王文峰风险评估(上)

CERMCERMCERMCERM王文峰北京交通大学经济管理学院，工商管理博士后西北大学经济管理学院，经济学博士内部资料请勿外传风险风险评估评估©2014CERM版权所有CERMCERMCERMCERM前言风险评估是一门“学问”，就是学会问问题。问三个问题：1.风险是什么？2.贵公司有哪些风险？3.风险有多大？风险评估是企业风险管理的核心，是风险管理技术的集中体现风险评估技术与风险管理信息系统的结合，是风险管理的主要工具和方法。掌握企业风险分类以及风险评估技术是本课程的要求掌握风险评估的一般方法或模式，会撰写风险评估报告1CERMCERMCERMCERM风险评估工作试图回答以下基本问题：会发生什么以及为什么会发生(通过风险识别)？后果是什么？这些后果发生的可能性有多大？是否存在一些可以减轻风险后果或者降低风险可能性的因素？风险等级是否可容忍或可接受？是否要求进一步的应对和处理?2CERMCERMCERMCERM2012年10月24日，标准普尔发布《中国100大企业》报告，报告指出，107家大型企业中有70多家企业财务风险处于“较大”水平以上。其中，中国国航、中国远洋、首钢集团和铁道部等17家企事业单位被评定为财务风险“极大”；中国铝业、中国中铁、中粮集团等33家企业被评定为财务风险“很大”；鞍山钢铁、中国航空工业、光明食品等22家企业被评定为财务风险“较大”。财务风险极低较低中等较大很大极大123456业务状况卓越出色较好一般疲弱极弱1234563CERMCERMCERMCERM公司名称业务状况财务风险中国国航3较好6极大中国远洋3较好6极大中国首钢集团3较好6极大冀中能源集团有限责任公司5疲弱6极大中国铁路总公司2出色6极大中国铝业3较好5很大中国中铁4一般5很大中国五矿集团3较好5很大中粮集团2出色5很大鞍山钢铁3较好4较大中国航空工业2出色4较大中国机械工业集团3较好3中等4CERMCERMCERMCERM5CERMCERMCERMCERM目录1.风险管理概论2.风险评估概论3.风险评估流程3.1风险描述3.2风险分类3.3风险识别3.4风险分析3.5风险评价3.6风险图谱4.风险监测5.风险策略6.风险报告6CERMCERMCERMCERMI.风险管理概论1.1风险管理的历史发展1.2认识风险的危害性1.3风险定义1.4全面风险管理体系1.5全面风险管理的优势7CERMCERMCERMCERM1.1风险管理的历史发展在中国，“君子不立于危墙之下”和“千金之子，坐不垂堂”，都说了两个方面的意思：一是防患于未然，预先觉察潜在的危险，并采取防范措施；二是一旦发现自己处于危险境地，要及时离开。在西方,风险管理的思想最早可以追溯古埃及的互助组织和船货抵押贷款，但风险管理的概念及理论的明确提出，一般认为开始于20世纪初。1602年，荷兰成立了股份制公司——东印度公司，到海外开拓殖民地，进行贸易活动，为筹措资金，规避风险，东印度公司开始向社会发行股票。通过这种方式，风险不仅能够被分摊开来，即多个人来共同承担一个风险，而且入股人还能随时出售股份来撤消投资而不会威胁到公司的存在。09:10:408CERMCERMCERMCERM1921年美国经济学家佛兰克.奈特在他的《风险，不确定性和利润》一书中，对风险做出了经典的定义：“风险是可测定的不确定性”，从此风险管理的研究及应用，便在这样的理论框架下拉开序幕。20世纪30年代到50年代对证券市场长短期债券利率风险的研究，是金融风险管理最为早期的研究成果，1952年美国经济学家Markowitz在他的《资产组合的选择》一文中，将统计学中期望与方差的概念应用到资产组合问题的研究中，提出用资产收益的期望来度量预期收益，用资产收益的标准差来度量风险，将风险数量化。20世纪80年代，在债务危机的影响下，银行普遍开始重视对信用风险的防范和管理，1988年《巴塞尔协议》的诞生标志着以不同类型资产规定不同权数来量化风险，进行银行信贷风险的分析。09:10:401.1风险管理的历史发展9CERMCERMCERMCERM-实物牵制-薄记牵制保护现金和资产安全及账簿记录的准确性COSO内部控制整体框架COSO企业风险管理整合框架内控评价内部审计~1940’s1940’s~1970’s1980’s~1990’s1990’s21世纪内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性-控制环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息沟通-监督每个阶段都不是对前一阶段的否定,而是在其基础上的提升1.1风险管理理论发展-风险管理和内控的总体演进10CERMCERMCERMCERM风险管理与内控在国内的发展2005年年初和年中，国务院两次做出加强内控的批示，要求财政部牵头，国资委、证监会配合，加快出台内控指引。由此，国内内控体系建设的进程开始提速。2006年6月，上交所发布《上市公司内部控制指引》。2006年7月，财政部成立企业内部控制标准委员会。2006年9月，深交所发布《上市公司内部控制指引》。2008年6月，财政部发布《企业内部控制基本规范》，并同时发布应用指引、评价指引、鉴证指引的征求意见稿。2006年6月，国资委发布《央企全面风险管理指引》。2009年1月，财政部发布应用指引及评价指引征求意见稿。2007年3月，财政部发布基本规范及17项具体规范征求意见稿。2010年4月，财政部发布应用、评价、审计3项指引。2011年4月，证监会发布上市公司实施内控规范监管问题解答。2011年11月，中注协印发企业内控审计指引实施意见。2012年1月起，在上海证券交易所、深圳证券交易所主板上市公司施行右表记录了中国内控监管要求发展过程中的一系列重大事件，从2005年国务院下发指示精神以来，到内控标准委的成立，再到内控要求的持续出台，中国内控监管要求的发展体现出由宏观到微观、推动频率由快到密集的总体趋势，监管机构的推动力度和决心逐年持续加强，大中型企业尤其是上市公司的内控合规工作已经势在必行。11CERMCERMCERMCERM世界500强企业ERM建设程度实施情况2001年2004年2011年完整的ERM体系11%38%91%部分的ERM体系38%35%9%计划实施ERM体系22%16%/正在调研ERM体系20%6%/没有计划ERM体系9%4%/风险管理的历史发展12CERMCERMCERMCERM风险管理FAQ(FrequentlyAskedQuestions)我们的主要风险来自外部，如政策、市场环境、法律等，多数是我们不可控的。我们能做什么？我们已经有了很多制度、流程，没有出过大问题、还需要建立全面风险管理体系吗？我们多年来采取了各种管理手段，建立了各种体系，都没管好风险。全面风险管理体系能管好吗？我们过去的成功主要得益于一把手的远见、洞察力和经验。有了全面风险管理体系后，会影响这些作用的发挥吗？风险管理涉及面广，太复杂，如何入手？何时见效？13CERMCERMCERMCERM企业的重大损失甚至倒闭都是由于不良的风险管理所造成。中航油中储棉安然巴林银行风险长虹(应收帐款)世通德隆大宇集团(盲目扩张\假账)八佰伴安达信1.2认识风险的危害性——不良风险管理的后果美国国际集团（AIG）雷曼兄弟6.3吉林特大火灾14CERMCERMCERMCERM蝴蝶效应一只蝴蝶在巴西轻拍翅膀，可以导致一个月后德克萨斯州的一场龙卷风。未来的本质特征：不确定性蝴蝶效应通常用于天气、股票市场等在一定时段难于预测的比较复杂的系统中。它告诉我们：事物发展的结果，对初始条件具有极为敏感的依赖性，初始条件的极小偏差，将会引起结果的极大差异。在企业中，各职能部门/单位是为领导决策服务的，无论哪个岗位，无论哪一个人，其工作作风如何，对部门、对集团都会产生重要影响，具有全局性、导向性、榜样性。15CERMCERMCERMCERM1.3风险的定义《中央企业全面风险管理指引》“第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。”《风险管理原则与实施指南》（中国国家标准GB/T24353-2009）“风险是不确定性对目标的影响。”国际标准ISOGuide73&ISO31000“风险是不确定性对目标的影响。”16CERMCERMCERMCERM我不害怕赔钱，但害怕不确定性。——乔治·索罗斯风险与知识呈反向变化。——欧文·费雪（IrvingFisher）,《利息论》（1930年）企业所面临的风险究其本质，是一项成本，只不过这项成本不一定发生，有其偶然性和不确定性。——CERMCERMCERMCERM18什么是风险？可能的实际行为目标行为情景分布时间经营指标0T风险是未来的不确定性对企业实现其既定目标的影响。CERMCERMCERMCERM19现代企业的风险特点风险因素和风险事件的不确定性程度加大•高盛、美林、摩根斯坦利、贝尔斯登、雷曼兄弟等投行的兴衰风险的复杂性以及风险之间关系的复杂性在增加•“蝴蝶效应”·冰岛火山灰新的风险因素和风险事件层出不穷•1997年亚洲金融危机——韩国大宇、香港百富勤、日本八佰伴……•2001年美国9.11事件•2003年“非典”•2005年“吉化事件”•2008年中国南方雪灾•2008/2009全球金融危机•2010年高盛欺诈丑闻•2010年希腊债务危机•2010年渤海湾绿藻蔓延事件传统的风险威胁依然存在•2010.1湖南立胜煤矿电缆起火事故•2010.3河南伊川煤矿煤与瓦斯突出事故•2010.3山西王家岭透水事故•2010.4美国西弗吉尼亚州煤矿爆炸事故•2010.5俄罗斯拉斯帕德斯卡亚煤矿爆炸事故•2010.5贵州远洋煤矿煤与瓦斯突出事故CERMCERMCERMCERM201.盈利增长2.销售增长3.盈利一致性4.资本回报5.技术成本6.成本控制7.人力成本8.法律法规变化9.产品定价10.投资管理1.企业声誉受损风险2.商业活动中断风险3.第三方责任风险4.供应链失灵风险5.市场环境风险6.法律法规变化风险7.人才短缺风险8.金融市场波动9.应急计划失败10.并购风险20012007目前企业面临的风险—国外企业十大风险变化1.世界经济减速风险2.法律法规变化风险3.商业活动中断风险4.竞争加剧风险5.商品价格风险6.企业声誉受损风险7.现金流风险8.供应链风险9.第三方责任风险10.人才短缺风险2009•从绩效指标到动因•从内部到外部•从局部到整体•系统性风险加大•声誉风险凸显•依然非传统风险CERMCERMCERMCERM信息来源：中央企业2008年风险管理年度报告中央企业的十大风险21CERMCERMCERMCERM22全面风险管理体系建设势在必行途径：建立长效机制强化方法手段提升文化意识CERMCERMCERMCERM23如何建设风险管理体系-从动因来看在建立风险管理体系之前，企业为了实施管理，已经有：——制度体系，表现为制度汇编，涵盖了企业的很多重要业务——约束性文件，尤其在国企起到规范和要求作用——专项管理体系，例如ISO质量管理体系、安全管理体系等——业务或技术手册等1、以上所述都是风险管理体系的组成部分2、上述制度、体系、手册等在运行过程中也起到控制风险的作用结论：在建立风险管理体系之前，风险管理体系已经存在了CERMCERMCERMCERM问题的提出24风险管理体系本来就有，为什么还要建立全面风险管理体系？CERMCERMCERMCERM25企业自有风险管理体系的不足自有风险管理体系：建立ERM风险管控体系之前，企业在正常的管理实践中形成的控制体系，也可以称为传统的风险管理自有风险管理体系的不足：1、从其产生过程看，不系统，欠公允——一般是管理中出了问题，或者某方面管理很薄弱，然后催生制度的产生，这些问题只是企业面临的风险中的一部分，也可能不是重要风险，所以不系统。——很多情况下，制定制度的需求由一个人或几