书名：风险管理与内部控制pdf/doc/txt格式电子书下载

推荐语：

作者：冯巧根编

出版社：人民邮电出版社

出版时间：2019-03-01

书籍编号：30498495

ISBN：9787115470225

正文语种：中文

字数：378582

版次：1

所属分类：教材教辅-大学

版权信息

书名：风险管理与内部控制

作者：冯巧根

出版社：人民邮电出版社

出版日期：2019-03-01

ISBN：9787115470225

版权所有 · 侵权必究

内容提要

本书以“风险管理为主线、内部控制为辅线”，突出风险及其管理的重要性，力求在深入贯彻风险管理的同时，增强企业内部控制体系的风险应对能力并完善其操作规范，提高企业在激烈的市场竞争中防范风险、强化内控的基本技能。全书共十章，内容包括风险管理与内部控制概述、风险管理的定位与应用价值、风险管理导向的内部控制框架、内部控制的机制优化、内部控制的信息披露、风险管理的要素结构、风险管理视角的风险控制、风险管理的呈报模式、风险控制的理论扩展和风险管理的创新实践。

本书既可作为高等院校经管类各专业本科生、研究生和MPAcc的教学用书，也可供相关财务、会计类从业人员以及其他对风险管理与内部控制感兴趣的人员参考。

前言

随着全球经济一体化的深入，企业与外部组织的联系日益密切。跨国经营和国际竞争进一步加剧了企业环境的不确定性，复杂的内外部环境使企业的经营活动受到多种不同因素的影响，迫使企业寻求更为有效的管理方式来预防和控制风险，并采取诸如降低损失发生的概率等控制措施来保障企业的经营活动正常、有序地运行。

风险管理离不开完善的内部控制。建立和健全内部控制体系，一方面能够提升企业高层管理者应对各种风险的能力或风险管理水平，避免各种内部舞弊行为的发生；另一方面，能够为审计师提供有效的企业内部控制信息，提高审计报告的质量，进而降低审计风险。根据发起人委员会（Committee of Sponsoring Organizations of the Treadway Commission，COSO） 2004年颁布的《企业风险管理框架》中的观点，风险管理是在内部控制的基础上衍生发展而来的，内部控制是企业风险管理的有机组成部分。然而在现实中，风险管理与内部控制是相互嵌套、趋于融合的结合体。风险管理与内部控制是现代企业加强经营管理，提高经济效益，保障财务报告真实、可靠和完整，以及实现企业战略目标的有效手段或重要的管理工具。

2006年是我国“风险管理与内部控制”的制度元年。这一年，国务院国有资产管理委员会（以下简称国资委）发布了《中央企业全面风险管理指引》；同年，上海证券交易所（以下简称上交所）、深圳证券交易所（以下简称深交所）颁布实施了《上市公司内部控制指引》；这一年也是财政部研究与制定《企业内部控制基本规范》及《企业内部控制应用指引》的起始年份。十多年的实践表明，建立一套适合中国情境特征的“风险管理与内部控制”规范体系，是广大投资者和监管机构优化公司治理的客观需要，也是企业强化经营管理的内在要求。本书尝试从全新的视角向读者诠释企业的风险管理与内部控制，具体的特色和优势表现如下。

（1）探索新的理论框架。本书在梳理国内外相关前沿理论的基础上，博采众长、兼收并蓄。在不失理论前瞻性的基础上，突出方法体系的完整性与科学性，试图更好地展示风险管理与内部控制的本质属性。

（2）体现风险管理与内部控制的共生性。在企业持续经营的过程中，经营者最关注的是生存与发展的风险。风险管理应当贯穿于企业经营活动的始终，必须在企业的全过程加强与之相关的内部控制。企业风险的动态性与复杂性已经成为一种常态，没有一个企业能够在系统风险面前独善其身。风险管理与内部控制已经形成一种有机的共生系统。

（3）增强阅读的趣味性。本书采用理论分析与案例解析相互交织的形式进行阐述，即应用简短的小案例呈现或说明风险管理与内部控制的内在规律或应对机理，力求在理论与实践相结合的同时，提高读者理解相关技术或方法的动力，促进企业在加强风险管理的同时，更好地运用内部控制理论与技术方法提升其自身价值。

（4）编写体例的灵活性。本书在编写过程中，视“风险管理”为一种“硬”的管理手段，将“内部控制”作为一种“软”的载体予以描述，试图说明柔性管理在风险管理与内部控制活动中的重要性与必要性，以增强实施主体对组织或组织之间开展风险管理与内部控制行为的主动性与积极性。同时，引导读者结合自身的学习和工作实践灵活地思考风险管理，提高实务工作者对内部控制制度体系建设的复杂性与异质性的认识。

本书从风险管理与内部控制的关系入手，在企业风险的多层视角下诠释内部控制的范式。本书基于上市公司的内部控制框架构建企业主体的风险管理体系，并以风险为导向设计企业内部控制机制的优化路径，具体包括运行机制、约束机制和评价机制等。同时，本书结合资本市场对内部控制信息的需求，提出了改进内部控制信息披露的技术方法。此外，在概括与梳理风险管理要素特征的基础上，本书对风险管理在内部控制中的地位进行定位并构建相应的风险控制规范体系。例如，基于风险控制目标，本书进一步探讨了风险报告的模式并提出了相应的改进建议。风险控制作为保证组织实现特定目标的一个风险管理过程，它贯穿于企业经营活动的各个方面。基于此，本书在传统风险管理理论的基础上，对风险控制体系进行了扩展；在“互联网+”“智能制造”等企业新的经营情境下探讨风险控制的创新实践，吸收了最新的案例研究成果，力求反映实务发展的新动向。

本书由南京大学冯巧根教授担任主编，负责全书内容和章节体系的设计。全书共分十章，具体分工如下：第一章由李凯风、王蓓琪执笔；第二章由邵留洋执笔；第三章由朱琦执笔；第四章由陈静执笔；第五章由杨红娟执笔；第六章由徐攀执笔；第七章由冯圆执笔；第八章由张艳执笔；第九章由张毓婷执笔；第十章由施然、夏范社、宋良仪执笔。在编者完成的各章书稿的基础上，由冯巧根教授对全书进行总纂定稿。本书在具体编写过程中参考了国内外许多相关的教材、著作和论文，除一些可以直接引用的资料已做说明外，其他间接引用或借鉴的资料因受条件限制暂未列出，在此对该部分资料的作者表示衷心的感谢。

由于“风险管理与内部控制”的相关理论与实践仍处于不断发展变化之中，加之编者水平有限，书中难免存在疏漏或不妥之处，恳请读者不吝指正，以便本书再版时做出更具针对性的修订与完善。

编者

2018年10月

第一章 风险管理与内部控制概述

本章结构图

本章学习目标

• 掌握风险的含义，了解企业风险的基本类型。
  
• 理解风险管理的内涵，掌握风险管理的框架体系和方法。
  
• 理解内部控制的定义和本质，了解内部控制发展的5个阶段。
  
• 把握内部控制的方法，认识内部控制的作用和局限性。
  
• 理解风险管理与内部控制之间的区别与联系。

随着社会的不断进步，企业管理已经发展成为高度智能化的综合控制体系。内外部环境的复杂性决定了企业正常的生产经营活动始终暴露于一定风险之下，因此，企业如何做到及时有效地对风险进行识别、评估和管理，进而顺利实现企业经营目标，成为现代企业管理的重要课题之一。内部控制作为确保实现企业目标而实施的一系列程序和政策，与风险管理有着十分密切的联系。本章以现代企业作为研究对象，对风险管理的内涵与体系结构、内部控制的作用与局限性，以及风险管理与内部控制之间的区别与联系等基本问题加以阐述，以帮助读者初步认识企业风险管理与内部控制的基本框架。

第一节 企业风险与风险管理

风险是指在特定环境、特定时间段内，某种损失发生的可能性。风险的形成原因是多种多样的，一般可以概括为主观原因和客观原因两方面。由于形成原因不同，风险也可以分为不同的类型。针对不同类型的风险，风险管理的程序也不尽相同。本节将从风险的含义与分类、风险管理的目标和基本方法等视角，简要介绍企业日常生产经营中面临的风险以及风险管理的基本内容。

一、风险的含义与分类

（一）风险的含义

企业做出某项生产经营决策，其结果可能对企业的发展产生积极影响，也可能产生消极影响，或者兼而有之。产生消极影响的决策将给企业带来风险损失。因此，风险就是指某个事项的不确定性及其对目标对象产生消极影响的可能性。

经济学中一般将风险定义为“事件或经济结果的不确定性”或“发生危险、损失或其他不利结果的概率和程度”。尽管经济学家们可能会对风险做出不同的定义，但风险一般都具有以下3个特征：一是风险是关乎未来的，已经发生的事实不能算作风险；二是风险表现为不确定性，事先不能完全确定其结果；三是风险意味着事件或结果的不确定性可能会导致损失的发生。

（二）风险的形成

企业风险的形成原因是多种多样的，既可以来自外界不确定性等客观因素，也可以来自内部管理等主观因素。例如，2008年全球金融危机对于企业来说是外部客观因素带来的风险。2009年三鹿集团破产则与生产者道德伦理缺失、管理当局不注重诚信密切相关，属于内部主观因素带来的风险。

1. 风险形成的主观因素

一般来说，企业风险形成的主观因素一般包括以下几个方面。

（1）企业风险意识的缺乏。市场本身并不完善，身在其中的企业也会深受其影响。由于市场变化的不规则性、经济活动的复杂性以及企业自身经验和能力的局限性，使得企业不能准确预见外界市场环境的变化，缺乏相应的风险意识，从而面临风险。

（2）企业内部管理的失衡。企业生产经营涉及诸多环节，任何一个环节出现故障，企业如果不能及时纠正，都会影响到企业的正常运行。例如，生产运转、质量管控的不确定；研究开发、战略选择的不确定；产品生命周期、员工行为的不确定等。企业的内部管理如果不够有效，将会大大增加企业决策者甄别和防范风险的难度。

（3）企业资金管理能力有限。如果企业拥有足够多的周转资金，那么就拥有了一定的风险防御能力。事实上，不论是大企业还是小企业，对资金的管理能力都是有限的。某些大企业虽然资金规模庞大，但是一旦发生风险损失，就会在一夜之间化为乌有。

2. 风险形成的客观因素

除了主观因素，企业风险形成的客观因素一般包括以下几个方面。

（1）企业经营环境的不确定性。这是导致企业风险的直接原因。经营环境的不确定性包括多个方面，如政治的不确定性、政策的不确定性、宏观经济状况的不确定性和自然环境的不确定性等，这些都会使企业暴露在一定的风险之下。

（2）市场运行的复杂性。社会生产和再生产过程，以及相应的经济活动运行都是极其复杂的。行业结构在变化，产品投入市场后的竞争环境面临着巨大的不确定性。特别是在市场经济条件下，市场更加呈现出了自身的不规则性，不可避免地会给企业带来风险。

（3）科学技术的飞速发展。21世纪是一个信息时代，是知识经济的时代。企业在享受科技进步带来的前所未有的便利和福利的同时，也不可避免地面临着科学技术带来的一些负面影响。现代科技的风险不仅来自技术发展的不确定性，还来自人们对高新科技的高度依赖。科技失效或者技术使用不当等都会使企业面临风险。

（4）经济全球化的影响。经济全球化使得企业获得更多的发展机遇，同时也使得企业面临更大的挑战，这同样大大加剧了企业生产经营面临的风险。

（三）风险的分类

由于企业风险及其特征非常复杂，风险承受主体又各不相同，因此关于风险的认定、分类一直没有权威的定论。这里，我们列举几种常见的企业风险的分类方法。

1. 按风险的来源分类

按风险的来源可将其分为商业风险、管理风险、财务风险、操作风险、自然风险等。商业风险是指由于商业、法律、经济环境等的变化而引起的风险，通常又可以细分为市场风险、信用风险、经济风险、法律风险等。管理风险是指由于管理制度欠缺、决策失误或者信息失真而引起的风险，包括财务和经营信息的不足、决策计划的失败、资源的浪费等。财务风险主要体现在企业资产和现金流的充足性是否有保障，即企业是否有充足的资产偿还债务，是否有足够的现金流来满足日常生产经营所需的支出。操作风险是指企业由于内部程序不完善，人员、系统及运营过程中的错误和疏漏而可能引致潜在损失的风险。自然风险是指自然因素的不确定性给企业带来的风险，如洪水、风暴、地震等；这种风险通常是灾难性的，多数情况是人力所无法抗拒的。

2. 按风险的形成原因分类

按风险的形成原因可将其分为主观风险和客观风险。主观风险是指由于主观决策失误所带来的风险，它是由主观认识的局限性造成的。客观风险是指由于外界客观条件影响而构成的风险，它虽不是由企业主观因素引起的，但企业可以及时主动地预测客观情况的变化趋势，以便及时采取应变措施。

3. 按风险的结果分类

按风险的结果可将其分为纯粹风险和投机风险。纯粹风险是指只有损失机会而无获利机会的风险。纯粹风险导致的后果只有两种：损失，或者无损失也无获利。有形资产的毁损、贬值就属于纯粹风险。投机风险是指既存在损失可能性，也存在获利可能性的风险。它导致的结果有3种可能：损失、收益或是无损失也无收益。购买股票带来的风险就是一种典型的投机风险。纯粹风险和投机风险一般是同时存在的。纯粹风险可以重复出现，企业可以预测其发生的概率，从而采取防范措施。投机风险重复出现的概率小，因而预测的准确性相对较差。

4. 按风险的形态分类

按风险的形态可将其分为静态风险和动态风险。静态风险是指由于自然力的不规则变化，或由于企业决策失误导致的风险。从风险结果来看，静态风险多属于纯粹风险。动态风险是由于企业需求的改变、制度的改进，以及政治、经济、社会、科技等环境的变迁导致的风险。从风险结果来看，动态风险既属于纯粹风险，又属于投机风险。

5. 按风险的影响范围分类

按风险的影响范围可将其分为局部风险和全局风险。局部风险是指由某个特定因素导致的风险，其损失的影响范围较小，只在某一局部范围内存在，未波及总体。总体风险是指在一个整体内涉及全局的风险，影响范围大，其风险因素往往无法加以控制，如经济、政治等因素。

6. 按风险的可控程度分类

按风险的可控程度可将其分为可控风险和不可控风险。可控风险是指企业对风险形成的原因和条件认识较为清楚，并能通过采取相应的措施，把风险控制在一定的范围内。不可控风险主要是由于自然因素和外界因素的影响而导致的风险。企业对这类风险形成的原因和条件认识不清，或者即使有较为清楚的认识，也无力改变外界的条件，因而失去预测和控制能力。

二、风险管理概述

（一）风险管理的起源与发展

风险管理思想起源于德国。第一次世界大战之后，德国出现了严重的通货膨胀，经济严重衰竭。企业如何摆脱困境、恢复正常生产经营，成为当时德国企业面临的重要问题。人们开始思考，当企业遇上重大消极事件，或者财务出现严重危机时，企业应当如何应对。因此，企业界提出了包括风险管理在内的一系列经营管理问题。

1929年，美国爆发了资本主义经济史上最持久、最深刻、最严重的周期性世界经济危机。美国出现了经济大萧条，随后时任总统罗斯福开始实行新政，提出了许多至今仍在发挥巨大作用的法律法规，如《证券法》《证券交易法》等。这对美国后来的发展起到了推动作用，更使得风险管理问题成为许多经济学家研究的重点。

20世纪50年代中期，“风险管理”这个术语出现在美国。最早的文献之一是加拉格尔于1956年发表于《哈佛商业评论》上的一篇文章。加拉格尔认为，组织中应当有专人负责管理风险，这样的人应当被称为全职风险经理。同一时间，企业界发生的两件大事更使风险管理问题在企业界引起了极高的重视并得到推广：一是美国钢铁行业发生了长达半年的大罢工，给国民经济造成了难以估量的损失；二是通用汽车的自动变速装置引发火灾，造成巨额经济损失。这两件大事促进了风险管理在企业界的推广，风险管理由此得到了蓬勃发展。

随着科技、生产和贸易的迅猛发展，企业生产经营面临更多新的不确定性因素，经济活动的竞争性进一步加强。企业面临的风险日趋复杂，包括环境风险、经营风险、技术风险、财务风险、人员风险等，任何风险处理不当都可能给企业带来巨大经济损失。在拥有了较多管理科学知识和工具如运筹学、统计学、计量经济学等之后，企业开始用资产组合理论做指导，来分散企业所面临的风险。资产组合理论提出：“不要把鸡蛋放在同一个篮子里。”即将资金投资于不同资产结构的组合中可以有效降低风险。

20世纪80年代以后，风险管理取代了过去的保险管理。人们不仅希望预防风险损失，而且希望从风险管理中获利。因此，风险管理除了估计单一风险发生的可能性和风险的复杂性之外，还要分析风险可能导致的后果，分析哪些风险可以控制，从而使企业对风险进行系统的安排和处理。此时，“全面风险管理”思想应运而生。通过识别和评价所面临的风险，企业可以避免一些风险损失并从风险管理中获利，从而使得损失的影响最小化。风险管理真正演变成为一门研究风险变化规律，并在此基础上采取优化组合化解风险，从而以最合理的成本和最安全的保障实现企业目标的管理学科。

（二）风险管理的含义与作用

企业进行风险管理，意味着要把握机会、处理风险，以便创造价值。企业进行风险管理是一个系统的过程，由相关人员负责组织实施，并贯彻于企业的战略之中，及时识别出可能会影响企业正常生产经营的潜在事项，及时对风险进行管理以使其在可控范围之内，为企业目标的顺利实现提供保障。因此，风险管理可以定义为：企业围绕总体发展战略与经营目标，通过在企业管理的各个环节和生产经营过程中执行风险管理的基本流程，树立良好的风险管理理念，建立健全的风险管理体系，包括策略、措施、组织、信息系统和内部控制系统等，为风险管理的总体目标提供合理保证的流程和方法。

1. 风险管理的含义

企业风险管理的含义包括以下几个方面。

（1）风险管理是一个动态的过程。风险管理不是一成不变的，而是渗透于企业的各项生产经营活动中，这些活动彼此相互影响、相互作用，共同影响着企业总体战略目标的实现。

（2）风险管理影响企业各项战略决策的制定。企业设定其目标，并为了实现该目标而制定各项战略决策。管理当局制定各项决策时，应当充分考虑可能面临的风险以及相应的风险管理方法。

（3）风险管理应当立足于企业整体视角。在应用企业风险管理时，企业应当充分考虑到各个层级的全部活动。例如，从战略规划和资源配置到公司层次的活动，再到财务管理、市场营销、人力资源管理等业务单元层级的活动，以及生产加工、供应商选择、客户信用评价等经营流程。

（4）风险管理应当由专门人员组织负责实施。企业风险管理通常由董事会、管理当局和其他专门人员实施。风险管理人员制定风险管理使命、战略和目标，使得公司风险管理得以顺利实施。

2. 风险管理的作用

有效地对各种风险进行管理，对企业来说具有重要的意义。其作用主要体现在以下几个方面。

（1）风险管理有利于保护企业资产的安全和完整。企业可以通过风险管理以最小的损耗把风险损失减少到最低限度，达到最大限度的安全保障，从而为企业提供了安全的生产经营环境，有效地减少了企业和员工的后顾之忧，使其全身心地投入生产经营活动之中，保证了企业各项活动的正常进行。

（2）风险管理有利于促进企业决策科学化。风险管理利用科学系统的方法，预防和管理各种风险，有利于企业做出正确的决策，帮助企业减少和消除生产风险、经营风险、决策失误风险等。这对于企业的科学决策、正常经营具有重大意义。

（3）风险管理有利于保障企业经营目标的顺利实现。风险管理的有效实施，能够使企业增加收入、减少支出，使企业风险损失大大降低，并且能使企业在损失发生后及时、合理地得到经济补偿，这就直接或间接地减少了企业的费用支出，使得企业盈利建立在更为稳定的基础上，保障了企业生产经营目标的顺利实现。

风险管理不仅对企业具有重大意义，而且影响着整个社会的经济发展。风险管理有利于消除或减少风险所带来的社会资源的浪费，有利于提高社会资源的利用效率。风险管理对整个经济、社会的正常运转和健康发展起到了重要作用。它通过风险预测、风险规避、风险转移等方式，为社会提供最大的安全保障，有助于社会安定和谐，经济健康发展，促使人民生活水平不断提高。

（三）风险管理的目标

顾名思义，风险管理的主要目标是预测、防范和控制风险，降低损失发生的概率和程度，保障企业生产经营和各项活动的顺利进行。风险管理的目标通常可以按照其发生的时点分为两个部分：损前目标和损后目标。损前目标是避免或降低损失发生的概率和程度；损后目标则是促使企业尽快恢复正常状态，保障企业生产经营活动的顺利进行。损前目标和损后目标共同构成了企业风险管理的目标体系。

1. 风险管理的损前目标

风险管理的损前目标通常包括以下几个方面。

（1）降低损失发生的概率。所谓风险管理，应当以预防为主，而预防的精髓就在于采取有效措施降低损失发生的可能性。

（2）减轻风险带来的损失规模。风险管理应当能够有效地降低风险发生后给企业带来的损失，如投资组合就可以在相当程度上降低投资不利时的损失程度。

（3）经济可行性。风险管理者应当用最经济的手段为可能发生的风险做好准备，运用最佳技术手段降低管理成本。在决定对风险采取措施之前，应综合权衡所需要的成本，以及由此取得的收益，即风险管理从经济角度看是可行的。

（4）合理合法性。企业采用适当的方法进行风险管理时，必须符合相关法律法规。例如，董事为了弥补风险给企业带来的损失，隐瞒股东挪用企业的盈余公积，虽然出发点是为了管理风险，但是不符合法律规定，是不可取的。

（5）减少忧虑心理。某些风险，尤其是生产安全隐患，给员工带来了精神上和心理上的紧张、不安，这将严重影响劳动生产率，造成工作效率低下。因此，损前风险管理应当能够有效缓解人们的焦虑情绪，提供心理上的安全感和有利于生产顺利进行的宽松环境。

2. 风险管理的损后目标

风险管理的损后目标同样也包括多个方面。

（1）维持生存。企业的两大根本问题就是生存和发展。对企业而言，生存是第一位的，只有先生存，才能谈发展。因此，风险损失后的第一目标就是生存，即企业在经济社会中仍能作为一个经营实体继续存在。

（2）恢复正常生产经营。损失发生后，实施风险管理的第二个目标就是尽快恢复正常生产经营，尽快将各项指标恢复到损失前的水平。在市场竞争日趋激烈的今天，企业发生的风险，很可能就是竞争对手的机会，这对企业的影响十分巨大。

（3）实现稳定的收入。收入的稳定与维持正常生产经营并不是同一个概念，生产经营的正常进行可能是以牺牲收入为代价获得的。在成本费用不增加的情况下，企业通过持续的生产经营活动，或者通过资金补偿，都可以达到实现稳定收入这一目的。

（4）实现持续增长。创造价值是企业经营的最高目标，也是风险管理的最高目标，而这个目标的实现离不开收入的持续增长。因此，对于企业而言，持续增长能力是最重要的目标之一。

（5）处理好与各利益主体的关系。维护企业形象和品牌，处理好与各利益主体的关系，这一点在发生重大风险事件和危机事件后显得尤为重要。另外，企业应当积极履行社会责任。有效地处理风险事故所带来的损失，减少损失造成的种种不利影响，可以使企业更充分地承担社会责任，树立良好的社会形象，获得良好的公众反映。

（四）风险管理的体系

从结构性视角考察，风险管理是一种集方法、模型、管理制度、组织架构、组织文化于一体的综合系统。完整的风险管理体系应当包括8个相互关联的构成要素，它们源于高层管理者经营企业的方式，并与管理过程紧密结合在一起。

8个构成要素如图1-1所示。

图1-1　企业风险管理体系

（1）内部环境。内部环境为企业组织中的人如何看待风险和着手控制风险奠定了基础。它不仅包括完善的企业组织结构，还包括相应的风险管理组织，及专门为企业从事风险管理活动而成立的机构，是风险管理的执行者。

（2）目标设定。只有围绕既定目标，管理者才能识别影响该目标顺利实现的潜在风险。管理者应当采取恰当的方式设定目标，确保所设定的目标支持并契合企业的总体战略和使命。

（3）政策制度。政策制度包括财务运营和公司运营的政策、制度、程序等。例如，随着某项业务的财务金额的增加，审批领导的级别也必须相应地提高，这就是一个典型的财务决策制度。只有具备完善的政策制度，才能保证企业的正常运营。

（4）风险识别。风险识别是指在风险事故发生之前，企业管理者运用各种方法，系统而连续地认识所面临的各种风险，以及分析风险事故发生的潜在原因。风险识别是风险管理的基础。企业只有在正确识别出自身所面临的风险的基础上，才能采取有效的方法进行处理。

（5）风险评估。风险评估是指对识别出的风险因子进行分析，以便确定对它们进行管理的措施和方案。管理者不仅要对企业固有的风险进行评估，也要对剩余风险进行合理评估，充分考虑到风险发生可能性的大小以及风险的影响程度。

（6）风险管理。在风险识别和风险评估之后，企业管理者应当拟定相应的风险管理方案，采用适当的管理方法，如风险规避、风险降低、风险转移、风险留存、风险对冲等，使得企业的风险容限和风险容量相协调。

（7）风险监控。风险监控是指对企业风险管理进行全面监控，必要时加以修正。风险监控能够

....