1、廖福良 合伙人 德勤华永会计师事务所有限公司 企业风险管理服务2010年9月,更上一层楼企业如何健康发展高效的风险管理体系,注意事项本次演讲的所有资料或解释(包括但不限于投影片)(以下统称为“材料”)乃德勤华永会计师事务所有限公司(以下简称德勤华永)为本次“香港上市中國企業董事、監事及高管人員赴港研修班”的课程而编制的。该材料仅供一般指引之用,并非旨在构成任何决策的基础,且不能被解释为德勤华永的建议、意见或推荐。此外,由于德勤华永在编制有关材料时受时间及适用的资料所限,可能并未知悉所有的事实或资料,因此该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整性或充分性进行任何陈
2、述。使用者应当自行承担因应用该等材料的内容而产生的风险。本材料为机密文件。除德勤华永所授权的人士外,任何其他人士未经德勤华永事先书面同意,不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承担任何义务和责任(包括但不限于疏忽引起的责任)。德勤华永保留本材料的著作权及其它一切知识产权。,管理层都知道有那些风险,但为什么还是有重大风险事故发生? 什么是最有效的企业风险管理架构? 如何把风险与内控相连接?把风险应对做得更深入? 我们企业需要建立一个风险管理自动化系统吗?,主题,时下的局势,2007年以来的信贷危机导致了自“大萧条”以来的最严重的市场崩盘,之后全球对于“风险”的关注度达到前所未有
3、的高度。那些被认为拥有良好的风险管理和内控机制的公司都受到影响,甚至濒临倒闭。对于所有企业来说,这些事件都是富有意义的一课:他们应该评估自身识别和管理对于保护和提升股东价值风险的能力。,Apollo 13 与黑天鹅事件,2010年是阿波罗13号平安返回地球40周年纪念。阿波罗13号(Apollo 13)是阿波罗计划中的第三次载人登月任务。发射后两天,服务舱的氧气罐发生的爆炸严重损坏了航天器,使其大量损失氧气和电力;三位宇航员使用航天器的登月舱作为太空中的救生艇。指令舱系统并没有损坏,但是为了节省电力在返回地球大气层之前都被关闭。三位宇航员在太空中经历了缺少电力、正常温度以及饮用水的问题,但仍然
4、成功返回了地球。,阿波罗13号的事件,被认为是一种黑天鹅事件,是指看似极不可能发生的事件,它具备三大特性: 不可预测性; 巨大影响性; 事后诸葛。 PS: 黑天鹅事件可能造成重大的损失,但也可能从这些意外的大事件中获益;Google及Facebook的惊人成就就是黑天鹅事件,其他亦包括了美国的911事件、全球金融危机等。,面对下一只黑天鹅,您是否已经准备好了?,每个企业都需要实施风险管理,2009年,德勤对欧美全球知名的大中型企业开展了风险管理调研,收集了来自能源、制造、快速消费品、电信传媒等行业的151份问卷,发现了以下信息: 1. 对于企业风险管理更加重视,其中56的企业是在两年之内建立了
5、风险管理体系,其中限制性产业在风险管理方面处于领先地位; 2. 对于什么才是企业风险管理存在混淆,但大部分使用COSO-ERM框架; 3. 当前企业风险管理项目的主要目标是建立流程与组织架构,而非具体效果; 4. 识别的风险并未融入核心决策环节,例如战略计划指定,资本分配及绩效管理等; 5. 缺乏对其实施成效的真正理解与认同是企业风险管理的最大挑战,因此大多数企业对于其可能面临的重大危机的准备程度缺乏信心;,风险管理在发达国家推进结果的最新调研,6. 董事会是风险管理的主要推动者,审计委员会为监督人,风险管理委员会的成员通常为企业管理层而非治理层; 7. 声称能够更为系统的管理风险的企业通常已
6、经运行了风险管理体系超过2年,但仅有少数设定了明确的风险偏好,风险容忍度,并建立风险预警体系; 8. 当前的风险管理项目注重现有的资产的保护,而缺乏对与未来收益紧密链接的风险的关注; 9. 主要依赖于定性的判断,而缺乏专业的评估与量化工具,如情景分析、压力测试、风险预警指标设定、VaR值,FMEA分析等; 10. 仅有27的企业使用了风险管理的自动化工具,导致多数企业风险信息汇总的质量、速度未达预期。,风险管理在发达国家推进结果的最新调研(续),风险智能成熟度模型,通过调研不难发现,多数企业仍在风险管理的第三阶段,如何才能“更上一层楼”?,谁应该参与企业风险管理流程?,企业是如何管理风险?,风
7、险管理危机管理,改善经营绩效,理想的风险管理模式,整个流程是完整一体化的,是连续不断的。,风险被看成是积极有利的因素(因为认识到成功的公司要抓住机会就必须得冒险),目前大多数公司都采用传统的风险管理模式。在这些公司中,企业风险管理只是一个“未来的目标状态”。,风险管理活动是富有战略目标(或增值)的 活动,侧重于管理企业的整个资产组合,包括无形资产和组织资产,侧重于管理与实物资产和财务资产相关的不确定因素,公司可立即采取哪些措施来开展风险管理?,风险管理的框架,考虑企业各个层面的活动,可在4个范畴内审阅,确保及时识别并传达相关信息的流程,确保及时执行风险管理活动的政策和流程,对影响企业绩效的内外
8、部因素的评估,企业的风险意识, “ 来自高层的声音”,判定内部控制设计、执行充分性、有效性和适应性的流程,控制活动,风险响应,风险评估,目标设定,事件辨别,信息与沟通,“一个过程,受到公司董事会、经理层和其他人员的影响,应用于战略设置并贯穿到整个公司,有计划地识别可能影响公司的潜在事件,并在风险偏好范围内管理风险,为达到公司目标提供合理的保障。”Source: COSO Enterprise Risk Management Integrated Framework. 2004. COSO.,COSO-企业风险管理综合框架,澳大利亚-新西兰标准: ERM 方法论综述,风险管理程序 COSO的ER
9、M框架模式越来越广泛应用于美国及加拿大企业,但是该框架不具有实践性,没有基于企业流程,并且在执行中富有挑战性。 许多公司基于现有的COSO以及一个被称为澳大利亚/新西兰的标准来建立自己的ERM构架。 澳大利亚/新西兰标准为建立和执行风险管理程序提供了一般指引. 右图所示程序代表一种逻辑和系统方法论,应用于建立风险定义、分析、评估、应对、沟通和实时监控环节. 该程序是可重复进行的,能应用于公司、业务单元、服务机构及项目层面的风险管理活动. 重复管理程序的时间可根据进度表决定 (如每年进行战略风险评估),或者根据事件来决定(如外部事件、标明超过风险门槛水平的报告、或被提议的项目).,沟通及协商,监
10、控及评价,建立风险评估基础,识别风险,外部基础信息 内部基础信息 风险管理基础设定,分析风险,现有风险结构,评估风险,可能性,结果,风险披露,应对风险,确定并评估各种可能方案 准备及执行计划 分析及评估剩余风险,AS Standards 4360 2004.pdfAS standards 4360 2004_HB.pdf,18 企业风险管理框架,国资委中央企业全面风险管理指引,ISO31000 与中国国家标准,ISO31000 、GB/T24353-2009: 风险管理原则和方针 ISO31010 、GB/T 待定: 风险管理风险评估技术 ISO 73/国标:23694-2009 风险管理术语
11、等纵观所有体系,大同小异;均有风险识别、风险评估、风险应对三个核心步骤;其中,风险识别是管理基础, 风险评估是资源配置, 风险应对是企业价值的保护和再创造 在加上体系的持续改进,以及和现有管理 的融合,ISO 31010 风险评估技术在不同阶段的应用(节选),监管要求企业内部控制基本规范,企业内部控制基本规范,风险响应,风险评估,目标设定,事件辨别,企业对内部控制建立与实施 情况进行监督检查,,确保及时识别并传达相关信息的流程,采用相应的控制措施,将风险控制在可承受度之内,企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略,企业实施内部控制的基础,一般包括治理结
12、构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,全员参与,国内企业开展风险管理的现状与思考,风险管理沙龙调研结果分享,德勤在2009年末举办了“风险管理价值之旅震撼2012引发的风险管理思考”主题沙龙,旨在开启有关提升企业风险智能水平的思考和话题。近20家大型国企的风险管理负责人参会,讨论了风险管理中的难点与重点,主要包括:风险管理三道防线如何设置 风险管理委员会、风险管理职能部门的职责与人员配备 风险识别与评估方法:自上而下 VS 自下而上 风险管理体系、内部控制体系和管理制度体系如何实现有效的衔接和融合? 重大风险应对与KRI的设置 风险管理长效机制,建立风险管理组织架构,风险
13、管理体系组织结构要和公司管控模式相结合: 作为风险管理体系建设的先导,公司管控模式是对权责划分和分级管理原则的明确,风险管理组织结构需要和公司的管控模式结合,通过风险管理流程把各职能模块和部门分工连接在一起。,管控体系,通过管控体系三层架构的设计,以确保管控在管理组织中的有效执行,案例:某特大型国有集团的风险管理组织结构示例 特点: 1)风险管理委员会设在董事会下,由董事和独立董事组成,判断更为独立和专业。这种模式被国务院国有资产管理委员会广泛推介。,风险管理委员会,建立风险管理组织架构,风险管理工作组,建立风险管理体系的要点风险管理与现有公司体系的关系,案例:某特大型国有集团构建的风险体系示
14、例: 风险管理的具体工作步骤应与三道防线的对应: 在具体工作步骤上,体现以下原则:1)三道防线原则;2)依托现有管理部门和体系的原则;3)从体系建设的角度持续改进的原则。,案例:某能源业工程企业的风险管理组织结构示例 特点: 1)风险管理委员会设在首席执行官下,由公司高管组成, 直接参与重大的业务决策和具体风险事项的管理 ,执行力强。这种模式在国外普遍运用。,建立风险管理组织架构,风险管理与内部控制体系如何有效衔接?,内部控制与风险管理框架,目前存在几个误区,把内部控制与全面风险管理体系的建设理解为建章立制。 内部控制体系和全面风险管理体系是相互独立的。 内部控制和全面风险管理的作用被夸大。
15、内部控制与全面风险管理理念在企业实践落地难。,误区,内置于企业日常管理过程中,是一种常规运行的机制。 整合建设,但根据企业特点各有侧重。 无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。 新事物的导入有个过程,要认清风险管理成熟度。,正解,中央国资委企业改革局的观点,预则立,不预则废(制定游戏规则,做好准备) 上医治未病(风险管理),下医治已病(危机管理) 企业管理以风险管理为纲,纲举目张。 区分机会风险和纯粹风险 风险管理和内控的关系: 内控: 正确的做事(埋头拉车); 风险管理: 做正确的事 (抬头看路),现代企业管控体制,公司治理是现代企业调整所有
16、者和管理者矛盾的体系;风险管理是管理层应对内外的各种挑战和不确定因素的时候,所采用的较为系统的方法和过程;内部控制是现代企业内部日常经营运作的业务过程,管理者负有实施和监督的完全责任。,1包含的关系,内部控制与风险管理的关系1,内部控制与风险管理的关系2,34,内部控制与风险管理的关系3,内部控制与风险管理的关系4,内控重要作用1. 控制的设计2. 追踪改进进程3.检查各项控制 的有效性,内部控制与风险管理的关系5,风险管理与内控体系建设步骤一览,一,计划与 关键风险领域 的界定,风险识别和重大 应对,四,二,第一阶段,第二、三阶段,第四阶段,主 要 内 容,把风险管理和内控作为一个体系来推行
17、建立,梳理核心业务流程,诊断风险内控缺陷并整改,建立项目组,并确定项目推进整体方案 确定项目实施的总体范围 分析公司的业务模式和发展趋势,确定关键风险领域和核心业务流程,1个月,3到6个月,6到12个月,6到12个月,采用“自上而下”的方式与高级管理层共同识别重大风险,讨论后明确相应的责任体系 选定重大风险进行专项应对和深入研究,实现风险管理与内部控制的有效衔接和融合,建立并推广风险内控自评及内审独立测评机制 定期编制内控自评报告与风险管理报告,五,风险内控信息系统的上线运行,第五阶段,为了实现高效风险管理和内控自评等工作,公司可使用风险内控信息系统,信息系统的功能包括由下而上的风险内控自评和
18、自动报告、风险指标设定和自动预警、风险应对跟踪等,一,三,四,五,某大型企业集团内部控制和风险管理体系整合建设蓝图,风险内控自我 评估的长效机 制建立,风险和内控体系 建立健全,三,二,风险内控综合管理体系的典型工作成果图谱 四位一体:“以风险为导向、以流程为纽带、以内控为抓手、以制度为基础”,风险调查表(风险问卷),风险事件树,风险热力图,重大风险分析及预警监控,风险控制矩阵 (RCM),风险内控管理框架,风险识别、评估 与重大风险分析,业务价值链和流程框架,风险管理落地到内控和业务流程,风险、内控和管理 制度文件体系,内控评审报告、 内控自我评估报告,授权和内控手册及其 持续更新和改进机制
19、,风险事件库/风险档案,风险管理规划、框架、流程和具体实施细则,风险管理信息系统,如何有效开展风险应对?,风险应对,风险应对,风险偏好的概述,建立风险评估基础-风险偏好,43 W公司能源技术服务有限公司,风险偏好评级,根据企业为了实现战略目标而愿意承担风险的大小,可将风险偏好分为几类:,公司应当定期对风险偏好进行复核和更新,并将风险偏好信息通过适当的方式传达给各级员工。,值得注意的是,随着企业内外部环境的变化,企业的风险偏好也会发生改变。,决定风险偏好的因素,建立风险评估基础-风险偏好,某公司调查问卷结果的汇总以及风险偏好分析结果,公司治理风险,战略制定和执行风险,声誉风险,信用风险,货币市场
20、风险,竞争风险,经济状况/产业趋势,供应商风险,客户风险,环保、健康及安全风险,合规风险,财务风险,信息安全风险,技术风险,人力资源风险,低,低,较低,较低,较低,较低,中,举例说明:战略风险偏好评分,关键因素未能考虑导致战略制定不合理的风险;由于执行和监督力度不足而致战略不能实现的风险;内外部环境发生变化,但战略不能及时调整的风险。,基于公司管理层对战略风险的偏好为低,以及现状分析,公司应: 建立健全战略决策机制,建立系统的调研、分析和审批流程,比如对一些重大决策项目需要经过董事会的正式审核与批准,以符合公司治理和管理要求; 建立决策的执行和监控机制,动态掌握战略执行进度以及内外部环境的变化
21、,以确保战略被有效执行并始终与公司目标一致。,风险偏好低,战略风险的偏好为低,显示出管理层对战略风险非常重视,主要原因如下: 战略决策决定了企业的未来发展方向,如果战略决策制定不正确,可能导致企业全军覆没;同样,正确的战略需要有效的执行和监控; 公司能源所处的行业受客观条件(尤其是宏观经济环境因素)的影响较大。如果战略与这些条件不相符,或者不能洞悉最新的变化,可能导致企业失去竞争优势和市场;,战略决策机制不健全,决策主要依赖于高管的个人分析,程序流于表面化,没有做好详细的预测,情境分析等;投资决策不够严密,尚未建立系统的决策审核体系(如需要经过董事会多数成员的审核与批准等); 缺少对投资进度和
22、结果的预期和评估,以及做相应调整或者考虑退出的机制。,战略风险的定义,公司管理层战略风险管理的现状,公司管理层对战略风险偏好评分依据,公司战略风险管理的未来目标,举例,概念,风险偏好通常是一种状态的描述与形容,起到导向作用,而风险容忍度则是符合该风险偏好之下的具体量化指标。 风险容忍度是指对于一项具体管理目标可以接受的偏离程度。 风险容忍度的上限和下限是分别确定的,波动幅度可以不相等。 风险容忍度可以为零,即不允许目标发生任何偏离。,示例1:假设根据十一五规划,公司的战略目标为: 2010年钢材产量达到800万吨。 则相应的风险容忍度可以由规划部门和生产部门共同根据公司战略目标和风险偏好来确定
23、,以确定公司可以接受的目标偏离程度;假设风险容忍度设定是10,则2010年钢材产量在720万吨880万吨是可以被接受的。,示例2:假设公司在安全领域的“十一五”目标是:事故总量比“十五”下降20以上。则相应的风险容忍度可以确定为:事故总量比“十五”下降20以上,即公司不接受该目标发生偏离,风险容忍度为零。,建立风险评估基础-风险容忍度,某钢铁集团的风险偏好及风险容忍度(例),内部控制体系基本理解,内控评价与监督职责分工,风险专题应对-选择风险应对方法的流程,进行风险因素分析:风险的特性总是受到一些因素的影响,这些因素具有不同的层级和重要性,我们通过鱼骨图的方式整理出组成该风险的主要因素,并对其
24、中的典型因素从来源、动因、时效性、管理部门进行细项分析。提出风险防控建议:我们通过和管理层、业务骨干的研讨、结合其他公司的最佳实践,对典型风险因素进行详尽的分析,提出风险防控建议。形成行动计划:根据风险防控建议,形成行动计划,明确计划方案、要点、时间表、建议负责人、建议支持部门、建议审批人和行动成果。该行动计划是风险应对的行动纲领,各相关部门根据行动纲领进行行动计划的细化和落实工作。建立“天气预报”机制:识别和重大风险相关的一系列宏观及行业先行指标。公司应该对这些宏观及行业先行指标预先洞察,并顺着价值传导锁链进行分析,预先研究发布公司内部的天气预报,帮助企业把握先机。建立“踩刹车”机制:识别和
25、重大风险相关的一系预警指标。公司应该定期收集预警指标值,和风险警戒值进行比对分析,一旦达到或者超过警戒值,立即启动相应的应急预案。,风险专题应对-案例分析:投标报价不准确的风险,某中央企业下属的A股上市公司于20092010年间开展了风险管理与内控整合体系建设工作,该公司主要负责工程总承包业务,一直困惑于海外业务的投标报价不准确问题,因此作为重大风险开展专题应对。在前期的风险识别与内控梳理工作中,我们了解到:,风险定义:公司的报价一般包含直接成本和间接成本两部分,直接成本通常包括人工费、材料设备费和施工机械使用费,间接成本包含风险溢价、利润率等,对项目直接、间接成本估算过程中,可能由于前期调研
26、不充分、风险因素估计不足等多种原因,导致报价编制不够准确,使公司产生利润损失。风险表现: 1.工程总承包项目的直接成本通常包括人工费、材料设备费和施工机械使用费,对工程项目直接成本估算过程中,可能由于以下原因导致成本编制不够准确,给投标报价工作带来困难:对项目当地原材料价格信息了解不充分;项目技术方案存在遗漏;对可能发生的费用项目测算不完整等;缺乏对成本估算二次复核的机制和资源等。 2.在工程项目报价过程中,可能由于以下原因导致项目的间接成本估算不准确,使公司产生利润损失:对竞争对手的投标报价了解不足;对当前行业市场行情把握不够到位;对原材料价格波动风险、汇率风险等因素估计不充分;对项目潜在风
27、险(如技术方案、当地环境、法律罚款等)考虑不周全。,风险专题应对-案例分析:投标报价不准确的风险,我们借助工具,进一步开展分析:,风险专题应对-案例分析:SIPOC分析,风险专题应对-案例分析:关键风险因素,项目组识别了以下关键风险因素:,规范调研信息收集: 营销部应该编制标准调研大纲,作为对前期调研范围和深度的普遍要求。加强调研信息共享: 营销部的指定人员收集各个部门的信息,根据性质及使用需要,制作成各类文字、影音等资料,分类进行加密、保存、发布。在公司推进一体化的进程中,也可以开展前期调研的信息共享,利用各个公司在不同地区和国家的工作经验和累积的数据信息,建立信息平台,避免重复工作、降低前
28、期调研的投入,风险专题应对-案例分析:风险应对建议,广泛的查询并收集各种主要材料的价格,形成一个有效的数据库;密切关注国际及国内原材料市场的储量和需求变化;尽量客观准确的分析和预测材料价格走势。 若预计材料价格波动幅度较大,可以借助敏感性分析来帮助领导进行报价决策。通过敏感性分析形成主要材料价格成本底价敏感性矩阵:(如下图示例)材料价格的走势服从于市场,而市场变动的风险始终无法完全避免,对于某些材料,公司可以考虑通过锁定价格的方式向业务链下游转移部分风险。,加强材料价格分析,风险专题应对-案例分析:风险应对建议,投标策略工作具有高度的无组织性和非结构性,人们无法对其进行精确的描述和严格的分析,
29、很难分析和构建出一个固定的解决方案,制订出明确的算法和规则,投标报价的决策者应该针对具体情况进行具体分析。基于此,我们构建了投标策略模型(如右图所示),在模型中列示了在制定投标策略时应该考虑的因素,以帮助决策者进行全面缜密的考虑,尽可能做出准确的决策。此模型尚处于初级阶段,公司在日常的投标实践中应不断对之进行完善。,完善投标策略,风险专题应对-案例分析:风险应对建议,提高投标报价编制人员的能力,深刻理解业主的招标文件: 只要是业主要求的工作内容或采购内容,公司参与投标技术方案、商务文件编写的相关部门都要仔细分析不要漏掉任何一项,并要特别注意业主提出的特殊要求,比如对材料品牌限定,对设备规格和品
30、牌的要求,对特殊施工的要求、商务要求、财务要求等。 加强内部沟通: 积极、主动地研究业主提供的所有招标资料和项目背景资料,主动和专业设计工程师沟通,对照相关专业知识,做好投标报价人员之间的沟通,避免报价中有漏项、多项的情况发生。 客观谨慎的编写投标文件: 投标文件编写人员要对业主招标文件的全面、深刻地理解,弄清哪些是报价中必须体现的,哪些是不包括在报价内容里的,并提供经得起推敲的价格。此外,要注意写好报价说明,通过报价说明可以让审核的领导以及业主了解,所报价格是基于什么样的基础,或者说是在一种什么情况下得出的。 完善培训和激励机制: 投标人员素质的培养提高主要还是靠自身的学习和积累及定期的学习
31、总结和知识交流,所以公司除了适当地提供外培内训的机会,更多地需要通过激励、考核等手段督促人员的自我提升意识。通过对编制报价的人员给予一定精神、物质奖励,充分调动投标人员的工作积极性。,风险专题应对-案例分析:风险应对建议,风险专题应对-案例分析:最重要的是形成方案并定期跟踪,风险专题应对-案例分析:天气预报类行业先行指标,宏观及行业先行指标宏观及行业先行指标对公司的发展具有潜在和间接的影响。如铁矿石的供求关系、钢材的供求关系会影响到钢材价格进而对公司的成本产生影响。又如地区经济的景气程度以及投资力度会影响到当地业主的建造计划,从而影响到合同的接洽和执行。对这些宏观及行业先行指标预先洞察,并顺着
32、价值传导锁链进行分析,能够在很大程度上帮助企业把握先机,预先研究发布公司内部的天气预报。我们把这个机制称为“天气预报”机制。,风险专题应对-案例分析:红绿灯类关键风险指标,关键风险指标便于公司即时监控主要风险的变化和对经营目标的影响,项目组在风险评估工作之外,进一步结合部门访谈、专家意见、以及国内外行业最佳实践经验等,选择和定义了关键风险指标。黄灯表示监控的关键风险指标仍在控制范围内,需要引起管理层的关注和重视,并视情况采取应对措施;红灯表示监控指标超过了关键风险指标的最大承受范围,当前风险暴露比较大,需要引起公司领导层的重视,并立即投入资源组织应对。,其他常用的风险应对分析工具:鱼骨图,下图
33、为选取的投资机会研究流程示例: 根据相关投资管理业务流程,对其中涉及风险因素充分分析,以便进行针对性的风险应对。,投资机会研究风险,其他常用的风险应对分析工具:SWOT,某大型钢铁集团应对“成本与战略如何有效协同”的风险中进行了以下分析:,风险预警体系如何建立?,风险预警体系,建立预警指标体系,将各项关键要 素根据各部门的实际情况细分,预警指标分析,风险预警模型,根据行业预警指标设置对应的行业预警评分,确定相关的行业预警指标,确定实际风险预警级别,将实际企业预警指标换算为对应的企业预警评分,根据行业预警评分设置风险预警级别,预警指标分析(续),预警指标分析(续),根据单体预警评分结果,确定对应
34、的预警级别。,预警指标分析(续),在对单体预警指标进行分析评估后,公司可结合实际需要,利用多个单体指标组成风险预警体系进行预警和分析。在指标体系预警分析中,将会根据各不同风险预警指标的重要性分配权重。,预警指标分析(续),预警事项的整改和处理,风险预警责任机制,董事会/集团管理层,以单体高度预警指标为例,说明风险预警体系中各单元间的责任流程,根据不同的指标预警级别,在预警体系中的责任分配图,全面配合,积极探索,某直辖市国资委正在搭建的风险预警体系,企业应按照要求,及时、准确的上报企业集团月报、决算报告和其他重大事项报告以及风险预警工作所需的其他信息;对于瞒报、漏报、提供虚假信息引起的资产损失,
35、市国资委将按照有关规定追究相关人员责任。,风险预警基础数据收集,国资委,风险预警信息,企业集团月报,企业集团决算报告,企业集团其他报告,某直辖市国资委正在搭建的风险预警体系(续),有条件的企业集团,应在企业层面建立自身的财务风险预警信息系统,对企业及下属企业的经营管理活动中的风险进行及时监控。企业集团财务风险预警信息系统的建设过程中,应考虑与市国资委财务风险预警信息系统进行互联和对接。,国资委风险预警系统,企业集团和所属企业的风险预警系统,某直辖市国资委正在搭建的风险预警体系(续),风险管理体系的考核机制,风险管理深化实施风险管理工作考核(示例),风险管理工作考核: 风险管理工作考核是公司开展
36、风险管理的最后阶段。在这一阶段,风险管理委员会对风险管理方案的适用性和效益性进行检查和评估,风险管理部对各个业务部门风险管理方案的执行情况进行检查和评估,目的在于根据所建立的评价指标检查风险管理决策结果是否与预期目标管理结果一致,以及调整过去的决策以适应新的环境变化。风险管理工作考核指标一般包括两类:结果指标和行为指标。,邯郸学步,误区1:生搬硬套,机械模仿,扬汤止沸,误区2: 只解决表面的问题,没有根除病灶,买椟还珠,误区3: 重视报告、框架、体系、问题整改,而忽略了机制及文化等常效机制,叶公好龙,误区4: 需要变革的行动时,管理层并非真正支持,风险管理工作推进过程中的四大误区及其“风险应对
37、”,应对1:应该根据公司自身的需要、资源及企业文化来开展,将国际最佳实践同中国企业实践、贵公司的发展阶段及经营特点相结合(管理和合规、理论与实际相结合),应对2: 从战略目标出发,将企业价值与风险、流程、制度、内控“打通结合”,必须有重点地选择影响企业价值的核心业务和流程着手实施项目(循序渐进、重实效),应对3: 即做“样本”, 又播“种子”(组织、流程、知识转移、文化)“软性”的风险管理文化和意识,应对4: 公司的管理层(“一把手”)是项目推进的责任主体,在应对管理变革带来的阵痛时需要从思想上坚定信心,心理上做好预期的准备,策略上强调员工的参与,方法上重视转变管理,如何走向风险管理信息化?,
38、风险管理信息系统整体框架的建议,专业的知识管理数据库和相关工具,82,内部控制自评模块(ICM),主要功能: 1.根据业务流程的管理,系统可依据不同流程和单位产生控制测试底稿。 2.使用者依据不同单位,自行设定控制测试计划。 3.系统提供电子邮件通知之机制,可通过电子邮件自动通知执行控制测试之对象 4.系统提供控制测试报表,使用者依据控制测试结果,执行控制评分。 5.可根据各项控制活动的问题分析,建议问题改进方案,启动行动方案监控机制。,风险管理专业平台举例:Risk Integrator系统,84,风险控制自评模块(RCSA),主要功能: 1.根据业务流程的管理,系统可依据不同流程和单位产生
39、风险与控制评估底稿。 2.使用者依据不同单位,自行设定风险与控制评估计划。 3.系统提供电子邮件通知之机制,可通过电子邮件自动通知执行风险与控制评估之对象 4.系统提供风险与控制评估表,使用者依据控制测试结果,执行风险评分(例如发生频率与严重度)。 5.可根据各项风险控制活动的问题分析,建议问题改进方案,启动行动方案监控机制。,风险管理专业平台举例:Risk Integrator系统,关键风险指标(KRI),主要功能: 1.提供建立关键风险指标功能。支持指标以多组衡量标准(trigger level),以监控其指标值变化趋势。 2.结合行动方案启动与监控机制,可于KRI值到达一水平时,可启动行
40、动方案模块(例如外部查核缺失的水平为一件,当超过此水平时必须强迫采取行动方案) 3.结合email 通知机制,并可由使用者依据不同单位,自行设置KRI通报时,email自动通知之对象或时机(例如未于时限内通报KRI即发送email通知本人或主管),风险管理专业平台举例:Risk Integrator系统,86,损失事件管理(LEM),主要功能: 1.提供风险事件资料登录、备份、检核与签核功能 2.提供一笔交易可对应多笔损失或追偿的功能 3.提供特定单位(例如风管单位)将不同事件联结为单一事件功能 4.提供特定单位将损失归类或分配至对应之部门单位(或Basel所定义之业务别) 5.结合行动方案启
41、动与监控机制,可于风险事件损失到达一门槛时,可启动行动方案 6.结合email 通知机制,并可由使用者依据不同单位,自行设置到达某损失门槛时,email自动通知之对象或时机。,风险管理专业平台举例:Risk Integrator系统,RI系统中的RCSA、KRI和LEM三个模块的评分评分小项作为整体风险评级的计算因子。整体风险评分的三方面比重可以进行配置,由管理层统一设置,并自动应用到所有业务单位。,机构风险评级 (IRR),风险管理专业平台举例:Risk Integrator系统,测试管理类报表风险自评表报告机构评级报告,整改计划创建整改计划审批整改任务执行整改任务监控,执行内控自评审批已执
42、行内控评估,执行风险评估审批已执行风险评估,第一道防线:业务部门在RI信息系统中的工作流程,如何通过系统实现风险管理的三道防线?,建立关键风险指标监控关键风险指标,创建内控评估模板派发内控评估模板,创建风险评估模板派发风险评估模板,主数据管理类报表管理层统计类报表风险自评表报告,第二道防线:风险管理职能部门在RI信息系统中的工作流程,如何通过系统实现风险管理的三道防线?,第三道防线:审计部在RI信息系统中的工作流程,如何通过系统实现风险管理的三道防线?,通过RI系统构建全面风险管理的三道防线,本文件为德勤拥有,其中包含了机密、私有的讯息。提交给您的建议书乃只限专门用于作为评估我们所建议的服务,当您或您的代表一经收到本建议书,代表贵方已同意如下要求:不要复制或拷贝本建议书,包括全部或者部分;或者提供这些讯息给其他人;或者用作除了上面所提到的评估以外的其它用途;以及在我们要求的情况下,请将本建议书返还给德勤。在根据本建议书签订合同的情况下,您基于合同的需要可以保留本建议书或复制本建议书。除非取得德勤的延期授权,此建议书仅自提供建议日期起发生效力,有效期为六十天。注:本次服务的提供,须以顺利通过德勤内部的标准客户/业务接受程序为前提。,
