企业风险管理是包括内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与交流以及监控等要素在内的一个闭环管理流程。相对而言，我国企业在构建风险管理体系中，管理层价值取向、企业监督机制以及董事会核心地位是关键因素。

1．管理层的支持与参与是风险管理发挥实效的前提。

综观各类企业风险事件，大多与管理层的消极管理及疏忽相关。众多的财务舞弊案件都是在首席执行官或财务总监的首肯与支持下进行的。中国近几年频繁发生的小煤窑安全事故也是发生在煤窑经营者眼皮底下。而对于像巴林银行这样的事件，则完全可以归结为管理层对细节的疏忽。

管理层的支持与参与首先在于树立和推广具有风险控制意识的价值观。对一个敢于拿自己的个人声誉甚至职业生涯去冒险的管理者，很难想象他们会采取稳健的经营政策。同样，当管理层被一时的繁荣所蒙蔽的时候，也无法要求他们采取居安思危的防范举措。

管理层的支持与参与还表现在他们对风险管理活动的资源保障。我们知道，企业开展风险管理活动，需要组织、人力和物力的保证。如果没有资金和资源支持，风险管理活动将无法进行。

管理层的支持与参与还需要他们将自己也视为被管理的对象。企业风险控制的对象应是企业中的每一件事情以及每一个人。比如，按照风险管理的要求，超过一定金额的投资项目必须经过风险管理委员会讨论决定。但是企业一把手认为风险管理委员会成员都由他领导，所以自己一人就可做主，其结果难免考虑不周，扩大投资风险。

2．建立完善的监督机制是有效控制风险的重要保障。

企业的管理活动不会一劳永逸。信息掌握不充分、组织沟通不明确、环境发展不明朗以及当事人之间串通合谋等都可能导致管理制度的失灵。所以，整个企业的生产经营活动，必须被置于有效的监督之下。

企业监督机制可以分为三个层级。首先，企业管理层对各职能部门以及每个员工的监督，比如通过有效的岗位划分来减少一人舞弊的可能性。其次，董事会对经营者的监督是第二个层级，由于所有者和经营者存在信息不对称，会导致经营者道德风险问题。建立直接对董事会负责的监督审计制度，能够有效降低经营者隐藏信息的风险。最后，监督机制的第三个层级就是引入有经验的外部董事和独立审计人员。相对而言，外部董事和外部审计人员具有更强的独立性和公正性，有效防止内部人控制问题。

3．董事会是风险控制框架构建的核心。

我国《公司法》对董事会、股东大会和总经理的责权进行了较为明确的划分，董事会在其中居于相对核心的地位。董事会需要对风险管理的目标确立、组织建立、制度订立与执行以及审计与监控负责。相对而言，董事会居于风险控制框架的核心地位具有一定的优势。首先，由于股东大会召开频率较低，而且股东水平参差不齐，甚至存在众多根本不关注公司日常经营的投机性股东，所以股东大会难以肩负起建立风险管理体系和监督其实施的能力。其次，如果总经理居于风险控制框架的核心，容易导致自我监管的弊病，并且会诱发它们追求短期利益的机会主义倾向。相反，如果确立以董事会为核心的风险管理体系，一方面能够保持一定的监管独立性，另一方面也可以保证站在更高、更全面的角度进行风险管理决策。