1.收集初始風險管理信息。
風險管理基本流程的第壹步是廣泛、持續地收集與企業風險和風險管理相關的內外部初始信息,包括歷史數據和未來預測。收集初始信息應根據所分析的風險類型進行,主要包括分析戰略、財務、市場、操作和法律風險。
2.進行風險評估
風險評估包括三個步驟:風險識別、風險分析和風險評估。風險識別、分析和評估應采用定性和定量相結合的方法。企業應當對風險管理信息實施動態管理,定期或不定期進行風險識別、分析和評估,對新的風險和原有風險的變化進行重新評估。
3.制定風險管理策略。
風險管理戰略是指企業根據自身條件和外部環境,確定風險偏好、風險承受能力和風險管理有效性標準,選擇適當的風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償和風險控制等風險管理工具,確定風險管理所需人力和財力資源的配置原則的總體戰略。
4.提出並實施風險管理解決方案。
通常,計劃應包括:風險解決的具體目標、所需的組織領導、涉及的管理和業務流程、所需的條件和手段等資源、風險事件發生前、發生中和發生後采取的具體應對措施、風險管理工具(如關鍵風險指標管理和損失事件管理)。
5.風險管理的監督和改進
企業應當關註重大風險、重大事件和重大決策、重要管理和業務流程,監督風險管理的初始信息、風險評估、風險管理策略、關鍵控制活動和風險管理解決方案的實施,通過壓力測試、回報測試、走查測試和風險控制自我評估等方式測試風險管理的有效性。