全面风险管理体系建设实施与操作.ppt

《全面风险管理体系建设实施与操作.ppt》由会员分享，可在线阅读，更多相关《全面风险管理体系建设实施与操作.ppt（153页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、全面风险管理体系建设讲座全面风险管理体系建设讲座企管法规处企管法规处2010.3.312010.3.311 1下面，我主要介绍三个方面的内容：第一部分 什么是全面风险管理第二部分 为什么要开展全面风险管理；如何在工作中融入风险管理（七项原则）第三部分 如何建立全面风险管理2 2第一部分第一部分 什么是全面风险管理什么是全面风险管理1 1、基本概念、基本概念2 2、对基本概念的解读及认识、对基本概念的解读及认识3 3、相关背景、相关背景3 31 1、全面风险管理基本概念、全面风险管理基本概念是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文

2、化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。各各项项工工作作4 4风险管理体系建设框架风险管理体系建设框架川庆公司人事管理川庆钻探工程公司全面风险管理体系建设领导小组 物资管理财务管理建设施工科研开发质量管理HSE股权管理市场管理生产管理规划计划信息管理公共关系企业文化海外业务内部审计纪检监察合同管理法律事务全面质量管理6QERPOA合同信息管理系统平衡记分人力资源管理系统通过通过五步流程五步流程构建六大体系构建六大体系风险管理手册风险管理手册形成成果发布与实施发布与

3、实施管理系统管理HSE 体系体系风险管理信息框架风险评估风险管理策略实施解决方案监督与改进从领导小组到专业组和延伸单位形成的跨专业、跨部门、跨文化领域纵横交错的一种真正全面覆盖管理领域的控制体系对现有管理资源、管理体系的应用、整合与提炼组织体系责任体系方法体系文化体系沟通机制监督改进体系手册手册制度分册制度分册手册手册业务流程业务流程手册手册风险数据库风险数据库手册手册风险列表风险列表手册手册风险数据库风险数据库手册手册环境分册环境分册手册手册监督分册监督分册5 5概念解读及认识1、什么是企业风险：指未来的不确定性对企业实现其经营目标的影响。2010年公司的主要经营目标是：实现营业收入280亿

4、元，实现利润总额4.6亿元。到2015年，实现“85311”目标，即：800支队伍，50000人规模，主营业务收入达到300亿元，其中实现考核利润9亿元，建设一流的综合性油气工程公司。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性，比如安全风险）和机会风险（带来损失和盈利的可能性并存，比如决策风险）。理解为应注重防范和控制可能给企业造成损失和危害的风险，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。6 6概念解读及认识2、什么是基本流程：理解为开展风险管

5、理的规定动作和方法。（一）收集风险管理初始信息；（二）进行风险评估；（三）制定风险管理策略；（四）提出和实施风险管理指引及解决方案；（五）风险管理的监督与改进。7 7五步流程干什么？进行风险评估制定风险管理策略提出风险管理指引及解决方案监督与改进收集风险 管理 初始信息各有关职能各有关职能部门和业务部门和业务单位，通过单位，通过问卷调查等问卷调查等方法广泛、方法广泛、持续地收集持续地收集企业内外部企业内外部风险信息，风险信息，包括历史与包括历史与未来的未来的对企业各项对企业各项业务管理及业务管理及重要业务流重要业务流程进行风险程进行风险评估，包括评估，包括风险识别、风险识别、分析、评价分析、评

6、价三个步骤三个步骤根据风险与根据风险与收益相平衡收益相平衡原则及风险原则及风险坐标指数，坐标指数，确定风险偏确定风险偏好，选择风好，选择风险管理的工险管理的工具，明确管具，明确管理策略理策略制定风险解制定风险解决的具体目决的具体目标、组织领标、组织领导、所涉及导、所涉及的管理及业的管理及业务流程、所务流程、所需要条件、需要条件、技术手段等技术手段等资源和控制资源和控制措施及方法措施及方法采用压力测采用压力测试返回测试试返回测试穿行测试及穿行测试及风险控制自风险控制自我评估等方我评估等方法对风险管法对风险管理实施进行理实施进行检验，出具检验，出具监督报告监督报告管理成果管理成果风风险险数数据据库

7、库及手册及手册8 8概念解读及认识3、什么是风险管理总体目标：（一）将风险控制在企业可承受的范围内；（二）确保信息真实、可靠；（三）确保遵守法律法规；（四）确保企业制度和重大措施的贯彻执行；（五）确保企业建立危机处理计划（应急预案）。实现以上就是评价企业风险管理是否有效的标准。9 9概念解读及认识4、什么是内部控制系统：指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施的一系列工作。1010全面风

8、险管理全面风险管理概念解读及认识HSEHSEHSEHSE体系体系体系体系内控体系建设内控体系建设内控体系建设内控体系建设1111相关背景从内控风险管理的发展过程：18世纪，由于企业规模扩张，产生内控思想；20世纪40年代，由于企业所有权和经营权的分离，出现了内控的概念；1949年美国注册会计师协会（AICPA）的审计程序委员会，首次对内控做了定义（是包括组织机构的设计和企业内部采取的所有相互协调的方法和措施）；1985年1987年美国审计、会计师协会等组织赞助成立了反虚假财务报告委员会，不久又成立了专门研究企业内部控制问题的专家委员会（即COSO委员会）；1212相关背景从内控风险管理的发展过

9、程：1992年9月COSO委员会签署了内部控制整合框架（即：COSO内控框架）报告；明确指出：内控涉及到企业各个方面，从管理层到员工对内控的制定和实施负有责任；1313相关背景从内控风险管理的发展过程：1996年美国注册会计师协会发布审计准则公告第78号，接受了内控的五个组织部分（控制环境、风险评估、控制活动、信息沟通和监督），开始在企业中实施；1414COSO组织机构1515相关背景COSO框架19851985年反虚假财年反虚假财务报告委员会发务报告委员会发起的由起的由美国注册美国注册会计师协会等会计师协会等5 5家专业团体自愿、家专业团体自愿、私人组织私人组织成立的成立的委员会委员会这个组

10、织研究提供的这个组织研究提供的内部控制整合框架内部控制整合框架就称为就称为COSOCOSO框架框架（9292年年9 9月签署）月签署）美国证券交易委员会（美国证券交易委员会（SECSEC）美国于美国于2002.7.302002.7.30由布什签署颁布的由布什签署颁布的萨班斯萨班斯-奥克斯利法案奥克斯利法案美国上市公司会计监管委员会（美国上市公司会计监管委员会（PCAOBPCAOB）2003.42003.4正式运作正式运作在美国的上市公司在美国的上市公司13001300多家企业多家企业帮助制定的 指定成立的执行机构管理手段实施管理欧洲日本中石油新加坡创新科技公司在美国其它框架也存在，但SEC只认

11、定这是国际标准。1616第二部份第二部份 为什么要开展全面风险管理为什么要开展全面风险管理1 1、风险管理的发展趋势、风险管理的发展趋势2 2、公司开展风险管理的重要意义、公司开展风险管理的重要意义3 3、在工作中如何融入风险管理、在工作中如何融入风险管理 （七项原则）（七项原则）1717美国安然公司美国安然公司美国安然公司美国安然公司美国第二大长话公司世界通信2001年年底，美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会。2002年6月引起的美国股市剧烈动荡。投资人纷纷抽逃资金。为了提高民众对美国金融市场和政府经济政策的信心，2002年7月30日美国

12、总统布什签署了萨班斯奥克斯利法案由美国参议员Sarbanes和美国众议员Oxley联合提出了一项法案，该法案即以他们的名字命名。又称为“2002上市公司会计改革与投资者保护法案”。1818风险管理的发展趋势一、在美国上市的公司必须建立内部控制体系1、萨班斯奥克斯利法案要求。2、公司治理结构存在缺陷。一方面，高级管理人员熟知公司内部情况，可以在公司股价下跌前将股票期权变现，损害了投资人利益；另一面，股东大会对经营管理者的控制力减弱，经营管理者为了自身利益而做出掩盖债务、虚报利润等违法违规行为。3、外部监督不充分。会计师一方面对上市公司进行财务审计，另一方面又为上市公司提供会计咨询服务，缺乏独立性

13、。同时，会计行业没有统一有效的监管体系，导致上市公司的外部监督失效。1919风险管理的发展趋势二、萨班斯-奥克斯利法案规定，公司管理层是对内部控制体系建设、运行、评估的责任人1、公司管理层对内部控制体系设计、建立、运行有效性负责。2、公司管理层对外声明已建立并运行了内控体系，声明评估证明内控有效。3、公司管理层依据内控体系对外披露信息，并对披露报告的真实性、全面性、准确性负责。2020风险管理的发展趋势三、2005年必须按内控体系运行，并制定了严厉的处罚措施1、萨班斯奥克斯利法案的404条款要求中油股份于2005年12月31日前达到法案要求，普华永道会计事务所将从2005年度开始，按照内控体系

14、进行外部审计，发表对内部控制的有效性的审计意见。审计方式由过去的单一财务结果性审计，变为以经营过程合规性的复合审计，内容包括生产、经营、管理等方面，采取对内控体系内容按一定比例分级随机抽样，重点是经营过程的数据、表单、报表和痕迹。2121风险管理的发展趋势2、对欺诈和舞弊防范措施作了强制规定，要求建立“反舞弊程序和控制”并每年进行评估，把发现高层管理人员任何程度上的舞弊行为判定为内部控制无效。3、萨班斯奥克斯利法案规定，对于违反财务报表披露要求的行为，个人的处罚额提高到100万美元，并可同时判处的监禁期限延长到10年，对恣意违反财务报表披露要求的公司主管处罚额高达500万美元，并可判处高达25

15、年的监禁。2222风险管理的发展趋势目前国内搞的比较好的企业有中广核电、神华煤田、中石油等单位，银行业起步较早，但都以金融管理为主，并且目前就风险管理而言，没有标准和模式，可借鉴可操作的样本很少。包括在所有高校也没有开设全面风险管理的专业。应该说发展前景广阔。2323公司开展风险管理的重要意义一是建立现代企业制度的客观要求二是公司适应市场，依法治企的要求三是公司强化制度，规范管理的需要四是公司防范风险，强化管理的需要五是公司协调发展的需要六是有效地体现公司管理理念和发展要求2424在工作中融入风险管理公司风险管理的七项原则一事一评 风险培训 分工负责 领导带头 全员参与 信息共享 持续改进25

16、25第三部分第三部分 如何建立全面风险管理如何建立全面风险管理1 1、风险管理的八要素、风险管理的八要素 是什么？干什么？如何干是什么？干什么？如何干?2 2、五步流程法具体操作、五步流程法具体操作+案例案例2626内部控制体系框架的内部控制体系框架的“三个控制目标三个控制目标”和和“五个构成要素五个构成要素”构成构成 控制目标控制目标监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营

17、运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1控制活动控制活动 财务报告的可靠性目标财务报告的可靠性目标法规的遵循性目标法规的遵循性目标经营的效率与效果目标经营的效率与效果目标构构构构成成成成要要要要素素素素监监督督风险评估风险评估控制环境控制环境 信息和沟通信息和沟通相关知识2727风险管理的理论依据COSO框架内部内部环境环境目标目标设定设定事项事项识别识别风险风险评估评估风险风险应对应对控制控制活动活动信息与信息与沟通沟通监监控控战略经营报告合规子公司业务单元分部主体层次监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评

18、估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 11992年9月COSO委员会签署了内部控制整合框架（即：COSO内控框架）到2004年COSO内控框架发展出了更加细分的专业版本COSO企业全面风险管理框架COSOII；八要素框架与五要素的区别八要素框架与五要素的区别2828一、控制环境是什么？内控环境是企业的基调、氛围，直接影响企业员工

19、的控制意识。具体包括：员工的诚信和道德观员工的胜任能力董事会和审计委员会管理层的经营理念和经营风格组织结构管理层授权和职责分工企业的权责分配方法与人力资源政策风险管理的八要素控制活动控制活动 监监督督控制环境控制环境 信息和沟通信息和沟通风险评估风险评估2929控制环境干什么按要素建手册（文本成果）控制环境分册控制环境分册 川庆工程公司川庆工程公司风险管理手册之一风险管理手册之一组织机构及机关部组织机构及机关部门、基层单位职能门、基层单位职能 川庆工程公司川庆工程公司风险管理手册之一风险管理手册之一机关部门管理人员机关部门管理人员岗位职责描述岗位职责描述(上、中、下上、中、下)川庆工程公司川庆

20、工程公司风险管理手册之一风险管理手册之一3030风险管理的八要素二、目标设定是什么？企业面临着来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。企业在识别和评估实现目标的风险并采取行动来管理风险之前，首先应该设定企业目标，包括战略层次及个业务单位的目标。3131风险管理的八要素风险评估是什么？风险：是任何可能影响实现目标的因素。风险评估：是识别和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。重点是开展三项工作1、风险辩识2、风险分析3、风险评价3232风险管理的八要素风险评估是什么？三、风险辨识：是查找企业各业务单元、各项重要经营活动及其重要业

21、务中有无风险，有哪些风险。对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。3333风险管理的八要素风险评估是什么？四、风险分析：是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险成因、发生的条件和影响程度。包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。3434风险管理的八要素风险评估是什么？五、风险评价：是评估风险对企业实现目标的影响程度、风险的价值等。在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对全局性的

22、、分业务板块的、分单位的风险进行比较，初步确定对各项风险的管理优先顺序和策略。3535风险评估干什么文本成果风险事件信息库风险事件信息库川庆工程公司川庆工程公司风险管理手册之二风险管理手册之二风险数据库风险数据库 川庆工程公司川庆工程公司风险管理手册之二风险管理手册之二3636风险管理的八要素六、控制活动是什么？控制活动：是为确保管理层指示得以执行的政策和程序。包括一系列不同的活动，如审批、授权、确认、核对、考核经营业绩、资产保护等。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动

23、动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 13737风险管理的八要素控制活动是什么政策和程序控制活动一般包含两个要素，即：第一个要素，政策它描述应该做什么。第二个要素，程序它描述应该怎样做。制度是指导你不做错事；程序是指导你正确地做事。政策是程序的基础政策是程序的基础程序又影响政策的执行程序又影响政策的执行控制活动控制活动3838控制活动干什么（编制控制文档）业务流程目录业务流程目录 川庆工程公司川庆工程公司风险管理手册之六风险管理手

24、册之六安全管理安全管理(CQ02)(CQ02)控制文件控制文件川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六规划计划规划计划(CQ01)(CQ01)控制文件控制文件川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六物资管理物资管理(CQ03)(CQ03)控制文件控制文件川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六质量管理质量管理(CQ04)(CQ04)控制文件控制文件川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六3939控制活动干什么（编制控制文档）管理制度汇编管理制度汇编(第一第一七册七册)川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六管理制度

25、汇编管理制度汇编(第一第一七册七册)川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六管理制度汇编管理制度汇编(第一第一七册七册)川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六权限指引表权限指引表川庆工程公司川庆工程公司风险管理手册之六风险管理手册之六4040风险管理的八要素七、信息和沟通指相关信息以某种形式被识别、获得和沟通，以促使员工履行自己的职责。内容是否适当内容是否适当是所需要的信息？是所需要的信息？信息是否及时信息是否及时需要时就能获得？需要时就能获得？信息是否即时信息是否即时能获得最新的信息？能获得最新的信息？信息是否准确信息是否准确数据都准确？数据都准确？信息是否

26、畅通信息是否畅通相应的部门能容易相应的部门能容易地获得信息？地获得信息？1 1 1 1、信息的识别和获取、信息的识别和获取、信息的识别和获取、信息的识别和获取2 2 2 2、信息加工和报告、信息加工和报告、信息加工和报告、信息加工和报告3 3 3 3、信息系统的整合、信息系统的整合、信息系统的整合、信息系统的整合4 4 4 4、内部沟通和外部沟通、内部沟通和外部沟通、内部沟通和外部沟通、内部沟通和外部沟通5 5 5 5、沟通的方式、沟通的方式、沟通的方式、沟通的方式4141风险管理的八要素八、监督是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效。监督的方式监督的方式监督的方

27、式监督的方式持续性监督持续性监督独立的评估独立的评估持续性监督：持续性的监督行为发生在经营的过程中，它包括日常的管理、监督、比较、核对和其他常规性活动。独立的评估：独立于控制活动之外而采取的定期评估行为。4242风险管理的八要素监督无论内部控制设计和执行的再好，它也只能提供合理的保证，个别内部控制可能会失效。内部控制的局限性表现在：内部控制的局限性表现在：内部控制的局限性表现在：内部控制的局限性表现在：1、判断失误：判断是人在事情发生时依据现有信息的所做出的，个人的判断不能保证绝对正确，并且难以避免主观性，从而影响内部控制的有效性。基于错误判断的管理层决策也会导致失误。2、执行偏差：一方面因设

28、计人经验和知识水平的限制而带有 缺陷。另一方面，执行人员的粗心大意、精力分散、判断失误以及对指令的误解等，也可能使内部控制系统陷于瘫痪。3、管理层的越权：内控制度是企业的管理工具，但任何内控最终都是靠人来执行的，管理层和出于各种目的而愈越内控制度，会使不同职务相互制约的作用丧失，从而导致内控的失效。4、成本收益原则：控制环节越多，控制措施越复杂，相应的控制效果可能会越好，但控制成本也会越高。由于企业的资源有限，企业在设置和实施内部控制时，必须在控制失败可能造成的损失与建立控制所需相关的支出之间进行权衡。4343监督沟通干什么（编制文档）监督分册监督分册川庆工程公司川庆工程公司风险管理手册之十五

29、风险管理手册之十五信息与沟通分册信息与沟通分册川庆工程公司川庆工程公司风险管理手册之十五风险管理手册之十五监督分册监督分册川庆工程公司川庆工程公司风险管理手册之十五风险管理手册之十五信息与沟通分册信息与沟通分册川庆工程公司川庆工程公司风险管理手册之十五风险管理手册之十五4444第三部分第三部分 如何建立全面风险管理如何建立全面风险管理2 2、五步流程法具体操作、五步流程法具体操作+案例案例4545如何建立全面风险管理体系它自身有一套思路设计职责信息收集信息收集风险评估风险评估风险对策风险对策解决方案解决方案测试改进测试改进风风险险体体系系框框架架4646川庆钻探公司风险管理合法性审查抽样调查测

30、试跟单人员操作培训完善体系评价报告运行风险管理环境文化生命周期领导审查建立流程（描述）分析主要业务（绘制流程图）专业组梳理部门、单位业务形成数据（流程目录）确定关键控制点岗位描述三期工程三期工程（测试运行）（测试运行）二期工程二期工程（业务分析）（业务分析）一期工程一期工程（立项）（立项）项目组审批专用软件工作制度人员培训调研框架指导书川庆钻探公司全面风险管理体系建设生命周期设计形成实施方案（操作指南）详细设计制定关键岗位职责规范编制规范文本形成制度机构设置4747办公室专业部门二级单位体系建设目标过程明确目标任务目标分解风险评估风险控制制定相关制度管理手册指导意见指导汇总目录培训督导、汇总审

31、查汇总、审查评价制定专业组目标风险数据库风险点描述梳理现有制度制定新制度执行执行目标延伸业务细分风险风险点检测完善制度反馈收集信息形成风险识别目录形成矩阵(说明）形成风险管理事件库川庆钻探公司风险管理体系目标管理及职能划分川庆钻探公司风险管理体系目标管理及职能划分自 上而下 顶层设计自 下而上完善体系4848如何建立全面风险管理体系五步流程法具体操作+案例就是讲具体做什么？如何做？成果是什么？二个层面：一是完成整体工作的步骤二是具体步骤中的工作4949如何建立全面风险管理体系完成整体工作的步骤：首先成立机构开展培训进行业务分析开始风险管理5050如何建立全面风险管理体系全面风险管理它是整合企业

32、资源，全员参与、高管层推进，在认知的基础上，将企业全面风险管理理念和措施，融入公司战略制定和业务实施的过程。成立机构风险实施风险实施风险应对风险应对风险评估风险评估业务分析业务分析初始信息初始信息学习培训学习培训成立组织成立组织风险体系风险体系建设单位必须成立一个组织运行风险管理的保障机构，主要领导挂帅，所有部门参与、抽调具有资深经验和有培养前途的业务骨干形成工作团队。这就是此项工作上手的第一件事。5151风险管理的组织结构风险管理领导小组是最高决策机构。高管层决定企业的目标。管理部门是组织机构。将目标转化为策略。业务部门是执行机构。执行策略行动。风险管理领导小组风险管理领导小组（安委会）（安

33、委会）风险管理部门风险管理部门业务部门业务部门业务部门业务部门业务部门业务部门或专业组或专业组5252五步流程应用第一步收集风险管理基本信息如何干主要完成以下工作（成果）：1、组织召开讨论会（头脑风暴法）、问卷调查2、业务分析：明确目标、组织机构图、职责描 述、业务流程目录梳理3、完成风险管理事件信息库编制工作4、完成风险识别目录编制工作5353五步流程应用第一步收集风险管理基本信息具体方法进行风险识别识别列举风识别列举风险目录险目录风险分析风险分析因素排查因素排查风险坐标风险坐标矩阵矩阵风险列表风险列表排序排序制定解决制定解决方案方案收集风险初收集风险初始信息始信息风险评价监风险评价监督与改

34、进督与改进小型讨论会小型讨论会小型讨论会小型讨论会问卷调查问卷调查问卷调查问卷调查头脑风暴法头脑风暴法头脑风暴法头脑风暴法其他其他其他其他交替使用交替使用交替使用交替使用5454五步流程应用第一步收集风险管理基本信息具体做法一 收集事件收集事件 会议会议 报告报告 交流交流 持续改进持续改进 访访谈谈 涵件问卷涵件问卷 讨论讨论 调研调研5555五步流程应用第一步收集风险管理基本信息具体做法二开展业务分析，主要是通过与企业各个管理层面的充分沟通和交流，洞察生产经营全过程，并从战略规划到业务层面把握风险要素。通过以下五项活动，全面理解业务活动和企业发展目标,把握初始信息。风险实施风险实施风险应对

35、风险应对风险评估风险评估风险识别风险识别业务分析业务分析成立组织成立组织风险体系风险体系第一步骤：获取并解读企业经营目标、业务结构和组织构架。第二步骤：检阅企业整体的业务流程图和企业控制制度。第三步骤：把握业务流程中各主要部门和岗位业务职责。第四步骤：明确企业经营中的风险事件。第五步骤：确保领导和专家骨干足够的参与。5656五步流程应用第一步收集风险管理基本信息方法基础信息的来源是由各业务、内外各部门多方面形成的，而且是需要各专业随时间的推移不断补充和完善的过程。风险信息库风险信息库其他职能其他职能部门部门企业员工企业员工人力资源部人力资源部监察监察生产生产科研科研审计审计财务财务计划计划股权

36、股权HSEHSE法律事务法律事务人事人事政府部门政府部门集团公司集团公司竞争对手竞争对手参股企业参股企业油田公司油田公司外部外部咨询专家咨询专家专业专业研究机构研究机构基础信息来源基础信息来源5757工作内容工作内容工作内容工作内容主要方法主要方法主要方法主要方法主要工具主要工具主要工具主要工具工作成果工作成果工作成果工作成果整理企业战略目标、整理企业战略目标、疏理业务流程疏理业务流程分析重要业务价值链分析重要业务价值链与目标关联及分级、与目标关联及分级、分类排序分类排序流程目录表格业流程目录表格业务目标计划工作务目标计划工作报告报告业务流程目录手册业务流程目录手册清理现有制度文件，清理现有制

37、度文件，明确企业已发布正使明确企业已发布正使用文件情况用文件情况清理重复、交叉、在清理重复、交叉、在用、修订和废止文件用、修订和废止文件管理制度管理制度目录清单目录清单管理制度汇编手册管理制度汇编手册疏理组织机构、部门疏理组织机构、部门职能、职责职能、职责描述现有组织机构管描述现有组织机构管理模式理模式组织机构及部门组织机构及部门岗位职责表岗位职责表组织机构及部门岗位组织机构及部门岗位手册手册收集各项业务风险事收集各项业务风险事件信息件信息会晤、沟通和交流会晤、沟通和交流调查表、事件表、调查表、事件表、会议纪要会议纪要SWOTSWOT、PESTPEST问卷问卷风险管理事件库风险管理事件库风险管

38、理事件库风险管理事件库规范风险工作机构、规范风险工作机构、管理制度管理制度确定工作人员、地点确定工作人员、地点和办公设施、设备和办公设施、设备会议、文件会议、文件工作简报工作简报业务分析报告业务分析报告五步流程应用第一步收集风险管理基本信息五项活动形成的主要方法、工具和成果：5858限制条件限制条件企业风险管理文化企业风险管理文化风险管理资源风险管理资源风险管理自身建设风险管理自身建设风险管理规划风险管理规划收集信息分析工具专业分析工具风险管理工具SWOT问卷PEST问卷报告汇总风险事件库业务分析报告业务流程目录管理制度汇编组织机构及职责描述五步流程应用第一步收集风险管理基本信息全景描述信息获

39、取会晤工作计划和业务目标流程和组织机构图公司价值链风险委员会控制制度风险管理规划业务报告考绩指标体系5959五步流程应用第一步其中重点内容的例举：风险管理文化就是控制环境。是风险管理的基础，因此也是五要素中的第一个。风险管理规划主要包括：管理目标、建设内容、工作步骤、责任部门、推进时间；明确对哪些重要业务或事项需要开展风险评估，提出解决方案，进而完善相关制度，健全管理机制。具体可分为中、长期和年度规划，以持续建立和完善五要素为核心。表达本单位在风险管理方面要做什么，做到什么程度。6060PEST分析模型6161风险事件库模板风险事件库模板（示范（示范成果）成果）6262湖南株洲市区高架桥发生坍

40、塌事故 1717日下午日下午5 5时左右，湖南株洲市区红旗时左右，湖南株洲市区红旗路一高架桥发生坍塌事故，目前已确路一高架桥发生坍塌事故，目前已确认认6 6人死亡，人死亡，1717人受伤，人受伤，2727台车被砸压。台车被砸压。据悉，这座高架桥部分桥墩曾在据悉，这座高架桥部分桥墩曾在1515日日被爆破，原计划被爆破，原计划2020日再对余下桥墩进日再对余下桥墩进行爆破行爆破。6363风险问卷调查表（高管层使用模板）风险问卷调查表（高管层使用模板）6464五步流程应用第一步风险问卷调查表项目设置：试点单位可就某一方面问题设置问卷，立项课题1.个人岗位存在的最关健风险？2.相关岗位最敏感的风险？3

41、.部室业务或系统业务存在的最大风险？4.本单位存在哪些风险？5.你认为公司可能面临什么主要风险？6.对其它行业（专业）你关注什么风险？7.你认为应该如何管理风险？8.你有什么好的风险管理经验和方法？6565风险问卷调查表（中层管理者使用模板）风险问卷调查表（中层管理者使用模板）6666风险识别模板（示范版）风险识别模板（示范版）6767五步流程应用第一步对风险识别的例举比如，美国企业在2001年风险调查中企业面临的10个最大风险是按大类原则排列的：1、失去声誉的风险 2、变革失败的风险3、经营中断的风险4、产品可靠性的风险5、电脑犯罪的风险6、环境风险的风险7、自然灾害的风险8、聘用新员工的风

42、险9、研发可靠性的风险10、员工意外的风险6868五步流程应用第一步对风险识别的例举按环境分类有：1、社会政治风险2、供应链风险3、市场风险4、竞争对手风险5、技术革新风险6、法律法规风险7、自然地理环境风险8、灾害风险6969五步流程应用第一步对风险识别的例举按原因分类有：1、高管违规操作的风险2、治理结构不健全的风险3、上市公司信息披露失真的风险4、内部审计制度不严格的风险5、财务管理不合规的风险7070五步流程应用第一步对风险识别的例举按专业和经营活动分类，比如法律和经营风险有：1、合同管理把关不严的风险2、重大决策法律审核不严的风险3、缺乏节制的扩张带来的风险4、短期贷款用于长期投资的

43、风险5、资产监管链条过长带来的风险7171五步流程应用第一步对风险识别的例举按风险细分，比如法律风险中国有企业改制中存在的法律风险细分有：1、利用剥离资产保留债务的风险2、出售企业逃逸债务的风险3、转让不透明带来的风险4、产权改革、产权结构的风险5、改制方案不规范带来的风险6、程序不严的风险7、改制企业债务遗漏的风险等7272五步流程应用第一步对风险识别的例举按风险细分，比如法律风险中企业经营管理不善、决策失误导致的法律风险细分有：1、盲目多元化经营带来的风险2、盲目个人决策的风险（经营决策的风险、未进行 可行性论证的风险、未集体决策的风险）3、盲目超速发展带来的风险4、资金链断裂的风险737

44、3五步流程应用第一步对风险识别的例举按业务板块分：1 1、如市场开发方面的风险有：、如市场开发方面的风险有：客户资金的合法性引起的法律风险业务员跳槽造成客户流失的风险客户自身的经营风险（如客户破产所产生的纠纷）业务员因业务水平不高或未按公司规章制度办事给公司或客户带来的风险2 2、财务管理方面的风险有：、财务管理方面的风险有：客户资金的收入与支取管理不足的风险客户保证金的管理和监督不足的风险财务系统内部的管理缺陷和漏洞带来的风险财务账簿与结算部门或交易部门的数据不一致的风险 7474五步流程应用第一步对风险识别的例举建议：目前，按照目前，按照结合实际结合实际，重点关注重点关注和和解决现有风险解

45、决现有风险的原的原则，以关注的事件和结果作为描述的特征。比如股权管理则，以关注的事件和结果作为描述的特征。比如股权管理专业专业5 5条风险，即：条风险，即：1 1、股权投资决策失误带来的风险、股权投资决策失误带来的风险2 2、控股公司管控不到位带来的风险、控股公司管控不到位带来的风险3 3、公司缺陷危害公司权益的风险、公司缺陷危害公司权益的风险4 4、出资人代表履职不到位带来的风险、出资人代表履职不到位带来的风险5 5、股权处置不当带来的风险、股权处置不当带来的风险7575五步流程应用第一步对风险识别的例举如果按照全面覆盖的原则，每个风险都可以继续延伸和细化，如对“公司治理结构和治理机制不完善

46、的风险”，又可细分为：1、股东和公司高层缺乏有效监督和约束机制2、信息披露渠道不足3、管理层决策独断4、授权不合理5、股东抽逃资金风险（短期投资、拆借等）7676五步流程应用第二步主要完成以下四项具体工作：1、根据识别目录一一对应进行鱼刺图分析（必做）2、填制风险数据库相关信息3、做风险矩阵图4、编制风险列表进行风险评估7777五步流程应用第二步进行风险评估（分析与评价）识别列举风识别列举风险目录险目录风险分析风险分析因素排查因素排查风险坐标风险坐标矩阵矩阵风险列表风险列表排序排序制定解决制定解决方案方案收集风险初收集风险初始信息始信息风险评价监风险评价监督与改进督与改进根据初始风险进行风险细

47、分与成因分析，利用风险矩阵和坐标图对风险进行定位排序。明确风险评价技术与明确风险评价技术与方法方法7878当前工作风险评估当前工作风险评估风险评估管理要素构建路线表流程流程顺序顺序工作内容工作内容关健要素关健要素主要工具主要工具应用方法应用方法成果载体成果载体责任部门责任部门1 1收集信息收集信息时间、地点、事件、损失、时间、地点、事件、损失、原因、措施原因、措施事件信息库事件信息库资料汇编资料汇编风险事件汇编风险事件汇编各业务部门各业务部门2 2风险辨识风险辨识名称、编号、类别、控制方名称、编号、类别、控制方式、主管部门式、主管部门五大要素识别表五大要素识别表讨论、头脑风暴法等讨论、头脑风暴

48、法等风险识别目录风险识别目录风险管理工作风险管理工作推进组推进组3 3风险分析风险分析风险当前状态等要素风险当前状态等要素数据庫表格数据庫表格管理现状评估管理现状评估风险数据庫风险数据庫各业务部门各业务部门4 4风险概率、风险成本风险概率、风险成本表格表格经验法和推断法经验法和推断法5 5成因分析成因分析鱼刺图鱼刺图专家分析专家分析6 6风险策略风险策略4 4种种专家分析专家分析7 7解决方案解决方案案例样表案例样表成因控制法成因控制法8 8风险负责、监管人风险负责、监管人表格表格责任追究法责任追究法9 9风险评价风险评价风险指标风险指标风险数据组、坐标图风险数据组、坐标图坐标矩阵坐标矩阵风险

49、列表风险列表坐标图坐标图风险管理工作风险管理工作推进组推进组1010方案运行方案运行风险管理制度风险管理制度测试表测试表检验性测试检验性测试测试报告测试报告项目组项目组审计处审计处7979五步流程应用第二步风险识别 作为全面风险管理实施的第二个步骤，是以业务分析为基础的。企业在发展中所蕴含的风险识别，必须建立在对企业战略目标到业务流程全面理解的层面上。风险实施风险实施风险应对风险应对风险评估风险评估风险识别风险识别业务分析业务分析成立组织成立组织风险体系风险体系风险识别是在业务活动开始之前对可能发生的风险事件进行识别（正面和负面）。包括辨识风险不确定性的来源和所导致的损失。必须由各个业务部门的

50、业务骨干、专家积极参与。也是进行风险调研的一个也是进行风险调研的一个过程过程8080限制条件限制条件企业风险管理文化企业风险管理文化风险管理资源风险管理资源风险管理自身建设风险管理自身建设风险管理规划风险管理规划风险识别识别工具事件库、风险提示例举风险检索目录风险评估规范调查问卷识别成果风险识别目录五步流程应用第二步风险识别的实施过程风险识别基础业务流程目录流程图业务报告、重大非确定性事项经营目标、企业战略目标历史与未来风险资料、经验8181业务风险事件风险成因分类风险成因分类风险成因分类风险成因分类风险成因分类成因细分成因细分五步流程应用第二步风险评估模型主推因果分析模型，其模型结果将成为制