压型板公司企业风险管理手册

压型板公司

企业风险管理手册

XX有限公司

目录

一、公司概况......................................................3

公司合并资产负债表主要数据........................................3

公司合并利润表主要数据............................................3

二、项目基本情况..................................................4

三、我国的价格管理体制...........................................10

四、商品价格风险的管理...........................................13

五、政治风险的识别...............................................16

六、政治风险评估.................................................17

七、流程风险的识别和评估........................................21

八、流程风险的特征...............................................24

九、人力资源风险管理过程........................................25

十、人力资源的特点及管理过程....................................31

十一、总经理（风险管理总监）....................................34

十二、风险管理委员会和审计委员会.................................36

十三、风险管理及审计部门的组织结构及职责设计....................40

十四、风险管理组织体系的总体框架................................42

十五、风险管理组织体系和企业目标的关系..........................47

十六、风险管理组织体系标准......................................48

十七、SWOT分析说明.............................................49

十八、发展规划...................................................58

一、公司概况

（一）公司基本信息

1、公司名称：XX有限公司

2、法定代表人：尹xx

3、注册资本：1320万元

4、统一社会信用代码：XXXXXXXXXXXXX

5、登记机关：xxx市场监督管理局

6、成立日期：2011-7-20

7、营业期限：2011-7-20至无固定期限

8、注册地址：xx市xx区xx

（二）公司主要财务数据

公司合并资产负债表主要数据

项目2020年12月2019年12月2018年12月

资产总额6545.645236.514909.23

负债总额3438.032750.422578.52

股东权益合计3107.612486.092330.71

公司合并利润表主要数据

项目2020年度2019年度2018年度

营业收入21190.9816952.7815893.24

营业利润4762.703810.163572.02

利润总额4489.363591.493367.02

净利润3367.022626.282424.25

归属于母公司所有

3367.022626.282424.25

者的净利润

二、项目基本情况

（一）项目承办单位名称

XX有限公司

（二）项目联系人

尹XX

（三）项目建设单位概况

本公司秉承“顾客至上，锐意进取”的经营理念，坚持“客户第

一”的原则为广大客户提供优质的服务。公司坚持“责任+爱心”的服

务理念，将诚信经营、诚信服务作为企业立世之本，在服务社会、方

便大众中赢得信誉、赢得市场。“满足社会和业主的需要，是我们不

懈的追求”的企业观念，面对经济发展步入快车道的良好机遇，正以

高昂的热情投身于建设宏伟大业。

公司不断建设和完善企业信息化服务平台，实施“互联网+”企业

专项行动，推广适合企业需求的信息化产品和服务，促进互联网和信

息技术在企业经营管理各个环节中的应用，业通过信息化提高效率和

效益。搭建信息化服务立台，培育产业链，打造创新链，提升价值链,

促进带动产业链上下游企业协同发展。

公司注重发挥员工民主管理、民主参与、民主监督的作用，建立

了工会组织，并通过明确职工代表大会各项职权、组织制度、工作制

度，进一步规范厂务公开的内容、程序、形式，企业民主管理水平进

一步提升。围绕公司战略和高质量发展，以提高全员思想政治素质、

业务素质和履职能力为核心，坚持战略导向、问题导向和需求导向，

持续深化教育培训改革，精准实施培训，努力实现员工成长与公司发

展的良性互动。

公司不断推动企业品牌建设，实施品牌战略，增强品牌意识，提

升品牌管理能力，实现从产品服务经营向品牌经营转变。公司积极申

报注册国家及本区域著名商标等，加强品牌策划与设计，丰富品牌内

涵，不断提高自主品牌产品和服务市场份额。推进区域品牌建设，提

高区域内企业影响力。

（四）项目实施的可行性

1、不断提升技术研发实力是巩固行业地位的必要措施

公司长期积累已取得了较丰富的研发成果。随着研究领域的不断

扩大，公司产品不断往精密化、智能化方向发展，投资项目的建设，

将支持公司在相关领域投入更多的人力、物力和财力，进一步提升公

司研发实力，加快产品开发速度，持续优化产品结构，满足行业发展

和市场竞争的需求，巩固并增强公司在行业内的优势竞争地位，为建

设国际一流的研发平台提供充实保障。

2、公司行业地位突出，项目具备实施基础

公司自成立之日起就专注于行业领域，已形成了包括自主研发、

品牌、质量、管理等在内的一系列核心竞争优势，行业地位突出，为

项目的实施提供了良好的条件。在生产方面，公司拥有良好生产管理

基础，并且拥有国际先进的生产、检测设备；在技术研发方面，公司

系国家高新技术企业，拥有省级企业技术中心，并与科研院所、高校

保持着长期的合作关系，已形成了完善的研发体系和创新机制，具备

进一步升级改造的条件；在营销网络建设方面，公司通过多年发展已

建立了良好的营销服务体系，营销网络拓展具备可复制性。

在我国建筑业飞速发展的同时，各细分领域的技术呈现出差异化、

专业化的特点。金属围护系统行业在研发、设计、生产、施工、后期

维护等方面逐渐自成一体，目前正向着提供完善的解决方案、先进的

系统产品、专业的施工技术及全面的售后服务于的一体的方向发展。

这就要求金属围护系统企业在产品设计开发、设计软件功能升级、施

工方式创新上不断取得新突破，进而满足建筑对金属围护系统逐渐提

升的要求。同时，金属围护系统设计是个系统工程，并不能局限于部

分，而要使系统内部不同层次、材料之间实现完美的连接、融合，从

而实现金属围护系统的完整功能，技术更加专业化是金属围护系统行

业发展的必然方向。

（五）项目建设选址及建设规模

项目选址位于XX（待定），占地面积约29.00亩。项目拟定建设

区域地理位置优越，交通便利，规划电力、给排水、通讯等公用设施

条件完备，非常适宜本期项目建设。

项目建筑面积36118.92疔，其中：主体工程24471.56仓储

工程6745.82nf,行政办公及生活服务设施3698.87nf,公共工程

2

1202.67mo

（六）项目总投资及资金构成

1、项目总投资构成分析

本期项目总投资包括建设投资、建设期利息和流动资金。根据谨

慎财务估算，项目总投资15693.14万元，其中：建设投资12450.27

万元，占项目总投资的79.34%；建设期利息260.87万元，占项目总投

资的1.66%流动资金2982.00万元，占项目总投资的19.00虬

2、建设投资构成

本期项目建设投资12450.27万元，包括工程费用、工程建设其他

费用和预备费，其中：工程费用10404.40万元，工程建设其他费用

1657.55万元，预备费388.32万元。

(七)资金筹措方案

本期项目总投资15693.14万元，其中申请银行长期贷款5323.78

万元，其余部分由企业自筹。

(A)项目预期经济效益规划目标

1、营业收入(SP)：35400.00万元。

2、综合总成本费用(TC)：29499.13万元。

3、净利润(NP)：4304.28万元。

4、全部投资回收期(Pt)：6.20年。

5、财务内部收益率：18.97%。

6、财务净现值：4432.83万元。

(九)项目建设进度规划

本期项目按照国家基本建设程序的有关法规和实施指南要求进行

建设，本期项目建设期限规划24个月。

(十)项目综合评价

主要经济指标一览表

序号项目单位指标备注

1占地面积ml19333.00约29.00亩

1.1总建筑面积m236118.92容积率L87

1.2基底面积m212373.12建筑系数64.00%

1.3投资强度万元/亩408.78

2总投资万元15693.14

2.1建设投资万元12450.27

2.1.1工程费用万元10404.40

2.1.2工程建设其他费用万元1657.55

2.1.3预备费万元388.32

2.2建设期利息万元260.87

2.3流动资金万元2982.00

3资金筹措万元15693.14

3.1自筹资金万元10369.36

3.2银行贷款万元5323.78

4营业收入万元35400.00正常运营年份

5总成本费用万元29499.13•»II

6利润总额万元5739.0111If

7净利润万元4304.28M»f

3rt

8所得税万元1434.76

9增值税万元1348.57flW

10税金及附加万元161.83MW

11纳税总额万元2945.16WIt

12工业增加值万元10172.57HIf

13盈亏平衡点万元15521.50产值

14回收期年6.20含建设期24个月

15财务内部收益率18.97%所得税后

16财务净现值万元4432.83所得税后

三、我国的价格管理体制

1978年以前，我国实行计划经济，商品价珞是实行高度集中的价

格管理体制，价格管理权限绝大部分集中在政府手里，企业没有定价

权。中共十一届三中全会以后，价格改革被确立为我国经济体制转轨

过程中的关键一步。

1979-1983年是我国价格改革的初始阶段，政府以宏观调整价格

为主，改善部分商品价格的不合理程度，并逐步放开一些商品价格的

管理权限。如1979年提高了粮食和其他一些主要农产品的统购价格，

1981年提高了烟酒价格，1982年放开了工业品中100种小商品的价格,

以后逐年扩大放开的品种范围。

1984-1988年是我国价格改革的展开阶段，这阶段政府以放开价

格管理权限为主，同时继续对由国家管理的价格进行若干调整。采取

的重大政策措施有：1985年，除少数重要农产品少数经济作物由政府

定价外，其他农产品价格放开，实行市场调节，放开生产资料计划外

部分的价格；1986年，全部放开了小商品的价格；1988年，提高粮食、

油料的收购价格和原油等重工业品的出厂价格；提高肉、蛋、糖、茶4

类副食品价格；放开名烟、名酒价格。

1989-1991年是我国价格改革的治理整顿阶段，政府是以稳定物

价，抑制通货膨胀为主，继续推进价格改革进程。采取的重大政策措

施有：1989年，提高粮、棉、油的收购价格；大部分进口商品的国内

交货价格，从按国内价格作价改为按进口成本作价，即按代理作价；

1989年冬季提高铁路、水运和航空客运票价；1990年，提高铁路、水

运和公路的货物运价；对近40年未动的邮政资费作了适当调整；较大

幅度地提高煤炭、原油、有色金属和部分钢材的出厂价格和民用燃料

的销售价格；部分城市提高自来水、牛奶价格和公共交通票价；把橡

胶、炭黑的计划内外“双轨制”价格合并为“单轨制”价格等。

1992-1996年是我国价格改革的深化阶段。邓小平南巡讲话和中

共十四大确立了我国经济改革的目标模式是建立社会主义市场经济，

这一期间价格改革的主要任务是进一步转换价格形成机制，改变价格

结构，建立以市场形成价格为主的价格机制。

1997年以后，价格改革进入了全面建立和完善社会主义市场价格

机制的阶段。政府着力于积极运用价格杠杆扩大内需，促进产业结构

调整升级，改善投资环境，研究如何应对“人世”挑战等。同时，根

据市场经济规律的要求，加大价格立法和执法力度，制定市场规则，

维护市场秩序，我国第一部价格法一《中华人民共和国价格法》（以

下简称《价格法》）便是在这一年颁布的。政府在价格管理中的角色

定位从以定价调价为主转到以定规则、当监督、搞服务为主。

2001年，《中央定价目录》进行了最近一次修订。根据修订后的

《中央定价目录》，中央管理的定价项目由1992年的121种压缩为13

种。这13项分别为重要的中央储备物资、专营的烟草、食盐和民用爆

破器材、部分化肥、部分重要药品、教材、天然气、中央直属及跨省

水利工程供水、军品、重要交通运输、邮政基本业务、电信基本业务、

重要专业服务等。2001年后，很多中央定价项目实际上已经作出调整,

例如，将民航国内航空运输价格由政府定价改为政府指导价；港口收

费管理被放开，港口装卸作业费、堆存费实现了市场调节价；政府定

价药品进一步调整，增加了实行政府定价或政府指导价的品种数量等。

2001年以后，我国为进一步落实《价格法》的原则与精神，更好

地适应WT0体制的运行环境，我国政府陆续制定和实施了《价格行政

处罚程序规定》、《责令价格违法经营者停业整顿的规定》、《价格

主管部门公告价格违法行为的规定》、《禁止价格欺诈行为的规定》、

《价格违法行为举报规定》等价格管理规定。制定这些法规的目的在

于，保障价格主管部门依法行使职权，保护消费者和经营者的合法权

益，建立一种公开、公平、公正、自愿、诚实信用的市场交易环境。

此外，我国与价格管理方面相关的主要法律法规还有：2002年实

施的新的《中华人民共和国反倾销条例》、2004年修订后的《中华人

民共和国反补贴条例》以及2008年8月1日起施行的《中华人民共和

国反垄断法》。通过这些法律法规，市场定价机制进一步确立和完善。

经过30多年的改革，我国价格形成机制的转移已经基本完成，政

府定价部分显著缩小，政府指导价和市场调节价部分相应扩大。在社

会商品零售总额中，1978年政府指导价占97%,市场调节价占3%；到

2005年政府定价仅占2.7%,政府指导价占1.7%,市场调节价占95.6%。

另外，农副产品的政府定价比例从2000年的4.7%下降到2005年的

1.2%,生产资料的政府定价比例也从2000年的8.4%下降到2006年的

5.6%0这就说明大部分商品的定价权已经从政府回归到市场手里，主

要由市场形成价格的机制基本建立，市场价格机制在社会资源配置中

已经处于主导地位（刘立查，2009）o政府定价管理的作用主要限于

以下3个方面：①对市场机制作用受到限制的特殊领域进行定价管理,

如自然垄断行业，公益事业的产品，公共产品生产领域以及农业等；

②对市场价格进行管理，制止在由市场形成价格中发生的价格违法行

为，维护市场竞争秩序以及生产者和消费者的利益；③对要素价格进

行管理，如地租、利率、汇率等。

四、商品价格风险的管理

对于商品价格风险的管理，从企业的角度来说，主要有两个方面:

一是自己生产的产品如何定价，如何避免过低的价格；二是对于外购

的商品如何避免过高的采购价格。商品价格风险管理的主要措施有制

订科学的产品定价决策方案，建立商品价格预警机制和利用金融衍生

品市场进行套期保值。

(一)制订科学的产品定价决策方案

企业的产品定价决策方案应是一个系统化、科学化的定价决策方

案。一方面能够从长期的角度看待产品的定价，同时定价决策方案也

能够为企业提供价格保险，以妥善处理突发的价格危机，并对企业的

定价提供预警。企业产品定价决策方案应遵循以下思路。

(1)确定企业产品的生命周期。根据企业现行产品，依据产品生

命周期的原则，确定需要进行定价决策产品所处的生命周期，为产品

定价设定基本的框架。

(2)分析行业市场结构。根据企业所处的行业类型，分析企业、

产品所处的行业结构的特点，确定市场的结构。

(3)确定企业的定价目标。依据企业的经营战略和利润目标，设

定企业产品的价格目标，作为产品定价的基本的原则。

(4)宏观和微观经济因素的分析。根据前面的分析和企业的定价

目标找到产品定价最主要考虑的因素，企业自身的生产状况、成本状

态、产品结构和产品线等，另外是竞争对手所采取的价格竞争的策略,

以及消费者对于产品的反映，进行全面综合的分析。

（5）制定定价方法和采取的定价策略。企业在进行全面的因素分

析和价格目标的设定后，要采取相应的价格策略，并采取适当的定价

方法开始实施。

（6）价格策略和定价方法的实践检验。根据所采取的价格策略和

定价方法，进行经常性的检验，并随时随经济环境和社会环境的变化,

重新从第一步开始循环调整，以校正不适当的方法和策略。

（二）建立价格预警机制，提早进行价格风险预测

市场是瞬息万变的，价格更是随时都在变化。因此对未来市场不

确定的价格，必须建立一套预警评价指标体系，随时对市场的不利变

化进行监控。当输入各种影响价格的风险参数之后，就会出现一个数

值，若数值偏离正常水平并超过预警机制确定的临界值时，机制就应

发出预警信号，说明价格风险发生的可能性很大，企业应迅速采取措

施。

（三）利用金融衍生品市场进行套期保值

金融衍生工具的出现就是为规避现货价格风险而产生的。金融衍

生工具以其特有的财务杠杆（保证金交易）和对冲交易的操作，大大

降低了交易成本，独特的双向建仓（买空卖空策略）使交易者的交易

具备很大的灵活性，无论现货价格怎样变动，都可以采取相应的策略

来有效的规避和转移现货市场价格波动带来的系统性风险，将风险由

承受能力较弱的个体（风险厌恶者，如套期保值者）转移至承受能力

较强的个体（风险偏好者，如投机者）。从而使商品生产商、批发商、

经营商达到锁定成本，锁定利润的目的，减缓价格剧烈波动带来的供

求冲击，最终实现生产的连续性、稳定性、效益性。

经过近20年的努力，我国金融衍生品市场取得了较大的发展。目

前上海期货交易所、大连商品交易所和郑州商品交易所的商品期货交

易品种达到24个，2008年的交易金额达到71.91万亿元，大约为实体

经济的2.4倍。商品期货市场的发展为企业回避商品价格风险提供了

广阔的空间。

五、政治风险的识别

企业应当收集相关资料，了解一国的国际关系与社会局势以及东

道国的法律、政策变化等等情况以识别可能的政治风险。其程序一般

是收集一国国际关系状况、政局稳定性、法律政策等方面的资料，然

后对数据资料进行分析、评估，从而明确一国政治风险的变化情况并

预测其政治风险。

政治风险识别工作重点应是了解和预测有关导致投资环境突然出

现变化的政治力量和政治因素，这样的因素包括以下几点:

（1）政治稳定性与连续性；

（2）一国的政治体制;

（3）一国政府对企业经营活动的政策；

（4）以往的政府类型、党派结构和各政派的政治实力及其政治观

念；

（5）有可能取代现执政者的政治势力；

（6）政策的历史走向和政策形成的公共选择程序；

（7）政治、社会、宗教、少数民族和其他冲突；

（8）政府效率与廉洁状况；

（9）国民经济重心与发展重点；

（10）一国国际关系；

（11）东道国政府与本国政府关系的亲疏程度等。

六、政治风险评估

政治风险评估要针对经营地政治环境变动可能性，评估投资所在

国发生预料之外的政治环境变化的可能性以及可能造成的影响。政治

风险具有相对性，即投资者因国别的差异会对某一国或地区的政治风

险有不同的预期，这是由于政治风险本身要受到国与国之间各种因素

的影响，而风险评估者也会受到自身的立场和观点的影响。此外，适

用于评估宏观政治风险的方法不完全适合于特定项目的微观政治风险

评估。应当在把握所在国家政治风险宏观方面的基础上，分析特定项

目对于东道国政治的敏感性，然后综合评估两者的影响，形成在某一

东道国实施特定项目的总政治风险。

（一）宏观政治风险的评估

对宏观政治风险的评估方法主要有以下几种。

1、指标系统评估法

该方法是根据积累的历史资料，对其中易诱发政治风险激化的诸

因素加以量化，测定风险程度。

2、定级评估法

该方法是将资源国政治因素、基本经济因素、对外金融因素、政

治的安定性等可能对项目产生影响的风险因素的大小分别量化。然后，

将各种风险因素得分汇总起来确定一国的风险等级，最后进行国家之

间的风险比较。

对政治风险进行国别比较可参照国际上较有影响的国际投资风险

指数。例如，上文中所提到的美国国家风险国际指南综合指数，美国

BERI公司的世界各国的政治风险指数。其他著名的指数还有富兰德指

数，该指数是由英国“商业环境风险情报所”每年定期提供；国家风

险等级，是由日本“公司债研究所”、《欧洲货币》和《机构投资家》

每年定期在“国家等级表”中公布对各国的国际投资风险程度分析的

结果。

3、分类评估法

例如，伦敦的控制风险集团将政治风险按照严重程度分为4类：

可忽略的风险、低风险、中等风险和高风险。

(1)可忽略的风险。适应于政局稳定的政府。

(2)低政治风险。往往孕育在那些政治制度完善、政府的任何变

化通过宪法程序产生、缺乏政治持续性、政治分歧可能导致领导人突

然更迭的国家。

(3)中等政治风险。往往会发生在那些政府权威有保障、但政治

机构仍然在演化的国家，或者存在军事干预风险的国家。

(4)高政治风险国家。则是指那些政治机构极不稳定、政府有可

能被驱逐出境的国家。

(二)微观政治风险的评估

微观政治风险评估中，需要考虑以下诸多因素。

1、东道国政治环境评估

主要包括以下内容。①政治因素。考虑东道国政府对待本项目在

该国投资的态度等。②政治稳定性。考虑东道国政权更替的频率和政

治冲突是否会导致项目中断。执政党的更替，意味着政府经济政策的

变更或调整；政治冲突预示着政府对涉外投资的政策的变化；恐怖活

动对跨国投资项目的影响等。③政治干预。考虑项目是否会影响东道

国国防力量；是否会被东道国认为涉及外交、国家安全、经济安全

（如能源、高科技企业）、市场垄断；是否会危及东道国就业，致使

东道国政府进行政治干预等0④东道国的国际关系。考虑东道国与跨

国经营企业母国的关系；东道国企业及政府谈判地位、强弱；跨国投

资企业在国际语言、国际公关、国际策略能力方面的强弱；公众支持

程度等。

2、法律环境评估

需评估母国、东道国以及国际法的影响。母国法律，需了解母国

法律对于跨国投资经营的相关规定；东道国法律，需了解东道国法律

对跨国投资行业、范围等的相关规定或限制；国际法，需了解国家之

间所签订的双边和多边条约、公约和协定对跨国投资的影响。

3、经济环境评估

包括以下内容。①东道国筹资的可能性。去道国政府是否可能对

本项目提供融资资助、本项目进入东道国资本市场的可能性。②资金

汇回的规定。了解将现金流从东道国子公司汇回母公司的规定。③转

移价格、管理费、特许费、借款偿还、股利分配的规定。④公司治理

环境。东道国对当地外国公司所有权的限制。⑤行业环境。投资项目

是否必须利用当地资源才能有效生产经营，如石油开采，近期内是否

会出现与本项目竞争的产业。

（三）特定项目的总政治风险评估

综合评估某特定项目的整体政治风险，可考虑采用以下具体方法

和步骤。

第一步：采用专家意见法、头脑风暴法等方法确定不同投资项目

在某个国家的政治影响因素（可采用0〜1分制和赋值方法），并确定

每一项因素的权重，用加权平均法计算出特定项目的微观政治风险值。

第二步：评估特定国家的宏观政治风险。可选择参照权威数据而

评估。第三步：确定特定项目的总政治风险指数。

第四步：按照同样的方法计算特定项目在其他国家的风险指数，

并进行国家间的风险比较，以选择适当的国家和适当的投资项目。

然而，尽管各机构采用了各种政治风险评估方法，对政治风险的

评估实际上是不能做到十分精确的，至少政治风险发生的时间就很难

确定。只能在对政治风险进行评估之后，采取一些措施来避免在未来

可能发生的政治风险。

七、流程风险的识别和评估

可用于流程风险分析的方法很多，本书介绍4种适用于流程风险

分析与评估的方法：风险清单识别法、流程图法、风险矩阵评估法和

内部威胁分析法。

（一）风险清单识别法

风险清单识别法是指根据事先设计好的清单（或表格，问卷），

根据了解的情况或请相关人员逐一回答或补充清单所列示的内容。这

样的清单应详细列示企业经营流程中可能面临的各种风险因素。由于

强调完整性，所以清单可能会很长。风险管理者根据风险清单的填写

内容，构建特定企业风险管理的框架，并据以评估特定企业特定流程

风险管理的有效性，寻找可供改进的途径。

（二）流程图法

流程图是指用表示有一定含义的符号和图形来反映一个单位或组

织的内部业务在该组织内部有序流动的图表。它可以用来描述系统内

各单位、人员之间业务关系、作业顺序以及管理信息的流向。流程图

有不同的画法。绘制良好的业务流程图，可以直观地表现某项业务在

单位或组织内部执行的情况。一张流程图的核心内容可由3部分构成。

（1）流程目标。流程目标是对业务流程所要达到目的的明确阐述。

（2）流程活动。流程活动反映了在流程中为达到流程目标而采取

的个别行动和步骤。业务流程中的业务活动种类繁多，包括决策制定、

信息收集、信息处理和沟通、流程监控及改进实施行为等。大多数业

务流程包含很多活动，而这些活动又由更具体的步骤构成。

（3）业务流程中的信息流。也就是在业务进行的过程中，何种信

息以何种形式在内部流动，或者传递到单位外部。

（三）风险矩阵评估法

风险矩阵评估法是评估运营风险的常见办法。它是采用风险矩阵

分析表，对影响风险的因素进行识别的一种结构性方法。通过风险矩

阵对流程风险的潜在影响进行评估，是一种操作简单且将定性分析与

定量分析相结合的方法，可以将风险清晰、直观地显示出来，识别出

哪一种风险的影响最为关键，同时风险矩阵还可以对整体风险给出综

合评价。

基于风险矩阵的流程风险评估方法体系主要由风险矩阵设计、风

险等级的确定、风险因素重要性排序、指标重要性权重的确定、总体

风险水平评价等内容组成。

（四）内部威胁分析法

内部威胁分析的目的是评价流程风险对组织的影响。它可分为4

个关键步骤。

（1）识别流程风险源。

(2)确定流程控制所涉及的控制活动。流程控制指企业管理层设

计的用于处理各种流程风险的控制活动。需要关注的是，虽然一种控

制活动可能降低多种风险，但是流程控制活动往往倾向于关注流程中

的某一特定风险。

(3)设计评价指标体系。企业可以设计评价指标体系作为评价流

程风险是否构成直接威胁的基础。这首先需要确定应当监控哪些评价

指标，然后将这些指标与特定风险联系起来，并判断这些风险是否可

能产生负面影响。

(4)评估流程风险。该工作可分为以下3步。

①评估风险造成负面影响的可能性及影响程度。

②评价指标和风险分析相结合。

③识别高风险领域。

八、流程风险的特征

与其他类型的风险相比，流程风险在以下方面具有明显的特征。

(1)普遍存在性和复杂性。企业业务流程是企业经营活动的基础,

不仅在企业内部运行(如企业部门内的业务流程和跨部门的业务流

程)，有时还可能延伸到企业外部(如供应商管理流程、业务外包流

程等)，从而与企业相关的合作伙伴、竞争对手和客户以及外部的政

治、经济、法律环境，甚至与所提供产品和服务相关的所有人员、设

备、资金等各种要素相关。这些因素之间纵横交错、复杂多变，直接

导致了企业流程风险的普遍存在性和复杂性。

（2）动态性和扩大的传递性。业务流程是由相互之间具有密切逻

辑关系的一系列活动组成的集合体，这些活动需要协调配合方能维持

企业的正常运转。如果业务流程的某个或几个环节出现问题，那么将

影响其他环节的工作。一个环节发生的风险，会沿着流程的方向向后

传递，在传递过程中还可能放大其影响，并改变整个流程的输出结果。

这种现象就好像多米诺骨牌游戏，一张牌的倒下会引起下一张牌、再

下一张牌的连续倒下，直至最后一张牌。

（3）风险的可控性。流程风险看起来十分复杂，然而其发生常常

是在业务流程的关键控制点。如果能够对关键控制点进行判别，对关

键控制点设计和执行有效的控制措施，并通过某些指标对其执行情况

进行监测并预警，则或者可能避免风险事件的发生，或者在风险事件

发生的情况下，使其难以进一步沿着流程的方向继续传递，从而有可

能实现对整个业务流程的有效风险管理。

九、人力资源风险管理过程

（一）风险识别

企业人力资源风险的识别可以从企业的外部和内部两个方面进行。

企业风险的识别过程包括感知风险和分析风险两个步骤，感知风险就

是通过调查，识别人力资源管理风险的存在。如企业人力资源流失风

险的发生，可以从员工的年度辞职数量、员工辞职后企业不能正常运

作、客户的流失和商业秘密的泄露等中感知出来。

从企业外部进行就是利用外界的信息、人才市场行情动态、其他

企业已有的人力资源管理资料等进行分析，掌握社会人力资源的构成、

供求及变化状况，将企业的人力资源置于社会的大环境中考虑，以一

种系统论的观点来分析研究本企业的人力资源状况，把握住人力资源

运行的时代特征。

从企业内部进行就是利用企业的历史资料，对企业的运作历史、

企业文化的演进、企业制度的变迁、企业绩效及企业人力资本的运动

特性等方面进行历史分析比较研究，发现企业人力资源活动规律，寻

找出人力资源风险因素。

(二)风险评估

识别出企业人力资源风险因素后，需要对这些因素进行风险评估。

风险评估就是对识别的风险做进一步的分析及量度，以便采取有针对

性的风险应对措施，从而将公司的损失减至最低或将损失控制在可接

受的范围。其主要的步骤为以下几点。

(1)根据风险识别的条目有针对性地进行调研。

（2）根据调研结果和经验，预测发生的可能性，并用百分比表示

发生可能性的程度。

（3）根据风险程度排定优先队列。风险评估通常是以重要性排序,

可从损失的可能程度和损失概率两个方面进行评估。

常用的风险识别与评估方法，如专家意见法，蒙特卡罗法、外推

法、风险价值法、多层次模糊分析法等均可用于人力资源风险的识别

与评估。

（三）风险应对

对常用的风险应对策略在人力资源风险管理运用中需关注的问题

分述如下。

1、风险降低

风险降低策略的途径一是降低风险事件发生的可能性，二是降低

风险事件的损失程度。降低风险事件发生可能性的措施，包括以下几

点。

（1）进行企业文化的宣导，培养企业凝聚力。

（2）系统性地对员工加强后续培训，减少员工工作上的障碍，并

提高员工胜任能力。

（3）强化身体锻炼，增强身体素质，定期对企业从业人员进行体

检，做到有病早发现早治疗。

(4)加强对员工的考核，以发现员工工作的优点和不足，激励员

工的工作积极性，提高员工的素质，改善组织的效率，考核的结果也

为员工今后的薪酬、培训、晋升、换岗等利益提供依据。

(5)科学合理地采取激励约束机制，提高员工对企业的忠诚度，

并减少人力资源流失的可能性。例如，采取经济刺激措施(工资和/或

利润分享)，明确管理责任和分散决策，或生活方式的利益(给关键

员工所需要的尊敬和鼓励，或给他们喜欢的生活方式等)等。

降低风险事件的损失程度的措施，包括以下两点。

(1)为企业关键岗位储备人才，使关键岗位人员一旦出现意外或

辞职行为，企业可以在短期内很快复原，从而减小损失程度。

(2)合同约束。对于员工流失风险有些企业在合同中规定人员流

出后，在若干时期内不能与客户合作，或者不得从事与本企业竞争的

业务活动等用以减少风险损失。

2、风险回避

人力资源风险可能源自人力资源本身的特点或人力资源的管理过

程，实际并不可能完全回避。因而，此类策略的采取需在考虑风险损

失的大小及发生的可能性大小的基础上，考虑对那些预计损失较大，

发生可能性也较高的风险采取此类措施。

还需关注的是，在回避某项人力资源风险时，常常会引入另一项

风险。因此，人力资源风险管理需要综合考虑其影响。例如，企业去

各大院校招聘大学应届毕业生，这不仅有利于企业知识的更新，而且

能够带来积极的企业文化与价值观，通过适当的引导，能使员工与企

业发展的目标有效的结合。然而，与此同时，应届毕业生工作经验不

足的问题，是否能融入到企业现有的工作团队中的问题，都有可能产

生新的风险。

3、风险分担

人力资源风险分担可考虑以下措施。

（1）人力资本租借。企业在进行人力资本租借时，明确约定所租

借的人员在正常的工作条件下，被租借人医疗费用、人身意外等均由

其原雇佣方负责。但必须注意的是企业在与自身所雇的人员签订风险

转移合约时要考虑到国家和地方所制定的有关法律法规，以免转移了

人力资源风险却又产生了新的法律风险。

（2）人力资源外包。前文已述及相关概念。在此方面的典型案例

有华为技术有限公司（简称：华为公司）的人力资源外包策略。华为

公司是中国一家大型民营企业，比较早开始进行人力资源外包。华为

公司最初将其物业管理这一块外包给了戴德梁行。当戴德梁行接手华

为在龙岗区坂田基地的物业管理之后，不但通过内在的挖掘潜力与自

身管理能力的提升，大大降低了原来由华为公司自己操作物业的各项

人力资源管理费用，而且还极大地提升了物业管理的品质。又如，对

招聘IPQC这一品质管理岗位的工作人员而言，若华为公司自己招聘，

必须要按华为公司的平均工资水平来支付劳务戌本。于是，华为公司

将此类人力资源聘用外包给鹏劳人力资源管理公司，结果按照市场上

通行的工资水平（不到华为公司工资水平的一半），招聘到所需的人

员来从事该岗位的工作。并且，从事该岗位的人员是由鹏劳公司来管

理。这样一来，还使华为公司规避了因人员不满而引起劳资纠纷的可

能性。

（3）保险策略。企业还可以结合保险的险种和自己企业人力资源

风险状况选择哪些风险购买保险。例如，对于企业职工可能患的重大

伤残或重大疾病可以通过购买保险来防范，于是将相关风险转移到保

险公司0

4、风险接受

充分认识到人力资源风险领域及风险大小的企业，对于员工一般

的常见病或轻微工伤可采取风险接受策略，而对于员工重大疾病的风

险则可采取疾病保险或其他策略。对于员工流失风险，对于一般员工

（素质要求不高，且容易从人力市场获取）的流失风险采取风险接受

策略。

十、人力资源的特点及管理过程

作为自然人的本身与企业其他资源存在重要区别，这一特殊性决

定了人力资源风险的特殊性。从人力资源风险管理过程的角度，一般

认为其风险一方面是来自于人力资源本身的特性，另一方面是来自于

人力资源管理失效。

（一）人力资源本身的特点

1、人的心理及生理的复杂性

一方面，人力资源的个体在决定自己行为时，表现出过程上的不

确定性，主要表现在个体在信息获取、处理、输出及反馈时主体对客

观的依赖性。另一方面，人力资源的行为表现出有限理性特征。赫伯

特・西蒙最早将有限理性概念引入经济学，并建立了有关过程理性假

设的各种模型。他认为，人们只能在决策过程中寻求满意解而难以寻

求最优解，行为主体打算做到理性，但现实中却只能有限度地实现理

性。

2、人力资源的能动性

人力资源是生产力诸要素中最为活跃并唯一具有主观能动性的因

素。人力资源的使用会受人的主观意愿和行为的影响，当人的主观意

愿与组织的目标不一致时，就有可能造成组织目标的难以实现，并给

组织带来损失。

人力资源可以通过激励实现资源价值的不断增长，也可能由于激

励不当，而导致消极价值的产生，甚至影响组织的发展。另外人力资

源的能动性还决定了知识与行为不一致的可能性。

3、人力资源的动态性

人力资源的一个独特性还在于其自适应能力。人们可以在从事企

业经营活动中学习理论知识，或向同行学习，或通过具体的工作在

“干中学”，使得人力资源的素质在时间上呈现动态特征。当员工素

质与组织目标一致时，有利于组织目标的实现；当员工素质的发展与

组织目标不一致时，则会阻碍组织目标的实现。

4、人力资源的流动性

人力资源的能动性和动态性又决定了人力资源的流动性，具体表

现为不可“压榨性”。人力资本作为天然的个人私产，其产权所有者,

即人，能控制人力资本的开发和利用。人力资本产权本身所具有的自

主性、排他性和可交易性的特征可能产生人才外流或无所作为等风险。

（二）人力资源管理过程

人力资源管理过程具有复杂性、人力资源管理的系统性及信息的

不对称性等特征。

1、人力资源管理的复杂性

人力资源管理系统是兼有自组织系统特性与人造系统的全部特性。

一方面，为严格劳动纪律维持企业生产秩序，需要相对固定的规章制

度和量化的考核指标，从而对人力资源进行直观的、简单的管理；另

一方面，由于人的心理及心理的复杂性，又必须辅以其他的模糊的、

复杂的方法来调动人的劳动积极性。复杂多变的经济环境，还在进一

步加大人力资源管理的不确定性。

2、人力资源管理的系统性

人力资源管理的系统性首先表现在系统的整体性，它是由相互依

赖的若干部分组成的，但各个部分不是简单的组合，而是具有统一性

和整体性。它把组织的整体目标与组织内员工的个人目标结合起来，

实现组织整体和组织员工的共同发展。它强调相互依赖和开发利用两

个原则。

3、人力资源信息的不对称性

由于信息的不对称，员工的行为具有非可测性，很难准确测度工

作人员的行为，加上人力资本的产权特性，构戌了人力资源管理的难

点。工作人员靠他们自身的人力资源取得收益，其利己动机或者称为

投机动机是普遍存在的。当信息的不对称性存在时，这种动机就有可

能行为化。从而产生一种管理者与被管理者非协作、非效率的“道德

风险”。

在人力资源管理领域，信息的不对称可能产生合约前的逆向选择

和合约后的道德风险。合约前的逆向选择，是指合约谈判中的信息不

对称。在合约谈判中，拥有信息优势的一方可能欺骗信息劣势的另一

方。如果信息劣势的一方预期到了对方的欺骗，就可能拒绝相信对方

提供的信息。那么最终还可能导致谈判破裂：如果信息劣势一方未能

发现对方的欺骗行为而与之缔约，那么信息劣势一方实际上就会面临

信息优势方的逆向选择问题。

而在劳动契约签订以后，如果企业掌握了员工生产的一切信息，

包括努力程度和生产成果，那么企业就可以完全按照员工的努力程度

和成果来支付工资，以刺激他们达到企业期望的目标。但现实中，企

业虽然可以考核员工的生产成果，但有时候衡量成果相当困难。比如

人事经理的业绩就很难衡量。企业也可以通过监督生产过程去考察员

工的努力程度，并按照努力程度来支付工资，但是有时候有效的监督

也很困难。因为一方面企业不可能时刻地监视员工的一言一行。另一

方面即使能够如此，也难以确定被监视的员工在实质上是否努力（尤

其是技术含量较高的工作）。因此，员工的工作信息对于企业来说始

终是不完全的。

十一、总经理（风险管理总监）

COSO《企业风险管理一一整合框架》指出，企业总经理（首席执

行官）对企业风险管理的执行，“承担最根本的职责，并应当负有主

体责任”。总经理对企业全面风险管理工作的有效性向董事会负责，

为企业的风险管理工作确定基调。总经理或总经理委托的高级管理人

员，负责主持全面风险管理的日常工作，并负责拟订企业风险管理组

织机构设置及其职责方案。总经理在企业风险管理中的主要职责有以

下几点0

（1）组建并管理企业风险管理职能部门，任命风险管理总监（风

险经理或首席风险官）。

（2）安排业务职能部门的职责分工并制定风险汇报和审批机制。

（3）负责设计、操作及监督风险管理系统。

（4）审批非重大决策的评估报告。

（5）落实董事会有关风险决策和方案。

（6）组织日常风险监督和改进工作。

（7）就风险管理工作计划和结果向董事会汇报。

随着企业面临的风险日益扩大，风险管理工作的重要性也与日俱

增。总经理往往需要委任一名风险管理总监（风险经理或首席风险官）

全面负责企业风险管理日常工作，如我国的股份制银行一般设有首席

风险官。风险管理总监（风险经理或首席风险官）在国外企业中由来

已久，是现代企业管理中重要的高级管理人员，是公司重要的战略决

策制定和执行者之一。他们的工作将根据董事会、股东大会的要求，

对总经理或总经理授权的副总经理负责，并根据其职责协助总经理开

展工作。其职责是负责组织制定并具体执行企业全面风险管理政策和

控制措施，负责建立涵盖战略风险、财务风险、市场风险、运营风险

和法律风险等在内的全面风险管理组织架构。同时，风险管理总监

(风险经理或首席风险官)将作为牵头人参加风险决策的评估和审批

工作，确保企业按照风险控制流程进行风险管理，确保各项经营业务

符合有关法律、法规和政策的要求等。风险管理总监(风险经理或首

席风险官)的主要职责有以下几点。

(1)确立和传达企业的风险管理愿景。

(2)确定和实施适宜的企业风险管理基础设施(包括风险政策、

度量指标、汇报和监督渠道)。

(3)建立、沟通和促进适宜的企业了解风险管理方法、工具和技

术的运用。

(4)推动全企业的风险评估，监督企业主要风险管理能力。

(5)向董事会、风险管理委员会、审计委员会和总经理等高级管

理层进行适宜的风险汇报。

十二、风险管理委员会和审计委员会

（一）风险管理委员会

具备条件的企业，董事会应下设风险管理委员会。该委员会的召

集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人

应由外部董事或独立董事担任。该委员会成员中需要熟悉企业各项业

务流程的董事，以及具备风险管理监管知识或经验的董事。风险管理

委员会对董事会负责，向董事会提交风险管理决策和报告，主要履行

以下职责。

（1）提交全面风险管理年度报告。

（2）审计风险管理策略和重大风险管理解决方案。

（3）审议重大决策、重大风险、重大事件和重要业务流程的判断

标准或判断机制，以及重大决策的风险评估报告。

（4）对企业风险及管理状况和风险管理能力及水平进行评价，提

出完善企业风险管理和内部控制的建议。

（5）审议内部审计部门提交的综合性的风险管理监督评议审计报

告。

（6）审议风险管理组织机构设置及其职责方案。

（7）办理董事会授权的有关全面风险管理的其他事项。

（二）审计委员会

企业还应在董事会下设立审计委员会。一般而言，企业审计委员

会应由熟悉企业财务、会计和审计等方面专业知识并具备相应业务能

力的董事组成，而其中主任委员需要由外部董事担任。审计委员会的

关注焦点历来仅限于公开的财务报告风险，但是这种有限的关注范围

随着时间的推移也可能会有所拓宽。纽约证券交易所的上市要求明确

地规定：审计委员会章程在界定审计委员会的义务和责任时，应该规

定审计委员会必须讨论管理层反映出的风险评估和管理的各项政策。

风险评估是内部控制的一部分内容，评价内部控制就必然会以风险作

为基础，因此，审计委员会可能会询问这个流程是否有效。涵盖全企

业的风险评估流程也是实施企业风险管理的有效开端。在与高级管理

层讨论风险评估和风险管理时，审计委员会应当做到以下几点。

（1）讨论公司是否面临可能会影响品牌形象和声誉的未来潜在事

件的风险（如灾难性损失、舞弊行为、非法行动、诉讼纠纷等）。

（2）了解管理层对财务报告风险的评估情况，询问外部审计师是

否认同前述的评估。

（3）了解能诱发重大风险的财务报告方面的薄弱环节，如准备金、

或有负债、估值、计算值和需要作出重大判断的披露领域。

（4）了解在管理财务报告风险方面，自评和公司级及流程级监督

工作的就绪落实程度。

(5)了解内部审计师的风险评估和根据该评估而制定的审计计划。

(6)询问有无经理人员负责关键风险的识别、评估、管理和监督

工作，询问委员会是否应经常同这些经理开会，讨论其活动对公众报

告及财务报告的影响意义。

(7)了解管理层的企业风险评估结果及其对公众报告的财务报告

的影响意义。

审计委员会还负责指导监督企业内部审计部门，内部审计部门对

董事会负责，其审计报告经审计委员会报董事会(或主要负责人)。

内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督

评价体系，制定监督评价相关制度，开展监督与评价，并出具监督评

价审计报告。在风险管理方面，企业内部审计部门具有以下职能。

(1)对企业的财务收支、财务预算、财务决算、资产质量、经营

绩效及其他有关经济活动进行审计监督。

(2)对企业采购、产品销售、工程招标、对外投资等经济活动和

重要经济合同进行审计监督。

(3)对企业全面风险管理系统的合理性、健全性和有效性进行检

查、评价和反馈，对企业有关业务的经营风险进行评估和意见反馈。

(4)将内部审计结果反馈董事会及其他相关机构。

内部审计参与企业风险管理具有一定的优势。首先，内部审计能

够摆脱部门之间的利益冲突，较为客观全面地评价企业风险。其次，

内部审计人员能够充当企业风险策略和各种决策之间的协调人，控制

和指导风险策略。再次，由于内部审计独立于企业管理部门，其评价

和结论可以直接向董事会报告，故比其他职能部门具有更大的影响力。

最后，内部审计较外部审计而言具有更强的责任感，往往会就某个风

险问题深入探讨分析，了解其发生的根源，探索其解决的办法。然而,

由于内部审计在独立性上较外部审计具有先天的不足，所以审计委员

会还必须借助外部审计师的力量，对企业风险进行评估，以降低企业

的风险。

十三、风险管理及审计部门的组织结构及职责设计

风险管理体系中风险管理及审计部门的组织结构各部门的职责如

下。

1、风险管理委员会

(1)由董事会正式授权监管风险活动，并须确保行政总裁的风险

责任作适当履行。

(2)主要职责包括制定符合企业风险容忍度的风险管理策略，批

准风险管理政策及程序。

2、风险管理职能部门

（1）风险管理职能部门是风险管理委员会的全职执行机构，通过

对逐单交易及风险组合资料的审查及预先/事后批准来确保风险管理政

策和程序得到遵守。

（2）通过风险管理经理在营运单位的日常工作及风险管理总监等

参与行政管理执委会并对重大事故向行政总裁作出汇报等渠道建立与

管理部门（行政总裁/行政管理执委会/营运单位）的汇报机制。

3、审计委员会

（1）由董事会正式授权对财务报告和内控框架的效率和成效进行

独立评核。

（2）审阅财务报告/'资料以确保法律法规得到遵守。

4、内部审计部门

（1）内部审计部门是审计委员会的全职执行机构，通过周期/临

时审查业务部门和职能单位的具体运作来监察它们对营运的政策及程

序的遵守情况。

（2）通过与市场及信贷风险主管保持紧密联系，了解确保风险管

理政策及程序得以遵守的具体运作过程和相关文件，以便设计适当的

审计步躲和执行方法。

(3)与风险管理总监、信贷风险主管、市场风险主管及营运风险

主管等讨论分析不遵守风险政策的事件及其产生的风险影响及必要的

纠正措施等。

十四、风险管理组织体系的总体框架

1、风险管理的第一道防线；业务单位与相关职能部门

业务单位与相关职能部门是企业中的业务经营单位，有特定的目

标、战略、市场、客户和产品。成功的业务单位了解自己的竞争对手、

客户及所面临的机遇和风险。它们管理和监督经营活动，以创造利润、

服务客户、提高产品质量、缩短周期和降低成本；按足以能负担相关

成本和风险的价格，向目标的细分市场提供产品和服务，同时还要能

够为股东挣得在风险扣除后仍可接受的回报。业务单位向总经理和企

业执行委员会汇报业务活动。

业务单位与相关职能部门包含了企业大部分的资产和业务，它们

在日常工作中直接面对各类风险，风险是他们最先要考虑的。在推出

新产品、进入新市场或投资新的研发项目时，业务单位和相关职能部

门经常要承受风险。此外，在客户关系、供应商关系、雇员关系及自

己所管理的专有资产等方面，业务单位与相关职能部门也面临许多风

险。他们需要了解这些会对其产生影响的风险和不确定因素，并且应

该有能力对其进行管理。实质上，身处第一线的业务与相关职能单位

的管理层不仅负责管理所选定的经营模式中许多固有风险，也是防范

这些风险的第一道防线，是企业风险管理的最前线。企业必须把风险

管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好

防范风险的第一道防线。

企业建立第一道防线，就是要各业务单位就其战略风险、财务风

险、市场风险、运营风险和法律风险，进行系统化的识别、衡量、评

价、管理和监控。要建立好第一道防线，企业的各业务单位和相关职

能部门需要进行以下工作。

(1)调整风险排序、风险容忍度和风险战略，使其符合全企业的

政策和指导方针。

(2)按照企业的整体风险承受能力，调整经营和产品开发活动的

针对性，从而为企业开辟新的价值来源。

(3)识别和度量风险，查明风险的来源。

(4)为各项流程确定基准，交流最佳实践方法，以期持续地改进

各项措施和流程。

(5)向主要的经理分派风险管理职责和责任。

(6)就风险应对措施、控制活动以及信息与沟通的整体质量进行

报告。

2、企业风险管理的第二道防线：风险管理委员会和风险管理职能

部门

第二道防线是在第一道防线基础上建立一个更高层次的风险管理

功能，它的组成部门可以包括董事会下的风险管理委员会、投资审批

委员会、信贷审批委员会等和风险管理职能部门。风险管理职能部门

是企业风险管理解决方案中一个选设的部门。在企业经营模式中，有

些固有的特定风险不由业务单位予以管理，或者从企业的角度来说没

有得到有效的管理，那么，按照风险组合观，这些特定的风险就由风

险管理职能部门负责管理。风险管理职能部门的目标是使同一个或多

个风险相关的管理工作发展成为企业的一项核心能力。风险管理职能

部门可能负责管理的风险包括：利率风险、货币风险、商品价格风险、

信用风险、气候风险及灾难风险等。它们评估、集中控制、降低、转

移和利用自己负责的这些风险。当业务单位考虑承担某些风险，而自

己又没有相关知识和专门技能予以管理时，风险管理职能部门就和它

们合作，给予帮助。对企业经营战略实施来说，风险管理职能部门常

常会起到非常重要的促进作用。风险管理职能部门可以由企业的某个

职能部门或独立运作的单位组成，责任是领导和协调企业内各单位在

管理风险方面的工作，它的主要职责包括以下几点。

（1）编制规章制度。

（2）对各业务单位的风险进行组合管理。

（3）度量风险和评估风险的界限。

（4）建立风险信息系统和预警系统、厘定关键风险指标。

（5）负责风险信息披露，沟通、协调员工培训和学习的工作。

（6）按风险与回报的分析，为各业务单位分配风险管理相关资源。

相对于业务部门而言，风险管理部门会克服狭隘的部门利益，能

够从企业整体利益角度考察企业所面临的各类风险。此外，风险管理

部门还可以综合平衡各部门风险。企业在不同的发展阶段，各部门所

面临的风险往往是不同的。而作为风险管理职能部门，则需要根据一

定的原则，将风险分配于不同部门，对每个部门进行风险上限控制。

风险管理总监（风险经理或首席风险官）对风险管理委员会直接负责,

但对总经理（执行总裁）负有汇报责任。同样，风险管理职能部门经

理直接对风险管理总监负责，但对策略性业务部门负责人负有汇报责

任。

3、企业风险管理的第三道防线：审计委员会和内部审计部门

第三道防线涉及一个独立于业务单位的部门，监控企业内控和其

他企业关心的问题，这就是企业的内部审计部门。

美国内部审计师协会对内部审计所下的定义是：内部审计是一项

独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经

营。内部审计通过系统的方法，评价和改进企业的风险管理、控制和

治理流程的效益，帮助企业实现其目标。内部审计师应就管理层的决

策提出劝告和质疑或表示支持，而不是对风险管理作出决策。

依据上述观点，内部审计师协会还确定了在企业风险管理实施中

内部审计的核心角色及K应承担的角色。其中核心角色包括以下几点。

(1)为企业风险管理流程提供保障。

(2)确保风险得到正确的评估。

(3)评估风险管理流程。

(4)评估关键风险的报告工作。

(5)检查对关键风险的管理工作。

内部审计不应承担以下职责。

(1)设定风险承受能力。

(2)批准和命令实施风险管理流程。

(3)在就风险及风险管理绩效提供保障方面承担管理角色。

(4)决定风险应对的决策。

(5)代表管理层实施风险应对措施。

(6)接受对风险管理的责任。

另外，内部审计师学会特别指出内部审计还可以承担上述两种极

端角色之间的其他一些“合理合法的内部审计职责”，但前提是要有

适宜的安全保障措施存在。

(1)协助风险的识别和评估。

(2)指导管理层对风险作出应对。

(3)协调企业风险管理活动。

(4)综合对风险的报告。

(5)维持和完善企业风险管理框架。

(6)领导建立企业风险管理。

(7)制定风险管理战略，呈报董事会审批。

总之，内部审计可以通过评估风险识别的充分性，评价已有风险

衡量的恰当性，以及评估风险防范措施的有效性等三方面参与企业风

险管理工作，不应主导企业的风险管理工作。企业的内部审计工作是

对各业务部门和风险管理职能部门的风险管理活动进行再监督，而不

是亲自参与每项风险的评估与控制。内部审计总监对审计委员会直接

负责，但对执行总裁负有汇报责任。同样，内部审计员直接对内部审

计总监负责，但对各策略性业务部门负责人负有汇报责任。

十五、风险管理组织体系和企业目标的关系

建立完善的风险管理组织体系的目的无疑是要保证企业风险管理

目标的实现，保证企业在可承受的风险水平下运行，从而保证企业战

略目标的实现。各个企业的风险管理目标根据