1、全面风险管理与内控体系建设公司层面风险评估操作手册目 录一 公司层面风险评估概述31定义32风险评估的类别43公司层面风险评估的目的44公司层面风险评估的原则4二 公司层面风险评估方法51目标设定52初始信息收集63公司层面风险识别84公司层面风险评估15三 公司层面风险管理数据库建立261风险事项列示262发生原因分析263风险类别274造成影响描述275发生可能性评分和影响程度评分276风险等级277风险应对策略278对应业务流程29【示例】某大型施工企业的施工安全与质量风险分析29四 公司层面风险预警机制及专项急预案制定311 公司层面风险预警机制312 专项应急预案制定34五 公司层面2、风险管理缺陷数据库建立361 搜寻风险管理缺陷的方法362 公司层面风险管理缺陷数据库38一 公司层面风险评估概述1定义公司层面风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的各类风险，合理确定风险应对策略的过程。公司层面风险评估是全面风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇，结合企业实际情况科学的分析和承担风险，变革风险管理为风险经营，以实现企业整体价值的提升。这里要注意的是，公司层面风险评估与流程层面风险评估是不同的。流程层面风险评估主要基于流程层面，而公司层面风险评估则主要站在公司整体战略和整体利益3、高度，从公司经营管理层面审视风险。2风险评估的类别企业应针对战略目标、经营目标、报告目标、合规目标及资产安全目标，分别开展战略风险、财务风险、市场风险、运营风险及法律风险评估。3公司层面风险评估的目的公司层面风险评估主要有五个目的：满足监管部门和上级单位报送全面风险管理报告的要求。通过风险辨识分析评估，明确企业当前面临的重大风险。使企业管理层对当前企业面临的重大风险由统一的认识。在体系建设初期，为集团有侧重点的建立全面风险管理与内部控制体系提供帮助。为全面风险管理报告的编制提供依据，同时在后续年度可以帮助持续完善全面风险管理与内部控制体系。4公司层面风险评估的原则公司层面风险评估主要有三大原则4、：（1）体现从实际出发，坚持与理论相结合的原则。内部控制体系的成功实施取决于能否将各种风险控制在与公司总体目标相适应并可承受的范围内，公司需要结合所处行业的特征、公司本身的业务模式和公司发展的具体阶段，识别公司层面及业务管理层面风险，并从实际出发，借助先进的评估方法及模型对风险进行打分评级，建立公司层面风险管理数据。（2）满足提高管理水平与监管要求相结合的原则。公司的价值观、发展战略和管理理念是直接影响全面风险管理与内部控制水平的内部环境要素，国家监管单位的监管要求是影响全面风险管理与内部控制水平的外部环境要素，风险评估是全面风险管理与内部控制的基础，因此公司在风险评估的过程中要结合公司的价值5、观、发展战略和管理理念，同时还要满足相关监管方的要求。（3）考虑实效性、渐进性原则。构建全面风险管理与内部控制体系是复杂的系统工程，需要通盘考虑，统筹规划，重点突出，注重实效，循序渐进。公司应该从战略、环境、组织、流程、资源五个层面系统、客观地进行风险识别和风险评估，并随着公司业务发展和外部环境变化定期、持续进行，例如，公司针对管理及业务拓展过程中出现的新情况，应循序渐进的进行风险识别及风险评估，并根据评估结果适时更新风险管理数据库，为建立切实有效的全面风险管理与内部控制体系打好基础。二 公司层面风险评估方法1目标设定进行公司层面风险评估时，需根据设定的控制目标，全面系统持续地收集相关信息，结6、合实际情况，及时进行风险评估。目标的类型主要为以下五种：战略目标。战略目标是对公司战略经营活动预期取得的主要成果的期望值。战略目标统领经营目标、报告目标、合规目标及资产安全目标。经营目标。公司经营目标是在一定时期公司生产经营活动预期要达到的成果。可以用业绩和利润目标来描述。报告目标。报告目标是向报告使用者提供与公司财务状况、经营成果、现金流量及发展前景等有关的决策信息。报告分为内部报告和外部报告，既有财务信息，又有非财务信息。合规目标。合规目标是指公司主动地遵守公司经营活动相关的法律、监管规定、自律性组织的有关准则，以及公司的行为准则，避免法律制裁、监管处罚、行业处置等重大财务损失、声誉损失，7、保证战略目标的实现。资产安全目标。资产安全目标是为了预防和控制资产管理环节中的风险和损失。保障资产安全目标包括防止公司无效率经营，损失资产；防止员工舞弊、防止公司资产被盗等。2初始信息收集根据设定的控制目标，收集与公司风险和风险管理相关的内、外部初始信息，并对收集的数据和信息进行反复核实、不断验证，以确保信息本身的真实、可靠，通过必要的筛选、提炼、对比、分类和组合对风险进行识别，以便开展风险评估。（1）外部初始信息至少包括：国内外宏观经济政策以及经济运行情况，影响融资、资本支出等。国家安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素，导致对产品或服务需求的变化、新的购买场所和人力资8、源问题。行业状况、国家产业政策因素。能源、原材料、配件等物资供应的充足性、稳定性和价格变化。潜在竞争者、竞争者及其主要产品、替代品情况等竞争因素，影响集团的战略目标。技术进步、工艺改进等科学技术因素，影响研发的性质和时机。不断变化的客户需求和期望， 影响产品的开发和定价。自然灾害、环境状况等自然环境因素，可能导致集团遭受损失。法律法规、监管要求等法律法规和政策因素。如财务部、国税局、北京市地税局、银监局、证监局关于购买固定资产的增值税优惠政策、关于购买节能减排等专用设备的企业所得税优惠政策等。其他有关外部风险因素。（2）内部初始信息至少包括：公司组织机构、管理层职责的变化，包括组织结构的形式，9、各职能部门的划分，以及各职能部门的权责分配情况，上述变化可能影响集团实施控制的方式。公司的发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据等信息。公司的各种业务政策，包括普遍性原则和具体的操作指南，是连接战略与业务流程的链环，可能导致公司战略目标不能得以实现。公司的各种业务流程信息，包括质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。经营方式、资产管理等管理因素，可能产生集团资产的挪用。董事、监事、经理及其他高级管理人员的职业操守、必要的知识、专业技能和经验等人力资源因素，可能为管理层的轻率行为提供机会，致使公司遭受损失或业10、务控制系统失灵。财务状况、经营成果、现金流量等财务因素，影响财务报告信息的真实完整性。信息系统运行中断，影响经营的正常运转。公司签订的重大协议和有关贸易合同，以及发生的重大法律纠纷案件的情况等。可能导致公司的法律风险；其他有关内部风险因素。（3）绘制风险宇宙结合前期收集的初始信息，根据企业实际情况绘制风险宇宙，如下图所示：图1 企业风险宇宙示例3公司层面风险识别公司层面风险识别是基于广泛的内、外部信息收集，通过与公司经营管理层以及各职能部门负责人的访谈所了解的公司基本运营情况，结合经过筛选、提炼、对比、分类、组合的风险管理信息，结合战略、财务、市场、运营、法律五大类风险分类，并在此基础上充分考11、虑国家各部委有关风险评估的相关要求而进行的。对于公司层面核心风险的识别，则应从企业愿景、使命、价值观出发，以战略思考、战略目标制定、战略规划、经营计划、战略实施、战略评估及战略审计为核心思路，从公司及部门层面、流程及个人层面、企业现状技能里层面、风险八要素层面进行综合考量，最终梳理出企业的核心风险，也是领导最为关注的风险。参考如下模型：图2 核心风险识别模型对识别出的风险，按战略风险、财务风险、市场风险、运营风险、法律风险分为五大类，对每个风险辨识出是机会风险或者纯粹风险，并进行风险事项列示，按五大类风险分别编制公司层面风险识别文档，如表3所示。注意：根据经验，对于大型集团公司，战略风险应当梳12、理出20-30种；财务风险应当梳理出20-30种；市场风险应当梳理出5-15种；运营风险应当梳理出30-50种；法律风险应当梳理出15-25种。总体上，公司层面风险应当梳理出100种以上。表3 公司层面风险识别文档（示例）战略风险编号风险类型风险事项列示宏观环境风险CR01机会风险1中国总体政治局势变动带来的不利影响。2宏观经济总体走势带来的不利影响。3宏观调控政策带来的不利影响。4金融市场波动带来的不利影响。5资本市场波动带来的不利影响。技术风险CR02机会风险1行业新技术的出现与应用带来新的竞争。2信息系统不完善造成的效率低下、操作失误、监控滞后带来的不利影响。 3未能根据市场环境变化及时13、应用新科技、新知识或新系统造成的不利影响。母子公司管控风险CR03机会风险1组织功能紊乱，集团的各个组成部分功能定位模糊。2组织架构不规范造成的组织机能失调，机构管理职能弱化。3对分子公司监管的制度不完善，监管流程不严密，对分子企业的管理失控，影响集团整体利益。 4子公司位处不同国家和地区，管理链条长，跨区域跨国经营，管理难度较大。 5对分子企业人事变动、重大事项决策机制不健全，分子公司盈利能力下降，导致集团利益受损。 6对投资项目的处置程序不当，或者处置时机和处置方法选择不当造成集团利益受损。 战略决策风险CR04机会风险1战略目标不明确或不清晰。 2制定的战略与公司所处环境、集团资源状况、14、产业发展趋势不相符而造成战略决策错误。 3由于错误或不准确的信息搜集导致的决策失误。 战略实施风险CR05机会风险1没有进行战略目标分解，没有制定战略实施规划，或没有进行有效的资源配置，导致战略难以实现。 2. 没有根据环境和资源状况变化及时进行战略调整，或者战略随着领导人变更而频繁调整。 3中基层员工对战略意图理解错误或理解偏差造成的战略目标实施效果与原意不相符合。管理层报告风险 CR06机会风险1经营分析不足，外部信息搜集不够或不同部门的分析报告缺乏系统性，衡量指标缺乏明确的标准，导致无效工作以及资源的浪费。2. 分析报告未能及时、准确反应相关管理支持信息，从而影响管理层的决策准确性。 315、部门分析报告不真实、存在瞒报或谎报情况，误导管理层。 组织结构风险CR07机会风险1企业的组织结构不能为业务战略提供支持。2. 内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。 3企业全面风险管理三道防线架构不完善或存在漏洞。政府关系管理风险CR08机会风险1没有有效建立和维护与政府部门的良好关系，导致业务开展受影响。2. 对政府或监管部门的号召或工作要求没有及时响应，导致不能得到政府认可或支持。 3没有与政府或监管部门建立良好的沟通关系，导致对未来政策导向、监管要求变化的预测出现偏差，无法提前防范未来可能出现的风险。品牌风险CR09机会风险1集团16、的品牌价值延伸能力不足带来的潜在资源浪费。2. 品牌危机事件的处理能力低下带来的企业声誉损失。3品牌价值的下降带来整体营销及盈利水平的下降。行业风险CR10机会风险1国资委、证券交易所或银监会等上级监管机构的政策导向和监管要求变化带来的影响。2. 本行业业务开展的许可范围和新进企业的准入门槛及规模要求变化带来的影响投资风险CR11机会风险1投资信息收集不完整，项目前期论证过程的不充分，选取决策指标的不科学，决策过程考虑不够周全，投资分析失误，导致投资失败。2由未能充分考虑投资对象的潜在风险，或从事不擅长领域的投资，造成难以承受的投资损失。3决策效率较低，过程过长，丧失投资的有利时机，导致投资失17、败。4投资退出方案不合理或不完善，导致公司不能及时止损或不能收益最大化。业务合作伙伴风险CR12机会风险1与不具备资质的业务合作伙伴开展业务，导致业务开展受影响。2业务合作伙伴无法履行其义务，或者业务合作伙伴的经营不善，导致低效率或无效的联营、合资，影响企业的竞争力。其他财务风险编号风险类型风险事项列示财务预算风险CR23机会风险1预算制定过程未能充分收集相关信息，或未充分考虑相关部门意见，导致预算的错误制定；2预算执行没有得到有效监控，导致预算可能没有按照要求及时准确地执行；3. 预算考核机制不够健全，或没有得到有效实施，导致预算执行结果不理想。4. 预算覆盖范围不够全面，导致对业务缺乏实际18、的指导意义。5. 预算制定的标准不统一，导致无法对预算执行情况进行评价及考核。流动性风险CR24机会风险1企业对于现金流管理不当，导致无法满足经营中及时付款的需要、投资支出的需要或是及时偿还企业债务，从到导致企业面临经济损失或者信誉损失。2. 公司闲置资金过多，导致资金利润率低。银行债务风险CR25机会风险1不能按期偿还银行负债利息带来的不利影响。2. 资产负债率不合理造成的不利影响。 应收账款风险CR26纯粹风险1未能充分评估客户的信用状况或客户的财务状况恶化、资金不到位，导致应收账款无法收回。2应收账款周转率较低，对企业的现金流造成压力。担保风险CR27机会风险企业为其他企业或者下属企业的19、担保可能导致企业需要承担连带责任，产生损失。资金安全风险 CR28纯粹风险1未经批准公款私存，导致舞弊风险增加。2资金专户没有独立核算，与自有资金混用，导致交易不透明，资金安全存在风险。 财务报告风险CR29纯粹风险1财务报告体系不完整，财务核算标准不统一，导致报告信息不准确，或上报不及时，使财务报告无法及时有效反映业务实际情况，对外披露信息不准确，无法为管理层决策提供合理依据。2财务报告机制不完整，报告信息不准确，或上报不及时，导致财务报告失去指导性意义，未能给予业务以足够的及时反馈信息。固定资产管理风险CR30机会风险1固定资产购置需求不合理，管理方式不科学，固定资产状态未得到及时、准确跟20、踪和更新，管理责任认定不清，造成固定资产闲置或不必要的浪费和损失。2处置固定资产时未经合理审批，造成企业资产的流失。固定资产安全风险CR31纯粹风险1对资产缺乏必要的进出限制，无法保证资产安全。2资产保管方式不严格，不合规，导致资产不必要的损失。税务风险CR32纯粹风险1企业未能及时搜集获取相关的国内外税务信息，可能导致企业税务核算方法及对外发布的数据不符合相关税务条例，使企业承受不利税务后果。2公司对税务政策把握不准确，导致税收筹划方案错误或未能合理避税。3. 公司应纳税额计算错误，导致多缴或少缴，承受不利的后果。外部审计风险CR33机会风险外部审计机构对财务报告准确性、信息披露的要求对公司21、利润、税收等方面造成的影响会计法规变化风险CR34机会风险会计准则的更新给公司会计核算带来的影响其他市场风险编号风险类型风险事项列示价格波动风险CR56机会风险1受国际政治环境、金融经济、期货及供求关系等因素影响，基础资料价格及能源等资源产品价格波动频繁。资源产品价格的上涨会带来运输、原材料等成本的增加，而产品不良竞争或其他因素带来的价格下跌可能造成公司销售利润率的降低，从而导致公司经营利润率的降低，甚至导致企业大面积经营亏损。 2市场价格情况发生变化影响合同的签订和履行。利率风险CR57机会风险由于银行贷款利率上升，导致融资成本增加，或者导致人民币浮动利率贷款的出口项目成本上升，或者导致资本22、市场价格的波动等。市场供求风险CR58机会风险1由于宏观经济政策变化或宏观经济内在的不稳定因素等原因，导致购买力下降，内外部市场需求降低，从而导致产品或服务销售额下降。2某产品所在区域市场已几乎被竞争对手垄断，导致营销成本上升或业务开展困难。汇率风险CR59机会风险1由于人民币对外币的汇率波动，导致以外币记账的境外资产贬值或应收远期外汇出现汇兑损失。2人民币对主要结算外币升值，导致出口产品丧失成本优势。新产品风险CR60机会风险1、新产品是否获得批准并成功入市2、新产品价格不断下降带来的影响 3、新市场开拓不顺利、营销成本过高、不符合当地政府或监管部门要求带来的不利影响其他运营风险编号风险类型23、风险事项列示企业声誉风险CR70机会风险1企业在运营管理过程中的疏忽或不慎，对已建立的企业品牌形象造成冲击。2企业对危机事件的处理不够及时或不够妥当，导致危机事件的负面影响扩大。权责配置风险CR71机会风险1法人治理结构合理性对公司日常运营的不确定性影响。2. 决策机制是否民主、科学合理对公司日常运营的影响。3. 各层面权力配置与职责履行、能力胜任的匹配程度。制度建设与执行风险CR72机会风险1制度建设完备性、适用性对公司运营的影响。2已制订制度的执行有效性对公司运营的影响。员工健康风险CR73纯粹风险公司员工因作业环境、工作地域、工作压力等产生的员工健康方面的不确定因素，给公司实现经营目标带24、来的影响。操作风险CR74机会风险1、办理业务和经营管理中的人为操作失误造成的损失。 2、由于人为不合规操作带来的上级监管部门的处罚。 3、由于过于集中的工作量带来的操作失误。 生产能力风险CR75机会风险现有生产能力无法适应市场需求，导致无法及时生产出足够的产品导致企业无法获得更多收入或提高市场占有率。安全生产风险CR76纯粹风险1企业在安全管理制度建设与完善、措施落实与检查、事故处理等方面缺乏有效管理而导致的企业发生重大安全生产事故，存在安全隐患的风险。2施工人员违规违章操作/忽视劳动保护要求，导致发生安全或质量事故的风险。员工能力胜任风险CR77机会风险1员工的专业化水平对公司日常运营的25、影响。2员工的经验水平对工作质量、工作效率及公司日常运营的影响。关键人才短缺及人才流失风险CR78纯粹风险 1、关键岗位员工数量不足或能力不足以胜任的影响 2、关键岗位员工的流失对日常运营的影响 3、是否针对关键员工/高层次专业人才制订了相应的人力资源政策。培训风险CR79机会风险1未建立人才培训机制带来的不利影响。2新员工培训不足，不能快速适应岗位而产生的效率低下操作失误。3. 没有对老员工进行持续培训而产生的无法适应新业务的发展员工稳定性风险CR80机会风险1员工队伍流动的频繁程度对日常运营的影响。2. 岗位任职者变动的频繁程度对日常运营的影响。考核奖励风险CR81机会风险业绩考核标准和奖26、惩措施不能反应企业战略目的或不能清晰反应，导致考核奖励的战略导向作用不能实现，不能激励企业管理层和员工为了实现企业战略开展相关工作。风险管理缺失风险CR82纯粹风险1风险管理缺失或很少关注风险管理对公司运营带来的影响。2. 风险管理缺失对突发事件或意外事件的应对能力的影响。3风险管理缺失对公司可能造成的法律后果或经济损失。内部控制失效风险CR83纯粹风险1内部控制机制不完善或不合理对公司运营带来的影响 2内部控制失效或控制不力带来的法律后果或经济损失。 信息系统安全风险CR84机会风险1由于未建立信息系统安全保护措施（如防雷、避震、资料备份、安全密码等）而产生的数据丢失或重大信息泄密。2信息系27、统出现故障或错误对公司日常运营带来的影响。3计算机感染病毒对公司日常运营带来的影响执行不力风险CR85机会风险1企业内部生产经营过程中未能符合已有的政策、程序，导致质量下降、成本上升、盈利降低甚至是违规、舞弊事件的发生。2未能符合客户要求或合同规定，导致不必要的产品质量问题或生产延误等。3违背法律条例、监管制度或行业规定要求等，导致罚款等经济损失、企业声誉损失等。自然灾害风险CR86纯粹风险自然灾害给公司运营带来的影响，如地震、海啸、台风、洪水等突发性灾害沟通风险CR87机会风险1、缺乏有效的内部或外部（媒体、业务伙伴、客户、中介机构等外部人员/组织）沟通渠道，以致所传达的讯息不及时、不准确、28、不完整，给公司实现经营目标带来影响。 2忽视沟通技巧的培训和提高，员工沟通能力不足造成的沟通不畅或内部矛盾。 内部审计风险CR88机会风险1内部审计项目过程可能无法发现所有的违规事项，未能充分发挥内部审计的功能与效用。2对内部审计方向的判断和估计不够准确，导致审计效率和效果不佳。舞弊风险CR89纯粹风险1管理层故意虚报财务报表、业务及财务能力或意图，以对外界的投资者或其他利益相关人在决策上造成影响。2企业的雇员（或其他人员）利用企业的实物或财务资产从事未经授权的或不道德的行为。3雇员、客户、供货商、代理商、经纪人或第三方管理人故意策划、执行针对企业的欺诈活动来为其带来个人的利益 ( 滥用企业的29、实物、财务或信息资产) ，以致企业蒙受财务与名誉上的损失。4未建立有效的舞弊举报机制，使公司发现和处理舞弊事件的机制存在不足。中介机构选择风险CR90机会风险1没有建立中介机构信息库或选择名单。2没有对信息库或选择名单进行定期维护，在选择中介机构之前没有对其资质、能力、信誉、价格、服务内容和范围进行调查评审。3中介机构提供的服务不符合要求，导致企业未能获取有用信息，做出正确有效的经营管理决策。其他法律风险编号风险类型风险事项列示法律环境风险CR102机会风险由于法律环境变化导致公司法律责任变化：1劳动合同法修订导致公司的法律责任变化。2税收法律法规修订导致公司的法律责任变化。3上级监管机构合规30、性相关法律法规修订。4. 其他相关法律法规修订。国内外政治法律变化风险CR103机会风险海外业务可能受到当地社会、政治、经济、人文等环境的制约。同时，还可能受到当地政府的政策、国内配套政策的影响，导致业务无法开展或产生法律纠纷等，从而导致企业经济或者声誉遭到损失。人事管理法律风险CR104纯粹风险1由于公司人事管理过程不合规或不合法的行为可能导致的劳动法律纠纷。2由于员工劳动合同、员工基本福利等不符合法律规定而产生的社会责任审计风险。 员工道德法律风险CR105纯粹风险1由于员工严重失职或玩忽职守导致公司承担法律责任。2员工舞弊和合谋行为给公司带来的法律连带责任。监管报告风险CR106纯粹风险31、由于应监管机构要求提交的有关运营、财务、风险管理及内部控制的报告不完整、不准确或不及时，而导致企业被罚款、处罚和制裁的风险。采购法律风险CR107机会风险1供应商违约行为带来的法律纠纷。2. 材料供应合同未能履约带来的法律纠纷。外包法律风险CR108纯粹风险1公司服务外包导致客户信息与机密信息泄露导致公司的连带法律责任。2缺乏必要的招标管理制度或未进行招标导致的外包商选择不合法或不合规行为。国有资产流失法律风险CR109纯粹风险1员工不法行为导致国有资产流失，给公司带来的连带法律责任2. 公司固定资产或资金的重大损失带来的国有资产流失责任追究。授权管理的法律风险CR110机会风险1部门或个人未32、经授权对外开展经营行为，导致集企业承担法律后果。2授权事项不明，引起行为失控。3. 授权事项不合法，造成行为无效。重大决策的法律风险CR111机会风险1经营决策违反法定程序，造成无法律效力。2决策事项违反法律规定，承担法律责任。3法律救济手段不及时，引起损失扩大。规章制度法律风险CR112机会风险1规章制度内容违反法律规定，造成依照制度实施的行为违法。2. 规章制度制定程序违法，造成制度无效。3. 规章制度之间矛盾，引起管理风险。知识产权风险CR113机会风险指企业在知识产权获取、使用、保护等过程中的不确定因素，给企业实现经营目标带来的影响。信息披露风险CR114机会风险1由于信息传递和披露机33、制不健全，导致企业未能应监管机构要求及时披露相关信息，或披露的信息缺失、错误，从而导致企业被罚款、处罚和制裁的风险。2经营管理层瞒报、谎报经营信息的行为。其他4公司层面风险评估公司层面风险评估是指公司采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度，对识别的风险进行分析和排序，确定关注重点和优先控制的风险的过程。公司层面风险评估是以公司层面风险识别为基础，通过调查问卷的形式而开展的。问卷调查应经过两轮多次的循环验证，（两次问卷调查应间隔2周以上）使公司中高层最终对风险的理解和认识趋于一致。（1）公司层面风险评估的评分标准风险问卷调查对风险发生可能性和风险影响重大性评分分为5个级别。34、具体指标应结合企业实际情况来设定。参考下表：表4 风险发生可能性评分标准（示例）评分12345标准极低低中等高极高定性标准一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生经常发生定量标准 （举例）今后10年内发生的可能性少于1次今后5-10年可能发生1次今后2-5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次表5 风险影响程度评分标准（示例）评分12345标准极轻微的轻微的中等的重大的灾难性的举例财务损失轻微较低中等重大极大企业日常运行影响不受影响轻度影响（造成轻微人身伤害情况立刻收到控制）中度影响（造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制）严重35、影响（企业失去一些业务能力，造成严重人身伤害，情况失控但无致命影响）重大影响（重大业务失误，造成重大人身伤亡，情况失控，给企业造成致命影响）（2）公司层面风险评估的范围依据全面风险管理的要求，评估范围包括集团及子公司所有职能部门，涵盖各项重要经营活动及其重要业务流程。通过对公司层面风险发生的可能性及风险发生后对公司的影响程度进行分析和评价，并在此基础上进行调查问卷的评分工作。（3）公司层面风险评估的参与人员参与问卷调查的被调查人员包括集团及子公司领导、各职能部门负责人和骨干人员。评估问卷的设计参见表6所示。表6 风险评估问卷（示例）（4）数据统计原则上应先进行两次问卷调查，参与人员不变，两次间36、隔至少2周，然后根据两次的统计结果测算离散度。若离散度较高则应开会讨论后再做一次问卷调查，将这次问卷调查结果作为最终问卷调查结果；若离散度较低，取平均值作为最终问卷调查结果。（5）绘制风险坐标地图在统计问卷时，要分成三组数据：分别对高层领导、中层干部和基层骨干进行统计取平均值，然后分别根据两次的统计结果测算离散度。若离散度较高则应开会讨论后再做一次问卷调查，将这第三次问卷调查得出的三组数据作为基础数据；若离散度较低，将前两次问卷调查的三组平均值作为基础数据。数据修正与微调：对于战略层面、较为宏观的风险或领导特别关注的核心风险，在三组数据中取平均值并向高层领导的数据微调；对于管理职能类、重要业务37、类风险，在三组数据中取平均值并向中层干部的数据微调；对于具体业务类、操作类风险，在三组数据中取平均值并向基层骨干的数据微调。微调的幅度一定要通过会议讨论，由集体共同决定。根据数据统计结果，从风险发生可能性及造成影响两个维度绘制风险坐标地图，参见图7所示。图7 五大风险坐标地图（示例）三 公司层面风险管理数据库建立公司层面风险管理数据库是全面风险管理信息系统的重要数据库之一，它与流程层面风险数据库共同构成了公司全面风险数据库。其中，CR是“Company Risk”的简写，表示公司层面的风险。公司层面风险管理数据库模板如表8所示。表8 公司层面风险管理数据库模板风险编号风险名称风险事项列示发生原38、因分析风险类别（机会风险/纯粹风险）造成影响描述风险类别发生可能性评分（1-5）影响程度评分（1-5）风险等级（重大/中等/安全）风险应对策略对应业务流程战略风险财务风险市场风险运营风险法律风险CR01CR02CR031风险事项列示根据前期完成的风险识别文档，将风险识别文档中的风险事项列示填入本数据库中。2发生原因分析对于风险发生原因的分析，应从三个层次进行：第一层，对风险的八要素进行初步划分。八要素分别是经济因素、自然因素、政治因素、社会因素、技术因素、基础架构因素、人员因素和流程因素。第二层，从管理界面分析。应结合企业实际情况个性化的设计分析维度，可参考图9中的7个维度。第三层，从部门及个39、人原因分析。结合部门及风险对应主要责任人的实际情况出发，个性化的设计分析维度，可参考图9中的6个维度。图9 风险三层级分析模型3风险类别风险按照以能否为企业带来盈利等机会为标志，可以将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）；同时，风险又可分为战略风险、财务风险、市场风险、运营风险和法律风险。这里对该风险进行定性判断，填入本数据库中。4造成影响描述对该风险事项发生后可能对集团造成的影响进行描述。若该风险为机会风险，则应同时描述该风险可能对集团带来的损失和获利，并比较损失和获利的大小，为风险管理策略的制定做铺垫；若该风险为纯粹风险，则应描述该风险可能对集40、团带来的损失。5发生可能性评分和影响程度评分根据问卷调查的统计结果，将通过风险评估问卷对该风险的发生可能性和影响程度的最终评分结果分别填入数据库。6风险等级根据绘制的风险坐标地图，划分出该风险是重大风险、中等风险或安全风险，填入数据库。7风险应对策略风险应对策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险规避、风险降低、风险分担、风险承受等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。风险应对的主要目的是将剩余风险控制在风险承受度以内。全面风险管理的最终目的是利用集团和子公司现有的资源对集团及子公司所面临的41、风险，分不同情况采取措施进行应对。（1）风险规避。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。采用风险规避的目的是，预期出现不利后果时，一并化解风险。 比如集团（或子公司）可以认为某个投资项目的风险发生的可能性很大而又不能承受也不能采取措施降低，集团（或子公司）则可以选择退出投资项目，从而规避除风险。（2）风险降低。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险降低具体包括风险对冲，风险控制，风险分散等方法，不同的实际情况适用不同的风险降低方法。常用的一种形式是风险分散42、，即通过分散的形式来降低风险，比如在多种股票而非单一股票上投资。降低风险可以采取多种形式，包括采用套期。套期是交易商建立证券、商品或货币对冲持仓，从而抵消所面临的风险。集团还可以采用其他许多方法降低风险敞口，包括市场研究、地区及产品线的多样化、筛选和监控客户、外包等，将经营风险降至最低。（3）风险分担。风险分担是企业准备借助外界力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。采用风险分担的目的是，将风险分担给另一家公司或机构。合同及财务协议是分担风险的主要方式。分担风险并不会降低其可能的严重程度，只是从一方移除后分担给另外一方。分担风险时，管理层应考虑各方43、的目标、转移的能力、存在风险的情景以及成本效益。（4）风险承受。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。集团采取风险承受的策略，或者是因为这是比较经济的策略，或者是因为没有其他备选方法(比如降低、规避或分担)。采用风险承受时，管理层需考虑所有的方案，即如果没有其他备选方案，管理层需确定已对所有可能的规避、降低或分担方法进行分析来决定承受风险。在考虑做出风险应对的过程中，管理层需要评估各种风险控制措施的成本，及风险发生可能性和影响程度降低所带来的收益，选择一种风险应对策略。集团制定某风险的专项应对策略，首先应基于集团战略，充分考虑集44、团的风险偏好度与风险承受度，结合实际情况制定风险应对策略。同时应重点注意，对单个风险，也许该风险在子公司风险承受度之内，但将风险集中起来，可能产生风险连锁效应，导致风险放大，从而超过了集团整体风险成熟度。对于中等风险和重大风险应对策略的制定，集团应通过会议讨论的方式进行，充分考虑各种因素，采取最适合集团现状的应对策略。此外要特别注意的是，对于机会风险，应充分分析其可能带来的价值创造的机会，若该风险在集团风险承受度之内，可以考虑积极承受风险以获取集团整体利益的增长。8对应业务流程将与该风险相关的业务流程编号提取出来填入本数据库，同时，应加强这些业务流程的流程风险控制，以达到对公司层面风险进行分解45、，从流程层面控制和管理公司层面风险的目的。要注意的是，一个风险可能对应对多个业务流程；同时，有的公司层面风险可能没有与之相对应的相关业务流程，这就需要通过专项风险管理策略对其进行管理。【示例】某大型施工企业的施工安全与质量风险分析1 定义施工安全与质量风险是指公司制度建设与完善、措施落实与检查、事故处理等方面缺乏有效管理而导致的企业存在安全质量隐患和施工人员违规违章操作或忽视劳动保护要求，导致重大安全、质量事故发生或质量不符合要求，造成人员伤亡、企业财务损失，影响企业声誉的风险。2 可能造成的损失或影响公司未制定施工安全与质量管理的相关政策和程序，或政策与程序不符合实际，未得到有效执行，可能导46、致重大安全、质量事故发生或质量不符合要求，造成人员伤亡、企业财务损失，影响企业声誉。施工安全与质量事故调查处理过程中未对重大生产安全事故上报进行有效管控及调查处理、防范和整改的风险，可能违反公司规章制度和国家法律法规，导致被有关部门处罚。3 产生的原因由于未制定施工安全与质量管理的相关政策和程序，或政策与程序不符合实际，不能确保施工安全与质量管理工作的规范和合理，造成施工安全与质量管理制度的风险。由于危险源识别不细致、不全面，存有遗漏；危险源评价方式不正确；当外界条件发生变化时，未及时对危险源重新补充识别和评价；未针对重大危险源制定有效控制措施或控制措施未得到有效执行，造成重大危险源管控风险。47、 由于未制定合理的监督检查计划或未按检查计划实施，流于形式，不能发现问题提出整改要求；对不符合事项未及时进行整改，而造成施工安全与质量监督检查的风险。 由于未对重大生产安全事故上报的及时性和准确性予以规定，事故调查未做到客观、公正、高效，事故责任追究以及防范和整改措施的落实不到位，造成施工安全与质量事故、事件调查处理的风险。4 管理策略重视安全生产投入，在人力、物力、资金、技术等方面提供必要的保障，健全检查监督机制，确保各项安全措施落实到位，不得随意降低保障标准和要求。加强职业健康安全和质量管理体系的建设和维护，完善施工安全与质量管理的相关政策和程序，为施工安全与质量管理提供合理有效的体系保障48、；加强集团公司安全质量三级管控职责的落实和监督，在施工过程中加大对项目的监控力度，及时发现并解决问题。贯彻预防为主的原则，采用各种形式增强员工安全意识，重视岗位培训，对于特殊岗位实行资格认证制度。5 对应的业务流程环境因素和危险源识别、评价流程、QC小组管理流程、安全标准工地评选流程、优质工程评选与申报流程、质量、安全监督检查管理流程、安全、质量、环保事故、事件调查处理流程、管理体系内部审核流程。四 公司层面风险预警机制及专项急预案制定1 公司层面风险预警机制根据以上工作成果，对于部分公司层面风险，已经细分到各个相关业务流程，对于没有相关业务流程对以的公司层面风险，则制定专项风险管理策略。除此49、之外，集团（或子公司）应结合其实际情况在业务流程的控制点设置相应预警指标。一般情况下可以量化设定三级预警指标，包括黄色警报、橙色警报和红色警报。黄色警报：通过全面风险管理信息系统，在流程中的关键控制点设置流程关卡，对应设置黄色预警指标（黄色预警指标应根据公司实际情况和流程实际情况进行不同的设置），一旦出现达到黄色警报的行为或事件（例如违规操作，违反标准流程步骤等），系统自动上报到风险管理主责部门。橙色警报：通过全面风险管理信息系统，在公司层面风险管理数据库中对重大风险设置橙色预警指标（橙色预警指标应根据公司实际情况对不同的风险进行不同的设置），一旦出现达到橙色警报的内部或外部行为或事件（例如原50、材料突然涨价、某客户应收账款超限或超期等），系统自动上报到风险管理主责部门及高层管理者。红色警报：通过全面风险管理信息系统，在公司层面风险管理数据库中对重大风险和灾难性风险设置红色预警指标（红色预警指标应根据公司实际情况对不同的重大风险进行不同的设置），一旦出现达到红色警报的内部或外部行为或事件（例如子公司发生火灾、公司突然出现巨额资金流动、同行某集团声称要收购本公司等），系统自动上报到风险管理主责部门及高层管理者。在此要特别注意的是，黄色警报、橙色警报和红色警报是可以互相升级及降级的，即使是流程层面风险，在超过黄色警报线后若依旧不采取控制措施，可能会继续放大并达到橙色警报，橙色警报亦如此；红51、色警报在得到有效控制后，也可能会降级到橙色警报线，橙色警报亦如此。目前中国应用最广泛的是财务风险预警机制。企业财务风险预警机制（the Enterprise Financial Early waming lnstitution），是指企业在财务风险管理中所形成的各种相互依赖，相互制约的预警职能体系，是降低财务风险的关键所在，也是盘活企业财务的一个重要组成部分。建立健全企业财务风险预警机制，就是把风险预警机制引入企业内部，让企业、管理者、员工共同承担风险责任，使责、权、利三者真正成为一个有机整体。一般地，中国企业财务风险预警机制可由以下四个部分构成：1）预警分析的组织机制为使预警分析的功能得到正52、常、充分的发挥，企业应建立健全预警的组织机构。预警组织机构相对独立于企业组织的整体控制。预警组织机构的成员是兼职的，由企业经营者，企业内部熟悉管理业务、具有现代经营管理知识和技术的管理人员组成，同时要聘请一定数量的企业外部管理咨询专家。预警机构独立开展工作，但不直接干涉企业的经营过程，它只对企业最高管理者（管理层）负责。预警组织机构的日常工作可由现有的某些职能部门（如财务部、企管办、企划部）来承担。预警组织制度的实施使预警分析工作经常化、持续化，只有这样才能产生预期的效果。2）财务信息收集、传递机制良好的财务风险预警分析系统，要能够有效预知企业可能发生的财务危机，预先防范财务风险的发生，还必须53、建立在对大量资料系统分析的基础上，抓住每一个相关的财务风险征兆。主要资料包括内部数据和相关外部市场，行业等数据。这个系统应是开放性的，不仅有财会人员提供的财会信息，更有其他渠道的信息。这里的会计信息系统不仅是指一般意义上的企业会计核算报告系统，还包括对会计资料的认真阅读、分析和评价，以及寻找企业潜在的财务风险并及时消除财务风险的工作。财务信息收集、传递机制是财务风险预警系统分析良性循环的基础。3）财务风险分析机制高效的风险分析机制是关键，通过分析可以迅速排除对财务影响小的风险，从而将主要精力放在有可能造成重大影响的风险上。经重点研究，分析出风险的原因，评估其可能造成的损失。当风险的成因分析清楚54、后，也就不难制定相应的措施了。为了保证分析结果的真实性，并不带任何偏见，从事该项工作的部门或个人应保持高度的独立性。预警分析系统一般有两个要素：即先行指标和扳机点。先行指标是用于早期评测运营不佳状况的变动指标，扳机点是指控制先行指标的临界点，也就是预先所准备的因应计划必须开始起动之点，一旦评测指标超过预定的界限点，则因应计划随之而动。4）财务风险处理机制在财务风险分析清楚后，就应立即制定相应的预防、转化措施，尽可能减少风险带来的损失。企业财务风险预警制度若要能够有效运作，就必须要有正确、及时且合乎企业所需要的各种管理信息系统，提供及时而完整的经营结果数据，供经营者及各部门负责人以实际经营状况数55、据体系，来与财务指标数据相比较。当有超出或低于指标数据的情形发生时，就表示企业财务状况将有不健全的症状产生，经营者应及早依数据所代表的经营内涵做进一步深入研判，找出蛛丝马迹，对症下药，以防财务恶化。例如，应收账款周转率过于缓慢，表示企业营销部门可能不尽心收取顾客账款。如此，一来资金运转将吃紧，二来企业将承受更多的交易风险。此时，营销部门主管应深入探究缘由，并提出对策。图10 企业财务风险预警机制示意图企业在实际操作过程中，应结合自身业务情况及实际经营情况，对企业面临的重大风险制定专项风险预警机制。2 专项应急预案制定应急预案是针对具体设备、设施、场所和环境，在安全评价的基础上，为降低事故造成的56、人身、财产与环境损失，就事故发生后的应急救援机构和人员，应急救援的设备、设施、条件和环境，行动的步骤和纲领，控制事故发展的方法和程序等，预先做出的科学而有效的计划和安排。对于发生可能性极小但影响程度极大的公司层面重大风险和灾难性风险，例如现金流枯竭、股价大跌、地震、火灾、人员伤亡、安全事故等等，集团及子公司应有针对性的制定专项应急预案，当这类风险事件一旦发生，或者全面风险管理信息系统发出红色警报，应立即启动相应的专项应急预案，尽量将影响程度降至最低。同时，集团每年应至少进行一次此类应急预案的实战演习。1应急预案的基本类型应急预案一般包括以下四种类型：（1）应急行动指南或检查表针对已辨识的危险制57、定应采取的特定的应急行动。指南简要描述应急行动必须遵从的基本程序，如发生情况向谁报告，报告什么信息，采取哪些应急措施。这种应急预案主要起提示作用，对相关人员要进行培训，有时将这种预案作为其他类型应急预案的补充。 （2）应急响应预案针对现场每项设施和场所可能发生的事故情况，编制的应急响应预案。应急响应预案要包括所有可能的危险状况，明确有关人员在紧急状况下的职责。这类预案仅说明处理紧急事务的必需的行动，不包括事前要求(如培训、演练等)和事后措施。 （3）互助应急预案相邻企业为在事故应急处理中共享资源，相互帮助制定的应急预案。这类预案适合于资源有限的中、小企业以及高风险的大企业，需要高效的协调管理。58、 （4）应急管理预案应急管理预案是综合性的事故应急预案，这类预案详细描述事故前、事故过程中和事故后何人做何事、什么时候做，如何做。这类预案要明确制定每一项职责的具体实施程序。应急管理预案包括事故应急的4个逻辑步骤:预防、预备、响应、恢复。2应急预案的主要内容应急预案主要内容应包括: （1）总则：说明编制预案的目的、工作原则、编制依据、适用范围等。 （2）组织指挥体系及职责：明确各组织机构的职责、权利和义务，以突发事故应急响应全过程为主线，明确事故发生、报警、响应、结束、善后处理处置等环节的主管部门与协作部门；以应急准备及保障机构为支线，明确各参与部门的职责。 （3）预警和预防机制：包括信息监测59、与报告，预警预防行动，预警支持系统，预警级别及发布(建议分为四级预警)。 （4）应急响应：包括分级响应程序(原则上按一般、较大、重大、特别重大四级启动相应预案)，信息共享和处理，通讯，指挥和协调，紧急处置，应急人员的安全防护，群众的安全防护，社会力量动员与参与，事故调查分析、检测与后果评估，新闻报道，应急结束等11个要素。 （5）后期处置：包括善后处置、社会救助、保险、事故调查报告和经验教训总结及改进建议。 （6）保障措施：包括通信与信息保障，应急支援与装备保障，技术储备与保障，宣传、培训和演习，监督检查等。 （7）附则：包括有关术语、定义，预案管理与更新，国际沟通与协作，奖励与责任，制定与解60、释部门，预案实施或生效时间等。 （8）附录：包括相关的应急预案、预案总体目录、分预案目录、各种规范化格式文本，相关机构和人员通讯录等。五 公司层面风险管理缺陷数据库建立 公司层面风险管理缺陷是相对于流程层面控制缺陷的，它是指公司目前针对某个或某类风险的风险管理现状或所采取的风险管理策略的不合理、不适用、无效果或过度影响运营效率的现象。任何一个公司一定存在风险管理缺陷，这些缺陷往往容易被管理层忽略，因此必须建立公司层面风险管理缺陷数据库，不断搜寻公司层面风险管理缺陷并不断进行改进。1 搜寻风险管理缺陷的方法搜寻公司层面风险管理缺陷主要包括以下六个维度：图1-11 公司层面风险管理缺陷诊断六要素具61、体操作主要有7个方法：1内部专家分析法集团内部应有至少一名风险管理专家（或设置风险管理部），该专家除了要实时负责公司的全面风险管理工作外，还应定期对集团做全面风险评估，并对梳理出的重大风险、中等风险和安全风险，结合企业目前实际采取的风险管理策略进行分析，并根据自身专业判断搜寻风险管理缺陷。内部专家分析法的优点在于，内部专家熟悉企业实际情况，判断准确性高；缺点在于，内部专家独立性容易受到影响，常常因企业内部因素而影响其判断结果的真实性和准确性。2外部专家分析法外部专家分析法是指通过外聘专家的方式帮助集团搜寻风险管理缺陷的方法。例如外部审计机构、专业的咨询公司等，分析方法与内部专家分析方法类似。外62、部专家分析法的优点在于，外部专家独立性强，不容易受企业内部因素影响；缺点在于，外部专家不熟悉企业实际情况，或者与企业管理者沟通存在障碍，判断准确性容易有误差。3案例分析法集团应建立风险事件案例库，定期对风险事件组织案例分析与讨论，通过案例与讨论往往容易找出企业的风险管理缺陷。4标杆企业对标法充分收集同行或相关行业优秀企业风险管理策略相关资料，与本公司进行对标，从中找出自身的风险管理缺陷。5问卷调查法很多时候，各部门职员自己发现了风险管理缺陷而难以通过合适的方式反映给经营管理层。因此，可通过匿名问卷调查，收集各部门员工的意见以发现企业的风险管理缺陷。6内部审计法公司的内部审计部门是风险管理缺陷搜63、寻的重要部门，通过对财务数据、各业务流程、经济责任及管理条线等的审计，主动发现风险管理缺陷。7高层领导透视法集团或子公司的高层领导，特别是董事会、监事会领导应具有敏锐的风险管理嗅觉，通过对集团或子公司的洞察和透视，主动发现风险管理缺陷。2 公司层面风险管理缺陷数据库表12是公司层面风险管理数据库模板。其中：CG是“Company Risk Management Gap”的简写，表示公司层面风险管理缺陷。风险名称：填写该风险的名称。风险事项列示与风险类别：根据前期完成的集团风险识别文档，将风险事项列示与风险类别划分填入本数据库中。发生原因分析：从外部原因和内部原因两个层面分析风险事项发生的原因。64、风险类别：填写机会风险或纯粹风险。风险等级：根据绘制的风险坐标地图，划分出该风险是重大风险、中等风险还是安全风险，填入本数据库。目前风险管理策略：描述企业目前针对该风险所采取的风险应对策略、风险预警指标或相关流程控制方法等。缺陷分析：以集团战略、集团险偏好度和风险承受度为导向，充分分析目前风险管理策略的不足或不合理原因。要注意的是，缺陷分析有两个对立的方面，有可能企业对该风险管理策略过弱，导致该风险容易发生或影响程度加大；也有可能企业对该风险管理策略过强，导致企业丧失获利机会或获利空间。改进建议：结合缺陷分析，针对性的提出对该风险的风险管理策略提出改进建议。可能是更换一种风险应对方案，可能是调整该风险预警指标，也可能是加强相关业务流程控制力度，视企业实际情况而定。集团（或子公司）高层管理者应高度重视公司层面风险管理缺陷数据库，积极针对风险管理缺陷开展会议讨论并进行反馈。表12 公司层面风险管理缺陷数据库模板编号风险名称风险编号风险事项列示风险发生原因风险类别（机会/纯粹）风险等级（重大/中等/安全）目前风险管理策略缺陷分析改进建议是否采纳建议不采纳的依据反馈时间反馈结果尚需工作CG01CR03CG02CR06