第二部分-企业风险管理框架(COSO-ERM)

RiskManagement华润雪花啤酒（中国）有限公司华润雪花啤酒（中国）有限公司－内审及相关人员风险管理与内部控制培训－内审及相关人员风险管理与内部控制培训二○○五年五月二○○五年五月RiskManagement培训内容培训内容第一部分第一部分风险管理与内部控制基本概念风险管理与内部控制基本概念第二部分第二部分企业风险管理框架（企业风险管理框架（COSOERMCOSOERM））第三部分第三部分目标、风险与内部控制目标、风险与内部控制第四部分第四部分内部控制自我评价（内部控制自我评价（CSACSA））第五部分第五部分CCSASA研讨会（研讨会（workshopworkshop））RiskManagement第二部分企业风险管理框架（企业风险管理框架（COSOERMCOSOERM））©2004UnionStrengthallrightsreserved.4企业风险管理框架：根据COSO2004年9月29日发布的企业风险管理框架•企业风险管理框架：－企业风险管理的目标－企业风险管理的要素－企业风险管理的执行层次•企业风险管理的局限性目标设定风险评估风险对策控制活动信息与沟通监控集团分支机构内部环境战略经营合规报告目标设定事件识别风险评估风险对策控制活动信息与沟通监控集团部门业务单元分支机构©2004UnionStrengthallrightsreserved.5企业风险管理框架：COSO企业风险管理框架的前身：－“COSO内部控制—整体框架”内部环境战略经营合规报告目标设定事件识别风险评估风险对策控制活动信息与沟通监控集团部门业务单元分支机构监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1©2004UnionStrengthallrightsreserved.6企业风险管理框架：•企业风险管理（EnterpriseRiskManagement,简称ERM）－国内一些学者文章也将ERM翻译为：全面风险管理。－企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并进行风险管理，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。©2004UnionStrengthallrightsreserved.7企业风险管理框架－企业风险管理的目标企业风险管理的目标：－战略（Strategic）：－经营（Operation）：－报告（Reporting）：－合规（Compliance）：与公司发展目标相结合的较高层次的战略目标，例如购并其他公司增加市场份额；降低成本提高毛利率等。战略目标的实现可以通过企业风险管理的风险分析、风险控制的途径实现。经济有效地使用公司资源。公司报告包括财务报告的可靠性。相关法律法规的遵循性©2004UnionStrengthallrightsreserved.8企业风险管理要素企业风险管理的执行单位：－公司－部门－单位－子公司企业风险管理框架－企业风险管理的目标企业风险管理目标企业风险管理的目标和要素的关系如下：–企业风险管理目标是企业努力实现的目标。企业风险管理要素是企业为实现目标所需进行的步骤。–每一个要素贯穿（cutsacross)四个目标。例如：公司内部的财务和非财务数据是“信息和交流”这一风险管理要素的一部分，这些数据将被用于战略的制定；有效地经营运作；报告的有效性和符合有关法律法规。–同样的，每一个目标也是由八个要素贯穿实现的。例如：为实现经营的有效性这一目标，八个要素的每一要素都是实现这个目标的重要步骤。©2004UnionStrengthallrightsreserved.9企业风险管理框架－企业风险管理的要素内部环境风险管理哲学－风险文化－董事会操守和价值观－能力－管理哲学和经营风格－风险偏好－组织结构－授权和责任－人力资源政策目标设定战略目标－相关目标－被选择的目标－风险偏好－风险可容忍度事件识别事件－影响战略和目标的因素－方法和技术－事件的相互依赖－事件分类－风险和机会风险评估固有和剩余风险－可能性和影响－方法和技术－相关性企业风险管理要素包括如右图的八个要素：©2004UnionStrengthallrightsreserved.10企业风险管理框架－企业风险管理的要素（续）风险对策识别风险对策－评估可能的风险对策－选择对策－风险对策的组合管理控制活动与风险对策相一致－控制活动的类别－一般控制－应用控制－公司具体控制信息和沟通信息－统一的系统－沟通监控独立的监控－持续的监控©2004UnionStrengthallrightsreserved.11企业风险管理框架－企业风险管理的要素1－内部环境总括：－内部环境是其他要素的基础。它影响战略和目标的确立；风险的识别、评估和减低；控制活动的设计和执行；信息和沟通系统；和监控活动。同时，内部环境也受公司历史和文化的影响。－内部环境包括很多要素。例如一个公司的操守和价值观；能力和人员发展；管理风格；和如何进行授权和职责分工。董事会是内部环境的重要部分并影响其他的内部环境因素。尽管内部环境中的各个要素都很重要，但放在不同的公司中，其所占比重及执行就会有所不同，例如在人数不多，生产集中的小规模公司里，公司就不一定需要建立正式的职责分工和详尽的操作手册。内部环境风险管理哲学－风险文化－董事会操守和价值观－能力－管理哲学和经营风格－风险偏好－组织结构－授权和责任－人力资源政策内部环境的各个要素（参见附件）©2004UnionStrengthallrightsreserved.12企业风险管理框架－企业风险管理的要素1－内部环境内部环境风险管理哲学风险偏好风险文化董事会操守和价值观能力•价值•用语言和行动进行沟通•价值•定量衡量•定性衡量•与战略的联系•独立性•积极性•独立性•活动•参与•行为标准•先决条件•激励•知识•技巧•平衡管理哲学和经营风格组织结构授权和责任的人力资源政策环境的不同•正式和非正式•保守和激进•集中和分散•矩阵/职能/区域•授权•责任•合格•培训•薪酬•激励和纪律•管理层偏好•价值判断•管理风格©2004UnionStrengthallrightsreserved.13企业风险管理框架－企业风险管理的要素2－目标设定总括：－目标设定是事件识别、风险评估和风险对策的基础。管理层必须首先设定目标，之后才能识别风险和采取风险对策。目标设定战略目标－相关目标－被选择的目标－风险偏好－风险可接收度内部环境战略经营合规报告目标设定事件识别风险评估风险对策控制活动信息与沟通监控集团部门业务单元分支机构©2004UnionStrengthallrightsreserved.14企业风险管理框架－企业风险管理的要素2－目标设定战略目标选定的目标经营目标相关目标报告目标合规目标风险偏好符合目标一致风险容忍度包括©2004UnionStrengthallrightsreserved.15企业风险管理框架－企业风险管理的要素2－目标设定战略目标战略目标是很高水平的目标，与公司的使命和愿景一致。战略目标反映公司如何为股东创造价值。经营目标相关目标相关目标：根据战略目标建立相关目标以支持最终目标的实现。相关目标是更细致的目标。它使各部门单位、以及个人认识到实现战略目标的各个重要构成和因素。相关目标可分为：经营目标、报告目标，合规目标。报告目标合规目标©2004UnionStrengthallrightsreserved.16企业风险管理框架－企业风险管理的要素2－目标设定战略目标经营目标报告目标合规目标相关目标•经营目标：指经营的有效性和效率，为达到经营的有效性，必须合理有效的配置和使用资源。经营目标包括绩效、利润、资产安全性等方面的目标。•经营目标必须切合实际和反映市场需求。•经营目标举例：比如要求提升产品质量、缩短存货周转时间、建立更合理的销售绩效评估体系。•报告目标：指报告的可靠，准确和有效性。报告类型包括内部和外部报告，财务和非财务报告等。•内部报告：可靠有效的内部报告向管理层提供准确，及时和完整的信息以帮助其进行决策和监控公司的发展等。内部报告的类型包括：例如市场分析报告，生产质量报告，雇员和客户满意度报告等。•外部报告：包括对外披露的财务报表及其附注；对行业监管部门报送的业务数据报告等。©2004UnionStrengthallrightsreserved.17企业风险管理框架－企业风险管理的要素2－目标设定•目标重合：目标之间会相互重叠和支持。例如：向管理层提供有效可靠的信息数据即符合经营目标也符合报告目标。而且当这些数据被用以准备对外披露的报告时，它又符合合规目标。战略目标经营目标报告目标合规目标相关目标•合规目标：公司必须在遵循相关的政策法规。即公司运作与外部监管环境是一致的。例如：公司要遵循环境保护法规，则在公司内部的各项操作中都需要考虑环境保护的措施。再如：外部监管法规要求公司产品符合健康和安全标准，则公司在制定有关包装和标签的公司政策中指出：有关包装和标签使用的化学物质必须符合有关规定的要求。•有关政策法规的范围很广泛，可能涉及市场、定价、税收、环境，员工福利和国际贸易等。•一个公司是否符合有关政策法规对其声誉和市场地位的影响重大，这种影响包括正面和负面的影响。©2004UnionStrengthallrightsreserved.18企业风险管理框架－企业风险管理的要素2－目标设定战略目标经营目标报告目标合规目标相关目标目标实现：建立目标是企业风险管理的重要部分。而目标的实现则有一定先后顺序，且不一定均可以由企业控制。例如：实现合规和报告目标可以由企业控制，但实现经营目标时，存在一些外部因素不一定可以由企业控制。例如：政府环境变化，不良天气或者不可抗力的发生。虽然企业可以考虑这些因素并制定针对这些或有可能因素的应急计划，但只能将这些因素的不良影响降低，而不能完全避免负面影响，也即是不能保证目标的完全实现。©2004UnionStrengthallrightsreserved.19企业风险管理框架－企业风险管理的要素2－目标设定选定的目标风险偏好风险容忍度对已经制定的目标进行审阅，以保证这些目标与公司的长远目标和风险偏好一致。如果不一致，则需要从中剔除这些目标。一个具备良好风险管理体系的公司未必明确哪些目标不合理，但是具有进行目标筛选的程序，以保证制定的目标与公司的风险偏好一致。风险偏好：风险偏好用来调整战略的制定。如果制定的有关战略所产生的风险与企业的风险偏好不一致，则战略需要进行调整。这主要适用于新任管理层首次制定公司战略时有可能制定超越公司风险偏好外的战略。或者该战略所产生的风险不利于企业实现其长远目标。符合战略目标相关目标经营目标报告目标合规目标目标一致包括©2004UnionStrengthallrightsreserved.20企业风险管理框架－企业风险管理的要素2－目标设定风险容忍度是指对风险的容忍程度例如：一个公司对于准时送货率的要求是98％。同时公司规定了对于准时送货率的一定风险容忍度，即准时送货率在97％－100％都可以接受；又如：对于培训通过率是90％，但允许一定的偏差，比如至少75％的通过率还可接受。再如：要求员工在24小时内处理客户的投诉，但是允许至多25％的客户投诉可以在24－36小时内进行处理。战略目标相关目标经营目标报告目标合规目标目标一致包括©2004UnionStrengthallrightsreserved.21企业风险管理框架－企业风险管理的要素2－目标设定举例目标设定举例（以某一提供医疗服务的公司为例）－提供高质量的，可行和价格合理的社区健康服务。使命（Mission)－在中等类型城市成为数一数二的全方位的健康医疗服务的提供者。－使我们核心医疗服务质量在当地排名为前四甲－在当地市场成为性价比最高的领先者。战略目标(StrategicObjectives)－在