风险管理实施细则

风险管理实施细则

公司全面风险管理暂行规定【1】

第一章总则

第一条为加强湖北三江航天建造工程有限公司（以下简称

公司）全面风险管理（以下简称风险管理）工作，提高风险管理能

力和水平，依据国务院国资委《中央企业全面风险管理指引》和

《中国航天科工集团公司全面风险管理规定》及《九院全面风险

管理暂行规定》制定本规定。

第二条本规定所称风险，指未来的不确定性对公司实现经

营目标的影响。

公司将风险分为战略风险、财务风险、市场风险、运营风险、

法律风险等五大类进行分类管理，便于各职能管理部门履行职

贝。

第三条公司风险管理工作的总体目标是通过建立健全风险

管理体系，哺育风险管理文化，支持日常管理和经营决策，提升

管理水平，为公司战略目标的实现提供合理保障。

第四条公司风险管理工作遵循以下原则：

（一）统一领导、分级管理。

在公司统一领导下，对本单位（部门）的风险管理工作负责，

建立健全风险管理组织体系和风险管理相关工作制度，执行风险

1

管理基本流程，完善风险管理职能。

（二）风险管理与内部控制相融合。

公司应按照《企业内部控制基本规范》（财会（2022）7号文）

要求建立健全内部控制体系，并以内部控制体系为基础，实现风

险管理与内部控制相融合的风险管理体系；

（三）全面性原则。

做到对风险的事前防范、事中控制、事后处置相统一，覆盖

所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个

环节，确保不存在风险管理的漏项；

（四）重要性原则。

在全面控制的基础上，关注重要业务事项和高风险领域；

（五）适应性原则。

风险管理应与企业规模、业务范围、竞争状况和风险水平等

相适应；

（六）成本效益原则。

风险管理工作应当权衡管理成本与预期效益，以适当的成本

实现有效管理。

第五条本规定合用于公司及所属各单位的风险管理工作。

第二章风险管理体系建设

第六条公司风险管理体系框架按照“系统管理、业务融合、

2

突出重点、讲求实效”的原则来设计，具体详见《公司风险管理

体系框架示意图》：

（一）公司最高管理层应制定和维护清晰的战略目标和各层

级、各业务领域的目标，并明确本单位的风险管理原则及风险偏

好，为企业开展风险管理工作创造良好的内部环境；

（二）公司应结合自身特点建立本单位风险管理的基本制度，

为风险管理工作提供制度保障和考核奖惩依据；

（三）公司应结合工作实际建立本单位的主要业务流程体系，

特殊是重要业务、跨部门业务均应有清晰的业务流程图，并对流

程各环节进行风险识别、风险评估和风险应对，采取适当的控制

措施管理好风险事项。

公司至少每一个年度须对本单位的业务流程体系运行情况

进行评估，并及时向最高管理层报告相关信息；

（四）公司应建立健全本单位的风险管理组织体系，确保风险

管理工作的有效开展，并实现风险管理信息在内部畅通；

（五）公司应设计好风险管理与各种行业标准指引、质量体系

文件等的衔接模式，避免制度及管理工作的重叠或者相互抵触的

现象；

（六）公司每年至少应进行一次对风险管理初始信息的采集

及整理分析工作，并及时向最高管理层报告内外部风险信息对本

3

单位实现目标的影响；

（七）公司每年至少应进行一次对重要风险的重新评估确认

的工作，并根据评估情况对原有风险管理策略、方案进行适当调

整。

重要风险的评估可以采取问卷调查、专题会议等多种方式进

行；

（八）公司应在制度管理流程中，增加对各项业务管理制度的

风险管理专项评审。

业务管理制度应与各单位的业务流程密切相关；

（九）公司应注意积累与本单位特点相适应的风险预警方法、

风险管理指标体系的设计及运用方法、内部管理信息的报告机制

等方面的成功经验，并保持持续的改进能力；

（十）公司应当通过编制风险管理手册，使全体员工掌握内部

机构设置、岗位职责、业务流程等情况，明确权责分配，正确行

使职权。

第三章风险管理组织体系和职能

第七条公司风险管理组织体系包括董事会、风险管理委员

会、风险管理主管部门、各业务部门或者业务单位风险管理责任

人及直达最基层组织的风险管理联络员。

第八条公司董事会应按以下要求履行风险管理职责:

4

（一）研究公司面临的各项重大风险及其管理现状，确定单位

风险管理总体目标、风险偏好、风险承受度，做出有效控制风险

的决策；

（二）审定风险管理组织机构设置及其职责方案；

（三）审定本单位风险管理重要规章制度；

（四）审定本单位风险管理年度工作报告；

（五）审定风险管理主管部门的风险管理评价报告；

（六）审定风险管理其他重大事项。

第九条公司设立风险管理委员会，对董事会负责，执行董

事会关于对风险管理工作的有关决议，并履行以下职责：

（一）负责公司风险管理体系建设方案的制定和组织实施；

（二）负责公司风险管理文化建设；

（三）审议风险管理组织机构设置及其职责方案；

（四）审议风险管理策略和重大风险管理解决方案；

（五）审议风险管理有关规章制度；

（六）审议风险管理主管部门风险管理年度工作报告。

第十条公司风险管理主管部门的主要职责包括：

（一）组织编制风险管理有关规章制度并监督执行；

（二）组织编制公司风险管理工作年度计划，并组织实施；

（三）组织编制风险管理年度工作报告

-5

（四）指导和检查各相关部门开展风险管理工作，组织协调风

险管理日常工作；

（五）组织建立公司风险管理信息系统；

（六）组织编制公司风险管理报告；

（七）组织对风险管理开展有效性评估，提出风险管理的改进

方案；

（八）组织开展对风险管理人员的培训工作；

（九）负责组织风险管理文化建设相关工作；

（十）办理风险管理其他有关工作。

第十一条公司各职能部门及业务单位是风险管理的执行机

构，负责各自职责范围内业务风险的管理工作，主要履行以下职

责：

（一）执行风险管理基本流程；

（二）研究提出本部门牵头业务的重大决策、重大风险、重大

事件和重要业务流程的判断标准或者判断机制，以及风险管理策

略和重大风险管理解决方案，并负责该方案的组织实施和风险的

日常监控；

（三）研究提出本部门牵头业务的重大决策风险评估报告；

（四）制定本部门各项业务的风险管理制度；

（五）负责本部门业务风险管理信息系统的有关工作；

6

（六）负责建立健全本部门的风险管理子系统；

（七）做好本部门业务风险管理文化建设有关工作。

第十二条公司各级组织主要行政负责人为本单位的风险管

理责任人，风险管理联络员是各级职能部门或者业务单位风险管

理工作的执行人和报告人。

各级风险管理责任人对管理范围内的风险管理工作负有设

计、指导及敦促的责任，各级风险管理联络人对风险管理工作负

有执行、信息采集及报告的责任。

第十三条公司风险管理主管部门负责制定风险管理相关监

督评价制度，建设风险管理监督评价体系，开展监督与评价，出

具风险管理评价报告。

第四章风险管理基本流程与要求

第十四条风险管理基本流程包括采集风险管理初始信息、

进行风险评估、制定风险管理策略、提出和实施风险管理解决方

案与风险管理的监督与改进等主要工作。

第十五条公司要广泛、持续不断地采集与本单位风险和风

险管理相关的内部、外部初始信息，并对风险信息进行必要的筛

选、提炼、分类、对照和分析，逐步建立健全本单位的风险信息

库，并纳入统一建立的风险管理信息系统进行管理。

第十六条公司要根据外部环境和自身条件，环绕单位发展

7

战略，确定风险偏好、风险承受度、风险管理有效性标准，选择

风险应对策略，并确定风险管理所需人力和财力等资源的配置原

则。

第十七条公司要根据风险管理策略，针对各类风险或者每

一项重大风险制定风险管理解决方案：

（一）制定风险管理解决的外包方案，应注重成本与收益平

衡、外包工作的质量、自身商业秘密的保护以及防止自身对外包

产生依赖性风险等因素，并制定相应的预防和控制措施；

（二）制定风险解决的内控方案要满足合规的要求，针对重大

风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程

控制措施;对其他风险所涉及的业务流程，要把关键环节作为控

制点，采取相应的控制措施。

第十八条公司应以重大风险、重大事件和重大决策、重要

管理及业务流程为重点，对风险管理基本流程的实施情况进行监

督，对风险管理的有效性进行检验，根据变化情况和存在的缺陷

及时加以改进。

（一）公司各职能部门及业务单位应定期对风险管理工作进

行自查，自查报告应及时报送风险管理主管部门；

（二）风险管理主管部门定期对各单位（部门）风险管理工作

的实施情况进行专项检查，编制检查报告并及时报送风险管理委

8

员会；

（三）风险管理主管部门至少每年一次对风险管理各相关职

能部门及业务单位的风险管理工作情况开展监督评价，评价报告

及时报送风险管理委员会。

第十九条公司要建立贯通于整个风险管理流程，连接各级

单位、各个部门的风险管理信息沟通渠道，确保向风险管理信息

系统输入信息的一致性、准确性、及时性和完整性。

第二十条公司应建立风险监控指标体系，对重大风险的关

键指标进行日常监控，定期编制《风险监控报告》，经风险管理

委员会审议批准后，报送公司领导。

公司风险管理主管部门应定期对各类风险关键指标的监控

结果进行汇总、分析，形成公司风险监控报告，报送公司风险管

理委员会。

第二十一条公司风险管理主管部门应每年对本单位风险管

理工作情况进行总结，按要求编制《年度全面风险管理报告》，

经风险管理委员会审议批准后，报送上级主管单位。

第五章风险管理文化

第二十二条公司要大力营造进取型的风险管理文化，促进

单位风险管理水平和员工风险管理素质的提升，保障单位风险管

理目标的实现。

9

公司各个岗位、各个层级的从业人员，除了完成各项例行工

作任务以外，应同时对影响本岗位、本部门目标完成的各类不确

定性风险因素，负有发现、报告和提出应对建议的职责，以不断

提高企业管理水平。

第二十三条风险管理文化建设应融入企业文化建设全过

程。

将风险管理意识转化为员工的共同认识和自觉行动，促进系

统、规范、高效的风险管理机制的建立。

第二十四条公司全体员工特别是各级管理人员应通过多种

形式，努力传播企业风险管理文化，坚固树立风险无处不在、风

险无时不在、岗位风险管理责任重大等意识和理念。

第二十五条公司要将风险管理文化建设与人事和薪酬制度

相结合，增强各级管理人员特殊是高级管理人员的风险意识，防

止盲目扩张、片面追求业绩、忽视风险等行为的发生。

第二十六条公司要建立重要管理人员和业务操作人员岗前

风险管理培训制度，加强对风险管理理念、知识的培训，培养风

险管理人材，哺育风险管理文化。

第六章风险管理报告

第二十七条风险管理报告的形成应遵循“先横向再纵向、

由基层到高层”的机制，即先由职能部门或者业务负责人将本部

门

10

或者分管领域的风险分析报告逐级汇总报告至风险管理主管部门,

再由风险管理主管部门负责对所有的分析报告进行提炼加工，最

终形成公司的风险管理报告。

第二十八条风险管理报告的主要作用是使最高管理层掌握

公司一定时期风险管理体系的运行情况及存在的问题，以便让管

理层能及时根据情况的改变对人员组织架构、业务流程、业务政

策进行调整，进而调整企业资源配置，甚至战略目标，使企业能

迅速应对内外部变化，实现企业价值最大化。

第二十九条企业全面风险管理报告的主要内容包括以下内

容：

（一）流程风险分析。

对公司业务流程体系的运行情况进行分析，重点是例外事

项、风险事项或者已形成实质性不良影响的事项的分析，并提出

相应的应对策略；

（二）环境风险分析。

即根据《中央企业全面风险管理指引》中风险管理初始信息

的分类，对影响企业目标实现的内外部环境变化风险作出的分析

判断；

（三）信息风险分析。

对公司组织体系内的各个层级、横向各个部份之间在信息传

11

递与沟通方面进行分析，研究和判断存在的问题或者妨碍，并提

出相应的改进建议。

第三十条风险管理报告的每一类均应由问题、对策和建议

构成。

报告可以采取定期和不定期相结合的方式：定期为每年；不

定期的可由公司根据实际的具体需要决定。

第七章风险管理手册

第三十一条公司应基于企业的全面风险管理实务，建立和

完善风险管理手册，作为公司全面风险管理框架的重要支撑文

件。

第三十二条风险管理手册普通应收录以下内容：

（一）企业风险管理的基本制度；

（二）企业风险管理组织体系设立情况；

（三）企业所有重要业务的流程图及其指引或者说明；

（四）企业重要的历史风险案例；

（五）企业认为应该收录的其他内容。

第三十三条风险管理手册应能被全体员工查阅，并对企业

风险管理工作起到实质性指导、备查和明确评价标准的作用。

第三十四条公司可根据实际情况，对风险管理手册查阅权

限实行分层设置，但应合理保证各岗位人员能够接触到本岗位需

12

要掌握的各种工作要求或者信息。

第八章考核奖惩

第三十五条公司全面风险管理工作实行“业务谁主管、安

全谁负责”的原则，对公司各部门和所属各单位进行考核评价，

考核结果分别纳入公司管理讲评和年度考核。

第三十六条综合考核奖惩的标准以本规定为依据。

第三十七条对因忽视全面风险管理而导致发生重大损失的

单位或者部门，按视具体情节追究责任。

第九章附则

第三十八条本规定由公司纪检监察审计部负责解释。

第三十九条本规定自下发之日起执行

公司全面风险管理实施细则【2】

1目的

为规范xxxx公司（以下简称公司）的风险管理，建立规范、

有效的风险管理控制机制，提升风险管理能力，促进公司持续、

健康、稳定发展，根据相关文件，结合公司实际，制定本实施

细则。

2合用范围

本办法合用于本公司。

3引用和参考文件

.13

3.1引用文件

《中央企业全面风险管理指引》

《集团公司全面风险管理办法》

《集团公司系统全面风险管理大纲（试行）》

3.2参考文件

《中华人民共和国公司法》

《企业国有资产监督管理暂行条例》

《企业内部控制基本规范》

4定义及缩略语

4.1术语

下列术语和定义合用于本程序。

a）风险：指未来的不确定性对企业实现其经营目标的影响。

b）战略风险：战略环境和战略管理过程的不确定因素对实

现经营目标的影响。

常见的战略风险有宏观政策及形势把握风险、战略选择风

险、重大投资风险、海外投资风险、多元化经营风险、新产品开

发投入风险、并购风险、声誉风险等。

c）财务风险：融资安排、会计核算、财务报告等财务管理

活动中不确定性因素对实现经营目标的影响。

常见的财务风险有：财务报告风险、财务控制风险、现金流

14

风险、应收账款风险、盈利能力风险、资金管理风险、资本运作

风险、税收风险、借贷风险、对外担保风险等。

d）市场风险：市场环境的不确定因素对实现经营目标的影

响。

常见的市场风险有：需求风险、价格风险、竞争风险、原材

料供应风险、供应商产品质量风险、客户与供应商信用风险、利

率与汇率风险、产品研发、更新与升级风险等；

e）运营风险：内部流程和系统、人为或者外部等不确定性

因素对实现经营目标的影响。

常见的运营风险有：公司管理风险、人力资源风险、流程管

理风险、管理模式风险、技术风险、产品质量风险、安全环保风

险、稳定风险、信息管理风险、外部事件风险等；

f）法律风险：法律环境以及相关利益主体法律行为等方面

不确定因素对实现经营目标的影响。

常见的法律风险有：国内外政治法律环境及政策风险、合同

风险、企业环境、信息披露风险、法律纠纷风险、知识产权风险、

员工劳动关系风险、第三方责任风险等；

g）安全风险：设备、人员、管理等方面不确定因素对安全

的影响；

h）工程建设风险：工程建设过程中的不确定因素对工程项

15

目的影响。

常见的工程建设风险有：工程进度风险、工程质量风险、工

程投资控制风险、工程采购风险、工程技术风险、工程健康安全

环保风险等。

4.2缩略语

下列缩略语用于本程序

XXXX公司：公司。

5责任

5.1公司风险管理机构及其工作职责

公司成立风险管理领导小组和风险管理工作办公室，其人员

构成及其职责按照公司《关于XXXX公司风险管理机构的通知》

执行。

5.2公司日常风险管理机构及其工作职责

公司审计部作为风险管理的日常机构，设置风险管理专职人

员，负责落实风险管理工作办公室职责范围的日常工作，并负责

组织对重大风险控制有效性的测试、检查和评估。

5.3公司各部门的风险管理机构及其工作职责

公司各部门须设置风险管理岗，该风险管理岗须由熟悉本部

门所有工作范围、职责以及流程;工作认真负责，具有一定的理

解和判断能力;必须能够长期、稳定负责此项工作的人员担任。

16

各部门的风险管理人员向本部门负责人汇报工作，并接受审

计部风险管理相关的业务指导、业务管理和业绩考核，其工作职

责是：

a）负责本部门的风险管理报告；

b）负责对本部门月度工作计划、预算及工作总结提出风险

管理相关意见；

c）参预本部门重大事项决策，提出有关风险管理方面的意

见。

对存在重大风险的事项有权直接向审计部汇报；

d）协助部门负责人组织实施本部门重大风险管理解决方

案，并负责对该风险的日常监控；

e）负责对本部门风险管理有效性进行自评，提出相关改进

意见；

f）负责协助相关部门建设本部门的风险管理信息系统；

g）办理风险管理其他有关工作。

6规定

6.1风险评估步骤

6.1.1审计部每季确定风险评估范围，即关键业务和事项，

制定“风险登记表”和风险评估的计分标准，发到各部门，并确定

报告的时间和频率。

17

其中，“风险登记表”应至少包括风险名称、风险事件描述、风

险原因分析、现有控制描述、风险可能性和影响分析、风险评价、

风险应对、负责部门等；

6.1.2各部门风险管理人员负责“风险登记表”的填写和报

送工作。

部门风险管理人员须按照本实施细则“风险评估基本流程”

有关规定，对本部门相关的关键业务和事项中的风险进行评估，

整理并填写到“风险登记表

各部门负责人对“风险登记表”出具复核意见后，风险管理人

员在规定时间内报送审计部；

6.1.3审计部风险管理专职人员汇总平衡各部门风险评估情

况，并对重要业务和事项的风险评估结果，组织相关人员进行复

核和验证，撰写公司风险评估报告，报部门负责人审核；

6.1.4公司风险管理工作办公室主任负责组织风险管理工作

办公室成员审阅并签署意见后，报送公司风险管理领导小组审批。

6.2风险评估基本流程风

险评估基本流程包括：

a）采集风险管理初始信息；

b）确定重要业务/事项；

18

c）风险辨识；

d）控制有效性和落实度复核；

e）风险分析；

f）风险评价；

g）风险应对。

6.2.1采集风险管理初始信息

a）战略风险方面，由办公室负责采集；

b）财务风险方面，由财务部负责采集；

c）市场风险方面，由生产计划部负责采集；

d）运营风险方面，由运行部、维修部、仪控室、采购部、

合同部、技术部、安全部负责采集；

e）法律风险方面，由合同管理部负责采集；

f）安全风险方面，由安全部负责采集；

g）工程风险方面，由工程计划部负责采集；

h）审计部风险管理专职负责对采集的初始信息应进行必要

的筛选、提炼、对照、分类、组合，以便进行风险评估。

6.2.2确定重要业务/事项

a）确定重要会计科目和披露事项

（1）定量标准

1）普通应选择合并财务报告税前利润的5%作为确认重要会

19

计科目的定量标准；

2）为了确保重要会计科目不被遗漏，在确认重要会计科目

时，将指标降低50%,即按税前利润的2.5%作为重要会计科目确

认的定量标准；

3）凡是会计科目的当期余额或者发生额大于或者等于定量

标准（即税前利润的2.5%）的，直接确认为重要的会计科目，对

于会计科目的当期余额或者发生额小于定量指标的，从定性的角

度，确认是否属于重要会计科目。

（2）定性因素

1）会计科目核算的业务存在较大的错误和舞弊的可能性；

2）会计科目核算的业务所包含的交易数量、复杂程度和类似

程度；

3）会计科目相关的交易事项本身具有较强经营风险，可能存

在重大的财产损失；

4）与或者有负债相关的会计科目，存在潜在的损失和支付

风险；

5）木年度新发生的交易或者行为。

（3）重要会计科目的定量和定性评价

1）对于资产负债表上的项目，将期末余额与定量标准进行比

较，期末余额大于或者等于定量标准的，即确认为重要会计科目

20

2）对于利润表上的项目，将当年发生额与定量标准进行比

较，当年发生额大于或者等于定量标准的，即确认为重要会计科

B;

3）对于未达到定量标准的其他会计科目，进行定性分析，

符合相关条件的确认为重要会计科目。

b）确定业务流程

与重要会计科目相关的业务流程/事项都纳入到风险管理范

围内。

但一些与重要业务和经营关系不密切并且对财务报表不具

有重要影响的流程，则不纳入范围。

例如：与存货科目相关的业务流程包括销售、存货管理、期

末存货盘点、采购、成本核算等。

在考虑本身所在行业的特点，以及造成错报风险的高低，判

断是否将该流程纳入工作范围。

并且，通常情况下，不需要评估整个成本核算流程，只需要

评估确保期末存货价值准确的那部份流程。

6.2.3风险辨识

a）风险辨识的目的

风险辨识是指查找公司各业务单元、各项重要经营活动及其

重要业务流程中有无风险，有哪些风险。

风险辨识的主要目的是考虑在公司所部环境和条件下，对公

21

司实现其目标有影响的未来的不确定性。

b）风险辨识的步骤

1）从关键业务或者事项出发，针对这些关键业务或者事项，

理解业务的性质及所要实现目标的实质，考虑实现目标的关键成

功因

素，考虑和找寻在实现目标过程中内部和外部的风险事件。2）

识别内部风险，应关注下列因素：①董事、监事、

总经理及其他高级管理人员的职业操守、员

工专业胜任能力等人力资源因素。②组织机构、

经营方式、资产管理、业务流程等管理因素；③研究开辟、

技术投入、信息技术运用等自主创新因素；④财务状况、

经营成果、现金流量等财务因素；⑤营运安全、员工

健康、环境保护等安全环保因素；⑥其他有关内部风险

因素。3）识别外部风险，应关注下列因素：

①经济形势、产业政策、融资环境、市场竞争、资源供给等

经济因素；

②法律法规、监管要求等法律因素；

③安全稳定、文化传统、社会信用、教育水平、消费者行为

等社会因素；

④技术进步、工艺改进等科学技术因素；

.22.

⑤自然灾害、环境状况等自然环境因素；

⑥其他有关外部风险因素。

4）归纳风险类型，即将辨识的风险归纳到战略风险、财务风

险、市场风险、运营风险、法律风险、；安全风险、工程建设风

险等类型。

c）风险辨识的方法

1）流程图法。

采用流程图法辨识风险时，又分为两种方式，首先是静态地

按照现有流程的顺序，逐一查找每一个流程内部关键业务或者事

项所涉及的控制活动的潜在风险;其次是动态地着眼于流程与流

程之间的关系，找出流程连接环节可能存在的潜在风险。

通过分析每一个相关环节或者连接环节所涉及活动的输入、

处理和输出过程中，以分析可能存在的风险；

2）专家访谈法。

该方法是指针对特定命题，对具有相当资历及代表性的专家

进行访问或者组织谈话，综合分析访谈内容后，得出研究结论；

3）其它定性与定量方法相结合的方法。

定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、

政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈

和调查研究等。

23

定量方法可采用统计推论（如集中趋势法）、计算机摹拟（如

蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。

6.2.4控制有效性和落实度复核

a）描述现有风险控制/减轻活动/策略，主要内容包括：针

对该风险，采取的态度和措施;具体负责部门和岗位;相关公司制

度，或者没有相关制度规定，但具体做的工作；

b）复核控制设计有效性。

控制设计有效性包括：“几乎所有方面控制有效”、"大多数方面

控制有效'、，部份控制有效'、，控制无效'、，没有对速制'；

c）复核控制落实度c

控制落实度包括：“几乎所有方面控制彻底落实”、“大多数方面

控制落实，、“部份控制落实，、“控制未落臾、，无法落实

6.2.5风险分析

风险分析包括考虑风险事件、风险原因、风险发生的可能性、

可能产生的影响。

同时，风险分析也包括评估现有控制或者措施的有效性。

有效的控制可以减低风险发生的可能性或者影响程度。

风险分析的步骤：首先按照风险事件的性质和风险原因选择

分析时计分的标准;其次根据该标准并结合现有控制或者措施的

有效性等信息和资料进行评分。

24

所有可能性的分值与影响的分值相乘，就是该风险的得分。

6.2.6风险评价

风险评价是指根据风险分析步骤中得出的风险值对识别出

的风险进行排序，确定关键风险，以便进一步决策未来需采取的

行动。

决策内容包括：某个风险是否需要采取应对措施，某些活动

是否需要进行风险应对，以及风险应对的优先顺序等。

进行风险评价时，须考虑公司的风险偏好，将评估出来的风

饿吩为极高'、"高’、“中"、‘低'、“极低”五个风险领域。

6.2.7风险应对

风险应对是指选择和运用具体措施对风险进行管理的过程,

风险应对的目的是将剩余风险控制在风险容忍度以内。

公司应综合运用风险规避、风险降低、风险分担和风险承受

等风险应对策略，实现对风险的有效控制。

设计风险应对方案时的步骤：

a）整体风险组合观；

b）改善和解决深层次问题；

c）消除或者减少风险发生的可能性；

d）减轻风险产生的不利影响；

e）确定具体的应对措施并落实到责任单位。