外部風險：政治風險、法律風險與合規風險、市場風險、社會文化風險、技術風險。

內部風險：戰略風險、運營風險、財務風險。

外部風險可以借助PEST分析來進行記憶：政治風險（P）、法律風險與合規風險（P）、市場風險（E）、社會文化風險（S）、技術風險（T）。

內部風險：戰略風險→運營風險→財務風險。

設置貿易壁壘、進口配額和關稅、外匯管制規定、限制向東道國的銀行借款、限制投資領域、組織結構及要求最低持股比例、沒收資產

邏輯起點是貿易（設置貿易壁壘）→進口配額和關稅（與貿易有關）→（做貿易需要錢）外匯管制→（依然是錢）限制向東道國的銀行借款→（比貿易更加深入的投資）限制投資領域→（即便投資了還對其他方面限制）組織結構及要求最低持股比例→（好不容易賺到點錢還被）沒收資產

（1）組織內部因素引發的文化風險。（內部）

（2）跨國經營活動引發的文化風險。（跨國）

（3）企業并購活動引發的文化風險。（并購）

（1）產品或服務的價格及供需變化帶來的風險。

（2）稅收政策和利率、匯率、股票價格指數的變化帶來的風險。

（3）能源、原材料、配件等物資供應的充足性、穩定性和價格的變化帶來的風險。

（4）潛在進入者、競爭者與替代品的競爭帶來的風險。

（5）主要客戶、主要供應商的信用風險。

價格→價格指數→供應→競爭→信用

PESTC：P是price，指產品服務價格及供需變化帶來的風險；E是economic，指稅收政策和利率、匯率、股票價格指數變化帶來的風險；S是supplier，指原材料、能源的充足、穩定及價格變化；T是threat，指潛在進入者、替代品、競爭者帶來的風險；C是credit，指主要客戶、供應商的信用風險

? 缺乏明確的發展戰略或發展戰略實施不到位，可能導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。

? 發展戰略過于激進，脫離企業實際能力或偏離主業，可能導致企業過度擴張，甚至經營失敗。

? 發展戰略因主觀原因頻繁變動，可能導致資源浪費，甚至危及企業的生存和持續發展。

缺乏明確的發展戰略（事前）→過于激進（事中）→頻繁變動（事中）

（1）企業產品結構、新產品研發方面可能引發的風險。（產）

（2）期貨等衍生產品業務中發生失誤帶來的風險。（衍）

（3）企業新市場開發，市場營銷策略（包括產品或服務定價與銷售渠道，市場營銷環境狀況等）方面可能引發的風險。（營）

（4）企業現有業務流程和信息系統操作運行情況的監管、運行評價及持續改進能力方面引發的風險。（業）

（5）質量、安全、環保、信息安全等管理中發生失誤導致的風險。（失）

（6）因企業內、外部人員的道德風險或業務控制系統失靈導致的風險。（道）

（7）給企業造成損失的自然災害等風險。（自）

（8）企業組織效能、管理現狀、企業文化，高、中層管理人員和重要業務流程中專業人員的知識結構、專業經驗等方面可能引發的風險。（組）

產鹽（衍）營業，失道自阻（組）

? 治理結構形同虛設，缺乏科學決策、良性運行機制和執行力，可能導致企業經營失敗，難以實現發展戰略。

? 內部機構設計不科學，權責分配不合理，可能導致機構重疊、職能交叉或缺失、推諉扯皮，運行效率低下。

治理結構→內部機構（由高大上到具體）

? 人力資源缺乏或過剩、結構不合理、開發機制不健全，可能導致企業發展戰略難以實現。

? 人力資源激勵約束制度不合理、關鍵崗位人員管理不完善，可能導致人才流失、經營效率低下或關鍵技術、商業秘密和國家機密泄露。

? 人力資源退出機制不當，可能導致法律訴訟或企業聲譽受損。

缺乏→激勵→退出

? 產品質量低劣，侵害消費者利益，可能導致企業巨額賠償、形象受損，甚至破產。（質）

? 環境保護投入不足，資源耗費大，造成環境污染或資源枯竭，可能導致企業巨額賠償、缺乏發展后勁，甚至停業。（環）

? 安全生產措施不到位，責任不落實，可能導致企業發生安全事故。（安）

? 促進就業和員工權益保護不夠，可能導致員工積極性受挫，影響企業發展和社會穩定。（權）

指（質）環安全（權）

? 缺乏積極向上的企業文化，可能導致員工喪失對企業的信心和認同感，企業缺乏凝聚力和競爭力。

? 缺乏開拓創新、團隊協作和風險意識，可能導致企業發展目標難以實現，影響可持續發展。

? 缺乏誠實守信的經營理念，可能導致舞弊事件的發生，造成企業損失，影響企業信譽。

? 忽視企業間的文化差異和理念沖突，可能導致并購重組失敗。

積極開拓，誠實（經營），（形成）差異

? 采購計劃安排不合理，市場變化趨勢預測不準確，造成庫存短缺或積壓，可能導致企業生產停滯或資源浪費。（事前）

? 供應商選擇不當，采購方式不合理，招投標或定價機制不科學，授權審批不規范，可能導致采購物資質次價高，出現舞弊或遭受欺詐。（事中）

? 采購驗收不規范，付款審核不嚴，可能導致采購物資、資金損失或信用受損。（事中）

采購計劃（事前）→供應商選擇（事中）→采購驗收（事中）

? 存貨積壓或短缺，導致造成流動資金占用過量、存貨價值貶損或生產中斷。

? 固定資產更新改造不夠、使用效能低下、維護不當、產能過剩，可能導致企業缺乏競爭力、資產價值貶損、安全事故頻發或資源浪費。

? 無形資產缺乏核心技術、權屬不清、技術落后、存在重大技術安全隱患，可能導致企業出現法律糾紛、缺乏可持續發展能力。

存貨→固定資產→無形資產

? 銷售政策和策略不當，市場預測不準確，銷售渠道管理不當等，可能導致銷售不暢、庫存積壓、經營難以為繼。（事前）

? 客戶信用管理不到位，結算方式選擇不當，賬款回收不力等，可能導致銷售款項不能收回或遭受欺詐。（事中）

? 銷售過程存在舞弊行為，可能導致企業利益受損。（事中）

銷售政策和策略（事前）→客戶信用（事中）→舞弊行為（事中）

? 研究項目未經科學論證或論證不充分，可能導致創新不足或資源浪費。（事前）

? 研發人員配備不合理或研發過程管理不善，可能導致研發成本過高、舞弊或研發失敗。 （事中）

? 研究成果轉化應用不足、保護措施不力，可能導致企業利益受損。（事后）

? 立項缺乏可行性研究或者可行性研究流于形式，決策不當，盲目上馬，可能導致難以實現預期效益或項目失敗。

? 項目招標“暗箱”操作，存在商業賄賂，可能導致中標人實質上難以承擔工程項目、中標價格失實及相關人員涉案。

? 工程造價信息不對稱，技術方案不落實，預算脫離實際，可能導致項目投資失控。

? 工程物資質次價高，工程監理不到位，項目資金不落實，可能導致工程質量低劣，進度延遲或中斷。

? 竣工驗收不規范，最終把關不嚴，可能導致工程交付使用后存在重大隱患。

? 對擔保申請人的資信狀況調查不深，審批不嚴或越權審批，可能導致企業擔保決策失誤或遭受欺詐。（事前）

? 對被擔保人出現財務困難或經營陷入困境等狀況監控不力，應對措施不當，可能導致企業承擔法律責任。（事中）

? 擔保過程中存在舞弊行為，可能導致經辦審批等相關人員涉案或企業利益受損。（事中）

? 外包范圍和價格確定不合理，承包方選擇不當，可能導致企業遭受損失。

? 業務外包監控不嚴、服務質量低劣，可能導致企業難以發揮業務外包的優勢。

? 業務外包存在商業賄賂等舞弊行為，可能導致企業相關人員涉案。

? 未訂立合同、未經授權對外訂立合同、合同對方主體資格未達要求、合同內容存在重大疏漏和欺詐，可能導致企業合法權益受到侵害。

? 合同未全面履行或監控不當，可能導致企業訴訟失敗，經濟利益受損。

? 合同糾紛處理不當，可能損害企業利益、信譽和形象。

? 內部報告系統缺失、功能不健全、內容不完整，可能影響生產經營有序運行。

? 內部信息傳遞不通暢、不及時，可能導致決策失誤、相關政策措施難以落實。

? 內部信息傳遞中泄露商業秘密，可能削弱企業核心競爭力。

? 信息系統缺乏或規劃不合理，可能造成信息孤島或重復建設，導致企業經營管理效率低下。

? 系統開發不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制。

? 系統運行維護和安全措施不到位，可能導致信息泄露或毀損，系統無法正常運行。

? 不編制預算或預算不健全，可能導致企業經營缺乏約束或盲目經營。

? 預算目標不合理、編制不科學，可能導致企業資源浪費或發展戰略難以實現。

? 預算缺乏剛性、執行不力、考核不嚴，可能導致預算管理流于形式。

? 籌資決策不當，引發資本結構不合理或無效融資，可能導致企業籌資成本過高或債務危機。

? 投資決策失誤，引發盲目擴張或喪失發展機遇，可能導致資金鏈斷裂或資金使用效益低下。

? 資金調度不合理、營運不暢，可能導致企業陷入財務困境或資金冗余。

? 資金活動管控不嚴，可能導致資金被挪用、侵占、抽逃或企業遭受欺詐。

? 編制財務報告違反會計法律法規和國家統一的會計準則制度，可能導致企業承擔法律責任和聲譽受損。

? 提供虛假財務報告，誤導財務報告使用者，造成決策失誤，干擾市場秩序。

? 不能有效利用財務報告，難以及時發現企業經營管理中存在的問題，可能導致企業財務和經營風險失控。

（1）風險承擔：指企業對所面臨的風險采取接受的態度，從而承擔風險帶來的后果。

（2）風險補償：指企業對風險可能造成的損失采取適當的措施進行補償。

（3）風險轉移：指企業通過合同將風險轉移到第三方，企業對轉移后的風險不再擁有所有權。

（4）風險轉換：指企業通過戰略調整等手段將企業面臨的風險轉換成另一個風險。

（5）風險規避：指企業回避、停止或退出蘊含某一風險的商業活動或商業環境，避免成為風險的所有人。

（6）風險控制：指控制風險事件發生的動因、環境、條件等，來達到減輕風險事件發生時的損失或降低風險事件發生概率的目的。

（7）風險對沖：指采取各種手段，引入多個風險因素或承擔多個風險，使得這些風險能夠互相沖抵，也就是使這些風險的影響互相抵銷。

規避→轉移→轉換→控制→承擔→補償→對沖

借助情景劇記憶：一位女生重感冒，男生說：“多喝熱水。”女生發飆：“你這是規避責任!”男生試圖“轉移”女生的注意力，“轉換”一個話題，可女生牢牢“控制”著談話的方向，最后男生不得不“承擔”了他的錯誤，“補償”女生的精神損失。事后男生想：“這樣的風險能不能對沖呢？”

（1）規范的公司法人治理結構；（2）風險管理委員會；（3）風險管理職能部門；

（4）企業其他職能部門及各業務單位；（5）審計委員會。

風險管理委員會對董事會負責，主要履行以下職責：

（1）提交全面風險管理年度報告；

（2）審議風險管理策略和重大風險管理解決方案；

（3）審議重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制，以及重大決策的風險評估報告；

（4）審議內部審計部門提交的風險管理監督評價審計綜合報告；

（5）審議風險管理組織機構設置及其職責方案；

（6）辦理董事會授權的有關全面風險管理的其他事項。

?       企業應當建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。

?       董事會負責內部控制的建立健全和有效實施。監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。

?       企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。

?       企業應當在董事會下設立審計委員會。

?       企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢査中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告。

?       企業應當制定和實施有利于企業可持續發展的人力資源政策。

?       企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標準。

?       企業應當加強文化建設，培育積極向上的價值觀和社會責任感。

?       企業應當加強法制教育，增強董事、監事、經理及其他高級管理人員和員工的法制觀念。

治理結構→董事會→監事會→經理層→內部機構→審計委員會→內審獨立性→內審監督→人力資源政策→職業道德修養→文化→法制

記憶邏輯：由治理結構聯想到董事會、監事會、經理層，以及“內部機構”。審計方面最“高大上”的是審計委員會，繼續聯想到“內部審計獨立性”“內部審計監督”。再思考誰來做這些事情呢？聯想到“人力資源”，再思考人會受哪些軟性因素的影響？職業道德（個人層面）→文化（組織層面）→法制（宏觀層面），越來越“高大上”。

?       企業應當結合風險評估結果，運用相應的控制措施，將風險控制在可承受度之內。

?       不相容職務分離控制要求企業實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。

?       授權審批控制要求明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。

?       績效考評控制要求企業建立和實施績效考評制度。

?       預算控制要求企業實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算約束。

?       財產保護控制要求企業建立財產日常管理制度和定期清查制度。

?       會計系統控制要求企業嚴格執行國家統一的會計準則制度，保證會計資料真實完整。

?       運營分析控制要求企業建立運營情況分析制度，發現存在的問題，及時查明原因并加以改進。

?       企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。

?       企業應當根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業務和事項實施有效控制。

不相容→授權→績效考評；預算→財產→會計系統控制；運營→風險預警與應急處理→有效控制。

記憶邏輯：“三三三”，第一個“三”和人力資源管理有關，既然職務“不相容”，那就分離，分離后每個崗位要“授權”，但不能授權后不管，所以要“績效考評”；第二個 “三”和財會有關，先做“預算”，按預算管理“財產”，還要“會計系統控制”；最后一個“三”和運營有關，因為“運營”中有風險，所以要進行“風險預警與應急處理”，最終實現“有效控制”。