企業(yè)風險評估培訓課件

1、企業(yè)風險評估培訓教育訓練中心目錄一、風險評估二、管理責任一、風險評估過去常見的風險“風險是損失的可能性”“風險是損失的機會”“風險是可能造成的損失”“風險是未來的不確定性的狀態(tài)”“風險是結果的不確定性”什么是風險風險是指未來的不確定性對企業(yè)目標所產生的影響?，F(xiàn)行標準的定義（1）風險管理 原則與實施指南（中國國家標準GB/T 24353-2009）“風險是不確定性對目標的影響?！保?）國際標準ISO Guide 73& ISO 31000“風險是不確定性對目標的影響。”中央企業(yè)全面風險管理指引“第三條 本指引所稱企業(yè)風險，指未來的不確定性對企業(yè)實施其經(jīng)營目標的影響。”集團公司風險評估規(guī)范風險事件

2、案例：法國興業(yè)銀行法國興業(yè)銀行2008年1月24日宣布因交易元杰羅姆科威爾的欺詐行為“造成近50億歐元損失”。興業(yè)銀行旗下巴黎分行一交易員超出了其職務允許的范圍，秘密建立了歐洲股指期貨相關頭寸，導致了近50億歐元的損失；法國財政部報告認為：興業(yè)銀行風險監(jiān)控機制存在問題，內部監(jiān)控系統(tǒng)多個環(huán)節(jié)有可能存在漏洞主要風險有：沒有有效監(jiān)督交易元盤面資金，沒有有效跟蹤資金流動，沒有遵守后臺與前臺完全隔離規(guī)則。再嚴密的規(guī)章制度，再安全的電腦軟件，都可能存在漏洞、死角！對于風險管理，決不能掉以輕心。特別是在市場繁榮之際，應警惕因盈利而放松正常監(jiān)督。法興悲劇警示 我們一、規(guī)章出臺背景（一）國外風險管理監(jiān)管要求（二

3、）國內風險管理制度（三）公司風險管理實踐（一）國外風險管理監(jiān)管要求1.COSO（COSO ）企業(yè)風險管理框架企業(yè)風險管理是一個收到企業(yè)董事會、管理層和其他人員影響的過程，這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，旨在識別那些可能影響企業(yè)的潛在事件并管理風險使之在企業(yè)的風險偏好之內，從而合理確保企業(yè)實現(xiàn)其既定目標。企業(yè)風險管理概念企業(yè)風險管理框架所對應的企業(yè)目標戰(zhàn)略目標經(jīng)營目標報告目標合規(guī)性目標規(guī)范中的目標、風險類型企業(yè)風險管理框架八要素控制環(huán)境目標設定事項識別風險評估風險反應控制活動信息與溝通監(jiān)督評估風險分析風險明確現(xiàn)有風險： 結果、可能性、風險水平識別風險建立風險評估基礎：外部基礎內

4、部基礎風險管理相關的內容應對風險應對風險：識別并評估選擇權準備及執(zhí)行計劃分析及評估剩余風險溝通及協(xié)商監(jiān)控及評價YNISO31000風險管理標準（1）國際標準組織（ISO）于2005年2月決定制定風險管理通用標準（2）經(jīng)過幾年的工作，該標準已經(jīng)ISO各成員國的標準組織投票通過，已于2009年12月頒布（3）ISO31000的目的是提供共同的基礎，以促進和協(xié)調而不是替代現(xiàn)存的各種標準，如ISO9001和ISO17799等（4）ISO31000的特點是應用范圍極廣，適用于任意規(guī)模的所有組織，并因此僅定義了風險管理的一般程序，而略去了有關體系設置的所有內容ISO31000風險管理過程風險應對建立環(huán)境風

5、險分析風險識別風險 評估監(jiān)督和評審溝通和協(xié)商（二）國內風險管理制度1.國資委全面風險管理指引2006年6月，國資委印發(fā)了中央企業(yè)全面風險管理指引（以下簡稱指引），要求“中央企業(yè)根據(jù)自身實際情況貫徹執(zhí)行本指引”。全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。（二）國內風險管理制度（二）國內風險管理制度2.國內風險管理標準GB/T 24353 2009參考I

6、SO31000編制，于2009年正式發(fā)布，包括2項，一是風險管理原則與實施指南（GBT24353），一是風險管理術語（GBT23694）。術語和定義：風險風險管理范圍：本標準適用于公司層面、業(yè)務層面等的風險評估工作實施程序：風險評估實施程序一次為：建立風險評估基礎、目標設置與分解、風險識別、風險分析和風險評價總體要求：應有明確目標，并制定風險發(fā)生的可能性和影響程序的標準；開展風險評估應建立一支風險評估團隊，充分收復企業(yè)各類人員的意見；風險評估結果具有一定的時效性，企業(yè)ing根據(jù)內外部形勢的變化持續(xù)開展風險評估。風險評估二、風險管理程序及方法建立風險評估基礎目標設置與分解風險識別風險分析風險評價

7、風險應對信息與溝通監(jiān)督與檢查建立風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查目的：為之后的風險評估流程奠定基礎主要內容包括：（1）確定風險管理的目標和范圍（2）建立風險管理的語言和標準1.建立風險評估基礎（1）確定風險管理的目標和范圍在什么層面、圍繞什么業(yè)務開展風險管理工作，形成什么成果和機制（2）確定風險管理的范圍根據(jù)目標，確定涉及的具體的業(yè)務及部門、單位（3）確定風險管理組織，明確職責（4）制定工作計劃詳細，具有可操作性（5）形成工作方案或計劃經(jīng)相應層級領導審批后實施1.建立風險評估基礎（1）明確風險類型（2）制定風險偏好、容忍度、預警指標（3）風險評估標

8、準（4）根據(jù)風險管理理論與實踐，逐步形成風險管理制度公司層面重大風險，高于業(yè)務層面但又與業(yè)務層面結合不同層級管控不同的風險，主要分三個層面，包括公司層面管控的重大風險、企業(yè)管理層管控的重大風險、業(yè)務操作層面管控的重要風險。（1）明確風險類型根據(jù)對風險做出應對策略所在層面的不同，可以將風險分為：公司層面風險例如：公司風險管理報告、企業(yè)風險管理報告（關注重大風險）業(yè)務層面風險例如：內控手冊中財務報告風險、投資、資本運營等業(yè)務的經(jīng)營風險偏好是指為了實現(xiàn)目標，企業(yè)在承擔風險的種類、大小等方面的基本態(tài)度（2）風險偏好風險偏好一個企業(yè)在追求價值的過程中愿意接受的風險水平。風險偏好反映了企業(yè)風險管理的理念，

9、反過來又影響企業(yè)文化和經(jīng)營風格。制定風險偏好時要充分考慮風險承受能力。容忍度指標選擇：根據(jù)公司生產經(jīng)營指標或管理目標、KPI指標等，選擇合適的風險容忍度指標。例如：投資業(yè)務投資回報率、投資計劃完成率；銷售業(yè)務市場份額、零售總量；資產管理業(yè)務資產周轉率；員工關系方面投訴事件數(shù)量；人力資源管理業(yè)務員工總量；產線業(yè)務操作風險損失率（2）容忍度（2）風險預警指標為提前采取措施預防風險事件發(fā)生而在風險容忍度范圍內設置的警示界限。根據(jù)實際，可以是定量，也可以是定性，或者二者相結合。預警指標選擇：根據(jù)可以參考部分咨詢公司的行業(yè)數(shù)據(jù)庫、外部同行業(yè)上市公司披露的公開數(shù)據(jù)、國資委企業(yè)績效評價標準值中的行業(yè)對標值、

10、公司關鍵績效考核指標（KPI）等，還包括預警跡象，選擇合適的風險預警指標?？蓞⒖汲惺芏戎笜说倪x擇。用于風險分析。規(guī)范包括風險發(fā)生可能性標準、影響程度標準、風險等級標準。風險發(fā)生的可能性分為基本確定、很可能、有可能、不太可能、極小五個級別；分別對應5、4、3、2、1五個分值。風險影響程度分為極高、高、中、低、極低五個級別；分別對應5、4、3、2、1五個分值。不同層面，標準的內容各有不同。（3）風險評估標準建立風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查目的：目標的設置是風險評估的前提，只有先確立了目標，才能針對目標識別、分析影響目標的實現(xiàn)的風險，并采取必要應對措

11、施來管理風險。通過目標的層層分解，將實現(xiàn)目標，防范風險的責任落實到具體部門和崗位，明確時限目標的具體步驟和具體階段，以利于目標的實現(xiàn)。主要內容：（1）目標分類（2）收集目標（3）分解目標（1）目標分類借鑒COSO的ERM框架的目標分類方法（如下圖），將企業(yè)目標分為戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標。（風險分類的依據(jù)）?？梢允构芾碚咦⒁獾狡髽I(yè)風險管理的不同方面。企業(yè)的高層次目標與企業(yè)的使命或愿景相聯(lián)系并支持漆其實現(xiàn)。與企業(yè)對其適用的相關法律和法規(guī)的遵循性相關。與企業(yè)報告的可能性相關，包括企業(yè)內部和外部的報告，既包括財務信息，也包括非財務信息。與使用企業(yè)資源進行經(jīng)營的效果和效率相關，包括業(yè)績和

12、盈利能力目標和保護資產安全的目標。戰(zhàn)略目標經(jīng)營目標合規(guī)目標報告目標在確立目標時，首先把關注點放在企業(yè)戰(zhàn)略目標上，制定企業(yè)層面的各個業(yè)務的經(jīng)營目標等相關目標，以保證企業(yè)使命或愿景的實現(xiàn)。結合風險管理工作的目標和范圍，確定目標收集的范圍。結合實際設計工作模板，便于收集、分解目標。（不限于集團公司公司風險管理報告中設計的目標設置與分解一覽表一種形式）（2）收集目標（3）分解目標將收集的相關目標進行層層分解，分解到相應層級，便于識別相應層級的風險公司戰(zhàn)略發(fā)展目標保障措施進一步分解到子目標（生產經(jīng)營指標/管理指標/工作目標/KPI指標）對應到業(yè)務單元/職能部門和關鍵業(yè)務/事項建立風險評估基礎目標設置與分

13、解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查定義：風險識別是圍繞具體目標，對可能影響目標實現(xiàn)的風險源、影響范圍、事件原因和潛在的后果進行判斷并記錄風險的過程。主要內容：（1）信息收集（2）識別方法（3）風險數(shù)據(jù)庫（1）信息收集圍繞具體目標，收集相關信息，并進行分析、整理，為風險識別做準備（2）識別方法圍繞目標，充分運用收集的上述信息，選擇合適的方法識別風險（3）風險數(shù)據(jù)庫將識別的風險記錄到風險數(shù)據(jù)庫中。風險數(shù)據(jù)庫是下步風險分析的基礎。易菊風險管理目標何業(yè)務，設計風險數(shù)據(jù)庫模板。（公司層面/業(yè)務層面）同一風險數(shù)據(jù)庫中的風險描述要在同一層級上。風險點描述簡潔明了，與風險應對措施區(qū)分開建立

14、風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查目的：充分分析風險發(fā)生可能性和影響程度等方面，為確定重大風險奠定基礎。主要內容：（1）問卷調查表法（2）頭腦風暴法（1）問卷調查表法結合實際設計問卷，按照風險評估標準，結合收集信息（風險事件等），以及控制措施有效性，分析風險發(fā)生可能性大小、影響方面、影響程度大小等。分別對風險發(fā)生的可能性和影響程度進行分析?？赡苄栽u分按照風險評估可能性標準，依據(jù)風險的性質、掌握的信息量，確定風險發(fā)生可能性的種類（例如：安全環(huán)保風險評估安全部門可以選擇大型災害事件類標準）影響程度評分按照風險評估影響程度標準，從財務損失、企業(yè)聲譽、法律、

15、安全環(huán)境、營運等方面，選擇其中一個主要方面對風險的影響程度進行評分。計算個體評分風險值。風險值=可能性分值*影響程度分值（2）頭腦風暴法根據(jù)業(yè)務經(jīng)驗，充分利用已收集信息（領導講話關注風險、風險事件等），結合控制措施有效性，共同討論分析風險發(fā)生可能性大小、影響方面、影響程度大小。建立風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查目的：綜合考慮風險分析結果，選擇適用的風險評價方法，結合公司風險偏好，確定重大（重要）風險，為風險應對奠定基礎。主要內容：（1）加權平均計算法（2）管理層偏好法（1）加權平均計算法適用于采用問卷調查法（評分式調查問卷），對風險進行評分得出結

16、論的情況在前述評分結果基礎上，計算加權平均風險值，根據(jù)本單位風險等級分值，確定重大（重要）風險。同時也要評估企業(yè)管控能力，合理確定重大風險個數(shù)。（2）管理層偏好法適用于問卷調查法、頭腦風暴法等多種風險分析方法得出的結論。管理層充分考慮管控能力（人力、財力、物力等管理資源）大小，如何優(yōu)化、合理配置，以及風險管理的緊迫性等因素，確定管理重大（重要）風險個數(shù)。建立風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查（1）確定風險責任部門依據(jù)目標設置與分解情況，結合部門職責，確定風險責任部門。為以后年度風險識別、風險分析及應對奠定基礎。（2）重大風險原因及特點分析從根源分析重

17、大（重要）風險產生原因，分析風險的特點，使下步的風險應對更有針對性。（3）重大風險管理策略（偏好、容忍度、預警指標）可以采用定量或定性方式描述。依據(jù)重大風險的管控目標，確定重大風險偏好。與企業(yè)總體偏好保持一致。依據(jù)重大風險管理目標、KPI指標等，確定容忍度。在容忍度范圍內，參考KPI指標及相關資料，確定預警指標，與生產經(jīng)營相結合，為生產經(jīng)營管理服務，逐步形成重大風險預警指標體系。（4）總體應對策略和具體解決方案不采取任何措施去影響風險的可能性和影響。這可能是因為該風險屬于風險容忍度范圍之內；或該風險在企業(yè)范圍內與其他風險自然抵消；或由于風險應付成本過高，公司決定接受該風險。風險接受風險規(guī)避退出

18、引起風險的活動，即在可能的情況下，決定不從事或盡量避免那些繼續(xù)從事可能會導致風險的活動，如退出生產線、停止一個區(qū)域的業(yè)務或出售一部分經(jīng)營性資產等。通過采取措施來轉移和分擔一部分風險來減少風險的可能性或影響，這包括與另外的單位合作來共同承擔風險，如成立合資企業(yè)、購買保險、套期保值、外包業(yè)務等。分擔風險可能會帶來新的風險，因為合作單位可能缺乏期望的能力和資源。風險分擔風險減輕采取措施來減輕風險的可能性或影響，即通過改變風險發(fā)生的可能性來減少風險的不利后果，或改變風險的影響來減少損失的范圍，減輕風險一般牽涉到所有大量的日常經(jīng)營決策，例如產品多樣化、技術改進、加強人員培訓、資本重新分配、改進業(yè)務流程、

19、用制度管控風險等。建立風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查目的：建立后續(xù)的監(jiān)督改進機制，使風險管控措施落到實處。監(jiān)督檢查包括但不限于以下層面：（1）業(yè)務部門和所屬單位自我監(jiān)督（2）風險管理部門的持續(xù)監(jiān)督、獨立評估、缺陷報告（3）監(jiān)察部門、審計部門的監(jiān)督和獨立審計（4）外審獨立監(jiān)督（1）業(yè)務部門和所屬單位自我監(jiān)督業(yè)務部門和所屬單位根據(jù)內外環(huán)境及業(yè)務變化，對所負責的重大、重要風險的管理策略及解決方案的適用性進行評價，定期進行跟蹤管理。業(yè)務部門和所屬單位通過自我測試，即使發(fā)現(xiàn)內控體系運行中存在的問題，并認真組織分析和整改。（2）風險管理職能部門的持續(xù)監(jiān)督、獨

20、立評估、缺陷報告強化監(jiān)督檢查；強化評價機制。要加大考核力度，將執(zhí)行力納入各級管理人員的業(yè)績指標；加大責任追究力度，針對測試發(fā)現(xiàn)，做好缺陷評估，對測試發(fā)現(xiàn)的重大問題，進行責任追究。（3）監(jiān)察部門、審計部門的監(jiān)督和獨立審計加強監(jiān)督檢查；開展管理層測試及專項審計等（4）外部審計機構獨立監(jiān)督通過與外部審計機構的溝通，剖析審計中發(fā)現(xiàn)的問題，制定整改措施，組織落實整改，堵塞經(jīng)營漏洞，促進內部風險管理工作，提高風險防范能力。建立風險評估基礎目標設置與分解風險識別風險分析風險評價風險應對信息與溝通監(jiān)督與檢查目的：為實現(xiàn)風險管理的目標，在風險管理過程中，收集內外部風險信息，并在公司內部傳遞和共享。主要內容：信息

21、收集（風險識別階段已闡述）溝通包括但不限于：（1）與本單位業(yè)務部門溝通（2）與上級公司（機構）溝通（3）企業(yè)間交流（4）與外部機構交流學習與本單位業(yè)務部門溝通與外部機構交流學習等方式與上級公司（機構）溝通匯報企業(yè)間交流方案溝通：過程溝通，工作模板簡潔明了；成果共享；了解熟悉業(yè)務的過程；風險文化宣貫的過程。方案及風險評估成果的上報；風險管理工作開展過程中，通過培訓會等方式溝通。通過交流會、典型宣傳等多種方式、使單位間互相借鑒通過交流會、典型宣傳等多種方式、使單位間互相借鑒聘請外部資深機構或講師指導、培訓二、管理責任該管理體系應包含以下要素：6) 培訓：應為管理層及工人制定培訓計劃，以落實參與者的政策、程序及改善目標，同時滿足適用之法規(guī)的規(guī)定。 7) 溝通：應制定一套流程，將參與者的政策、實踐、預期目標和績效清晰準確地傳達給工人、供應商和客戶。 8) 工人反饋和參與：制定方案持續(xù)評估員工對本守則的理解并獲取對本守則所覆蓋的實踐和條件的反饋意見，從而促進持續(xù)改進。 該管理體系應包含以下要素：9) 審核與評估：定期進行自我評估，以確保符合法規(guī)的要求、本守則內容以及客戶合約中的社會與環(huán)境責任要求