全面风险管理模型——普华
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
经济因素 资本可供性 信贷发行,信贷违约 集中投资 清偿债务 金融市场 失业 竞争 兼并/收购
自然环境因素 排放物和废物 能源自然灾害 可持续性发展
政治因素 政府更迭 立法 公共政策 监管
社会因素 人口统计数字 消费者行为 公司身份 隐私 恐怖主义
工艺性因素 生产中断 电子商务 外部数据 新发展的工艺
可能性-危险
• 如果风险发生,对业等务级部门或公司的财描务述影响是重大的;
信号
• 如果风险发生,对公司或业务部门持续性或其战略和经营目标的
影响是中度的;
很可能
• 在以后的十年内有多次发生的潜在
• 如果风险发生,将(产25~生高10中0%度) 的• 政在或治一或年期社内会可方能发面生的;影响• 。可在能过性去;两年曾经发生过;
第17页
企业风险管理整合框架
COSO风险管理框架要素五:风险回应-举例
规避风险 — 一个非盈利组织识别并评估了向其成员提供直接医疗服务的风险 后决定不接受相关的风险。因此它决定,取而代之以提供咨询服务。
减少风险 — 一家证券清算公司识别并评估了其系统超过3个小时不能工作的风 险后作出结论:该公司不能接受出现这种事件的影响。因此它斥资改进技术, 采用了增强型故障自检测和备用系统,以减少系统不可用的可能性。
• 识别的方法
危险
坏的事情发生的风险
结果的不确定性
不能满足预期
机会
丧失机会
战略目标经营目标 报告目标合规目标
内部环境 目标设定 事件识别
分
公
部
业 务
、 子
司
风险评估 风险应对 控制活动
单公
层
司
面 门位
信息和沟通
监督
第12页
企业风险管理整合框架
COSO风险管理框架要素三:事件识别
外部因素
事件分类
内部因素
内部环境 目标设定 事件识别 风险评估 风险应对
控制活动
部业
公
务
司
单 层
面 门位
信息和沟通
监督
分 、 子 公 司
在哪?
考虑到企业 所有层面的行为
第6页
企业风险管理整合框架
COSO风险管理框架要素一:内部环境
• 树立风险管理的理念:这种理念 认为无论是预期的还是非预期的 事件都有可能发生
• 建立企业的风险文化
• 在制定企业战略时要对风险偏好加以考 虑,战略应与企业风险偏好相一致。
• 风险偏好是按照企业的利益相关方的好恶 高 调整的,应该由管理层来确定。
• 通过了解一个企业的企业风险概况、了解
哪些领域企业愿意承担风险,哪些领域企
业不愿意承担风险等方法都可以帮助理解
影 响
中
一个企业管理层的风险偏好。
低
形成风险偏好 超出风险偏好
第18页
企业风险管理整合框架
COSO风险管理框架要素六:控制活动
第4页
企业风险管理整合框架
企业风险管理的定义:
当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之 间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源 时,价值得以最大化。企业风险管理包括:
• 使风险偏好和战略保持一致 —— 在评估企业战略替代方案、制定相关目标以及建立 管理相关风险机制的过程中管理层应考虑企业的风险偏好。
基础设施因素 资产可用性 资产能力 资本获取能力 复杂性
员工因素 员工能力 舞弊活动 健康与安全
流程因素 生产能力 设计 执行 供应商/相互依存性
技术因素 数据完整性 数据和系统的可 用性 系统选择 技术开发 技术采用 维护
第13页
企业风险管理整合框架
COSO风险管理框架要素四:风险评估
• 理解潜在的事件对企业目标有多 大程度的影响,并从两个方面对 风险进行评估:
企业风险管理整合框架
COSO风险管理框架要素二:目标设定
制定战略和相关目标要考虑: •风险偏好 •风险容忍度
- 风险容忍度是指在实现企业特定目标过程中对差异的可接受 程度
- 风险容忍度应该是明确的、切实可行的、可以衡量的 - 风险容忍度应该整个企业的层面适当分配,以便于管理和监
控 - 风险容忍度应该要企业内部外部的人都明确知道
• 抓住机遇 —— 通过对潜在事件的全面考虑,管理层就可以识别并积极地实现各种机 遇。
• 改进利用资本的效率 —— 获得风险信息可以使管理层有效地评估总的资本需求并增 强资本分配能力。
第5页
COSO企业风险管理框架
4类目标,8个构成要素
什么?
8个相互
联系的构 成要素
如何整合?
目标可分为4类
战略目标经营目标 报告目标合规目标
全面风险管理 模型
2007年8月
企业风险管理整合框架
COSO《企业风险管理整合框架》的背景
• COSO内部控制框架的制定是针对上世纪八十年代的虚假财务报 告和披露事件,当时普华永道参与了该框架的编制。自该框架 在1992年发布以来,COSO一直致力于企业风险和管理相关领域 的研究,包括金融衍生工具和财务舞弊等。
计核算部 的要求。
表使企业遭受来自税收部门的罚金损
经理
失。
精算部 保证精算计算依据的准确性 从业务系统中提取的精算数据不准确
,或者提取数字被非法修改。
B.1 业务 网络监控和维护 信息部 通过对网络监控,及时发现 没有发现网络故障或隐患。
.3
网络问题,保证网络正常运
影响 可能 性
3 60%
1.5 20%
第11页
企业风险管理整合框架
COSO风险管理框架要素三:事件识别
• 区分风险和机遇 - 可能产生负面影响的事件为风险 - 可能产生正面影响的事件为机遇 ,这些机遇使管理层重新考虑战 略的制定
• 包括识别发生在内部或外部的 可能影响战略和目标实现的事件
• 考虑内部和外部因素如何相互 关联,共同影响风险水平
信息和沟通
监督
第14页
企业风险管理整合框架
COSO风险管理框架要素四:风险评估
影响
高(2~3) 中(1~2) 低(0~1)
• 如果风险发生,对业务部门或和公司的财务影响是巨大的;
• 如果风险发生,对公司或业务部门的持续性或其战略和经营目标
的影响是重大的;
• 如果风险发生,将产生重大的政治或社会方面的影响。
对手
B.1 业务 保单接受和承保 业管部 保证保单上被保险人信息下
.1
准确性
具体的风险或机会
由于竞争对手占取更大的保险市场份 额,导致公司的市场份额萎缩。 保单中,被保险人信息录入不准确。
C.2 业务 纳税申报 .7 报告
B.1 精算 精算计算 .16
财务部会 保证税务工作符合法律法规 由于没有及时、准确的填制纳税申报
• 发生的可能性低于 25% • 存在业务部门或公司内发生的历
(但是高于 2%)。
史。
索 风险 引 领域
低
流 程 (0~2%)
不太可能
• 从未发生过;
• 在十年的周期内不太可 • 如果发生会很令人奇怪。
职 能发生;或 责
目标
• 发生的可能性低于 2%。
A.3 竞争 市场竞争决策 总经理 保持竞争中的优势地位。
战略目标经营目标 报告目标合规目标
内部环境 目标设定 事件识别
分
公
部来自百度文库
业 务
、 子
司
风险评估 风险应对 控制活动
单公
层
司
面 门位
信息和沟通
监督
第8页
企业风险管理整合框架
COSO风险管理框架要素一:内部环境
风险偏好在内部环境中扮演者重要角色:
• 风险偏好反映出企业风险管理的理念,影 响企业文化和经营风格;
• 风险回应的四个选择:规避、减少、 分担和接受
战略目标经营目标 报告目标合规目标
内部环境 目标设定 事件识别
分
公
部
业 务
、 子
司
风险评估 风险应对 控制活动
单公
层
司
面 门位
信息和沟通
监督
第16页
企业风险管理整合框架
COSO风险管理框架要素五:风险回应
规避 退出产生风险的各种活动。规避风险的例子可能有退出使用一条生产线、停止 向一个新的地理区域市场扩大业务,或者出售公司的一个分支,剥离亏损业 务,缩小经营规模 减少 采取行动减少风险的可能性或影响或两者。组织资源-主动预防-实时监控- 进行控制 分担 通过将风险转移或者分担部分风险来减少风险的可能性和影响。保险、分担 (合资、结盟、合作)、合同(外包/委托)、分散化 、调期 接受 完全接受、设定损失目标和容忍水平、设定并监控关键风险指标、制定恢复计 划、准备补救措施、事先筹措资金
• COSO《企业风险管理整合框架》的研究始于2001年。该框架的 征求意见稿于2003年7月15日发布,通过一个为期90天的公开咨 询期,于2004年9月29日发布。
• 普华永道再一次被邀请参与《企业风险管理整合框架》的研发 工作。
• 整个报告分三个部分:内容摘要、框架、应用技术
第2页
企业风险管理整合框架
- 发生的可能性
- 影响程度
• 明确用来评估风险以及用来衡量 相关的目标
- 结合定性和定量两方面 来评估风险
- 将时间和目标联系起来
- 从固有风险和剩余风险的角 度来评估风险
战略目标经营目标 报告目标合规目标
内部环境 目标设定 事件识别
分
公
部
业 务
、 子
司
风险评估 风险应对 控制活动
单公
层
司
面 门位
• 考虑企业的活动可能对其风险 文化产生影响的所有方面
战略目标经营目标 报告目标合规目标
内部环境 目标设定 事件识别
分
公
部
业 务
、 子
司
风险评估 风险应对 控制活动
单公
层
司
面 门位
信息和沟通
监督
第7页
企业风险管理整合框架
COSO风险管理框架要素一:内部环境
内部环境包括的要素: • 风险管理理念 • 风险偏好 • 董事会 • 诚信和道德价值观 • 胜任能力 • 组织结构 • 权限和职责分配 • 人力资源制度
风险偏好内
低
中
高
可能性
第9页
企业风险管理整合框架
COSO风险管理框架要素二:目标设定
目标制定是事件识别、风险评估和风险反应的前提。企业必须首 先制定目标,在此之后,管理层才能识别和评估影响目标实现 的风险并且采取必要的行动对这些风险进行管理
• 战略目标 • 经营目标 • 报告目标 • 合规目标
第10页
分担风险 — 一所大学识别并评估了与管理其学生宿舍有关的风险后作出结论: 学校不具备有效管理这些大型住宅财产所必需的内部能力。因此该大学将宿舍 管理外包给一家财产管理公司,因为它能够较好地减少与财产关联的风险的影 响和可能性。
接受风险 — 一家政府机构识别和评估了其在各种不同地理区域的基础设施发 生火灾的风险,并评估了通过保险范围分担其风险影响的成本。其结论是:保 险的增量成本及相关的应扣除保险额超出了更换设施的可能成本,因此该机构 决定接受该风险。
0.5 5% 2.5 10%
3 30%
第15页
企业风险管理整合框架
COSO风险管理框架要素五:风险应对
• 确定并评估可能的应对风险的方法
• 根据企业风险偏好、潜在风险应对 措施的成本效益来评价各种风险应 对措施,以及各种风险应对措施可 以在多大程度上降低风险影响程度 和/或发生可能性
• 基于对风险和应对措施组合的评 估,选择并实施适当的应对措施
• 如果风险发生,对业务部门或• 公发司生的的可财能务性影超过响2是5%较小• 的由;于外部影响对于本业务部门或公
•
如果风险发生,对公司或业务部门持续性或其战略和经司营是目典型标的的。
影响是较小的;
中 (2~25%)
可能 • 在十年的周期内可能发
• 在以后的十年内可能发生一次以 上;
• 如果风险发生,将产生较小的政生治;或社会方面的影响• 。由于一些外部影响可能难于控制;
COSO企业风险管理——整合框架,2004
这个定义反映了几个基本概念。企业风险管理是: • 一个过程,它持续地流动于主体之内; • 由组织中各个层级的人员实施; • 应用于战略制订; • 贯穿于企业,在各个层级和单元应用,还包括:企业层面的风险组合观; • 旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内; • 能够向一个主体的管理当局和董事会提供合理保证; • 力求实现一个或多个不同类型但相互交叉的目标。
什么是风险?
危险
坏的事情发生的风险
结果的不确定性
不能满足预期
机会
丧失机会
第3页
企业风险管理整合框架
企业风险管理的定义:
“企业风险管理是一个过程:它由公司董事会、管理层以及其他员 工执行,适用于公司战略的制定和整个公司范围,用来识别可能 对公司产生影响的潜在事项,并将风险控制在企业可以承受的水 平以内,为公司目标的实现提供合理的保证。”
• 增强风险应对决策 —— 企业风险管理提供了严密的方法去识别和选择可替代的风险 对策,如规避风险、减少风险、分担风险及接受风险。
• 减少经营中的意外和损失 —— 企业识别潜在事件并确立应对方法的能力得到增强, 由此减少出现意外以及相关的成本或损失。
• 识别和管理企业总体层面的多重风险 —— 每个企业都面对着无数个影响其组织内各 个方面的风险;全面风险管理有助于企业有效应对相互关联的影响并整合应对多重风 险。