第三章　企业风险管理架构.ppt

第三章企业风险管理架构,第一节风险管理的目标和职责第二节风险管理的组织第三节实施风险管理框架的关键要素,第一节风险管理的目标和职责,风险管理的目标设定是风险事件识别、风险评估和设定风险对策的基础。管理层必须首先设定目标，之后才能识别风险和采取措施进行风险规避。,一、风险管理的目标,风险管理的目标,一、风险管理的目标,（一）风险管理的一般目标（二）企业风险管理的总体目标（三）ERM的目标,（一）风险管理的一般目标,1.损前目标,损前目标是指风险事故损失前的目标，是指选择最经济、最合理的方法，减少或避免风险事故的发生，使风险发生的可能性和严重性降低到最低程度，并尽可能地降低风险对经济和社会的消极影响。损前目标具体有：经济合理目标；安全系数目标；社会责任目标,经济合理目标是：选择风险管理成本最小化、收益最大化的方法来对付风险。P17,2.损后目标,损后目标是：风险事故发生后，消除引发事故的风险因素，减少风险事故造成的经济损失。损后目标具体有：（1）维持生存目标；（2）保持经营连续性目标；（3）稳定收益目标；（4）履行社会责任目标,社会责任目标,企业社会责任（Corporate social responsibility，简称CSR），是指企业在其商业运作里对其利害关系人应付的责任。利害关系人是指所有可以影响、或会被企业的决策和行动所影响的个体或群体，包括：员工、顾客、供应商、社区团体、母公司或附属公司、合作伙伴、投资者和股东。,企业的利害关系人,企业社会责任的内容（示例）,1.对股东：证券价格的上升；股息的分配（数量和时间）。2.职工或工会：相当的收入水平；工作的稳定性；良好的工作环境；提升的机会。3.对政府：对政府号召和政策的支持；遵守法律和规定。4.对供应商：保证付款的时间。5.对债权人：对合同条款的遵守；保持值得信赖的程度。,企业社会责任的内容（示例）续,6.对消费者/代理商：保证商品的价值（产品价格与质量、性能和服务的关系）；产品或服务的方便程度。7.对所处的社区：对环境保护的贡献；对社会发展的贡献（税收、捐献、直接参加）；对解决社会问题的贡献。8.对贸易和行业协会：参加活动的次数；对各种活动的支持（经济上的）。9.对竞争者：公平的竞争；增长速度；在产品、技术和服务上的创新。10.对特殊利益集团：提供平等的就业机会；对城市建设的支持；对残疾人、儿童和妇女组织的贡献。,但是，在战略决策的过程中，各个与企业利害相关的团体的利益总是相互矛盾的，不可能有一个能使每一方都满意的战略。因此，一个高层管理者应该知道那些团体的利益是要特别重视的。美国管理协会（AMA）对6000位经理的调查结果：,各种利益相关团体对企业的重要性,2010年企业社会责任调查报告,消费者驱动的企业社会责任在中国萌芽第四次企业社会责任调查(作者:凯特艾弗斯 乔舒华 时 怡 时间:2010年03月12日 来源:财富中文网),在推动企业加快承担社会责任方面，消费者力量越来越大。就像耐克公司（Nike）首席执行官马克帕克（Mark Parker）所说：“消费者从未像今天这样掌握如此强大的力量能否与消费者建立联系，是今天的企业最重要的竞争优势。”,认同“企业社会责任”的领导者认为，环保是最重要的责任,最重要的六项责任环境保护和节约资源高质量的产品和服务关心员工的健康遵守商业道德工作场所安全保护所有股东的权利,企业相信“社会与环境责任是与企业绩效相关的”,（二）企业风险管理的总体目标,为了指导中央企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，国务院国有资产监督管理委员会于二六年六月六日印发了中央企业全面风险管理指引。,（二）企业风险管理的总体目标,确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；确保遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。,内部控制的目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略企业内部控制基本规范,（二）企业风险管理的总体目标（续）,企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。,（三）ERM的目标,在主体既定的使命或愿景（vision）范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。战略（strategic）目标高层次目标，与使命相关联并支撑其使命；经营（operations）目标有效和高效率地利用其资源；报告（reporting）目标报告的可靠性；合规（compliance）目标符合适用的法律和法规。,战略目标,战略目标是企业在实现使命过程中所追求的结果，是对企业使命的进一步具体化。,企业使命,企业使命是企业在社会经济中的整体发展方向所担当的角色和责任，也是企业的根本任务或其存在理由。说明企业的经营领域、经营思想，为企业目标的确立与战略的制定提供依据。在制定战略之前，必须先确定企业使命。,企业的使命（示例）,上世纪20年代，美国电话电报公司AT&T的创始人提出“要让美国的每个家庭和每间办公室都安上电话”。80年代，比尔盖茨如法炮制：“让美国的每个家庭和每间办公室桌上都有一台PC”。今天AT&T和微软都基本实现了他们的使命。,企业的使命（示例）,麦当劳：控制全球食品服务业 柯达：只要是图片都是我们的业务 索尼公司：为包括我们的股东、顾客、员工，乃至商业伙伴在内的所有人提供创造和实现他们美好梦想的机会Dream In Sony 通用电器：以科技及创新改善生活品质；在对顾客、员工、社会与股东的责任之间求取互相依赖的平衡,企业的使命（示例）,微软公司：计算机进入家庭，放在每一张桌子上，使用微软的软件福特公司：汽车要进入家庭；中国移动通信：创无限通信世界，做信息社会栋梁上海家化公司：奉献优质产品，帮助人们实现清洁，美丽，优雅的生活 波士顿咨询公司：协助客户创造并保持竞争优势，以提高客户的业绩,战略目标,战略目标是企业制定战略的基本依据和出发点，是战略实施的指导方针和战略控制的评价标准。,确定战略目标时遵循SMART原则：,S（Specific，目标要具体）M（Measurable，目标可以量化）A（Attainable，目标要可以达到）R（Relevant，目标与使命一致）T（Time-Based，目标要有完成期限）,例 题,某公司董事会召开会议，对研究开发部提出了目标要求：研究开发部经过努力必须在一定时期内为公司各关键市场推出具有较高市场份额的产品。对于这一要求，你认为下列评价中哪种更有道理？A.时间不明确，在实践中缺乏操作标准B.关键市场的提法不具体，很难界定范围C.较高市场份额的标准不清楚，要详细说明D.应综合考虑上述意见所反映的问题,【答案】D,系统的风险管理组织结构明确的风险管理职责清晰的风险报告线路,风险管理是贯穿于企业的各个层面和各项管理工作中，风险管理既是一项具有专业理论、专门工具和特定职责的管理活动，也是对现有管理功能的强化：,参见指引第七章,二、风险管理职能,第二节风险管理的组织,全面、有效的风险管理是现代企业获得成功的一个重要因素。而要对风险进行全面有效的管理，就必须有与之相适应的组织架构作为保障。,国内外风险管理实务简单比较,风险管理的组织,一、风险管理组织的定义二、风险管理组织的一般形态（一）各组织单元在风险管理中的职责（二）大通银行风险管理组织结构（三）高盛的风险管理组织结构三、风险管理组织机构形态的决定因素,广义：风险管理组织是指风险主体为实现风险管理目标而设置的内部管理层次和管理机构，主要包括有关风险管理的组织结构、组织活动和相关的规章制度。狭义：风险管理组织主要是指实现风险管理目标的组织结构。,一、风险管理组织的定义,中央企业全面风险管理指引认为，企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。企业应建立健全规范的公司法人治理结构，股东（大）会（对于国有独资公司或国有独资企业，即指国资委，下同）、董事会、监事会、经理层依法履行职责，形成高效运转、有效制衡的监督约束机制。,国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。企业应通过法定程序，指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。,一般地说，企业的风险管理由CEO全面负责，但整个企业范围的风险管理要求企业内部各方面必须相互协调，风险管理需要企业内部各级管理人员的广泛参与。因此，从CEO到普通员工，都应把风险管理作为自己的一项职责。企业内部的每个人，不仅应清楚本部门以及本岗位所面临的风险和职责，还要了解其他部门和岗位所面临的风险和职责。,企业风险管理组织体系/框架,一个基础：公司治理结构三道防线,一个基础：公司治理结构,什么是公司治理？公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益,公司治理与风险管理有什么关系？,公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/Hampel Report、The Combined Code加拿大：Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任,如何构建一个有利风险管理的公司治理结构？,建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观,第一道防线：业务单位防线,业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线,如何建立第一道防线了解企业战略目标及可能影响企业达标的风险识别风险类别对相关风险作出评估决定转移、避免或减低风险的策略设计及实施风险策略的相关内部控制,第二道防线：风险管理单位防线,第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金,“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”,美国内部审计师协会,第三道防线：内审单位防线,第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：,内部审计的三大功能,财务监督财务账的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子：企业对某业务单位或某部门执行效益审计(一个输入与产出的关系),咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子：兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略。,内部审计的三大功能,二、各组织单元在风险管理中的职责,风险管理组织的一般形态,（一）董事会的职责,董事会就全面风险管理工作的有效性对股东（大）会负责。1.审议并向股东（大）会提交企业全面风险管理年度工作报告；2.确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；3.了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；4.批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；,风险应对策略解决“公司如何管理风险”的问题阐述针对各类重大风险的应对策略：风险承担、风险规避、风险转移、风险转换风险对策的确定基于风险评估和诊断的结果要根据风险与收益相平衡的原则以及风险的重要程度确定风险管理的优选顺序,风险偏好解决“公司愿意承担什么风险”的问题描述公司对待风险的基本态度和看法风险偏好的确定基于公司的使命、愿景,风险承受度解决“公司能够承担多大风险”的问题描述公司能够承担的风险的限度风险承受度的确定可借助于模型的构建和公司基础数据的积累（历史经验）,政策风险,市场风险,业务模式风险,合同管理风险,信用风险,现金流风险,客户风险,积极利用,适度承担,坚决避免,风险厌恶,风险喜好,合规风险,风险偏好,示例,风险承受度,示 例,风险偏好与风险承受度的关系,风险偏好就是公司愿意承担的风险。风险承受度是指公司有能力承揽的风险，它是许多变量的函数。这些变量包括人员、流程、用来测量、监控及管理风险的技术、公司运营的环境，以及资金、负债能力、收入/现金流对财务及其因素的敏感性。风险偏好必须总是低于风险承受度，否则公司就将陷于重大财务困难的风险泥潭中。,首先考虑在战略上规避风险；平衡风险管理收益与成本，对各类风险选择风险规避、风险抑制、风险转移或风险接受等手段；设立风险准备金，并重新对产品和服务进行定价。,风险应对策略,产业结构调整组织变革兼并购活动分包或转包结盟,示 例,风险管理解决方案,参见指引第五章,董事会的职责(续),5.批准重大决策的风险评估报告；6.批准内部审计部门提交的风险管理监督评价审计报告；7.批准风险管理组织机构设置及其职责方案；8.批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；9.督导企业风险管理文化的培育；10.全面风险管理其他重大事项。,（二）风险管理委员会的职责,风险管理委员会对董事会负责。1.提交全面风险管理年度报告；2.审议风险管理策略和重大风险管理解决方案；3.审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；4.审议内部审计部门提交的风险管理监督评价审计综合报告；5.审议风险管理组织机构设置及其职责方案；6.办理董事会授权的有关全面风险管理的其他事项。,（三）CEO的职责,企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。,（四）CRO的职责,1、研究提出全面风险管理工作报告；2、研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；3、研究提出跨职能部门的重大决策风险评估报告；4、研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；,（四）CRO的职责（续）,5、负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；6、负责组织建立风险管理信息系统；7、负责组织协调全面风险管理日常工作；8、负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；9、办理风险管理其他有关工作。,（五）内部审计部门的职责,内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。,(六)企业其他职能部门的职责,企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。1.执行风险管理基本流程；2.研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；,（六）企业其他职能部门的职责（续）,3.研究提出本职能部门或业务单位的重大决策风险评估报告；4.做好本职能部门或业务单位建立风险管理信息系统的工作；5.做好培育风险管理文化的有关工作；6.建立健全本职能部门或业务单位的风险管理内部控制子系统；7.办理风险管理其他有关工作。,风险管理组织体系各组成部分及其职责（汇总）,（二）大通银行风险管理组织结构,美国大通曼哈顿银行(Chase Manhattan Bank)摩根大通公司(JP Morgan Chase&Co),（三）高盛的风险管理组织结构,高盛的风险管理架构,高盛的风险管理架构,三、风险管理组织机构形态的决定因素,1、风险的严重性及复杂程度2、风险主体的规模3、风险主体管理层的态度4、政策与法令,第三节 实施风险管理的关键要素,如何成功地实施企业风险管理框架,1.股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报,2.管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定,风险,调整风险后的回报,3.建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4.采用先进的风险管理的实施方法借鉴美国 的COSO内控框架、风险管理框架等采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统,风险管理的基本流程,一、风险识别,风险识别是风险管理的第一步，是指风险主体对所面临的风险以及潜在风险加以判断、归类和鉴定性质的过程。风险识别实际上就是收集有关风险因素、风险事故和损失暴露等方面的信息，发现导致潜在损失和损失的因素。风险识别是风险衡量的前提，是风险管理主体有针对性处理风险的基础。,二、风险衡量,风险衡量是指在风险识别的基础上，通过对所搜集的大量的、过去的详细损失资料加以分析，运用概率论和数理统计，估计和预测风险发生的概率和损失幅度，并据此确定风险的高低或可能造成损失的大小。,三、风险评价,风险评价是指在风险衡量的基础上，对引发风险事故的风险因素进行综合评价，以确定合适的风险管理技术。其目的是为选择恰当的处理风险的方法提供依据。,四、选择风险管理技术,风险管理技术的选择是指选择适当的处理风险的方案（如风险规避、损失控制、风险自留和风险转移等）。选择的原则是选择所付费用最小、获得收益最大的风险管理方法。,风险经理选择风险管理技术的原则,五、执行风险管理决策执行风险管理决策是风险管理理论与实践相结合的重要步骤。针对不同的风险可以采取不同的处理方法。六、风险管理效果评价对风险管理决策的执行情况进行检查和评价。1、风险管理过程是动态的；2、风险管理决策的正误，需要通过检查和评价来确定；3、风险管理的评价标准会不适应风险管理实务的需要，需要根据风险管理的实际进行修改。,视频链接,财经朗闲评 风险管理：企业的刹车剂 http:/,