://内控体系项目工作流程全面风险管理整合框架概述我国企业风险管理现状对全面风险管理的理解全面风险管理体系方案设计123456联合优势拥有庞大的管理资料库一、企业全面风险管理整合框架概述企业全面风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益实现。企业风险管理(ERM)框架是由美国虚假财务报告全国委员会的发起组织委员会(COSO)在内部控制框架的基础上,于2004年9月提出的企业风险管理的整合概念。2019/8/253什么是企业全面风险管理:拥有庞大的管理资料库风险管理理论的发展以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。我国国务院国资委于2006年发布《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。2019/8/254第一阶段:第二阶段:第三阶段:企业风险管理构成八个要素在内部控制整合框架五个要素的基础上,COSO企业风险管理的构成要素增加到八个,八个要素相互关联,贯穿于企业风险管理的过程中。2019/8/255监控内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通(1)(2)(3)(4)(5)(6)(7)(8)企业内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。其中特别是大型企业领导班子的风险偏好,决定了大型企业对可能出现的预料之外的事件的态度,企业管理层必须明确战略及其执行过程中的风险和回报。(一)内部环境管理层制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程,将目标与企业的任务或预期联系在一起,保证制定的目标与企业的风险偏好相一致。(二)目标设定拥有庞大的管理资料库企业风险管理要求辨别可能对实现企业目标产生负面影响的所有重要情况或事件,事项识别的基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。2019/8/257一般用可能性(概率)和影响结果两个指标度量风险。风险评估的过程根据不同的情况,采用定性和定量相结合的方法。若可以获取充足的数据,可采用决策风险定量评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则可采取定性的评估方法。(四)风险评估(三)事项识别全面风险管理框架的8个要素构成拥有庞大的管理资料库企业要对每一个重要的风险及其对应的回报进行评价和平衡,据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是企业风险管理的整体重要组成部分。2019/8/258控制活动包括在整个组织使用的审核、批准、授权、确认以及对经营绩效考核、资产安全管理、不相容职务分离等方法。这是企业管理层设计的政策和程序,为执行特定的风险应对措施提供合理保证。(六)控制活动(五)风险应对全面风险管理框架的8个要素构成风险信息必须以一定的形式和框架进行交流,使企业员工、管理层履行各自的责任。企业必须对各种数据和信息流进行加工,形成关于企业风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,企业管理层应当重视员工的意见。企业应通过持续的监控和独立的评价活动,监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象,包括企业管理层和专门的监控人员的活动。(八)监控(七)信息与沟通全面风险管理框架的8个要素构成在对《企业风险管理》的界定中重点强调了七个属性和理念:企业风险管理力求实现一个或多个不同类型但相互交叉的目标。企业风险管理能够向一个企业的管理当局和董事会提供合理保证;企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内;企业风险管理贯穿企业整体,在各个层级和单元应用,还包括采取企业整体层级的风险组合观;企业风险管理应用于战略制定的过程中;企业风险管理是由组织中各个层级的人员来实施的;企业风险管理是一个过程,它持续流动于企业之内;(1)(2)(3)(4)(5)(6)(7)(1)衔接风险容量与战略管理当局在评价战略方案、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量(2)增进风险应对决策企业风险管理应能提高企业选择风险应对策略的准确性(3)抑减经营意外和损失主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及伴随而来的成本或损失(4)识别和管理贯穿于企业的多重风险每一家企业都面临影响自身不同组成部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险(5)抓住机会通过全面考虑潜在事项,促使管理当局识别并积极地把握机会(6)改善资本配置通过全面考虑潜在事项,促使管理当局识别并积极地把握机会改善资本配置。获取强有力的风险信息,以使管理当局能够有效地评估总体资本需求,并改进资本配置拥有庞大的管理资料库企业风险管理的目标体系企业风险管理框架提出了四类目标:在这个目标体系中,增加了内部控制整合框架中所没有的一类目标:战略目标。虽然是平行的方式列示,但是,战略目标在这个目标体系中是最高层次的,其它三类目标都应当从属于战略目标。都是在为战略目标服务。2019/8/2512战略(Stntegic)目标,即高层次目标,与使命相关联并支撑使命经营(operations)目标,高效率地利用资源报告(reporting)目标,报告的可靠性合规(compliance)目标,符合适用的法律和法规(1)(2)(3)(4)内控框架三个维度具体内容COSO内控框架内控环境风险评估控制活动信息和沟通监控业务部门业务功能整体第一个维度(上面维度)是是目标体系,包括四类目标:(1)战略(Stntegic)目标,即高层次目标,与使命相关联并支撑使命;(2)经营(operations)目标,高效率地利用资源;(3)报告(reporting)目标,报告的可靠性;(4)合规(compliance)目标,符合适用的法律和法规。第二个维度(正面维度)是管理要素,包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起,(1)内部环境、(2)目标设定、(3)事项识别、(4)风险评估、(5)风险应对、(6)控制活动、(7)信息与沟通、(8)监控。•第三个维度(侧面维度)是主体单元,包括集团、部门、业务单元、分支机构四个层面。拥有庞大的管理资料库二、我国企业风险管理概述2019/8/2514企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。——《中央企业全面风险管理指引》拥有庞大的管理资料库国内企业的风险管理处于起步阶段风险管理刚刚起步,表现为:–经理人阶层普遍缺乏风险意识与风险管理的知识–企业管理过程中缺乏风险管理的内容,除金融企业–保险与金融领域缺乏风险管理的工具–缺少独立的风险管理行业与市场15原因在于:–绩效考核中基本不计入风险因素–法规缺乏对上市公司披露风险管理情况的要求–股市缺乏对上市公司风险管理的压力我国企业风险管理法律文献2019/8/2516《内部会计控制规范》《证券公司内部控制指引》《证券投资基金管理公司内部控制指导意见》《独立审计准则第9号——内部控制和审计风险》1996年2001年《商业银行内部控制指引》2006年《中国企业会计准则体系》《上市公司内部控制指引》《中央企业全面风险管理指引》中国企业内部控制标准委员会(CICSC)成立《企业内部控制规范》(征求意见稿)2006年拥有庞大的管理资料库全面风险管理框架的设立原则我国大型企业要在促进国有经济布局和结构优化方面发挥表率作用,实现国有资本优化配置,充分发挥跨省市经营,产业分布广的优势,就必须逐步建立全面风险管理框架,降低生产经营风险。在企业全面风险管理建立和实施的过程中,应该遵循以下原则:2019/8/2517成功地回避风险,必须建立在对风险发生可能性科学预测的基础上,这就要求在选择具体操作方法时,坚持理论与实际、定性与定量、历史与未来相结合的方法,以确保实施方法的准确性和有效性。一、预测先导原则拥有庞大的管理资料库对风险的性质、风险程度做出合理评估,结合企业管理、财务等综合能力,制定风险管理方针和策略。2019/8/2518全面风险管理框架的设立原则对因进行风险管理而产生的成本及其绩效进行比较,择优采用。如果风险防范成本超出了最终风险可预测损失,那么,该项风险防范措施的效果无疑应该大打折扣。四、成本效益原则国资委或中央企业应对所属企业管理者的风险管理能力进行监控,避免超出其承受能力的经营风险。三、避免超载原则二、权衡轻重原则风险管理总体目标与战略目标一致财务报告真实可靠合规合法高效运营应对突发事件,防止重大损失根据客户要求,可增加或减少。三、全面风险管理的理解、收集初始信息2、风险评估3、制定风险管理策略4、风险管理解决方案5、风险管理监督与改进信息与沟通(访谈)工作步骤管理层第1道防线第3道防线第2道防线风险管理内部审计业务部门A业务部门B业务部门C审计委员会风控委员会XX委员会XX委员会董事会一个基础