（1）战略性。主要运用于企业战略管理层面。

（2）全员性。由企业治理层、管理层和所有员工参与的。

（3）专业性。专业人才实施专业化管理。

（4）二重性。既要管理纯粹的风险，也要管理机会风险。

（5）系统性。有系统规范的方法体系。

技术设计风险是指技术在设计阶段，由于技术构思或设想的不全面性致使技术及技术系统存在先天“缺陷”或创新不足而引发的各种风险。


技术研发风险是指在技术研究或开发阶段，外界环境变化的不确定性、技术研发项目本身的难度和复杂性、技术研发人员自身知识和能力的有限性都可能导致技术的研发面临着失败的危险。


技术应用风险是指技术成果在产品化、产业化的过程中由一系列不确定性带来的负面影响或效应。

第一，治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

第二，内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮， 运行效率低下。

第一，人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。（招人）

第二，人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。（用人）

第三，人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。（辞人）

第一，安全生产措施不到位，责任不落实，可能导致企业发生安全事故。


第二，产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。


第三，环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。

第四，促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。


第一，缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。


第二，缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。


第三，缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。

第四，忽视企业间的文化差异和理念冲突，可能导致并购重组失败。

第一，采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。（采购前）

第二，供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。（采购中）

第三，采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。（收货后）

第一，存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。

第二，固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。

第三，无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业出现法律纠纷、缺乏可持续发展能力。

第一，销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继。（卖不出去）

第二，客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。（收不回钱）

第三，销售过程存在舞弊行为，可能导致企业利益受损。（舞弊）

第一，研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。（研发前）

第二，研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。（研发中）

第三，研究成果转化应用不足、保护措施不力，可能导致企业利益受损。（研发后）

（1）立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。（立项）

（2）项目招标“暗箱操作”，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。（招标）

（3）工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。（造价）

（4）工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。（建设）

（5）竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。（验收）

第一，对担保申请人的资信状况调查不深。审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。（担保前）

第二，对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。（担保中）

第三，担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。（舞弊）

第一，外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。（外包前）

第二，业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。（外包中）

第三，业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。（舞弊）

第一，未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。（合同前）

第二，合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。（合同中）

第三，合同纠纷处理不当，可能损害企业利益、信誉和形象。（纠纷）

第一，内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。（管道有问题）

第二，内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。（管道不通畅）

第三，内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。（漏）

第一，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。（基础差）

第二，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。（开发和管理不当）

第三，系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。（维护和安全不到位）

①不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。（没有或不全）

②预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。（有，但不科学）

③预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。（落实有问题）

①筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

②投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

③资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

④资金活动管控不严，可能导致资金被挪用、侵占、抽逃或企业遭受欺诈。

①编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

②提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。

③不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。

【解释】A→A：以前的风险是 A，现在的风险仍然是 A，风险还是那个风险。企业对所面临的风险采取接受的态度，承担风险带来的后果。

【适用条件】

重大风险，影响到目标实现的风险，一般不应采用风险承担。

【解释】A→0：风险 A 直接变为 0。

企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人。例如：

【解释】A→－p：以前的风险是 A，我们通过支付一定的费用（-P）转移给第三方。

企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方转移到另一方。例如：

【解释】A1→A2：由以前的风险 A1 转换成了现在的风险 A2。 风险转换指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等。

风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款，但扩大了销售。

企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果。可以在低成本或者无成本的情况下达到目的。

【解释】A1＋A2→0：企业曾经的风险是 A1，企业不愿承担 A1 的风险，企业可以通过引进 A2 的风险，使得 A2 和原来的 A1 进行对冲进而使风险变为 0。

风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相冲抵，也就是使这些风险的影响互相抵销。组合分散

常见的例子有资产组合使用、多种外币结算的使用和战略上的多种经营等。在金融资产风险管理中，对冲也包括使用衍生产品，如利用期货进行套期保值。

在企业面临的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲。

风险对冲不是针对单一风险，而是涉及风险组合；对于单一风险，只能采用风险规避、风险控制等其他工具。

【注意】风险规避是曾经有风险 A1，现在企业不要 A1 了，不冒 A1 的险，从而使得风险变为了 0。而风险对冲是 A1 的风险企业依然有，而且企业还引入了 A2 的风险，这两个风险合在一起变成 0 了。

【解释】A→A+m：企业以前的风险是 A，现在对风险 A 可能造成的损失主动采取适当的措施 m。风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。

风险补偿的形式有财务补偿、人力补偿、物资补偿等。

财务补偿是损失融资，包括企业自身的风险准备金或应急资本等。

【解释】A→A－：由原来的风险 A 变成了A－，减少了发生的概率和发生的损失。

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。

通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的。如：室内使用不易燃地毯、山上禁止吸烟，修建水坝防洪，设立质量检查防止次品出厂。

风险控制对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及合规性风险。

①最大可能损失：不考虑概率；

②概率值：损失发生的概率或可能性；

③期望值：概率乘以影响；

④波动性：反映数据的离散程度；

⑤在险值：又称 VaR，在正常的市场条件下，在给定的时间段和给定的置信区间内，预期可能发生的最大损失；

⑥直观方法：专家意见法、层次分析法（AHP）。

（1）风险事件发生的可能性和影响；

（2）风险管理的难度

（3）风险的价值或管理可能带来的收益；

（4）合规的需要；

（5）对企业技术、人力、资金的需求；

（6）利益相关者的要求。

（1）风险理财注重风险因素对现金流的影响；

（2）风险理财影响公司资本结构，注意以最低成本获得现金流；

（3）风险理财成为公司战略的有机部分，其风险经营的结果直接影响公司整体价值的提升。

损失融资是为风险事件造成的财物损失融资，是从风险理财的角度进行损失事件的事前、事后管理， 是损失事件管理中最有共性，也是最重要的部分。

企业损失分为预期损失和非预期损失，损失事件融资分为预期损失融资和非预期损失融资。预期损失融资一般作为运营资本的一部分，而非预期损失融资则是属于风险资本的范畴。

风险资本即除经营所需的资本之外，公司补偿风险造成的财务损失而需要的资本，是使一家公司破产的概率低于某一给定水平所需的资金，因此取决于公司的风险偏好。

应急资本是一个金融合约，规定在某一时间段内、某个特定事件发生的情况下公司有权从应急资本提供方处募集股本或贷款（或资产负债表上的其他实收资本项目），并为此按时间向资本提供方缴纳权力费，这里特定事件称为触发事件（触媒）。

应急资本费用、利息和额度在合同签订时约定。

应急资本最简单的形式是公司为满足特定条件下的经营需要而从银行获得的信贷额度，一般通过与银行签订协议加以明确，比如信用证、循环信用工具等。

应急资本具有如下特点：

保险是一种金融合约。保险是风险转移的传统手段。

保险合同降低了购买保险一方的风险，因为他把损失的风险转移给了保险公司。而保险公司则是通过损失的分散化来降低自己的风险。

可保风险是纯粹风险：机会风险不可保。运用保险这种工具实施风险转移策略只适合一定的条件。

专业自保公司又称专属保险公司，是非保险公司的附属机构，为母公司提供保险，并由其母公司筹集保险费，建立损失储备金。几乎所有的大跨国公司都有专业自保公司。

专业自保的特点是：由被保险人所有和控制，要承保其母公司的风险，但可以通过租借的方式承保其他公司的保险，不在保险市场上开展业务。

①金融衍生产品的概念和类型。

②运用衍生产品进行风险管理的主要思路是：

③衍生产品及其交易的特点是：

④运用衍生产品进行风险管理要满足以下条件：

套期保值是为冲抵风险，相反的是投机。

套期保值的目的是降低风险，投机的目的是承担额外的风险以盈利。套期保值的结果是降低了风险，投机的结果是增加了风险。

①期货价格与现货价格。

②期货的套期保值。

③期货投机的风险。

①利用期权套期保值。

②期权投机的风险。

控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格； 权责分配方法、人事政策；董事会的经营重点和目标等。

原则：

①企业应当建立规范的公司治理结构和议事规则。

②董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。

③企业应当在董事会下设立审计委员会。

④企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

⑤企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

⑥企业应当制定和实施有利于企业可持续发展的人力资源政策。

⑦企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

⑧企业应当加强文化建设，企业员工应当遵守员工行为守则，认真履行岗位职责。

⑨企业应当加强法制教育。

风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。

由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。

原则：

①企业应当根据设定的控制目标，全面系统持续地收集相关信息。

②企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

③企业识别内部风险。

④企业识别外部风险。

⑤企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

⑥企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

⑦企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

⑧企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

控制活动指那些有助于管理层决策顺利实施的政策和程序。

控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。

包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

原则：

目标；程序则将政策付诸于行动。

①企业应当结合风险评估结果，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

②不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

③授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业各级管理人员应当在授权范围内行使职权和承担责任。

④会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

⑤财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

⑥预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

⑦运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

⑧绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系。

⑨企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

⑩企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。

信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。

有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到准确的信息，认真履行控制职责；员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。

原则：

①企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

②企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

③企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。

④企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

⑤企业应当建立反舞弊机制，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

⑥企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。

持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。

独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

原则：

①企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

②企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

③企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

④企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

（1）战略性。主要运用于企业战略管理层面。

（2）全员性。由企业治理层、管理层和所有员工参与的。

（3）专业性。专业人才实施专业化管理。

（4）二重性。既要管理纯粹的风险，也要管理机会风险。

（5）系统性。有系统规范的方法体系。

技术设计风险是指技术在设计阶段，由于技术构思或设想的不全面性致使技术及技术系统存在先天“缺陷”或创新不足而引发的各种风险。


技术研发风险是指在技术研究或开发阶段，外界环境变化的不确定性、技术研发项目本身的难度和复杂性、技术研发人员自身知识和能力的有限性都可能导致技术的研发面临着失败的危险。


技术应用风险是指技术成果在产品化、产业化的过程中由一系列不确定性带来的负面影响或效应。

第一，治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

第二，内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮， 运行效率低下。

第一，人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。（招人）

第二，人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。（用人）

第三，人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。（辞人）

第一，安全生产措施不到位，责任不落实，可能导致企业发生安全事故。


第二，产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。


第三，环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。

第四，促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。


第一，缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。


第二，缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。


第三，缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。

第四，忽视企业间的文化差异和理念冲突，可能导致并购重组失败。

第一，采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。（采购前）

第二，供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。（采购中）

第三，采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。（收货后）

第一，存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。

第二，固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。

第三，无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业出现法律纠纷、缺乏可持续发展能力。

第一，销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继。（卖不出去）

第二，客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。（收不回钱）

第三，销售过程存在舞弊行为，可能导致企业利益受损。（舞弊）

第一，研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。（研发前）

第二，研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。（研发中）

第三，研究成果转化应用不足、保护措施不力，可能导致企业利益受损。（研发后）

（1）立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。（立项）

（2）项目招标“暗箱操作”，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。（招标）

（3）工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。（造价）

（4）工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。（建设）

（5）竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。（验收）

第一，对担保申请人的资信状况调查不深。审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。（担保前）

第二，对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。（担保中）

第三，担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。（舞弊）

第一，外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。（外包前）

第二，业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。（外包中）

第三，业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。（舞弊）

第一，未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。（合同前）

第二，合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。（合同中）

第三，合同纠纷处理不当，可能损害企业利益、信誉和形象。（纠纷）

第一，内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。（管道有问题）

第二，内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。（管道不通畅）

第三，内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。（漏）

第一，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。（基础差）

第二，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。（开发和管理不当）

第三，系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。（维护和安全不到位）

①不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。（没有或不全）

②预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。（有，但不科学）

③预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。（落实有问题）

①筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

②投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

③资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

④资金活动管控不严，可能导致资金被挪用、侵占、抽逃或企业遭受欺诈。

①编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

②提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。

③不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。

【解释】A→A：以前的风险是 A，现在的风险仍然是 A，风险还是那个风险。企业对所面临的风险采取接受的态度，承担风险带来的后果。

【适用条件】

重大风险，影响到目标实现的风险，一般不应采用风险承担。

【解释】A→0：风险 A 直接变为 0。

企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人。例如：

【解释】A→－p：以前的风险是 A，我们通过支付一定的费用（-P）转移给第三方。

企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方转移到另一方。例如：

【解释】A1→A2：由以前的风险 A1 转换成了现在的风险 A2。 风险转换指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等。

风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款，但扩大了销售。

企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果。可以在低成本或者无成本的情况下达到目的。

【解释】A1＋A2→0：企业曾经的风险是 A1，企业不愿承担 A1 的风险，企业可以通过引进 A2 的风险，使得 A2 和原来的 A1 进行对冲进而使风险变为 0。

风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相冲抵，也就是使这些风险的影响互相抵销。组合分散

常见的例子有资产组合使用、多种外币结算的使用和战略上的多种经营等。在金融资产风险管理中，对冲也包括使用衍生产品，如利用期货进行套期保值。

在企业面临的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲。

风险对冲不是针对单一风险，而是涉及风险组合；对于单一风险，只能采用风险规避、风险控制等其他工具。

【注意】风险规避是曾经有风险 A1，现在企业不要 A1 了，不冒 A1 的险，从而使得风险变为了 0。而风险对冲是 A1 的风险企业依然有，而且企业还引入了 A2 的风险，这两个风险合在一起变成 0 了。

【解释】A→A+m：企业以前的风险是 A，现在对风险 A 可能造成的损失主动采取适当的措施 m。风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。

风险补偿的形式有财务补偿、人力补偿、物资补偿等。

财务补偿是损失融资，包括企业自身的风险准备金或应急资本等。

【解释】A→A－：由原来的风险 A 变成了A－，减少了发生的概率和发生的损失。

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。

通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的。如：室内使用不易燃地毯、山上禁止吸烟，修建水坝防洪，设立质量检查防止次品出厂。

风险控制对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及合规性风险。

①最大可能损失：不考虑概率；

②概率值：损失发生的概率或可能性；

③期望值：概率乘以影响；

④波动性：反映数据的离散程度；

⑤在险值：又称 VaR，在正常的市场条件下，在给定的时间段和给定的置信区间内，预期可能发生的最大损失；

⑥直观方法：专家意见法、层次分析法（AHP）。

（1）风险事件发生的可能性和影响；

（2）风险管理的难度

（3）风险的价值或管理可能带来的收益；

（4）合规的需要；

（5）对企业技术、人力、资金的需求；

（6）利益相关者的要求。

（1）风险理财注重风险因素对现金流的影响；

（2）风险理财影响公司资本结构，注意以最低成本获得现金流；

（3）风险理财成为公司战略的有机部分，其风险经营的结果直接影响公司整体价值的提升。

损失融资是为风险事件造成的财物损失融资，是从风险理财的角度进行损失事件的事前、事后管理， 是损失事件管理中最有共性，也是最重要的部分。

企业损失分为预期损失和非预期损失，损失事件融资分为预期损失融资和非预期损失融资。预期损失融资一般作为运营资本的一部分，而非预期损失融资则是属于风险资本的范畴。

风险资本即除经营所需的资本之外，公司补偿风险造成的财务损失而需要的资本，是使一家公司破产的概率低于某一给定水平所需的资金，因此取决于公司的风险偏好。

应急资本是一个金融合约，规定在某一时间段内、某个特定事件发生的情况下公司有权从应急资本提供方处募集股本或贷款（或资产负债表上的其他实收资本项目），并为此按时间向资本提供方缴纳权力费，这里特定事件称为触发事件（触媒）。

应急资本费用、利息和额度在合同签订时约定。

应急资本最简单的形式是公司为满足特定条件下的经营需要而从银行获得的信贷额度，一般通过与银行签订协议加以明确，比如信用证、循环信用工具等。

应急资本具有如下特点：

保险是一种金融合约。保险是风险转移的传统手段。

保险合同降低了购买保险一方的风险，因为他把损失的风险转移给了保险公司。而保险公司则是通过损失的分散化来降低自己的风险。

可保风险是纯粹风险：机会风险不可保。运用保险这种工具实施风险转移策略只适合一定的条件。

专业自保公司又称专属保险公司，是非保险公司的附属机构，为母公司提供保险，并由其母公司筹集保险费，建立损失储备金。几乎所有的大跨国公司都有专业自保公司。

专业自保的特点是：由被保险人所有和控制，要承保其母公司的风险，但可以通过租借的方式承保其他公司的保险，不在保险市场上开展业务。

①金融衍生产品的概念和类型。

②运用衍生产品进行风险管理的主要思路是：

③衍生产品及其交易的特点是：

④运用衍生产品进行风险管理要满足以下条件：

套期保值是为冲抵风险，相反的是投机。

套期保值的目的是降低风险，投机的目的是承担额外的风险以盈利。套期保值的结果是降低了风险，投机的结果是增加了风险。

①期货价格与现货价格。

②期货的套期保值。

③期货投机的风险。

①利用期权套期保值。

②期权投机的风险。

控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格； 权责分配方法、人事政策；董事会的经营重点和目标等。

原则：

①企业应当建立规范的公司治理结构和议事规则。

②董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。

③企业应当在董事会下设立审计委员会。

④企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

⑤企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

⑥企业应当制定和实施有利于企业可持续发展的人力资源政策。

⑦企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

⑧企业应当加强文化建设，企业员工应当遵守员工行为守则，认真履行岗位职责。

⑨企业应当加强法制教育。

风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。

由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。

原则：

①企业应当根据设定的控制目标，全面系统持续地收集相关信息。

②企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

③企业识别内部风险。

④企业识别外部风险。

⑤企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

⑥企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

⑦企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

⑧企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

控制活动指那些有助于管理层决策顺利实施的政策和程序。

控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。

包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

原则：

目标；程序则将政策付诸于行动。

①企业应当结合风险评估结果，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

②不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

③授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业各级管理人员应当在授权范围内行使职权和承担责任。

④会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

⑤财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

⑥预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

⑦运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

⑧绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系。

⑨企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

⑩企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。

信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。

有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到准确的信息，认真履行控制职责；员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。

原则：

①企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

②企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

③企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。

④企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

⑤企业应当建立反舞弊机制，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

⑥企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。

持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。

独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

原则：

①企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

②企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

③企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

④企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。