全面风险管理知识培训课件

1、1,二OO八年十二月,全面风险管理知识培训,中央企业全面风险管理指引解读,2,中央企业全面风险管理指引核心内容,3,目录,基本概念,风险管理流程,风险管理组织体系,风险管理信息系统,指引解读,风险管理文化,风险管理常用技术方法,4,全面风险管理架构,5,三个概念,6,风险管理总体目标,7,五大风险,法律风险,运营风险,战略风险,财务风险,市场风险,企业风险,8,战略风险,9,财务风险,10,市场风险,市场风险是指因市场等外界条件变化而使企业产生经济损失的风险。 常见的市场风险包括： 商品价格与物资供应风险 客户、供应商信用风险 影响市场需求的因素及变化风险 税收风险 利率、汇率风险 竞争对手给

2、本企业带来的风险,市场风险定义,百富勤集团 90年代，百富勤原是亚洲(除日本外)的最大投资银行。 90年代末，百富勤没有充分意识到新兴金融市场的风险，并且低估了利率和汇率波动的风险，集中大量投资于印尼和泰国市场。 在亚洲金融风暴的冲击下，百富勤在短短一年内出现入不敷出，至1999年1月宣布破产,市场风险案例,11,运营风险,运营风险是指企业内部流程和系统、人为或外部因素给企业造成的经济损失。 人为因素是指企业员工由于缺乏诚信道德而导致的舞弊行为，或缺乏知识、能力而导致的错误和重大损失。 流程风险是指交易流程中出现错误而导致损失的风险，例如：在销售流程中（包括定价、记录、确认、出货等环节）出错而

3、导致损失的风险。 信息系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险 。 外部事件风险是指火灾、自然灾害、市场扭曲等事件,运营风险定义,法国兴业银行 法国兴业银行2008年1月24日宣布：因交易员杰洛米 科维尔的“欺诈行为”造成近50亿欧元损失 法国财政部调查报告认为：法兴银行内部监控系统有问题: -对交易员盘面资金的监督； -对资金流动的跟踪； -后台与前台完全隔离规则的遵守； -信息系统的安全及密码保护等,运营风险案例,12,法律风险,13,风险管理三道防线,各相关部门和业务单位,风险管理职能部门和董事会下设的风险管理委员会,内部审计部门

4、和董事会下设的审计委员会,定期自查和检验并汇报,检查、检验并评价,出具评价和建议报告,监督评价,核心是把风险管理融入企业管理的各部门、各业务流程中,14,目录,基本概念,风险管理流程,风险管理组织体系,风险管理信息系统,指引解读,风险管理文化,风险管理常用技术方法,15,目录,风险管理流程图,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,16,风险管理流程图,17,目录初始信息收集,风险管理流程,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,18,风险管理初始信息收集的目的,整个风险

5、管理的第一步，在企业开展风险评估工作之前，首先需要收集风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测，作为风险评估的准备。 旨在协助企业业务单位及职能部门于主要风险领域内清楚了解企业的目标、相关业务流程、各重大业务流程的关键成功因素及绩效指标, 行业竞争优势，以及企业及行业竞争对手的重大损失事件案例分析等。 这些信息与潜在风险驱动因素有着重大关系,19,风险管理初始信息收集范围和内容,20,目录风险评估,风险管理流程,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,21,风险评估作用,进行风险评估的工作可以提高管理层和员工的

6、风险意识，并明确风险管理的职责 引入共同的风险语言 评估风险应涵盖企业的战略、财务、市场、运营及法律风险层面，并确定这些风险会给企业带来的影响 评估能影响企业实现其战略目标的最重大的风险 评估任何能损害企业名声的 “突发事件” 决定企业 “下一步” 该如何管理及监督重大的风险,22,风险评估方法,23,风险评估步骤,24,目录风险策略,风险管理流程,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,25,风险策略的定位,26,风险策略的概念,即企业愿意承担风险的限度，也是风险偏好的边界。 例如，某企业为实现快速发展愿意承担企业负债率在50-7

7、0%之间、投资损失占净资产比例为5-10%之间的风险。 在70%、10%下一定幅度确定两个风险的各自预警线,风险管理有效性标准的作用是帮助企业了解： 企业现在的风险是否在风险承受度范围之内，即风险是否优化； 企业风险状况的变化是否是企业所要求的，即风险的变化是否优化。 因此，量化的企业风险管理有效性标准可以基于企业风险承受度的度量,即企业在愿意承担风险的种类、大小等方面的基本态度。例如，某企业愿意承担快速发展带来的较大风险,风险 偏好,风险 承受度,风险管理 有效性标 准,风险管理策略是指企业根据自身条件和外部境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风

8、险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则,27,风险策略的关键,风险承受度的表述需要对所针对的风险进行量化描述 风险偏好可以定性，但风险承受度一定要定量 如果不能量化，仅靠直觉的观察或感觉很可能出错，不容易在整个企业统一思想，不能够准确计算成本与收益的关系，也不容易同绩效考核联系起来 很多风险管理手段如风险理财必需风险的量化描述,28,风险策略流程,29,风险管理工具风险承担,企业面临的风险有许多。通常企业能够明确辨识的风险只占全部风险的少数。风险评估的工作结果对于企业是否采用风险承担影响很大 对未能辨识

9、出的风险，企业只能采用风险承担 对辨识出的风险企业也可能缺乏能力进行主动管理，对这部分风险只能采用风险承担 对企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担,风险承担是指企业对所面临的风险采取被动接受的态度，从而承担风险带来的后果,30,风险管理工具风险规避,风险规避举例： 退出某一市场以避免激烈的竞争 拒绝与信用不好的交易对手进行交易 外包某项对工人健康安全风险较高的工作 停止生产可能有潜在客户安全隐患的产品 回避政治动荡的地区 禁止各业务单位在金融市场进行投机，只准套期保值 不准员工访问某些网站或下载某些内容,风险规避是指企业回避、停止或退出蕴含某风险的商业活动或商业

10、环境，避免成为风险的所有人,31,风险管理工具风险转移,保险：保险合同规定保险公司为预定的损失支付补偿，作为交换，在合同开始时，投保人要向保险公司支付保险费 非保险型的风险转移：将风险可能导致的财务损失负担转移给非保险机构。例如服务保证书等 风险证券化：通过证券化保险风险构造的保险连接型证券（ILS）。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度,风险转移是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权,32,风险管理工具风险转换,风险转换的手段包括战略调整和衍生产品等 风险转换一般不会直接降低企业总的风险，其最简单形式就是在减少某一风险的同时，增加另一风

11、险。例如，通过放松交易客户信用标准，增加了应收账款风险，但扩大了销售额 企业可以通过风险转换在两个或多个风险之间进行调整，达到最佳效果 风险转换可以在低成本或者无成本情况下达到目的,风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险,33,风险管理工具风险对冲,常见的例子有资产组合的使用，多种外币结算的使用和战略上的分散经营等 在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值 在企业的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲 风险对冲必须涉及风险组合，而不是对单一风险进行风险规避、控制,风险对冲是指采取各种手段，引入多个

12、风险因素或承担多个风险，使得这些风险能够互相对冲，也就是，使这些风险的影响互相抵消,34,风险管理工具风险补偿,对于那些无法通过风险分散、风险对冲或风险转移进行管理，而且又无法规避、不得不承担的风险，投资者可以采取在交易价格上附加风险溢价，即通过提高风险回报的方式，获得承担风险的价格补偿,风险补偿主要是指事前（损失发生以前）对风险承担的价格补偿。这是风险管理主要目标之一,35,风险管理工具风险控制,通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。前者的例子如室内使用不易燃地毯，山上禁止吸烟等；后者的例子如修建水坝防

13、洪，设立质量检查防止次品出厂等 风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险,风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的可能性的目的,36,目录风险管理解决方案,风险管理流程,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,37,风险管理解决方案,38,风险管理解决方案实施流程,39,目录内部控制系统,风险管理流程,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,40,内部控制

14、的起源与发展,内部控制的概念始于上世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容。 美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求。 2004年的COSO企业风险管理整合框架指出企业风险管理是一个过程，为一个企业的董事会、管理层和其他人员所影响，应用于战略制定和企业的各部门和各项

15、经营活动，用于确认可能影响企业的潜在事项并在其风险偏好内管理风险，为企业目标的实现提供合理保证,内部控制三维图,41,基于COSO模型的企业风险管理八要素,42,内部控制系统概念,内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，对影响业务流程目标实现的各种风险进行有效管理和控制的过程。 内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措。 一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程，如流程执行过程中的偏差、质量问题、财务报告的不准确及合规问题。 内控系统以

16、流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程；必要时，建立相关的流程。 完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，设计内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分,43,内部控制系统作用与实施,44,内部控制体系的基本原则,全面性 覆盖企业所有重要业务及管理流程和流程的全过程 系统性 按统一原则制定，与风险策略一致 合规性 符合国家有关法律法规 成本效益 控制与收益平衡 权力分离及相互制约 岗位之间相互制约，重要流程及决策不能由一个人完成 激励平衡 权责明确及奖惩结合 信息反馈 内部控制应有自我调节功能 可操作

17、性 根据企业现有操作水平制定 包容性 不致因个别环节失灵导致全系统失灵,45,内部控制系统与风险管理、企业管理的关系,风险评估,外部审计,内部控制,控制环境,内部审计,控制活动,信息沟通,持续监控,风险管理,目标设定,风险识别,风险应对,企业管理 各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理等,风险战略,治理结构,组织体系,风险理财,正确认识内控与审计、风险管理、企业管理的关系,46,指引的内部控制系统,内 部 控 制 系 统,47,一）内控岗位授权制度,48,二）内控报告制度,49,三）内控批准制度,50,四）内控责任制度,51,五）内控审计检查制度,52,六）内控考核评价

18、制度,53,七）重大风险预警制度,54,八）以总法律顾问制度为核心的企业法律顾问制度,55,九）重要岗位权力制衡制度,56,目录风险管理的监督与改进,风险管理流程,初始信息收集,风险评估,风险策略,风险管理流程,风险管理解决方案,内部控制系统,风险管理的监督与改进,57,风险管理监督与改进的要点,监督与改进的工作是监控风险和风险管理的情况，并据此更新初始信息框架，以对全面风险管理的工作作出持续的改进。 监控包括：监控内外部风险的发展和风险事件的发生，如市场的变化、法律法规的变化、企业自身战略的改变、企业的运营状况等 监控全面风险管理体系的运行和实施效果 监控得到的信息要及时用于更新初始信息，以

19、便对新的情况进行风险评估，并改进风险管理策略，改进解决方案，使风险管理的效果不断提升,58,风险管理的监督与改进,监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平,59,风险管理监督的方法、对象、重点及结论,60,风险管理监督的方法概念,压力测试,指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件,返回测试,将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法,穿行测试,在

20、正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法,61,风险管理监督与改进的职责分工,62,目录,基本概念,风险管理流程,风险管理组织体系,风险管理信息系统,指引解读,风险管理文化,风险管理常用技术方法,63,风险管理组织体系架构,64,风险管理组织体系职能,65,风险管理体系的建立,建立风险管理体系阶段主要包括分析风险管理体系现况、设计风险管理体系及架构、建立风险管理制度及流程,66,目录,基本概念,风险管理流程,风险管理组织体系,风险管理信息系统,指引解读,风险管理文化,风险管理常用技术方法,67,风险管理信息系统,68,

21、对风险管理信息系统的要求,传递的内容： 以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。 要求： 及时保证把重要相关信息在应该被传递的时间传递到相关部门和岗位 准确保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位 完整保证把应该传递的信息不打任何折扣地传递到相关部门和岗位,69,目录,基本概念,风险管理流程,风险管理组织体系,风险管理信息系统,指引解读,风险管理文化,风险管理常用技术方法,70,风险管理文化内容,企业应当建立有风险意识的企业文化，促进员工风险意识的提升； 风险管理文化建设

22、应当融入企业文化建设全过程； 企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化培育、总经理负责培育风险管理文化日常工作，董事和高层管理人员在培育风险文化中起到表率作用； 企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲诚信、合法合规经营的风险管理文化； 风险管理文化应当同薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识； 企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度,71,风险管理文化三要素,风险管理文化三要素： 树立正确的风险管理理念； 增强员工风险管理意识； 把风险管理意识转化为员工的自

23、觉行动,72,风险管理文化架构,风险管理文化是风险管理体系的灵魂，风险管理体系建设必须以先进的风险管理文化培育为先导,73,目录,基本概念,风险管理流程,风险管理组织体系,风险管理信息系统,指引解读,风险管理文化,风险管理常用技术方法,74,风险管理常用技术方法,75,风险坐标图法,承担A区域中的各项风险且不再增加控制措施 严格控制B区域中的各项风险且专门补充制定各项控制措施 确保规避和转移C区域中的各项风险且优先安排实施各项防范措施,定性方法是直接用文字描述风险发生可能性的高低、风险对目标的影响程度，如“极低”、“低”、“中等”、“高”、“极高”等。 定量方法是对风险发生可能性的高低、风险对

24、目标影响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程度用损失金额来表示,76,风险发生可能性的定性、定量评估举例,风险发生可能性的定性、定量评估举例,77,风险发生对目标影响程度的定性、定量评估举例,风险发生对目标影响程度的定性、定量评估举例,78,蒙特卡罗风险方法,1量化风险。将需要分析评估的风险进行量化，明确其度量单位，得到风险变量，并收集历史相关数据。 2根据对历史数据的分析，借鉴常用建模方法，建立能描述该风险变量在未来变化的概率模型。建立概率模型的方法很多，例如：差分和微分方程方法，插值和拟合方法等。这些方法大致分为两类：一类是对风险变量之间的关系及

25、其未来的情况作出假设，直接描述该风险变量在未来的分布类型（如正态分布），并确定其分布参数；另一类是对风险变量的变化过程作出假设，描述该风险变量在未来的分布类型。 3计算概率分布初步结果。利用随机数字发生器，将生成的随机数字代入上述概率模型，生成风险变量的概率分布初步结果。 4修正完善概率模型。通过对生成的概率分布初步结果进行分析，用实验数据验证模型的正确性，并在实践中不断修正和完善模型。 5利用该模型分析评估风险情况。 正态分布是蒙特卡罗风险方法中使用最广泛的一类模型。通常情况下，如果一个变量受很多相互独立的随机因素的影响，而其中每一个因素的影响都很小，则该变量服从正态分布。在自然界和社会中大

26、量的变量都满足正态分布。描述正态分布需要两个特征值：均值和标准差。 量化风险。 由于蒙特卡罗方法依赖于模型的选择，因此，模型本身的选择对于蒙特卡罗方法计算结果的精度影响甚大。蒙特卡罗方法计算量很大，通常借助计算机完成,79,关键风险指标管理,具体操作步骤： 1.分析风险成因，从中找出关键成因； 2.将关键成因量化，确定其度量单位，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值； 3.以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标； 4.建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息； 5.制定出现风险

27、预警信息时应采取的风险控制措施； 6.跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施,80,关键风险指标的分解,企业目标的实现要靠企业的各个部门和业务单元共同的努力，同样，企业的指标要分解到企业的各个部门和业务单元。对于关键风险指标也是一样。 但是，对于关键风险指标的分解要注意部门和业务单元之间的关系。这里的关键是从企业整体出发和把风险控制在一定范围内。切不可采用“最大化”的说法。比如，信用管理部门负责信用风险的管理，如果其强调最小化信用风险，紧缩信用，则会给负责扩大市场占有率和销量的市场和销售部门造成伤害，从而影响公司整体目标的实现。 对于关键风险指标的分解，要兼顾各部门和业务

28、单元的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单元间的协商。 以易燃易爆危险品储存容器泄漏引发爆炸的风险管理为例。容器泄漏的成因有：使用时间过长、日常维护不够、人为破坏、气候变化等因素，但容器使用时间过长是关键成因。若容器使用最高期限为50年，人们发现当使用超过45年后则易发生泄漏。该“45”年即为关键风险指标。为此，制定使用时间超过“45”年需采取的风险控制措施，一旦使用时间接近或达到“45”年时，发出预警信息，即采取相应措施。 该方法既可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险。使用该方法，要求风险关键成因分析准确，且易量化、

29、易统计、易跟踪监测,81,压力测试要点,具体操作步骤如下： 1针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。极端情景是指在非正常情况下，发生概率很小，而一旦发生，后果十分严重的事情。假设极端情景时，不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训，还要考虑历史上不曾出现，但将来可能会出现的事情。 2评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。 3制定相应措施，进一步修改和完善风险管理模型或内控流程。 以信用风险管理为例。 如：一个企业已有一个信用很好的交易伙伴，该交易伙伴除发生极端情景，一般不会违约。因此，在日常交易中，该企业只需“常

30、规的风险管理策略和内控流程”即可。采用压力测试方法，是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗)，被迫违约对该企业造成了重大损失。而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件，为此，该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施,82,其它风险管理技术方法,风险管理的方法有很多种，国资委只是将常用几种方法推荐送给企业，企业也可以根据自身实际情况采用不同的方法,风险识别方法：五因子法（GFREO模型） 风险解构识别法 事故树法 因子识别法 风险测评方法：风险矩阵 风险控制方法：风险策略五梯度模型 风险控制规划矩阵,83,风险识别方法：风险识别五因子法（GFROE模型,风险识别五因子法（GFREO 模型,1、目标（Goal）：企业经营目标、部门绩效指标等 2、风险因素（ factor）：在实现目标过程中的关键因素 3、风险