所谓全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

全面风险管理是一个全新的概念，目前主要应用于企业管理领域，所以以下都围绕企业管理进行阐述。这里的定义是参照了国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》。

以KentD.Miller（1992）提出了整合风险管理（Integrated Risk Management）的概念为标志，随后的十多年，其发展可以分为两个阶段。

（一）多学派百家争鸣的阶段（1992～2001）

各个领域的专家学者从自己熟悉的学科出发，讨论和探索类似于整体风险管理的概念，具有代表性的学派如下：

1.整合风险管理（Integrated Risk Management）。工业管理、工程项目管理领域的学者，从控制和组织的角度提出了整合风险管理，认为企业要从整体角度出发分析、识别、评价企业面对的所有风险并实施相应的管理策略。其主要观点在于企业可以根据具体的风险状况，对多种风险管理方式进行整合，强调风险研究范围的扩展。

2.完全风险管理（Total Risk Management）。心理学、社会学和经济学的交叉学者认为，风险管理活动应该涉及三个要素：价格、偏好和概率。价格用来确定因预防各种风险所必须支付的成本；概率用来估计这些风险发生的可能性；偏好用来确定承受风险的能力和意愿及信心度。风险管理必须将三要素综合起来，进行系统和动态的理性决策。

3.综合风险管理（Global Risk Management）。金融机构的学者在对金融机构特别是银行的风险管理实践中，提出了综合风险管理的理论。强调对金融机构面临的风险做出连惯一致、准确和及时的度量；试图建立一种严密的程序，用来分析总的风险在交易过程、资产组合及其他经营活动范围内的分布情况，以及对不同类型的风险应该怎样进行定价和合理配置资本。同时，在金融机构内部建立专门的风险管理部门，致力于防范和化解风险并且消化由此带来的成本。

（二）整体风险管理思想的融合阶段（2001－）

随着对风险和风险管理认识在深度和广度上的拓展，以上理论不再限于各自的原有范畴，各种学说逐渐趋向内涵的融合与统一。北美非寿险精算师协会（CAS）将整体风险管理

定义为：一个对各种来源的风险进行评价、控制、研发、融资、监测的过程，任何行业的企业都可以通过这一过程提升短期或长期的利益相关者价值［5］。这一概念不仅明确了风险管理的价值取向，而且首次将风险管理措施扩展到“研发”、“融资”，反映了风险管理理念的最新成果和较高水平。随后，在内部控制领域具有权威影响的COSO 委员会，于2004 年9月颁布了《整体风险管理——总体框架》报告。报告从内部控制的角度出发，研究了整体风险管理的过程以及实施的要点，是整体风险管理理念在运用上的重大突破。

中央企业要在促进国有经济布局和结构优化方面发挥表率作用，实现国有资本优化配置，充分发挥跨省市经营，产业分布广的优势，就必须逐步建立全面风险管理框架，降低生产经营风险。在中央企业全面风险管理建立和实施的过程中，应该遵循以下原则。

（一）预测先导原则

成功地回避风险，必须建立在对风险发生可能性科学预测的基础上，这就要求在选择具体操作方法时，坚持理论与实际、定性与定量、历史与未来相结合的方法，以确保实施方法的准确性和有效性。

（二）权衡轻重原则

对风险的性质、风险程度做出合理评估，结合企业管理、财务等综合能力，制定风险管理方针和策略。

（三）避免超载原则

国资委或中央企业应对所属企业管理者的风险管理能力进行监控，避免超出其承受能力的经营风险。

（四）成本效益原则

对因进行风险管理而产生的成本及其绩效进行比较，择优采用。如果风险防范成本超出了最终风险可预测损失，那么，该项风险防范措施的效果无疑应该大打折扣。

全面风险管理，是指企业围绕总体经营目标。通过在企业管理的各个环节和经营过程中，执行风险管理的基本流程。培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。从而为实现风险管理的总体目标提供合理保证的过程和方法。

从国际上看，许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。如美国萨班斯法案的实施。对在美上市公司的治理和管理控制提出了更高的要求，该法案404条款（管理层对内部控制的评价）规定了内部控制方面的要求和内部控制评价报告，这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。2004年，美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上，提出一个概念全新的COSO报告《企业风险管理——总体框架》（简称EBM），使内部控制研究发展到一个新的阶段。COSO委员会提出，企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提供合理保证。

从国内来看，中央政府已越来越重视风险控制，将风险管理提高到企业管理的重要位置。2006年6月。国务院国资委发布了《中央企业全面风险管理指引》。对中央企业如何开展全面风险管理工作提出了总体原则，并对企业风险管理的基本流程、组织体系、风险评估等方面进行了比较详细的引导。该《指引》的出台，对国有资产的保值增值和企业的健康发展。将起到一定积极作用，为我国企业应对经济全球化挑战和市场经济条件下的内外风险，提供了指南。 2007年3月全国工商联发布《关于指导民营企业加强危机管理工作的若干意见》，指导民营企业增强危机意识，建立防范风险的危机预警机制和用于解决危机的应急处理机制，提高危机防范与危机化解的能力和水平。由此可见，我国在企业全面风险管理方面已经迈出了一大步，已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是，全面风险管理在我国企业管理中还属于相对薄弱的环节。许多企业缺乏经验，风险意识不强，风险管理手段相对匮乏。因此。广泛开展企业全面风险管理理论与实践研究。积极借鉴国际上企业全面风险管理技术和经验，努力提高我国企业全面风险管理水平，将是我国政府和企业面临的日益紧迫的重要任务。

企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制，需要建立科学的全面风险管理流程，保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作，《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作，具体包括：

（一）收集风险管理初始信息

收集风险管理初始信息是企业全面风险管理的首要环节，其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。

不同的风险，源于企业内外不同方面，而且随时随地都有可能发生。因此，收集风险管理初始信息应该贯穿于企业所有的业务单位，并且作为一项经常性工作。它要求企业有效地建立风险信息收集与管理系统，广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。

（二）进行风险评估

企业风险评估，是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估，具体包括风险识别、风险分析和风险评价三个步骤，其目的在于查找和描述企业风险，评价所识别出的各种风险对企业实现目标的影响程度和风险价值，给出风险控制的优先次序等。

风险识别、风险分析和风险评价，是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行，也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何，都要采取定性与定量相结合的方法，如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率，还要统一制定各种风险度量单位和风险评估模型，要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系，也要进行必要的相关分析，以便对各种风险进行集中管理。此外，风险评估也是一项经常性工作，需要进行动态管理。

（三）制定风险管理策略

制定风险管理策略，就是根据内外条件，对所识别出的各种风险，按照所给出的优先次序。围绕企业目标与战略，确定风险偏好、风险承受度和风险管理有效性标准，选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具，确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节，决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性，对不适当的风险管理策略进行及时的修正或调整。

（四）提出和实施风险管理解决方案

提出和实施风险管理解决方案，就是根据所制定的风险管理策略。针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括：提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条件、手段以及各种内控制度等，以及风险事件发生之前、之中和之后应该采取的具体应对措施（包括外包方案）以及风险管理工具。

所制定的风险管理解决方案，应该满足合规性要求，同时要注重成本、质量与效率的平衡，坚持经营战略与风险策略、风险控制与运行效率的统一，保护自身商业秘密，防止自身对外包解决方案产生依赖性风险。

（五）风险管理的监督与改进

企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此，企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点，对上述各项风险管理工作实施情况进行监督，并且采取有效的方法对其有效性进行检验。根据监督和检验结果，对所存在的问题或缺陷加以改进。

为了加强风险管理的监督与改进工作，企业应该建立健全风险管理工作自查制度、监督评价制度（包括外部评价制度）、报告制度和信息反馈系统，为改进和有效落实风险管理策略和风险管理解决方案提供保证。

全面风险管理的一般程序包括七个步骤。这七个步骤是：

• 建立综合信息框架；
• 风险评估；
• 制定风险战略；
• 构造风险管理解决方案；
• 实施风险管理解决方案；
• 监控改进风险管理的过程；
• 贯穿于整个风险管理过程中的信息沟通。

说到风险管理，有个概念是必须要提到的，即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系，要么将两者完全隔离开来，要么只是简单地将它们等同起来。那么它们有什么联系和差异呢？目前国际上基本上是接受了美国COSO（全国虚假财务报告委员会的发起人委员会）2004年发布的《企业风险管理——整合框架》（国内也有译作《全面风险管理框架》的）对两者的阐释。

一、按COSO框架，两者的联系为：

（1）全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控，将之作为一个子系统。

（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。

二、内部控制与全面风险管理的差异为：

（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（3）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。

从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

三、内部控制与全面风险管理的产生和发展

内部控制和风险管理的概念是在实践中逐步产生、发展和完善起来的。

在20世纪30年代，由于受到1929－1933年的世界性经济危机的影响，美国约有40％左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的内部控制和风险管理主要依赖保险手段。

1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，第一次对内部控制做了权威性的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。

20世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿，美国国会于1977年通过了“国外腐败实务法案（1977）”。该法案除了反腐败条款外，还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年，美国执业会计协会下面的柯恩委员会（Cohen Commission）提出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后，内部控制审计的职业标准逐渐成形。而且，这些标准逐渐得到了监管者和立法者的认可。

1970年代以后，随着企业面临的风险复杂多样和风险费用的增加，法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时，日本也开始了风险管理研究。此后20年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险管理准则”，这是风险管理走向实践化的一个重要文件。1992年9月，美国COSO委员会发布了《企业内部控制——整合框架》，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。 1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序，这就是我们通常说的澳新ERM标准，这标志着第一个国家风险管理标准的诞生。

多年来，人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险，即要实行全面风险管理。然而，尽管很多企业意识到全面风险管理，但是对全面风险管理有清晰理解的却不多，已经实施了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案，加之其它一系列的会计舞弊事件，促使企业的风险管理问题受到全社会的关注。2002年7月，美国国会通过萨班斯法案（Sarbanes- Oxley法案），要求所有在美国上市的公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。接着在2004年9月，COSO发布《企业风险管理——整合框架》（Enterprise Risk Management — Integrated Framework），该框架拓展了内部控制，更加关注于企业全面风险管理这一更为宽泛的领域，并随之成为世界各国和众多企业广为接受的标准规范。

到目前为止，世界上已有30几个国家和地区，包括所有资本发达国家和地区及一些发展中国家如马来西亚，都发表了对企业的监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而成为企业经营的合规要求。

四、内部控制与全面风险管理运用的一些误区

（1）把内部控制与全面风险管理体系的建设理解为建章立制。其实从 COSO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。

（2）内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天，有时候先做起来比争论更有意义。

（3）内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。

（4）内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异或者关注度不够，除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些，事实是理论来源于实践又高于实践，这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。

斯坦福大学研究院提出的是企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）框架。

企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）强调通过量化分析支撑下的决策分析，在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下，COSO风险管理框架以内控为中心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内控体系，完善风险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升风险管理的效率和效果，最终帮助企业实现风险管理的各项目标，包括：

• 建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系
• 利用系统的、科学的方法对各类风险进行识别和分析
• 将风险应对措施落实到企业的制度、组织、流程和职能当中
• 形成企业风险管理战略，支持企业经营战略目标的实现
• 使所有企业利益相关人了解企业的风险，满足股东以及监管机构的要求

（一）提高企业高层管理者综合素质，增强高层管理者全面风险管理能力。

企业全面风险管理水平，取决于高层管理者的风险偏好、处理风险事件的态度、方法和能力。这就要求企业高层管理者必须拥有专门的风险管理知识、才能和智慧，形成一套系统的风险管理理念，树立科学的风险应对策略观，以确保履行其风险监控责任，引导企业风险管理文化的形成，推动企业风险管理系统的合理构建。与此相适应，在选拔、聘用和考核企业高层管理者时，应该强调其风险意识、风险管理态度与风险管理能力，要从制度设计着手，引导或迫使企业高层管理者不断提高其自身综合素质，增强其全面风险管理能力。

（二）塑造风险管理文化，增强全员风险管理意识。

风险管理是一项全员参与的系统工程，需要以塑造风险管理文化。增强全员风险管理意识为支撑。风险管理文化是企业文化的重要组成部分，其内容主要包括风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化建设中。要倡导和强化“全员的风险管理意识”，通过各种途径将风险管理理念传递给每一个员工，并且内化为员工的职业态度和工作习惯；要在企业内部形成风险控制的文化氛围和职业环境。使企业能敏锐地感知风险、分析风险、防范风险。

（三）设立风险管理机构，构筑全面风险管理组织体系。

设立风险管理机构，构筑全面风险管理组织体系，是提高企业风险管理水平的重要保证。主要涉及到：企业法人治理结构、风险管理职能部门、内部审计部门、法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。董事会应该成为企业全面风险管理工作的最高决策者和监督者，就企业全面风险管理的有效性对股东会负责。董事会内部可以设置风险管理委员会，专门研究和制定企业风险管理政策与策略等。经理层应该成为企业全面风险管理政策与策略的执行者，主要负责企业全面风险管理的日常工作。就企业全面风险管理工作的有效性对董事会负责。企业风险管理职能部门等内部有关部门。应该形成各有分工、各司其责、相互联系、相互配合的有机整体。各机构人员应该由熟悉本职工作，能对个案做出风险评估和处理的专家或专门人才组成。根据各企业经营特点，应该确立各部门、各单位风险控制的重点环节和重点对象。制定相应的风险应对方案；监督企业决策层和各部门、各单位的规范运作。风险发生时。风险管理组织系统应该能够全面有效地指导和协调风险应对工作。

一、2008年度风险管理工作有关情况

(一)简要说明本企业及主要所属企业2008年度企业风险管理工作计划的执行情况。

(二)简要说明2008年本企业管理重大风险的效果，包括在管理机会风险方面所取得的主要成效。

(三)简要说明本企业建立风险事件库的相关情况。

1.企业建立风险事件库，收集整理分析本企业、国内同行业及国外企业发生的风险事件案例的相关情况。

2.根据本企业确定的重大风险损失事件标准，对企业近三年来发生的重大风险损失事件，从发生过程、造成的损失或影响、产生原因、事件的处理以及为防止同类事件再次发生所采取的对策等方面，进行收集整理分析的相关情况。

企业向国资委报送的年度报告中可以仅从分类和数量方面，简要说明建立风险事件库、分析重大风险损失事件的有关情况。

二、2009年风险管理工作有关情况

中央企业应高度重视当前及今后一定时期内更加复杂的经济形势对本企业的影响，在进行风险评估、制订重大风险管理策略及解决方案时，更具针对性，确保企业持续稳定健康发展。

(一)企业2009年面临的重大风险。

1.重大风险描述。

说明本企业2009年经风险评估后确定的重大风险（包括纯粹风险和机会风险），并从风险类别、产生原因、涉及的主要所属企业、涉及的重要流程、风险发生后可能给企业带来的影响等方面逐一进行简要描述。

2.其他重要风险描述。

对经评估后确定的其他重要风险（发生概率小，一旦发生将对企业的经营目标产生重大影响的风险），比照对重大风险的相关要求逐一进行简要描述。

3.风险坐标图。

按照发生的可能性及发生后对经营目标的影响程度两个维度，将企业2009年面临的重大风险和其他重要风险绘制成风险坐标图。

(二)重大风险管理基本流程执行情况。

1.风险评估情况。

(1)简要说明企业为开展本年度风险评估，尤其是结合当前经济形势，进一步在战略风险、财务风险、市场风险、运营风险和法律风险等方面收集风险管理初始信息的情况。

(2)简要说明本企业开展2009年风险评估的范围、方式及参与人员等情况。

(3)以附件形式说明本企业在分析风险发生的可能性、风险发生后对经营目标的影响程度时，所采用的评估标准。

(4)简要说明同2008年相比，本企业2009年经风险评估后确定的重大风险的变化情况。

(5)按照风险分类，说明风险评估结果的数量分布情况。

2.重大风险管理策略与解决方案。

(1)以附件形式说明本企业根据自身情况界定的企业重大风险判断标准。

(2)从以下两个方面，逐一简要说明各项重大风险的管理策略和解决方案。

①风险管理策略。包括企业对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等。

②风险解决方案。包括风险事件发生前、中、后拟采取的具体应对措施，所使用的风险管理工具，以及如何抓住重大风险中的机会等。

3.风险管理的监督与改进。

(1)简要说明本企业对执行重大风险管理策略和解决方案的监督机制。

(2)简要说明参与风险管理的各业务单位、职能部门，根据可能发生的变化情况和管理中存在的缺陷，完善和改进重大风险管理的机制。

(三)企业全面风险管理工作总体规划及2009年企业风险管理计划。

1.简要说明本企业全面风险管理工作总体规划。

2.简要说明本企业2009年全面风险管理工作计划。

3.说明董事会或经理办公会议对本企业2009年全面风险管理工作提出的要求。

三、企业全面风险管理体系及风险管理文化建设现状

（已提交《2008年中央企业全面风险管理报告》的企业，本部分只需说明有关变动情况。）

(一)风险管理组织体系。

1.企业组织机构与风险管理组织机构。

以附件形式说明企业最新的组织结构图（三级公司以上）与风险管理组织机构图。

2.董事会与企业经理层。

设立董事会的企业：

设立风险管理委员会或已确定履行相关职责的专门委员会的，说明该委员会的名称、构成、职责及履职情况；尚未设立的，说明相关工作计划；并说明本企业经理层分工负责风险管理工作的相关情况。

未设立董事会的企业：

说明本企业经理办公会议履行风险管理职责情况及经理层分工负责风险管理工作的相关情况；经理办公会议下设了风险管理机构（如全面风险管理领导小组、风险管理委员会等）的，说明该管理机构的名称、构成、职责及履职情况。

3.风险管理职能部门。

设立风险管理专职部门的，说明该部门的名称、编制、主要职责及人员构成。

确定相关职能部门履行风险管理职责的，说明该部门的名称、风险管理专职或兼职岗位设置、人员配置及主要职责。

4.主要所属企业的风险管理组织体系。

本企业主要所属企业的风险管理组织体系，可比照本节前述2、3的相关要求进行简要说明。

(二)内部控制系统。

1.简要说明本企业及主要所属企业内部控制系统建设现状，包括重要流程的管理、内部控制评价等。

2.已制订《内部控制手册》的企业，简要说明其主要内容及执行情况。

3.简要说明本企业建设内部控制系统的工作计划。

(三)风险管理信息系统。

已建立风险管理信息系统(包括在企业管理信息系统的基础上，进行补充、调整、更新，使之具备风险信息管理功能)的企业，简要说明该系统覆盖的所属企业范围、主要管理及业务流程，监控的重大风险以及对这些风险的预警功能等情况。

(四)风险管理文化。

1.简要说明本企业风险管理文化建设现状。

2.简要说明《风险管理指引》印发以来，本企业开展风险管理培训的有关情况，包括时间、内容、人次及师资等。

3.企业已制定员工行为、道德诚信等有关规定的，简要说明其主要内容。

(五)风险管理与绩效考核。

企业已将风险管理纳入绩效考核体系的，简要说明风险管理考核指标及其权重等情况。

四、有关意见和建议

(一)需要国资委协助解决的有关重大风险管理问题。

(二)对国资委推动中央企业全面风险管理工作的建议。