1、 風險管理標準 & 風險管理體系2教師介紹n安全工程博士、經濟學碩士，教授級高工；n全國風險管理技術委員會委員；n中國職業健康安全協會安全經濟學委員會委員;n國家注冊質量管理體系高級審核員；n國家注冊環境管理體系高級審核員；n國家注冊職業健康安全管理體系高級審核員;3 課 程主要內容u 風險管理知識介紹； 風險管理術語 u 國內外主要風險管理法規及標準： 中央企業全面風險管理指引； 風險管理 原則與實施指南（GB-T24353-2009 ）；u 風險管理體系、建立與實施u 風險管理體系與其他體系的關系4Part1第一部分第一部分 風險管理知識介紹風險管理知識介紹5風險管理的起源n風險管

2、理是一門新興學科，但發展很快，己成為一種國際性的運動，受到了世界各國經濟界的重視，在企業管理中得到了廣泛而迅速地運用。雖然風險管理思想的萌芽可以追溯到遠古時代原始人類的生存活動，但是，作為系統的科學，風險管理則產生于上世紀初產生于上世紀初的西方工業化國家的西方工業化國家。n風險管理起源于德國起源于德國。第一次世界大戰之后，戰敗的德國發生了嚴重的通貨膨脹，造成經濟衰竭，提出了包括風險管理在內的企業經營管理問題。6風險管理的起源n美國1929-1933年經濟危機，使風險管理問題成為許多經濟學家研究的重點： 1931年，由美國管理協會保險部首先提出風險管理概念； 1932年成立紐約保險經紀人協會，該

3、協會的成立標志著風險管理學科的興起。 n50年代：風險管理問題真正在美國工商企業中引起足夠的重視并得到推廣（2起事故）：美國通用汽車公司的自動變速器裝置引發火災，造成巨額經濟損失；美國鋼鐵行業因團體人身保險福利問題及退休金問題誘發長達半年的工人罷工，給國民經濟帶來難以估量的損失。7風險管理的起源n1963年，美國出版的保險手冊刊載了企業的風險管理一文，引起歐洲各國的普遍重視。風險管理也成了企業管理科學中一門獨立學科。n風險管理已成為一門跨越自然科學和社會科學的邊緣學科。它不僅同地質學、生態學、氣象學相關，而且與系統工程學、行為科學有密切的聯系，是一種包含多類學科的綜合經濟管理。 8企業的風險n

4、國外統計資料表明：在正常年份宣布破產的企業數量約占國外統計資料表明：在正常年份宣布破產的企業數量約占企業總數的企業總數的1%。日本學術振興會特別研究員清水剛通過。日本學術振興會特別研究員清水剛通過研究發現，研究發現，1896年到年到1982年的年的10次總資產排名前次總資產排名前100家家的上市公司中，企業平均壽命為的上市公司中，企業平均壽命為25年。年。n1983年殼牌石油公司的一項調查發現，年殼牌石油公司的一項調查發現，1970年名列年名列財財富富雜志雜志500家大企業排行榜的公司，有家大企業排行榜的公司，有13已經銷聲匿已經銷聲匿跡。跡。n許多研究表明，在企業的演進和發展歷史中，企業的平

5、均許多研究表明，在企業的演進和發展歷史中，企業的平均壽命很低，死亡率很高。但是，與此同時，也有一些百年壽命很低，死亡率很高。但是，與此同時，也有一些百年以上長壽公司，甚至還有存續二、三百年的企業。以上長壽公司，甚至還有存續二、三百年的企業。 9風險類別 n政治法規風險；n經濟風險 （利率、匯率的變化）；n商業風險 （如合同關系發生變更）；n決策風險；n生產經營風險；n科技技術風險；n管理風險；n 質量風險；n 環境風險；n 財務風險、審計風險；n 安全生產事故風險；n 自然災害；n 公共責任風險；n 保安n 其他：黨風廉政風險 10企業風險因素市場風險市場風險 外匯風險外匯風險 體制風險體制風

6、險 自然災害風險自然災害風險 政策風險政策風險 外交風險外交風險 產品風險產品風險 經營風險經營風險 人事風險人事風險 購并風險購并風險 11國內外主要風險管理標準n我國風險管理國家標準風險管理 術語、 風險管理 原則與實施指南、供應鏈風險管理指南、公司治理風險管理指南；nISO31000，;nISO/IEC GUIDE 73:2002, nAS/NZS 4360：2004, ；nCOSO, ;nSarbanes-Oxley Act ;nAIRMIC, ALARM, IRM, n中央企業全面風險管理指引，2006.6.6 12 風險管理術語和定義n風險風險 riskrisk 某一特定危害性事件

7、發生的概率和其后果的組合。n n事件事件 eventevent 特定情況的發生。 注1：事件可能是確定的 ，也可能是不確定的； 注2：事件可能是單一的，也可能是系列的。13風險管理術語和定義n風險管理風險管理 risk managementrisk management 指導和控制某一組織的風險風險問題的協調活動。 通俗的定義：風險管理是指經濟單位對風險進行識別、衡量、分析，并在此基礎上有效地處置風險，以最低成本實現最大安全保障的科學管理方法。n概率概率 probabilityprobability 某一事件發生的可能程度。n后果后果 consequenceconsequence 某一事件事件

8、的結果。14 風險管理術語和定義n風險管理體系風險管理體系 risk management systemrisk management system 組織管理體系中與管理風險有關的要素集合。 注1：管理體系要素可以包括戰略規劃，決策以及處理風險的其它過程。 注2：組織的文化體現在風險管理體系中。n風險辨識風險辨識 risk identificationrisk identification 發現、列舉和描述風險風險要素的過程。15 風險管理術語和定義n風險分析風險分析 risk analysisrisk analysis 系統地運用現有的信息來確定某一事件發生的可能性 和后果。n風險評價風險評

9、價 risk evaluationrisk evaluation 將估計后的風險風險與給定的風險準則風險準則對比，來決定風險嚴重性的過程。n風險處理風險處理 risk treatmentrisk treatment 選擇及實施風險風險措施的過程。 注1：術語“風險處理”有時指應對措施本身。 注2：風險處理措施包括規避、優化、轉移或保留風險。16風險管理術語和定義n風險評估風險評估 risk assessmentrisk assessment 包括風險識別、風險分析風險分析和風險評價風險評價在內的全部過程。n風險降低風險降低 risk reductionrisk reduction 減少風險風險

10、的消極后果后果，降低其發生概率概率或二者兼有的行為。n風險規避風險規避 risk avoidancerisk avoidance 決定不陷入風險，或者從風險狀態中撤離的行為。 注：這個決定可能是以風險評價的結果為依據的。 17 風險管理術語和定義n風險轉移風險轉移 risk transferrisk transfer 與其它組織共同承擔風險損失，共享風險收益的行為。 注1：法律法規可能對某一特定風險的轉移進行限制、禁止或強制執行。 注2：風險轉移可以通過保險或其它協議來實施。 注3：風險轉移可能會引發新的風險也可能會改變現有的風險。 注4：重新安排風險來源不屬于風險轉移。n風險自留風險自留 r

11、isk retentionrisk retention 接受某一特定風險帶來的損失或收益。n殘余風險殘余風險 residual riskresidual risk 風險處理后剩余的風險。18Part2第二部分第二部分 國內風險管理法規與標準介紹國內風險管理法規與標準介紹 1.中央企業全面風險管理指引2006.620第一章總第一章總 則則 n企業風險：指未來的不確定性對企業實現其經營目標的影響。n企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等；n企業風險也可分為：純粹風險、機會風險21全面風險管理的定義n企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理

12、的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。22風險管理基本流程n 收集風險管理初始信息；n 進行風險評估；n 制定風險管理策略；n 提出和實施風險管理解決方案；n 風險管理的監督與改進。23內部控制系統n指圍繞風險管理策略目標，針對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程，通過執行風險管理基本流程，制定并執行的規章

13、制度、程序和措施。24第二章風險管理初始信息第二章風險管理初始信息n企業應廣泛、持續不斷地收集與本企業風險和風險管理相關的內部、外部初始信息，包括歷史數據和未來預測：戰略風險；財務風險；市場風險；運營風險；法律風險。25第三章風險評估第三章風險評估n企業應對收集的風險管理初始信息和企業各項業務管理及其重要業務流程進行風險評估；n風險評估包括風險辨識、風險分析、風險評價三個步驟；n進行風險辨識、分析、評價，應將定性與定量方法相結合 ；n風險評估可聘請有資質、信譽好、風險管理專業能力強的中介機構協助實施；26中央企業全面風險管理指引nCHAP4CHAP4風險管理策略風險管理策略; ;nCHAP5C

14、HAP5風險管理解決方案風險管理解決方案: : 外包方案外包方案、內控方案nCHAP6CHAP6風險管理的監督與改進風險管理的監督與改進企業風險管理職能部門定期進行檢查和檢驗企業風險管理職能部門定期進行檢查和檢驗; ;企業內部審計部門應至少每年一次對各有關部門和業務企業內部審計部門應至少每年一次對各有關部門和業務單位進行監督評價單位進行監督評價; ;企業企業可聘請中介機構可聘請中介機構對企業全面風險管理工作進行評價，對企業全面風險管理工作進行評價，出具風險管理評估和建議專項報告。出具風險管理評估和建議專項報告。 27第七章風險管理組織體系第七章風險管理組織體系n企業應建立健全風險管理組織體系，

15、主要包括規范的公司法人治理結構，風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。n具備條件的企業，董事會可下設風險管理委員會 n企業應設立專職部門或確定相關職能部門履行全面風險管理的職責。 * 參考：公司治理風險管理指南（國家標準）28 中央企業全面風險管理指引nCHAP8風險管理信息系統風險管理信息系統nCHAP9 風險管理文化風險管理文化nCHAP10附則附則n附錄：風險管理常用技術方法簡介附錄：風險管理常用技術方法簡介 2.風險管理 原則與實施指南（GB-T24353-2009 ）30國家標準概況n標準號：GB/T24353-2009n2

16、009.9.30發布，12月1日實施；n是風險管理系列標準中的指導性標準；n標準的編制參考了ISO/DIS31000風險管理 原則與實施指南；n適用范圍：各種類型和規模的組織，適用于組織的生命周期及其各階段，也適用于組織的各種活動，包括流程管理、職能行為、項目管理以及與產品、服務、資產、運作好決策等有關的各項活動。31風險管理原則n控制損失，創造價值；n融入組織管理過程；n支持決策過程（組織所有決策都應該考慮風險和風險管理）；n應用系統的、結構化的方法；n以信息為基礎；n環境依賴；n廣泛參與 、充分溝通；n持續改進 3233 建立環境n建立外部環境外部環境是組織尋求實現其目標時所處的外界環境。

17、 外部環境以組織整體環境為基礎，包括法律和監管要求、利益相關者的認知和與具體風險管理過程相關的其他風險方面的細節。外部環境可包括： - 國際的、國內的、地區的、或當地的文化、政治、法律、法規、金融、技術、經濟、自然環境和競爭環境； - 影響到組織目標的關鍵推動因素和趨勢； - 外部利益相關者的認知和價值觀。34建立環境n建立內部環境 內部環境是組織尋求實現其目標所處的內在環境。 組織有必要從以下方面了解內部環境： -在資源和知識方面的能力； -信息系統、信息流和決策過程； -內部利益相關者； -方針、目標、以及現有的實現目標的策略； -認知、價值觀和文化； -組織采用的標準和參考模型； -結構

18、（例如治理結構、任務和責任）。 35建立環境n建立風險管理過程環境- 確定應當執行的風險管理活動的范圍、深度和廣度，明確具體包含和不含的內容；- 確定活動、過程、職能、項目、產品、服務或資產等的時間、地點、目標及目的；n制定用于評定風險重要程度的準則- 該準則應反映組織的價值觀、目標和資源。- 一些準則是法律和法規要求或其它的組織需要遵循的要求。36風險辨識n組織應當辨識風險源、影響范圍、事件；n辨識的范圍視組織擬確立的風險管理范圍而定；n組織應根據擬定的風險管理范圍、風險性質、所處的行業特點等選擇適宜的辨識風險的方法；n風險辨識的方法： 專家調查法、流程圖分析、頭腦風暴法、訪談等。 37風險

19、分析n組織應該采用適當的方法分析識別出的風險；n風險分析應包括某一非確定事件發生的可能性和后果以及影響可能性和后果的各種因素；n分析可以是定性的、半定量的、定量的或其組合。在實踐中經常首先采用定性分析以一般性了解風險等級和揭示主要風險。n風險分析的方法包括：專家調查法；系統工程方法如：失效模式研究、故障樹等；計算機模擬；數學、經濟學模型。38 風險評價n風險評價的目的是在風險分析結果的基礎上做出關于哪個風險需要處理的決策，以決定優先處理方案。n風險評價涉及將分析過程中發現的風險等級與考慮環境信息時制定的準則進行比較。如果風險等級不符合風險準則，則應當對風險進行處理。39高風險行業中風險行業低風

20、險行業醫藥和化學制品制造商銀行、金融機構航空、鐵路、公交和地鐵系統賓館、飯店旅游公司核電廠食品制造和分銷企業夜總會、娛樂休閑場所軟飲料和果汁生產商建筑、房地產公司煤氣站公共設施及私人設施、機場水泥供應商和結構工程公司大學、醫院、非贏利性機構、教堂、博物館零售連鎖店生物技術公司石油生產商和分銷商電信公司家庭用品制造商包裝公司網絡中心組織計算機制造商餓分銷商發動機和重金屬制造商電梯制造商醫藥、衛生所超市和購物中心煙酒公司健康俱樂部、日常護理中心保險代理 軟件公司慈善機構廣播電視財務會計公司服飾生產商地方性商務企業旅行社法律公司咨詢公司汽車出租公司郵購和目錄服務公司國際組織（如世界銀行等）40 風險

21、處置過程41風險處置之回避風險l任何組織對風險的對策，首先考慮到的是避免風險，尤其是對靜態風險盡可能予以避免。凡風險所造成的損失不能由該項目可能獲得利潤予以抵消時，回避風險是最可行的簡單方法。l局限性n只有在風險可以避免的情況下，避免風險才有效果；n有些風險無法回避；n有些風險可能回避但成本過大；n消極地回避風險，只能使企業安于現狀，不求進取。 42風險處置之回避風險n避免風險的方法還可以分為完全避免和部分避免兩種。n完全避免，就要不惜放棄伴隨風險而來的盈利機會。部分避免，主要取決于成本因素和非經濟因素。如果避免收益大于避免成本，就可以考慮避免，否則可以不要避免。n在采取部分避免風險時，往往還

22、有兩種戰略：進攻性戰略，即在高收益和低風險“替代選擇”中，挑選高收益而不顧忌風險；防守戰略，即在高收益和低風險的“替代選擇”中，挑選低風險而不在乎收益。 43風險處置之風險控制n組織在風險不能避免或在從事某項經濟活動勢必面臨某些風險時，首先想到的是如何控制風險發生、減少風險發生，或如何減少風險發生后所造成的損失，即為控制風險預防和抑制風險。n控制風險主要有兩方面意思：一是控制風險因素，減少風險的發生；二是控制風險發生的頻率和降低風險損害程度。 44BP的風險自留政策nBP允許經理們為小規模的損失購買保險卻自留大規模損失；nBP停止為 1000萬到5億美元范圍的損失進行保險，其主要原因是：考慮到

23、BP的利潤和資產規模，這種規模的損失不可能嚴重破壞BP的經營和投資。對于超過5億美元的損失， 保險市場的能力是有限的。n ？無論基本指導原則如何，有限的保險市場能力使得自留巨大損失成為相對于保險來說是合乎需要的，甚至是惟一可行的選擇方案。* 討論45監督和檢查n監督和檢查過程應當涵蓋風險管理過程的所有方面： -監測事件 ； -風險處置過程 -發現內部和外部環境信息的變化，包括風險本身的變化 ； -對照風險管理計劃，測量工作進度和與計劃的偏差； -報告關于風險、風險管理計劃進度和風險管理政策的遵循情況 n風險監控可以借助計算機技術和組織現有的一些數據庫、平臺等。n監督和檢查活動可能包括常規檢查、

24、定期或隨機的檢查。46 溝通與協商n內外部溝通與協商發生于風險管理的全過程；n協商與溝通應包括： -聯系適當的外部利益相關者和保證有效的信息交換； -符合法律、規定和公司治理要求的對外報告； -提供溝通和協商的反饋和報告； -在發生危機和緊急形勢時與利益相關者溝通；n對風險承擔責任的人員，應該確保就風險的信息及時地與相關方面進行了溝通。47風險分析評價方法n層次分析法n模糊分析法n灰色系統理論n故障樹分析n敏感性分析n蒙特卡羅方法n頭腦風暴法n專家調查法n風險矩陣法n失效模式與影響分析n關鍵風險指標管理48 1. 風險矩陣法n風險矩陣法把風險分成可能性可能性和嚴重度和嚴重度兩個方面。n把風險發

25、生可能性的高低、風險發生后對主體目標的影響程度，作為兩個維度繪制在同一個平面上，稱之為風險矩陣風險矩陣。 49定性方法描述風險事件可能性和嚴重度定性方法描述風險事件可能性和嚴重度 50風險矩陣（定性方法）風險矩陣（定性方法）51定量方法描述風險事件可能性和嚴重度定量方法描述風險事件可能性和嚴重度 52風險矩陣（定量方法）風險矩陣（定量方法）532. 關鍵風險指標管理n一項風險事件的發生可能有多種成因，但關鍵成因往往只有幾種。關鍵風險指標管理是對引起風險事件發生的關鍵成因指標進行管理的方法。 1分析風險成因，找出關鍵成因。 2將關鍵成因量化，分析確定導致風險事件發生時該成因的具體數值。 3以該具體數值為基礎，以發出風險預警信息為目的，加上或減去一定數值后形成新的數值，該數值即為關鍵風險指標。 4建立風險預警系統，即當關鍵成因數值達到關鍵風險指標時，發出風險預警信息。 5制定出現風險預警信息時應采取的風險控制措施。 6跟蹤監測關鍵成因數值的變化，一旦出現預警，實施風險控制措施。54Part3第三部分第三部分 風險管理體系、建立