第十五章企业风险管理(ERM)-课件.pptx

1、第十五章企业风险管理第十五章企业风险管理(ERM)_图文图文.ppt本章学习目标：本章学习目标：v掌握企业风险管理的定义与内涵；掌握企业风险管理的定义与内涵；v掌握企业风险管理框架在现代企业战略制定掌握企业风险管理框架在现代企业战略制定中的重要地位；中的重要地位；v掌握企业风险管理框架的设计与有效实施；掌握企业风险管理框架的设计与有效实施；本章主要内容：本章主要内容：第一节第一节 企业风险管理的定义和内涵企业风险管理的定义和内涵第二节第二节 企业风险管理框架在企业战略制定中的企业风险管理框架在企业战略制定中的重要地位重要地位第三节第三节 从中航油事件看待企业的风险管理从中航油事件看待企业的风险

2、管理本章的重点与难点本章的重点与难点重点：重点：v企业风险管理框架的内涵；企业风险管理框架的内涵；v企业风险管理框架在现代企业战略制定中的地企业风险管理框架在现代企业战略制定中的地位；位；v通过中航油事件理解如何确保企业风险管理框通过中航油事件理解如何确保企业风险管理框架在实务中有效运行；架在实务中有效运行；难点：难点：v企业风险管理框架如何有效运行；企业风险管理框架如何有效运行；引言引言内部控制理论是随着企业内控实践经验的丰富而内部控制理论是随着企业内控实践经验的丰富而逐渐起来的，大致经历了内部牵制、内部控制系逐渐起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理

3、论统、内部控制结构和内部控制整体框架四个理论阶段阶段 1985年，由美国注册会计师协会年，由美国注册会计师协会(AICPA)、美国、美国会计协会会计协会(AAA)、财务经理人协会、财务经理人协会(FEI)、内部审、内部审计师协会计师协会(IIA)、管理会计师协会、管理会计师协会(IMA)联合创建联合创建了反虚假财务报告委员会（通常称了反虚假财务报告委员会（通常称Treadway委员委员会），旨在探讨财务报告中的舞弊产生的原因，会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立两年后，基于该委员会的建议，其赞助机构成立COSO（C

4、ommittee of Sponsoring Organization，COSO）委员会，专门研究内部控制问题。）委员会，专门研究内部控制问题。1992年年9月，月，COSO委员会发布委员会发布内部控制整合框内部控制整合框架架（COSO-IC），简称），简称COSO报告，报告，1994年进行年进行了增补。这些成果马上得到了美国审计署了增补。这些成果马上得到了美国审计署(GAO)的的认可，美国注册会计师协会（认可，美国注册会计师协会（AICPA）也全面接受）也全面接受其内容并于其内容并于1995年发布了年发布了审计准则公告第审计准则公告第78号号。由于由于COSO报告提出的内部控制理论和体系集内

5、部报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。及全球得到广泛推广和应用。第一节第一节 企业风险管理的定义和内涵企业风险管理的定义和内涵一、企业风险管理的定义一、企业风险管理的定义定义：定义：企业风险管理企业风险管理（ERM）是识别并处理企）是识别并处理企业所面临的所有风险的一套流程，它是有关风险业所面临的所有风险的一套流程，它是有关风险识别、风险管理以及风险最小化的全面解决方法。识别、风险管理以及风险最小

6、化的全面解决方法。ERM所应对的风险类型包括：财务风险、运营风所应对的风险类型包括：财务风险、运营风险、战略风险，以及意外灾难。险、战略风险，以及意外灾难。定义二：定义二：企业风险管理企业风险管理是一个过程，它由一个主是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保风险容量之内，并为主体目标的实现提供合理保证。证。二、企业风险管理

7、的内涵二、企业风险管理的内涵（一）企业风险管理的演变（一）企业风险管理的演变 企业风险管理起源于上世纪企业风险管理起源于上世纪60年代，当时的年代，当时的风险管理主要集中于对纯粹风险的管理，这些风风险管理主要集中于对纯粹风险的管理，这些风险经常通过购买保险来加以规避，所以企业风险险经常通过购买保险来加以规避，所以企业风险管理发展于保险购买领域。管理发展于保险购买领域。70年代风险中出现了一些新元素，即外汇风年代风险中出现了一些新元素，即外汇风险、商品价格风险、股票风险、利率风险，这些险、商品价格风险、股票风险、利率风险，这些风险的加剧是由于布雷顿森林体系的解体、两次风险的加剧是由于布雷顿森林体

8、系的解体、两次石油危机的爆发、期权市场的发展等因素所导致石油危机的爆发、期权市场的发展等因素所导致的。的。80年代，金融风险管理方法受到了广泛的重年代，金融风险管理方法受到了广泛的重视，这种方法特别强调利用金融衍生品对冲金融视，这种方法特别强调利用金融衍生品对冲金融风险，这些工具主要包括远期合约、期货合约、风险，这些工具主要包括远期合约、期货合约、掉期交易合约以及期权合约。掉期交易合约以及期权合约。90年代后，大量的金融衍生工具的不恰当使用年代后，大量的金融衍生工具的不恰当使用使得金融风险加剧，并最终产生了企业风险管理，使得金融风险加剧，并最终产生了企业风险管理，这种风险管理方式最初正是致力于

9、避免衍生工具这种风险管理方式最初正是致力于避免衍生工具带来的灾难，并最终发展到最优化公司的价值。带来的灾难，并最终发展到最优化公司的价值。（二）内部控制与企业风险管理（二）内部控制与企业风险管理1、1994年年COSO报告报告内部控制内部控制整体框整体框架架内部控制的定义内部控制的定义 内部控制是一个受到董事会、经理层和其他内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法规的遵循性。财务报告的可靠性、法规的遵循性。2、

10、内部控制的定义明确了四个要点、内部控制的定义明确了四个要点（1）是一个过程；（）是一个过程；（2）受人为影响；（）受人为影响；（3）为了达）为了达到三个目标；（到三个目标；（4）合理保证。）合理保证。3、内部控制定义的不足之处：、内部控制定义的不足之处：（1）缺乏保障资产的概念）缺乏保障资产的概念（2）对于内部控制的重要性的强调还不够，它丧失）对于内部控制的重要性的强调还不够，它丧失了提高内部控制监督和评估的机会了提高内部控制监督和评估的机会（3）内部控制与管理活动有什么区别？并不清晰。）内部控制与管理活动有什么区别？并不清晰。（三）（三）ERM框架下的内部控制定义框架下的内部控制定义 ERM

11、框架对内部控制的定义明确了以下内容：框架对内部控制的定义明确了以下内容：（1）是一个过程；（）是一个过程；（2）被人影响；（）被人影响；（3）于战略）于战略制定；（制定；（4）贯穿整个企业的所有层级和单位；（）贯穿整个企业的所有层级和单位；（5）旨在识别影响组织的事件并在组织的风险偏好范围旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（内管理风险；（6）合理保证；（）合理保证；（7）为了实现各类）为了实现各类目标。目标。对比原来的定义，对比原来的定义，ERM概念要细化的多。由于概念要细化的多。由于新新COSO报告提出了风险偏好、风险容忍度等概念，报告提出了风险偏好、风险容忍度等概念，

12、使得使得ERM的定义更加明确、具体。同时，的定义更加明确、具体。同时，ERM又又涵盖了内部控制所有合理的内容。涵盖了内部控制所有合理的内容。（四）（四）EMR框架下对框架下对1994内部控制理论的新内部控制理论的新发展发展 1、ERM整体框架中除了经营目标和合法性目整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将标与内部控制整体框架相似以外，还将“财务报告财务报告的可靠性的可靠性”发展为发展为“报告的可靠性报告的可靠性”。2、提出了一类新的目标、提出了一类新的目标战略目标。该目战略目标。该目标的层次比其他三个目标更高。企业的风险管理标的层次比其他三个目标更高。企业的风险管理在

13、应用于实现企业其他三类目标的过程中，也应在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。用于企业的战略制定阶段。3、1994年年COSO报告报告内部控制内部控制整体框架整体框架中，提出了五个要素：控制环境、风险评估、控中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。制活动、信息和沟通、监督。ERM框架对这五个框架对这五个要素进行深化和拓展，将其演变为八个要素。要素进行深化和拓展，将其演变为八个要素。8个要素：个要素：（1）内部环境（）内部环境（2）目标设定（）目标设定（3）事项识别）事项识别 （4）风险评估（）风险评估（5）风险对策（）风险对策（6）控制活

14、动）控制活动 （7）信息与沟通（）信息与沟通（8）监督。）监督。（1）内部环境。是组织内人员如何看待风险、对）内部环境。是组织内人员如何看待风险、对待风险的态度。包括风险管理理念、风险承受能力、待风险的态度。包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。内部环境为企业中正直和道德价值观及工作环境。内部环境为企业中的人们如何看待风险和着手控制风险确立了基础。的人们如何看待风险和着手控制风险确立了基础。（2）目标设定。只有先制定目标，管理层才能）目标设定。只有先制定目标，管理层才能识别影响目标实现的事件。企业风险管理确保管理识别影响目标实现的事件。企业风险管理确保管理层参与目标制定流

15、程，确保所选择的目标不仅和企层参与目标制定流程，确保所选择的目标不仅和企业使命方向一致，支持企业的使命，而且与其风险业使命方向一致，支持企业的使命，而且与其风险承受能力相符。承受能力相符。（3）事项识别。必须识别影响企业目标实现的）事项识别。必须识别影响企业目标实现的内外事件，分清风险和机会。管理层制定战略或目内外事件，分清风险和机会。管理层制定战略或目标时应考虑到机会，机会被追溯到管理当局的战略标时应考虑到机会，机会被追溯到管理当局的战略或目标制定过程。或目标制定过程。（4）风险评估。要对识别的风险进行分析，以）风险评估。要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相便

16、确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。险进行评估，评估要考虑到风险的可能性和影响。（5）风险对策。管理层选择风险应对方式，包）风险对策。管理层选择风险应对方式，包括规避、接受、降低或分担并制定一套措施把风括规避、接受、降低或分担并制定一套措施把风险控制在企业的风险容忍度和风险承受能力之内。险控制在企业的风险容忍度和风险承受能力之内。（6）控制活动。制定和实施政策与程序以确保）控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。管理当局所选择

17、的风险应对策略得以有效实施。（7）信息与沟通。企业的各个层级都需要借助）信息与沟通。企业的各个层级都需要借助信息来识别、评估和应对风险。有效信息沟通的信息来识别、评估和应对风险。有效信息沟通的外延比较广泛，包括企业内信息的上传、下达和外延比较广泛，包括企业内信息的上传、下达和平行流动。平行流动。（8）监督。整个企业风险管理处于监控之下，）监督。整个企业风险管理处于监控之下，必要时还会进行修正。这种方式能够动态地反映必要时还会进行修正。这种方式能够动态地反映风险管理状况，并使之根据条件的要求而变化。风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理进行监控通过持续的

18、管理活动、对企业风险管理进行单独评价或者两者的结合来完成。单独评价或者两者的结合来完成。4、ERM框架引入风险偏好和风险文化，将原有框架引入风险偏好和风险文化，将原有的的“控制环境控制环境”扩展为扩展为“内部环境内部环境”。5、“信息与沟通信息与沟通”中的信息仅仅指与这三个目标中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息，这就对管理层将巨量层、各类目标相关的信息，这就对管理层将巨量的信息处理和精炼成可控的信息（的信息处理和精炼成可控的信息（actionable information）提出了挑战。）提出了挑

19、战。6、ERM框架则将风险定义为框架则将风险定义为“可能有负面影响可能有负面影响的事项的事项”，并且引入了风险偏好、风险容忍度等概，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素。定、事项识别、风险评估和风险反应四个要素。7、新的企业风险管理整体框架图、新的企业风险管理整体框架图 第一维是企业目标；第一维是企业目标；第二维是全面风险管理要素；第二维是全面风险管理要素；第三维是企业的各个层级。第三维是企业的各个层级。v它们之间的它们之间的v关系如图关系如图1所示：所示：第二节第二节 企

20、业风险管理框架在企业战略制企业风险管理框架在企业战略制定中的重要地位定中的重要地位一、企业风险管理框架产生于内部控制框架一、企业风险管理框架产生于内部控制框架 企业风险管理框架构筑于企业内部控制。企企业风险管理框架构筑于企业内部控制。企业内部控制不仅有助于企业战略目标的实现，还业内部控制不仅有助于企业战略目标的实现，还有助于企业提高经营的效率和效果以及提高财务有助于企业提高经营的效率和效果以及提高财务报告的准确性，保护企业资产的安全。报告的准确性，保护企业资产的安全。由于人们受到内部控制认识上的局限，未能由于人们受到内部控制认识上的局限，未能将其与企业风险管理和战略管理结合起来，结果将其与企业

21、风险管理和战略管理结合起来，结果战略效果大打折扣。战略效果大打折扣。没有考虑到在整个企业范围内识别和管理风没有考虑到在整个企业范围内识别和管理风险的重要性，而这些内容恰恰是影响一个企业成险的重要性，而这些内容恰恰是影响一个企业成败的关键所在。败的关键所在。二、企业风险管理框架提升了内部控制框架，与企二、企业风险管理框架提升了内部控制框架，与企业战略目标紧密相联业战略目标紧密相联 风险管理框架建立在内部控制框架的基础上，风险管理框架建立在内部控制框架的基础上，内部控制则是企业风险管理必不可少的一部分。内部控制则是企业风险管理必不可少的一部分。企业风险管理要求企业管理者以风险组合的观企业风险管理要

22、求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。使企业所承担的风险在风险偏好的范围内。企业风险管理框架能帮助企业管理者有效地企业风险管理框架能帮助企业管理者有效地处理不确定性和减少风险，进而提高企业创造价处理不确定性和减少风险，进而提高企业创造价值的能力。值的能力。三、企业风险管理框架在企业战略规划中的三、企业风险管理框架在企业战略规划中的运用运用 企业在实现其目标的过程中，愿意接受企业在实现其目标的过程中，愿意接受的风险的数量与企业的战略是直接相关的，的风险的数量与企业的战略是直接相关的，企业

23、在制定战略时，应考虑将该战略的既企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，运用定收益与企业的风险偏好结合起来，运用SWOT分析，目的是要帮助企业的管理者分析，目的是要帮助企业的管理者在不同战略间，选择与企业的风险偏好相在不同战略间，选择与企业的风险偏好相一致的战略。一致的战略。四、塑造企业风险管理文化，实现战略规划四、塑造企业风险管理文化，实现战略规划的最佳效果的最佳效果 企业风险管理是一个由人参与的过程，企业风险管理是一个由人参与的过程，涉及一个企业各个层次的员工，因此，塑涉及一个企业各个层次的员工，因此，塑造企业风险管理文化，可望实现战略规划造企业风险管理文化，可

24、望实现战略规划的最佳效果。的最佳效果。第三节第三节 从中航油事件看待企业的风险管理从中航油事件看待企业的风险管理一、中航油事件一、中航油事件 中国航油（新加坡）股份有限公司是中中国航油（新加坡）股份有限公司是中国航空油料集团公司的海外控股公司。经国国航空油料集团公司的海外控股公司。经国家有关部门批准，新加坡公司在取得中国航家有关部门批准，新加坡公司在取得中国航油集团公司授权后，自油集团公司授权后，自2003年开始做油品套年开始做油品套期保值业务。在此期间，新加坡公司总裁陈期保值业务。在此期间，新加坡公司总裁陈久霖擅自扩大业务范围，从久霖擅自扩大业务范围，从2003开始从事石开始从事石油衍生品期

25、权交易，同日本三井银行、法国油衍生品期权交易，同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，行和新加坡麦戈利银行等在期货交易场外，签订了合同。签订了合同。陈久霖买了陈久霖买了“看跌看跌”期权，赌注每桶期权，赌注每桶38美元，没想到国际油价一路攀升美元，没想到国际油价一路攀升2004年年10月以后，新加坡公司所持石油衍生品月以后，新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同，中盘位已远远超过预期价格。根据合同，中航油需向交易对方（银行和机构）支付保航油需向交易对方（银行和机构）支付保证金，每桶油价

26、每上涨证金，每桶油价每上涨1美元，中航油新加美元，中航油新加坡公司要向这些银行支付坡公司要向这些银行支付5000万美元的保万美元的保证金，其结果导致中航油现金流量枯竭，证金，其结果导致中航油现金流量枯竭，实际损失和潜在损失总计约实际损失和潜在损失总计约5.54亿美元。亿美元。二、中航油事件对企业风险管理的启迪二、中航油事件对企业风险管理的启迪（一）关注企业风险比关注企业细节控制更为重要（一）关注企业风险比关注企业细节控制更为重要 ERM框架要求董事会将主要精力放在风险管框架要求董事会将主要精力放在风险管理上，而不是所有细节的控制上，是非常值得关理上，而不是所有细节的控制上，是非常值得关注的变化

27、。注的变化。事实上，中航油公司曾在事实上，中航油公司曾在2003年被新加坡证券年被新加坡证券监督部门列为最具透明的企业，说明该企业确实监督部门列为最具透明的企业，说明该企业确实在细节方面的内部控制做得非常周到。但是，从在细节方面的内部控制做得非常周到。但是，从事后暴露出的结果来看，恰恰是在经营风险管理事后暴露出的结果来看，恰恰是在经营风险管理上出了问题。上出了问题。（二）执行（二）执行ERM框架比设计内部控制框架更框架比设计内部控制框架更为重要为重要 ERM框架为了保证所设计的制度能够得到执框架为了保证所设计的制度能够得到执行，在行，在ERM框架中的第七与第八个要素中，再一框架中的第七与第八个

28、要素中，再一次强调了通过控制活动的设置，建立独立的监督次强调了通过控制活动的设置，建立独立的监督部门来保证框架实施的可行性。部门来保证框架实施的可行性。将所有业务活动分离出授权、批准、执行、将所有业务活动分离出授权、批准、执行、记录及监督，并将这些职能分别授于不同部分执记录及监督，并将这些职能分别授于不同部分执行，形成一个相互牵制、相互制约的过程，是内行，形成一个相互牵制、相互制约的过程，是内部控制的精髓。部控制的精髓。从中航油事件来看，陈久霖作为一个管理人员，从中航油事件来看，陈久霖作为一个管理人员，如果其有授权功能，按照控制活动原则，就不应如果其有授权功能，按照控制活动原则，就不应有执行的

29、功能。即使其有执行功能，按照控制活有执行的功能。即使其有执行功能，按照控制活动原则，他就不应有检查与监督功能。动原则，他就不应有检查与监督功能。（三）注意（三）注意ERM框架中的新要素：内部环境、框架中的新要素：内部环境、目标设定及事件识别目标设定及事件识别1.将控制环境改变为内部环境将控制环境改变为内部环境 内部环境主要包括：风险管理和风险偏好；内部环境主要包括：风险管理和风险偏好；员工诚实性和道德观以及企业经营环境。内部环员工诚实性和道德观以及企业经营环境。内部环境要素确立了企业的风险文化，它既要认可预期境要素确立了企业的风险文化，它既要认可预期发生的事项，也要认可未预期发生的事项。发生的

30、事项，也要认可未预期发生的事项。中航油管理层在期货交易中，根本没有意识中航油管理层在期货交易中，根本没有意识到风险，而是相信自己的判断：油价冲高后必然会到风险，而是相信自己的判断：油价冲高后必然会落。而在事情完全败露以后，陈久霖还认为：落。而在事情完全败露以后，陈久霖还认为：“只只要再有一笔钱，就能挺过去，就能翻身。要再有一笔钱，就能挺过去，就能翻身。”CEO如如此看待风险，其独断专行之霸气，其企业内部环境此看待风险，其独断专行之霸气，其企业内部环境之恶劣，可见一斑。之恶劣，可见一斑。集团公司由于过于看重陈久霖过去为集团公司集团公司由于过于看重陈久霖过去为集团公司所做的贡献，因此，即使知道了陈久霖因场外期货所做的贡献，因此，即使知道了陈久霖因场外期货交易发生了严重损失，不仅没有果断采取止损措施，交易发生了严重损失，不仅没有果断采取止损措施，减少亏损。反而通过出售部分股权，进一步融资再减少亏损。反而通过出售部分股权，进一步融资再次进行投机，使中航油损失达到了天文数字。次进行投机，使中航油损失达到了天文数字。极端的风险偏好、畸形的风险文化和畸形的管极端的风险偏好、畸形的风险文化和畸形的管理结构体现了中航油极为恶劣的内部环境。理结构体现了中航油极为恶劣的内部环境。