中央企业全面风险管理指引解读

《中央企业全面风险管理指引》解读国资委企业改革局2006年10月1/141中央企业全面风险管理管理指引•2006年6月6日，《中央企业全面风险管理指引》正式印发。•《指引》是国务院国资委全面落实科学发展观，坚持可持续发展，履行出资人职责，指导和促进中央企业推进管理创新、增强企业竞争力、促进企业持续、健康、稳步发展的一个重要文件。2/141国外企业的风险管理实施进展目前，越来越多的发达国家大公司建成或即将建成全面风险管理系。一家国际著名会计师事务所2004年初对世界上1400个大中型公司的CEO调查结果：38%的CEO声称本公司已经建成完整的全面风险管理体系，35%已经部分建成全面风险管理体系，16%正在计划实施全面风险管理体系，10%表示正在研究全面风险管理体系或尚无建设全面风险管理体系的计划。3/141起草《指引》背景１．企业风险最终由出资人承担，出资人关心企业风险管理是天经地义的，是其最重要的职责。２．建立全面风险管理体系，减少和防范资产损失：⑴企业清产核资⑵银行不良资产３．中央企业必须适应经济全球化竞争。美国《萨班斯法案》对在纽约上市的公司提出了建立内控体系的要求，许多国际大公司在内控体系的基础上进一步建立了全面风险管理体系。这些方面我们与国际大公司都有较大的差距。４．通过全面风险管理体系，提升企业管理水平。4/141国有企业风险管理存在的问题风险管理工作薄弱，缺乏风险防范机制，是资产发生损失的重要原因。多年来由于管理体制、制度、机制等方面的原因，国有企业存在着如下不规范行为：＊乱投资：有的企业贪多求大，对高负债率、低现金流的财务风险缺乏防范措施，不作投资回报分析，不作投资风险分析；＊乱担保：有的企业对从事证券、期货、股票、外汇等业务的风险防范意识不强，对外乱担保因连带责任被冻结资产和强行偿债；＊乱扩张：有的企业对收购企业的成本和风险估计不足，并购资产的同时引入了风险，对潜伏问题缺乏了解，甚至引发了危机。＊乱理财：有的企业盲目进行风险理财，而风险理财手段的不当使风险理财手段的不当使用，包括策略错误和内控失灵，带来巨大的损失。用，包括策略错误和内控失灵，带来巨大的损失。＊乱借款：有的企业盲目借贷，高负债率带来了较大的财务风险，沉重的利息负担进一步加剧企业的亏损。＊乱放权：有的企业因为没有控制好子企业、境外企业和境外业务的风险，发生了巨额亏损，给企业造成颠覆性灾难。5/141国企风险管理现状带给我们的思考中航油新加坡公司的事件给我们的思考……三九集团由盛转衰给我们的启示……6/141《指引》想解决什么问题？＊明确要求中央企业要重视和开展全面风险管理。＊明确什么是全面风险管理。＊企业如何开展全面风险管理工作。7/141指引与其他文件的区别其他文件是在企业大量实践的基础上归纳、总结而制定的；《指引》是在总结国有企业的经验、损失、教训的基础上，参考国际经验、国际做法而制定的，具有较强的现实性和前瞻性。8/1419/141萨班斯法案与风险管理的区别萨班斯法案：★事后财务报表的真实披露★关心结果的真实性★不关心如何做出正确决策★关注财务层面★解决投资人信息对称问题★为投资人提供均等机会★使董事趋于保守★未解决利益冲突的结构性问题★目标：合规经营、高效运营、财务报告真实可靠风险管理：★事先对企业风险的控制与防范★关心结果的好坏★关心科学决策的程序★关注战略层面★解决投资人的信任问题★为投资人提供长远利益★使董事会趋于理性★从体系上解决利益冲突的结构问题★目标：将风险控制在与总体目标相适应并可承受的范围内国有企业面临的主要风险形式1.企业对外投资（包括海外投资）的风险2.企业多元化经营的风险3.企业对外担保的风险4.企业委托理财的风险5.企业对外承包工程的风险6.企业内部管理失控的风险7.企业经营过程中存货增加的风险8.企业产品研发、产品更新、产品升级的风险9.企业并购的风险10/141国有企业面临的主要风险形式（续）10.企业应收帐款的风险11.企业面临的利率、汇率风险12.企业法律风险13.上市公司可持续生存风险（SIRT）14.企业供应商提供产品质量的风险15.企业环保风险16.企业环境（社会、人文）风险17.企业现金流风险18.企业员工劳动关系风险11/141正确认识风险的概念12/141风险是未来的不确定性对目标的影响（正面影响与负面影响）。风险是双刃剑，既能给人们带来风险损失，又能带来风险收益。风险投资的成败就是最典型的例子。★风险投资中最重要的不是投资项目的好坏，而是辨识拟投资的项目管理人的“好、坏”。★项目管理人的道德操守是“零限度”，即风险承受度为零，一票否决。项目管理人的道德操守有问题是最大的风险。对人辨识不清，用人不慎则会产生纯粹风险，项目再有投资价值也不能获得成功。选择了“好人”，项目本身也有投资价值，风险投资才能带来机会收益，国内外无数事例反复证明了这一点。建立全面风险管理的评价标准1.企业全员树立风险意识，努力使风险意识印在脑海里，溶化在血液中，落实在行动上。风险意识是企业家的第一素质。“企业家是一个经营冒险事业的组织者，是组织、拥有、管理并承担这一事业全部风险的人。”2.企业对标：与《指引》对标；与国内风险管理标杆企业对标；与国际同行业企业对标。3.没有意料之外，为意料之中做好了准备。13/141关于章节的设置及逻辑关系第一章总则（总体要求和原则）第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化文化第十章附则（有关说明）注：其中第四章风险管理策略也是风险管理体系的组成部分流程、体系体系14/141第一章总则（10条）目的依据适用范围督导实施风险、全面风险管理、内控系统定义基本流程总体目标实施要求15/141第二章风险管理初始信息（7条）◇收集初始信息及职责分工◇战略风险信息◇财务风险信息◇市场风险信息◇运营风险信息◇法律风险信息◇信息筛选、提炼、对比、分类、组合16/141第三章风险评估（８条）●风险评估范围、步骤●风险评估的实施●风险辨识、分析、评价●定量分析和定性分析方法●分析风险之间关系●绘制风险坐标图17/141第四章风险管理策略（５条）☆风险策略定义☆风险偏好、承受度，风险管理有效性标准☆风险承担、规避、转移、转换、对冲、补偿、控制风险管理所需人力和财力资源配置原则☆风险与收益平衡原则☆评估风险管理策略18/141第五章风险管理解决方案（５条）对各类风险或每一项重大风险制定方案方案包括：☆外包方案☆内控方案☆内控措施内容☆方案的组织实施19/141第六章风险管理的监督与改进（６条）▲监督与改进的重点▲监督与改进的方法▲监督与改进的基础▲其他业务部门和单位的自查与检验▲风险管理部门履行的检查与检验▲内部审计部门评价▲外部中介机构评价20/141第七章风险管理组织体系※组织体系框架内容※规范公司法人治理结构※外部董事、独立董事制度※董事会风险管理职责※风险管理委员会组成和职责※总经理风险管理职责※风险管理职能部门职责※审计委员会和内审单位风险管理职责※其他职能部门和业务单位风险管理职责※指导和监督子企业建立风险管理组织体系21/141第八章风险管理信息系统（６条）■风险管理信息系统涵盖的范围和内容■系统数据和风险量化值的要求■风险管理信息系统功能■风险管理信息系统的稳定和安全■风险管理信息系统的建设22/141第九章风险管理文化（７条）◎风险管理文化与企业文化◎董事会、总经理和重要管理人员在风险文化建设中的地位和作用◎风险管理文化与道德诚信、合法合规◎风险管理文化与风险意识、风险管理责任◎风险管理文化与薪酬制度、人事制度◎风险管理文化与风险管理培训23/141第十章附则（５条）★未设立董事会的国有独资企业，经理办公会议代行本董事会职责，总经理对本指引的贯彻执行负责★中央企业投资、财务报告、衍生产品交易等方面的配套文件另行下发★有关《附录》和解释的说明24/141附录风险管理４种常用技术方法《指引》中涉及的风险管理专业术语解释25/141中央企业全面风险管理指引第一章总则26/141第一条《指引》的目的、起草的依据第二条《指引》的执行对象、督导和实施第三条风险的定义和分类第四条全面风险管理的定义第五条风险管理基本流程第六条内部控制系统的定义第七条全面风险管理总体目标第八条正确处理控制风险与抓住机遇的关系第九条开展全面风险管理的原则、重点、步骤第十条全面风险管理工作与其他管理工作的关系中央企业全面风险管理指引27/141第一条：《指引》的目的、起草的依据为指导国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称中央企业)开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规，制定本指引。28/141第二条：《指引》的执行对象、督导和实施中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施；国有控股企业由国资委和国资委提名的董事通过股东（大）会和董事会按照法定程序负责督导本指引的实施。29/141第三条：风险的定义和分类本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。30/141第四条：全面风险管理的定义本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。31/141第五条：全面风险管理基本流程收集风险管理初始信息进行风险评估提出和实施风险管理解决方案进行风险管理的监督与改进持续培训，提高风险意识高层重视、项目纳入年度管理计划制定风险管理策略32/141第六条：内部控制系统的定义本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。33/141内控体系建设:全面风险管理的必要举措™内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措™一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程34/141内控系统的历史发展35/141•美国COSO组织（美国审计师协会、美国注册会计师协会等五个民间团体共同成立的组织）的内控整体框架对世界各国公司立法和管理影响巨大.•1992年9月，COSO委员会正式发布了四份COSO报告，即管理者要览、框架、对外报告和评估工具。•1994年7月，COSO委员会发表了对外报告补充规定，将与保障资产安全有关的控制纳入了对外披露的范围。•美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求经营财务合规监控信息沟通控制活动风险评估控制环境单位1单位2流程1流程2•内部控制的概念始于上一世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容内控设计的基本原则ƒ全面性–覆盖企业所有重要业务及管理流程和流程的全过程ƒ系统性–按统一原则制定，与风险策略一致ƒ合规性–符合国家有关法律法规ƒ成本效益–控制与收益平衡ƒ权力分离及相互制约–岗位之间相互制约，重要流程及决策不能由一个人完成ƒ可操作性–