所謂全面風險管理，是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

全面風險管理是一個全新的概念，目前主要應用于企業(yè)管理領域，所以以下都圍繞企業(yè)管理進行闡述。這里的定義是參照了國有資產(chǎn)監(jiān)督管理委員會2006年6月發(fā)布的《中央企業(yè)全面風險管理指引》。

以KentD.Miller（1992）提出了整合風險管理（Integrated Risk Management）的概念為標志，隨后的十多年，其發(fā)展可以分為兩個階段。

（一）多學派百家爭鳴的階段（1992～2001）

各個領域的專家學者從自己熟悉的學科出發(fā)，討論和探索類似于整體風險管理的概念，具有代表性的學派如下：

1.整合風險管理（Integrated Risk Management）。工業(yè)管理、工程項目管理領域的學者，從控制和組織的角度提出了整合風險管理，認為企業(yè)要從整體角度出發(fā)分析、識別、評價企業(yè)面對的所有風險并實施相應的管理策略。其主要觀點在于企業(yè)可以根據(jù)具體的風險狀況，對多種風險管理方式進行整合，強調風險研究范圍的擴展。

2.完全風險管理（Total Risk Management）。心理學、社會學和經(jīng)濟學的交叉學者認為，風險管理活動應該涉及三個要素：價格、偏好和概率。價格用來確定因預防各種風險所必須支付的成本；概率用來估計這些風險發(fā)生的可能性；偏好用來確定承受風險的能力和意愿及信心度。風險管理必須將三要素綜合起來，進行系統(tǒng)和動態(tài)的理性決策。

3.綜合風險管理（Global Risk Management）。金融機構的學者在對金融機構特別是銀行的風險管理實踐中，提出了綜合風險管理的理論。強調對金融機構面臨的風險做出連慣一致、準確和及時的度量；試圖建立一種嚴密的程序，用來分析總的風險在交易過程、資產(chǎn)組合及其他經(jīng)營活動范圍內(nèi)的分布情況，以及對不同類型的風險應該怎樣進行定價和合理配置資本。同時，在金融機構內(nèi)部建立專門的風險管理部門，致力于防范和化解風險并且消化由此帶來的成本。

（二）整體風險管理思想的融合階段（2001－）

隨著對風險和風險管理認識在深度和廣度上的拓展，以上理論不再限于各自的原有范疇，各種學說逐漸趨向內(nèi)涵的融合與統(tǒng)一。北美非壽險精算師協(xié)會（CAS）將整體風險管理

定義為：一個對各種來源的風險進行評價、控制、研發(fā)、融資、監(jiān)測的過程，任何行業(yè)的企業(yè)都可以通過這一過程提升短期或長期的利益相關者價值［5］。這一概念不僅明確了風險管理的價值取向，而且首次將風險管理措施擴展到“研發(fā)”、“融資”，反映了風險管理理念的最新成果和較高水平。隨后，在內(nèi)部控制領域具有權威影響的COSO 委員會，于2004 年9月頒布了《整體風險管理——總體框架》報告。報告從內(nèi)部控制的角度出發(fā)，研究了整體風險管理的過程以及實施的要點，是整體風險管理理念在運用上的重大突破。

中央企業(yè)要在促進國有經(jīng)濟布局和結構優(yōu)化方面發(fā)揮表率作用，實現(xiàn)國有資本優(yōu)化配置，充分發(fā)揮跨省市經(jīng)營，產(chǎn)業(yè)分布廣的優(yōu)勢，就必須逐步建立全面風險管理框架，降低生產(chǎn)經(jīng)營風險。在中央企業(yè)全面風險管理建立和實施的過程中，應該遵循以下原則。

（一）預測先導原則

成功地回避風險，必須建立在對風險發(fā)生可能性科學預測的基礎上，這就要求在選擇具體操作方法時，堅持理論與實際、定性與定量、歷史與未來相結合的方法，以確保實施方法的準確性和有效性。

（二）權衡輕重原則

對風險的性質、風險程度做出合理評估，結合企業(yè)管理、財務等綜合能力，制定風險管理方針和策略。

（三）避免超載原則

國資委或中央企業(yè)應對所屬企業(yè)管理者的風險管理能力進行監(jiān)控，避免超出其承受能力的經(jīng)營風險。

（四）成本效益原則

對因進行風險管理而產(chǎn)生的成本及其績效進行比較，擇優(yōu)采用。如果風險防范成本超出了最終風險可預測損失，那么，該項風險防范措施的效果無疑應該大打折扣。

全面風險管理，是指企業(yè)圍繞總體經(jīng)營目標。通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中，執(zhí)行風險管理的基本流程。培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)。從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

從國際上看，許多國家已從制度安排上著手建立以風險容量控制為中樞的相關風險全面管理框架。如美國薩班斯法案的實施。對在美上市公司的治理和管理控制提出了更高的要求，該法案404條款（管理層對內(nèi)部控制的評價）規(guī)定了內(nèi)部控制方面的要求和內(nèi)部控制評價報告，這對美國企業(yè)內(nèi)部流程梳理、加強財務投資監(jiān)管、提高管理透明度等方面產(chǎn)生相當大的影響。2004年，美國著名的反虛假財務報告委員會下屬贊助委員會COSO在內(nèi)部控制框架概念基礎上，提出一個概念全新的COSO報告《企業(yè)風險管理——總體框架》（簡稱EBM），使內(nèi)部控制研究發(fā)展到一個新的階段。COSO委員會提出，企業(yè)風險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經(jīng)營活動，用于確定可能影響企業(yè)的潛在事項，并在其風險偏好范圍內(nèi)管理風險，從而對企業(yè)目標實現(xiàn)提供合理保證。

從國內(nèi)來看，中央政府已越來越重視風險控制，將風險管理提高到企業(yè)管理的重要位置。2006年6月。國務院國資委發(fā)布了《中央企業(yè)全面風險管理指引》。對中央企業(yè)如何開展全面風險管理工作提出了總體原則，并對企業(yè)風險管理的基本流程、組織體系、風險評估等方面進行了比較詳細的引導。該《指引》的出臺，對國有資產(chǎn)的保值增值和企業(yè)的健康發(fā)展。將起到一定積極作用，為我國企業(yè)應對經(jīng)濟全球化挑戰(zhàn)和市場經(jīng)濟條件下的內(nèi)外風險，提供了指南。 2007年3月全國工商聯(lián)發(fā)布《關于指導民營企業(yè)加強危機管理工作的若干意見》，指導民營企業(yè)增強危機意識，建立防范風險的危機預警機制和用于解決危機的應急處理機制，提高危機防范與危機化解的能力和水平。由此可見，我國在企業(yè)全面風險管理方面已經(jīng)邁出了一大步，已經(jīng)從初始的意識教育發(fā)展階段上升到具體策劃實施的實質性階段。但是，全面風險管理在我國企業(yè)管理中還屬于相對薄弱的環(huán)節(jié)。許多企業(yè)缺乏經(jīng)驗，風險意識不強，風險管理手段相對匱乏。因此。廣泛開展企業(yè)全面風險管理理論與實踐研究。積極借鑒國際上企業(yè)全面風險管理技術和經(jīng)驗，努力提高我國企業(yè)全面風險管理水平，將是我國政府和企業(yè)面臨的日益緊迫的重要任務。

企業(yè)全面風險管理不同于企業(yè)個別風險管理。它需要對企業(yè)各種風險進行統(tǒng)一、集中的識別、排序和控制，需要建立科學的全面風險管理流程，保證企業(yè)全面風險管理工作的有序性和有效性。為了更好地指導企業(yè)風險管理工作，《中央企業(yè)全面風險管理指引》第五條詳細提出了我國中央企業(yè)全面風險管理基本流程的主要工作，具體包括：

（一）收集風險管理初始信息

收集風險管理初始信息是企業(yè)全面風險管理的首要環(huán)節(jié)，其目的在于及時發(fā)現(xiàn)企業(yè)可能面臨的各種風險。為企業(yè)風險評估提供依據(jù)。

不同的風險，源于企業(yè)內(nèi)外不同方面，而且隨時隨地都有可能發(fā)生。因此，收集風險管理初始信息應該貫穿于企業(yè)所有的業(yè)務單位，并且作為一項經(jīng)常性工作。它要求企業(yè)有效地建立風險信息收集與管理系統(tǒng)，廣泛、持續(xù)地收集與企業(yè)各種風險和風險管理相關的內(nèi)外初始信息。主要包括與企業(yè)戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險相關的國內(nèi)外宏觀經(jīng)濟政策、經(jīng)濟運行情況、產(chǎn)業(yè)政策、技術進步與技術政策、市場供給與市場需求變化、競爭對手有關情況、本企業(yè)戰(zhàn)略與內(nèi)部條件、有關法律法規(guī)等。

（二）進行風險評估

企業(yè)風險評估，是對所收集的風險管理初始信息企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行的風險評估，具體包括風險識別、風險分析和風險評價三個步驟，其目的在于查找和描述企業(yè)風險，評價所識別出的各種風險對企業(yè)實現(xiàn)目標的影響程度和風險價值，給出風險控制的優(yōu)先次序等。

風險識別、風險分析和風險評價，是一項專業(yè)性和組織性很強的管理工作。可以由企業(yè)組織有關職能部門和業(yè)務單位進行，也可以聘請外部專家乃至有資質、信譽好、專業(yè)能力強的中介機構協(xié)助進行。但無論如何，都要采取定性與定量相結合的方法，如問卷調查、專家咨詢、管理層訪談、集體討論、情景分析、統(tǒng)計分析、模擬分析等。為了提高風險評估的質量與效率，還要統(tǒng)一制定各種風險度量單位和風險評估模型，要保證風險評估的前提假設、數(shù)據(jù)來源和評估程序的合理性與準確性。對各類風險之間的相互關系，也要進行必要的相關分析，以便對各種風險進行集中管理。此外，風險評估也是一項經(jīng)常性工作，需要進行動態(tài)管理。

（三）制定風險管理策略

制定風險管理策略，就是根據(jù)內(nèi)外條件，對所識別出的各種風險，按照所給出的優(yōu)先次序。圍繞企業(yè)目標與戰(zhàn)略，確定風險偏好、風險承受度和風險管理有效性標準，選擇適當?shù)娘L險承擔、風險規(guī)避、風險轉移、風險轉換、風險對沖、風險補償和風險控制等風險管理工具，確定風險管理所需要的人力與物力資源的配置原則。這是風險控制的首要環(huán)節(jié)，決定著企業(yè)風險控制的成本與效率。企業(yè)應該定期總結和分析所制定的風險管理策略的合理性和有效性，對不適當?shù)娘L險管理策略進行及時的修正或調整。

（四）提出和實施風險管理解決方案

提出和實施風險管理解決方案，就是根據(jù)所制定的風險管理策略。針對各類風險或各項重大風險制定風險解決方案。這是對風險管理策略的具體落實。一般包括：提出和確定風險解決的具體目標、所需要的組織領導、所涉及的管理與業(yè)務流程、所需要的條件、手段以及各種內(nèi)控制度等，以及風險事件發(fā)生之前、之中和之后應該采取的具體應對措施（包括外包方案）以及風險管理工具。

所制定的風險管理解決方案，應該滿足合規(guī)性要求，同時要注重成本、質量與效率的平衡，堅持經(jīng)營戰(zhàn)略與風險策略、風險控制與運行效率的統(tǒng)一，保護自身商業(yè)秘密，防止自身對外包解決方案產(chǎn)生依賴性風險。

（五）風險管理的監(jiān)督與改進

企業(yè)風險管理的重點是對事關企業(yè)生存與發(fā)展的重大風險的識別、分析與控制。因此，企業(yè)應該以重大風險、重大事件、重大決策和重要管理與業(yè)務流程為重點，對上述各項風險管理工作實施情況進行監(jiān)督，并且采取有效的方法對其有效性進行檢驗。根據(jù)監(jiān)督和檢驗結果，對所存在的問題或缺陷加以改進。

為了加強風險管理的監(jiān)督與改進工作，企業(yè)應該建立健全風險管理工作自查制度、監(jiān)督評價制度（包括外部評價制度）、報告制度和信息反饋系統(tǒng)，為改進和有效落實風險管理策略和風險管理解決方案提供保證。

全面風險管理的一般程序包括七個步驟。這七個步驟是：

• 建立綜合信息框架；
• 風險評估；
• 制定風險戰(zhàn)略；
• 構造風險管理解決方案；
• 實施風險管理解決方案；
• 監(jiān)控改進風險管理的過程；
• 貫穿于整個風險管理過程中的信息溝通。

說到風險管理，有個概念是必須要提到的，即企業(yè)內(nèi)部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內(nèi)部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。那么它們有什么聯(lián)系和差異呢？目前國際上基本上是接受了美國COSO（全國虛假財務報告委員會的發(fā)起人委員會）2004年發(fā)布的《企業(yè)風險管理——整合框架》（國內(nèi)也有譯作《全面風險管理框架》的）對兩者的闡釋。

一、按COSO框架，兩者的聯(lián)系為：

（1）全面風險管理涵蓋了內(nèi)部控制。COSO框架中明確地指出全面風險管理體系框架包括內(nèi)控，將之作為一個子系統(tǒng)。

（2）內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。

二、內(nèi)部控制與全面風險管理的差異為：

（1）兩者的范疇不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標，而全面風險管理則貫穿于管理過程的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內(nèi)部控制。

（2）兩者的活動不一致。全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內(nèi)部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內(nèi)部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。

（3）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的四項目標。這些內(nèi)容都是現(xiàn)行的內(nèi)部控制框架所不能做到的。

從國際國內(nèi)發(fā)展趨勢來看，隨著內(nèi)部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統(tǒng)一。

三、內(nèi)部控制與全面風險管理的產(chǎn)生和發(fā)展

內(nèi)部控制和風險管理的概念是在實踐中逐步產(chǎn)生、發(fā)展和完善起來的。

在20世紀30年代，由于受到1929－1933年的世界性經(jīng)濟危機的影響，美國約有40％左右的銀行和企業(yè)破產(chǎn)，經(jīng)濟倒退了約20年。美國企業(yè)為應對經(jīng)營上的危機，許多大中型企業(yè)都在內(nèi)部設立了保險管理部門，負責安排企業(yè)的各種保險項目。可見，當時的內(nèi)部控制和風險管理主要依賴保險手段。

1949年美國審計程序委員會下屬的內(nèi)部控制專門委員會經(jīng)過兩年研究發(fā)表了題為《內(nèi)部控制，協(xié)調系統(tǒng)諸要素及其對管理部門和注冊會計師的重要性》的專題報告，第一次對內(nèi)部控制做了權威性的定義。1955年，美國賓夕法尼亞大學沃頓商學院的施耐德教授第一次提出了“風險管理”的概念。

20世紀70年代中期，作為美國“水門事件”調查結果，立法者和監(jiān)管團體開始對內(nèi)部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄，美國國會于1977年通過了“國外腐敗實務法案（1977）”。該法案除了反腐敗條款外，還包含了要求公司管理層加強會計內(nèi)部控制的條款。該法案成為美國在公司內(nèi)部控制方面的第一個法案。1978年，美國執(zhí)業(yè)會計協(xié)會下面的柯恩委員會（Cohen Commission）提出報告，一是建議公司管理層在披露財務報表時，提交一份關于內(nèi)控系統(tǒng)的報告；二是建議外部獨立審計師對管理者內(nèi)控報告提出審計報告。1980年后，內(nèi)部控制審計的職業(yè)標準逐漸成形。而且，這些標準逐漸得到了監(jiān)管者和立法者的認可。

1970年代以后，隨著企業(yè)面臨的風險復雜多樣和風險費用的增加，法國從美國引進了內(nèi)部控制和風險管理并在法國國內(nèi)傳播開來。與法國同時，日本也開始了風險管理研究。此后20年來，美國、英國、法國、德國、日本等國家先后建立起全國性和地區(qū)性的風險管理協(xié)會。1983年在美國召開的風險和保險管理協(xié)會年會上，世界各國專家學者云集紐約，共同討論并通過了“101條風險管理準則”，這是風險管理走向實踐化的一個重要文件。1992年9月，美國COSO委員會發(fā)布了《企業(yè)內(nèi)部控制——整合框架》，這份框架此后被納入政策和法規(guī)之中，并被各國數(shù)千家企業(yè)用來為實現(xiàn)既定目標所采取的行動加以更好的控制。 1995年由澳大利亞和新西蘭聯(lián)合制訂的AS/NZS 4360明確定義了風險管理的標準程序，這就是我們通常說的澳新ERM標準，這標志著第一個國家風險管理標準的誕生。

多年來，人們在風險管理實踐中逐漸認識到，一個企業(yè)內(nèi)部不同部門或不同業(yè)務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業(yè)不能僅僅從某項業(yè)務、某個部門的角度考慮風險，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。然而，盡管很多企業(yè)意識到全面風險管理，但是對全面風險管理有清晰理解的卻不多，已經(jīng)實施了全面風險管理的企業(yè)則更少。但2001年11月的美國安然公司倒閉案和2002年6月的世通公司財務欺詐案，加之其它一系列的會計舞弊事件，促使企業(yè)的風險管理問題受到全社會的關注。2002年7月，美國國會通過薩班斯法案（Sarbanes- Oxley法案），要求所有在美國上市的公司必須建立和完善內(nèi)控體系。薩班斯法案被稱為是美國自1934年以來最重要的公司法案，在其影響下，世界各國紛紛出臺類似的方案，加強公司治理和內(nèi)部控制規(guī)范，加大信息披露的要求，加強企業(yè)全面風險管理。接著在2004年9月，COSO發(fā)布《企業(yè)風險管理——整合框架》（Enterprise Risk Management — Integrated Framework），該框架拓展了內(nèi)部控制，更加關注于企業(yè)全面風險管理這一更為寬泛的領域，并隨之成為世界各國和眾多企業(yè)廣為接受的標準規(guī)范。

到目前為止，世界上已有30幾個國家和地區(qū)，包括所有資本發(fā)達國家和地區(qū)及一些發(fā)展中國家如馬來西亞，都發(fā)表了對企業(yè)的監(jiān)管條例和公司治理準則。在各國的法律框架下，企業(yè)有效的風險管理不再是企業(yè)的自發(fā)行為，而成為企業(yè)經(jīng)營的合規(guī)要求。

四、內(nèi)部控制與全面風險管理運用的一些誤區(qū)

（1）把內(nèi)部控制與全面風險管理體系的建設理解為建章立制。其實從 COSO框架的定義中，我們可以看出它們都被明確為是一個“過程”，不能當作某種靜態(tài)的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內(nèi)置于企業(yè)日常管理過程中，作為一種常規(guī)運行的機制來建設。

（2）內(nèi)部控制體系和全面風險管理體系是相互獨立的。建設內(nèi)部控制和全面風險管理體系都是一個系統(tǒng)工程，兩者在內(nèi)涵上也有一定重合，企業(yè)需要綜合考慮自身業(yè)務特點、發(fā)展階段、信息技術條件、外部環(huán)境要求等，確定選擇合適的管理體系和建設重點。比如，在監(jiān)管嚴格的金融業(yè)或涉及人民生命健康的制藥與醫(yī)療行業(yè)，風險管理的迫切性更強，企業(yè)以風險管理主導內(nèi)部控制可能更方便。而在另一些企業(yè)，為了符合信息披露中內(nèi)部控制報告的要求，企業(yè)以內(nèi)部控制系統(tǒng)為主導、兼顧風險管理可能更適合。在相關管理理論和實踐不斷發(fā)展變化的今天，有時候先做起來比爭論更有意義。

（3）內(nèi)部控制和全面風險管理的作用被夸大。有些企業(yè)對內(nèi)部控制和風險管理體系的建設寄有過高期望，他們希望內(nèi)部控制和風險管理可以確保企業(yè)的成功、確保財務報告的可靠性和法律法規(guī)的遵循性。而實際上無論多么先進的內(nèi)部控制和風險管理體系都只能為企業(yè)相關目標的實現(xiàn)提供合理的而非絕對的保證。

（4）內(nèi)部控制與全面風險管理理念在企業(yè)實踐落地難。由于新的管理理念和方法的引進，與國內(nèi)企業(yè)原有的管理體系和觀點存在較多的差異和差距，目前這些理念和方法還更多的處于導入階段，大多數(shù)企業(yè)管理人員還不能在這些框架和概念與企業(yè)的日常經(jīng)營管理行為和語言之間建立直接的聯(lián)系。這造成了企業(yè)在這方面的理解有差異或者關注度不夠，除非出現(xiàn)強制性的相關規(guī)范和要求。其實這些理念、概念的出現(xiàn)并不是說企業(yè)就缺乏這些，事實是理論來源于實踐又高于實踐，這些理論的提出有助于我們將散布于企業(yè)管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。

斯坦福大學研究院提出的是企業(yè)全面風險管理（CERM：Comprehensive Enterprises Risk Management）框架。

企業(yè)全面風險管理（CERM：Comprehensive Enterprises Risk Management）強調通過量化分析支撐下的決策分析，在決策層面上管控戰(zhàn)略方向選擇、重大業(yè)務決策等方面的風險。相形之下，COSO風險管理框架以內(nèi)控為中心，強調通過制度、流程和財務等手段，在業(yè)務層面上管控運營、操作過程中的風險。它可以在企業(yè)整體層面制定風險戰(zhàn)略，構建內(nèi)控體系，完善風險管理制度，優(yōu)化流程和組織職能，為企業(yè)構建風險管理的長效機制，從根本上提升風險管理的效率和效果，最終幫助企業(yè)實現(xiàn)風險管理的各項目標，包括：

• 建立包括風險識別、風險測評、風險應對和風險監(jiān)控在內(nèi)的企業(yè)風險管理體系
• 利用系統(tǒng)的、科學的方法對各類風險進行識別和分析
• 將風險應對措施落實到企業(yè)的制度、組織、流程和職能當中
• 形成企業(yè)風險管理戰(zhàn)略，支持企業(yè)經(jīng)營戰(zhàn)略目標的實現(xiàn)
• 使所有企業(yè)利益相關人了解企業(yè)的風險，滿足股東以及監(jiān)管機構的要求

（一）提高企業(yè)高層管理者綜合素質，增強高層管理者全面風險管理能力。

企業(yè)全面風險管理水平，取決于高層管理者的風險偏好、處理風險事件的態(tài)度、方法和能力。這就要求企業(yè)高層管理者必須擁有專門的風險管理知識、才能和智慧，形成一套系統(tǒng)的風險管理理念，樹立科學的風險應對策略觀，以確保履行其風險監(jiān)控責任，引導企業(yè)風險管理文化的形成，推動企業(yè)風險管理系統(tǒng)的合理構建。與此相適應，在選拔、聘用和考核企業(yè)高層管理者時，應該強調其風險意識、風險管理態(tài)度與風險管理能力，要從制度設計著手，引導或迫使企業(yè)高層管理者不斷提高其自身綜合素質，增強其全面風險管理能力。

（二）塑造風險管理文化，增強全員風險管理意識。

風險管理是一項全員參與的系統(tǒng)工程，需要以塑造風險管理文化。增強全員風險管理意識為支撐。風險管理文化是企業(yè)文化的重要組成部分，其內(nèi)容主要包括風險管理理念、風險控制行為、風險道德標準和風險管理環(huán)境。在風險管理文化建設中。要倡導和強化“全員的風險管理意識”，通過各種途徑將風險管理理念傳遞給每一個員工，并且內(nèi)化為員工的職業(yè)態(tài)度和工作習慣；要在企業(yè)內(nèi)部形成風險控制的文化氛圍和職業(yè)環(huán)境。使企業(yè)能敏銳地感知風險、分析風險、防范風險。

（三）設立風險管理機構，構筑全面風險管理組織體系。

設立風險管理機構，構筑全面風險管理組織體系，是提高企業(yè)風險管理水平的重要保證。主要涉及到：企業(yè)法人治理結構、風險管理職能部門、內(nèi)部審計部門、法律事務部門以及其他有關職能部門、業(yè)務單位的組織領導機構及其職責。董事會應該成為企業(yè)全面風險管理工作的最高決策者和監(jiān)督者，就企業(yè)全面風險管理的有效性對股東會負責。董事會內(nèi)部可以設置風險管理委員會，專門研究和制定企業(yè)風險管理政策與策略等。經(jīng)理層應該成為企業(yè)全面風險管理政策與策略的執(zhí)行者，主要負責企業(yè)全面風險管理的日常工作。就企業(yè)全面風險管理工作的有效性對董事會負責。企業(yè)風險管理職能部門等內(nèi)部有關部門。應該形成各有分工、各司其責、相互聯(lián)系、相互配合的有機整體。各機構人員應該由熟悉本職工作，能對個案做出風險評估和處理的專家或專門人才組成。根據(jù)各企業(yè)經(jīng)營特點，應該確立各部門、各單位風險控制的重點環(huán)節(jié)和重點對象。制定相應的風險應對方案；監(jiān)督企業(yè)決策層和各部門、各單位的規(guī)范運作。風險發(fā)生時。風險管理組織系統(tǒng)應該能夠全面有效地指導和協(xié)調風險應對工作。

一、2008年度風險管理工作有關情況

(一)簡要說明本企業(yè)及主要所屬企業(yè)2008年度企業(yè)風險管理工作計劃的執(zhí)行情況。

(二)簡要說明2008年本企業(yè)管理重大風險的效果，包括在管理機會風險方面所取得的主要成效。

(三)簡要說明本企業(yè)建立風險事件庫的相關情況。

1.企業(yè)建立風險事件庫，收集整理分析本企業(yè)、國內(nèi)同行業(yè)及國外企業(yè)發(fā)生的風險事件案例的相關情況。

2.根據(jù)本企業(yè)確定的重大風險損失事件標準，對企業(yè)近三年來發(fā)生的重大風險損失事件，從發(fā)生過程、造成的損失或影響、產(chǎn)生原因、事件的處理以及為防止同類事件再次發(fā)生所采取的對策等方面，進行收集整理分析的相關情況。

企業(yè)向國資委報送的年度報告中可以僅從分類和數(shù)量方面，簡要說明建立風險事件庫、分析重大風險損失事件的有關情況。

二、2009年風險管理工作有關情況

中央企業(yè)應高度重視當前及今后一定時期內(nèi)更加復雜的經(jīng)濟形勢對本企業(yè)的影響，在進行風險評估、制訂重大風險管理策略及解決方案時，更具針對性，確保企業(yè)持續(xù)穩(wěn)定健康發(fā)展。

(一)企業(yè)2009年面臨的重大風險。

1.重大風險描述。

說明本企業(yè)2009年經(jīng)風險評估后確定的重大風險（包括純粹風險和機會風險），并從風險類別、產(chǎn)生原因、涉及的主要所屬企業(yè)、涉及的重要流程、風險發(fā)生后可能給企業(yè)帶來的影響等方面逐一進行簡要描述。

2.其他重要風險描述。

對經(jīng)評估后確定的其他重要風險（發(fā)生概率小，一旦發(fā)生將對企業(yè)的經(jīng)營目標產(chǎn)生重大影響的風險），比照對重大風險的相關要求逐一進行簡要描述。

3.風險坐標圖。

按照發(fā)生的可能性及發(fā)生后對經(jīng)營目標的影響程度兩個維度，將企業(yè)2009年面臨的重大風險和其他重要風險繪制成風險坐標圖。

(二)重大風險管理基本流程執(zhí)行情況。

1.風險評估情況。

(1)簡要說明企業(yè)為開展本年度風險評估，尤其是結合當前經(jīng)濟形勢，進一步在戰(zhàn)略風險、財務風險、市場風險、運營風險和法律風險等方面收集風險管理初始信息的情況。

(2)簡要說明本企業(yè)開展2009年風險評估的范圍、方式及參與人員等情況。

(3)以附件形式說明本企業(yè)在分析風險發(fā)生的可能性、風險發(fā)生后對經(jīng)營目標的影響程度時，所采用的評估標準。

(4)簡要說明同2008年相比，本企業(yè)2009年經(jīng)風險評估后確定的重大風險的變化情況。

(5)按照風險分類，說明風險評估結果的數(shù)量分布情況。

2.重大風險管理策略與解決方案。

(1)以附件形式說明本企業(yè)根據(jù)自身情況界定的企業(yè)重大風險判斷標準。

(2)從以下兩個方面，逐一簡要說明各項重大風險的管理策略和解決方案。

①風險管理策略。包括企業(yè)對每一項重大風險的風險偏好、風險承受度及據(jù)此確定的風險預警指標等。

②風險解決方案。包括風險事件發(fā)生前、中、后擬采取的具體應對措施，所使用的風險管理工具，以及如何抓住重大風險中的機會等。

3.風險管理的監(jiān)督與改進。

(1)簡要說明本企業(yè)對執(zhí)行重大風險管理策略和解決方案的監(jiān)督機制。

(2)簡要說明參與風險管理的各業(yè)務單位、職能部門，根據(jù)可能發(fā)生的變化情況和管理中存在的缺陷，完善和改進重大風險管理的機制。

(三)企業(yè)全面風險管理工作總體規(guī)劃及2009年企業(yè)風險管理計劃。

1.簡要說明本企業(yè)全面風險管理工作總體規(guī)劃。

2.簡要說明本企業(yè)2009年全面風險管理工作計劃。

3.說明董事會或經(jīng)理辦公會議對本企業(yè)2009年全面風險管理工作提出的要求。

三、企業(yè)全面風險管理體系及風險管理文化建設現(xiàn)狀

（已提交《2008年中央企業(yè)全面風險管理報告》的企業(yè)，本部分只需說明有關變動情況。）

(一)風險管理組織體系。

1.企業(yè)組織機構與風險管理組織機構。

以附件形式說明企業(yè)最新的組織結構圖（三級公司以上）與風險管理組織機構圖。

2.董事會與企業(yè)經(jīng)理層。

設立董事會的企業(yè)：

設立風險管理委員會或已確定履行相關職責的專門委員會的，說明該委員會的名稱、構成、職責及履職情況；尚未設立的，說明相關工作計劃；并說明本企業(yè)經(jīng)理層分工負責風險管理工作的相關情況。

未設立董事會的企業(yè)：

說明本企業(yè)經(jīng)理辦公會議履行風險管理職責情況及經(jīng)理層分工負責風險管理工作的相關情況；經(jīng)理辦公會議下設了風險管理機構（如全面風險管理領導小組、風險管理委員會等）的，說明該管理機構的名稱、構成、職責及履職情況。

3.風險管理職能部門。

設立風險管理專職部門的，說明該部門的名稱、編制、主要職責及人員構成。

確定相關職能部門履行風險管理職責的，說明該部門的名稱、風險管理專職或兼職崗位設置、人員配置及主要職責。

4.主要所屬企業(yè)的風險管理組織體系。

本企業(yè)主要所屬企業(yè)的風險管理組織體系，可比照本節(jié)前述2、3的相關要求進行簡要說明。

(二)內(nèi)部控制系統(tǒng)。

1.簡要說明本企業(yè)及主要所屬企業(yè)內(nèi)部控制系統(tǒng)建設現(xiàn)狀，包括重要流程的管理、內(nèi)部控制評價等。

2.已制訂《內(nèi)部控制手冊》的企業(yè)，簡要說明其主要內(nèi)容及執(zhí)行情況。

3.簡要說明本企業(yè)建設內(nèi)部控制系統(tǒng)的工作計劃。

(三)風險管理信息系統(tǒng)。

已建立風險管理信息系統(tǒng)(包括在企業(yè)管理信息系統(tǒng)的基礎上，進行補充、調整、更新，使之具備風險信息管理功能)的企業(yè)，簡要說明該系統(tǒng)覆蓋的所屬企業(yè)范圍、主要管理及業(yè)務流程，監(jiān)控的重大風險以及對這些風險的預警功能等情況。

(四)風險管理文化。

1.簡要說明本企業(yè)風險管理文化建設現(xiàn)狀。

2.簡要說明《風險管理指引》印發(fā)以來，本企業(yè)開展風險管理培訓的有關情況，包括時間、內(nèi)容、人次及師資等。

3.企業(yè)已制定員工行為、道德誠信等有關規(guī)定的，簡要說明其主要內(nèi)容。

(五)風險管理與績效考核。

企業(yè)已將風險管理納入績效考核體系的，簡要說明風險管理考核指標及其權重等情況。

四、有關意見和建議

(一)需要國資委協(xié)助解決的有關重大風險管理問題。

(二)對國資委推動中央企業(yè)全面風險管理工作的建議。