复星国际风险管理培训――090327

复星国际—企业风险管理培训2009年3月27日复星国际企业风险管理培训第1页目录1.风险管理的框架22.如何建立风险管理体系123.风险管理的关键成功因素及限制334.风险管理工具—Resolver*Ballot的现场演示361.风险管理的框架复星国际企业风险管理培训第3页1.风险管理的框架（续）你认为对于满足审计委员会对内部审计的期望和要求，下列活动按照重要程度怎样排序?A.评估和报告内部控制缺陷B.评估和报告关键业务风险C.监控已发现缺陷的改进情况复星国际企业风险管理培训第4页安永的全球风险调研结果1.风险管理的框架（续）►企业在内部控制方面的投入更多；但是，尽管投入增加，业务部门并不认为他们的内部控制在各个方面都是有效的，特别是在运营与IT领域；►在内部控制方面的投入的确产生效益，特别是在提高运营绩效方面。因此，被访谈企业普遍计划在未来增加内部控制方面的投入；►企业普遍关注主要风险领域，大部分企业开展风险评估工作，进行内部控制监督与测试。很多企业在财务报告内部控制的投入超过了在运营及IT方面的内部控制投入；►内部审计人员需要在未来的时间内发展技能，如在IT审计、重大资本项目等。复星国际企业风险管理培训第5页1.风险管理的框架（续）投资者愿为成功管理风险的企业付出溢价安永全球调查显示：由于风险管理上的失误要求更换有关的高级管理层因为风险管理不力而不进行投资因为风险管理不力而撤回或出售投资对有关企业的风险管理程序施加一定的压力受访者百分比（137）2007年，安永在全球范围内进行了“关于风险管理、内部控制与市场反馈”的调查，共有137家潜在投资者接受了安永的采访。复星国际企业风险管理培训第6页1.风险管理的框架（续）企业的透明度企业长期业绩商业模式市场特征总的管理方式执行董事的业绩企业面对的风险的程度客户群/重复业务企业的风险管理方法董事持有股份非执行董事的素质受访者的百分比重（137）投资者愿为成功管理风险的企业付出溢价（续）安永全球调查显示：复星国际企业风险管理培训第7页1.风险管理的框架（续）标普将于2009年在评价企业时引入风险管理质量评分。拟定中的评价标准如下：►“薄弱的”–公司缺乏持续识别、衡量以及综合管理风险和降低损失的能力►“充分的”–公司具有基本的持续识别、衡量以及综合管理风险的能力，但风险管理还处于分散状态。►“较强的”–公司表现出一种全面的风险观，且能够在可容忍风险指导方针下持续识别、衡量及管理风险和预估损失的能力。►“极好的”–公司具有上述“较强的风险管理能力”，同时能够实现风险收益最优化。来源：Source:RequestForComment:EnterpriseRiskManagementAnalysisForCreditRatingsofNonfinancialCompanies,15November2007复星国际企业风险管理培训第8页►低层次/经营层次-风险监控是内部审计人员的职能►风险是一个需要控制的负面因素►风险管理在企业各部分个别展开►风险管理的责任被委派到低层次的人员►风险的衡量是主观的►无组织以及杂乱的风险管理职能传统的认识最佳实务及一些关键成功因素►风险管理是董事会的责任►风险也是一个机会(例:行业竞争导致收购行为)►以企业目标为主导►风险可以被量化►风险管理纳入企业绩效管理系统在现今企业管理模式中：1.风险管理的框架（续）复星国际企业风险管理培训第9页1.风险管理的框架（续）什么是风险管理？企业风险管理是一套由企业董事会与管理层共同设立、并与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管控到一个企业可接受的水平，从而帮助企业达至它的目标。美国内控研究委员会复星国际企业风险管理培训第10页风险管理流程汇报和监督现有及新出现的风险我们要怎样控制这些风险?我们面对哪些风险?这些风险的严重程度?识别风险评估及衡量控制风险汇报及监督风险管理方法1.风险管理的框架（续）复星国际企业风险管理培训第11页1.风险管理的框架（续）收益与营运毛利资产与资本管理收入与市场份额声誉与品牌使我们摆脱困境使企业做得更好企业战略企业的目标和计划管理层财务税务法律信息技术业务处理合规内审其它风险职能战略合规财务运营达到企业目标关键风险绩效合规风险管理活动风险管理综合覆盖与公司驱动力相结合内控新产品开发营运职能新业务拓展采购生产销售客户服务支持职能全局监控人力资源评估改善监督治理结构人力资源方法与做法监督和控制职能董事会执行管理层其它委员会审计委员会监控覆盖协调的“防线”安永的全面风险管理框架2.如何建立风险管理体系复星国际企业风险管理培训第13页风险识别及评估通过对风险的识别、分析与评价，明确企业主要风险及对这些风险进行评级。1现有风险管理及内控体系评价评价企业风险管理体系现状。按照COSO内部控制要求，对内部控制体系进行评估。2风险管理与内控体系完善与提升根据风险评估结果制定内审计划；将风险管理活动嵌入到现有职能和业务流程中，对重要风险管理组成部分进行完善与提升；针对内部控制缺陷进行整改；建立内部控制自我评估机制，形成内部控制的自我监督与管理3监督及汇报建立风险管理监督与汇报机制；完善内部审计职能；完善其他监督职能与工作4风险管理与内部控制相结合的实施模式2.如何建立风险管理体系评估改善监督复星国际企业风险管理培训第14页合规运营财务战略监管实物资产人力资源知识信息技术市场流动性与信贷会计和财务报告资本结构公司治理市场动态行为规范供应链并购合并投资者关系法律安永风险宇宙EYRiskUniverseTM2.如何建立风险管理体系（续）►「安永风险宇宙」把风险分为四大类：§战略风险§财务风险§合规风险§运营风险风险识别及评估1复星国际企业风险管理培训第15页►战略风险是指企业在战略的制定和实施上出现错误，或因未能随环境的改变而作出适当的调整，从而导致经济上的损失。►常见的战略风险包括：§企业经营目标与方针的制定§市场定位§业务的范围(深度与广度)§品牌及形象的建立§与战略性伙伴的合作§投资和融资的策略§公司治理结构§与股东和市场利益相关者的关系战略风险►运营风险是指企业内部系统和流程、人为或外部因素而给企业造成的经济损失。►常见的运营风险包括：§流程风险。例如：在销售流程中（包括定价、记录、确认、出货等环节）出错而导致损失的风险。§系统风险。例如：因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险。§人为风险。例如：因员工缺乏知识和能力、缺乏诚信或道德操守而导致损失的风险。§事件风险是指因外部因素(包括欺诈)、市场扭曲、人为或自然灾害而导致损失的风险经营风险风险举例风险识别及评估12.如何建立风险管理体系（续）复星国际企业风险管理培训第16页合规风险►合规风险是指企业因违反法律法规而使企业遭受产生经济损失的风险。合规性风险也包括企业因未能遵守内部的规章制度而遭受损失的风险。►财务风险是指市场或信贷的因素给企业造成的经济损失，也包括因会计或财务报告失误而造成的损失。►财务风险包括：§市场风险§信贷风险§资金结构与流动性风险§会计及财务报告风险财务风险风险举例（续）2.如何建立风险管理体系（续）风险识别及评估1复星国际企业风险管理培训第17页►企业必须认识本身所面对的风险，才能对其加以管理；►业务单位的管理人员最为了解企业的业务和管理流程，应被赋予识别和管理风险的责任和权力，包括执行自我评估的工作；►企业必须对重大风险的特性进行全面的了解，并加以记录，其中包括：§风险的描述；§风险的类别；§负责管理该风险的业务单位/职能部门及其负责人；§风险的成因。2.如何建立风险管理体系（续）风险识别及评估1复星国际企业风险管理培训第18页安永网上调查问卷工具EYSurveyor2.如何建立风险管理体系（续）实时投票ResolveBallot►技术工具►知识工具§行业知识§风险知识风险识别及评估1复星国际企业风险管理培训第19页►根据既定的标准，评估风险可能造成损失的程度和发生的可能性；►对各风险的重要性达至共识，并进行排序。风险影响程度风险影响程度风险发生可能性风险发生可能性影响程度十分轻微近乎没有1对于企业在争取完成其策略性计划和目标，只造成轻微影响（至1%税前利润）轻微2对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍（至5%税前利润）中等3对于企业在争取完成其策略性计划和目标，造成重大影响（5-10%税前利润）重大4令企业失去继续运作的能力（或占税前利润达20%）灾难5说明损失程度评分2.如何建立风险管理体系（续）风险识别及评估1复星国际企业风险管理培训第20页►根据既定的标准，评估风险可能造成损失的程度和发生的可能性；►对各风险的重要性达至共识，并进行排序。风险影响程度风险影响程度风险发生可能性风险发生可能性这项风险出现的可能性极低，估计在100年内出现的可能性少于1次极低1在未来10至100年内，这项风险可能出现至少1次低2在未来2至10年内，这项风险可能出现1次可能3在未来12个月，这项风险极可能出现1次极可能4在未来12个月内，这项风险几乎肯定会出现至少1次几乎肯定5说明可能性评分2.如何建立风险管理体系（续）风险识别及评估1复星国际企业风险管理培训第21页►对发生的可能性和影响程度进行评估以后，每个风险都可以在发生的可能性和影响程度组成的图表中显示相应的位置，该图表被称为风险坐标图。使用风险坐标图，可以将多个风险在平面上表示出来。业务单位X极高高中等低极低极低低中等高极高影响123可能性如左图中所示：§风险#1–显示低的影响程度（分值为2）及极低的发生可能性（分值为1），总分值为2x1=2；§风险#2–显示中等的影响程度（分值为3）及高的发生可能性（分值为4），总分值为3x4=12；§风险#3–显示极高的影响程度（分值为5）及极高的发的可能性（分值为5），总分值为5x5=25。2.如何建立风险管理体系（续）风险识别及评估1复星国际企业风险管理培训第22页►在识别重大风险后，管理层需要透过风险与控制自我评估来考虑企业对每一个风险的相关内部控制措施的有效性，以辨识需要予以优先处理的风险。高高极端极端极端中高高极端极端低中高极端极端低低中高极端低低中高高2.如何建立风险管理体系（续）风险识别及评估1复星国际企业风险管理培训第23页2.如何建立风险管理体系（续）部门风险档案(‘足迹’)分子公司风险档案房地产金融业务零售业企业风险档案企业层面集团公司风险宇宙Governance:§BoardPerformance§ToneatTheTop§ControlEnvironment§CorporateSocialResponsibilityPlanningandResourceAllocation:§OrganizationalStructure§StrategicPlanning§Budgeting§Forecasting§JV’s/AlliancesandPartnerships§TechnologyEnablement§SpecialPurposeEntities§TaxPlanningMajorInitiatives:§VisionandDirection§PlanningandExecution§Measurement&Monitoring§TechnologyImplementations§BusinessAcceptanceMergers,Acquisition&Divesture:§ValuationandPricing§DueDiligence§ExecutionandIntegrationMarketDynamics:§Competition§PricingPressures§Macro-EconomicFactors§LifestyleTrends§CustomerandPlatformMix§Socio-PoliticalStrategicStrategicSales&Marketing:§Marke