企业应根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层面上的可接受风险水平,确定风险应对策略。
(一)基本原则
(1)对超出整体风险承受能力和具体业务层面上的可接受风险水平的风险,应当实施风险回避策略。
(2)对在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本—效益之后无意采取进一步控制措施的,可以实施风险承受策略。
(3)对在整体风险承受能力和具体业务层面上的可接受风险水平之内的风险,在权衡成本—效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实施风险降低策略。
(4)对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本—效益之后愿意接受他人力量,采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实施风险分担策略。
(二)结合不同业务选择风险应对方案
风险应对策略与企业的具体业务或者事项相联系,不同的业务或事项可以采取不同的风险应对策略,同一业务或事项在不同的时期可以采取不同的风险应对策略,同一业务或事项在同一时期也可以综合运用风险降低和风险分担应对策略。
(1)一般情况下,对战略、财务、运营和法律风险,可采取风险承受、风险回避、风险分担等方法。
(2)通常情况下,对能够通过保险、期货、对冲等金融手段进行理财的风险,可以采用风险分担、风险降低等方法。
(3)风险应对的选择还应从企业范围内组合的角度去考虑。一些情况是一个部门内的风险控制在风险承受度之内,但是从整个企业来讲却超过了风险承受度。还有一些情况是,企业内很多部门的风险可以相互抵消,不需要采取过多的风险应对措施。
企业按照规定的程序和方法开展风险评估后,可以结合业务流程、风险因素、重要性水平和风险应对策略,在对可能存在的风险进行分析的基础上,设立风险清单,建立企业风险数据库,为持续开展和不断发展和不断改进风险评估提供充分、有效的数据支持。
企业应当重视风险评估的持续性,及时收集风险及与风险变化相关的各种信息,定期或者不定期地开展风险评估,适时更新、维护风险数据库。
