①监管机构的行政处罚、②重大财产损失、③声誉损失

行政责任和道德责任的承担

侧重商事活动，《民法典》；侧重行为人的民事赔偿责任（刑事责任）

合规风险与法律风险会有重合、也有侧重

（广）新技术对另一传统行业形成冲击

（狭）技术本身的研发失败

设计阶段（方案不合理或创新能力不足）

研发阶段（外部环境变化、项目本身难度、研发人员能力有限）

应用阶段（市场接受度不高、他人模仿、门槛低、竞争加剧）

1. 宏观：宏观经济、政策、产业状况，可能引发的风险

2. 科技：科技进步、技术创新，可能引发的风险

宏观

3. 需求：市场对企业产品或服务的需求，可能引发的风险

4. 合作：战略合作伙伴，可能引发的风险

5. 竞争：客户、供应商、竞争对手，可能引发的风险

6. 竞争：与竞争对手的企业实力差距，可能引发的风险

市场

7. 经营：编制发展规划、投融资计划、年度经营目标、经营战略，或引发的风险

8. 财务：对外投融资过程中曾发生或易发生错误的环节，可能引发的风险

内部

1. 没有战略：缺乏明确战的发展略目标，或发展战略实施不到位 （可能导致盲目发展，难以形成竞争优势，丧失发展机遇）

2. 战略有问题：战略目标过于激进或偏离主业（可能导致过度扩张，甚至经营失败）

3. 执行有问题：战略因主观原因频繁变动（可能导致浪费资源，影响企业存续和发展）

1. 组织：组织效能、管理现状、企业文化，中高层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面，可能引发的风险

2. 监督：现业务流程和信息系统操作运行情况的监督、运行评价及持续改进能力，引发的风险（明知却无能为力、系统没有问题但缺乏持续监督）

3. 道德：企业内外部人员的道德风险或业务控制系统失灵，导致的风险 （明知故犯、设计合理有效但运行上没有被正确执行）

管理*3

4. 产品：产品结构、新品研发，可能引发的风险

5. 安全：质量、安全、环保、信息安全等管理中，发生失误导致的风险

6. 市场：市场开发、营销策略（产品或服务的定价、渠道），可能引发的风险

生产及市场*3

7. 金融：期货等衍生品业务中，发生失误带来的风险

8. 灾害：给企业造成损失的自然灾害等风险

风险*2

1. 组织架构

2. 人力资源

3. 社会责任

4. 企业文化

5. 采购业务

6. 资产管理

7. 销售业务

8. 研究与开发

9. 工程项目

10. 担保业务

11. 业务外包

12. 合同管理

13. 内部信息传递

14. 信息系统

1. 负债：企业负债率、偿债能力，可能引发的风险

2. 资金：企业现金流、应收款及其占收入比重、资金周转率，可能引发的风险

3. 成本：产品存货占销售成本比重、应付账款及其占购货比重，可能引发的风险

4. 费用：制造成本、管理费用、财务费用、营销费用，可能引发的风险

5. 核算：成本核算、资金结算、现金管理中易发生错误的环节，可能引发的风险

6. 会计：与企业有关的产业会计政策、会计估算等，可能引发的风险

7. 盈利能力，可能引发的风险

1. 全面预算

2. 资金活动

3. 财务报告

宏观：宏观经济、政策、产业状况，可能引发的风险

科技：科技进步、技术创新，可能引发的风险

宏观

需求：市场对企业产品或服务的需求，可能引发的风险

合作：战略合作伙伴，可能引发的风险

竞争：客户、供应商、竞争对手，可能引发的风险

竞争：与对手的企业实力差距，可能引发的风险

市场

经营：编制发展规划、投融资计划、年度经营目标、经营战略，或引发的风险

财务：对外投融资易发生错误的环节，可能引发的风险

内部

负债：企业负债率、偿债能力，可能引发的风险

资金：企业现金流、应收款及其占收入比重、资金周转率，可能引发的风险

成本：产品存货占销售成本比重、应付账款及其占购货比重，可能引发的风险

费用：制造成本、管理费用、财务费用、营销费用，可能引发的风险

盈利能力，可能引发的风险

财务核算：成本核算、资金结算、现金管理中易发生错误的环节，可能引发的风险

会计制度：与企业有关的产业会计政策、会计估算等，可能引发的风险

信用：供应商、客户的信用风险

财务：税收政策、利率、汇率、股票价格指数……

竞争：潜在竞争者、现有竞争者、替代品带来的风险

买方：产品或服务的价格及供需变化带来的风险

供方：原材料等物资供应的充足性、价格稳定性

产品：产品结构、新品研发，可能引发的风险

安全：质量、安全、环保、信息安全等管理中，发生失误导致的风险

市场：市场开发、营销策略（产品或服务的定价、渠道），可能引发的风险

生产及市场

金融：期货等衍生品业务中，发生失误带来的风险

灾害：给企业造成损失的自然灾害等风险

风险

组织：组织效能、管理现状、企业文化，中高层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面，可能引发的风险

道德：企业内外部人员的道德风险或业务控制系统失灵，导致的风险 （明知故犯、设计合理有效但运行上没有被正确执行）

流程：现业务流程和信息系统操作运行情况的监督、运行评价及持续改进能力，引发的风险（明知却无能为力、系统没有问题但缺乏持续监督）

管理

国内外与企业相关的政治、法律环境

影响企业的新法律和政策

员工的道德操守

企业签订的重大协议和有关贸易合同

企业发生重大法律纠纷案件的情况

企业和竞争对手的知识产权情况

定性+定量，统一制定风险的度量单位和风险度量模型

内部职能部门和业务单位，外部聘请专业中介机构

动态管理风险信息，定期或不定期实施风险辨识、分析和评价

风险自查；报告呈送风险管理部门

评估方案和策略；报送总经理或其委托分管风险的高管

每年至少一次监督评价；报告要报送董事会或其下设的风险管理委员会或审计委员会

极端情况下，评估风险管理模式的有效性

将历史数据输入风险管理模型，把结果与预测值对比

将初始值输入内控流程，穿越全流程的结果与设计要求做对比

含义

适用

含义

特征

实现方式

含义

特征

适用

实现方式

含义

特征

实现方式

含义

特征

实现方式

含义

特征

实现方式

含义

适用

实现方式

（直观方法）专家意见法、层次分析法

最大可能损失

概率值

期望值

波动性

在险值（VaR）

用金融手段管理风险，是全面风险管理的重要组成部分

既不改变风险发生概率，也不减少其引起的直接损失

量化标准较高（概率+损失的分布）；技术性强、工具复杂

一般不包括声誉等难以衡量价值的风险，也难以消除战略失误造成的损失

注重风险因素对现金流的影响

一定概率和时间内，除运营资本，弥补企业的非预期性损失所需的资本

风险资本=总需求—运营资本

生存概率=1—需求概率

发生特定事件陷入财务困境，可依据事先承诺合同，以债务/优先股等方式外部筹资

是一定条件下的融资选择权，并非一定要实施

纯粹风险可保，机会风险不可保

优点

缺点

远期合约（非标准化）

互换交易

期货合约（标准化）

期权合约

期货套期保值

期权套期保值

期货投机

期权投机

控制环境设定了公司的内部控制基调，直接影响企业员工的控制意识。控制环境提供基本规则和架构，是其他四要素的基础。

控制环境包括： 1.员工的诚信度、职业道德； 2.管理哲学和经营风格； 3.董事会监控内控的制定与绩效的实施； 4.管理层权责； 5.重视人才，员工担责

1. 建立规范的公司治理结构和议事规则，明确决策、执行、监督等权限，形成科学有效的职责分工和制衡机制

2. 董事会负责内部控制的建立健全和有效实施

3. 企业应当在董事会下设审计委员会

4. 结合内控特点和内部控制要求设置内部机构

5. 加强内部审计工作

6. 制定实施有利于企业可持续发展的人力资源政策

7. 将职业道德修养和专业胜任能力作为选用的重要标准，加强培训、提升员工素质

8. 企业应该加强文化建设

9. 加强法制教育

不成文

组织结构（治理结构、内部机构、权责分配）

内部审计监督（对内部控制的有效性进行监督检查）

人力资源政策与实务（职业道德修养、专业胜任能力）

企业文化、法制教育

根据目标，识别风险、分析风险、管理风险

评估影响风险目标实现时，考虑舞弊行为，及产生重大影响的变更

企业应当根据设定的目标，全面系统持续地收集相关信息

展开风险评估（内外、承受度）

企业识别内、外部风险

企业应该采用定性和定量相结合的方法，按照概率和影响，对风险进行分析和排序

确定风险应对策略，实现对风险的有效控制

结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行识别分析

风险识别：内外部风险、确定风险承受度

风险分析：定量+定性，优先排序

风险应对：综合运用策略

风险管理信息实现动态管理：持续收集、及时调整

选择并制定将风险降低的控制活动

为实现目标的技术选择和控制政策

控制活动通过程序和政策部署

7项控制措施—— 不相容职务分离、授权审批控制、会计系统、财产保护、预算、运营分析、绩效考评

建立重大风险预警机制和突发事件应急处理机制

高质量信息和内部沟通

外部沟通

建立信息与沟通制度

对收集到的信息进行合理筛选、核对、整合，提高信息的有用性

企业将内部控制相关信息在内外部之间进行沟通和反馈

利用信息技术促进信息的集成与共享，发挥信息技术的沟通作用

建立投诉制度和举报人保护制度

建立反舞弊机制

监控各要素是否存在并发挥作用

及时评估内控缺陷并通报相关方

制定内部控制监督制度

建立内部控制缺陷认定标准

对内部控制的有效性进行自我评价

以书面或其他形式，保存相关资料，确保可验证性

小型会议、集体讨论

风险识别阶段发挥专家意见（也可用于风险分析、风险评价）

1.激发专家想象力；2.有助于全面沟通；3.速度较快、易于展开

1.建议不十分有效；2.意见容易分散，很难保证全面性；3.一些特殊情况保持沉默

采用背对背的通信方式，专家单独、匿名表达观点

在专家取得一致意见基础上，进一步定性分析

风险识别阶段（也可用于风险分析、风险评价）

发表不受欢迎观点；观点有相同权重；实施方便；广泛代表性

权威人士意见影响他人意见；过程比较复杂；自尊心不愿修改；碍于情面不发表反对

全面分析流程环节，发现潜在风险、找出风险因素、分析可能损失

风险识别阶段，定性分析生产或经营中的风险及其成因

用于解决流程本身的不合理，并改善

根据企业实际绘制业务流程图

识别流程图上各业务环节点的风险因素，予以重点关注

针对风险及其产生的原因，提出监控和预防的方法

清晰明了、易于操作；组织越大、流程越复杂，越有效

效果依赖于专业人员的水平

按照风险发生的可能性和严重程度，绘制矩阵

主要用于风险识别和风险分析的定性分析（也可用于风险评价）

可视化、直观明了；为风险优先次序提供方向

主观性影响准确性；无法通过数学运算得到重要性等级；比较简单无法进一步分析

通过分析随机变量的现时变化，来预测这些变量的未来变化（时间序列分析法）

主要围绕“状态”这个概念展开，通常用于那些存在多种状态（包括各种降级使用状态）的可维修复杂系统进行分析

调查不确定性事件各状态及其变化情况

建立数学模型

求解模型，得到风险事件各个状态发生的可能性

风险分析阶段（也可风险识别），定量分析复杂系统中的不确定性事件及其状态

计算出具有维修能力和多重降级状态的系统的概率

假设的变化概率是固定的；统计具有独立性；需要了解变化的概率；非专业人士难懂

分析、测算众多不确定性因素变化，对项目重要经济效益指标的影响

在确定性分析的基础上，进一步分析不确定性因素对项目最终效果的影响程度

选定不确定性因素，并设定这些因素的变动范围

确定分析指标（销售收入、经营成本、初始投资、寿命期、建设期等）

进行敏感性分析，绘制龙卷风图

确定变化的临界点

风险识别和风险分析阶段，定量分析各个不确定性对项目结果的影响

为决策提供有价值的参考；为风险分析提供方向；制定紧急预案

关键数据经常缺乏；没有考虑不确定性因素在未来发生变动的概率

利用概率论原理、树形图来描述，以期望值为标准，计算各方案在未来的收益

概率*各个决策方案的期望值

定量分析不确定性投资方案，选择最高期望收益（决策阶段的风险分析或风险评价）

层次分明、逻辑清晰的图解说明；能够计算出最优路径

决策树过于复杂不易沟通交流；树形图表示则可能简化环境

前推：应用最广，基于历史数据，推测未来事件的概率和后果

后推：把未知的想象事件和某一已知事件及其后果联系起来，推断未知事件的风险

旁推：利用类似项目的数据来推论

各种风险分析预测

数据充足可靠的话则简单易行；应用广泛

历史数据不一定适用于今天或未来；没考虑事件的因果关系

因果关系出发，注意分析系统各部件的潜在故障模式，以采取预防措施

风险识别阶段，对失效模式、影响、危害进行定性或定量分析

用于解决流程中可能出现的问题，并进行改善

使用广泛；可读性强；在设计初期发现问题；识别单个失效模式

无法同时识别多个失效模式；比较耗时且开支较大

假定某种现象持续到未来，对预测对象可能产生的后果

通过模拟不确定性情景，如最佳、标准、最差情景的发生概率及后果，分析企业风险

建立团队和相关沟通渠道，确定需要处理的问题和事件的背景

确定可能出现变化的性质

对主要因素、趋势变化的可能进行研究、预测

风险识别、风险分析阶段，分析企业面临的风险

如果积极后果和消极后果的分布存在较大差异，则发挥更大作用

若未来变化不大，则能给出比较精确的模拟结果

不适于较大不确定性；要求分析师能力很高；情景缺乏充分基础，数据可能有随机性

初始事件后互斥性后果的图解技术，从而辨识危险源，树状分析风险的因果关系

概率*概率

挑选初始事件（故障时间、灾难事件）

顺序列出那些旨在缓解事件结果的现有功能或系统

在每条线上标注一定的失效概率，同时通过专家判断来估算这种条件概率

分析多种环节故障后的影响（故障发生后，不同后果的可能性）

清晰的图形；多米诺效应；生动体现事件的顺序

会错过一些重要的初始事件；很难纳入延迟成功或恢复事项；忽视一些从属因素； 任何路径取决于路径上以前分支点处发生的事项