央企全面风险管理培训——06 第五章 风险管理解决方案(吕多加)

风险管理解决方案2006年8月《中央企业全面风险管理指引》辅导班2中央企业全面风险管理指引第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则引言这里介绍的内容涉及的主要章节3内容概括1.逐条解释指引第五章有关内容的要点2.进一步叙述风险管理解决方案，重点讲解内部控制4制定风险管理策略后的逻辑步骤按照风险管理的基本流程，制定风险管理策略后的工作是制定实施风险管理解决方案，也就是，执行前一阶段制定风险管理解决策略，进一步落实风险管理工作监控改进制定风险管理策略风险评估1.2.5.4.3.信息沟通贯穿始终制定实施解决方案建立初始信息5第五章风险管理解决方案综述本章即指引第三十一条至第三十六条的内容：•提出风险管理解决方案•风险管理解决方案的组成部分•外包风险管理解决方案的注意事项•内部控制的原则•内部控制的内容•提出落实的要求6第五章风险管理解决方案第三十一条企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。•企业应根据面临的风险制定解决方案•解决方案的组成部分包括目标、组织、范围、实施条件、手段和工具7解决方案风险管理解决方案分外部和内部解决方案内部解决方案是前面所说风险管理策略的实施，是全面风险管理体系的运转。因此，在具体实施中，一般是以下几种手段的综合应用：•风险管理策略；•组织职能；•内部控制，包括政策、制度、程序；•信息系统，包括报告体系；•风险理财。8关键风险指标管理•关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法•关键风险指标管理可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险•假设公司现在关心的主要目标是年度盈利指标•影响年度盈利指标的风险因素有许多，包括年度销售额、原材料价格、制造成本、销售成本、投资收入、利息、应收账款等9量化风险指标具体操作步骤：1.分析风险成因，从中找出关键成因。2.将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。•经过数据分析，认定影响盈利的主要风险是信用风险，其代表性的风险事件是客户还款不及时，导致应收账款大量增加•进一步量化，得到月度坏账损失额、每日未回收的应收账款和客户结构变化率等三个量化指标，并得出预警值10建立预警系统具体操作步骤：3.以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标4.建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息0204060801001月2月3月4月月度坏账损失额135万150万每日应收未收账款167万190万客户结构变化率35%40%11监控实施预警措施具体操作步骤：5.制定出现风险预警信息时应采取的风险控制措施6.跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施风险事件不需要关注风险预警，需要关注重大风险，需要采取行动风险描述当前状态变化趋势采取行动完成时间控制目标对已明确风险事件控制失效新辩识出的风险事件未确定是否风险的潜在事件12关键风险指标的分解•企业目标的实现要靠企业的各个部门和业务单元共同的努力，同样，企业的指标要分解到企业的各个部门和业务单元。对于关键风险指标也是一样•但是，对于关键风险指标的分解要注意部门和业务单元之间的关系。这里的关键是从企业整体出发和把风险控制在一定范围内。切不可采用“最大化”的说法。比如，信用管理部门负责信用风险的管理，如果其强调最小化信用风险，紧缩信用，则会给负责扩大市场占有率和销量的市场和销售部门造成伤害，从而影响公司整体目标的实现•对于关键风险指标的分解，要兼顾各部门和业务单元的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单元间的协商13第五章风险管理解决方案第三十二条企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。•企业采取风险解决的外包方案应当注意的事项14风险管理外包的注意事项•企业经营活动外包是利用产业链专业分工，提供运营效率的必要措施•企业许多风险管理工作可以外包出去，如企业使用投资银行、信用评级公司、保险公司、律师事务所、会计事务所、风险管理咨询公司等专业机构，将有关方面的工作外包，可以降低企业的风险，提供效率•外包可以使企业规避一些风险的同时，可能带来另一些风险，应当加以控制15第五章风险管理解决方案第三十三条企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。•内控制定的原则16全面风险管理的必要举措内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，控制影响流程目标的各种风险的过程17内控系统的历史发展•美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大•美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求经营财务合规监控信息沟通控制活动风险评估控制环境单位1单位2流程1流程2COSO1992•内部控制的概念始于上一世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容18内控设计的基本原则全面性–覆盖企业所有重要业务及管理流程和流程的全过程系统性–按统一原则制定，与风险策略一致合规性–符合国家有关法律法规成本效益–控制与收益平衡权力分离及相互制约–岗位之间相互制约，重要流程及决策不能由一个人完成激励平衡–权责明确及奖惩结合信息反馈–内部控制应有自我调节功能可操作性–根据企业现有操作水平制定包容性–不致因个别环节失灵导致全系统失灵19内控的设计按照风险管理的基本流程进行：1)对象流程的环境信息，包括目标、全流程各个步骤、有关法规制度2)风险评估3)设计控制策略4)设计控制措施5)监控改进监控改进制定风险管理策略风险评估1.2.5.4.3.信息沟通贯穿始终制定实施解决方案建立初始信息20内控与流程再造•内控设计以流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程。必要时，建立相关的流程•完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，涉及内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分21流程风险控制点控制措施?流程的内部控制•流程是否存在•设计是否合理•职责是否明确•执行是否严格•奖惩是否明白•效果是否满意•关键绩效区•风险是否辨识•影响什么指标•影响哪些流程•影响哪些部门或哪一级企业•分析是否彻底•应对是否存在•设计是否合理•职责是否明确•是否经过检验•效果是否满意22萨班斯法案404条款的要求•在美国上市的中国公司应当遵守萨班斯法案的要求•萨班斯法案要求所有美国的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制•因此，满足萨班斯法案的第一步就是识别所有与财务报告有关的流程•外部审计师须对公司的财务报告流程的内部控制进行审计，并出具意见404条款-年度财务报告内部控制的公司管理层报告书•设立并维持了足够的财务报告内控体系；•财务报告内控体系有效性的评价；•为评价财务报告内控体系而采用的评价体系的说明。Sarbanes-OxleyActof200223第五章风险管理解决方案第三十四条企业制定内控措施，一般至少包括以下内容：(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；(二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；(三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；(四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；(七)建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；(九)建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。24内控的基本应对手段授权报告批准责任审计检查考核评价预警法律风险防范体系权力制衡内部控制的系统主要包括企业的过程、程序、政策、准则、方针、结构、规范25建立授权制度(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；•授权制度至关重要。要做到事事有授权，尤其是重大决策更是要明确的授权•授权应当遵循岗位分离的原则，授权范围要适当。不可过宽，过宽则内控失灵；不可过窄，过窄则影响效率•授权应当结合激励机制，明确授权的同时明确奖惩•信息系统在流程中的使用有助授权制度的刚性化26建立内控报告制度(二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；•内控报告制度是内控信息反馈原则的具体体现•内控报告制度是内控的有效性保证，其作用是使各级管理层和企业内外部的利益相关人能够及时得到企业的内控的真实信息•内控报告制度是风险管理信息沟通，其时间、频率、内容等应与针对的风险匹配27建立内控批准制度(三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；•内控批准制度是授权制度的表现•对内控所涉及的重要事项，如重大决策与重要信息的披露等建立明确的批准制度，使得流程的控制更加严密•要坚持风险控制与运营效率及效果相平衡的原则，对公司内控所涉及的事项进行分级、分类的管理，同时可利用信息系统提高运营效率28建立内控责任制度(四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；•内控责任制度应与内控授权制度配套，并配之以合理的奖惩措施•要明确每一个员工在内部控制中的责任及其奖惩，并严格执行。没有奖惩制度的责任会落空，不严格执行的奖惩制度也会落空•内控责任可能与业务无关，但同样需要考核29建立内控审计检查制度(五)建立内控审计检查