内部风险控制

风险评估与内部控制体系2014年6月26日目录企业债券销业务介绍1如何进行风险评估1企业债券销业务介绍1风险管理组织架构的建立5企业债券销业务介绍1风险评估的意义与注意事项2企业债券销业务介绍1风险评估后续工作如何展开4企业债券销业务介绍1风险评估的基本方法与技巧3企业债券销业务介绍1建立监督体系的常用方法6如何进行风险评估中国古代风险管理思想►天有四缺，水旱饥荒，甚至天时，非务积聚，何以备之。-夏朝《夏箴》►未雨绸缪►防微杜渐►孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。故经之以五事，校之以七计，而索其情。-孙子兵法风险管理流程识别风险评估及衡量汇报及监督持续监督和汇报有关內控的运作我们如何控制这些风险?我们面对什么风险?这些风险对公司有多大影响?控制风险风险评估的基本工作流程风险评估的意义与注意事项为什么要实施风险管理内部需求外部需求►消除问题与隐患►改善业务►监管机构：合规要求►投资者/债权人/评级机构：防范风险的需求企业目标好像是些多余的考虑，但一旦问题出现…我们如何能把工作做的更好消除问题与隐患改善业务发现以前年度财务报表的错误公司资产与价值的损失灾难性的名誉损失更高额的罚款与赔偿对公司董事与管理层的刑事起诉更多以及更严格的需遵守的法规有效地运用科技手段协同的风险控制工作完善的业务流程变革的有效执行优化控制完善风险汇报与披露为什么要实施风险管理（续）对于内部控制更广泛的监管要求风险管理与内部控制工作优化的迫切需要基层对复杂的业务流程及内控的认同内部控制走“形式化”，责任体系不明确等情况的存在系统改变及业务改变为流程优化带来机会企业内外部环境的更多风险因素风险管理与内部控制的提升改善业务风控水平提升是企业的内在需要►企业竞争力就是企业各种能力的综合体现，并不仅指企业的盈利水平，而是表现为企业长期的生存和发展能力；►提高企业竞争力的一个重要方面就是要提高企业的风险控制能力；►企业在发展过程中，不能出现毁灭性、难以挽回的重大风险损失，这是企业竞争力的重要基础；►企业在发展过程中，若遭遇难以承受的重大风险损失，倒闭也就是一夜之间的事。重多失败案例已经反复证明了这一点。所以：完善的企业风险管理，是企业竞争力的重要组成部分。•82%的机构投资者表示他们愿意为那些能够展示其有效风险控制的企业付出溢价。•61%的机构投资者表示他们没有对那些风险控制不善的企业进行投资。根据对全球137家主要机构投资者的调研对风险管理工作的市场调研国际资本市场的看法安永全球调查显示：由于风险管理上的失误要求更换有关的高级管理层因为风险管理不力而不进行投资因为风险管理不力而撤回或出售投资对有关企业的风险管理程序施加一定的压力受访者百分比（137）投资者愿为成功管理风险的企业付出溢价安永在全球范围内进行了“关于风险管理、内部控制与市场反馈”的调查，共有137家潜在投资者接受了安永的采访。同意不知道不同意优化流程和改善内控更好地去理解企业面对的风险更好地去滿足合规要求改善财务报告职能更有效去应对转变更有效地利用IT投资有利并购整合加强投资者对企业的信心改善资本投资的执行情況对风险管理的投入会给企业帶来的价值成功的风险管理能够给企业带来多重价值国内企业风险管理工作的现状中国企业风险管理实施最大的困难实施企业风险管理的过程中，您觉得会遇到最大的困难是什么？1.我又不懂业务，我怎么知道风险在哪里！2.要我想出风险对策来，太难了吧！3.领导指责我没找到某个风险，批评我们工作的有效性……4.我让别的部门这么做，他们根本没功夫理我！5.要我监督所有的整改情况，还要监督其他部门日常工作中的执行情况，人手根本不够啊！6.上述情况我全都遇到过！7.哪里止这些困难呀，还多着呢！我实在头疼死了！8.以上情况我们企业都不存在。中国企业风险管理实施最大的困难–管理层在初期对内部控制非常关注，但看不到内部控制对管理的提升作用–各个部门更关注如何加强自己的控制，可能影响其他部门的工作–内部控制大多关注财务的内容，业务部门不感兴趣–风险评估与管理如何落到实处–“内部控制变成了签字运动”–“内部控制关注的是细枝末节的问题，还是没有解决问题”–“内部控制评估工作没有价值，影响工作效率”风险管理的常见问题风险管控体系的发展趋势►多种风险控制的“融合”►从人工的流程控制活动到自动控制与企业层面控制►建立共享服务中心，通过系统、流程和地域的集中加强控制，提高效率►将内部控制扩展到整个企业►通过IT手段，实施实时控制监控风险管理的定义美国内控研究委员会的定义企业风险管理是一套由企业董事会与管理层共同设立、与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。国资委《中央企业全面风险管理指引》的定义企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理的概念外部合规及监管的要求►风险管理基本流程主要工作►收集风险管理初始信息（第二章）►进行风险评估（第三章）►制定风险管理策略（第四章）►提出和实施风险管理解决方案（第五章）►风险管理的监督与改进（第六章）►其他►风险管理组织体系(第七章)►风险管理信息系统(第八章)►风险管理文化(第九章)中央国资委风险管理指引风险评估的基本方法与技巧企业往往按照自身业务的性质和管理风险的方法，来确定风险的类别►按整合风险的框架将企业风险分为经营风险、行为风险和管理风险；►按实体内容将风险分为营销风险、新品开发风险、品牌风险、组织架构风险、内部控制风险、信息风险、财务风险、法律风险等；►风险一般被分为三级：风险组别、风险类别、风险子类，每一个风险子类又包含众多的风险驱动因素。对于风险的定义主要是针对风险子类的。适合自己的才是最好的！1.识别风险－风险类别风险类别可以按不同纬度区分风险类别发生环节如体制风险、战略风险、财务风险、市场风险法律风险等纯粹风险和机会风险，如舞弊风险与投融资风险风险后果影响范围发生原因总体风险和局部风险，如：战略风险与应收帐款风险可预测与不可预测风险，如体制风险与意外事故1.识别风险－风险类别风险类别-摘自国资委《中央企业全面风险管理指引》风险类别定义战略风险企业在战略的制订和实施上出现错误，或因未能随环境的改变而作出适当的调整，从而导致损失的风险。财务风险企业在融资、会计核算与管理以及会计或财务报告失误而对企业造成的损失的风险。市场风险没有或不能及时根据市场等外界条件变化而使企业产生经济损失的风险。运营风险企业内部流程和系统、人为或外部因素而给企业造成损失的风险。法律风险企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失的风险。1.识别风险－风险类别►战略风险是指企业在战略的制定和实施上出现错误，或因未能随环境的改变而作出适当的调整，从而导致经济上的损失►常见的战略风险包括：企业经营目标与方针的制定市场定位业务的范围(深度与广度)品牌及形象的建立风险分类－战略风险与战略性伙伴的合作投资和融资的策略公司治理结构与股东和市场利益相关者的关系1.识别风险－风险类别►财务风险是指市场或信贷的因素给企业造成的经济损失，也包括因会计或财务报告失误而造成的损失►财务风险包括：市场风险信贷风险资金结构与流动性风险会计及财务报告风险风险分类－财务风险1.识别风险－风险类别►合规风险是指企业因违反法律法规而使企业遭受产生经济损失的风险。合规性风险也包括企业因未能遵守内部的规章制度而遭受损失的风险风险分类－合规风险1.识别风险－风险类别►运营风险是指企业内部系统和流程、人为或外部因素而给企业造成的经济损失►流程风险是指交易流程中出现错误而导致损失的风险►系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险►人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而导致损失的风险►事件风险是指因外部因素(包括欺诈)、市场扭曲、人为或自然灾害而导致损失的风险风险分类－运营风险1.识别风险－风险类别►了解企业风险的前提是获得与风险相关的资料，理解风险的种类、性质、原因等等，通过系统全面的收集风险相关的信息，为有效地开展下一步的风险评估工作奠定基础►各业务部门作为风险管理的第一道防线，应承担起收集初始信息的职责►通过在各个相关部门开展收集风险管理初始信息工作，不仅起到对员工培训的作用，可以实现有效帮助在企业内部建立起企业风险管理文化，提升员工和管理层的风险意识2.收集风险信息信息收集是一个广泛、持续的过程，因此可以考虑融入到企业日常的工作当中，保证信息收集的及时性，提高风险应对能力关于风险信息收集和管理办法，企业可以从以下三点来实施：►制订信息收集的方法，如对内部讨论、数据收集、外部沟通等方式获取信息做出指引►由于信息的多样性及涉及部门与单位的广泛性，应建立规范流程与标准模板，便于对信息进行系统筛选、提炼、对比、分类和组合►建立风险信息收集的汇报与监督机制2.收集风险信息采用定性、定量的方法，通过对风险的辨识、分析与评价，根据风险的度量标准与模型，考虑风险之间的关系，确定企业重大风险。但仅仅知道风险是不足够的，企业必须对风险进行管理，将风险损失降到最低。目的评估工作成果►评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图；►对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。►风险坐标图►管理风险的应对方案3.风险评估►分析风险－根据既定的标准，评估风险可能造成损失的程度和发生的可能性；►评价风险－对各风险的重要性达至共识；►对风险并进行排序►制定风险应对方案风险影响程度风险发生可能性3.风险评估3.风险评估评分12345标准极低低中等高极高举例（注）发生概率基本不可能发生不太可能发生一般有可能发生很有可能发生常常会发生（≤10%）（10%≤30%）（30%≤60%）（60%≤90%）（90%）发生周期今后10年内发生的可能少于1次今后5－10年内可能发生1次今后2－5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次风险发生的可能性：由低到高分为极低、低、中等、高、极高五个等级，可以从风险发生的概率或周期等方面考虑；需要注意的是实际判断级别的标准必须根据公司的经营实际状况进行调整，特别是标注“*”处的准则3.风险评估风险发生的影响程度由低到高分为极轻微、轻微、中等、重大、灾难性的五个等级，可以从其对战略、财务、管理、法律、公司声誉以及工程项目的进度、安全、质量等方面考虑。评分12345标准极轻微轻微中等的重大的灾难性的举例（注）战略声誉负面消息在企业内部流传，企业声誉没有受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息在全国各地或流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害对公司发展战略的影响只需作有限的必要调整面临经营计划和执行的优化或调整面临以下情况：高级管理层中一个或更多人员的变化，经营计划和执行的重大变化等面临以下情况：高级管理层中两个或更多人员的变化，财务重组，战略计划的重大变化等面临潜在的收购或破产进行风险辨识、分析、评价，应将定性与定量方法相结合►定性方法可采用问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、行业标杆比较、调查研究等►定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。3.风险评估►定性-问卷调查(网上调查)对流程/风险的负责人和/或高管层进行风险评估问卷调查►定性-访谈与流程/风险的负责人和/或高管层进行一对一的讨论►定性-集体讨论由专人主持之研讨，