第四章风险评估

第四章

风险评估第一节

风险的基本知识一、什么是风险风险是未来的不确定性对企业实现目标的影响，包括正面的影响和负面的影响两个方面。习惯上负面的影响称为风险，正面的影响称为机会、机遇。风险发生的可能性及其后果的严重程度都与其发生的条件相关第一节

风险的基本知识二、风险发生的因素1.实质性因素。它指对某一标的物增加风险发生机会或者导致严重损伤和伤亡的客观自然原因。例如，空气干燥是引起火灾的风险因素，地面断层是导致地震的风险因素。2.心理性因素。它指由于心理的原因引起行为上的疏忽和过失，从而成为引起风险的发生原因。例如，乱扔烟头容易引起火灾，酒后驾驶容易引起交通事故等。3.道德性因素。它指人们的故意行为或者不作为。例如，放火引起火灾，故意不履行合约引起经济损失等。第一节

风险的基本知识三、风险的特性(一)客观性风险是不以企业意志为转移，独立于企业意志之外的客观存在。企业只能采取风险管理办法降低风险发生的频率和损失幅度，而不能彻底消除风险。(二)普遍性在现代社会，个体或企业面临着各式各样的风险。随着科学技术的发展和生产力的提高，还会不断产生新的风险，且风险事故造成的损失也越来越大。第一节

风险的基本知识三、风险的特性(三)损失性只要风险存在，就一定有发生损失的可能。如果风险发生之后不会有损失，那么就没必要研究风险了(四)可变性风险的可变性是指在一定条件下风险具有可转化的特性。世界上任何事物都是互相联系、互相依存、互相制约的第一节

风险的基本知识四、企业可能面对的风险种类(一)行业风险行业风险是指在特定行业中与经营相关的风险。企业选择在哪个行业中经营显得非常关键。在考虑企业可能面对的行业风险时，以下几个因素是非常关键的：1.生命周期阶段。行业有生命周期，企业会经历起步期、成长期、成熟期及衰退期2.波动性。波动性是与变化相关的一个指标3.集中程度。对企业来说，比较好的情况是在一个受保护的行业中处于垄断地位，就像某些国家公用事业公司或国家政府所管理的公司一样第一节

风险的基本知识四、企业可能面对的风险种类(二)经营风险经营风险可简单定义为经营企业时面临的风险。从某种程度上来说，企业所作的所有决策都具有风险，管理层不能保证所作的每一个决策都是正确的经营风险的广义标准定义是指由于采用的战略不当，资源不足，或者经济环境或竞争环境发生变化而不能达成经营目标的风险第一节

风险的基本知识1.市场风险市场风险，有时也称为财务风险或价格风险，它指由于市价的变化而导致亏损的风险（1）利率风险。利率风险是指因利率提高或降低而产生预期之外损失的风险。（2）汇率风险。汇率风险是由汇率变动的可能性，以及一种货币对另一种货币的价值发生变动的可能性导致的。（3）商品价格风险。主要商品的价格出人意料地上涨或下跌，可能使业务面临风险（4）股票价格风险。股票价格风险影响企业股票或其他资产的投资者，其表现是与股票价格相联系的第一节

风险的基本知识

2.政治风险

政治风险在很大程度上取决于企业运营所在国家的政治稳定性，及当地的政治制度。政府的更迭，有时会导致业务出现重大变化。甚至在政治制度稳定的国家，政治改革的影响也可能是重大的。3.操作风险操作风险是指出于员工、过程、基础设施、技术或对运作有影响的类似因素（包括欺诈活动）的失误而导致亏损的风险第一节

风险的基本知识4．法律/合规性风险

法律/合规性风险指不符合法律或法规要求的风险。毫无疑问，所有的企业都受到相关的监管。大多数企业可能受到国家级、省级和地区级的监管，也可能受到职业团体的监管。企业所面临的监管是无处不在的，从监管职业安全健康的法规到有关如何恰当储存危险物质的规定，到报告有关经营活动的详情以满足税收目的的要求5．项目风险在企业中，有很多的项目需要进行日常管理，如建立新的业务线、开发新市场。由于项目的流行性，项目管理的一个重要组成部分就是风险管理第一节

风险的基本知识

6．信用风险

多数企业生产产品或提供劳务，并将其提供给买家，同时企业会允许买家在一定时间内付款，这一过程被称为除欠。除欠会产生不予支付的风险。因而，信用风险是指交易对方在账款到期时不予支付的风险7．产品风险

所有销售产品、提供劳务的企业都会涉及产品风险。可以用以下基本问题来识别产品风险：当公司将一项产品投放市场时，该产品是否有销路？新产品所面临的问题就是这些产品没有经验可循，管理层不知道新产品对客户是否具有吸引力。新产品越具有创新性，引入该产品所面临的风险就越大第一节

风险的基本知识

8.流动性风险流动性风险是指由于缺乏可用资金而产生的到期无法支付应付款项的风险。值得注意的是，即使企业取得了令人满意的利润，但如果发生流动性危机，企业也会很快破产9.环境风险环境风险在近几年被广泛关注，这主要是因为“绿色行动”的环保者提高了公众的环保意识，并使其更加关心人类行为有意或无意造成的环境破坏第一节

风险的基本知识10.声誉风险

声誉风险是指企业声誉受到负面影响的风险。声誉风险产生的负面影响会非常大，其能导致企业的经营陷入严重衰退，极端情况下还可能导致企业被接管或倒闭声誉风险主要是二级风险，其产生的原因是由于企业未能有效地控制其他类型的风险。例如，因触犯法律而被诉诸法律行动，或绿色环保者对企业造成的环境破坏提出的抗议等都会导致负面的公众形象。声誉的建立需要很长时间，但声誉的破坏却只在一时。因此，企业中的各层员工都必须认真对待声誉风险第一节

风险的基本知识五、风险评估任何企业要长远发展都要研究未来，都必须面向未来做出战略决策，也因此要承担各种风险。面对风险，一般企业要么“杞人忧天”，畏惧不前，丧失大好机会；要么麻痹大意，变成“温水中的青蛙”，逐渐丧失竞争优势；还有些铤而走险，以赌博心态进行经营决策，最后破产倒闭。正确评估风险，将风险因素纳入企业正常的管理范围，是一个非常严肃的命题，也是一项非常迫切的任务第二节

目标设定风险评估首先要设定目标，设定目标是风险评估的前提条件。风险是与目标伴随的，首先必须有目标，管理层才能对实现目标的风险进行识别。内部控制目标的设立是企业内部控制的关键，过于笼统宽泛的内部控制目标不利于内部控制的设计和应用。因此，在明确了设计的基本思路和原则之后，就必须将企业的战略任务和目标进行分解，最终细分为几项具体的工作任务。这个分解过程可简单地描述为：企业发展战略→董事会目标→公司层面内部控制目标→经营活动控制目标。

目标是有层级的，企业目标包括发展战略和具体目标，具体目标包括经营目标、合规性目标、财产保全目标和财务报告目标。第二节

目标设定一、发展战略市场的竞争和风险导致了对战略的需求。在空间上，战略是对企业全局的总体谋划；在时间上，战略是对企业未来的长期谋划；在依据上，战略是对企业内外环境进行深入分析和准确判断的基础；在程度上，战略对企业具有决定性的影响；在本质上，战略在于创造和维持企业的竞争优势。总的说来，公司战略就是规划公司目标以及为达到这一目标所需的资源取得、使用和处理方略，是为了使企业适应未来环境的变化，得到长期生存和稳定发展而制定的总体和长远的谋划第二节

目标设定企业制定和实施发展战略，具有十分重要的意义第一，发展战略可以为企业找准市场定位。市场定位就是要在激烈的市场竞争环境中找准位置第二，发展战略是企业执行层行动的指南第三，发展战略为内部控制设定了最高目标第二节

目标设定二、具体目标根据企业确定的任务或预期,管理层选择战略目标并确定其他与之相关的目标，在企业内层层分解和落实。具体目标包括合规性目标、资产保全目标、经营目标、财务报告目标。合规性目标要求企业的经营活动遵循适用的法律法规；资产保全目标在于确保公司资产的安全，保护股东或债权人的合法权益；经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准；财务报告目标在于保证对外公布的财务报告的可靠性。它们与企业的战略有不可分割的联系，这使企业在追求短期利益的同时,必须从战略高度关注企业的长远目标和可持续发展。第三节

风险识别风险识别是指识别所有可能对组织产生负面影响的损失风险，即找出影响预期目标实现的主要风险。这项工作要从风险产生的原因入手，通过各种识别工具和方法来发现客观存在的不确定性，即辨识风险，然后建立详细的风险清单，进行风险分析。它是风险管理过程中最重要的程序,对选择风险管理手段有决定性意义。第三节

风险识别一、风险识别的内容（一）感知风险感知风险，即通过调查和了解，识别风险的存在（二）分析风险

通过归类分析，掌握风险产生的原因和条件，以及风险所具有的性质第三节

风险识别二、企业识别风险关注的因素（一）内部风险1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

2.组织机构、经营方式、资产管理、业务流程等管理因素。

3.研究开发、技术投入、信息技术运用等自主创新因素。

4.财务状况、经营成果、现金流量等财务因素。

5.营运安全、员工健康、环境保护等安全环保因素。

6.其他有关内部风险因素。第三节

风险识别二、企业识别风险关注的因素（二）外部风险1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。2.法律法规、监管要求等法律因素。3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4.技术进步、工艺改进等科学技术因素。5.自然灾害、环境状况等自然环境因素。6.其他有关外部风险因素第三节

风险识别三、企业常见的风险(一)风险行业分布高风险行业有：医药和化学制品制造商、银行、金融机构、航空、铁路、公交和地铁系统、宾馆、饭店旅游公司、核电厂、食品制造和分销企业、夜总会、娱乐休闲场所、软饮料和果汁生产商、建筑、房地产公司、煤气站、公共设施及私人设施、机场、水泥供应商和结构工程公司等。第三节

风险识别三、企业常见的风险(一)风险行业分布中风险行业有：大学、医院、非营利性机构、教堂、博物馆、零售连锁店、生物技术公司、石油生产商和分销商、电信公司、家庭用品制造商、包装公司、网络中心组织、计算机制造商或分销商、发动机和重金属制造商、电梯制造商、医药、卫生所等。第三节

风险识别三、企业常见的风险(一)风险行业分布低风险行业有：保险代理、软件公司、慈善机构、广播电视、财务会计公司、服饰生产商、地方性商务企业、旅行社、法律公司、咨询公司、汽车出租公司等。第三节

风险识别（二）各生命周期常见风险企业初创期的特点是规模小，产品类型、特点、性能、目标市场不断变化，需要大量广告，竞争对手较少，市场增长率高。常见的风险有：经营团队人员配备不足、经验缺乏；不了解市场，新产品试制不成功或产品未被市场接受；经营规模小、市场占有率低，难以形成规模效应；利润率低，资金紧张，没有足够的财力和心里来承受投资失败的风险等。第三节

风险识别（二）各生命周期常见风险成长期也是企业快速发展的阶段，管理层必须拥有高增长率，确保扩大产量来占领市场，因此现金会比较短缺，通过申请专利、扩产降低成本来设置“进入壁垒”很重要。常见的风险有：未能创立品牌，成为行业的常青树；未能稳占市场，形成规模经济并率先掌握成本降低技术，处于有利的竞争地位；没有适度分权；忽视人才的储备和培养；管理效率低下，错失发展良机等。第三节

风险识别（二）各生命周期常见风险当增长率降到正常水平，行业进入成熟期，各年销售量变动较小，竞争激烈，消费者要求更严格，重点关注效率、成本控制或市场细分。常见的风险有：机构臃肿，效率不高；资金较充裕，盲目投资或扩张；铺张浪费，成本失控；在技术创新上满足现状，停滞不前等。第三节

风险识别（二）各生命周期常见风险在衰退期，行业技术被新的替代品取代,市场占有率下降严重,产品品种减少,最终可能不复存在或被并入另外的行业。常见的风险有：生产能力过剩,行业技术被新的替代品取代；市场占有率下降严重，产品品种减少；产品积压严重或被市场淘汰；严重亏损，现金流出现负数；仓促进入新的行业，投资失败；人心涣散，被收购或兼并等。第三节

风险识别（三）各行业前10种最主要的风险因素（见表4—1）次序银行/保险/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长第三节

风险识别（四）企业至少应当关注的整体层面的风险1．组织架构的主要风险（1）从治理结构层面看，主要风险在于：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略（2）从内部机构层面看，主要风险在于：内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下第三节

风险识别（四）企业至少应当关注的整体层面的风险2．责权分派的主要风险责权分派的主要风险表现为：权责不明晰，有权没责，有责没权，权责不对等；权利与能力、责任感不匹配；缺乏权力监督机制和责任追究制度等第三节

风险识别（四）企业至少应当关注的整体层面的风险（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。这一风险侧重于企业决策层和执行层的高管人员（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄漏（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损第三节

风险识别（四）企业至少应当关注的整体层面的风险4．内部审计的主要风险（1）企业内部审计机构不健全，组织架构不科学、不合理，或职责分工不清，可能导致内部审计缺乏独立性和客观性。（2）内部审计未经适当授权，可能因得不到有效支持而导致内部审计失败。（3）内部审计人员不具备应有的知识、技能和经验，内部审计方法滞后，或内部审计质量控制制度不完善，可能导致内部审计效率和质量低下而造成内部审计成本增加。（4）内部审计人员不遵守内部审计职业道德规范，影响审计的客观公正性，可能导致道德风险第三节

风险识别5．内部信息传递的主要风险内部报告指标体系的设计未能结合企业的发展战略，指标体系级次混乱，与全面预算管理要求相脱节，或者设定后未能根据环境和业务变化有所调整；收集的内外部信息过于散乱，不能突出重点；内容准确性差，据此信息进行的决策容易误导经营活动；获取内外部信息的成本过高，违反了成本效益原则；内部报告未能根据各内部使用单位的需求进行编制，内容不完整，编制不及时，未经审核即向有关部门传递；内部报告传递流程不完善，内部报告未按传递流程进行传递，内部报告传递不及时；企业管理层在决策时并没有使用内部报告提供的信息，内部报告未能用于风险识别和控制，商业秘密通过企业内部报告第三节

风险识别5．内部信息传递的主要风险被泄露；企业缺乏完善的内部报告评价体系，对各信息传递环节和传递方式控制不严，针对传递不及时、信息不准确的内部报告缺乏相应的惩戒机制；企业缺少内部报告的保管制度，内部报告的保管、存放杂乱无序，重要资料的保管期限过短，保密措施不严；忽视了对员工的道德准则体系的培训，内部审计监察不严，内部人员未经授权或者采取其他不法方式侵占、挪用企业资产，在财务会计报告和信息披露等方面存在虚假记录、误导性陈述或者重大遗漏等，董事、监事、经理及其他高管人员滥用职权，相关机构或人员串通舞弊，企业对举报人的保护力度小，信访事务处理不及时，缺乏相应的舞弊风险评估机制等。第三节

风险识别6．信息系统的主要风险制定信息系统战略规划的主要风险是：第一，缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。第二，没有将信息化与企业业务需求相结合，降低了信息系统的应用价值。项目计划环节的主要风险是：信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下。第三节

风险识别6．信息系统的主要风险需求分析环节的主要风险是：第一，需求本身不合理，对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二，技术上不可行、经济上成本效益倒挂，或与国家有关法规制度存在冲突。第三，需求文档表述不准确、不完整，未能真实全面地表达企业需求，存在表述缺失、表述不一致甚至表述错误等问题。第三节

风险识别6．信息系统的主要风险系统设计环节的主要风险是：第一，设计方案不能完全满足用户需求，不能实现需求文档规定的目标。第二，设计方案未能有效控制建设开发成本，不能保证建设质量和进度。第三，设计方案不全面，导致后续变更频繁。第四，设计方案没有考虑信息系统建成后对企业内部控制的影响，导致系统运行后衍生新的风险。编程和测试环节的主要风险是：第一，编程结果与设计不符。第二，各程序员编程风格差异大，程序可读性差，导致后期维护困难，维护成本高。第三，缺乏有效的程序版本控制，导致重复修改或修改不一致等问题。第四，测试不充分第三节

风险识别6．信息系统的主要风险日常运行维护环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一些人为恶意程序长期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失第三节

风险识别（五）企业至少应当关注的业务层面的风险1．涉及资金管理的风险（1）资金管理违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）资金管理未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）银行账户的开立、审批、使用、核对和清理不符合国家有关法律法规要求，可能导致受到处罚而造成资金损失。（4）资金记录不准确、不完整，可能造成账实不符或导致财务报表信息失真。（5）有关票据的遗失、变造、伪造、被盗用以及非法使用印章，可能导致资产损失、法律诉讼或信誉损失。第三节

风险识别2．涉及采购业务的风险（1）采购行为违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）采购未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）请购依据不充分、不合理，相关审批程序不规范、不正确，可能导致企业资产损失、资源浪费或发生舞弊。（4）采购行为违反法律法规和企业规章制度的规定，可能受到有关部门的处罚而造成资产损失。（5）验收程序不规范，可能造成账实不符或资产损失。（6）付款方式不恰当、执行有偏差，可能导致企业资金损失或信誉受损第三节

风险识别3．涉及存货业务的风险（1）存货业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）存货业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。（3）请购依据不充分，采购批量、采购时点不合理，相关审批程序不规范、不正确，可能导致企业资产损失、资源浪费或发生舞弊。第三节

风险识别3．涉及存货业务的风险（4）验收程序不规范，可能导致资产账实不符和资产损失。（5）存货保管不善，可能导致存货损坏、变质、浪费、被盗和流失等。（6）存货盘点工作不规范，可能由于未能及时查清资产状况并作出处理而导致财务信息不准确，资产和利润虚增第三节

风险识别4．涉及销售业务的风险（1）销售行为违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）销售未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）销售政策和信用政策管理不规范、不科学，可能导致资产损失或资产运营效率低下。（4）合同协议签订未经正确授权，可能导致资产损失、舞弊和法律诉讼。（5）应收账款和应收票据管理不善，账龄分析不准确，可能由于未能收回或未能及时收回欠款而导致收入流失和法律诉讼第三节

风险识别5．涉及工程项目的风险（1）工程项目违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）工程项目未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。（3）工程项目决策失误，可能造成企业资产损失或资源浪费。（4）工程项目概预算编制不当或执行不力，可能造成工程项目建造成本增加。（5）工程项目成本失控，可能造成企业经营管理效益和效率低下。（6）工程项目会计处理和相关信息不合法、不真实、不完整，可能导致企业资产账实不符或资产损失。第三节

风险识别6．涉及固定资产的风险（1）固定资产业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）固定资产业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。（3）固定资产购买、建造决策失误，可能造成企业资产损失或资源浪费。（4）固定资产使用、维护不当和管理不善，可能造成企业资产使用效率低下或资产损失。（5）固定资产处置不当，可能造成企业资产损失。（6）固定资产会计处理和相关信息不合法、不真实、不完整，可能导致企业资产账实不符或资产损失。第三节

风险识别7．涉及无形资产的风险（1）无形资产业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）无形资产业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）无形资产购买决策失误，可能导致不必要的成本支出。（4）无形资产使用和管理不善，可能导致损失和浪费。（5）无形资产处置决策和执行不当，可能导致企业权益受损。（6）无形资产的会计处理和相关信息不合法、不真实、不完整，可能导致企业资产账实不符或资产损失。第三节

风险识别8．涉及长期股权投资业务的风险（1）投资行为违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）投资业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）投资项目未经科学、严密的评估和论证，可能因决策失误而导致重大损失。（4）投资项目执行缺乏有效的管理，可能因不能保障投资安全和投资收益而导致损失。（5）投资项目处置决策与执行不当，可能导致权益受损第三节

风险识别9．涉及筹资活动的风险（1）筹资活动违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）筹资活动未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）筹资决策失误，可能造成企业资金不足、冗余或债务结构不合理。（4）债务过高或资金调度不当，可能导致企业不能按期偿付债务。（5）筹资记录错误或会计处理不正确，可能造成债务和筹资成本信息不真实第三节

风险识别10．涉及预算的风险（1）预算体系不健全，岗位职责分工不合理，可能造成企业资源浪费和管理效率低下。（2）预算管理未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）预算目标不合理，预算项目不完整，预算标准不科学，预算编制程序不规范，预算分解和预算调整不合理，可能造成企业预算管理体系缺乏科学性和准确性。（4）预算的下达和执行不力，可能造成预算失去其应有的权威性和严肃性。（5）预算分析不正确，预算监控和预算考核不力，对考核结果的奖惩不公平、不合理，可能造成预算管理流于形式。第三节

风险识别11．涉及成本费用的风险（1）成本费用支出违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）成本费用支出未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）成本费用预测不科学、不合理，可能因成本费用支出超出预算或者预算外支出过高而导致企业权益受损。（4）成本费用的核算和相关会计信息不合法、不真实、不完整，可能导致企业财务报告失真第三节

风险识别12．涉及担保业务的风险（1）担保违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）担保业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）担保评估不适当，可能因诉讼、代偿等而遭受损失。（4）担保执行监控不当，可能导致企业经营效率低下或资产遭受损失第三节

风险识别13．企业至少应当关注涉及合同协议管理的风险（1）合同协议行为违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）合同协议未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）合同协议内容不完整、权利义务不明确或未签订书面合同协议，可能导致企业资产或股东权益遭受损失。（4）合同协议条款未恰当履行或监控不当，可能导致违约损失。（5）合同协议信息安全措施不当，可能导致商业秘密泄露。（6）合同协议纠纷处理不当，可能导致企业权益受损第三节

风险识别14．涉及业务外包的风险（1）业务外包违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）业务外包未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）业务外包策略不科学、承包方选择不合理，可能导致企业核心资产遭受损失。（4）业务外包流程未恰当履行或监控不当，可能导致企业外包战略失败或经营效率低下。（5）业务外包信息保护措施不当，可能导致企业商业秘密泄露。（6）业务外包会计处理不当，可能导致财务报告信息失真第三节

风险识别15．涉及对子公司管理的风险（1）子公司治理结构不完善、组织架构不健全、人员选任不恰当，可能导致决策失误、串通舞弊、效率低下等。（2）子公司超越业务范围或审批权限从事相关交易或事项，可能给企业造成投资失败、法律诉讼和资产损失。（3）关联方之间违反母公司关联交易规定，可能造成信息披露不真实或受到相关监管机构处罚。（4）企业会计核算办法的制定和执行不正确，合并财务报表信息不准确，可能导致企业自身及投资者、相关各方决策失误或企业面临法律诉讼第三节

风险识别16．涉及财务报告编制与披露的风险（1）财务报告编制与披露违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）财务报告编制与披露未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）财务报告编制前期准备工作不充分，可能导致结账前未能及时发现会计差错。（4）纳入合并报表范围不准确、调整事项或合并调整事项不完整，可能导致财务报告信息不真实、不完整。（5）财务报告披露程序不当，可能因虚假记载、误导性陈述、重大遗漏和未按规定及时披露而导致损失第三节

风险识别17．涉及衍生工具业务的风险（1）衍生工具交易未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（2）衍生工具保证金及清算资金的收支未按照规定程序进行，导致企业资金损失。（3）衍生工具交易未按照规定建立持仓预警报告和交易止损机制，导致敞口风险增加甚至发生损失。第三节

风险识别17．涉及衍生工具业务的风险（4）衍生工具交易未能准确、及时、有序地记录和传递交易指令，导致丧失交易机会或发生交易损失。（5）衍生工具交易过程中的资金收支核算和套期保值盈亏计算错误，导致财务报告信息不真实。（6）衍生工具套期保值业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。第三节

风险识别18．涉及并购交易的风险（1）并购交易违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）并购交易未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）审慎性调查不全面、不科学，可能导致企业战略失败或者股东权益遭受损失。（4）并购交易合同协议未恰当履行或监控不当，可能导致违约损失。（5）并购交易财务处理不当，可能导致财务报告信息失真第三节

风险识别19．涉及关联交易业务的风险（1）关联交易及披露违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（2）关联交易未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（3）关联方界定不准确，可能导致财务报告信息不真实、不完整。（4）关联交易定价不合理，可能导致企业资产损失或中小股东权益受损。（5）关联交易执行不当，可能导致企业经营效率低下或资产遭受损失第三节

风险识别20．涉及信息系统的风险（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。（3）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行第三节

风险识别四、风险识别的方法（一）风险清单法风险清单是指由一些专业人员设计好风险标准的表格或者问卷，上面全面地罗列出一个企业可能面临的风险。这些清单试图将所有可能的损失全部包括在内，使用者对清单的每一项都要回答：“我们公司会面临这样的风险吗?”第三节

风险识别四、风险识别的方法

(二)现场调查法

现场调查法相当于对风险进行一次全面的检查。其优点是可获得第一手资料，有助于与基层人员建立良好的关系；其缺点是时间较长，成本较高，有时会引起员工的反感(三)问卷调查法

问卷调查法是企业根据自己的需要，收集和统计与风险相关信息的方法第三节

风险识别四、风险识别的方法(四)组织图分析

组织图分析适用于各类企业的风险识别。与其他方法相比，它的一个重要特点是能够提示企业重要人物对企业经营绩效的影响(五)流程图分析法

流程图分析法，是指按生产经营过程的内在逻辑制作流程图，之后对其中的重要环节和薄弱之处进行调查和分析的方法第三节

风险识别四、风险识别的方法（六)财务报表分析法

财务报表分析法主要是通过分析企业的资产负债表、利润表、现金流量表和所有者权益变动表以及补充记录来识别企业潜在的风险(七)事故树分析法

事故树分析法，是一种树状图，又称做故障树，是在风险辨识和分析中被广泛应用的一种分析方法第四节

风险分析一、风险分析的目的风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度，对识别的风险进行评估和排序，确定关注重点和优先控制的风险二、风险分析的方法对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量两种方法。定性方法直接用文字描述风险发生可能性的高低、风险对目标的影响程度定量方法对风险发生可能性的高低、风险对目标的影响程度用具有实际意义的数量来描述第四节

风险分析三、风险管理常用技术（一）风险坐标图风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。表4—3列出某公司对风险发生可能性的定性、定量评估标准及其相互对应关系，供实际操作中参考。第四节

风险分析定量方法一评分①②③④⑤定量方法二一定时期发生的概率10%以下10%~30%30%~70%70%~90%90%以上

定性方法文字描述一极低低中等高极高文字描述二一般情况下不会发生

极少情况下才发生

某些情况下发生较多情况下发生常常会发生文字描述三今后10年内发生的可能性少于1次今后5~10年内可能发生1次今后2~5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次第四节

风险分析

适用于所有行业定量方法一评分

①②③④⑤定量方法二企业财务损失占税前利润的百分比(%）1%以下

1%~5%

6%~10%

11%~20%

20%以上

定性方法文字描述一极轻微的轻微的中等的重大的灾难性的文字描述二极低低中等高极高

文字描述三

企业日常运行

不受影响轻度影响(造成轻微的人身伤害，情况立刻受到控制)

中度影响(造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制)

严重影响(企业失去一些业务能力，造成严重人身伤害，情况失控，但无致命影响)

重大影响(重大业务失误，造成重大人身伤亡，情况失控，给企业造成致命影响)财务损失较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失企业声誉负面消息在企业内部流传，企业声誉没有受损

负面消息在当地局部流传，对企业声誉造成轻微损害

负面消息在某区域流传，对企业声誉造成中等损害

负面消息在全国各地流传，对企业声誉造成重大损害

负面消息流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害

适用于开采业、制造业

定性与定量结合

安

全短暂影响职工或公民的健康

严重影响一位职工或公民健康严重影响多位职工或公民健康导致一位职工或公民死亡

引致多位职工或公民死亡

营

运—对营运影响微弱—在时间、人力或成本方面不超出预算1%

—对营运影响轻微—受到监管者责难—在时间、人力或成本方面超出预算1%～5%

—减慢营业运作—受到法规惩罚或被罚款等—在时间、人力或成本方面超出预算6%～10%

—无法达到部分营运目标或关键业绩指标—受到监管者的限制—在时间、人力或成本方面超出预算11%～20%

—无法达到所有的营运目标或关键业绩指标—违规操作使业务受到中止—时间、人力或成本方面超出预算20%

环

境—对环境或社会造成短暂的影响—可不采取行动

—对环境或社会造成一定的影响—应通知政府有关部门

—对环境造成中等影响—需一定时间才能恢复—出现个别投诉事件—应执行一定程度的补救措施

—造成主要环境损害—需要相当长的时间来恢复—大规模的公众投诉—应执行重大的补救措施

—无法弥补的灾难性环境损害—激起公众的愤怒—潜在的大规模的公众法律投诉第四节

风险分析绘制风险坐标图如图4—1所示。极高

④高

②

中等

③

低①

极低

第四节

风险分析第四节

风险分析极高

⑥

②

⑧中等

⑤③

低①

④

⑦极低

⑨

第四节

风险分析（二）蒙特