企业风险评估培训—教育训练中心目录一、风险评估二、管理责任一、风险评估过去常见的风险•“风险是损失的可能性”•“风险是损失的机会”•“风险是可能造成的损失”•“风险是未来的不确定性的状态”•“风险是结果的不确定性”什么是风险风险是指未来的不确定性对企业目标所产生的影响。现行标准的定义(1)《风险管理原则与实施指南》(中国国家标准GB/T24353-2009)“风险是不确定性对目标的影响。”(2)国际标准ISOGuide73&ISO31000“风险是不确定性对目标的影响。”《中央企业全面风险管理指引》“第三条本指引所称企业风险,指未来的不确定性对企业实施其经营目标的影响。”《集团公司风险评估规范》风险事件案例:法国兴业银行法国兴业银行2008年1月24日宣布因交易元杰罗姆·科威尔的欺诈行为“造成近50亿欧元损失”。兴业银行旗下巴黎分行一交易员超出了其职务允许的范围,秘密建立了欧洲股指期货相关头寸,导致了近50亿欧元的损失;法国财政部报告认为:兴业银行风险监控机制存在问题,内部监控系统多个环节有可能存在漏洞主要风险有:没有有效监督交易元盘面资金,没有有效跟踪资金流动,没有遵守后台与前台完全隔离规则。再严密的规章制度,再安全的电脑软件,都可能存在漏洞、死角!对于风险管理,决不能掉以轻心。特别是在市场繁荣之际,应警惕因盈利而放松正常监督。法兴悲剧警示我们一、规章出台背景(一)国外风险管理监管要求(二)国内风险管理制度(三)公司风险管理实践(一)国外风险管理监管要求1.COSO(COSOⅡ)企业风险管理框架企业风险管理是一个收到企业董事会、管理层和其他人员影响的过程,这个过程从企业战略制定一直贯穿到企业的各项活动中,旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险偏好之内,从而合理确保企业实现其既定目标。企业风险管理概念企业风险管理框架所对应的企业目标◎战略目标◎经营目标◎报告目标◎合规性目标规范中的目标、风险类型企业风险管理框架八要素◇控制环境◇目标设定◇事项识别◇风险评估◇风险反应◇控制活动◇信息与沟通◇监督评估风险分析风险明确现有风险:结果、可能性、风险水平识别风险建立风险评估基础:①外部基础②内部基础③风险管理相关的内容应对风险应对风险:①识别并评估选择权②准备及执行计划③分析及评估剩余风险沟通及协商监控及评价YNISO31000风险管理标准(1)国际标准组织(ISO)于2005年2月决定制定风险管理通用标准(2)经过几年的工作,该标准已经ISO各成员国的标准组织投票通过,已于2009年12月颁布(3)ISO31000的目的是提供共同的基础,以促进和协调而不是替代现存的各种标准,如ISO9001和ISO17799等(4)ISO31000的特点是应用范围极广,适用于任意规模的所有组织,并因此仅定义了风险管理的一般程序,而略去了有关体系设置的所有内容ISO31000风险管理过程风险应对建立环境风险分析风险识别风险评估监督和评审沟通和协商(二)国内风险管理制度1.国资委—全面风险管理指引2006年6月,国资委印发了《中央企业全面风险管理指引》(以下简称《指引》),要求“中央企业根据自身实际情况贯彻执行本指引”。全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。(二)国内风险管理制度(二)国内风险管理制度2.国内风险管理标准——GB/T243532009参考ISO31000编制,于2009年正式发布,包括2项,一是风险管理原则与实施指南(GBT24353),一是风险管理术语(GBT23694)。术语和定义:风险风险管理范围:本标准适用于公司层面、业务层面等的风险评估工作实施程序:风险评估实施程序一次为:建立风险评估基础、目标设置与分解、风险识别、风险分析和风险评价总体要求:应有明确目标,并制定风险发生的可能性和影响程序的标准;开展风险评估应建立一支风险评估团队,充分收复企业各类人员的意见;风险评估结果具有一定的时效性,企业ing根据内外部形势的变化持续开展风险评估。风险评估二、风险管理程序及方法建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:为之后的风险评估流程奠定基础主要内容包括:(1)确定风险管理的目标和范围(2)建立风险管理的语言和标准1.建立风险评估基础(1)确定风险管理的目标和范围在什么层面、围绕什么业务开展风险管理工作,形成什么成果和机制(2)确定风险管理的范围根据目标,确定涉及的具体的业务及部门、单位(3)确定风险管理组织,明确职责(4)制定工作计划详细,具有可操作性(5)形成工作方案或计划经相应层级领导审批后实施1.建立风险评估基础(1)明确风险类型(2)制定风险偏好、容忍度、预警指标(3)风险评估标准(4)根据风险管理理论与实践,逐步形成风险管理制度公司层面重大风险,高于业务层面但又与业务层面结合不同层级管控不同的风险,主要分三个层面,包括公司层面管控的重大风险、企业管理层管控的重大风险、业务操作层面管控的重要风险。(1)明确风险类型根据对风险做出应对策略所在层面的不同,可以将风险分为:①公司层面风险例如:公司风险管理报告、企业风险管理报告(关注重大风险)②业务层面风险例如:内控手册中财务报告风险、投资、资本运营等业务的经营风险偏好是指为了实现目标,企业在承担风险的种类、大小等方面的基本态度(2)风险偏好风险偏好一个企业在追求价值的过程中愿意接受的风险水平。风险偏好反映了企业风险管理的理念,反过来又影响企业文化和经营风格。制定风险偏好时要充分考虑风险承受能力。容忍度指标选择:根据公司生产经营指标或管理目标、KPI指标等,选择合适的风险容忍度指标。例如:投资业务—投资回报率、投资计划完成率;销售业务—市场份额、零售总量;资产管理业务—资产周转率;员工关系方面—投诉事件数量;人力资源管理业务—员工总量;产线业务—操作风险损失率(2)容忍度(2)风险预警指标为提前采取措施预防风险事件发生而在风险容忍度范围内设置的警示界限。根据实际,可以是定量,也可以是定性,或者二者相结合。预警指标选择:根据可以参考部分咨询公司的行业数据库、外部同行业上市公司披露的公开数据、国资委企业绩效评价标准值中的行业对标值、公司关键绩效考核指标(KPI)等,还包括预警迹象,选择合适的风险预警指标。可参考承受度指标的选择。①用于风险分析。规范包括风险发生可能性标准、影响程度标准、风险等级标准。②风险发生的可能性分为基本确定、很可能、有可能、不太可能、极小五个级别;分别对应5、4、3、2、1五个分值。风险影响程度分为极高、高、中、低、极低五个级别;分别对应5、4、3、2、1五个分值。③不同层面,标准的内容各有不同。(3)风险评估标准建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:目标的设置是风险评估的前提,只有先确立了目标,才能针对目标识别、分析影响目标的实现的风险,并采取必要应对措施来管理风险。通过目标的层层分解,将实现目标,防范风险的责任落实到具体部门和岗位,明确时限目标的具体步骤和具体阶段,以利于目标的实现。主要内容:(1)目标分类(2)收集目标(3)分解目标(1)目标分类借鉴COSO的ERM框架的目标分类方法(如下图),将企业目标分为战略目标、经营目标、报告目标、合规目标。(风险分类的依据)。可以使管理者注意到企业风险管理的不同方面。企业的高层次目标与企业的使命或愿景相联系并支持漆其实现。与企业对其适用的相关法律和法规的遵循性相关。与企业报告的可能性相关,包括企业内部和外部的报告,既包括财务信息,也包括非财务信息。与使用企业资源进行经营的效果和效率相关,包括业绩和盈利能力目标和保护资产安全的目标。战略目标经营目标合规目标报告目标在确立目标时,首先把关注点放在企业战略目标上,制定企业层面的各个业务的经营目标等相关目标,以保证企业使命或愿景的实现。结合风险管理工作的目标和范围,确定目标收集的范围。结合实际设计工作模板,便于收集、分解目标。(不限于集团公司公司风险管理报告中设计的目标设置与分解一览表一种形式)(2)收集目标(3)分解目标将收集的相关目标进行层层分解,分解到相应层级,便于识别相应层级的风险公司战略发展目标保障措施进一步分解到子目标(生产经营指标/管理指标/工作目标/KPI指标)对应到业务单元/职能部门和关键业务/事项建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查定义:风险识别是围绕具体目标,对可能影响目标实现的风险源、影响范围、事件原因和潜在的后果进行判断并记录风险的过程。主要内容:(1)信息收集(2)识别方法(3)风险数据库(1)信息收集围绕具体目标,收集相关信息,并进行分析、整理,为风险识别做准备(2)识别方法围绕目标,充分运用收集的上述信息,选择合适的方法识别风险(3)风险数据库将识别的风险记录到风险数据库中。风险数据库是下步风险分析的基础。易菊风险管理目标何业务,设计风险数据库模板。(公司层面/业务层面)同一风险数据库中的风险描述要在同一层级上。风险点描述简洁明了,与风险应对措施区分开建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:充分分析风险发生可能性和影响程度等方面,为确定重大风险奠定基础。主要内容:(1)问卷调查表法(2)头脑风暴法(1)问卷调查表法①结合实际设计问卷,按照风险评估标准,结合收集信息(风险事件等),以及控制措施有效性,分析风险发生可能性大小、影响方面、影响程度大小等。分别对风险发生的可能性和影响程度进行分析。②可能性评分—按照风险评估可能性标准,依据风险的性质、掌握的信息量,确定风险发生可能性的种类(例如:安全环保风险评估—安全部门可以选择大型灾害事件类标准)③影响程度评分—按照风险评估影响程度标准,从财务损失、企业声誉、法律、安全环境、营运等方面,选择其中一个主要方面对风险的影响程度进行评分。④计算个体评分风险值。风险值=可能性分值*影响程度分值(2)头脑风暴法根据业务经验,充分利用已收集信息(领导讲话关注风险、风险事件等),结合控制措施有效性,共同讨论分析风险发生可能性大小、影响方面、影响程度大小。建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查目的:综合考虑风险分析结果,选择适用的风险评价方法,结合公司风险偏好,确定重大(重要)风险,为风险应对奠定基础。主要内容:(1)加权平均计算法(2)管理层偏好法(1)加权平均计算法•适用于采用问卷调查法(评分式调查问卷),对风险进行评分得出结论的情况•在前述评分结果基础上,计算加权平均风险值,根据本单位风险等级分值,确定重大(重要)风险。•同时也要评估企业管控能力,合理确定重大风险个数。(2)管理层偏好法•适用于问卷调查法、头脑风暴法等多种风险分析方法得出的结论。•管理层充分考虑管控能力(人力、财力、物力等管理资源)大小,如何优化、合理配置,以及风险管理的紧迫性等因素,确定管理重大(重要)风险个数。建立风险评估基础目标设置与分解风险识别风险分析风险评价风险应对信息与沟通监督与检查(1)确定风险责任部门•依据目标设置与分解情况,结合部门职责,确定风险责任部门。•为以后年度风险识别、风险分析及应对奠定基础。(2)重大风险原因及特点分析•从根源分析重大(重要)风险产生原因,分析风险的特点,使下步的风险应对更有针对性。(3)重大风险管理策略(偏好、容忍度、预警指标)①可以采用定量或定性方式描述。②依据重大风险的管控目标,确定重大风险偏好。与企业总体偏好保持一致。③依据重大风险管理目标、KPI指标等,确定容忍度。④在容忍度范围内,参考KPI指标