风险的概念与构成要素©

风险管理的概念、目标和演进©©

外部风险

内部风险

收集风险管理初始信息©©

进行风险评估©©

制定风险管理策略©

提出和实施风险管理解决方案©©

风险管理的监督与改进©©

风险管理策略©©©

风险理财措施©©

风险管理的组织职能体系©©

风险管理信息系统©

内部控制系统©©

头脑风暴法©

德尔菲法©©

失效模式、影响和危害度分析法©©

流程图分析法©©

马尔科夫分析法©©

风险评估系图法©©

情景分析法©©

敏感性分析法©©

事件树分析法©©

决策树法©©

统计推论法©©

企业风险与企业战略相关

风险是一系列可能发生的结果，而不能简单地理解为最有可能的结果

风险既具有客观性，又具有主观性

风险往往与机遇并存

风险因素

风险事件（事故）

损失

以上三者的关系

战略性

全员性

专业性

二重性

系统性

风险偏好

风险承受度

以上两者的关系

1992年

2006年

2008年

突出表现在监管机关的行政处罚、重大财产损失和声誉损失上

侧重于行政责任和道德责任的承担

侧重于商事活动，主要是依据普适性的法律规定，如《民法典》等

侧重于行为人对民事赔偿责任的承担上

1||| 国内外与企业相关的政治、法律环境可能引发的风险

2||| 影响企业的新法律法规和政策可能引发的风险

3||| 员工的道德操守可能引发的风险

4||| 企业签订的重大协议和有关贸易合同可能引发的风险

5||| 企业发生重大法律纠纷案件可能引发的风险

6||| 企业和竞争对手的知识产权可能引发的风险

设计不合理

外部环境变化、项目本身的复杂性、技术和知识的局限性

技术成果在产品化、产业化过程中的一系列不确定的负面影响或效应

1||| 国内外宏观经济政策和经济运行情况、企业所在产业的状况、国家产业政策可能引发的风险

2||| 科技进步、技术创新可能引发的风险

3||| 市场对企业产品或服务的需求可能引发的风险

4||| 与企业战略合作伙伴的关系、寻求战略合作伙伴可能引发的风险

5||| 企业主要客户、供应没及竞争对手可能引发的风险

6||| 与主要竞争对手相比，企业实力与差距可能引发的风险

7||| 企业编制发展战略和规划、投融资计划、年度经营目标、经营战略可能引发的风险

8||| 企业对外投融资过程中曾发生或易发生错误的业务流程或款节可能引发的风险

缺乏明确的发展战略或发展战略实施不到位

发展战略过于激进，脱离企业实际能力或偏离主业

发展战略因主观原因频繁变动

《企业内部控制应用指引第1号——组织架构》

《企业内部控制应用指引第3号——人力资源》

《企业内部控制应用指引第4号——社会责任》

《企业内部控制应用指引第5号——企业文化》

《企业内部控制应用指引第7号——采购业务》

《企业内部控制应用指引第8号——资产管理》

《企业内部控制应用指引第9号——销售业务》

《企业内部控制应用指引第10号——研究与开发》

《企业内部控制应用指引第11号——工程项目》

《企业内部控制应用指引第12号——担保业务》

《企业内部控制应用指引第13号——业务外包》

《企业内部控制应用指引第16号——合同管理》

《企业内部控制应用指引第17号——内部信息传递》

《企业内部控制应用指引第18号——信息系统》

1||| 企业负债、负债率、偿债能力方面可能引发的风险

2||| 现金流、应收账款及其占销售收入的比重、资金周转率方面可能引发的风险

3||| 产品存货及其占销售成本的比重、应付账款及其占购货额的比重方面可能引发的风险

4||| 制造成本和管理费用、财务费用、营业费用方面可能引发的风险

5||| 盈利能力方面可能引发的风险

6||| 成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节可能引发的风险

7||| 与企业相关的产业政策、会计估计、与国际会计制度的差异与调节（如退休金、递延税项等）等信息方面可能引发的风险

《企业内部控制应用指引第15号——全面预算》

《企业内部控制应用指引第6号——资金活动》

《企业内部控制应用指引第14号——财务报告》

风险辨识→风险分析→风险评价

如何实施评估？

谁来实施评估？

如何运态监控？

是企业的重大策，应由董事会决定

主要针对重大风险

1||| 根据风险的不同类型选择适宜的风险管理策略

2||| 应根据不同业务特点统一确定风险偏好和风险承受度

3||| 应根据风险与收益平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优先顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排

一般指外包

指风险管理体系的运转

以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督

采用压力测试、返回测试、穿行测试以及风险控制自我评价等方法对风险管理的有效性进行检验，根据情况变化和存在的缺陷及时加以改进

业务单位：向风险管理职能部门报告

风险管理职能部门：向总经理或分管风险管理工作的高管报告

内部审计部门：直接向董事会（或下设的专门委员会）报告

未能辨识出的风险

已辨识出的风险，可能因以下原因采用风险承担：

放弃或终止某项活动的实施

向保险公司投保

非保险型的风险转移

风险证券化

战略调整

使用衍生产品

必须涉及风险组合；对于单一风险，只能进行风险规避、风险控制

主动承担风险，并采取措施以补偿可能的损失

不能完全杜绝风险事件的发生，通过控制发生概率和风险事件的损失来实现

一般针对重大风险；非重大风险不一定需要十分明确，甚至可以先不提出

属于重大决策，应由董事会决定

风险偏好可以只定性，但风险承受度一定要定量

企业应该对所采取的风险度量方法取得共识，但不一定在整个企业使用唯一的风险度量方法，而应对不同的风险采取不同的度量方法

定量方法

定性方法（直观方法）

应与企业风险承受度有相同的度量基础

生存概率+破产概率=1

信贷周转协定

可保风险是纯粹风险；机会风险（如购买股票的风险）不可保

自己成立保险公司（属于风险补偿）

基差=现货价格-期货价格

期货套期保值

期权套期保值

职能部门和业务单位

风险管理职能部门和董事会下设的风险管理委员会

内部审计部门和董事会下设的审计委员会

批准、决策、督导

审议

“研究”=起草文件，“负责”=落地执行

每年至少举行三次会议；一次会面（与内、外部审计人员）

做好培育风险管理文化的有关工作（董事会负责督导）

涵盖风险管理基本流程和内部控制系统各环节

确保业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性

能够进行对各种风险的计量和定量分析、定量测试

能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态

能够对超过风险预警上限的重大风险实施信息报警

能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求

应实现信息在各职能部门、业务单位之间的集成与共享

根据实际需要不断进行改进、完善或更新

已建立或基本建立管理信息系统的企业，应补充、调整、更新

尚未建立管理信息系统的企业，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行

适用广泛

可读性较强

能够在设计初期发现问题，因而避免开支较大的设备改造

识别单个失效模式以适合系统安全的需要

只能误别单个失效模式，无法同时识别多个失效模式

除非得到充分控制并集中精力，否则采用此法较耗时且开支较大

清析明了，易于操作，且组织规模越大，流程越复杂，流程图分析法就越能体现出优越性

绘制流程图必须具有较高的专业素质，因此该方法的使用效果依赖于专业人员的水平

能够计算出具有维修能力和多重降级状态的系统的概率

假设状态变化的概率是固定的

所有事项在统计上都具有独立性，因此未来的状态独立于一切过去的状态

需要了解状态变化的各种概率

有关矩阵运算的知识比较复杂，非专业人士很难看懂

简单；为企业确定各项风险重要性等级提供了可视化工具，直观明了

需要对风险重要性等级标准、风险发生的可能性、后果严重程度等做出主观判断，可能影响使用的准确性

风险重要性等级是通过相互比较确定的，无法通过数学运算得到总体风险的重要性等级

如需要进一步探求风险原因，则采用该方法过于简单，缺乏经验证明和数据支持

在数据充足可靠的情况下简单易行

应用领域广泛

由于历史事件的前提和环境已发生了变化，不一定适用于今天或未来

没有考虑事件的因果关系，使推论结果可能产生较大偏差