公司战略与风险管理课件

戰略與戰略管理第一节公司战略的涵义、分类第二节公司战略管理

1.1公司戰略的涵義、分類

1.1.1公司战略的涵义1.1.2公司战略的分类1.1.1公司戰略的涵義

核心思想：從1962年錢德勒（AlfredD.Chandler）首次在商業管理中提出戰略的概念以來，戰略在商業領域得到了廣泛的重視和應用。不同的管理學家或戰略實踐者對企業戰略下了不同的定義，其側重點不盡相同，有些強調戰略與企業目標之間的關係，有些著重環境機會與企業優勢的匹配，而有些則強調戰略的主觀意志和心理特徵。1.1.2公司戰略的分類

1.2公司戰略管理

1.2.1战略管理的内涵1.2.2战略管理的发展1.2.3战略管理变革1.2.1戰略管理的內涵

安索夫認為，戰略管理是企業高層管理者為保證企業的持續生存和發展，通過對企業外部環境與內部條件的分析，對企業全部經營活動所進行的根本性和長遠性的規劃與指導。斯坦納（SteinerG.A.）認為，戰略管理是確定企業使命，根據企業外部環境和內部條件設定企業目標，保證目標的正確落實並使企業使命最終得以實現的動態過程。戴維（FredR.David）認為戰略管理是一門關於制定、實施和評價使組織能夠實現其目標的跨職能決策的藝術與科學。戰略管理致力於對市場行銷、財務會計、生產作業、研究與開發及資訊系統進行綜合的管理，以實現企業的成功。羅賓斯（StephenP.Robbins）認為，戰略管理是一組管理決策和行動，它決定了組織的長期績效；且戰略管理包含了所有的基本管理職能，即組織的戰略必須被計畫、組織、實施和控制。中國學者魏江認為，戰略管理是一組管理活動，它定義了組織長期的發展方向和業務範圍，要求組織根據環境變化動態配置資源，不斷滿足利益相關者的期望，構築組織持續競爭優勢。1.2.2戰略管理的發展

1.以環境分析為基礎的戰略管理理論企業戰略的基點是適應環境；企業戰略的目標在於提高市場佔有率並盈利；企業戰略的實施要求組織結構的變化與適應。1.2.2戰略管理的發展

2.以產業結構分析為基礎的戰略管理理論選擇有吸引力、潛在利潤高的產業；在已選擇的產業中確立優勢地位。1.2.2戰略管理的發展

3.以資源和能力為核心的戰略管理理論每個組織都擁有自己獨特的資源和能力，這是組織利潤的源泉和制定戰略的基礎；在同一產業中競爭的企業不一定擁有相同的戰略資源和能力；資源不能在組織間自由流動，正是這種資源的差異性構成了企業競爭優勢的基礎。1.2.3戰略管理變革

1.戰略變革的原因企業戰略滯後日益複雜的環境來自利益相關者的壓力企業複雜系統的制約企業成長階段的改變1.2.3戰略管理變革

2.戰略變革的類型按範圍和程度分類：漸進性變革、革命性變革按具體內容分類：技術變革、產品和服務變革、結構和體系變革、人員變革1.2.3戰略管理變革

3.戰略變革的過程本章思考題1.有哪些與戰略管理的興起與發展相關的重要理論?2.簡述總體戰略的三種類型？3.舉例說明三種代表性的競爭戰略4.簡述戰略變革的類型5.簡述戰略變革面臨的障礙以及克服這些阻力的策略？戰略分析2.1确定公司的使命、愿景和目标2.2环境分析2.3战略制定2.4战略实施2.5战略评价与控制

2.1確定公司的使命、願景和目標

2.1.1使命2.1.2愿景2.1.3目标2.1.1使命

使命是對組織目的的陳述，它闡述了企業存在的根本理由。使命一般包括公司目的、公司宗旨和經營哲學三個方面：公司目的是企業組織的根本性質和存在理由的直接體現。公司宗旨闡述公司長期的戰略意向，並具體明公司目前和未來所從事的經營業務範圍。經營哲學是公司為其經營活動確立的價值觀、基本信念和行為準則，是企業文化的高度概括。2.1.2願景

基本概念：公司的願景是為企業描述的未來發展方向，回答企業要成為一個什麼類型的公司、要占什麼樣的市場位置、具有什麼樣的發展能力等問題。2.1.3目標

公司的目標是公司使命和願景的具體化，是企業根據內外部條件設定的在一定時期內預期要達到的成果。我們可以通過建立一個目標體系把公司的使命和願景轉換成具體的業績標準，這個目標體系可以從財務目標和戰略目標兩個維度來建立。財務目標可以是更高的收益增長率、市場佔有率、股利增長率、投資回報率。戰略目標主要是提高公司的經營業績和經營結果。

2.2環境分析

2.2.1外部环境分析2.2.2内部环境分析2.2.3SWOT分析2.2.1外部環境分析1.宏观环境分析2.产业环境分析2.2.1外部環境分析1.宏觀環境分析：PEST分析模型2.2.1外部環境分析2.產業環境分析：五力模型2.2.2內部環境分析1.资源分析2.

能力分析3.核心能力分析4.价值链分析5.业务组合分析2.2.2內部環境分析1.資源分析：企業資源就是企業可以獲取和整合的與企業價值創造活動有關的各種要素。企業資源包括有形資源和無形資源有形資源是指那些可見的、可量化的資產，主要包括物質資源、財務資源、技術資源以及組織資源。無形資源通常是公司最重要的競爭性資產，包括各種人力資源和智力資源，以及公司的品牌、形象和聲譽資源。2.2.2內部環境分析2.能力分析：企業能力是指企業所擁有的利用和整合企業資源實現企業經營目的所需的各種知識、方法、技巧、經驗等。研發能力生產管理能力行銷能力財務能力組織管理能力2.2.2內部環境分析3.核心能力分析：對企業核心競爭優勢至關重要的一種或多種能力，也就是企業在競爭中處於優勢地位的強項，是其他對手很難達到或者無法具備的一種能力，可以給企業帶來長期競爭優勢和超額利潤有價值的稀缺的難以模仿的不可替代的2.2.2內部環境分析(1)价值链的两类活动(2)价值链确定(3)企业资源能力的价值链分析4.價值鏈分析

(1)價值鏈的兩類活動

1）基本活動：又稱主體活動,是指生產經營的實質性活動。

(1)價值鏈的兩類活動

2）支持活動又稱輔助活動,是指用以支持基本活動而且內部之間相互支持的活動。

(1)價值鏈的兩類活動

3）價值鏈圖解（2）價值鏈確定為了在一個特定產業進行競爭並判定企業競爭優勢,有必要確定企業的價值鏈。價值鏈中的每一項活動都能進一步分解為一些相互分離的活動。分離這些活動的基本原則是:具有不同的經濟性；對產品差異化的潛在影響；在成本中所占比例很大或所占比例在上升。(3)企業資源能力的價值鏈分析

確認那些支持企業競爭優勢的關鍵性活動。明確價值鏈內各種活動之間的聯繫。明確價值系統內各項價值活動之間的聯繫。2.2.2內部環境分析(1)波士顿矩阵(2)通用矩阵5.業務組合分析

(1)波士頓矩陣

將企業全部產品或業務放在一個由市場增長潛力和市場佔有率構成的矩陣中進行分析。幫助企業判斷各個產品或者業務在企業產品或者業務組合中的位置及其面臨的戰略問題。

企業全部經營業務的四種類型

(2)通用矩陣

通用矩陣模型的實質是把外部環境因素和企業內部實力歸結在一個矩陣內,並以此進行經營戰略的評價分析。幫助企業評價一個企業的業務單元組合的強弱,並以此為基礎進行戰略規劃。2.2.3

SWOT分析SWOT分析是基於內外部競爭環境和競爭條件的態勢分析。S指企業內部的優勢(Strength)W指企業內部的劣勢(Weakness)O指企業外部環境的機會(Opportunity)T指企業外部環境的威脅(Threat)2.2.3

SWOT分析

(1)增長型戰略(SO):該戰略是利用公司的內部優勢把握外部機會。(2)多種經營戰略(ST):該戰略是利用企業的優勢,回避或減少外部威脅的衝擊。(3)扭轉型戰略(WO):該戰略旨在借助外部機會彌補內部劣勢。(4)防禦性戰略(WT):該戰略是一種彌補內部劣勢並規避外部威脅的防禦性策略。2.3戰略制定总体战略竞争战略职能战略2.3.1總體戰略總體戰略是企業最高決策層指導和控制企業的最高行動綱領，其研究對象是由相對獨立的業務組合而成的企業總體，研究的主要內容包括兩個方面：應該做什麼，即確定企業的使命和目標體系，確定企業活動的範圍和重點，以及企業投資決策等一系列關鍵因素；合理配置資源，即企業高層決策者以最有利於提高企業績效為目標，權衡經營活動對企業內部資源的需要，力爭將有限資源的效用發揮到最佳2.3.2競爭戰略競爭戰略是在總體戰略的指導下，經營管理某一特定的戰略業務單元的戰略計畫，由戰略業務單元根據總體戰略決定的業務組合和各業務的地位和發展方向，確定經營活動的競爭策略和資源配置，是總體戰略下的子戰略。競爭戰略主要涉及在各細分市場中的競爭；重點是要使戰略業務單元在產業的特定細分市場或領域中取得較好的經營業績，構建可持續的競爭優勢。2.3.3職能戰略職能戰略是為企業戰略和競爭戰略服務的，必須與企業戰略和競爭戰略相配合。職能戰略則是強調“正確地做事”或者說“把正確的事做好”，企業職能戰略更為詳細、具體，更具有可操作性。一般包括財務戰略、生產運營戰略、研發戰略、採購戰略、行銷戰略、人力資源戰略。2.4戰略實施公司治理组织结构战略领导力2.4.1公司治理公司治理是指用來管理利益相關者之間的關係，決定並控制組織戰略方向以及組織業績的一套機制。公司治理的核心是尋找各種方法來確保決策的有效指導，並促使公司獲取戰略競爭力。公司治理機制還可以堪稱是建立和維持利益衝突各方（公司所有者和管理者）之間的和諧關係的一種方式。2.4.1公司治理現代公司主要使用三種內部治理機制（所有權結構、董事會、管理者報酬）和一種外部治理機制（公司控制權市場）。所有權結構是由公司股東的數量以及他們持有的公司股權的整體比例所決定。董事會是指由股東選舉的一些人組成的集體，他們的主要職責是通過正式地監督和控制高層管理者來實現股東利益最大化管理者報酬是一種尋求通過工資、獎金和長期激勵（如股票和期權），來使管理者和所有者的利益相一致的公司治理機制公司控制權市場是公司的內部治理機制失效時才發揮作用的外部治理機制2.4.2組織結構組織結構詳細指明了公司的正式報告關係、程式、控制、授權以及決策制定程式。簡單結構：公司的所有者兼經營者直接做出所有主要決定，並監督所有活動，員工只是來提供服務。職能型結構：由一位CEO和有限的員工組成，在占主導地位的職能領域（如生產運營、財務、行銷、研發、人力資源、採購）設置職能型管理者。事業部型結構：由一個公司總部和幾個運營部門組成，每一個運營部門代表著一項獨立業務或利潤中心，公司總部授權部門經理負責本部門的日常運作和戰略決策2.4.3戰略領導力戰略領導力是指預測事件、展望未來、保持靈活性並促使他人進行所需的戰略變革的能力。有效的戰略領導力由四個關鍵領導行動組成：確定公司的戰略方向。有效地管理公司的資源組合。維持有效的組織文化強調道德準則2.5戰略評價與控制確定評價標準：評價標準被用來確定戰略措施或計畫是否達到戰略目標。評價戰略績效：是指將實際業績與確立的評價標準相比較，找出實際業績與評價標準的差距及其產生的原因。回饋與糾偏：對通過評價戰略績效所發現的問題，必須針對其所產生的原因採取糾正措施，這是戰略控制的目的所在。本章思考題1.分析企業的外部環境需要從哪些方面入手?2.運用五力模型簡要分析你所熟悉企業具備的競爭優勢。3.如何分析企業的資源和能力？4.什麼是企業的核心競爭力?其評價標準是什麼?5.企業在分析自身的資源和能力，從而構築其競爭優勢的過程中，是如何體現價值鏈分析方法的?6.簡述公司業務組合分析的主要方法。風險管理概述3.1風險的概念、構成要素3.2風險的分類3.3

風險管理的含義、目標與演進

3.1風險的概念、構成要素

3.1.1风险的概念3.1.2风险的构成要素3.1.1風險的概念風險是可以預測的不確定性（弗蘭克·奈特）。

風險指損失的不確定性。風險指事件未來結果的不確定性。風險指實際結果與預期結果的偏差。風險是不確定性對目標的影響（ISO

310000）。3.1.1

風險的概念風險是一個事項將會發生並給目標實現帶來負面影響的可能性（COSO

2004）。風險是未來的不確定性對企業實現其經營目標的影響（《中央企業全面風險管理指引》）。風險是事項發生並影響實現戰略和經營目標的可能性（COSO

2017）。3.1.2

風險的構成要素風險的構成要素包括：風險因素、風險事件(事故)、損失風險因素(hazard)：引起或增加風險事故發生的機會或擴大損失程度的原因和條件。實質風險因素：又稱物理風險因素,是有形的並能直接影響事物物理功能的因素。道德風險因素：與人的品德修養有關的無形因素,即由於個人不誠實、不正直或不軌企圖促使風險事故發生,以致引起社會財富損毀或人身傷亡的原因和條件心理風險因素：與人的心理狀態有關的無形因素,即由於人們主觀上的疏忽或過失,以致增加風險事故發生的機會或擴大損失程度的原因和條件。3.1.2

風險的構成要素風險事件(事故)：損失發生的原因。損失：指非故意的、非預期的和非計畫的經濟價值的減少。必要條件：1.非故意的、非預期的和非計畫的;

2.經濟價值,即損失必須能以貨幣來衡量風險因素、風險事故與損失三者的關係：風險是由風險因素、風險事故和損失三者構成的統一體。3.2風險的分類3.2.1

常見的風險分類3.2.2國際標準化組織和監管機構的風險分類3.2.1

常見的風險分類純粹風險和投機風險靜態風險和動態風險財產風險、人身風險、責任風險和信用風險自然風險、社會風險、經濟風險和政治風險客觀風險和主觀風險可分散風險和不可分散風險3.2.2國際標準化組織和監管機構的風險分類COSO的分類:戰略風險、經營風險、報告風險、合規風險ISO的分類:因素類風險、控制類風險、機會類風險巴塞爾委員會的分類:市場風險、信用風險、操作風險國資委的分類:戰略風險、財務風險、市場風險、運營風險、法律風險;純粹風險和機會風險五部委的分類:3.3風險管理的含義、目標與演進3.3.1风险管理的含义3.3.2

风险管理的目标3.3.3

风险管理的历史演进3.3.1風險管理的含義COSO

2004：一個由董事會、管理層和其他人員實施、應用於戰略制定並貫穿於企業之中,旨在識別可能會影響主體的潛在事項並管理風險,以使其在該主體的風險容量之內,並為主體目標的實現提供合理保證的過程。COSO

2017：組織在創造、保持和實現價值的過程中,結合戰略制定和執行,賴以管理風險的文化、能力和實踐。3.3.1

風險管理的含義國資委：全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理資訊系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。ISO

31000：一個組織對風險的指揮和控制的一系列協調活動。3.3.1

風險管理的含義企業風險管理發展至今,表現出以下幾方面的特徵:戰略為先全員參與強調專業化二重性系統管理3.3.2風險管理的目標2004年COSO《企業風險管理——整合框架》將風險管理的目標分為戰略目標和相關目標,相關目標又包括經營目標、報告目標和合規目標。戰略目標：高層次的目標,它與主體的使命或願景相協調,並支持後者。相關目標經營目標：與主體經營的效果和效率有關,

包括業績、盈利目標和保護資源不受損失。報告目標：與報告的可靠性有關，包括內部和外部報告,可能涉及財務和非財務資訊。合規目標：與符合相關法律和法規有關。3.3.2風險管理的目標2006年國資委《中央企業全面風險管理指引》中的目標表述：確保將風險控制在與公司總體目標相適應並可承受的範圍內；

確保內外部,尤其是企業與股東之間實現真實、可靠的資訊溝通,包括編制和提供真實、可靠的財務報告；確保遵守有關法律法；確保企業相關規章制度和為實現經營目標而採取的重大措施的貫徹執行,保障經營管理的有效性,提高經營活動的效率和效果,降低實現經營目標的不確定性；確保企業建立針對各項重大風險的危機處理計畫,保護企業不因災害性風險或人為失誤而遭受重大損失。3.3.3風險管理的歷史演進朴素的风险管理思想萌芽阶段科学的风险管理发展阶段(一)樸素的風險管理思想萌芽階段東方的風險管理思想萌芽後備倉儲制度西方的風險管理思想萌芽《漢穆拉比法典》共同海損(generalaverage)分攤原則(二)科學的風險管理發展階段(二)科學的風險管理發展階段（1）以量化分析為基礎的風險管理概率論和統計學構成了風險量化的數理基礎。Markowitz（1952）提出了具有跨時代意義的資產組合理論，將風險分析的視角從單一資產拓展到多種資產的組合。BlackandScholes（1973）則奠定了現代衍生品定價的理論基礎。(二)科學的風險管理發展階段（2）以行為分析為基礎的風險管理原始前景理論主要關注個體在風險決策過程中的行為偏差，提出並檢驗了框架依賴偏差、直覺偏差，確定性效應、孤立效應、反射效應等理論模型。累積前景理論則通過引人累積函數，將前景理論的解釋範圍從個體層面拓展至總體層面。第三代前景理論起源於對風險偏好逆轉現象的解釋，該理論提出，當決策權重被指定為等級依賴時，參考點可以不確定。(二)科學的風險管理發展階段（3）以管理控制為基礎的風險管理內部控制整合階段：內部牽制階段、內部控制制度階段、內部控制結構階段、內部控制整體框架階段（COSO

1992）整合式風險管理階段（COSO

2004）(二)科學的風險管理發展階段整合式風險管理階段（COSO

2017）(二)科學的風險管理發展階段以管理控制為基礎的風險管理演進及相互關係本章思考題1.在不同的情境下,人們對風險的內涵是如何界定的?2.風險的三要素是什麼?它們之間有什麼樣的關係?3.不同框架體系下風險管理的內涵有何不同?4.風險管理大致經歷了哪幾個發展階段?每個階段的特點及代表性成果是什麼?風險管理流程4.1國際標準化組織和監管機構風險管理框架流程4.2

風險管理流程總結

4.1國際標準化組織和監管機構風險管理框架流程

4.1.1

COSO风险管理框架流程4.1.2

ISO风险管理框架流程4.1.3

国资委全面风险管理框架流程4.1.4

五部委内部控制规范框架4.1.5

风险管理框架流程的比较

4.1.1COSO風險管理框架流程

1.

2004年COSO《企业风险管理——整合框架》的框架流程2.

2017年COSO《企业风险管理——整合战略与绩效》的框架流程1.2004年COSO《企業風險管理——整合框架》的框架流程1.

2004年COSO《企業風險管理——整合框架》的框架流程內部環境——管理當局確立關於風險的理念,並確定風險容量。目標制定——必須先有目標,管理當局才能識別影響實現該目標的潛在事項.風險識別——必須識別可能對主體產生影響的潛在事項,涉及從影響目標實現的內部或外部原因中識別潛在的事項。風險評估——要對識別的風險進行分析,以便形成確定應該如何對它們進行管理的依據。風險應對——員工應識別和評價可能的風險應對,包括回避、承擔、降低和分擔風險。控制活動——制定和實施政策與程式以確保管理當局選擇的風險應對得以有效實施。資訊與溝通——相關的資訊能確保員工履行職責的方式和時機得到識別、獲取和溝通。監督——對企業風險管理進行全面監控,必要時加以修正。2.

2017年COSO《企業風險管理——整合戰略與績效》的框架流程

4.1.2ISO風險管理框架流程

1.

ISO31000:2009《风险管理——原则与指南》的框架流程2.

ISO31000:2018《风险管理指南》中风险管理的原则、框架、流程1.

ISO31000:2009《風險管理——原則與指南》的框架流程

2.

ISO31000:2018《風險管理指南》中風險管理的原則、框架、流程

（一）風險管理的原則

1.整合的。風險管理是所有組織活動的組成部分。2.結構化和全面性。風險管理的結構化和全面性有助於獲得一致和可比較的結果。3.定制化。風險管理框架和流程是根據組織與其目標相關的外部和內部環境來制定的,並與其密切相關。4.包容性。需要考慮利益相關方適當和及時的參與,融入他們的知識、觀點和看法。這可以增強風險意識並明智地管理風險。5.動態的。隨著組織內部和外部環境的變化,風險可能會出現、變化或消失。風險管理會以適當和及時的方式預測、監督、掌握和回應這些變化和事件。6.有效資訊利用。風險管理的輸入基於歷史和當前的資訊以及對未來的預期。風險管理應明確考慮到與這些資訊和期望相關的任何限制和不確定性。資訊應及時、清晰地提供給利益相關方。7.人員與文化因素。人員行為和文化明顯影響著各級和各階段風險管理的各個方面。8.持續改進。通過學習和經驗積累不斷提高風險管理水準。

（二）風險管理的框架

1.整合。整合風險管理依賴於對組織架構和環境的理解。2.設計。在設計風險管理框架時,組織應該檢視並理解其內部和外部環境。3.實施。框架的成功實施需要利益相關方的參與和瞭解。4.評價。為了評估風險管理框架的有效性,組織應該根據其目的、實施計畫、指標和預期行為定期衡量風險管理框架的績效,並確定它是否仍然適合支撐組織目標的實現。5.改進。組織應持續監控和調整風險管理框架,以適應內外部的變化。

（三）風險管理的流程

1.溝通和諮詢。溝通和諮詢的目的是協助利益相關方理解風險、明確做出決策的依據以及需要採取特定行動的原因。2.範圍、環境和準則。確定範圍、環境和準則的目的是有針對性地設置風險管理流程,實現有效的風險評估和恰當的風險應對。3.風險評估。風險評估是風險識別、風險分析和風險評價的整個過程。4.風險應對。風險應對的目的是選擇和實施應對風險的方案。5.監督和審查。監督和審查的目的是保證和提升流程設計、實施和結果的品質和有效性。6.記錄和報告。應通過適當的機制記錄和報告風險管理流程及其成果。

4.1.3國資委全面風險管理框架流程

1.基本流程图2.

《中央企业全面风险管理指引》流程详解1.基本流程圖

2.《中央企業全面風險管理指引》流程詳解

1.收集風險管理初始資訊。廣泛地、持續不斷地收集與本企業風險和風險管理相關的內外部初始資訊,包括歷史數據和未來預測。2.風險評估。企業對收集的風險管理初始資訊和企業各項業務管理及其重要業務流程進行風險評估。3.制定風險管理策略。企業根據自身條件和外部環境,圍繞企業發展戰略,確定風險偏好、風險承受度、風險管理有效性標準,選擇適合的風險管理工具的總體策略。4.提出和實施風險管理解決方案。企業應根據風險管理策略,針對各類風險或每一項重大風險制定風險管理解決方案。5.風險管理監督與改進。企業應以重大風險、業務流程等為重點,對上述四個步驟的實施情況進行監督,採用適當的方法進行檢驗,並且對存在的缺陷及時加以改進。

4.1.4五部委內部控制規範框架

1.五部委内部控制规范体系2.内部控制五大要素1.五部委內部控制規範體系

2.內部控制五大要素

內部環境：企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。風險評估：企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。控制活動：企業根據風險評估結果，採用相應的控制措施，將風險控制在可承受度之內。資訊與溝通：企業及時、準確地收集、傳遞與內部控制相關的資訊，確保資訊在企業內部、企業與外部之間進行有效溝通。內部監督：企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。

4.1.5風險管理框架流程的比較

1.五个风险管理流程的比较2.五个风险管理流程的共同点1.五個風險管理流程的比較

2.五個風險管理流程的共同點

風險管理目標：企業開展風險管理工作應有明確具體的目標,這是風險管理工作的起點;風險管理基礎條件：企業開展風險管理工作應具備的環境、條件與文化;風險評估：通過風險識別、風險分析、風險評價三個步驟,確定風險的等級,進而找出企業的重大風險。風險應對：對評估的風險分別採用風險承擔、風險規避、風險轉移、風險控制的方法進行管理;監督改進：風險管理要隨著外部環境和自身情況的變化不斷改進。

4.2風險管理流程總結

4.2.1目标基础4.2.2风险评估4.2.3

风险应对4.2.4

监督改进

4.2.1目標基礎

1.风险管理目标2.风险管理基础1.風險管理目標

戰略目標經營目標報告目標合規目標

2.風險管理基礎

（1）诚信的价值观（2）称职的董事会（3）基于承受能力的风险偏好（4）有效的组织架构与员工（5）良好的风险管理文化（1）誠信的價值觀

企業價值觀是指企業在追求經營成功過程中所推崇的基本信念和奉行的目標。塑造和堅持企業誠信作為企業的核心價值觀，對形成支撐企業健康發展的獨特文化特徵，健全企業風險管理基礎，推動企業從優秀邁向卓越具有巨大的促進作用。（2）稱職的董事會

作為承擔企業利益相關方受託責任的主體，董事會承擔企業內部風險監督的主要責任，包括對企業風險管理實踐進行檢查。稱職的董事會應能很好地運用自身的專業知識，並通過他們的技能、經驗和業務知識監督企業風險管理。董事會必須瞭解企業的複雜性以及如何通過整合企業風險管理能力和實踐提升企業價值。為保證風險管理有效，董事會整體上應該是獨立的。（3）基於承受能力的風險偏好

風險偏好是企業希望承受的風險範圍，分析風險偏好要回答的問題是公司希望承擔什麼風險和承擔多少風險。風險承受度（也稱風險容限、風險極限）指企業風險偏好的邊界，分析風險承受度可以將其作為企業採取行動的預警指標，企業可以設置若干承受度指標以顯示不同的警示級別。（4）有效的組織架構與員工

第一道防線為核心業務，是管理層為了實現戰略及經營目標，開展績效和風險管理日常工作。第二道防線為支持性職能（也稱為業務輔助職能），包括負責監管績效及企業風險管理的管理層及其他人員。第三道防線為保證職能，常由內部審計者負責，通常通過對企業風險管理實踐的審計或檢查、識別問題及改進機會、提出建議並使董事會及管理層時刻關注需解決的問題來履行最後一層職能。（5）良好的風險管理文化

保持強大的領導力。採用參與式管理風格。對全部行動落實責任。協同具有風險意識的行為與決策、績效。決策時考慮風險。就企業所面臨的風險進行坦誠討論。鼓勵整個企業形成風險意識。

4.2.2風險評估

1.风险识别2.风险分析3.风险评价1.風險識別的方法

2.風險分析

（1）流程图分析法（2）工作风险分解法（3）事故树分析法（4）情景分析法（1）流程圖分析法

①分析業務活動之間的邏輯關係。②繪製流程圖。③對流程圖做出解釋。④風險識別分析。（2）工作風險分解法

①把工作分解形成工作分解樹。②風險分解形成風險分解樹。③將工作分解樹與風險分解樹交叉，構建風險識別矩陣。（2）工作風險分解法

（2）工作風險分解法

（3）事故樹分析法事故樹分析法主要是以樹狀圖的形式表示所有可能引起主要事件發生的次要事件，揭示風險因素引發風險事項的作用機制以及個別風險事件組合可能形成的潛在風險事件。事故樹是一種樹狀圖，由節點和連線組成。事故樹分析法既可以進行定量分析，也可以進行定性分析；既可以求出事故發生的概率，也可以識別系統的風險因素。（4）情景分析法①篩選。篩選是按一定的程式將具有潛在風險的事件、過程、現象和人員進行分類選擇的風險識別過程，具體包括：仔細檢查——徵兆鑒別——疑因估計。②監測。監測是在風險出現後對事件、過程、現象、後果進行觀測、記錄和分析（其特徵）的過程，具體包括：疑因估計——仔細檢查——徵兆鑒別。③診斷。診斷是對專案風險及損失的前兆、後果與各種起因進行評價和判斷，找出主要原因並進行仔細檢查的過程，具體包括：徵兆鑒別——疑因估計——仔細檢查。（4）情景分析法3.風險評價定性評價方法包括：採訪、研討會、調查及對標等。定量評價方法，如建模、決策樹、蒙特卡羅模擬等。概率模型（如風險價值、風險現金流、運營損失分佈）非概率模型（如敏感性分析及情景分析）。3.風險評價

4.2.3風險應對

1.风险应对策略2.风险应对所考虑的因素1.風險應對策略風險承擔：是指企業對所面臨的風險採取接受的態度，從而承擔風險帶來的後果風險規避是指企業回避、停止或退出暗含某一風險的商業活動或商業環境，避免成為風險的所有人。風險轉移是指企業通過合同將風險轉移到第三方，企業對轉移後的風險不再擁有所有權風險轉換指企業通過戰略調整等手段將企業面臨的風險轉換成另一種風險。風險對沖是指採取各種手段，引入多個風險因素或承擔多個風險，使得這些風險能夠互相對沖，也就是使這些風險的影響互相抵銷。風險補償是指企業對風險可能造成的損失採取適當的措施進行補償。風險控制是指控制風險事件發生的動因、環境、條件等，來達到減輕風險事件發生時的損失或降低風險事件發生的概率的目的。2.風險應對所考慮的因素業務環境成本和效益義務和預期風險分級風險偏好風險嚴重程度4.2.4

監督改進企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始資訊、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督採用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進本章思考題1.比較美國COSO(2004,2017)、ISO(2009,2018)、國資委（2006）、五部委內部控制規範（2008）檔中風險管理的流程有何不同?簡述五個風險管理流程的共性內容。2.什麼是風險偏好？確定企業風險偏好要考慮哪些因素？3.簡述風險管理的三道防線。4.列舉識別不同類型風險的方法。5.請結合風險地圖談談各類風險管理策略的選擇和運用。6.COSO(2017)風險管理的特點是什麼?7.在企業風險管理實踐中如何利用COSO(2017)風險管理流程?8.管理層在選擇並部署風險應對時，應考慮哪些因素？企業風險管理的方法論第一节方法论概述第二节不同方法论在企业风险管理中的应用第三节弹性风险管理的理论方法

5.1方法論概述

5.1.1还原论5.1.2整体论5.1.3一般系统论5.1.4

钱学森系统论5.1.1還原論還原論是基於還原方法形成的哲學思想，強調從低級運動以及同一運動的較低層次著手，研究、透視高級運動以及同一運動的高層次的性質與規律。美國哲學家奎因（WillardVanOrmanQuine）於1951年在其著作《經驗論的兩個教條》中首次提出還原論（Reductionism）一詞。從科學和哲學思想上說，還原論的主要奠基者是笛卡爾和培根。笛卡爾認為存在“所有物體的普遍的質”，而科學的目標是把一切對象都還原為這種“質”。而精緻的還原論思想是由卡爾納普、亨普爾、內格爾、普特南等學者逐步發展起來的。文藝復興以來的主要科學進步主要是在還原論的指導下進行的。5.1.1還原論還原論大都遵循如下四個基本主張：第一，無演化性。它是指物質系統不同層次之間的還原不存在時間的演化維度，即在還原的過程中不考慮時間的不可逆性。第二，可分解性。它是指在還原過程中同類事物或非同類事物可以分解為更為基本的組分，同時原有資訊不會丟失。第三，線性因果關係。它是指處於還原過程中的事物間只存在線性的因果關係，即一事物的變化只引起另一事物量的變化。第四，疊加原理。它是指系統的整體功能只是其各個組成部分的功能的線性組合。5.1.1還原論還原論的貢獻：識到整體與部分、高層次與低層次之間包含與被包含關係，強調通過研究部分及它們之間的組合關係來預測或解釋整體的功能。還原論的局限：忽視了事物本質上的差異以及事物發展中的整體性聯繫，同時也忽視了組分之間的切割所導致的資訊丟失及其對整體功能的影響。5.1.2

整體論整體論是基於整體方法形成的哲學思想，強調不破壞研究對象的完整性，不對它進行分解、還原，而從整體視角研究其性質和規律。整體論一詞是由南非哲學家斯穆茨（J.S.Smuts）於1926年在《整體論和進化》（HolismandEvolution）一書中首次提出的。方法論的整體論包括三個方面的內涵：首先，在本體層面，存在整體。其次，在認識層面，認識整體無法僅通過認識部分或更大整體來完成。最後，在方法層面，研究整體時不分解、還原整體，而要保持整體的完整性，利用觀察、刺激反應、輸入輸出、模擬、隱喻等方法加以研究。5.1.2

整體論整體論的貢獻：堅持客觀世界是一個客觀聯繫的整體，並意識到整體大於部分之和，即系統的湧現問題。整體論的局限：過於強調整體，而對部分與個體的能動性重視不足；此外，在方法層面，傳統的整體論傾向就整體論整體，這種沒有分析的綜合往往陷入抽象和模糊不清的困境。5.1.3

一般系統論一般系統論：是整體論與還原論的有機結合，強調從整體出發研究系統，即在整體的指導下進行分析。一般系統論是貝塔朗菲創立的，他在1968年出版了《一般系統論：基礎、發展和應用》一書，提出了一般系統論的諸多核心概念，如系統、整體、整體性、湧現、多樣性等。系統思維與非系統思維的最大區別在於是否把整體性放在第一位。系統思維自覺地從整體上認識和解決問題，而非系統思維首先表現為心中沒有對象整體的概念，思維活動關注的焦點僅是某個局部或片斷。5.1.3

一般系統論一般系統論的貢獻：堅持從整體出發研究系統，重視整體方法與還原方法的融合，這是方法論領域的一次重要變革。一般系統論的局限：一般系統論雖然對還原論方法進行了駁斥，但並未提出可操作、可量化的系統方法；一般系統論未能精確地闡明“系統”的內涵；其科學性也有待檢驗。5.1.4

錢學森系統論系統：相互關聯、相互作用、相互影響的組成部分所構成的具有某些功能的整體。系統的一個重要特徵，就是系統在整體上具有其組成部分沒有的性質，這就是系統的整體性。錢學森系統論：既不是還原論，也不是整體論，而是整體論與還原論的辯證統一。它強調要從系統整體出發進行分解和還原，將組分研究清楚之後，再綜合集成到系統整體，從而實現1+1>2的整體湧現，最終從整體上研究和解決問題。5.1.4

錢學森系統論系統功能：系統整體性的外在表現。系統的內部結構和系統的外部環境以及他們之間的關聯關係共同決定了系統的整體功能。系統學：探索系統結構、系統環境如何決定系統整體功能，揭示系統生成、演化、協同、控制、發展的一般規律的學科。綜合集成方法：是錢學森提出的系統論方法，其實質是把專家體系、知識體系與電腦體系有機結合起來，形成一個高度智能化的人-機融合體系。而其實踐形式“從定性到定量綜合集成研討廳體系”。5.1.4

錢學森系統論系統科學要走“精密科學”之路，其出路就是人機結合、以人為主的思維方式和研究方法。通過人機結合，機器擅長的就交由機器去做，擴大人的邏輯思維能力和資訊處理能力。而以人為主又有助於實現資訊、知識和智慧的綜合集成.通過人機交互、反復比較、逐次逼近，實現從定性到定量的認識，並在此基礎上循環往復，不斷深化。

5.2不同方法論在企業風險管理中的應用

5.2.1还原论思维在企业风险管理的应用5.2.2系统论思维在企业风险管理的应用5.2.1還原論思維在企業風險管理的應用還原論思維在企業風險管理實踐中的應用主要體現在如下兩個方面：通過分別管理各類獨立的風險實現企業風險管理。傳統的企業風險管理往往從風險識別入手，將企業面臨的風險劃分為幾個主要的類別，然後分別加以評估、應對，即“豎井式”的風險管理。其潛在的邏輯是，只要每一種風險得到了有效管理，企業整體的風險就是可控的。風險管理職能與其它職能缺乏協同。還原論思維不僅體現在企業風險管理各子活動的分解與協同層面，還體現在風險管理職能與其它管理職能之間的分解與協同層面。這直接導致如下兩個方面的問題。第一，風險管理職能與其它管理職能的衝突。第二，跨邊界、跨層級的風險管理活動無處著手。5.2.2系統論思維在企業風險管理的應用遵循系統思維的企業風險管理應遵循如下幾個方面的原則：企業風險管理要堅持整體觀。在開展企業風險管理工作中堅持整體觀，不僅體現在要從整體考慮各類風險及其相互關係，更重要的是體現在從企業總體戰略和目標的角度整體考慮風險管理職能與其它管理職能的關係。堅持分析與綜合的辯證統一。有效的風險管理離不開分析，對不同的風險進行識別、分析、評價的過程就是一個還原的過程。但有效的風險管理同樣離不開綜合，離開了綜合的風險管理只能是只見樹木，不見森林。關注並解決風險的湧現問題。被甄別出的諸類企業風險的機械加總並不等於企業全部的風險，企業面臨的風險是諸類風險及它們的相互作用下的“湧現”。而應對湧現類風險的思路是“系統回應”。即從系統要素、系統結構、系統運行機制、外部環境及其相互關係的視角對“湧現”風險進行系統應對。在解決複雜性風險管理問題時，要遵循人機結合、以人為主、逐次逼近的原則。

5.3彈性風險管理的理論方法

5.3.1弹性的内涵及其发展5.3.2弹性风险管理的概念5.3.3弹性风险管理的框架体系5.3.4

内部控制与风险管理的关系5.3.1彈性的內涵及其發展彈性的內涵不同領域中彈性內涵的差異彈性對企業風險管理的啟發5.3.2彈性風險管理的概念風險的重新定義：組織實現目標時現實能力達不到目標能力的後果。5.3.2彈性風險管理的概念彈性的重新定義：

彈性是組織建構的、應對內外部變化時的主動反應，組織通過整合現有資源和能力，保持並提升競爭優勢的能力。閾值的重新定義：

閾值是組織的彈性限度，是維持組織經營所需能力的最低值或底線，一旦突破它，組織將無法正常經營。5.3.2彈性風險管理的概念彈性風險管理：圍繞組織各類目標，度量組織實現目標所需能力和組織現實能力之間的差距，通過守住底線和拓展空間管理活動提升彈性能力，使組織在不確定情境下擁有競爭優勢的過程和方法。比較內容傳統風險管理彈性風險管理適用情境情境變化可預測情境變化可預測或不可準確預測風險內涵不確定性事件對組織目標的影響組織現實能力達不到實現目標所需能力的後果風險管理邏輯由外到內:遵從風險識別—分析/評估—規劃/應對的邏輯，首先對外部風險進行系統的評估，然後制定相應的風險應對措施由內向外:關注組織自身的能力，通過構建可重塑的資源和能力，應對意料之外的不確定衝擊並保持績效穩定增長風險評估對象外部情境變化企業內在應變能力風險管理效果側重損失控制同時關注損失控制和價值創造5.3.3彈性風險管理的框架體系彈性風險管理的框架、流程5.3.3彈性風險管理的框架體系提升彈性風險管理能力的路徑、策略高低初始狀態效率性管理活動創新性管理活動別有我優別無我有別有我優+別無我有低高5.3.3彈性風險管理的框架體系彈性風險管理的“啞鈴模型”5.3.4內部控制與風險管理的關係在決策科學中，決策問題的類型不同，決策方法和工具也就存在差異。其中一類問題是結構化問題，針對這類問題的決策方法就是程式化決策，它具有重複性，例行性，甚至確定性。與之相對的一類問題是非結構化問題，針對這類問題的決策方法就是非程式化決策，它常常具有唯一性、不可重複性。可以依據決策科學的分析框架界定內部控制與風險管理的差異。從本質上看，內部控制是應對結構化問題的一類管理活動，它借助於內部控制框架/指引建立的一系列規章、制度、流程實施管理；而風險管理面對的問題同時涵蓋了結構化問題和非結構化問題（例如戰略風險），這就要求企業同時採用程式化決策和非程式化決策的方法加以應對。本章思考題1.簡述還原論的內涵及其局限。2.簡述整體論的內涵及其局限。3.簡述錢學森系統論主要思想。戰略風險管理第一节战略风险的概念与特点第二节战略风险管理第三节弹性战略风险管理

6.1戰略風險的概念與特點

6.1.1戰略風險的概念6.1.2戰略風險的特點6.1.3戰略風險管理的意義6.1.1戰略風險的概念

《企業內部控制應用指引第2號——發展戰略》（1）缺乏明確的發展戰略或發展戰略實施不到位，可能導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。（2）發展戰略過於激進，脫離企業實際能力或偏離主業，可能導致企業過度擴張，甚至經營失敗。（3）發展戰略因主觀原因頻繁變動，可能導致資源浪費，甚至危及企業的生存和持續發展。6.1.1戰略風險的概念

《企業內部控制應用指引第2號——發展戰略》（1）缺乏明確的發展戰略或發展戰略實施不到位，可能導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。（2）發展戰略過於激進，脫離企業實際能力或偏離主業，可能導致企業過度擴張，甚至經營失敗。（3）發展戰略因主觀原因頻繁變動，可能導致資源浪費，甚至危及企業的生存和持續發展。側重於從負面影響的角度解釋戰略風險6.1.1戰略風險的概念

COSO2004年《企業風險管理——整合框架》

給企業目標實現帶來負面與正面影響的可能性國資委2006年《中央企業全面風險管理指引》純粹風險：事項只可能引起損失及其損失的可能性機會風險：既可能帶來損失也可能帶來收益IOS2009年《風險管理——原則與指南》將風險拓展為不確定性對企業目標的影響強調風險具有雙重含義，既包括潛在損失，也包括潛在收益6.1.2戰略風險的特點

戰略風險主要來自外部環境戰略風險同時包含潛在的損失和收益戰略風險具有不可預測性6.1.3戰略風險管理的意義

中國特色社會主義思想的重要內容堅持底線思維，增強憂患意識，著力防範化解重大風險企業經營管理、產業結構調整、實體經濟高質量發展的基礎企業經營：控制損失，把握機遇，塑造競爭優勢產業結構：企業戰略轉型促進產業結構調整升級實體經濟：企業經營穩定推動實體經濟健康發展

6.2戰略風險管理

6.2.1戰略風險管理的概念6.2.2戰略風險管理的基本框架6.2.1戰略風險管理的概念

COSO2004年《企業風險管理——整合框架》一個由董事會、管理層和其他人員實施、應用於戰略制定並貫穿於企業之中，旨在識別可能會影響主體的潛在事項並管理風險，以使其在該主體的風險容量之內，並為主體目標的實現提供合理保證的過程。國資委2006年《中央企業全面風險管理指引》全面風險管理是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理資訊系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。IOS2009年《風險管理——原則與指南》一個組織對風險的指揮和控制的一系列協調活動。6.2.1戰略風險管理的概念

COSO2017年新版《企業風險管理整合戰略與績效》組織在創造、保持和實現價值的過程中，結合戰略制定和執行，賴以管理風險的文化、能力和實踐。強調通過以下幾點來管理風險：文化認知、培養能力、應用實踐、與戰略制定和績效進行整合、管理企業戰略和經營目標的風險、鏈接價值。戰略風險管理的特徵（1）戰略為先（2）全員參與（3）雙重性（4）系統性6.2.2戰略風險管理的基本框架

COSO（2004）戰略風險管理的基本框架國資委（2006）戰略風險管理的基本框架五部委（2008）戰略風險管理的基本框架COSO（2017）戰略風險管理的基本框架既有戰略風險管理的基本框架總結6.2.2戰略風險管理的基本框架

COSO（2004）戰略風險管理的基本框架（1）目標設定（2）事項識別（3）風險評估（4）風險應對6.2.2戰略風險管理的基本框架

國資委（2006）戰略風險管理的基本框架（1）收集風險管理初始資訊（2）進行風險評估（3）制定風險管理策略和解決方案6.2.2戰略風險管理的基本框架

五部委（2008）戰略風險管理的基本框架（1）內部環境（2）風險評估（3）控制活動（4）資訊與溝通（5）內部監督6.2.2戰略風險管理的基本框架

COSO（2017）戰略風險管理的基本框架（1）戰略和目標設定（2）識別、評估與應對風險（3）審閱和修訂6.2.2戰略風險管理的基本框架

既有戰略風險管理的基本框架總結（1）戰略風險識別（2）戰略風險評估（3）戰略風險應對6.2.2戰略風險管理的基本框架

既有戰略風險管理的基本框架總結——戰略風險識別戰略風險主要源於外部不確定性給企業戰略所帶來的影響6.2.2戰略風險管理的基本框架

既有戰略風險管理的基本框架總結——戰略風險評估識別和明確了潛在的戰略風險因素後,企業應當評估相關風險來確定可能的經濟後果或影響,以便採取合適的風險應對措施。風險類型評估方法評估內容可預測風險風險地圖事件發生的可能性、時間、預期經濟影響等不確定性風險情境規劃不同商業環境情境下公司戰略選擇的穩健性未知風險反復試驗多項並行的戰略試驗中最有利的解決方案戰略風險評估方法6.2.2戰略風險管理的基本框架

既有戰略風險管理的基本框架總結——戰略風險應對（1）按既有的風險處理方法應對戰略風險，如風險規避、風險控制等。（2）按不同戰略風險的來源與特徵分析，確定合適的風險應對策略，包括行業利潤擠壓風險、技術轉變風險、品牌侵蝕風險、獨特競爭對手風險、客戶偏好轉變風險、新專案失敗風險、市場停滯風險等。6.2.3既有戰略風險管理的局限

既有戰略風險管理的評估方法無法準確評估戰略風險利用歷史數據預測戰略風險，而戰略事關企業未來的發展既有戰略風險管理側重於控制損失，難以有效支撐企業戰略和價值創造戰略風險管理不僅需要控制損失，更需要有效利用塑造企業的持續競爭優勢

6.3彈性戰略風險管理

6.3.1彈性戰略風險管理的應用流程6.3.2彈性戰略風險管理的應用案例6.3.1彈性戰略風險管理的應用流程

明確戰略目標評估能力差距確定實施路徑回饋戰略實施效果迭代戰略目標6.3.2彈性戰略風險管理的應用案例

阿斯麥（ASML）京東物流美的集團本章思考題1．彈性風險管理的流程由哪些關鍵要素構成?2．如何理解“守住底線和拓展空間”的含義?3．為什麼說“別無我有+別有我優”差異化管理活動的整合對企業的風險管理提出了更高的要求?本章思考題1．經營風險管理種類和特點。2．經營風險管理的流程是什麼？3．彈性經營風險管理的思路和流程是什麼？經營風險管理第一节经营风险管理概述第二节经营风险管理流程第三节经营风险管理举例第四节弹性经营风险管理

7.1經營風險管理概述

7.1.1战略管理的内涵7.1.2战略管理的发展7.1.3战略管理变革7.1經營風險管理概述

經營風險管理定義：由企業內部環境失效或失敗的業務及運營、財務和資訊活動流程帶來的企業的不確定性。經營風險分類：如下表所示7.1經營風險管理概述國內涉及經營（運營）風險管理的規範/指引/指南2006年《中央企业全面风险管理指引》2008年《企业内部控制基本规范》2009年《风险管理原则与实施指南》(GB/T24353—2009)》2010年《企业内部控制应用/评价/审计指引》2016年《管理会计基本指引》7.1經營風險管理概述《企業內部控制基本規範》內部控制五大原則7.2經營風險管理流程7.2.1目标基础7.2.2风险评估7.2.3风险应对7.2.4监督改进7.2.1目標基礎誠信的價值觀稱職的董事會風險偏好有效的組織架構與員工良好的風險管理文化7.2.2風險評估风险识别风险分析风险评价风险应对7.2.2風險評估1.風險識別定義：風險識別是有效識別出公司層面及業務領域中的各種風險，確定公司風險事項的過程，並建立企業經營風險識別清單。風險識別方法：現場調查法、專家調查法、事故樹分析法、風險調查問卷法、綜合研討法、情景分析法等。7.2.2風險評估企業經營風險識別清單7.2.2風險評估2.風險分析根據風險類型、獲得的資訊和風險評估結構的使用目標的，對識別出的風險進行定性和定量分析。主要從以下兩方面進行分析：

1-經營風險2-經營風險發生可能性分析影響程度分析7.2.2風險評估3.風險評價——經營風險分級表

7.2.2風險評估3.風險評價——經營風險評價表

7.2.3風險應對1.控制活動授權審批控制不相容職務分離控制會計系統控制財產保護控制預算控制運營分析控制績效考評控制

7.2.3風險應對2.建立文檔化體系企業內部控制（風險管理）手冊總部及分公司的實施細則促使內部控制落實的基本制度和措施

7.2.3風險應對3.內部控制制度的落實與執行強化培訓宣傳落實工作職責建立考核機制

7.2.4監督改進日常監督專項監督內部控制自我評價缺陷整改

7.3經營風險管理舉例

7.3.1企业文化管理7.3.2采购管理7.3.3业务外包管理7.3.4预算管理7.3.5担保业务管理7.3.1企業文化管理風險管理目標確定風險識別範圍風險評估風險應對

7.3.2採購管理風險管理目標確定風險識別範圍風險評估風險應對

7.3.3業務外包管理風險管理目標確定風險識別範圍風險評估風險應對

7.3.4