德勤：企业全面风险管理概述

0第0页企业全面风险管理概述德勤企业风险管理服务2007年3月1第1页风险及全面风险管理概述风险的一般概念全面风险管理的愿景全面风险管理的一般概念和内容全面风险管理的发展《中央企业全面风险管理指引》简介《指引》的定位和意义《指引》内容框架《指引》主要内容解读全面风险管理的实践国内外企业风险管理调查结果企业风险管理工作的开展培训大纲2第2页风险及全面风险管理概述风险的一般概念全面风险管理的愿景全面风险管理的一般概念全面风险管理的内容全面风险管理的发展和实践3第3页风险是未来的不确定性对企业实现其目标的影响。行为目标曲线可能路径的概率分布Y3Y2Y1Y0可能的实际曲线风险的一般概念？您所在公司的战略目标是什么？影响目标实现的不确定性因素有哪些？4第4页EIU（TheEconomistIntelligenceUnitLimited）关于未来经济、产业和公司发展趋势的调查显示：2005年-2020年这15年间，下述风险将对公司产生较大影响（单位：%）：2430261552039261241827202114173327176173430145162726201016322618813302920916272620101319222620122529241192932219923252815管理决策失误定价来自低成本市场的竞争顾客忠诚度下降经济衰退高素质员工的缺乏合规成本的增加政治和安全风险产品或服务商品化新技术突破产业整合生产力缺乏增长进入壁垒的降低1（很小）2345（很大）风险就在我们身边5第5页按行业划分的五大风险风险排序金融服务零售生产高科技/电信公共事业/能源化工/制药1市场风险股票、现金和利率的波动竞争风险宏观经济风险竞争风险市场风险商品价格的波动性环境风险2客户风险人才风险竞争风险客户风险合规风险合规风险3竞争风险操作风险操作风险合规风险竞争风险客户风险4宏观经济风险客户风险供应链风险人才风险客户风险研发风险5合规风险宏观经济风险人才风险供应链风险人才风险操作风险资料来源:EIU（TheEconomistIntelligenceUnitLimited）企业的风险6第6页企业的重大损失甚至倒闭都是由于不良的风险管理所造成。中航油中储棉安然巴林银行风险长虹世通德隆长期资本管理八佰伴安达信不良风险管理的后果7第7页全面风险管理的愿景KPI风险风险风险事件风险事件KPIKPI战略目标风险事件KPI风险风险风险事件风险事件KPIKPI战略目标风险事件战略目标/KPI分布目标1容易完成可考虑上调目标目标2不容易完成可考虑下调目标战略目标/KPI分布目标1容易完成可考虑上调目标战略目标/KPI分布目标1容易完成可考虑上调目标目标2不容易完成可考虑下调目标均值VaR目标均值VaR目标NORISKS,NORETURNS我们公司有什么风险？这些风险有多大？我们公司如何管理这些风险？我们管理是否有效？我们有多少把握能够达到我们预定的战略目标？98％，或95％？如果是98%，那么2%的可能性又意味着什么情况？这些意外情况对我们公司有什么样的影响？我们应该怎样应对这些情况？KNOWRISKS,KNOWRETURNS8第8页全面风险管理是使企业在实现其未来战略目标的过程中将市场的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。预测值时间经营目标经营目标可接受区间可能的实际值经营目标可接受区间不可接受不可接受全面风险管理为企业实现其经营目标提供合理保证。全面风险管理的一般概念9第9页执行层面目标财务报告风险应用范围企业整体和所有业务流程全面风险管理的内容：–是一个流程和方法–以企业战略为导向–辨识对企业有潜在影响的事件，并根据风险偏好管理风险–为企业管理层和董事会提供合理的保证风险管理贯穿在企业管理的每一个方面：–落实到企业作为一个整体和企业的各个业务流程–作为从董事会到高级管理层直至每一个员工的责任全面风险管理的内容10第10页全面风险管理不是独立于现有管理体系的另外一个体系全面风险管理是对现有数据的挖掘和利用全面风险管理是对现有管理体系的整合全面风险管理是对现有管理职能的强化全面风险管理的内容融入现有管理职能预算ISO9000投资规划全面风险管理与现有管理体系11第11页-实物牵制-薄记牵制COSO内部控制整体框架企业全面风险管理COSOERM框架内控评价内部审计~1940’s1940’s~1970’s1980’s~1990’s1990’s21世纪内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性-控制环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息沟通-监督风险管理的发展内部环境目标设置事件辨识风险评估风险反应控制活动信息与沟通监控战略经营报告合规总部分部业务单位附属机构12第12页时间机构/国家标准内部控制相关风险管理相关1988年BCBS《巴塞尔协议》金融业风险1992年COSO《内部控制—整合框架》内部控制1999年澳大利亚AS／NZS4360：1999企业风险2001年证监会证券公司内部控制指引内部控制2002年加拿大风险管理：决策者指南—加拿大国家标准企业风险2003年英国AIRMIC/ALARM/IRM标准企业风险2004年COSO企业风险管理—整合框架企业风险2004年BCBS巴塞尔协议Ⅱ（新巴塞尔协议）金融业风险2004年银监会商业银行内部控制评价试行办法内部控制2005年银监会商业银行市场风险管理指引金融业风险2005年香港会计师公会内部控制与风险管理的基本架构内部控制2006年国资委中央企业全面风险管理指引企业风险2006年上交所上海证券交易所上市公司内部控制指引内部控制2006年深交所深圳证券交易所上市公司内部控制指引内部控制未知财政部企业内部控制标准内部控制金融业风险企业风险全球主要风险管理标准路线图13第13页《中央企业全面风险管理指引》简介《指引》的定位和意义《指引》内容框架《指引》主要内容解读14第14页《中央企业全面风险管理指引》正式出台15第15页•中国风险管理的里程碑•站在全球企业管理的前沿•内容和要求基本超过目前资本市场的合规要求•对非央属企业也有很强的指导意义全面风险管理标准与实施情况《指引》的定位和意义16第16页目的：–明确要求中央企业要重视和开展全面风险管理；–明确什么是全面风险管理；–指导企业如何开展全面风险管理工作。主要内容：第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则《指引》的主要内容风险管理文化全面风险管理体系风险管理基本流程一个流程一个体系一种文化全面风险管理框架全面风险的目标五个目标17第17页全面风险管理的目标《指引》明确指出：企业开展全面风险管理要努力实现以下风险管理总体目标：参见《指引》第七条1.确保将风险控制在与总体目标相适应并可承受的范围内；2.确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；3.确保遵守有关法律法规；4.确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；5.确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。18第18页风险战略组织职能综合内控风险理财风险管理信息系统信息框架风险评估监控改进风险战略解决方案全面风险管理框架的结构+风险管理基本流程全面风险管理体系风险管理文化19第19页风险管理初始信息收集与风险和风险管理相关的内外部信息，并将其整理成可用于分析的形式，为风险评估和风险战略的制定奠定基础。综合信息框架战略类风险投资类风险运营类风险财务性风险风险现状及变化。。。。。。风险管理现状及变化。。。。。。。。。。。。。。。。。。。。。。。。风险文化风险理财风险管理成本与收益筛选提炼对比分类组合风险评估•不同类别收集的范围、方法、频率有所不同；•注重信息的系统、完整、真实、及时•程序规范、方法合理参见《指引》第二章20第20页风险评估是风险管理的基础，《指引》要求，“企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。”访谈研讨定性定量分析其他工具方法风险评估问卷调查风险图谱企业内外部资料分析风险库风险评估的方法风险评估的目的全面了解公司整体的风险现状，评估公司目前的风险水平。统一公司各个层面对风险的认识，形成一套通用的风险语言。找出公司在现有内外部环境、发展态势和管理水平下，对目标实现影响最大的风险，并进行管理优先排序。123风险评估的成果风险列表风险图谱重大风险模型参见《指引》第三章风险评估21第21页风险评估的步骤。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。risk1Risk2。。。。。。综合信息框架风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型。。。。。。。。。风险评估报告风险评估可分为风险辨识、风险分析和风险评价等几个步骤。22第22页风险图谱ⅠⅡⅢⅣ影响程度中高低中发生概率高低23172112161433113223056218281529361113424252026935331072732风险图谱示意展示风险评估结果的重要工具是风险图谱，通过分析公司的风险图谱，可以直观地看到公司的风险分布情况，从而确定风险管理的重要控制点和风险管理解决方案。风险图谱被两条“等风险线”分隔为“红灯区”、“黄灯区”和“绿灯区”：–处于“红灯区”的风险大多集中在第一象限，其发生的概率和影响程度均较高。公司应该根据风险的属性和风险管理偏好来选择风险管理方案；–处于“黄灯区”的风险，有两种情况：•处于第二象限的风险更多的是一些非常事件，但影响程度较大。对于这类风险，公司应该在采取防范措施的同时，制定应急计划；•处于第四象限的风险，其影响程度不是很高而发生概率偏高，这往往与日常经营和遵守法律方面的问题有关，这些风险的累计影响不可低估。对于这类风险要注意日常的管理和监控；–“绿灯区”中的风险大多集中在第三象限，是指那些发生概率和影响程度均不太高的风险，通常在目前可以接受。公司可以取消与此风险相关的、多余的风险控制措施，以减少成本和资源消耗以管理更重要的风险。风险图谱不是一成不变的，公司应该定期评估风险，动态地对风险图谱进行调整和更新。高风险中风险低风险23第23页现金流量表资产负债表损益表风险3风险1风险4风险2风险5*财务报表*风险调整前风险调整后风险影响现金银行存款……信用风险利率风险汇率风险10002000…………√√√√√资产负债表现金银行存款……15002300……风险的财务价值24第24页参见《指引》第四章企业使命风险管理策略风险应对策略风险偏好风险承受度战略风险管理策略是根据企业经营战略制定的全面风险管理的整体策略；风险管理策略在整个风险管理体系中起着统领全局的作用；风险管理策略在企业战略管理的过程中起着承上启下的作用。重大风险管理的目标风险管理策略25第25页风险偏好解决“公司愿意承担什么风险”的问题描述公司对待风险的基本态度和看法风险偏好的确定基于公司的使命、愿景风险承受度解决“公司能够承担多大风险”的问题描述公司能够承担的风险的限度风险承受度的确定可借助于模型的构建和公司基础数据的积累（历史经验）风险应对策略解决“公司如何管理风险”的问题阐述针对各类重大风险的应对策略：风险承担、风险规避、风险转移、风险转换……风险对策的确定基于风险评估和诊断的结果要根据风险与收益相平衡的原则以及风险的重要程度确定风险管理的优选顺序，重