汽集团ISO310002009培训教材

北京致信博达管理顾问有限公司2012年03月中国第一汽车集团公司ISO31000：2009《风险管理—原则与实施指南》标准培训致信博达致信博达顾炜宇简介•中国人民大学经济学博士•中央财经大学金融经济讲师•中国社科院|工业经济研究所工商管理博士后擅长发展战略制定、风险管理、企业价值评估和并购、商业银行管理曾任职商业银行、投资银行、投资管理机构和咨询机构致信博达致信博达目录第一章ISO31000概述第二章术语和定义第三章风险管理原则第四章风险管理框架第五章风险管理过程一汽集团ISO31000：2009标准培训.PPT3致信博达致信博达目录第一章ISO31000概述第二章术语和定义第三章风险管理原则第四章风险管理框架第五章风险管理过程一汽集团ISO31000：2009标准培训.PPT4致信博达致信博达第一章ISO31000概述一、风险管理的发展背景二、ISO31000标准制定的过程三、我国等同采用ISO31000的必要性四、对ISO31000标准的总体认识•ISO31000标准的构成•ISO31000标准的性质•ISO31000标准导言主要内容•引言部分的“十七项”帮助•标准的适用范围一汽集团ISO31000：2009标准培训.PPT5致信博达致信博达20世纪30年代美国经济大萧条，约有40％左右的银行和企业破产，为应对经营上的危机，美国许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目，保险成为当时企业处理风险的主要方法风险管理在美国开始萌芽理论体系形成（主要针对资本市场）风险管理在美国以学科的形式发展，并逐步形成了独立的理论体系20世纪50年代美国一些大公司的重大损失使公司高层决策者开始认识到风险管理的重要性逐渐掀起了全球性的风险管理运动1970年代以后•随着国际资产证券化、债券的风险进一步扩大，使风险管理更迅速地在国际推行•欧美等国家先后建立起全国性和地区性的风险管理协会风险管理迅速推行AS/NZS4360:1999，2004修订版20世纪90年代COSO著名报告《内部控制-整体框架》(1992)和《COSO-ERM企业风险管理框架》(2004)，是风险管理的重要文献，已经成为国际风险管理基准框架1992《内部控制-整体框架》和2004《COSO-ERM企业风险管理框架》1992和2004针对安然、世通等财务欺诈事件，美国国会出台了著名的《萨班斯—奥克斯利法案》（特别是萨奥404条款）来规范上市公司的行为2002《萨班斯-奥克斯利法案》BS31100:2008（2011修订）2002年-2008•重要来源：澳大利亚、新西兰AS/NZS4360：2004标准•“ＩＳＯ３１０００将类似于ＩＳＯ９０００和ＩＳＯ１４０００标准，是最高级别的标准，它将对ＩＳＯ和ＩＥＣ的其他标准起指导作用”——ISO技术管理局（TMB）风险管理工作组（RMWG）主席奈特ISO31000：2009《风险管理—原则与指南》标准20092009ISO/IEC31010：2009《风险管理—风险评估技术》标准•国际较知名的国际会计准则委员会（IASC)•巴塞尔银行监管委员会(BASEL)（1998，2004，2010）其它相关标准第一章ISO31000概述风险管理的发展背景：国际一汽集团ISO31000：2009标准培训.PPT6致信博达致信博达2001年2001年银广厦事件，公司治理、内部制度、财务报告、信息披露、外部监管等方面缺失，说明的是无“信”可依。证监会《证券公司内部控制指引》证监会《关于提高上市公司质量的意见》2004年德隆事件被公布于世。急于扩张、风险意识淡薄、没有风险评估系统，导致风险爆发的时候，更多的是接受风险。中航油（新加坡）事件，风险意识的淡薄、企业领导人“一言堂”等国资委《中央企业全面风险管理指引》两大证券交易所《上海证券交易所/深圳证券交易所上市公司内部控制指引》财政部等五部委《企业内部控制基本规范》/2010年《企业内部控制配套指引》国家标准GB/T24353——2009《风险管理原则与实施指南》2005年2006年2006年2008年2009年9月第一章ISO31000概述风险管理的发展背景：国内一汽集团ISO31000：2009标准培训.PPT7我国的风险管理•风险管理理论的发展及应用相对滞后，企业在风险管理上存在诸多问题：•缺乏风险意识和策略，管理被动；•缺乏风险管理技术、专业人才和资金；•战略上急于求成，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中承担了过多自身不可承受风险。•………致信博达致信博达ISO/IEC指南73:2004《风险管理—术语》标准ISO/TMB设立风险管理工作组（RMWG）•2005年9月，在东京成立并举行就职典礼，28个成员国代表，主席——Kevin.W.Knight（澳大利亚）•每年两次会议，2007年4月加拿大渥太华第四次会议，确定风险管理核心术语“风险”的定义，最终采用我国代表提出的“风险”定义“不确定性对目标的影响”，编入ISO/IEC指南73:2007《风险管理——术语》标准中。2005年6月ISO历时四年，从CD到DIS再到FDIS稿，不断完善标准，于2009年11月13日正式发布了《ISO31000：2009风管理原则和指南》标准制动经过WG稿（工作组稿）、CD稿（委员会稿）、DIS稿（国际标准草案稿）和FDIS稿（国际标准最终草案稿）第一章ISO31000概述ISO31000标准制定的过程一汽集团ISO31000：2009标准培训.PPT8致信博达致信博达第一章ISO31000概述采用ISO31000标准的必要性1.经济全球化催生风险管理标准国际化•该标准是在世界政治、经济环境发生深刻变化以及“特定事件”和“特定法规”的特定背景下产生、它及时总结和汲取了世界范围内风险管理的最新理论与最佳实践，代表了国际标准具有的先进性，是我国企业处于经济全球化的环境中采用国际标准、步入“标准化”管理风险的新起点。2.风险管理是中国企业在新环境下持续发展的迫切需要•人类风险管理的历史还不长，风险管理的理论和实践仍在发展之中，但ISO31000:2009标准作为第一个ISO层面的风险管理标准，是“被国际上普遍承认”的风险管理标准，它“已可以帮助一个组织开始和改进自己的风险管理过程”。（Kevin语）3.我国实施ISO31000:2009标准具有实践基础•自改革开放以来，我国有了20多年的“贯标”实践•ISO/IEC指南73:2004/2007《风险管理——术语》标准被我国等同采用。我国“等同采用”ISO31000标准的必要性一汽集团ISO31000：2009标准培训.PPT9致信博达致信博达第一章ISO31000概述采用ISO31000标准的必要性3.我国应是ISO1000：2009标准的积极使用者、推广者•自2006年以来我国政府部门发布了内部控制、风险管理的法规性文件，令世界瞩目•“风险”术语定义被ISO采纳，在风险管理领域将中国向世界推进了一大步•树立我们的“大国意识”，推进此标准在中国的运用4.国标GB/T24353——2009不是对ISO31000:2009标准的正式采用国标GB/T24353——2009主要出自于ISO31000的DIS稿正式采用应该是包含IDT的“双编号”，例如，GB/T19001—2009IDTISO9001:2009，说明的是国标GB/T19001—2009等同采用ISO9001:2009两者区别，详见附件二5.国际经济活动需要“等同采用”ISO31000:2009标准我国“等同采用”ISO31000标准的必要性（续）一汽集团ISO31000：2009标准培训.PPT10致信博达致信博达一汽集团ISO31000：2009标准培训.PPT11第一章ISO31000概述对ISO31000标准的总体认识ISO31000标准的构成导言介绍正文1.范围2.基准参考3.术语和定义4.风险管理原则5.风险管理架构6.风险管理程序致信博达致信博达（a）创造价值（b）组织过程整体的一部分（c）决策的一部分（d）清晰地阐明不确定性（e）系统、结构化与适时的（f）以最可利用的信息为基础（g）适应性（h）考虑人文环境因素（i）透明的、包容的（j）动态的、往复的且响应变化的（k）有助于组织的持续改进与提升授权与承诺（4.2）管理风险框架设计（4.3）框架的持续改进（4.6）实施风险管理（4.4）框架的监测与评估（4.5）沟通与咨询（5.2）监测与评审（5.6）建立环境（5.3）风险识别（5.4.2）风险分析（5.4.3）风险评价（5.4.4）风险应对（5.5）过程（条款5）风险管理原则、框架、过程之间的关系风险评估（5.4）框架（条款4）原则（条款3）一汽集团ISO31000：2009标准培训.PPT12第一章ISO31000概述对ISO31000标准的总体认识ISO31000标准的构成致信博达致信博达一汽集团ISO31000：2009标准培训.PPT13第一章ISO31000概述对ISO31000标准的总体认识ISO31000标准的构成致信博达致信博达一汽集团ISO31000：2009标准培训.PPT14第一章ISO31000概述对ISO31000标准的总体认识ISO31000标准的性质不是“认证”标准可用于第一方、第二方审核或评价：“市场推动”的理念，不排除“用于合同目的”不是“管理体系”标准是“指南”、不是“要求”关注的主体是企业致信博达致信博达第一章ISO31000概述对ISO31000标准的总体认识对“风险”的认识•所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。对“管理风险”的认识•组织的所有活动都涉及风险•组织通过识别、分析和评定是否运用风险应对修正风险以满足它们的风险准则，来管理风险•通过这个过程，它们与利益相关方进行沟通和咨询，监测和评审风险，以及为确保不再进一步需求风险应对而修正风险的应对措施风险管理融入组织的全过程•风险管理可以运用于组织的全部活动中，在许多领域和层次，在任何时间，包括特殊的职能、项目、活动。注：整体性和嵌入性一汽集团ISO31000：2009标准培训.PPT15致信博达致信博达第一章ISO31000概述对ISO31000标准的总体认识关于标准的说明•当所有组织的风险管理达到一定程度时，本国际标准会建立很多需要遵守的准则以确保风险管理的有效性。本国际标准建议组织制定、实施并持续完善一个框架。该框架旨在将风险管理过程融入到组织的全面治理、战略和计划、管理、报告流程、政策、价值以及文化之中。•为满足不同部门的需要，随着时间的推移，风险管理的实践不断得到发展。但是，在一个全面框架中采取一致的程序，有助于确保风险管理的有效性、充分性和一致性。本国际标准规定了一些一般性方法。这些方法旨在提供一些原则和指南，用于在任意范围和背景下以一种系统、透明、可靠的方式来管理各种风险。•风险管理的每个具体部分和应用都带有各自不同的需求、受众、观点和标准。因此，本标准的一个关键特征就是，在开始一般的风险管理过程前，将“构建环境”视为一种活动。构建环境要求确定组织的目标、实现目标所需的环境、组织的利益相关者以及风险标准的多样性，所有这些将有助于揭示和评定风险的性质和复杂程度。一汽集团ISO31000：2009标准培训.PPT16致信博达致信博达一汽集团ISO31000：2009标准培训.PPT17组织现有的管理风险过程与标准的关系•目前许多组织的管理实践和过程都包括了风险管理的组成部分，并且很多组织已经针对特定类型的风险或一些其他情况采用了正式的风险管理过程。在这种情况下，一个组织应根据本国际标准来决定是否对现存惯例和过程进行评判性的评审。注：评审的重点是实施风险管理的“充分性”和“有效性”。标准的适用人员本标准着力于满足那些分布广泛的利益相关者的需求，这些利益相关者包括：a)在各自组织中负责制定风险管理政策的人