《COSO中央企业全面风险管理.ppt》由会员分享,可在线阅读,更多相关《COSO中央企业全面风险管理.ppt(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1COSO风险管理框架清华大学会计研究所 陈武朝副教授电话:62772083Email:2008年9月2主要内容主要内容lCOSO ERM框架l实施风险管理要点l内控与企业风险管理的关系l中央企业全面风险管理指引3COSO ERMCOSO ERM框架框架lCOSO认为,内部控制是风险管理的一部分。l在内部控制-整体框架的基础上,COSO于2003年出台了企业风险管理框架 征求意见稿,并于2004年9月正式发布。4COSO ERMCOSO ERM框架(续)框架(续)l企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于整个企业之中,旨在识别可能会影响主体的
2、潜在事项,管理风险以使其在该主体的风险容量(风险承受范围)之内,并为主体目标的实现提供合理保证。5COSO ERMCOSO ERM框架(续)框架(续)企业风险管理框架企业风险管理框架COSO ERM6COSO ERMCOSO ERM框架(续)框架(续)l怎样理解该定义?企业风险管理是:l一个过程,它持续地流动于主体之内;l由组织中各个层级的人员实施;l应用于战略制订;l贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;l旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;l能够向一个主体的管理当局和董事会提供合理保证;l力求实现一个或多个不同类型但相互交叉的目标
3、。7COSO ERMCOSO ERM框架(续)框架(续)l目标的实现在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标:l战略(strategic)目标高层次目标,与使命相关联并支撑其使命;l经营(operations)目标有效和高效率地利用其资源;l报告(reporting)目标报告的可靠性;l合规(compliance)目标符合适用的法律和法规。8COSO ERMCOSO ERM框架(续)框架(续)企业风险管理的构成要素l内部环境(Internal Environment)l内部环境包含组织的基调
4、,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。p建立一套与风险管理相关的理念。它认为,意外事项与预期事项都可能发生。p建立企业风险文化。p考虑组织行为如何影响其风险文化的一切其它方面。l目标设定(Objective Setting)l必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。p在目标设定中,应用于管理层考虑风险策略的时候p制定公司的风险承受能力从高层面观察,管理层和董事会愿意接受多大的风险p风险容忍
5、度,目标相关变量的可接受水平,与风险承受能力一致。9COSO ERMCOSO ERM框架(续)框架(续)l事项识别(Event Identification)l必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。l风险评估(Risk Assessment)l通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。p一个事项是指可能影响战略执行或目标实现的一个事件或发生的事情。p辨别风险与机遇p风险是一个事项发生,并对目标实现产生负面影响的可能性。p可能有积极影响的事项,代表正常抵消或机遇。
6、p风险衡量采用与相关目标相同的衡量单位。p时间区间已指定,并与目标一致。10COSO ERMCOSO ERM框架(续)框架(续)l风险应对(Risk Response)l管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限(risk tolerance)和风险容量以内。l控制活动(Control Activities)l制订和执行政策与程序以帮助确保风险应对得以有效实施。l信息与沟通(Information&Communication)l相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和
7、向上流动。l监控(Monitoring)l对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。11COSO ERMCOSO ERM框架(续)框架(续)l注意:l企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。12COSO ERMCOSO ERM框架(续)框架(续)有效性l认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此,构成要素也是判定企业风险管理有效性的
8、标准。l构成要素如果存在并且正常运行,那么就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。l如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。l八个构成要素在每个主体中的运行并不是千篇一律的。例如,在中小规模主体中的应用可能不太正式,不太健全。尽管如此,当八个构成要素存在且正常运行时,小规模主体依然会拥有有效的企业风险管理。13COSO ERMCOSO ERM框架(续)框架(续)l局限尽管企业风险管理带来了重要的好处,但是仍然存在着局限。除了前面讨论过的因素之外,
9、局限还导源于下列现实:l人类在决策过程中的判断可能有纰漏,l有关应对风险和建立控制的决策需要考虑相关的成本和效益,l类似简单误差或错误的个人缺失可能会导致故障的发生,l控制可能会因为两个或多个人员的串通而被规避,以及l管理当局有能力凌驾于企业风险管理决策之上。l这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。14COSO ERMCOSO ERM框架(续)框架(续)l涵盖内部控制l内部控制是企业风险管理不可分割的一部分。l企业风险管理框架涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。l内部控制是在内部控制整合框架中加以定义和描述的。由于该框架经受了时间的考验,并且成为
10、现行规则、法规和法律的基础,因此内部控制整合框架对内部控制的定义和框架依然有效。尽管内部控制整合框架的正文中只有一部分被该框架所引用,但是ERM通过参考的方式把该框架整体融合了进来。15COSO ERMCOSO ERM框架(续)框架(续)职能与责任l主体中的每个人都对企业风险管理负有一定的责任。lCEO负有首要责任,并且应当假设其拥有所有权。l其他管理人员支持主体的风险管理理念,促使符合其风险容量,并在各自的责任范围内依据风险容限去管理风险。l风险官、财务官、内部审计师等通常负有关键的支持责任。l主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。l董事会对企业风险管理提供重要的监督,
11、并察觉和认同主体的风险容量。l很多外部方面,例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息,但是他们不但不对主体的企业风险管理的有效性承担任何责任,而且也不是它的组成部分。16COSO ERMCOSO ERM框架(续)框架(续)l比内控的概念更广l对公司管理至关重要l目标范围更宽,为战略提供反馈l风险管理办法更稳健17COSO ERMCOSO ERM框架(续)框架(续)l企业风险管理的关键观念l以组合观点评价风险。l管理层与董事会协商必须树立广义的风险承受能力。l侧重平衡价值、增长与风险18COSO ERMCOSO ERM框架(续)框架(续)l怎么办
12、?l更广的风险观:一个公司目前的风险比以前所有风险都高。我们不会因为以前做的决定来评估目前的情况。风险可能就在我们的决策框架和激励机制中。l必须关注外部环境l风险讨论必须上升到董事会层面19COSO ERMCOSO ERM框架(续)框架(续)l提高风险意识l内控 扩展到财务报告讨论层面以上。不能在不了解风险的情况下讨论控制。l必须考虑外部环境:环境变化可持续性竞争性行为潜在竞争性行为20COSO ERMCOSO ERM框架(续)框架(续)l提升风险管理l必须采用正确的衡量标准l外部:美国和欧洲正发展为更加知识化的经济l公司的投资方向在哪里?l怎样衡量风险?l怎样将这些与现有会计方法做对比?21
13、COSO ERMCOSO ERM框架(续)框架(续)l最新的观点l内控工作结合风险管理,对实现公司的经营目标十分重要;l在评估公司如何实施风险管理方面,需要公司董事会的参与,并发表明确的意见;l建议将内控纳入公司正常管理和治理流程中,建议不要将内控看作独立的监管工作。22COSO ERMCOSO ERM框架(续)框架(续)l企业风险管理是两个框架中最稳健的,但从开始就要求做更多的工作。l企业风险管理能够,并应该融入公司文化中。这将带来很大的成本效益。23COSO ERMCOSO ERM框架(续)框架(续)以目标为起点应用于各级组织的活动中八个要素事项和风险风险承受能力和风险容忍度组合模型基础方
14、面基础方面关键概念关键概念24实施全面风险管理要点实施全面风险管理要点1.组织设计2.建立一个全面风险管理的组织3.实施风险评价4.确定总体风险容量(risk appetite)5.确定风险相应(risk responses)6.沟通风险结果7.监控(Monitoring)8.管理层监督(Oversight)与定期复核25实施全面风险管理要点(续)实施全面风险管理要点(续)1.组织设计l企业战略l关键目标l使得企业达到(?)关键目标的相关目标l对组织单位及其负责人的职责分配26实施全面风险管理要点(续)实施全面风险管理要点(续)l例:l使命提供高质量的、可得到的、可承担的社区医疗服务l战略目标
15、成为中等规模城市的第一或第二大能的所有医疗服务提供者l相关目标与10个经营状况不佳的医院负责人对话,年内与其中两个医院达成协议27实施全面风险管理要点(续)实施全面风险管理要点(续)l2.建立一个全面风险管理的组织l确定风险哲学l调查风险文化l考虑组织的道德价值观l决定角色与责任28例:全面风险管理组织架构例:全面风险管理组织架构风险管理官员(ERM Director)副总或首席风险官(CRO)公司信用风险经理(Corporate Credit Risk Manager)保险风险经理(Insurance Risk Manager)风险经理(ERM Manager)风险经理(ERM Manage
16、r)职员职员职员社区风险管理官员29实施全面风险管理要点(续)实施全面风险管理要点(续)l3.实施风险评价l风险评价是识别、分析达成目标所面临的风险。这是管理风险的基础例:l环境风险资本筹集监管、政治、法律金融市场、股东关系l流程风险运营风险授权风险信息处理/技术风险完整性风险财务风险l决策所需信息运营风险财务风险战略风险30Source:Business Risk Assessment.1998 The Institute of Internal Auditors控制控制分担或转移分担或转移分散或规避分散或规避风险管理风险管理流程层面流程层面业务活动层面业务活动层面公司层面公司层面风险监控风
17、险监控 识别识别计量计量排序排序风险评价风险评价风险分析风险分析31实施全面风险管理要点(续)实施全面风险管理要点(续)1.4.确定总体风险容量(risk appetite)l应采用定性或定量术语(如,对利润的影响,对声誉的影响),并考虑风险容限(risk tolerance)。l关键问题:组织无法接受哪些风险?l如,环境或服务质量打折组织拟主动承受哪些风险?l如新业务组织出于竞争性目标拟接收哪些风险?l如毛利或市场份额32实施全面风险管理要点(续)实施全面风险管理要点(续)1.5.确定风险响应(risk responses)l量化风险敞口l组织的选择承担=监控规避=减少减少(对冲)=组织控制
18、分担=与合作者分担风险,如买保险33风险影响与发生可能性风险影响与发生可能性控制控制(Control)分担(分担(Share)监控与控制监控与控制(Mitigate&Control)承担(Accept)高风险高风险中等风险中等风险中等风险中等风险低风险低风险低高高影影响响可能性可能性34风险影响与发生可能性风险影响与发生可能性-客服中心风险评价客服中心风险评价会计分录出错会计分录出错设备过时设备过时相同问题不断反映相同问题不断反映电话掉线电话掉线计算机丢失计算机丢失信用风险信用风险客户等待时间长客户等待时间长客户不能打通电话客户不能打通电话客户问题得不到答复客户问题得不到答复舞弊舞弊失去交易失
19、去交易员工士气员工士气高风险高风险中等风险中等风险中等风险中等风险低风险低风险低高高影影响响可能性可能性35控制控制 风险风险控制控制目标目标活动活动完整性完整性重大交易重大交易复核已记录账面复核已记录账面 未记录未记录债务债务 结账后将发票与账面负结账后将发票与账面负债相互核对债相互核对例例:应付账款处理应付账款处理36实施全面风险管理要点(续)实施全面风险管理要点(续)1.6.沟通风险结果1.表:列出风险及风险响应2.流程图:说明关键控制点3.文字说明:目标以及相应的运营风险以及风险响应l列表:被监控的关键控制l管理层应理解关键业务的风险责任及其分派l7.监控l收集信息l进行分析风险被恰当
20、地识别控制活动恰当地发挥作用以减小风险37实施全面风险管理要点(续)实施全面风险管理要点(续)l8.管理层监督与定期复核l管理层对风险管理具有受托责任(Accountability)l及时更新业务目标变化时系统变化时流程变化时38内控与企业风险管理的关系内控与企业风险管理的关系有效的内控财务报告Set OBJECTIVES 识别威胁目标识别威胁目标实现的风险实现的风险执行有效的控控制环境制环境,作为防范风险的第一防线设计并执行有效的控制控制活动活动,以解决风险开展有效的信息信息与沟通与沟通,以协助组织实现其目标建立有效控制之后,开展监控监控活动,以保证控制继续有效运行。事项识别事项识别风险评估
21、风险评估风险应对风险应对设定目标39内控与企业风险管理的关系(续)内控与企业风险管理的关系(续)内控框架内控框架企业风险管理框架企业风险管理框架40中央企业全面风险管理指引中央企业全面风险管理指引 l为指导 国资委履行出资人职责的企业(即中央企业)开展全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续、健康、稳定发展,根据中华人民共和国公司法、企业国有资产监督管理暂行条例等法律法规,国资委制定了该指引。41中央企业全面风险管理指引中央企业全面风险管理指引 l指引的主要内容l中央企业开展全面风险管理工作的总体原则l基本流程l风险评估l风险管理策略l风险管理解决方案l监督与改进l组织体系
22、l风险管理信息系统l风险管理文化l培训42中央企业全面风险管理指引中央企业全面风险管理指引 l企业风险的定义l指未来的不确定性对企业实现其经营目标的影响。l一般可分为战略风险财务风险市场风险运营风险法律风险等l以能否为企业带来盈利等机会为标志,可以分为纯粹风险(只有带来损失一种可能性)机会风险(带来损失和盈利的可能性并存)43中央企业全面风险管理指引中央企业全面风险管理指引(续续)l全面风险管理的定义l指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。包括风
23、险管理策略风险理财措施风险管理的组织职能体系风险管理信息系统内部控制系统44中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理基本流程 包括l收集风险管理初始信息l进行风险评估l制定风险管理策略l提出和实施风险管理解决方案l风险管理的监督与改进 45中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理总体目标 l确保将风险控制在与总体目标相适应并可承受的范围内;l确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;l确保遵守有关法律法规;l确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,
24、提高经营活动的效率和效果,降低实现经营目标的不确定性;l确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失 46中央企业全面风险管理指引中央企业全面风险管理指引(续续)l建立健全全面风险管理体系的思路l企业应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。具备条件的企业应全面推进,尽快建立全面风险管理体系;其他企业应制定开展全面风险管理的总体规划,分步实施,可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或
25、多项业务开展风险管理工作,建立单项或多项内部控制子系统。l企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线:各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。47中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理初始信息风险管理初始信息l企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。l针对不同
26、类型的风险,企业应搜集不同的信息。48中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险评估包括:l风险辨识指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。l风险分析对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件 l风险评价 评估风险对企业实现目标的影响程度、风险的价值等定性与定量方法相结合l定性方法问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。l定量方法用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等
27、49中央企业全面风险管理指引中央企业全面风险管理指引(续续)定量方法定量方法一一评分评分12345定量方法定量方法二二一定时期一定时期发生发生的概率的概率10%以下10%-30%30%-70%70%-90%90%以上 定定性性方方法法文字描述文字描述一一极低低中等高极高文字描述文字描述二二一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生常常会发生文字描述文字描述三三今后10年内发生的可能少于1次今后510年内可能发生1次今后25年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次50中央企业全面风险管理指引中央企业全面风险管理指引(续续)适适用用于于所所有有行行业业定量方
28、定量方法一法一评分评分12345定量方定量方法二法二企业财务损失占税前企业财务损失占税前利润的百分比利润的百分比(%)1%1%以下以下1%-5%1%-5%6%-10%6%-10%11%-20%11%-20%20%20%以上以上定性方定性方法法文字描述一文字描述一极轻微的极轻微的轻微的轻微的中等的中等的重大的重大的灾难性的灾难性的文字描述二文字描述二极低极低低低中等中等高高极高极高文文字字描描述述三三企业日常运企业日常运行行不受影响不受影响轻度影响轻度影响(造造成轻微的人成轻微的人身伤害,情身伤害,情况立刻受到况立刻受到控制控制)中度影响中度影响(造成一定造成一定人身伤害,人身伤害,需要医疗救需
29、要医疗救援,情况需援,情况需要外部支持要外部支持才能得到控才能得到控制制)严重影响严重影响(企业失去企业失去一些业务能一些业务能力,造成严力,造成严重人身伤害,重人身伤害,情况失控,情况失控,但无致命影但无致命影响响)重大影响重大影响(重大业务重大业务失误,造成失误,造成重大人身伤重大人身伤亡,情况失亡,情况失控,给企业控,给企业致命影响致命影响)财务损失财务损失较低的财务损较低的财务损失失轻微的财务轻微的财务损失损失中等的财务中等的财务损失损失重大的财务重大的财务损失损失极大的财务极大的财务损失损失企业声誉企业声誉负面消息在企负面消息在企业内部流传,业内部流传,企业声誉没有企业声誉没有受损受
30、损负面消息在负面消息在当地局部流当地局部流传,对企业传,对企业声誉造成轻声誉造成轻微损害微损害负面消息在负面消息在某区域流传,某区域流传,对企业声誉对企业声誉造成中等损造成中等损害害负面消息在负面消息在全国各地流全国各地流传,对企业传,对企业声誉造成重声誉造成重大损害大损害负面消息流负面消息流传世界各地,传世界各地,政府或监管政府或监管机构进行调机构进行调查,引起公查,引起公众关注,对众关注,对企业声誉造企业声誉造成无法弥补成无法弥补的损害的损害51中央企业全面风险管理指引中央企业全面风险管理指引(续续)适适用用于于开开采采业业、制制造造业业定定量量方方法法一一评评分分12345定定性性与与定
31、定量量结结合合安安 全全短暂影响职工或公民的健康严重影响一位职工或公民健康严重影响多位职工或公民健康导致一位职工或公民死亡引致多位职工或公民死亡营营 运运-对营运影响微弱-在时间、人力或成本方面不超出预算1%-对营运影响轻微-受到监管者责难-在时间、人力或成本方面超出预算1%-5%-减慢营业运作-受到法规惩罚或被罚款等-在时间、人力或成本方面超出预算6%-10%-无法达到部分营运目标或关键业绩指标-受到监管者的限制-在时间、人力或成本方面超出预算11%-20%-无法达到所有的营运目标或关键业绩指标-违规操作使业务受到中止-时间、人力或成本方面超出预算20%环环 境境-对环境或社会造成短暂的影响
32、-可不采取行动-对环境或社会造成一定的影响-应通知政府有关部门-对环境造成中等影响-需一定时间才能恢复-出现个别投诉事件-应执行一定程度的补救措施-造成主要环境損害-需要相当长的时间来恢复-大规模的公众投诉-应执行重大的补救措施-无法弥补的灾难性环境損害-激起公众的愤怒-潜在的大规模的公众法律投诉52中央企业全面风险管理指引中央企业全面风险管理指引(续续)l对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后,依据评估结果绘制风险坐标图。53中央企业全面风险管理指引中央企业全面风险管理指引(续续)l绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。
33、如:某公司绘制了如下风险坐标图,并将该图划分为A、B、C三个区域,公司决定承担A区域中的各项风险且不再增加控制措施;严格控制B区域中的各项风险且专门补充制定各项控制措施;确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。54中央企业全面风险管理指引中央企业全面风险管理指引(续续)l关键风险指标管理l关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤:1分析风险成因,从中找出关键成因。2将关键成因量化,确定其度量,分析确定导致风险事件发生(或极有可能发生)时该成因的具体数值。3以该具体数值为基础,以发出风险预警信息为目的,加上或减去一定数值后形成新的数值,该
34、数值即为关键风险指标。4建立风险预警系统,即当关键成因数值达到关键风险指标时,发出风险预警信息。5制定出现风险预警信息时应采取的风险控制措施。6跟踪监测关键成因数值的变化,一旦出现预警,即实施风险控制措施。55中央企业全面风险管理指引中央企业全面风险管理指引(续续)l压力测试 l指在极端情景下,分析评估风险管理模型或内控流程的有效性,发现问题,制定改进措施的方法,目的是防止出现重大损失事件。具体操作步骤:1针对某一风险管理模型或内控流程,假设可能会发生哪些极端情景。2评估极端情景发生时,该风险管理模型或内控流程是否有效,并分析对目标可能造成的损失。3制定相应措施,进一步修改和完善风险管理模型或
35、内控流程。56中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理策略l指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。一般情况下,l对战略、财务、运营和法律风险风险承担、风险规避、风险转换、风险控制等方法。l对能够通过保险、期货、对冲等金融手段进行理财的风险风险转移、风险对冲、风险补偿等方法。57中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理解决方案l方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、
36、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。58中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理解决方案l风险管理解决的外包方案应注重l成本与收益的平衡l外包工作的质量l自身商业秘密的保护l防止自身对风险解决外包产生依赖性风险l风险解决的内控方案坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。59中央企业全面风险管理指引中央企业全面风险管理指引(续续
37、)l风险管理的监督与改进 l采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。l内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。l外包企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。60中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理组织体系 l国有独资公司和国有控股公司应建立外部董
38、事、独立董事制度。l董事会就全面风险管理工作的有效性对股东(大)会负责。l具备条件的企业,董事会可下设风险管理委员会。风险管理委员会对董事会负责,l企业总经理对全面风险管理工作的有效性向董事会负责。l企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。l企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。61中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理信息系统 l企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等 62中央企业全面风险管理指引中央企业全面风险管理指引(续续)l风险管理文化风险管理文化 l企业应注重建立具有风险意识的企业文化 l风险管理文化建设应融入企业文化建设全过程 l企业应在内部各个层面营造风险管理文化氛围l企业应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化