构建高效的风险管控体系及成功实践

构建高效的风险管控体系及成功实践石家庄新联合投资2013年2月课程目标•1、分享国际通行的风险管理与内部控制理论体系，进一步明确风险的定义和内涵；•2、介绍并掌握COSO框架和ERM框架，介绍2、介绍并掌握COSO框架和ERM框架，介绍几种控制类型；•3风险管控案例分析；•3、风险管控案例分析；•4、介绍风险管控通行的几种做法。课程目录CttContentsContents风险管控理论体系1风险管控理论体系风险管控案例2风险管控案例2企业风险管控实施方案3企业风险管控实施方案3他们是？2009年金融危机爆发9月14日，美国银行以440亿美元收购拥有94年历史、世界领先的财务管理和顾问公司3月24日，拥有85年历史的贝尔斯登被摩根大通低价收购，是全球领先的私募基金，之一的美林证券和1.4万亿美元总资产。此前，美林在业界居领导地位，是全球最大的金融资产管理者之一。美国华尔街第五大投资银行，系全球500强企业之一。9月15日，由于深受次贷重创，拥有158年历史的美国第四大投资银行雷曼兄弟控股公司（LehmanBrothersHoldings）宣布申请破产9月16日，美联储动用紧急时期权力，为美国国际集团提供850亿美元紧急贷款，帮助其摆脱倒闭厄运友邦保险就是其中国子公布申请破产。其摆脱倒闭厄运。友邦保险就是其中国子公司。9月7日，美国政府紧急宣布接管“两房”（房利美和房地美），美国政府欲用3000亿美元解“两房”之困，避免危机进一步蔓延9月26日，华盛顿互助银行作为全美最大的存款储蓄银行被美国联邦监管机构接手，并将其大部分业务出售给了摩根大通，这是美国历史上规模最大的银行倒闭案蔓延。是美国历史上规模最大的银行倒闭案。他们是？他们是？•损失•危险•不良后果风险风险定义：•风险是一种不确定性。在给定的条件和某特定的时类型：•问题•在给定的条件和某一特定的时期，未来结果的变动或不确定性。•潜在风险•机会性风险规避、风险降低、风险分担、风险承受、风险转移风险规避、风险降低、风险分担、风险承受、风险转移风险规避、风险降低、风险分担、风险承受、风险转移风险规避、风险降低、风险分担、风险承受、风险转移狭义风险的衡量狭义风险的衡量•Riskmaybedefinedasanythreattotheeconomicwelfareofabusiness对经济活动的威胁,ordefinedasexposuretocircumstancesthatmayincreasethelikelihoodofloss损失发生的可能性mayincreasethelikelihoodofloss损失发生的可能性.•Thelevelofriskisacombinationofboththetotaldollarvalueofassetsthatareexposedtolossandtheprobabilitythatsuchalosswilloccur.•Risk=P(t)*P(f)*(Amountofloss)•P=probability损失额损失额•P=probability•t=threat•F=failureofacontrol可能性可能性8可能性可能性COSO的前世今生•COSO是全国虚假财务报告委员会下属的发起人委员会（TheCommitteeCOSO的前世今生ofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。•1985年由美国注册会计师协会(AICPA)美国会计学会(AAA)财务•1985年，由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理人协会(FEI)、美国内部审计师协会(国际内部审计师协会的前身，IIA)、美国管理会计师协会(IMA)联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因并寻找解决之道在探讨财务报告中的舞弊产生的原因，并寻找解决之道。•1987年，基于该委员会的建议，其赞助机构成立COSO（CommitteeofSponsoringOrganization，COSO）委员会，专门研究内部控制问题。SponsoringOrganization，COSO）委员会，专门研究内部控制问题。•1992年9月，COSO委员会发布《内部控制整合框架》（InternalControl－IntegratedFramework），即COSO报告，1994年进行了增补。•这些成果得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。COSO的前世今生COSO的前世今生•该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告是为报告编制报表中的内部控制的团体提供指南的补充部分是对外部团体的报告，是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。内部控制•内部控制是一个过程，该过程受到企业董事会、管理层和其他人员的影响，其目的是为下列目标的实现提供合理保证：COSO报告认为内部控制有如下目标：•经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全）•财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并报表中选取的数据的可靠性）•符合相应的法律法规10•符合相应的法律法规框架COSO框架控制目标目标内控贯穿贯穿所有部门内部控制组成或业务组成五要素11五要素diIntroductiontoERMEnterpriseRiskManagementEnterpriseRiskManagementAccordingtoCOSO(2004)anorganization’senterpriseriskg()gpmanagement(ERM)frameworkissupposedtozhelpachieveitsstrategic(high-levelgoals,alignedwithandsupportingitsmission)达成战略目标zoperations(effectiveandefficientuseofitsresources)提高经营活zoperations(effectiveandefficientuseofitsresources)提高经营活动的效率和效果zreporting(reliabilityofreporting)确保财务报告的可靠性pg(ypg)确保财务报告的可靠性zcompliance(withapplicablelawsandregulations)objectives法律法规遵循的合规性12diIntroductiontoERMERM“isaprocess,effectedbyanentity’sboardofdirectors,management,andotherpersonnel,appliedinstrategysettingandacrosstheenterprise,designedtoidentifypotentialeventsthatmayaffecttheentitymanageriskstobewithinitsriskappetiteandpotentialeventsthatmayaffecttheentity,manageriskstobewithinitsriskappetite,andtoprovidereasonableassuranceregardingtheachievementofentityobjectives”.企业风险管理是个过程它受企业董事会管理层和其他相关企业风险管理是一个过程，它受企业董事会、管理层和其他相关人员影响，适用于企业战略制定实施，识别潜在的会影响整体的事件管理风险使其在风险承受范围内并为企业目标实现提供事件，管理风险使其在风险承受范围内，并为企业目标实现提供合理的保证。通俗的讲就是提供一种可操作的风险计量方法。13ERM框架14COSO框架与ERM框架15控制活动控制活动企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控企业应当结合风险评估结果，通过手控制与自动控制预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施类型：人工控制预防性控制预防性控制人工控制自动/系统控制预防性控制预防性控制发现性/侦探性控制自动/系统控制发现性/侦探性控制控制频率：按需不定期频繁发生系统控制年/半年/季月/周/天职责分工控制预算控制会计系统控制绩效考评16授权与审批财产保护控制运营分析信息技术控制控制活动职责分工控制–不相容职务分离：授权审批、业务经办、会计记录、财产保管、稽核检查–关键岗位轮岗：明确关键岗位员工轮岗的期限和有关要求，实行强制休假制度授权与审批–根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容，各级管理人员必须在授权范围内行使职权和承担责任。–企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的事实性、合规性、合理性以及有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，作出批准、不予批准或者作其他处理的决定。预算控制–加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。财产保护控制–企业应当限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。17控制控制活动会计系统控制–企业应当依据会计法、国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制充分发挥会计的监督职能确保企业财务报告真实控制行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。–企业应建立运营情况分析制度综合运用生产、购销、投资、筹资、财务等方运营分析企业应建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。绩效考评–企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。信息技术控制–企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素。同时加强对计算机信息系统开发与维护访问与变更数据输入与输出文件18控制–同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。信息技术控制信息技术控制资产信息信息•Informationisakeyassetofanyditltl带来风险的原因：•计算机或网络崩溃company,andinternalcontrolsareimperativefortheprotectionofthisasset.信息是项重要资产而内控措施对•计算机或网络崩溃•自然灾害或偷窃•计算机病毒或蠕虫病毒•软件漏洞•信息是一项重要资产，而内控措施对于保护这种资产非常必要。•主要风险：丢失或不准确软