（一）風險治理

1.董事會對風險治理負責，設計、實施並維護有效的風險管理機製。

2.公司上下對於風險管理有統一的認識，包括價值維護和價值創造。

3.公司清晰地定義了有關風險管理的重要角色、職責和授權。

4.公司上下應用統一的風險管理框架，該框架符合適當的標準。

5.監督是確保風險管理機製有效運行的關鍵。公司治理層對風險管理進行適當的監督，高層基調至關重要。

（二）風險架構及監督

1.管理層負責風險架構的設計和實施，風險架構涉及人員、流程和技術三個方麵，統一的風險框架應用於公司所有部門和業務單元。

2.內部審計部、合規部等職能部門應對公司風險管理的有效性進行監督和報告。

（三）風險歸屬

1.風險包括治理風險、戰略風險、經營風險、合規性風險和財務報告風險。各部門不僅對自身的業績負責，同時對風險框架內自身應負擔的風險負責。董事會對戰略風險和重大風險負責；經理層對日常經營風險負責；普通員工對崗位操作風險負責。

2.風險管理流程包括目標設定、風險識別、風險分析、風險應對、設計和執行控製活動、監督並確保控製活動有效等。職能部門，例如財務部、審計部、合規部等應對業務部門的風險管理提供相應支持。

風險智能管理框架還強調企業在發展戰略和資源配置層麵的風險考量，並關注風險管控的持續改進。發展戰略是指企業在戰略管理中應嵌入風險因素，包括戰略規劃風險和戰略實施風險，特別是要關注重大風險的控製。企業關鍵決策應進行風險評估，企業要善於從風險管控中尋求發展機會和價值創造空間。董事、監事和高管人員應強調風險管控的重要性，並與企業文化、核心價值觀等相互配合，使企業上下形成統一的思想認識。企業應將風險管控策略全麵融入企業目標、戰略規劃和經營計劃，並配置相應的資源。資源配置是指企業應定期或不定期評估風險，根據評估結果合理配置風險管控資源，包括資金、人力、技術、外包等，對於重大風險應配置充足的管控資源。持續改進是指企業應不斷地采取措施以提高風險管理的效率和有效性，其過程包括協調（確保公司內部使用共同的風險管控語言）、同步化（在整個組織內部采取協調一致的行動）及合理化（消除無效或重複性的作業）等。

五、德勤國際會計公司的風險智能成熟度模型

德勤國際會計公司按照風險智能管理框架的三個層次九項原則，依據企業風險管理水平的不同設計了風險智能成熟度模型，用於評估客戶的風險管理水平。該模型將企業的風險管理水平由低到高分為五個級別，即無意識型、鬆散型、自上而下型、係統型及風險智能型。

1.無意識型。該類企業的風險管理水平最低，風險管理具有偶然性和無序性；主要依靠個人的風險意識、能力和知識進行。

2.鬆散型。這類企業沒有意識到各項風險的內在聯係；風險管理很少和公司戰略相聯係；缺少監督體係；對不利事件缺少係統的應對方案或僅由專家就事論事地作出反應；僅對少數風險建立相互獨立的機製。

3.自上而下型。這類企業確立了風險管理的相關政策和授權體係，並在內部進行有效的傳達；能夠定期進行風險評估；關鍵風險與董事會溝通；風險分析基本是定性的，風險衡量技術落後；成立專門的職能部門管理風險；風險管理多是被動進行的。

4.係統型。這類企業內部有協調一致的風險管理活動；明確了風險容忍度；能夠站在企業整體層麵進行風險監督、評價和報告；注重內部崗位培訓和風險培訓；對於不利事件有係統的反應機製；相關信息能夠快速進行內部溝通；能夠有意識地主動管理風險。

5.風險智能型。風險智能管理的企業能夠將風險納入決策流程；建立了科學的風險預警指標體係；風險管理與部門及崗位的績效考評和激勵機製相聯係；設置風險模型，經常進行情景分析；建立了與行業最佳實踐對比的動態指標體係；基於戰略目標和可持續發展的高度全方位進行風險管理；大量依靠信息技術實施風險管理；董事會和管理層對整個風險管理流程有全麵了解。

2012年3月，由德勤國際會計公司和清華大學經濟管理學院共同舉辦的“風險智能榜2011年度中國優秀企業”評選活動揭曉，中石油、中海油、中國鋁業、中國移動、大唐國際、上海汽車等25家公司榜上有名。評選由專家評審委員會按風險智能成熟度模型對參選企業進行統計評分，該項活動已舉辦兩屆，這是第二屆。對照入選企業的評選條件，筆者經過梳理總結了入選企業的風險管理具有一些共同特征。