收集风险 管理初始信息

进行风险评估 ⑴ 风险辨识：查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险； ⑵ 风险分析：对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件； ⑶ 风险评价：评估风险对企业实现目标的影响程度、风险的价值等。

制定风险管理策略 风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制

提出和实施风险管理解决方案 风险解决方案类型： ①外部解决：外包 ②内部解决；

风险管理的监督与改进 ⑴ 风险管理监督方法 采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法。 ⑵ 风险管理监督与改进的职责分工 ① 企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。 ②针对检查结果和发现问题，要及时报送企业总经理或其委托分管风险管理工作的高级管理人员。 ③企业内部审计部门应每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。

1.董事会在全面风险管理方面主要履行以下职责： ⑴ 审议并向股东（大）会提交企业全面风险管理年度工作报告 ⑵ 确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案 ⑶ 了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策 ⑷ 批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制 ⑸ 批准重大决策的风险评估报告 ⑹ 批准内部审计部门提交的风险管理监督评价审计报告 ⑺ 批准风险管理组织机构设置及其职责方案 ⑻ 批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度作出的风险性决定的行为 ⑼ 督导企业风险管理文化的培育 ⑽ 批准或决定全面风险管理的其他重大事项

2.风险管理委员会: 风险管理委员会对董事会负责，主要履行以下职责： ⑴ 提交全面风险管理年度报告 ⑵ 审议风险管理策略和重大风险管理解决方案 ⑶ 审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重 大决策的风险评估报告 ⑷ 审议内部审计部门提交的风险管理监督评价审计综合报告 ⑸ 审议风险管理组织机构设置及其职责方案 ⑹ 办理董事会授权的有关全面风险管理的其他事项

3.风险管理职能部门职责: ⑴ 研究提出全面风险管理工作报告 ⑵ 研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制 ⑶ 研究提出跨职能部门的重大决策风险评估报告 ⑷ 研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织 实施和对该风险的日常监控 ⑸ 负责对全面风险管理有效性的评估，研究提出全面风险管理的改进方案 ⑹ 负责组织建立风险管理信息系统 ⑺ 负责组织协调全面风险管理日常工作 ⑻ 负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作 ⑼ 办理风险管理的其他有关工作

4.审计委员会: ⑴ 审计委员会：监督内部审计部门的工作；监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性（对内审四个方面复核：组织中的地位、职能范围、技术才能和专业应尽义务四个方面） ⑵ 内部审计部门：主要负责研究提出全面风险管理监督评价体系；制定监督评价相关制度；开展监督与评价；出具监督评价审计报告 ⑶ 审计委员会履行职责的方式: 董事会应决定委派给审计委员会的责任。审计委员会的任务因企业的规模、复杂性及风险状况而有所不同。审计委员会应每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。 ⑷ 审计委员会与合规 审计委员会的主要活动之一是核查对外报告合规的情况。管理层的责任是编制财务报表，审计师的责任是编制审计计划和执行审计。

1.风险管理策略总体定位与作用 总体定位： 承上启下、统领全局、根据企业经营战略制定 作用： ⑴ 为企业的总体战略服务，保证企业经营目标的实现 ⑵ 连接企业的整体经营战略和运营活动 ⑶ ⑶ 指导企业的一切风险管理活动

2.风险管理策略的组成部分 ⑴ 风险偏好和风险承受度。明确公司要承担什么风险，承担多少风险； ⑵ 全面风险管理的有效性标准。明确怎样衡量我们的风险管理工作成效； ⑶ 风险管理的工具选择。明确怎样管理重大风险； ⑷ 全面风险管理的资源配置。明确如何安排人力、财力、物资、外部资源等风险管理资源。

3.确定风险偏好和风险承受度 决策基础： 企业的风险偏好依赖于企业风险评估的结果，由于企业的风险不断变化，企业 需要持续进行风险评估，并调整自己的风险偏好 决策者 ： 重大风险的风险偏好是企业的重大决策，应由董事会决定 考虑因素： ⑴ 风险个体：对每一个风险都可以确定风险偏好和风险承受度 ⑵ 相互关系：既要考虑同一个风险在各个业务单位或子公司之间的分配，又要考虑不同风险之间的关系 ⑶ 整体形状：一个企业的整体风险偏好和风险承受度是基于针对每一个风险的风险偏好和风险承受度 ⑷ 行业因素：同一风险在不同行业风险偏好不同

4.风险度量 以概率统计为基础： ⑴ 最大可能损失 ⑵ 概率值 ⑶ 期望值 ⑷ 波动性（方差、标准差） ⑸ 在险值（VAR）(通用、直观、灵活) 直观方法：专家意见

5.风险管理有效性标准 风险管理有效性标准的原则： ⑴ 风险管理有效性标准要针对企业的重大风险，能够反映企业重大风险管理的现状 ⑵ 风险管理有效性标准应当在企业的风险评估中应用，并根据风险的变化随时调整 ⑶ 风险管理有效性标准应当用于衡量全面风险管理体系的运行效果

⑴ 风险承担 定义：企业对所面临的风险采取接受的态度，从而承担风险带来的后果 适用条件： 对未能辨识出的风险，企业只能采用风险承担； 对于辨识出的风险，企业也可能由于以下几种原因采用风险承担： ① 缺乏能力进行主动管理 ② 没有其他备选方案 ③ 从成本效益考虑，风险承担是最适宜的

⑵ 风险规避 定义：企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人 举例： ① 退出某一市场以避免激烈竞争 ② 拒绝与信用不好的交易对手进行交易 ③ 外包某项对工人健康安全风险较高的工作 ④ 停止生产可能有潜在客户安全隐患的产品 ⑤ 禁止各业务单位在金融市场进行投机 ⑥ 不准员工访问某些网站或下载某些内容

⑶ 风险转移 定义： 企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险 不会降低其可能的严重程度，只是从一方转移到另一方。 举例： ① 保险：保险合同规定保险公司为预定的损失支付补偿，作为交换，在合同开始时， 投保人要向保险公司支付保险费 ② 非保险型的风险转移：将风险可能导致的财务风险损失负担转移给非保险机构。例 如，服务保证书等 ③ 风险证券化：将风险事件作为保险标的，通过构造和在资本市场上发行保险连接型 证券，使保险市场上的风险得以分散。这种证券的利息支付和本金偿还取决于某个风 险事件的发生或严重程度

⑷ 风险转化 定义：企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和使用衍生产品等 策略特点： ① 风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时增加另一风险 ② 企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果 ③ 风险转换可以在低成本或者无成本的情况下达到目的

⑸ 风险对冲 定义：采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相冲抵，也就是使这些风险的影响互相抵消； 策略特点： 风险对冲不是针对单一风险，而是涉及风险组合，对于单一风险，只能采用风险规 避、 风险控制等其他工具；

⑹ 风险补偿 定义：企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失； 举例： ① 风险补偿的形式有财务补偿、人力补偿、物资补偿等 ② 财务补偿是损失融资，包括企业自身的风险准备金或应急资本等。

⑺ 风险控制 定义：通过控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的； 策略特点： 风险控制对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险；

附加：抓住特点对比记忆 ① 风险承担（事后承担）—风险补偿（事前准备） ② 风险规避（概率减为 0）—风险控制（减轻损失或减少发生概率） ③ 风险转移（第三方承担） ④ 风险转换（A 风险转为 B 风险，偏好不同） ⑤ 风险对冲（多个风险之间对冲）

1.风险理财概述 定义：用金融手段管理风险 必要性：不仅可以针对可控风险，还可以针对不可控的风险 特点： ⑴ 风险理财的手段既不改变风险事件发生的可能性，也不改变风险事件可能引起的直接损失程度 ⑵ 风险理财需要判断风险的定价，更需要量化风险本身的价值 ⑶ 风险理财的应用范围一般不包括声誉等难以衡量价值的风险，也难以消除战略失误造成的损失 ⑷ 风险理财手段技术性强，使用不当容易造成重大损失

2.主要的风险理财措施（ 损失事件管理 ） ⑴ 损失融资：对可能给企业造成重大损失的风险事件进行事前、事后管理的方法。 ⑵ 风险资本：除经营资本之外，公司补偿风险造成的财务损失而需要的资本，是使一家公司破产的概率低于某一给定水平所需的资金，因此取决于公司的风险偏好。 ⑶ 应急资本：一个金融合约，规定在某一个时间段内、某个特定事件发生的情况下公司有权从应急资本提供方处募集股本或贷款，并为此按时间向资本提供方缴纳费用，所谓特定事件可称为触发事件。 ⑷ 保险：一种金融合约。保险合同规定保险公司为预定的损失支付补偿（也就是为损失 进行融资），作为交换，在合同签订时，购买保险合同的一方要向保险公司支付保险费。 ⑸ 专业自保：专业自保公司又称专属保险公司，是非保险公司的附属机构，为其母公司提供保险，并由母公司筹集保险费，建立损失储备金。 特点： 由被保险人所有和控制，承保其母公司的风险，但可以通过租借方式承保其他公司的保险，不在保险市场上开展业务 优点：降低运营成本；改善公司现金流；保障项目更多；相对公平的费率；保障的稳定性；可 进行再保险；提高服务水平 缺点：增加了资本投入；提高了内部管理成本；减少其他保险的可得性；损失储备金不足

1.COSO 委员会关于内部控制的定义与框架 内部控制定义： 公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运 营的效益和效率，财务报告的可靠性和遵守适用的法律法规。 2. 我国内部控制规范体系 ⑴《企业内部控制基本规范》：内部控制的总体框架。 ① 三目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完 整；提高经营效率和效果；促进企业实现发展战略。 ② 五个要素：内部环境；风险评估；控制活动；信息与沟通；内部监督。 ⑵《企业内部控制应用指引》：建立健全本企业内部控制所提供的指引。 ⑶《企业内部控制评价指引》和《企业内部控制审计指引》：建立健全本企业“事后控制”的指引。 3. 内部控制的要素 控制环境（内部控制的基调）、风险评估、控制活动、信息与沟通、监控

1.头脑风暴法： 主要在风险识别阶段进行定性分析，可用于风险分析、风险评价 优点： ⑴ 激发了专家想象力，有助于发现新的风险和全新的解决方案 ⑵ 主要的利益相关者参与其中，有助于进行全面沟通 ⑶ 速度较快并易于开展 缺点： ⑴ 参与者可能缺乏必要的技术及知识，无法提出有效的建议 ⑵ 头脑风暴法的实施过程和参与者提出的意见容易分散，较难保证全面性 ⑶ 集体讨论时可能出现特殊情况，导致某些有重要观点的人保持沉默而其他人成为讨论的主角

2. 德尔菲法（专家意见法）： 采用背对背的通信方式征询专家小组成员的意见，专家之间不得互相讨论，通过反复填写问卷，搜集各方意见，达成专家之间的共识。 优点： ⑴ 由于观点是匿名的，因此专家更有可能表达出那些不受欢迎的观点 ⑵ 所有观点有相同的权重，避免重要人物的观点占主导地位 ⑶ 专家不必聚集在某个地方，实施比较方便 ⑷ 专家最终形成的意见具有广泛的代表性 缺点： ⑴ 权威人士的意见难免影响他人的意见 ⑵ 有些专家可能碍于情面，不愿意发表与其他人不同的意见 ⑶ 有的专家可能出于自尊心而不愿意修改自己原来的意见 ⑷ 过程比较复杂，花费时间较长，这是德尔菲法的主要缺点

3. 失效模式影响和危害度分析法（FMECA）： 按规则记录系统中所有可能存在的影响因素，分析每种因素对系统的工作及状态的影 响，将每种影响因素按其影响的程度及发生概率排序，从而发现系统中潜在的薄弱环 节，提出预防改进措施，以消除或减少风险发生的可能性，保证系统的可靠性 优点： ⑴ 广泛适用于人力、设备和系统以及硬件、软件和程序失效模式的分析 ⑵ 识别组件失效模式及其原因和对系统的影响，同时用可读性较强的形式表达出来 ⑶ 能够在设计初期发现问题，因而避免了开支较大的设备改造 ⑷ 识别单个失效模式以适合系统安全的需要 缺点： ⑴ 只能识别单个失效模式，无法同时识别多个失效模式 ⑵ 除非得到充分控制并集中精力，否则采用此法较耗时较长且开支较大

4. 流程图分析法 流程图分析法是对流程的每一阶段、每一环节逐一进行调查分析，从中发现潜在风 险，找出导致风险发生的因素，分析风险产生后可能造成的损失以及对整个组织可能 造成的不利影响 优点： 流程图分析法是识别风险最常用的方法之一，它清晰明了，易于操作，且组织规模越大，流程越复杂，流程图分析法就越能体现出优越性 缺点： 该方法的使用效果依赖于专业人员的水平

5. 马尔科夫分析法 如果系统未来的状况仅取决于其现在的状况，那么就可以使用马尔科夫分析法。这种方法通常用于对那些存在多种状态（包括各种降级使用状态）的可维修复杂系统进行分析 优点： 能够计算出具有维修能力和多重降级状态的系统的概率 缺点： ⑴ 无论是故障还是维修，都假设状态变化的概率是固定的 ⑵ 所有事项在统计上都具有独立性，因此未来的状态独立于一切过去的状态，除非两个状态紧密相接 ⑶ 需要了解状态变化的各种概率 ⑷ 有关矩阵运算的知识比较复杂，非专业人士很难看懂

6. 风险评估系图法 风险评估系图可以识别某一风险是否会对企业产生重大影响，并将此结论与风险发生的可能性联系起来，为确定企业风险的优先次序提供框架 ⑴ 优点：作为一种简单的定性方法，直观明了 ⑵ 局限性：如需要进一步探求风险原因，则采用该方法过于简单，缺乏经验证明和数 据支持

7. 事件树分析法（ETA） 这种方法将系统可能发生的某种事件与导致事件发生的各种原因之间的逻辑关系用一种称为事件树的树形图表示，通过对事件树的定性与定量分析，找出事件发生的主要原因，为确定安全对策提供可靠依据 优点： ⑴ ETA 以清晰的图形显示了经过分析的初始事项之后的潜在情景，以及缓解系统或功能成败产生的影响 ⑵ 它能说明时机、依赖性以及很烦琐的多米诺效应 ⑶ 它生动地体现事件的顺序 缺点： ⑴ 为了将 ETA 作为综合评估的组成部分，一切潜在的初始事件都要进行识别，这可能需要 使用其他分析方法（如危害及可操作研究法），但总是有可能错过一些重要的初始事件 ⑵ 事件树只分析了某个系统的成功及故障状况，很难将延迟成功或恢复事项纳入其中 ⑶ 任何路径都取决于路径上以前分支点处发生的事项。因此，要分析各可能路径上众多从属因素。然而，人们可能会忽视某些从属因素，如常见组件、应用系统以及操作员等。如果不认真处理这些从属因素，就会导致风险评估过于乐观。

8. 敏感性分析法 针对潜在的风险，研究项目的各种不确定因素变化至一定幅度时，计算其主要经济指标变化率及敏感程度的一种方法。敏感性分析是在确定性分析的基础上，进一步分析不确定性因素对项目最终效果指标的影响及影响程度。 优点： ⑴ 为决策提供有价值的参考信息 ⑵ 清晰地为风险分析指明方向 ⑶ 帮助企业制定紧急预案 缺点： ⑴ 所需要的数据经常缺乏，无法提供可靠的参数变化 ⑵ 分析时要公式计算，没考虑各种不确定因素在未来发生变动的概率，因此其分析结果可能和实际相反

9.决策树分析法 在不确定性的情况下，以序列方式表示决策选择和结果的一种方法 优点： ⑴ 对于决策问题的细节提供了一种清楚的图解说明 ⑵ 能够计算到达一种情形的最优路径 缺点： ⑴ 大的决策树可能过于复杂，不容易与其他人交流 ⑵ 为了能够用树形图表示，可能有过于简化环境的倾向

10.统计推论法 ⑴ 前推：根据历史的经验和数据，向前推断出未来事件发生的概率及其后果。 ⑵ 后推：是把未知的想象的事件及后果与一已知事件与后果联系起来。 ⑶ 旁推：利用类似项目的数据进行统计推论。 优点： ⑴ 在数据充足可靠的情况下简单易行 ⑵ 应用领域广泛 缺点： ⑴ 由于历史事件的前提和环境已发生了变化，不一定适用于今天或未来 ⑵ 没有考虑事件的因果关系，使外推结果可能产生较大偏差。为了修正这些偏差，有时必须在历史数据的处理中加入专家或集体的经验修正