全面风险管理系统篇课件

企业风险管理经验分享企业风险管理经验分享风险管理体系风险管理体系 -企业全面风险管理系统篇企业全面风险管理系统篇全面风险管理系统篇企业风险管理经验分享 1内容提要内容提要第一章第一章 风险管理概述风险管理概述第二章第二章 术语和定义术语和定义第三章第三章 风险管理原则风险管理原则第四章第四章 风险管理框架风险管理框架第五章第五章 风险管理过程风险管理过程2 2 2 2全面风险管理系统篇2内容提要第一章 风险管理概述2全面风险管理系统篇2 风险管理概述风险管理概述第第 一一 章章全面风险管理系统篇3 风险管理概述第 一 章全面风险管理系统篇3内容提要内容提要一、风险与风险管理一、风险与风险管理二、风险管理的起源和发展二、风险管理的起源和发展三、我国的风险管理三、我国的风险管理四、风险管理标准四、风险管理标准五、实施风险管理的目的和意义五、实施风险管理的目的和意义六、风险管理在认证领域中的应用六、风险管理在认证领域中的应用全面风险管理系统篇4内容提要一、风险与风险管理全面风险管理系统篇4一、风险与风险管理一、风险与风险管理所有类型和规模的组织都面临内部和所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是定性所具有的对组织目标的影响就是“风险风险”。全面风险管理系统篇5一、风险与风险管理所有类型和规模的组织都面临内部和外部的、使 一、一、风险与风险管理风险与风险管理风险管理是针对风险指挥和控制组织的协调风险管理是针对风险指挥和控制组织的协调活动。活动。组织的所有活动都涉及风险。组织的所有活动都涉及风险。组织通过识别、分析和评定是否运用风险处组织通过识别、分析和评定是否运用风险处理修正风险以满足它们的风险准则，来管理理修正风险以满足它们的风险准则，来管理风险。风险。通过这个过程，它们与利益相关方进行沟通通过这个过程，它们与利益相关方进行沟通和协商，监测和评审风险，以及为确保不再和协商，监测和评审风险，以及为确保不再进一步需求风险处理而修正风险的控制措施进一步需求风险处理而修正风险的控制措施6 6 6 6全面风险管理系统篇6 一、风险与风险管理风险管理是针对风险指挥和控制组织的协调活v 20 20世纪世纪3030年代在美国开始萌芽年代在美国开始萌芽 v 受当时世界性经济危机的影响，美国经济大萧条，受当时世界性经济危机的影响，美国经济大萧条，约有约有4040左右的银行和企业破产，为应对经营上左右的银行和企业破产，为应对经营上 的危机，美国许多大中型企业都在内部设立了保的危机，美国许多大中型企业都在内部设立了保 险管理部门，负责安排企业的各种保险项目，保险管理部门，负责安排企业的各种保险项目，保 险成为当时企业处理风险的主要方法。险成为当时企业处理风险的主要方法。v 20 20世纪世纪5050年代，风险管理在美国以学科的形式发年代，风险管理在美国以学科的形式发 展，并逐步形成了独立的理论体系。展，并逐步形成了独立的理论体系。v 1970 1970年代以后逐渐掀起了全球性的风险管理运动。年代以后逐渐掀起了全球性的风险管理运动。美国一些大公司的重大损失使公司高层决策者开美国一些大公司的重大损失使公司高层决策者开 始认识到风险管理的重要性。始认识到风险管理的重要性。二、风险管理的起源和发展二、风险管理的起源和发展 全面风险管理系统篇7 20世纪30年代在美国开始萌芽 二、风险管理的起源和发展 v2020世纪世纪9090年代开始随着国际资产证券化、债券的风险进一年代开始随着国际资产证券化、债券的风险进一步扩大，使风险管理更迅速地在国际推行。步扩大，使风险管理更迅速地在国际推行。v欧美欧美等国家先后建立起全国性和地区性的风险管理协会。等国家先后建立起全国性和地区性的风险管理协会。v针对安然、世通等财务欺诈事件，美国国会出台了著名的针对安然、世通等财务欺诈事件，美国国会出台了著名的20022002年萨班斯年萨班斯奥克斯利法案奥克斯利法案来规范上市公司的行为来规范上市公司的行为v19831983年美国风险和保险管理协会年会上，通过了年美国风险和保险管理协会年会上，通过了“101“101条条风险管理准则风险管理准则”，标志着风险管理发展进入了一个新阶段，标志着风险管理发展进入了一个新阶段v欧洲欧洲1111个国家成立了个国家成立了“欧洲风险管理委员会欧洲风险管理委员会”v美国多家专业团体成立了美国多家专业团体成立了“反虚假财务报告委员会反虚假财务报告委员会”和著和著名的专门研究内部控制的委员会名的专门研究内部控制的委员会“COSO“COSO委员会委员会”vCOSOCOSO著名报告内部控制著名报告内部控制-整体框架整体框架(1992)(1992)和和COSO-COSO-ERMERM企业风险管理框架企业风险管理框架(2004)(2004)，是风险管理的重要文献，是风险管理的重要文献。二、风险管理的起源和发展二、风险管理的起源和发展 全面风险管理系统篇820世纪90年代开始随着国际资产证券化、债券的风险进一二、风 全面企业风险管理框架全面企业风险管理框架风险管理正在从传统的风险管理正在从传统的风险管理正在从传统的风险管理正在从传统的“点对点点对点点对点点对点”式的管理走向全式的管理走向全式的管理走向全式的管理走向全面的、一体化的管理。面的、一体化的管理。面的、一体化的管理。面的、一体化的管理。国际较知名的国际会计准则委员会（国际较知名的国际会计准则委员会（国际较知名的国际会计准则委员会（国际较知名的国际会计准则委员会（IASC)IASC)IASC)IASC)、巴塞、巴塞、巴塞、巴塞尔银行监管委员会尔银行监管委员会尔银行监管委员会尔银行监管委员会(BASEL)(BASEL)(BASEL)(BASEL)、美国的、美国的、美国的、美国的COSOCOSOCOSOCOSO委员会研委员会研委员会研委员会研究、发展了一整套完整的全面企业风险管理框架。究、发展了一整套完整的全面企业风险管理框架。究、发展了一整套完整的全面企业风险管理框架。究、发展了一整套完整的全面企业风险管理框架。COSOCOSOCOSOCOSO全面风险管理（全面风险管理（全面风险管理（全面风险管理（ERMERMERMERM）框架的定义：）框架的定义：）框架的定义：）框架的定义：企业风险管理是一个过程，它由一个主体的董企业风险管理是一个过程，它由一个主体的董企业风险管理是一个过程，它由一个主体的董企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定事会、管理当局和其他人员实施，应用于战略制定事会、管理当局和其他人员实施，应用于战略制定事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜并贯穿于企业之中，旨在识别可能会影响主体的潜并贯穿于企业之中，旨在识别可能会影响主体的潜并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，在事项，管理风险以使其在该主体的风险容量之内，在事项，管理风险以使其在该主体的风险容量之内，在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证。并为主体目标的实现提供合理的保证。并为主体目标的实现提供合理的保证。并为主体目标的实现提供合理的保证。9 9 9 9 二、风险管理的起源和发展二、风险管理的起源和发展 全面风险管理系统篇9 全面企业风险管理框架9 二、风险管理的起源和发展 全面风险三、我国的风险管理三、我国的风险管理在我国，风险管理理论的发展及应用相对滞后，企业在风险管在我国，风险管理理论的发展及应用相对滞后，企业在风险管理上存在诸多问题：理上存在诸多问题：缺乏风险意识和策略，管理被动；缺乏风险意识和策略，管理被动；缺乏风险管理技术、专业人才和资金；缺乏风险管理技术、专业人才和资金；战略上急于求成，应对变化能力不强，导致个别企业不能有效战略上急于求成，应对变化能力不强，导致个别企业不能有效应对重大风险事件，在发展中承担了过多自身不可承受风险；应对重大风险事件，在发展中承担了过多自身不可承受风险；国家对风险管理日益重视，国家对风险管理日益重视，20062006年国务院国有资产监督管理委年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引员会发布了中央企业全面风险管理指引对中央企业如何开展全面风险管理提出了明确要求；对中央企业如何开展全面风险管理提出了明确要求；指导范围并不仅限于央企，对公司也同样具有普遍指导意义；指导范围并不仅限于央企，对公司也同样具有普遍指导意义；指引的出台标志着我国有了自己的全面风险管理指导性文指引的出台标志着我国有了自己的全面风险管理指导性文件，我国企业正向管理的更高阶段件，我国企业正向管理的更高阶段全面风险管理迈进。全面风险管理迈进。全面风险管理系统篇10三、我国的风险管理在我国，风险管理理论的发展及应用相对滞后，v国际大环境，促进了风险管理的标准化和国际化国际大环境，促进了风险管理的标准化和国际化v20042004年澳洲和新西兰联合推出年澳洲和新西兰联合推出AZ/NZS 4360AZ/NZS 4360风险管理标风险管理标准，是第一个国家级的风险管理标准准，是第一个国家级的风险管理标准,并为国际标准的并为国际标准的出台奠定了基础出台奠定了基础 v风险管理风险管理的的国际标准国际标准ISO31000ISO31000为业界广为关注，为业界广为关注，ISOISO历历时四年，时四年，从从CDCD到到DISDIS再到再到FDISFDIS稿，不断完善标准稿，不断完善标准，于，于20092009年年1111月月1313日正式发布了日正式发布了ISO31000ISO31000：2009 2009 风管理风管理原则和指南原则和指南 v该标准该标准明确了风险管理的原则和指南明确了风险管理的原则和指南v为深入开展风险管理工作提供了理论基础为深入开展风险管理工作提供了理论基础v20022002年，我国已经依据年，我国已经依据ISO31000ISO31000标准的标准的DISDIS稿，颁布了稿，颁布了国家标准国家标准GB/T24353 GB/T24353 风险管理风险管理 原则与实施指南原则与实施指南 四、风险管理标准四、风险管理标准全面风险管理系统篇11国际大环境，促进了风险管理的标准化和国际化四、风险管理标准全ISO的相关标准和指南的相关标准和指南ISOGUIDE73风险管理风险管理 词汇词汇ISO31000 风险管理风险管理 原则和指南原则和指南IEC/ISO31010 风险管理风险管理 风险评估技术风险评估技术12121212全面风险管理系统篇12ISO的相关标准和指南ISO GUIDE 73 ISOGUIDE73:2009风险管理风险管理 词汇词汇与风险有关的术语（与风险有关的术语（1 1）与风险管理有关的术语（与风险管理有关的术语（4 4）与风险管理过程有关的术语（与风险管理过程有关的术语（4545）13131313ISO GUIDE 73 全面风险管理系统篇13ISO GUIDE 73:2009 风险管理 词汇 ISO31000:2009ISO31000 2009 风险管理风险管理 原则和指南原则和指南 1 1 范围范围 2 2 术语和定义（术语和定义（2929）3 3 风险管理原则（风险管理原则（1111）4 4 风险管理框架风险管理框架 5 5 风险管理过程风险管理过程14141414全面风险管理系统篇14 ISO31000:2009ISO31000 2009 15151515ISO31000ISO31000：20092009风险管理原则、框架和过程关系图风险管理原则、框架和过程关系图15151515全面风险管理系统篇1515ISO31000：200915全面风险管理系统篇15 ISO31000:2009ISO31000:2009 ISO31000:2009 风险管理风险管理 原则和指南原则和指南RiskmanagementPrinciplesandguideline提供提供了风险管理的原则和通用性指南。了风险管理的原则和通用性指南。尽管所有的组织在某种程度上都在管理风险，尽管所有的组织在某种程度上都在管理风险，ISO31000ISO31000建立了一些为使风险管理变得有效而需建立了一些为使风险管理变得有效而需要满足的原则。要满足的原则。ISO31000ISO31000建议，组织制定、实施和持续改进一个建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、体治理、战略和规划、管理、报告过程、方针、价值观和文化中。价值观和文化中。16161616全面风险管理系统篇16 ISO31000:2009ISO31000:2009 风险ISO31000:2009ISO31000:2009ISO31000:2009提供了在任何范围和状况下，以系统的、提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。清晰可靠的方式管理风险的原则和通用指南。尽管所有的组织在某种程度上都在管理风险，尽管所有的组织在某种程度上都在管理风险，ISO31000ISO31000建建立了一些为使风险管理变得有效而需要满足的原则。立了一些为使风险管理变得有效而需要满足的原则。ISO31000ISO31000建议，组织制定、实施和持续改进一个框架，其建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。划、管理、报告过程、方针、价值观和文化中。风险管理的每一个特定领域或应用都具有各自的需求、受风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，众、观念和准则。因此，ISO31000ISO31000的主要特点是在通用的的主要特点是在通用的风险管理过程中将风险管理过程中将“明确环境明确环境”作为初始活动。作为初始活动。“明确环境明确环境”将捕获组织的目标，组织所追求目标的环境，将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。助揭示和评价风险的性质和复杂性。全面风险管理系统篇17ISO31000:2009ISO31000:2009提供了在ISO31010:2009IECISO31010 2009 风险管理风险管理 风险评估技术风险评估技术 1 1 范围范围 2 2 规范性引用文件规范性引用文件 3 3 术语和定义术语和定义 4 4 风险评估的相关概念风险评估的相关概念.5 5 风险评估过程风险评估过程.6 6 风险评估技术的选择风险评估技术的选择 附录附录A A 风险评估技术的比较风险评估技术的比较 附录附录B B 风险评估技术风险评估技术18181818全面风险管理系统篇18ISO31010:2009IEC ISO31010 200 国家标准国家标准(GB/T23694)(GB/T23694)GB/T2GB/T236943694 2009 2009 风险管理风险管理 术语术语 idt idtISOISO GUIDE GUIDE 73 2002 73 2002 1 1 基础术语（基础术语（8 8）2 2 受风险影响的组织及个人的相关术语（受风险影响的组织及个人的相关术语（4 4）3 3 与风险评估的相关术语（与风险评估的相关术语（6 6）4 4 与风险处理和风险控制相关的术语（与风险处理和风险控制相关的术语（1111）19191919全面风险管理系统篇19 国家标准(GB/T23694)GB/T23694 200国家标准国家标准(GB/T24353)(GB/T24353)风险管理过程风险管理过程 20202020全面风险管理系统篇20国家标准(GB/T24353)风险管理过程20全面风险管理系国家标准国家标准(GB/T24353)(GB/T24353)GB/T24353 GB/T24353 2009 2009 风险管理风险管理 原则与实施指南原则与实施指南 1 1 范围范围 2 2 规范性引用文件规范性引用文件 3 3 术语和定义（术语和定义（GB/T23694GB/T23694）4 4 风险管理原则（风险管理原则（8 8）5 5 风险管理过程风险管理过程 6 6 风险管理的实施风险管理的实施21212121全面风险管理系统篇21国家标准(GB/T24353)GB/T24353 2009风险管理的目的风险管理的目的:通过具有前瞻性的、充分地考虑各类风险的不确通过具有前瞻性的、充分地考虑各类风险的不确定性及其对目标的影响，制定行之有效的应对措定性及其对目标的影响，制定行之有效的应对措施，为组织在运营和决策中有效应对各类突发事施，为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障，以使组织能有效的配件和风险提供支持和保障，以使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风置资源、优化过程，及时、恰当、有效地应对风险，提高风险应对的效率和效果，更好地实现组险，提高风险应对的效率和效果，更好地实现组织的目标。织的目标。五、实施风险管理的目的五、实施风险管理的目的全面风险管理系统篇22风险管理的目的:五、实施风险管理的目的全面风险管理系统篇风险管理的意义风险管理的意义:1 1）提高实现目标的可能性；）提高实现目标的可能性；2 2）鼓励主动性管理；）鼓励主动性管理；3 3）在整个组织意识到识别和处理风险的需求）在整个组织意识到识别和处理风险的需求;4 4）改进对机会和威胁的识别；）改进对机会和威胁的识别；5 5）遵守相关的法律法规要求及国际规范；）遵守相关的法律法规要求及国际规范；6 6）改进强制性和自愿性报告）改进强制性和自愿性报告 7 7）改善治理）改善治理 8 8）提高利益相关者的信心和信任；）提高利益相关者的信心和信任；五、实施风险管理的意义五、实施风险管理的意义 全面风险管理系统篇23风险管理的意义:五、实施风险管理的意义 全面风险管理系统篇9 9）为决策和规划建立可靠的根基：）为决策和规划建立可靠的根基：1010）加强控制）加强控制 11 11）有效地分配和使用风险处理资源；）有效地分配和使用风险处理资源；1212）提高运作的效果和效率）提高运作的效果和效率 13 13）加强健康和安全绩效，以及环境保护）加强健康和安全绩效，以及环境保护 1414）改善损失预防和事件管理；）改善损失预防和事件管理；1515）减少损失；）减少损失；16)16)提高组织的学习能力；提高组织的学习能力；1717）增强组织的应变能力；）增强组织的应变能力；五、实施风险管理的意义五、实施风险管理的意义 全面风险管理系统篇249）为决策和规划建立可靠的根基：五、实施风险管理的意义 全六、风险管理在认证领域中的应用六、风险管理在认证领域中的应用ISO31000ISO31000中所描述的通用方法提供了在任何中所描述的通用方法提供了在任何范围和背景下，以系统、清晰、可靠的方范围和背景下，以系统、清晰、可靠的方式管理风险的原则和指南。式管理风险的原则和指南。作为管理方法作为管理方法论，其原则和指南可以应用到认证的各个论，其原则和指南可以应用到认证的各个领域领域OHSAS18000OHSAS18000标准包含了风险管理在职业健康标准包含了风险管理在职业健康安全专业领域的应用。安全专业领域的应用。ISO22000ISO22000标准包含了风险管理在食品安全专标准包含了风险管理在食品安全专业领域的应用。业领域的应用。也适用于也适用于EMSEMS和和QMSQMS中。中。25252525全面风险管理系统篇25六、风险管理在认证领域中的应用ISO31000中所描述的通用 术语和定义术语和定义26262626第第 二二 章章26262626全面风险管理系统篇26 术语和定义26第 二 章26全面风险管理系统篇26 不确定性对目标的影响不确定性对目标的影响 注注1 1：影响是与期待的偏差：影响是与期待的偏差积极和积极和/或消极或消极注注2 2：目标可以有不同方面（如财务、健康安全、以及环境目：目标可以有不同方面（如财务、健康安全、以及环境目 标），可以体现在不同的层次（如战略、组织范围、项标），可以体现在不同的层次（如战略、组织范围、项 目、产品和过程）。目、产品和过程）。注注3 3：风险通常以潜在事件和后果，或它们的组合来描述。：风险通常以潜在事件和后果，或它们的组合来描述。注注4 4：风险通常以事件（包括环境的变化）后果和发生可能性：风险通常以事件（包括环境的变化）后果和发生可能性 的组合来表达。的组合来表达。注注5 5：不确定性是指，对事件、其后果或可能性的认识或了：不确定性是指，对事件、其后果或可能性的认识或了 解方面的信息的缺乏或不完整的状态。解方面的信息的缺乏或不完整的状态。272727271.1.风险风险 riskrisk27272727全面风险管理系统篇27 不确定性对目标的影响271.风险 risk27全面2.2.后果后果 consequence 某一事件的结果。某一事件的结果。注注1 1：某一事件可能会产生不止一种的后果。：某一事件可能会产生不止一种的后果。注注2 2：后果可以是正面的负面的。然而，从安：后果可以是正面的负面的。然而，从安 全方面来看，后果往往都是负面的。全方面来看，后果往往都是负面的。注注3 3：后果可以定性或定量表述。：后果可以定性或定量表述。3.3.可能性：某一事发生的机会可能性：某一事发生的机会28282828全面风险管理系统篇282.后果 consequence28全面风险管理系统篇24 4.概率概率 probability 某一事件发生的可能程度。某一事件发生的可能程度。注注1 1：GB/T3358.1-1993 GB/T3358.1-1993 给出了一个关于给出了一个关于“概率概率”的数学定的数学定 义，度量某一随机事件发生可能性大小的实数，其值义，度量某一随机事件发生可能性大小的实数，其值 介于介于0 0与与1 1之间，它可以用来指在一段相当长的时间内，之间，它可以用来指在一段相当长的时间内，某一事件将要发生的频率，或者这一事件发生的可信某一事件将要发生的频率，或者这一事件发生的可信 程度。对于高可信度来说，概率接近程度。对于高可信度来说，概率接近“1 1”。注注2 2：在描述风险时，常用：在描述风险时，常用“频率频率”一词而不是用一词而不是用“概率概率”一词。一词。注注3 3：有关可能性的程度可以用不同的等级来表示：有关可能性的程度可以用不同的等级来表示：-极不可能极不可能/不大可能不大可能/可能可能/很可能很可能/几几乎确定；或者乎确定；或者 -难以置信难以置信/不可能不可能/可能性极小可能性极小/偶尔偶尔/有可能有可能/经常。经常。29292929全面风险管理系统篇294.概率 probability29全面风险管理系统篇2 5 5.事件事件 event 特定情况的发生。特定情况的发生。注注1 1：事件可能是确定的，也可能是不确定的。：事件可能是确定的，也可能是不确定的。注注2 2：事件可能是单一的，也可能是系列的。：事件可能是单一的，也可能是系列的。注注3 3：对于给定时间内事件发生的概率可以估算出来：对于给定时间内事件发生的概率可以估算出来确定的事件，是预知的，而不确定的事件，是没确定的事件，是预知的，而不确定的事件，是没有预知的，但也是有可能发生的。有预知的，但也是有可能发生的。事件可能是明显的，也可能是模糊的，其影响可事件可能是明显的，也可能是模糊的，其影响可能是正面的，也可能是负面的。能是正面的，也可能是负面的。30303030全面风险管理系统篇30 5.事件 event30全面风险管理系统篇30 指导和控制某一组织与风险相指导和控制某一组织与风险相关问题的协调活动。关问题的协调活动。313131316.6.风险管理风险管理 riskriskmanagement31313131全面风险管理系统篇31 指导和控制某一组织与风险相316.风险管理 ris 提供在组织内设计、实施、监测、评审提供在组织内设计、实施、监测、评审和持续改进风险管理的基础和组织安排的要和持续改进风险管理的基础和组织安排的要素集合。素集合。注注1 1：基础包括管理风险的方针、目标、指令和承诺：基础包括管理风险的方针、目标、指令和承诺 注注2 2：组织安排包括计划、关系、责任、资源、过程：组织安排包括计划、关系、责任、资源、过程 和活动。和活动。注注3 3：风险管理框架被嵌入到组织的整个战略和运营：风险管理框架被嵌入到组织的整个战略和运营 的方针和实践中的方针和实践中 323232327.7.风险管理框架风险管理框架 riskriskmanagement framework32323232全面风险管理系统篇32 提供在组织内设计、实施、监测、评审327.风险管理框指令和承诺指令和承诺 风险管理框架的设计风险管理框架的设计 理解组织和其状况理解组织和其状况 建立风险管理方针建立风险管理方针 责任责任 嵌入组织的过程嵌入组织的过程 资源资源 建立内部沟通和报告机制建立内部沟通和报告机制 建立外部沟通和报告机制建立外部沟通和报告机制框架的持续改进框架的持续改进实施风险管理实施风险管理实施风险管理框架实施风险管理框架实施风险管理过程实施风险管理过程框架的监测和评审框架的监测和评审ISO31000ISO31000：20092009标准给出的风险管理框架标准给出的风险管理框架全面风险管理系统篇33指令和承诺 风险管理框架的设计框架的持续改进实施内部环境内部环境信息沟通信息沟通 监测监测控制活动控制活动风险应对风险应对风险评估风险评估事项识别事项识别目标设定目标设定战略战略经营经营报告报告合规合规公司层面公司层面科室科室业业务务单单位位子公司子公司COSO COSO 全面风险管理框架（三维图）全面风险管理框架（三维图）风险管理的目标有四个：报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。全面风险管理系统篇34内部环境信息沟通 监测控制活动风险应对风险评估事项识8.8.风险管理方针风险管理方针 riskmanagementpolicy一个组织对风险管理的意图一个组织对风险管理的意图和方向的陈述。和方向的陈述。3535353535353535全面风险管理系统篇358.风险管理方针 3535全面风险管理系统篇359.9.风险管理计划风险管理计划 riskmanagementplan 在风险管理框架内规定用于风险管理在风险管理框架内规定用于风险管理的方法、管理要素、资源的方案。的方法、管理要素、资源的方案。注注1 1：管理要素一般包括程序、惯例、职责分配、活：管理要素一般包括程序、惯例、职责分配、活 动顺序和时间安排。动顺序和时间安排。注注2 2：风险管理计划可应用于特定的产品、过程和项：风险管理计划可应用于特定的产品、过程和项 目、组织的部分或整体。目、组织的部分或整体。3636363636363636全面风险管理系统篇369.风险管理计划 3636全面风险管理系统篇36 管理方针、程序和惯例对沟通、协商、管理方针、程序和惯例对沟通、协商、明确环境、以及识别、分析、评价、处明确环境、以及识别、分析、评价、处理、监测和评审风险活动的系统应用理、监测和评审风险活动的系统应用。373737373737373710.10.风险管理过程风险管理过程 riskriskmanagementprocess全面风险管理系统篇37373710.风险管理过程 全面风险管理系统篇37 组织针对风险管理，提供、共享或获取信息，组织针对风险管理，提供、共享或获取信息，与利益相关者进行对话的持续和反复的过程。与利益相关者进行对话的持续和反复的过程。注注1 1：信息涉及风险管理的存在、性质、形式、可能：信息涉及风险管理的存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。性、严重程度、评定、可接受性、处理。注注2 2：协商是组织与它的利益相关方，在做出决策或：协商是组织与它的利益相关方，在做出决策或 确定某一问题的方向前，针对问题双向有事实确定某一问题的方向前，针对问题双向有事实 依据的沟通的过程。协商是：依据的沟通的过程。协商是：通过影响力而非权力对决策施加影响；通过影响力而非权力对决策施加影响；作为决策的输入，而非加入决策。作为决策的输入，而非加入决策。3838383811.11.沟通和协商沟通和协商 communicationandconsultation38383838全面风险管理系统篇38 组织针对风险管理，提供、共享或获取信息，3811.沟通 可以影响风险、受到风险影响或自可以影响风险、受到风险影响或自认为会受到风险影响的任何个人、团体认为会受到风险影响的任何个人、团体或组织。或组织。注注1 1：决策者也是利益相关者之一。：决策者也是利益相关者之一。注注2 2：术语：术语“利益相关者利益相关者”包括包括GB/T19000-GB/T19000-2008 2008中定义的中定义的“相关方相关方”。3939393912.12.利益相关者利益相关者 stakeholderstakeholder39393939全面风险管理系统篇393912.利益相关者 stakeholder39全面风险管组织的利益相关者可以包括组织的利益相关者可以包括 1 1）组织的决策者；）组织的决策者；2 2）组织内部负责制定风险管理政策的人员；）组织内部负责制定风险管理政策的人员；3 3）组织或活动中实施风险管理的人员；）组织或活动中实施风险管理的人员；4 4）需要对组织的风险管理实践进行评估的人员；）需要对组织的风险管理实践进行评估的人员；5 5）组织中负责制定风险管理标准、指南、程序、）组织中负责制定风险管理标准、指南、程序、应用准则的人员；应用准则的人员；6 6）股东、董事会、高级管理人员、员工、债权人、）股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等供应商、顾客、银行、监管机构、合作伙伴等.（见（见GB/T24353:2009GB/T24353:2009前言部分）。前言部分）。4040404040404040全面风险管理系统篇40组织的利益相关者可以包括 4040全面风险管理系统篇401313.风险感知风险感知 riskperception 利益相关者根据其价值观或利害关利益相关者根据其价值观或利害关 系看待风险的方式。系看待风险的方式。注注1 1：风险感知取决于利益相关者的需要、关注点及知识。：风险感知取决于利益相关者的需要、关注点及知识。注注2 2：风险感知可能不同于客观数据。：风险感知可能不同于客观数据。风险感知反映利益相关者的需求，问题、知识、信念和价风险感知反映利益相关者的需求，问题、知识、信念和价值值。利益相关者的需要及关注的问题不同，因而风险感知会有利益相关者的需要及关注的问题不同，因而风险感知会有所不同。所不同。风险感知会存在一定的主观判断，因而可能与客观数据有风险感知会存在一定的主观判断，因而可能与客观数据有不同。不同。41414141全面风险管理系统篇4113.风险感知 risk perception41全面风险管 界定外部和内部参数，以便在管界定外部和内部参数，以便在管理风险和设置风险管理方针的范围及理风险和设置风险管理方针的范围及风险准则时，予以考虑。风险准则时，予以考虑。424242421 14.4.明确环境明确环境 establishingthecontext42424242全面风险管理系统篇42 界定外部和内部参数，以便在管4214.明确环境 42 评价风险严重性（度）的依据评价风险严重性（度）的依据。注：风险准则包括相关的成本及收益，法律法规要求，社会注：风险准则包括相关的成本及收益，法律法规要求，社会 及环境因素，利益相关者的态度，优先次序和在评估过及环境因素，利益相关者的态度，优先次序和在评估过 程中的其他要素。程中的其他要素。风险准则是组织用于评价风险重要度的标准，因此，风险风险准则是组织用于评价风险重要度的标准，因此，风险 准则需体现组织的风险承受度，并反映组织的价值观、目准则需体现组织的风险承受度，并反映组织的价值观、目 标和资源。标和资源。风险评价准则会涉及到各个方面，如成本收益、法律法规、风险评价准则会涉及到各个方面，如成本收益、法律法规、利益相关者态度等。利益相关者态度等。风险准则也会直接或间接反映法律法规要求或其他需要组风险准则也会直接或间接反映法律法规要求或其他需要组 织遵循的要求。准则也是使组织对接受风险做出决定的依据。织遵循的要求。准则也是使组织对接受风险做出决定的依据。434343431 15.5.风险准则风险准则 riskcriteriariskcriteria43434343全面风险管理系统篇43 评价风险严重性（度）的依据。4315.风险准则 ris 包括风险识别、风险分析和风险评包括风险识别、风险分析和风险评价在内的全部过程价在内的全部过程。444444441 16.6.风险评估风险评估 riskassessment 风险评估风险评估 风险识别风险识别 风险分析风险分析 风险评价风险评价44444444全面风险管理系统篇444416.风险评估 risk assessment 风险评发现、列举和描述风险要素的过程发现、列举和描述风险要素的过程 454545451 17.7.风险识别风险识别 risk identification 45454545全面风险管理系统篇454517.风险识别 45全面风险管理系统篇45 风险的结构化描述通常包含四风险的结构化描述通常包含四要素：来源、事件、因素和结果要素：来源、事件、因素和结果。1 18 8.风险描述风险描述 riskdescription46464646全面风险管理系统篇4618.风险描述 risk description46全面风 导致风险的单独或组合的内在可导致风险的单独或组合的内在可能性的因素能性的因素 注：风险源可能是有形的或者是无形的。1 19 9.风险源（来源）风险源（来源）risk source47474747全面风险管理系统篇4719.风险源（来源）risk source47全面风险管理 具有风险管理权限和责任的具有风险管理权限和责任的个人或实体个人或实体。2020.风险所有者风险所有者 riskowner48484848全面风险管理系统篇48 20.风险所有者 risk owner48全面风险管理系 理解风险的性质和确定风险理解风险的性质和确定风险程度的过程。程度的过程。注注1 1：风险分析为风险评价和风险处理决策提供了：风险分析为风险评价和风险处理决策提供了 基础。基础。注注2 2：风险分析包括风险估测。：风险分析包括风险估测。4949494921.21.风险分析风险分析 riskanalysis49494949全面风险管理系统篇494921.风险分析 risk analysis49全面风险管将风险分析的结果与风险准则进行比将风险分析的结果与风险准则进行比较，以确定风险和（或）其量是否可接受较，以确定风险和（或）其量是否可接受或可容许。或可容许。注：风险评定有助于有关风险处理的决策。5050505022.22.风险评价风险评价 riskevaluation50505050全面风险管理系统篇505022.风险评价 risk evaluation50全面 一个组织愿意追求或保留风险的一个组织愿意追求或保留风险的数量和类型。数量和类型。GB/T24353:2009 5.6.1 GB/T24353:2009 5.6.1 中提到这一词汇中提到这一词汇COSOCOSO指出：指出：风险偏好是企业追求目标中愿意接受风险风险偏好是企业追求目标中愿意接受风险的程度的程度指导企业的资源配置；指导企业的资源配置；5151515123.23.风险偏好风险偏好 riskappetiteriskappetite51515151全面风险管理系统篇515123.风险偏好 risk appetite51全面风险 接受某一风险的决定。接受某一风险的决定。注：风险承受取决于风险准则。注：风险承受取决于风险准则。任何规模和类型的组织都面临风险，组织的所有任何规模和类型的组织都面临风险，组织的所有 活动都涉及风险。只是组织应通过确定风险准则，活动都涉及风险。只是组织应通过确定风险准则，来决定对某一风险是否接受。来决定对某一风险是否接受。组织的价值取向和能力不同，因而是否能接受某组织的价值取向和能力不同，因而是否能接受某 一风险会有不同的决定，这些决定会依据风险准一风险会有不同的决定，这些决定会依据风险准 则的要求。则的要求。5252525224.24.风险承受风险承受 riskacceptanceriskacceptance52525252全面风险管理系统篇52 接受某一风险的决定。5224.风险承受 ris 注注1 1：风险处理可包括：风险处理可包括：通过决定不启动或停止产生风险的活动而避免风险。通过决定不启动或停止产生风险的活动而避免风险。为了追求机会采取或增加风险。为了追求机会采取或增加风险。消除风险源。消除风险源。改变可能性。改变可能性。改变后果。改变后果。与其他方面共同分担风险（包括合同、风险融资）。与其他方面共同分担风险（包括合同、风险融资）。通过有事实依据的决策保留风险。通过有事实依据的决策保留风险。修正风险的过程修正风险的过程535353532 25.5.风险处理风险处理 risktreatmentrisktreatment53535353全面风险管理系统篇53 修正风险的过程5325.风险处理 risk tre注注2 2：对消极后果的风险处理有时可以称为：对消极后果的风险处理有时可以称为 “风险减缓（风险减缓（riskmitigation）”、“风险消除（风险消除（riskeliminate）”、“风险预防（风险预防（riskprevention）”和和 “风险减小（风险减小（riskreduction）”。注注3 3：风险处理可以产生新的风险或修正已：风险处理可以产生新的风险或修正已 存在的风险。存在的风险。54545454545454542 25.5.风险处理风险处理 risktreatmentrisktreatment全面风险管理系统篇54545425.风险处理 risk treatment全面 决定不陷入风险，或者从风险状决定不陷入风险，或者从风险状 态中撤离的行为。态中撤离的行为。注：这个决定可能是以风险评价结果为依据的。注：这个决定可能是以风险评价结果为依据的。在风险评价之后，风险管理者会发现某些风险发生损失的可在风险评价之后，风险管理者会发现某些风险发生损失的可 能性很大，或者一旦发生且损失的程度非常严重时，可以采能性很大，或者一旦发生且损失的程度非常严重时，可以采 取主动放弃原来承担风险或完全拒绝承担该风险的实施行动，取主动放弃原来承担风险或完全拒绝承担该风险的实施行动，就是对风险的规避。就是对风险的规避。风险规避是一种主动的行为，但放弃风险同时也意味着收风险规避是一种主动的行为，但放弃风险同时也意味着收 益的丧失。益的丧失。5555555526.26.风险规避风险规避 risktransferrisktransfer55555555全面风险管理系统篇555526.风险规避 risk transfer55全面风 为实现风险处理及其他相关活动的为实现风险处理及其他相关活动的费用提供资金的活动。费用提供资金的活动。注：在某些行业中，风险融资特指对风险造成注：在某些行业中，风险融资特指对风险造成 的财务后果提供资金。的财务后果提供资金。组织在风险处理（风险规避、风险优化、风险转组织在风险处理（风险规避、风险优化、风险转移、风险自留）过程中，需要支付一定的费用，移、风险自留）过程中，需要支付一定的费用，以实现管理风险或补偿损失，因而会采用各种方以实现管理风险或补偿损失，因而会采用各种方式融通资金。式融通资金。融通资金是为风险管理对资金的筹措，也是风险融通资金是为风险管理对资金的筹措，也是风险的一种财务补偿机制。风险估计和风险评价是融的一种财务补偿机制。风险估计和风险评价是融资的主要数据依据。资的主要数据依据。5656565627.27.风险融资风险融资 riskfinancingriskfinancing56565656全面风险管理系统篇56 为实现风险处理及其他相关活动的5627.风险融资 r 接受某一特定风险带来的损失或收益。接受某一特定风险带来的损失或收益。注注1 1：风险自留包括接受那些没有得到识别的风险。：风险自留包括接受那些没有得到识别的风险。注注2 2：风险自留不包括运用保险或者其他方法进行：风险自留不包括运用保险或者其他方法进行 的风险转移的处理。的风险转移的处理。注注3 3：对风险的接受程度和对风险准则的依赖程度：对风险的接受程度和对风险准则的依赖程度 可能会有变化。可能会有变化。5757575728.28.风险自留风险自留 riskretentionriskretention57575757全面风险管理系统篇57 接受某一特定风险带来的损失或收益。5728.风险自留 r 不断检查、监督、严格观察或不断检查、监督、严格观察或确定状态，以识别所要求或期待的确定状态，以识别所要求或期待的绩效水平的变化。绩效水平的变化。注：监测可应用于风险管理框架、风险管理注：监测可应用于风险管理框架、风险管理注：监测可应用于风险管理框架、风险管理注：监测可应用于风险管理框架、风险管理 过程、风险或控制措施。过程、风险或控制措施。过程、风险或控制措施。过程、风险或控制措施。585858582 29.9.监测监测 monitoring58585858全面风险管理系统篇58 不断检查、监督、严格观察或5829.监测 moni 为达到所建立的目标，确定有关为达到所建立的目标，确定有关事务的适宜性、充分性和有效性所采事务的适宜性、充分性和有效性所采取的活动取的活动。注：评审可应用于风险管理框架、风险管理过注：评审可应用于风险管理框架、风险管理过 程、风险或控制措施。程、风险或控制措施。5959595930.30.评审评审 review59595959全面风险管理系统篇595930.评审 review59全面风险管理系统篇59 风险管理原则风险管理原则第第 三三 章章全面风险管理系统篇60 风险管理原则第 三 章全面风险管理系统篇60风险管理原则、框架和过程关系图风险管理原则、框架和过程关系图全面风险管理系统篇61风险管理原则、框架和过程关系图全面风险管理系统篇61风险管理原则风险管理原则原则一：风险管理创造并保护价值原则一：风险管理创造并保护价值原则二：风险管理嵌入组织的管理过程原则二：风险管理嵌入组织的管理过程原则三：风险管理支持决策过程原则三：风险管理支持决策过程原则四：明确风险管理涉及的不确定性原则四：明确风险管理涉及的不确定性原则五：风险管理是系统的，结构化的原则五：风险管理是系统的，结构化的 和及时的和及时的原则六：风险管理是基于最可用的信息原则六：风险管理是基于最可用的信息全面风险管理系统篇62风险管理原则原则一：风险管理创造并保护价值全面风险管理系统篇原则七：风险管理是定制的原则七：风险管理是定制的原则八：风险管理考虑人文因素原则八：风险管理考虑人文因素原则九：风险管理是透明的和包原则九：风险管理是透明的和包容的容的原则十：风险管理是动态的，原则十：风险管理是动态的，迭迭代的和适应变化的代的和适应变化的原则十一：风险管理有利于组织原则十一：风险管理有利于组织持续改进持续改进风险管理原则风险管理原则全面风险管理系统篇63原则七：风险管理是定制的风险管理原则全面风险管理系统篇63 风险管理创造并保护价值风险管理创造并保护价值 以控制损失、创造价值为目标的风险管以控制损失、创造价值为目标的风险管理，有助于组织实现目标、取得具体可见的理，有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩，包括人员健康和成绩和改善各方面的业绩，包括人员健康和安全、合规经营、信用程度、社会认可、环安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、项目管理、境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面运行效率和公司治理等方面。风险管理原则一风险管理原则一64646464全面风险管理系统篇64 风险管理创造并保护价值 这项原则的价值在于风险管理的目的就这项原则的价值在于风险管理的目的就是为了是为了创造并保护价值，控制损失。创造并保护价值，控制损失。风险是客观存在的，任何组织都面临风风险是客观存在的，任何组织都面临风险，组织的所有活动都涉及风险，风险险，组织的所有活动都涉及风险，风险会影响组织目标的实现。会影响组织目标的实现。风险管理原则一风险管理原则一65656565全面风险管理系统篇65 这项原则的价值在于风险管理的目的就是为了创造并保护价值，在组织的运营活动中，机遇和威胁并存，在组织的运营活动中，机遇和威胁并存，风险管理就是要趋利避害，创造价值。风险管理就是要趋利避害，创造价值。在某些特定领域，如金融业、从风险管在某些特定领域，如金融业、从风险管理的角度理的角度出发，币值波动既能造成潜在出发，币值波动既能造成潜在损失，又是可能盈利的机会。损失，又是可能盈利的机会。因此风险管理过程越来越多地被认为是因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响，既要关注不确定因素带来的消极影响，又要关注这些不确定性因素的积极影响。又要关注这些不确定性因素的积极影响。风险管理原则一风险管理原则一66666666全面风险管理系统篇66在组织的运营活动中，机遇和威胁并存，风险管理就是要趋利避害，风险管理嵌入组织的管理过程风险管理嵌入组织的管理过程 风险管理不是独立于组织主要活动和风险管理不是独立于组织主要活动和各项管理过程的单独的活动，而是组织管各项管理过程的单独的活动，而是组织管理过程不可缺少的重要组织部分，包括战理过程不可缺少的重要组织部分，包括战略规划、所有项目、变更管理过程。略规划、所有项目、变更管理过程。风险管理原则二风险管理原则二67676767全面风险管理系统篇67 风险管理嵌入组织的管理过程 组织的管理是一个综合管理，风险管理是组组织的管理是一个综合管理，风险管理是组织综合管理的一个组成部分。织综合管理的一个组成部分。组织应把风险管理的各项要求融入企业管理组织应把风险管理的各项要求融入企业管理和业务流程中，如：企业战略、规划、产品和业务流程中，如：企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环工制造、销售、物流、质量、安全生产、环境保护等。境保护等。风险管理原则二风险管理原则二68686868全面风险管理系统篇68组织的管理是一个综合管理，风险管理是组织综合管理的一个组成部COSOCOSO于于20012001年起开始进行企业风险管理研究，年起开始进行企业风险管理研究，强调风险管理框架必须和内部控制框架相强调风险管理框架必须和内部控制框架相一致，把内部控制目标和要素整合到企业一致，把内部控制目标和要素整合到企业全面风险管理过程中。全面风险管理过程中。因此，全面风险管理（因此，全面风险管理（ERMERM）框架是对内部）框架是对内部控制框架的扩展和延伸，它涵盖了内部控控制框架的扩展和延伸，它涵盖了内部控制，并且比内部控制更完整、有效制，并且比内部控制更完整、有效。69696