IFM风险管理2.ppt

培训内容：风险管理风险管理诠释风险管理的基石：企业组织结构风险管理程序与方法案例分析,如果一切皆在掌控中，说明你前进得不够快。马里奥安德列蒂，美国一级方程式赛车手 我们已经遇到了敌人就是我们自己。波哥，漫画人物,第一部分风险管理诠释,开篇小案例,中航油事件 2004年12月，中国航油集团 唯一的海外公司中国航油（新加波）股份有限公司发布 了一个令人震惊的消息：因原油期货交易，总计亏损5.5亿美金。,为什么需要风险管理？,年收入450万美元的陈久霖与阿卜杜拉,亏损5.5亿美元的陈久霖,警钟长鸣,警钟长鸣,中航油在新加坡一直被当作一家“业绩出众且具高透明度的企业”。新加坡总理吴作栋2003年11月访问中国时，特邀陈久霖随新加坡企业代表团访问中国，向中国企业家介绍他在新加坡的成功经验。2004年9月24日晚，中航油刚刚荣获新加坡证券投资者协会颁发的2004年度“最具透明度企业”奖，这是其第二次获得这项荣誉。,原油期货价格,03下半年开始期权交易，200万桶,04年3月亏580万，后移仓，期价38美元，13年最高,8月48美元/桶,6月亏3000万美元，油价21年最高。加仓,10月亏1亿，不得不向集团求援,10月20日，集团减持15股份补保证金,10月26日三井发出违约函，开始斩仓,200万桶 5200万桶,过度投机,2003年下半年 中航油开始参与200万桶原油期货买卖，初期获利；2004年一季度 国际油价飙升，中航油持淡仓，录得账面亏损580万美元，为求收复失地，加大投资增持淡仓；2004年二季度 油价续升，中航 油账面亏损增至3000万美元。为避免在账目上出现实际亏损，公司决定将交割日期延后至2005及2006年，再加大投资，希望油价回落时可翻身；2004年 10月中航油的原油期货合约已增至5200万桶，油价到达历史高位，中航油面临巨额亏损；2004年10月10日 中航油首次向中航油集团呈交报告，说明交易情况及面对1.8亿美元的账面损失，并已缴付了期货交易的8000万美元补仓资金，公司同时面对严重的现金流问题，已接近用尽2600万美元的营运资金、1.2亿美元的银团贷款及6800万美元的应收贸易款，上述数据从未向其它股东及公众披露；,2004年10月20日中航油集团为了筹集资金支付补仓资金，透过德意志银行新加坡分行配售15%的中航油股份，令集团持股比例由75%减至60%，集资1.08亿美元；2004年10月26日28 中航油未能补仓，多张合约被逼平仓，实际损失增至1.32亿美元；2004年10月26日29 巴克莱资本开始追债行动，要求中航油偿还2646万美元；2004年11月8日中航油再有合约被逼平仓，亏损增加1亿美元；2004年11月9日三井(Mitsui)能源风险管理公司加入追债行列，追讨7033万美元；2004年11月16日另一批合约被平仓，再亏7000万美元；,2004年11月17日Standard Bank London Ltd追讨1443万美元，并指如果未能在12月9 日支付欠款，将会申请将之破产；2004年11月25日最后一批合约被平仓，总亏损合计达3.81亿美元，债权银行陆续追债，合计追讨2.48亿美元，该公司同时已违反法国兴业银行牵头的1.6亿美元银团贷款条款，同样面对被清盘危机；2004年11月29日陈久霖向新加坡法院申请破产保护，并指中航油集团已承诺继续支付及偿还该公司欠款，并正与新加坡政府拥有的淡马锡集团联合注资1亿美元协助公司重组，但淡马锡尚未答应；2004年11月30日中航油终止所有原油期货交易。,中航油没有落实内控制度,中航油其实有严格的内控制度，但没有执行。中航油内部有严格的交易制度：每位中航油期货交易员，每笔交易损失20万美元以上时，继续交易与否要提交给公司的风险管理委员会评估；累计损失超过35万美元的交易必须得到总裁的同意才能继续；任何将导致50万美元以上损失的交易将自动平仓。换句话说，中航油10位交易员的损失额上限本来只有500万美元，最终却损失5.5亿美元，110倍，或者说有110次的斩仓机会。一根火柴的价值只有一分钱，但是它能毁掉价值千万的大厦。建立一个成功的 企业需要长年的努力，而毁掉它，只需要一个错误的决策。,若干案例：安然公司世通公司巴林银行回顾事件发生的经过了解引致公司倒闭或严重损失的内控缺陷从案例中吸取的教训,八百伴公司某国企投资非核心业务,案例一：美国安然公司(Enron),在2002年，安然是美国最大的石油和天然气企业之一2001年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利,调查发现：安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后，部分董事表示不太了解安然的财务状况、期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度,案例二：美国世通公司(Worldcom),世通是美国第二大的电信公司2002年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来虚报利润735亿美元世通于2002年末申请破产保护令，成为美国历史上最大的破产个案世通的四名主管(包括公司的CEO和CFO)承认串谋讹诈，被联邦法院刑事起诉,调查发现：世通的董事会持续赋予公司的CEO(Bernard Ebbers)绝对的权力，让他一人独揽大权美国证监会的调查报告指出：世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金,案例三：英国巴林银行(Barings Bank),巴林银行在90年代前是英国最大的银行之一，有超过200年的历史1992-1994年期间，巴林银行新加坡分行的总经理里森(Nick Lesson)，从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动，累积亏损超过10亿美元，导致巴林银行于1995年2月破产,调查发现：巴林银行的高层对里森所从事的业务并不了解巴林缺乏职责划分的机制巴林银行的高层对财务报告不重视,案例四：日本八百伴(Yohan),在90年代，八百伴是日本最大的百货公司之一1997年9月，八百伴宣布破产，向法院申请“公司更生法”保护，当时八百伴的负债额达1,613亿日元，是日本战后最大的一宗企业破产案,调查发现：八百伴低估经营非核心业务的风险八百伴低估扩张业务的风险八百伴低估了开发新兴市场的风险,某国营企业(简称“国企B”)于19X6至19X8的两年间，动用接近10亿元人民币，投资了15家公司，而该国企在每家公司的权益均在10%至30%之间，这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。,调查发现：国企B未有就对外投资建立完善的风险管理系统。这15家公司大部分没有为国企B提供经审计的财务报表，亦一直未派股息；国企B亦没有利用投资协议来保障其权益。,案例五：投资非核心性业务,教训与启示公司经营：八缸七盖（胡雪岩）常言：智者从别人失败经验中吸取教训，聪明者从自己失败经验中吸取教训，愚者则永不懂从经验中学习。,什么是风险管理?,PwC,什么是企业风险管理？企业风险管理是一个过程，它由一个主体的董事会、管理当局和其它人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主题的潜在事项，管理风险以使其在该主题的风险容量之内，并为主体目标的实现提供合理保证。COSO 2004年9月企业风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程，以确保和促进组织的整体利益实现。AARCM 2006,什么是企业操作风险管理？,由于不完善或失灵的内部程序、人员和系统，或外部事件导致的损失的风险。巴塞尔新资本协议,What keeps management up at night?什么事情使管理层夜不能寐?What doesnt keep management up at night,but should?什么事情应该引起管理层的注意，而实际却没有?,什么是风险?,Any issue which could impact an Organizations ability to meet its objectives.任何可能影响某一组织实现其目标的事项。,Risk Key Terms 风险关键词,RISK风险,Control控制,通过管理程序或活动减少风险,可量化，可衡量，可以达到的业务目标,Objective目标,可能影响业务目标实现的事件,风险管理是平衡风险与报酬的科学与艺术风险不仅是一种损失，更是一种收益,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,传达管理理念-责任-义务-职权-人力资源-员工发展,设定管理基调-诚信-道德观念-能力,控制要素,控制类别,内部控制,COSO企业内部控制-整合框架介绍,COSO内部控制整合框架和COSO企业风险管理整合框架1992年，COSO内部控制整合框架，五要素，三大目标2002年，萨班斯法案2004年，COSO企业风险管理整合框架，8要素，4大目标。,风险管理与内部控制的联系体现在两个方面：1全面风险管理函盖了内部控制系统。内部控制系统是全面风险管理中五个部分中的一个部分，是风险管理一个重要方式和手段。2风险管理是对内部控制的拓展和细化。从国际上看，COSO内部控制综合框架，早在1992年就颁布了。而COSO风险管理综合框架，是2004年9月颁布的。,全面风险管理与内部控制的区别：从体系上看内部控制着重于对流程的控制，全面风险管理不但涉及流程控制，而且包括风险战略、公司法人治理结构、组织保障体系、风险理财等。,从实现目标上看，内部控制的目标为3个(合规经营、高效运营、财务报告真实可靠)。风险管理目标为4个(除了合规经营、高效运营、财务报告真实可靠，还包括：达到与企业战略相匹配的风险最优化）全面风险管理的目标为5个，（除合规经营、高效运营、财务报告真实可靠，达到与企业战略相匹配的风险最优化外，还包括保护企业不致因灾害性事件或人为错误而遭受重大损失),COSO的企业风险管理-整体框架提出企业风险管理由8个相互关联的要素构成，它们源自管理当局的经营方式，并与管理过程整合在一起，这8个要素包括：(1)内部环境是组织内人员如何看待风险、对待风险的态度。包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。内部环境为企业中的人们如何看待风险和着手控制风险确立了基础。,COSO企业风险管理-整体框架介绍,(2)目标设定只有先制定目标，管理层才能识别影响目标实现的事件。企业风险管理确保管理层参与目标制定流程，确保所选择的目标不仅和企业使命方向一致，支持企业的使命，而且与其风险承受能力相符。,COSO企业风险管理-整体框架,(3)事项识别必须识别影响企业目标实现的内外事件，分清风险和机会。管理层制定战略或目标时应考虑到机会，机会被追溯到管理当局的战略或目标制定过程。(4)风险评估要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。,COSO企业风险管理-整体框架,(5)风险对策管理层选择风险应对方式，包括规避、接受、降低或分担并制定一套措施把风险控制在企业的风险容忍度和风险承受能力之内。(6)控制活动制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。(7)信息与沟通企业的各个层级都需要借助信息来识别、评估和应对风险。有效信息沟通的外延比较广泛，包括企业内信息的上传、下达和平行流动。,COSO企业风险管理-整体框架,信息体系,(8)监督整个企业风险管理处于监控之下，必要时还会进行修正。这种方式能够动态地反映风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理进行单独评价或者两者的结合来完成。企业风险管理整体框架有3个维度：第一维是企业目标；第二维是全面风险管理要素；第三维是企业的各个层级。,COSO企业风险管理-整体框架,企业风险,传统风险,其它风险,市场风险,运营风险,战略风险,财务风险,信息风险,法律风险,人力资源风险,道德风险,企业风险的类型：,信用风险,国家风险,“索尼之父”盛田昭夫,索尼的传统故事:订单、员工责任与风险管理在公司艰难创业时期，一个美国大买主曾经要负责美洲业务的盛田昭夫分别报订购5千、1万、3万、5万和10万台收音机的单价。一般说来，总是订货越多单价越低。但盛田昭夫经过计算之后却报了一个奇怪单价：5千台是常规价，1万台要给折扣，3万台价格开始上升，5万台的单价居然高于5千台，10万台的单价最高。所有的人都大惑不解。盛田昭夫解释说，要是我们签了l0万台的合同，就得建新的工厂、购进设备和招聘工人，如果第二年签不到续订的合同，公司就会陷入困境。他郑重声明：“在日本，我们不能按订货的上升和下降来聘请员工和解聘员工。我们对员工负有长期的义务，员工对我们也是这样。”索尼的员工一开始接受的不是“感恩教育”，而是“责任教育”。尤为重要的是，他们的“责任教育”是对等的。身处这样的企业文化之下，员工首先想到的不是解聘的危机，而是基于被认同被尊重而产生的骄傲、自豪和承担义务的慷慨。,系统风险,责任风险,财产风险,人身保险,可保风险,不可保风险,意外风险,收支性风险,现金流风险,决策信息风险,流程风险,企业,风险,纯粹风险控制,投机风险决策,是否可分散,发生,形态,风险因素,发生地点,风险导,致结果,环境风险,非系统风险,潜在风险,经营风险,经济风险,财务风险,如：经营者道德风险,基于风险管理的风险分类,企业收益流与收支性风险,销售额因公司所处的经济、政治、社会和竞争环境的不确定而出现波动，这就是经济风险；这最初的风险又由于固定成本的存在而加大，使得EBIT的波动更大，造成了经营风险；最后，经营风险由于固定的利息支出的存在而加大，形成了财务风险。,企业风险类别犹如森林,需要更有力的控制,Sears误导性的汽车销售方法,Salomon债券拍卖丑闻,Bausch&Lomb来自CEO的的销售压力,Hudson Foods污染的牛肉,General Motors未能察觉的虚假的代理商销售,Beech-Nut Foods质量控制的合规性,Archer Daniels Midland控制价格的指控,Barings未得许可的交易风险,Daiwa贸易损失,Cathy Lee Gifford压榨劳工,Foundation for NewEra PhilanthropyPonzi 投资计划,Texaco种族歧视,United Way有问题的管理模式,Dennys歧视,Firestone产品质量,不幸的转轮,有什么大不了？,普华永道归纳的风险,内部审计协会列出的9大风险因素.,管理层的能力(Competence of management)管理层的道德观(Integrity of management)近期系统变化(Recent changes in systems)组织规模(Size of unit)资产流动性(Liquidity of assets)变革(Change)复杂程度(Complexity)快速增长(Rapid growth)规章制度是否健全(Level of regulation),管理层对风险的看法的转变,低层次/经营层次。风险监控是内部审计人员的职能。风险是一个需要控制的负面因素。风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险的衡量是主观的无组织以及杂乱的风险管理职能,从过往操作角度,过渡到董事会关注,是CEO的工作(也是董事会的监管)风险其实是一个机会,在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担,风险的数化风险管理被纳入所有企业管理系统,安达信企业风险模型TM,竞争者敏感性股东关系资金充足性 金融市场,灾难性损失独立政治法律行政管理行业,环境风险,信息技术风险使用权 完整性相关性 可得到性 基础设施,财务风险货币利率流动性结算再投资信用双边关系现金转移或流速改变,廉政风险管理欺诈雇员欺诈非法行为无授权使用商誉,授权风险领导力权力限制 表现激励沟通,营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀,营运价格合同投入衡量结盟完整性和精确性管理报告,决策信息风险,财务预算和计划完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告,战略环境检视业务组合价值衡量组织结构资源分配计划生命周期,企业需要按照以下的“安达信企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险,环境风险,1.竞争者 竞争者令企业失去原有的市场竞争优势2.敏感性 企业无法对变化的环境作出有效及时的反应3.股东关系直接关系到企业在资本市场上的筹资能力4.资本的可获得性公司可能无法筹措到足够的资金来支持自身发展,环境风险（续）,5.灾难性损失 自然灾害给企业造成巨大的损失6.政策.法规风险 由政策.法规的不可测性及变化给企业带来损失7.行业风险 由于行业有关要素变化，使企业丧失在行业中的优势地位8.金融市场风险 由于金融市场的价格波动给企业的金融性资产造成损失,流程风险营运风险,1.客户满意 由于对客户服务不够重视 造成营业额下降2.人力资源 岗位人员资格和能力不够3.产品开发 新产品无法被市场接受4.效率 企业效率底下令成本高居5.能力 企业生产能力过剩或者不足,流程风险营运风险（续）,6.表现差异 企业的运作水平与国际先进水准之间还存在巨大的差距7.时间拖延 业务流程耗时过多8.存货遗失 由于管理不当，存货的遗失给企业业绩造成巨大的损失9.符合由于员工的失误，造成产品不能符合市场的需要，无法完成企业的预期目标,流程风险营运风险（续）,10.业务中断 企业可能由于主要原材料供应的突然中断.有经验人员的流失等原因造成业务的中断，给公司的发展造成不利影响11.采 购 企业可能由于缺乏材料供应商的选择余地造成采购成本偏高，影响企业产品竞争力12.商品定价 定价的不合理，比如企业使用现行市价与客户签订远期合同，由于市场价格的波动给企业带来可能的损失,流程风险营运风险（续）,13.产品或服务失败由于某种产品的失败给企业的整个形象造成影响14.环 境 由于企业破坏环境而受到第三方或政府的罚款15.健康和安全 由于对安全生产不够重视造成员工的伤亡，给企业造成不必要的损失16.商标被侵蚀 由于产品或服务的质量不佳，造成企业名誉受损,流程风险财务风险,1.货币风险 货币汇率的波动直接影响企业的业绩2.利率风险 利率波动可能会增加企业的借款费用和减少投资项目的产出3.流动性 资产变现能力差可能企业陷入财务危机4.现金转移速度 现金的回笼速度直接影响企业对现金的使用效率,流程风险财务风险（续）,5.结算 企业资金在两国市场上运作，可能由于两个市场结算时间不同给企业的现金流带来影响6.再投资 资金在短期高回报投资项目结束回笼后无法再次获得相同回报的投资机会7.信用 客户长期拖欠货款造成企业现金被大量挤占,流程风险授权风险,1.领导力 业务流程的负责人没有领导力2.职 权 员工或者不能尽职或者做本不应由其完成的工作3.限 制 管理层超越职权限制，滥用权利4.表现激励 由于表现评估制度不合理致使员工对工作缺乏兴趣5.沟 通 公司内部上下以及横向沟通不够造成内部合作不够紧密,流程风险信息处理/技术风险,1.使用权 对数据使用的权限设置不够安全,造成机密的泄漏2.整合性 公司两个实体使用的系统不同，造成公司的数据不具整合性，给管理造成困难3.相关性 所收集的数据与管理所需的数据无关4.可得到性 急需的数据无法得到,流程风险廉正风险,1.管理欺诈 管理层在会计报表中作假蒙骗总公司领导和投资者2.雇员欺诈 雇员私自挪用公司资产造成企业重大损失3.非法行为 管理人员或员工擅自以公司名义作出违法行为使企业蒙受损失4.无授权使用 员工未经授权，为其他目的使用公司资产,决策信息风险营运风险,1.定价风险 定价不合理造成对企业业绩的影响2.合同执行 公司可能由于没能按期完成合同，造成公司被大量罚款和最终失去某个客户3.衡 量 由于缺乏可靠的衡量标准，造成管理层决策较为随意，容易造成决策失误给企业带来损失,决策信息风险营运风险（续）,4.符合性 公司流程中所执行的目标和业绩考核标准与公司总体的目标所要求的不相符合5.管理报告向有关不门递交的报告不完整.不正确.不及时，使企业遭受有关方面的罚款等,决策信息风险财务,预算和计划 预算和计划不切实际，无法执行完整性和准确性 企业财务数据不够完整和准确，无法全面真实地反映企业经营状况会计信息 过渡依赖于会计信息对企业经营状况作出判断，忽视其他的因素如客户满意度等,决策信息风险财务（续）,税 收 由于企业没能按时按期依法纳税，遭到税务机关的罚款福利基金 福利基金的不足造成员工缺乏工作积极性投资评估 管理层在缺乏财务数据和相关信息的基础上作出投资评估，往往造成投资的失败,决策信息风险战略,环境监视 无法及时发现竞争环境所发生的变化，及时调整战略业务组合 企业没有良好的业务组合来实现其业绩的最大化价值评估 管理层没能从战略角度评估某项业务衡量标准 组织衡量标准只关注短期业绩或与业务战略不一致,决策信息风险战略（续）,资源分配 资源分配无法维持企业在市场中的有利地位生命周期 企业没能依照产品的生命周期及时调整自身的战略组织结构 组织架构与变化了的企业战略不相适应,讨论:风险,请根据您所要实现的企业目标,列出将面对的风险并评价其对实现企业目标的关键性:,第二部分风险管理的基石：企业组织结构,企业为何要建立风险管理？,因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理,股东对企业风险管理最关心的四个问题：,企业知道它所面对的主要风险吗？例如：什么风险正在或将会影响企业的业务？企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理,理想的情况：企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通,企业是否已对这些风险设置内部控制？企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面的法律、法规,理想的情况：企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨,企业的内部控制有效吗？企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力,理想的情况：企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报,哪一些内部控制必须改进？企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施,理想的情况：企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正,企业风险管理框架,一个基础三道防线,风险管理部总经理职位,风险管理组织体系各组成部分及其职责,一、一个基础：公司治理结构,什么是公司治理？公司的治理是企业产权关系、控制方式和决策规则的总体安排，它规范了企业相关利益各方的行为，是企业实现有效管理的条件和前提。公司治理是指通过对经营者的任免和大股东的牵制，达到健全高效的经营目标的制度安排和惯例。公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益,股东大会,董事会,经理,监事会,公司职工(工会),选举,选举,聘任,选举,监督,监督,党组织,信息不对称,多层次的委托代理问题,文化、制度与行为的关系,示图,文化,制度,行为,集权与规制相悖？,故事：素质并非天生与留学生,公司治理与风险管理有什么关系？,公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/Hampel Report、The Combined Code加拿大：Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任,如何构建一个有利风险管理的公司治理结构？,建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观,公司治理的两大核心,1.有效制衡：公司法人治理结构的各部分之间不仅要协调配合，而且还要有效地实现制衡，包括不同层级机构之间的制衡，不同利益主体之间的制衡，利用制衡控制风险。2.科学决策：科学决策是现代企业制度建设追求的一个重要目标。它要求企业设计好企业法人治理结构中的决策权的配置与控制体系、科学的决策程序，以及董事责任可追溯制度，从决策环节防范企业风险。,股东承担企业经营的最终风险，即以其出资额为限承担有限责任。因此股东，尤其是大股东，本能的关心企业产生的各种风险。各级国有资本的出资人关心并要求企业控制风险是天职。董事会的主要有三项职责：第一是把方向；第二是选对人；第三是控风险。董事会的重要职责就是判断风险、控制风险，并承担风险决策的责任。,监事会负责对总经理及董事会全面风险管理工作进行评价和监督。总经理对企业日常全面风险管理负责，全面掌控风险的能力是判断总经理是否称职的重要条件。,董事会应当依据什么原则控制风险？这个原则并不是凡是有风险的决策董事会都予以反对。因为，风险与机遇并存，有多大机遇就有多大风险。但董事会应当对风险度加以控制，不能超越企业的承受范围，应在董事会可控范围内把握机遇。同时，董事应对其风险判断、风险控制的结果负责。总之，企业既不能不发展，又不能失控地发展。,董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面主要履行以下职责：（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；由董事会审议并向股东（大）会提交企业全面风险管理年度工作报告，并将这项工作作为董事会在风险管理中的首要职责，这是过去没有明确的。此次提出，是从制度体系上明确董事会在企业全面风险管理中的重要职责，使董事会的责任更加明确化、具体化。（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；董事会是企业决策的制定者，同时在全面风险管理中担当着统领全局的重要角色。风险偏好和风险承受能力通俗而言就是指企业承担什么样的风险以及承担多少风险。董事会在充分考虑企业风险管理总体目标、风险偏好及风险承受度之后，批准企业的风险管理策略和重大风险管理解决方案。,（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；由董事会审议并向股东（大）会提交企业全面风险管理年度工作报告，并将这项工作作为董事会在风险管理中的首要职责，这是过去没有明确的。此次提出，是从制度体系上明确董事会在企业全面风险管理中的重要职责，使董事会的责任更加明确化、具体化。（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；董事会是企业决策的制定者，同时在全面风险管理中担当着统领全局的重要角色。风险偏好和风险承受能力通俗而言就是指企业承担什么样的风险以及承担多少风险。董事会在充分考虑企业风险管理总体目标、风险偏好及风险承受度之后，批准企业的风险管理策略和重大风险管理解决方案。,（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；董事应从宏观层面上，如国家大的方针政策、行业发展态势、竞争对手的竞争格局，甚至国际政治经济重大变化等方面，了解这些情况、掌握这些信息，才能做出有效控制风险的决策。（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；公司董事在业务判断、企业管理、会计与财务、危机反应、行业知识、国际市场经验、战略远见中的某个或某几个领域具有丰富的知识与阅历。在利用这些知识与阅历的基础上，董事应对企业的重大决策、重大风险、重大事件和重要业务流程进行全面深刻的了解，并能够做出自己的独立判断。,（五）批准重大决策的风险评估报告；企业管理层对一些重大事项的决策提出风险评估报告，由董事会进行评估与判断（个案的判断）。对这些个案的评估与判断是对企业日常经营以及重大决策风险控制的。（六）批准内部审计部门提交的风险管理监督评价审计报告；内部审计部门所进行的风险管理是在一般职能部门所进行的风险管理基础上的再监督，其提交的风险管理监督评价报告应包括三个方面内容：第一，评估风险识别的充分性；第二，评价已有风险衡量的恰当性；第三，评估风险防范措施的充分性，并提出改进措施。（七）批准风险管理组织机构设置及其职责方案；企业应当根据各自的业务特点与企业组织架构的具体情况，灵活设置风险管理组织机构。其中，对于风险职能部门是单独设立，还是将其职责放到某个其他机构中，由董事会做出判断。,（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；其实质是由董事会对内部违规性行为作出处理。（九）督导企业风险管理文化的培育；风险管理文化的培育是企业全面风险管理的基础工作。（十）全面风险管理其他重大事项。,具备条件的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验，具有一定法律知识的董事。,战略委员会,风险管理委员会,审计委员会,薪酬委员会,提名委员会,董事会,常设,对于“具备条件企业”的理解：第一，从企业规模上理解。大企业或特大型企业具备设立风险管理委员会的条件，特别是特大型企业，原则上都应该设立风险管理委员会。第二，从企业经营类型上理解。若企业所经营的业务风险度高，则应设立风险管理委员会；若企业业务风险度小，则可以不设风险管理委员会。,风险管理委员会对董事会负责，主要履行以下职责：（一）提交全面风险管理年度报告；（二）审议风险管理策略和重大风险管理解决方案；（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；（四）审议内部审计部门提交的风险管理监督评价审计综合报告；（五）审议风险管理组织机构设置及其职责方案；（六）办理董事会授权的有关全面风险管理的其他事项。,企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。,审计委员会在公司的组织结构中隶属于董事会，是董事会下属的一个专门委员会，一般由3-5名独立董事组成。从公司整体组织架构而言，审计委员会的地位要高于内部审计部门，并形成对其的一种监督关系。通过对内部审计的监督而与之保持信息的沟通与互动，审计委员会可以充分利用内部审计的资源优势，更好地履行职责。企业审计委员会应当履行一下主要职责：审议企业年度内部审计工作计划；监督企业内部审计质量与财务信息披露；监督企业内部审计机构负责人的任免，提出有关意见；监督企业社会中介审计等机构的聘用、更换和报酬支付；审查企业内部控制程序的有效性，并接受有关方面的投诉；其他重要审计事项。,二、三道防线,第一道防线：业务单位防线,业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线,如何建立第一道防线了解企业战略目标及可能影响企业达标的风险识别风险类别对相关风险作出评估决定转移、避免或减低风险的策略计设及实施风险策略的相关内部控制,企业建立的第一道防线，就是要各业务单位就其战略性风险、信用风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新,第二道防线：风险管理单位防线,第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金,建立高效的风险管理职能部门应当遵循两个基本准则:一是风险管理职能部门必须具备高度独立性，以提供最佳的风险规避策略;二是风险管理职能部门不具备或具备非常有限的风险管理策略执行权，以降低运营风险(例如道德风险等),第三道防线：内审单位防线,第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：,内部审计的三大功能,财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子：企业对某业务单位或某部门执行效益审计(一个输入与产出的关系),咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子：兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略,理 解 期 望,分 析 相 关 程 序 及 风 险,汇 报 结 果,确 认 相 关 程 序 及 风 险,跟 踪,理 解、分 析 经 营 状 况,确 认 控 制 弱 点 原 因 补 救 措 施,内部审计过程简介,构建企业风险管理的关键成功要素,1.股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报,2.管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定,风险,调整风险后的回报,3.建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4.采用先进的风险管理的实施方法借鉴如美国 Treadway 委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统,思考题：如何理解三道防线之间的关系。,思考题：如何理解三道防线之间的关系。,三者之间的关系,塔基：业务单位防线,包括：信用风险 市场风险 操作风险,特征：风险多 方面广 无法避免 难以度量 难以监控,不同时期的业务单位防线,塔身：风险管理单位防线,风险管理单位的职责编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金,作用,承接,对第一防线进行补充,对各单位进行组合管理,协调员工培训学习工作,第三防线工作的延伸,为重大决策制定风险指标,披露企业存在的风险信息,塔顶：内审单位防线,主要职能：财务监督 经营诊断 咨询顾问,特点：监管意义重大 容易被人控制,例：,安然公司,世通公司,巴林银行,安达信,内审不作为现象,操作风险,综上：业务单位防线基础风险管理单位防线领导