的组织及个人的相关术语3与风险评估的相关术语4与风险处理和风险控制相关的术语15国家标准(GB/T24353)——风险管理过程5.2明确环境信息5.3风险评估5.3.2风险识别5.3.3风险分析5.3.4风险评价5.4风险应对5.5监督和检查16本次培训的重点1、全面风险管理的基本概念，教材是《全面风险管理——整合框架》。2、全面风险管理的应用，即“企业内部控制基本规范及其指引”。3、企业全面风险管理体系的建立原则、程序和主要步骤。17培训课件说明1、基本课件3个：全面风险管理整合框架、企业内部控制基本规范、全面风险管理体系设计。2、扩展课件3个：企业内部控制指引第1号至第18号。3、参考教案2个：企业内部控制评价指引、企业内部控制审计指引。18参考教材1、《全面风险管理——整合框架》，东北财经大学出版社。2、《企业内部控制规范》，中国财政经济出版社。19全面风险管理框架——COSO发布20目录一、常用术语；二、概述三、基本概念四、企业全面风险管理的要素1、内部环境2、目标设定3、事项识别4、风险评估5、风险应对6、控制活动7、信息与沟通8、监控21第一部分术语22术语不确定性（uncertainty）不能事先知道未来事项的确切可能性或影响。不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。不确定性也是主体的战略选择所带来和导致的。23术语机会（opportunity）一个事项将会发生并对目标的实现产生正面影响的可能性。24术语风险（risk）一个事项将会发生并对目标的实现产生负面影响的可能性。25术语可能性（likelihood）一个给定的事项将会发生的或然性。相关的术语有时有着更加具体的含义，“可能性”意味着用定性语言表示的一个给定事项将会发生的或然性，例如高、适中和低，或者其他的判断性衡量尺度；而“概率”则意味着定量性的测度，例如百分比、发生的频率，或者其他数量化的尺度。26术语企业风险管理过程（enterpriseriskmanagementprocess）一个主体中所应用的企业风险管理的同义词。27术语固有风险（inherentrisk）一个主体在管理层不采取任何措施来改变风险的可能性或影响的情况下所面临的风险。28术语剩余风险（residualrisk）管理层采取措施改变风险的可能性或影响之后残存的风险。29术语风险容量（riskappetite）公司或其他主体在追求其使命（或愿景）的过程中所愿意承受的风险的广泛意义的水平。30术语风险容限（risktolerance）与实现一项目标相关的可承受的偏离程度。31术语合理保证（reasonableassurance）这个概念意味着不管企业风险管理设计和运行得有多么好，也不能就一个主体的目标的实现提供担保。这是因为企业风险管理有固有局限。32术语固有局限（inherentlimitations）企业风险管理的那些局限。这些局限与人类判断的有限性、资源约束以及需要对照期望的效益去考虑控制的成本，可能发生故障的现实，以及管理层凌驾和串通的可能性有关。33术语内部控制（internalcontrol）一个由主体的董事会、管理层和其他人员实施的、旨在就以下各类目标的实现提供合理保证的过程：经营的有效性和效果；财务报告的可靠性；符合适用的法律和法规。34术语内部控制系统（internalcontrolsystem）一个主体所应用的内部控制的同义词。35术语构成要素（component）企业风险管理有八个构成要素：主体的内部环境，目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通，以及监控。36术语目标类别（objectivescategory）主体的四类目标——战略、经营的有效性和效率、报告的可靠性以及符合适用的法律和法规——中的一种。这些类别有交叉，所以一个特定的目标可能会归入超过一个类别。37术语战略（strategic）与目标连用：必须致力于与主体的使命（或愿景）相协调并支持它的高层次的目的。38术语经营（operations）与目标连用：必须致力于主体活动的有效性和效率，包括业绩和赢利目标，以及保护资源不受损失。39术语控制（control）（1）一个名词，表示一个项目，例如存在一项控制——属于内部控制的一部分的一项政策或程序。控制可能存在于八个构成要素的任何一个之中。（2）一个名词，表示一种状态或情形，例如实现控制——用来进行控制的政策和程序的结果；其结果可能是有效的内部控制，也可能不是。（3）一个动词，例如控制——监管；制订或执行一项实现控制的政策。40术语一般控制（generalcontrols）帮助确保计算机信息系统持续、正常运行的政策和程序。它们包括针对信息技术管理、信息技术基础结构、安全管理以及软件获取、开发和维护的控制。一般控制支持设定应用控制的运行。有时用来描述一般控制的其他术语是一般计算机控制和信息技术控制。41术语应用控制（applicationcontrols）为了帮助确保信息处理的完整性和准确性而设计的应用软件中的设定程序和相关的人工程序。例子包括对输入数据的电脑化编辑核对、数字序列核对和追查例外报告中所列示项目的人工程序。42术语人工控制（manualcontrols）利用人工而不是通过计算机来执行的控制。43术语合规（compliance）与“目标”连用：必须致力于遵守主体所适用的法律和法规。44术语标准（criteria）据以在确定有效性时对企业风险管理进行测度的一系列准绳。考虑到企业风险管理的固有局限，企业风险管理的八个构成要素，代表着针对四类目标中的每一类而言企业风险管理有效性的标准。45术语缺陷（deficiency）在企业风险管理中值得注意的一种情况，它可能代表着一个已经察觉的、潜在的或实际的缺点，或者一个加强企业风险管理以便为主体的目标将会实现提供更大的可能