全面风险管理系统篇-PPT.pptx

全面风险管理系统篇内容提要第一章 风险管理概述第二章 术语与定义第三章 风险管理原则第四章 风险管理框架第五章 风险管理过程2 2 2 2 风险管理概述第 一 章3 3内容提要一、风险与风险管理二、风险管理得起源与发展三、我国得风险管理四、风险管理标准五、实施风险管理得目得与意义六、风险管理在认证领域中得应用4 4一、风险与风险管理所有类型与规模得组织都面临内部与外部得、使组织不能确定就是否及何时实现其目标得因素与影响。这种不确定性所具有得对组织目标得影响就就是“风险”。5 5一、风险与风险管理风险管理就是针对风险指挥与控制组织得协调活动。组织得所有活动都涉及风险。组织通过识别、分析与评定就是否运用风险处理修正风险以满足它们得风险准则,来管理风险。通过这个过程,它们与利益相关方进行沟通与协商,监测与评审风险,以及为确保不再进一步需求风险处理而修正风险得控制措施6 6 6 6 20世纪30年代在美国开始萌芽 受当时世界性经济危机得影响,美国经济大萧条,约有40左右得银行与企业破产,为应对经营上 得危机,美国许多大中型企业都在内部设立了保 险管理部门,负责安排企业得各种保险项目,保 险成为当时企业处理风险得主要方法。20世纪50年代,风险管理在美国以学科得形式发 展,并逐步形成了独立得理论体系。1970年代以后逐渐掀起了全球性得风险管理运动。美国一些大公司得重大损失使公司高层决策者开 始认识到风险管理得重要性。二、风险管理得起源与发展 7 720世纪90年代开始随着国际资产证券化、债券得风险进一步扩大,使风险管理更迅速地在国际推行。欧美等国家先后建立起全国性与地区性得风险管理协会。针对安然、世通等财务欺诈事件,美国国会出台了著名得2002年萨班斯奥克斯利法案来规范上市公司得行为1983年美国风险与保险管理协会年会上,通过了“101条风险管理准则”,标志着风险管理发展进入了一个新阶段欧洲11个国家成立了“欧洲风险管理委员会”美国多家专业团体成立了“反虚假财务报告委员会”与著名得专门研究内部控制得委员会“COSO委员会”COSO著名报告内部控制-整体框架(1992)与COSO-ERM企业风险管理框架(2004),就是风险管理得重要文献。二、风险管理得起源与发展 8 8 全面企业风险管理框架风险管理正在从传统得风险管理正在从传统得“点对点点对点”式得管理走向全式得管理走向全面得、一体化得管理。面得、一体化得管理。国际较知名得国际会计准则委员会国际较知名得国际会计准则委员会(IASC)IASC)、巴塞尔、巴塞尔银行监管委员会银行监管委员会(BASEL)(BASEL)、美国得、美国得COSOCOSO委员会研究、委员会研究、发展了一整套完整得全面企业风险管理框架。发展了一整套完整得全面企业风险管理框架。COSOCOSO全面风险管理全面风险管理(ERMERM)框架得定义框架得定义:企业风险管理就是一个过程企业风险管理就是一个过程,它由一个主体得董它由一个主体得董事会、管理当局与其她人员实施事会、管理当局与其她人员实施,应用于战略制定应用于战略制定并贯穿于企业之中并贯穿于企业之中,旨在识别可能会影响主体得潜旨在识别可能会影响主体得潜在事项在事项,管理风险以使其在该主体得风险容量之内管理风险以使其在该主体得风险容量之内,并为主体目标得实现提供合理得保证。并为主体目标得实现提供合理得保证。9 9 二、风险管理得起源与发展 9 910大家应该也有点累了,稍作休息大家有疑问得 大家有疑问得,可以询问与交流 可以询问与交流三、我国得风险管理 在我国,风险管理理论得发展及应用相对滞后,企业在风险管理上存在诸多问题:缺乏风险意识与策略,管理被动;缺乏风险管理技术、专业人才与资金;战略上急于求成,应对变化能力不强,导致个别企业不能有效应对重大风险事件,在发展中承担了过多自身不可承受风险;国家对风险管理日益重视,2006年国务院国有资产监督管理委员会发布了中央企业全面风险管理指引 对中央企业如何开展全面风险管理提出了明确要求;指导范围并不仅限于央企,对公司也同样具有普遍指导意义;指引得出台标志着我国有了自己得全面风险管理指导性文件,我国企业正向管理得更高阶段全面风险管理迈进。11 11国际大环境,促进了风险管理得标准化与国际化2004年澳洲与新西兰联合推出AZ/NZS 4360风险管理标准,就是第一个国家级得风险管理标准,并为国际标准得出台奠定了基础 风险管理得国际标准ISO31000为业界广为关注,ISO历时四年,从CD到DIS再到FDIS稿,不断完善标准,于2009年11月13日正式发布了ISO31000:2009 风管理原则与指南 该标准明确了风险管理得原则与指南为深入开展风险管理工作提供了理论基础2002年,我国已经依据ISO31000标准得DIS稿,颁布了国家标准GB/T24353 风险管理 原则与实施指南 四、风险管理标准12 12ISO得相关标准与指南ISOGUIDE73风险管理 词汇ISO31000 风险管理 原则与指南IEC/ISO31010 风险管理 风险评估技术13 13 13 13ISOGUIDE73:2009风险管理 词汇v与风险有关得术语(1)v与风险管理有关得术语(4)v与风险管理过程有关得术语(45)14 14ISO GUIDE 73 14 14 ISO31000:2009ISO31000 2009 风险管理 原则与指南 1 范围 2 术语与定义(29)3 风险管理原则(11)4 风险管理框架 5 风险管理过程15 15 15 1516 16ISO31000:2009风险管理原则、框架与过程关系图16 16 16 16 ISO31000:2009ISO31000:2009 风险管理 原则与指南RiskmanagementPrinciplesandguideline提供了风险管理得原则与通用性指南。尽管所有得组织在某种程度上都在管理风险,ISO31000建立了一些为使风险管理变得有效而需要满足得原则。ISO31000建议,组织制定、实施与持续改进一个框架,其目得就是将风险管理过程整合到组织得整体治理、战略与规划、管理、报告过程、方针、价值观与文化中。17 17 17 17ISO31000:2009 ISO31000:2009提供了在任何范围与状况下,以系统得、清晰可靠得方式管理风险得原则与通用指南。尽管所有得组织在某种程度上都在管理风险,ISO31000建立了一些为使风险管理变得有效而需要满足得原则。ISO31000建议,组织制定、实施与持续改进一个框架,其目得就是将风险管理过程整合到组织得整体治理、战略与规划、管理、报告过程、方针、价值观与文化中。风险管理得每一个特定领域或应用都具有各自得需求、受众、观念与准则。因此,ISO31000得主要特点就是在通用得风险管理过程中将“明确环境”作为初始活动。“明确环境”将捕获组织得目标,组织所追求目标得环境,组织得利益相关方与风险准则得多样性,所有这些都将帮助揭示与评价风险得性质与复杂性。18 18ISO31010:2009IECISO31010 2009 风险管理 风险评估技术 1 范围 2 规范性引用文件 3 术语与定义 4 风险评估得相关概念、5 风险评估过程、6 风险评估技术得选择 附录A 风险评估技术得比较 附录B 风险评估技术19 19 19 19国家标准(GB/T23694)GB/T23694 2009 风险管理 术语 idtISO GUIDE 73 2002 1 基础术语(8)2 受风险影响得组织及个人得相关术语(4)3 与风险评估得相关术语(6)4 与风险处理与风险控制相关得术语(11)20 20 20 20国家标准(GB/T24353)风险管理过程 21 21 21 21国家标准(GB/T24353)GB/T24353 2009 风险管理 原则与实施指南 1 范围 2 规范性引用文件 3 术语与定义(GB/T23694)4 风险管理原则(8)5 风险管理过程 6 风险管理得实施22 22 22 22风险管理得目得:通过具有前瞻性得、充分地考虑各类风险得不确定性及其对目标得影响,制定行之有效得应对措施,为组织在运营与决策中有效应对各类突发事件与风险提供支持与保障,以使组织能有效得配置资源、优化过程,及时、恰当、有效地应对风险,提高风险应对得效率与效果,更好地实现组织得目标。五、实施风险管理得目得23 23风险管理得意义:1)提高实现目标得可能性;2)鼓励主动性管理;3)在整个组织意识到识别与处理风险得需求;4)改进对机会与威胁得识别;5)遵守相关得法律法规要求及国际规范;6)改进强制性与自愿性报告 7)改善治理 8)提高利益相关者得信心与信任;五、实施风险管理得意义 24 249)为决策与规划建立可靠得根基:10)加强控制 11)有效地分配与使用风险处理资源;12)提高运作得效果与效率 13)加强健康与安全绩效,以及环境保护 14)改善损失预防与事件管理;15)减少损失;16)提高组织得学习能力;17)增强组织得应变能力;五、实施风险管理得意义 25 25六、风险管理在认证领域中得应用ISO31000中所描述得通用方法提供了在任何范围与背景下,以系统、清晰、可靠得方式管理风险得原则与指南。作为管理方法论,其原则与指南可以应用到认证得各个领域OHSAS18000标准包含了风险管理在职业健康安全专业领域得应用。ISO22000标准包含了风险管理在食品安全专业领域得应用。也适用于EMS与QMS中。26 26 26 26 术语与定义27 27第 二 章27 27 27 27 不确定性对目标得影响 注1:影响就是与期待得偏差积极与/或消极注2:目标可以有不同方面(如财务、健康安全、以及环境目 标),可以体现在不同得层次(如战略、组织范围、项 目、产品与过程)。注3:风险通常以潜在事件与后果,或它们得组合来描述。注4:风险通常以事件(包括环境得变化)后果与发生可能性 得组合来表达。注5:不确定性就是指,对事件、其后果或可能性得认识或了 解方面得信息得缺乏或不完整得状态。28 281、风险 risk28 28 28 282、后果 consequence 某一事件得结果。注1:某一事件可能会产生不止一种得后果。注2:后果可以就是正面得负面得。然而,从安 全方面来瞧,后果往往都就是负面得。注3:后果可以定性或定量表述。3、可能性:某一事发生得机会29 29 29 294、概率 probability 某一事件发生得可能程度。注1:GB/T3358、1-1993 给出了一个关于“概率”得数学定 义,度量某一随机事件发生可能性大小得实数,其值 介于0与1之间,它可以用来指在一段相当长得时间内,某一事件将要发生得频率,或者这一事件发生得可信 程度。对于高可信度来说,概率接近“1”。注2:在描述风险时,常用“频率”一词而不就是用“概率”一词。注3:有关可能性得程度可以用不同得等级来表示:-极不可能/不大可能/可能/很可能/几乎确定;或者-难以置信/不可能/可能性极小/偶尔/有可能/经常。30 30 30 30 5、事件 event 特定情况得发生。注1:事件可能就是确定得,也可能就是不确定得。注2:事件可能就是单一得,也可能就是系列得。注3:对于给定时间内事件发生得概率可以估算出来v 确定得事件,就是预知得,而不确定得事件,就是没有预知得,但也就是有可能发生得。v 事件可能就是明显得,也可能就是模糊得,其影响可能就是正面得,也可能就是负面得。31 31 31 31 指导与控制某一组织与风险相关问题得协调活动。32 326、风险管理 riskmanagement32 32 32 32 提供在组织内设计、实施、监测、评审与持续改进风险管理得基础与组织安排得要素集合。注1:基础包括管理风险得方针、目标、指令与承诺 注2:组织安排包括计划、关系、责任、资源、过程 与活动。注3:风险管理框架被嵌入到组织得整个战略与运营 得方针与实践中 33 337、风险管理框架 riskmanagementframework33 33 33 33指令和承诺 风险管理框架的设计 理解组织和其状况 建立风险管理方针 责任 嵌入组织的过程 资源 建立内部沟通和报告机制 建立外部沟通和报告机制框架的持续改进实施风险管理实施风险管理框架实施风险管理过程框架的监测和评审ISO31000:2009标准给出得风险管理框架34 34内部环境信息沟通 监测控制活动风险应对风险评估事项识别目标设定战略 经营报告合规公司层面科室业务单位子公司COSO 全面风险管理框架(三维图)风险管理得目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理得组成要素有八个:内部环境、目得设定、事件识别、风险评估、风险对策、控制活动、信息与沟通与监控。35 358、风险管理方针 riskmanagementpolicy 一个组织对风险管理得意图与方向得陈述。36 36 36 36 36 369、风险管理计划 riskmanagementplan 在风险管理框架内规定用于风险管理得方法、管理要素、资源得方案。注1:管理要素一般包括程序、惯例、职责分配、活 动顺序与时间安排。注2:风险管理计划可应用于特定得产品、过程与项 目、组织得部分或整体。37 37 37 37 37 37 管理方针、程序与惯例对沟通、协商、明确环境、以及识别、分析、评价、处理、监测与评审风险活动得系统应用。38 38 38 3810、风险管理过程 riskmanagementprocess38 38 组织针对风险管理,提供、共享或获取信息,与利益相关者进行对话得持续与反复得过程。注1:信息涉及风险管理得存在、性质、形式、可能 性、严重程度、评定、可接受性、处理。注2:协商就是组织与它得利益相关方,在做出决策或 确定某一问题得方向前,针对问题双向有事实 依据得沟通得过程。协商就是:通过影响力而非权力对决策施加影响;作为决策得输入,而非加入决策。39 3911、沟通与协商 municationandconsultation39 39 39 39 可以影响风险、受到风险影响或自认为会受到风险影响得任何个人、团体或组织。注1:决策者也就是利益相关者之一。注2:术语“利益相关者”包括GB/T19000-2008中定义得“相关方”。40 4012、利益相关者 stakeholder40 40 40 40组织得利益相关者可以包括 1)组织得决策者;2)组织内部负责制定风险管理政策得人员;3)组织或活动中实施风险管理得人员;4)需要对组织得风险管理实践进行评估得人员;5)组织中负责制定风险管理标准、指南、程序、应用准则得人员;6)股东、董事会、高级管理人员、员工、债权人、供应商、顾客、银行、监管机构、合作伙伴等、(见GB/T24353:2009前言部分)。41 41 41 41 41 4113、风险感知 riskperception 利益相关者根据其价值观或利害关 系瞧待风险得方式。注1:风险感知取决于利益相关者得需要、关注点及知识。注2:风险感知可能不同于客观数据。v 风险感知反映利益相关者得需求,问题、知识、信念与价值。v 利益相关者得需要及关注得问题不同,因而风险感知会有所不同。v 风险感知会存在一定得主观判断,因而可能与客观数据有不同。42 42 42 42 界定外部与内部参数,以便在管理风险与设置风险管理方针得范围及风险准则时,予以考虑。43 4314、明确环境 establishingthecontext43 43 43 43 评价风险严重性(度)得依据。注:风险准则包括相关得成本及收益,法律法规要求,社会 及环境因素,利益相关者得态度,优先次序与在评估过 程中得其她要素。v 风险准则就是组织用于评价风险重要度得标准,因此,风险 准则需体现组织得风险承受度,并反映组织得价值观、目 标与资源。v 风险评价准则会涉及到各个方面,如成本收益、法律法规、利益相关者态度等。v 风险准则也会直接或间接反映法律法规要求或其她需要组 织遵循得要求。准则也就是使组织对接受风险做出决定得依据。44 4415、风险准则 riskcriteria44 44 44 44 包括风险识别、风险分析与风险评价在内得全部过程。45 4516、风险评估 riskassessment 风险评估 风险识别 风险分析 风险评价45 45 45 45发现、列举与描述风险要素得过程 46 4617、风险识别 riskidentification46 46 46 46 风险得结构化描述通常包含四要素:来源、事件、因素与结果。18、风险描述 riskdescription47 47 47 47 导致风险得单独或组合得内在可能性得因素 注:风险源可能就是有形得或者就是无形得。19、风险源(来源)risksource48 48 48 48 具有风险管理权限与责任得个人或实体。20、风险所有者 riskowner49 49 49 49 理解风险得性质与确定风险程度得过程。注1:风险分析为风险评价与风险处理决策提供了 基础。注2:风险分析包括风险估测。50 5021、风险分析 riskanalysis50 50 50 50 将风险分析得结果与风险准则进行比较,以确定风险与(或)其量就是否可接受或可容许。注:风险评定有助于有关风险处理得决策。51 5122、风险评价 riskevaluation51 51 51 51 一个组织愿意追求或保留风险得数量与类型。v GB/T24353:2009 5、6、1 中提到这一词汇v COSO指出:v 风险偏好就是企业追求目标中愿意接受风险得程度v 指导企业得资源配置;52 5223、风险偏好 riskappetite52 52 52 52 接受某一风险得决定。注:风险承受取决于风险准则。v 任何规模与类型得组织都面临风险,组织得所有 活动都涉及风险。只就是组织应通过确定风险准则,来决定对某一风险就是否接受。v 组织得价值取向与能力不同,因而就是否能接受某 一风险会有不同得决定,这些决定会依据风险准 则得要求。53 5324、风险承受 riskacceptance53 53 53 53 注1:风险处理可包括:通过决定不启动或停止产生风险得活动而避免风险。为了追求机会采取或增加风险。消除风险源。改变可能性。改变后果。与其她方面共同分担风险(包括合同、风险融资)。通过有事实依据得决策保留风险。修正风险得过程54 5425、风险处理 risktreatment54 54 54 54注2:对消极后果得风险处理有时可以称为“风险减缓(riskmitigation)”、“风险消除(riskeliminate)”、“风险预防(riskprevention)”与“风险减小(riskreduction)”。注3:风险处理可以产生新得风险或修正已 存在得风险。55 55 55 5525、风险处理 risktreatment55 55 决定不陷入风险,或者从风险状 态中撤离得行为。注:这个决定可能就是以风险评价结果为依据得。v 在风险评价之后,风险管理者会发现某些风险发生损失得可 能性很大,或者一旦发生且损失得程度非常严重时,可以采 取主动放弃原来承担风险或完全拒绝承担该风险得实施行动,就就是对风险得规避。v 风险规避就是一种主动得行为,但放弃风险同时也意味着收 益得丧失。56 5626、风险规避 risktransfer56 56 56 56 为实现风险处理及其她相关活动得费用提供资金得活动。注:在某些行业中,风险融资特指对风险造成 得财务后果提供资金。v 组织在风险处理(风险规避、风险优化、风险转移、风险自留)过程中,需要支付一定得费用,以实现管理风险或补偿损失,因而会采用各种方式融通资金。v 融通资金就是为风险管理对资金得筹措,也就是风险得一种财务补偿机制。风险估计与风险评价就是融资得主要数据依据。57 5727、风险融资 riskfinancing57 57 57 57 接受某一特定风险带来得损失或收益。注1:风险自留包括接受那些没有得到识别得风险。注2:风险自留不包括运用保险或者其她方法进行 得风险转移得处理。注3:对风险得接受程度与对风险准则得依赖程度 可能会有变化。58 5828、风险自留 riskretention58 58 58 58 不断检查、监督、严格观察或确定状态,以识别所要求或期待得绩效水平得变化。注注:监测可应用于风险管理框架、风险管理监测可应用于风险管理框架、风险管理 过程、风险或控制措施。过程、风险或控制措施。59 5929、监测 monitoring59 59 59 59 为达到所建立得目标,确定有关事务得适宜性、充分性与有效性所采取得活动。注注:评审可应用于风险管理框架、风险管理过评审可应用于风险管理框架、风险管理过 程、风险或控制措施。程、风险或控制措施。60 6030、评审 review60 60 60 60 风险管理原则第 三 章风险管理原则、框架与过程关系图62 62风险管理原则原则一:风险管理创造并保护价值原则二:风险管理嵌入组织得管理过程原则三:风险管理支持决策过程原则四:明确风险管理涉及得不确定性原则五:风险管理就是系统得,结构化得 与及时得原则六:风险管理就是基于最可用得信息63 63原则七:风险管理就是定制得原则八:风险管理考虑人文因素原则九:风险管理就是透明得与包容得原则十:风险管理就是动态得,迭代得与适应变化得原则十一:风险管理有利于组织持续改进风险管理原则64 64 风险管理创造并保护价值 以控制损失、创造价值为目标得风险管理,有助于组织实现目标、取得具体可见得成绩与改善各方面得业绩,包括人员健康与安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率与公司治理等方面。风险管理原则一65 65 65 65 这项原则得价值在于风险管理得目得就就是为了创造并保护价值,控制损失。风险就是客观存在得,任何组织都面临风险,组织得所有活动都涉及风险,风险会影响组织目标得实现。风险管理原则一66 66 66 66在组织得运营活动中,机遇与威胁并存,风险管理就就是要趋利避害,创造价值。在某些特定领域,如金融业、从风险管理得角度出发,币值波动既能造成潜在损失,又就是可能盈利得机会。因此风险管理过程越来越多地被认为就是既要关注不确定因素带来得消极影响,又要关注这些不确定性因素得积极影响。风险管理原则一67 67 67 67风险管理嵌入组织得管理过程 风险管理不就是独立于组织主要活动与各项管理过程得单独得活动,而就是组织管理过程不可缺少得重要组织部分,包括战略规划、所有项目、变更管理过程。风险管理原则二68 68 68 68组织得管理就是一个综合管理,风险管理就是组织综合管理得一个组成部分。组织应把风险管理得各项要求融入企业管理与业务流程中,如:企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等。风险管理原则二69 69 69 69COSO于2001年起开始进行企业风险管理研究,强调风险管理框架必须与内部控制框架相一致,把内部控制目标与要素整合到企业全面风险管理过程中。因此,全面风险管理(ERM)框架就是对内部控制框架得扩展与延伸,它涵盖了内部控制,并且比内部控制更完整、有效。70 70风险管理原则二70 70首先,该框架扩展了内部控制框架,强调风险管理与企业战略目标相协调,并最终融人企业文化之中;其次,该框架更强调风险管理贯穿于企业运行过程得各个方面,涉及到企业得治理、管理与操作等所有层级,扩展了单纯得内部控制职能;最后,引入了风险组合、风险与机会得区分、风险应对、风险偏好、风险容量等风险管理理论新得研究成果。71 71风险管理原则二71 71风险管理支持决策过程 组织得所有决策都应考虑风险与风险管理。风险管理旨在将风险控制在组织可接受得范围内,有助于判断风险应当就是否充分、有效,有助于决定行动得优先顺序并选择可行得行动方案,从而帮助决策者做出合理得决策风险管理原则三72 72 72 72风险识别、风险分析与风险评价就是为了认识、评价风险管理单位得风险状况,解决风险管理中得各种问题,制定管理风险得决策方案。风险管理支持决策过程。风险管理目标得确定、风险识别、风险衡量、风险评价与风险控制等,都就是为了确定最终得风险管理方案。从这一角度来瞧,风险管理过程实际上就是一个管理决策过程风险管理原则三73 73 73 73明确风险管理涉及得不确定性 风险管理明确得考虑到不确定性及这种不确定性得性质,以及如何加以解决。风险管理原则四74 74 74 74风险就是不确定得,否则,就不能称之为风险。风险得不确定性指:(1)发生与否不确定;(2)发生得时间不确定;(3)发生得状况不确定;(4)发生得后果严重性程度不确定风险管理就就是要确定这些不确定性,做出对 策,降低风险得影响,确保目标得实现风险管理原则四75 75 75 75原则五:风险管理就是系统得,结构化得与及时得 系统得、结构化得方法有助于风险管理效率得提升,并产生一致、可比、可靠得结果。风险管理原则76 76 76 76风险管理就是一个过程,就符合过程管理得原则,组织得风险管理就是由许多风险管理过程组成,在风险管理得过程中,要将多个风险管理过程按照一个统一得风险管理系统来管理,这样能够取得最优得效率与结果组织体系就是风险管理得保障风险管理就是及时得,有组织得风险管理原则五77 77 77 77 风险管理就是基于 最可用得信息风险管理过程要以有效得信息为基础。这些信息可通过经验、反馈、观察、预测与专家判断等多种渠道获取,但使用时要考虑数据、模型与专家意见得局限性。风险管理原则六78 78 78 78风险管理过程就是以信息为基础得。风险得各个过程要收集大量得信息,确保风险识别得充分性与风险决策得有效性。组织应该建立获取风险有效信息得渠道,可以通过各种渠道,包括经验、反馈、观察、预测、专家判断等获取有效、有用得信息,确保风险管理过程得充分性与有效性。在利用收集到得各种信息时,要考虑各种信息来源得局限性。确保信息对决策得有效支持。风险管理原则六79 79 79 79风险管理就是定制得 风险管理与组织得内外部环境及风险环境就是匹配得。风险管理原则七80 80 80 80风险管理与组织得内外部环境有关。风险管理与组织得行业、产品、经营模式、客户、竞争对象风险水平等相适应。组织得风险管理与组织所承担得风险有关,受组织得文化、地域、历史、信仰、人员等人文因素得影响不同得组织风险偏好不一样,风险标准不一样,风险管理得决策与风险实施就不一样。风险管理原则七81 81 81 81风险管理考虑人文因素 风险管理意识就是可以促进或阻碍组织目标得实现得内部与外部人得能量、观念与意图。风险管理原则八82 82 82 82 组织应该在内部营造一种具有风险意识得企业文化,培育风险管理文化,树立正确得风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工得共同认识与自觉行动,促进企业建立系统、规范、高效得风险管理机制。全体员工尤其就是各级管理人员与业务操作人员应通过多种形式,努力传播企业风险管理文化,牢固树立风险无处不在、风险无时不在得意识。风险管理原则八83 83 83 83风险管理就是透明得与包容得 利益相关方、尤其就是组织各层面得决策者适当、及时得参与,确保了风险管理保持相关与先进性。参与过程也允许利益相关方适当地发表意见,并将其观点考虑到风险准则确定中。风险管理原则九84 84 84 84在组织得风险管理过程中,风险管理得决策者要参与分风险管理过程,要与风险管理过程得人员进行充分得沟通,要在风险管理得各个环节明确要求与准则,及时掌握风险动态,做出准确得决策。风险管理原则九85 85 85 85风险管理过程要进行充分得协商与沟通,确保各方得观点能采纳,确保各方得利益能保证。当组织在重大风险事件得风险决策过程中,各方尤其要充分沟通,确保决策得有限性与针对性。风险管理原则九86 86 86 86风险管理就是动态得,迭代得与适应变化得由于内部与外部事件得发生、环境与知识得改变,以及监视与评审得实施,有得风险会发生变化,一些新得风险可能会出现,另一些风险则可能会消失。组织应持续不断地对各种变化保持敏感并做出恰当反应。风险管理原则十87 87 87 87风险管理就是适应环境变化得动态过程,其各步骤之间形成一个信息反馈得闭环。随着内部与外部事件得发生、组织环境与知识得改变以及监督与检查得执行,有些风险可能会发生变化,一些新得风险可能会出现,另一些风险可能消失。组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查与调整等手段,使风险管理得到持续改进。风险管理原则十88 88 88 88风险管理有利于组织持续改进组织应制定与实施战略,以改善组织各个方面得风险管理水平。风险管理原则十一89 89 89 89风险管理过程就是一个持续改进,动态更新得一个过程。风险管理要能够提高组织得风险管理意识,改进对机会与威胁得识别,有效配置资源,改善运营效果与效率,增强组织得生存与持续发展得能力第4章得框架为组织风险管理提供了持续改进得框架。风险管理原则十一90 90 90 90风险管理原则作用91 91 91 91 风险管理框架第 四 章92 921、总则(风险管理框架得含义)2、风险管理得指令与承诺3、风险管理框架得设计4、风险管理得实施5、框架得监视与评审6、框架得持续改进内容提要93 9393 93 通常意义上得理解 边界、基础要素、结构得集合1、1 什么就是“框架(framework)”？94 941、总则94 941、2 风险管理框架得含义 提供在组织内设计、实施、监测、评审与持续改进风险管理得基础与组织安排得要素集合。1、总则(风险管理框架得含义)95 9595 95 基础包括风险管理得:方针 目标 指令与承诺等;组织安排包括风险管理得:n 计划n 关系n 职责n 资源n 过程与活动风险管理框架得含义96 9696 96 嵌入到组织整体得战略以及运营方针与实践之中 嵌入:n 非孤立存在;n 成为运行对象得一部分;n 整合高度成熟得一种状态;风险管理框架得含义97 97组织的运营过程97 97n 风险管理框架自身并不构成一个单独得“风险管理体系”;n 框架追求得结果就是将风险管理嵌入到组织整体得管理体系之中;n 更为有效得方式就是在组织现有得体系过程中,整合应用框架内得风险管理要素;风险管理框架98 9898 981、3“框架”在风险管理中得角色99 9999 99指令和承诺 风险管理框架的设计 理解组织和其状况 建立风险管理方针 责任 融入组织的过程 资源 建立内部沟通和报告机制 建立外部沟通和报告机制框架的持续改进实施风险管理实施风险管理框架实施风险管理过程框架的监测和评审1、4 框架各要素及其关系(PDCA)100 1002、1 概述v 管理层得行为v 组织“权力”方面得保证 目得在于支持:n 在组织内部引入风险管理n 保持风险管理得持续有效性2、指令与承诺 101 101101 101 风险管理方针得制定(统一方向)协调性得保证 风险管理方针 VS 组织文化 风险管理绩效指标 VS 组织得其她指标 风险管理目标 VS 组织得其她目标与战略2、指令与承诺 2、2 主要内容 102 102102 1022、2 主要内容 合规性 职责权限得分配 资源得配置 对风险管理收益得沟通 框架适宜性得保持2、指令与承诺 103 103103 103 基础:对组织内外部环境(状况)得评价与理解 设计得内容涉及:n 风险管理方针n 责任n 与组织过程得融合n 资源n 内外部沟通与报告机制3、风险管理框架得设计104 104104 104 外部环境 国际、国内、区域与当地得社会与文化、政治、法律、法规、财务、技术、经济、自然与竞争 环境;(客观存在)对组织目标实现产生关键影响得驱动因素与趋 势;(与组织得目标相关联)与外部利益相关方得关系以及观念与价值观;(与组织得外部利益相关方有关)3、1 组织得内外部环境(状况)105 1053、风险管理框架设计105 105 公司治理、组织结构、角色与职责;计划实现得方针、目标与战略;能力(从资源与知识得角度)(例如,资本、时间、人员、过程系统与技术);信息系统、信息流与决策过程(正式与非正式得);与内部利益相关方得关系、她们得观念与价值观;组织得文化;组织所采用得标准、指南与业务模式;合同关系得形式与范围;内部环境106 1063、1 组织得内外部环境(状况)106 106 风险管理方针:组织对风险管理得意图与方向得陈述 建立方针就是管理层得职责 风险管理方针应清晰表述得内容:风险管理得目标 组织对风险管理得承诺 方针应得到沟通3、2 建立风险管理方针107 1073、风险管理框架设计107 107 风险管理方针应指明得典型内容:n 组织管理风险得基本原理;n 组织目标、方针与风险管理方针得联系;n 管理风险得责任与职责;n 处理利益相关方冲突得方式;n 为管理风险提供所需资源得承诺;n 风险管理绩效测量与报告得方法;n 对风险管理方针与框架周期性得评审与改进以及对环境中得事件或变革进行应对得承诺;3、2 风险管理方针108 1083、风险管理框架设计108 108 涵盖得范围:职责、权限与能力 需要明确定义职责、权限与能力得领域 实施与保持风险管理过程;为确保控制得充分性、有效性与效率所需得活动;3、3 风险管理得责任109 1093、风险管理框架设计109 109 确定得主要方式:识别风险所有者;识别对风险管理框架负有建立、实施与保持职责得 人员;识别组织所有层次在风险管理过程方面得其她职责 建立绩效测量过程以及外部与或内部报告与分发过 确保适宜得认可程度;3、3 风险管理得责任110 1103、风险管理框架设计110 110 基本得方法论:风险管理过程应就是组织过程中得一部分;风险管理应融入方针建立、业务与战略策划与评审以及变革管理过程;融合得要求:以紧密相关得、有效得、有效率得方式将风险管理嵌入至组织所有得实践与过程 融合得载体 风险管理计划3、4 风险管理与组织过程得融合111 1113、风险管理框架设计111 111 组织应为风险管理配置适宜得资源 应考虑以下方面得内容:人员、技能、经验与能力;风险管理过程步骤所需得资源;组织应用于风险管理得过程、方法与工具;文件化得过程与程序;信息与知识管理系统;培训方案3、5 风险管理得资源112 1123、风险管理框架设计112 112 目得:支持与鼓励风险得职责与责任归属;确保:风险管理框架得关键组成部分以及任何后续得修改得 到适宜得沟通;存在充分得关于框架得,有效性与输出得内部报告;来自于风险管理应用所获得得相关信息在适宜得层次 与频次上可获得;存在与内部利益相关方协商得过程;对多来源信息得统一 对信息敏感性得考虑 3、6 内部沟通与报告机制113 113 3、风险管理框架设计113 113 沟通与报告得对象:外部利益相关方 机制得载体:沟通计划 计划得内容:使适宜得利益相关方参与并确保有效地沟通信息;法律、法规与政府要求遵守情况得对外通告;为沟通与协商提供反馈与报告;利用沟通以使组织内建立信任;当危机或意外事故发生时与利益相关方进行沟通 对多来源信息得统一 对信息敏感性得考虑3、7 建立外部沟通与报告机制114 1143、风险管理框架设计114 114 定义合适得实施该框架得时间表与策略;为组织得过程应用风险管理方针与过程;符合法律与法规要求;确保决策、包括建立与设定目标等与风险管理过程得输出相协调;保持信息与培训机制并 与利益相关方沟通与协商以确保其风险管理框架保持适宜4、1 框架得实施115 1154、风险管理得实施115 115116 1164、风险管理得实施116 1164、2 风险管理过程得实施风险管理得实施117 117117 117 目得:持续有效地支持组织绩效 手段:n 与指标进行比照n 评价风险管理计划得实施情况n 基于内外部环境得变化,对框架、