（1）企业风险与企业战略相关。

（2）风险是一系列可能发生的结果，而不能简单地理解为最有可能的结果。

（3）风险既具有客观性，又具有主观性。

（4）风险往往与机遇并存。

（1）含义：

（2）分类：

风险事件，指造成损失的偶发事故。

举例：火灾、洪水、地震、车祸、核泄漏、疾病、股市崩盘等都是导致财产损失的风险事件。

（1）含义：

（2）分类：

（1）风险因素、风险事件和损失是共同构成风险的统一体。

（2）风险因素、风险事件和损失相互依存、相互作用。

（3）风险因素引起风险事件发生或增加其发生的概率；风险事件的发生造成损失；损失的发生使风险因素和风险事件得以呈现或暴露，使风险最终形成。

企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

（1）风险偏好

（2）风险承受度

（3）两者关系

完全或部分由政府官员行使权力和政府组织的行为而产生的不确定性。虽然政治风险更多地与海外市场风险有关，但这一定义适用于国内外所有市场。

2.表现形式

（1）合规风险：因违反法律或监管要求而受到制裁、遭受金融损失及因未能遵守所有适用法律、法规、行为准则或相关标准而给企业信誉带来损失的可能性；

（2）法律风险：企业在经营过程中因自身经营行为的不规范或者外部法律环境发生重大变化而造成不利法律后果的可能性。

法律风险通常包括以下三方面：一是法律环境因素，包括立法不完备、执法不公正等；二是市场主体自身法律意识淡薄，在经营活动中不考虑法律因素等；三是交易对方的失信、违约或欺诈等。

（1）合规风险侧重于行政责任和道德责任的承担，而法律风险则侧重于民事责任的承担。

（2）合规风险和法律风险有时会同时发生。

（3）合规风险和法律风险有时也会发生分离。

（1）国内外与企业相关的政治、法律环境可能引发的风险；

（2）影响企业的新法律法规和政策可能引发的风险；

（3）员工的道德操守可能引发的风险；

（4）企业签订的重大协议和有关贸易合同可能引发的风险；

（5）企业发生重大法律纠纷案件可能引发的风险；

（6）企业和竞争对手的知识产权可能引发的风险。

文化这一不确定性因素给企业经营活动带来的影响。

（1）国与国之间：跨国经营活动引发的文化风险；

（2）企业与企业之间：企业并购活动引发的文化风险；

（3）企业内部：组织内部因素引发的文化风险。

（1）广义：某一种新技术给某一行业或某些企业带来增长机会的同时，可能对另一行业或另一些企业形成巨大威胁。

（2）狭义：技术在创新过程中，由于技术本身复杂性和其他相关因素变化的不确定性而导致技术创新遭遇失败的可能性。

（1）技术设计风险——事前；

（2）技术研发风险——事中；

（3）技术应用风险——事后。

企业所面对的外部市场的复杂性和变动性所带来的与经营相关的风险。

（1）产品或服务的价格及供需变化带来的风险；

（2）能源、原材料、配件等物资供应的充足性、稳定性和价格的变化带来的风险；

（3）主要客户、主要供应商的信用风险；

（4）税收政策和利率、汇率、股票价格指数的变化带来的风险；

（5）潜在进入者、竞争者、与替代品的竞争带来的风险。

命题角度：市场风险的案例分析。

这是极为重要的考点，通常出现在主观题中，需要结合关键词进行判断：

由于内外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致企业整体性损失和战略目标无法实现的可能性及损失。

（1）国内外宏观经济政策和经济运行情况、企业所在产业的状况、国家产业政策可能引发的风险；

（2）科技进步、技术创新可能引发的风险；

（3）市场对企业产品或服务的需求可能引发的风险；

（4）与企业战略合作伙伴的关系、寻求战略合作伙伴可能引发的风险；

（5）企业主要客户、供应商及竞争对手可能引发的风险；

（6）与主要竞争对手相比，企业实力与差距可能引发的风险；

（7）企业编制发展战略和规划、投融资计划、年度经营目标、经营战略可能引发的风险；

（8）企业对外投融资过程中曾发生或易发生错误的业务流程或环节可能引发的风险。

《企业内部控制应用指引第2号——发展战略》：

（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

由于内外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期的目标的可能性及损失。

（1）产品结构、新产品研发方面可能引发的风险；

（2）新市场开发，市场营销策略（包括产品或服务定价与销售渠道，市场营销环境状况等）方面可能引发的风险；

（3）质量、安全、环保、信息安全等管理发生失误导致的风险；

（4）组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面可能引发的风险；

（5）因企业内、外部人员的道德风险或业务控制系统失灵导致的风险；

（6）现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力方面引发的风险；

（7）期货等衍生产品业务中发生失误带来的风险；

（8）给企业造成损失的自然灾害等风险。

命题角度：运营风险的案例分析。

这是极为重要的考点，通常出现在主观题中，且有一定难度。首先，需要精准理解运营风险的内涵——“与企业的管理能力、决策有关，属于能力有限或出现失误”。这是客观题中可能会应用的技巧，即没有明显的关键词作为提示，而是从本质出发进行判断。在主观题中，则需要结合关键词判断具体的运营风险类型：

（1）《企业内部控制应用指引第1号——组织架构》：

（2）《企业内部控制应用指引第3号——人力资源》：

（3）《企业内部控制应用指引第4号——社会责任》：

（4）《企业内部控制应用指引第5号——企业文化》：

（5）《企业内部控制应用指引第7号——采购业务》：

（6）《企业内部控制应用指引第8号——资产管理》：

（7）《企业内部控制应用指引第9号——销售业务》：

（8）《企业内部控制应用指引第10号——研究与开发》：

（9）《企业内部控制应用指引第11号——工程项目》：

（10）《企业内部控制应用指引第12号——担保业务》：

（11）《企业内部控制应用指引第13号——业务外包》：

（12）《企业内部控制应用指引第16号——合同管理》：

（13）《企业内部控制应用指引第17号——内部信息传递》：

（14）《企业内部控制应用指引第18号——信息系统》：

由于内外部环境的各种难以预料或无法控制的不确定性因素的作用，使企业在一定时期内所获取的财务收益与预期收益发生偏差的可能性。

①企业负债、负债率、偿债能力方面可能引发的风险；

②现金流、应收账款及其占销售收入的比重、资金周转率方面可能引发的风险；

③产品存货及其占销售成本的比重、应付账款及其占购货额的比重方面可能引发的风险；

④制造成本和管理费用、财务费用、营业费用方面可能引发的风险；

⑤盈利能力方面可能引发的风险；

⑥成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节可能引发的风险；

⑦与企业相关的产业会计政策、会计估算，与国际会计制度的差异与调节（如退休金、递延税项等）等信息方面可能引发的风险。

（1）《企业内部控制应用指引第15号——全面预算》：

（2）《企业内部控制应用指引第6号——资金活动》：

（3）《企业内部控制应用指引第14号——财务报告》：

风险是是什么

风险可能性大小和后果大小

风险是否能被企业容忍

外部解决方案一般指外包（给投资银行、律师事务所、会计师事务所等）。企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

内部解决方案是后面要阐述的风险管理体系的运转，包括：风险管理策略、组织职能、内部控制、信息系统、风险理财措施。

提示：内部控制针对的风险是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程。

企业目标的实现要靠企业的各个职能部门和业务单位共同的努力。同样，企业的关键风险指标也要分解到企业的各个职能部门和业务单位。

但是：

（1）对于关键风险指标的分解要注意职能部门和业务单位之间的协调。举例：信用管理部门负责信用风险的管理，如果其强调最小化信用风险，紧缩信用，则会给负责扩大市场占有率和销量的市场和销售部门造成伤害，从而影响公司整体目标的实现。

（2）对于关键风险指标的分解，要兼顾各职能部门和业务单位的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单位间的协调。

风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具，并确定风险管理所需人力和财力资源的配置原则的总体策略。

（1）风险管理策略是根据企业经营战略制定的全面风险管理的总体策略。

（2）风险管理策略在整个风险管理体系中起着统领全局的作用。

（3）风险管理策略在企业战略管理的过程中起着承上启下的作用，制定与企业战略保持一致的风险管理策略减少了企业战略失误的可能性。

（1）为企业的总体战略服务，保证企业经营目标的实现；

（2）连接企业的整体经营战略和运营活动；

（3）指导企业的一切风险管理活动；

（4）分解为各领域的风险管理指导方针。

确定企业整体风险偏好要考虑以下因素：

（1）风险个体：对每一个风险都可以确定风险偏好和风险承受度。

（2）相互关系：既要考虑同一个风险在各个业务单位或子公司之间的分配，又要考虑不同风险之间的关系。

（3）整体情况：一个企业的整体风险偏好和风险承受度是基于针对每一个风险的风险偏好和风险承受度。

（4）行业因素：同一风险在不同行业风险偏好不同。

注意：

①一般来讲，风险偏好和风险承受度是针对公司的重大风险制定的，是企业的重大决策，应由董事会决定；

②企业的风险偏好依赖于企业风险评估的结果，由于企业的风险不断变化，企业需要持续进行风险评估，并调整自己的风险偏好。

风险承受度的表述需要对所针对的风险进行量化描述，风险偏好可以只定性，但风险承受度一定要定量，即风险度量。

企业应该采取统一制定的风险度量模型，对所采取的风险度量取得共识； 但不一定在整个企业使用唯一的风险度量方法，应对不同的风险采取不同的度量方法。

（1）统计方法

（2）直观方法：

原理详解

（1）企业现在的风险是否在风险承受度范围之内，即风险是否优化；

（2）企业风险状况的变化是否是所要求的，即风险的变化是否优化。

量化的企业风险管理的有效性标准与企业风险承受度有相同的度量基础。

（1）风险管理的有效性标准要针对企业的重大风险，能够反映企业重大风险管理的现状；

（2）风险管理有效性标准应当对照全面风险管理的总体目标，在所有五个方面保证企业的运营效果；

（3）风险管理有效性标准应当在企业的风险评估中应用，并根据风险的变化随时调整；

（4）风险管理有效性标准应当用于衡量全面风险管理体系的运行效果。

（1）含义：

（2）适用情况（注意三个层次）：

③对于企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担。

（1）含义：

（2）举例：

（1）含义：

（2）举例：

（1）含义：

（2）关键结论：

（1）含义：

（2）举例：

注意：风险对冲不是针对单一风险，而是涉及风险组合。对于单一风险，只能采用风险规避、风险控制等其他工具。

（1）含义：

（2）类型：

（1）含义：

（2）举例：

注意：风险控制对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险以及法律风险中的合规性风险。

（1）一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法；

（2）对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优先顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

一个很重要的原则是风险与收益相平衡的原则，在风险评估结果的基础上，全面考虑风险与收益。要特别重视对企业有影响的重大风险，要首先解决“颠覆性”风险问题，保证企业持续发展。

企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

企业经营战略回顾时应该同时总结和分析风险管理策略。要重新评估风险以便确认风险管理策略的有效性。必要时，调整有效性标准。

（1）风险管理部对总经理或委托的高级管理人员负责（而非风管会）；

（2）内审部对审计委员会负责（而非高级管理层、董事会负责）。

（1）三次会议：审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。

（2）一次会面：审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但管理层无须出席。

（3）争议解决：审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。

（4）年度复核：审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。

提示：管理层对审计委员会有告知义务，并应主动提供信息，而不应等待审计委员会索要。

（1）核查报告：审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告合规的义务。

（2）关键复核：审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。

（3）异议上诉：如果对拟采用的财务报告的任何方面不满意，审计委员会应告知董事会。

（4）附注复核：审计委员会还应对财务报表后所附的与财务有关的信息（如运营和财务复核信息及公司治理部分关于审计和风险管理的陈述）进行复核。

（1）审计委员会的义务是确保充分且有效的内部控制，监督内部审计部门的工作（充当的角色和发挥的作用）；

（2）应核查内部审计的有效性，并决定对内部审计主管的任命和解聘，还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任；

（3）审计委员会复核及评估年度内部审计工作计划；

（4）审计委员会收到关于内部审计部门工作的定期报告，复核和监察管理层对内部审计的调查结果的反应；

（5）审计委员会还应确保内部审计部门提出的建议已执行；

（6）审计委员会有助于保持内部审计部门的独立性；

（7）审计委员会及内部审计师需要确保内部审计部门正在有效运作，它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

提示：复核的四个方面中没有“职责划分”。

公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。

COSO委员会的上述定义为内部控制的基本概念提供了一些深入见解，并特别指出：

（1）内部控制是一个实现目标的程序及方法，而其本身并非目标；

（2）内部控制只提供合理保证，而非绝对保证；

（3）内部控制要由企业中各级人员实施与配合。

（1）三大目标：

（2）五大要素：

①控制环境

②风险评估

③控制活动

④信息与沟通

⑤监控

（1）《基本规范》规定内部控制的目标、要素、原则和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用。

（2）《基本规范》三大目标：

（3）《基本规范》五大要素：

（1）《应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位。

（2）《应用指引》针对组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域或内控手段，提出了建议性的应用指引，为企业以及外部审核人建立与评价内控体系提供了参照性标准。

（1）《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称《评价指引》和《审计指引》）是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻《基本规范》和《应用指引》效果的评价与检验。

（2）《评价指引》为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供了指引。

（3）《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供了指引。

关键词：职责分工、治理结构（董事会、监事会、经理层、审计委员会、内部机构、内部审计机构）、人力资源政策、员工培养、文化建设、法制建设。

（1）企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

（2）董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

（3）企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具有相应的独立性、良好的职业操守和专业胜任能力。

（4）企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

（5）企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

（6）企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。

（7）企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

（8）企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。

（9）企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

关键词：信息收集、风险识别、风险分析、风险应对。

（1）企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。

（2）企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

（3）企业识别内部风险，应当关注下列因素：（略）。

（4）企业识别外部风险，应当关注下列因素：（略）。

（5）企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，严格按照规范的程序开展工作，确保风险分析结果的准确性。

（6）企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

（7）企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

（8）企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

关键词：不相容职务分离控制、授权审批控制、会计系统控制（包括设置会计机构、配备会计从业人员）、财产保护控制、预算控制、运营分析控制、绩效考评控制、重大风险预警机制和突发事件应急处理机制。

（1）企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

（2）不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。（重要）

（3）授权审批控制要求企业根据常规授权和特別授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。（重要）

（4）会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构配备会计从业人员；从事会计工作的人员，必须取得会计从业资格证书；会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。

（5）财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。（重要）

（6）预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

（7）运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

（8）绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬，以及职务晋升、评优、降级、调岗、辞退等的依据。

（9）企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

（10）企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。（重要）

关键词：（内外部）信息、沟通、信息技术、反舞弊机制、举报投诉制度和举报人保护制度。

（1）企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

（2）企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

（3）企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。

（4）企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

（5）企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；董事、监事、经理及其他高级管理人员滥用职权；相关机构或人员串通舞弊。

（6）企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

关键词：监督制度、内控缺陷认定标准、内控自我评价报告、记录或资料保存（可验证性）。

（1）企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。

（2）企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

（3）企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

（4）企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

风险理财是用金融手段管理风险。例如：

（1）公司为了转移自然灾害可能造成的损失而购买巨灾保险；（转移）

（2）公司在对外贸易中产生了大量的外币远期支付或应收账款，为了对冲可能利率变化造成的损失，公司使用了外币套期保值，以降低汇率波动的风险；（对冲）

（3）公司为了应对原材料价格的波动风险，在金属市场上运用期货进行套期保值；（对冲）

（4）公司为了应对可能的突发事件造成的资本需求，与银行签订了应急资本合同。（补偿）

精准答疑

（1）风险理财是全面风险管理的重要组成部分；

（2）风险理财既适用于可控风险，也可以针对不可控风险。

提示：风险控制仅适用于可控风险。

（1）风险理财的手段既不改变风险事件发生的可能性，也不改变风险事件可能引起的直接损失（注意：是直接损失，而非通过理财弥补后的损失）程度。

（2）风险理财需要判断风险的定价，因此量化的标准较高，即不仅需要风险事件的可能性和损失的分布，更需要量化风险本身的价值。

（3）风险理财的应用范围一般不包括声誉等难以衡量其价值的风险，也难以消除战略失误造成的损失。

（4）风险理财手段技术强，许多风险理财工具本身有着比较复杂的风险特性，使用不当容易造成重大损失。

风险理财过去被认为是公司财务管理的一部分，现在则认为其在很多情况下超出了公司财务管理的范畴。具体表现在：

（1）风险理财注重风险因素对现金流的影响；

（2）风险理财影响公司资本结构，注意以最低成本获得现金流；

（3）风险理财成为公司战略的有机部分，其风险经营的结果直接影响公司整体价值的提升。

风险资本是除经营资本之外，公司补偿风险造成的财务损失而需要的资本，是使一家公司破产的概率低于某一给定水平所需的资金，因此取决于公司的风险偏好。

原理详解

应急资本是一个金融合约，规定在某一个时间段内、某个特定事件（触发事件）发生的情况下公司有权从应急资本提供方募集股本或贷款（或资产负债表上的其他实收资本项目），并为此按时间向资本提供方缴纳费用。

举例：公司为满足特定条件下的经营需要而从银行获得的信贷额度，一般通过与银行签订协议加以明确，比如信贷周转协定、信用证、循环信用工具等。

应急资本具有如下特点：

（1）应急资本的提供方并不承担特定事件发生的风险，而只是在事件发生并造成损失后提供用于弥补损失、持续经营的资金。事后公司要向资本提供者归还这部分资金，并支付相应的利息。

（2）应急资本是一个综合运用保险和资本市场技术设计和定价的产品。与保险不同，应急资本不涉及风险的转移，是企业风险补偿策略的一种方式。

（3）应急资本是一个在一定条件下的融资选择权，公司可以不使用这个权利。

（4）应急资本可以提供经营持续性的保证。

（1）保险是一种金融合约。保险合同规定保险公司为预定的损失支付补偿（也就是为损失进行融资），作为交换，在合同开始时，购买保险合同的一方要向保险公司支付保险费。

（2）保险合同降低了购买保险一方的风险，因为它把损失的风险转移给了保险公司。而保险公司则是通过损失的分散化来降低自己的风险。

（3）可保风险是纯粹风险，机会风险（如购买股票的风险）不可保。

注意：这里是可保不可保，不是可控不可控。

（1）含义：专业自保公司又称“专属保险公司”，是非保险公司的附属机构，为母公司提供保险，并由其母公司筹集保险费，建立损失储备金。

（2）特点：由被保险人所有和控制，承保其母公司的风险，但可以通过租借的方式承保其他公司的保险，不在保险市场上开展业务。

优点：降低运营成本；改善公司现金流；保障项目更多；公平的费率等级；保障的稳定性；直接进行再保险；提高服务水平；减少规章限制；国外课税扣除和流通转移。

缺点：提高内部管理成本；增加资本投入；损失储备金不足；减少其他保险的可得性。

企业选择（现代）风险理财的策略与方案时，涉及对金融衍生产品的选择。

（1）远期合约（forwardcontract）

（2）互换交易（swaptransaction）

（3）期货（futures）

（4）期权（options）

（5）衍生产品及其交易的特点：

（1）重要结论。

（2）期货套期保值与投机。

（3）期权套期保值与投机。