查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险、有哪些风险。风险种类

对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险发生可能性

对企业实现目标的影响程度、风险的价值等。影响程度

进行风险辨识、分析、评价，应将定性与定量方法相结合。

风险分析应包括风险之间的关系分析，以便从风险策略上对风险进行统一集中管理。

绘制风险坐标图，对各项风险进行比较，初步确定对各项风险进行管理的先后顺序和策略。

风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有关专业能力强的中介机构。

企业应对风险管理信息实行动态管理。

应定期对风险管理工作进行自查和检验，报告及时报送企业风险管理职能部门。

定期检查各部门风险管理情况，对跨部门和业务单位的风险管理解决方案进行评价，报送企业总经理或其委托分管风险管理工作的高级管理人员。

应至少每年一次对各职能部门（包括风险管理职能部门）的风险管理工作进行监督评价，监督评价报告报送董事会或董事会下设的风险管理委员会和审计委员会。

提交全面风险管理年度报告；

审议风险管理策略和重大风险管理解决方案；

审议重大决策、重大风险、重大事件和重要业务流程的判断标准；

审议重大决策的风险评估报告；

审议内部审计部门提交的风险管理监督评价审计综合报告；

审议风险管理组织机构设置及其职责方案；

办理董事会授权的有关全面风险管理的其他事项。

研究提出全面风险管理工作报告；

研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准和判断机制；

研究提出跨职能部门的重大决策的风险评估报告；

研究提出风险管理处理和跨职能部门的重大风险管理解决方案；

负责对全面风险管理有效性的评估，研究提出全面风险管理的改进方案；

负责组织建立风险管理信息系统；

负责组织协调全面风险管理日常工作；

负责指导、监督有关职能部门、各业务单位以及控股子企业开展全面风险管理工作；

办理风险管理的其他有关工作。

内审部门对审计委员会负责，审计委员会对董事会负责；

内审部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告；

定期与外聘及内部审计师会面，但无需管理层出席；

审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决；

审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告；

审计委员会的主要活动之一是核查对外报告合规的情况；

有助于保持内审的独立性，复核内审在组织中的地位、职能范围、技术才能、专业应尽的义务。

风险偏好和风险承受度是针对公司的重大风险制定的；

重大风险的风险偏好是企业的重大决策，应由董事会决定。

需要考虑的因素：风险个体、相互关系、整体形状、行业因素

关键在于量化：风险偏好可以只定性、风险承受度一定要定量

风险度量方法

风险量化的困难：方法误差、数据、信息系统、整合管理

要针对企业的重大风险，能够反映企业重大风险管理的现状；

应当在企业的风险评估中应用，并根据风险的变化随时调整；

应当用于衡量全面风险管理体系的运行效果。

风险承担：未能辨识出的风险或非重大

风险规避：回避、停止或退出，彻底绝缘

风险转移：保险、非保险型的风险转移、风险证券化

风险转换：不会降低总风险（战略调整、使用衍生产品，如放松交易信用标准，增加了应收账款、扩大了销售）

风险对冲：金融衍生品、多种经营、多种客户群体

风险补偿：损失补偿（计提准备金、应急资本、交易价格附加风险溢价）

风险控制：减少损失，降低概率

将资源用于需要优先管理的重大风险。

风险管理策略要随着企业经营状况的变化，经营战略的变化，外部环境的变化而调整。

1.不改变风险发生的可能性，也不改变风险引起的直接损失程度；

2.风险理财需要判断风险的定价，因此量化的标准高；

3.应用范围不包括商誉等，难以消除战略失误造成的损失；

4.技术性强，本身具有风险，使用不当容易造成重大损失。

损失融资

风险资本

应急资本

保险

专业自保

（1）建立规范的公司治理结构和议事规则。

（2）董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。 经理层负责组织领导企业内部控制的日常运行。

（3）董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和 内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备 相应的独立性、良好的职业操守和专业胜任能力。

公司治理结构： 1.总体要求 2.分工 3.审计委员会

（4）设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

（5）加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。 内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告； 对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

内部机构： 4.总体要求 5.内部审计

（6）制定和实施可持续发展的人力资源政策。

（7）将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和 继续教育，不断提升员工素质。

（8）加强文化建设，董监经及其他高级管理人员应当在企业文化建设中发挥主导作用。（企业文化）

（9）加强法制教育，增强董监经及其他高级管理人员和员工的法制观念。

6、7人力资源 8.企业文化建设 9.法制教育

（1）根据设定的控制目标，全面系统持续地收集相关信息，及时进行风险评估。

（2）准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

（3）识别内部风险。

（4）识别外部风险。

（5）采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度对识别的风险进行分析和排序， 确定关注重点和优先控制的风险。

（6）根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

（7）综合运用风险应对策略，实现对风险的有效控制。

（8）结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和分析，及时调整风险应对策略。

控制措施

（8）企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

（9）企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，确保突发事件得到及时妥善处理。

（1）建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

（2）对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

（3）将内部控制相关信息在企业内部以及企业与外部之间进行沟通和反馈。重要信息应当及时传递给董事会、监事会和经理层。

（4）利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

（5）建立反舞弊机制，坚持惩防并举、重在预防的原则 ①未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益； ②在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等； ③董事、监事、经理及其他高级管理人员滥用职权； ④相关机构或人员串通舞弊。

（6）建立举报投诉制度和举报人保护制度，举报投诉制度和举报人保护制度应当及时传达至全体员工。

（1）制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限。 日常监督：常规、持续的监督检查； 专项监督：对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

（2）制定内部控制缺陷认定标准，内部控制缺陷包括设计缺陷和运行缺陷； 内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

（3）定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。 ①可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作； ②内控缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷； ③重大缺陷应当由董事会予以最终认定。

（4）妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

1）激发了专家想象力，有助于发现新的风险和全新的解决方案；

2）主要的利益相关者参与其中，有助于进行全面沟通；

3）速度较快并易于开展。

1）参与者可能缺乏必要的技术或知识，无法提出有效的建议；

2）头脑风暴法的实施过程和参与者提出的意见容易分散，较难保证全面性；

3）集体讨论时可能出现特殊情况，导致某些有重要观点的人保持沉默而其他人成为讨论的主角。

1）由于观点是匿名的，因而专家更有可能表达出那些不受欢迎的看法；

2）所有观点有相同的权重，避免重要人物的观点占主导地位；

3）专家不必一次聚集在某个地方，实施比较方便；

4）专家最终形成的意见具有广泛的代表性。

1）权威人士的意见难免影响他人的意见；

2）有些专家可能碍于情面，不愿意发表与其他人不同的意见；

3）有的专家可能出于自尊心而不愿意修改自己原来的意见；

4）过程比较复杂，花费时间较长，这是德尔菲法的主要缺点。

它清晰明了，易于操作，且组织规模越大，流程越复杂，越能体现出优越性。

该方法的使用效果依赖于专业人员的水平。

简单的定性方法，直观明了。

1）需要对风险重要性等级标准、风险发生可能性、后果严重程度等做出主观判断，可能影响使用的准确性；

2）风险重要性等级是通过相互比较确定的，因而无法通过数学运算得到总体风险的重要性等级；

3）如需要进一步探求风险原因，则采用该方法过于简单，缺乏经验证明和数据支持。

能够计算出具有维修能力和多重降级状态的系统的概率。

1）无论是故障还是维修，都假设状态变化的概率是固定的；

2）所有事项在统计上具有独立性，因此未来的状态独立于一切过去的状态，除非两个状态紧密相接；

3）需要了解状态变化的各种概率；

4）有关矩阵运算的知识比较复杂，非专业人士很难看懂。

1）对于决策问题的细节提供了一种清楚的图解说明；

2）能够计算到达一种情形的最优路径。

1）大的决策树可能过于复杂，不容易与其他人交流；

2）为了能够用树形图表示，可能有过于简化环境的倾向。

为决策者提供有价值的参考信息；清晰地为风险分析指明方向；帮助企业制定紧急预案。

1）所需要的数据经常缺乏，无法提供可靠的参数变化；

2）分析时借助公式计算，没有考虑各种不确定因素在未来发生变动的概率。

对于未来变化不大的情况能够给出比较精确的模拟结果。

1）在存在较大不确定性时，模拟有些情景可能不够现实；

2）对数据的有效性以及分析师和决策者开发现实情境的能力有很高的要求；

3）作为一种决策工具，所用情景可能缺乏充分的基础，数据可能具有随机性。

1）ETA 以清晰的图形显示了经过分析的初始事项之后的潜在情景，以及缓解系统或功能成败产生的影响；

2）它能说明时机、依赖性，以及繁琐的多米诺效应；

3）它生动地体现事件的顺序。

1）一切潜在的初始事项都要进行识别，有可能错过一些重要的初始事件；

2）事件树只分析了某个系统的成功及故障状况，未考虑延迟成功或恢复事项；

3）任何路径都取决于路径上以前分支点处发生的事项。

·前推就是根据历史的经验和数据推断出未来。

·后推是把未知的想象的事件及后果与一已知事件与后果联系起来，把未来风险事件归结到有数据可查的造成这一风险事件的初始事件上，从而对风险做出评估和分析。

·旁推法就是利用类似项目的数据进行外推。

1）在数据充足可靠的情况下简单易行；

2）结果准确率高，应用领域广泛。

1）由于历史事件的前提和环境已发生了变化，不一定适用于今天或未来；

2）没有考虑事件的因果关系，有时必须在历史数据的处理中加入专家或集体的经验修正。

1）广泛适用于人力设备和系统以及硬件、软件和程序失效模式的分析；

2）识别组件失效模式及其原因和对系统的影响，同时用可读性较强的形式表达出来；

3）能够在设计初期发现问题，因而避免了开支较大的设备改造；

4）识别单个失效模式以适合系统安全的需要。

1）只能识别单个失效模式，无法同时识别多个失效模式；

2）除非得到充分控制并集中精力，否则采用此法较耗时且开支较大。