CCAA风险管理概述.pptVIP

内容提要 一、风险与风险管理 二、风险管理的起源和发展 三、我国的风险管理 四、风险管理标准 五、实施风险管理的目的和意义 六、风险管理在认证领域中的应用 一、风险与风险管理 所有类型和规模的组织都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响。这种不确定性所具有的对组织目标的影响就是“风险”。 ISO31000:2009 ISO31000:2009提供了在任何范围和状况下，以系统的、清晰可靠的方式管理风险的原则和通用指南。 尽管所有的组织在某种程度上都在管理风险，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。 ISO31000建议，组织制定、实施和持续改进一个框架，其目的是将风险管理过程整合到组织的整体治理、战略和规划、管理、报告过程、方针、价值观和文化中。 风险管理的每一个特定领域或应用都具有各自的需求、受众、观念和准则。因此，ISO31000的主要特点是在通用的风险管理过程中将“明确环境”作为初始活动。 “明确环境”将捕获组织的目标，组织所追求目标的环境，组织的利益相关方和风险准则的多样性，所有这些都将帮助揭示和评价风险的性质和复杂性。 2.2 主要内容 合规性 职责权限的分配 资源的配置 对风险管理收益的沟通 框架适宜性的保持 2.指令与承诺 * 基础：对组织内外部环境（状况）的评价和理解 设计的内容涉及： 风险管理方针 责任 与组织过程的融合 资源 内外部沟通与报告机制 3.风险管理框架的设计 * 外部环境 国际、国内、区域和当地的社会和文化、政治、法律、法规、财务、技术、经济、自然和竞争 环境；（客观存在） 对组织目标实现产生关键影响的驱动因素和趋 势；（与组织的目标相关联） 与外部利益相关方的关系以及观念和价值观； （与组织的外部利益相关方有关） 3.1 组织的内外部环境（状况） * 3.风险管理框架设计 公司治理、组织结构、角色和职责； 计划实现的方针、目标和战略； 能力（从资源和知识的角度）（例如，资本、时间、人员、过程系统和技术）； 信息系统、信息流和决策过程（正式和非正式的）； 与内部利益相关方的关系、他们的观念和价值观； 组织的文化； 组织所采用的标准、指南和业务模式； 合同关系的形式和范围； 内部环境 * 3.1 组织的内外部环境（状况） 风险管理方针：组织对风险管理的意图和方向的陈述 建立方针是管理层的职责 风险管理方针应清晰表述的内容： 风险管理的目标 组织对风险管理的承诺 方针应得到沟通 3.2 建立风险管理方针 * 3.风险管理框架设计 风险管理方针应指明的典型内容： 组织管理风险的基本原理； 组织目标、方针与风险管理方针的联系； 管理风险的责任和职责； 处理利益相关方冲突的方式； 为管理风险提供所需资源的承诺； 风险管理绩效测量和报告的方法； 对风险管理方针和框架周期性的评审和改进以及对环境中的事件或变革进行应对的承诺； 3.2 风险管理方针 * 3.风险管理框架设计 涵盖的范围：职责、权限和能力 需要明确定义职责、权限和能力的领域 实施和保持风险管理过程； 为确保控制的充分性、有效性和效率 所需的活动； 3.3 风险管理的责任 * 3.风险管理框架设计 确定的主要方式： 识别风险所有者； 识别对风险管理框架负有建立、实施和保持职责的 人员； 识别组织所有层次在风险管理过程方面的其他职责 建立绩效测量过程以及外部和或内部报告和分发过 确保适宜的认可程度； 3.3 风险管理的责任 * 3.风险管理框架设计 基本的方法论： 风险管理过程应是组织过程中的一部分； 风险管理应融入方针建立、业务和战略策划和评审以及变革管理过程； 融合的要求： 以紧密相关的、有效的、有效率的方式将风险管理嵌入至组织所有的实践和过程 融合的载体 《风险管理计划》 3.4 风险管理与组织过程的融合 * 3.风险管理框架设计 组织应为风险管理配置适宜的资源 应考虑以下方面的内容： 人员、技能、经验和能力； 风险管理过程步骤所需的资源； 组织应用于风险管理的过程、方法和工具； 文件化的过程和程序； 信息和知识管理系统； 培训方案 3.5 风险管理的资源 * 3.风险管理框架设计 目的：支持和鼓励风险的职责和责任归属； 确保： 风险管理框架的关键组成部分以及任何后续的修改得 到适宜的沟通； 存在充分的关于框架的，有效性和输出的内部报告； 来自于风险管理应用所获得的相关信息在适宜的层次 和频次上可获得； 存在与内部利益相关方协商的过程； 对多来源信息的统一 对信息敏感性的考虑 3.6 内部沟通和报告机制 * 3.风险管理框架设计 沟通与报告的对象：外部利益相关方 机制的载体：沟通计划 计划的内容： 使适宜的利益相关方参与并确保