一、风险管理的概念与框架

（一）风险的定义

风险是未来事项发生并影响到组织实现其战略和经营目标的可能性（COSO）。

风险是不确定性对目标的影响（ISO31000）。

风险是可测定的不确定性（佛兰克·奈特）。

风险=风险发生时造成的最大损失（风险敞口） x 风险发生的概率

R=E×P

（二）现代定义

风险管理是文化、能力、实践活动。

（三）风险评估对象

企业主要活动——经营管理，风险划分：决策风险、执行力风险。

企业内部，风险管理—面向决策—做正确的事，内部控制—面向执行—正确地做事。

（四）风险管理任务

管资金链、经营水平（体现为综合绩效）、任务完成情况（年度任务指标）、合法合规、外部重大风险。

二、内控与合规管理

（一）内控定义

2008财政部内部控制基本规范

（二）内部控制本质

控制主体：有裁量权的直接管理者（上级）

控制对象：员工（下级）

控制是对行为的约束。

（三）内部控制的基本原理（客观方法）

设定目标-确定流程-识别风险点（阻碍目标达成的障碍因素）-制定应对策略-实施

不相容职务分离：内控的策略之一

（四）控制方法是规则（合规）

大合规：内规+外规

（五）内控体系五要素

控制环境：潜规则，薪酬政策、绩效考核、干部任用等

控制活动：显规则，明文规定

风险评估：制定规则的依据

信息沟通：识别风险，控制效果

监控：是保障，体系目标是否达成，遵从性如何

（六）内部控制体系选择一

财政部18个指引

会计控制+管理控制

内部控制体系选择二

企业家偏好+企业环境（管理控制）

（七）内控建设产出物

控制管理规范-控制程序文件-风险控制文档

（顶层约束）（主要业务条线如何工作，步骤和模式）（出现风险如何处置）

三合一：内控手册。手册中“控制点”一定是风险点，但反之不然。

【讨论题】内部控制与规章制度的关系

1.规章制度是内控成果的一部分。

2.内部控制更加强调了业务流程管控，包括工作秩序、工作程序、工作标准。

3.如果只通过规章制度建立工作秩序，而没有具体的管控措施对工作程序和标准进行把控，就可能出现违背预期的情况。

4.规章制度通常不会规定如何避免风险、应对风险。

（八）内部控制与合规的关系

1. 内部控制=合规管理，两者协同是个假命题。

2. 论证方法：

内部控制走到合规管理，从合规管理走到内部控制。

合规管理：在合规义务中提取应遵循的规则-规则落实到业务活动中-业务流程上对违规行为做控制

内部控制：建立内控体系（内控手册）-业务流程上设定合规目标-业务流程上识别违规风险-在业务流程对违规行为做控制

（九）合规管理的第一种模式（三道防线模式）：制度等于业务活动关联不大

1+1+N：一个管理政策、一个管理制度、N个重点合规领域的合规要求

合规风险识别预警：梳理存在的风险-分析风险程度（专家法）-发出风险警示（提醒）

专家法：风险评估，风险损失敞口及发生概率，做成等级划分，可能发生或不太可能发生。损失等级与发生概率等级，得出风险严重性，做出预警（基于规则、制度的预警）。

第二种模式：内控流程管控模式，流程管控设定合规目标

第三种模式：全景视图模式，在第二种基础上增加了事中风险监控（合规风险点监控）。

三、风险评估过程与方法

（一）评估流程及内容

评估：识别、度量、评价、应对、监测、报告

风险的表征：1. 指标（利润目标未完成）2.事件（违规事件）

风险识别：事前识别；风险度量：事中识别风险

置信度达到5%的风险就应该被识别出来。

（二）风险识别基本路径（事先/事中）

目标导向：设定目标，任何阻碍目标实现。

情景导向：设置不同的情景，触发不希望情景的事件视为风险。

分类导向：此处的分类是可能风险源的事故结果。

经验导向：常见的、行业已知的。

流程导向：主要业务流程进行分解，每个流程、各个环节的风险因素，同时优化流程。

事件导向：针对风险事件的情况，找出共性风险因素。

（三）风险识别的四种方法

结构化访谈：根据事先设计好的访谈提纲

原理：高管有丰富的经验和知识，风险管理的对象是高管的核心关注。

调查问卷：勾选式、引导型开放问卷

原理：对象是中高层干部，重要方法。弊端是识别出的风险太多。

研讨会议：风险管理部、业务部等成员通过头脑风暴进行风险评估。

原理：低效率，但有效。

历史数据分析：通过业务风险及控制状况记录，对已发生的事件进行分析，完成风险识别。

（四）风险度量（KRI）

识别当下内部控制体系存在的缺陷，属于风险度量的应用。

四大目标：资产安全、合法合规、信息披露、效率效果是否满足，否则存在缺陷。

风险的量化管理，难但是应该重视。

（五）风险评价/排序：管理的次序和投入资源（无需投入太多）

对风险进行排序：合理配置风控资源，实施恰当的应对策略。

定性分析：严重、重大、较为重大、一般、微小。

发生概率、风险敞口五级定性，专家法，有分歧采用“德尔菲法”。最终得出风险坐标图。

风险坐标图与企业风险管理实际不符：

1. 企业对所有风险可无差别对待。

2. 风险严重性，领导人意志是关键作用。

3. 经营风险数量不会太多，主要是内部控制风险。

（六）风险应对

策略之一：风险利用

风险管理本质：不是简单的抑制和降低风险，而是追求风险和收益的平衡。

识别风险的重要方面：原材料采购、产品生产、产品销售。

（七）风险管理成效评价：风险管理对经营绩效做出的贡献。

（八）风险管理具体工作：风险评估10步法

评估1个团队：高管团队。个人魅力、知识结构、管理经验、执行能力、管控能力等。

发掘2个优势：企业在行业中的地位，核心竞争力。

弄清3个模式：业务模式、盈利模式、营销模式（合称商业模式）。

业务模式：提供什么产品和服务，业务流程和业务逻辑是什么？

盈利模式：怎么赚钱？获利能力或效率怎样？

营销模式：如何推广？销售渠道及激励机制如何？

有观点加入“风控模式”

查看4类指标：营业收入、营业利润、利润率、增长率。

厘清5个结构：高管结构（职责、权限、个性）、股权结构、供应商结构、客户结构、业务结构。

考察6个层面（内控的6个层面）：历史合规、财务规范、依法纳税、产权清晰、劳动合规、环保合规。

落实7个关注：战略规划、例会制度、制度汇编、企业文化、人力资源、激励机制、公共关系。

分析8个数据：总资产周转率、流动性比率、销售毛利率、经营活动净现金流、资产负债率、应收账款周转率、净值报酬率、市场占有率。以上8个数据反映了“资产效能”。

走好9个程序：收集资料、高管面谈、企业考察、竞争调查、供应商走访、客户走访、协会走访、政府走访、券商咨询。如非上市公司，券商咨询可不做。

报告10个内容：

企业历史沿革、企业产品与技术、行业分析、优势与不足、发展规划、股权结构、高管结构、财务分析、融资计划、风险应对。

四、风险管理的全过程

回顾：内控与风险管理的区别

内控：关注业务流程、执行力、人员行为。

风险管理：关注决策、战略。

（一）控制目标设定：存在哪些风险。

（二）识别风险、控制方法：不相容职务分离。

（三）基于不相容职务分离采取的必要措施。

（四）加入风险管控的流程再造。

（五）通过绩效指标衡量业务体系风险控制效果。