搜索
全面风险管理模型2007年8月第2页COSO《企业风险管理整合框架》的背景•COSO内部控制框架的制定是针对上世纪八十年代的虚假财务报告和披露事件,当时普华永道参与了该框架的编制。自该框架在1992年发布以来,COSO一直致力于企业风险和管理相关领域的研究,包括金融衍生工具和财务舞弊等。•COSO《企业风险管理整合框架》的研究始于2001年。该框架的征求意见稿于2003年7月15日发布,通过一个为期90天的公开咨询期,于2004年9月29日发布。•普华永道再一次被邀请参与《企业风险管理整合框架》的研发工作。•整个报告分三个部分:内容摘要、框架、应用技术企业风险管理整合框架第3页什么是风险?企业风险管理整合框架危险坏的事情发生的风险结果的不确定性不能满足预期机会丧失机会第4页企业风险管理的定义:“企业风险管理是一个过程:它由公司董事会、管理层以及其他员工执行,适用于公司战略的制定和整个公司范围,用来识别可能对公司产生影响的潜在事项,并将风险控制在企业可以承受的水平以内,为公司目标的实现提供合理的保证。”COSO企业风险管理——整合框架,2004这个定义反映了几个基本概念。企业风险管理是:•一个过程,它持续地流动于主体之内;•由组织中各个层级的人员实施;•应用于战略制订;•贯穿于企业,在各个层级和单元应用,还包括:企业层面的风险组合观;•旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;•能够向一个主体的管理当局和董事会提供合理保证;•力求实现一个或多个不同类型但相互交叉的目标。企业风险管理整合框架第5页企业风险管理的定义:企业风险管理整合框架当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的昀优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以昀大化。企业风险管理包括:•使风险偏好和战略保持一致——在评估企业战略替代方案、制定相关目标以及建立管理相关风险机制的过程中管理层应考虑企业的风险偏好。•增强风险应对决策——企业风险管理提供了严密的方法去识别和选择可替代的风险对策,如规避风险、减少风险、分担风险及接受风险。•减少经营中的意外和损失——企业识别潜在事件并确立应对方法的能力得到增强,由此减少出现意外以及相关的成本或损失。•识别和管理企业总体层面的多重风险——每个企业都面对着无数个影响其组织内各个方面的风险;全面风险管理有助于企业有效应对相互关联的影响并整合应对多重风险。•抓住机遇——通过对潜在事件的全面考虑,管理层就可以识别并积极地实现各种机遇。•改进利用资本的效率——获得风险信息可以使管理层有效地评估总的资本需求并增强资本分配能力。第6页如何整合?目标可分为4类什么?8个相互联系的构成要素在哪?考虑到企业所有层面的行为4类目标,8个构成要素COSO企业风险管理框架战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境第7页COSO风险管理框架要素一:内部环境•树立风险管理的理念:这种理念认为无论是预期的还是非预期的事件都有可能发生•建立企业的风险文化•考虑企业的活动可能对其风险文化产生影响的所有方面企业风险管理整合框架战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境第8页COSO风险管理框架要素一:内部环境企业风险管理整合框架内部环境包括的要素:•风险管理理念•风险偏好•董事会•诚信和道德价值观•胜任能力•组织结构•权限和职责分配•人力资源制度战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境第9页COSO风险管理框架要素一:内部环境企业风险管理整合框架风险偏好在内部环境中扮演者重要角色:•风险偏好反映出企业风险管理的理念,影响企业文化和经营风格;•在制定企业战略时要对风险偏好加以考虑,战略应与企业风险偏好相一致。•风险偏好是按照企业的利益相关方的好恶调整的,应该由管理层来确定。•通过了解一个企业的企业风险概况、了解哪些领域企业愿意承担风险,哪些领域企业不愿意承担风险等方法都可以帮助理解一个企业管理层的风险偏好。形成风险偏好影响高中低可能性低中高超出风险偏好风险偏好内形成风险偏好影响高中低可能性低中高超出风险偏好风险偏好内第10页COSO风险管理框架要素二:目标设定目标制定是事件识别、风险评估和风险反应的前提。企业必须首先制定目标,在此之后,管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理•战略目标•经营目标•报告目标•合规目标企业风险管理整合框架第11页COSO风险管理框架要素二:目标设定企业风险管理整合框架制定战略和相关目标要考虑:•风险偏好•风险容忍度-风险容忍度是指在实现企业特定目标过程中对差异的可接受程度-风险容忍度应该是明确的、切实可行的、可以衡量的-风险容忍度应该整个企业的层面适当分配,以便于管理和监控-风险容忍度应该要企业内部外部的人都明确知道第12页COSO风险管理框架要素三:事件识别•区分风险和机遇-可能产生负面影响的事件为风险-可能产生正面影响的事件为机遇,这些机遇使管理层重新考虑战略的制定•包括识别发生在内部或外部的可能影响战略和目标实现的事件•考虑内部和外部因素如何相互关联,共同影响风险水平•识别的方法企业风险管理整合框架战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境危险坏的事情发生的风险结果的不确定性不能满足预期机会丧失机会第13页COSO风险管理框架要素三:事件识别企业风险管理整合框架基础设施因素资产可用性资产能力资本获取能力复杂性员工因素员工能力舞弊活动健康与安全流程因素生产能力设计执行供应商/相互依存性经济因素资本可供性信贷发行,信贷违约集中投资清偿债务金融市场失业竞争兼并/收购自然环境因素排放物和废物能源自然灾害可持续性发展政治因素政府更迭立法公共政策监管内部因素外部因素事件分类社会因素人口统计数字消费者行为公司身份隐私恐怖主义工艺性因素生产中断电子商务外部数据新发展的工艺技术因素数据完整性数据和系统的可用性系统选择技术开发技术采用维护第14页COSO风险管理框架要素四:风险评估•理解潜在的事件对企业目标有多大程度的影响,并从两个方面对风险进行评估:-发生的可能性-影响程度•明确用来评估风险以及用来衡量相关的目标-结合定性和定量两方面来评估风险-将时间和目标联系起来-从固有风险和剩余风险的角度来评估风险企业风险管理整合框架战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境第15页COSO风险管理框架要素四:风险评估影响高(2~3)•如果风险发生,对业务部门或和公司的财务影响是巨大的;•如果风险发生,对公司或业务部门的持续性或其战略和经营目标的影响是重大的;•如果风险发生,将产生重大的政治或社会方面的影响。中(1~2)•如果风险发生,对业务部门或公司的财务影响是重大的;•如果风险发生,对公司或业务部门持续性或其战略和经营目标的影响是中度的;•如果风险发生,将产生中度的政治或社会方面的影响。低(0~1)•如果风险发生,对业务部门或公司的财务影响是较小的;•如果风险发生,对公司或业务部门持续性或其战略和经营目标的影响是较小的;•如果风险发生,将产生较小的政治或社会方面的影响。可能性-危险等级描述信号高(25~100%)很可能•在一年期内可能发生;或•发生的可能性超过25%•在以后的十年内有多次发生的潜在可能性;•在过去两年曾经发生过;•由于外部影响对于本业务部门或公司是典型的。中(2~25%)可能•在十年的周期内可能发生;•发生的可能性低于25%(但是高于2%)。•在以后的十年内可能发生一次以上;•由于一些外部影响可能难于控制;•存在业务部门或公司内发生的历史。低(0~2%)不太可能•在十年的周期内不太可能发生;或•发生的可能性低于2%。•从未发生过;•如果发生会很令人奇怪。企业风险管理整合框架索引风险领域流程职责目标具体的风险或机会影响可能性A.3竞争对手市场竞争决策总经理保持竞争中的优势地位。由于竞争对手占取更大的保险市场份额,导致公司的市场份额萎缩。360%B.1.1业务保单接受和承保业管部保证保单上被保险人信息下准确性保单中,被保险人信息录入不准确。1.520%C.2.7业务报告纳税申报财务部会计核算部经理保证税务工作符合法律法规的要求。由于没有及时、准确的填制纳税申报表使企业遭受来自税收部门的罚金损失。0.55%B.1.16精算精算计算精算部保证精算计算依据的准确性从业务系统中提取的精算数据不准确,或者提取数字被非法修改。2.510%B.1.3业务网络监控和维护信息部通过对网络监控,及时发现网络问题,保证网络正常运没有发现网络故障或隐患。330%第16页COSO风险管理框架要素五:风险应对•确定并评估可能的应对风险的方法•根据企业风险偏好、潜在风险应对措施的成本效益来评价各种风险应对措施,以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性•基于对风险和应对措施组合的评估,选择并实施适当的应对措施•风险回应的四个选择:规避、减少、分担和接受企业风险管理整合框架战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境第17页COSO风险管理框架要素五:风险回应企业风险管理整合框架规避退出产生风险的各种活动。规避风险的例子可能有退出使用一条生产线、停止向一个新的地理区域市场扩大业务,或者出售公司的一个分支,剥离亏损业务,缩小经营规模减少采取行动减少风险的可能性或影响或两者。组织资源-主动预防-实时监控-进行控制分担通过将风险转移或者分担部分风险来减少风险的可能性和影响。保险、分担(合资、结盟、合作)、合同(外包/委托)、分散化、调期接受完全接受、设定损失目标和容忍水平、设定并监控关键风险指标、制定恢复计划、准备补救措施、事先筹措资金第18页COSO风险管理框架要素五:风险回应-举例企业风险管理整合框架规避风险—一个非盈利组织识别并评估了向其成员提供直接医疗服务的风险后决定不接受相关的风险。因此它决定,取而代之以提供咨询服务。减少风险—一家证券清算公司识别并评估了其系统超过3个小时不能工作的风险后作出结论:该公司不能接受出现这种事件的影响。因此它斥资改进技术,采用了增强型故障自检测和备用系统,以减少系统不可用的可能性。分担风险—一所大学识别并评估了与管理其学生宿舍有关的风险后作出结论:学校不具备有效管理这些大型住宅财产所必需的内部能力。因此该大学将宿舍管理外包给一家财产管理公司,因为它能够较好地减少与财产关联的风险的影响和可能性。接受风险—一家政府机构识别和评估了其在各种不同地理区域的基础设施发生火灾的风险,并评估了通过保险范围分担其风险影响的成本。其结论是:保险的增量成本及相关的应扣除保险额超出了更换设施的可能成本,因此该机构决定接受该风险。第19页COSO风险管理框架要素六:控制活动•确保风险应对措施和其他的企业目标有效执行的政策和程序•发生在整个企业的不同层次和不同职能部门中•包括应用控制和信息系统总体控制企业风险管理整合框架战略目标经营目标报告目标合规目标公司层面部门分、子公司业务单位目标设定事件识别风险评估控制活动信息和沟通监督风险应对内部环境第20页企业风险管理整合框架控制活动包括:按大类分,控制分为经营业绩的审核、信息处理的控制(应用控制与信息系统总体控制)、实物控制和职责分离等。具体控制活动包括:•审批•授权•核实查证•对帐,等等COSO风险管理框架要素六:控制活动第21页COSO风险管理框架要素七:信息和沟通•管理层以一定的形式在一定时限内识别、获取并沟通相关信息,使相关人员可以履行自己的责任•沟通在组织中更广泛的范围内,