企業(yè)風險評估培訓(xùn)

1、企業(yè)風險評估培訓(xùn)教育訓(xùn)練中心目錄一、風險評估二、管理責任一、風險評估過去常見的風險 “風險是損失的可能性” “風險是損失的機會” “風險是可能造成的損失” “風險是未來的不確定性的狀態(tài)” “風險是結(jié)果的不確定性”什么是風險風險是指未來的不確定性對企業(yè)目標所產(chǎn)生的影響?，F(xiàn)行標準的定義（1）風險管理 原則與實施指南（中國國家標準GB/T 24353-2009）“風險是不確定性對目標的影響?！保?）國際標準ISO Guide 73& ISO 31000“風險是不確定性對目標的影響?！敝醒肫髽I(yè)全面風險管理指引“第三條 本指引所稱企業(yè)風險，指未來的不確定性對企業(yè)實施其經(jīng)營目標的影響?！奔瘓F公司風

2、險評估規(guī)范風險事件案例：法國興業(yè)銀行法國興業(yè)銀行2008年1月24日宣布因交易元杰羅姆科威爾的欺詐行為“造成近50億歐元損失”。興業(yè)銀行旗下巴黎分行一交易員超出了其職務(wù)允許的范圍，秘密建立了歐洲股指期貨相關(guān)頭寸，導(dǎo)致了近50億歐元的損失；法國財政部報告認為：興業(yè)銀行風險監(jiān)控機制存在問題，內(nèi)部監(jiān)控系統(tǒng)多個環(huán)節(jié)有可能存在漏洞主要風險有：沒有有效監(jiān)督交易元盤面資金，沒有有效跟蹤資金流動，沒有遵守后臺與前臺完全隔離規(guī)則。再嚴密的規(guī)章制度，再安全的電腦軟件，都可能存在漏洞、死角！對于風險管理，決不能掉以輕心。特別是在市場繁榮之際，應(yīng)警惕因盈利而放松正常監(jiān)督。法興悲劇警示法興悲劇警示 我們我們一、規(guī)章出臺

3、背景（一）國外風險管理監(jiān)管要求（一）國外風險管理監(jiān)管要求（二）國內(nèi)風險管理制度（二）國內(nèi)風險管理制度（三）公司風險管理實踐（三）公司風險管理實踐（一）國外風險管理監(jiān)管要求1.COSO（COSO ）企業(yè)風險管理框架企業(yè)風險管理是一個收到企業(yè)董事會、管理層和其他人員影響的過程，這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，旨在識別那些可能影響企業(yè)的潛在事件并管理風險使之在企業(yè)的風險偏好之內(nèi)，從而合理確保企業(yè)實現(xiàn)其既定目標。企業(yè)風險企業(yè)風險管理概念管理概念企業(yè)風險管理框架所對應(yīng)的企業(yè)目標戰(zhàn)略目標經(jīng)營目標報告目標合規(guī)性目標規(guī)范中的目標、規(guī)范中的目標、風險類型風險類型企業(yè)風險管理框架八要素控制環(huán)境目

4、標設(shè)定事項識別風險評估風險反應(yīng)控制活動信息與溝通監(jiān)督評估風險評估風險分析風險分析風險明確現(xiàn)有風險：明確現(xiàn)有風險： 結(jié)果、可能性、風險水平結(jié)果、可能性、風險水平識別風險識別風險建立風險評估基礎(chǔ)：建立風險評估基礎(chǔ)：外部基礎(chǔ)外部基礎(chǔ)內(nèi)部基礎(chǔ)內(nèi)部基礎(chǔ)風險管理相關(guān)的內(nèi)容風險管理相關(guān)的內(nèi)容應(yīng)對應(yīng)對風險風險應(yīng)對風險：應(yīng)對風險：識別并評估選擇權(quán)識別并評估選擇權(quán)準備及執(zhí)行計劃準備及執(zhí)行計劃分析及評估剩余風險分析及評估剩余風險溝溝通通及及協(xié)協(xié)商商監(jiān)監(jiān)控控及及評評價價YNISO31000風險管理標準（1）國際標準組織（ISO）于2005年2月決定制定風險管理通用標準（2）經(jīng)過幾年的工作，該標準已經(jīng)ISO各成員國的標

5、準組織投票通過，已于2009年12月頒布（3）ISO31000的目的是提供共同的基礎(chǔ)，以促進和協(xié)調(diào)而不是替代現(xiàn)存的各種標準，如ISO9001和ISO17799等（4）ISO31000的特點是應(yīng)用范圍極廣，適用于任意規(guī)模的所有組織，并因此僅定義了風險管理的一般程序，而略去了有關(guān)體系設(shè)置的所有內(nèi)容ISO31000風險管理過程風險應(yīng)對建立環(huán)境風險分析風險識別風險 評估監(jiān)督和評審溝通和協(xié)商（二）國內(nèi)風險管理制度1.國資委全面風險管理指引2006年6月，國資委印發(fā)了中央企業(yè)全面風險管理指引（以下簡稱指引），要求“中央企業(yè)根據(jù)自身實際情況貫徹執(zhí)行本指引”。全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管

6、理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。（二）國內(nèi)風險管理制度（二）國內(nèi)風險管理制度2.國內(nèi)風險管理標準GB/T 24353 2009參考ISO31000編制，于2009年正式發(fā)布，包括2項，一是風險管理原則與實施指南（GBT24353），一是風險管理術(shù)語（GBT23694）。術(shù)語和定義：風險風險管理范圍：本標準適用于公司層面、業(yè)務(wù)層面等的風險評估工作實施程序：風險評估實施程序一次為：建立風險評估

7、基礎(chǔ)、目標設(shè)置與分解、風險識別、風險分析和風險評價總體要求：應(yīng)有明確目標，并制定風險發(fā)生的可能性和影響程序的標準；開展風險評估應(yīng)建立一支風險評估團隊，充分收復(fù)企業(yè)各類人員的意見；風險評估結(jié)果具有一定的時效性，企業(yè)ing根據(jù)內(nèi)外部形勢的變化持續(xù)開展風險評估。風險評估二、風險管理程序及方法建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查目的：為之后的風險評估流程奠定基礎(chǔ)主要內(nèi)容包括：（1）確定風險管理的目標和范圍（2）建立風險管理的語言和標準1.建立風險評估基礎(chǔ)（1）確定風險管理的目

8、標和范圍在什么層面、圍繞什么業(yè)務(wù)開展風險管理工作，形成什么成果和機制（2）確定風險管理的范圍根據(jù)目標，確定涉及的具體的業(yè)務(wù)及部門、單位（3）確定風險管理組織，明確職責（4）制定工作計劃詳細，具有可操作性（5）形成工作方案或計劃經(jīng)相應(yīng)層級領(lǐng)導(dǎo)審批后實施1.建立風險評估基礎(chǔ)（1）明確風險類型（2）制定風險偏好、容忍度、預(yù)警指標（3）風險評估標準（4）根據(jù)風險管理理論與實踐，逐步形成風險管理制度公司層面重大風險，高于業(yè)務(wù)層面但又與業(yè)務(wù)層面結(jié)合不同層級管控不同的風險，主要分三個層面，包括公司層面管控的重大風險、企業(yè)管理層管控的重大風險、業(yè)務(wù)操作層面管控的重要風險。（1）明確風險類型根據(jù)對風險做出應(yīng)對策

9、略所在層面的不同，可以將風險分為：公司層面風險例如：公司風險管理報告、企業(yè)風險管理報告（關(guān)注重大風險）業(yè)務(wù)層面風險例如：內(nèi)控手冊中財務(wù)報告風險、投資、資本運營等業(yè)務(wù)的經(jīng)營風險偏好是指為了實現(xiàn)目標，企業(yè)在承擔風險的種類、大小等方面的基本態(tài)度（2）風險偏好風險偏好一個企業(yè)在追求價值的過程中愿意接受的風險水平。風險偏好反映了企業(yè)風險管理的理念，反過來又影響企業(yè)文化和經(jīng)營風格。制定風險偏好時要充分考慮風險承受能力。容忍度指標選擇：根據(jù)公司生產(chǎn)經(jīng)營指標或管理目標、KPI指標等，選擇合適的風險容忍度指標。例如：投資業(yè)務(wù)投資回報率、投資計劃完成率；銷售業(yè)務(wù)市場份額、零售總量；資產(chǎn)管理業(yè)務(wù)資產(chǎn)周轉(zhuǎn)率；員工關(guān)系

10、方面投訴事件數(shù)量；人力資源管理業(yè)務(wù)員工總量；產(chǎn)線業(yè)務(wù)操作風險損失率（2）容忍度（2）風險預(yù)警指標為提前采取措施預(yù)防風險事件發(fā)生而在風險容忍度范圍內(nèi)設(shè)置的警示界限。根據(jù)實際，可以是定量，也可以是定性，或者二者相結(jié)合。預(yù)警指標選擇：根據(jù)可以參考部分咨詢公司的行業(yè)數(shù)據(jù)庫、外部同行業(yè)上市公司披露的公開數(shù)據(jù)、國資委企業(yè)績效評價標準值中的行業(yè)對標值、公司關(guān)鍵績效考核指標（KPI）等，還包括預(yù)警跡象，選擇合適的風險預(yù)警指標?？蓞⒖汲惺芏戎笜说倪x擇。用于風險分析。規(guī)范包括風險發(fā)生可能性標準、影響程度標準、風險等級標準。風險發(fā)生的可能性分為基本確定、很可能、有可能、不太可能、極小五個級別；分別對應(yīng)5、4、3、2

11、、1五個分值。風險影響程度分為極高、高、中、低、極低五個級別；分別對應(yīng)5、4、3、2、1五個分值。不同層面，標準的內(nèi)容各有不同。（3）風險評估標準建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查目的：目標的設(shè)置是風險評估的前提，只有先確立了目標，才能針對目標識別、分析影響目標的實現(xiàn)的風險，并采取必要應(yīng)對措施來管理風險。通過目標的層層分解，將實現(xiàn)目標，防范風險的責任落實到具體部門和崗位，明確時限目標的具體步驟和具體階段，以利于目標的實現(xiàn)。主要內(nèi)容：（1）目標分類（2）收集目標（3）分解目標（1）目標分類借鑒COSO的ERM框架的目標分類方法（如下圖），將企業(yè)目標

12、分為戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標。（風險分類的依據(jù)）。可以使管理者注意到企業(yè)風險管理的不同方面。企業(yè)的高層次目標與企業(yè)的使命或愿景相聯(lián)系并支持漆其實現(xiàn)。與企業(yè)對其適用的相關(guān)法律和法規(guī)的遵循性相關(guān)。與企業(yè)報告的可能性相關(guān)，包括企業(yè)內(nèi)部和外部的報告，既包括財務(wù)信息，也包括非財務(wù)信息。與使用企業(yè)資源進行經(jīng)營的效果和效率相關(guān)，包括業(yè)績和盈利能力目標和保護資產(chǎn)安全的目標。戰(zhàn)略目標戰(zhàn)略目標經(jīng)營目標經(jīng)營目標合規(guī)目標合規(guī)目標報告目標報告目標在確立目標時，首先把關(guān)注點放在企業(yè)戰(zhàn)略目標上，制定企業(yè)層面的各個業(yè)務(wù)的經(jīng)營目標等相關(guān)目標，以保證企業(yè)使命或愿景的實現(xiàn)。結(jié)合風險管理工作的目標和范圍，確定目標收集的

13、范圍。結(jié)合實際設(shè)計工作模板，便于收集、分解目標。（不限于集團公司公司風險管理報告中設(shè)計的目標設(shè)置與分解一覽表一種形式）（2）收集目標（3）分解目標將收集的相關(guān)目標進行層層分解，分解到相應(yīng)層級，便于識別相應(yīng)層級的風險公司戰(zhàn)略發(fā)展目標保障措施進一步分解到子目標（生產(chǎn)經(jīng)營指標/管理指標/工作目標/KPI指標）對應(yīng)到業(yè)務(wù)單元/職能部門和關(guān)鍵業(yè)務(wù)/事項建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查定義：風險識別是圍繞具體目標，對可能影響目標實現(xiàn)的風險源、影響范圍、事件原因和潛在的后果進行判斷并記錄風險的過程。主要內(nèi)容：（1）信息收集（2）識別方法（3）風險數(shù)據(jù)庫（1）

14、信息收集圍繞具體目標，收集相關(guān)信息，并進行分析、整理，為風險識別做準備（2）識別方法圍繞目標，充分運用收集的上述信息，選擇合適的方法識別風險（3）風險數(shù)據(jù)庫將識別的風險記錄到風險數(shù)據(jù)庫中。風險數(shù)據(jù)庫是下步風險分析的基礎(chǔ)。易菊風險管理目標何業(yè)務(wù)，設(shè)計風險數(shù)據(jù)庫模板。（公司層面/業(yè)務(wù)層面）同一風險數(shù)據(jù)庫中的風險描述要在同一層級上。風險點描述簡潔明了，與風險應(yīng)對措施區(qū)分開建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查目的：充分分析風險發(fā)生可能性和影響程度等方面，為確定重大風險奠定基礎(chǔ)。主要內(nèi)容：（1）問卷調(diào)查表法（2）頭腦風暴法（1）問卷調(diào)查表法結(jié)合實際設(shè)計問卷，

15、按照風險評估標準，結(jié)合收集信息（風險事件等），以及控制措施有效性，分析風險發(fā)生可能性大小、影響方面、影響程度大小等。分別對風險發(fā)生的可能性和影響程度進行分析?？赡苄栽u分按照風險評估可能性標準，依據(jù)風險的性質(zhì)、掌握的信息量，確定風險發(fā)生可能性的種類（例如：安全環(huán)保風險評估安全部門可以選擇大型災(zāi)害事件類標準）影響程度評分按照風險評估影響程度標準，從財務(wù)損失、企業(yè)聲譽、法律、安全環(huán)境、營運等方面，選擇其中一個主要方面對風險的影響程度進行評分。計算個體評分風險值。風險值=可能性分值*影響程度分值（2）頭腦風暴法根據(jù)業(yè)務(wù)經(jīng)驗，充分利用已收集信息（領(lǐng)導(dǎo)講話關(guān)注風險、風險事件等），結(jié)合控制措施有效性，共同討

16、論分析風險發(fā)生可能性大小、影響方面、影響程度大小。建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查目的：綜合考慮風險分析結(jié)果，選擇適用的風險評價方法，結(jié)合公司風險偏好，確定重大（重要）風險，為風險應(yīng)對奠定基礎(chǔ)。主要內(nèi)容：（1）加權(quán)平均計算法（2）管理層偏好法（1）加權(quán)平均計算法 適用于采用問卷調(diào)查法（評分式調(diào)查問卷），對風險進行評分得出結(jié)論的情況 在前述評分結(jié)果基礎(chǔ)上，計算加權(quán)平均風險值，根據(jù)本單位風險等級分值，確定重大（重要）風險。 同時也要評估企業(yè)管控能力，合理確定重大風險個數(shù)。（2）管理層偏好法 適用于問卷調(diào)查法、頭腦風暴法等多種風險分析方法得出的結(jié)論。

17、 管理層充分考慮管控能力（人力、財力、物力等管理資源）大小，如何優(yōu)化、合理配置，以及風險管理的緊迫性等因素，確定管理重大（重要）風險個數(shù)。建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查（1）確定風險責任部門 依據(jù)目標設(shè)置與分解情況，結(jié)合部門職責，確定風險責任部門。 為以后年度風險識別、風險分析及應(yīng)對奠定基礎(chǔ)。（2）重大風險原因及特點分析 從根源分析重大（重要）風險產(chǎn)生原因，分析風險的特點，使下步的風險應(yīng)對更有針對性。（3）重大風險管理策略（偏好、容忍度、預(yù)警指標）可以采用定量或定性方式描述。依據(jù)重大風險的管控目標，確定重大風險偏好。與企業(yè)總體偏好保持一致。依

18、據(jù)重大風險管理目標、KPI指標等，確定容忍度。在容忍度范圍內(nèi)，參考KPI指標及相關(guān)資料，確定預(yù)警指標，與生產(chǎn)經(jīng)營相結(jié)合，為生產(chǎn)經(jīng)營管理服務(wù)，逐步形成重大風險預(yù)警指標體系。（4）總體應(yīng)對策略和具體解決方案不采取任何措施去影響風險的可能性和影響。這可能是因為該風險屬于風險容忍度范圍之內(nèi)；或該風險在企業(yè)范圍內(nèi)與其他風險自然抵消；或由于風險應(yīng)付成本過高，公司決定接受該風險。風險接受風險規(guī)避退出引起風險的活動，即在可能的情況下，決定不從事或盡量避免那些繼續(xù)從事可能會導(dǎo)致風險的活動，如退出生產(chǎn)線、停止一個區(qū)域的業(yè)務(wù)或出售一部分經(jīng)營性資產(chǎn)等。通過采取措施來轉(zhuǎn)移和分擔一部分風險來減少風險的可能性或影響，這包括

19、與另外的單位合作來共同承擔風險，如成立合資企業(yè)、購買保險、套期保值、外包業(yè)務(wù)等。分擔風險可能會帶來新的風險，因為合作單位可能缺乏期望的能力和資源。風險分擔風險減輕采取措施來減輕風險的可能性或影響，即通過改變風險發(fā)生的可能性來減少風險的不利后果，或改變風險的影響來減少損失的范圍，減輕風險一般牽涉到所有大量的日常經(jīng)營決策，例如產(chǎn)品多樣化、技術(shù)改進、加強人員培訓(xùn)、資本重新分配、改進業(yè)務(wù)流程、用制度管控風險等。建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查目的：建立后續(xù)的監(jiān)督改進機制，使風險管控措施落到實處。監(jiān)督檢查包括但不限于以下層面：（1）業(yè)務(wù)部門和所屬單位自我

20、監(jiān)督（2）風險管理部門的持續(xù)監(jiān)督、獨立評估、缺陷報告（3）監(jiān)察部門、審計部門的監(jiān)督和獨立審計（4）外審獨立監(jiān)督（1）業(yè)務(wù)部門和所屬單位自我監(jiān)督業(yè)務(wù)部門和所屬單位根據(jù)內(nèi)外環(huán)境及業(yè)務(wù)變化，對所負責的重大、重要風險的管理策略及解決方案的適用性進行評價，定期進行跟蹤管理。業(yè)務(wù)部門和所屬單位通過自我測試，即使發(fā)現(xiàn)內(nèi)控體系運行中存在的問題，并認真組織分析和整改。（2）風險管理職能部門的持續(xù)監(jiān)督、獨立評估、缺陷報告強化監(jiān)督檢查；強化評價機制。要加大考核力度，將執(zhí)行力納入各級管理人員的業(yè)績指標；加大責任追究力度，針對測試發(fā)現(xiàn)，做好缺陷評估，對測試發(fā)現(xiàn)的重大問題，進行責任追究。（3）監(jiān)察部門、審計部門的監(jiān)督和獨立審計加強監(jiān)督檢查；開展管理層測試及專項審計等（4）外部審計機構(gòu)獨立監(jiān)督通過與外部審計機構(gòu)的溝通，剖析審計中發(fā)現(xiàn)的問題，制定整改措施，組織落實整改，堵塞經(jīng)營漏洞，促進內(nèi)部風險管理工作，提高風險防范能力。建立風險評估基礎(chǔ)目標設(shè)置與分解風險識別風險分析風險評價風險應(yīng)對信息與溝通監(jiān)督與檢查目的：為實現(xiàn)風險管理的目標，