企业目标风险与风险管理教材(PPT 85页)5buih

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,2006年9月,企业目标、风险与风险管理,1,主要内容,企业全面风险管理的必要性,企业面临的主要风险类型,企业目标、风险与风险管理的关系,普遍接受的风险管理原则,风险管理最佳实践,构建企业全面风险管理体系,2,一、企业全面风险管理的必要性,案例一：美国安然公司,在2002年，安然是美国最大的石油和天然气企业之一,2001年末，安然宣布第三季度实现6.4亿美元的亏损，美国证监会,对该公司,进行调查，发现该公司在1997以来虚报利润5.8亿美元,2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超,越,预期目标而向董事及高级管理人员发放3.2亿美元的红利,4,调查发现：,安然的董事会及审计委员会均采取不干预的监控政策,事件发生以后，部分董事表示不了解安然的财务状况、期货及期权的业务（安然事件促使了美国萨班斯法案的出台）,由于股权激励计划，安然管理层重视短期业绩指标,安然管理层常常藐视或违背公司制订的内部控制制度,5,案例二：英国巴林银行,巴林银行在90年代前是英国最大的银行之一，有超过200年的历史,1992-1994年期间，巴林银行新加坡分行的总经理里森(Nick Lesson) ，从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,1995年1月17日，日本神户大地震，日经指数大幅下跌，里森认为市场反映过度，市场即将反弹，于是进场连续做多，但到2月底，日经指数持续下跌，其累积亏损超过10亿美元，导致巴林银行于1995年2月破产,6,调查发现：,巴林银行的高层对里森所从事的业务并不了解，里森从事的“套利”交易并未经过巴林总部的授权,巴林缺乏职责划分的机制，里森身兼双职，既担任前台首席交易员，又负责管理后台清算，使得里森能将所持头寸和损失置于一个错误帐号“88888”,巴林银行的高层对财务报告不重视，管理层未能及时就1994年资产负债表上显示的5000万镑不明差额采取行动,里森所从事的“套利”交易所承受的风险远远超过巴林银行的承受能力,高层管理人员和审计委员会对公司内部审计意见缺乏足够的重视，实际上，公司内部审计意见曾指出，“里森的权力过于集中”,7,案例三：日本八百伴,在90年代，八百伴是日本最大的百货公司之一，拥有236亿日元资本、42家日本国内骨干店铺、26家海外超市的连锁企业,90年代，八百伴开始实施全球化战略，在巴西、新加坡、香港、上海、英国、美国大举扩张，而扩张的资金来源主要是依靠债务维持。随着94年美联储连续6次提高利率，八百伴财务压力增加，遂陆续出售店铺度日,1997年9月，八百伴宣布破产，向法院申请“公司更生法”保护，当时八百伴的负债额达1,613亿日元，是日本战后最大的一宗企业破产案,8,调查发现：,八百伴低估经营非核心业务的风险,八百伴实行高杠杆运营，低估了业务扩张的风险,八百伴低估了开发新兴市场的风险,与商业银行关系趋淡，在资金紧张时，得不到主要商业银行的支持,9,案例四：齐齐哈尔第二制药公司假药事件,齐齐哈尔第二制药公司采购员为贪图便宜，在从江苏省中国地质矿业公司泰兴化工总厂购入丙二醇时，既没有索取资质证明，也没有到厂查看，致使购入假冒丙二醇共计2吨之多，并最终作为辅料用于了“亮菌甲素注射液”的生产，造成多人死亡,目前，该公司已被有关部门查封停产，并被吊销药品生产许可证，濒临倒闭,10,调查发现：,齐齐哈尔制药公司内部没有建立严格的采购、验收、检验程序，采购、验收和检验环节均存在严重问题,齐齐哈尔没有独立的审计部门确保这些程序得到良好执行,11,案例五：江苏铁本事件,2004年3月，部分媒体曝光江苏民企铁本钢铁公司违规占用耕地，在没有通过审批的情况下就上马大型钢铁项目，随后，国务院九个部委成立专项检查组，对此事开展调查,2004年5月，铁本公司被查处，与“铁本事件”有关的八名当地要员就受到了严厉的处分，铁本的老总、有“地方钢铁大王”之称的戴国芳也被拘捕,12,调查发现：,江苏铁本在决策过程中，忽视了外部环境的变化，包括新政府经济社会发展观的变化，新政府“以人为本”等执政理念的变化，从而遭受操作风险,江苏铁本在中央强调加强宏观调控的情况下，对中央的宏观调控政策置若罔闻，搞“上有政策，下有对策”，为了使违规项目合法化，将项目“化整为零”，由地方政府越权审批；至于征用农田和环保评审，则根本未向国土资源部和国家环保总局报批，违反了国家法律法规；此外，江苏铁本还涉嫌偷税漏税，从而遭受法律风险,13,案例六：中航油事件,2001年12月6日，中航油于新加坡交易所挂牌交易,年前开始涉足石油衍生品投机交易,最初获得利润,但后来转盈为亏,2004年11月，中航油因石油衍生品投机交易总亏损已达5.5亿美元，被迫向新加坡法院申请破产保护,14,调查发现：,中航油投机额度巨大，其承担的风险远远超过公司可承担水平,中航油相关风险管理制度未有效执行,中航油高层风险管理能力严重欠缺，对公司经营业务所面临的风险没有清醒的认识,中航油缺乏有效的公司治理结构，一言堂现象严重,15,更多的风险案例,瀛海威，公司治理混乱,秦池，央视“标王”引发财务危机,爱多，为打败竞争对手，充当“标王”，结果自己被打败,香港达利行地产，因玫瑰园事件陷入财务危机,巨人集团，因巨人大厦陷入财务危机；声誉损失,三株，过度扩张；声誉损失,太阳神，过度扩张陷入财务危机,南德，因资金紧张而进行信用证融资，涉嫌欺诈,亚细亚，因过度扩张陷入财务危机,江西铜业，投资铜期货巨额亏损,德隆集团，过度扩展及资产流动性差导致资金链断裂,16,我们可以吸取什么教训？,熟悉企业本身的业务与相关风险,切记：专营核心业务，避免制定不切实际的目标或盲目扩张，使企业承受无谓的风险,建立内部控制和相互制衡的机制,切记：权力过分集中就会出现腐败的情况,现金为王，防范资金流动性风险,常言：“会计数字只是参考意见，现金才真正令你感到踏实。”,合理制定绩效评估与激励机制,“如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”,17,我们可以吸取什么教训？（续）,建立规范和健全的财务报告系统,财务报告系统必须有能力为企业提供及时、准确的财务资料，以帮助管理层管理业务和赢取股东的信心,培育企业风险管理文化,要建立健康的企业文化及价值观，企业必须,由上而下，身体力行，建立严谨的“风险管理政策” ，使员工能上行下效,订立风险管理原则和行为规范,通过绩效管理的方法，鼓励正确的行为和态度,加强培训和沟通,企业必须建立有效机制，培训员工的风险管理意识和风险管理文化,18,我们可以吸取什么教训？（续）,效益与风险：一个事情的两个方面,不要对“不平常的数据”视而不见,非预期盈利和非预期亏损都要予以重视。里森和陈久霖出事前都是公司内部的英雄,监督检查的重要,要求下属企业及时汇报风险固然重要，但确保制度的有效执行的监督检查机制同样重要,企业全面风险管理的重要性,企业面临的风险因素日益复杂，仅仅合法、合规并不能切实防范风险，还必须加强企业全面风险管理,对重大项目，进行严谨的风险评估、制定事前的风险控制措施是不可或缺的,19,二、企业面临的主要风险类型,Nokia风险因素图,21,安达信企业风险模型,TM,竞争者敏感性股东关系资金充足性 金融市场,灾难性损失独立政治法律行政管理行业,环境风险,信息技术风险,使用权 完整性相关性 可得到性 基础设施,财务风险,货币利率,流动性结算,再投资信用,双边关系,现金转移或流速改变,道德,风险,管理欺诈雇员欺诈,非法行为无授权使用商誉,授权风险,领导力权力,限制 表现激励,沟通,营运风险,客户满意人力资源,产品开发效率,能力表现差异,循环时间资源,商品定价过失或损失,符合性业务中断,健康和安全 环境,产品或服务失败,商标或产品名侵蚀,营运,价格合同投入衡量,结盟完整性和精确性,管理报告,决策信息风险,财务,预算和计划完整性和精确性,会计信息财务报告评价,税收养老基金,投资评估管理报告,战略,环境检视业务组合,价值衡量组织结构,资源分配计划,生命周期,22,安永企业风险宇宙,TM,(风险宇宙,TM,),资信,制度,知识产权,财务,流动资产与,信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及,管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房,与土地,其他,有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与,选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,23,企业面临的十大风险因素,数据来源：,AON Biennial,风险管理调查报告，,2001,24,全面认识风险,风险：本意是指事件结果的不确定性，从企业管理角度来看是指对实现企业经营目标具有关键作用的因素的不确定性,一般来说，风险因素可分为三类：有些因素是切切实实的威胁；有些因素只是一种不确定性，如违法、违规，在一些条件下可以为我所用，但运用不好也可带来威胁，如期货、期权；有些因素可能是一种机会，其不确定性较小,威胁,不确定因素,机会,战略风险,财务/市场风险,经营性的/法律,法规性的风险,25,企业面临的风险类型,市场风险,利率、汇率、股票指数、商品价格等基本市场因素的不利变动,信用风险,交易对手的违约、交易对手评级的下降、主权风险等,流动性风险,资产流动性风险和资金流动性风险,合规风险,违反国家法律、行政法规、部门规章和公司对外承诺；招致法律诉讼,操作风险,内部控制失效、人为操作失误、计算机系统故障以及外部事件,26,法律风险,定义：企业在经营过程中因违反国家法律、行政法规、部门规章、公司对外承诺或招致法律诉讼从而导致财产损失的风险,特点：难以量化；损失较大；可以进行有效的事前控制；直接性,法律风险是企业面临的主要风险之一，依法、合规经营是企业持续经营的前提，应高度重视,譬如,未经相关部门审批盲目上马项目（如江苏铁本）,相关产品不符合国家标准（如齐齐哈尔假药事件）,违反国家金融政策和财政政策（如高息揽存、偷税漏税）,违反国家法律法规（如反商业贿赂和反洗钱规定）,人力资源管理不符合国家规定,27,操作风险,定义：是指企业内部流程失效、人为操作失误、系统故障或外部因素而令公司产生经济损失的风险,特点：难以量化；突发性强；覆盖面广,操作风险是企业目前面临的主要风险之一。与其他风险不同的是，操作风险存在于公司所有部门和所有业务环节，包括业务部门、职能部门和技术支持部门,譬如,流程风险：指业务流程不完善或业务流程没有得到良好执行而引致损失的风险，包括：采购、销售、定价、记录、确认、出货,/,提供服务等环节,人为风险：指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险,28,操作风险（续）,系统风险：是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用等引致损失的风险；广义的系统风险还包括公司软硬件系统、公司文档、公司机密信息等信息资产管理不当而产生损失的风险,关系风险：是指企业与股东、政府部门、商业伙伴、客户、雇员之间关系恶化从而导致公司损失的风险,事件风险：是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险，如“9.11”事件,业务风险：是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域,声誉风险：是指由于外部媒体的不利报道而使公司面临损失的可能性,29,市场风险,定义：由于利率、汇率、股票指数、商品价格等基本市场因素的不利变动而导致的公司发生损失的可能性,特点：风险来源多（利率、汇率、股票指数、商品价格）；可以量化；爆发力强,譬如,因买卖或投资金融产品而产生的风险,原材料与产成品价格不能同步浮动而产生的风险,汇率变动导致公司对外投资发生损失的风险,国家下调成品药价格,市场竞争加剧导致成品药价格下调,原材料价格上调,利率上调导致公司财务负担加重,30,信用风险,定义：由于交易对手不能或不愿履行合约而使公司遭受损失的可能性；主权风险和结算风险是信用风险的两类特殊风险,特点：可以量化；潜伏期较长；信息透明度较差,譬如,对外投资时外国政府或企业违约的风险,贷款未能回收,应收帐款未能回收（如四川长虹对美国出口）,因信贷评级的减值或债务人未能履行付款义务，债券跌价,买卖金融市场产品而未能兑现,企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险,交易无效风险,31,流动性风险,定义：流动性风险有两种形式，资产流动性风险和资金流动性风险。前者是指公司不能以合理的价格迅速地卖出或将资产转手而导致损失的风险；后者是指公司不能履行付款义务或支付保证金的风险,特点：危害大，有致命性；可以量化,国外统计资料表明：将近,4/5,的倒闭企业是获利企业，它们的倒闭并不是由于亏损，而是由于缺乏现金而引起的流动性风险,譬如,国家金融政策的调整使企业债务负担加剧引发的流动性风险,因交易对手违约而引发的流动性风险,资产流动性不足，如德隆二级市场投资（湘火炬、合金投资、新疆屯河），因控盘比例过高，股票流动性不足从而引发危机,声誉损失引发的流动性，如“,3.27”,国债期货事件后投资者对万国证券的挤兑,过度扩张而引发的资金流动性危机,32,各风险类型之间的关系,各类风险可以单独发生，也可能同时发生齐齐哈尔事件主要包括操作风险、法律风险,巴林银行事件包括操作风险、市场风险,不同风险类型之间可以进行转化,信用风险一般与法律风险相伴，交易亏损的一方总是试图通过法律来证明交易无效,信用风险可能引发流动性风险,操作风险也可带来市场风险和信用风险,市场风险最终可能引发流动性风险,在风险管理过程中同时又酝酿新的风险,风险管理过程中蕴涵模型风险（操作风险）,33,三、企业目标、风险与风险管理关系,企业目标、风险与风险管理,企业目标可以是可量化，可衡量，可以达到的业务目标，也可以公司长远战略目标。譬如，1年内公司净利润提高30%等,所谓风险，广义地讲，是任何可能影响企业实现其目标的事项,所谓企业风险管理，是一套由企业董事会与管理层共同设立、与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险控制在一个企业可接受的水平，从而帮助企业达至它的目标,企业制定目标（或年度预算）时不仅仅包含利润指标，而且还应包含反映企业风险承受能力的风险限额指标,35,企业为何要建立风险管理,风险控制不力的后果,竞争失败,经营中断,法律诉讼,商业欺诈,无益开支,资产损失,决策失误,36,股东对企业风险管理最关心的四个问题：,企业了解它所面对的主要风险吗？什么风险正在或将会影响企业的业务？企业所面临的风险是否已超过公司的承受能力,企业的品牌,新产品、新市场的开发,客户或供应链的管理,国家的宏观经济政策,企业声誉,资本市场投资,企业是否已对这些风险采取控制措施,企业需要就各业务单位在日常运作中所面对的风险，构建风险管理体系，以确保企业能实现目标和符合各方面的法律、法规,37,股东对企业风险管理最关心的四个问题：（续）,企业的风险控制措施有效吗,企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力,哪一些风险控制措施必须改进,企业内部和内部环境不停的变化，因此企业所面对的风险和所采取的监控措施也应相应作出改变,38,回报并不总是越高越好,风险承受度必须以公司承受能力为限（雷曼兄弟与LTCM的历史渊源）；,风险调整回报更能客观地反映企业或部门的业绩；,绩效评估引导员工行为，因此企业应合理制定激励机制，平衡风险与收益，将风险管理纳入考核范围；,风险,回报,风险与回报成正比,风险,风险调整后的回报,比较保守,高度危险,合理范围,39,举例: 企业目标、风险和风险管理的关系,目标,风险,风险管理,(A),短期目标:,200,6,年度实现利润增长10%:,- 销售收入增长20%,- 经营成本降低15%,(,B),长期目标:,在未来五年内实现利润平均每年净增长10%,-,由于不可靠的和不切实际的销售预测, 在进出口业务中造成严重囤货和存货作废.,- 由于履行不平等的或不利的合同条款而造成严重损失 (如赔偿损失, 名誉损害),- 由于未被授权的/给予过多的折扣造成毛利降低或直接亏损,- 严重的坏帐损失,-,有效的编制和控制经营计划和财务预算,- 采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险, 比如: 获得可靠的市场信息, 将实际情况与预算进行比较等,- 在主要的经营领域建立制度和程序 (须涵盖集团总部的制度和程序): 销售, 采购, 财会, 投资等,40,举例: 企业目标, 风险和风险管理的关系,目标 1,风险,风险管理,(,续),(,A),短期目标:,200,6,年度实现利润增长10%:,- 销售收入增长20%,- 经营成本降低15%,(,B),长期目标:,在未来五年内实现利润平均每年净增长10%,(,续),-,由于买进不需要的产品, 质量不合格的产品, 价格没有竞争力的产品而造成库存积压/存货作废/资源浪费/品质不良带来的信誉损害,- 错误的投资决定,- 不正当的付款,- 舞弊行为,- 外汇风险,- 投机行为,(,续),-,设置控制程序 (包括预防性的和侦察性的)和监控系统, 如,-销售合同审阅和批准,-折扣的授权和审批,-信用控制,-采购和付款的权限分配表,-采购的申请 (合理性), 审阅, 批准 (整个过程需要书面化),-付款核对,-常规的投资评价过程 (如使用,NPV(,净现值)/,Payback Method (,收回方式),-加强内部审计功能,41,举例: 企业目标, 风险和风险管理的关系,目标 1,风险,风险管理,(,续),(,A),短期目标:,200,6,年度实现利润增长10%:,- 销售收入增长20%,- 经营成本降低15%,(,B),长期目标:,在未来五年内实现利润平均每年净增长10%,(,续),-,由于不适当的赏罚制度, 关键员工的流失或管理人员能力不足对业务造成的不利影响,- 由于不遵守法规造成的罚款/处罚/名誉损害,(,续),-,在业务单位采取一些防止不正当的付款或舞弊等事件发生的措施, 营造一个反对不正当付款行为的环境, 如制订控制程序(预防性的和侦察性的), 职业道德规范, 签署利益冲突文件, 签署不进行“不正当付款保证”文件等,- 外汇兑换管理包括,Hedging,- 防止投机行为的措施,- 人力资源管理：,建立并贯彻制度和程序,公平而有效的奖罚制度,吸收, 教育, 培训及保留优秀员工,建立并贯彻职业经理人在责任，权利, 和义务方面的标准,设置公平，客观和及时的效绩考核系统,42,四、普遍接受的风险管理原则,四个基调,董事会对风险管理负最终责任，风险管理必须由对经营业务负责的有关人员自上而下推动,董事会和最高管理层必须认识公司所面临的各类风险，并确保公司控制机制足以涵盖所有风险,风险管理不仅仅是风险管理部门的责任，公司业务部门、支持和控制部门都需成为全面风险管理机制的一个不可分割的组成部分,风险管理的目标和政策必须是公司整体经营战略的一个关键的驱动器，而且必须通过执行程序和控制机制予以实施,44,一个基础：公司治理结构,什么是公司治理,公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，如何对公司进行有效的管理，而使股东能从公司的表现中得益,公司治理与风险管理的关系,完善的公司治理结构是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理,完善的公司治理应建立企业风险管理框架和企业风险管理程序；确定公司的风险承受能力；确保公司风险管理程序得到遵循；贯彻一套重视风险管理的企业文化和价值观,近年多个国家都订立了公司治理的最佳守则，这些最佳守则均清楚指出董事会及管理层在建立企业风险管理体系的责任，如美国的纽约证交所最佳治理守则、英国的Cadbury/Hampel Report、加拿大的Dey Report等,45,IOSCO风险管理框架,IOSCO于1998年提出了企业风险管理和控制系统的12要素，该框架已被高盛、美林、摩根等普遍采用,IOSCO风险管理12大要素,I. 控制环境,公司必须建立一套内部会计控制及风险管理控制机制。监管机构必须建立一套管理机制，以确保其所管理的机构拥有内部会计控制及风险管理控制，此一管理机制不需事无巨细地规定控制的方式和步骤，而仅需向公司提供一般性的指导原则,公司及监管机构必须确保控制体系由公司高级管理阶层设立及监督，监督责任必须进行明确的定义,46,IOSCO风险管理框架（续）,II. 控制范围,公司的指导原则及从主管机关而来的指导原则必须涵盖内部会计控制及风险管理,公司的内部会计控制必须包括各种有关帐簿、纪录的规定及责任的划分，以保障公司的资产及客户的财产的安全,公司风险管理及控制应包含对公司整体及交易前台,(Trading Desk),的市场风险、信用风险、法律风险、营运风险及流动性风险的控制,III.,执行,1.,高级管理阶层传达给各业务部门,(Business Unit),有关控制的指导原则，对更小的业务部门，则应尽量具体、详细,2.,公司和监管机构应对它们的控制过程形成正式的书面文件,47,IOSCO风险管理框架（续）,IV. 确认,管理层建立控制系统后，公司及监管机构必须确认该控制系统能按照原来的设计持续高效运作,公司必须建立一套机制确保控制系统一经建立，即得到良好执行。确认程序应包含内部稽核及外部稽核。内部稽核应独立于交易部门和业务部门之外；外部稽核则应由独立的会计师承担,公司应确保控制系统建立后，能够随着新产品及新业务的发展而更新,V.,报告,1.,公司应建立且主管机关应要求证券公司建立一套机制，以便在控制系统发生严重不足时，能够及时向高级管理层和监管机构报告,2.,公司应随时准备向监管机构提供有关控制系统的信息，监管机构应建立一套机制，以便公司能彼此分享信息,48,COSO风险管理模型,1992年，COSO提出了COSO内控框架，这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架,2003年，适应发展需要，COSO提出了COSO企业风险管理模型，增加了战略目标，强化了风险评估,COSO企业风险管理模型由8因素组成,1.控制环境：包括风险管理理念和风险承受能力、诚信和道德价值观，以及所处的经营环境,2.目标设定：确保管理当局采取适当的程序设定目标，确保所设定的目标与它的风险承受能力相符,3.事件识别：必须识别影响主体目标实现的内部和外部事项，区分风险和机会,49,COSO风险管理模型（续）,4.风险评估：通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据,5.风险行动：管理当局采取一系列行动以便把风险控制在风险承受范围以内,6.控制活动：制订和执行政策与程序以帮助确保风险行动得以有效实施,7,.,信息与沟通：相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通,8.监控：对企业风险管理进行全面监控，必要时加以修正,50,COSO风险管理模型（续）,控制环境,风险评估,信息和沟通,控制活动,监控,COSO风险,管理模型,方面,需考虑的因素,高管层的诚信、道德和行为,控制意识和经营风格,胜任能力和承担,董事会或审计委员会的监管,组织结构、权限和责任,人力资源政策和程序,风险评估流程,对重要事件的预测、识别和反,应,机制,识别会计准则差异、业务操作和内部控制变化的程序,提供完整的业绩报告,与业务策略相联系,持续开发、测试和监控计算机系统和程序,计算机业务持续性系统和应急计划,便于职员履行职责而建立的沟通渠道,有必要的政策和程序,有明确的财务目标，并对其主动监控,合理的职责分离,预算与实际情况的定期比较,对文件、记录和财产的适当保管,对内部控制的定期评估,实施改进建议,建立内部审计职能以实施监控,51,总结,企业所面临的风险是无法完全避免，但风险是一定能被控制在最小范围中的,企业的风险控制是企业各位员工的共同责任，而并不仅仅是管理层特别是控制部门的责任,设立风险管理制度并非是在企业内对权力进行重新分配，风险控制部门应与业务部门进行良好的协调、沟通,52,五、风险管理最佳实践,风险管理框架演变,原始管理式,分散管理式,集中管理式,全面管理式,组织规模,业务规模小,业务规模扩展并具一定复杂度,业务组织庞大，业务复杂度提高,业务组织庞大，业务复杂度高,风险管理方式,缺乏风险管理部门与人员,风险管理职能由各部门分别负责，无专设部,成立专门风险管理部门，集中管理风险,成立专门风险管理部门，业务部门参与监控自身风险,市场环境,市场形态简单,市场环境复杂，面临多个市场,市场多样化,面对全球市场，情况复杂多变,风险度量,无风险度量,以业务为单位进行简单估算,结合系统因素进行风险的整体估算,强化风险的精确、综合度量,决策与操作,不分离,分离，但不彻底,分离,分离,风险管理独立性,不独立,不独立,独立,独立,业务效率,无质量保证的高效率,相对较高,对业务运作效率有一定影响,以质量为基础的高效率,54,最佳实践：美林证券风险管理组织框架,风险控制委员会,风险管理部,股东大会,董事会,市场风险部,信用风险部,数量分析小组,分析报告与技术小组,风险管理员小组,美国国内,地区1,地区2,地区n,风险管理的最高管理机构；,制定和完善公司的风险控制程序，设定各,部门风险限额，评估和监控各部门的风险,风险控制委员会的常设机构；,在设定公司风险管理政策和风险限额方面具有建议权，并且在交易决策中拥有否决权；,对公司持仓状况进行计量、跟踪、调查；,监控、计量市场风险及流动性风险；,计算不同交易的盈亏状况；,监控交易对手、债券发行人、产品、国家及行业的信用状况，设定信用风险限额，管理信用暴露；,对,公司各类风险状况进行评估；,建立计量及风险评估模型；,按地理分布和产品类别进行组织；,对每一个交易单位进行风险评估，设定最高限额；,设定交易权限；,负责生成各类报告；,产,业,1,产,业,n,55,最佳实践：美林证券风险管理理念,管理风险比识别和计量风险更有意义,金融产品的风险不在于产品本身，而在于对产品如何进行管理,风险管理需要全员参与，全程管理，并进行及时沟通,风险管理本质上是人员的积极管理，而不是某种风险的被动度量,风险管理最重要的手段是经验、判断及持续沟通,在全公司范围内必须持续不断地培养员工的风险意识，着重强调警惕性和纪律性,56,最佳实践：美林证券风险管理原则,对于涉及资金的业务，管理层必须制定简洁、明了的规定,风险管理政策和程序必须清晰、有效表达，并确保得到充分理解,管理人员必须考虑各种可能发生的情况，深入研究各种潜在的问题,风险管理报告必须准确及时传递,风险管理过程具有弹性，允许根据环境的变化进行相应改变,风险管理的目的是使发生不可预期损失的可能性降低到最低限度,57,最佳实践：高盛风险管理组织框架,管理委员会,股东大会,董事会,公司风险委员会,资本委员会,创新产品评审委员会,公司风险委员会负责评估公司所有业务，审批创新业务和创新产品，评估和设定各部门风险限额；,各部门风险委员会在公司总体,VaR,下，制定本部门风险限额；,创新产品评审委员会负责审批公司各项创新产品，评估创新产品与创新业务所蕴涵的风险，设定控制程序；,资本委员会负责评估和审批与公司资本相关的商业活动，包括债券承销、大宗交易等；,资本委员会的职责是确保公司业务和声誉保持在一流水平；,财务委员会,操作风险委员会,各部门风险委员会,操作风险委员会负责,研究、开发、提供与,操作风险相关的管理,政策、管理框架和分,析模型，监督操作风,险管理流程的有效性,财务委员会负责制定,公司资产流动性政策,和科学合理的库存头,寸限额，评估公司资,金头寸和资本化率，,评估公司现金流量和,风险敞口,管理委员会是风险管理框架中最高执行机构,所有风险控制的信息最终均报告至管理委员会,管理委员会通过直接授权或委托授权，审批公司所有经营活动、风险政策等,58,最佳实践：摩根斯坦利风险管理组织框架,股东大会,风险控制团队（,Control,Groups,）,由来自各业务部门,、职能部门的专家组成，独,立于公司其他业务部门,它们协助公司高管层和风险,管理委员会评估、监控公司,的风险组合，负责测算、汇,总公司各业务领域的风险状,况，直接向公司高管层和风,险管理委员会进行风险报告,风险管理委员会,董事会,内部审计部门,证券风险委员会,各业务风险委员会,审计委员会,其附属执行委员会,其附属执行委员会,风险控制团队（市场风险专家、信用风险专家、财务专家、法律专家）,风险管理委员会由公司部门高,级管理人员组成；,负责制定整个公司的风险管理,政策、评估风险管理政策业绩；,负责向下属风险委员会授权；,内部审计部门通过对业,务经营方面的考察，对,公司的经营和控制环境,进行评价，向公司高管,层和审计委员会履行风,险报告职能；,证券风险委员会及其他业务风,险委员会隶属于公司风险管理,委员会，接受风险管理委员会,的授权；,它们在其下设的附属委员会帮,助下，评估公司风险政策和风,险管理流程的有效性，监控与,其业务相关的风险状况，履行,风险报告职能；,59,六、构建企业全面风险管理体系,构建企业全面风险管理的关键成功要素,股东确立对企业监督的机制，考虑是否需要在集团层面,引入以董事会领导的管理体制,聘任有经验的外部董事，来加强对企业的监督,要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报,管理高层的支持和全面参与,确立方向和目标,营造必要的环境,为平衡风险与回报作出战略性的决定,61,构建企业全面风险管理的关键成功要素（续）,建立风险管理文化,风险管理的手段，必须融入日常的管理流程,通过讨论和培训，使风险管理的实施得到“全民” 的支持,通过经验的分享，不断加强风险管理的认同性,采用先进的风险管理的实施方法,借鉴如IOSCO和COSO的风险管理框架,采用各种识别和度量风险的先进的方法，如VaR、CaR、情景分析法、压力测试法等,采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统,62,企业,全面风险管理体系的构成,风险管理是一个由风险识别、风险评估、风险管理构成的循环过程,风险管理政策（明确风险管理战略和策略）,健全的现代企业风险管理组织体系,规范的风险管理流程,完整的风险管理手册,高效的风险计量与预警系统,有效的风险决策与执行机制,高效的风险管理信息系统,持续优化,监控与报告,风险识别,风险评估,风险控制,确定目标,目标,人员,流程,系统,63,企业风险管理政策,风险管理政策是公司关于风险管理的基本纲领，它确定公司的风险偏好。风险管理政策由风险管理部门协助风险管理委员会制订，并经公司董事会审批,风险政策应包括,明确企业风险管理组织架构,业务部门、控制部门的风险管理职责,各业务部门的风险限额和风险/收益期望,公司风险管理现状与风险管理目标的差异性分析,实现风险管理目标的商业计划,公司相关政策（商业计划，年度预算）与风险预算的一致性,公司的风险偏好应用关键风险指标的目标值和波动率表示：如经济资本、风险收益、VaR等,64,企业风险管理目标,确保将风险控制在与总体目标相适应并可承受的范围内,确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告,确保遵守有关法律法规,确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性,确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失,65,企业风险管理组织框架,国资委于6月6日发布中央企业全面风险管理指引，提出了风险管理组织框架。该框架分为三条防线,各有关职能部门和业务单位为第一道防线,风险管理职能部门和董事会下设的风险管理委员会为第二道防线,内部审计部门和董事会下设的审计委员会为第三道防线,风险管理,内部审计,业务部门,66,董事会风险管理职责,审议并向股东（大）会提交企业全面风险管理年度工作报告,确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案,了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策,批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,批准重大决策的风险评估报告,批准内部审计部门提交的风险管理监督评价审计报告,批准风险管理组织机构设置及其职责方案,批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为,督导企业风险管理文化的培育,全面风险管理其他重大事项,67,风险管理委员会风险管理职责,提交全面风险管理年度报告,审议风险管理策略和重大风险管理解决方案,审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告,审议内部审计部门提交的风险管理监督评价审计综合报告,审议风险管理组织机构设置及其职责方案,办理董事会授权的有关全面风险管理的其他事项,68,风险管理职能部门风险管理职责,研究提出全面风险管理工作报告,研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,研究提出跨职能部门的重大决策风险评估报告,研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控,负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案,负责组织建立风险管理信息系统,负责组织协调全面风险管理日常工作,负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作,办理风险管理其他有关工作,69,内部审计部门风险管理职责,负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价，出具监督评价审计报告,70,业务部门风险管理职责,执行风险管理基本流程,研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,研究提出本职能部门或业务单位的重大决策风险评估报告,做好本职能部门或业务单位建立风险管理信息系统的工作,做好培育风险管理文化的有关工作,建立健全本职能部门或业务单位的风险管理内部控制子系统,办理风险管理其他有关工作,71,推荐框架,风险管理委员会,股东大会,董事会,内部审计部门,行业1风险委员会,行业2风险委员会,审计委员会,风险控制团队（市场风险专家、信用风险专家、财务专家、法律专家）,行业3风险委员会,72,风险管理部门与稽核审计部门关系,风险管理委员会,由董事会正式授权监管风险性活动，并须确保行政总裁的风险责任作迠当履行,主要职责包括制订符合银行风险容忍度的风险管理策略，批准风险管理政策及程序,审计委员会会,由董事会正式授权对财务报告和内控框架的效率和成效进行独立评核,审阅财务报告,/,资料以确保法律法规得到遵守,风险管理部门专注于审查市场风险，信用风险和流动性风险，以确保有适当的风险评核机制，而且风险管理政策和程序都能得到遵守. (例如 : 权限结构，风险评定方法和变量单位等),内部审计部门则专注监察营运政策及程序的遵守情况. (例如 : 需要批准的有关步骤/程序是否得到遵守，必需的资料收集是否齐备，交易审查是否及时等),风险管理部门,风险管理执委会的全职执行机构，通过对逐单交易及风险组合资料的审查及预先,/,事后批准来确保风险管理政策和程序，得到遵守,通过风险管理经理在营运单位的日常工作以及风险管理总监等参予行政管理执委会并对重大事故向行政总裁作出汇报等渠道建立与管理部门,(,行政总裁,/,行政管理执委会,/,营运单位,),的汇报机制,內部审计部门,审计执委会的全职执行机构，通过周期,/,临时审查营运单位和支持单位的具体运作来监察它们对营运的政策及程序的遵守情况,通过与业务部门保持紧密联系，了解确保风险管理政策及程序得以遵守的具体运作过程和相关文件，以便设计适当的审计步骤和执行方法,与风险管理总监讨论分析不遵守风险政策的事件及其产生的风险影响，必要的纠正措施等,73,企业风险管理流程,风险评估,定性,-,操作风险,-,合,规风险,定量,-,市场风险,-,信用风险,-,流动性风险,风险监测,实时监控,各部门风险管理报告,各部门报送信息,会议纪要,媒体,同业信息,风险识别,风险矩阵,风险控制,风险缓释,风险承担,风险规避,风险分散,风险报告,汇报路径,行动建议,执行情况跟踪,返回检验,74,风险识别,风险识别是企业将所面临的各种不确定因素一一鉴别出来的过程,企业只有对自身所面临的风险有清晰的认识，才可能进行有效的风险管理,风险识别需要对企业自身的经营状况、所处行业情况、其所出法律、政治、文化环境有更深入的了解，同时要有明确的企业战略，才能认清哪些是可能促使企业达到目标的要素，哪些是可能威胁企业达到目标的要素,风险识别是一个动态的过程，随企业及所在环境的变化而变化,风险识别需要风险管理职能部门和业务部门的共同参与,75,风险矩阵,企业风险识别的成果是建立风险矩阵，有利于企业高层领导和员工对企业面临的风险有清晰的认识,风险矩阵主要包括风险点、风险类型、影响程度、关注程度、责任部门、控制措施、法律责任等，涉及公司所有部门和所有环节,业务流程是核心。风险识别的过程，同时也是对业务流程进行梳理和评估的过程，对业务流程中易发风险点，应建立相应的控制措施，明确相应的控制人员，对业务流程进行再造,76,风险评估,风险评估确定公司采用何种模型和何种计量方法来计量公司的风险暴露。风险计量必须考虑风险发生的可能性及其损失程度。业务部门和风险管理部门都应进行风险评估,风险评估主要包括,公司所面临的风险及其分类,对各类风险开发合适的模型加以计量,制定风险模型开发的商业计划,加强风险建模中的项目管理,定义风险模型中所使用的假设情况,77,风险发生的可能性,平分,可能性,说明,5,几乎肯定,在未来12个月内，这项风险几乎肯定会出现至少 1次,4,极可能,在未来12个月，这项风险极可能出现1次,3,可能,在未来2至10年内，这项风险可能出现1次,2,低,在未来10至100年内，这项风险可能出现至少1次,1,极低,这项风险出现的可能性极低，估计在100年内出现的可能性少于1次,78,风险发生后的损失程度,评分,损失程度,说明,5,灾难,令企业失去继续运作的能力(或占税前利润达20%),4,重大,对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润),3,中等,对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润),2,轻微,对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润),1,几乎没有,影响程度十分轻微,79,风险地图,影响程度,近乎没有,轻微,中等,重大,灾难,几乎 肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明:,A 人力资源风险,B 财务风险,C 竞争风险,D 开发风险,E 过度自信风险,F 系统故障风险,G 主要客户风险,H 欺诈风险,I 政治风险,J 薪酬奖励风险,K 科技风险,80,风险控制,处理评级,风,险评级,近乎没有效果,低效,适中,超标,极度,极高,高,中等,低,B,C,A,G,I,D,J,K,H,E,说明:,A 人力资源风险,B 财务风险,C 竞争风险,D 开发风险,E 过度自信风险,F 系统故障风险,G 主要客户风险,H 欺诈风险,I 政治风险,J 薪酬奖励风险,K 科技风险,F,采取行动,密切监控,定期审阅,81,风险控制策略,影响程度,可能性,转移,避免,小心管理,可接受,大,小,高,低,82,风险控制策略,风险策略,避免,禁止交易,减少或限制交易量,离开市场,转移,套期,保险,策略性联盟,其他分担风险的安排,影响程度,大,小,可能性,转移,避免,小心管理,可接受,高,低,小心管理,投资,广泛保护的安排,订价反映风险程度,可接受,自我保险,预留储备,增加监督,83,风险报告,风险管理的关键是将风险信息和风险决策及时、准确地传达到需要信息的人,高级管理层和业务人员需要的风险信息是不同的,风险传递路径应分为两条路径，一是业务路径，一是控制路径,84,生活的全部内容在于管理风险，而不是消除风险, 花旗集团前任主席 沃尔特.瑞斯顿,85,演讲完毕，谢谢观看！,