企业需要将全面风险管理的各项要求融入企业管理和业务流程中，构建起风险控制与管理的三道防线：以相关职能部门和业务单位为第一道防线；以风险管理部门和董事会风险管理委员会为第二道防线；以内部审计部门和董事会审计委员会为第三道防线

一、风险管理的第—道防线：业务单位防线

业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线。企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线。

企业建立第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风险和营运风险等，系统化地进行分析、确认、度量、管理和监控。

要建立好风险管理的第一道防线，企业的各业务单位需要：

（1）了解企业战略目标及可能影响企业达标的风险；

（2）识别风险类别；

（3）对相关风险作出评估；

（4）决定转移、避免或减低风险的策略；

（5）设计及实施风险策略的相关内部控制；

（6）企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新。

在风险处理策略上，业务部门依据风险发生的可能性和风险影响的程度，可以采取避免、转移、接受和慎重管理四种策略。

避免风险即禁止交易、减少或限制交易量、离开市场等安排，避免风险的发生；转移风险即采取套期、保险策略性联盟或其他分担风险的安排，转移风险；慎重管理风险即通过投资、广泛保护的安排、定价反映风险程度等措施，来慎重管理风险；接受管理风险即通过自我保险、预留储备、增加监督等管理风险。

二、风险管理的第二道防线：风险职能管理部门防线

第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部分可以包括风险管理部门、信贷审批委员会、投资审批委员会。

风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：

（1）编制规章制度；

（2）对各业务单位的风险进行组合管理；

（3）度量风险和评估风险的界限；

（4）建立风险信息系统和预警系统、厘定关键风险指标；

（5）负责风险信息披露、沟通、协调员工培训和学习的工作；

（6）按风险与回报的分析，为各业务单位分配经济资本金。

相对于业务部门而言，风险管理部门会克服狭隘的部门利益，而能够从企业利益角度考察项目和活动风险。比如，销售部门有时会为了追求更大的销售额，而忽略了销售信贷可能存在的风险。但是作为销售信用的审批部门，则会更加关注货款不能收回的可能性。

风险管理部门还可以综合平衡各部门风险。企业往往在不同的发展阶段，各部门所面临的风险是不同的。而作为风险管理部门，则需要根据一定的原则，将风险分配于不同部门，对每个部门风险进行上限控制。

三、风险管理的第三道防线：内部审计防线

第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题。内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内部审计通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。

内部审计具有三大功能：

（1）财务监督的功能。包括审计财务账的可用性，监督企业内部管理和制度的执行。譬如检查分公司和子公司上报总部的财务报表的准确性以及执行财务管理政策的情况。

（2）经营诊断的功能。通过管理审计以及效率和效益审计，检查和诊断经营和管理过程中的偏差和失误。

（3）咨询顾问的功能。即进行企业风险管理和发展策略方面的咨询，调查领导关心的热点问题和管理薄弱环节。譬如企业兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略等。

内部审计可以通过评估风险识别的充分性、评价已有风险衡量的恰当性以及评估风险防范措施的有效性等三方面参与企业风险管理。企业的内部审计工作一般是对各业务部门和风险管理职能部门的风险管理活动进行再监督，而不是亲自参与每项风险的评估与控制。