意義

風險管理的概念和思路實施風險管理與內部控制制度需要考慮的關鍵因素風險管理與內部控制制度關鍵因素的系統性及相關性民生人壽風險管理的現狀和發展規劃幫助大家了解風險管理與內部控制制度的框架包括:意義幫助大家了解風險管理與內部控制制度的框架目錄何為風險？為什么要管理風險？風險管理概述民生人壽的風險管理實踐目錄風險的概念中國古人對風險的認識——天有不測風云，人有旦夕禍福。——禍兮福所倚，福兮禍所伏。

現代學界對風險的定義——風險是指在一定情況下的不確定性，此不確定性是指（1）發生與否不確定（2）發生時間不確定（3）發生狀況不確定（4）發生的后果嚴重程度不確定——企業風險指在企業經營的各種活動中發生損失的可能性風險的概念中國古人對風險的認識平安富通事件作為中國保險行業第一個海外戰略投資，平安不斷買入富通股票，成為富通單一的最大股東。富通股票價值大大縮水，給平安帶來238億元人民幣浮虧近95％的傷痛。原因-投資過于激進-投資過于單一。不能把雞蛋放在同一個籃子里-投資價值未進行有效評估平安富通事件作為中國保險行業第一個海外戰略投資，平安不斷買入新華人壽挪用資金案前新華人壽董事長關國亮實際控制新華人壽8年間，累計挪用公司資金130億元，將新華人壽資金大規模用于違規投資、擔保或拆借。原因-公司管理缺乏有效性、合規性-資金使用授權管理不健全-監控機制不健全新華人壽挪用資金案前新華人壽董事長關國亮實際控制新華人壽8年美國安然公司(Enron)倒閉案安然公司曾是美國最大的石油和天然氣企業之一，在2000年《財富》世界500強排名第16位2001年末，安然宣布第三季度6.4億美元的虧損，美國證監會對該公司進行調查，發現該公司在1997以來虛報利潤5.8億美元2001年末，安然申請破產保護令，但在之前10個月內，公司卻因股票價格超越預期目標而向董事及高級管理人員發放3.2億美元的紅利美國安然公司(Enron)倒閉案安然公司曾是美國最大的石油安然的董事會及審計委員會均采取不干預(“hands-off”)監控政策事件發生之后，部分董事表示不太了解安然的財務狀況、期貨及期權的業務安然重視短期的業績指標安然管理高層常常藐視或推翻公司制定的內控制度調查發現調查發現美國世通公司(Worldcom)舞弊案世通是美國第二大電信公司2002年，世通被發現利用把營運性開支反映為資本性開支等弄虛作假的方法，多年來虛報利潤735億美元世通于2002年末申請破產保護令，成為美國歷史上最大的破產個案世通的四名主管(包括公司的CEO和CFO)承認串謀訛詐，被聯邦法院刑事起訴美國世通公司(Worldcom)舞弊案世通是美國第二大電信世通的董事會持續賦予公司的CEO(BernardEbbers)絕對的權力，讓他一人獨攬大權美國證監會的調查報告指出：世通完全沒有制衡機制世通的董事會并沒有負起監督管理層的責任世通為公司的高級管理層提供豐厚(不合理)的薪酬和獎金調查發現調查發現由案例得出的啟示與思考風險無時無處不在，對風險的態度和行為，可以決定企業的興衰成敗過于追求高回報，卻忽視隨之而來的高風險，遲早會導致嚴重的損失但風險并非都是壞事，對保險業而言，本身就是在經營風險以獲取回報，消極地回避風險，只會被市場淘汰贏家都是能夠平衡好增長、收益和風險的強者那優秀的風險管理又是怎樣做的呢？由案例得出的啟示與思考風險無時無處不在，對風險的態度和行為，調查收到全球111家金融機構的回復，這些機構的總資產超過19萬億美元，其中包括9家中國大中型銀行和保險公司。調查顯示，49%的受訪機構已經完全或充分地將風險管理職責融入高管人員的績效目標與薪酬決策；77%的受訪機構的董事會承擔了風險監管與治理的整體責任，而63%的受訪機構擁有經正式批準的風險偏好聲明；73%的受訪機構設有CRO（首席風險官）或同等職位；已有36%的受訪機構有全面企業風險管理（enterpriseriskmanagement，ERM），但另有23%的受訪機構正在創建中。在資產不少于1,000億美元的受訪機構中，58%已有ERM計劃。有ERM計劃的機構都覺得該計劃非常有價值：85%的高管人員稱其ERM計劃帶來的總價值（包括可計量及不可計量的價值）已經超過了所付出的成本

德勤全球金融服務業風險管理狀態調查調查收到全球111家金融機構的回復，這些機構的總資產超過目錄何為風險？為什么要管理風險？風險管理概述—內部控制—風險管理—風險監督民生人壽的風險管理實踐目錄風險管理的發展階段雛形階段4000多年前，我國皮貨商人的損失分擔運貨；公元前916年國外的共同海損制度等初期階段，安全管理階段19世紀40年代以來，現代企業的形成，風險多元化，一些大企業開始重視自己的經營安全問題。保險管理階段20世紀30年代出現了保險，進入了保險管理的時代，開始運用保險來規避某些常見的風險。風險管理階段20世紀中期以來，陸續發生了一些重大的人為和自然災害事件，美國企業界和學術界開始認識到風險管理的重要性。全面風險管理階段21世紀以來，動態風險管理，整體風險管理，全面風險管理，公司治理，內部控制，上市公司監管有了飛速的發展風險管理的發展階段雛形階段內部環境戰略目標設定風險識別風險評估風險應對控制活動信息與溝通監控經營報告合規分支機構業務單位職能部門企業整體COSO全面風險管理(ERM)的框架COSO是美國全國虛假財務報告委員會下屬的發起人委員會的英文縮寫。1992年COSO公布了《內部控制—綜合框架》（也稱“COSO內部控制框架”）并于2004年得到美國證券交易委員會的認同，目前COSO框架已正式成為美國上市公司內部控制框架的參照性標準。四種目標用垂直方向的表示，八個構成要素用水平方向的行表示，一個主體內的各個單元用第三個維度表示。可以從整體上關注一個主體的風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度加以認識。目標要素涉及的管理層級內部環境戰略目標設定風險識別風險評COSO內控框架的淵源《薩班斯·奧克斯利》（SOX）法案—COSO內控框架的應用目的于2002年頒布的薩班斯法案，其目的是確保準確的財務狀況報告及公開，以重塑公眾對公司營業報告的信任；其核心理念是強化公司高管的財務報告和信息披露的責任，強調公司治理和內部控制的重要性，提高外部審計的獨立性。薩班斯法案對企業管理者所需要承擔的法律責任更加嚴格。法案要求上市公司的管理者必須為公司對外披露的財務報告負責，一旦出現類似安然事件的情況，公司的管理者甚至可能會被判入獄。因此許多企業的高層管理人員對此法案高度重視，千方百計地保證企業滿足薩班斯法案的要求。

與公司相關度最高的有404條款。COSO內控框架的淵源《薩班斯·奧克斯利》（SOX）法案—404條款管理層對內部控制的評估規定，除對內部控制系統的有效性進行報告之外，上市公司還須負責保持內部控制系統的有效運行。主要內容-管理層對建立和維護與財務報表相關的內部控制充足的責任的聲明；-管理層對有關公司最近財務年度末與財務報表相關的內部控制有效性評估的聲明；-識別管理層用以評價有關財務報告相關內部控制有效性的框架的聲明，以及外部審計師已就管理層的評估結果發表鑒證報告的聲明。

404條款全面風險管理八要素風險管理八要素內容內部環境內部環境包含主體的風險管理理念、風險容量、董事會監督、人員誠信和勝任能力、道德價值觀、管理層的職責分工和權力分配等。目標設定是指一個主體力圖實現什么，包括戰略目標、經營目標、報告目標、合規目標等四大類。事件識別是指識別可能對公司的目標達成產生影響的潛在事項，包括代表風險的事項和代表機會的事項，以及可能二者兼有的事項。風險評估風險評估是指公司對已識別的風險進行分析，以便形成如何對其管理的依據。風險對策是指選擇和確定應對風險的工具，包括規避、承擔、降低和分擔風險。控制活動控制活動是企業根據風險評估結果，采用相應有效的控制措施，將風險控制在可承受的范圍之內。信息與溝通信息與溝通是公司及時準確地收集、傳遞與風險管理、內部控制相關的信息，確保信息在公司內部、公司與外部之間進行有效溝通。內部監督內部監督是公司對風險管理、內部控制建立與實施情況進行監督檢查，評價內部控制的有效性。發現內部控制缺陷，應當及時加以改進。全面風險管理八要素風險管理八要素內容內部環境保險企業風險分類戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險保險企業風險分類戰略風險戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于戰略制定和實施的流程無效或經營環境的變化，而導致戰略與市場環境和公司能力不匹配的風險。由于死亡率、疾病率、賠付率、退保率等精算假設的實際經驗與預期發生偏離而造成損失的風險。戰略風險由于戰略制定和實施的流程無效或經營環境的變化，而導致戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于利率、匯率、權益價格和商品價格等的不利變動而使公司遭受非預期損失的風險。由于債務人或交易對手不能履行或按時履行其合同義務，或者信用狀況的不利變動而導致的風險.戰略風險由于利率、匯率、權益價格和商品價格等的不利變動而使公戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于不完善的內部操作流程、人員、系統或外部事件而導致直接或間接損失的風險,包括法律及監管合規風險。由于業務收入或費用的不利變動而造成損失的風險。戰略風險由于不完善的內部操作流程、人員、系統或外部事件而導致戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于公司品牌及聲譽出現負面事件，而使公司遭受損失的風險。在債務到期發生給付義務時，由于沒有資金來源或必須以較高的成本融資而導致的風險。戰略風險由于公司品牌及聲譽出現負面事件，而使公司遭受損失的風保險企業風險管理框架一個基礎：企業治理結構二個目標：公司利益最大化；履行保險責任三道防線：內控；風險管理；內部審計管理層CEO第三道防線第二道防線第一道防線業務部門董事會風險管理內部審計審計委員會風險管理委員會保險企業風險管理框架一個基礎：企業治理結構管理層第三道防線第企業建立的第一道防線，就是要各業務單位就其戰略性風險、信貸風險、市場風場和操作風險等等，系統化地進行分析、確認、度量、管理和監控企業需要把評估風險與內控措施的結果進行記錄和存檔，對內控措施的有效性不斷進行測試和更新第一道防線-內部控制管理層CEO第三道防線第二道防線第一道防線業務部門董事會風險管理內部審計審計委員會風險管理委員會企業建立的第一道防線，就是要各業務單位就其戰略性風險、信貸風《企業內部控制基本規范》由財政部、證監會、審計署、銀監會、保監會聯合制定，于2008年6月28日發布，自2009年7月1日起施行。基本規范提出了企業內部控制5要素，對COSO內控框架8要素做了精簡。

在《企業內部控制基本規范》基礎上,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制應用指引第1號——組織架構》等18項應用指引、《企業內部控制評價指引》和《企業內部控制審計指引》（以下簡稱企業內部控制配套指引）。操作風險概述課件《企業內部控制應用指引》對治理架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務等明確了指相關定義、應關注的風險等內容。《企業內部控制評價指引》明確了內部控制評價的內容、程序、內部控制缺陷的認定、內部控制評價報告等。《企業內部控制應用指引》COSO內部控制框架

內部控制將管理、會計等方面控制在預想的范圍內，目標是減少風險。COSO內部控制框架內部控制目標合理保證經營管理合法合規、資產安全、財務報告及相關信息可靠，提高經營效率和效果，促進公司實現發展戰略內部控制原則全面性原則重要性原則制衡性原則適應性原則成本效益原則內部控制目標COSO內部控制五要素控制環境公司管理活動執行人員的操守，以及管理人員實施管理活動的環境。包括：確立企業文化、樹立誠信價值觀、管理能力、審計委員會與董事會的影響、管理哲學以及管理風格等內容。風險評估確立目標與機制以識別、分析和管理風險。包括評估可謹慎接受的風險程度、建立在總公司與分公司層面上識別與分析風險的程序、區分風險高低程度、計劃控制活動等內容。

COSO內部控制五要素控制環境控制活動管理當局的指示得以貫徹執行的政策和程序。包括制定政策決定、使政策生效的程序與風險評估結合等內容。信息與溝通及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通的過程。監督評價一定時期內內部控制執行質量，并在情況變化下對內控進行適當的修改。

控制活動內部控制制度框架內部控制制度框架第二道防線—風險管理現有風險潛在風險風險識別風險評估可能性重大程度評級與應對風險監察風險評級應對評級風險應對—降低—規避—轉移—保留檢查審計第二道防線—風險管理現有風險風險識別風險評估可能性評風險識別

風險識別是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。風險識別是一項持續性的工作。通過風險識別，將識別出來的各種風險進行整理和歸類，形成公司風險庫。公司至少每年開展一次全面風險識別工作。風險識別風險識別是指查找企業各業務單元、各項重要經識別內部風險應關注的因素-公司治理因素-組織因素-技術因素-經營管理因素識別外部風險應關注的因素-社會因素-經濟因素-政治因素-自然因素識別內部風險應關注的因素風險評估積累歷史損失數據，建立損失數據庫評估內容-風險發生的可能性可能性是風險在指定時間內發生的概率。-影響程度影響程度是當風險發生后，對公司的財務、聲譽、監管和營運等方面的影響程度。風險評估積累歷史損失數據，建立損失數據庫評估對象-固有風險:是在沒有采取任何措施的情況下公司面臨的風險。-剩余風險是在公司采取風險應對和控制后公司所面臨的風險。風險評估頻率-每年至少組織一次風險評估。評估對象風險發生的可能性評分可能性說明5幾乎肯定在未來12個月內，這項風險幾乎肯定會出現至少1次4極可能在未來12個月，這項風險極可能出現1次3可能在未來2至10年內，這項風險可能出現1次2低在未來10至100年內，這項風險可能出現至少1次1極低這項風險出現的可能性極低，估計在100年內出現的可能性少于1次風險發生的可能性評分可能性說明5幾乎肯定在未來12個月內，這評分損失程度說明5災難令企業失去繼續運作的能力(或占稅前利潤達20%)4重大對于企業在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風險對企業造成的影響評分損失程度說明5災難令企業失去繼續運作的能力(或占稅前利潤評分有效性說明5極度過頭處理方法能直接針對該項風險，但相信會令企業業績“倒退”或成本過高4過頭處理方法能直接針對該項風險，但由于需要投入大量資源或/及將其他資源轉到處理該項風險上，會對企業的效率造成影響3適中處理方法有效針對該項風險，同時并不影響企業的效率2低效處理方法針對該項風險的效果不理想，或投入處理該風險的資源不充分或/及對投入的資源未有適當利用1近乎沒有效果處理方法的效果十分低，可能是由于企業根本沒有處理方法，又或處理手法不當風險處理方法的效果評分有效性說明5極度過頭處理方法能直接針對該項風險，但相信會風險評估工具—風險地圖舉例影響程度近乎沒有輕微中等重大災難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–

人力資源風險B–

財務風險C–

競爭風險D–

開發風險E–

過度自信風險F–

系統故障風險G–

主要客戶風險H–

欺詐風險I–

政治風險J–

薪酬獎勵風險K–

科技風險風險評估工具—風險地圖舉例影響近乎沒有輕微中等重大災難幾乎風險處理組合舉例

處理評級風險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–

人力資源風險B–

財務風險C–

競爭風險D–

開發風險E–

過度自信風險F–

系統故障風險G–

主要客戶風險H–

欺詐風險I–

政治風險J–

薪酬獎勵風險K–

科技風險F采取行動密切監控定期審閱風險處理組合舉例處理評級風險評級近乎沒有效果低效適中規避-禁止交易-減少或限制交易量-離開市場轉移-保險-策略性聯盟-出售降低-去杠桿化-套期-訂價反映風險程度保留-預留儲備-增加監督風險應對策略影響程度大小可能性轉移規避降低保留高低降低風險應對策略影響程度大小可能性轉移規避降低保留高低風險控制措施建立完善相應的管理政策和制度改善相應業務流程完善相應的內部控制機制建立風險持續監控體系風險控制措施建立完善相應的管理政策和制度第三道防線——風險監督監督內容對風險管理健全性、合理性、有效性進行監督檢查監督層次-各部門和業務單位對自身風險管理監督和自查-風險管理部門對各部門和業務單位風險管理工作實施情況和有效性進行監督檢查-審計部門定期對全面風險管理體系與流程執行情況及有效性進行獨立監督評價監督內容-持續監督-專項監督第三道防線——風險監督監督內容第一代（1980之前）第二代（80年代）第三代（90年代）第四代（21世紀）控制企業風險企業風險管理流程控制結構

出發點是已有的流程、程序和控制

以符合性測試為主

出發點是財務

風險和符合性

風險

確定應該存

在的控制

審計目的是評

估控制的設計、

運行效果和合

規性

出發點是對企

業和各種風險

的充分理解

確定應該存

在的控制

審計目的是評

估控制的設計、

運行效果和合

規性

確定應該存在的能有效控制風險的企業風險管理流程

評估在各個企業

風險管理流程的

設計、運行效果

和合規性內部審計的演變歷史出發點是對企業和各種風險的充分理解第一代第二代第三代第四代控制企業風險企業風險管理流程控制結構存貨盤點發詢證函指標考核符合性測試價值評估效率考察協助外審咨詢建議……...……….內部審計在現代企業中的角色和職能企業內部活動的監督者防錯糾弊的檢察員監控企業運作和資源使用的效率和效果協助外部審計人員風險管理咨詢存貨盤點發詢證函指標考核符合性測試價值評估效率考察協助外審咨而是---企業內部的咨詢人員。內部審計員是簡單的審計人員嗎?NO！內部審計在現代企業中的角色和職能而是---企業內部的咨詢人員。內部審計員是簡單的審計人員嗎?

保護資產

遵守政策、機會、程序和法律法規

對經營或項目的設定目標的完成情況欺詐是如何發生的怎樣改正內部控制中導致欺詐的缺陷怎樣杜絕未來欺詐的發生比發現欺詐更好的是通過有效的控制防止欺詐內部審計在現代企業中的角色企業內部活動的監督者防錯糾弊的檢察員保護資產欺詐是如何發生的內部審計在現代企業中的角色企業內部通過檢查和評價控制的有效性、完備性以及執行分配責任的質量來確保：

機構內部控制系統的有效性和完備性

信息的可靠性和一致性有效地運用資源

制定經營標準

根據經營標準評價效率

識別并報告低效使用內部審計在現代企業中的角色監控企業運作和資源使用的效率和效果通過檢查和評價控制的有效性、完備性以及執行分配責任的質量來確目錄何為風險？為什么要管理風險？風險管理概述—內部控制—風險管理—風險監督民生人壽的風險管理實踐目錄演講完畢，謝謝觀看！演講完畢，謝謝觀看！意義

風險管理的概念和思路實施風險管理與內部控制制度需要考慮的關鍵因素風險管理與內部控制制度關鍵因素的系統性及相關性民生人壽風險管理的現狀和發展規劃幫助大家了解風險管理與內部控制制度的框架包括:意義幫助大家了解風險管理與內部控制制度的框架目錄何為風險？為什么要管理風險？風險管理概述民生人壽的風險管理實踐目錄風險的概念中國古人對風險的認識——天有不測風云，人有旦夕禍福。——禍兮福所倚，福兮禍所伏。

現代學界對風險的定義——風險是指在一定情況下的不確定性，此不確定性是指（1）發生與否不確定（2）發生時間不確定（3）發生狀況不確定（4）發生的后果嚴重程度不確定——企業風險指在企業經營的各種活動中發生損失的可能性風險的概念中國古人對風險的認識平安富通事件作為中國保險行業第一個海外戰略投資，平安不斷買入富通股票，成為富通單一的最大股東。富通股票價值大大縮水，給平安帶來238億元人民幣浮虧近95％的傷痛。原因-投資過于激進-投資過于單一。不能把雞蛋放在同一個籃子里-投資價值未進行有效評估平安富通事件作為中國保險行業第一個海外戰略投資，平安不斷買入新華人壽挪用資金案前新華人壽董事長關國亮實際控制新華人壽8年間，累計挪用公司資金130億元，將新華人壽資金大規模用于違規投資、擔保或拆借。原因-公司管理缺乏有效性、合規性-資金使用授權管理不健全-監控機制不健全新華人壽挪用資金案前新華人壽董事長關國亮實際控制新華人壽8年美國安然公司(Enron)倒閉案安然公司曾是美國最大的石油和天然氣企業之一，在2000年《財富》世界500強排名第16位2001年末，安然宣布第三季度6.4億美元的虧損，美國證監會對該公司進行調查，發現該公司在1997以來虛報利潤5.8億美元2001年末，安然申請破產保護令，但在之前10個月內，公司卻因股票價格超越預期目標而向董事及高級管理人員發放3.2億美元的紅利美國安然公司(Enron)倒閉案安然公司曾是美國最大的石油安然的董事會及審計委員會均采取不干預(“hands-off”)監控政策事件發生之后，部分董事表示不太了解安然的財務狀況、期貨及期權的業務安然重視短期的業績指標安然管理高層常常藐視或推翻公司制定的內控制度調查發現調查發現美國世通公司(Worldcom)舞弊案世通是美國第二大電信公司2002年，世通被發現利用把營運性開支反映為資本性開支等弄虛作假的方法，多年來虛報利潤735億美元世通于2002年末申請破產保護令，成為美國歷史上最大的破產個案世通的四名主管(包括公司的CEO和CFO)承認串謀訛詐，被聯邦法院刑事起訴美國世通公司(Worldcom)舞弊案世通是美國第二大電信世通的董事會持續賦予公司的CEO(BernardEbbers)絕對的權力，讓他一人獨攬大權美國證監會的調查報告指出：世通完全沒有制衡機制世通的董事會并沒有負起監督管理層的責任世通為公司的高級管理層提供豐厚(不合理)的薪酬和獎金調查發現調查發現由案例得出的啟示與思考風險無時無處不在，對風險的態度和行為，可以決定企業的興衰成敗過于追求高回報，卻忽視隨之而來的高風險，遲早會導致嚴重的損失但風險并非都是壞事，對保險業而言，本身就是在經營風險以獲取回報，消極地回避風險，只會被市場淘汰贏家都是能夠平衡好增長、收益和風險的強者那優秀的風險管理又是怎樣做的呢？由案例得出的啟示與思考風險無時無處不在，對風險的態度和行為，調查收到全球111家金融機構的回復，這些機構的總資產超過19萬億美元，其中包括9家中國大中型銀行和保險公司。調查顯示，49%的受訪機構已經完全或充分地將風險管理職責融入高管人員的績效目標與薪酬決策；77%的受訪機構的董事會承擔了風險監管與治理的整體責任，而63%的受訪機構擁有經正式批準的風險偏好聲明；73%的受訪機構設有CRO（首席風險官）或同等職位；已有36%的受訪機構有全面企業風險管理（enterpriseriskmanagement，ERM），但另有23%的受訪機構正在創建中。在資產不少于1,000億美元的受訪機構中，58%已有ERM計劃。有ERM計劃的機構都覺得該計劃非常有價值：85%的高管人員稱其ERM計劃帶來的總價值（包括可計量及不可計量的價值）已經超過了所付出的成本

德勤全球金融服務業風險管理狀態調查調查收到全球111家金融機構的回復，這些機構的總資產超過目錄何為風險？為什么要管理風險？風險管理概述—內部控制—風險管理—風險監督民生人壽的風險管理實踐目錄風險管理的發展階段雛形階段4000多年前，我國皮貨商人的損失分擔運貨；公元前916年國外的共同海損制度等初期階段，安全管理階段19世紀40年代以來，現代企業的形成，風險多元化，一些大企業開始重視自己的經營安全問題。保險管理階段20世紀30年代出現了保險，進入了保險管理的時代，開始運用保險來規避某些常見的風險。風險管理階段20世紀中期以來，陸續發生了一些重大的人為和自然災害事件，美國企業界和學術界開始認識到風險管理的重要性。全面風險管理階段21世紀以來，動態風險管理，整體風險管理，全面風險管理，公司治理，內部控制，上市公司監管有了飛速的發展風險管理的發展階段雛形階段內部環境戰略目標設定風險識別風險評估風險應對控制活動信息與溝通監控經營報告合規分支機構業務單位職能部門企業整體COSO全面風險管理(ERM)的框架COSO是美國全國虛假財務報告委員會下屬的發起人委員會的英文縮寫。1992年COSO公布了《內部控制—綜合框架》（也稱“COSO內部控制框架”）并于2004年得到美國證券交易委員會的認同，目前COSO框架已正式成為美國上市公司內部控制框架的參照性標準。四種目標用垂直方向的表示，八個構成要素用水平方向的行表示，一個主體內的各個單元用第三個維度表示。可以從整體上關注一個主體的風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度加以認識。目標要素涉及的管理層級內部環境戰略目標設定風險識別風險評COSO內控框架的淵源《薩班斯·奧克斯利》（SOX）法案—COSO內控框架的應用目的于2002年頒布的薩班斯法案，其目的是確保準確的財務狀況報告及公開，以重塑公眾對公司營業報告的信任；其核心理念是強化公司高管的財務報告和信息披露的責任，強調公司治理和內部控制的重要性，提高外部審計的獨立性。薩班斯法案對企業管理者所需要承擔的法律責任更加嚴格。法案要求上市公司的管理者必須為公司對外披露的財務報告負責，一旦出現類似安然事件的情況，公司的管理者甚至可能會被判入獄。因此許多企業的高層管理人員對此法案高度重視，千方百計地保證企業滿足薩班斯法案的要求。

與公司相關度最高的有404條款。COSO內控框架的淵源《薩班斯·奧克斯利》（SOX）法案—404條款管理層對內部控制的評估規定，除對內部控制系統的有效性進行報告之外，上市公司還須負責保持內部控制系統的有效運行。主要內容-管理層對建立和維護與財務報表相關的內部控制充足的責任的聲明；-管理層對有關公司最近財務年度末與財務報表相關的內部控制有效性評估的聲明；-識別管理層用以評價有關財務報告相關內部控制有效性的框架的聲明，以及外部審計師已就管理層的評估結果發表鑒證報告的聲明。

404條款全面風險管理八要素風險管理八要素內容內部環境內部環境包含主體的風險管理理念、風險容量、董事會監督、人員誠信和勝任能力、道德價值觀、管理層的職責分工和權力分配等。目標設定是指一個主體力圖實現什么，包括戰略目標、經營目標、報告目標、合規目標等四大類。事件識別是指識別可能對公司的目標達成產生影響的潛在事項，包括代表風險的事項和代表機會的事項，以及可能二者兼有的事項。風險評估風險評估是指公司對已識別的風險進行分析，以便形成如何對其管理的依據。風險對策是指選擇和確定應對風險的工具，包括規避、承擔、降低和分擔風險。控制活動控制活動是企業根據風險評估結果，采用相應有效的控制措施，將風險控制在可承受的范圍之內。信息與溝通信息與溝通是公司及時準確地收集、傳遞與風險管理、內部控制相關的信息，確保信息在公司內部、公司與外部之間進行有效溝通。內部監督內部監督是公司對風險管理、內部控制建立與實施情況進行監督檢查，評價內部控制的有效性。發現內部控制缺陷，應當及時加以改進。全面風險管理八要素風險管理八要素內容內部環境保險企業風險分類戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險保險企業風險分類戰略風險戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于戰略制定和實施的流程無效或經營環境的變化，而導致戰略與市場環境和公司能力不匹配的風險。由于死亡率、疾病率、賠付率、退保率等精算假設的實際經驗與預期發生偏離而造成損失的風險。戰略風險由于戰略制定和實施的流程無效或經營環境的變化，而導致戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于利率、匯率、權益價格和商品價格等的不利變動而使公司遭受非預期損失的風險。由于債務人或交易對手不能履行或按時履行其合同義務，或者信用狀況的不利變動而導致的風險.戰略風險由于利率、匯率、權益價格和商品價格等的不利變動而使公戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于不完善的內部操作流程、人員、系統或外部事件而導致直接或間接損失的風險,包括法律及監管合規風險。由于業務收入或費用的不利變動而造成損失的風險。戰略風險由于不完善的內部操作流程、人員、系統或外部事件而導致戰略風險保險風險市場風險信用風險操作風險業務風險聲譽風險流動性風險由于公司品牌及聲譽出現負面事件，而使公司遭受損失的風險。在債務到期發生給付義務時，由于沒有資金來源或必須以較高的成本融資而導致的風險。戰略風險由于公司品牌及聲譽出現負面事件，而使公司遭受損失的風保險企業風險管理框架一個基礎：企業治理結構二個目標：公司利益最大化；履行保險責任三道防線：內控；風險管理；內部審計管理層CEO第三道防線第二道防線第一道防線業務部門董事會風險管理內部審計審計委員會風險管理委員會保險企業風險管理框架一個基礎：企業治理結構管理層第三道防線第企業建立的第一道防線，就是要各業務單位就其戰略性風險、信貸風險、市場風場和操作風險等等，系統化地進行分析、確認、度量、管理和監控企業需要把評估風險與內控措施的結果進行記錄和存檔，對內控措施的有效性不斷進行測試和更新第一道防線-內部控制管理層CEO第三道防線第二道防線第一道防線業務部門董事會風險管理內部審計審計委員會風險管理委員會企業建立的第一道防線，就是要各業務單位就其戰略性風險、信貸風《企業內部控制基本規范》由財政部、證監會、審計署、銀監會、保監會聯合制定，于2008年6月28日發布，自2009年7月1日起施行。基本規范提出了企業內部控制5要素，對COSO內控框架8要素做了精簡。

在《企業內部控制基本規范》基礎上,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制應用指引第1號——組織架構》等18項應用指引、《企業內部控制評價指引》和《企業內部控制審計指引》（以下簡稱企業內部控制配套指引）。操作風險概述課件《企業內部控制應用指引》對治理架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務等明確了指相關定義、應關注的風險等內容。《企業內部控制評價指引》明確了內部控制評價的內容、程序、內部控制缺陷的認定、內部控制評價報告等。《企業內部控制應用指引》COSO內部控制框架

內部控制將管理、會計等方面控制在預想的范圍內，目標是減少風險。COSO內部控制框架內部控制目標合理保證經營管理合法合規、資產安全、財務報告及相關信息可靠，提高經營效率和效果，促進公司實現發展戰略內部控制原則全面性原則重要性原則制衡性原則適應性原則成本效益原則內部控制目標COSO內部控制五要素控制環境公司管理活動執行人員的操守，以及管理人員實施管理活動的環境。包括：確立企業文化、樹立誠信價值觀、管理能力、審計委員會與董事會的影響、管理哲學以及管理風格等內容。風險評估確立目標與機制以識別、分析和管理風險。包括評估可謹慎接受的風險程度、建立在總公司與分公司層面上識別與分析風險的程序、區分風險高低程度、計劃控制活動等內容。

COSO內部控制五要素控制環境控制活動管理當局的指示得以貫徹執行的政策和程序。包括制定政策決定、使政策生效的程序與風險評估結合等內容。信息與溝通及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通的過程。監督評價一定時期內內部控制執行質量，并在情況變化下對內控進行適當的修改。

控制活動內部控制制度框架內部控制制度框架第二道防線—風險管理現有風險潛在風險風險識別風險評估可能性重大程度評級與應對風險監察風險評級應對評級風險應對—降低—規避—轉移—保留檢查審計第二道防線—風險管理現有風險風險識別風險評估可能性評風險識別

風險識別是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。風險識別是一項持續性的工作。通過風險識別，將識別出來的各種風險進行整理和歸類，形成公司風險庫。公司至少每年開展一次全面風險識別工作。風險識別風險識別是指查找企業各業務單元、各項重要經識別內部風險應關注的因素-公司治理因素-組織因素-技術因素-經營管理因素識別外部風險應關注的因素-社會因素-經濟因素-政治因素-自然因素識別內部風險應關注的因素風險評估積累歷史損失數據，建立損失數據庫評估內容-風險發生的可能性可能性是風險在指定時間內發生的概率。-影響程度影響程度是當風險發生后，對公司的財務、聲譽、監管和營運等方面的影響程度。風險評估積累歷史損失數據，建立損失數據庫評估對象-固有風險:是在沒有采取任何措施的情況下公司面臨的風險。-剩余風險是在公司采取風險應對和控制后公司所面臨的風險。風險評估頻率-每年至少組織一次風險評估。評估對象風險發生的可能性評分可能性說明5幾乎肯定在未來12個月內，這項風險幾乎肯定會出現至少1次4極可能在未來12個月，這項風險極可能出現1次3可能在未來2至10年內，這項風險可能出現1次2低在未來10至100年內，這項風險可能出現至少1次1極低這項風險出現的可能性極低，估計在100年內出現的可能性少于1次風險發生的可能性評分可能性說明5幾乎肯定在未來12個月內，這評分損失程度說明5災難令企業失去繼續運作的能力(或占稅前利潤達20%)4重大對于企業在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風險對企業造成的影響評分損失程度說明5災難令企業失去繼續運作的能力(或占稅前利潤評分有效性說明5極度過頭處理方法能直接針對該項風險，但相信會令企業業績“倒退”或成本過高4過頭處理方法能直接針對該項風險，但由于需要投入大量資源或/及將其他資源轉到處理該項風險上，會對企業的效率造成影響3適中處理方法有效針對該項風險，同時并不影響企業的效率2低效處理方法針對該項風險的效果不理想，或投入處理該風險的資源不充分或/及對投入的資源未有適當利用1近乎沒有效果處理方法的效果十分低，可能是由于企業根本沒有處理方法，又或處理手法不當風險處理方法的效果評分有效性說明5極度過頭處理方法能直接針對該項風險，但相信會風險評估工具—風險地圖舉例影響程度近乎沒有輕微中等重大災難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–

人力資源風險B–

財務風險C–

競爭風險D–

開發風險E–