意义风险管理的概念和思路实施风险管理与内部控制制度需要考虑的关键因素风险管理与内部控制制度关键因素的系统性及相关性民生人寿风险管理的现状和发展规划帮助大家了解风险管理与内部控制制度的框架包括:目录何为风险?为什么要管理风险?风险管理概述民生人寿的风险管理实践风险的概念•中国古人对风险的认识——天有不测风云,人有旦夕祸福。——祸兮福所倚,福兮祸所伏。•现代学界对风险的定义——风险是指在一定情况下的不确定性,此不确定性是指(1)发生与否不确定(2)发生时间不确定(3)发生状况不确定(4)发生的后果严重程度不确定——企业风险指在企业经营的各种活动中发生损失的可能性平安富通事件•作为中国保险行业第一个海外战略投资,平安不断买入富通股票,成为富通单一的最大股东。•富通股票价值大大缩水,给平安带来238亿元人民币浮亏近95%的伤痛。•原因-投资过于激进-投资过于单一。不能把鸡蛋放在同一个篮子里-投资价值未进行有效评估新华人寿挪用资金案•前新华人寿董事长关国亮实际控制新华人寿8年间,累计挪用公司资金130亿元,将新华人寿资金大规模用于违规投资、担保或拆借。•原因-公司管理缺乏有效性、合规性-资金使用授权管理不健全-监控机制不健全美国安然公司(Enron)倒闭案安然公司曾是美国最大的石油和天然气企业之一,在2000年《财富》世界500强排名第16位2001年末,安然宣布第三季度6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利•安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策•事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务•安然重视短期的业绩指标•安然管理高层常常藐视或推翻公司制定的内控制度调查发现美国世通公司(Worldcom)舞弊案世通是美国第二大电信公司2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元世通于2002年末申请破产保护令,成为美国历史上最大的破产个案世通的四名主管(包括公司的CEO和CFO)承认串谋讹诈,被联邦法院刑事起诉•世通的董事会持续赋予公司的CEO(BernardEbbers)绝对的权力,让他一人独揽大权•美国证监会的调查报告指出:世通完全没有制衡机制•世通的董事会并没有负起监督管理层的责任•世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金调查发现由案例得出的启示与思考•风险无时无处不在,对风险的态度和行为,可以决定企业的兴衰成败•过于追求高回报,却忽视随之而来的高风险,迟早会导致严重的损失•但风险并非都是坏事,对保险业而言,本身就是在经营风险以获取回报,消极地回避风险,只会被市场淘汰•赢家都是能够平衡好增长、收益和风险的强者•那优秀的风险管理又是怎样做的呢?•调查收到全球111家金融机构的回复,这些机构的总资产超过19万亿美元,其中包括9家中国大中型银行和保险公司。•调查显示,49%的受访机构已经完全或充分地将风险管理职责融入高管人员的绩效目标与薪酬决策;77%的受访机构的董事会承担了风险监管与治理的整体责任,而63%的受访机构拥有经正式批准的风险偏好声明;73%的受访机构设有CRO(首席风险官)或同等职位;已有36%的受访机构有全面企业风险管理(enterpriseriskmanagement,ERM),但另有23%的受访机构正在创建中。在资产不少于1,000亿美元的受访机构中,58%已有ERM计划。有ERM计划的机构都觉得该计划非常有价值:85%的高管人员称其ERM计划带来的总价值(包括可计量及不可计量的价值)已经超过了所付出的成本德勤全球金融服务业风险管理状态调查目录何为风险?为什么要管理风险?风险管理概述—内部控制—风险管理—风险监督民生人寿的风险管理实践风险管理的发展阶段•雏形阶段4000多年前,我国皮货商人的损失分担运货;公元前916年国外的共同海损制度等•初期阶段,安全管理阶段19世纪40年代以来,现代企业的形成,风险多元化,一些大企业开始重视自己的经营安全问题。•保险管理阶段20世纪30年代出现了保险,进入了保险管理的时代,开始运用保险来规避某些常见的风险。•风险管理阶段20世纪中期以来,陆续发生了一些重大的人为和自然灾害事件,美国企业界和学术界开始认识到风险管理的重要性。•全面风险管理阶段21世纪以来,动态风险管理,整体风险管理,全面风险管理,公司治理,内部控制,上市公司监管有了飞速的发展内部环境目标设定风险识别风险评估风险应对控制活动信息与沟通监控分支机构业务单位职能部门企业整体COSO全面风险管理(ERM)的框架•COSO是美国全国虚假财务报告委员会下属的发起人委员会的英文缩写。1992年COSO公布了《内部控制—综合框架》(也称“COSO内部控制框架”)并于2004年得到美国证券交易委员会的认同,目前COSO框架已正式成为美国上市公司内部控制框架的参照性标准。•四种目标用垂直方向的表示,八个构成要素用水平方向的行表示,一个主体内的各个单元用第三个维度表示。•可以从整体上关注一个主体的风险管理,也可以从目标类别、构成要素或主体单元的角度,乃至其中的任何一个分项的角度加以认识。目标要素涉及的管理层级COSO内控框架的渊源•《萨班斯·奥克斯利》(SOX)法案—COSO内控框架的应用目的•于2002年颁布的萨班斯法案,其目的是确保准确的财务状况报告及公开,以重塑公众对公司营业报告的信任;其核心理念是强化公司高管的财务报告和信息披露的责任,强调公司治理和内部控制的重要性,提高外部审计的独立性。萨班斯法案对企业管理者所需要承担的法律责任更加严格。法案要求上市公司的管理者必须为公司对外披露的财务报告负责,一旦出现类似安然事件的情况,公司的管理者甚至可能会被判入狱。因此许多企业的高层管理人员对此法案高度重视,千方百计地保证企业满足萨班斯法案的要求。•与公司相关度最高的有404条款。•404条款管理层对内部控制的评估规定,除对内部控制系统的有效性进行报告之外,上市公司还须负责保持内部控制系统的有效运行。–主要内容-管理层对建立和维护与财务报表相关的内部控制充足的责任的声明;-管理层对有关公司最近财务年度末与财务报表相关的内部控制有效性评估的声明;-识别管理层用以评价有关财务报告相关内部控制有效性的框架的声明,以及外部审计师已就管理层的评估结果发表鉴证报告的声明。全面风险管理八要素风险管理八要素内容内部环境内部环境包含主体的风险管理理念、风险容量、董事会监督、人员诚信和胜任能力、道德价值观、管理层的职责分工和权力分配等。目标设定是指一个主体力图实现什么,包括战略目标、经营目标、报告目标、合规目标等四大类。事件识别是指识别可能对公司的目标达成产生影响的潜在事项,包括代表风险的事项和代表机会的事项,以及可能二者兼有的事项。风险评估风险评估是指公司对已识别的风险进行分析,以便形成如何对其管理的依据。风险对策是指选择和确定应对风险的工具,包括规避、承担、降低和分担风险。控制活动控制活动是企业根据风险评估结果,采用相应有效的控制措施,将风险控制在可承受的范围之内。信息与沟通信息与沟通是公司及时准确地收集、传递与风险管理、内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。内部监督内部监督是公司对风险管理、内部控制建立与实施情况进行监督检查,评价内部控制的有效性。发现内部控制缺陷,应当及时加以改进。保险企业风险分类•战略风险•保险风险•市场风险•信用风险•操作风险•业务风险•声誉风险•流动性风险•战略风险•保险风险•市场风险•信用风险•操作风险•业务风险•声誉风险•流动性风险由于战略制定和实施的流程无效或经营环境的变化,而导致战略与市场环境和公司能力不匹配的风险。由于死亡率、疾病率、赔付率、退保率等精算假设的实际经验与预期发生偏离而造成损失的风险。•战略风险•保险风险•市场风险•信用风险•操作风险•业务风险•声誉风险•流动性风险由于利率、汇率、权益价格和商品价格等的不利变动而使公司遭受非预期损失的风险。由于债务人或交易对手不能履行或按时履行其合同义务,或者信用状况的不利变动而导致的风险.•战略风险•保险风险•市场风险•信用风险•操作风险•业务风险•声誉风险•流动性风险由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险,包括法律及监管合规风险。由于业务收入或费用的不利变动而造成损失的风险。•战略风险•保险风险•市场风险•信用风险•操作风险•业务风险•声誉风险•流动性风险由于公司品牌及声誉出现负面事件,而使公司遭受损失的风险。在债务到期发生给付义务时,由于没有资金来源或必须以较高的成本融资而导致的风险。保险企业风险管理框架•一个基础:企业治理结构•二个目标:公司利益最大化;履行保险责任•三道防线:内控;风险管理;内部审计管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新第一道防线-内部控制管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会•《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合制定,于2008年6月28日发布,自2009年7月1日起施行。基本规范提出了企业内部控制5要素,对COSO内控框架8要素做了精简。•在《企业内部控制基本规范》基础上,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称企业内部控制配套指引)。•《企业内部控制应用指引》对治理架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务等明确了指相关定义、应关注的风险等内容。•《企业内部控制评价指引》明确了内部控制评价的内容、程序、内部控制缺陷的认定、内部控制评价报告等。COSO内部控制框架•内部控制将管理、会计等方面控制在预想的范围内,目标是减少风险。•内部控制目标–合理保证经营管理合法合规、资产安全、财务报告及相关信息可靠,提高经营效率和效果,促进公司实现发展战略•内部控制原则–全面性原则–重要性原则–制衡性原则–适应性原则–成本效益原则COSO内部控制五要素•控制环境–公司管理活动执行人员的操守,以及管理人员实施管理活动的环境。–包括:确立企业文化、树立诚信价值观、管理能力、审计委员会与董事会的影响、管理哲学以及管理风格等内容。•风险评估–确立目标与机制以识别、分析和管理风险。包括评估可谨慎接受的风险程度、建立在总公司与分公司层面上识别与分析风险的程序、区分风险高低程度、计划控制活动等内容。•控制活动管理当局的指示得以贯彻执行的政策和程序。包括制定政策决定、使政策生效的程序与风险评估结合等内容。•信息与沟通及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通的过程。•监督评价一定时期内内部控制执行质量,并在情况变化下对内控进行适当的修改。人员招聘及培训人员考核制度人员轮休制度人员控制不相容职务分离岗位责任制业务流程组织控制预算控制会计控制内部审计风险财务管理财务控制采购制度保管制度盘点制度实物控制内部控制内部控制制度框架第二道防线—风险管理•现有风险•潜在风险风险识别风险评估•可能性•重大程度评级与应对风险监察•风险评级•应对评级•风险应对—降低—规避—转移—保留•检查•审计风险识别风险识别是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险识别是一项持续性的工作。通过风险识别,将识别出来的各种风险