企業目標、風險與風險管理培訓主要內容

企業全面風險管理的必要性

企業面臨的主要風險類型企業目標、風險與風險管理的關系普遍接受的風險管理原則風險管理最佳實踐構建企業全面風險管理體系

第二頁，共85頁。一、企業全面風險管理的必要性第三頁，共85頁。案例一：美國安然公司在2002年，安然是美國最大的石油和天然氣企業之一2001年末，安然宣布第三季度實現6.4億美元的虧損，美國證監會對該公司進行調查，發現該公司在1997以來虛報利潤5.8億美元2001年末，安然申請破產保護令，但在之前10個月內，公司卻因股票價格超越預期目標而向董事與高級管理人員發放3.2億美元的紅利第四頁，共85頁。調查發現：安然的董事會與審計委員會均采取不干預的監控政策事件發生以后，部分董事表示不了解安然的財務狀況、期貨及期權的業務（安然事件促使了美國薩班斯法案的出臺）由于股權激勵計劃，安然管理層重視短期業績指標安然管理層常常藐視或違背公司制訂的內部控制制度第五頁，共85頁。案例二：英國巴林銀行巴林銀行在90年代前是英國最大的銀行之一，有超過200年的歷史1992-1994年期間，巴林銀行新加坡分行的總經理里森(NickLesson)，從事日本大阪與新加坡交易所之間的日經指數期貨套期對沖和債券買賣活動1995年1月17日，日本神戶大地震，日經指數大幅下跌，里森認為市場反映過度，市場即將反彈，于是進場連續做多，但到2月底，日經指數持續下跌，其累積虧損超過10億美元，導致巴林銀行于1995年2月破產第六頁，共85頁。調查發現：巴林銀行的高層對里森所從事的業務并不了解，里森從事的“套利”交易并未經過巴林總部的授權巴林缺乏職責劃分的機制，里森身兼雙職，既擔任前臺首席交易員，又負責管理后臺清算，使得里森能將所持頭寸和損失置于一個錯誤帳號“88888”巴林銀行的高層對財務報告不重視，管理層未能與時就1994年資產負債表上顯示的5000萬鎊不明差額采取行動里森所從事的“套利”交易所承受的風險遠遠超過巴林銀行的承受能力高層管理人員和審計委員會對公司內部審計意見缺乏足夠的重視，實際上，公司內部審計意見曾指出，“里森的權力過于集中”第七頁，共85頁。案例三：日本八百伴

在90年代，八百伴是日本最大的百貨公司之一，擁有236億日元資本、42家日本國內骨干店鋪、26家海外超市的連鎖企業90年代，八百伴開始實施全球化戰略，在巴西、新加坡、香港、上海、英國、美國大舉擴張，而擴張的資金來源主要是依靠債務維持。隨著94年美聯儲連續6次提高利率，八百伴財務壓力增加，遂陸續出售店鋪度日1997年9月，八百伴宣布破產，向法院申請“公司更生法”保護，當時八百伴的負債額達1,613億日元，是日本戰后最大的一宗企業破產案第八頁，共85頁。調查發現：八百伴低估經營非核心業務的風險八百伴實行高杠桿運營，低估了業務擴張的風險八百伴低估了開發新興市場的風險與商業銀行關系趨淡，在資金緊張時，得不到主要商業銀行的支持第九頁，共85頁。案例四：齊齊哈爾第二制藥公司假藥事件齊齊哈爾第二制藥公司采購員為貪圖便宜，在從江蘇省中國地質礦業公司泰興化工總廠購入丙二醇時，既沒有索取資質證明，也沒有到廠查看，致使購入假冒丙二醇共計2噸之多，并最終作為輔料用于了“亮菌甲素注射液”的生產，造成多人死亡目前，該公司已被有關部門查封停產，并被吊銷藥品生產許可證，瀕臨倒閉第十頁，共85頁。調查發現：齊齊哈爾制藥公司內部沒有建立嚴格的采購、驗收、檢驗程序，采購、驗收和檢驗環節均存在嚴重問題齊齊哈爾沒有獨立的審計部門確保這些程序得到良好執行第十一頁，共85頁。案例五：江蘇鐵本事件2004年3月，部分媒體曝光江蘇民企鐵本鋼鐵公司違規占用耕地，在沒有通過審批的情況下就上馬大型鋼鐵項目，隨后，國務院九個部委成立專項檢查組，對此事開展調查2004年5月，鐵本公司被查處，與“鐵本事件”有關的八名當地要員就受到了嚴厲的處分，鐵本的老總、有“地方鋼鐵大王”之稱的戴國芳也被拘捕第十二頁，共85頁。調查發現：江蘇鐵本在決策過程中，忽視了外部環境的變化，包括新政府經濟社會發展觀的變化，新政府“以人為本”等執政理念的變化，從而遭受操作風險江蘇鐵本在中央強調加強宏觀調控的情況下，對中央的宏觀調控政策置若罔聞，搞“上有政策，下有對策”，為了使違規項目合法化，將項目“化整為零”，由地方政府越權審批；至于征用農田和環保評審，則根本未向國土資源部和國家環?？偩謭笈`反了國家法律法規；此外，江蘇鐵本還涉嫌偷稅漏稅，從而遭受法律風險第十三頁，共85頁。案例六：中航油事件2001年12月6日，中航油于新加坡交易所掛牌交易年前開始涉足石油衍生品投機交易,最初獲得利潤,但后來轉盈為虧2004年11月，中航油因石油衍生品投機交易總虧損已達5.5億美元，被迫向新加坡法院申請破產保護第十四頁，共85頁。調查發現：中航油投機額度巨大，其承擔的風險遠遠超過公司可承擔水平中航油相關風險管理制度未有效執行中航油高層風險管理能力嚴重欠缺，對公司經營業務所面臨的風險沒有清醒的認識中航油缺乏有效的公司治理結構，一言堂現象嚴重第十五頁，共85頁。更多的風險案例瀛海威，公司治理混亂秦池，央視“標王”引發財務危機愛多，為打敗競爭對手，充當“標王”，結果自己被打敗香港達利行地產，因玫瑰園事件陷入財務危機巨人集團，因巨人大廈陷入財務危機；聲譽損失三株，過度擴張；聲譽損失太陽神，過度擴張陷入財務危機南德，因資金緊張而進行信用證融資，涉嫌欺詐亞細亞，因過度擴張陷入財務危機江西銅業，投資銅期貨巨額虧損德隆集團，過度擴展與資產流動性差導致資金鏈斷裂……第十六頁，共85頁。我們可以吸取什么教訓？熟悉企業本身的業務與相關風險切記：專營核心業務，避免制定不切實際的目標或盲目擴張，使企業承受無謂的風險建立內部控制和相互制衡的機制切記：權力過分集中就會出現腐敗的情況現金為王，防范資金流動性風險常言：“會計數字只是參考意見，現金才真正令你感到踏實?！焙侠碇贫冃гu估與激勵機制“如果你發現精明的員工做出蠢事，你應意識到這可能是因為他們受到公司的績效與激勵機制的誘導而產生的結果。”第十七頁，共85頁。我們可以吸取什么教訓？（續）

建立規范和健全的財務報告系統財務報告系統必須有能力為企業提供與時、準確的財務資料，以幫助管理層管理業務和贏取股東的信心培育企業風險管理文化要建立健康的企業文化及價值觀，企業必須由上而下，身體力行，建立嚴謹的“風險管理政策”，使員工能上行下效訂立風險管理原則和行為規范通過績效管理的方法，鼓勵正確的行為和態度加強培訓和溝通 企業必須建立有效機制，培訓員工的風險管理意識和風險管理文化第十八頁，共85頁。我們可以吸取什么教訓？（續）效益與風險：一個事情的兩個方面不要對“不平常的數據”視而不見非預期盈利和非預期虧損都要予以重視。里森和陳久霖出事前都是公司內部的英雄監督檢查的重要要求下屬企業與時匯報風險固然重要，但確保制度的有效執行的監督檢查機制同樣重要企業全面風險管理的重要性企業面臨的風險因素日益復雜，僅僅合法、合規并不能切實防范風險，還必須加強企業全面風險管理對重大項目，進行嚴謹的風險評估、制定事前的風險控制措施是不可或缺的第十九頁，共85頁。二、企業面臨的主要風險類型第二十頁，共85頁。Nokia風險因素圖第二十一頁，共85頁。安達信企業風險模型TM 競爭者 敏感性 股東關系 資金充足性 金融市場 災難性損失 獨立／政治 法律 行政管理 行業 環境風險信息技術風險使用權完整性 相關性可得到性基礎設施 財務風險貨幣 利率流動性 結算再投資 信用雙邊關系現金轉移或流速改變

道德風險管理欺詐 雇員欺詐非法行為 無授權使用商譽 授權風險領導力 權力限制 表現激勵溝通 營運風險客戶滿意 人力資源產品開發 效率能力 表現差異循環時間 資源商品定價 過失或損失符合性 業務中斷健康和安全 環境產品或服務失敗商標或產品名侵蝕 營運價格 合同投入衡量結盟 完整性和精確性管理報告決策信息風險 財務預算和計劃 完整性和精確性會計信息 財務報告評價稅收 養老基金投資評估 管理報告戰略環境檢視 業務組合價值衡量 組織結構資源分配 計劃生命周期第二十二頁，共85頁。安永企業風險宇宙TM(風險宇宙TM)資信制度知識產權財務流動資產與信貸資本結構市場財務報告營運法律生產程序營商環境市場結構民風與文化管治策略董事會活動交易并購變賣聲譽道德社區責任風險管理董事會與管理層業績組織結構監察與溝通執行籌劃與開發利益有關方供應商政府顧客股東經濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產機器、廠房與土地其他有形資產負債合約法規市場與銷售生產與流通商品/服務開發流程估值與選擇買家評估與甄選盡職調查并購后整合資信管理運營組織與監察硬件軟件網絡無形資產知識管理信息現金管理對沖融資股東資本債務商品利率外匯稅務會計合規第二十三頁，共85頁。企業面臨的十大風險因素數據來源：AONBiennial風險管理調查報告，2001第二十四頁，共85頁。全面認識風險風險：本意是指事件結果的不確定性，從企業管理角度來看是指對實現企業經營目標具有關鍵作用的因素的不確定性一般來說，風險因素可分為三類：有些因素是切切實實的威脅；有些因素只是一種不確定性，如違法、違規，在一些條件下可以為我所用，但運用不好也可帶來威脅，如期貨、期權；有些因素可能是一種機會，其不確定性較小威脅不確定因素機會戰略風險財務/市場風險經營性的/法律法規性的風險第二十五頁，共85頁。企業面臨的風險類型市場風險

利率、匯率、股票指數、商品價格等基本市場因素的不利變動信用風險

交易對手的違約、、交易對手評級的下降、主權風險等流動性風險

資產流動性風險和資金流動性風險合規風險

違反國家法律、行政法規、部門規章和公司對外承諾；招致法律訴訟操作風險

內部控制失效、人為操作失誤、計算機系統故障以及外部事件第二十六頁，共85頁。法律風險定義：企業在經營過程中因違反國家法律、行政法規、部門規章、公司對外承諾或招致法律訴訟從而導致財產損失的風險特點：難以量化；損失較大；可以進行有效的事前控制；直接性法律風險是企業面臨的主要風險之一，依法、合規經營是企業持續經營的前提，應高度重視譬如未經相關部門審批盲目上馬項目（如江蘇鐵本）相關產品不符合國家標準（如齊齊哈爾假藥事件）違反國家金融政策和財政政策（如高息攬存、偷稅漏稅）違反國家法律法規（如反商業賄賂和反洗錢規定）人力資源管理不符合國家規定……第二十七頁，共85頁。操作風險定義：是指企業內部流程失效、人為操作失誤、系統故障或外部因素而令公司產生經濟損失的風險特點：難以量化；突發性強；覆蓋面廣操作風險是企業目前面臨的主要風險之一。與其他風險不同的是，操作風險存在于公司所有部門和所有業務環節，包括業務部門、職能部門和技術支持部門譬如流程風險：指業務流程不完善或業務流程沒有得到良好執行而引致損失的風險，包括：采購、銷售、定價、記錄、確認、出貨/提供服務等環節人為風險：指因員工缺乏知識和能力、缺乏誠信或道德操守而引致損失的風險第二十八頁，共85頁。操作風險（續）系統風險：是指因系統失靈、數據的存取和處理、系統的安全和可用性、系統的非法接入與使用等引致損失的風險；廣義的系統風險還包括公司軟硬件系統、公司文檔、公司機密信息等信息資產管理不當而產生損失的風險關系風險：是指企業與股東、政府部門、商業伙伴、客戶、雇員之間關系惡化從而導致公司損失的風險事件風險：是指因內部或外部欺詐、市場扭曲、人為或自然災害而引致損失的風險，如“9.11”事件業務風險：是指因市場或競爭環境出現預期以外的變化而引致損失的風險，所涉與的問題包括市場策略、客戶管理、產品開發、銷售渠道和定價等領域聲譽風險：是指由于外部媒體的不利報道而使公司面臨損失的可能性第二十九頁，共85頁。市場風險定義：由于利率、匯率、股票指數、商品價格等基本市場因素的不利變動而導致的公司發生損失的可能性特點：風險來源多（利率、匯率、股票指數、商品價格）；可以量化；爆發力強譬如因買賣或投資金融產品而產生的風險原材料與產成品價格不能同步浮動而產生的風險匯率變動導致公司對外投資發生損失的風險國家下調成品藥價格市場競爭加劇導致成品藥價格下調原材料價格上調利率上調導致公司財務負擔加重第三十頁，共85頁。信用風險定義：由于交易對手不能或不愿履行合約而使公司遭受損失的可能性；主權風險和結算風險是信用風險的兩類特殊風險特點：可以量化；潛伏期較長；信息透明度較差譬如對外投資時外國政府或企業違約的風險貸款未能回收應收帳款未能回收（如四川長虹對美國出口）因信貸評級的減值或債務人未能履行付款義務，債券跌價買賣金融市場產品而未能兌現企業因合資、合作、聯盟、外包等經濟活動而產生或暴露的信貸風險交易無效風險第三十一頁，共85頁。流動性風險定義：流動性風險有兩種形式，資產流動性風險和資金流動性風險。前者是指公司不能以合理的價格迅速地賣出或將資產轉手而導致損失的風險；后者是指公司不能履行付款義務或支付保證金的風險特點：危害大，有致命性；可以量化國外統計資料表明：將近4/5的倒閉企業是獲利企業，它們的倒閉并不是由于虧損，而是由于缺乏現金而引起的流動性風險譬如國家金融政策的調整使企業債務負擔加劇引發的流動性風險因交易對手違約而引發的流動性風險資產流動性不足，如德隆二級市場投資（湘火炬、合金投資、新疆屯河），因控盤比例過高，股票流動性不足從而引發危機

聲譽損失引發的流動性，如“3.27”國債期貨事件后投資者對萬國證券的擠兌過度擴張而引發的資金流動性危機……第三十二頁，共85頁。各風險類型之間的關系各類風險可以單獨發生，也可能同時發生齊齊哈爾事件主要包括操作風險、法律風險巴林銀行事件包括操作風險、市場風險不同風險類型之間可以進行轉化信用風險一般與法律風險相伴，交易虧損的一方總是試圖通過法律來證明交易無效信用風險可能引發流動性風險操作風險也可帶來市場風險和信用風險市場風險最終可能引發流動性風險在風險管理過程中同時又醞釀新的風險風險管理過程中蘊涵模型風險（操作風險）第三十三頁，共85頁。三、企業目標、風險與風險管理關系第三十四頁，共85頁。企業目標、風險與風險管理企業目標可以是可量化，可衡量，可以達到的業務目標，也可以公司長遠戰略目標。譬如，1年內公司凈利潤提高30%等所謂風險，廣義地講，是任何可能影響企業實現其目標的事項所謂企業風險管理，是一套由企業董事會與管理層共同設立、與企業戰略相結合的管理流程。它的功能是識別那些會影響企業運作的潛在事件和把相關的風險控制在一個企業可接受的水平，從而幫助企業達至它的目標企業制定目標（或年度預算）時不僅僅包含利潤指標，而且還應包含反映企業風險承受能力的風險限額指標第三十五頁，共85頁。企業為何要建立風險管理風險控制不力的后果競爭失敗經營中斷法律訴訟商業欺詐無益開支資產損失決策失誤第三十六頁，共85頁。股東對企業風險管理最關心的四個問題：企業了解它所面對的主要風險嗎？什么風險正在或將會影響企業的業務？企業所面臨的風險是否已超過公司的承受能力企業的品牌新產品、新市場的開發客戶或供應鏈的管理國家的宏觀經濟政策企業聲譽資本市場投資企業是否已對這些風險采取控制措施企業需要就各業務單位在日常運作中所面對的風險，構建風險管理體系，以確保企業能實現目標和符合各方面的法律、法規第三十七頁，共85頁。股東對企業風險管理最關心的四個問題：（續）企業的風險控制措施有效嗎企業要對其內控系統不間斷地進行監控和測試，以確保其對風險控制的能力哪一些風險控制措施必須改進企業內部和內部環境不停的變化，因此企業所面對的風險和所采取的監控措施也應相應作出改變第三十八頁，共85頁?；貓蟛⒉豢偸窃礁咴胶蔑L險承受度必須以公司承受能力為限（雷曼兄弟與LTCM的歷史淵源）；風險調整回報更能客觀地反映企業或部門的業績；績效評估引導員工行為，因此企業應合理制定激勵機制，平衡風險與收益，將風險管理納入考核范圍；風險回報風險與回報成正比風險風險調整后的回報比較保守高度危險合理范圍第三十九頁，共85頁。舉例:企業目標、風險和風險管理的關系目標風險風險管理

(A)短期目標:

2006年度實現利潤增長10%:-銷售收入增長20%-經營成本降低15%

(B)長期目標:

在未來五年內實現利潤平均每年凈增長10%

-由于不可靠的和不切實際的銷售預測,在進出口業務中造成嚴重囤貨和存貨作廢.

-由于履行不平等的或不利的合同條款而造成嚴重損失(如賠償損失,名譽損害)

-由于未被授權的/給予過多的折扣造成毛利降低或直接虧損

-嚴重的壞帳損失

-有效的編制和控制經營計劃和財務預算

-采取措施增強銷售預測的準確性并且只承擔經過衡量并能接受的風險,比如:獲得可靠的市場信息,將實際情況與預算進行比較等

-在主要的經營領域建立制度和程序(須涵蓋集團總部的制度和程序):銷售,采購,財會,投資等

第四十頁，共85頁。舉例:企業目標,風險和風險管理的關系目標1風險風險管理(續)(A)短期目標:

2006年度實現利潤增長10%:-銷售收入增長20%-經營成本降低15%

(B)長期目標:

在未來五年內實現利潤平均每年凈增長10%

(續)

-由于買進不需要的產品,質量不合格的產品,價格沒有競爭力的產品而造成庫存積壓/存貨作廢/資源浪費/品質不良帶來的信譽損害

-錯誤的投資決定

-不正當的付款-舞弊行為

-外匯風險

-投機行為

(續)

-設置控制程序(包括預防性的和偵察性的)和監控系統,如-銷售合同審閱和批準-折扣的授權和審批-信用控制-采購和付款的權限分配表-采購的申請(合理性),審閱,批準(整個過程需要書面化)-付款核對-常規的投資評價過程(如使用NPV(凈現值)/PaybackMethod(收回方式)-加強內部審計功能

第四十一頁，共85頁。舉例:企業目標,風險和風險管理的關系目標1風險風險管理(續)(A)短期目標:

2006年度實現利潤增長10%:-銷售收入增長20%-經營成本降低15%

(B)長期目標:

在未來五年內實現利潤平均每年凈增長10%

(續)

-由于不適當的賞罰制度,關鍵員工的流失或管理人員能力不足對業務造成的不利影響

-由于不遵守法規造成的罰款/處罰/名譽損害(續)

-在業務單位采取一些防止不正當的付款或舞弊等事件發生的措施,營造一個反對不正當付款行為的環境,如制訂控制程序(預防性的和偵察性的),職業道德規范,簽署利益沖突文件,簽署不進行“不正當付款保證”文件等-外匯兌換管理包括Hedging-防止投機行為的措施-人力資源管理：－建立并貫徹制度和程序－公平而有效的獎罰制度－吸收,教育,培訓及保留優秀員工－建立并貫徹職業經理人在責任，權利,和義務方面的標準－設置公平，客觀和及時的效績考核系統第四十二頁，共85頁。四、普遍接受的風險管理原則第四十三頁，共85頁。四個基調董事會對風險管理負最終責任，風險管理必須由對經營業務負責的有關人員自上而下推動董事會和最高管理層必須認識公司所面臨的各類風險，并確保公司控制機制足以涵蓋所有風險風險管理不僅僅是風險管理部門的責任，公司業務部門、支持和控制部門都需成為全面風險管理機制的一個不可分割的組成部分風險管理的目標和政策必須是公司整體經營戰略的一個關鍵的驅動器，而且必須通過執行程序和控制機制予以實施第四十四頁，共85頁。一個基礎：公司治理結構什么是公司治理公司治理是涉與責任的問題：它關系到董事會及管理層如何向股東負責，如何對公司進行有效的管理，而使股東能從公司的表現中得益公司治理與風險管理的關系完善的公司治理結構是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監控與管理完善的公司治理應建立企業風險管理框架和企業風險管理程序；確定公司的風險承受能力；確保公司風險管理程序得到遵循；貫徹一套重視風險管理的企業文化和價值觀近年多個國家都訂立了公司治理的最佳守則，這些最佳守則均清楚指出董事會及管理層在建立企業風險管理體系的責任，如美國的《紐約證交所最佳治理守則》、英國的《Cadbury/HampelReport》、加拿大的《DeyReport》等第四十五頁，共85頁。IOSCO風險管理框架IOSCO于1998年提出了企業風險管理和控制系統的12要素，該框架已被高盛、美林、摩根等普遍采用IOSCO風險管理12大要素

I.控制環境公司必須建立一套內部會計控制與風險管理控制機制。監管機構必須建立一套管理機制，以確保其所管理的機構擁有內部會計控制及風險管理控制，此一管理機制不需事無巨細地規定控制的方式和步驟，而僅需向公司提供一般性的指導原則公司及監管機構必須確?？刂企w系由公司高級管理階層設立及監督，監督責任必須進行明確的定義第四十六頁，共85頁。IOSCO風險管理框架（續）II.控制范圍公司的指導原則與從主管機關而來的指導原則必須涵蓋內部會計控制及風險管理公司的內部會計控制必須包括各種有關帳簿、紀錄的規定及責任的劃分，以保障公司的資產及客戶的財產的安全公司風險管理及控制應包含對公司整體及交易前臺(TradingDesk)的市場風險、信用風險、法律風險、營運風險及流動性風險的控制III.執行1.高級管理階層傳達給各業務部門(BusinessUnit)有關控制的指導原則，對更小的業務部門，則應盡量具體、詳細2.公司和監管機構應對它們的控制過程形成正式的書面文件第四十七頁，共85頁。IOSCO風險管理框架（續）

IV.確認管理層建立控制系統后，公司與監管機構必須確認該控制系統能按照原來的設計持續高效運作公司必須建立一套機制確?？刂葡到y一經建立，即得到良好執行。確認程序應包含內部稽核及外部稽核。內部稽核應獨立于交易部門和業務部門之外；外部稽核則應由獨立的會計師承擔公司應確?？刂葡到y建立后，能夠隨著新產品及新業務的發展而更新V.報告

1.公司應建立且主管機關應要求證券公司建立一套機制，以便在控制系統發生嚴重不足時，能夠及時向高級管理層和監管機構報告2.公司應隨時準備向監管機構提供有關控制系統的信息，監管機構應建立一套機制，以便公司能彼此分享信息第四十八頁，共85頁。COSO風險管理模型1992年，COSO提出了COSO內控框架，這個內控框架是唯一被美國證監會確認為完整、全面和不偏依的內控框架2003年，適應發展需要，COSO提出了COSO企業風險管理模型，增加了戰略目標，強化了風險評估COSO企業風險管理模型由8因素組成1.控制環境：包括風險管理理念和風險承受能力、誠信和道德價值觀，以與所處的經營環境2.目標設定：確保管理當局采取適當的程序設定目標，確保所設定的目標與它的風險承受能力相符3.事件識別：必須識別影響主體目標實現的內部和外部事項，區分風險和機會第四十九頁，共85頁。COSO風險管理模型（續）4.風險評估：通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據5.風險行動：管理當局采取一系列行動以便把風險控制在風險承受范圍以內6.控制活動：制訂和執行政策與程序以幫助確保風險行動得以有效實施7.信息與溝通：相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通8.監控：對企業風險管理進行全面監控，必要時加以修正第五十頁，共85頁。COSO風險管理模型（續）控制環境風險評估信息和溝通控制活動監控COSO風險管理模型方面需考慮的因素高管層的誠信、道德和行為控制意識和經營風格勝任能力和承擔董事會或審計委員會的監管組織結構、權限和責任人力資源政策和程序風險評估流程對重要事件的預測、識別和反應機制識別會計準則差異、業務操作和內部控制變化的程序提供完整的業績報告與業務策略相聯系持續開發、測試和監控計算機系統和程序計算機業務持續性系統和應急計劃便于職員履行職責而建立的溝通渠道有必要的政策和程序有明確的財務目標，并對其主動監控合理的職責分離預算與實際情況的定期比較對文件、記錄和財產的適當保管對內部控制的定期評估實施改進建議建立內部審計職能以實施監控第五十一頁，共85頁。總結企業所面臨的風險是無法完全避免，但風險是一定能被控制在最小范圍中的企業的風險控制是企業各位員工的共同責任，而并不僅僅是管理層特別是控制部門的責任設立風險管理制度并非是在企業內對權力進行重新分配，風險控制部門應與業務部門進行良好的協調、溝通第五十二頁，共85頁。五、風險管理最佳實踐第五十三頁，共85頁。

風險管理框架演變原始管理式分散管理式集中管理式全面管理式組織規模業務規模小業務規模擴展并具一定復雜度業務組織龐大，業務復雜度提高業務組織龐大，業務復雜度高風險管理方式缺乏風險管理部門與人員風險管理職能由各部門分別負責，無專設部成立專門風險管理部門，集中管理風險成立專門風險管理部門，業務部門參與監控自身風險市場環境市場形態簡單市場環境復雜，面臨多個市場市場多樣化面對全球市場，情況復雜多變風險度量無風險度量以業務為單位進行簡單估算結合系統因素進行風險的整體估算強化風險的精確、綜合度量決策與操作不分離分離，但不徹底分離分離風險管理獨立性不獨立不獨立獨立獨立業務效率無質量保證的高效率相對較高對業務運作效率有一定影響以質量為基礎的高效率第五十四頁，共85頁。最佳實踐：美林證券風險管理組織框架風險控制委員會風險管理部股東大會董事會市場風險部信用風險部數量分析小組分析報告與技術小組風險管理員小組美國國內地區1地區2地區n風險管理的最高管理機構；制定和完善公司的風險控制程序，設定各部門風險限額，評估和監控各部門的風險風險控制委員會的常設機構；在設定公司風險管理政策和風險限額方面具有建議權，并且在交易決策中擁有否決權；對公司持倉狀況進行計量、跟蹤、調查；監控、計量市場風險及流動性風險；計算不同交易的盈虧狀況；監控交易對手、債券發行人、產品、國家及行業的信用狀況，設定信用風險限額，管理信用暴露；對公司各類風險狀況進行評估；建立計量及風險評估模型；按地理分布和產品類別進行組織；對每一個交易單位進行風險評估，設定最高限額；設定交易權限；負責生成各類報告；產業1產業n……第五十五頁，共85頁。最佳實踐：美林證券風險管理理念管理風險比識別和計量風險更有意義金融產品的風險不在于產品本身，而在于對產品如何進行管理風險管理需要全員參與，全程管理，并進行與時溝通風險管理本質上是人員的積極管理，而不是某種風險的被動度量風險管理最重要的手段是經驗、判斷及持續溝通在全公司范圍內必須持續不斷地培養員工的風險意識，著重強調警惕性和紀律性第五十六頁，共85頁。最佳實踐：美林證券風險管理原則對于涉與資金的業務，管理層必須制定簡潔、明了的規定風險管理政策和程序必須清晰、有效表達，并確保得到充分理解管理人員必須考慮各種可能發生的情況，深入研究各種潛在的問題風險管理報告必須準確及時傳遞風險管理過程具有彈性，允許根據環境的變化進行相應改變風險管理的目的是使發生不可預期損失的可能性降低到最低限度第五十七頁，共85頁。最佳實踐：高盛風險管理組織框架管理委員會股東大會董事會公司風險委員會資本委員會創新產品評審委員會公司風險委員會負責評估公司所有業務，審批創新業務和創新產品，評估和設定各部門風險限額；各部門風險委員會在公司總體VaR下，制定本部門風險限額；創新產品評審委員會負責審批公司各項創新產品，評估創新產品與創新業務所蘊涵的風險，設定控制程序；資本委員會負責評估和審批與公司資本相關的商業活動，包括債券承銷、大宗交易等；資本委員會的職責是確保公司業務和聲譽保持在一流水平；財務委員會操作風險委員會各部門風險委員會操作風險委員會負責研究、開發、提供與操作風險相關的管理政策、管理框架和分析模型，監督操作風險管理流程的有效性財務委員會負責制定公司資產流動性政策和科學合理的庫存頭寸限額，評估公司資金頭寸和資本化率，評估公司現金流量和風險敞口管理委員會是風險管理框架中最高執行機構所有風險控制的信息最終均報告至管理委員會管理委員會通過直接授權或委托授權，審批公司所有經營活動、風險政策等第五十八頁，共85頁。最佳實踐：摩根斯坦利風險管理組織框架股東大會風險控制團隊（ControlGroups）由來自各業務部門、職能部門的專家組成，獨立于公司其他業務部門它們協助公司高管層和風險管理委員會評估、監控公司的風險組合，負責測算、匯總公司各業務領域的風險狀況，直接向公司高管層和風險管理委員會進行風險報告風險管理委員會董事會內部審計部門證券風險委員會各業務風險委員會審計委員會其附屬執行委員會其附屬執行委員會風險控制團隊（市場風險專家、信用風險專家、財務專家、法律專家）風險管理委員會由公司部門高級管理人員組成；負責制定整個公司的風險管理政策、評估風險管理政策業績；負責向下屬風險委員會授權；內部審計部門通過對業務經營方面的考察，對公司的經營和控制環境進行評價，向公司高管層和審計委員會履行風險報告職能；證券風險委員會及其他業務風險委員會隸屬于公司風險管理委員會，接受風險管理委員會的授權；它們在其下設的附屬委員會幫助下，評估公司風險政策和風險管理流程的有效性，監控與其業務相關的風險狀況，履行風險報告職能；第五十九頁，共85頁。六、構建企業全面風險管理體系第六十頁，共85頁。構建企業全面風險管理的關鍵成功要素股東確立對企業監督的機制，考慮是否需要在集團層面引入以董事會領導的管理體制聘任有經驗的外部董事，來加強對企業的監督要求企業建立風險管理和內控系統，并對其運作與有效性作出定期的匯報管理高層的支持和全面參與確立方向和目標營造必要的環境為平衡風險與回報作出戰略性的決定第六十一頁，共85頁。構建企業全面風險管理的關鍵成功要素（續）建立風險管理文化風險管理的手段，必須融入日常的管理流程通過討論和培訓，使風險管理的實施得到“全民”的支持通過經驗的分享，不斷加強風險管理的認同性采用先進的風險管理的實施方法借鑒如IOSCO和COSO的風險管理框架采用各種識別和度量風險的先進的方法，如VaR、CaR、情景分析法、壓力測試法等采用標準的模板和程序確認風險、評估風險、建立記錄和文檔、參考國際最佳實務，構建信息管理系統和預警系統第六十二頁，共85頁。

企業全面風險管理體系的構成風險管理是一個由風險識別、風險評估、風險管理構成的循環過程

風險管理政策（明確風險管理戰略和策略）健全的現代企業風險管理組織體系規范的風險管理流程完整的風險管理手冊高效的風險計量與預警系統有效的風險決策與執行機制高效的風險管理信息系統持續優化監控與報告風險識別風險評估風險控制確定目標目標人員流程系統第六十三頁，共85頁。企業風險管理政策風險管理政策是公司關于風險管理的基本綱領，它確定公司的風險偏好。風險管理政策由風險管理部門協助風險管理委員會制訂，并經公司董事會審批風險政策應包括明確企業風險管理組織架構業務部門、控制部門的風險管理職責各業務部門的風險限額和風險/收益期望公司風險管理現狀與風險管理目標的差異性分析實現風險管理目標的商業計劃公司相關政策（商業計劃，年度預算）與風險預算的一致性公司的風險偏好應用關鍵風險指標的目標值和波動率表示：如經濟資本、風險收益、VaR等第六十四頁，共85頁。企業風險管理目標確保將風險控制在與總體目標相適應并可承受的范圍內確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告確保遵守有關法律法規確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失第六十五頁，共85頁。企業風險管理組織框架國資委于6月6日發布《中央企業全面風險管理指引》，提出了風險管理組織框架。該框架分為三條防線各有關職能部門和業務單位為第一道防線風險管理職能部門和董事會下設的風險管理委員會為第二道防線內部審計部門和董事會下設的審計委員會為第三道防線風險管理內部審計業務部門第六十六頁，共85頁。董事會風險管理職責審議并向股東（大）會提交企業全面風險管理年度工作報告確定企業風險管理總體目標、風險偏好、風險承受度，批準風險管理策略和重大風險管理解決方案了解和掌握企業面臨的各項重大風險與其風險管理現狀，做出有效控制風險的決策批準重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制批準重大決策的風險評估報告批準內部審計部門提交的風險管理監督評價審計報告批準風險管理組織機構設置及其職責方案批準風險管理措施，糾正和處理任何組織或個人超越風險管理制度做出的風險性決定的行為督導企業風險管理文化的培育全面風險管理其他重大事項第六十七頁，共85頁。風險管理委員會風險管理職責提交全面風險管理年度報告審議風險管理策略和重大風險管理解決方案審議重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制，以與重大決策的風險評估報告審議內部審計部門提交的風險管理監督評價審計綜合報告審議風險管理組織機構設置及其職責方案辦理董事會授權的有關全面風險管理的其他事項第六十八頁，共85頁。風險管理職能部門風險管理職責研究提出全面風險管理工作報告研究提出跨職能部門的重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制研究提出跨職能部門的重大決策風險評估報告研究提出風險管理策略和跨職能部門的重大風險管理解決方案，并負責該方案的組織實施和對該風險的日常監控負責對全面風險管理有效性評估，研究提出全面風險管理的改進方案負責組織建立風險管理信息系統負責組織協調全面風險管理日常工作負責指導、監督有關職能部門、各業務單位以與全資、控股子企業開展全面風險管理工作辦理風險管理其他有關工作第六十九頁，共85頁。內部審計部門風險管理職責負責研究提出全面風險管理監督評價體系制定監督評價相關制度開展監督與評價，出具監督評價審計報告第七十頁，共85頁。業務部門風險管理職責執行風險管理基本流程研究提出本職能部門或業務單位重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制研究提出本職能部門或業務單位的重大決策風險評估報告做好本職能部門或業務單位建立風險管理信息系統的工作做好培育風險管理文化的有關工作建立健全本職能部門或業務單位的風險管理內部控制子系統辦理風險管理其他有關工作第七十一頁，共85頁。推薦框架風險管理委員會股東大會董事會內部審計部門行業1風險委員會行業2風險委員會審計委員會風險控制團隊（市場風險專家、信用風險專家、財務專家、法律專家）行業3風險委員會第七十二頁，共85頁。風險管理部門與稽核審計部門關系風險管理委員會由董事會正式授權監管風險性活動，并須確保行政總裁的風險責任作迠當履行主要職責包括制訂符合銀行風險容忍度的風險管理策略，批準風險管理政策與程序審計委員會會由董事會正式授權對財務報告和內控框架的效率和成效進行獨立評核

審閱財務報告/資料以確保法律法規得到遵守風險管理部門專注于審查市場風險，信用風險和流動性風險，以確保有適當的風險評核機制，而且風險管理政策和程序都能得到遵守.(例如:權限結構，風險評定方法和變量單位等)內部審計部門則專注監察營運政策及程序的遵守情況.(例如:需要批準的有關步驟/程序是否得到遵守，必需的資料收集是否齊備，交易審查是否及時等)風險管理部門風險管理執委會的全職執行機構，通過對逐單交易及風險組合資料的審查及預先/事后批準來確保風險管理政策和程序，得到遵守

通過風險管理經理在營運單位的日常工作以及風險管理總監等參予行政管理執委會并對重大事故向行政總裁作出匯報等渠道建立與管理部門(行政總裁/行政管理執委會/營運單位)的匯報機制內部審計部門審計執委會的全職執行機構，通過周期/臨時審查營運單位和支持單位的具體運作來監察它們對營運的政策及程序的遵守情況

通過與業務部門保持緊密聯系，了解確保風險管理政策及程序得以遵守的具體運作過程和相關文件，以便設計適當的審計步驟和執行方法

與風險管理總監討論分析不遵守風險政策的事件及其產生的風險影響，必要的糾正措施等第七十三頁，共85頁。企業風險管理流程風險評估定性

-操作風險

-合規風險

定量

-市場風險

-信用風險

-流動性風險風險監測實時監控各部門風險管理報告各部門報送信息會議紀要媒體同業信息……風險識別風險矩陣風險控制風險緩釋風險承擔風險規避風險分散……風險報告匯報路徑行動建議執行情況跟蹤返回檢驗第七十四頁，共85頁。風險識別風險識別是企業將所面臨的各種不確定因素一一鑒別出來的過程企業只有對自身所面臨的風險有清晰的認識，才可能進行有效的風險管理風險識別需要對企業自身的經營狀況、所處行業情況、其所出法律、政治、文化環境有更深入的了解，同時要有明確的企業戰略，