（1）明确风险类型 （2）制定风险偏好、容忍度、预警指标 （3）风险评估标准 （4）根据风险管理理论与实践，逐步形成风险管
理制度
（1）明确风险类型
根据对风险做出应对策略所在层面的不同，可以将风险分为： ①公司层面风险 例如：公司风险管理报告、企业风险管理报告（关注重大风 险） ②业务层面风险 公例司如层：面 内重控大手风册险中，财高务于报业告务风层险面、但投又资与、业资务 本层运面营结等合业务的 不经同营层级管控不同的风险，主要分三个层面，包括公司层面 管控的重大风险、企业管理层管控的重大风险、业务操作层 面管控的重要风险。
规范中的目标、 风险类型
企业风险管理框架八要素 ◇控制环境 ◇目标设定 ◇事项识别 ◇风险评估 ◇风险反应 ◇控制活动 ◇信息与沟通 ◇监督
建立风险评估基础： ①外部基础 ②内部基础 ③风险管理相关的内容
识别风险
沟 通
分析风险 明确现有风险：
结果、可能性、风险水平
监 控
及
及
协
评
商
评估风险
价
应对
N
风险
（2）风险偏好
风险偏好是指为了实现目标，企业在承担风险的种类、大小 等方面的基本态度
风险偏好一个企业在追求价值的过程中愿意接受的风险水平。 风险偏好反映了企业风险管理的理念，反过来又影响企业文 化和经营风格。 制定风险偏好时要充分考虑风险承受能力。
（2）容忍度
容忍度指标选择：根据公司生产经营指标或管理目标、KPI 指标等，选择合适的风险容忍度指标。 例如：投资业务—投资回报率、投资计划完成率； 销售业务—市场份额、零售总量； 资产管理业务—资产周转率； 员工关系方面—投诉事件数量； 人力资源管理业务—员工总量； 产线业务—操作风险损失率
经营目标
与使用企业资源进行经营 的效果和效率相关，包括 业绩和盈利能力目标和保 护资产安全的目标。
报告目标
与企业报告的可能性相关， 包括企业内部和外部的报 告，既包括财务信息，也 包括非财务信息。
合规目标
与企业对其适用的 相关法律和法规的 遵循性相关。
（2）收集目标
（3）分解目标
在确立目标时，首先把关注点放在企业 战略目标上，制定企业层面的各个业务 的经营目标等相关目标，以保证企业使 命或愿景的实现。
法兴悲剧警示 我们
再严密的规章制度，再安全的电脑软件，都可能存 在漏洞、死角！ 对于风险管理，决不能掉以轻心。 特别是在市场繁荣之际，应警惕因盈利而放松正常 监督。
一、规章出台背景
（一）国外风险管理监管要求 （二）国内风险管理制度 （三）公司风险管理实践
（一）国外风险管理监管要求
1.COSO（COSO Ⅱ）企业风险管理框架
企业风险评估培训
—教育训练中心
目录 一、风险评估 二、管理责任
一、风险评估
什么是
过去常见的风险 • “风险是损失的可能性”
风险
• “风险是损失的机会”
• “风险是可能造成的损失”
• “风险是未来的不确定性的状态”
• “风险是结果的不确定性”
现行标准的定义
（1）《风险管理 原则与 实施指南》（中国国家 标准GB/T 24353-2009）
建立风险评估基础
目标设置与分解
信
风险识别
监
息
督
与 沟
风险分析
与 检
通
查
风险评价
风险应对
建立风险评估基础
目标设置与分解
风险识别
信
息
与 沟
风险分析
通
风险评价
风险应对
目的：为之
后的风险评
估流程奠定
基础
主要内容包
括：
监
（1）确定风
督 与
险管理的目
检
标和范围
查
（2）建立风
险管理的语
言和标准
1.建立风险评估基础
• 同时也要评估企业管控能力，合理确定重大风险个数。
（2）管理层偏好法
• 适用于问卷调查法、头脑风暴法等多种风险分析方法得出 的结论。
• 管理层充分考虑管控能力（人力、财力、物力等管理资源） 大小，如何优化、合理配置，以及风险管理的紧迫性等因 素，确定管理重大（重要）风险个数。
建立风险评估基础
目标设置与分解
风险分析
与
现。
检
通
查Hale Waihona Puke 风险评价 风险应对主要内容：
（1）目标分类 （2）收集目标 （3）分解目标
（1）目标分类
借鉴COSO的ERM框架的目标分类方法（如下图），将企业
目标分为战略目标、经营目标、报告目标、合规目标。（风
险分类的依据）。可以使管理者注意到企业风险管理的不同
方面。
战略目标
企业的高层次目标与企业 的使命或愿景相联系并支 持漆其实现。
（2）风险预警指标
为提前采取措施预防风险事件发生而在风险容忍度范围 内设置的警示界限。 根据实际，可以是定量，也可以是定性，或者二者相结 合。
预警指标选择： 根据可以参考部分咨询公司的行业数据库、外部同行业 上市公司披露的公开数据、国资委企业绩效评价标准值 中的行业对标值、公司关键绩效考核指标（KPI）等， 还包括预警迹象，选择合适的风险预警指标。可参考承 受度指标的选择。
风险分析
监 督 与
（重要）风险，为风险 应对奠定基础。
检
通
查
主要内容：
风险评价
（1）加权平均计算法 （2）管理层偏好法
风险应对
（1）加权平均计算法
• 适用于采用问卷调查法（评分式调查问卷），对风险进行 评分得出结论的情况
• 在前述评分结果基础上，计算加权平均风险值，根据本单 位风险等级分值，确定重大（重要）风险。
结合风险管理工作的目标和范围，确定 目标收集的范围。
结合实际设计工作模板，便于收集、分 解目标。（不限于集团公司公司风险管 理报告中设计的目标设置与分解一览表 一种形式）
将收集的相 关目标进行 层层分解， 分解到相应 层级，便于 识别相应层 级的风险
公司战略 发展目标 保障措施
进一步分解到子目标（生产经营指标/管理指标/工作目标/KPI指标）
风险应对
（1）信息收集 围绕具体目标，收集相关信息，并进行分析、整理， 为风险识别做准备
（2）识别方法 围绕目标，充分运用收集的上述信息，选择 合适的方法识别风险
（3）风险数据库 将识别的风险记录到风险数据库中。风险数据库是 下步风险分析的基础。
易菊风险管理目标何业务，设计风险数据库模板。 （公司层面/业务层面） 同一风险数据库中的风险描述要在同一层级上。 风险点描述简洁明了，与风险应对措施区分开
（1）确定风险管理的目标和范围 在什么层面、围绕什么业务开展风险管理工作，形成什么成果和机制 （2）确定风险管理的范围 根据目标，确定涉及的具体的业务及部门、单位 （3）确定风险管理组织，明确职责 （4）制定工作计划 详细，具有可操作性 （5）形成工作方案或计划 经相应层级领导审批后实施
1.建立风险评估基础
风险识别
信
监
息
督
与 沟
风险分析
与 检
通
查
风险评价
风险应对
（1）确定风险责任部门 • 依据目标设置与分解情况，结合部门职责，确定风险责任
Y
应对风险： ①识别并评估选择权 ②准备及执行计划 ③分析及评估剩余风险
ISO31000风险管理标准
（1）国际标准组织（ISO）于2005年2月决定制定风险管理 通用标准 （2）经过几年的工作，该标准已经ISO各成员国的标准组织 投票通过，已于2009年12月颁布 （3）ISO31000的目的是提供共同的基础，以促进和协调而 不是替代现存的各种标准，如ISO9001和ISO17799等 （4）ISO31000的特点是应用范围极广，适用于任意规模的 所有组织，并因此仅定义了风险管理的一般程序，而略去了 有关体系设置的所有内容
风险评估
范围：
本标准适用于公司层 面、业务层面等的风 险评估工作
总体要求：
应有明确目标，并制定风险 发生的可能性和影响程序的 标准；
开展风险评估应建立一支风 险评估团队，充分收复企业 各类人员的意见；
风险评估结果具有一定的时 效性，企业ing根据内外部 形势的变化持续开展风险评 估。
二、风险管理程序及方法
企业风险管理是一个收到企业董事会、管 理层和其他人员影响的过程，这个过程从 企业战略制定一直贯穿到企业的各项活动 中，旨在识别那些可能影响企业的潜在事 件并管理风险使之在企业的风险偏好之内， 从而合理确保企业实现其既定目标。
企业风险 管理概念
企业风险管理框架所对 应的企业目标 ◎战略目标 ◎经营目标 ◎报告目标 ◎合规性目标
ISO31000风险管理过程
沟通和协商
建立环境 风险 评估
风险识别
风险分析
风险应对
监督和评审
（二）国内风险管理制度
1.国资委—全面风险管理指引 2006年6月，国资委印发了《中央企业全面风险 管理指引》（以下简称《指引》），要求“中央 企业根据自身实际情况贯彻执行本指引”。 全面风险管理，指企业围绕总体经营目标，通过 在企业管理的各个环节和经营过程中执行风险管 理的基本流程，培育良好的风险管理文化，建立 健全全面风险管理体系，包括风险管理策略、风 险理财措施、风险管理的组织职能体系、风险管 理信息系统和内部控制系统，从而为实现风险管
目的：目标的设置是风险评
估的前提，只有先确立了目
建立风险评估基础
标，才能针对目标识别、分
析影响目标的实现的风险，
并采取必要应对措施来管理
目标设置与分解
风险。通过目标的层层分解，
将实现目标，防范风险的责
信 息
风险识别