風險管理的基本流程包括:
企業(yè)應通過制定程序使各項目標與企業(yè)的使命相協(xié)調(diào),并且確保所選擇的具體目標及其所面臨的風險在企業(yè)愿意承受的風險水平(即風險容忍度)的范圍內(nèi)。
風險識別是識別可能會對企業(yè)產(chǎn)生影響的潛在事件,并分別確定是否是機會或者可能影響風險管理目標實現(xiàn)的內(nèi)外部風險因素和風險事項。
風險分析是在風險識別的基礎(chǔ)上,對風險成因和特征、風險之間的相互關(guān)系,以及風險發(fā)生的可能性、對企業(yè)目標影響程度進行分析,為風險應對策略提供支持。由于背景不同、時期不同,風險分析在企業(yè)中是持續(xù)性和重復性的互動,且不同性質(zhì)、規(guī)模、時期的企業(yè),其風險分析的內(nèi)容都會有所不同,因此風險分析應結(jié)合每個企業(yè)的特點開展。
風險應對是對已發(fā)生的風險或已超過監(jiān)測預警臨界值的風險制定風險應對策略。
風險應對是在上述組合觀的基礎(chǔ)上,從企業(yè)整個范圍和組合的角度去考慮。
風險應對是要通過對不利事件、有利事件的分析,選擇實施方案將剩余風險控制在可承受度以內(nèi)。
在風險評價的基礎(chǔ)上,針對需重點關(guān)注的風險及相應的指標,通過設(shè)置風險預警指標體系,并將指標值與預警臨界值進行比較,識別預警信號,進行預警分級,對風險的狀況進行監(jiān)測并實施控制。
企業(yè)應建立風險管理良好的信息溝通機制和報告制度,明確報告的內(nèi)容、對象、頻率和路徑,確保信息溝通的及時、準確、完整。
企業(yè)應根據(jù)風險管理職責設(shè)置風險管理考核指標,并納入企業(yè)績效管理,建立明確的、權(quán)責利相結(jié)合的獎懲制度,以保證風險管理活動的持續(xù)性和有效性。
企業(yè)應定期對風險管理制度、工具方法和風險管理目標的實現(xiàn)情況進行評價,識別是否存在內(nèi)部控制重大缺陷,評價風險管理是否有效,形成評價結(jié)論并出具評價報告。同時,應建立整改和改進機制。