中央企業(yè)全面風險管理

1、風險管理框架，清華大學(xué)會計學(xué)院副教授陳電話：62772083電子郵件：2008年9月主要內(nèi)容，COSORM框架實施風險管理要點內(nèi)部控制與企業(yè)風險管理的關(guān)系，COSORM框架，認為內(nèi)部控制是風險管理的一部分。在內(nèi)部控制總體框架的基礎(chǔ)上，COSO于2003年發(fā)布了企業(yè)風險管理框架草案，并于2004年9月正式發(fā)布。COSO ERM框架(續(xù))，企業(yè)風險管理是由一個主體的董事會、管理當局和其他人員實施，應(yīng)用于戰(zhàn)略制定并貫穿整個企業(yè)的過程，旨在識別可能影響主體的潛在問題，管理風險，使其處于主體的風險承受能力(風險承受范圍)內(nèi)，為主體目標的實現(xiàn)提供合理的保障。COSORM框架(續(xù))，企業(yè)風險管理框架，COS

2、ORM，COSORM框架(續(xù))，如何理解這個定義？企業(yè)風險管理是：一個在主體內(nèi)部不斷流動的過程；由組織各級人員實施；應(yīng)用于戰(zhàn)略制定；它貫穿整個企業(yè)，適用于所有級別和單位，包括在主體級別采取風險組合觀點；目的是識別一旦發(fā)生將影響受試者的潛在事件，并在風險能力范圍內(nèi)控制風險；能夠為一個主體的管理權(quán)限和董事會提供合理的保證；努力實現(xiàn)一個或多個不同但交叉的目標。COSORM框架(續(xù))，目標的實現(xiàn)是在既定的任務(wù)或愿景之內(nèi)的主體，而管理當局制定戰(zhàn)略目標，選擇戰(zhàn)略，并在企業(yè)內(nèi)自上而下設(shè)定相應(yīng)的目標。企業(yè)風險管理框架力求實現(xiàn)以下四類目標：戰(zhàn)略目標、與任務(wù)相關(guān)并支持任務(wù)的高級目標；運營旨在有效和高效地使用其資源

3、；報告目標報告的可靠性；合規(guī)目標符合適用的法律法規(guī)。COSORM Framework(續(xù))，企業(yè)風險管理的構(gòu)成要素內(nèi)部環(huán)境包含組織的基調(diào)，它為主體中的人了解和處理風險奠定基礎(chǔ)，包括風險管理理念和風險承受能力、誠信和道德價值觀，以及他們的業(yè)務(wù)環(huán)境。建立一套與風險管理相關(guān)的概念。它認為意外事件和預(yù)期事件都可能發(fā)生。建立企業(yè)風險文化?？紤]組織行為如何影響其風險文化的所有其他方面。目標設(shè)定必須有一個目標，然后管理層才能確定影響目標實現(xiàn)的潛在問題。企業(yè)風險管理確保管理當局采取適當?shù)某绦騺碓O(shè)定目標，并確保選定的目標支持和滿足主體的使命并與其風險承受能力相一致。在目標設(shè)定中，公司的風險容忍度是在管理層考慮風

4、險策略時制定的。從高層次上看，管理層和董事會都愿意接受風險容忍度，目標相關(guān)變量的可接受程度與風險容忍度一致。事件識別必須識別影響主要目標實現(xiàn)的內(nèi)部和外部事件，并區(qū)分風險和機會。機會反饋給管理層的戰(zhàn)略或目標設(shè)定過程。風險評估通過考慮風險的可能性和影響來分析風險，并將其作為決定如何管理風險的基礎(chǔ)。風險評估應(yīng)基于固有風險和剩余風險。事件是指可能影響戰(zhàn)略實施或目標實現(xiàn)的事件或事件。區(qū)分風險和機會風險是指某個事件發(fā)生并對目標的實現(xiàn)產(chǎn)生負面影響的可能性?？赡墚a(chǎn)生積極影響的事項代表正常的補償或機會。風險以與相關(guān)目標相同的度量單位進行度量。時間間隔已指定，并且與目標一致。COSORM框架(續(xù))，風險應(yīng)對管理當

5、局選擇風險以避免、承擔、減少或分擔風險，并采取一系列措施在主體的風險承受能力和風險承受能力范圍內(nèi)控制風險?？刂苹顒又贫ú嵤┱吆统绦?，以幫助確保風險響應(yīng)的有效實施。信息和溝通(Information Communication)與信息相關(guān)的信息被識別、獲取和溝通，以確保員工履行職責的方式和機會。有效的溝通有廣泛的含義，包括主題中向下、平行和向上的信息流。監(jiān)控(Monitoring)全面監(jiān)控企業(yè)風險管理，并在必要時進行糾正。監(jiān)控可以通過持續(xù)的管理活動、單獨的評估或兩者的結(jié)合來完成。COSO機構(gòu)風險管理框架(續(xù))，注：企業(yè)風險管理不是一個嚴格的順序過程，一個組成部分不僅僅影響下一個組成部分。這是

6、一個多方向的、重復(fù)的過程，在這個過程中，幾乎每個組件都能夠并且確實影響其他組件。COSORM框架(續(xù))，有效性決定一個主體的企業(yè)風險管理是否“有效”，這是基于對八個組成部分的存在和有效運行的評價。因此，構(gòu)成要素也是判斷企業(yè)風險管理有效性的標準。如果構(gòu)成要素存在并且運行正常，則可能沒有重大缺陷，并且風險可能已被控制在受試者的風險能力范圍內(nèi)。如果確定企業(yè)風險管理在所有四種類型的目標中都是有效的，那么董事會和管理當局可以合理地確保他們了解主體實現(xiàn)其戰(zhàn)略和業(yè)務(wù)目標的程度，主體的報告是可靠的，并且符合適用的法律和法規(guī)。每個主題中八個元素的操作是不一致的。例如，中小型科目的應(yīng)用可能不正式和健全。然而，當這

7、八個要素存在并正常運作時，小規(guī)模實體仍將擁有有效的企業(yè)風險管理。COSORM框架(續(xù))，局限性盡管企業(yè)風險管理帶來了重要的好處，但仍然存在局限性。除了以上討論的因素之外，這些限制還源于以下現(xiàn)實：在決策過程中，人的判斷可能存在錯誤，在處理風險和建立控制的決策中，應(yīng)考慮相關(guān)的成本和收益，類似的簡單錯誤或錯誤的個人缺陷可能導(dǎo)致失敗，控制可能由于兩個或更多人之間的串通而被規(guī)避，管理當局有能力推翻企業(yè)的風險管理決策。這些限制使得董事會和管理當局不可能對主要目標的實現(xiàn)形成絕對保證。COSORM框架(續(xù))，涵蓋內(nèi)部控制內(nèi)部控制是企業(yè)風險管理的一個組成部分。企業(yè)風險管理框架涵蓋了內(nèi)部控制，從而構(gòu)建了更強大的概

8、念和管理工具。內(nèi)部控制是在內(nèi)部控制集成的框架下定義和描述的。由于這一框架經(jīng)受住了時間的考驗，并成為現(xiàn)行規(guī)則、條例和法律的基礎(chǔ)，因此內(nèi)部控制綜合框架中的內(nèi)部控制定義和框架仍然有效。雖然框架僅引用了內(nèi)部控制整合框架的部分內(nèi)容，但機構(gòu)風險管理通過引用將框架整合為一個整體。COSO企業(yè)風險管理框架(續(xù))，每個主體的職能和責任都是企業(yè)風險管理的責任。首席執(zhí)行官承擔主要責任，并應(yīng)承擔所有權(quán)。其他管理人員支持主體的風險管理理念，促進對其風險能力的遵守，并根據(jù)各自職責范圍內(nèi)的風險容忍度管理風險。風險官、財務(wù)官、內(nèi)部審計師等。通常有關(guān)鍵的支持職責。主體中的其他人員負責根據(jù)既定的準則和程序?qū)嵤┢髽I(yè)風險管理。董事會

9、對企業(yè)風險管理進行重要監(jiān)督，感知和認識主體的風險能力。許多外部方，如客戶、供應(yīng)商、業(yè)務(wù)合作伙伴、外部審計師、監(jiān)管者和財務(wù)分析師，經(jīng)常提供影響企業(yè)風險管理的有用信息，但他們不僅不對企業(yè)風險管理的有效性承擔任何責任，而且也不是其中的一部分。COSO ERM框架(續(xù))，它比內(nèi)部控制的概念更廣泛，對公司的管理非常重要，并為戰(zhàn)略提供反饋。風險管理方法更加穩(wěn)健。COSO企業(yè)風險管理框架(續(xù))，企業(yè)風險管理的關(guān)鍵概念，從投資組合的角度評估風險。管理層和董事會必須建立廣泛的風險承受能力。關(guān)注平衡價值、增長和風險，COSORM框架(續(xù))，我應(yīng)該做什么？廣義的風險觀：一家公司當前的風險高于以前的所有風險。由于我們

10、之前所做的決定，我們不會評估當前的形勢。風險可能在于我們的決策框架和激勵機制。必須注意外部環(huán)境。風險討論必須提升到董事會層面。COSORM框架(續(xù))，提高風險意識和內(nèi)部控制應(yīng)擴展到財務(wù)報告討論層面。不了解風險就不能討論控制。必須考慮外部環(huán)境：環(huán)境變化、可持續(xù)性、競爭行為、潛在競爭行為、COSORM框架(續(xù))，必須采用正確的衡量標準來改善風險管理。外部：在美國和歐洲，正在發(fā)展成為知識更豐富的經(jīng)濟體的公司的投資方向在哪里？如何衡量風險？如何將這些與現(xiàn)有的會計方法進行比較？COSORM框架(續(xù))，最新觀點內(nèi)部控制與風險管理相結(jié)合對實現(xiàn)公司業(yè)務(wù)目標非常重要；在評估公司如何實施風險管理時，公司董事會有必

11、要參與并發(fā)表明確的意見；建議將內(nèi)部控制納入公司的正常管理和治理過程，內(nèi)部控制不應(yīng)被視為獨立的監(jiān)督工作。COSO企業(yè)風險管理框架(續(xù))，企業(yè)風險管理是兩個框架中最強大的，但從一開始就需要做更多的工作。企業(yè)風險管理可以而且應(yīng)該融入企業(yè)文化。這將帶來巨大的成本效益。COSORM框架(續(xù))，八要素，風險，風險容忍度和風險容忍度組合模型，實施全面風險管理的基本方面，關(guān)鍵概念，關(guān)鍵點，組織設(shè)計和建立全面風險管理組織，實施風險評估，確定總體風險偏好，確定風險應(yīng)對，溝通風險結(jié)果監(jiān)控，管理監(jiān)督和定期評審，實施全面風險管理的關(guān)鍵點(續(xù))，組織設(shè)計企業(yè)實現(xiàn)的關(guān)鍵戰(zhàn)略目標(？)關(guān)鍵目標的相關(guān)目標將責任分配給組織單位及

12、其負責人，并實施全面風險管理的關(guān)鍵點(續(xù))，例如：提供高質(zhì)量、可用且負擔得起的社區(qū)醫(yī)療服務(wù)的使命，成為中等城市第一或第二大醫(yī)療服務(wù)提供商的戰(zhàn)略目標，以及與運營狀況不佳的10家醫(yī)院的負責人進行交談并在一年內(nèi)與其中兩家達成協(xié)議的相關(guān)目標。實施全面風險管理的要點(續(xù))，2 .建立全面風險管理組織，確定風險理念，調(diào)查風險文化，考慮組織的道德價值觀，確定角色和職責，例如：全面風險管理組織結(jié)構(gòu)，ERM總監(jiān)，副總裁或首席風險官(CRO)，企業(yè)信貸風險經(jīng)理，保險風險經(jīng)理，ERM經(jīng)理，ERM經(jīng)理，員工，職員，職員，社區(qū)風險管理官員，實施全面風險管理的關(guān)鍵點(續(xù))，3。實施風險評估風險評估是識別和分析實現(xiàn)目標所面

13、臨的風險。這是風險管理的基本示例：環(huán)境風險資本籌集監(jiān)管、政治、法律金融市場、股東關(guān)系流程風險操作風險授權(quán)風險信息處理/技術(shù)風險完整性風險金融風險決策信息操作風險金融風險戰(zhàn)略風險。來源：商業(yè)風險評估。1998年內(nèi)部審計師協(xié)會，風險分析，實施全面風險管理的要點(續(xù))。4.應(yīng)采用定性或定量術(shù)語(如對利潤和聲譽的影響)來確定總體風險偏好，并應(yīng)考慮風險承受能力。關(guān)鍵問題：組織不能接受哪些風險？例如，當環(huán)境或服務(wù)質(zhì)量打折扣時，組織打算主動承擔哪些風險？例如，新的商業(yè)組織為了競爭的目的打算接受什么樣的風險？例如，毛利或市場份額，實施全面風險管理的關(guān)鍵點(續(xù))，5。確定風險應(yīng)對措施，量化風險暴露，選擇要承擔的

14、組織=監(jiān)控規(guī)避=減少和減少(對沖)=組織控制和分擔=與合作伙伴分擔風險，如購買保險、風險影響和發(fā)生可能性、控制和分擔、監(jiān)控和控制、接受、高風險、中等風險、中等風險、低風險、低、高、高、影響、可能性、風險影響和發(fā)生可能性-客戶服務(wù)中心的風險評估、會計分錄錯誤、過時的設(shè)備、相同問題的不斷反映。 電話斷線和電腦丟失，信用風險客戶等待時間長，客戶無法打電話，客戶問題無法回答，欺詐行為使交易人員士氣低落，高風險、中風險、中風險、低風險、低、高、高、影響、可能性、控制風險控制目標活動、重大交易的完整性、審查已記錄的賬簿、未記錄的債務(wù)、結(jié)賬后檢查有賬面負債的發(fā)票，例如，應(yīng)付賬款處理、實施全面風險管理的要點(

15、續(xù))，6。 傳達風險結(jié)果表；列出風險和風險應(yīng)對流程圖；說明關(guān)鍵控制點文本描述：目標及相應(yīng)的操作風險和風險應(yīng)對列表：被監(jiān)控的關(guān)鍵控制管理人員應(yīng)了解關(guān)鍵業(yè)務(wù)的風險責任及其分配7。監(jiān)控和收集信息以供分析風險得到正確識別，控制活動適當發(fā)揮作用以降低風險。實施全面風險管理的要點(續(xù))，8。管理層對管理層風險管理責任的監(jiān)督和定期審查，當業(yè)務(wù)目標發(fā)生變化、系統(tǒng)發(fā)生變化、流程發(fā)生變化時，及時更新內(nèi)部控制和企業(yè)風險管理之間的關(guān)系，有效的內(nèi)部控制財務(wù)報告，設(shè)定目標，識別威脅目標實現(xiàn)的風險，并實施有效的控制環(huán)境。作為抵御風險的第一道防線，設(shè)計和實施有效的控制活動以解決風險，開展有效的信息和溝通以幫助組織實現(xiàn)其目標，并在建立有效控制后開展監(jiān)控活動以確?？刂瞥掷m(xù)有效地運行。內(nèi)部控制與企業(yè)風險管理的關(guān)系(續(xù))，內(nèi)部控制框架，企業(yè)風險管理框架，中央企業(yè)全面風險管理指引，對企業(yè)(即中央企業(yè))進行全面風險管理，引導(dǎo)SASAC履行投資者責任，增強競爭力，提高投資回報，促進企業(yè)持續(xù)健康穩(wěn)定發(fā)展中央企業(yè)全面風險管理指引， 本指引的主要內(nèi)容為中央企業(yè)全面風險管理的一般原則、基本流程風險評估、風險管理策略、風險管理解決方案、組織體系的監(jiān)督與改進、風險管理信息系統(tǒng)、風險管理文化培訓(xùn)、中央企業(yè)全面風險管理指引，企業(yè)風險的定義是指未來不確定性對企業(yè)實現(xiàn)其業(yè)務(wù)目標的影響。 一般可分為戰(zhàn)略風險、金融風險、