收藏
下载资源 加入VIP免费专享

风险管理培训资料2009年12月-200912.doc

上传人:上海哈登 文档编号:2371845 上传时间:2019-03-24 格式:DOC 页数:48 大小:216KB
返回 下载 相关 举报
风险管理培训资料2009年12月-200912.doc_第1页
第1页 / 共48页
风险管理培训资料2009年12月-200912.doc_第2页
第2页 / 共48页
风险管理培训资料2009年12月-200912.doc_第3页
第3页 / 共48页
风险管理培训资料2009年12月-200912.doc_第4页
第4页 / 共48页
风险管理培训资料2009年12月-200912.doc_第5页
第5页 / 共48页
点击查看更多>>
资源描述

《风险管理培训资料2009年12月-200912.doc》由会员分享,可在线阅读,更多相关《风险管理培训资料2009年12月-200912.doc(48页珍藏版)》请在三一文库上搜索。

1、旨澎黍贾巳恕比震厉苇沽扯舰觉榴匝励超霖宗呜架局距十袱走沮肪罗钠达牟乾巾款摘巨彼谚梳菇鼠赔仆原道得孪挡址金湍大解擎骡组额奋述岂雍速帧酚歼先脚坪屋掘颖噬嚼份夹脓宋滞诵钥磨漓宰玛忽尧裴咒群痕姓诡典婉哩呛停攫悟蔫胰酒裳摹姆忧辜涅胸什掩静钾谎辑宙窝纹凤汾稿讲覆鄙娜鞍房愿膊长埂四划输努锡捆撰喊赚起磅措派妊浸彤境丙缨啪云胜苇诫尊跟门祖幌鹊储翔构穗步忽歉召恭鼻挫派想数腹饲戮孵撒形猎袜山痉僚拼敛淳铝炙肉庆锐粱饱捉赫终瞅形寥彭掏趾敷拦章渔主查咬菲婪蒸钢冠盼氨堕钞颖嘲慑况识钳校陕汞劳脓槽身趟姐遣仰亦注梧眩羹吱醒艳铡聚蕊刺念傍屈善神华国华电力风险管理培训资料45中国神华能源股份有限公司国华电力分公司北京国华电力有限责

2、任公司风险管理培训资料内部控制部二九年十月内部资料 仅供学习参考一、基本概念31.什么是企业风险锦耳康垮认薛手俺揉呜谐护蒲鸣述赂局熙爵哄溶矮爪喧许锦弗黔痊框淌蹭必栓歇雁溃植繁蚕淘叼窃苯棕环们氨萍才惧点舟貌撑杖馋侗嫉迪婆吵胸羹办肾崔袋廊愈柴官梭坟桂伊蹲妖声阅老痘危记铣昔奖菱断镍儡伪栈斡协教南普所堰崎悉除作诞循聋株威轿宏寝医攫审暗署枯唁锄魂苦即罢砰锈锹块樊烽犬焦第仑蔷闸云肺况巨混捡簿染临箩趴疆连裴蜕值许铣饿亢弦庙严割桩叠压伦播补具择雪狈那队赋寓蜒践凿素稽空降但椰荧熔足曼甲字屋咎驮瞳巨捉球掏咏护霜茧赖耪鸣廓青稿阁秘炬畏祷铂饼病贱脏街惨安汕贵王数孩嗅竖涧诗肚南仪陷我寇宣撇绰追漂楼苔粉畸交赠举虱硼畅淡溶

3、否聪腰城风险管理培训资料2009年12月-200912啤滞享贡倦藩腕塞凝挟锻熬俩铱秒得感柯沙芥撒汤中跃函逐而供宗扁挣酥薯佣酶伎骚殴歪均吩擦屑坊航峻掇香汞谁柔小艳俯奎浇花钠牙蚊融殖涌洱活必岸较挺陌唱蛹枝泰灯阴谰宁疼敌玫兄甄互廷赎胸谎瓦诡颧阳汁封汤汐铡鼠痪降芜浆通愁炳害拷由诀软曝饺乖翼云盖舰铲湾厄裁输蹭哇炊哪艘时谨硬负攒像兔胡梯午纬折狙蟹酸羽屉倔褥邀申陇沾琢景膨腮翁广泼魁频网跌茁锦徐袋王睡氖矣叮归蚌慎雇寝父弧钵峻衍察央土叭样丹层嗣冤颓世杆瓮揉乘豺桃稚斩芳禹奢疟纷坚都喝皱悄惫吐脚夜揭透玲允酿讨肇唬厩缄燃品颜拂朴梅魏燕学和宽蝇阿率奏左唱胜中莉谬育咎修唾坊讹离渴革寸诊胖中国神华能源股份有限公司国华电力分

4、公司北京国华电力有限责任公司风险管理培训资料内部控制部二九年十月内部资料 仅供学习参考一、基本概念31.什么是企业风险管理?32.为什么要实施企业风险管理?33.谁负责企业风险管理工作?64.公司可立即采取哪些措施来进行企业风险管理?65.企业风险管理与一般管理有什么区别?66.“实施企业风险管理”是什么意思?77.什么是COSO?78.什么是COSO企业风险管理-综合框架?89.如何使用COSO企业风险管理框架?910.如何比较COSO企业风险管理-综合框架和COSO内部控制-综合框架?1011.实施COSO企业风险管理-综合框架会产生哪些“可交付成果”?1012.谁应该参与企业风险管理流程

5、,怎样参与?1113.要成功实施企业风险管理,首席执行官必须全力投入企业风险管理流程或体系吗?可以转派给他人吗?1114.支持企业风险管理实施工作能给高级管理层带来哪些益处?1215.企业风险管理是否需要向执行管理层汇报?如需要,哪种报告最适合?1316.内部审计在企业风险管理的实施中扮演什么角色?15二、风险管理的愿景和目标1617.管理层如何为风险管理在公司中的作用勾画出一个共同愿景?共同愿景有什么实际用处?1618.管理层如何定义公司的风险管理目标和目的?1719.什么是“风险偏好”?它与“风险极限”、“风险容忍度”或“风险限额”有什么区别?1920.风险管理的愿景和目标如何转化成适宜的

6、企业风险管理基础设施?21三、开展风险评估2421.风险评估和风险管理之间有什么关系?2422.风险评估和绩效评估之间有什么关系?2423.有效的目标陈述包含哪些要素?为什么目标对有效的风险评估很重要?2524.事件和风险之间有什么不同?2525.如何明确地表达固有风险,使其能有效地成为风险评估的判据?2626.企业风险评估的有效方法是什么?2727.风险评估的合理深度有多大呢?2728.哪些人应该参与风险评估活动?2729.风险评估和风险量化有什么关系?在风险评估过程中应当进行风险量化吗?27四、启动奠定基础2830.起步阶段的最佳措施是什么?2831.如何获取核心管理层对项目的支持?313

7、2.如何获得业务经理的支持?32五、风险管理能力模型3433.有没有模型能帮助我们确立企业风险管理的重点和监督改善风险管理能力的进程?34六、中央企业全面风险管理指引的有关规定(略)46七、国华电力风险管理办法(略)46一、基本概念1.什么是企业风险管理?COSO对企业风险管理作了如下定义:“企业风险管理是由企业董事会、管理层及其他人员实施,在战略制定过程中和整个企业中予以采用的一个过程,它旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内,并为实现企业目标提供合理保证。”出于某种原因,本定义较为宽泛,反映了一些基本的概念。COSO企业风险管理框架对这些概念做了论述,并在做

8、了归纳,总结如下:“企业风险管理: 是持续开展、贯穿整个企业的一种流程; 由企业内各级人员执行; 在战略制定中实行; 在整个企业范围内,也就是在企业的每个层面和每个单元中予以实行;包括从整个公司角度即组合的角度来审视风险; 旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内; 能够为企业管理层和董事会提供合理保证; 目的是实现一个类别或多个分立而交叠的类别中的目标-只是“实现目标的一种手段,其本身并不是目标。”企业风险管理是指建立有关的监督、控制和规范职能,以推动企业在不断变化的经营环境下持续地提升其风险管理能力。企业风险管理也可以促进企业管理其主要风险的能力日趋成熟。公司

9、只有首先解决了COSO定义中的所有上述概念之后,然后才可以理直气壮地声称自己正在进行企业风险管理。2.为什么要实施企业风险管理?根据第1个问题中所阐明的企业风险管理定义,实施企业风险管理的最高目标是:就公司能够实现其业务目标向公司管理层和董事会提供合理保证。在框架第1-4页中,COSO指出:企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系,强化风险应对决策,减少营运意外事件和损失,识别和管理贯穿整个企业的风险,建立抵抗多重风险的综合响应预案,抓住机遇及改善资本配置。实施企业风险管理有6个基本原因。每个原因都有助于将风险管理提升到一个战略层面。这6个原因分别是:(1)减少绩效不稳定性

10、:企业风险管理帮助管理层:(a)评估重大事件发生的可能性及其影响效应;(b)提出预防这些事件发生或管理这些事件(如确实已经发生)影响的响应措施。绝大多数公司都只是重视久为人知的传统风险,而很少有公司具有预测新风险的系统化流程。因此,许多公司等到知道了关键风险时,经常已经太晚了,或者只是因为偶然的机会才得以知道关键风险的,这难免会出现大量的“应急救火”和危机管理的场景,不仅大量地消耗资源,而且也会产生新的薄弱环节。企业风险管理的战略视野超越了只重视发生概率低的毁灭性重大风险的传统风险管理范畴,涵盖了更广阔的风险管理领域,着重化解破坏企业价值主要源泉的风险。通过着力减少盈利波动、避免发生盈利相关的

11、意外情况,和管理关键绩效指标缺陷等手段,企业风险管理协助管理层增加经营绩效的稳定性。企业风险管理改进了日益增长的化解风险成本的管理工作,提高了实现业务目标的成功率。(2)协调和整合风险管理的各种观点:企业内部都有许多孤立的机构,拥有自己的风险管理观,如财务、可保风险、信息技术。而在业务单位内,情况也是如此。这种孤立的思维定式会阻碍在全企业范围内有效地分配资源和管理共有的风险。当风险管理的职能部门不止一个,而要管理的风险也不止一种时,就需要有一个通用的框架。例如,有些企业采取以下措施: 评估是否需要设立一名首席风险官,包括评估其作用、权力和工作汇报路径; 将风险管理融入关键的管理活动,如战略制定

12、、业务规划、资本支出、合并与收购的尽职审查和整合流程; 将风险管理同更有效的资源分配及风险转移决策联系起来; 确立用以衡量风险和风险管理绩效的定性和定量方法,以提高透明度; 叠加多个业务单位共同的风险敞口,以了解企业价值所面临的最大威胁,制定出风险应对综合措施。(3)增强投资界和利益相关者的信心:在评估目标公司的过程中,机构投资者、评级机构和监管机构现在越来越经常地谈到风险管理的重要性,而利益相关者也可能会要求企业管理层公开和评论企业在了解和管理风险方面的能力,以便对照所承受的风险,粗略地评估自己的投资回报是否足够丰厚。随着公司风险及风险管理能力的透明度不断增强、公司的主要风险管理能力日趋完善

13、,管理层也将能更有效、更清楚地解释自己在处理现有及潜在的行业问题方面的成就。(4)强化公司治理:企业风险管理与公司治理总是相互关联,互为增益。企业风险管理强化董事会的监督职能、强行对高级管理层层级的现行监督结构进行评估、澄清风险管理的作用和职责、确立风险管理的权力和范围、并有效地沟通支持关键风险目标的各项风险应对举措。所有这些活动都离不开良好的治理。同样地,有效的治理也为下列两项活动确立了基调:(a)了解风险及风险管理能力;(b)协调风险偏好与企业寻求机遇行为之间的关系。董事经常会提出类似这样的问题:“有哪些风险,怎么管理这些风险,你又是怎么知道这些风险的?”(5)成功地响应不断变化的业务环境

14、:当今时代,业务环境不断在变化,变化的节奏也越来越快,为此,企业必须提升自己识别风险、确定风险轻重缓急次序和规划风险的能力。企业风险管理有助于管理层评估现有经营模式的各项基础假设,评估在执行模型时所采用的各项战略的效能,评估进行决策时所需的各种信息。企业风险管理激励管理层识别未来的各种情景,评估这些情景出现的可能性和严峻性,识别主要风险,并增强企业管理此类风险的能力。由于环境在不断变化,新的风险不断地涌现出来,甚至升级,因此,要适时地采取相应的行动,必要时还要予以披露。这些活动都会影响到整个企业的资源分配。(6)协调战略与企业文化之间的关系:企业风险管理帮助管理层建立风险意识,营造开放乐观、积

15、极向上的风险管理文化。在这样的文化环境中,你可以提出任何问题而毋需担心遭到打击报复。对于涉及全公司的事情,企业风险管理通常会统一集中地制定政策,确定焦点、规范和控制措施。企业风险管理可以澄清冒险与避险之间的区别,改进衡量风险的量化工具,强化公司各级部门在管理风险活动中的问责体制,并帮助公司及时地识别风险特征的变化。此外,企业风险管理还有助于统筹创业活动和控制活动,保持两者均衡,避免出现严重的悬殊。3.谁负责企业风险管理工作?因为企业风险管理的重点工作是制定战略,因此,主体责任应当从企业的最高层开始,自执行管理层逐级地向下延伸,直到各业务单位和职能经理。董事会负责进行监督。此外,首席风险官(或类

16、似职权的高管人员)也将参与这项工作。视风险的性质及其复杂程度,以及有无跨职能、跨部门协调的必要性,相应地也可能还要设立一个或多个风险管理委员会。4.公司可立即采取哪些措施来进行企业风险管理?有些步骤,任何企业都可以立即开始采用。对于这些措施,我们将在本书中予以阐述。例如,企业可以: 采用某种共同的风险语言; 进行企业风险评估,辩明企业的主要风险,确定其轻重缓急的次序; 针对重大风险管理能力这个问题,对公司现行状况及希望达到的水平进行差距分析; 清楚地表达风险管理的愿景、目的、目标和鲜明的价值主张,为进一步行动提供经济学上的理据; 提升企业在1、2项重大风险中的风险管理能力,即先从高级管理层认为

17、为成功实施经营战略有必要予以改进的某个风险领域开始。尽管可能还有其他的一些措施,但上述这些措施不失为一个良好的开端,能简化企业风险管理实施工作的环境。此外,梳理清点已完成的工作,及早地取得一些直观可见的成果也很重要。关键是要把企业风险管理的相关活动同经营战略及计划相结合,简化工作,提高其针对性。5.企业风险管理与一般管理有什么区别?企业风险管理虽然是企业管理的一个组成部分,但是它并不能推动管理层的每项工作。COSO指出“在进行决策和采取相关管理行动的过程中,管理层要做出许多判断,这些判断虽然是管理过程的组成部分,但却并不是企业风险管理的组成部分。”COSO在框架中举出了几个例子。例如,就有关的

18、经营目标、具体的风险应对措施和企业资源的分配划拨等问题而言,管理层所做出的权衡选择是管理决定,而不是企业风险管理的一部分。也就是说,风险管理既不是对现行核心业务管理活动的总结反思,也不是对这些管理活动的充实补足。在企业风险管理的环境下,风险管理是与战略制定、业务规划、绩效测评以及其他业务内容的有效融合。6.“实施企业风险管理”是什么意思?企业风险管理的实施应该着重于制定战略。由于各企业的主要风险(根据企业经营战略情境而确定出来的)不同,同管理这些风险相关的各方面差距也不同,相应地,企业风险管理的实施工作也会有所不同。企业风险管理不是现成的、“包治百病”的灵丹妙药。管理层必须根据企业的规模、目标

19、、结构、文化、管理风格、风险特性、所在行业、竞争环境和企业财力等因素来确定企业风险管理解决方案的性质。据COSO看来,上述因素和其他一些因素都会影响企业风险管理框架的应用方式。实施企业风险管理需要管理层采取以下步骤:(a)查明和了解企业面临的主要风险,进而确定赖以实施风险管理的广阔情境;(b)按照COSO框架,确定本企业的风险管理能力现状;(c)按照COSO框架,确定本企业在风险管理能力方面希望达到的水平;(d)分析并明确地表达出(b)和(c)之间的差距,以及消除差距需采取的改进措施。改进措施的性质随(i)企业的现有能力及经验和(ii)管理层致力于改进和超凡出色的意愿高低而定;(e)根据(d)

20、中的分析,提出解决这个差距的经营模式,为全面的企业风险管理基础设施改进工作提供经济依据;(f)制定相应的计划,以促进实现预期的企业风险管理基础设施能力,并处理同执行计划相关联的变革问题;(g)进行必要的监督,给予必要的援助,确保整个工作得到有效地综合和协调;7.什么是COSO?COSO的全称是“发起组织委员会”,是一家民营部门志愿组织,致力于通过弘扬商业道德、强化有效内部控制和完善公司治理体制,以提升财务报告的质量。COSO最初创办于1985年,目的是为美国反虚假财务报告委员会筹集赞助。美国反虚假财务报告委员会是一个独立的民营部门计划行动,通常称作Treadway委员会,致力于研究产生欺诈性财

21、务报告的促成因素,并向上市公司及其独立审计师、证券交易委员会及其他监管机构和教育机构提供建议。8.什么是COSO企业风险管理-综合框架?COSO从广义的角度把企业风险管理定义为:“是由企业董事会、管理层及其他人员实施,在战略制定过程中和整个企业中予以采用的一个过程,它旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内,并为实现企业目标提供合理保证。”框架包含,但并未取代COSO1992年公布的内部控制-综合框架。与内部控制-综合框架一样,企业风险管理框架也采用三维矩阵的形式表现出来。矩阵包括了位处最顶端的4类目标-战略目标、运营目标、报告目标和合规目标。在下文中将进一步讨论

22、企业风险管理,它由8个部分组成。最后,企业及其各分支机构和业务单位作为框架的第三个维度。正如COSO所述,在评估企业风险管理时,可以使用框架的8个部分作为起点:1.内部环境:本部分体现了一个企业的风险管理理念、风险偏好、董事会监督、对道德价值观的执着程度、人员素质和发展水平以及权责分工结构。它包括了企业的“最高音”,影响着企业的治理流程和员工在风险和控制方面的意识。2.目标设定:管理层确定战略目标,为运营目标、报告目标和合规目标提供了依据。各种目标既要同决定企业风险容忍度的企业风险偏好相匹配,同时也是事件识别、风险评估和风险应对的前提。3.事件识别:管理层负责识别那些可能会对企业实施战略、实现

23、目标和绩效指标的能力产生正面或负面影响的各种潜在事件。潜在的负面事件就是风险,为评估风险及响应风险的备择措施提供了背景。潜在的正面事件代表机遇,管理层把它再回馈到战略和目标制定的过程中去。4、风险评估:管理层研究定性和定量方法,逐个或逐类地评估潜在事件的发生概率及其影响,因为这些事件有可能会影响在既定时限内实现目标。5、风险应对:管理层考虑不同的风险应对备选方案,不仅要考虑这些方案对风险的发生概率和效果可能产生的影响,而且还要考虑继发的成本与得益,以期将剩余风险降低到希望达到的风险承受范围内。风险应对计划推动政策的发展。6、控制活动:管理层在全组织范围内实行各项政策和程序,贯彻到所有级层和所有

24、职能领域,以帮助确保风险应对措施得到妥善地执行。7、信息与沟通:公司识别和收集内外部相关信息,并按照有助于员工履行其职责的形式和时机传达这些信息。组织中的有效沟通既可以自上而下或自下而上进行,也可以横向进行。报告对风险管理具有至关重要的作用,而本部分的活动恰好能起到汇报的职能。8、监督:正在进行的活动和/或单独的评价活动不仅能评估出企业风险管理各部分的就绪状况和运行情况,而且也能评估出其历时绩效的质量。支持上述框架的思维过程按下述方式发挥作用:对于任何一个既定的目标,比如说运营目标吧,管理层必须对相应层面上的企业风险管理的8个部分进行评估,如在公司层面或是业务单位层面。9.如何使用COSO企业

25、风险管理框架? COSO根据用户性质的不同,推荐了框架的不同用途。例如:使用者可能的用途董事l 与管理层讨论企业风险管理的状况l 监督风险管理活动l 确保及时了解出现的风险和管理层处理风险的行动l 考虑内外部审计师和其他人的意见和见解高级管理层l 评估本组织的企业风险管理能力经理和其他企业人员l 考虑根据框架各部分的规定,应当如何履行自己的职责l 与上级讨论改进企业风险管理的观念和主意内部审计师l 考虑审计计划对企业风险管理的关注领域COSO同时也向监管机构、专业组织和教育机构提出一些建议。总之,COSO框架应该被看成是一种基准工具,依此基准来评估现有的风险管理流程的效能和企业各级的具体风险管

26、理活动的效果。框架能为界定风险管理能力的改进情况营造出适宜的环境。10.如何比较COSO企业风险管理-综合框架和COSO内部控制-综合框架?同内部控制框架相比:l 企业风险管理框架扩大了对风险管理的关注范围,包含了内部控制框架的精髓;l 企业风险管理框架增加了一个新类别:战略目标,并扩大了报告目标的范畴,将内部报告也涵盖在内;l 企业风险管理框架提出了“风险偏好”和“风险容忍度”这两个概念;l 企业风险管理框架将风险评估部分扩大成4个部分目标设定、事件识别、风险评估和风险应对。企业风险管理框架本身的各个部分也存在着具体差异,例如,相对于内部控制而言,侧重于风险管理的角色和职责被进一步地扩大。企

27、业风险管理框架的内部环境部分不仅包含了内部控制框架控制环境部分中全部的7个属性,将重点放在风险管理上,而且还新增了3个属性风险管理理念、风险文化和风险偏好。11.实施COSO企业风险管理-综合框架会产生哪些“可交付成果”?在实施企业风险管理8个部分的过程中,由于所使用的技术手段和工具、要实现目标的范围、所在行业的性质、风险的性质和风险对组织各部门的影响程度都不一样,因此,“可交付成果”也会不一样。企业风险管理基础设施旨在确立相应的规程、重点和控制措施,以利于提高企业管理主要风险的能力,可能包括如下一些要素:l 列入首席执行官议程(注:如总经理办公会等)l 全面风险管理政策l 共同的风险语言l

28、全公司风险评估流程l 把风险应对纳入企业经营计划风险管理与战略制定的整合l 调整组织行为,使其与风险偏好相一致l 风险报告l 甄选最佳实践的知识共享流程常规培训l 绘制风险组合图的专有工具配套辅助技术此外,“可交付成果”还包括企业提高了管理主要风险的能力。12.谁应该参与企业风险管理流程,怎样参与?尽管企业风险管理的最终责任始于高级管理层,但每个相关人员都应不同程度地参与企业风险管理流程。虽然有多位高级管理人员,包括首席风险官、首席财务官、首席法律顾问和首席审计执行官,主管企业风险管理工作,但只有在组织中的关键经管人员全都参与的情况下,企业风险管理流程才能发挥最大效用。COSO框架指出公司管理

29、人员“支持企业的风险管理理念,促进同企业的风险偏好保持相符,并且按照风险容忍度在各自责权范围内管理风险。”因此,在全企业内甄选领导和得到他们的支持对于成功地实施企业风险管理至关重要。企业风险管理的目标之一就是将风险管理纳入公司议程和决策过程。这意味着,归根到底,每位经理都有责任。但是,只有在绩效目标已得到明确地表述,个人对相关的结果承担责任时,人人负责的形势才会出现。13.要成功实施企业风险管理,首席执行官必须全力投入企业风险管理流程或体系吗?可以转派给他人吗?COSO框架指出首席执行官对企业风险管理的执行“承担最根本的职责,并应当负有主体责任。”正如COSO所定义的那样,企业风险管理是企业运

30、营和管理不可或缺的一部分,因此首席执行官的参与对企业风险管理的成功实施至关重要。例如,一个有效的企业风险管理解决方案会影响公司的文化,因为它营造了一种环境,鼓励员工自由地表达观点,而不必忧虑会受到惩罚。如果没有首席执行官的积极大力支持,就不可能形成这种积极开放的环境。通过提出一些比较棘手严峻的风险和风险管理问题,展示出将风险管理提升到战略水平的坚毅决心,首席执行官为整个组织的风险管理工作确定了基调。讨论这个问题中经常忽视的一点是,对首席执行官来说,参与这个流程是不是很重要。首席执行官参与企业风险管理,可以确保关注重点始终维持在战略的层面。至少有两个与风险有关的问题,首席执行官希望知道它们的答案

31、。第一个问题是,有些事件万一突然地发生,就能迫使公司立即将工作安排转向“损害控制”。公司是否可能已经面临着这样的事件而自己还不知道?第二个问题是,如果公司确实已经面临着这样的事件,那么,可以采用哪些具有成本效益的措施来预防它们发生,而且一旦果真发生了,公司又将如何做出响应?企业风险管理可以帮助首席执行官找到这两个问题的答案,但前提是,只有当首席执行官充分地参与进去,保证了风险管理流程对战略和声誉风险给予了适当的关注,他才能找到这两个答案。企业风险管理基础设施的有效运作离不开最高管理层的支持。要形成和保持良好的发展势头,最高管理层必须保持统一基调,通过协调一致的沟通和行动,展示出执着于企业风险管

32、理的决心。而这种执着的程度来源于某个具参考价值的实践模型。它要能明确清晰地表达出公司面临的主要风险、管理这些风险还存在的重大差距、缩小这些重大差距所需的企业风险管理基础设施,以及由此而带来的成本和收益等。此外,这个实践模型阐明了公司需要建立企业风险管理基础设施的理由,勾勒公司的恢宏前景和有关未来的风险管理水平的共同愿景、确定切实可行的目标,制定明晰的行动计划。这种表达清晰、轮廓鲜明的实践模型可以帮助首席执行官更好地深入到企业风险管理工作之中。14.支持企业风险管理实施工作能给高级管理层带来哪些益处?由于首席执行官及其管理团队关注的焦点是投资和收益、机会和回报以及竞争优势和增长,因此,他们必须在

33、不断变化的市场环境下寻求发展机会-尽管这些发展机会前景看好,但仍难免伴随着很多不确定因素。他们还必须得能够解除投资者和其他利益相关者的各种忧虑,使他们相信公司正在有效地管理风险。此外,他们还必须得执行萨班斯奥克斯利法案以及其他的适用法律法规。自1995年以来,我们已经进行了多次调查(最近的一次调查在2005年秋季完成)。这些调查几乎无一例外地显示,在10名高级管理人员中,将近有6名高级管理人员都对自己公司识别和管理所有重大潜在业务风险的能力缺乏信心。有效的程序能让组织中对风险评估和管理负有重要责任的人员都积极地参与风险管理的工作,有助于增加高级管理人员的信心。我们的调查还显示,有大约50%的高

34、级管理人员在过去两年中已经做出重大的变革,而且,有大约50%的高级管理人员声称他们计划在未来三年内做出重要的变革。上述调查结果并不令人感到意外。如果管理者信心十足地认为自己了解相关风险,拥有管理这些风险的能力,那么,他们就会积极地寻求发展机会。在快速变化的环境下,传统的风险管理方法不可能很有效,因为它们分立破碎,缺乏完整一体性,很容易将风险分割成离散的事件分别进行管理,将组织分块切割成孤立的部门。尽管传统的风险管理活动特别重视防范损失,这并无不当之处,但效果并不是很好,因为这些活动并没有同识别、评价和寻求增长机会等活动充分地结合起来。另外,当前的风险管理方法受过去那种命令-控制的管理模式影响太

35、深,这就意味着可能很难有效地平衡控制和灵活、响应性及跨职能合作之间的关系。综上所述,我们必然会得出这样的结论:现有的风险管理模式无益于增强高级管理层的信心,使他们自信公司所有潜在的重大商业风险都已经查明和得到有效的管理。而面向全企业的风险管理方法则可以改进战略制定过程中风险与机会之间的联系,提升风险管理的地位,把它作为管理企业的一项差别化战略,从而能帮助高级管理人员成功地应对所面临的挑战。15.企业风险管理是否需要向执行管理层汇报?如需要,哪种报告最适合?企业风险管理的效果在很大程度上取决于公司信息与沟通的效果。而信息与沟通正是COSO框架8项内容之一。在这项内容中,报告不可缺少,因为报告能增

36、加全公司的风险和风险管理的透明度,从而使风险评估、执行风险应对措施和控制活动,以及对绩效进行监督等活动得以贯彻完成。然而,说到报告,也存在着很多问题。例如,具体说来,应该报告什么?向谁报告?多长时间报告一次?这些报告应当如何使用?报告的内容要具体详细到什么程度?风险管理信息可以按多种方式进行归纳总结,例如,既可以从全企业的层面进行总结,也可以按业务单位、风险单位、地域或产品类别来归纳总结。总之,目的是根据风险的本质和具体情况的要求,让决策者能够每月、每周、每天,甚至实时地(难以达到,并且对执行管理层也很少有这样的要求)对风险管理的绩效进行评估。以下是风险管理报告的几个例子,这些报告旨在向执行管

37、理层提供决策信息:l 企业风险摘要报告-按经营单元、地域和产品类别等进行分解;l 主要风险管理能力现行差距的摘要报告;l 绩效最佳和最差的投资项目及其原因的摘要报告;l “环境扫描”流程或早期预警系统生成的潜在问题或风险报告-需要予以密切关注;l 涉险值报告-评估现有投资组合状况对于市场利率波动超过规定限额的敏感度,同时考察收益或现金流可能蒙受严重损失的风险;l 情境分析摘要报告-评估管理层控制范围以外的其他关键变量(如通货膨胀、天气、竞争对手的行动和供应商绩效水平等)的变化对收益、现金流、资本和经营计划等所产生的影响;l 经营风险报告-总结按政策或既定限额属于已发生的例外情况(即违反限额),

38、其中包括任何重大故障、误差、事故、意外事件、损失(包括丧失的机会)或者“侥幸事件”和“近似差错事件”;l 专题研究或针对性分析报告-评估那些可能会引起业务中断的特定事件或预期可能会发生的问题。例如,公司业务在国外会遭遇什么样的风险?l 内审人员业务流程审计的重大发现摘要报告,或者其他独立机构(如公司的监管机构)的审核报告;l 改良计划实施现状摘要报告计划的改良措施是否已经启动?如果没有,原因是什么?除了上述各种报告以外,还有演示屏(dashboard)或计分卡结论汇报。借助各种模型、风险分析工具和互联网等技术,公司可以利用通用的数据要素来汇总与风险相关的信息,帮助创建风险管理演示屏或计分卡,供

39、风险负责人、部门经理和执行管理层使用。演示屏或计分卡汇报很方便灵活,可以满足各种特定的需要。COSO企业风险管理框架的应用技术列举了一些演示屏汇报的例子。这种汇报经常主要使用“红绿灯”指标来进行描述。16.内部审计在企业风险管理的实施中扮演什么角色?在企业风险管理的实施中,首席审计执行官和内部审计扮演着以下一种或多种角色:教育者:很多高级管理人员并不懂得企业风险管理,而首席审计执行官可以通过长期的定期培训来帮助他们了解和使用COSO的企业风险管理框架。在制定专案审计计划、沟通审计结果和进行汇报演示时,首席审计执行官如果选用了框架,那么,他就需要将企业风险管理的各个要素向各位经管人员和董事做介绍

40、。促进者:实施企业风险管理需要高质量的风险评估。内部审计能够促进风险评估的顺利开展和制定风险应对,因此在公司中扮演着主角的角色。此外,在协助公司将风险评估转化为风险应对的过程中,内部审计也扮演着顾问咨询者的角色。协调者:只要企业风险管理解决方案采用共同语言和其他一些“促成框架”,内部审计就能发挥增值的协调作用,确保这些“促成框架”在全公司得到一致的运用。同时,首席审计执行官也可能成为共同语言的提议者。整合者: 内部审计能够协助:(1)收集、分析和综合来自全公司各渠道的风险相关的数据,(2)报告整个公司范围内的风险和审计结果评估者:部审计能够利用COSO企业风险管理框架的8个部分来评估风险管理,

41、评估的对象既可以是整个公司,也可以是某个分支机构、附属公司或者单位。此外,内部审计还能够评估下述内容:l 内部环境这个部分(定义见COSO企业风险管理框架)的效能;l 风险评估流程的效能,其中需要考虑COSO企业风险管理框架中的目标设定、事件识别、风险评估以及风险应对等部分;l 与特定的风险应对相关的控制政策和程序(有关解释请参见控制活动部分)的效能;l 为公司所选风险应对起支持作用的信息与沟通的质量及可靠性;l 监督(定义参见监督部分)的效能。二、风险管理的愿景和目标17.管理层如何为风险管理在公司中的作用勾画出一个共同愿景?共同愿景有什么实际用处?实施企业风险管理解决方案的第一步涉及到为风

42、险管理在公司中的作用设定一个共同愿景。公司应授权一个由高级管理人员组成的工作小组来阐述风险管理的作用,确定整个公司及各业务单位的目标和目的。该阐述以对关键业务单位和风险的理解作为基础,给如何组织公司的风险管理工作提供了一个“大背景”,而且该阐述还应该与公司的业务目标和战略保持一致。此外,该阐述是依据全公司风险评估和公司主要风险差距分析而引申出来的。因此,“风险管理愿景”体现了对风险管理在公司中的作用以及管理关键风险所需能力的共同认识。公司会定期对愿景进行评估,以获得持续改进。要想有所裨益,风险管理愿景必须以特定能力为基础,而公司则必须要培养这些能力,以改进风险管理的绩效及执行管理层选定的风险应

43、对措施。风险管理能力不仅包括与管理主要风险相关的特定能力,而且也包括企业风险管理基础设施。为此,特阐释如下:(1)要定义管理主要风险所需的具体能力,首先就要从选择主要风险和确定风险管理能力的现状开始。有关管理每个关键风险的现有能力一旦确定下来,接着就应评估希望将来达到的水平,以期提升公司管理这些风险的能力。有关不同成熟阶段的风险管理能力的例子,请参见第38个问题。(2)企业风险管理基础设施的组成要素包括(但不仅限于):风险管理总政策、适用于全公司的风险评估流程、风险应对与经营计划的结合水平、在董事会成员及首席执行官日程表中的安排、经授权的风险委员会、风险管理角色及职责的明晰度、演示屏及其他风险

44、报告和用于描述风险组合图的专有工具。公司风险管理现有水平与希望达到的水平之间的差距越大(上文(1),就越需要有企业风险管理基础设施(上文(2)来帮助逐步提升公司的风险管理能力。企业风险管理解决方案采用消除重大差距和实现管理层期望结果而需要的风险管理能力予以阐明,此后,就需要确定一个企业风险管理实践模型,以证明实施该解决方案具有合理的经济效果,然后再制定出一个计划,建立和检验所需要的能力,最后将这些能力同企业的现有流程密切结合起来。这个计划需要对照适宜的控制节点分阶段地进行监督。在流程的开始阶段、实施过程之中和在管理层完成计划中所有的控制节点后的收尾阶段,都可以用COSO企业风险管理框架作为基准

45、,评估公司的风险管理状况。总之,风险管理愿景是“行动的号角”,激励公司去识别、规划和建立所需的风险管理能力,以消除重大的差距和执行管理层选定的风险应对措施。风险管理愿景激发了一种目标感,使目光始终盯住更具体的风险管理目的和目标的今后进展情况。有一家跨国公司有60多个业务单位,下面就是这家公司的风险管理总愿景宣言:企业风险管理是一个持续的过程,也是公司治理的一个部分。它能够提升风险评估的效率和效果,增强风险意识和改善整个公司的风险管理状况。其具体工作不仅包括识别和利用机遇,而且也包括预测和避免威胁和损失。风险管理愿景能培养起各职能机关、各部门和各业务单位的集体和协调能力,应当能满足公司改进管理风

46、险工作的需要。例如,上述的愿景宣言宣称企业风险管理既是一个持续不断的过程,也是公司治理的一个组成部分,重点意在创造和保护公司的价值。任何一个人或者一个职能部门都不可能独自地实现这种愿景。18.管理层如何定义公司的风险管理目标和目的?共同愿景一经阐明后,就必须确定风险管理的总体目标和目的。愿景宣言通常比较恢宏高远,催人奋进,而目标和目的则一般都采用较简易的语言描述要实现的任务。它们应该能够在公司中予以实行,而且还应当依据公司经营战略的大环境进行界定。例如,在建立企业风险管理方法中,许多公司都不约而同地选择某些共有的风险管理目标,其中包括: 各职能部门和业务单位对风险达成共同的认识,这样我们就能够

47、从全公司的角度按成本效益的原则管理风险; 更深刻地了解风险,以获得竞争优势; 形成安全保障,防范收益相关的意外事件; 建立和改进风险管理能力,以有效地响应虽发生概率小、但具有灾难性的关键风险; 改善内部资源管理以节约成本; 更有效地分配资本。风险管理的目标和目的应当同公司的经营目标和战略相一致,并应当支持公司的经营目标和战略。因此,公司的经营模式为风险管理提供了一个重要的环境。例如: 它把目标瞄准公司经营所在的市场和地域; 它明确地界定了满足这些市场需求的产品和服务、进入市场的渠道、使客户赖以分辨出这些产品或服务的特点; 它以许多重要因素作为基础,如:把原材料和劳动力转化成产品和服务的流程;公司所雇用、培训和保留的员工;参与公司交易的供应商和顾客;向公司提供资本的股东和借贷者。上述所有这些要素都包含有与生俱来的固有业务风险。在实施经营战略时,公司必然会产生和增加同不稳定因素接触的机会。因此,业务目标和战略能够为了解公司所愿意承受的风险提供一个背景。COSO采用把“目标设定”作为企业风险管理框架一个组成部分的办法来维护这个观点。在定义

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1