企业风险管理和内部控制-百科

全面风险管理与内部控制目录全面风险管理(ComprehensiveRiskManagement)企业全面风险管理（Enterprise
RiskManagement，ERM）企业风险【MBA智库APP】企业风险（360百科）企业内部控制与风险管理（Enterpri
seinternalcontrolandriskmanagement）风险管理体系（RiskManagement）论文
：浅谈企业风险管理及内部控制全面风险管理(ComprehensiveRiskManagement)MBA智库APP目录1?什么
是全面风险管理2?全面风险管理的发展与应用状况[1]2.1?一、早期实践2.2?二、在银行业的应用应用2.3?三、在保险业的应用2
.4?四、一般企业的应用2.5?五、在政府宏观管理中的应用2.6?六、在金融监管中的应用3?全面风险管理理论的沿革[2]4?全面风
险管理框架的设立原则5?企业全面风险管理发展趋势[3]6?全面把握企业全面风险管理的基本流程与要求[3]7?全面风险管理框架的基本
步骤8?全面风险管理与企业内部控制9?斯坦福大学研究院的企业全面风险管理框架10?提高我国企业全面风险管理水平的主要措施[3]11
?2009年中央企业全面风险管理报告(模本)[4]12?相关条目13?参考条目什么是全面风险管理全面风险管理是一个全新的概念，目前
主要应用于企业管理领域，所以以下都围绕企业管理进行阐述。这里的定义是参照了国有资产监督管理委员会2006年6月发布的《中央企业全面
风险管理指引》。所谓全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的
风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从
而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理的发展与应用状况[1]一、早期实践很早以前就出现具有一定整体风险管
理思想的应用实践。例如，早在1979年XL环境有限公司曾就化学业提出了一套综合风险管理方案，不过那只是将几种不同的可保风险加以综合
考虑，提供一些新型的保险品种或风险管理方案。XL环境有限公司是一家资本供给公司，客户是化学产品制造商和销售商。其客户面临的主要风险
暴露有：生产过程中因化学要素污染环境而产生的责任赔付和销售过程中可能出现的产品责任。这些风险暴露的发生都将削弱公司的盈利能力，影响
到还款能力。为此，XL环境有限公司通过它的保险操作部门为这些化学制造商和销售商客户提供了一套综合性的风险管理方案，涉及保险、风险控
制和索赔管理，它为客户提供的保险与保险公司提供的标准保险所设定的保险责任范围有很大区别，在其保单中，保障范围不但包括环境污染责任损
失，也包括产品销售过程中的产品责任损失。到了20世纪90年代，在世界经济快速发展，在自然灾害给人类带来频繁冲击的环境和状态下，整体
风险管理思想一经提出就立即受到企业各界人士的青睐，专家和学者开始着手探讨具体实施的方法和技术，许多金融机构着手将这一思想应用于自己
实际的风险管理活动中。IRM的研究和实践主要以纯粹风险和投机风险的相互关联为出发点，其过程则是从局部向着整体方向的发展，例如，先从
几种重要风险的综合管理开始，然后逐渐过渡到真正意义上的整体风险管理实践；将金融风险管理的理论和方法(如金融工程)逐渐推广到既包含纯
粹风险又包含金融风险的情形。整体风险管理方式作为一种内部管理整合方式已经在许多大型企业推广应用，尤其是银行和保险公司应用最为普遍。
那些初步实施了整体风险管理方案的企业已经获得了成效和收益，大大提高了企业竞争力。整体风险管理方式应用最为普遍的是银行业，整体风险管
理产品出现最多的是保险业，其次是证券业和银行，其他应用比较广泛的领域有政府部门在生态管理、宏观经济管理、行业管理的政策研究方面。二
、在银行业的应用应用较多的要算银行业。已有的成果有：将银行业的信用风险的管理与其他金融风险的管理相整合；银行的资产负债管理与企业经
营风险管理相整合。例如，早在1999年，Piraeu银行集团就开发和使用了整体风险管理方案，将资产负债管理与企业经营风险管理整合为
一个部门，使用整合的计算机信息系统，提供融合资产负债管理与企业经营风险管理的报告。该集团又于2001年将资产负债管理和市场风险、信
用风险管理相整合。另外，一些金融服务机构正在开发和利用IRM这巨大的潜在市场；许多保险公司也在开发和使用将负债管理与资产管理相结合
的信息系统软件；更多的保险公司对IRM及其软件包产生了浓厚的兴趣和使用愿望。信用风险是银行的最重要风险之一，也是一种可保风险。现在
越来越多的银行放弃传统的信用保险而转向使用IRM的方式将信用风险与金融衍生工具相结合，将信用风险通过资本市场进行分散和转移。三、在
保险业的应用(一)在负债业务方面运用整体风险管理思想现在保险公司新发行的许多保单都是将多种可保风险甚至是传统不可保风险如利率风险等
金融风险捆绑在一起，提供更大范围的保障而且保费更为低廉。例如，综合型保单、组合型保单、一揽子保单就是将许多不同的风险类型集中在同一
张保单里，为所承保的每类风险损失的自留额之上提供一个总保障额。1997年Honeywell公司开创的一种保单同时为四种风险(财产、
责任、董事和高级职员责任和汇率波动)提供保障，其中包含一种金融风险——汇率风险。这是一种将纯粹风险和投机风险相结合的保单例子。(二
)在资产负债管理中运用整体风险管理思想保险人不但在承保业务中面临入不敷出的问题，所持有的资产，如债权、股票、不动产等，也面临价值贬
值的风险。保险人所面I临的整体风险取决于资产组合和负债组合的风险的综合效应。设想一下，如果保险人承保的保单持有人出现了超乎意料的索
赔，同时股票市场暴跌，所拥有的股票资产在大量缩水，保险人的处境会怎么样?显然保险人将进入一种“雪上加霜”的境地。反过来，如果保险人
承保的保单持有人出现了超乎意料的索赔，但是由于金融市场的价格状态使保险人拥有的资产大幅度升值，那么，保险人的资产就起到了“雪中送炭
”的作用，保险人能顺利渡过超常赔付的难关。保险人运用整体风险管理来进行资产负债管理的途径之一就是利用保险风险与金融风险相互关联、此
消彼长的性质，以降低风险损失的波动性，争取稳定的利润。这种思路的典型应用就是，保险人在承保了农作物(如大麦)遭受自然灾害的保险的同
时适当进行一些农作物方面的期货或期权投资。例如，当某个保险人承保了某家大型农场的农作物保险，这家农场主要生产大麦，风险因素是恶劣天
气(如严重干旱)或过多雨水造成农作物歉收所带来的损失。该保险人可以投资于一定的大麦期货或者大麦看涨期权来降低自己的风险程度。当恶劣
天气真的发生，大麦的市场价格也可能大幅上涨。因此，一方面保险公司不得不进行巨额赔付以弥补农场歉收的损失，另一方面期货或期权价格将上
涨，由此带来额外收益可在一定程度上弥补保险赔偿的损失。(三)在财务管理中运用整体风险管理思想保险公司利用不同风险此消彼长的性质，将
所承保的一些重要风险重新组合或打包，将难以承受的损失部分通过再保险转移出去，以改善财务状况，满足监管要求。如有限风险再保险就是其中
一例。有限风险再保险实际上是再保险合同与融资合同的整合创新形式。与传统再保险不同的是，在有限风险再保险期间，原保险人与再保险人会共
同设立一个经验账户或称风险管理基金来管理承保期间的承保风险及其资金运营。这种保险合同一般提供多年期的保障，再保险人仅承担有限风险损
失的保障，保障水平一般根据保险期内缴纳和积累的保费水平。再保险分出人和分人人可以共享经营成果。例如，如果保险期内发生保险损失低于所
缴纳的保费，或者积累的保费的投资收益较好使基金积累高于损失的总额，分出人还可以获得部分保费的返还。在极端的有限风险再保险保单中，几
乎可以不发生任何风险转移，例如当累积的保费等于累积发生的损失额的时候，再保险人只是起到为时间建立了一个风险基金，这时这种再保险单只
是一种融资工具。有限风险再保险合同是一种具备IRM思想的典型方案。首先，这种合同是以解决财务问题为目的的保险方式。财务问题本身是综
合了企业各种风险因素之后的结果，因此有限风险再保险合同不是一般的转移单个承保风险的合同，而是解决企业整体风险的解决方案。其次，有限
风险再保险合同一般是多年期的合同，其主要风险管理机制是通过再保险期间不同年份承保损失的平滑来分散承保风险和财务风险，换句话说，这种
保险是通过多年时间内承保风险的自然规避来达到分散风险的目的。由于有限风险再保险的特殊运作机制，这种保险不但有助于分散原保险公司的承
保风险和财务风险，而且还有助于帮助原保险人满足监管要求和进行合理避税，从而有助于原保险人提高盈余、平衡利润、业务扩大、改善投资效益
等。这种风险融资方式也用于一般企业，称之为有限风险保单，在这里建立风险基金、提供融资的是保险公司。(四)其他应用例如，IRIVI思
想在保险公司设计保单方面就有许多的应用。保险人也将这些整体风险管理思想扩展到向客户提供整体性的保障产品。保险人往往针对特别客户的资
产与负债特点设计一些特殊保险产品，这些产品将客户面临的一些重要风险捆绑在一起，利用这些风险此消彼长的特点，设计赔付条款和确定保险价
格，使得这些产品不同于传统保险产品，它们将以更低廉的价格获得更大范围的保障。多触发型保险合同就是这种典型的新型产品。以双触发型保险
合同为例。这种保险单与传统的保险单的主要差异在于，保险赔付不但取决于保险期内的保险事故是否发生并达到赔付的水平(称为第一种触发器)
，而且，还取决于另一个特定非保险事件的发生(称为第二触发器)。一般来说，这一特定非保险事件往往与被保人的财务状况紧密相连的指标，如
原材料价格、产品价格、利率以及汇率等。也就是说，当被保险人只是遭受了保险风险的冲击，其另一影响财务状况的重要指标没有恶化的表现，保
险人不给予赔付；只有被保人处于“屋漏偏逢连夜雨”的时候才给予补偿。这种保单旨在控制企业偿付能力不足的整体风险。四、一般企业的应用霍
尼韦尔公司和米德(Mead)公司通过使用ART产品，即把保险保障与金融风险防范技术结合起来，通过把各种风险捆绑在一起，使风险转移方
面的费用节省了大约20％～30％。五、在政府宏观管理中的应用早在1997年，加拿大政府就已经将政府部门的整体风险管理呈上了政府议事
日程，并开始了在政府各级服务机构推行整体风险管理的研究和实践工作。在加拿大政府报告“theReportoftheIndepende
ntReviewPanelonModernizationofComptrollershipintheGovernmentofCan
ada(1997)”中，政府强调在政府公共服务部门推行现代化风险管理的重要性；为响应政府的号召，加拿大内阁秘书处的财政部牵头组建了
一个关于公共服务部门整体风险管理的研究团队。该团队由联邦机构、教育机构和一些个体研究者构成和参与，开发了一个适应公共服务机构风险管
理的整体风险管理框架IRMF(In—tegratedRiskManagementFramework)。IRMF提倡在联邦公共服务机
构内部推行一种系统的、整体化的风险管理方法和体系，强调在公共服务机构内部的风险交流和风险容忍度的重要性。他们建立IRMF的主要目的
是期望：(1)促进各级政府服务部门管口理的创新，以提升公共服务部门的服务功效，保持政府的可信性、可靠性和勤勉印象，使政府行政人员不
触犯并能保护公众的兴趣和利益。(2)促进推广应用先进的风险管理思想和方法。IRMF可以为公共服务部门及其工作人员提供一个实践的指南
来帮助他们在决策过程中如何识别、评估那些与政策、计划、项目及其操作相关联的重要风险，如何适度有序地管理这些重要风险，从而强化政府的
责任和义务。IRMF有四个要件，以下是这四个要件的基本内容以及实施IRMF期望达到的目标：(1)描绘机构(或公司)层面的风险图。这
一要件的实质就是公司机构层面重要风险的识别与评价，他们期望能获得三个关键成果：①通过对机构内部和外部环境的分析研究，发现机构潜在的
威胁和利好机会；②在进行机构层面的风险管理决策规划中，能充分把握和意识到机构目前的风险管理状态，包括挑战、机会、能力、实践经验及其
文化氛围；③能绘制机构的风险图，其中包括的重要内容有：关键风险领域、风险容忍度、缓解风险的能力等。(2)建立一个IRM职能体系。该
职能体系达到下面的目标和要求：①是风险管理的指挥中心，能促进机构内有关风险管理政策、操作规则的制定，推动风险管理计划的交流、理解和
应用。②能借助和协同现有机构决策机制，包括各级管理部门、明确的责任人以及绩效呈报单位，以促进IRM方案和方法的顺利落实和推行，并借
助各种绩效评价方式，如审计部门独立地审核和评估，来对IRM的绩效进行合理评价。③组织和引导开发使用整个机构的ERM能力(包括相应的
人力资本和管理工具及过程)培育计划和建设措施，以及时应对不断变化的机构内部及外部环境。(3)推进IRM的实践。期望IRM的实践具备
条件：①各部门所使用的风险管理过程是协调一致的；②能使机构决策及其重要性次序的排定兼顾到各个层次的风险管理实践结果；③辅以决策和与
利益关联者(stakeholder)交流所使用的方法和措施具有持续性和稳定性。(4)促使风险管理机制的不断进步和发展。对于这一要素
，IRMF期望获得下面的结果：①从经验教训中学会辨识IRM合适的工作环境；②将学习计划融入机构的风险管理实践过程中；③风险管理的成
果能用以推动机构中包括个人、团队的管理的创新、能力培育和不断改进；④做到经验和实践成果能在机构内部以及各级管理层共享。依据所设定的
目标和要求，IRMF详细地给出了公共服务机构的风135口风险管理科学的发展及其整合趋势险管理基本过程和重要环节，并给出了这些环节的
一般含义和执行规则。加拿大政府还将整体风险管理思想应用于“千年虫”的风险控制问题，这些方法的应用已经扩展到了政府在线业务和规划整合
管理。六、在金融监管中的应用根据SAS软件公司在2006年7月对全世界339家金融机构进行的一项问卷调查(SAS，2006)结果显
示，改善企业经营成果并满足监管条件是推动金融机构实施ERM的主要推动力；除此以外，就是改善企业管理绩效、能基于风险进行合理定价、节
省分配资本并减少信用风险损失。分析者从所获得的调查结果判断，平均而言，应用ERM系统可以减少资本要求10％。更具体地说，对于一个需
要100亿美元资本分配的银行，其中60亿美元被分配给信用风险，那么进行先进的、系统化的ERM管理将可以减少6亿美元的资本分配；按照
10％的年度资本回报率计算，银行因此可在一年中净增收益6000美元。全面风险管理理论的沿革[2]以KentD.Miller（199
2）提出了整合风险管理（IntegratedRiskManagement）的概念为标志，随后的十多年，其发展可以分为两个阶段。
（一）多学派百家争鸣的阶段（1992～2001）各个领域的专家学者从自己熟悉的学科出发，讨论和探索类似于整体风险管理的概念，具有代
表性的学派如下：1.整合风险管理（IntegratedRiskManagement）。工业管理、工程项目管理领域的学者，从控制
和组织的角度提出了整合风险管理，认为企业要从整体角度出发分析、识别、评价企业面对的所有风险并实施相应的管理策略。其主要观点在于企业
可以根据具体的风险状况，对多种风险管理方式进行整合，强调风险研究范围的扩展。2.完全风险管理（TotalRiskManagem
ent）。心理学、社会学和经济学的交叉学者认为，风险管理活动应该涉及三个要素：价格、偏好和概率。价格用来确定因预防各种风险所必须支
付的成本；概率用来估计这些风险发生的可能性；偏好用来确定承受风险的能力和意愿及信心度。风险管理必须将三要素综合起来，进行系统和动态
的理性决策。3.综合风险管理（GlobalRiskManagement）。金融机构的学者在对金融机构特别是银行的风险管理实践中
，提出了综合风险管理的理论。强调对金融机构面临的风险做出连惯一致、准确和及时的度量；试图建立一种严密的程序，用来分析总的风险在交易
过程、资产组合及其他经营活动范围内的分布情况，以及对不同类型的风险应该怎样进行定价和合理配置资本。同时，在金融机构内部建立专门的风
险管理部门，致力于防范和化解风险并且消化由此带来的成本。（二）整体风险管理思想的融合阶段（2001－）随着对风险和风险管理认识在深
度和广度上的拓展，以上理论不再限于各自的原有范畴，各种学说逐渐趋向内涵的融合与统一。北美非寿险精算师协会（CAS）将整体风险管理定
义为：一个对各种来源的风险进行评价、控制、研发、融资、监测的过程，任何行业的企业都可以通过这一过程提升短期或长期的利益相关者价值［
5］。这一概念不仅明确了风险管理的价值取向，而且首次将风险管理措施扩展到“研发”、“融资”，反映了风险管理理念的最新成果和较高水平
。随后，在内部控制领域具有权威影响的COSO委员会，于2004年9月颁布了《整体风险管理——总体框架》报告。报告从内部控制的角度出
发，研究了整体风险管理的过程以及实施的要点，是整体风险管理理念在运用上的重大突破。全面风险管理框架的设立原则中央企业要在促进国有经
济布局和结构优化方面发挥表率作用，实现国有资本优化配置，充分发挥跨省市经营，产业分布广的优势，就必须逐步建立全面风险管理框架，降低
生产经营风险。在中央企业全面风险管理建立和实施的过程中，应该遵循以下原则。（一）预测先导原则成功地回避风险，必须建立在对风险发生可
能性科学预测的基础上，这就要求在选择具体操作方法时，坚持理论与实际、定性与定量、历史与未来相结合的方法，以确保实施方法的准确性和有
效性。（二）权衡轻重原则对风险的性质、风险程度做出合理评估，结合企业管理、财务等综合能力，制定风险管理方针和策略。（三）避免超载原
则国资委或中央企业应对所属企业管理者的风险管理能力进行监控，避免超出其承受能力的经营风险。（四）成本效益原则对因进行风险管理而产生
的成本及其绩效进行比较，择优采用。如果风险防范成本超出了最终风险可预测损失，那么，该项风险防范措施的效果无疑应该大打折扣。企业全面
风险管理发展趋势[3]全面风险管理，是指企业围绕总体经营目标。通过在企业管理的各个环节和经营过程中，执行风险管理的基本流程。培育良
好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统
。从而为实现风险管理的总体目标提供合理保证的过程和方法。从国际上看，许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全
面管理框架。如美国萨班斯法案的实施。对在美上市公司的治理和管理控制提出了更高的要求，该法案404条款（管理层对内部控制的评价）规定
了内部控制方面的要求和内部控制评价报告，这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。2004
年，美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上，提出一个概念全新的COSO报告《企业风险管理——
总体框架》（简称EBM），使内部控制研究发展到一个新的阶段。COSO委员会提出，企业风险管理是企业的董事会、管理层和其他员工共同参
与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从
而对企业目标实现提供合理保证。从国内来看，中央政府已越来越重视风险控制，将风险管理提高到企业管理的重要位置。2006年6月。国务院
国资委发布了《中央企业全面风险管理指引》。对中央企业如何开展全面风险管理工作提出了总体原则，并对企业风险管理的基本流程、组织体系、
风险评估等方面进行了比较详细的引导。该《指引》的出台，对国有资产的保值增值和企业的健康发展。将起到一定积极作用，为我国企业应对经济
全球化挑战和市场经济条件下的内外风险，提供了指南。2007年3月全国工商联发布《关于指导民营企业加强危机管理工作的若干意见》，指导
民营企业增强危机意识，建立防范风险的危机预警机制和用于解决危机的应急处理机制，提高危机防范与危机化解的能力和水平。由此可见，我国在
企业全面风险管理方面已经迈出了一大步，已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是，全面风险管理在我国企业管理
中还属于相对薄弱的环节。许多企业缺乏经验，风险意识不强，风险管理手段相对匮乏。因此。广泛开展企业全面风险管理理论与实践研究。积极借
鉴国际上企业全面风险管理技术和经验，努力提高我国企业全面风险管理水平，将是我国政府和企业面临的日益紧迫的重要任务。全面把握企业全面
风险管理的基本流程与要求[3]企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制，需要建
立科学的全面风险管理流程，保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作，《中央企业全面风险管理指引》第
五条详细提出了我国中央企业全面风险管理基本流程的主要工作，具体包括：（一）收集风险管理初始信息收集风险管理初始信息是企业全面风险管
理的首要环节，其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。不同的风险，源于企业内外不同方面，而且随时随地都有
可能发生。因此，收集风险管理初始信息应该贯穿于企业所有的业务单位，并且作为一项经常性工作。它要求企业有效地建立风险信息收集与管理系
统，广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关
的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、
有关法律法规等。（二）进行风险评估企业风险评估，是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估，具体包
括风险识别、风险分析和风险评价三个步骤，其目的在于查找和描述企业风险，评价所识别出的各种风险对企业实现目标的影响程度和风险价值，给
出风险控制的优先次序等。风险识别、风险分析和风险评价，是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行
，也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何，都要采取定性与定量相结合的方法，如问卷调查、专家
咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率，还要统一制定各种风险度量单位和风险评估模
型，要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系，也要进行必要的相关分析，以便对各种风险
进行集中管理。此外，风险评估也是一项经常性工作，需要进行动态管理。（三）制定风险管理策略制定风险管理策略，就是根据内外条件，对所识
别出的各种风险，按照所给出的优先次序。围绕企业目标与战略，确定风险偏好、风险承受度和风险管理有效性标准，选择适当的风险承担、风险规
避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具，确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首
要环节，决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性，对不适当的风险管理策略进行及时
的修正或调整。（四）提出和实施风险管理解决方案提出和实施风险管理解决方案，就是根据所制定的风险管理策略。针对各类风险或各项重大风险
制定风险解决方案。这是对风险管理策略的具体落实。一般包括：提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、
所需要的条件、手段以及各种内控制度等，以及风险事件发生之前、之中和之后应该采取的具体应对措施（包括外包方案）以及风险管理工具。所制
定的风险管理解决方案，应该满足合规性要求，同时要注重成本、质量与效率的平衡，坚持经营战略与风险策略、风险控制与运行效率的统一，保护
自身商业秘密，防止自身对外包解决方案产生依赖性风险。（五）风险管理的监督与改进企业风险管理的重点是对事关企业生存与发展的重大风险的
识别、分析与控制。因此，企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点，对上述各项风险管理工作实施情况进行监督，
并且采取有效的方法对其有效性进行检验。根据监督和检验结果，对所存在的问题或缺陷加以改进。为了加强风险管理的监督与改进工作，企业应该
建立健全风险管理工作自查制度、监督评价制度（包括外部评价制度）、报告制度和信息反馈系统，为改进和有效落实风险管理策略和风险管理解决
方案提供保证。全面风险管理框架的基本步骤全面风险管理的一般程序包括七个步骤。这七个步骤是：建立综合信息框架；风险评估；制定风险战略
；构造风险管理解决方案；实施风险管理解决方案；监控改进风险管理的过程；贯穿于整个风险管理过程中的信息沟通。全面风险管理与企业内部控
制说到风险管理，有个概念是必须要提到的，即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系，要么将两
者完全隔离开来，要么只是简单地将它们等同起来。那么它们有什么联系和差异呢？目前国际上基本上是接受了美国COSO（全国虚假财务报告委
员会的发起人委员会）2004年发布的《企业风险管理——整合框架》（国内也有译作《全面风险管理框架》的）对两者的阐释。一、按COSO
框架，两者的联系为：（1）全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控，将之作为一个子系统。（
2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的
所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因
此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。二、内部控制与全面风险管理的差异为：（1）两者的范畴不一致。
内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，更重要的是在事
前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。（2）两者的活动不一致。全面风险管理的
一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、
有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活
动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进
行评价，特别是对目标和战略计划制定当中的风险进行评估。（3）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风
险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联
系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的
内部控制框架所不能做到的。从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至
统一。三、内部控制与全面风险管理的产生和发展内部控制和风险管理的概念是在实践中逐步产生、发展和完善起来的。在20世纪30年代，由于
受到1929－1933年的世界性经济危机的影响，美国约有40％左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机
，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的内部控制和风险管理主要依赖保险手段。1949年
美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性》的专
题报告，第一次对内部控制做了权威性的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。20
世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿
，美国国会于1977年通过了“国外腐败实务法案（1977）”。该法案除了反腐败条款外，还包含了要求公司管理层加强会计内部控制的条款
。该法案成为美国在公司内部控制方面的第一个法案。1978年，美国执业会计协会下面的柯恩委员会（CohenCommission）提
出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部独立审计师对管理者内控报告提出审计报告。198
0年后，内部控制审计的职业标准逐渐成形。而且，这些标准逐渐得到了监管者和立法者的认可。1970年代以后，随着企业面临的风险复杂多样
和风险费用的增加，法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时，日本也开始了风险管理研究。此后20年来，美国
、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家
学者云集纽约，共同讨论并通过了“101条风险管理准则”，这是风险管理走向实践化的一个重要文件。1992年9月，美国COSO委员会发
布了《企业内部控制——整合框架》，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制
。1995年由澳大利亚和新西兰联合制订的AS/NZS4360明确定义了风险管理的标准程序，这就是我们通常说的澳新ERM标准，这标
志着第一个国家风险管理标准的诞生。多年来，人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，
有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实
行全面风险管理。然而，尽管很多企业意识到全面风险管理，但是对全面风险管理有清晰理解的却不多，已经实施了全面风险管理的企业则更少。但
2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案，加之其它一系列的会计舞弊事件，促使企业的风险管理问题受到
全社会的关注。2002年7月，美国国会通过萨班斯法案（Sarbanes-Oxley法案），要求所有在美国上市的公司必须建立和完善内
控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范
，加大信息披露的要求，加强企业全面风险管理。接着在2004年9月，COSO发布《企业风险管理——整合框架》（Enterprise
RiskManagement—IntegratedFramework），该框架拓展了内部控制，更加关注于企业全面风险管理这一更
为宽泛的领域，并随之成为世界各国和众多企业广为接受的标准规范。到目前为止，世界上已有30几个国家和地区，包括所有资本发达国家和地区
及一些发展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而
成为企业经营的合规要求。四、内部控制与全面风险管理运用的一些误区（1）把内部控制与全面风险管理体系的建设理解为建章立制。其实从CO
SO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动
，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。（2）内部控制体系和全面风险管理体系是相互独立的。建
设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部
环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企
业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可
能更适合。在相关管理理论和实践不断发展变化的今天，有时候先做起来比争论更有意义。（3）内部控制和全面风险管理的作用被夸大。有些企业
对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。
而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。（4）内部控制与全面风险管理理念在
企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导
入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异
或者关注度不够，除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些，事实是理论来源于实践又高于实践，这
些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。斯坦福大学研究院的企业全面风险管
理框架斯坦福大学研究院提出的是企业全面风险管理（CERM：ComprehensiveEnterprisesRiskManag
ement）框架。企业全面风险管理（CERM：ComprehensiveEnterprisesRiskManagement）
强调通过量化分析支撑下的决策分析，在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下，COSO风险管理框架以内控为中
心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内控体系，完善风
险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升风险管理的效率和效果，最终帮助企业实现风险管理的各项目标
，包括：建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系利用系统的、科学的方法对各类风险进行识别和分析将风险应
对措施落实到企业的制度、组织、流程和职能当中形成企业风险管理战略，支持企业经营战略目标的实现使所有企业利益相关人了解企业的风险，满
足股东以及监管机构的要求提高我国企业全面风险管理水平的主要措施[3]（一）提高企业高层管理者综合素质，增强高层管理者全面风险管理能
力。企业全面风险管理水平，取决于高层管理者的风险偏好、处理风险事件的态度、方法和能力。这就要求企业高层管理者必须拥有专门的风险管理
知识、才能和智慧，形成一套系统的风险管理理念，树立科学的风险应对策略观，以确保履行其风险监控责任，引导企业风险管理文化的形成，推动
企业风险管理系统的合理构建。与此相适应，在选拔、聘用和考核企业高层管理者时，应该强调其风险意识、风险管理态度与风险管理能力，要从制
度设计着手，引导或迫使企业高层管理者不断提高其自身综合素质，增强其全面风险管理能力。（二）塑造风险管理文化，增强全员风险管理意识。
风险管理是一项全员参与的系统工程，需要以塑造风险管理文化。增强全员风险管理意识为支撑。风险管理文化是企业文化的重要组成部分，其内容
主要包括风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化建设中。要倡导和强化“全员的风险管理意识”，通过各种
途径将风险管理理念传递给每一个员工，并且内化为员工的职业态度和工作习惯；要在企业内部形成风险控制的文化氛围和职业环境。使企业能敏锐
地感知风险、分析风险、防范风险。（三）设立风险管理机构，构筑全面风险管理组织体系。设立风险管理机构，构筑全面风险管理组织体系，是提
高企业风险管理水平的重要保证。主要涉及到：企业法人治理结构、风险管理职能部门、内部审计部门、法律事务部门以及其他有关职能部门、业务
单位的组织领导机构及其职责。董事会应该成为企业全面风险管理工作的最高决策者和监督者，就企业全面风险管理的有效性对股东会负责。董事会
内部可以设置风险管理委员会，专门研究和制定企业风险管理政策与策略等。经理层应该成为企业全面风险管理政策与策略的执行者，主要负责企业
全面风险管理的日常工作。就企业全面风险管理工作的有效性对董事会负责。企业风险管理职能部门等内部有关部门。应该形成各有分工、各司其责
、相互联系、相互配合的有机整体。各机构人员应该由熟悉本职工作，能对个案做出风险评估和处理的专家或专门人才组成。根据各企业经营特点，
应该确立各部门、各单位风险控制的重点环节和重点对象。制定相应的风险应对方案；监督企业决策层和各部门、各单位的规范运作。风险发生时。
风险管理组织系统应该能够全面有效地指导和协调风险应对工作。2009年中央企业全面风险管理报告(模本)[4]一、2008年度风险管理
工作有关情况(一)简要说明本企业及主要所属企业2008年度企业风险管理工作计划的执行情况。(二)简要说明2008年本企业管理重大风
险的效果，包括在管理机会风险方面所取得的主要成效。(三)简要说明本企业建立风险事件库的相关情况。1.企业建立风险事件库，收集整理分
析本企业、国内同行业及国外企业发生的风险事件案例的相关情况。2.根据本企业确定的重大风险损失事件标准，对企业近三年来发生的重大风险
损失事件，从发生过程、造成的损失或影响、产生原因、事件的处理以及为防止同类事件再次发生所采取的对策等方面，进行收集整理分析的相关情
况。企业向国资委报送的年度报告中可以仅从分类和数量方面，简要说明建立风险事件库、分析重大风险损失事件的有关情况。二、2009年风险
管理工作有关情况中央企业应高度重视当前及今后一定时期内更加复杂的经济形势对本企业的影响，在进行风险评估、制订重大风险管理策略及解决
方案时，更具针对性，确保企业持续稳定健康发展。(一)企业2009年面临的重大风险。1.重大风险描述。说明本企业2009年经风险评估
后确定的重大风险（包括纯粹风险和机会风险），并从风险类别、产生原因、涉及的主要所属企业、涉及的重要流程、风险发生后可能给企业带来的
影响等方面逐一进行简要描述。2.其他重要风险描述。对经评估后确定的其他重要风险（发生概率小，一旦发生将对企业的经营目标产生重大影响
的风险），比照对重大风险的相关要求逐一进行简要描述。3.风险坐标图。按照发生的可能性及发生后对经营目标的影响程度两个维度，将企业2
009年面临的重大风险和其他重要风险绘制成风险坐标图。(二)重大风险管理基本流程执行情况。1.风险评估情况。(1)简要说明企业为开
展本年度风险评估，尤其是结合当前经济形势，进一步在战略风险、财务风险、市场风险、运营风险和法律风险等方面收集风险管理初始信息的情况
。(2)简要说明本企业开展2009年风险评估的范围、方式及参与人员等情况。(3)以附件形式说明本企业在分析风险发生的可能性、风险发
生后对经营目标的影响程度时，所采用的评估标准。(4)简要说明同2008年相比，本企业2009年经风险评估后确定的重大风险的变化情况
。(5)按照风险分类，说明风险评估结果的数量分布情况。2.重大风险管理策略与解决方案。(1)以附件形式说明本企业根据自身情况界定的
企业重大风险判断标准。(2)从以下两个方面，逐一简要说明各项重大风险的管理策略和解决方案。①风险管理策略。包括企业对每一项重大风险
的风险偏好、风险承受度及据此确定的风险预警指标等。②风险解决方案。包括风险事件发生前、中、后拟采取的具体应对措施，所使用的风险管理
工具，以及如何抓住重大风险中的机会等。3.风险管理的监督与改进。(1)简要说明本企业对执行重大风险管理策略和解决方案的监督机制。(
2)简要说明参与风险管理的各业务单位、职能部门，根据可能发生的变化情况和管理中存在的缺陷，完善和改进重大风险管理的机制。(三)企业
全面风险管理工作总体规划及2009年企业风险管理计划。1.简要说明本企业全面风险管理工作总体规划。2.简要说明本企业2009年全面
风险管理工作计划。3.说明董事会或经理办公会议对本企业2009年全面风险管理工作提出的要求。三、企业全面风险管理体系及风险管理文化
建设现状（已提交《2008年中央企业全面风险管理报告》的企业，本部分只需说明有关变动情况。）(一)风险管理组织体系。1.企业组织机
构与风险管理组织机构。以附件形式说明企业最新的组织结构图（三级公司以上）与风险管理组织机构图。2.董事会与企业经理层。设立董事会的
企业：设立风险管理委员会或已确定履行相关职责的专门委员会的，说明该委员会的名称、构成、职责及履职情况；尚未设立的，说明相关工作计划
；并说明本企业经理层分工负责风险管理工作的相关情况。未设立董事会的企业：说明本企业经理办公会议履行风险管理职责情况及经理层分工负责
风险管理工作的相关情况；经理办公会议下设了风险管理机构（如全面风险管理领导小组、风险管理委员会等）的，说明该管理机构的名称、构成、
职责及履职情况。3.风险管理职能部门。设立风险管理专职部门的，说明该部门的名称、编制、主要职责及人员构成。确定相关职能部门履行风险
管理职责的，说明该部门的名称、风险管理专职或兼职岗位设置、人员配置及主要职责。4.主要所属企业的风险管理组织体系。本企业主要所属企
业的风险管理组织体系，可比照本节前述2、3的相关要求进行简要说明。(二)内部控制系统。1.简要说明本企业及主要所属企业内部控制系统
建设现状，包括重要流程的管理、内部控制评价等。2.已制订《内部控制手册》的企业，简要说明其主要内容及执行情况。3.简要说明本企业建
设内部控制系统的工作计划。(三)风险管理信息系统。已建立风险管理信息系统(包括在企业管理信息系统的基础上，进行补充、调整、更新，使
之具备风险信息管理功能)的企业，简要说明该系统覆盖的所属企业范围、主要管理及业务流程，监控的重大风险以及对这些风险的预警功能等情况
。(四)风险管理文化。1.简要说明本企业风险管理文化建设现状。2.简要说明《风险管理指引》印发以来，本企业开展风险管理培训的有关情
况，包括时间、内容、人次及师资等。3.企业已制定员工行为、道德诚信等有关规定的，简要说明其主要内容。(五)风险管理与绩效考核。企业
已将风险管理纳入绩效考核体系的，简要说明风险管理考核指标及其权重等情况。四、有关意见和建议(一)需要国资委协助解决的有关重大风险管
理问题。(二)对国资委推动中央企业全面风险管理工作的建议。相关条目风险管理企业风险管理参考条目1、上海财经大学现代金融研究中心·上
海财经大学金融学院编著.2009中国金融发展报告：风险管理与保险创新.上海财经大学出版社,2009.10.2、胡伟益，王波.整体风
险管理理论的沿革、内涵及展望3、3.03.13.2扎世君,李角奇.企业全面风险管理的流程及措施.企业改革与管理,2008年第7
期4、2009年中央企业全面风险管理报告(模本).国资厅发改革[2009]102号本条目相关文档全面风险风险管理办法10页（风险管
理）全面风险管理报告44页（风险管理）全面风险管理手册44页风险管理全面风险管理报告45页（风险管理）全面风险管理知识题库37页渤
海银行风险文化体系助力风险管理能力全面提升4页基于COSO风险管理框架的建筑企业全面风险管理5页（风险管理）保险行业全面风险管理精
要47页（风险管理）某某集团全面风险管理实施方案20页（风险管理）某集团公司全面风险管理报告48页企业全面风险管理（Enterpr
iseRiskManagement，ERM）【MBA智库APP】目录1?什么是企业风险管理2?企业风险管理的基础前提[1]3?
企业风险管理的内容[1]4?企业风险管理框架的组成5?企业风险管理的目标[1]6?目标与构成要素之间的关系7?企业风险管理的七种方
法8?风险管理的误区9?参考文献一、什么是企业风险管理企业风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结
果控制在预期可接受范围内的方法和过程，以确保和促进组织的整体利益实现。企业风险管理（ERM）框架是由Treadway委员会所属的美
国虚假财务报告全国委员会的发起组织委员会（COSO）在内部控制框架的基础上，于2004年9月提出的企业风险管理的整合概念。ERM
是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理
风险，为企业目标的实现提供合理保证的过程。企业风险管理处理影响价值创造或保持的风险和机会，定义如下：企业风险管理是一个过程，它
由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主
体的风险容量之内，并为主体目标的实现提供合理保证。这个定义反映了几个基本概念。企业风险管理是：①一个过程，它持续地流动于主体之内；
②由组织中各个层级的人员实施；③应用于战略制订；④贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；⑤旨在识别一旦
发生将会影响主体的潜在事项，并把风险控制在风险容量以内；⑥能够向一个主体的管理当局和董事会提供合理保证；⑦力求实现一个或多个不同类
型但相互交叉的目标。这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念，为不同组织形式、行业和部门的应用
提供了基础。它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。二、企业风险管理的基础前提[1]企业风险管
理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者
价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够
有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风
险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。三、企业风险管理的内容[1]企业风险管
理包括：协调风险容量（riskappetite）[2]与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的
过程中，需要考虑所在主体的风险容量。增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间
进行选择提供了严密性。抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。识别
和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式
地应对多重风险。抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。改善资本调配——获取强有力的风险信息，
使得管理当局能够有效地评估总体资本需求，并改进资本配置。企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防
止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理
不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。事项——风险与机会事项可能会带来负面的影响，也可能会带来正面
的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者
说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订
过程中，以便制订计划去抓住机会。四、企业风险管理框架的组成美国COSO（反欺诈交易委员会）委托普华永道开发《COSO风险管理整合
框架》中指出，企业风险管理基本框架包括八个方面内容：?内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监
控等8个要素构成。（一）内部环境中央企业内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。其中特别是中央企业领导
班子的风险偏好，决定了中央企业对可能出现的预料之外的事件的态度，中央企业管理层必须明确战略及其执行过程中的风险和回报。（二）目标
设定根据国资委确定的任务或预期，管理层制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首
先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程，将目标与企业的任务或预期
联系在一起，保证制定的目标与企业的风险偏好相一致。（三）事项识别企业风险管理要求辨别可能对实现中央企业目标产生负面影响的所有重
要情况或事件，事项识别的基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识，尽可能地了解企业当前或将来的环境和经营情况。
（四）风险评估一般用可能性（概率）和影响结果两个指标度量风险。风险评估的过程根据不同的情况，采用定性和定量相结合的方法。若可以
获取充足的数据，可采用决策风险定量评估方法；若潜在的可能性及影响结果都较小，或者无法获得数据，则可采取定性的评估方法。（五）风险
应对中央企业要对每一个重要的风险及其对应的回报进行评价和平衡，据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是中央
企业风险管理的整体重要组成部分。（六）控制活动控制活动包括在整个组织使用的审核、批准、授权、确认以及对经营绩效考核、资产安全管
理、不相容职务分离等方法。这是中央企业管理层设计的政策和程序，为执行特定的风险应对措施提供合理保证。（七）信息与沟通风险信息必
须以一定的形式和框架进行交流，使中央企业员工、管理层履行各自的责任。中央企业必须对各种数据和信息流进行加工，形成关于企业风险组合轮
廓的统一观点，以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成
部分，应鼓励员工就其意识到的重要风险与中央企业管理层进行交流，中央企业管理层应当重视员工的意见。（八）监控中央企业应通过持续的
监控和独立的评价活动，监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象，包括中央企业管理层和专门的监控人员的活
动。五、企业风险管理的目标[1]在主体既定的使命或愿景（vision）[3]范围内，管理当局制订战略目标、选择战略，并在企业内自上
而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：战略（strategic）目标——高层次目标，与使命相关联并
支撑其使命；经营（operations）目标——有效和高效率地利用其资源；报告（reporting）目标——报告的可靠性；合规（c
ompliance）目标——符合适用的法律和法规。对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互
交叉的类别——一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每
一类目标中能够期望的是什么。一些主体采用的另一类目标——保护资源也包含在上述类别之内。因为有关报告的可靠性和符合法律、法规的目标
在主体的控制范围之内，所以可以期望企业风险管理为实现这些目标提供合理保证。但是，战略目标和经营目标的实现取决于并不一定总在主体控制
范围之内的外部事项，对于这些目标而言，企业风险管理能够合理地保证管理当局和起监督作用的董事会及时地了解主体朝着实现目标前进的程度。
六、目标与构成要素之间的关系目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什么来实现它们，二者之间有着直接的关
系。这种关系可以通过一个三维矩阵以立方体的形式表示出来。四种类型的目标——战略、经营、报告和合规——用垂直方向的栏表示，八个构成
要素用水平方向的行表示，而一个主体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可
以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。有效性认定一个主体的企业风险管理是否“有效”，是
在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并
且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效
的，那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。八个构成要
素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。尽管如此，当八个构成要素存在且正常运行时
，小规模主体依然会拥有有效的企业风险管理。局限尽管企业风险管理带来了重要的好处，但是仍然存在着局限。除了前面讨论过的因素之外，局
限还导源于下列现实：人类在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益，类似简单误差或错误的个
人缺失可能会导致故障的发生，控制可能会因为两个或多个人员的串通而被规避，以及管理当局有能力凌驾于企业风险管理决策之上。这些局限使得
董事会和管理当局不可能就主体目标的实现形成绝对的保证。涵盖内部控制内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵
盖了内部控制，从而构建了一个更强有力的概念和管理工具。内部控制是在《内部控制——整合框架》中加以定义和描述的。由于该框架经受了时间
的考验，并且成为现行规则、法规和法律的基础，因此那份文件对内部控制的定义和框架依然有效。尽管《内部控制——整合框架》的正文中只有一
部分被本框架所引用，但是本框架通过参考的方式把该框架整体融合了进来。职能与责任主体中的每个人都对企业风险管理负有一定的责任。首席
执行官（CEO）负有首要责任，并且应当假设其拥有所有权。其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围
内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。主体中的其他人员负责按照既定的指引和规程去实施企业风
险管理。董事会对企业风险管理提供重要的监督，并察觉和认同主体的风险容量。很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者
和财务分析师常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分。七
、企业风险管理的七种方法每个企业在经营中都有可能性发生风险，但如何化解和减少风险是企业经营者必须进行研究的，企业的风险管理是一项
重要的工作。在企业家的头脑中首先要明确有哪几种风险，然后有的放矢地采取措施。只有加强风险意识，进行科学的管理和科学的决策，建立起相
应的制度才能避免风险的发生。从目前市场环境来看大致有七种风险，相应采取的措施有：第一为投资风险。投资风险是指因投资不当造成投产企
业经营的效益不好，投资资本下跌。企业对此应采取：在项目投资前，一定要各职能部门和项目评审组一起进行严格的、科学的审查和论证，不能盲
目运作。对外资项目更不能作风险承诺，也不能作差额担保和许诺固定回报率。第二为经济合同风险。经济合同风险是指企业在履行经济合同过程
中，对方违反合同规定或遇到不可抗力影响，造成本企业的经济损失。因此，企业在进行经营和产品合同签订后的履约及赔偿责任问题。合同签订后
还应密切注视其执行情况，要有远见地处理随时发生的变化。第三为产品市场风险。产品市场风险是指因市场变化、产品滞销等原因导致跌价或
不能及时卖出自己的产品。产生市场风险的原因有三个：（1）市场销售不景气，包括市场疲软和产品产销不对路；（2）商品更新换代快，新产品
不能及时投放市场；（3）国外进口产品挤占国内市场。第四为存货风险。存货风险是指因价格变动或过时、自然损耗等损失引起存货价值减少
。这时企业应马上清理存货，生产时要控制投入、控制采购、按时产出，加强保管。有些观念保守的企业担心存货贬值，怕影响当前效益，长期不处
理，结果造成产品积压，损失越来越大。第五为债务风险。债务风险是指企业举债不当或举债后资金使用不当致使企业遭受损失。为了避免企业
资产负债，企业应控制负债比率。许多企业因股东投资强度不够，便以举债扩大生产经营或盲目扩大征税，结果提高资产负债率，造成资金周转不灵
，还会影响正常地还本付息。最有可能导致企业资不抵债而破产。第六为担保风险。担保风险是指为其他企业的贷款提供担保，最后因其他企业
无力还款而代其偿还债务。企业应谨慎办理担保业务，严格审批手续，一定要完善反担保手续以避免不必要的损失。第七为汇率风险。汇率风险
是指企业在经营进出口及其他对外经济活动时，因本国与外国汇率变动，使企业在兑换过程中遭受的损失。企业平时就要随时注意其外币债务。密切
注视各种货币的汇率变化，以便采取相应措施。特别是在银行有外币贷款的企业更应如此。八、风险管理的误区误区之一：视风险为畏途，放弃发
展机会。风险其实是无处不在的，特别是企业经营活动中，其结果本身就有不确定性。不少企业对未来盲目恐惧，缺乏前瞻性，视风险为不可抗力，
采取回避的方式防范风险。殊不知，新的发展机会往往是由前期高风险带来的，放弃风险有时候就等于放弃机会。误区之二：企业风险管理是一个
筐，什么都往里面装。不少企业的风险管理尚未开展，仅仅是一个概念性的东西，很多高层管理者认为一旦实施企业全面风险管理，所有事务都可以
归集到其中来处理。但企业风险管理其实仅仅只是企业管理活动中的一个方面而已，它不可能也不应该涵盖企业生产经营的全部工作。误区之三：
片面强调某类风险，忽视其他风险因素。企业风险管理应包括战略、财务、市场、运营、法律等诸多方面，并非某一方面风险所能描述的。有些企业
就片面强调某类风险，而忽视对其他方面风险因素的控制。误区之四：舍本逐末，未能抓住风险管理的关键。很多企业都有一整套完备的管理制度
，有些企业认为只要这些制度的顺利贯彻执行，就是内部控制的全部，就可以有效防范企业风险。但实际并非如此，如果企业将主要精力放在微不足
道的控制上，表面上控制得很好，但往往不仅浪费许多管理资源，而且还会忽视重大风险。误区之五：注重风险制度设计，忽视制度执行。企业都
或多或少的存在一定的内部控制制度。很多公司很重视制度的设计，甚至高薪借助“外脑”。但事实是制度的执行比设计更为重要，良好的企业风险
管理制度如果不能得到有效的执行，其效用就无法发挥。九、参考文献1.0方红星.企业风险管理——整合框架1.1也有人将其翻译为“风险偏
好”、“风险需求”、“风险承受能力”等——译者注。1.2也有人将其翻译为“远景”、“远景规划”、“长远构想”等——译者注。本条目相
关文档冶金企业的风险与风险管理?2页（风险管理）企业借贷的风险?8页企业目标丶风险与风险管理?85页（风险管理）企业倒闭风险?31
页（风险管理）企业用工风险备忘录?17页（风险管理）如何应对企业营铺风险?10页（风险管理）小企业的风险及防范对策?13页风险与风
险管理?14页风险和风险管理?485页风险与风险管理?27页企业风险【MBA智库APP】目录1?什么是企业风险[1]2?企业风险的
特点[2]3?企业风险的分类[1]4?企业风险的成因[2]5?企业风险的防范[3]6?企业风险防范案例[3]7?企业风险管理案例分
析[4]8?参考文献一、什么是企业风险[1]企业风险是指企业在其生产经营活动的各个环节可能遭受到的损失威胁。由此可见，企业风险是一
个广义的概念，它涉及的范围相当广泛。不管是在采购、生产、销售等不同的经营过程中，还是在计划、组织、决策等不同职能领域里，企业所遇到
的风险都统称为企业风险。二、企业风险的特点[2]①突发性：企业风险的爆发往往是偶然的，具有较强的随机性。②客观性：因为决定风险的各
种因素是客观存在的，所以风险的存在是不以人们的意志为转移的客观事物。③无形性：风险是看不见、摸不着的一项无形要素。④多变性：风险的
种类、性质、大小等内在要素均会随着企业内、外在条件的变化而呈动态变化的特征。⑤损失与收益的对称性：由于风险可能对事物造成损失，因此
风险常常是和不利相联系；但是和风险相伴随的不仅是潜在的损失，也有获利的可能。一般地，风险越大，可能的回报率越高。三、企业风险的分类
[1]1．自然风险和人为风险。按风险产生的原因分类，企业风险可分为自然风险和人为风险。自然风险是指自然界中客观因素的变化对企业生产
经营活动造成损失的可能性，如雷电、雪崩、风暴、地震和洪水等。人为风险是指由于人们主观行为对企业生产经营活动造成损失的可能性，如盗窃
、抢劫、玩忽职守和故意破坏等。2．静态风险和动态风险。按风险的性质分类，企业风险可分为静态风险和动态风险。静态风险又称纯粹风险，是
指只有损失机会而没有获利可能的纯损失风险，如火灾、地震、汽车碰撞等。动态风险也称为投机风险，是指既有损失机会又有获利可能的风险，如
新项目建设、新产品开发等既可能给企业带来收益，也可能带来损失。3．财产风险、人身风险和责任风险。按风险的对象分类，企业风险可分为财
产风险、人身风险和责任风险。财产风险是指财产所遭受的损毁、灭失和贬值的可能性。人身风险是指由于人员的变动或工作能力的丧失而造成企业
收入损失的可能性。与财产风险相关的损失有两种类型：财产直接损失和间接损失或后果损失。责任风险是指因侵权行为而使侵权人的收入遭受损失
的可能性。4．可接受风险和不可接受风险。按风险承受能力分类，企业风险可分为可接受的风险和不可接受的风险。企业在研究本身承受能力、财
务状况及心理承受能力的基础上，确认能够接受损失的最大限度，低于这一限度的风险称为可接受的风险，高于这一限度的风险称为不可接受的风险
。5．环境风险、过程风险和决策信息风险。按风险产生的企业内外环境分类，企业风险可分为环境风险、过程风险和决策信息风险。环境风险是指
由企业外部环境因素所产生的风险。过程风险是指企业在生产经营过程中，由于各种内部原因而产生的风险。决策信息风险是指企业在决策过程中，
由于信息不完善或决策人的能力有限性而造成的风险。除此之外，企业风险还可以按照业务类型，分为本金风险、通货膨胀风险、存货风险、流动性
风险、利率风险或信用风险、外汇风险和新产品开发风险等。四、企业风险的成因[2]任何一个企业，在从事经营活动时都将涉及三项基本的要素
，即企业所处的外部经营环境、企业自身的内部条件以及企业根据内、外部情况组织配置资源的能力。正是这三项要素所存在的不确定性便直接导致
了企业风险的三大成因。①外部环境。外部坏境是指企业的生存环境。任何企业都存在于一定的经营环境之中。经营环境对企业越有利，提供的机会
越多，企业营运就越顺利，成功的可能性l诱因。尤其是在当今时代，市场需求日趋多样，竞争程度愈加激烈，经营环境呈现出......。②内
部条件。内部条件是指企业从事生产经营活动时所占有的有形及无形资源要素的总和。它是企业经营的物质基础和必要前提，主要包括资金、技术、
人才、设备、原料、信息以及管理策略、企业文化等软件和硬件等必要要素。企业的内部条件决定着企业的规模、实力。企业的内部条件越完善，就
意味着企业自身的优势越大，抵抗风险的能力也越强；反之亦然。随着知识经济的来临，企业间的竞争日益表现为智力的竞争，企业所拥有的技术、
创新能力、信息及传输网络等软件要素日益成为竞争的焦点，因此，软件要素的素质、水平已逐渐成为决定企业竞争状况的关键。③资源配置。资源
配置水平是一个企业整体实力的综合反映，企业的资源配置取决于企业所处的内、外部条件以及资源配置策略。一般地讲，企业所处的经营环境越有
利，机会越多，资源配置就相对越容易；企业内部条件越好，实力越强，则企业进行资源配置时也将更为有利。较强的资源配置能力通常表现为：敏
锐的市场洞察能力和捕捉商机的能力、快速的组织调配资源能力、富有创造性的资源策划能力以及良好。现实生活中，不少企业正是由于具有快速准
备和组织调配资源满足市场需求的能力、掌握了有效的资源配置策略，才得以在千变万化的市场经济环境中立住脚，并取得良好经营业绩的。同时，
高水平的资源配置能力还可能帮助企业弥补自身的一些不利因素，将外部环境中的不利因素转化为有利机会，使企业获得高额报酬。五、企业风险的
防范[3]1．利用信息进行企业风险防范(1)信息在风险决策中的作用。风险是由不确定性引起的，在不确定性情况下，决策主体所做的决策行
为是建立在有限信息基础之上的。如果决策主体能够通过一定的渠道获得更多的信息，那么就可以降低决策行为的风险。事实上，随着信息量的增加
，不确定性也就相应减少，当企业处于充分信息状态下，原来的不确定性决策也就转变为确定性决策了。由于决策行为的结果可以百分之百地得到肯
定，因而此时也就不存在风险。决策者可以根据确定的评判标准选择最佳的决策行为方式。风险决策实质上是一个信息不充分的博弈过程。在知识经
济时代，信息的内涵和外延得到极大的拓展，各种信息元素急剧膨胀，瞬息万变，信息已成为当今社会经济发展的“血液”。面对这种现状，如果哪
个企业能够更快地掌握更多、更准确的竞争信息和决策依据，那么它就能更好地提高决策效果，赢得竞争的胜利。(2)风险信息处理。要有效地防
范风险，重要的前提就是要及时获得并正确处理有关的风险信息，这可从3个方面考察。①信息输入。风险管理的信息资料常常分布在不同的时间和
空间中，必须采取一定的方法搜寻、收集与风险防范相关的信息资料，使其转化为所需要的信息形式。收集信息应掌握及时、完整、准确的原则，以
保证信息数据的有效性。这一步工作没做好，会导致“失之毫厘，谬之千里”的后果。在信息输入阶段应注意数据样本和总体的内在分布规律，在输
入时同时应考虑到处理和输出阶段的关联要求，以保证风险信息资源的共享性。②信息处理。尽管在信息收集过程中带有一定的选择，但最终为企业
所获取的信息仍有可能良莠混杂，有些甚至是无效、错误的信息。因此要对收集到的信息进行加工处理，这就要求在一般的数据收集、统计的基础上
，进一步做好信息的加工、分析，总结出反映企业自身经济活动内在发展趋势的规律。挖掘信息资料的潜力是风险信息处理中的重要内容，从开发信
息资源角度看，这也可以说是一项具有质的飞跃性质的工作，它为风险的防范打下了坚实的基础。③信息输出。信息处理结束后，按照使用要求，常
以一定的形式输出，形成风险决策所需的信息。信息的输出应尽量符合风险管理的使用要求，既要考虑充分发挥风险主体的洞察力，又要注意把握时
机，以利于在判断、分析风险原因的过程中充分发掘信息的最大潜力。2．利用博弈策划进行企业风险防范市场如战场，身处市场经济大潮中的企业
，时刻都面临着竞争风险的威胁。尤其是势单力薄的中小企业，在日益复杂多变的环境形势下，及时调整经营博弈的策略思路，对于提高企业竞争效
果无疑显得极为重要。(1)竞争理念的演变：化干戈为玉帛，变竞争为竞合。竞争一词的传统含义是指两个或两个以上的主体为了各自利益而相互
争斗的现象。竞争所带来的结果往往是一方获胜而另一方失败，其中也不乏两败俱伤的情形。但是，近年来随着企业所处的外部经营环境发生巨大变
化，企业奉行的经营信条正在逐渐发生变化，传统的竞争内涵也日益得到修正。原来那种势不两立、你输我赢的竞争已越来越为优势互补、共同获益
的“双赢”模式所替代。这是因为社会科技的飞速发展以及消费者需求日趋复杂多变，使得企业所面临的竞争压力不断加大，企业单凭自身的资源实
力已很难适应当前风险日益增加的形势要求，不少企业纷纷寻求合作发展策略，即通过与外界力量的联合，优势互补，增强联合体的综合竞争能力，
以达到共同获益、共同提高的目的。通俗地说，就是共同把“蛋糕”做大，使大家都能获得尽可能多的份额。可见，现代企业的竞争理念已从传统的
你死我活的搏斗变为互利互惠的合作。企业从对立走向联合，体现的实质就是在一定资源条件基础上的一种合作博弈行为。假设市场中有两家相互竞
争的企业，可以知道，每个企业的资源相对于外界环境而言都是有限的，如果企业之间进行对抗式的竞争博弈，那么在达到最终的竞争均衡状态时，
每个企业都将为此消耗掉自身大量的资源。然而，如果企业采取合作博弈的方式进行竞争，则情形将大不一样。通过合作，两家企业各自将自身的优
势资源联合在一起，产生“1+1>2”的功效。也就是说，对于同一外部形势而言，两家企业的整体资源实力得到了相对增强，二者参与对外竞争
中所处的地位将更加有利。上述分析说明：合作博弈扩大了资源配置的范围，并通过减少“内耗”而达到增强整体竞争实力的目的。当联合体由于资
源实力的改善而获得更好的竞争结果时，各合作方也就能从中获得比单纯依靠自身力量参与竞争所能取得的更为有利的结果。(2)利用合作博弈的
方法防范企业风险的方式。通过合作博弈实现企业风险防范的方式主要有以下6类。①与下游客户联盟。识别并满足消费者需求是一切经营战略成功
的基础，也是企业竞争的出发点和最终归宿。与消费者实现真正互惠互利的联合，不仅有助于企业及时准确地捕捉市场信息，同时也可维护企业与客
户之间的良好关系，降低市场营销成本。这种前向合作模式，较适合于以零部件生产为主的企业。②与上游供应商联盟。正如前向合作能为企业带来
丰厚的利益一样，与供应商的后向联盟则可以降低供应成本，建立稳定的原材料供应渠道。对于中小企业来说，由于它在生产及营销过程中需要大量
优质的原材料及配件支持，因此，通过与供应商结盟，获得对关键零部件生产的控制，可以更好地使产品具有特色，增加可靠性，而且，也有助于减
轻中小企业自身的资源不足压力。例如，2001年当羽绒服市场开始引进鹅绒服时，连续6年稳居行业老大的江苏康博集团与上游供应商联盟，大
量买进鹅绒，从而利于不败之地。③与竞争对手联盟。如前所述，现代竞争的理念正由对抗转为合作。面对日益严峻的经营形势，不少昔日的竞争对
手现在纷纷摒弃前嫌结为盟友。在日新月异的计算机产业界，这种趋势更为明显，如肿与康柏联合、IBM与微软合作等。与竞争对手合作，关键是
要识别自身与对手之间最主要的差别，合作博弈应以这种差别为基础，审慎地进行战略定位，确定合作的范围和程度，否则企业将丧失自己的竞争优
势。④与配套产品生产联盟。企业与配套产品生产商的关系是相互促进、相互制约的，其中任何一方的产品发生变动，都会相应地影响到另一方。因
此，如果企业能通过合作关系与配套产品生产商形成一种互相促动、相生相长的协调联动机制，则必将使双方具有更加有利的竞争地位。如微软公司
的视窗软件与英特尔公司的芯片所组成的“Wintel”架构就是一个典型的例子，现在，它几乎已成为计算机业界的配置标准，微软和英特尔都
从中获益良多。⑤与科研机构联盟。企业与科研机构合作所产生的利益是显而易见的，科研机构一般具有巨大的人才、技术优势，但由于受到资金及
生产条件的限制，其技术成果往往难以转化为现实生产力。而企业则能较好地弥补这些不足，而且企业需要不断地进行技术创新来维持生存和发展，
这样就在企业和科研机构之间产生了合作地进行动机。⑥与其他机构联盟。一般来说，只要能对企业的博弈提供更加有利的资源条件支持，则都可作
为企业合作的对象。除上述对象以外，其他如政府部门、金融机构、贸易机构均可作为企业的潜在合作伙伴，只要合作方式合理合法，那么，企业就
能得到大量的人、才、物力支援，从而大大缓解风险压力。3．利用风险过滤区理论进行企业风险防范企业风险的产生受到一系列因素的影响，它贯
穿于企业决策行为的全过程。因此，防范企业风险应该运用系统思想的指导，从整体、全程的角度考虑企业决策行为的风险控制。1)建立健全风险
防范管理系统(1)预警系统。它的主要功能是监控可能的风险因素，尤其是重点监测风险值较大的关键要素，及时、敏锐地发现异常征兆，并准确
预报风险。风险预警一般通过模糊控制来实现，即设置模糊临界值区间时，当企业内外条件变化处于临界值区间以内时，说明此时处于安全状态，当
变化超出临界值区间时，则表明状况异常，应发出警报。(2)分析处理系统。它的主要功能是抑制风险的爆发，降低风险发生的机会。其主要作用
方式是：当收到预警系统发出的警报后，详细分析潜在问题的成因，进行创新对策筹划并将创新措施及时付诸实施，以消除风险成因，防止风险发生
。(3)应急系统。这是一旦风险发生后企业便可以启用的应急措施。它的主要功能是：在风险发生后，能有效地处理风险、应付危机，最大程度地
消减风险影响的范围和程度，并以最快速度恢复企业正常运营。应急系统一般采用备选方案的形式预先准备，即根据预测的未来变化状态和企业可能
遇到的风险，事先设计相应的备选方案，当风险发生后，则依据实际状况选择与之对应的应急措施加以实施，以便及时补救，变被动为主动，使风险
损失降为最小。2)严格工作程序企业的风险价值链管理需要理性思考，三思而后行。应建立相应的工作程序，如国际上广泛应用的5个过滤区，如
图：企业风险防范的5个过滤区就是在5个方面对企业风险进行防范和排查。(1)法律政策过滤区，考察企业经营是否在法律政策上存在风险。(
2)技术考核过滤区，企业应知道不是最好的产品才畅销，而是市场最需要的产品才能畅销。(3)成本考核过滤区，主要考核企业产品的寿命周期
成本。(4)规模生产过滤区，主要考核企业产品量本利的分析。企业产品生产规模越大，产品的成本越低，但是当生产超过一定规模后，生产规模
再扩大，产品成本反而开始升高。(5)销售策略过滤区，主要考虑产品策略、价格策略、营销网络和促销手段等方面的风险。六、企业风险防范案
例[3]首钢集团公司(以下简称首钢)是一家具有80年历史的老企业。改革开放20年以来，首钢已发展成为一个以钢铁业为主，兼营矿业、机
械、电子、建筑、海外贸易等多种行业的大型企业集团，被国务院确定为120家试点企业集团和512家重点企业之一。然而，近几年首钢经济效
益出现大幅度下滑，面临困境，首钢开始探索风险价值链管理。首钢进行大量的调查研究工作以识别风险因素。在宏观经济环境方面，我国钢铁工业
产量逐年增加，大部分产品供大于求，出现阶段性和结构性的相对过剩。在市场方面，钢材价格大幅度下滑，利润减少，水电运费及原材料价格上涨
，市场风险和压力越来越大。另外，公司内部潜伏的问题开始暴露出来，如产品品种单一、技术含量和附加值低、盲目上项目、乱铺摊子、资产负债
率高、资金紧张、盲目兼并其他亏损厂家、职工新增8万多人、包袱沉重。面对这些风险，公司及时评估，并推行一系列的防范措施。首先，公司进
行战略性结构调整，从根本上规避市场风险。在限制钢规模扩大、实行总量控制的前提下，走“质量、品种、效益、环境”的发展道路，依靠科技创
新，优化钢铁生产的工艺结构和产品结构；大力发展高新技术产业，重点发展电子信息和光电一体化产业；积极发展第三产业，重点发展房地产业和
服务业。其次，加快体制改革和机制转换，分散和化解市场风险，打破钢铁大锅饭，各单位按照独立核算、自负盈亏的要求，直接面对市场承担压力
和风险。再次，推进技术进步和科技创新，提高企业抗风险能力，树立“大科技”观念，落实“科教兴厂”战略，完善科技管理体制和运行机制，落
实科技工作责任制。最后，开展增收节支活动，实现企业抗风险目标。经过一系列的企业抗风险管理，首钢提高了各级领导和广大职工的风险价值链
管理意识，1998年公司实现年利润9．5亿元左右，负债率从1996年的63．96％下降到了48．61％，资金流动比从43％提高到9
6％，总体经营状况明显好转。其于2000年荣获国家级管理创新成果一等奖。七、企业风险管理案例分析[4]（一）案例回放2003年年底
至2004年年初，中国国内棉花价格不断上涨，这本来应该是所有棉农和棉花企业值得庆贺的日子，作为中国国有最大的棉储企业——中国储备棉
管理总公司(以下简称“中储棉”)却愁眉苦脸。这家成立还不到一年的大型国有企业，由于决策失误导致严重的经营危机，造成了巨额亏损。平衡
市场国赋重任棉花储备一直是我国调节棉花余缺、平衡市场供求、保护棉农利益、保证纺织工业生产和军需民用的重要手段之一。长期以来，国家储
备棉保管业务由棉花企业承担，棉花供大于求时国家收储，棉花供不应求时国家抛售。随着棉花流通体制改革的不断深化，棉花市场化进程加快，过
去的管理体制已不适应形势的要求，急需设立直属的棉花储备库和独立的储备棉管理机构。为此，国务院明确提出，对现行的国家储备棉管理体制进
行改革。2003年3月，中国储备棉管理总公司成立，注册资金10亿元人民币。成立之初，国家就为其定责为独立承担国家储备棉的经营管理和
中央直属棉花储备库建设及管理任务，具体落实国家宏观调控措施。追逐暴利忘乎所以2003年，国内主要产棉区大雨绵绵，造成棉花大面积减产
，当年国内棉纺行业发展迅猛，国内棉花的需求量节节攀升。从8月开始，国内棉花价格迅速飙升，以致在2003年年底到2004年年初，“炒
棉热”在国内棉花市场暗流涌动。大量的市场需求，巨大的利润空间使得中储棉怦然心动，忘记了自己“平抑棉价，调控市场”的职责。同年10月
，中储棉突然决定进口15万吨棉花。随后几个月又“毅然”决定进口了10多万吨。据一些纺织业内人士反映，中储棉在与外商签订进口合约，乃
至棉花陆续进口后，作为业务指导部门的国家发展改革委员会，也曾劝说该公司配合国家宏观调控政策，尽快以合适的价格组织销售。但是，中储棉
并没有听从劝告。大祸酿成孰是孰非2004年3月份开始，“炒棉热”所酝酿的危机终于如火山般爆发了。原来一路飙升的国内棉花价格逐渐走低
，不少参与炒作棉花的贸易企业相继被套牢，而被寄予调控市场厚望的中储棉也不幸陷入其中。事发后，有关业内人士估计，由于此次进口棉花被深
度套牢。10亿元人民币注册资金在不到两年的时间里已至少亏折了一半。知情人士透露，目前中储棉尚有20万吨进口棉花在手里。按照国家有关
部门确定的不高于13100元／吨的价格收储，其亏损在6亿元左右。而根据中国棉花网公布的动态行情，1月11日，国内标准级棉花价格为1
1789元／吨。以这个市场化的价格来计算，中储棉亏损已近10亿元。也就是说，按2005年的市场行情，中储棉10亿元注册资金已亏损得
所剩无几。据有关记者采访了解，财政部有关负责人明确表示，一直反对政策性储备公司从事以营利为目的的经营性活动。对中储棉进口20多万吨
棉花，财政部事先并不知情。国家发改委则表示，中储棉此次经营进口棉花主要是企业经营行为，发放进口配额是给企业进口的机会，在配额量内进
多少、何时进、按什‘么价进，均由企业自行决定，盈亏也由企业自行承担。中储棉负责管理国家的棉花储备。其棉花储备业务由发展改革委员会指
导，其经营性业务则不属于发展改革委员会指导的范围。有关知情人士透露：“进口这批棉花，中储棉内部并没有经过计划、论证等科学决策过程，
而是由主要负责人个人决策的。按当时的行情，进口20多万吨棉花所需资金不少于50亿元，由于是中储棉‘自主经营，自负盈亏’的企业行为，
中国农业发展银行不可能全部供应资金，以致中储棉后来出现资金支付困难，部分棉花在到岸后无法提货，无端地又增加了一笔滞留费用。”由于缺
乏资金无法提货，有些棉花在到岸后被迫在港口滞留长达3个月的时间，滞港费、滞箱费就高得惊人。据了解，在亏损发生后，中储棉曾希望有关部
门按他们的成本价格收储这批棉花，但中储棉的这一“企业亏损、国家埋单”想法终被否决，最后在多方协调下，国家有关部门同意在保证质量的前
提下，按13100元／吨收储这批棉花。亡羊补牢为时未晚“中航油”倒下了，“中储棉”也倒下了……接着呢?在局外人看来，难免会有“倒了
我一个还有后来人”的感觉。事实上，事件背后是无尽的悲哀，是对国有企业监管失控的追问，更是对国企“肇事者”职业良知乃至责任的拷问。亡
羊补牢，为时未晚。有关部门应从顾客利益角度考试，全面落实科学发展观，坦诚失误，采取挽救措施，遏制和避免类似事件再度出现。首先，界定
企业性质。中储棉事件表明，国家有关部门有必要对181家中央企业进行一次甄别，把类似的承担“政策性功能”的“企业”从央企中区别出来。
让事业法人性质“回归”到它们本来的位置，解除它们的竞争性市场主体功能，同时进行专门的分类管理。过去，对于承担“政策性功能”的“企业
”，有关部门往往习惯于“政策扶持”，不仅赋予经营权力，而且多给予行业垄断许可一一中储棉就垄断着棉花进V1权。事实证明，“政策扶持”
不仅不利于这类“企业”做大做强，相反会导致它们功能混乱；市场经济发达国家也有提供“准公共产品”的国有机构，其无不是处于功能单纯状态
。其次，迫切需要对中央企业的出资人归口和监管归口进行新的梳理、划分。中储棉事件暴露出了多个部门负责，多个部门又都控制不力问题。在这
方面，必须打破旧的既得利益格局。所谓既得利益不仅体现在经济利益方面，人事任免权、业务控制权也是既得利益的重要组成部分。最后，加快建
立现代企业制度和完善法人治理结构的步伐。国资管理部门要进一步完善大型国有企业的董事会、监事会等制度，并严格执行。前事不忘，后事之师
。中储棉事件标志着以中央企业为代表的大型国企改革步伐必须加快。（二）案例分析1．政府管理角色和出资人角色混杂，公司很难形成有效的治
理结构中储棉公司政府管理角色和出资人角色混杂，以致责任都无法落实，也没人为此负责。中储棉总经理雷香菊将亏损的主要原因归咎于国家的宏
观调控，雷香菊对此解释称，因为中储棉管理总公司“是政策性公司，主要是调控市场的”，“我们的业务受发展改革委员会指导”，因此“我们每
进一次棉花都要经过发展改革委员会同意”。财政部有关负责人明确表示，一直反对政策性储备公司从事以营利为目的的经营性活动。对中储棉进口
20多万吨棉花，财政部事先并不知情。发改委则表示，中储棉此次经营进口棉花主要是企业经营行为，发放进口配额是给企业进口的机会，在配额
量内进多少、何时进、按什么价进，均由企业自行决定，盈亏也由企业自行承担。中储棉负责管理国家的棉花储备，其棉花储备业务由发展改革委员
会指导，其经营性业务则不属于发展改革委员会指导的范围。依此看来，中储棉公司的角色是双重的，而国家履行完出资人外也置之不理了，这就很
难形成有效的治理结构。2．中储棉炒棉，完全由主要负责人拍脑袋，个人决策，根本无人监督作为国家宏观调控的政策性公司，中储棉公司完全处
于无人监督的境地。据一些纺织业内人士反映，中储棉在与外商签订进口合约，乃至棉花陆续进口后，作为业务指导部门的国家发展改革委员会，也
曾劝说该公司配合国家宏观调控政策，尽快以合适的价格组织销售。然而，如果说国家发展改革委员会对此表示，此次中储棉进口棉花主要是企业经
营行为，中储棉负责管理国家棉花储备，其棉花储备业务由发展改革委员会指导，其经营性业务则不属于发改委指导的范围，那么作为国家宏观调控
的政策性公司，究竟由谁进行监督?中储棉该稳定棉价而不执行时究竟又应该由谁下发指令?由谁进行监督?3．中储棉赌进口商品棉酿成悲剧，经
营者追求利润倾向其实，中储棉酿成的悲剧是经营者追求利润的结果，是忽视道德风险的结果。中储棉的行为一开始就存在道德风险，但不管是公司
内部，还是中储棉的指导部门，都没有对此予以关注。中储棉严重忽视其应该承担的社会责任：2003年度，储存了大量棉花，待价而沽。此外，
又把部分棉花销售给作为中间商的各地省级棉麻公司，帮助它们层层加价。许多业内人士都认为，中储棉的突然大量进口，还在一定程度上推高了国
际棉价，据了解，中储棉通过所谓的“内部奖励机制”动员并鼓励员工高价卖棉，价格越高，奖金就越多。一个本应承担平抑价格，稳定市场，促进
国家宏观调控政策实施的国有企业，在追逐巨额的利润前，已经丧失了最后的理性，甩开膀子为正在兴头上的“炒棉热”推波助澜。4．无法克服的
制度性缺陷，所有权难以人格化，委托代理问题无法解决，难以界定人们如何受益如何受损中储棉事件发生后，新闻媒体纷纷撰文质疑：作为国有企
业，作为国家宏观调控的政策性公司，国家所有权是如何体现的，中储棉向谁负责，责任到底归谁。这些其实就是一个问题，那就是中储棉的制度是
如何设计的。令人难以置信的制度性缺陷、所有权非人格化、委托代理问题无法解决等面临重大道德风险，而高级管理人员的不力也最终将道德风险
引发了道德危机，以至于使国家蒙受重大损失、企业步入濒临破产的境地。（三）几点启示1．全力推进大型国有企业建立现代企业制度、完善法人
治理结构建立现代企业制度、完善法人治理结构是企业发展的必然选择，大型国有企业更应该在“建立现代企业制度、完善法人治理结构”上做出表
率。大型国有企业应建立科学高效的企业决策、管理、运营体制和经营者激励与约束机制，积极培养和聘用专业管理人才，向规范化、现代化的管理
过渡，抵制急功近利、短期行为等不利于企业健康成长的经营思想，使企业发展建立在准确的市场预测、持续的技术创新和科学的经营管理之上。只
有这样，才可以从体制上防范道德风险。2．克服制度性缺陷解读企业信息，就信息价值来说，破产企业信息价值要比一般企业信息价值高，不寻常
的破产企业信息价值要比一般破产企业信息价值高，因为可以解读出不寻常的企业管理缺陷，甚至是制度缺陷。中航油和中储棉两大公司，一瞬间，
使纳税人辛辛苦苦积累起来的巨额资产灰飞烟灭，很不寻常。说它很不寻常，是因为一般企业走向破产，都有一个渐进过程，而它们没有。一般企业
走向破产的渐进过程是：企业出现亏损，董事会问责经理，经理无力改变局面，董事会则撤换经理；局面继续恶化，股东就问责董事会，甚至重组董
事会。如果经理、董事会和股东都无力扭转局面，企业净资产趋近于零的时候，就威胁到债权人利益，此时债权人就走到前台，发挥破产机制作用，
保护债权。这个过程每走一步都有企业管理制度和国家法律依据，保证每走一步都有避免走向破产，扭亏为盈，衰败转向发展的可能，甚至破产程序
的重整。市场上这样的事例要比破产清盘的事例多得多。企业破产，应该说多数是该做到的都做到了，该努力的都努力了，企业有许多不可控因素，
如经济波动、政策变化、价格变动、竞争加剧等。企业走向破产的路上，谁采取行动改变局面?资本所有者。动力来自哪里?保护自有资本。为保护
自有财产，他们竭尽全力，心血费尽，手段用尽，最终回天无力。现在要解读的是，中航油和中储棉为什么没走这个过程。也不是没有机会，中航油
亏损从显现到580万美元、1．32亿美元、1．8亿美元、3．5亿美元，最后上升到5．5亿美元，有近一年时问。说它的资产瞬间灰飞烟灭
，是因问题是瞬间暴露的。也不是没有制度，有消息称，中航油绝对是一个公司治理结构极为完善的公司，还有完善的风险控制结构。症结在于，企
业资产所有者不是真实的、人格化的。经济学讲，花钱办事有四种类型：花自己的钱办自己的事，既讲节约又讲效果；花自己的钱办别人的事，只讲
节约不讲效果；花别人的钱办自己的事，只讲效果不讲节约；花别人的钱办别人的事，既不讲节约又不讲效果(王东京)。一般来讲，企业经理就是
花别人的钱办别人的事(打工替别人赚钱)，兼办自己的事(追求高薪酬展示才干等)。所有者则是花自己的钱办自己的事。所以经理必须接受所有
者控制，或者说所有者必须控制经理。经理在所有者面前，只有服从的份没有对抗的理，可以辞职但不能我行我素。控制即约束是和激励对应的，约
束不足产生权力滥用，激励不足产生懒惰。对经理的激励和约束，都是所有者花自己的钱办自己的事。资本所有者非人格化，“所有者”和经理一样
，不获资本收益不担资本风险，就变为花别人的钱办自己的事。这样，企业就逻辑性的由追求资本收益最大化，转变为追求个人利益最大化，即“内
部人控制”。这样的动力机制很难有较强的风险意识，因为风险收益实现个人利益最大化，风险损失是真正所有者的。而中储棉，资本似无主资本，
不见所有者踪影，这是最危险的。目前一种主流观点认为，“一股独大”是企业低效率高风险的原因。其实国外企业不乏“一股独大”。道理上讲，
若“一股独大”占企业60％股份[如中航油(新加坡)公司]，盈亏也占60％比重，所以它应是最关心、最精心于企业效率和资产安全。股权相
对集中倒是可防止内部人控制，之所以暴露国有股“一股独大”问题，只因此“一股独大”非彼“一股独大”。控制企业风险的还有经理层内部相互
制衡力量。企业风险一定程度上也是经理人员风险。企业破产，经理人员失业。重新谋职，其在经理人市场也会贬值。所以，企业出现风险，经理人
员都会尽力控制和化解风险。总裁(总经理)一意孤行，他们用自己掌管的权力制衡，制衡无效，进而辞职。国有企业经理人员都是国家干部，还有
行政级别，企业破产另有安排，况且应破产也不一定破产，所以缺乏这种制衡力量。国有企业低效率高风险、内部人控制、“一股独大”和透明度低
等问题，一般都归咎于所有者缺位，寄希望于国资委行使所有者权利。但国资委成立后，国有和国有控股企业风险事件不减反增，高管落马消息目不
暇接。“反复出现的问题，就要从规律上找原因，普遍出现的问题，就要从制度上找原因”。国有企业有其固有的、无法克服的制度性缺陷，所有权
难以人格化，委托一代理问题无法解决，难以“界定人们如何受益如何受损”(H·登姆塞茨)。激励和约束动力都来自所有者，这种制度缺陷必然
带来投资和经营低效率高风险。对这种制度缺陷，发达国家经济学家、企业家和政府殚精竭虑欲求突破，几十年也未修成正果，只能证明经济规律不
可违。国有企业亏损补贴财政难以承受的时候，选择了竞争领域国有资产向民营部门转移。我们成立国资委行使国有企业出资人权利，政府是出资人
代表，国资委是代表的代表，国资委派出的董事会成员，又是代表的代表的代表，长长的委托一代理链条上，仍无资本受益和受损者，不能突破国有
企业制度缺陷。企业竞争是所有者强弱和优劣的竞争，没有强难有优，这是国有企业一般没有民营企业效率高的根本原因。所以说，“不能以为出资
人制度找到了国有企业改革的一种完美出路，只能是次优和阶段性制度安排”。3．进一步细化风险监控点，全面落实风险控制措施风险管理是一个
多方面协作的过程，既涉及董事会、监事会、风险管理委员会等内部组织，也涉及国资委、纪检委等外部组织。风险的管理一定要细化，因为某一个
方面的细小风险都可能导致企业重大危机的发生。现代企业应树立全面风险管理理念，进一步细化风险监控点，全面落实风险控制措施，尤其是道德
风险的防范越细化越有成效。4．加强监察稽核力量，不断提高风险管理水平中储棉事件的发生，其高级管理人员有着不可推卸的责任，但国家监察
稽核也存在很大的问题，其风险管理水平有待提高。国家在国有企业的管理上，要履行出资人的责任，要给企业放权的同时加强监察稽核力量。一个
人，让他不负责任，最好的办法是让他负很多责任。企业亦如是。所以，建立让国有企业负责任的制度之一，就是不让企业负两项责任，也不能脚踩
两只船。制度设计上，把公益性和赢利性国有企业分开。设计一个制度的目的，都是为了达到某个价值目标。公益性国有企业制度建立在社会公益基
础上，以公益目标为主监管和考核企业。这类企业微利或不亏即可，利润大幅增长倒是该警惕了，可能损害了公共利益。为实现公益目标引起的效率
损失由财政补贴，因为补贴换取了社会公益，而且这类企业也不多。赢利类国有企业不承担公益责任，社会也不承担其生存责任，自主经营，风险自
担，监管和考核的唯一指标是利润。对国有企业分类，有人提出这样有价值的思路：不管制就竞争，不竞争就管制。国有企业中的垄断行业，要么打
破垄断，放开竞争，在竞争中降低价格，提高质量，社会从竞争中受益；要么管制，包括价格管制，令企业产品平抑市价，社会从管制中受益。两者
必具其一，不能让企业享有行政垄断特权又不承担社会责任。这样的制度设计又提出两个问题：一是如何监管国有企业问题。实践证明，具有不同职
责的国有企业也使监督者处于两难境地，重公益影响利润，重利润影响公益。公益是隐性的且难量化的，利润是显性的且数字化。为了彰显监管绩效
，舍公益追利润，中航油和中储棉冒险投机成功，其利润也当然记入央企总利润之中。中航油赌期权，中储棉赌进口商品棉酿成悲剧，监管者单纯追
求利润倾向不能说不是原因之一。二是给《国有资产法》制定带来难题，两种不同职能的国有资产是无法用一个法律规范的。所有国有企业应当分类
监管。公益企业是政府经济和社会职能的工具，是政府企业，由政府专门机关监管；赢利性国有企业由出资人代表机构监管。《国有资产法》规范公
益类企业国有资产；赢利类国有企业适用于规范民营企业的法律。八、参考文献1.01.1王建民.工商管理培训系列教程管理经济学（第二版）
.北京大学出版社,2004年07月.2.02.1宋剑涛，罗雁冰，何宇.管理经济学.西南财经大学出版社,2010.07.3.03.1
姜保雨，曾玉珍.管理经济学.中国农业大学出版社,2008.8.杜安国主编.扫清风险绊脚石：企业风险管理案例分析.立信会计出版社,2
009.08.本条目相关文档企业的债务风险有哪些_如何有效应对企业的债务风险2页论企业营销风险与风险营销管理2页冶金企业的风险与风
险管理2页企业营运风险或商业风险的评估2页（风险管理）企业借贷的风险8页企业用工风险22页企业内部的风险6页企业风险查勘5页你的企
业有这些用工风险吗3页成也风险败也风险风险企业成与败的实例考察2页企业风险（360百科）企业风险又称经营风险，国资委发布的《中央企
业全面风险管理指引》(以下简称《指引》)对企业风险的定义是:"未来的不确定性对企业实现其经营目标的影响。"企业风险按其内容不同可
分为市场风险、产品风险、经营风险、投资风险、外汇风险、人事风险、体制风险、购并风险、自然灾害风险、公共危机、政策风险、外交风险等。
目录1管理2特点3风险衡量4风险应对5相关书籍一、管理1)经营多样化。是指在国际范围内实现其销售市场、生产基地以及原料来源地的多样
化。2)融资多样化。是指在不同的金融市场上追求多种货币资金的来源和应用，即实现筹资多样化和投资多样化。二、特点因为这种风险不但影响
公司在国内的经济行为与效益，还直接影响公司在海外的经营效益或投资效益。(1)它带有主观意识。因为它取决于在一定时期内公司预测未来现
金流动量的能力，而公司预测这种能力是千差万别的。(2)它不包括预测的汇率变动。因为公司管理当局或广大投资者在评价预期收益或市场价值
时，已把预期汇率变动考虑进去了。(3)其风险影响比交易风险和折算风险大。三、风险衡量企业经营风险的大小常常使用经营杠杆来衡量，经营
杠杆的大小一般用经营杠杆系数表示，它是企业计算利息和所得税之前的盈余变动率与销售额变动率之间的比率。第一，它体现了利润变动和销量变
动之间的变化关系;第二，经营杠杆系数越大，经营杠杆作用和经营风险越大;第三，固定成本不变，销售额越大，经营杠杆系数越小，经营风险越
小，反之，则相反;第四，当销售额达到盈亏临界点时，经营杠杆系数趋近于无穷大。企业一般可通过增加销售额，降低单位变动成本和固定成本等
措施来降低经营杠杆和经营风险。四、风险应对从近期频发的个人信息泄露事件看企业风险和社会责任2012年初的3·15晚会上曝光了罗维邓
白氏非法倒卖个人信息的事件，将个人信息和隐私安全的问题再一次引入为公共关注的焦点。紧随其后不断曝出其他有关新闻，如新生儿信息被数据
维护人员倒卖、某银行违规查询3.2万户客户信用信息遭央行通报批评、某著名搜索引擎违规抓取用户网络交易信息等等。这些事件无一例外地引
起了媒体和公众的广泛重视，相关国家机关也频频表态或者以实际行动表达对个人隐私保护的关注。这些事件提醒了接触和使用大量个人信息的相关
公司和组织，必须要正视个人信息的管理带来的风险，特别是那些对社会经济发展有重要影响的组织和企业，应将个人信息的保护作为一种社会责任
回馈给公众。防范个人信息风险，保护业务持续发展在当前这个信息消费的互联网年代，拥有越多越准确的个人信息，对组织和企业来说就意味着更
加广泛的潜在客户群和精准的营销手段，随之而来的就是大量的利益。但如果由于管理不当导致这些个人信息泄露或滥用，对于组织和企业的影响可
能会很严重，轻则客户流失、民事赔偿，重则可能公司运营停滞甚至触犯刑律。3·15事件中的主角罗维邓白氏公司最后的处理结果即是公司关张
、主要责任人锒铛入狱!纵观全球和中国有关个人信息保护的法律，都在不断健全和完善，需要组织特别的关注和投入。从国际上来看，对个人信息
提供法律保护力度最大的无疑是欧盟国家，欧盟早在1995年就制定了全面而且详尽的《数据保护指令》，对个人信息保护提出了全面的要求，其
中特别要求与欧盟有个人数据业务往来的国家和组织，必须符合此条例，否则不得进入欧盟市场。这一点，对于中国大量从事BPO(业务流程外包
)业务的组织影响很大，因为BPO业务一般都会接触个人信息和数据。效仿欧盟，与中国有大量BPO和ITO(IT外包)业务的日本，也有类
似的法律要求。从国内来看，中央机关和地方政府对个人信息保护日益重视，相关法律陆续出台，包括2009年通过的中华人民共和国刑法修正案
(七)，明确规定了"将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑
或者拘役，并处或者单处罚金"，2010年7月1日起施行《中华人民共和国侵权责任法》也明确将"隐私权"纳入民事权益范围，2008年完
成了《个人信息保护法》的起草工作，已经提交人大审议。个别地方政府甚至出台了细致的个人信息保护地方法规，如《江苏省信息化条例》、《湖
南省信息化条例》都明确规定了个人信息保护的要求和罚则。个人信息保护呼唤社会责任从社会上反映出的个人信息被侵害的事件来看，受害方往往
都不是个体而是一个群体;从事件的内容来看，针对单一的受害个体往往涉及金额较低，从而也就导致了个人维权成本过高;而国家的法律法规制定
终归是个循序渐进的过程，单独依靠法律的约束，始终会有遗漏之处。这就对涉及个人信息保护的组织和企业提出更高的要求，应该从企业社会责任
的道德出发点，为社会的和谐、持续发展贡献自己的力量。个人信息保护涉及到的个人隐私是联合国《世界人权宣言》中明确规定的内容(第12条
)，是人权的基本内容之一。联合国2000年实施的"全球契约"计划，从企业社会责任的出发点，提倡包括人权、劳工、环境和反腐败等4个方
面的十项原则，个人信息的保护就可以参照人权所涉及到的两条原则:1，企业应在其所能影响的范围内支持并尊重对国际社会做出的维护人权的宣
言;2，不袒护侵犯人权的行为。社会责任不仅仅是企业对社会的回馈，企业同样能够提升自己的良好声誉，并且分享社会的持续发展成果。个人信
息保护良好实践针对个人信息保护的法律要求和相关经验，多个国家和组织都有出台相关的实施细则，最全面和细致的，要属英国标准协会(BSI
)根据欧盟《数据保护指令》于2009年6月公告的BS10012:2009，其是针对个人信息保护所提出的"个人信息保护标准"，其中
参考OECD(经济开发合作组织)对于个人隐私权保护的八大原则提出了符合最新发展要求的新八大原则以及相应的良好实践。BS10012
虽然是BSI针对个人信息保护推出的一个标准，但也让更多重视个人隐私的国家，有个人信息保护的框架和更多实践管理上依据PDCA的作法可
供参考。BS10012:2009刚推出时，针对各国使用情况进行了适当修订。在亚洲，韩国将BS10012列为重要信息相关的服务与
需求，日本则因为隐私权标章和PIMS(个人信息保护)规范，对于BS10012的内容与做法，也有深入的探讨。五、相关书籍《金融危机
下企业风险防范与财务管控》当前金融风暴已严重冲击全球资本市场，对中国企业产生了重大的影响。企业资本运营的风险控制体系是否完备、企业
内部控制是否严密、以及企业的财务分析是否完善;这都将对企业能否平稳度过金融风险期有着至关重要的作用!也是企业是否能够快速发展的重要
保障!如何确保企业资本运营的可靠和安全?如何建立有效的企业管控和风险防范体系?如何确保企业经营的效率和效果?如何保证企业资产的安全
?如何建立精确的财务分析制度……企业面临这些实际问题，究竟该怎么办?唯一的办法就是完善企业资本运营风险防范体系、建立有效的内部控
制体系以及精确的财务分析制度。陈乃醒著名经济学家。中国社会科学院工业经济研究所研究员;中国社会科学院中小企业研究中心主任;中国社会
科学院研究生院教授，博士生导师。兼任中国国际经济、科技、法律人才学会副会长，中国物流行业协会副会长兼专家委员会副主席，亚太中小企业
协会首席经济学家，中国科学学与科技政策学会理事，美国普莱斯顿大学兼职教授等。1970年中国民人大学工业经济系本科毕业;1981年中
国社会科学院研究生院工业经济系研究生毕业，获经济学硕士学位。后入中国社会科学院工业经济研究所，从事于工业经济和企业管理研究与教学。
30年来先后参加过工业经济发展战略、工业经济效益、苏南工业化道路、产业政策、城乡工业协调发展、人力资源、乡镇工业、中小企业等方面的
国家和院(所)重点课题研究。提交研究报告和发表论文300余篇;出版专著30余本。经常接受中央各部、委和地方各级政府、高等院校和企事
业单位等邀请，开展课题研究、咨询、作学术报告等。多次接受国外研究机构、大学邀请，参加研讨会、开展讲学等学术交流。多篇论文被译成外文
在国外刊物刊登。研究成果多次获奖。享受国务院特殊津贴。肖旭东10年外企财务(其中:7年IBM工厂财务管理经验)+5年中央企业管理经
历;《财务经理人》网创建者之一;中国《财务技术》研究中心发起者之一;中国人民大学财政金融学院?特聘讲师;清华大学财务总监班特
邀讲师;《首席财务官》杂志专家顾问。肖老师作为中国大陆第一代职业高级财务经理人，经世界顶级跨国企业多年的历练，积累了丰富的企业管
理实践经验，在企业财务战略、财务管理、财务技术方面均有非常深厚的造诣，是一位卓有成就的财务管理专家。他曾经服务过的客户有IBM(中
国)有限公司、NOKIA(中国)有限公司、美的集团、三一重工、中国兵工集团、苏州泰科电子、中信建投、工行、建行、中联重科、长虹佳华
、航星机器、爱立信中国学院、中国移动、山河智能等。企业内部控制与风险管理（Enterpriseinternalcontrol
andriskmanagement）-企业风险控制的一种内部控制与企业风险管理之间的联系是十分紧密的。内部控制的实质是风险控
制，风险管理是内部控制的主要内容，企业风险管理包容内部控制。但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分
离的内在联系。目录1背景分析2问题与误区3管理要点一、背景分析内部控制与风险管理的关系内部控制与企业风险管理之间的联系是十分紧密的
。内部控制的实质是风险控制，风险包含内部风险和外部风险，对内部风险的控制即内部控制，从这一概念来说，风险管理是内部控制的重要内容，
企业风险管理包含内部控制，但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分离的内在联系。主要表现在:1.1组
成部分重合内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。1.2最终目标相
同内部控制与风险管理的目标都包括:经营目标、合规性目标、报告目标。1.3参与主体相同内部控制与风险管理都是全员参与的过程，最终责任
人都是管理者，且两者的实施主体、过程也是一致的。1.4风险防范是内部控制的一个重要目标，有了风险防范的目标，内部控制才显得十分重要
，其也才有发挥作用的广大空间。1.5风险包含内部风险和外部风险，内部风险存在于企业的各个生产经营活动环节;内部控制其实是一种管理规
范，其建立过程控制体系，并描述关键控制点，通过流程的形式直接直观的描述企业生产经营业务过程。内部控制的执行过程正好为风险信息的收集
带来了极大的便利。所以，内部控制是风险管理的重要的手段之一。1.6内部控制的一个基本作用是控制风险;风险管理是指在企业生产经营过程
中，对企业可能面临的风险进行识别、评估和控制，最终目标也是控制风险。总而言之，风险管理是内部控制的发展，风险管理拓展了内部控制内涵
，内部控制发展成了以风险为导向的内部控制。因此，我们将内部控制与风险管理一体化，将他们作为一个整体进行理解与处理。二、问题与误区内
部控制和风险管理建设中的误区或问题我国参照利用美国COSO的内部控制和风险管理框架并结合具体国情，制定了一系列内部控制和风险管
理制度及规范，为企业内部控制和风险管理提供了行动指南，但在理论认识和实际操作中，还有不少问题值得我们思考。2.1把内部控制和风险管
理体系建设简单地理解为立章建制实际上，内部控制和风险管理并不仅仅是一种规章制度，如文件法规、技术规范和应用模型等，也不是额外单独的
控制活动，如信息交流、评审监督和风险评估等，所以不能把内部控制和风险管理看作一种静态的东西，而应把它们内置于企业的日常管理活动之中
，形成一种常规的管理和运行机制。可以说，内部控制和风险管理既是一种制度安排、也是一种管理过程，更是一种自律行为。2.2认为内部控制
和风险管理是相互独立的虽然内部控制和风险管理的内涵有很多重合之处，如要素很多相同、方法很多相似，但内部控制和风险管理的具体运用需要
根据企业自身的特点、发展阶段、行业特性、技术条件、外部环境等要求来执行。比如，某企业生产医疗设备或药品，因为涉及到人的生命健康问题
，而且政府管制非常严格，风险管理的迫切性相对较强，此时企业以风险管理来主导内部控制比较合适;如果某企业是为了使自己的财务报告及信息
披露合法，此时企业当然以内部控制为主导、同时兼顾风险管理更为合理。2.3过分夸大了内部控制和风险管理的作用不管是内部控制还是风险管
理，它们都是企业的管理活动，无论它们的方法多么先进、系统多么完善，都只能为企业向目标迈进提供相对合理而非绝对的保证。尤其当企业的品
性、信仰、能力、责任等出现缺失时，决不能把企业的成功寄望于内部控制和风险管理上。2.4理论与实际脱节风险管理理念是从西方国家引进的
，与我国传统的理论观点和制度建设存在很多差异或差距，使得企业管理人员很难把这些概念和框架融入到日常的管理活动之中，语言和行为之间很
难建立直接的联系，只有理论说教，缺少实际行动。2.5制度执行不力制度的关键在于执行，没有执行或执行力度不够，再先进的制度也不起作用
。影响内部控制和风险管理执行力度的因素很多，其中，企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素;制度
本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是"事"而不是"人"，是一种"非人格"的
控制机制，其控制对象不限于受控方，施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与，这与我国传统的等级制、科
层制是大不相同的。三、管理要点构建风险管理下的内部控制体系的要点3.1营造良好的内部控制环境内部控制环境是内部控制实施的根本环境，
是推动企业发展的动力，也是其他风险管理因素实施的基础，其对企业内部控制的构建与实施具有重大的影响，可以说企业的控制环境直接决定了其
内部控制与风险管理的效率和效果。(1)深化对内部控制的理解，树立风险管理理念。深化对内部控制的理解，首先应突破对传统的内部控制的理
解，应认识内部控制不仅局限于会计层面，内部控制包含更高层次的战略目标，在电力设计企业向多元化经营、总承包和海外项目转型发展的过程中
，就要从战略高度进行风险管理和内部控制。再者，无论是企业的管理层，还是企业的员工都应具有风险管理意识，并把风险管理意识贯穿于企业的
生产经营过程中，包括业务管理、职能管理、质量与安全管理等各方面。风险管理理念的培养可以通过企业领导层的表率作用、相关的培训及相关的
规章制度来实现。(2)建立公司治理结构并充分发挥各机构职责。企业各层级各部门之间应分工明确，并相互监督、相互牵制。公司可以通过公司
章程的规定及完善相关的激励约束机制来保障公司机构职责的实现。非常重要的一点是，电力设计企业的最高管理机构，要对内部控制的建立和实施
负责。企业应下设内控控制与风险管理的建设、监督管理机构，各机构分别负责各方面的工作，并相互监督、相互制约。5.1完善法人治理结构，
为全面风险管理的内控体系建设创造一个良好的内部控制环境。建立一个健全的内部控制体系，实际上就是完善法人治理结构的体现，大多数电力设
计企业设立了内部审计机构，但多数内部审计机构隶属于财务总监或总经理领导，因此将电力设计企业的内部审计机构升级为公司董事会审计委员的
组成部分或工作部门，这样将进一步明确内部审计机构在电力设计企业内部控制方面的主体地位。(3)培养员工的职业道德和胜任能力。企业员工
是企业生产经营活动的执行者，员工良好的职业道德可以保证企业经营活动的顺利进行，可以避免舞弊事件的发生。员工的知识和技能必须与所在岗
位所需能力相匹配，这是经营活动和内部控制活动得以有效运行的基本保障。为此，企业应以诚信等职业道德作为员工的行为准则，建立奖惩机制，
加强员工的再教育，对关键岗位实行定期轮岗制。3.2设定企业战略目标企业应根据企业的使命或愿景来设定企业的战略目标，战略目标是企业的
最高目标，其他目标为战略目标服务。企业根据战略目标再层层分解，并由各部门来落实。战略目标的制定应考虑企业的风险容量，企业实现战略目
标所面临的风险应在企业风险容量之内。3.3完善风险管理体系企业应建立风险导向型内部控制体系，只有把风险管理落实到企业的各个环节，才
能控制风险。完善企业风险管理体系，应关注一下几点:第一，建立风险预警机制。企业应通过目标分析、过程分析等方法来识别影响企业目标实现
的内部及外部的潜在事项，分清潜在事项是机会还是风险，明确风险预警标准。风险预警机制的建立对企业及时抓住发展机会，及时评估、处理风险
具有重大意义。第二，建立风险评估体系。企业应对已识别的风险进行进一步的分析与评估，分析潜在风险是固有风险还是剩余风险，分析风险发生
的可能性及其影响，并关注重大风险。评估现有的内部控制对风险的适用性，是否需要追加程序等。在评估风险时应注意运用风险组合观。第三，建
立风险反应机制。风险应对是控制风险的关键步骤，在风险评估后，企业应针对风险发生的可能性、影响的不同程度，采取不同的应对措施，其中应
特别关注重大风险。风险应对措施包括回避、降低、承担和分担风险。同时，在风险应对中要考虑成本与效率的问题。3.4建立良好的控制活动企
业应建立良好的控制活动以确保管理层应对风险的各种措施得以有效执行，控制活动贯穿于企业各个部门，各个层面及其活动。控制活动应该包括:
对员工绩效的分析与考核，部门的自我复核，对信息处理的控制(包括一般控制和应用控制)，实物资产的控制，责任划分与不相容职位相分离控制
。3.5充分的信息与沟通在经营过程中，企业应建立信息的传递和沟通以确保员工了解内部控制，明确自己的职责。同时通过对外部市场信息、政
策信息、顾客信息、竞争对手信息的了解和掌握，通过与各方的沟通，有利于企业及时处理风险、抓住机会，实现更好的发展。企业可以通过员工手
册及建立信息收集与处理系统来实现。3.6建立内部控制监督与评价机制对内部控制的监督与评价是确保内部控制制度得到有效执行的重要手段，
同时有利于企业管理层及时了解内部控制存在的问题，可以为内部控制的改进提供建议，有利于内部控制体系的不断完善，进而帮助企业控制各种风
险。内部控制监督与评价机制的建立主要包括内部和外部两个方面:第一，企业应建立独立、权威的内部审计机构。内部审计机构的设置应与其他职
能部门分离开来。内部审计机构应具有执行审计决定和审计结论的权利，可以建立具有较强独立性与权威性的董事会领导型或监事会领导型的内部审
计机构。内部审计不应只局限于财务报表审计，应对企业资格内部控制系统进行全面的监督和评价，包括对企业财务信息、经营活动、控制活动进行
审计及评价。同时应提高内部审计人员的职业道德和业务素质，及形成不同职务之间相互检查、监督的机制。第二，提高外部监督与评价。由于内部
审计主要对企业领导负责，所以内部审计具有固有局限性，可能会导致一些控制缺陷在权力干预下被掩盖，不利于企业内部控制的改善。所以通常需
要独立的第三方参与企业的监督与评价，以实现监督的职能。首先，应完善内部控制信息披露制度，使企业接受政府、社会的广泛监督。再者，可以
借助第三方审计力量，最常见的就是定期聘请注册会计师对企业内部控制设计及执行情况进行审计及评价，并出具评审报告。这也有利于监督企业内
部控制的构建与实施，也有利于及时发现企业内部控制中存在的问题。(2)风险评估中石化根据企业的发展目标，由各部门收集全面的信息来确定
企业的风险容量，并根据企业可能面临的内部风险和外部风险建立以内部控制为基础的风险评估和控制体系，对企业目标的实现有重大影响的关键环
节进行全面的风险评估。针对各部门面临的风险和责任制定内部控制流程。中石化根据内部审计结果及在管理过程中发现的问题，不断对《内控手册
》进行修订，各分(子)公司也不断修订实施细则。动态的风险评估与应对为企业实现目标提供保障。(3)控制活动中石化的控制措施有:不相容职务分离控制、授权审批控制(以授权指引为核心)、会计系统控制(建立了统一的财务管理信息系统)、资金支付控制、财产保护控制、信息技术控制(采用先进的ERP管理信息系统控制)、计划控制、预算控制(全面预算控制)、合同管理控制、运营分析控制和科学的绩效考核控制等。并将手工控制与自动控制相结合，将预防性控制与事中发现控制结合，建立了重大风险预警机制和突发事件应急处理机制。通过业务控制矩阵明确每个控制点的业务目标、风险、责任单位、不相容岗位、记录文档等，为内部控制责任的落实提供指导。对风险的描述就体现了全面风险管理的内部控制的要求。中石化的《内控手册》保障了内部控制活动的进行，《内控手册》包含了采购、资产、信息管理、内部审计等18大类，59个业务流程，包含了企业经营管理活动的各个方面。(4)信息与沟通中石化采用先进的ERP管理信息系统，会计核算系统、资金集中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系统，并实行财务信息系统集中管理。该系统让各业务部门人员的业务操作都统一在ERP系统上进行，企业录入业务数据后，生产、销售各环节即按相应的业务流程生成相关信息，并传送到公司总部数据库进行监控和分析。中石化制定了相关的管理办法和业务流程，从一般控制、应用控制等方面对信息系统进行规范和控制。企业不断完善信息搜集机制，完善信息沟通平台，《内控手册》也有相应的规定来保障企业部门之间、部门与各分或子公司之间及管理层与外界之间的沟通顺畅。中石油按照相关法规的规定定期对外披露信息，对外信息披露由董事会和总裁办公室审核。(5)内部监督中石化设立了审计委员会负责对财务报告和内部控制的审查，由审计部定期独立审查分公司和子公司。企业建立了两极内部控制日常监督机制，两极评价指的是总部综合检查和分公司、子公司自查测试。总部综合检查主要是内控领导小组负责的年度综合检查和审计部对不少于25家分(子)公司进行独立检查，及对总部进行检查。分公司、子公司自查测试工作主要是企业通过部门流程测试和有审计参与的综合检查评价进行自查测试，及总部部门自查和抽查评价。除日常监督外，中石化还建立了针对内部控制一些重大方面的监督检查。此外，中石化制定了《中石化监督制度汇编》，完善了企业的反舞弊制度。通过制定内控控制执行情况指标对内部控制进行考核。每年定期对内部控制的设计及执行情况进行评价，出具内部控制自我评价报告，并向外披露，接受外界的广泛监督，并聘请外部注册会计师对财务报告内部控制进行审计。4.4中石化内部控制的评价中石化制定《内控检查评价与考核办法》及指引来指导企业内部控制的评价。并根据《内控手册》，检查内部控制设计是否健全;据《内控手册》所适用的内容及范围，检查内部控制执行的符合性和有效性。中石化主要以内部控制缺陷认定和量化评分的方式对内部控制进行自我评价。从内部控制要素、业务流程综合检查、单位自查情况等方面对内部控制进行评价，并制定了规范的内部控制自我评价流程图来规范评价，保障评价的公正性。4.5中石化内部控制实施以来取得的效果中石化自2005年实施内部控制以来，不仅提高了企业的管理水平，企业的盈利能力也随之增强，具体来说:中石化制度化管理体制不断完善，逐步形成了以内部控制为保障，具有中国石化特色的制度化管理体系。不仅提高了企业的抗风险能力，保障企业目标的实现，也为国内其他企业内部控制的建立树立了榜样。中石化管理水平不断提高。中石油实行统一的物资采购管理，规范企业物资采购，为企业节约了材料成本。建立了产品原料等消耗标准，使企业生产经营管理日益精细化。通过建立IT风险控制系统，使企业风险能力日益增强。内部控制及其审计，提高了审计效率和效果，使企业管理水平不断提高。内部控制的实施加快了企业规章制度的建立，明确了各企业机构、部门及各岗位的职责和权力，对业务操作流程的规范也提高了企业管理效率和管理水平。中石化内部控制的实施满足了外部监管的要求。中石化作为在境内外三地上市的公司，其内部控制的实施与披露满足了各上市地的要求，内部控制自实施以来也得到了不断的完善和改进。内部控制的实施使中石化内部环境不断优化，内部控制的实施保障了公司的体制改革，使公司治理结构不断完善，使企业文化得到了统一和贯彻实施，《员工守则》的制定规范了员工的行为，也使风险管理和诚信经营的理念深入人心。风险管理体系（RiskManagement）风险管理体系(RiskManagementSystem)指的是组织管理体系中与管理风险有关的要素集合。分别包括风险管理策略、组织职能体系、内部控制系统和风险理财措施这四个方面。包括“节约经营成本、降低风险发生率”。目录1定义2风险管理3管理目标4基本程序5风险种类6处理方法7处理过程一、定义良好的风险管理有助于降低决策错误之几率、避免损失之可能、相对提高企业本身之附加价值.那么风险管理体系就是说与市场财务，营销，生产等有关的一切不确定性的因素。二、风险管理柳传志有句话:跳出画中看画。做管理需要经常进行全面的考虑问题，"当局者迷，旁观者清，"很多时候需要企业的管理者做一做旁观者，超越事物本身去看待事物，这样也许就会有新的发现。一项有效的风险管理体系和计划通常包括了风险本身的管理与非风险本身的管理，有时候，非风险本身的管理甚至要重于风险本身的管理。从这个角度来说，管理是艺术。然而很少有企业充分探讨信用风险管理的关键原则，在战略层面没有进行过深入的思考，在策略层面没有积极应对，往往是头痛医头，脚痛医脚，很少系统思考做事情的方式和方法，始终没有形成有效的方法论和管理体系。三、管理目标风险管理目标由两个部分组成:损失发生前的风险管理目标和损失发生后的风险管理目标，包括节约经营成本、降低风险发生率、减少忧虑心理;维持企业继续生存、生产服务持续、稳定收入、生产持续增长、与承担社会责任。四、基本程序风险管理的基本程序包括风险识别、风险估测、风险评价、风险控制和风险管理效果评价等环节。五、风险种类一、市场风险:市价波动对于企业营运或投资可能产生亏损之风险，如利率、汇率、股价等变动对相关部位损益的影响。二、信用风险:交易对手无力偿付货款、或恶意倒闭致求偿无门的风险。三、流动性风险:影响企业资金调度能力之风险，如负债管理、资产变现性、紧急流动应变能力。四、作业风险:作业制度不良与操作疏失对企业造成之风险，如流程设计不良或矛盾、作业执行发生疏漏、内部控制未落实。五、法律风险:契约之完备与有效与否对企业可能产生之风险，如承作业务之适法性、外文契约及外国法令之认知。六、会计风险:会计处理与税务对企业盈亏可能产生之风险，如帐务处理之妥适性、合法性、税务咨询及处理是否完备。七、资讯风险:资讯系统之安控、运作、备援失当导致企业之风险，如系统障碍、当机、资料消灭，安全防护或电脑病毒预防与处理等。八、策略风险:于竞争环境中，企业选择市场利基或核心产品失当的风险。六、处理方法(1)回避风险。(2)预防风险。(3)自留风险。(4)转移风险。七、处理过程（一）风险识别1.内部环境内部环境包含组织的基调，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。2.目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项。确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。3.事项识别必须识别影响主体目标实现的内部和外部事项，区分风险和机会。（二）风险评估1.进行风险评估。在项目的初期，以及主要的转折点或重要的项目变更发生时进行。2.系统地识别风险。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。（三）风险分析1.确定风险的驱动因素。2.分析风险来源。风险来源是引起风险的根本原因。3.预测风险影响。4.对风险按照风险影响进行优先排序，优先级别最高的风险，其风险严重程度等于1，优先级别最低的风险，其风险严重程度等于20。对级别高的风险优先处理。（四）风险计划1.制定风险应对策略。2.制定风险行动步骤。（五）风险控制制订和执行政策与程序以帮助确保风险应对得以有效实施。（六）风险跟踪1.比较阈值和状态。2.对启动风险进行及时通告。3.定期通报风险的情况。（七）风险监控对企业风险管理进行全面监控，·与风险管理体系相关建立的体系合同管理体系和成本管理体系。论文：浅谈企业风险管理及内部控制（作者刘中华）企业全面风险管理与内部控制第1页共64页