【文章內(nèi)容簡介】 …………………………………………（28）第六章 風險評估……………………………………………………（31）第七章 風險應對……………………………………………………（35）第八章 控制活動……………………………………………………（36）第九章 信息與溝通…………………………………………………（40）第十章 監(jiān)控…………………………………………………………（43）第十一章 職能與職責………………………………………………（46）第一章 總則風險管理框架的目的從宏觀角度，本框架的一個關(guān)鍵目標是幫助企業(yè)和其他主體的管理當局在實現(xiàn)主體目標的過程中更好地處理風險。但是企業(yè)風險管理有許多不同的稱謂和解釋，難以形成共同的理解，因而對于不同的人而言意味著不同的含義。因此，一個重要的目的在于把各種不同的風險管理概念整合到一個構(gòu)架之中，在這個構(gòu)架中構(gòu)建一個共同的定義，辨別構(gòu)成要素，并講述關(guān)鍵概念。這個構(gòu)架容納大多數(shù)觀點，為各個主體評估和增進企業(yè)風險管理，為規(guī)則制定團體和教育機構(gòu)的未來行動提供一個出發(fā)點。從微觀角度，風險管理框架是為了完善和加強李寧有限公司的風險管理工作，提高經(jīng)營質(zhì)量，為李寧公司總體目標的實現(xiàn)提供合理保證而制定的。本框架旨在說明公司風險管理組織體系、崗位及職責，實施風險管理工作應遵循的基本原則、方法和步驟以及對各相關(guān)責任人的要求，力圖實現(xiàn)風險管理工作規(guī)范化，以指導李寧公司的風險管理工作。風險管理工作基本內(nèi)容（1）全面與重點相結(jié)合的原則公司的風險管理工作包括李寧公司及其附屬子公司，覆蓋其經(jīng)營與管理過程中所面臨的全部普遍性風險，并對其中的重大風險實行重點管理。普遍性風險主要是由各系統(tǒng)及附屬子公司通過嚴格執(zhí)行政策制度來予以管理和監(jiān)控，而在經(jīng)營活動中發(fā)生的問題以及重大風險則是由風險管理機構(gòu)和相關(guān)各系統(tǒng)及附屬子公司通過特定的流程制度來予以管理和監(jiān)控。（2）全員參與原則公司設(shè)立以董事會為最終責任機構(gòu)、審核委員會和內(nèi)部審計部、風險管理委員會和風控管理組以及系統(tǒng)和子公司分別為第三、第二和第一道風險管理防線的風險管理組織架構(gòu)。各道風險管理防線根據(jù)風險管理工作的劃分，共同協(xié)作管理及監(jiān)控公司經(jīng)營活動中所面臨的不同風險。因此，各道防線相關(guān)的系統(tǒng)及人員均應按照本手冊的要求在風險管理工作中各司其職，完成相關(guān)工作內(nèi)容。（3） 成本效益原則在進行風險管理工作過程中，公司不應單純追求業(yè)務(wù)發(fā)展而忽略了相關(guān)的風險控制，也不應過度防范風險而制約業(yè)務(wù)的發(fā)展。同時，公司在實施風險管理的時候需要注意風險管理的成本不應大于風險發(fā)生后給公司經(jīng)營活動所帶來的損失。（4）日?；瓌t風險管理為公司實現(xiàn)其戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標提供合理保證，其主要是通過與公司的各種日常業(yè)務(wù)操作相結(jié)合，即在日常業(yè)務(wù)操作流程中設(shè)置必要的控制活動，來實現(xiàn)對各類風險的監(jiān)控和管理的。這些控制活動包括但不限于：各類業(yè)務(wù)的復核、審核和審批工作、業(yè)務(wù)流程的定期回顧、業(yè)務(wù)工作的定期分析以及內(nèi)部審計部的審計工作等。因此，風險管理工作并非是獨立于公司業(yè)務(wù)的全新內(nèi)容，而是與日常業(yè)務(wù)緊密結(jié)合的。與重點相結(jié)合的原則公司的風險管理工作包括李寧公司及其附屬子公司，覆蓋其經(jīng)營與管理過程中所面臨的全部普遍性風險，并對其中的重大風險實行重點管理。普遍性風險主要是由各系統(tǒng)及附屬子公司通過嚴格執(zhí)行政策制度來予以管理和監(jiān)控，而在經(jīng)營活動中發(fā)生的問題以及重大風險則是由風險管理機構(gòu)和相關(guān)各系統(tǒng)及附屬子公司通過特定的流程制度來予以管理和監(jiān)控。第二章 定義風險定義風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性。帶有負面影響的事項阻礙價值創(chuàng)造，或者破壞現(xiàn)有的價值。帶有負面影響的事項包括但不限于：對公司的聲譽、形象、資產(chǎn)、經(jīng)營、盈利或流動性造成實質(zhì)性不良影響的事件、事故或者行為。風險分類及定義對于風險的大小，公司通過兩個維度進行衡量。一個維度是風險發(fā)生的重要性，也就是說，假設(shè)一旦風險發(fā)生了，它帶來的后果對于公司的經(jīng)營活動影響有多大；另一個維度是風險發(fā)生的可能性，也就是說，在公司現(xiàn)有的政策制度下，風險是容易發(fā)生，還是不容易發(fā)生。如果某一事件的這兩個維度中的任意一個維度為零，即該事件沒有發(fā)生的可能性，或者該事件即使發(fā)生了對公司經(jīng)營活動也不會造成任何影響，那么該事件就不屬于風險范疇。本框架根據(jù)上述這兩個維度，將風險劃分為三類：高風險、中風險和低風險。其相關(guān)定義為：（1） 高風險指風險發(fā)生的重要性和可能性同時為高，表明其發(fā)生結(jié)果對公司運營有較大的負面影響，且發(fā)生的可能性較高。一般而言，公司對該類風險應該在一年之內(nèi)完善風險應對方案及改進措施。如果公司相關(guān)資源投入有限制，可以考慮適當延長時間完成相關(guān)工作。（2） 中風險指風險發(fā)生的重要性和可能性中僅有一項為高，表明其發(fā)生結(jié)果對公司運營的負面影響較大，或者發(fā)生的可能性較高。一般而言，公司對該類風險應該在兩到三年內(nèi)完善風險應對方案及改進措施。（3） 低風險指風險發(fā)生的重要性和可能性同時為低，表明其發(fā)生結(jié)果對公司運營的負面影響較小，且發(fā)生的可能性較低。一般而言，公司對該類風險應該通過日常工作中的控制措施進行持續(xù)監(jiān)控，并通過定期的公司級風險評估/風險審視，關(guān)注其相關(guān)條件是否發(fā)生變化，是否需要調(diào)整其風險級別，并采取相應措施。企業(yè)風險管理定義企業(yè)風險管理處理風險和機會，以便創(chuàng)造或保持價值。它的定義如下：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨豐識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體的實現(xiàn)提供合理保證。這個定義反映了幾個基本概念。企業(yè)風險管理是：● 一個過程，它持續(xù)地流動于主體之內(nèi)；● 由組織中各個層級的人員實施；● 應用于戰(zhàn)略制訂；● 貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀；● 旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)；● 能夠向一個主體的管理當局和董事會提供合理保證；● 力求實現(xiàn)一個或多個不同類型但相互交叉的目標――它只是實現(xiàn)結(jié)果的一種手段，并不是結(jié)果本身。這個定義之所以比較寬泛，是出于幾個方面的原因。它抓住了對于公司和其他組織如何管理風險至關(guān)重要的關(guān)鍵概念，為不同組織形式、行業(yè)和部門的應用提供了基礎(chǔ)，直接關(guān)注特定主體既定目標的實現(xiàn)。企業(yè)風險管理與管理過程因為企業(yè)風險管理是管理過程的一部分，所以企業(yè)風險管理框架的構(gòu)成要素是在管理當局如何經(jīng)營企業(yè)或其他主體的背景下加以討論的。但是并不是管理當局所做的每一件事情都是企業(yè)風險管理的一部分。管理當局在決策和相關(guān)的管理活動中所運用的許多判斷，盡管是管理過程的一部分，但是并不是企業(yè)風險管理的一部分。例如：● 確保有一個恰當?shù)哪繕嗽O(shè)定過程是企業(yè)風險管理的一個重要的構(gòu)成要素，但是管理當局所選定的選定目標并不是企業(yè)風險管理的一部分?！?根據(jù)對風險的恰當評估去應對風險是企業(yè)風險管理的一部分，但是所選定的具體風險應對和主體資源的相應配置卻不是。● 確定的執(zhí)行控制活動以幫助確保管理當局選擇的應對得以有效實施是企業(yè)風險管理的一部分，但是所選定的特定的控制活動卻不是?？傊髽I(yè)風險管理包括管理過程中那些保證管理當局作出知情的風險決策的要素，但是從一系列合適的選項中選定的特定決策并不能決定企業(yè)風險管理是否有效。管理選定的具體目標、風險應對和控制活動與管理當局的判斷有關(guān)，但是這些選擇必須最終把風險降低到一個可以接受的水平――這個水平取決于風險容量，以及有關(guān)實現(xiàn)主體目標的合理保證。企業(yè)風險管理與內(nèi)部控制內(nèi)部控制是企業(yè)風險管理不可分割的一部分。這份企業(yè)風險管理框架涵蓋了內(nèi)部控制，從而構(gòu)建一個更強有力的概念和管理工具。內(nèi)部控制是在《內(nèi)部控制――整合框架》中加以定義和講述的。因為《內(nèi)部控制――整合框架》是現(xiàn)行規(guī)則、監(jiān)管和法律的基礎(chǔ)，而且經(jīng)受了時間的檢驗，因此那份文件中對內(nèi)部控制的定義和框架依然有效。盡管《內(nèi)部控制――整合框架》的正方中只有一部分被本框架所引用，但是本框架通過參考的方式把整個《內(nèi)部控制――整合框架》融合了進來。第三章 內(nèi)部環(huán)境基本定義內(nèi)部環(huán)境是企業(yè)風險管理所有其他構(gòu)成要素的基礎(chǔ)，為其他要素提供約束和結(jié)構(gòu)。它影響著戰(zhàn)略和目標如何制訂、經(jīng)營活動如何組織以及如何識別、評估風險并采取行動。它還影響著控制活動、信息與溝通體系和監(jiān)控措施的設(shè)計與運行。內(nèi)部環(huán)境受到主體的歷史和文化的影響。它包含許多要素，包括主體的道德價值觀、員工的勝任能力和開發(fā)、管理當局管理風險的理念以及如何分配權(quán)力和職責。董事會是內(nèi)部環(huán)境的一個關(guān)鍵部分，它對其他的內(nèi)部環(huán)境要素有重大的影響。風險管理理念一個主體的風險管理理念是一整套共同的信念和態(tài)度，它決定著該主體在做任何事情――從戰(zhàn)略制訂和執(zhí)行到日常和活動――時如何考慮風險。風險管理理念反映了主體的價值觀，影響它的文化和經(jīng)營風格，承擔哪些風險，以及如何管理這些風險。成功地承擔了重大風險的公司對企業(yè)風險管理的看法，似乎不同于由于在危險的地區(qū)創(chuàng)業(yè)而面臨過嚴酷的經(jīng)濟或管制后果的公司。盡管有些主體會為了滿足外部利益相關(guān)者――例如母公司或監(jiān)管者的需要，而努力實現(xiàn)有效的企業(yè)風險管理，但是更常見的是因為管理當局認識到有效的風險管理有助于主體創(chuàng)造和保持價值。當風險管理理念被很好地確立和理解、并且為員工所信奉時，主體就能有效地識別和管理風險。否則，企業(yè)風險管理在各個業(yè)務(wù)單元、職能機構(gòu)或部門中的應用就可能會出現(xiàn)不可接受的不平衡狀態(tài)。但是即使一個主體的理念被很好地確立，在它的各個單元之間仍然會存在文化上的差別，從而導致風險管理應用方面的差異。一些單元的管理者可能準備承擔更大的風險，而其他的則更為保守。例如，一個有闖勁的銷售職能機構(gòu)可能會集中關(guān)注實現(xiàn)銷售，而沒有仔細注意對法規(guī)的遵循問題，而締約單元的人員主要集中關(guān)注確保符合所有的相關(guān)內(nèi)部和外部政策與法規(guī)。孤立地看，這些不同的次級文化都能對主體產(chǎn)生負面影響。但是通過很好的合作，這些單元能夠恰當?shù)胤从持黧w的風險管理理念。企業(yè)的風險管理理念實質(zhì)上反映在管理當局在經(jīng)營該主體的過程中所做的每一件事情上。它可以從政策表述、口頭和書面的溝通以及決策中反映出來。無論管理當局是強調(diào)書面的政策、行為準則、業(yè)績指標和例外報告，還是更為非正式地大量通過與關(guān)鍵的管理者面對面的接觸來進行運營，至關(guān)重要的是管理當局不僅要通過口頭、而且還要通過日常的行動來強化這種理念。誠信與道德價值觀公司管理層的誠信是一個公司經(jīng)營活動的所有方面的道德行為的先決條件。公司風險管理的有效性不可能脫離那些創(chuàng)造、管理和監(jiān)控公司經(jīng)營活動的人的誠信和道德價值觀。誠信和道德價值觀是一個公司內(nèi)部環(huán)境的關(guān)鍵要素，它影響著企業(yè)風險管理其他構(gòu)成要素的設(shè)計、管理和監(jiān)控。如果公司沒有明確的政策和措施對管理層和員工進行誠信與道德價值觀的教育、激勵和監(jiān)督，那么就無法保證公司風險管理工作的有效性。公司為了確保管理層及員工能夠有效地實施政策制度和對公司風險進行管理，制定了公司的核心價值觀，并在公司及系統(tǒng)范圍內(nèi)對管理層及員工進行對相關(guān)培訓。公司戰(zhàn)略目標下相匹配的核心價值觀如下：以贏得夢想為中心，從承諾變革、以人為本、客戶導向、績效標準四個維度，形成了突破、誠信守諾、我們文化、消費者導向及卓越績效的核心價值觀。公司通過政策制度強化和宣傳其誠信與道德價值觀。這些政策制度包括但不限于：《內(nèi)控手冊》、《員工行為手冊》、《李寧有限公司獎懲管理辦法》、《公司重點項目考核及獎勵辦法》等。對勝任能力的要求公司管理層明確特定崗位的勝任能力水平，并把這些水平轉(zhuǎn)換成所需的知識和技能。而這些必要的知識和技能可能又取決于個人的智力、培訓和經(jīng)驗。只有當承擔特定崗位責任的人員擁有符合規(guī)定的能力要求時，公司的風險管理才能被有效的實施。公司人力資源部已經(jīng)對公司崗位進行甄別，厘定關(guān)鍵崗位，并對關(guān)鍵崗位的要求進行了明確的描述。此外，公司系統(tǒng)內(nèi)各部門負責本部門的崗位職責描述。公司每年定期對員工的表現(xiàn)進行績效考核，以確保員工能夠完成其崗位職責，符合公司對于崗位勝任能力的要求。組織結(jié)構(gòu)公司的組織結(jié)構(gòu)提供了計劃、執(zhí)行、控制和監(jiān)督其活動的框架。相關(guān)的組織結(jié)構(gòu)包括確定權(quán)利與責任的關(guān)鍵領(lǐng)域，以及確立恰當?shù)膱蟾嫱緩健＠?，?nèi)部審計職能的結(jié)構(gòu)設(shè)計應該致力于實現(xiàn)公司的目標，并且不受限制地與公司高級管理層和審核委員會接觸，其負責人應當向組織中能保證內(nèi)部審計活動實現(xiàn)其職能的層級報告工作。培訓及宣貫公司通過對全體員工提供適當?shù)呐嘤栆约靶灒岣邌T工對于風險管理的意識和知識，從而強化公司整體的風險管理內(nèi)部環(huán)境。（1）培訓● 每年編制預算時，風控管理組執(zhí)行組根據(jù)下年度風險管理工作的重點以及相關(guān)政策制度的變更，制定下年度風險管理相關(guān)的培訓計劃。培訓計劃的內(nèi)容包括但不限于：培訓的次數(shù)、培訓目標人群、培訓目的、培訓方式、培訓成本估算。培訓計劃經(jīng)過風控管理組領(lǐng)導組的審批后，在下年度由風控管理組執(zhí)行組與人力資源系統(tǒng)協(xié)調(diào)執(zhí)行?！?風險管理相關(guān)培訓的內(nèi)容包括但不限于：基礎(chǔ)性知識培訓、工作方法培訓、政策制度培訓以及案例分析等?！?風險管理培訓執(zhí)行后，風控管理組執(zhí)行組應與人力資源系統(tǒng)對培訓的效進行調(diào)查和分析。如果需要，應根據(jù)分析的結(jié)果對風險管理培訓的計劃、內(nèi)容、方式進行相應調(diào)整。調(diào)整后的風險管理培訓計劃需要經(jīng)過風控管理組領(lǐng)導組審批后方可執(zhí)行?！?風控管理組執(zhí)行組每月對風險管理培訓計劃的執(zhí)行情況進行分析，并通過風險管理月度報告的形式向風控管理組領(lǐng)導組及風險管理委員會進行匯報。如果風險管理培訓計劃未能有效實施，應解釋原因，并提供調(diào)整方案。（2） 宣貫● 每年編制預算時，風控管理組執(zhí)行組預估風險管理相關(guān)宣貫費用，并簡要描述宣貫費用的使用目的及方式。● 風控管理組執(zhí)行組可以根據(jù)風險管理工作重點的變化而定期進行調(diào)整風險管理相關(guān)的宣貫內(nèi)容。風險管理宣貫內(nèi)容可以包括但不限于：風險管理基本理論、風險管理常識、關(guān)鍵制度點、案例故事及風險管理口號等。7