一、風險管理所指的風險是什么？

學術界不同學派對于風險的定義各不相同，而指引中將風險定義為“未來的不確定性對企業實現其經營目標的影響”，可以看到國資委將風險定義為一個中性詞，并非單一地強調風險的“負面性”，而是兼顧了風險的“正面性”和“負面性”，這一點亦可以從風險的分類中體現：指引以能否為企業帶來盈利等機會為標志，將風險分為純粹風險（只有帶來損失一種可能性）和機會風險（帶來損失和盈利的可能性并存）。因此，指引強調“企業開展全面風險管理工作，應注重防范和控制風險可能給企業造成損失和危害，也應把機會風險視為企業的特殊資源，通過對其管理，為企業創造價值，促進經營目標的實現”。此外，為方便企業風險管理工作的開展，通常情況下會將企業風險分為戰略風險、財務風險、市場風險、運營風險、法律風險。

二、全面風險管理與內部控制、風險控制之間的關系是什么？

首先要明確的是風險控制不等于全面風險管理，全面風險管理指的是在降低風險所帶來的收益與所需要付出的成本之間進行權衡，最終決定采取何種措施的過程；而風險控制則是指降低風險發生的可能性或減少風險發生后所帶來的損失的一種措施。也就是說風險控制僅僅是全面風險管理過程中所采取的措施之一。

而全面風險管理與內部控制這二者的區別和聯系一直是理論界和實務界爭論的熱點話題，且至今仍未達成共識。目前理論界對內部控制與風險管理的關系有三種不同的觀點：一是內部控制包含全面風險管理，二是全面風險管理包含內部控制，三是內部控制和全面風險管理的本質協調論。從國資委發布的《中央企業全面風險管理指引》來看，全面風險管理的范疇大于內部控制，但二者在實踐中是緊密關聯且不可分離的，內部控制系統的建立是企業全面風險管理工作開展的重要基礎，而全面風險管理工作的開展又不斷促進企業內部控制系統的完善，最終實現企業經營管理水平和風險防范能力的提高。

三、全面風險管理工作如何開展？

指引中對于全面風險管理的描述為：“圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。”基于此，智域總結企業在開展全面風險管理工作時應當抓住兩個要點：一是建立健全風險管理體系，包括：風險管理組織文化、風險管理組織體系、風險管理信息系統以及風險管理內部控制系統；二是以風險管理體系為基石，常態化執行風險管理基本流程，在對企業相關風險進行管理，實現風險管理總體目標的同時，不斷優化企業風險管理體系。

（一）建立健全風險管理體系

1.風險管理組織體系

建立健全風險管理組織體系首先要明確風險管理三道防線：第一道防線為各有關部門和業務單位，第二道防線為風險管理職能部門和董事會下設的風險管理委員會，第三道防線為內部審計部門和董事會下設的審計委員會。

其中各有關部門和業務單位需要定期自查，并提交自查報告至風險管理職能部門和董事會下設的風險管理委員會；風險管理職能部門和董事會下設的風險管理委員會需要檢查并評價各有關部門和業務單位的風險管理工作開展情況，并出具評價和建議報告，將報告提交至內部審計部門和董事會下設的審計委員會；內部審計部門和董事會下設的審計委員會則負責監督評價公司整體風險管理工作的開展情況。

基于此，風險管理組織體系應當包括規范的公司法人治理結構、風險管理職能部門、內部審計部門以及其他有關職能部門、業務單位。而規范的公司法人治理結構，應當包括股東（大）會（對于國有獨資公司或國有獨資企業，即指國資委）、董事會、監事會、經理層，形成高效運轉、有效制衡的監督約束機制。

其中，董事會就全面風險管理工作的有效性對股東（大）會負責，董事會應當下設審計委員會（如具備條件，可另外再設風險管理委員會）；企業總經理負責全面主持風險管理的日常工作，對全面風險管理工作的有效性向董事會負責；風險管理職能部門履行全面風險管理工作，對總經理或其委托的高級管理人員負責；內部審計部門負責全面風險管理工作的監督評價并出具監督評價審計報告，其工作有效性對審計委員會負責；其他職能部門及各業務單位在全面風險管理工作中，應接受風險管理職能部門和內部審計部門的組織、協調、指導和監督。

2.風險管理內部控制系統

內部控制系統指“圍繞風險管理策略目標，針對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程，通過執行風險管理基本流程，制定并執行的規章制度、程序和措施”，簡而言之，內部控制系統就是企業為實現風險管理目標所制定的一系列制度、流程等，而健全的內控體系應當至少包含九個方面：崗位授權制度；報告制度；批準制度；責任制度；審計檢查制度；考核評價制度；重大風險預警制度；以總法律顧問制度為核心的企業法律顧問制度；重要崗位權力制衡制度等。

3.風險管理組織文化

風險管理文化的建立有助于提高員工風險管理意識，促進企業風險管理水平的提升。建立風險管理組織文化應當從三個方面著手：一是營造風險管理文化氛圍，二是加強員工法律素質教育，三是要將風險管理與公司薪酬績效管理制度等各項人事制度相結合。

4.風險管理信息系統

信息系統的建立有助于企業風險管理工作效率的提高，因此企業需要建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。

（二）常態化執行風險管理基本流程

完整的風險管理基本流程應當包括收集風險管理初始信息、進行風險評估、制定風險管理策略、提出和實施風險管理解決方案及風險管理的監督與改進等五個環節。

1.收集風險管理初始信息

各有關職能部門和業務單位應當廣泛且持續不斷地收集與自身相關的戰略風險、財務風險、市場風險、運營風險及法律風險的初始信息，且需包含歷史數據和未來預測。

2.進行風險評估

風險評估包含三個步驟：風險辨識、風險分析及風險評價。企業首先應當依據收集的風險管理初始信息進行風險辨識，查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險；其次，對辨識出的風險及其特征進行明確的定義描述，分析和描述風險發生的可能性高低、風險發生的條件；最后，需要評估風險對企業實現目標的影響程度、風險的價值等。此外，企業在評估多項風險時，應根據對風險發生可能性的高低和對目標的影響程度的評估，繪制風險坐標圖，對各項風險進行比較，以便后續制定各項風險的管理優先順序和策略。

3.制定風險管理策略

風險管理策略的制定核心是要依據企業的風險偏好、風險承受度以及風險管理有效性標準，針對不同的風險選擇合適的管理工具。

其中，風險承擔是指企業對所面臨的風險采取被動接受的態度，從而承擔風險帶來的后果；風險規避是指企業回避、停止或退出蘊含某風險的商業活動或商業環境，避免承擔風險帶來的后果；風險轉移是指企業通過合同將風險轉移到第三方，企業對轉移后的風險不再擁有所有權；風險轉換是指企業通過戰略調整等手段將企業面臨的風險轉換成另一個風險；風險對沖是指采取各種手段，引入多個風險因素或承擔多個風險，使得這些風險能夠相互對沖；風險補償是指事前（損失發生以前）對風險承擔進行價格補償；風險控制是指控制事件發生的動因、環境、條件等，來減輕風險事件發生時的損失或降低風險事件發生的可能性。

4.提出和實施風險管理解決方案

在風險管理策略確定后，應當依據風險管理策略制定具體的風險管理解決方案，方案一般應包括風險解決的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、后所采取的具體應對措施以及風險管理工具。風險管理解決方案的制定與實施同時也是內部控制體系不斷優化的過程。

5.風險管理的監督與改進

企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，采用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進。

為實現對風險管理工作的有效監督及改進，各有關部門及業務單位應當定期對風險管理工作進行自查和檢驗，及時發現缺陷并改進，其檢查、檢驗報告應及時報送企業風險管理職能部門；風險管理職能部門應當定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗，對風險管理策略進行評估，并提出調整或改進建議，出具評價和建議報告，及時報送企業總經理或其委托分管風險管理工作的高級管理人員；內部審計部門至少每年一次對包括風險管理職能部門在內的各有關部門和業務單位能否按照有關規定開展風險管理工作及其工作效果進行監督評價，監督評價報告應直接報送董事會或董事會下設的風險管理委員會和審計委員會。

企業應當常態化執行風險管理基本流程，明晰可能存在的風險點，及時制定相應的解決方案，此外，企業還應當通過風險管理基本流程的執行來不斷完成企業內控體系，加強抗風險能力。