《中小企業(yè)風險管理規(guī)范-征求意見稿》

ICS03.100.01

A02

團體標準

T/XXXXXXXX—XXXX

中小企業(yè)風險管理規(guī)范

Medium-sizedandsmallenterprisesriskmanagementregulation

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國中小商業(yè)企業(yè)協(xié)會發(fā)布

T/XXXXXXXX—XXXX

I

T/XXXXXXXX—XXXX

引??言

中小企業(yè)在增加就業(yè)、促進經(jīng)濟增長、科技創(chuàng)新與社會和諧穩(wěn)定等方面具有不可替代的作用，對國

民經(jīng)濟和社會發(fā)展具有重要的戰(zhàn)略意義。我國中小企業(yè)平均壽命只有不到3年。中小企業(yè)生存壓力大，

忙于經(jīng)營，無暇應對經(jīng)營管理中出現(xiàn)的各種風險，對風險的抵抗能力極其貧弱，一旦出現(xiàn)風險事故，基

本上就是毀滅性的打擊。

現(xiàn)有與風險管理相關的國際標準和國家標準具有普適性，但未能體現(xiàn)中小企業(yè)風險管理的特點。本

規(guī)范的制定，有助于中小企業(yè)根據(jù)自身特點進行風險管理，從而實現(xiàn)健康且可持續(xù)發(fā)展。

II

T/XXXXXXXX—XXXX

中小企業(yè)風險管理規(guī)范

1范圍

本規(guī)范明確了中小企業(yè)風險管理的特點、需求和目標，給出了中小企業(yè)風險管理的原則、框架、流

程和能力建設。

本規(guī)范適用于中小企業(yè)全面風險的管理

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T23694-2013風險管理術語

GB/T24353-2009風險管理原則與實施指南

GB/T27921-2011風險管理風險評估技術

ISO31000-2018Riskmanagement—Guidelines（風險管理指南）

Coso內(nèi)部控制整體框架Coso--Internalcontrol-IntegratedFramework

3術語和定義

ISO31000-2018《風險管理指南》中界定的術語和定義適用于本標準，與下列術語和定義不一致的，

以下列表述為準。

3.1

中小企業(yè)medium-sizedandsmallenterprises

與所處行業(yè)的大企業(yè)相比人員規(guī)模、資產(chǎn)規(guī)模與經(jīng)營規(guī)模都比較小的經(jīng)濟單位。

注：本規(guī)范所指中小企業(yè)的劃分標準具體參見工業(yè)和信息化部、國家統(tǒng)計局、發(fā)展改革委、財政部發(fā)布的《中小企

業(yè)劃型標準規(guī)定》。

3.2

風險risk

企業(yè)面臨的不確定性對企業(yè)目標的影響。

3.3

風險事件，風險事故riskevent

將風險從潛在的可能轉(zhuǎn)化為現(xiàn)實，造成企業(yè)實際財產(chǎn)損失、聲譽損害等的偶發(fā)事件。

3.4

風險誘因riskcauses

1

T/XXXXXXXX—XXXX

誘發(fā)企業(yè)風險事故的原因，主要包括企業(yè)內(nèi)外部環(huán)境變化和企業(yè)的作為或不作為及其相互間的相互

作用。

3.5

風險誘因頻次requencyofriskcauses

在給定期間內(nèi)風險誘因發(fā)生的次數(shù)。

3.6

風險可能性riskprobability

在給定條件下風險誘因引發(fā)風險事故的概率。

3.7

風險損失度degreeofriskloss

風險事故發(fā)生后給企業(yè)造成的損失程度和大小。

3.8

風險期望值expectedvalueofrisk

在給定條件下，風險損失度、風險可能性和風險誘因頻次的乘積，代表了風險的嚴重程度。又稱風

險水平。

3.9

風險生命周期risklifecycle

從風險誘因出現(xiàn)到風險事故實際發(fā)生的整個過程。

注：在完全不干涉的情況下，預計生命周期低于1年的是短生命周期風險，預計生命周期為1-3年的是標準生命周期

風險，預計生命周期3年以上的是長生命周期風險。風險的生命周期可通過主動干預縮短或延長。

3.10

結(jié)構(gòu)性風險structuralrisk

與企業(yè)商業(yè)模式、發(fā)展戰(zhàn)略以及公司治理結(jié)構(gòu)機制等相關的必然能夠?qū)ζ髽I(yè)基本業(yè)務結(jié)構(gòu)、管理結(jié)

構(gòu)以及發(fā)展方向產(chǎn)生持續(xù)的、整體的影響的風險。

3.11

運營性風險operationalrisk

企業(yè)按照既定的商業(yè)模式，公司治理機制和結(jié)構(gòu)，朝著確定的方向發(fā)展時，其日常經(jīng)營管理過程中

所面臨的各類風險。

3.12

風險成本riskcost

在一定期限內(nèi)，由于各種風險誘因?qū)е碌墓浪銚p失按照一定的規(guī)則分攤到該期限的企業(yè)估算損失的

總和。

3.13

風險成本指數(shù)riskcostindex

2

T/XXXXXXXX—XXXX

企業(yè)每百元凈利潤所負擔的風險成本。

示例：例如風險成本指數(shù)為10，表示企業(yè)每掙100元凈利潤，所花費的風險成本是10元。

注：風險成本指數(shù)反映了企業(yè)在追求利潤和控制風險之間的平衡能力。

3.14

風險組合riskcombination

企業(yè)所面臨的風險種類、各類風險發(fā)生的可能性、風險損失度以及風險期望值等所呈現(xiàn)出來的相對

固定的模式。

3.15

風險緩釋技術riskmitigationtechniques）

能夠有效降低風險發(fā)生的概率，頻次或是損失度，從而降低風險事故發(fā)生時對企業(yè)造成的損失而采

取的各種措施、方式、方法的總稱。

3.16

風險阻斷技術riskblockingtechniques

能夠有效消除風險誘因或是切斷風險誘因與風險后果之間的因果關系，防止風險后果發(fā)生的各種措

施、方式、方法的總稱

4中小企業(yè)風險管理的特點、需求和目標

4.1中小企業(yè)風險管理的特點

與大型企業(yè)相比，中小企業(yè)風險管理呈現(xiàn)出如下特點：

a)結(jié)構(gòu)性風險突出，容易引發(fā)重大風險；

b)抗風險能力差，同樣的風險給中小企業(yè)帶來的損害遠甚于大型企業(yè)；

c)缺乏防控風險的能力和經(jīng)驗：由于存續(xù)時間相對較短，經(jīng)營活動范圍有限，實踐中處理風險的

經(jīng)驗有限，中小企業(yè)普遍缺乏必要的獨立防控風險的能力和經(jīng)驗；

d)風險防控資源有限：中小企業(yè)能夠抽出用于風險防控的人力、物力、財力等資源有限，無力建

立完善的風險防控體系。

4.2中小企業(yè)風險管理的需求

中小企業(yè)風險管理的特點決定了其風險管理的需求如下：

a)防控結(jié)構(gòu)性風險和重大運營性風險；

b)培養(yǎng)風險管理的意識；

c)提高風險管理的能力；

d)實施風險管理需引入外部專業(yè)風控機構(gòu)；

e)取得政府和社會組織等在風險管理方面的支持。

4.3中小企業(yè)風險管理的目標

由于中小企業(yè)所處的發(fā)展階段、所面臨的風險和內(nèi)外部環(huán)境以及能夠用于防控風險的資源（人財物）

等不盡相同，因此應根據(jù)自身實際情況確定風險管理的目標。具體說明如下：

3

T/XXXXXXXX—XXXX

a)處于求生存階段的中小企業(yè)應將最低風險管理目標設定為避免重大商業(yè)模式風險和重大短生

命周期的運營性風險；

b)處于求發(fā)展階段的中小企業(yè)應將最低風險管理目標設定為避免重大公司治理風險和商業(yè)模式

風險以及重大運營性風險；

c)處于做大做強階段的中小企業(yè)應將最低風險管理目標設定為避免重大戰(zhàn)略風險、公司治理風險

和商業(yè)模式風險等所有結(jié)構(gòu)性風險以及重大運營性風險；

d)已處于成熟階段求平穩(wěn)運營的中小企業(yè)應將最低風險管理目標設定為避免結(jié)構(gòu)性風險以及防

控收益高于防控成本的運營性風險。

5中小企業(yè)風險管理的原則

5.1保護創(chuàng)造原則

風險管理的過程既是一個減少損失、保護價值的過程，也是一個發(fā)現(xiàn)機會、創(chuàng)造價值的過程。對于

中小企業(yè)而言，風險管理除了降低風險成本、保護既有經(jīng)營成果之外，還要在解決風險的過程中發(fā)現(xiàn)創(chuàng)

造價值的機會，將純粹風險變?yōu)闄C會風險。

5.2目標導向原則

風險是相對的，只有當風險與企業(yè)的目標聯(lián)系起來的時候，風險管理才有意義。因此，風險管理應

從企業(yè)的利益出發(fā)，為企業(yè)的目標服務。

5.3預防為主原則

對于大多數(shù)風險而言，風險預防的成本遠遠低于風險事故給企業(yè)帶來的損失，主動采取預防措施遠

比被動采取救濟手段更加有利于企業(yè)目標的實現(xiàn)。因此應堅持預防為主的原則。

5.4納入決策原則

企業(yè)最主要的風險往往來自于決策時對風險的忽視，對執(zhí)行層面產(chǎn)生的風險的控制如果得不到?jīng)Q策

層的支持，實際上也無法取得預期的效果，因此，應將風險管理納入決策層面。

5.5協(xié)同整合原則

風險管理工作不是一項孤立的管理活動，風險管理應該與企業(yè)的所有管理活動協(xié)同整合，成為任何

管理經(jīng)營活動的一部分，這些管理經(jīng)營活動包括但不限于：戰(zhàn)略和規(guī)劃、公司治理、人力資源、合規(guī)、

質(zhì)量、健康與安全、業(yè)務連續(xù)性、危機管理與安全管理、組織抗風險能力，IT等等。

5.6崗位控制原則

風險產(chǎn)生于決策管理、生產(chǎn)經(jīng)營的第一線，產(chǎn)生于具體的崗位，只有在崗位上消除、避免或是降低

企業(yè)的風險，才能從根本上解決企業(yè)面臨的各種風險。風險管理不落實到崗位層面，僅僅依賴于風控部

門或是專業(yè)人員，或是具體的部門，風險管理的意義都會大打折扣。

5.7重點管理原則

企業(yè)面臨的風險是無限的，也是動態(tài)的，但企業(yè)（特別是中小企業(yè)）能夠用于防控風險的資源是有

限的，這就決定了企業(yè)風險管理應堅持重點管理的原則，而不是追求面面俱到。

5.8成本效益原則

4

T/XXXXXXXX—XXXX

風險管理的過程是一個利益考量的過程，只有預防風險的成本小于風險爆發(fā)帶來的綜合損失時，風

險管理才有意義，為了控制風險而不計代價是不符合企業(yè)的利益的。企業(yè)存在的主要目的就是為了追求

利潤，因此，風險管理應堅持成本效益的原則

5.9循序漸進原則

中小企業(yè)由于自身實力的限制，對風險的控制不可能一蹴而就。中小企業(yè)應根據(jù)自身的實際情況，

綜合考慮各種因素，在不同的發(fā)展階段，制定相應的風險管理的目標，根據(jù)循序漸進的原則，逐步建立

完整的風險管理體系。

5.10動態(tài)管理原則

企業(yè)面臨的風險是動態(tài)的，風險管理也應是動態(tài)的。企業(yè)應根據(jù)內(nèi)外部環(huán)境的變化，對其風險管理

體系進行持續(xù)的改進。

6中小企業(yè)風險管理框架

6.1概述

搭建風險管理框架的目的是協(xié)助組織將風險管理納入企業(yè)重要的活動和職能。風險管理的有效性取

決于是否能夠得到利益相關方，特別是最高管理層的支持，將其納入到企業(yè)組織結(jié)構(gòu)、決策流程、管理

流程和業(yè)務流程中去。

風險管理框架的核心是最高管理層的領導和承諾，框架的要素包括在整個企業(yè)內(nèi)整合、設計、實施、

評價和改進風險管理（見圖1）。

圖1風險管理框架

6.2領導和承諾

中小企業(yè)管理層的領導和承諾對于建立有效的風險管理體系非常重要，創(chuàng)造利潤、控制風險是企業(yè)

開門兩件事，企業(yè)管理層應該一手抓利潤，一手控風險，兩手都要硬。企業(yè)管理層應確保風險管理融入

企業(yè)的所有經(jīng)營管理活動，起碼應作出如下領導和承諾：

a)針對性地設計和實施框架的所有要素；

b)發(fā)布建立風險管理方法、計劃或行動方案的聲明或政策

c)確保為風險管理分配必要的資源；

d)在企業(yè)內(nèi)的相應級別分配責任和職責；

5

T/XXXXXXXX—XXXX

6.3整合

任何企業(yè)的經(jīng)營決策都暗含著風險，風險伴隨著企業(yè)的經(jīng)營管理活動產(chǎn)生，要對風險實施有效的管

理，風險管理就應該成為企業(yè)組織目的、治理、領導和承諾、戰(zhàn)略、目標和運營的一部分，而不是相互

分離。

整合風險管理依賴于對企業(yè)組織架構(gòu)和環(huán)境的理解，依賴于對企業(yè)決策、管理與業(yè)務流程的理解。

組織架構(gòu)、環(huán)境和業(yè)務流程因企業(yè)的目的、目標和復雜程度而異，企業(yè)組織架構(gòu)中的每個部分，企業(yè)決

策、管理和業(yè)務流程的每一個環(huán)節(jié)，都需要進行風險管理，企業(yè)中的每一個崗位的員工都有責任管理風

險。

確定企業(yè)內(nèi)部的風險管理責任和監(jiān)督責任是公司治理的一部分，將風險管理整合到企業(yè)組織中是一

個動態(tài)和反復優(yōu)化的過程，應該根據(jù)企業(yè)組織的需求和文化進行定制。

6.4設計

6.4.1了解企業(yè)及其環(huán)境

在設計風險管理框架前，應檢查并理解中小企業(yè)內(nèi)部和外部環(huán)境，為科學地設計風險管理框架打下

基礎。

應檢查的企業(yè)外部環(huán)境信息包括但不限于：

a)與企業(yè)相關的社會、文化、政治、法律、監(jiān)管、金融、技術、經(jīng)濟和環(huán)境等信息；

b)影響企業(yè)目標的關鍵驅(qū)動因素和趨勢；

c)與外部利益相關方的關系以及外部利益相關方的意見、價值觀、需求和期望；

d)合同關系和承諾，合同交易對手的信用及履約能力；

e)企業(yè)所處產(chǎn)業(yè)鏈及生態(tài)鏈各組成部分之間復雜的相互依賴的關系及其對企業(yè)的影響。

應檢查的企業(yè)內(nèi)部環(huán)境信息包括但不限于：

a)愿景、使命和價值觀；

b)治理、組織結(jié)構(gòu)、角色和責任；

c)戰(zhàn)略、目標和政策；

d)企業(yè)文化；

e)企業(yè)采用的標準、指南和模式；

f)從資源和知識（例如資本，時間，人員，知識產(chǎn)權，流程，系統(tǒng)和技術等）的角度充分理解企

業(yè)的能力；

g)數(shù)據(jù)、信息系統(tǒng)和信息的流動；

h)與內(nèi)部利益相關方的關系以及意見和價值觀；

i)企業(yè)內(nèi)部的合同關系和承諾；

j)企業(yè)內(nèi)部的相互依賴和相互關聯(lián)。

6.4.2明確風險管理承諾

企業(yè)管理層和監(jiān)督機構(gòu)應清楚闡明企業(yè)風險管理的目標和對風險管理的持續(xù)承諾，承諾包括但不限

于：

a)企業(yè)管理風險的目的以及與其目標和政策的聯(lián)系；

b)加強將風險管理理念納入企業(yè)整體文化的需要；

c)帶領風險管理整合到核心業(yè)務活動和決策中；

d)風險管理的權限、職責；

e)保證風險管理所需必要資源的充足性；

6

T/XXXXXXXX—XXXX

f)處理風險管理中相互沖突的目標；

g)風險管理組織績效指標衡量和報告；

h)風險管理的審查和改進。

企業(yè)對風險管理的承諾應在適當時傳達給內(nèi)部和利益相關方

6.4.3分配組織角色、權限、職責

企業(yè)應確保在企業(yè)各級組織分配和傳達有關風險管理的權限和職責，并應強調(diào)風險管理是核心責任，

同時確定具有管理風險職責和權限的個人（風險所有者）。

6.4.4分配資源

企業(yè)應為風險管理配置適當?shù)馁Y源，其中包括但不限于：

a)人員、技能、經(jīng)驗和能力；

b)企業(yè)管理風險的流程、方法和工具；

c)企業(yè)登記備案的風險管理流程和程序；

d)風險管理信息和知識管理系統(tǒng)；

e)風險管理人員專業(yè)發(fā)展和培訓需求。

企業(yè)應考慮現(xiàn)有可以分配的資源及其局限性

6.4.5溝通和咨詢

為支持框架和促進風險管理的有效應用，企業(yè)應建立一個經(jīng)過批準的溝通和咨詢方法，溝通涉及與

目標受眾共享信息。咨詢包括參與者期望對決策或其他活動作出貢獻，以便更好決策的反饋信息，溝通

和咨詢方法和內(nèi)容應反映相關利益方的期望。

溝通和咨詢應該及時進行，確保收集、整理、匯總和分享相關信息，提供反饋意見并改進。

6.5實施

企業(yè)應通過下列方式實施風險管理框架：

a)制定適當?shù)挠媱潯〞r間表和資源配置；

b)在整個企業(yè)內(nèi)，確定在什么地點、什么時間、由誰來進行不同類型的決策；

c)在必要時，調(diào)整使用的決策程序；

d)確保企業(yè)的風險管理安排得到清晰的理解和實施。

框架的成功實施需要利益相關方的參與和了解，這使企業(yè)能夠明確地應對決策中的不確定性，同時

確保正在出現(xiàn)任何新的不確定性時可以將其考慮在內(nèi)。

通過正確的設計和實施風險管理框架，可以確保風險管理流程是整個企業(yè)所有活動（包括決策）的

一部分，并將充分反映內(nèi)外部環(huán)境的變化。

6.6評價

為了評估風險管理框架的有效性，企業(yè)應：

a)根據(jù)其目的、實施計劃、指標和預期行為定期衡量風險管理框架的績效；

b)確定其是否仍然適合支撐組織目標的實現(xiàn)。

6.7改進

企業(yè)應持續(xù)監(jiān)控和調(diào)整風險管理框架，解決內(nèi)外部變化帶來的問題，同時不斷改善風險管理框架的

實用性、充分性和有效性，以及風險管理流程的整合方式，如果已經(jīng)確定了差距或改進的機會，企業(yè)應

7

T/XXXXXXXX—XXXX

制定計劃和任務，并將其分配給負責實施的人員。

7中小企業(yè)風險管理進程

7.1概述

風險管理進程涉及系統(tǒng)地將政策、程序和實踐應用于溝通和咨詢活動，建立環(huán)境和評估、應對、監(jiān)

督、審查、記錄和報告風險（見圖2）。

圖2風險管理進程

7.2溝通和咨詢

充分地溝通和咨詢有助于促進利益相關各方對風險的認識和理解，明確作出決策的依據(jù)以及需要采

取特定行動的原因，從而推動各利益相關方積極參與到企業(yè)的風險管理工作中去。

風險管理需要了解風險本身、風險成因、風險后果、風險對企業(yè)目標的影響，制定合理的防控計劃，

實施并監(jiān)督計劃的實施，離開利益相關各方所掌握的信息，風險感知與判斷能力，對風險管理宗旨的理

解，以及積極的配合，忽略利益相關各方對風險管理措施的感受，風險管理就會被孤立起來，無法實現(xiàn)

預定的目標。

保持與企業(yè)內(nèi)外部利益相關各方的溝通和咨詢應貫穿于風險管理的全過程，咨詢和溝通的目的是：

a)為風險管理流程的每一步帶來不同領域的專業(yè)知識；

b)在確定風險準則和評估風險時，確保適當考慮不同的觀點；

c)提供足夠的信息來促進風險監(jiān)督和決策；

d)在受風險影響的相關方中建立包容性和責任感。

7.3范圍、環(huán)境和準則

7.3.1概述

8

T/XXXXXXXX—XXXX

確定范圍、環(huán)境和準則的目的是針對性地設置風險管理流程，實現(xiàn)有效的風險評估和恰當?shù)娘L險應

對。范圍、環(huán)境和準則涉及界定流程的范圍并理解內(nèi)外部環(huán)境

7.3.2定義范圍

企業(yè)應該確定其風險管理工作的范圍。風險管理流程可以運用于不同的管理和業(yè)務領域或是活動，

或是具體的項目、具體任務等，因此需要明確所考慮的范圍、相關目標以及與企業(yè)目標的一致性。在規(guī)

劃時，需要考慮的事項包括：

a)目標和需要做的決策；

b)預期在每一步流程中取得的成果；

c)時間、地點、具體包含和除外的內(nèi)容；

d)適當?shù)娘L險評估工具和技術；

e)需要的資源、責任和記錄；

f)與其他項目、流程和活動的關系。

中小企業(yè)由于條件限制，很難對風險進行全面的系統(tǒng)的管理，因此定義風險管理的范圍尤其重要。

7.3.3外部和內(nèi)部環(huán)境

外部和內(nèi)部環(huán)境是企業(yè)制定和實現(xiàn)其目標的土壤，風險管理流程的環(huán)境應根據(jù)對組織運行的外部和

內(nèi)部情況的理解來確定，并反映適用風險管理流程的具體活動情況。了解風險管理的環(huán)境很重要，特別

是與企業(yè)定義的風險管理范圍相關內(nèi)外部環(huán)境，這是因為：

a)風險管理是在企業(yè)目標和各項活動的環(huán)境下進行的

b)企業(yè)本身的因素可能是風險的來源

c)風險管理流程的目的和范圍可能與整個組織的目標相互關聯(lián)

d)企業(yè)應考慮根據(jù)6.4.1中提到的因素，建立風險管理流程的外部和內(nèi)部環(huán)境

7.3.4定義風險準則

相對于目標而言，企業(yè)應該明確承擔風險的數(shù)量和類型。還應該定義評估風險重要性水平和支持決

策過程的準則，風險準則應與風險管理框架一致，并根據(jù)具體活動的目的和范圍進行針對性設計。風險

準則還應反映企業(yè)的價值觀、目標和資源。并與風險管理的政策和聲明保持一致。根據(jù)企業(yè)的義務和利

益相關方的考慮來定義準則。

盡管應在風險評估流程開始時應明確風險準則，但風險準則是動態(tài)的，必要時應不斷審查和修訂。

要設定風險準則，應考慮以下內(nèi)容：

a)可能影響結(jié)果和目標（包括有形和無形）的不確定性的性質(zhì)和類型；

b)如何定義和衡量結(jié)果（包括正面和負面）和可能性；

c)時間相關因素；

d)衡量準則使用的一致性；

e)風險水平如何去確定；

f)如何考慮多種風險的組合和序列；

g)企業(yè)的風險容量。

7.4風險評估

7.4.1概述

9

T/XXXXXXXX—XXXX

中小企業(yè)風險評估包括風險識別、風險分析和風險評價三個步驟，中小企業(yè)在完成風險評估之后應

建立風險數(shù)據(jù)庫。

7.4.2中小企業(yè)風險識別

風險識別是風險管理的基礎，相關的、適當?shù)暮妥钚碌男畔τ谧R別風險很重要。識別風險既要考

慮有關事件可能帶來的損失，也要考慮其中蘊含的機會。識別風險應從梳理部門、崗位職責的角度或從

決策、管理和業(yè)務流程的角度入手，對其中的每一項職責或是每一個環(huán)節(jié)，分別從戰(zhàn)略，公司治理、商

業(yè)模式、市場、財務、稅務、融資、操作、法律、信用等多重角度進行識別，并注意區(qū)分結(jié)構(gòu)性風險和

運營性風險，固定風險還是可變風險，系統(tǒng)風險還是非系統(tǒng)風險。

中小企業(yè)在進行風險識別時，應充分考慮：

a)關注已經(jīng)發(fā)生的風險事件，特別是新近發(fā)生的風險事件；

b)在識別可能發(fā)生的風險事件時，要考慮其可能的原因和可能導致的后果，包括所有重要的原因

和后果；

c)全面掌握相關的和最新的信息，必要時，需包括適用的背景信息；

d)不論風險事件的風險源是否在企業(yè)的控制之下，或其原因是否已知，都應對其進行識別；

e)識別風險需要企業(yè)所有相關人員的參與；

f)企業(yè)所采取的風險識別工具和技術應適合于其目標、能力及其所處環(huán)境；

g)應充分考慮風險承擔者承受能力的變化導致的風險實際承擔者的變化。

7.4.3中小企業(yè)風險分析

風險分析是根據(jù)風險類型、獲得的信息和風險評估結(jié)果的使用目的，對識別出的風險進行定性和定

量的分析，為風險評價和風險應對提供支持。

在進行風險分析過程中，根據(jù)風險分析目的、獲得的信息數(shù)據(jù)和資源，風險分析可以是定性的、半

定量的、定量的或以上方法的組合。一般情況下，首先采取定性風險分析，初步了解風險等級和揭示主

要風險。在條件允許時，應進行更具體的定量風險分析。

中小企業(yè)在進行風險分析時，應充分考慮：

a)導致風險的原因和風險源、事件的正面和負面的后果及其發(fā)生的可能性、影響后果和可能性的

因素、不同風險及其風險源的相互關系以及風險的其他特性；

b)考慮企業(yè)的風險承受度及其對前提和假設的敏感性，并適時與決策者和其他利益相關者有效地

溝通；

c)后果和可能性可通過專家意見確定，或通過對事件或事件組合的結(jié)果建模確定，也可通過對實

驗研究或可獲得的數(shù)據(jù)的推導確定；

d)現(xiàn)有的管理措施及其效果和效率；

e)考慮在進行風險分析過程中可能存在的數(shù)據(jù)和模型的局限性以及專家觀點中的分歧；

f)對風險之間的關系進行分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等

組合效應。

7.4.4中小企業(yè)風險評價

風險評價是將風險分析的結(jié)果與企業(yè)的風險準則比較，或者在各種風險的分析結(jié)果之間進行比較，

確定風險等級，以及做出風險應對的決策。決策應考慮到更廣泛的環(huán)境和背景情況，以及當前和未來對

內(nèi)外部利益相關方的影響。

風險評價的結(jié)果應該在企業(yè)的適當層面進行記錄、傳達和驗證。

10

T/XXXXXXXX—XXXX

7.4.4.1風險分級

企業(yè)應根據(jù)具體風險發(fā)生的可能性、單次風險事故造成的損失度以及在給定期限內(nèi)發(fā)生的頻次來計

算具體風險期望值的大小，并根據(jù)計算結(jié)果評估風險對企業(yè)目標的影響，劃定風險等級。如果企業(yè)無法

對具體風險進行定量分析時，也可通過定性分析，評估具體風險對企業(yè)目標的影響，并劃定相應的風險

等級。風險等級是企業(yè)制定風險防控計劃，分配風險防控資源的基本依據(jù)，具體劃分為幾個等級可根據(jù)

企業(yè)的實際情況來確定

7.4.4.2重大風險清單

對于風險分級中被列入重大風險的，應作為企業(yè)預防管理的重點，應對其風險行為、風險來源，風

險相對人，風險動因，風險所處的管理或業(yè)務流程及其具體環(huán)節(jié)、具體部門、具體崗位等進行更加詳盡

的識別和分析，并提出相應的解決方案，估算防控成本，分配防控資源，建立企業(yè)重大風險清單

7.4.4.3風險組合分析與評價

將識別出來的風險根據(jù)不同標準進行分類，并對每一類風險發(fā)生的可能性、損失度、頻次等進行統(tǒng)

計，并計算其風險期望值，可以在整體上看到一個企業(yè)風險組合的具體情況，從而為企業(yè)制定風險防控

計劃提供依據(jù)。

7.4.4.4風險分布分析與評價

企業(yè)應該對識別出來的風險所對應的企業(yè)具體部門、具體崗位，以及具體管理或業(yè)務流程及其環(huán)節(jié)

進行統(tǒng)計分析，摸清各類風險在企業(yè)中的分布情況，為制定企業(yè)風險整體防控計劃提供基礎依據(jù)。

7.4.4.5結(jié)構(gòu)性風險分析與評價

戰(zhàn)略風險、商業(yè)模式風險、公司治理風險等屬于企業(yè)結(jié)構(gòu)性風險，其中存在的固有風險或是易發(fā)風

險對企業(yè)造成的影響遠比運營性風險高，且影響面廣，引起的后果會隨著企業(yè)的發(fā)展而不斷放大，因此

中小企業(yè)要想做到可持續(xù)發(fā)展，就應確保在這些方面沒有風險或是風險被控制在了可以接受的范圍內(nèi)。

考慮到中小企業(yè)所處的發(fā)展階段正式這些風險隱藏期和爆發(fā)期，因此應給予重點的分析和評價

7.4.4.6運營性風險分析與評價

運營性風險主要包括財稅風險、市場風險、操作風險、法律風險等等，這些風險都是企業(yè)在運營過

程中出現(xiàn)的風險，是企業(yè)日常風險管理的主要內(nèi)容，其分析和評價的結(jié)果也是分配日常風險管理資源的

主要依據(jù)。

7.4.4.7風險成本指數(shù)分析與評價

風險成本指數(shù)是指企業(yè)每百元凈利潤所負擔的風險成本，該指數(shù)反映了企業(yè)的風險管理效果，可在

不同企業(yè)、不同項目之間進行比較，是量化分析企業(yè)風險管理最直觀的指數(shù)評價工具。中小企業(yè)可在適

當時候建立企業(yè)風險臺賬制度，記錄企業(yè)風險事件，估算風險成本，啟動風險成本指數(shù)評價與分析。

7.5中小企業(yè)風險應對

7.5.1概述

風險應對是選擇并執(zhí)行一種或多種改變風險的措施，包括改變風險事件發(fā)生的可能性、損失度、頻

次，從而達到消除或是降低后果的措施。風險應對是一個反復優(yōu)化的過程。

11

T/XXXXXXXX—XXXX

中小企業(yè)風險應對應考慮各種環(huán)境信息，包括內(nèi)部和外部利益相關者的風險承受度，以及法律、法

規(guī)和其他方面的要求等。

中小企業(yè)風險應對要在評估企業(yè)風險管理現(xiàn)狀基礎上進行，充分考慮相關因素，包括但不限于：

a)企業(yè)內(nèi)部機構(gòu)設置與人員配備能否滿足風險應對需要；

b)與風險應對相關的職責和權限是否明確；

c)是否對持續(xù)性業(yè)務和管理活動進行定期或不定期的監(jiān)督和控制；

d)對相關人員在風險應對工作中的表現(xiàn)是否設立了獎懲機制；

e)對與風險應對相關的內(nèi)部執(zhí)行者是否有明確的能力要求。

7.5.2風險應對措施

風險應對措施的制訂和評估是中小企業(yè)風險應對工作的核心，風險應對措施的制訂和評估是一個遞

進的過程。

首先，要確定企業(yè)應對具體風險的基本態(tài)度，具體包括但不限于：

a)決定停止或退出可能導致風險的活動以規(guī)避風險；

b)增加風險或承擔新的風險以尋求機會；

c)消除具有負面影響的風險源；

d)改變風險事件發(fā)生的可能性的大小及其分布的性質(zhì)；

e)改變風險事件發(fā)生的可能后果；

f)轉(zhuǎn)移風險；

g)分擔風險；

h)保留風險等。

其次，根據(jù)基本態(tài)度，運用各種風險緩釋技術，制定具體風險的具體應對措施，制定具體應對措施

應充分考慮：

a)對于風險應對措施，應評估其剩余風險是否可以承受。如果剩余風險不可承受，應調(diào)整或制定

新的風險應對措施，并評估新的風險應對措施的效果，直到剩余風險可能承受；

b)執(zhí)行風險應對措施會引起企業(yè)風險的改變，需要跟蹤、監(jiān)督風險應對的效果和企業(yè)的有關環(huán)境

信息，并對變化的風險進行評估，必要時重新制定風險應對措施；

c)可能的風險應對措施之間的關聯(lián)性、協(xié)同性；

d)風險應對措施的特性，某種風險應對措施不一定在所有條件下都適合。

e)當風險應對措施影響到企業(yè)內(nèi)部其他領域的風險或影響到其他利益相關者時，要評估這些影響，

并與有關利益相關者溝通，必要時調(diào)整風險應對措施；

f)風險應對措施的實施成本與收益（有些風險可能需要組織考慮采取經(jīng)濟上看起來不合理的風險

應對決策，例如可能帶來嚴重的負面后果但發(fā)生可能性低的風險事件）；

g)利益相關者的訴求和價值觀，對風險的認知和承受度以及對某一些風險應對措施的偏好。

h)針對風險應對措施在實施過程中可能失靈或無效的情形，企業(yè)要將監(jiān)督作為風險應對措施實施

計劃的有機組成部分，以保證應對措施持續(xù)有效；

i)選擇幾種應對措施，將其單獨或組合使用；

7.5.3制定和實施風險應對計劃

中小企業(yè)在選擇風險應對措施基礎上，需要制定相應的風險應對計劃。風險應對計劃要與企業(yè)的管

理過程相融合，風險應對計劃一般應包括以下信息：

a)預期的收益；

b)績效指標及其考核方法；

12

T/XXXXXXXX—XXXX

c)風險管理責任人及實施風險應對措施的人員安排；

d)風險應對措施涉及的具體業(yè)務和管理活動；

e)選擇多種可能的風險應對措施時，實施風險應對措施的優(yōu)先次序；

f)報告和監(jiān)督、檢查的要求；

g)與適當?shù)睦嫦嚓P者的溝通安排；

h)資源需要，包括應急機制的資源需求；

i)執(zhí)行時間等。

針對風險應對措施的實施可能導致次生風險，中小企業(yè)需要識別并檢查原有風險與次生風險之間的

聯(lián)系，在風險應對計劃中要加入相關次生風險的內(nèi)容，對次生風險進行評估、應對、監(jiān)督和檢查。

7.6風險數(shù)據(jù)庫

企業(yè)應將識別出來的具體風險以及對每一個具體風險分的析和評價等相關信息錄入企業(yè)風險數(shù)據(jù)

庫，作為企業(yè)風險管理的基礎支撐。

企業(yè)風險數(shù)據(jù)庫至少應錄入每一項具體風險的如下信息：風險名稱，風險行為描述，風險后果描述，

風險可能性，風險損失度，風險行為頻次，風險期望值，風險等級，風險類別，風險性質(zhì)，風險來源，

風險涉及的業(yè)務板塊，部門，崗位，業(yè)務流程，動因分析，風險態(tài)度，應對措施，主責部門等，具體內(nèi)

容可根據(jù)企業(yè)的具體情況進行調(diào)整。中小企業(yè)可根據(jù)行業(yè)特點和自身情況對相關內(nèi)容進行調(diào)整（示例參

見圖3）。

圖3風險數(shù)據(jù)庫示例

7.7監(jiān)督和檢查

監(jiān)督和檢查的目的是保證和提升流程設計、實施和結(jié)果的質(zhì)量和有效性，在最開始規(guī)劃風險刮泥流

程時，就應該將持續(xù)監(jiān)督和定期檢查作為其中的一部分內(nèi)容，明確界定其職責。流程的所有階段都應該

進行監(jiān)督和檢查。

監(jiān)督和檢查包括計劃、收集和分析信息，記錄結(jié)果和提供反饋。監(jiān)督和檢查的的結(jié)果應納入真?zhèn)€企

業(yè)績效的管理、評估和報告等活動中。

中小企業(yè)風險管理的監(jiān)督與檢查是指對企業(yè)風險管理的效果和效率進行持續(xù)監(jiān)督與考核，包括對企

業(yè)內(nèi)部各業(yè)務單位風險管理工作執(zhí)行情況進行常規(guī)檢查、監(jiān)控已知的風險、定期或不定期檢查，對風險

管理工作任務的完成情況進行監(jiān)督和考核，并根據(jù)監(jiān)督或考核的結(jié)果，對公司風險管理工作進行改進與

提升。定期或不定期檢查都應被列入風險應對計劃。

中小企業(yè)風險管理的監(jiān)督與檢查的目標在于：

a)監(jiān)測事件，分析變化及其趨勢并從中吸取教訓；

13

T/XXXXXXXX—XXXX

b)發(fā)現(xiàn)內(nèi)部和外部環(huán)境信息的變化，包括風險本身的變化，可能導致的風險應對措施及其實施優(yōu)

先次序的改變；

c)監(jiān)督并記錄風險應對措施實施后的剩余風險，以便在適當時做進一步處理；

d)適用時，對照風險應對計劃，檢查工作進度與計劃的偏差，保證風險應對措施的設計和執(zhí)行有

效；

e)報告關于風險、風險應對計劃的進度和風險管理方針的遵循情況；

f)實施風險管理績效評估。

中小企業(yè)風險管理的監(jiān)督與檢查內(nèi)容包括對風險管理建設工作效果的考核和對風險管理工作績效

的考核?？己酥笜撕涂己藰藴实脑O定，主要應考慮:

a)是否按計劃完成了本業(yè)務單位的風險管理建設工作；

b)是否按要求參與了企業(yè)風險管理的各項工作；

c)本業(yè)務單位內(nèi)部的風險管理職責是否得到了清晰的界定和落實；

d)重大風險的監(jiān)控報告和預警應對是否全面、及時、有效；

e)有無超出預警范圍的重大風險發(fā)生并對公司經(jīng)營目標造成重大影響。

中小企業(yè)風險管理的監(jiān)督與檢查監(jiān)督和檢查的結(jié)果應有記錄并對內(nèi)或?qū)ν鈭蟾妗?/p>

7.8記錄和報告

企業(yè)應通過適當?shù)臋C制記錄和報告風險管理流程及其成果，記錄和報告的目的是：

a)在整個企業(yè)內(nèi)傳達風險管理的活動和成果；

b)為決策提供信息；

c)改進風險管理活動；

d)協(xié)助與利益相關方的互動，包括對風險管理活動負有責任的相關方。

應考慮慣有創(chuàng)建、保存和處理記錄信息的決策包括但不限于使用信息的敏感性以及內(nèi)外部環(huán)境。建

立記錄應考慮以下方面：

a)出于管理目的而重復使用信息的需要；

b)進一步分析風險和調(diào)整風險應對措施的需要；

c)風險管理活動的可追溯要求；

d)溝通的需要；

e)法律、法規(guī)和操作上對記錄的需要；

f)企業(yè)持續(xù)學習的需要；

g)建立和維護記錄所需的成本和工作量；

h)獲取信息的方法、讀取信息的容易程度和儲存媒介；

i)記錄保留期限；

j)信息的敏感性。

在中小企業(yè)風險管理過程中，各種風險報告是中小企業(yè)風險管理工作的一個組成部分，應因地制宜

地確定風險管理報告類型與方式，支持企業(yè)管理層履行管理職責，提高與企業(yè)利益相關方的溝通質(zhì)量。

風險報告要考慮的因素包括但不限于：

a)不同利益相關方及其具體的信息需求和要求；

b)報告的成本、頻率和時效性。

8中小企業(yè)風險管理的能力建設

8.1概述

14

T/XXXXXXXX—XXXX

中小企業(yè)風險管理對促進中小企業(yè)健康發(fā)展非常重要。然而，由于內(nèi)外部環(huán)境和條件的限制，中小

企業(yè)僅依靠自身力量很難對風險進行有效地防控和管理，應借助外力實現(xiàn)風險管理的目標。

中小企業(yè)一方面應根據(jù)自身實際情況建立健全風險管理體系，樹立正確的風險管理理念，促進風險

管理標準規(guī)范的貫徹實施，保障企業(yè)經(jīng)營目標的實現(xiàn)。另一方面則應加強中小企業(yè)相互之間需要加強交

流與合作，主動尋求政府部門、社會組織、專業(yè)風控機構(gòu)等的幫助，并建立相應的渠道和機制，利用和

促進政府部門、社會組織等在中小企業(yè)風險管理能力建設中發(fā)揮科學引導、積極扶持、完善服務的等作

用，同時為中小企業(yè)加強風險管理創(chuàng)造有利環(huán)境。

8.2中小企業(yè)自身風險管理能力的提升

8.2.1中小企業(yè)風險管理能力的培訓

中小企業(yè)應結(jié)合企業(yè)實際情況，制定和實施科學、系統(tǒng)的企業(yè)風險管理培訓計劃，采用多種途徑加

強對企業(yè)風險管理理念、知識、方法和流程的培訓，特別聚焦對中小企業(yè)風險管理標準和專項活動風險

管理標準的學習，提高企業(yè)全員風險管理意識和能力，達到應知盡知、能懂善用，促進中小企業(yè)風險管

理的全員和全過程實施。

8.2.2中小企業(yè)借助外力能力的建設

中小企業(yè)應通過適當?shù)那篮推脚_，反應中小企業(yè)對風險管理的需求，建議、推動并積極參與政府

部門和社會組織等重視中小企業(yè)風險管理標準建設，研究中小企業(yè)風險管理能力框架，開發(fā)適應中小企

業(yè)風險管理的培訓課程，實施中小企業(yè)風險管理水平評估，促進中小企業(yè)風險管理標準水平提升。

8.3中小企業(yè)風險案例與信息的共享

中小企業(yè)應與其他中小企業(yè)、社會組織、政府部門等充分交流與合作，例如通過獨立第三方建立中

小企業(yè)風險案例庫，建立中小企業(yè)風險案例和信息的共享制度和機制。

對中小企業(yè)風險管理實踐中的經(jīng)驗和教訓進行正、反兩個方面的總結(jié)，形成系統(tǒng)的、多樣化的宣導

和實踐指南文件，并公開分享，對中小企業(yè)提升風險管理能力有著非常重要的意義。

中小企業(yè)應充分利用中小企業(yè)風險案例庫資料，結(jié)合企業(yè)自身實際，深入領會中小企業(yè)風險管理實

踐中的經(jīng)驗和教訓，完善企業(yè)內(nèi)部風險管理體系。

中小企業(yè)風險管理與風險信息的充分掌握緊密相關，中小企業(yè)應聯(lián)合起來與政府部門、社會組織等

合作，建立以大數(shù)據(jù)技術為基礎的信息共享平臺、信息共享機制，支持企業(yè)高效率地獲取充分的中小企

業(yè)風險管理外部環(huán)境信息。

中小企業(yè)應在企業(yè)內(nèi)部建立有效信息系統(tǒng)，融合外部信息收集與內(nèi)部信息流轉(zhuǎn)，強化內(nèi)部各部門、

流程的信息共享機制。

8.4風險管理經(jīng)驗的交流與分享

中小企業(yè)可以依托政府部門、社會組織、產(chǎn)業(yè)/行業(yè)協(xié)會或者自行組織中小企業(yè)風險管理經(jīng)驗交流

與分享。可采取論壇、沙龍或者分享會、網(wǎng)上交流等多種形式，建議依托固定的平臺進行風險管理經(jīng)驗

的交流與分享，以便于平臺對歷次的交流與分享進行分析和總結(jié)。

8.5風險管理的政府支持

中小企業(yè)應該利用各種渠道爭取政府對中小企業(yè)風險管理的支持，爭取政府支持的具體內(nèi)容如下：

a)推動全社會對中小企業(yè)風險管理問題的關注與宣傳，提升中小企業(yè)的風險管理意識；

b)減費降稅，降低中小企業(yè)因為成本控制而導致的各種風險；

15

T/XXXXXXXX—XXXX

c)促進解決資金難資金貴的問題，降低中小企業(yè)融資風險；

d)強化面對中小企業(yè)的法律和政策的宣傳，降低中小企業(yè)法律風險；

e)通過政府采購或是補貼等多種形式，幫助中小企業(yè)建立和完善風險管理體系

f)鼓勵中小企業(yè)風險管理專業(yè)人才的培養(yǎng)，促進中小企業(yè)健康良性發(fā)展；

g)鼓勵科研院校、社會組織等加強對中小企業(yè)風險識別、分析、評價、應對、監(jiān)督等風險管理的

研究；

h)建立專項資金獎勵與扶持學習并實踐風險管理的中小企業(yè)，推動其健康發(fā)展，形成對更多中小

企業(yè)的積極影響。

8.6風險管理專業(yè)機構(gòu)及專業(yè)人才的引進

風險管理涉及戰(zhàn)略、信用、市場、運營、財務、法律等諸多方面，要做好風險管理，不僅需要系統(tǒng)

性，也需要相當?shù)膶I(yè)性。中小企業(yè)通常缺乏風控專業(yè)人才，同時受到資源、精力、成本的限制，往往

在專業(yè)性方面難以做到全面覆蓋。因此，中小企業(yè)需要引進專業(yè)的風險管理機構(gòu)及專業(yè)的風險管理人才

進行相應的針對性的服務（如會計師事務所、稅務師事務所、律師事務所、專業(yè)的市場營銷機構(gòu)、輿論

監(jiān)測機構(gòu)以及稅務師、律師、風險管理師等）。

為充分降低中小企業(yè)在專業(yè)機構(gòu)及專業(yè)人才選擇及引進上的風險，中小企業(yè)應積極與相關政府部門

和社會組織等進行交流和溝通，建立對風險管理專業(yè)機構(gòu)的科學評級以及對專業(yè)風險管理人才的培養(yǎng)和

輸出。

16

T/XXXXXXXX—XXXX

BAA

附錄A

（資料性附錄）

中小企業(yè)主要風險

A.1概述

中小企業(yè)面臨的結(jié)構(gòu)性風險主要包括戰(zhàn)略風險，公司治理風險和商業(yè)模式風險；面臨的運營性風險

主要包括市場風險、操作風險、財稅風險、信用風險、融資風險、法律風險和合規(guī)風險等。

需要指出的是如果運營性風險（如法律風險等）涉及到企業(yè)的基本結(jié)構(gòu)則同時列入結(jié)構(gòu)性風險。

同樣需要說明的是，這些風險是相互包含的關系，并不是按照統(tǒng)一的標準來劃分的。

A.2中小企業(yè)主要風險說明

A.2.1戰(zhàn)略風險

戰(zhàn)略風險是指企業(yè)戰(zhàn)略環(huán)境和戰(zhàn)略管理過程的不確定因素對實現(xiàn)經(jīng)營目標的影響。常見的戰(zhàn)略風險

有宏觀政策及形勢把握風險、戰(zhàn)略選擇風險、重大投資風險、海外投資風險、多元化經(jīng)營風險、新產(chǎn)品

開發(fā)投入風險、并購風險、聲譽風險等。

A.2.2公司治理風險

公司治理風險是指企業(yè)公司治理制度設計不合理或運行機制不健全給企業(yè)良好運營、持續(xù)發(fā)展帶來

的不穩(wěn)定性對企業(yè)產(chǎn)生負面影響的可能性。

A.2.3商業(yè)模式風險

商業(yè)模式風險是指企業(yè)商業(yè)模式設計不合法不科學給企業(yè)健康發(fā)展、持續(xù)經(jīng)營帶來的不穩(wěn)定性對企

業(yè)產(chǎn)生負面影響的可能性。

A.2.4市場風險

市場風險是指市場環(huán)境的不確定因素對實現(xiàn)經(jīng)營目標的影響。常見的市場風險有：需求風險、價格

風險、競爭風險、原材料供應風險、供應商產(chǎn)品質(zhì)量風險、客戶與供應商信用風險、利率與匯率風險、

17

T/XXXXXXXX—XXXX

產(chǎn)品研發(fā)、更新與升級風險等。

A.2.5操作風險

操作風險是指企業(yè)員工在執(zhí)行股東會、董事會以、管理層上以及上級管理人員決策過程中以及遵循

企業(yè)外部法律法規(guī)政策、企業(yè)內(nèi)部規(guī)章制度過程中出現(xiàn)的不確定性對實現(xiàn)決策目標的影響。

A.2.6財稅風險

財稅風險是指企業(yè)在融資安排、會計核算、財務報告等財務管理活動中不確定性因素對實現(xiàn)經(jīng)營目

標的影響。常見的財務風險有：財務報告風險、財務控制風險、現(xiàn)金流風險、應收賬款風險、盈利能力

風險、資金管理風險、資本運作風險、稅收風險、借貸風險、對外擔保風險等。

A.2.7信用風險

信用風險是指企業(yè)因各種原因未能及時、足額償還債務或銀行貸款或是不能履行其他合同義務而違

約或是違法違規(guī)導致企業(yè)信用的減損，從而給企業(yè)經(jīng)營帶來負面影響的可能性。

A.2.8融資風險

融資風險是指企業(yè)在籌資活動中由于內(nèi)外部環(huán)境變化以及企業(yè)的作為或不作為而導致的各類風險。

A.2.9法律風險

法律風險是指法律環(huán)境以及相關利益主體法律行為等方面不確定因素對實現(xiàn)經(jīng)營目標的影響。常見

的法律風險有：國內(nèi)外政治法律環(huán)境及政策風險、合同風險、企業(yè)環(huán)境、信息披露風險、法律糾紛風險、

知識產(chǎn)權風險、員工勞動關系風險、第三方責任風險等。

A.2.10合規(guī)風險

合規(guī)風險是指由于企業(yè)及其員工的經(jīng)營管理行為違反或不符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和企

業(yè)章程、規(guī)章制度以及國際條約、規(guī)則等合規(guī)義務的要求，而引起的不確定性對企業(yè)經(jīng)營目標的影響。

18

T/XXXXXXXX—XXXX

附錄B

（資料性附錄）

中小企業(yè)五類主要風險相關信息的收集

在戰(zhàn)略風險方面，應關注并收集下列重要信息:

a)國內(nèi)外宏觀經(jīng)濟政策以及經(jīng)濟運行情況、國家產(chǎn)業(yè)政策；

b)所處行業(yè)狀況、行業(yè)競爭形勢、主要競爭對方及戰(zhàn)略合作伙伴的情況；

c)科技進步、技術創(chuàng)新的發(fā)展動態(tài)及企業(yè)技術更新和生產(chǎn)力發(fā)展情況；

d)企業(yè)與對標企業(yè)的競爭優(yōu)劣勢比較；

e)企業(yè)戰(zhàn)略規(guī)劃、經(jīng)營計劃及重大投資的執(zhí)行情況、經(jīng)驗總結(jié)及問題分析；

f)企業(yè)的業(yè)務布局、不同區(qū)域/項目/業(yè)務的收益比例、整體業(yè)務接替情況；

g)企業(yè)對外投融資流程中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)。

在市場風險方面，應關注并收集下列重要信息:

a)市場對本企業(yè)產(chǎn)品或服務的需求內(nèi)容、數(shù)量和價格變化；

b)能源、原材料、配件等物資供應的充足性、穩(wěn)定性和價格變化；

c)主要客戶、主要供應商的信用情況；

d)潛在競爭者、競爭者及其主要產(chǎn)品、替代品情況。

在運營風險方面，應關注并收集下列重要信息:——市場價格走勢、重要設備及服務的市場供應和

價格變化；

a)企業(yè)的組織效能、管理現(xiàn)狀、人員保障情況；

b)企業(yè)的內(nèi)部控制失效事件、違規(guī)事件及事故處理情況；

c)與運營相關的管理機構(gòu)、相關政策和操作慣例。

d)市場營銷策略，包括產(chǎn)品或服務定價、銷售渠道與市場營銷環(huán)境狀況；

e)質(zhì)量、安全、環(huán)保、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務流程或環(huán)節(jié)；

f)因企業(yè)內(nèi)、外部人員的道德風險致使企業(yè)遭受損失或業(yè)務控制系統(tǒng)失靈；

g)給企業(yè)造成損失的自然災害風險；

h)對現(xiàn)有業(yè)務流程和信息系統(tǒng)操作運行情況的監(jiān)管、運行評價及持續(xù)改進能力。

在財務風險方面，應關注并收集下列重要信息:

a)國家貨幣政策、稅收政策及投資管理政策的變化,包括匯率、利率、稅種、稅率的變化等；

b)國家會計準則及會計核算方法；

c)企業(yè)的財務結(jié)構(gòu)、資本成本、償債能力、盈利能力、現(xiàn)金流及投資收益情況；

d)業(yè)務運營的當期收益和持續(xù)盈利能力、投資回收情況、成本控制情況；

e)成本核算、資金結(jié)算和現(xiàn)金管理業(yè)務中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)；

f)實施資本運作的企業(yè)，還需關注資本市場的合規(guī)要求。

在法律風險方面，應關注并收集下列重要信息:

a)與本企業(yè)相關國內(nèi)外重大法律法規(guī)變化；

b)公司重大法律糾紛、重大訴訟案件；

c)公司內(nèi)部人員違法違規(guī)事件；

d)公司重要合同和協(xié)議的訂立、執(zhí)行情況；

e)本企業(yè)發(fā)生重大法律糾紛案件的情況；

f)企業(yè)和競爭對手的知識產(chǎn)權情況。

19

T/XXXXXXXX—XXXX

CB

附錄C

（資料性附錄）

四類中小企業(yè)的風險管理事項關注點和風險評估方法

中小企業(yè)類型風險管理事項關注點常用風險評估方法

生存型中小企業(yè)a)企業(yè)經(jīng)營過程中重大的市場、營a)頭腦風暴；

運、法律風險；b)風險清單；

b)企業(yè)經(jīng)營短板完善c)風險矩陣；

d)情景分析

發(fā)展型中小企業(yè)a)企業(yè)經(jīng)營過程中重大的市場、營a)頭腦風暴；

運、財務、法律風險；b)結(jié)構(gòu)化訪談；

b)企業(yè)經(jīng)營外部環(huán)境改善；