组织体系是战略落实与计划执行的有力保障，因为它明确了企业内部各成员的权责关系。企业风险管理计划的落实也必须依赖于一套风险管理组织体系。不同的企业，有着不同的风险类型和程度，由什么部门负责风险管理以及风险管理人员有何责任，可能都不尽相同。对于一家小规模企业，风险管理工作可能主要由创业者本人亲自负责，最多下设安全防损经理和索赔经理各一名。但对于大型企业而言，风险管理组织就要复杂得多。

一、独立董事

所谓独立董事是指对公司内部董事或执行董事起监督作用的外部董事或非执行董事。外部董事或非执行董事相对于所任职的公司而言，地位是完全独立的，不能与该公司有任何影响其客观、独立地作出判断的关系，从而保证他们在公司发展战略、运作、经营标准以及其他重大问题上做出自己独立的判断。独立董事既不代表主要出资人尤其是大股东，也不代表公司管理层。

美英等西方国家建立独立董事制度的目的是为了解决内部人控制问题。据经合组织（OECD）1999年调查结果表明，董事会中独立董事所占的比例在英国为34％，法国为29％。独立董事制度对于提高公司决策过程的科学性、效益性、安全性，加强公司的竞争力，预防公司总裁和其他公司内部控制人为所欲为、鱼肉公司和股东利益，强化公司内部民主机制，维护小股东和其他公司利害关系人的利益发挥了积极作用。

我国独立董事制度率先在我国海外上市公司中试点。国家经贸委与中国证监会1999年联合发布的《关于进一步促进境外上市公司规范运作和深化改革的意见》中就要求境外上市公司董事会换届时，外部董事应占董事会人数的1／2以上，并应有2名以上的独立董事。但这一硬性要求并未规定用于境内上市公司。《上市公司章程指引》对于境内上市公司的独立董事仅是采取了许可的态度。一些境内上市公司仍然大胆尝试独立董事制度。虽然实践中出现了独立董事“花瓶化”、荣誉化等一系列问题，但毕竟为我国上市公司全面建立这一制度发挥了宝贵的镜鉴作用。在总结有关经验教训的基础上，中国证监会于2006年5月公布了《关于在上市公司建立独立董事制度的指导意见（征求意见稿）》，意在向所有上市公司全面推开独立董事制度，但一些相关法律问题仍需在法理上阐明。

国资委《中央企业全面风险管理指引》中则要求中央企业“国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。”  

独立董事制度在风险管理中的作用主要表现在以下两方面：一是独立董事可以凭借更加丰富的经历和宽广的视角，增加识别风险和评估风险的能力；二是独立董事们具有更强的独立性，能够减少内部人控制的风险。

二、董事会

董事会制度随着现代公司制企业的发展而出现，是公司制的内生产物，其职责是服从于公司，充分考虑公司现有和潜在股东的利益。董事会由股东大会选举产生，是公司股东大会的执行机构，对股东大会负责。同时董事会也是公司经营投资活动的中心。正是董事会身兼代理人和委托人双重身份决定了它在公司治理中的特殊地位。董事会在风险管理中的职责主要表现在以下方面：

1．创造良好的风险控制环境。

控制环境是风险管理活动得以开展的土壤。好的控制环境要求从董事会这个层面向公司传达积极稳健的管理哲学和经营风格，同时还要以身作则带头实践正直、诚实的道德规范，督导企业风险管理文化的培育。

建设风险管理组织体系也是董事会职责。董事会可以设立风险管理委员会和审计委员会两个专门机构，承担风险管理与评估以及内外部审计的工作。董事会还需要安排首席执行官和首席风险官的人选，确保他们有能力执行风险管理政策。

2．确定风险管理目标、售好与承受度。

董事会需要根据对竞争环境和自身实力的判断，制定企业发展战略，并由此确定企业风险管理的总体目标、风险偏好以及风险承受度。企业风险管理的目的是实现股东利益最大化，但是也需要实现企业各利益相关者的和谐发展。董事会的风险偏好和风险承受度也会随着企业发展阶段和竞争环境的变化而不同。比如，对于一家处在创业阶段的高科技企业，可能更倾向于采取高风险、高回报的风险管理政策，但是其风险承受度会较低。而随着企业走向成熟，其风险态度会向中立和厌恶的方向转化，而风险承受能力会更高。

3．控制重大企业风险管理流程。

董事会首先需要明确哪些风险对企业而言是重大的，批准或制定重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。其次，通过初始信息收集，了解和掌握企业面临的各项重大风险及其风险管理现状。对于重大决策的风险评估和重大风险的解决方案，都需要董事会批准。最后，董事会需要对风险管理进行监督和改进，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为。

4．实现风险管理有效信息沟通。

董事会将认真审阅内部审计部门或外部中介机构提交的风险管理监督评价审计报告，并确保监督信息能够反馈到相关部门，以进一步改进风险管理。同时，董事会还必须就风险管理工作向股东会负责，审议并向股东会议提交企业全面风险管理工作报告。

三、风险管理委员会

具备条件的企业，可以在董事会下设风险管理委员会。风险管理委员会一般由3～5名董事组成，设召集人（主任委员）一名。委员会委员由董事会提名并讨论批准。该委员会的召集人一般由不担任首席执行官（或总经理）的董事长担任；如果董事长兼任首席执行官，召集人则一般由外部董事或者独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责，向董事会提交风险管理决策和报告。

其职责主要包括：

风险管理委员会对董事会负责，主要履行以下职责：

（1）提交全面风险管理年度报告；

（2）审议风险管理策略和重大风险管理解决方案；

（3）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；

（4）对公司风险及管理状况和风险管理能力及水平进行评价，提出完善公司风险管理和内部控制的建议；

（5）审议内部审计部门提交的风险管理监督评价审计综合报告，对已出现的风险提出化解措施；

（6）审议风险管理组织机构设置及其职责方案；

（7）风险管理委员会在必要情况下，可以独立聘请外部中介机构为其决策提供专业服务；   

（8）办理董事会授权的有关全面风险管理的其他事项。

四、总经理与首席风险官

董事会选择并授权总经理负责公司日常经营业务，总经理向董事会负责，列席董事会会议。就风险管理工作而言，企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。主要职责如下：

（1）组建并管理企业风险管理职能部门，任命风险经理。

（2）安排业务职能部门的职责分工并制定风险汇报和审批机制。

（3）审批非重大决策的评估报告。

（4）落实董事会有关风险决策和方案。

（5）组织日常风险监督和改进工作。

（6）就风险管理工作计划和结果向董事会汇报。

随着企业面临的风险日益扩大，风险管理工作的重要性也与日俱增。首席执行官或者总经理往往委任一名首席风险官全面负责企业风险管理日常工作。如我国工商银行、建设银行都设有首席风险官。首席风险官在国外企业中由来已久，是现代企业管理中重要的高级管理人员，是公司重要的战略决策拟定和执行者之一。他们的工作将根据董事会、股东大会的要求，对总经理或总经理授权的副总经理负责，并根据其职责协助总经理开展工作。其职责是负责组织制定并具体执行企业整体性风险管理政策和控制策略，并负责建立涵盖战略风险、财务风险、市场风险、营运风险等在内的全面风险管理组织架构。同时，首席风险官将作为牵头人参加风险决策的评估和审批工作，确保企业按照风险控制流程进行风险管理，确保各项经营业务符合有关法律、法规和政策要求等等。

五、风险管理职能部门

企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责。风险管理部对包括生产、市场、财务、人力资源、研发等在内的各业务和职能部门运营流程中的各环节进行监控，检查它们遵守公司规章制度的情况，并针对各项检查结果，向总经理和风险管理委员会汇报。具体而言，风险管理部的职责包括：

（1）研究提出全面风险管理工作报告；

（2）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（3）研究提出跨职能部门的重大决策风险评估报告；

（4）研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；

（5）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；

（6）负责组织建立风险管理信息系统；    ‘’

（7）负责组织协调全面风险管理日常工作；

（8）负责指导、监督有关职能部门，各业务单位以及全资、控股子企业开展全面风险管理工作；

（9）办理风险管理其他有关工作。

需要明确的是，虽然风险管理不会涉及不同的部门，但是绝不是说风险管理不可以控制不同部门的风险。实际上，多数企业风险都是在风险管理部门和各职能及业务部门的共同努力下得到控制和有效管理的。在风险管理部内部，也会设立不同的专业团队或组织，重点控制和管理某一方面的风险。

六、审计委员会

审计委员会是董事会的一个专设机构，向董事会负责。一般而言，企业审计委员会成员应当由熟悉企业财务、会计和审计等方面专业知识并具备相应业务能力的董事组成，而其中主任委员需要由外部董事担任。审计委员会必须履行以下职责：

（1）审议企业年度内部审计工作计划；

（2）监督企业内部审计质量与财务信息披露；

（3）监督企业内部审计机构负责人的任免，提出相关意见；

（4）监督企业社会中介审计等机构的聘用、更换和报酬支付；

（5）审查企业内部控制程序的有效性，并接受有关方面的投诉；

（6）其他重要审计事项。  

审计委员会还负责指导监督内部审计部门，内审部直接对董事会负责。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。内部审计还可以通过将风险管理评价作为审计工作的一部分，以检查、评价风险管理过程的适当性和有效性，并提出改进建议。在风险管理方面，内审部具有以下职能：

（1）对企业的财务收支、财务预算、财务决算、资产质量、经营绩效以及其他有关的经济活动进行审计监督；

（2）对企业采购、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督；   

（3）对企业全面风险管理系统的健全性、合理性和有效性进行检查，评价和反馈，对企业有关业务的经营风险进行评估和意见反馈；

（4）将内部审计结果反馈董事会及其相关专门机构。

内部审计参与企业风险管理具有一定的优势。首先，内部审计能够超脱部门之间的利益冲突，较为客观全面地评价企业风险。其次，内部审计人员能够充当企业长期风险策略和各种决策之间的协调人，控制和指导风险策略。再次，由于内部审计独立于企业管理部门，其评价和结论可以直接向董事会报告，故比其他职能部门具有更大的影响力。最后，内部审计较外部审计而言具有更强的责任感，往往会就某个风险问题深入探讨分析，了解其发生的根源，探索解决的办法。

当然，由于内部审计在独立性上较外部审计具有先天的不足。所以，审计委员会还必须借助外部审计师的力量，降低企业合规风险。

七、其他职能部门及各业务单位

具体而言，风险管理的执行工作都需要落实到各业务和职能单位。比如对于工厂安全方面的风险，需要生产部门予以落实；对财务报告方面的风险，需要财务部门予以执行等。

各部门和业务单位的经理是本部门或本单位企业风险的管理者和汇报者。由于各部门和单位经营活动性质不同，其所面临的风险性质和大小也存在较大差异。对外投资部门可能风险决策频率不高，但是每次决策的风险都非常重大，有些会影响到企业的生死存亡。但是，企业后勤总务部门，比如食堂，每天都要面对饭菜剩余或不足的风险，可这些风险一般不会给企业带来致命的损失。每位部门经理必须时刻评估其经营活动所面临风险的大小，如果某项风险决策超出了其职权范围，则必须向风险管理职能部门或者总经理汇报，不能擅自决策。

各职能部门和业务单位还必须配合其他部门或单位进行风险管理。例如，销售部门需要尽可能将已掌握的客户信息反映给商业信贷审批部门，而不能为了提高销量而隐瞒客户财务状况，以免增加应收账款无法收回的风险。同时，商业信贷管理部门也需要将授信额度及时告知销售部门，只有这样，才能够有效控制商业信贷风险。