范文一：全面风险管理

浙江师范大学

研究生课程论文封面

课程名称：

开课时间：

《项目管理专题》 2016.3-2016.4

学院 经济与管理学院

工商管理

2014210752

潘刘蕾

学术型硕士

张永胜

2016.5.25

学科专业 学姓号 名 学位类别 任课教师 交稿日期 成绩 评阅日期 评阅教师签名

浙江师范大学研究生学院制

目 录

一、项目风险管理理论依据 ..................................................... 2

（一） 项目风险管理的概念 ................................................ 2

（二） 项目风险管理的进程 ................................................ 3

（三） 企业项目风险管理的维度 ............................................ 4

二、IT项目全面风险管理体系构建前提 .......................................... 5

（一） 强化对项目的全面风险管理的认识 .................................... 5

（二） IT项目全面风险管理框架体系构建原则 ............................... 5

1.有效性原则 ........................................................ 5

2.全面性原则 ........................................................ 6

3.系统性原则 ........................................................ 6

4.成本效益原则 ...................................................... 6

三、IT项目全面风险管理体系的内容 ............................................ 6

（一） 时间维度 .......................................................... 6

（二） 逻辑维度 .......................................................... 6

（三） 知识维度 .......................................................... 7

（四） 组织维度 .......................................................... 7

四、IT项目全面风险管理体系的内容 ............................................ 7

（一） 风险管理计划 ...................................................... 7

（二） 风险识别 .......................................................... 8

1.需求风险 .......................................................... 8

2.计划编制风险 ...................................................... 8

3.组织和管理风险 .................................................... 9

4.人员风险 .......................................................... 9

5.开发环境风险 ...................................................... 9

6.客户风险 .......................................................... 9

7.承包商风险 ........................................................ 9

8.产品风险 .......................................................... 9

9.设计和实现风险 ................................................... 10

10.过程风险 ........................................................ 10

（三） 风险评估 ......................................................... 10

（四） 风险应对计划 ..................................................... 11

（五） 风险控制 ......................................................... 12

（六） 后评价和持续改进 ................................................. 13

IT行业项目管理中的全面风险管理体系构建

摘要：本文在对项目全面风险管理方法论思考和内涵研究的基础上，提出了构建项目全面风险管理的原则，并依据原则体系构建了项目全面风险管理结构框架，包括九个基本模块：项目环境，风险计划、风险管理目标设定，风险识别，风险评估，风险应对，控制活动，风险信息管理，后评价和持续改进。对具体框架展开分析，主要包括各个流程的任务结构及相关的风险管理方法分析。

关键词：IT行业；项目管理；全面风险管理

一、项目风险管理理论依据

（一）项目风险管理的概念

最早提出风险概念的美国学者Haynes①提到风险一词在经济学和其他学术领域中并无任何技术上的内容，它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征，某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性，则该行为就承担了风险”。1921年，Knight（奈特）通过对风险与不确定性的区分，认为风险是“可测定的不确定性”，只有当变化及其结果是不可预测的时候，才可能带来利润。这种不可预测的变化及其结果就是不确定性，不确定性具有比风险更深一层的含义，不确定性实质上规定着风险。只有在企业家的创造性活动之后，风险才开始存在。Wayne Snider最早提出风险管理的概念，并得到美国管理协会和美国保险管理学会的承认和支持，其后许多学者致力于对风险管理进行研究，如梅尔与赫尔奇斯、威廉姆斯与汉斯等学者，越来越多的企业也开始重视风险管理，企业的风险管理成为公司三大管理活动（策略管理，经营管理和风险管理）之一。

对于风险管理的定义都普遍认为风险管理至少有风险的辨识、估计、控制和监督等几个部分组成，目前对于风险管理的定义主要是从两个方面阐述，一是从风险管理作为一组活动入手进行定义，一是着重从风险管理过程入手阐述风险管理的定义：威廉姆斯与汉斯指出风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法；美国国防部认为，风险管理是处理风险的行为或实践，它包括风险计划、估计辨识和分析风险区域、制定风险解决方案、监督风险事件以确定风险评估值的变化，并且归档整体风险管理方案、认为：风险管理指辨识、分析和控制风险的活动，风险管理过程指系统化的和显式的风险管理活动中认为风险管理是一种分析问题①

②② John Haynes.Risk as an Economic Factor.Quarterly Journal of Economics.1895.9(4):409-449

的手段，它釆用风险概率模型来估计某种情况下的风险，以达到对相关风险更为精确的了解；风险管理内容包括风险识别、分析、优先级排序和控制；赵晓玲③从技术方法的角度，对制定企业风险管理计划、识别评估企业风险、制定风险应对计划这些风险管理流程进行了介绍，使得险管理更具可操作性；马敬川④认为风险管理的内容主要包括风险识别、风险的分析与预测、风险管理的策略及措施。

风险管理应用到项目管理领域是近十几年才兴起的，在1987年出版的“A Guide to Project Management Body of Knowledge”一书中，风险管理才单独作为项目管理的一个知识领域被显式地提出来。美国项目管理学会（PMD）的项目管理知识体系把项目管理划分为个知识领域，风险管理就是其中之一。我国于2001年推出的《中国项目管理知识体系》对风险管理进行了详细规范，以作为项目管理规范化运作的理论基础和技术指南。

（二）项目风险管理的进程

早期的风险管理的内容主要是针对信用风险和财务风险，局限在某些单一、局部或分离性的层面上，没有涉及到众多层面的风险管理的问题：方法缺乏系统性和全局性；主要是事后的管理，只有上级管理人员认为风险存在的时候才对风险进行处理和管理，而且与企业的经营战略脱节，被排除在整个企业的经营管理体系之外。二十世纪八十年代末至九十年代初，随着国际金融行业和工商企业的不断发展，企业面对的社会环境和经济环境都发生了很大的变化，风险也更加多样化和复杂化，风险管理不仅是对过去的单个业务的单个风险进行管理，而应从整个系统的角度对所有风险综合管理，学者们提出了整体风险管理及全面综合的风险管理（GRM）。GRM的核心理念是对金融机构面临的所有风险做出连贯一致、准确和及时的度量；建立一种严密的程序用来分析系统风险在交易、资产组合和各种经营活动范围内的分布，以及对不同类型的风险怎样进行定价和合理配置资本；同时，在金融机构内部建立专门负责风险管理的部门，致力于防范和化解并且消化由此带来的成本。但由于TRM和GRM—般只用于金融界，故而其在理论界的研究和企业界的应用受到了一定的限制。

随着企业风险管理范围的扩大、复杂程度的加深及风险呈现的相互联系和互动性，传统的风险管理已不能满足要求，企业应采用更广泛的和整合的方法进行风险管理。2004年9月，美国内部控制研究发起组织发布了《企业风险管理整合框架》，COSO框架以及其提出的全面风险管理理论对企业界的风险管理运作的影响是巨大的。

COSO框架给出的企业全面风险管理定义为：企业全面风险管理是企业的董事会、符理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的③

④ 赵晓玲：《企业风险管理》，河北理工学院学报（社会科学版），2013。 马敬川：《企业风险管理研究》，商场现代化，2005。

各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。2006年6月，国务院国有资产监督管理委员会为指导其作为出资人的企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，制定了《中央企业全面风险管理指引》，《指引》中对企业全面风险管理给出的定义为：企业全面风险管理指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

目前国外的全面风险管理研究主要集中在对现有的实施全面风险管理的企业的具体实施状况进行分析，并从中总结经验，再提升到理论高度，从而为所有的企业成功实施全面风险管理提供指导，企业风险管理在企业中的应用及其实施效果和效率的研究和尝试是这一阶段的主流。国内对于企业全面风险管理的研究大多处于理论的引进阶段，已经有部分学者致力于企业全面风险管理的理论思想在某些行业领域的应用理论研究，如模型。

（三）企业项目风险管理的维度

企业风险管理整体框架具有三个维度：第一维是企业的目标；第二维是企业风险管理的构成要素；第三维是企业的各个层级。第一维的企业目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理构成要素有八个，即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和沟通、监控。第三个维度是企业的层级，包括整个企业、各职能部门、业务单位及各子公司。企业全面风险管理三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。

为了实现风险管理的有效性，需要企业风险管理的八个构成要素的支持，各要素相互独立、相互联系又相互制约，贯穿在企业的管理过程之中，共同构成了全面风险管理这一有机体系。内部环境是全面风险管理的平台，风险管理理念和风险偏好影响决定了风险管理目标设定；目标设定是风险识别、风险评估和风险应对的前提，具体风险管理战略和流程都要符合风险管理政策的要求，实现风险管理的目标；事件识别、风险评估、风险应对是风险管理的具体实施流程，是对风险管理政策的细化和执行；控制活动是风险管理目标实现和风险管理流程有效运行的保障；风信息沟通是保障全面实施风险管理的媒介，风险管理的各项活动都要形成风险信息并通过风险报告机制传递；监控是对风险管理体系进行再控

制和再完善，以保持风险管理体系的科学性和适宜性。

二、IT项目全面风险管理体系构建前提

将全面风险管理理论应用到项目中需要我们首先从思想上理清对风险管理的认识、设计机理上把好方向，据此提出设计准则，最后形成IT项目全面动态的风险管理体系框架。

（一）强化对项目的全面风险管理的认识

项目都是在风险中寻找机会、走向成功，所以开展风险管理的目的不在于消除风险，而是要提供更多的风险决策信息和方案，以使部分风险的可能性降低，或减轻风险发生后的危害，或利用我们的知识回避开风险，最大限度地降低风险带给IT项目建设的不确定性。风险管理以项目应该怎样才不会失败为出发点，项目管理是以项目怎样做才会成功为着眼点，二者殊途同归的，因此在进行项目管理是也应该建立健康的正确对待项目风险的企业文化，让人人都关心风险的识别、估计和跟踪控制。风险管理活动是一个连续的动态活动，客观世界在变、IT技术在变，所以风险管理体系除了应该有适应性外，还应该有包容性和开放性。全面风险管理要求以系统思想解决复杂系统问题，所以要系统、整合的看待IT项目风险，不要孤立片面的看问题。

风险管理既是科学也是艺术，一方面需要用理性的数学知识和技术建模求解，另一方面也需要借助心理学、社会学等方面的知识诱导风险根源。IT项目的成本大部分是潜在的成本，也与企业的其他因素密切相关，不能单纯对IT项目的效益进行定量分析而应从长远着手从宏观分析IT项目全面风险管理给企业IT项目的成功实施带来的好处，IT项目风险管理应得到高层领导的重视。进行全面风险管理不是以消除风险为目的，需要根据成本收益原则来实施风险管理，选择确的应对策略，例如对于像知识的缺乏和交流的不畅等引起的风险，在解决时我们需要考虑排除的代价；源于环境或技术进步等我们无法阻止的风险，我们要预先设计备选方案，规避其中不口接受的风险。IT项目是劳动密集型项需求不确定性是一切密集项目的最大风险之一，企业往往会在IT项目实施过程中会通过对实际情况分析改变其需求，IT项目承包方此时就需要根据其具体的需求，使项目成果随着项目相关方对企业的认识程度加深而成熟。

（二）IT项目全面风险管理框架体系构建原则

构建IT项目全面风险管理框架体系构建原则构建项目的全面风险管理框架体系，必须遵循以下几条原则：

1.有效性原则

有效的风险管理必须是能够在项目实施过程中得到贯彻执行并发挥作用，保证项目顺利实现目标。风险管理框架必须有效，它必须适用于企业和IT项目的

具体特点，必须能够发现和化解所面临的风险。制定的各项风险管理制度要与企业内部管理和IT项目的发展相适应。

2.全面性原则

构建项目的全面风险研究模型一定要遵循全面性原则，全面性体现在以下几个方面：全过程性，风险管理要贯穿于企业经营管理活动的各个方面；全方位性，管理者应针对人、财、物、信息各要素及各业务活动领域，构建相对全面的风险管理框架，使其触角摄入企业经营的各项业务和各个操作环节，涵盖所有的部门和岗位；全员性，它涉及到企业中所有部门和全体员工。

3.系统性原则

在设计风险管理模型时，必须按照系统论的观点，将各部门和各岗位形成既相互制约又具有纵横交错关系的统一整体，以保证各部门和岗位均能按照特定的目标相互协调的发挥作用，从而发挥风险管理框架的总体功能，实现风险管理总体目标。

4.成本效益原则

风险管理可以帮助企业抵御风险，增强抗风险能力，合理保证目标实现，但是建立、维护风险管理框架总要付出一定的代价，如风险管理的构建成本、风险管理运行中的人力和物力支出、不适当的风险管理措施对企业产生的不良影响等。建立风险管理框架必须贯彻成本效益原则，通过运用科学化的经营管理方法以降低其成本，提高经济效益，力争以最小的管理成本获収最大的经济效益。

三、IT项目全面风险管理体系的内容

本文借鉴企业风险管理整体框架，软件项风险管理思想，SEI的连续风险管理和项目管理中的风险规划、风险识别、风险评估、风险应对计划、风险监视与控制的风险管理流程，选用适当的方法和工具，针对IT项目特点，以实现项目的全面风险管理为目标，设计了一类项目的全面风险管理体系。

全面风险管理在逻辑上要求将风险管理要素有机地集成起来。IT项目全面风险管理需要将IT项目风险管理全过程进行集成化，以系统论和全面风险管理理论为依据，将时间（维度项目生命周期）、组织维度（风险管理机构、人员）、逻辑维度（项目风险管理逻辑过程）和知识维度（风险管理理论、技术与方法）集成起来，形成项目全面风险管理运作的过程框架。

（一）时间维度。它是指项目寿命周期的各个阶段是从时间维度对项目展幵过程的描述。项目一般划分为规划阶段、软件开发阶段、运行和维护阶段、终结。

（二）逻辑维度。它是指项目风险管理的逻辑过程，包括风险计划，风险识别，风险评估，风险应对，控制活动，后评价和持续改进等活动。在项目寿命周期的每个阶段其风险管理活动都要经历这个步骤循环往复。

（三）知识维度。它是指为完成项目风险管理各项工作所需的各种知识和专门技术的总和。包括风险识别工具和技术、风险估计与评价方法、风险应对措施、风险监控方法等。

（四）组织维度。它是指参与项目风险管理的组织机构和人员，既包括决策层，也包括操作层；既包括企业内部人员，也包括企业外部人员。

构建项目全面风险管理体系，首先，必须全面考虑项目中的所有风险，实现全面风险管理应该与项目管理实现无缝融合；项目全面风险管理体系应能尽可能早期地识别风险并保持风险管理在整个项目生命期内的连续性，还要保证风险管理各组成部分之间的结构性和连续性。各项风险管理活动应该是一个有机的过程整体，各部分之间相互依托，相互补充。体系框架如图所示：

四、IT项目全面风险管理体系的内容

（一）风险管理计划

风险管理计划是决定如何采取和计划一个项目的风险管理活动的过程，包括风险管理实施的目标、策略、方法、机制。项目风险管理计划就是依据项目的相关信息，如：项目章程（目标、计划）、范围说明书、项目管理计划、组织过程资产、环境和组织因素、历史信息、风险承受能力和计划在风险上的投入等在项目计划会议上由项目关键干系人和对风险计划编制和应对措施负有责任的人员

共同讨论编制出一个风险管理计划书。风险管理计划书是风险管理的导航图，它告诉项目组织，如何保障项目从当前所处状态到达所希望的未来状态。风险管理计划应该清楚、易于操作，主要包括风险管理的目标，风险管理的工作方向和工作重点，风险管理策略，风险管理过程及其标准和程序，风险管理机制、方法、技术，风险管理资源和成本预算等。

（二）风险识别

风险识别是项目风险管理的基础和重要组成部分，主要工作为确定何种风险事件可能影响项目，并将这些风险的特性整理成文档，存入风险管理数据库。没有风险识别的风险管理是盲目的。通过风险识别，才能使理论联系实际，把风险管理的注意力集中到具体的事件上来。

风险识别的主要内容包括：识别并确定项目有哪些潜在风险；识别引起这些风险的主要因素；识别项目风险可能的后果；将已知风险编写为文档，进行存储和交流。风险识别是以收集的历史和项目信息为依据，主要包括项目章程、项目管理计划、项目范围说明书、风险管理数据库和组织过程资产等等，综合应用多种结构化和非结构化的风险监测识别方法，如头脑风暴法、德尔菲法、访谈法、分析法、因果分析图法、系统或作业流程图法、影响图法、检查表法等等，以便全面彻底的识别出潜在的风险。

现在使用的风险识别办法，可以分为宏观领域中的决策分析（可行性分析、投入产出分析等）和微观领域的具体分析（资产负债分析、损失清单分析等。主要方法有生产流程分析法（又称流程图法，是指在生产工艺中，从原料投入到成品产出，通过一定的设备按顺序连续地进行加工的过程。强调根据不同的流程，对每一阶段和环节，逐个进行调查分析，找出风险存在的原因）、风险专家调查列举法（由风险管理人员对该企业、单位可能面临的风险逐一列出，并根据不同的标准进行分类）、资产财务状况分析法、分解分析法、环境分析、保险调查、事故分析等。企业在识别风险时，应该交互使用各种方法。

对风险的识别是准确度量风险的甜提，本文主要通过风险专家调查列举法分析总结出了影响IT项目成功的十大关键因素，确定IT项目生命周期内可能发生的风险一般包括：

1.需求风险：需求已经成为项目基准，但需求还在继续变化；需求定义欠佳，而进一步的定义会扩展项目范畴；添加额外的需求；产品定义含混的部分比预期需要更多的时间；在做需求中客户参与不够；缺少有效的需求变化管理过程；

2.计划编制风险：计划、资源和产品定义全凭客户或上层领导口头指令，并且不完全一致；计划是优化的，是“最佳状态”，但计划不现实，只能算是“期望状态”；计划基于使用特定的小组成员，而那个特定的小组成员其实指望不上；

产品规模（代码行数、功能点、与前一产品规模的百分比）比估计的要大；完成目标日期提前，但没有相应地调整产品范围或可用资源；涉足不熟悉的产品领域，花费在设计和实现上的时间比预期的要多；

3.组织和管理风险：仅由管理层或市场人员进行技术决策，导致计划进度缓慢，计划时间延长；低效的项目组结构降低生产率；管理层审查/决策的周期比预期的时间长；预算削减，打乱项目计划；管理层作出了打击项目组织积极性的决定；缺乏必要的规范，导致工作失误与重复工作；非技术的第三方的工作（预算批准、设备釆购批准、法律方面的审查、安全保证等）时间比预期的延长；

4.人员风险：作为先决条件的任务（如培训）不能按时完成；幵发人员和管理层之间关系不佳，导致决策缓慢，影响全局；缺乏激励措施，士气低下，降低了生产能力；某些人员需要更多的时间适应还不熟悉的软件工具和环境；项目后期加入新的开发人员，需进行培训并逐渐与现有成员沟通，从而使现有成员的工作效率降低；由于项目组成员之间发生冲突，导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作；不适应工作的成员没有调离项目组，影响了项目组其他成员的积极性；没有找到项目急需的具有特定技能的人；

5.开发环境风险：设施未及时到位；设施虽到位，但不配套；设施拥挤、杂乱或者破损；开发工具未及时到位；开发工具不如期望的那样有效，开发人员需要时间创建工作环境或者切换新的工具；新的开发工具的学习期比预期的长，内容繁多；

6.客户风险：客户对于最后交付的产品不满意，要求重新设计和重做；客户的意见未被采纳，造成产品最终无法满足用户要求，因而必须重做；客户对规划、原型和规格的审核决策周期比预期的要长；客户没有或不能参与规划、原型和规格阶段的审核，导致需求不稳定和产品生产周期的变更；客户答复的时比预期长；客户提供的组件质量欠佳，导致额外的测试、设计和集成工作，以及额外的客户关系管理工作；

7.承包商风险：承包商没有按承诺交付组件；承包商递交的组件质量低下，无法接收，必须花时间加以改进；承包商没有购进项目开发需要的工具，从而无法提供需要的性能水平；

8.产品风险：矫质量低下的不可接受的产品，需要比预期更多的测试、设计和实现工作；开发额外的不需要的功能镀金，延长了计划进度；严格要求与现有系统兼容，需要进行比预期更多的测试、设计和实现工作；要求与其他系统或不受本项目组控制的系统相连，导致无法预料的设计、实现和测试工作；在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题；发一种全新的模块将比预期花费更长的时间；依赖在开发中的技术将延长计划进度；

9.设计和实现风险：设计质量低下，导致重复设计；一些必要的功能无法使用现有的代码和库实现，幵发人员必须使用新的库或者自行开发新的功能；代码和库质量低下，导致需要进行额外的测试，修错误，或重新制作；过高估计了增强型工具对计划进度的节省量；分别开发的模块无法有效集成，需要重新设计或制作；

10.过程风险：大量的纸面工作导致进程比预期的慢；前期的质量保证行为不真实，导致后期的重复工作；太不正规（缺乏对软件开发策略和标准的遵循），导致沟通不足，质量欠佳，甚至需重新开发；过于正规教条地竖持软件幵发策略和标准，导致过多耗时于无用的工作；向管理层撰写进程报告占用开发人员的时间比预期的多；风险管理粗心，导致未能发现重大的项目风险。

（三）风险评估

风险评估包括对识别风险通过风险发生的概率及影响程度的综合评价确定风险的优先级排序。风险管理资源有限，不可能对所有的风险进行分析和减轻。我们应该把重点放在关键风险，并花较多的时间和资源管理它们，因此我们必须对风险进行排序。风险评估的主要活动包括以下几步，在实际操作时他们既可以重复，也可以同时进行：

1.对已识别的风险进行度量，评估风险发生的可能性及其后果。风险度量有定性、定量和混合等多种方法如主观评分法决策树法、层次分析法、模糊风险综合评价法、故障树分析法和蒙特卡洛模拟法等等。但是对项目由于其自身的许多独特的特点，而且缺少丰富的历史数据，损失难以确切预测等诸多原因，难以准确量化，而且项目对评估结果数据的精确度要求不高，因此，方法的选择多以定性分析为主，重在可行和高效。

2.归类与合并风险：对风险从不同的角度进行分类，将类似的风险归为一组，以便全面的了解风险形势。可以按照项目发展阶段、风险所属的领域、项目的属性对风险进行分类归属，以便分别对每个阶段或领域的风险进行排序，对各阶段、领域的相对风险量进行比较，找出其中影响比较大的风险。

3.分析风险事件的发生时段和何时采取行动才能阻止风险的发生。利用因果分析图、网络图和等，对风险来源、驱动因素和风险影响的区域和范围进行确定，找出风险根源、发展路径、风险间的关系及转化影响过程，具体找出风险驱动因素。把风险对号入座，据此得到风险分布图，找出风险集中的区域，记录重复发生的风险的次数及每次出现的时间和领域，以了解其重要性。

4.利用以上分析结果，确定风险最大的类、阶段、受影响最大的风险项目、哪些是局部风险、哪些是全局风险、哪些风险会频繁发生，得出最终的风险排序表，把排序较前的风险作为风险管理的重点，并优化完善风险管理数据库。

风险评估可从定性和定量两个方面进行，并且要尽量数据量化地确定受险程度。IT项目的风险评估中常用的分析方法包括层次分析法和概率影响风险评分矩阵等等。

（四）风险应对计划

风险应对是根据风险环境、风险管理目标和项目约束，幵发制定一些程序和技术手段等风险应对策略，用来提高实现项目目标的机会和减少风险对实现项目目标的威胁。风险应对策略包括风险避免、转移、缓解、接受、储备以及退避等，根据风险管理的成本收益原则，选择最佳的风险解决途径。我们一般通过对风险指标的量化和风险阈值的设立建立风险预警触发机制，我们对每一风险的控制行动计划都设置特定的启动阈值，风险阈值为可以接受非最低风险指标量化值。风险阈值根据风险指标的量化设定（如表所示），用于定义风险的开端，当项目风险指标达到阈值时便启动项目预警机制，并实施以此为依据编写风险监控计划、 风险应对计划。风险应对计划中存储风险控制行动计划的相关信息，主要包括：风险编号、风险控制目标、控制策略类型、策略描述、所需资源、使用的方法和工具、行动计划、识别期、执行期、持续时间、责任人、执行效果、启动阈值、备用方案。

风险应对策略从风险的定义出发，从减少发生的概率、减少损失的大小和改变风险后果等方面提出的策略，包括风险预防、转移、缓解、接受、储备、回避等。预防风险是一种主动的风险管理策略，防止风险发生或造成不利后果，此策略会在定程度上增加项目的成本，因此决策时需要进行成本效益分析；转移风险是将风险转移至参与该项目的其他人或其他组织，所以又叫合伙分担风险。其目的不是降低风险发生的概率和减轻不利后果，而是借用合同或协议，在风险事件一旦发生时将损失的一部分转移到有能力承受或控制项目风险的个人或组织，实行这种策略要遵循两个原则：第一，必须让承担风险者得到相应的回报；第二，对于各具体风险，谁最有能力管理就让谁分担；缓解风险是通过缓和或预知等手段来减轻风险，降低风险发生的可能性或减轻风险带来的不利后果，以达到风险减少的目的；接受风险是有意识地选择承担风险后果，当觉得自己可以承担损失时，就可用这种策略。接受风险可以是主动的，也可以是被动的。由于在风险规

划阶段已对一些风险有了准备，所以当风险事件发生时马上执行应急计划，这是主动接受。被动接受风险是指在风险事件造成的损失数额不大，不影响项目大局时，项目管理组将损失列为项目的一种费用。当采取其他风险应对方法的费用超过风险事件造成的损失数额时，可采取接受风险的方法；储备风险是指制定项目风险应急措施。一旦项目实际进展情况与计划不同，就动用后备应急措施。主要针对两种类型的风险：一是高危害的风险，以防缓解策略失败，二是不能或没有采取行动缓和的风险。项目风险应急措施主要有费用、进度和技术三种。预算应急费是用于补偿差错、疏漏及其他不确定性对项目费用估计精确性的影响；回避风险一一是指当项目风险潜在威胁发生可能性太大，不利后果也太严重，又无其他策略可用时，主动放弃项目或改变项目目标与行动方案，从而规避风险的一种策略。

总之，风险应对管理后的结果应包括以下几项内容：风险记录；已识别的风险及其描述，受影响的项目领域，风险成因及如何影响项目目标；风险责任人及其职责，定性定量的分析过程的结果；一致同意的应对策略；应对策略的具体行动；应对策略执行后的残留风险水平；风险发生的预警和信号；执行风险应对策略的预算和时间；启动应急计划非触发条件；执行应对措施引发的新风险；需要的应急储备量；风险相关的合同协议。

（五）风险控制

风险控制过程是指执行风险行动计划，以求使风险得到有效的防范、使风险指标回落到可以接受的范围内、并校正风险行动计划，积累风险经验。要及时的对触发事件的通知做出反应；按照风险应对计划开展风险应对措施，及时存储、报告和评审风险应对的结果，加强项目组内部交流。如果实施结果不能令人满意，就必须换用其他途径，必要时还需要采取校正行动，重新对风险进行评估，对风险控制行动计划乃至风险管理计划做出修正，以保证重要风险得到恰当控制。风险控制阶段用到的工具主要有风险评估、风险审计、定期的风险评审、技术绩效评估、差异和趋势分析、预留管理等等。要根据风险控制结果更新风险检查表和风险管理数据库。

风险管理全过程都需要当前项目信息和记录风险信息的风险数据库支撑，风险管理数据库可以用来辅助存储风险相关信息，以便于风险管理活动中的信息交流和管理跟踪。项目管理本身对知识和经验的积累有很大的依赖性。项目全面风险管理应特别重视对知识、经验的积累的学习，不断地对风险管理数据库进行更新、丰富和完善。根据本文的风险管理模型，本文拟建立的风险管理数据库包含了项目表、风险表、风险计划表、风险跟踪表，括号内是数据表中个属性的基本字段描述。

1.目标表（目标编号、目标描述）；

2.风险表（风险编号、名称、类别、事件描述、可能性、后果、风险大小、风险优先级、发生时段、所处阶段、风险场景、风险状态、影响范围、触发器、阈值）；

3.风险行动计划表（风险编号、风险控制目标、控制策略类型、策略描述、所需资源、使用的方法和工具、行动计划、识别期、执行期、持续时间、责任人、执行效果、启动阈值、备用方案）；

4.风险跟踪表（风险编号、跟踪期、风险状态、上次优先级、当前优先级、进入前十位的次数）。

（六）后评价和持续改进

项目风险管理部门应该对全部规章制度，项目管理流程，风险管理流程的执行情况进行后评价，并建立相应的授权调整和问责制度，确保风险管理体系的运行。同时，风险管理部门应根据外部环境，监管当局要求以及后评价中发现的问题，对风险管理体系中有关内容提出调整和完善意见，由项目决策层来对全面风险管理体系进行持续改进。被识别或评估为不重要的风险，其重要性可能随时间的推移而改变。当可能性较低或行动时间框架较晚时，有严重后果的风险看起来可能并不重要。而那些没有被识别出来的风险很有可能演变为问题。所以，后评价不仅仅是监视关键风险状态还包括其它己识别的风险，以及任何有助于识别出未知风险的新信息。及时将跟踪情况存入数据库，便于交流、共享和及时触发启动风险控制计划。

参考文献：

[1]赵传君.风险经济学[M].哈尔滨：黑龙江教育出版社,1985.

[2]李志辉译.风险模型——资本分配与绩效计量天津[M].天津：南开大学出版社，2004.

[3]陈翊斌.试论工程项目管理的研究现状及我国的对策[J].项目管理者联盟文库,2007,11.

[4]胡宣达，沈厚才.风险管理学基础——数理方法[M].南京：东南大学出版社，2001.

[5]宋明哲.现代风险管理[M].北京：中国纺织出版社,2003.

[6]赵晓玲.企业风险管理[J].河北理工学院学报.社会科学版，2003，3(1)：70-72.

[7]马敬川.企业风险管理研究[J].商场现代化，2005(9)：11-12.

[8]詹姆斯·林，黄长全译.企业全面风险管理——激励到控制[M].北京：中国金融出版社,2006

[9]运怀立.现代企业全面风险管理的测度与策略选择[J].现代财经,2007(4):32-35.

[10]沈建明.项目风险管理[M].北京：机械工业出版社，2004.

[11]李中斌.风险管理解读[M].北京：石油工业出版社，2000

[12]毕星，翟丽.项目管理[M].上海：复旦大学出版社，2000

[13]张洛玲，李师贤.软件项目风险管理方法比较和研究[J].计算机工程，2003,29(3),92.

[14]方德英，李敏强,寇纪淞.软件项目风险管理方法比较和研究[J].运筹与管理，2004，13(3).

[15]邵强，罗杰.国际石油工程项全面风险管理体系[J].油气地面工程，2010（05），36.

[16]李金海，徐敏.基于霍尔三维结构的项目风险管理集成化研究[J].项目管理技

术,2008,6(8):18-20.

[17]田中敏.论项目开发中的风险管理[J].武汉科技大学学报，2002,4(3).

[18]卢有杰，卢家仪.项目风险管理[M].北京：清华大学出版社，1998.

[19]宋明哲.风险管理[M]台北：中华企业管理发展中心，1987.

[20]柳纯录，刘明亮.信息系统项目管理师教程[M].北京：清华大学出版社，2005.

[21]傅俊元，吴文往.企业风险管理制度如何建立[J].财务与会计.理财版，2006(9):27.

[22]Kontio,Jyrki.Software Engineering Risk Management:A Method,Improvement Framework, and Empirical Evalution[D].A doctoral dissertation from Helsinki University of Tehnology,2001,09.

[23]Andrew W.The Three P’s of Total Risk Management[J].Financial Analysts Journal.1999(2):39-50.

[24]Barry Boehm.Software Risk Management:Principle and Practices[J].IEEE software,2010(01).

范文二：全面风险管理

公司治理－全面风险管理的基石

作者：李菲菲（博睿世纪高级咨询顾问） 发布时间：2008-9-1 现代企业的生存或死亡，发展或衰退，很大程度上取决于企业如何应对风险，取决于企业有没有科学的风险管理理念和严密有效的风险管理体系。企业风险管理理念的建立和落实，关键在于高层管理者能否充分认识到风险管理的紧迫性和重要性，并建立一套高效灵活的风险管理体系，以保证企业对风险危害的有效控制和风险机会的，恰当利用。公司治理作为一项企业的制度安排，是否与企业风险管理理念相协调，无疑对整个企业的风险管理水平起着决定性的作用。同时，能否有效地进行风险管理，也越来越成为公司治理有效性的一个重要标准。因此，协调风险管理与公司治理是现代企业避免失败、走向成功的关键。

1、全面风险管理的定义 国资委定义的全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

2、公司治理的定义

公司治理是一个多角度多层次的概念，很难用简单的术语来表达。狭义的公司治理，是指所有者，主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排，来合理地配置所有者与经营者之间的权利与责任关系。公司治理的目标是保证股东利益的最大化，防止经营者对所有者利益的背离。其主要特点是通过股东大会、董事会、监事会及管理层所构成的公司治理结构的内部治理。广义的公司治理则不局限于股东对经营者的制衡，而是涉及到广泛的利害相关者，包括股东、债权人、供应商、雇员、政府和社区等与公司有利害关系的集团。公司治理是通过一套包括正式或非正式的、内部的或外部的制度或机制来协调公司与所有利害相关者之间的利益关系，以保证公司决策的科学化，从而最终维护公司各方面的利益。因为在广义上，公司已不仅仅是股东的公司，而是一个利益共同体，公司的治理机制也不仅限于以治理结构为基础的内部治理，而是利益相关者通过一系列的内部、外部机制来实施共同治理，治理的目标不仅是股东利益的最大化，而是要保证公司决策的科学性，从而对保证公司各方面的利益相关者的利益最大化。

3、全面风险管理与公司治理的关系 全面风险管理就是企业董事会及经理阶层为实现未来战略目标的过程中,将市场变化不确定因素产生的影响控制在可接受范围内的过程和系统方法。但全面风险管理与公司治理的目标都是通过科学决策,在最大程度上规避风险,以实现公司价值最大化。

全面风险管理与公司治理相辅相成、相互促进、相互制约的关系。

3.1、全面风险管理是公司治理的核心

公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开，风险直接影响目标的实现，而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度，治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,公司治理中包含一些战略性的风险管理的因素。因此,全面风险管理是公司治理的核心。

3.2、公司治理决定全面风险管理的实现程度。

公司治理这一制度安排所决定的企业目标、决策人和收益的分配实质上都是围绕风险展开的。从某种意义上来说，公司治理是组织应对风险的战略反应，其职责就是确保企业实现有效的风险管控。

3.3、公司治理是落实全面风险管理的组织保证和制度基础。 企业全面风险管理的实施必须由公司治理结构中的董事会和高级管理层等相关主体应用到企业战略决策等重大事项中，并由他们进一步将其贯彻落实在企业的方方面面。COSO在《企业风险管理一一整合框架》中明确指出：企业风险管理是一个过程，受组织的董事会、管理层和其他人员影响，应用于战略制定及各个方面，旨在识别影响组织的重大潜在事件，将组织的风险控制在可接受的程度内，从而为组织目标的实现提供合理的保证。COSO还提出了企业风险管理的八个要素，其中第一个就是内部环境，它是整个框架中其他要素的基础。内部环境本身也包含很多要素，例如，企业的道德价值观，员工的胜任能力，管理当局管理风险的理念以及如何分配权利和职责，董事会的独立性和监督等，这些要素大都在公司治理的范畴之中。由此可见，全面风险管理与公司治理紧密相连，有效的公司治理可以为企业风险管理提供良好的制度环境。

3.4、与公司治理协调一致的全面风险管理的实施有助于公司治理目标的达成。

全面风险管理可以为董事会、高级管理层等提供重大风险方面的信息，协助他们进行有效的治理和管理，同时避免发生损失和意外，达到提升价值创造能力的目的。特别是公司治理风险已经成为当今企业面临的一个重要风险，公司治理的缺陷有可能导致企业走向失败，甚至“突然死亡”，安然、世通、银广夏、中航油等众多国内外企业失败的案例都充分证明了这一点。因此，从全面风险管理的理念入手加强公司治理是一个必然的选择。

3.5、全面风险管理与公司治理相互制衡

一个健全、完善的治理结构关键在于股东大会、董事会、经理阶层和监事会即法人治理结构的健全,相互之间的权力、责任和利益明确,以形成有效制衡的机

制。全面风险管理是基于管理当局与其下属高级管理人员之间、高级管理人员与低阶层管理人员、管理人员与一般员工之间的委托代理关系而产生的,主要是保证下级管理人员和工人的对企业的各种风险如投资风险、经营风险、产品风险等做到及时发现并回报,保障企业目标的实现。强调的是高级管理人员之间、高级管理人员与低阶层管理人员、管理人员与一般员工之间的一种制衡。从这个角度来说全面风险管理与公司治理都遵守相互制衡的原则。 虽然全面风险管理理念与公司治理具有密切的联系，但这并不意味着两者之间的关系在实际中协调的很好。公司治理与风险管理之间需要有效的协调。具体而言，主要有以下几个方面：

? 1）建设规范有效的公司治理，奠定全面风险管理的组织基础，加强风险管理。

全面风险管理理念的推行，需要依靠恰当的组织基础。而能够承担其实施的组织基础，只能是企业高层的公司治理结构。只有这个层面，才能从总体上把握企业全面风险管理的各项要求，才有能力和资源在企业经营的各环节、企业内部的各部门中有效地贯彻落实风险管理理念。因此，建设规范有效的公司治理是推行全面风险管理理念的组织基础。

? 2）强化公司治理中的风险管理目标要求，为风险管理理念的落实提供努力方向。

企业全面风险管理理念必须转化为可考核的、具有行动导向的目标要

求，才能真正得到各方面的重视，才能真正落实到位。

? 3）根据企业全面风险管理的要求改进和完善公司治理内部组织。

目前，国外比较成功企业的普遍做法是董事会下设风险管理委员会和审计委员会，作为董事会进行风险管理的主要内部组织；管理层下设风险管理职能部门和内部审计部门，并同时向董事会的相应委员会报告工

作，作为协助管理层、董事会进行风险管理的主要职能部门。实践证明，这种公司治理内部组织设置上的改进与完善，对于加强风险管理是非常有效的。《中央企业全面风险管理指引》对此也提出了明确要求，具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线，风险管理职能部门和董事会下设的风险管理委员会为第二道防线，内部审计部门和董事会下设的审计委员会为第三道防线。

? 4）加强公司治理相关主体的风险管理职责与胜任能力。 全面风险管理理念赋予了董事会新的职责。董事会应就全面风险管理

工作的有效性对股东(大)会负责，其具体职责主要包括：对企业风险管理的全过程进行监控，包括了解主体中企业风险管理的范围；批准主体的风险容量；审核主体的风险组合观，并对照主体的风险容量对其进行考核；了解最重大的风险以及管理当局是否恰当地应对，督导企业风险管理文化的培育等。

全面风险管理理念对董事会的构成提出了新的要求。如，增加董事会

中独立董事人数的要求，使独立董事在董事中占多数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。再如，对董事的诚信、经验和技术方面的胜任能力提出了更高的要求，

要求其熟悉企业重要管理及业务流程，具备风险管理监管知识或经验，具有一定的法律知识等。

赋予了首席执行官新的职责。企业首席执行官的主要职责在于恰当地

建立风险管理的所有构成要素，制定战略目标和有关的高层次目标，构建主体的风险管理理念，定期与负责主要职能领域(销售、营销、生产、采购、财务、人力资源)的高级管理人员进行会谈，从而对他们的职责进行核查。

设置风险官员。有条件的企业在首席执行官之下设置专门的风险官

员，其职责是确定各业务单元对于风险管理的权力和义务，指导风险管理与其他经营计划和管理活动的整合，对企业整体风险管理进行监控，并向首席执行官报告进展和问题并建议必要的措施。

? 5）全面风险管理应高度关注公司治理风险。

公司治理风险主要是指由于公司治理结构和治理机制不合理而引发的

公司战略和治理上的风险，这种风险会极大打击投资者的信心，从根本上危及公司的持续发展与成长。因此，除了关注战略风险、财务风险、市场风险、运营风险、法律风险等以外，现代企业的全面风险管理必须从治理环境变化风险、公司内部治理风险、外部治理风险三个维度测评公司治理风险，建立治理风险预警指标，并通过督促公司建立完善的治理结构和治理机制来防范公司的治理风险。

4、加强全面风险管理，需要提高公司治理能力

通过提高公司治理能力来加强全面风险管理国际经验表明,在经济发展较快、竞争日益激烈的情况下,加强企业全面风险管理已提上日程。我国近年来经济发展较快,外部经济环境较为复杂,行业发展还很不成熟,风险管理形势严峻。增强我国企业的抗风险能力成为企业改革与发展的重任之一。我们要加强企业全面风险管理,要从加强监管、完善公司治理结构、加强市场监督、健全公司治理文化、改善公司治理环境四个方面着手:

? 4.1 要实施严格的外部监管和考核。

对我国来说,国有企业是我国国民经济的支柱,一旦倒闭将给我国经济

带来巨大的冲击,影响到就业,国家安定等一系列问题,因此对国有企业的监督尤其重要。国家在国有企业的管理上,要履行出资人的责任,要给企业放权的同时加强监察力度。建立让国有企业负责任的制度之一,就是不让企业负两项责任,也不能脚踩两只船。制度设计上,把公益性和赢利性国有企业分开。公益性国有企业制度设计建立在社会公益基础上,以公益目标为主监管和考核企业。这类企业微利或不亏即可,利润大幅增长倒是该警惕了,可能损害了公益。为实现公益目标必然的效率损失由财政补贴。财政补得值也补得起,因为补贴换取了社会公益,这类企业也不多。另外,从利益相关者的角度来看,企业不仅仅属于股东,企业属于所有利益相关者,包括政府、供应商、社区、顾客、债权人等等。因此,企业的风险和利益相关者的利益息息相关。充分发动利益相关者的

监督作用,发挥政府的控制和监督作用,利用新闻媒体的舆论作用,建立全社会的风险预警系统。

? 4.2 我国企业迫切要建立适合我国国情的完善的公司治理结构。

完善公司治理结构是建立现代企业制度,提高企业的可持续发展能力、竞争能力和抗风险能力的根本所在。建立公司治理结构当前迫切需要做好两方面工作:

o 构建完整独立的风险管理体系。

建立全面风险管理模式,是提高我国风险管理水平的关键。一是

要培育先进的全员的风险管理文化;二是建立独立而权威的风险

管理部门实现对各机构风险统一管理;三是通过科学的风险管理

模式,对各类风险实现全面管理;四是通过风险识别、衡量、监测、

控制和转移实现全过程管理;五是确定风险管理职责在各业务部

门之间、上下级之间的协调联动管理。

o 完善内控机制,保障公司治理机制的运行。

内部控制是防范企业全面风险最主要、最基本的防线,防范全面

风险必须首先从风险机构内部控制做起。建立健全科学的决策体

系、有效的自我约束和激励机制提高经营管理水平,增加盈利能

力,是推进我国企业改造的基础。强化董事会在内控体系中的作

用。要强化董事会在公司治理结构中的主导地位,突出董事会在

建立和完善内控体系过程中的核心作用。

? 4.3建立规范的、严格的信息披露制度,自觉接受市场监督。

我国上市公司信息披露存在两大痼疾:第一,信息披露违规事件屡禁不

绝。第二,虚假信息泛滥成灾。

? 4.4健全公司治理文化防范道德风险。

5、未来公司治理中应关注的风险管理问题

? 5.1 企业永续经营的计划。

企业能否做到永续经营,还是一个正在讨论的问题,不过对公司治理的

核心——董事会来说,必须以此为目标,在做决策时必须考虑到未来的

不确定性,最大程度规避各种风险,使企业做到可持续发展。对于企业来说,要做到永续经营,不仅要考虑企业内部的风险,还要考虑到企业外部的风险,因此,企业要勇于承担社会责任,充分调动利益相关者的积极性,对企业进行监督,使企业能可持续发展。

? 5.2 共同价值观的理解和人性化治理。

共同价值观。通过分析各种不同的价值观,找出文化差异,是一个非常

重要的目标。企业要充分运用这些差异的优势,避免这些差异带来的风险,提高员工的效率。

人性化治理,就是在治理的全过程中突出人的地位和作用,把人的因

素提升到主动性的位置,高度地发挥人的因素的决定性作用。人性化治理是公司治理与伦理学的融合是将“利用人”的工具理性与“为了人”的价值理性相结合,把人作为治理活动的核心,尊重人的本性,满足人的合理需求,激发人的热情,调动人的积极性,发挥人的创造性。

? 5.3 人人都是风险管理者。

企业的风险与企业的每一名员工都息息相关,要做好全面风险管理,企

业的人员从高层到中层到基层,人人都要参与,形成一个紧密合作的风

险管理团队。

未来社会充满了不确定性,而随着风险社会的到来,不安全正成为新的冲突因素,工业社会追求个人权利,风险社会则追求规避风险。正因为如此,让人人承担风险让人人从风险中受益。 三、完善公司治理结构是企业顺利推进全面风险管理的基础

目前，我国许多国有企业经营效益较低，经营管理体系有待提升、财务报告失真甚至弄虚作假，违规操作等现象并不罕见，从COSO的全面风险管理框架，以及国资委的《指引》中我们可以看到，这些问题可以归结为企业全面风险管理迄待解决的问题，它们主要表现在:

? （一），企业对风险管理认识不全面，风险管理观念淡薄，表现为重经营

轻管理，导致企业风险管理基础工作薄弱。

? （二），企业风险管理程序不科学，风险责任不明确，公司权力机构之间

缺乏有效制衡，风险管理制度缺乏系统化、科学化，风险管理手段简单，制度没有真正或有效执行。

? （三），企业风险管理缺乏统一控制标准，缺乏资源调剂和资本核算机制，

导致风险信息不能有效利用。

? （四），企业缺少健全的风险管理组织机构，管理过程缺少监管，企业风

险管理缺乏有效的激励或严格的惩罚。

? （五），风险管理缺乏专业人才，风险管理职能不能有效发挥，导致企业

经济损失或风险成本增加。 博睿世纪认为，造成上述状况的成因是多方面的，比如说企业内部管理和风险控制缺失。但上述问题的产生，有很多是根植与公司治理结构的不尽完善。或者可以说，公司治理结构的完善是企业进行全面风险管理的基础。在完善的公司治理结构中，公司决策层应当既要敢于拒绝控股股东的不当干预，又要维护大多数股东、投资人的利益;既要保证公司经营效率，又要制约经理人员滥用职权，避免和防止“内部人控制”、大股东损害小股东利益。

完善公司治理结构，董事会制度至关重要，应优化董事会的构成，正确发挥董事会的战略经营决策的作用。董事会应当就全面风险管理工作的有效性对全体股东负责。董事会在全面风险管理方面主要履行的职责包括：

? （一）审议并向股东（大）会提交企业全面风险管理年度工作报告； ? （二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管

理策略和重大风险管理解决方案；

? （三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效

控制风险的决策；

? （四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或

判断机制；

? （五）批准重大决策的风险评估报告；

? （六）批准内部审计部门提交的风险管理监督评价审计报告；

? （七）批准风险管理组织机构设置及其职责方案；

? （八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度

做出的风险性决定的行为；

? （九）督导企业风险管理文化的培育；

? （十）全面风险管理其他重大事项。

可见一个完善的董事会制度对于企业全面风险管理建设起到的是领导、督促、监控等非常重要的作用。

另外，优化企业的股权结构可以促进公司治理结构的良险循环。引人战略或机构投资者，促进股权主体多元化，并发挥他们在公司治理中的积极作用。有研究表明，公司法人持股比例上升不仅会直接对公司价值产生积极作用，同时还会促进公司治理状况的改进，降低代理成本。完善公司治理结构，是降低企业“内部风险”的根本，也是在公司面临外部风险时正确决策的基础。

还有，营造良好的内部环境，建立有效的监管制度，对进一步完善公司治理、促进企业健康发展十分必要，也会非常有利于公司的全面风险管理。良好的内部环境应包括公司权力机构的权利有效制衡，企业的资源合理利用，风险管理科学，内部控制有效，生产经营效率高以及适合企业发展的企业文化等。良好的内部环境有利于公司治理效率的提高，治理机制趋向合理，治理结构科学化。完善公司治理结构、营造良好的内部环境，必须优化监管环境，建立有效的监管制度。建立以独立董事、监事会、审计等多元化监管体系是保证企业有效运转的重要措施，要增强监管受托责任，实施多样化的监管手段，还应充分发挥国家审计和社会中介机构的监督。

西方某些大型企业的经营、投资失败甚至倒闭，以及近期美国的次贷危机表明，即使是在西方发达国家的商业环境下，在企业全面风险管理方面也存在许多不足。目前，我国大多数企业的风险管理体系尚处在起步阶段，值得欣慰的是，国内的一些大公司已开始按照国际风险管理的思路来设计适合自己企业的风险管理体系。

对于中国的企业来讲，在我们逐步推进和完善全面风险管理建设的过程中，必须首先要解决好公司治理结构中的一些问题：

? （一）是发挥好董事会在全面风险管理实践和体系建设中的作用。董事会

必须作好企业全面风险管理体系建设的领导作用。

? （二）是完善风险管理组织架构。风险管理委员会，风险管理官，以及各

子、分公司的风险负责人等机构和职位要根据企业自身情况进行设置，

业务运营线、风险管理线和内部审计线这三条主线要相互独立，相互监督制衡。

? （三）是要关注“全面”的概念，全面风险管理，就是不能只拘泥于单一的，或是可以看到的风险，并且要在风险文化的建设中纠正“风险管理只是风险管理部门的责任”的错误观念和做法，公司决策层要积极投入进来，使公司的各个层面都能树立起风险管理意识。

? （四）是要建立完善的风险管理决策机制，使企业对于风险的发生有所准备，并能够积极做出回应。 上述问题的解决，是一个企业全面风险管理体系能否成功的建立起来，并且良性的运作起来的前提工作。博睿世纪认为，管理其实完全是相通的，企业的风险管理，是一个企业从自身成立之初，就以这样或者那样的方式在关注着的重要问题。近几年国资委根据中央企业的发展现状，以及国内外商业环境的变化情况，适时的提出全面风险管理的议题，完全是将风险管理这一理念系统化并提高到一个全新的高度，毕竟当今企业的发展，无论从自身发展还是从外在环境来说，时时刻刻可能都会面临着性命攸关的抉择。博睿世纪认为中国的企业应本着从实际出发、务求实效的原则，根据自身的发展状况以及实际条件，尽快行动起来，从完善公司治理结构入手，选择单项或者的多项的内部控制系统，逐步的建立符合自身发展的、健全的全面风险管理体系。

范文三：全面风险管理

全面风险管理(Comprehensive Risk Management)

什么是全面风险管理

所谓全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

全面风险管理是一个全新的概念，目前主要应用于企业管理领域，所以以下都围绕企业管理进行阐述。这里的定义是参照了国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》。

全面风险管理框架的设立原则

中央企业要在促进国有经济布局和结构优化方面发挥表率作用，实现国有资本优化配置，充分发挥跨省市经营，产业分布广的优势，就必须逐步建立全面风险管理框架，降低生产经营风险。在中央企业全面风险管理建立和实施的过程中，应该遵循以下原则。

（一）预测先导原则

成功地回避风险，必须建立在对风险发生可能性科学预测的基础上，这就要求在选择具体操作方法时，坚持理论与实际、定性与定量、历史与未来相结合的方法，以确保实施方法的准确性和有效性。

（二）权衡轻重原则

对风险的性质、风险程度做出合理评估，结合企业管理、财务等综合能力，制定风险管理方针和策略。

（三）避免超载原则

国资委或中央企业应对所属企业管理者的风险管理能力进行监控，避免超出其承受能力的经营风险。

（四）成本效益原则

对因进行风险管理而产生的成本及其绩效进行比较，择优采用。如果风险防范成本超出了最终风险可预测损失，那么，该项风险防范措施的效果无疑应该大打折扣。

企业全面风险管理发展趋势

全面风险管理，是指企业围绕总体经营目标。通过在企业管理的各个环节和经营过程中，执行风险管理的基本流程。培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。从而为实现风险管理的总体目标提供合理保证的过程和方法。

从国际上看，许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。如美国萨班斯法案的实施。对在美上市公司的治理和管理控制提出了更高的要求，该法案404条款（管理层对内部控制的评价）规定了内部控制方面的要求和内部控制评价报告，这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。2004年，美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上，提出一个概念全新的COSO报告《企业风险管理——总体框架》（简称EBM），使内部控制研究发展到一个新的阶段。COSO委员会提出，企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提供合理保证。

从国内来看，中央政府已越来越重视风险控制，将风险管理提高到企业管理的重要位置。2006年6月。国务院国资委发布了《中央企业全面风险管理指引》。对中央企业如何开展全面风险管理工作提出了总体原则，并对企业风险管理的基本流程、组织体系、风险评估等方面进行了比较详细的引导。该《指引》的出台，对国有资产的保值增值和企业的健康发展。将起到一定积极作用，为我国企业应对经济全球化挑战和市场经济条件下的内外风险，提供了指南。 2007年3月全国工商联发布《关于指导民营企业加强危机管理工作的若干意见》，指导民营企业增强危机意识，建立防范风险的危机预警机制和用于解决危机的应急处理机制，提高危机防范与危机化解的能力和水平。由此可见，我国在企业全面风险管理方面已经迈出了一大步，已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是，全面风险管理在我国企业管理中还属于相对薄弱的环节。许多企业缺乏经验，风险意识不强，风险管理手段相对匮乏。因此。广泛开展企业全面风险管理理论与实践研究。积极借鉴国际上企业全面风险管理技术和经验，努力提高我国企业全面风险管理水平，将是我国政府和企业面临的日益紧迫的重要任务。

全面把握企业全面风险管理的基本流程与要求

企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制，需要建立科学的全面风险管理流程，保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作，《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作，具体包括：

（一）收集风险管理初始信息

收集风险管理初始信息是企业全面风险管理的首要环节，其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。

不同的风险，源于企业内外不同方面，而且随时随地都有可能发生。因此，收集风险管理初始信息应该贯穿于企业所有的业务单位，并且作为一项经常性工作。它要求企业有效地建立风险信息收集与管理系统，广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。

（二）进行风险评估

企业风险评估，是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估，具体包括风险识别、风险分析和风险评价三个步骤，其目的在于查找和描述企业风险，评价所识别出的各种风险对企业实现目标的影响程度和风险价值，给出风险控制的优先次序等。

风险识别、风险分析和风险评价，是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行，也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何，都要采取定性与定量相结合的方法，如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率，还要统一制定各种风险度量单位和风险评估模型，要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系，也要进行必要的相关分析，以便对各种风险进行集中管理。此外，风险评估也是一项经常性工作，需要进行动态管理。

（三）制定风险管理策略

制定风险管理策略，就是根据内外条件，对所识别出的各种风险，按照所给出的优先次序。围绕企业目标与战略，确定风险偏好、风险承受度和风险管理有效性标准，选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具，确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节，决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性，对不适当的风险管理策略进行及时的修正或调整。

（四）提出和实施风险管理解决方案

提出和实施风险管理解决方案，就是根据所制定的风险管理策略。针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括：提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条件、手段以及各种内控制度等，以及风险事件发生之前、之中和之后应该采取的具体应对措施（包括外包方案）以及风险管理工具。

所制定的风险管理解决方案，应该满足合规性要求，同时要注重成本、质量与效率的平衡，坚持经营战略与风险策略、风险控制与运行效率的统一，保护自身商业秘密，防止自身对外包解决方案产生依赖性风险。

（五）风险管理的监督与改进

企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此，企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点，对上述各项风险管理工作实施情况进行监督，并且采取有效的方法对其有效性进行检验。根据监督和检验结果，对所存在的问题或缺陷加以改进。

为了加强风险管理的监督与改进工作，企业应该建立健全风险管理工作自查制度、监督评价制度（包括外部评价制度）、报告制度和信息反馈系统，为改进和有效落实风险管理策略和风险管理解决方案提供保证。

全面风险管理框架的基本步骤

全面风险管理的一般程序包括七个步骤。这七个步骤是：

1、建立综合信息框架；

2、风险评估；

3、制定风险战略；

4、构造风险管理解决方案；

5、实施风险管理解决方案；

6、监控改进风险管理的过程；

7、贯穿于整个风险管理过程中的信息沟通。

全面风险管理与企业内部控制

说到风险管理，有个概念是必须要提到的，即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系，要么将两者完全隔离开来，要么只是简单地将它们等同起来。那么它们有什么联系和差异呢？目前国际上基本上是接受了美国COSO（全国虚假财务报告委员会的发起人委员会）2004年发布的《企业风险管理——整合框架》（国内也有译作《全面风险管理框架》的）对两者的阐释。

一、按COSO框架，两者的联系为：

（1）全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控，将之作为一个子系统。

（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。

二、内部控制与全面风险管理的差异为：

（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（3）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。

从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

三、内部控制与全面风险管理的产生和发展

内部控制和风险管理的概念是在实践中逐步产生、发展和完善起来的。

在20世纪30年代，由于受到1929－1933年的世界性经济危机的影响，美国约有40％左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的内部控制和风险管理主要依赖保险手段。

1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，第一次对内部控制做了权威性的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。

20世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿，美国国会于1977年通过了“国外腐败实务法案（1977）”。该法案除了反腐败条款外，还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年，美国执业会计协会下面的柯恩委员会（Cohen Commission）提出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后，内部控制审计的职业标准逐渐成形。而且，这些标准逐渐得到了监管者和立法者的认可。

1970年代以后，随着企业面临的风险复杂多样和风险费用的增加，法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时，日本也开始了风险管理研究。此后20年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险管理准则”，这是风险管理走向实践化的一个重要文件。1992年9月，美国COSO委员会发布了《企业内部控制——整合框架》，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。 1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序，这就是我们通常说的澳新ERM标准，这标志着第一个国家风险管理标准的诞生。

多年来，人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。然而，尽管很多企业意识到全面风险管理，但是对全面风险管理有清晰理解的却不多，已经实施了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案，加之其它一系列的会计舞弊事件，促使企业的风险管理问题受到全社会的关注。2002年7月，美国国会通过萨班斯法案（Sarbanes- Oxley法案），要求所有在美国上市的公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。接着在2004年9月，COSO发布《企业风险管理——整合框架》（Enterprise Risk Management — Integrated Framework），该框架拓展了内部控制，更加关注于企业全面风险管理这一更为宽泛的领域，并随之成为世界各国和众多企业广为接受的标准规范。

到目前为止，世界上已有30几个国家和地区，包括所有资本发达国家和地区及一些发展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而成为企业经营的合规要求。

四、内部控制与全面风险管理运用的一些误区

（1）把内部控制与全面风险管理体系的建设理解为建章立制。其实从 COSO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。

（2）内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天，有时候先做起来比争论更有意义。

（3）内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。

（4）内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异或者关注度不够，除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些，事实是理论来源于实践又高于实践，这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。

斯坦福大学研究院的企业全面风险管理框架

斯坦福大学研究院提出的是企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）框架。

企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）强调通过量化分析支撑下的决策分析，在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下，COSO风险管理框架以内控为中心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内控体系，完善风险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升风险管理的效率和效果，最终帮助企业实现风险管理的各项目标，包括：

1、建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系

2、利用系统的、科学的方法对各类风险进行识别和分析

3、将风险应对措施落实到企业的制度、组织、流程和职能当中

4、形成企业风险管理战略，支持企业经营战略目标的实现

5、使所有企业利益相关人了解企业的风险，满足股东以及监管机构的要求

提高我国企业全面风险管理水平的主要措施

（一）提高企业高层管理者综合素质，增强高层管理者全面风险管理能力。

企业全面风险管理水平，取决于高层管理者的风险偏好、处理风险事件的态度、方法和能力。这就要求企业高层管理者必须拥有专门的风险管理知识、才能和智慧，形成一套系统的风险管理理念，树立科学的风险应对策略观，以确保履行其风险监控责任，引导企业风险管理文化的形成，推动企业风险管理系统的合理构建。与此相适应，在选拔、聘用和考核企业高层管理者时，应该强调其风险意识、风险管理态度与风险管理能力，要从制度设计着手，引导或迫使企业高层管理者不断提高其自身综合素质，增强其全面风险管理能力。

（二）塑造风险管理文化，增强全员风险管理意识。

风险管理是一项全员参与的系统工程，需要以塑造风险管理文化。增强全员风险管理意识为支撑。风险管理文化是企业文化的重要组成部分，其内容主要包括风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化建设中。要倡导和强化“全员的风险管理意识”，通过各种途径将风险管理理念传递给每一个员工，并且内化为员工的职业态度和工作习惯；要在企业内部形成风险控制的文化氛围和职业环境。使企业能敏锐地感知风险、分析风险、防范风险。

（三）设立风险管理机构，构筑全面风险管理组织体系。

设立风险管理机构，构筑全面风险管理组织体系，是提高企业风险管理水平的重要保证。主要涉及到：企业法人治理结构、风险管理职能部门、内部审计部门、法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。董事会应该成为企业全面风险管理工作的最高决策者和监督者，就企业全面风险管理的有效性对股东会负责。董事会内部可以设置风险管理委员会，专门研究和制定企业风险管理政策与策略等。经理层应该成为企业全面风险管理政策与策略的执行者，主要负责企业全面风险管理的日常工作。就企业全面风险管理工作的有效性对董事会负责。企业风险管理职能部门等内部有关部门。应该形成各有分工、各司其责、相互联系、相互配合的有机整体。各机构人员应该由熟悉本职工作，能对个案做出风险评估和处理的专家或专门人才组成。根据各企业经营特点，应该确立各部门、各单位风险控制的重点环节和重点对象。制定相应的风险应对方案；监督企业决策层和各部门、各单位的规范运作。风险发生时。风险管理组织系统应该能够全面有效地指导和协调风险应对工作。

2009年中央企业全面风险管理报告(模本)

一、2008年度风险管理工作有关情况

(一)简要说明本企业及主要所属企业2008年度企业风险管理工作计划的执行情况。

(二)简要说明2008年本企业管理重大风险的效果，包括在管理机会风险方面所取得的主要成效。

(三)简要说明本企业建立风险事件库的相关情况。

1.企业建立风险事件库，收集整理分析本企业、国内同行业及国外企业发生的风险事件案例的相关情况。

2.根据本企业确定的重大风险损失事件标准，对企业近三年来发生的重大风险损失事件，从发生过程、造成的损失或影响、产生原因、事件的处理以及为防止同类事件再次发生所采取的对策等方面，进行收集整理分析的相关情况。

企业向国资委报送的年度报告中可以仅从分类和数量方面，简要说明建立风险事件库、

分析重大风险损失事件的有关情况。

二、2009年风险管理工作有关情况

中央企业应高度重视当前及今后一定时期内更加复杂的经济形势对本企业的影响，在进行风险评估、制订重大风险管理策略及解决方案时，更具针对性，确保企业持续稳定健康发展。

(一)企业2009年面临的重大风险。

1.重大风险描述。

说明本企业2009年经风险评估后确定的重大风险（包括纯粹风险和机会风险），并从风险类别、产生原因、涉及的主要所属企业、涉及的重要流程、风险发生后可能给企业带来的影响等方面逐一进行简要描述。

2.其他重要风险描述。

对经评估后确定的其他重要风险（发生概率小，一旦发生将对企业的经营目标产生重大影响的风险），比照对重大风险的相关要求逐一进行简要描述。

3.风险坐标图。

按照发生的可能性及发生后对经营目标的影响程度两个维度，将企业2009年面临的重大风险和其他重要风险绘制成风险坐标图。

(二)重大风险管理基本流程执行情况。

1.风险评估情况。

(1)简要说明企业为开展本年度风险评估，尤其是结合当前经济形势，进一步在战略风险、财务风险、市场风险、运营风险和法律风险等方面收集风险管理初始信息的情况。

(2)简要说明本企业开展2009年风险评估的范围、方式及参与人员等情况。

(3)以附件形式说明本企业在分析风险发生的可能性、风险发生后对经营目标的影响程度时，所采用的评估标准。

(4)简要说明同2008年相比，本企业2009年经风险评估后确定的重大风险的变化情况。

(5)按照风险分类，说明风险评估结果的数量分布情况。

2.重大风险管理策略与解决方案。

(1)以附件形式说明本企业根据自身情况界定的企业重大风险判断标准。

(2)从以下两个方面，逐一简要说明各项重大风险的管理策略和解决方案。

①风险管理策略。包括企业对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等。

②风险解决方案。包括风险事件发生前、中、后拟采取的具体应对措施，所使用的风险管理工具，以及如何抓住重大风险中的机会等。

3.风险管理的监督与改进。

(1)简要说明本企业对执行重大风险管理策略和解决方案的监督机制。

(2)简要说明参与风险管理的各业务单位、职能部门，根据可能发生的变化情况和管理中存在的缺陷，完善和改进重大风险管理的机制。

(三)企业全面风险管理工作总体规划及2009年企业风险管理计划。

1.简要说明本企业全面风险管理工作总体规划。

2.简要说明本企业2009年全面风险管理工作计划。

3.说明董事会或经理办公会议对本企业2009年全面风险管理工作提出的要求。

三、企业全面风险管理体系及风险管理文化建设现状

（已提交《2008年中央企业全面风险管理报告》的企业，本部分只需说明有关变动情况。）

(一)风险管理组织体系。

1.企业组织机构与风险管理组织机构。

以附件形式说明企业最新的组织结构图（三级公司以上）与风险管理组织机构图。

2.董事会与企业经理层。

设立董事会的企业：

设立风险管理委员会或已确定履行相关职责的专门委员会的，说明该委员会的名称、构成、职责及履职情况；尚未设立的，说明相关工作计划；并说明本企业经理层分工负责风险管理工作的相关情况。

未设立董事会的企业：

说明本企业经理办公会议履行风险管理职责情况及经理层分工负责风险管理工作的相关情况；经理办公会议下设了风险管理机构（如全面风险管理领导小组、风险管理委员会等）的，说明该管理机构的名称、构成、职责及履职情况。

3.风险管理职能部门。

设立风险管理专职部门的，说明该部门的名称、编制、主要职责及人员构成。

确定相关职能部门履行风险管理职责的，说明该部门的名称、风险管理专职或兼职岗位设置、人员配置及主要职责。

4.主要所属企业的风险管理组织体系。

本企业主要所属企业的风险管理组织体系，可比照本节前述2、3的相关要求进行简要说明。

(二)内部控制系统。

1.简要说明本企业及主要所属企业内部控制系统建设现状，包括重要流程的管理、内部控制评价等。

2.已制订《内部控制手册》的企业，简要说明其主要内容及执行情况。

3.简要说明本企业建设内部控制系统的工作计划。

(三)风险管理信息系统。

已建立风险管理信息系统(包括在企业管理信息系统的基础上，进行补充、调整、更新，使之具备风险信息管理功能)的企业，简要说明该系统覆盖的所属企业范围、主要管理及业务流程，监控的重大风险以及对这些风险的预警功能等情况。

(四)风险管理文化。

1.简要说明本企业风险管理文化建设现状。

2.简要说明《风险管理指引》印发以来，本企业开展风险管理培训的有关情况，包括时间、内容、人次及师资等。

3.企业已制定员工行为、道德诚信等有关规定的，简要说明其主要内容。

(五)风险管理与绩效考核。

企业风险管理师培训及注册 第 11 页 共 12 页

企业已将风险管理纳入绩效考核体系的，简要说明风险管理考核指标及其权重等情况。

四、有关意见和建议

(一)需要国资委协助解决的有关重大风险管理问题。

(二)对国资委推动中央企业全面风险管理工作的建议。

企业风险管理师培训及注册 第 12 页 共 12 页

范文四：华为八大风险管理

华为危机：八大风险威胁企业未来

导读： ICT行业是如此的风云变幻，而华为在成为今天的巨无霸之后，还能在未来继续成功么？虽然华为有幸，拥有以任正非为首的一批时时警惕的领导团队，自1998年就不断的发出“华为的红旗还能打多久”这样的自我质询。 465亿美元的营收，20.6%的增长率！华为公布的2014年财报带来了一份令人惊叹的成绩。能够在如此庞大的营收规模上主要靠自身成长获得这么高的增长，即便在全球商业世界也是罕见的。华为，的确是中国人的骄傲！

然而，透过绚烂的成功光环，笔者却看到了一些隐忧：华为的发展，还有多少空间？华为过去的成功，能够保证多少未来的成功？华为自身的不足，是否在未来会成为大问题？是啊，ICT行业是如此的风云变幻，而华为在成为今天的巨无霸之后，还能在未来继续成功么？虽然华为有幸，拥有以任正非为首的一批时时警惕的领导团队，自1998年就不断的发出“华为的红旗还能打多久”这样的自我质询。如今，这样自我批判的文化依然强大。

但是，世事艰难，北电，摩托罗拉，诺基亚，乃至今天的三星，还有国内的的巨人、巨龙、UT斯达康等遇到的问题，都在时刻敲响着警钟，我们怎能不战战兢兢而居安思危？ 不要误会我会期待华为的危机。华为是笔者的老东家，从大学毕业那年开始就把最年轻最灿烂的近十年时间留在

了华为。无怨无悔，那是一段和“小伙伴们”一起度过的“激情燃烧的岁月”。那样的激情，在我之后所接触过的很多外企、国企还是私企都很难再看到了。对此，我无比留恋；同时这十年里，华为成长为世界上真正的“500强”而不仅仅是“500大”,而笔者在华为时是认真工作的，相信自己为华为今天的成就添了一块砖，一块瓦。对此，我无比骄傲；在华为十年，也是笔者从一个初出大学门的男生，成为一个拥有自己还算满意的职业素养和工作经验的过程。而华为的成长经历，让在其中的人学习了很多很多，尤其是我这样从小对企业管理兴趣盎然的人。对此，我无比感激。

也正是处于对于企业管理的兴趣，笔者后来多年来专业从事战略管理工作，因而有了和以往在华为内部时所不同的眼光，以至于让我在今天华为如日中天的成就中却产生了一些担心。我只想分享我的担心，让如今大部分走上管理岗位的昔日同事们看看。笔者非常希望自己的担心是杞人忧天，或许问题没有那么严重，或许华为领导们早已看到风险并未雨绸缪，但如果能有一条浅见能够帮助华为补充或完善相关战略，笔者就很开心了。

笔者所担心的风险，数了数大概有八个。

1.新商业模式的威胁

很多人担心华为的市场饱和，对此我倒不担心，因为“通信交流（communication）“是人类的基本需求，在可预见的将来不会改变。六十多亿地球人不同种类、不同层次、不

同方式的通信需求，这样的市场空间还是很大的。更何况，以华为的技术和管理基础，还有很多相邻行业可以逐步渗入，甚至创造出很多新兴市场。华为最近进入光伏行业，就是一个极好的例子。

但是，新的商业模式却有可能带来冲击。

在新技术的推动下，新商业模式层出不穷，往往在产业渗透和融合时带来颠覆性的影响，在零售，金融，服务等行业都出现很多案例。例如中国移动和中国电信、中国联通竞争了多年，回头一看抢奶酪最多的却是腾讯。长虹和康佳、海信等打的头破血流，回头一看新一代都去买小米电视或者乐视电视了。美国电信运营商四处筹款建设了光纤通信网，突然发现GOOGLE也铺光纤网提供宽带接入了，这可是”不差钱’的主！

在IT行业，也已经初见端倪。例如，以Google、Facebook、Baidu为代表的互联网企业，在数据中心市场已经越过例如IBM, HP或DELL这样的原来的IT设备品牌商，直接自己设计系统然后向台湾的ODM定制硬件。一夜之间，IBM\HP\Dell这样的企业丧失了大量市场。而比丧失市场更加令这些企业揪心的是：丧失未来，因为这种变化似乎是一个长期的趋势。 那么，在至今仍然占华为收入70%以上的电信会不会有新的商业模式出现呢？很有可能。在电信行业，除无线网络外，大部分网络都已经“数据中心化”或者说“虚拟化”。 所以，IT行业出现的趋势也在逐步向电信行业CT渗透。

可能，华为为目前的主要面对的市场需求，例如中国移动，英国Vodafone，法国Orange，会绕过华为，直接向富士康这样的代工厂采购标准化硬件，向独立软件商采购定制的软件，然后自己搭建特定的系统呢？

或者，微软、谷歌、亚马逊等企业直接在现在的互联网上利用先进技术纯粹用软件构建一个虚拟的、崭新的而又功能齐全的“电信网”？或者，会不会有强大的国际性竞争对手，采用互联网打法，直接让所有电信网的硬件和基础软件统统免费提供给电信运营商，然后才能从部分绑定的特定软件业务赚钱，就像小米颠覆手机制造业那样颠覆通信设备制造业呢？再或者，类似爱立信这样的企业利用上面的趋势而大力发展代维业务，同时运营商为了提高盈利而”网业分离“，把所有网络建设和运维交给爱立信这样的企业呢？ 如果这些商业模式出现，华为的优势还有多少？如果真有这样的竞争者群体出现，在 2-3年间里使得华为的主要收入锐减，那么每个月要给14万员工发较高工资的华为，能在这2-3年里找到足够规模的新业务来源么？

2.颠覆性技术开发模式

华为7.6万人的研发大军，是令人恐惧的。笔者曾经在和一位非电信行业的企业老总聊天时， 听到该老总满怀忧虑的说：只有华为，才用得起那样的研发大军。这样的大军，进入哪个行业，哪个行业就会哀鸿遍野。

然而，许多军事战略家都说过“兵在精不在多”。无论是唐朝李靖以3000骑兵突袭打败突厥十多万大军，还是楚汉相争时项羽3万精兵在彭城打败刘邦56万联军，又或是唐朝皇帝李世民在虎牢之战中以一万人打败10余万窦建德大军，都可以看到，凭借偷袭、突击、疲敌等不同但有效的战略，以少胜多是可能的。战场如此，那么，商场上呢？ 实际上在IT业界，充分利用互联网技术、大数据技术和新的商业模式，已经使得很多技术和产品里开发模式改变，出现“蚂蚁扳倒大象”的现象。例如，What’s app，50人小公司卖了190亿美元，为什么？值钱的是一个想法和一个时间点，利用SDK, LIB等成熟的软件开发环境，开发软件只需要几个人了。

再有思科，鼓励员工内部创业，也关注硅谷的外部创业，一旦有人创业成功且符合思科的发展战略，思科再把创业公司收购回来，这种模式使得他们在变化多端的ICT行业，鼓励了创新，赢得新机会，把试错成本转嫁到风险投资上，借助了整个社会的力量去开发新产品新技术， 以此保住自己赢家的位置。

前车之鉴，当引以为戒。最近兴起的NFV/SDN技术，很可能是一个催化剂。2015年巴塞罗那移动世界大会（MWC2015)上可以看到，2015年将是NFV从实验室走向商用的元年。中国移动，法国电信Orange, 英特尔，戴尔等都成立了开放的NFV实验室，让很多互联网企业、软件企业都能利用NFV技术快速开发通信产品。很多厂商一旦有了自己的技术突破，

他们就可以搭配开源软件，再去找ODM 或是代工厂来定制一些通用化的硬件，然后很快就能够向市场上提供产品了。十几年前，IT设备的初创企业要成长为爱立信、华为这样的企业，需要花很多年的时间。现在不同了，很多初创企业通过突破性软件 + 开源软件 + 通用硬件的解决方案，能够快速的向市场提供一些新产品，甚至带来一些颠覆性的产品。智能路由器就是一个很好的例子：大部分推广此类产品的，竟然来自互联网行业。

虽然华为也迅速成立了自己的NFV实验室并且与腾讯开展合作，但是ICT大产业下哪一个群体都不是善茬，鹿死谁手尚未可知。在更广泛的平台上，会不会有类似现代诸葛亮的竞争对手，借助硬件平台和软件平台都逐步通用化和标准化的“东风”，而在产品开发的“赤壁”以少胜多？

3.运营商的衰落

在电信行业，运营商“管道化”及运营商业务“基础设施化”一直是大势所趋，使得很多国内国外的运营商都头疼于“增量不增收”。 着名市场调研公司Gartner最新的电信市场报告，预测了未来5年电信服务的收入增长以美元计只有1.3%。更何况，如今中东局势日间动荡，欧洲发展困局依旧，亚洲领土和历史问题不断，这些都给未来包括通信在内的基本建设市场，带来很大的不确定性。

电信运营是资本密集型行业，而如今商业社会里资本是最灵敏的生产要素，可谓“来如流水去如风”。一旦行业投资回报下降，资本撤出是很快的。

运营商自己自然先知先觉。最近业内令人眼花缭乱的运营商整合，刚好符合产业链理论里一个产业进入衰退期的特征。

唇亡齿寒，当运营商收入不断受挤压时，设备采购的价格挤压也不可避免。中国广电行业就是一个负面的例子：目前中国广电行业的收入只有电信行业的1/16左右。看不到广电行业的“华为”，市场规模不得不是一个原因。

华为今天的业务，仍然以面向运营商为主，截止2014年仍然占华为大约70%多的收入。那么，如果这部分收入大量减少，会给华为带来多大的冲击？

当然，中国政府提出的“一带一路”战略和建立亚洲基础建设投资银行的举措，会给华为等中国企业带来不少机遇。不过这些国家本来就是华为的优势地区或者是产粮区，增长空间有多少还得算计算计。

4.技术饱和的风险

ICT行业始终有一个话题：应用跟不上技术。

整个行业一直在寻找“杀手级应用”，可惜在电信行业这二十年来，只有短信一个成功案例。后面的商业成功，例如微信，已经移到了互联网行业。如今通信系统功能越来越

多，功能越来越强大，但真的有强大的市场需求么？这样的担心也许多余，但摩托罗拉“铱星计划”的失败，仍然让人对技术超越需求的风险保持警醒。

在中国，如今4G正在普及。在网络逐步升级到LTE-A后，无线的网络连接速度已经让人感觉不亚于有线，而真正应用到这样无限速度的应用服务，大多还处于萌芽阶段，可能需要几十年才能普及。那么，为什么我们要急着在2020年就商用5G呢？可能的5G应用，业界推测到无人驾驶和全息通信，对于无人驾驶，历史证明汽车业的变迁速度和IT行业不是一个数量级的 – 毕竟要考虑安全。而当代视频通信未能大规模应用的现实，也让人对未来全息通信的应用需求心存疑惑。

如果技术在一段时间内相对饱和，华为是不是要背着庞大的研发成本去和富士康这样的企业竞争生产能力？

5.通信制造业的工业4.0

工业4.0， 是当今制造业的热门词汇。去年笔者找来德国的论述文章看了一遍后，不由惊出一身冷汗：这是对包括通信在内的中国制造业巨大的冲击！

为什么？

第一，工业4.0如果按设想的实现，包括通信设备在内的中国制造业，将失去成本优势和速度优势。是的，尽管近些年不断上涨，但中国的生产和研发成本现在仍然很低。

记得麦肯锡数年前一份报告曾经强调，中国的生产效率也在提高，使得每单位产出的成本仍然保持下降趋势。而中国公司一向以反应迅速出名。但是，工业4.0充分利用生产自动化和产业链网络化，对生产效率和客户反映速度的提升是质变而不是量变，是数量级的提高。设想一下，如果诺基亚在西门子的帮助下充分实现了工业4.0，需要的员工数量减少一个数量级，对客户需求的反应速度提升一个数量级，那么华为，还有多少优势？

第二，工业4.0可能会把企业的竞争转化为产业链的竞争，并造成新的贸易壁垒。工业4.0下，整个产业链联网会让整体效率最优，这也包括产业链上游例如钢铁，半导体，电子元器件等参与竞争，而中国的产业链，尤其是垄断上游资源如官老爷一般的央企，如何在华为的产业链中与德国法国的企业去竞争？当然，华为也可能不是和中国国企而是和世界领先企业合作，但是工业4.0强调产业链网络化，而网络化在相同或类似的语言文化、宏观经济和政治环境中，很可能效率更高。那么，法国电信可能会发现和欧洲供应商联网后，总成本和效率最优，此时，会不会因此拒绝华为？这就像上世纪初IT产业大发展给人类社会带来的”数字鸿沟“，而且很可能愈演愈烈，那么华为会不会被中国产业链所拖累？

第三点，追赶困难。虽然中国也会大力发展工业4.0，但是工业4.0不仅仅是IT应用，而是涉及政府、各行各业、教育、基础建设和知识产权保护等方方面面的革命，而且是

深入到生产一线每一个细节，这在体制相对落后，商业文化浮躁，营商环境非常不完善的中国，只靠自己是很难发展的。所以，工业4.0认为代替现有产业，就像电气时代代替蒸汽时代。蒸汽时代的企业，无论如何艰苦奋斗，也难以和电气时代里的企业竞争，不是么？

还好万幸，我们的**总理慧眼识珠，很快就在中国大力推广工业4.0，并且努力和德国业界达成联盟。前一条保证不落后，后一天保证能做成。

6.人才战略失当

管理大师德鲁克早就预言：21世纪，是人才的竞争。 ICT行业，又是一个非常依靠领军人才的行业。对此，应该无争议。但是中国落后的教育环境，使得中国一向是人多，但人才少。很多人熟知的一个佐证是麦肯锡数年前一份报告，它断定只有10%的中国大学生达到跨国公司入职标准。这就给ICT企业的人才战略带来巨大挑战。更有甚者，当代社会有一个现象：虽然现在学习知识的渠道是如此丰富了，但是真正的“牛人”似乎越来越少了（笔者管它叫做“才华集中化”）：一个典型的例子是，雷军说他在小米创业时80%的时间在找人，现在也要花50%的时间。那么，为什么在当代大学纷纷扩招，硕士博士满天飞的今天，如小米这样的知名公司，找人仍然那么困难呢？ 笔者认为，知识爆炸，竞争激烈，而学习道路上诱惑和迷惑太多。

而真正能够有眼光、有意志、有方法成为真正“牛人”的人，太少。

华为对人员管理，有着特殊的，已经天下闻名的“狼性文化”，包括其加班文化，“垫子”文化，年会上的革命老歌大合唱，“烧不死的鸟是凤凰”等等。对此笔者是过来人，非常钦佩华为的文化建设，坚信华为文化其实治疗了一代中国IT企业人的“幼稚病”。

然而，时过境迁，社会变化很快。一个不得不承认的事实是：当年能够激励60后70后的东西，现在已经不能激励80后90后了。实际生活中可以看到，对于60后70后，“民族产业”的大旗就能激励无数人，相对较高的工资收入又能吸引很多英才。但是，90后呢？新一代很多年轻人，从小没有经济压力，又在现代时尚文化熏陶下崇尚个性，所以整个价值观已经有了翻天覆地的变化。这一点，很多人力资源专业机构或网站的调研都有证明。

牛人少，供小于求，就不太好开条件了，包括“符合华为文化”的条件。

华为的“同路人”一定会有，但可选择的余地太小了，又如何与不断走向相同战场的互联网企业竞争呢？

7.商业技能缺失

华为销售，牛！华为研发，牛！但是，笔者所担心的，是华为缺乏其它必要的商业能力：战略规划，收购兼并，引领创新，以及风险内控等其它能力。

①战略规划能力

技术出身的很多人往往不能理解，战略能力对于一个公司来说很重要，其正确、完整和实用的程度，往往决定了一家公司的生死，甚至不是技术优势所能克服的。不是么？在ICT行业，多少公司因为一个方向走错，即便有最先进技术也无力回天，而另外一些公司一旦战略正确，无需最先进的技术就能迅速崛起。

2013年，阿朗的现任CEO康博敏（Michel Combes）上任2个月就提出了一个完整的战略”Shift Plan”。笔者曾有幸浏览过这个战略计划，当时就断定必定有效。果然，阿朗的状况不断改善。华为不妨对比一下：如果遇到业务下滑，华为能够提出如此质量的一个战略计划么？

战略能力，“务虚”的能力，有所不足，是华为最近自己也发现的问题。笔者也看到华为已经在大量招聘专业战略规划人员了。但是，作为一个公司，其战略能力的培养，不是招人就能解决的，是需要时间、洞察和方法来建设并且存在很多风险的。华为必须非常小心的用心建设。

招聘欧美ICT公司战略规划部门的人员，是一个对策，但是笔者担心几个问题：首先，欧美ICT公司大多在华为中兴的打击下并不成功。不成功的经验，华为需要么？其次，招聘的多为中方员工，但欧美公司的战略规划属于核心部门，基本都在欧美总部，中国公司的人员往往难以有全局观。再者，欧美公司的专业人员，往往都是成熟系统的使用者而

不是建设者，能有足够技能帮助华为建立成熟战略规划系统么？

而战略咨询公司出来的，问题可能更大。缺乏对行业的透彻理解，没有残酷商业竞争的感觉，以西方成熟商业环境下发展出来的方法论去指导中国企业，其谬大矣！管理咨询业内的人都知道，中国几乎所有的战略咨询项目都有“水分“，即使是名牌咨询公司所做的项目，差别只是水分多少而已。甚至某些业内老手，都熟悉各大咨询公司哪些合伙人善于“忽悠”， 哪些人忽悠人的本事真是让人惊叹。笔者本人曾惊讶发现，不少知名咨询公司出来的人，包括高层，竟然连战略方面的一些基本问题都搞不清楚，例如战略和商业模式的关系是什么，蓝海战略和创新战略的区别，长尾理论和电子商务渠道的联系，企业文化和企业战略的关系，战略、组织、流程和平台的关系，等等。建议真正想招聘战略专家的公司，不妨问问这些问题。

②收购兼并能力

历史上，华为主要依靠内生发展，虽有有一些收购但都是小型的。但是，ICT行业变化很大，未来很可能出现自身发展赶不上市场变化，或是出现前述某些挑战，而华为需要实施收购兼并的时候。而收购兼并能力培养的问题和战略规划能力的问题类似：不是简单招聘一些人就可以的。 ③引领创新能力

引领创新的问题是新的挑战。之前可以跟着老大走，现在自己当老大了，就要确定前面应该朝哪个方向走了，哪里是产粮区，盐碱地，还是地雷阵，都是可以预测但只有实践才能确定的。怎么办？

本来我以为华为已经在很多技术上有了世界一流的突破（例如SingleRAN），已经有了不错的能力。但是后来看到，直到今天，华为研发的不少管理层人员，还是无数场合不停在问：“爱立信是怎么做的？”或者“诺基亚是怎么做的”? 这个，这个。。。

④其它能力

其它商业技能，也是需要不断学习甚至革新才能形成的，例如消费者的”潮“。2014年华为终端发货量增加不到20%，收入却增长30%，可喜可贺。但笔者担心，手机行业的领先企业，大多不是靠技术，而是靠“潮”，靠商业模式，靠消费者市场营销。华为进步很多，但以往的基因能改变多少？ 中兴因宣布CGO战略，即Cool, Green, Open。 “潮”是第一个。华为呢？ 再比如财务管理、风险内控能力，在华为一路增长的大环境下没有检验过。一旦出现业务下滑，潮水之下是否有人裸泳？

8.大企业病

把这个问题放到最后，是因为它最难以解决：笔者也不知道怎么办。

华为大企业病已经在很多方面体现，上上下下、里里外外的人都能感觉到。 不久前网上有前华为高管的一篇文章，更是做了直白的表示。机构臃肿，流程缓慢，内部政治，大企业病的特征，该有的华为都有了。

但是，笔者从事管理咨询多年，前前后后看到了很多国企、外企和民企。至今，没有看到成功治愈大企业病的例子。一些笔者接触过的国际大公司，表面上在市场上非常成功，但内部内耗严重，效率低下，甚至腐败丛生。

华为已经行动。”让听得见炮火的人来指挥“，管理扁平化，机关前移等等，一系列蕴含着华为深刻智慧的行动在进行。笔者期望，华为能够在世界公司历史上，第一次治愈“大企业病”！

结语：

作为前华为人，我希望我在华为的老领导、老朋友们都继续他们的辉煌；而作为一个中国人，我更希望华为这面新时代成功企业的旗帜能永远打下去，并且引领更多的中国企业走向成功。如果中国各行各业能出现100个华为，那么中国的强国梦，就真的不远了。此文，如果能在某些方面提醒了一点华为管理层，也就是为华为未来的发展又添了一块砖，一片瓦，那就是笔者再高兴不过的事啦！

范文五：华为IPD风险管理指导

项目风险管理操作指南

目 录

1. 简介 .............................................................................. 3

1.1目的 ......................................................................... 3 1.2适用范围 ..................................................................... 3 2. 入口准则 .......................................................................... 3 3. 风险管理方法论说明 ................................................................ 3

3.1风险识别 ..................................................................... 3 3.2风险评估 ..................................................................... 3

3.2.1风险概率 ............................................................... 3 3.2.2风险影响 ............................................................... 4 3.3制定风险响应计划 ............................................................. 5

3.3.1风险响应的总体策略 ..................................................... 5 3.3.2风险响应计划制定的参考标准 ............................................. 5 3.3.3风险响应计划制定 ....................................................... 5 3.4风险控制 ..................................................................... 6

3.4.1监控的主要内容 ......................................................... 6 3.4.2风险监控的主要方式 ..................................................... 6 3.5风险的关闭 ................................................................... 6 4.IPD 流程中，各角色在风险管理的职责说明 ............................................. 6

1. 简介 1.1目的

在公司范围内建立一套例行的风险管理机制，确保产品开发项目的风险能在恰当的层面被有效地监控和管理。

1.2适用范围

公司各PDT 、IPMT 及相关的功能组织和个人进行风险管理。

2. 入口准则

在项目开工会、各大决策评审点(包括例外决策评审) 、各大技术评审点、关键的里程碑和重大项目计划变更等流程节点，PDT 都要(重新) 进行风险识别、评估以及风险响应计划编制和更新，形成(刷新) 阶段性的风险评估与管理文档，并将其作为项目决策和监控的重要输入。

3. 风险管理方法论说明

3.1风险识别

根据既有项目信息和一些风险识别工具，确定项目可能的风险，并记录到《风险

管理跟踪单》中。 风险识别不是一次性的活动，应该持续周期性地开展。

风险类别主要包括：市场、技术风险、财务风险、生产风险、采购风险、项目管理风险等。

3.2风险评估

风险评估指评估已识别风险发生的可能性和造成影响的大小，确定风险等级。 风险评估要从风险发生的概率以及风险的影响程度（或损失的大小）这两个方面

来对风险进行评估。评估过程中应该尽可能量化风险造成的影响，并作为风险响应策略选择和风险响应计划编制的输入项。 3.2.1风险概率

是指被识别风险发生可能性的大小。其判断准则如下表(可供参考)

3.2.2风险影响

是指被识别的风险发生后，对项目目标造成影响的大小或等级。其判断准则如下表(可供参考)

根据风险发生的可能性高低和造成的损失大小，将风险按照严重程度进行分类，分为高等风险、中等风险，低等风险，参见风险等级评估图。

发生可能 性

低小

影响程度

大

风险评估操作由风险提出人在风险识别后立即进行，将评估结果按模板的格式要求填写入《项目风险管理跟踪单》中。

在例会上对新识别的风险进行评审，同时确定风险责任人和确认人，必要时通过评审得出风险的响应计划(包括集体讨论给出风险响应的建议行动、责任人、确认人、以及行动的关闭时间) 。会后风险管理员根据评审结论填写《项目风险管理跟踪单》。

3.3制定风险响应计划

3.3.1风险响应的总体策略

风险响应的总体策略包括：规避、缓解、转移、接受/忽略。

3.3.2风险响应计划制定的参考标准

3.3.2.1是否选择了正确合理的风险响应策略(规避、缓解、转移、接受/忽略) 3.3.2.2是否评估已识别风险是否在可控范围

3.3.2.3针对具体风险制定出SMART 化的风险响应行动计划 3.3.2.4是否有明确风险责任人 3.3.2.5是否有明确监控点、监控周期

3.3.2.6是否考虑风险响应成本，及风险响应的财务成本是否可行 3.3.3风险响应计划制定

风险响应计划包括风险缓解计划和风险一旦发生时采取的应急计划。 一个风险的响应计划可能包含多个行动。

转载请注明出处范文大全网 » 全面风险管理