全面风险管理相关术语和知识解读八.doc

《全面风险管理相关术语和知识解读八.doc》由会员分享，可在线阅读，更多相关《全面风险管理相关术语和知识解读八.doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、全面风险管理相关术语和知识解读八(三）全面风险管理理论与实践22、中国的全面风险管理是怎样发展起来的？中国对内控及风险管理的研究开始于上世纪80年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。但中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构和制度。我国系统的内控制度建设是在有了会计法之后。1999年修订的会计法第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了内部会计控制规范一基本规范等7项内部会计控制规范。但从更宽泛的管理意义上来说，真正把内部控制和风险管理形成法规，是受到美国2002年安然事件、世通公司财务欺诈案及

2、随后美国的萨班斯法案的影响。2006年经国务院批准，这一问题提上议事日程，成立了企业内部控制标准委员会，正式开始这项工作。当年6月6日，国资委发布了中央企业全面风险管理指引，这是我国第一个全面风险管理的指导性文件，意味着中国走上了风险管理的中心舞台。明确要求企业要重视和开展全面风险管理，同时明确什么是全面风险管理以及企业如何开展全面风险管理工作。2008年山东省国资委发布了山东省省管企业全面风险管理指引，选择部分省管企业开展全面风险管理试点，标志着山东省管企业全面风险管理工作正式起步。23、“风险管理指引”中如何定义全面风险管理？全面风险管理的总体目标是什么？指引中所称全面风险管理，指企业围绕

3、总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理总体目标是：（1）确保将风险控制在与企业总体目标相适应并可承受的范围内；（2）确保企业抓住可能存在的机会；（3）确保遵守有关法律法规，实现内外部，尤其是企业与股东之间实现真实、可靠的信息沟通；（4）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目

4、标的不确定性；（5）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。全面风险管理的有效与否就是看其能否为企业实现以上五个目标提供合理的保证。所谓合理的保证是相对于绝对的保证而言。由于全面风险管理系统本身和人们操作过程中的缺陷，技术和信息的不足，自然存在的不确定性，以及对成本的考虑等，全面风险管理在大多数情况下不可能而且也不应该对企业实现其目标提供绝对的保证。24、全面风险管理工作的主要内容是什么？全面风险管理工作主要包括以下内容：一是建立全面风险管理基本流程。建立起包括风险管理初始信息收集、风险评估、风险管理策略制定、风险管理解决方案、风险管理

5、监督与改进在内的基本流程。二是健全风险管理组织体系。建立包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及有关职能部门、业务单位在内的组织体系，形成不同层次、职责明确、运转有效的全面风险管理网络。三是建立风险管理信息系统。将信息技术应用于风险管理工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，确保输入风险管理信息系统的业务数据一致、准确、及时、完整，保证全面风险管理体系、流程稳定运行。四是形成全面风险管理文化。把风险管理融入企业文化建设全过程，营造风险管理氛围，塑造全员风险管理意识，建立起持续有效的全面风险管理文化。 25、推行全面风险管理具体要

6、进行哪些工作？全面风险管理并非只是纯粹地谈风险，也要强调体系和方法的建立，要成为支持决策和指导基础工作的工具。一般而言，应进行下列工作：（1）建立健全风险管理组织体系，规范法人治理结构，设立风险管理委员会，设置或明确风险管理专职部门，配备专职工作人员；（2）建立并及时更新风险信息库；（3）建立风险评估系统，各层级公司定期开展风险评估并编制风险评估报告；（4）制定风险管理策略，逐项制定重大风险解决方案；（5）建立内部控制系统，健全风险管理制度，完善风险管理流程：（6）建立风险报告机制，各层级公司定期编制、提交合格的风险管理报告；（7）建立涵盖风险管理基本流程和内部控制各环节的风险管理信息系统；（

7、8）加强战略、财务、运营、法律等重点领域风险防控，杜绝重大风险事件；（9）建立风险管理考核机制，逐步建立重大风险责任追究制度。26、实施全面风险管理一般需要多长时间？全面风险管理工作是一项持久的工作，实施所需的时间各不相同，随公司风险管理能力现状、希望达到的水平和愿意投入的资源量而定。虽然某些具体措施，任何公司都可以采用，而且在 12个月之内就有可能初见成效，但在全面实施风险管理解决方案上，绝大多数公司都需要花3-5年时间，才能最终实现它们的目标，仅是搭建体系一般至少需要1-3年的时间，体系的持续运作更是长期的日常经营活动的一部分。27、全面风险管理组织体系建设包括什么内容？全面风险管理组织体

8、系主要包括规范的公司法人治理结构，风险管理专职部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。28、公司治理结构中各权力主体在风险管理中担任什么角色？股东承担企业经营的最终风险，即以其出资额为限承担有限责任。因此股东本能地关心企业产生的各种风险，要求企业管理风险。董事会的主要职责是对企业进行战略性监控。为此，需要每一位董事认真审核需表决的方案，但仅仅靠此是不够的，必须依据全面风险管理才有可靠保障。因此，董事会要督导公司建立全面风险管理体系。具备条件的企业，董事会可下设风险管理委员会。监事会可以考虑对董事会及总经理全面风险管理工作进行评价和监督。总经理对企业

9、日常全面风险管理工作负责，全面管理风险的能力作为判断总经理是否称职的重要条件。29、风险管理组织体系各组成部分在全面风险管理建设中承担什么责任？根据集团公司实际，建立以总经理领导下的风险管理领导小组（以下简称“领导小组”）主持实施、风险管理执行小组（以下简称“执行小组”）具体实施、所属单位积极配合并参与的风险管理组织架构，并设风险管理办公室（与审计监察部风险管理科和计划发展部制度管理科合署办公，以下简称“风险办”），负责全面风险管理日常工作。（1）风险管理领导小组领导小组负责主持实施全面风险管理工作，对全面风险管理工作的有效性向董事会负责。领导小组由集团公司总经理和各职能部门经理组成，主要履行

10、以下职责：a）审议批准并提交全面风险管理年度报告；b)批准集团范围内部控制与全面风险管理工作的政策法规；c）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；d）审议风险管理策略和重大风险管理解决方案；e）审议批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制以及重大决策的风险评估报告；f）审议批准风险管理监督评价报告；g）审议批准风险管理组织机构设置及职责方案；h）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；i）督导企业风险管理文化的培育；j）全面风险管理工作其他重大事项。（2）风险管理执行小组集团公

11、司各职能部门应配备专（兼）职人员作为风险管理联系人，上述人员组成执行小组，负责本部门职能范围内的全面风险管理工作。具体分工为：人力资源部负责人力资源管理；计划发展部负责企业战略、规划与公司治理；财务部负责财务及投融资；健康安全环保部负责HSE；产权与法律部负责法律事务；市场部负责市场运营、销售管理、大宗物资采办；审计监察部负责内部审计、内部监督；工程部负责建设工程项目管理、采办与物资管理（不含大宗物资）；信息部负责信息化安全、信息化管理；生产运行部负责生产管理、质量管理；思想政治部负责党群、思想政治、企业文化建设和企业形象管理；党政办公室负责行政综合；技术中心负责产品研发和科技管理。主要履行以

12、下职责：a） 执行本部门负责的相关业务领域风险管理流程和风险政策；b） 识别、分析、评估本部门负责的相关业务领域的风险；c） 及时上报本部门负责的相关业务领域重大风险事项；d）提出并组织实施本部门负责的相关业务领域风险管理工作计划；e）研究提出本部门负责的相关业务领域风险管理策略，根据风险管理领导小组安排，参与跨职能部门的重大风险管理解决方案制定和实施；f）对本部门负责的相关业务领域全面风险管理的有效性进行评估，并研究提出改进方案；g）负责本部门负责的相关业务领域风险管理信息系统建设；h）办理风险管理其他有关工作。（3）风险管理办公室鉴于集团公司实际，为满足全面风险管理日常工作需要，设风险管理

13、办公室（与审计监察部风险管理科和计划发展部制度管理科合署办公），主要履行以下职责：a）指导、协调、监督风险管理执行小组开展内控体系建设、风险管理相关工作；b）制定、修订内部控制、风险管理相关政策和规范；c）推动建立风险案例库，推动风险管理基本流程的有效执行；d）推进集团内控制度体系建设，组织制定、修订、报批、发布、解释内控制度体系，组织、协调跨部门内控与风险事项，提出内控优化建议和风险应对策略；e）定期督导、检查、评价集团公司内控制度体系和风险管理的健全性、合理性和执行的有效性，组织编报内控评价报告、全面风险管理报告；f）检查所属单位内控控制和风险管理的工作质量，出具对所属单位的内控评价报告，

14、跟踪、督促、复查所属单位的内控缺陷整改情况；g）组织内部控制与风险管理的绩效评价，出具绩效评价意见；h）组织各类内部控制与风险管理培训。（4）所属单位 a)负责本单位的风险管理工作，积极配合风险管理执行小组定期评估风险，提出应对策略，编制本单位风险管理报告； b)建立健全本单位的内部控制和风险管理制度，确保有效执行定期实施自我评价； c)接受集团公司在内部控制和风险管理方面的指导、监督、检查。30、如何进行风险管理初始信息收集？风险管理初始信息的搜集是风险管理流程的起点，企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工

15、落实到各有关职能部门和业务单位。并对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。31、什么是风险管理信息的动态管理？传统的风险管理方式是静止的，基于在某一时点上对风险信息的收集及对风险的评估。由于企业所处的环境的不确定性和多变性，如果仅对风险信息进行一次性的收集、整理与评估，其结果可能无法有机的嵌入到日常工作中。因此，必须对风险管理信息实施动态管理，根据变化，随时检查、改进、修正风险信息，充分考虑风险的不确定性、多变性及其内在联系。32、什么是风险评估？它包括什么具体内容？风险评估就是考虑潜在事件发生的可能性和对目标实现的影响程度，包括风险辨识、风险分析、风险评价

16、三个步骤。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。33、风险的影响程度和发生可能性是什么意思？风险的影响程度是指如果风险发生，对企业战略或运营目标所产生影响的大小。风险的发生可能性是指风险发生概率的大小或者在给定时间段内发生的频繁程度。集团从定性和定量两个方面，按照战略、财务、运 营、法律等四个维度，详细规定了评估标准。34、怎样识别、理解和运用风险之间的相互关系？如果潜在事件之间互不相干，

17、那么，管理层就可以逐个单独地评估它们，但是如果事件之间相互关联，或者因为组合到一起和相互作用，发生的可能性及其影响出现了显著变化，管理层就应该把它们一起评估。尽管单个风险的影响也许微不足道的，但是，一系列事件或多个事件组合到一起所形成的影响就有可能严重得多。绝大多数人都知道怎样评估单个风险。但是许多人可能问：“对互相关联的多个风险应该怎样进行评价呢？ ”在所有的方法中，都有一条共同的思路，归根到底就是要评估这样一个问题：“某一个事件，不管是单独出现还是同其他事件联合发生，将会导致另一个事件发生，或者影响、冲击或加剧另一个事件的严重性吗？ ”通过仔细审查研究同多个风险类别都相关的关键事件，管理层

18、就能够评定出这些事件间的相互关系，就能够探索出未来潜在事件出现的根源、原因和方式。这种对未来事件的了解、认识给以后提出度量监督工具，采用综合的眼光处理风险问题奠定了基础。35、风险评估的合理深度有多大？只有在被评估目标及相关事件所构成的环境背景中，才能就风险评估深度做出相应的判断。为了提出正确的风险应对措施，我们必须非常清楚风险的性质，包括风险发生的原因、方式和根源。了解风险的性质能有助于我们制定出化解风险的战略。如果风险评估不够深入，就很难找出问题的症结，评估过后，管理层就会不知道该怎么办。反过来，如果风险评估过于深入细致，那么，较宏观的问题就会被具体琐碎的细节掩盖了，同时也很难在合理的时间

19、内完成风险评估活动。因此，评估人员可能会发现共同语言对累积迭加多个风险事件进行风险评估很有用处。在提出适宜的风险应对措施时，可以把一些首要风险拆解成相关的未来可能事件。在风险评估过程中，经验是判断评估深度是否适当的最好老师。归根到底，风险评估本身不是目的，目的是要能够把风险评估的书面结论应用到切实可行的经营计划行动中去。36、哪些人应该参与风险评估活动？风险评估目标和被评估的风险范围不同，参与风险评估过程的力度也不同。集团要求在公司级这个层面上，每一位高级管理人员应该参与评估活动；在部门级这个层面上，部门负责人和关键流程责任人也应该参加评估活动；此外，对特殊的业务风险有独到了解的人应该参与评估

20、工作（关键岗位或者关键管理人员）。37、风险评估可以采用哪些方法？进行风险辨识、分析和评价时，一般采取定性与定量方法相结合的方式。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。集团目前主要通过是访谈和问卷调查、专题研讨会等形式来进行风险评估。38、企业如何辨识风险？风险辨识一方面可以通过感性认识和历史经验来判断，另一方面也可通过对各种客观的资料和风险事故的记录来分析、归纳和整理，以及必要的专家访问，从而找出各种明

21、显和潜在的风险及其损失规律。因为风险具有可变性，因而风险识别是一项持续性和系统性的工作，要求风险管理者密切注意原有风险的变化，并随时发现新的风险。现在使用的风险辩识方法，主要有以下几种方法：a)事件库法：指详细列出某一行业内部许多公司很常见的潜在事件，或者所有行业都常见的某一种流程或业务活动。通常可根据经验总结出按相关属性分类的风险事件列表；b)访谈法：风险管理部门组织相关人员，制订详细的访谈计划，对相关部门熟悉业务流程、有经验的管理人员进行访谈，了解和讨论存在的风险，形成访谈记录；c)头脑风暴法：企业从不同部门选出人员组成讨论小组，充分发挥集体的智慧，对有关的潜在事件提出各自的意见和想法，经

22、过自由、宽松的讨论，将有价值的信息汇总、整理起来，从而正确、全面地识别出风险及其相互关系；d)德尔菲法：又称专家调查法，企业针对某个风险同时咨询多个专家，专家们根据自己的经验作出各自的评估；再综合这些评估得出结果，把该结果送交给专家，专家据此修改，直至达成一致；e)风险临界法：通过将当前交易或事件与预先定义的标准进行对照，当风险达到临界时将引起管理层的警觉。一旦发现事件达到一定临界，就可能需要进一步评估某事件或做出反应；f)讨论会法：通过组织讨论，利用管理层、企业员工和其它利益相关者积累的知识和经验识别风险点。讨论会主持人应当引导与会者讨论可能影响实现企业或某一业务单元的目标的风险点；g)流程

23、分析法：根据构成一个流程的投入、活动、职责、产出，通过综合考虑对流程投入或流程内活动的内、外部因素，识别出影响实现流程目标的事件；h)故障树分析法：通过对可能造成项目失败的各种因素进行分析，画出逻辑框架图，从而确定可能导致项目失败的各种原因。遵循从结果找原因的原则，该方法还可与其它定量分析方法结合使用，以获取更多信息；i)事件重要指标法：通过监测与事件相关的资料，企业识别是否存在引发风险事件的条件；j)损失事件数据法：根据以往各个损失事件的数据库，来识别风险事件发生根据或发展趋势。风险的识别还有其他方法，诸如环境分析、保险调查、事故分析等。企业在识别风险时，应该交互使用各种方法。39.企业如何

24、进行风险分析和风险评价？风险分析和评价有许多种具体方法。例如，对关键人员进行访谈或者调查、查阅重要的文件、举办专题研讨会、进行目标明确的专项审核，也可以综合采用上述各种方法。现主要介绍一下专题研讨会的形式：专题研讨会的形式，即把关键的利益相关者召集到一起开会，共同评估风险的发生可能性及影响程度，并对风险进行排序。企业风险评估专题研讨会的参加人员通常包括公司高级管理层成员、各项业务主管人员，如了解全公司合规、信息技术、市场、运营、安全或者其他活动的人员，这些活动都对公司的核心使命具有至关重要的作用。相对于让某一个人来评估风险而言，专题研讨会评估风险的方法有一定的优势。让一群学识渊博、熟悉业务的利益相关者组成一个评估小组，聚集到一个可以协作互动的环境中，对风险进行评估，这样做能有效地查找到全企业的风险，同时有利于就首要风险及可能采取什么行动来化解这些风险等问题达成一致。此外，分组座谈研讨会议能澄清见解上的分歧，增强对企业最重大风险敞口的意识，开诚布公地提出敏感的或以前未认识到的问题，促进不同责任领域间的沟通交流，有助于增进学识，更好地了解企业的风险。召开这些座谈研讨会议之前，需要进行面谈采访，风险调查和审阅相关文件，从而缩短风险清单，把拟讨论的风险数量控制在易于管理的范围内，从而能在规定的时间内完成专题研讨活动。