操作风险概述

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,意义,风险管理的概念和思路,实施风险管理与内部控制制度需要考虑的关键因素,风险管理与内部控制制度关键因素的系统性及相关性,民生人寿风险管理的现状和发展规划,帮助大家了解风险管理与内部控制制度的框架,包括,:,目录,何为风险？为什么要管理风险？,风险管理概述,民生人寿的风险管理实践,风险的概念,中国古人对风险的认识,天有不测风云，人有旦夕祸福。,祸兮福所倚，福兮祸所伏。,现代学界对风险的定义,风险是指在一定情况下的不确定性，此不确定性是指,（1）发生与否不确定（2）发生时间不确定（3）发生状况不确定（4）发生的后果严重程度不确定,企业风险,指在企业经营的各种活动中发生损失的可能性,平安富通事件,作为中国保险行业第一个海外战略投资，平安不断买入富通股票，成为富通单一的最大股东。,富通股票价值大大缩水，给平安带来,238,亿元人民币浮亏近,95,的伤痛 。,原因,-投资过于激进,-投资过于单一。不能把鸡蛋放在同一个篮子里,-投资价值未进行有效评估,新华人寿挪用资金案,前新华人寿董事长关国亮实际控制新华人寿,8,年间，累计挪用公司资金,130,亿元，将新华人寿资金大规模用于违规投资、担保或拆借。,原因,-公司管理缺乏有效性、合规性,-资金使用授权管理不健全,-监控机制不健全,美国安然公司,(Enron),倒闭案,安然公司曾是美国最大的石油和天然气企业之一，在,2000,年,财富,世界,500,强排名第,16,位,2001,年末，安然宣布第三季度,6.4,亿美元的亏损，美国证监会,对该公司,进行调查，发现该公司在,1997,以来虚报利润,5.8,亿美元,2001,年末，安然申请破产保护令，但在之前,10,个月内，公司却因股票价格超,越,预期目标而向董事及高级管理人员发放,3.2,亿美元的红利,安然的董事会及审计委员会均采取不干预,(,“,hands-off,”,),监控,政策,事件发生之后，部,分董事表示不太了解安然的财务状况,、,期货及期权的业务,安然重视短期的业绩指标,安然管理高层常常藐视或推翻公司制定的内控制度,调查发现,美国世通公司,(Worldcom),舞弊案,世通是美国第二大电信公司,2002,年，世通被发现利用,把营运,性开支反映,为资本,性开支等弄虚作假的方法，,多年来,虚报利润,735,亿美元,世通于,2002,年末申请破产保护令，成为美国历史上最大的破产个案,世通的四名主管,(,包括公司的,CEO,和,CFO),承认串谋讹诈,，被联邦法院刑事起诉,世通的董事会持续赋予公司的,CEO(Bernard Ebbers),绝对的权力，让他一人独揽大权,美国证监会的调查报告指出：世通完全没有制衡机制,世通的董事会并没有负起监督管理层的责任,世通为公司的高级管理层提供丰厚,(,不合理,),的薪酬和奖金,调查发现,由案例得出的启示与思考,风险无时无处不在，对风险的态度和行为，可以决定企业的兴衰成败,过于追求高回报，却忽视随之而来的高风险，迟早会导致严重的损失,但风险并非都是坏事，对保险业而言，本身就是在经营风险以获取回报，消极地回避风险，只会被市场淘汰,赢家都是能够平衡好增长、收益和风险的强者,那优秀的风险管理又是怎样做的呢？,调查收到全球,111,家金融机构的回复，这些机构的总资产超过,19,万亿美元，其中包括,9,家中国大中型银行和保险公司。,调查显示，49% 的受访机构已经完全或充分地将风险管理职责融入高管人员的绩效目标与薪酬决策；77% 的受访机构的董事会承担了风险监管与治理的整体责任，而 63% 的受访机构拥有经正式批准的风险偏好声明；73% 的受访机构设有,CRO（,首席风险官）或同等职位；已有 36% 的受访机构有全面企业风险管理（,enterprise risk management，ERM），,但另有 23% 的受访机构正在创建中。在资产不少于 1,000 亿美元的受访机构中，58% 已有,ERM,计划。有,ERM,计划的机构都觉得该计划非常有价值：85% 的高管人员称其,ERM,计划带来的总价值（包括可计量及不可计量的价值）已经超过了所付出的成本,德勤全球金融服务业风险管理状态调查,目录,何为风险？为什么要管理风险？,风险管理概述,内部控制,风险管理,风险监督,民生人寿的风险管理实践,风险管理的发展阶段,雏形阶段,4000多年前，我国皮货商人的损失分担运货；公元前916年国外的共同海损制度等,初期阶段，安全管理阶段,19 世纪40年代以来，现代企业的形成，风险多元化，一些大企业开始重视自己的经营安全问题。,保险管理阶段,20世纪30年代出现了保险，进入了保险管理的时代，开始运用保险来规避某些常见的风险。,风险管理阶段,20世纪中期以来，陆续发生了一些重大的人为和自然灾害事件，美国企业界和学术界开始认识到风险管理的重要性。,全面风险管理阶段,21世纪以来，动态风险管理，整体风险管理，全面风险管理，公司治理，内部控制，上市公司监管有了飞速的发展,内 部 环 境,战 略,目 标 设 定,风 险 识 别,风 险 评 估,风 险 应 对,控 制 活 动,信息与沟通,监 控,经 营,报 告,合规,分支机构,业务单位,职能部门,企业整体,COSO,全面风险管理(,ERM),的框架,COSO,是美国全国虚假财务报告委员会下属的发起人委员会的英文缩写。,1992,年,COSO,公布了,内部控制,综合框架,（也称“,COSO,内部控制框架”）并于,2004,年得到美国证券交易委员会的认同，目前,COSO,框架已正式成为美国上市公司内部控制框架的参照性标准。,四种目标用垂直方向的表示，八个构成要素用水平方向的行表示，一个主体内的各个单元用第三个维度表示。,可以从整体上关注一个主体的风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度加以认识。,目标,要素,涉及的管理层级,COSO,内控框架的渊源,萨班斯,奥克斯利,（,SOX,）法案,COSO,内控框架的应用,目的,于,2002,年颁布的萨班斯法案，其目的是确保准确的财务状况报告及公开，以重塑公众对公司营业报告的信任；其核心理念是强化公司高管的财务报告和信息披露的责任，强调公司治理和内部控制的重要性，提高外部审计的独立性。,萨班斯法案对企业管理者所需要承担的法律责任更加严格。法案要求上市公司的管理者必须为公司对外披露的财务报告负责，一旦出现类似安然事件的情况，公司的管理者甚至可能会被判入狱。,因此许多企业的高层管理人员对此法案高度重视，千方百计地保证企业满足萨班斯法案的要求。,与公司相关度最高的有,404,条款。,404,条款,管理层对内部控制的评估规定，除对内部控制系统的有效性进行报告之外，上市公司还须负责保持内部控制系统的有效运行。,主要内容,-管理层对建立和维护与财务报表相关的,内部控制充足,的责任的声明；,-管理层对有关公司最近财务年度末与财务报表相关的,内部控制有效性评估,的声明；,-识别管理层用以评价有关财务报告相关,内部控制有效性的框架,的声明，以及外部审计师已就管理层的评估结果发表,鉴证报告,的声明。,全面风险管理八要素,风险管理八要素,内 容,内部环境,内部环境包含主体的风险管理理念、风险容量、董事会监督、人员诚信和胜任能力、道德价值观、管理层的职责分工和权力分配等。,目标设定,是指一个主体力图实现什么，包括战略目标、经营目标、报告目标、合规目标等四大类。,事件识别,是指识别可能对公司的目标达成产生影响的潜在事项，包括代表风险的事项和代表机会的事项，以及可能二者兼有的事项。,风险评估,风险评估是指公司对已识别的风险进行分析，以便形成如何对其管理的依据。,风险对策,是指选择和确定应对风险的工具，包括规避、承担、降低和分担风险。,控制活动,控制活动是企业根据风险评估结果，采用相应有效的控制措施，将风险控制在可承受的范围之内。,信息与沟通,信息与沟通是公司及时准确地收集、传递与风险管理、内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。,内部监督,内部监督是公司对风险管理、内部控制建立与实施情况进行监督检查，评价内部控制的有效性。发现内部控制缺陷，应当及时加以改进。,保险企业风险分类,战略风险,保险风险,市场风险,信用风险,操作风险,业务风险,声誉风险,流动性风险,战略风险,保险风险,市场风险,信用风险,操作风险,业务风险,声誉风险,流动性风险,由于战略制定和实施的流程无效或经营环境的变化，而导致战略与市场环境和公司能力不匹配的风险。,由于死亡率、疾病率、赔付率、退保率等精算假设的实际经验与预期发生偏离而造成损失的风险。,战略风险,保险风险,市场风险,信用风险,操作风险,业务风险,声誉风险,流动性风险,由于利率、汇率、权益价格和商品价格等的不利变动而使公司遭受非预期损失的风险。,由于债务人或交易对手不能履行或按时履行其合同义务，或者信用状况的不利变动而导致的风险,.,战略风险,保险风险,市场风险,信用风险,操作风险,业务风险,声誉风险,流动性风险,由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险,包括法律及监管合规风险。,由于业务收入或费用的不利变动而造成损失的风险。,战略风险,保险风险,市场风险,信用风险,操作风险,业务风险,声誉风险,流动性风险,由于公司品牌及声誉出现负面事件，而使公司遭受损失的风险。,在债务到期发生给付义务时，由于没有资金来源或必须以较高的成本融资而导致的风险。,保险企业风险管理框架,一个基础,：,企业治理结构,二个目标：公司利益最大化；履行保险责任,三道防线,：,内控；风险管理；内部审计,管理层,CEO,第,三,道防线,第,二,道防线,第一道防线,业务部门,董事会,风险管理,内部审计,审计委员会,风险管理,委员会,企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和,操作风险,等等,，系统化地进行分析、确认、度量、管理和监控,企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新,第一道防线,-,内部控制,管理层,CEO,第,三,道防线,第,二,道防线,第一道防线,业务部门,董事会,风险管理,内部审计,审计委员会,风险管理,委员会,企业内部控制基本规范,由财政部、证监会、审计署、银监会、保监会联合制定，于,2008,年,6,月,28,日发布，自,2009,年,7,月,1,日起施行。基本规范提出了企业内部控制,5,要素，对,COSO,内控框架,8,要素做了精简。,在,企业内部控制基本规范,基础上,财政部会同证监会、审计署、银监会、保监会制定了,企业内部控制应用指引第,1,号,组织架构,等,18,项应用指引、,企业内部控制评价指引,和,企业内部控制审计指引,（以下简称企业内部控制配套指引）,。,企业内部控制应用指引,对治理架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务等明确了指相关定义、应关注的风险等内容。,企业内部控制评价指引,明确了内部控制评价的内容、程序、内部控制缺陷的认定、内部控制评价报告等。,COSO,内部控制框架,内部控制将管理、会计等方面控制在预想的范围内，目标是减少风险。,内部控制目标,合理保证经营管理合法合规、资产安全、财务报告及相关信息可靠，提高经营效率和效果，促进公司实现发展战略,内部控制原则,全面性原则,重要性原则,制衡性原则,适应性原则,成本效益原则,COSO,内部控制五要素,控制环境,公司管理活动执行人员的操守，以及管理人员实施管理活动的环境。,包括：确立企业文化、树立诚信价值观、管理能力、审计委员会与董事会的影响、管理哲学以及管理风格等内容。,风险评估,确立目标与机制以识别、分析和管理风险。包括评估可谨慎接受的风险程度、建立在总公司与分公司层面上识别与分析风险的程序、区分风险高低程度、计划控制活动等内容。,控制活动,管理当局的指示得以贯彻执行的政策和程序。包括制定政策决定、使政策生效的程序与风险评估结合等内容。,信息与沟通,及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通的过程 。,监督,评价一定时期内内部控制执行质量，并在情况变化下对内控进行适当的修改。,内部控制制度框架,第二道防线风险管理,现有风险,潜在风险,风险识别,风险评估,可能性,重大程度,评级与应对,风险监察,风险评级,应对评级,风险应对,降低,规避,转移,保留,检查,审计,风险识别,风险识别是指查找企业各业务单元、各项重要经,营活动及其重要业务流程中有无风险，有哪些风险。,风险识别是一项持续性的工作。,通过风险识别，将识别出来的各种风险进行整理,和归类，形成公司风险库。,公司至少每年开展一次全面风险识别工作。,识别内部风险应关注的因素,-公司治理因素,-组织因素,-技术因素,-经营管理因素,识别外部风险应关注的因素,-社会因素,-经济因素,-政治因素,-自然因素,风险评估,积累历史损失数据，建立损失数据库,评估内容,-风险发生的可能性,可能性是风险在指定时间内发生的概率。,-影响程度,影响程度是当风险发生后，对公司的财务、声誉、监管和营运等方面的影响程度,。,评估对象,-固有风险:是在没有采取任何措施的情况下公司面临的风险。,-剩余风险是在公司采取风险应对和控制后公司所面临的风险。,风险评估频率,-每年至少组织一次风险评估。,风险发生的可能性,评分,可能性,说明,5,几乎肯定,在未来,12,个月内，这项风险几乎肯定会出现至少,1,次,4,极可能,在未来,12,个月，这项风险极可能出现,1,次,3,可能,在未来,2,至,10,年内，这项风险可能出现,1,次,2,低,在未来,10,至,100,年内，这项风险可能出现至少,1,次,1,极低,这项风险出现的可能性极低，估计在,100,年内出现的可能性少于,1,次,评分,损失程度,说明,5,灾难,令企业失去继续运作的能力,(,或占税前利润达,20%),4,重大,对于企业在争取完成其策略性计划和目标，造成重大影响,(5-10%,税前利润,),3,中等,对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍,(,至,5%,税前利润,),2,轻微,对于企业在争取完成其策略性计划和目标，只造成轻微影响,(,至,1%,税前利润,),1,近乎没有,影响程度十分轻微,风险对企业造成的影响,评分,有效性,说明,5,极度过头,处理方法能直接针对该项风险，但相信会令企业业绩,“,倒退,”,或成本过高,4,过头,处理方法能直接针对该项风险，但由于需要投入大量资源或,/,及将其他资源转到处理该项风险上，会对企业的效率造成影响,3,适中,处理方法有效针对该项风险，同时并不影响企业的效率,2,低效,处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或,/,及对投入的资源未有适当利用,1,近乎没有 效果,处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当,风险处理方法的效果,风险评估工具风险地图举例,影响,程度,近乎没有,轻微,中等,重大,灾难,几乎 肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明,:,A,人力资源风险,B,财务风险,C,竞争风险,D,开发风险,E,过度自信风险,F,系统故障风险,G,主要客户风险,H,欺诈风险,I,政治风险,J,薪酬奖励风险,K,科技风险,风险处理组合,举例,处理评级,风,险评级,近乎没有效果,低效,适中,超标,极度,极高,高,中等,低,B,C,A,G,I,D,J,K,H,E,说明,:,A,人力资源风险,B,财务风险,C,竞争风险,D,开发风险,E,过度自信风险,F,系统故障风险,G,主要客户风险,H,欺诈风险,I,政治风险,J,薪酬奖励风险,K,科技风险,F,采取行动,密切监控,定期审阅,规避,-禁止交易,-减少或限制交易量,-离开市场,转移,-保险,-策略性联盟,-出售,降低,-去杠杆化,-套期,-订价反映风险程度,保留,-预留储备,-增加监督,风险,应对策略,影响程度,大,小,可能性,转移,规避,降低,保留,高,低,风险控制措施,建立完善相应的管理政策和制度,改善相应业务流程,完善相应的内部控制机制,建立风险持续监控体系,第三道防线风险监督,监督内容,对风险管理健全性、合理性、有效性进行监督检查,监督层次,-各部门和业务单位对自身风险管理监督和自查,-风险管理部门对各部门和业务单位风险管理工作实施情况和有效性进行监督检查,-审计部门定期对全面风险管理体系与流程执行情况及有效性进行独立监督评价,监督内容,-持续监督,-专项监督,第一代,（,1980,之前）,第二代,（,80,年代）,第三代,（,90,年代）,第四代,（,21,世纪）,控制,企业风险,企业风险管理流程,控制结构,出发点是已有的流程、程序和控制,以符合性测试为主,出发点是财务,风险和符合性,风险,确定应该存,在的控制,审计目的是评,估控制的设计、,运行效果和合,规性,出发点是对企,业和各种风险,的充分理解,确定应该存,在的控制,审计目的是评,估控制的设计、,运行效果和合,规性,确定应该存在的能有效控制风险的企业风险管理流程,评估在各个企业,风险管理流程的,设计、运行效果,和合规性,内部审计的演变历史,出发点是对企业和各种风险的充分理解,存货盘点,发询证函,指标考核,符合性测试,价值评估,效率考察,协助外审,咨询建议,.,.,内部审计在现代企业中的角色和职能,企业内部活动的监督者,防错纠弊的检察员,监控企业运作和资源使用的效率和效果,协助外部审计人员,风险管理咨询,而是,-,企业内部的咨询人员。,内部审计员是简单的审计人员吗,?,NO,！,内部审计在现代企业中的角色和职能,保护资产,遵守政策、机会、程序和法律法规,对经营或项目的设定目标的完成情况,欺诈是如何发生的,怎样改正内部控制中导致欺诈的缺陷,怎样杜绝未来欺诈的发生,比发现欺诈更好的是通过有效的控制防止欺诈,内部审计在现代企业中的角色,企业内部活动的监督者,防错纠弊的检察员,通过检查和评价控制的有效性、完备性以及执行分配责任的质量来确保：,机构内部控制系统的有效性和完备性,信息的可靠性和一致性,有效地运用资源,制定经营标准,根据经营标准评价效率,识别并报告低效使用,内部审计在现代企业中的角色,监控企业运作和资源使用的效率和效果,目录,何为风险？为什么要管理风险？,风险管理概述,内部控制,风险管理,风险监督,民生人寿的风险管理实践,演讲完毕，谢谢观看！,内容总结,意义。祸兮福所倚，福兮祸所伏。前新华人寿董事长关国亮实际控制新华人寿8年间，累计挪用公司资金130亿元，将新华人寿资金大规模用于违规投资、担保或拆借。事件发生之后，部分董事表示不太了解安然的财务状况、期货及期权的业务。2002年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来虚报利润735亿美元。世通于2002年末申请破产保护令，成为美国历史上最大的破产个案。世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈，被联邦法院刑事起诉。调查显示，49% 的受访机构已经完全或充分地将风险管理职责融入高管人员的绩效目标与薪酬决策。73% 的受访机构设有 CRO（首席风险官）或同等职位。初期阶段，安全管理阶段。-管理层对有关公司最近财务年度末与财务报表相关的内部控制有效性评估的声明。内部监督是公司对风险管理、内部控制建立与实施情况进行监督检查，评价内部控制的有效性。第三道防线风险监督,