是指促使某一风险事件发生，或增加其发生的可能性，或提高其损失程度的原因或条件。它是风险事件发生的潜在原因，是造成损失的内在或间接原因

是指造成损失的偶发事故。风险一般只是一种潜在的危险，它只有通过风险事件的发生才能导致损失，即风险事件的发生是潜在的危险转化为现实的损失。

自然力作用、社会经济变动、人的行为等。

火灾、洪水、地震、车祸、核泄漏、疾病、股市崩盘等

损失是指非故意的、非预期的、非计划的经济价值的减少

①直接损失

②间接损失

【提示】间接损失有时大于直接损失

是指完全或部分由政府官员行使权力和政府组织的行为而产生的不确定性。虽然政治风险更多地与海外市场风险有关，但这一定义适用于国内外所有市 场

①限制投资领域 ②设置贸易壁垒 ③外汇管制规定 ④进口配额和关税。 ⑤组织结构及要求最低持股比例 ⑥限制向东道国的银行借款 ⑦没收资产 【提示】上述行为的主体是政府。

①法律风险

②合规风险

【提示】合规风险侧重于行政责任和道德责任的承担，而法律风险则侧重于民事责任的承担

①法律环境因素，包括立法不完备、执法不公正等

②市场主体自身法律意识淡薄，在经营活动中不考虑法律因素等

③交易相对方的失信、违约或欺诈等

是指文化这一不确定性因素的影响给企业经营活动带来的影响。

①跨国经营活动引发的文化风险 ②企业并购活动引发的文化风险 ③组织内部因素引发的文化风险

广义

狭义

市场风险是指企业所面对的外部市场的复杂性和变动性所带来的与经营相关的风险。

①产品或服务的价格及供需变化带来的风险。

②能源、原材料、配件等物资供应的充足性、稳定性和价格的变化带来的风险。

③主要客户、主要供应商的信用风险。

④税收政策和利率、汇率、股票价格指数的变化带来的风险。

⑤潜在进入者、竞争者、与替代品的竞争带来的风险。

【记忆口诀】产服价格与供需，物资还有充稳性，信用税收利汇率，五力当中潜竞替。 价税利汇供争用

是指企业在战略管理过程中，由于内外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致企业整体性损失和战略目标无法实现的可能性及其损失

①缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力

②发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败

③发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展

是指企业在运营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失

①企业产品结构、新产品研发方面可能引发的风险

②企业新市场开发，市场营销策略（包括产品或服务定价与销售渠道，市场营销环境状况等）方面可能引发的风险

③企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面可能引发的风险

④期货等衍生产品业务中发生失误带来的风险。

⑤质量、安全、环保、信息安全等管理中发生失误导致的风险

⑥因企业内、外部人员的道德风险或业务控制系统失灵导致的风险。

⑦给企业造成损失的自然灾害等风险

⑧企业现有业务流程和信息系统操作运行情的监管、运行评价及持续改进能力方面引发的风险。

总结：产生营业 管德人灾

①组织架构——内控应用指引第1号 第一，治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略 第二，内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下

②人力资源管理——内控应用指引第3号 第一，人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现 第二，人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露 第三，人力资源退出机制不当，可能导致法律诉讼或企业声誉受损

③社会责任——内控应用指引第4号 第一，产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。 第二，环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业 第三，安全生产措施不到位，责任不落实，可能导致企业发生安全事故。 第四，促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。 口诀：质保安业

④企业文化——内控应用指引第5号 第一，缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力 第二，缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展 第三，缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。 第四，忽视企业间的文化差异和理念冲突，可能导致并购重组失败。

⑤采购业务——内控应用指引第7号 第一，采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费 第二，供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈 第三，采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。

⑥资产管理——内控应用指引第8号 第一，固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费 第二，无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业出现法律纠纷、缺乏可持续发展能力 第三，存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。

⑦销售业务——内控应用指引第9号 第一，销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继 第二，客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈 第三，销售过程存在舞弊行为，可能导致企业利益受损

⑧研究与开发活动——内控应用指引第10号 第一，研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。 第二，研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。 第三，研究成果转化应用不足、保护措施不力，可能导致利益受损

⑨工程项目——内控应用指引第11号 第一，立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败 第二，项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案 第三，工程造价信息不对称，技术方案不落实，预算脱离实际，可能导致项目投资失控 第四，工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断 第五，竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患

⑩担保业务——内控应用指引第12号 第一，对担保申请人的资信状况调查不深。审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈 第二，对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任 第三，担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损

⑪业务外包——内控应用指引第13号 第一，外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失 第二，业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势 第三，业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案

⑫合同管理——内控应用指引第16号 第一，未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害 第二，合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。 第三，合同纠纷处理不当，可能损害企业利益、信誉和形象

⑬内部信息传递——内控应用指引第17号 第一，内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。 第二，内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。 第三，内部信息传递中泄露商业秘密，可能削弱企业核心竞争力

⑭信息系统——内控应用指引第18号 第一，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 第二，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。 第三，系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。

指企业在生产经营过程中，由于内外部环境的各种难以预料或无法控制的不确定性因素的作用，使企业在一定时期内所获取的财务收益与预期收益发生偏差的可能性。 财务风险是客观存在的，企业管理者对财务风险只有采取有效措施来降低风险，而不可能完全消除风险

①全面预算管理——内控应用指引第15号 第一，不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。 （没有） 第二，预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。（有但不好） 第三，预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式（有且好但不执行）

②资金活动——内控应用指引第6号 第一，筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机 第二，投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下 第三，资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。 第四，资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈 口诀：筹资不当成本高；投资失误资金断；调度不当陷困境，管控不严受欺诈

③财务报告——内控应用指引第14号 第一，编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损 第二，提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。 第三，不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控 口诀：

（1）定义

（2）特征

（3）风险管理的新旧理念对比

风险承担亦称风险保留、风险自留，是指企业对所面临的风险采取接受的态度，从而承担风险带来的后果 重大风险不可以

风险规避是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境， 避免成为风险的所有人

①退出某一市场以避免激烈竞争 ②拒绝与信用不好的交易对手进行交易 ③外包某项对工人健康安全风险较高的工作 ④停止生产可能有潜在客户安全隐患的产品 ⑤禁止各业务单位在金融市场进行投机 ⑥不准员工访问某些网站或下载某些内容

是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方移除后转移到另一方。

①保险（风险转移给保险机构） ②非保险型的风险转移。（风险转移给非保险机构） ③风险证券化（将风险事件作为保险标的，通过证券化保险风险构造的保险连接型证券。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度）

指企业通过战略调整等手段将企业面临的风险转换成另一个风险。

战略调整和使用衍生产品等。

（1）风险转换一般不会直接降低企业总风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加应收账款，扩大销售。 （2）企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果。 （3）可以在低成本或者无成本的情况下达到目的

是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相冲抵，也就是使这些风险的影响互相抵销 （下雨卖伞）

资产组合使用、多种外币结算的使用和战略上的多种经营等。在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值

在企业的风险中，有些风险具有自然对冲的性质，应当加以利用，如不同行业的经济周期风险对冲

风险对冲不是针对单一风险，而是涉及风险组合。对于单一风险，只能采用风险规避、风险控制等其他工具

是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。

财务补偿（是指损失融资，包括企业自身的风险准备金或应急资本等）、人 力补偿、物资补偿等。

是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。

①控制风险事件发生的概率——损失预防 如室内使用不易燃地毯、山上禁止吸烟等。 ②控制风险事件发生后的损失——损失抑制 如修建水坝防洪、设立质量检查防止次品出厂等

各种金融衍生产品对比

①增加自己愿意承担的风险 ②消除或减少自己不愿承担的风险 ③转换不同的风险。

未来性、灵活性、杠杆性、风险性、虚拟性。

（1）具体流程

（2）特点

（1）保险是一种金融合约。保险合同规定保险公司应为预定的损失支付补偿（也就是为损失进行融资），作为交换，在合同开始时，购买保险合同的一方要向保险公司支付保险费。

（2）保险是风险转移的传统手段，即投保人通过保险把风险可能导致的财务损失负担转移给保险公司。

（3）可保风险是纯粹风险，机会风险不可保。

（1）专业自保公司又称专属保险公司，是非保险公司的附属机构，为母公司提供保险，并由其母公司筹集保险费，建立损失储备金

（2）专业自保的特点由被保险人所有和控制，要承保其母公司的风险，但可以通过租借的方式承保其他公司的保险，不在保险市场上开展业务。

①绝大多数期货合约不会在到期日用标的物兑现。

②期货价格表现的是市场对标的物的远期预期价格。

③基差=现货价格－期货价格

④基差在期货合约到期日为零，在此之前可正可负。一般而言，离到期日越近，基差就越小

【提示】担心将来买贵了，那么现在买期货

【提示】担心将来卖便宜了，那么现在卖期货

期权作为对冲的工具可以起到类似保险的作用。

期权也可以作为投机的工具，但风险更大。

①决定了企业的基调，直接影响企业员工的控制意识。 ②提供了内部控制的基本规则和构架，是其他四要素的基础。 ③内容：员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

①企业应当建立规范的公司治理结构和议事规则

②董事会负责内部控制的建立健全和有效实施。 监事会对董事会建立与实施内部控制进行监督。 经理层负责组织领导企业内部控制的日常运行 ③企业应当在董事会下设立审计委员会

④企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位

⑤企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性

⑥企业应当制定和实施有利于企业可持续发展的人力资源政策包括关键岗位员工的强制休假制度和定期岗位轮换制度等

⑦企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质

⑧企业应当加强文化建设，企业员工应当遵守员工行为守则，认真履行岗位职责

⑨企业应当加强法制教育

①风险评估的前提是使经营目标在不同层次上相互衔接，保持一致； ②风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础； ③由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。

①企业应当根据设定的控制目标，全面系统持续地收集相关信息

②企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度；风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平

③企业识别内部风险。

④企业识别外部风险。

⑤企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

⑥企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

⑦企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制

⑧企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略

①控制活动指那些有助于管理层决策顺利实施的政策和程序 ②控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中； ③它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

①企业应当结合风险评估结果，运用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

②不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制

③授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业各级管理人员应当在授权范围内行使职权和承担责任。 对于重大的业务和事项，应当实行集体决策审批或联签制度，任何个人不得单独决策或擅自改变集体决策。

④会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。 会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。

⑤财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。 企业应当严格限制未经授权的人员接触和处置财产

⑥预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束.

⑦运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方 法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

⑧绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系， 对内部各责任单位和全体员工业绩进行定期考核和客观评价

⑨企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

⑩企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理

①公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责；

②信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。 信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部件、行为和条件等

③有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递

④所有员工必须从管理层得到准确的信息，认真履行控制职责；员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性

⑤员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通

①企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递 程序，确保信息及时沟通，促进内部控制有效运行。

②企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、 办公网络等渠道，获取内部信息。

③企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节 之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有 关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传 递给董事会、监事会和经理层。

④企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用

⑤企业应当建立反舞弊机制，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

⑥企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投 诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要 途径。举报投诉制度和举报人保护制度应当及时传达至全体员工

①内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过 持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。

②持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监 督行为、员工履行各自职责的行为

③独立评估活动的广度和频度有赖于风险评估结果和日常监控程序的有效性， 以及管理层的其他考虑

①企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求内部监督分为日常监督和专项监督

②企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、 监事会或者经理层报告 内部控制缺陷包括设计缺陷和运行缺陷

③企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根 据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

④企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性