2014.3風險管理標準

1、 風險管理標準 & 風險管理體系2教師介紹n安全工程博士、經(jīng)濟學碩士，教授級高工；n全國風險管理技術(shù)委員會委員；n中國職業(yè)健康安全協(xié)會安全經(jīng)濟學委員會委員;n國家注冊質(zhì)量管理體系高級審核員；n國家注冊環(huán)境管理體系高級審核員；n國家注冊職業(yè)健康安全管理體系高級審核員;3 課 程主要內(nèi)容u 風險管理知識介紹； 風險管理術(shù)語 u 國內(nèi)外主要風險管理法規(guī)及標準： 中央企業(yè)全面風險管理指引； 風險管理 原則與實施指南（GB-T24353-2009 ）；u 風險管理體系、建立與實施u 風險管理體系與其他體系的關系4Part1第一部分第一部分 風險管理知識介紹風險管理知識介紹5風險管理的起源n風險管

2、理是一門新興學科，但發(fā)展很快，己成為一種國際性的運動，受到了世界各國經(jīng)濟界的重視，在企業(yè)管理中得到了廣泛而迅速地運用。雖然風險管理思想的萌芽可以追溯到遠古時代原始人類的生存活動，但是，作為系統(tǒng)的科學，風險管理則產(chǎn)生于上世紀初產(chǎn)生于上世紀初的西方工業(yè)化國家的西方工業(yè)化國家。n風險管理起源于德國起源于德國。第一次世界大戰(zhàn)之后，戰(zhàn)敗的德國發(fā)生了嚴重的通貨膨脹，造成經(jīng)濟衰竭，提出了包括風險管理在內(nèi)的企業(yè)經(jīng)營管理問題。6風險管理的起源n美國1929-1933年經(jīng)濟危機，使風險管理問題成為許多經(jīng)濟學家研究的重點： 1931年，由美國管理協(xié)會保險部首先提出風險管理概念； 1932年成立紐約保險經(jīng)紀人協(xié)會，該

3、協(xié)會的成立標志著風險管理學科的興起。 n50年代：風險管理問題真正在美國工商企業(yè)中引起足夠的重視并得到推廣（2起事故）：美國通用汽車公司的自動變速器裝置引發(fā)火災，造成巨額經(jīng)濟損失；美國鋼鐵行業(yè)因團體人身保險福利問題及退休金問題誘發(fā)長達半年的工人罷工，給國民經(jīng)濟帶來難以估量的損失。7風險管理的起源n1963年，美國出版的保險手冊刊載了企業(yè)的風險管理一文，引起歐洲各國的普遍重視。風險管理也成了企業(yè)管理科學中一門獨立學科。n風險管理已成為一門跨越自然科學和社會科學的邊緣學科。它不僅同地質(zhì)學、生態(tài)學、氣象學相關，而且與系統(tǒng)工程學、行為科學有密切的聯(lián)系，是一種包含多類學科的綜合經(jīng)濟管理。 8企業(yè)的風險n

4、國外統(tǒng)計資料表明：在正常年份宣布破產(chǎn)的企業(yè)數(shù)量約占國外統(tǒng)計資料表明：在正常年份宣布破產(chǎn)的企業(yè)數(shù)量約占企業(yè)總數(shù)的企業(yè)總數(shù)的1%。日本學術(shù)振興會特別研究員清水剛通過。日本學術(shù)振興會特別研究員清水剛通過研究發(fā)現(xiàn)，研究發(fā)現(xiàn)，1896年到年到1982年的年的10次總資產(chǎn)排名前次總資產(chǎn)排名前100家家的上市公司中，企業(yè)平均壽命為的上市公司中，企業(yè)平均壽命為25年。年。n1983年殼牌石油公司的一項調(diào)查發(fā)現(xiàn)，年殼牌石油公司的一項調(diào)查發(fā)現(xiàn)，1970年名列年名列財財富富雜志雜志500家大企業(yè)排行榜的公司，有家大企業(yè)排行榜的公司，有13已經(jīng)銷聲匿已經(jīng)銷聲匿跡。跡。n許多研究表明，在企業(yè)的演進和發(fā)展歷史中，企業(yè)的平

5、均許多研究表明，在企業(yè)的演進和發(fā)展歷史中，企業(yè)的平均壽命很低，死亡率很高。但是，與此同時，也有一些百年壽命很低，死亡率很高。但是，與此同時，也有一些百年以上長壽公司，甚至還有存續(xù)二、三百年的企業(yè)。以上長壽公司，甚至還有存續(xù)二、三百年的企業(yè)。 9風險類別 n政治法規(guī)風險；n經(jīng)濟風險 （利率、匯率的變化）；n商業(yè)風險 （如合同關系發(fā)生變更）；n決策風險；n生產(chǎn)經(jīng)營風險；n科技技術(shù)風險；n管理風險；n 質(zhì)量風險；n 環(huán)境風險；n 財務風險、審計風險；n 安全生產(chǎn)事故風險；n 自然災害；n 公共責任風險；n 保安n 其他：黨風廉政風險 10企業(yè)風險因素市場風險市場風險 外匯風險外匯風險 體制風險體制風

6、險 自然災害風險自然災害風險 政策風險政策風險 外交風險外交風險 產(chǎn)品風險產(chǎn)品風險 經(jīng)營風險經(jīng)營風險 人事風險人事風險 購并風險購并風險 11國內(nèi)外主要風險管理標準n我國風險管理國家標準風險管理 術(shù)語、 風險管理 原則與實施指南、供應鏈風險管理指南、公司治理風險管理指南；nISO31000，;nISO/IEC GUIDE 73:2002, nAS/NZS 4360：2004, ；nCOSO, ;nSarbanes-Oxley Act ;nAIRMIC, ALARM, IRM, n中央企業(yè)全面風險管理指引，2006.6.6 12 風險管理術(shù)語和定義n風險風險 riskrisk 某一特定危害性事件

7、發(fā)生的概率和其后果的組合。n n事件事件 eventevent 特定情況的發(fā)生。 注1：事件可能是確定的 ，也可能是不確定的； 注2：事件可能是單一的，也可能是系列的。13風險管理術(shù)語和定義n風險管理風險管理 risk managementrisk management 指導和控制某一組織的風險風險問題的協(xié)調(diào)活動。 通俗的定義：風險管理是指經(jīng)濟單位對風險進行識別、衡量、分析，并在此基礎上有效地處置風險，以最低成本實現(xiàn)最大安全保障的科學管理方法。n概率概率 probabilityprobability 某一事件發(fā)生的可能程度。n后果后果 consequenceconsequence 某一事件事件

8、的結(jié)果。14 風險管理術(shù)語和定義n風險管理體系風險管理體系 risk management systemrisk management system 組織管理體系中與管理風險有關的要素集合。 注1：管理體系要素可以包括戰(zhàn)略規(guī)劃，決策以及處理風險的其它過程。 注2：組織的文化體現(xiàn)在風險管理體系中。n風險辨識風險辨識 risk identificationrisk identification 發(fā)現(xiàn)、列舉和描述風險風險要素的過程。15 風險管理術(shù)語和定義n風險分析風險分析 risk analysisrisk analysis 系統(tǒng)地運用現(xiàn)有的信息來確定某一事件發(fā)生的可能性 和后果。n風險評價風險評

9、價 risk evaluationrisk evaluation 將估計后的風險風險與給定的風險準則風險準則對比，來決定風險嚴重性的過程。n風險處理風險處理 risk treatmentrisk treatment 選擇及實施風險風險措施的過程。 注1：術(shù)語“風險處理”有時指應對措施本身。 注2：風險處理措施包括規(guī)避、優(yōu)化、轉(zhuǎn)移或保留風險。16風險管理術(shù)語和定義n風險評估風險評估 risk assessmentrisk assessment 包括風險識別、風險分析風險分析和風險評價風險評價在內(nèi)的全部過程。n風險降低風險降低 risk reductionrisk reduction 減少風險風險

10、的消極后果后果，降低其發(fā)生概率概率或二者兼有的行為。n風險規(guī)避風險規(guī)避 risk avoidancerisk avoidance 決定不陷入風險，或者從風險狀態(tài)中撤離的行為。 注：這個決定可能是以風險評價的結(jié)果為依據(jù)的。 17 風險管理術(shù)語和定義n風險轉(zhuǎn)移風險轉(zhuǎn)移 risk transferrisk transfer 與其它組織共同承擔風險損失，共享風險收益的行為。 注1：法律法規(guī)可能對某一特定風險的轉(zhuǎn)移進行限制、禁止或強制執(zhí)行。 注2：風險轉(zhuǎn)移可以通過保險或其它協(xié)議來實施。 注3：風險轉(zhuǎn)移可能會引發(fā)新的風險也可能會改變現(xiàn)有的風險。 注4：重新安排風險來源不屬于風險轉(zhuǎn)移。n風險自留風險自留 r

11、isk retentionrisk retention 接受某一特定風險帶來的損失或收益。n殘余風險殘余風險 residual riskresidual risk 風險處理后剩余的風險。18Part2第二部分第二部分 國內(nèi)風險管理法規(guī)與標準介紹國內(nèi)風險管理法規(guī)與標準介紹 1.中央企業(yè)全面風險管理指引2006.620第一章總第一章總 則則 n企業(yè)風險：指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。n企業(yè)風險一般可分為戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險等；n企業(yè)風險也可分為：純粹風險、機會風險21全面風險管理的定義n企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理

12、的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。22風險管理基本流程n 收集風險管理初始信息；n 進行風險評估；n 制定風險管理策略；n 提出和實施風險管理解決方案；n 風險管理的監(jiān)督與改進。23內(nèi)部控制系統(tǒng)n指圍繞風險管理策略目標，針對企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品研發(fā)、投融資、市場運營、財務、內(nèi)部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質(zhì)量、安全生產(chǎn)、環(huán)境保護等各項業(yè)務管理及其重要業(yè)務流程，通過執(zhí)行風險管理基本流程，制定并執(zhí)行的規(guī)章

13、制度、程序和措施。24第二章風險管理初始信息第二章風險管理初始信息n企業(yè)應廣泛、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關的內(nèi)部、外部初始信息，包括歷史數(shù)據(jù)和未來預測：戰(zhàn)略風險；財務風險；市場風險；運營風險；法律風險。25第三章風險評估第三章風險評估n企業(yè)應對收集的風險管理初始信息和企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行風險評估；n風險評估包括風險辨識、風險分析、風險評價三個步驟；n進行風險辨識、分析、評價，應將定性與定量方法相結(jié)合 ；n風險評估可聘請有資質(zhì)、信譽好、風險管理專業(yè)能力強的中介機構(gòu)協(xié)助實施；26中央企業(yè)全面風險管理指引nCHAP4CHAP4風險管理策略風險管理策略; ;nCHAP5C

14、HAP5風險管理解決方案風險管理解決方案: : 外包方案外包方案、內(nèi)控方案nCHAP6CHAP6風險管理的監(jiān)督與改進風險管理的監(jiān)督與改進企業(yè)風險管理職能部門定期進行檢查和檢驗企業(yè)風險管理職能部門定期進行檢查和檢驗; ;企業(yè)內(nèi)部審計部門應至少每年一次對各有關部門和業(yè)務企業(yè)內(nèi)部審計部門應至少每年一次對各有關部門和業(yè)務單位進行監(jiān)督評價單位進行監(jiān)督評價; ;企業(yè)企業(yè)可聘請中介機構(gòu)可聘請中介機構(gòu)對企業(yè)全面風險管理工作進行評價，對企業(yè)全面風險管理工作進行評價，出具風險管理評估和建議專項報告。出具風險管理評估和建議專項報告。 27第七章風險管理組織體系第七章風險管理組織體系n企業(yè)應建立健全風險管理組織體系，

15、主要包括規(guī)范的公司法人治理結(jié)構(gòu)，風險管理職能部門、內(nèi)部審計部門和法律事務部門以及其他有關職能部門、業(yè)務單位的組織領導機構(gòu)及其職責。n具備條件的企業(yè)，董事會可下設風險管理委員會 n企業(yè)應設立專職部門或確定相關職能部門履行全面風險管理的職責。 * 參考：公司治理風險管理指南（國家標準）28 中央企業(yè)全面風險管理指引nCHAP8風險管理信息系統(tǒng)風險管理信息系統(tǒng)nCHAP9 風險管理文化風險管理文化nCHAP10附則附則n附錄：風險管理常用技術(shù)方法簡介附錄：風險管理常用技術(shù)方法簡介 2.風險管理 原則與實施指南（GB-T24353-2009 ）30國家標準概況n標準號：GB/T24353-2009n2

16、009.9.30發(fā)布，12月1日實施；n是風險管理系列標準中的指導性標準；n標準的編制參考了ISO/DIS31000風險管理 原則與實施指南；n適用范圍：各種類型和規(guī)模的組織，適用于組織的生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產(chǎn)品、服務、資產(chǎn)、運作好決策等有關的各項活動。31風險管理原則n控制損失，創(chuàng)造價值；n融入組織管理過程；n支持決策過程（組織所有決策都應該考慮風險和風險管理）；n應用系統(tǒng)的、結(jié)構(gòu)化的方法；n以信息為基礎；n環(huán)境依賴；n廣泛參與 、充分溝通；n持續(xù)改進 3233 建立環(huán)境n建立外部環(huán)境外部環(huán)境是組織尋求實現(xiàn)其目標時所處的外界環(huán)境。

17、 外部環(huán)境以組織整體環(huán)境為基礎，包括法律和監(jiān)管要求、利益相關者的認知和與具體風險管理過程相關的其他風險方面的細節(jié)。外部環(huán)境可包括： - 國際的、國內(nèi)的、地區(qū)的、或當?shù)氐奈幕?、政治、法律、法?guī)、金融、技術(shù)、經(jīng)濟、自然環(huán)境和競爭環(huán)境； - 影響到組織目標的關鍵推動因素和趨勢； - 外部利益相關者的認知和價值觀。34建立環(huán)境n建立內(nèi)部環(huán)境 內(nèi)部環(huán)境是組織尋求實現(xiàn)其目標所處的內(nèi)在環(huán)境。 組織有必要從以下方面了解內(nèi)部環(huán)境： -在資源和知識方面的能力； -信息系統(tǒng)、信息流和決策過程； -內(nèi)部利益相關者； -方針、目標、以及現(xiàn)有的實現(xiàn)目標的策略； -認知、價值觀和文化； -組織采用的標準和參考模型； -結(jié)構(gòu)

18、（例如治理結(jié)構(gòu)、任務和責任）。 35建立環(huán)境n 建立風險管理過程環(huán)境- 確定應當執(zhí)行的風險管理活動的范圍、深度和廣度，明確具體包含和不含的內(nèi)容；- 確定活動、過程、職能、項目、產(chǎn)品、服務或資產(chǎn)等的時間、地點、目標及目的；n 制定用于評定風險重要程度的準則- 該準則應反映組織的價值觀、目標和資源。- 一些準則是法律和法規(guī)要求或其它的組織需要遵循的要求。36風險辨識n組織應當辨識風險源、影響范圍、事件；n辨識的范圍視組織擬確立的風險管理范圍而定；n組織應根據(jù)擬定的風險管理范圍、風險性質(zhì)、所處的行業(yè)特點等選擇適宜的辨識風險的方法；n風險辨識的方法： 專家調(diào)查法、流程圖分析、頭腦風暴法、訪談等。 37

19、風險分析n組織應該采用適當?shù)姆椒ǚ治鲎R別出的風險；n風險分析應包括某一非確定事件發(fā)生的可能性和后果以及影響可能性和后果的各種因素；n分析可以是定性的、半定量的、定量的或其組合。在實踐中經(jīng)常首先采用定性分析以一般性了解風險等級和揭示主要風險。n風險分析的方法包括：專家調(diào)查法；系統(tǒng)工程方法如：失效模式研究、故障樹等；計算機模擬；數(shù)學、經(jīng)濟學模型。38 風險評價n風險評價的目的是在風險分析結(jié)果的基礎上做出關于哪個風險需要處理的決策，以決定優(yōu)先處理方案。n風險評價涉及將分析過程中發(fā)現(xiàn)的風險等級與考慮環(huán)境信息時制定的準則進行比較。如果風險等級不符合風險準則，則應當對風險進行處理。39高風險行業(yè)中風險行業(yè)

20、低風險行業(yè)n醫(yī)藥和化學制品制造商n銀行、金融機構(gòu)n航空、鐵路、公交和地鐵系統(tǒng)n賓館、飯店旅游公司n核電廠n食品制造和分銷企業(yè)n夜總會、娛樂休閑場所n軟飲料和果汁生產(chǎn)商n建筑、房地產(chǎn)公司n煤氣站n公共設施及私人設施、機場n水泥供應商和結(jié)構(gòu)工程公司n大學、醫(yī)院、非贏利性機構(gòu)、教堂、博物館n零售連鎖店n生物技術(shù)公司n石油生產(chǎn)商和分銷商n電信公司n家庭用品制造商n包裝公司n網(wǎng)絡中心組織n計算機制造商餓分銷商n發(fā)動機和重金屬制造商n電梯制造商n醫(yī)藥、衛(wèi)生所n超市和購物中心n煙酒公司n健康俱樂部、日常護理中心n保險代理 n軟件公司n慈善機構(gòu)n廣播電視n財務會計公司n服飾生產(chǎn)商n地方性商務企業(yè)n旅行社n法律

21、公司n咨詢公司n汽車出租公司n郵購和目錄服務公司n國際組織（如世界銀行等）40 風險處置過程41風險處置之回避風險l任何組織對風險的對策，首先考慮到的是避免風險，尤其是對靜態(tài)風險盡可能予以避免。凡風險所造成的損失不能由該項目可能獲得利潤予以抵消時，回避風險是最可行的簡單方法。l局限性n只有在風險可以避免的情況下，避免風險才有效果；n有些風險無法回避；n有些風險可能回避但成本過大；n消極地回避風險，只能使企業(yè)安于現(xiàn)狀，不求進取。 42風險處置之回避風險n避免風險的方法還可以分為完全避免和部分避免兩種。n完全避免，就要不惜放棄伴隨風險而來的盈利機會。部分避免，主要取決于成本因素和非經(jīng)濟因素。如果避

22、免收益大于避免成本，就可以考慮避免，否則可以不要避免。n在采取部分避免風險時，往往還有兩種戰(zhàn)略：進攻性戰(zhàn)略，即在高收益和低風險“替代選擇”中，挑選高收益而不顧忌風險；防守戰(zhàn)略，即在高收益和低風險的“替代選擇”中，挑選低風險而不在乎收益。 43風險處置之風險控制n組織在風險不能避免或在從事某項經(jīng)濟活動勢必面臨某些風險時，首先想到的是如何控制風險發(fā)生、減少風險發(fā)生，或如何減少風險發(fā)生后所造成的損失，即為控制風險預防和抑制風險。n控制風險主要有兩方面意思：一是控制風險因素，減少風險的發(fā)生；二是控制風險發(fā)生的頻率和降低風險損害程度。 44BP的風險自留政策nBP允許經(jīng)理們?yōu)樾∫?guī)模的損失購買保險卻自留大

23、規(guī)模損失；nBP停止為 1000萬到5億美元范圍的損失進行保險，其主要原因是：考慮到BP的利潤和資產(chǎn)規(guī)模，這種規(guī)模的損失不可能嚴重破壞BP的經(jīng)營和投資。對于超過5億美元的損失， 保險市場的能力是有限的。n ？無論基本指導原則如何，有限的保險市場能力使得自留巨大損失成為相對于保險來說是合乎需要的，甚至是惟一可行的選擇方案。* 討論45監(jiān)督和檢查n監(jiān)督和檢查過程應當涵蓋風險管理過程的所有方面： -監(jiān)測事件 ； -風險處置過程 -發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風險本身的變化 ； -對照風險管理計劃，測量工作進度和與計劃的偏差； -報告關于風險、風險管理計劃進度和風險管理政策的遵循情況 n風險監(jiān)控

24、可以借助計算機技術(shù)和組織現(xiàn)有的一些數(shù)據(jù)庫、平臺等。n監(jiān)督和檢查活動可能包括常規(guī)檢查、定期或隨機的檢查。46 溝通與協(xié)商n內(nèi)外部溝通與協(xié)商發(fā)生于風險管理的全過程；n協(xié)商與溝通應包括： -聯(lián)系適當?shù)耐獠坷嫦嚓P者和保證有效的信息交換； -符合法律、規(guī)定和公司治理要求的對外報告； -提供溝通和協(xié)商的反饋和報告； -在發(fā)生危機和緊急形勢時與利益相關者溝通；n對風險承擔責任的人員，應該確保就風險的信息及時地與相關方面進行了溝通。47風險分析評價方法n層次分析法n模糊分析法n灰色系統(tǒng)理論n故障樹分析n敏感性分析n蒙特卡羅方法n頭腦風暴法n專家調(diào)查法n風險矩陣法n失效模式與影響分析n關鍵風險指標管理48 1

25、. 風險矩陣法n風險矩陣法把風險分成可能性可能性和嚴重度和嚴重度兩個方面。n把風險發(fā)生可能性的高低、風險發(fā)生后對主體目標的影響程度，作為兩個維度繪制在同一個平面上，稱之為風險矩陣風險矩陣。 49定性方法描述風險事件可能性和嚴重度定性方法描述風險事件可能性和嚴重度 50風險矩陣（定性方法）風險矩陣（定性方法）51定量方法描述風險事件可能性和嚴重度定量方法描述風險事件可能性和嚴重度 52風險矩陣（定量方法）風險矩陣（定量方法）532. 關鍵風險指標管理n一項風險事件的發(fā)生可能有多種成因，但關鍵成因往往只有幾種。關鍵風險指標管理是對引起風險事件發(fā)生的關鍵成因指標進行管理的方法。 1分析風險成因，找出關鍵成因。 2將關鍵成因量化，分析確定導致風險事件發(fā)生時該成因的具體數(shù)值。 3以該具體數(shù)值為基礎，以發(fā)出風險預警信息為目的，加上或減去一定數(shù)值后形成新的數(shù)值，該數(shù)值即為關鍵風險指標。 4建立風險預警系統(tǒng)，即當關鍵成因數(shù)值達到關鍵風險指標時，發(fā)出風險預警信息。 5制定出現(xiàn)風險預警信息時應采取的風險控制措施。 6跟蹤監(jiān)測關鍵成因數(shù)值的變化，一旦出現(xiàn)預警，實施風險控制措施。54Part3第三部分第三部分 風險管理體