第六章+风险与风险管理
第六章 风险与风险管理
第四节 风险管理体系
一、风险管理策略
(四)确定风险偏好和风险承受度
风险偏好和风险承受度是风险管理策略的重要组成部分,《中央企业全面风险管理指引》指出,“确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇”。
确定企业整体风险偏好要考虑以下因素:
1.风险个体:对每一个风险都可以确定风险偏好和风险承受度。
2.相互关系:既要考虑同一个风险在各个业务单位或子公司之间的分配,又要考虑不同风险之间的关系。 3.整体形状:一个企业的整体风险偏好和风险承受度是基于针对每一个风险的风险偏好和风险承受度。 4.行业因素:同一风险在不同行业风险偏好不同。
一般来讲,风险偏好和风险承受度是针对公司的重大风险制定的,对企业的非重大风险的风险偏好和风险承受度不一定要十分明确,甚至可以先不提出。企业的风险偏好依赖于企业的风险评估的结果,由于企业的风险不断变化,企业需要持续进行风险评估,并调整自己的风险偏好。
重大风险的风险偏好是企业的重大决策,应由董事会决定。 (五)风险度量 1.关键在于量化
风险承受度的表述需要对所针对的风险进行量化描述,风险偏好可以定性,但风险承受度一定要定量。 2.风险度量模型
风险度量模型是指度量风险的方法。确定合适的企业风险度量模型是建立风险管理策略的需要。企业应该采取统一制定的风险度量模型,对所采取的风险度量方法取得共识;但不一定在整个企业使用唯一的风险度量方法,允许对不同的风险采取不同的度量方法。
3.风险度量方法
常用的风险度量方法包括:最大可能损失;概率值;期望值;波动性;方差或均方差;在险值,又称VaR,以及其他类似的度量。
(1)最大可能损失。是指风险事件发生后可能造成的最大损失。用最大可能损失来定义风险承受度是最差情形的思考逻辑。企业一般在无法判断发生概率或无须判断概率的时候,使用最大可能损失作为风险的衡量。 (2)概率值。是指风险事件发生的概率或造成损失的概率。 (3)期望值。
(4)在险值。又称VaR,是指在正常的市场条件下,在给定的时间段中和给定的置信区间内,预期可能发生的最大损失。
4.概率方法与直观方法
不依赖于概率统计结果的度量是人们直观的判断,如专家意见。
当统计数据不足或需要度量结果包括人们的偏好时,可以使用直观的度量方法,如层次分析法(AHP)等。 5.选择适当的度量
对不同种类的风险要使用不同的度量模型。对外部风险的度量包括市场指标、景气指数等。对内部运营风险的度量包括各种质量指标、执行效果、安全指数等。
【例题·多选题】下列风险度量方法中,建立在概率基础上的方法有( )。(2015年学员回忆版) A.在险值法 B.层次分析法 C.期望值法
D.最大可能损失法 【答案】AC
原创不易,侵权必究 第1页
公司战略与风险管理(2019)考试辅导 第六章+风险与风险管理
【解析】常用的风险度量方法包括:最大可能损失;概率值;期望值;波动性;方差或均方差;在险值。在险值法和期望值法是在已知概率的条件下计算出来的,而最大可能损失是无法判断发生概率或无须判断概率的时候,使用最大可能损失作为风险的度量。所以,选项A、C正确,选项D错误。选项B属于不依赖于概率统计结果的直观的风险度量方法。
【名师点题】解答本题的关键是掌握建立在概率基础上的风险度量方法。
【例题·单选题】企业在无法判断发生概率或无须判断概率的时候,度量风险一般使用( )。 A.在险值 B.效用期望值 C.最大可能损失 D.统计期望值 【答案】C 【解析】最大可能损失是指风险事件发生后可能造成的最大损失。企业一般在无法判断发生概率或无须判断概率的时候,使用最大可能损失作为风险的衡量。所以,选项C正确。选项A、B和D均需要在已知概率的前提下度量风险。
【名师点题】解答本题的关键是掌握最大可能损失风险度量方法的应用前提。 (六)风险管理的有效性标准
风险管理的有效性标准是衡量企业风险管理是否有效的标准。 1.风险管理有效性标准的作用
风险管理有效性标准的作用是帮助企业了解:
(1)企业现在的风险是否在风险承受度范围之内,即风险是否优化; (2)企业风险状况的变化是否是所要求的,即风险的变化是否优化。
量化的企业风险管理的有效性标准与企业风险承受度有相同的度量基础。 2.风险管理有效性标准的原则 风险管理有效性标准的原则如下:
(1)风险管理的有效性标准要针对企业的重大风险,能够反映企业重大风险管理的现状;
(2)风险管理有效性标准应当对照全面风险管理的总体目标,在所有五个方面保证企业的运营效果; (3)风险管理有效性标准应当在企业的风险评估中应用,并根据风险的变化随时调整; (4)风险管理有效性标准应当用于衡量全面风险管理体系的运行效果。 (七)风险管理的资源配置
风险管理的资源包括人才、组织设置、政策、设备、物资、信息、经验、知识、技术、信息系统、资金等。 由于全面风险管理覆盖面广,资源的使用一般是多方面的、综合性的。企业应当统筹兼顾,将资源用于需要优先管理的重大风险。
(八)确定风险管理的优先顺序
企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优先顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
1.风险管理的优先顺序
风险管理的优先顺序决定企业优先管理哪些风险,对哪些风险管理进行资源优先配置。 风险管理的优先顺序体现了企业的风险偏好。
一个很重要的原则是风险与收益相平衡的原则,在风险评估结果的基础上,全面考虑风险与收益。要特别重视对企业有影响的重大风险,要首先解决“颠覆性”风险问题,保证企业持续发展。
2.确定风险管理的优先顺序
根据风险与收益平衡原则,确定风险管理的优先顺序可以考虑以下几个因素: (1)风险事件发生的可能性和影响; (2)风险管理的难度;
(3)风险的价值或管理可能带来的收益; (4)合规的需要;
(5)对企业技术准备、人力、资金的需求; (6)利益相关者的要求。 (九)风险管理策略检查
原创不易,侵权必究 第2页
公司战略与风险管理(2019)考试辅导 第六章+风险与风险管理
企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
风险管理策略要随着企业经营状况的变化、经营战略的变化,外部环境风险的变化而调整。 风险管理策略定期检查的频率依赖于企业面临的风险。 二、风险管理组织职能体系(★★)
企业风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。 (一)规范的公司法人治理结构
企业应建立健全规范的公司法人治理结构,股东(大)会、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制。同时,还应建立外部董事、独立董事制度,外部董事、独立董事人数应超过董事会全部成员的半数,以保证董事会能够在重大决策、重大风险管理等方面做出独立于经理层的判断和选择。
董事会就全面风险管理工作的有效性对股东(大)会负责。董事会在全面风险管理方面主要履行以下职责: 1.审议并向股东(大)会提交企业全面风险管理年度工作报告;
2.确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案; 3.了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策; 4.批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制; 5.批准重大决策的风险评估报告;
6.批准内部审计部门提交的风险管理监督评价审计报告; 7.批准风险管理组织机构设置及其职责方案;
8.批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为; 9.督导企业风险管理文化的培育; 10.全面风险管理的其他重大事项。 (二)风险管理委员会
具备条件的企业,董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。
风险管理委员会对董事会负责,主要履行以下职责: 1.提交全面风险管理年度报告;
2.审议风险管理策略和重大风险管理解决方案;
3.审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
4.审议内部审计部门提交的风险管理监督评价审计综合报告; 5.审议风险管理组织机构设置及其职责方案;
6.办理董事会授权的有关全面风险管理的其他事项。
企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。 (三)风险管理职能部门
企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:
1.研究提出全面风险管理工作报告;
2.研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制; 3.研究提出跨职能部门的重大决策风险评估报告;
4.研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
5.负责对全面风险管理有效性的评估,研究提出全面风险管理的改进方案; 6.负责组织建立风险管理信息系统; 7.负责组织协调全面风险管理日常工作;
8.负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作;
原创不易,侵权必究 第3页
公司战略与风险管理(2019)考试辅导 第六章+风险与风险管理
9.办理风险管理的其他有关工作。 (四)审计委员会
企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
1.审计委员会履行职责的方式
董事会应决定委派给审计委员会的责任,审计委员会的任务会因企业的规模大小、复杂性及风险状况而有所不同。
审计委员会应满足其职责的要求。建议审计委员会每年至少举行三次会议,并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次,讨论与审计相关的事宜,但管理层无须出席。审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决。
此外,审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告。为了很好地完成这项工作,行政管理层必须向审计委员会提供恰当的信息。管理层对审计委员会有告知义务,并应主动提供信息,而不应等待审计委员会索要。
2.审计委员会与合规
审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。审计委员会应结合企业财务报表的编制情况,对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表,审计师的责任是编制审计计划和执行审计。
3.审计委员会与内部审计
确保充分且有效的内部控制是审计委员会的义务,其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中充当的角色和发挥的作用。它应该核查内部审计的有效性,并决定对内部审计主管的任命和解聘,还应确保内部审计部门能直接与董事会主席接触,并负有向审计委员会说明的责任。审计委员会复核及评估年度内部审计工作计划。审计委员会收到关于内部审计部门工作的定期报告,复核和监察管理层对内部审计的调查结果的反应。审计委员会还应确保内部审计部门提出的建议已执行。审计委员会有助于保持内部审计部门的独立性。审计委员会及内部审计师需要确保内部审计部门正在有效运作,它将在四个主要方面对内部审计进行复核,即组织中的地位、职能范围、技术才能和专业应尽义务。 (五)企业其他职能部门及各业务单位
企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。 (六)下属公司
企业应通过法定程序,指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。
【例题·单选题】下列各项中,属于风险管理委员会职责的是( )。(2014年) A.督导企业风险管理文化的培育 B.组织协调全面风险管理日常工作 C.批准重大决策的风险评估报告
D.审议风险管理策略和重大风险管理解决方案 【答案】D
【解析】风险管理委员会对董事会负责,主要履行以下职责:(1)提交全面风险管理年度报告;(2)审议风险管理策略和重大风险管理解决方案;(3)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;(4)审议内部审计部门提交的风险管理监督评价审计综合报告;(5)审议风险管理组织机构设置及其职责方案;(6)办理董事会授权的有关全面风险管理的其他事项。选项A、C属于董事会的职责;选项B属于风险管理职能部门的职责。
【名师点题】解答本题的关键是掌握风险管理委员会的职责,以及与董事会、风险管理职能部门的风险管理职责的区分。
三、内部控制系统(★★)
(一)COSO委员会关于内部控制的定义与框架
COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率、财务报告的可靠性和遵守适用的法律法规”。
原创不易,侵权必究 第4页
公司战略与风险管理(2019)考试辅导 第六章+风险与风险管理
COSO委员会的上述定义对内部控制的基本概念提供了一些深入的见解,并特别指出: (1)内部控制是一个实现目标的程序及方法,而其本身并非目标。 (2)内部控制只提供合理保证,而非绝对保证。 (3)内部控制要由企业中各级人员实施与配合。
《内部控制——整合框架》提出了内部控制的三项目标和五大要素。
内部控制的三项目标包括取得经营的效率和有效性、确保财务报告的可靠性、遵循适用的法律法规。 内部控制的五大要素包括控制环境、风险评估、控制活动、信息与沟通和监控。 (二)我国内部控制规范体系
基本规范、应用指引、评价和审计指引三个类别构成我国企业内部控制规范体系。 1.《企业内部控制基本规范》
《基本规范》要求企业建立内部控制体系时应符合以下目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。《基本规范》要求企业所建立与实施的内部控制应当包括下列5个要素:①内部环境;②风险评估;③控制活动;④信息与沟通;⑤内部监督。
2.《企业内部控制应用指引》
《应用指引》针对组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域或内控手段,提出了建议性的应用指引,为企业以及外部审核人建立与评价内控体系提供了参照性标准。《应用指引》的18项指引可以划分为三类,即内部环境类指引、控制活动类指引和控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
3.《企业内部控制评价指引》和《企业内部控制审计指引》
《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引,是对企业贯彻《基本规范》和《应用指引》效果的评价与检验。 (三)内部控制的要素 1.控制环境
(1)COSO《内部控制框架》关于控制环境要素的要求。
COSO《内部控制框架》关于控制环境要素的要求为:控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。
原创不易,侵权必究 第5页
因篇幅问题不能全部显示,请点此查看更多更全内容