企业风险管理与内部控制策略（标准版）

企业风险管理与内部控制策略（标准版）第1章企业风险管理概述1.1企业风险管理的概念与内涵企业风险管理（EnterpriseRiskManagement,ERM）是指企业为实现战略目标，识别、评估和控制可能影响组织绩效和目标实现的风险过程。这一概念由国际内部审计师协会（IIA）在2001年提出的《企业风险管理框架》中正式定义，强调风险的全面性和动态性。ERM的核心目的是通过系统化的方法，将风险因素纳入企业决策和运营过程中，以提升组织的稳健性和可持续发展能力。根据《企业风险管理框架》中的定义，企业风险管理涵盖战略、财务、运营、法律、合规、市场、声誉等多个维度，涉及风险识别、评估、应对和监控等关键环节。企业风险管理不仅关注财务风险，还包括非财务风险，如运营风险、战略风险、声誉风险等，体现了其全面性与综合性。企业风险管理的目标是通过风险控制，增强组织的抗风险能力，实现价值创造和长期发展。1.2企业风险管理的框架与模型企业风险管理框架（ERMFramework）是国际内部审计师协会（IIA）在2001年发布的标准框架，它为企业提供了系统化、结构化的风险管理方法。该框架包含五个核心要素：风险识别、风险评估、风险应对、监控与报告、以及风险管理的组织架构。框架中的“风险评估”部分强调使用定量与定性方法，如风险矩阵、情景分析、专家判断等，以评估风险的可能性和影响。企业风险管理模型通常包括风险识别模型、风险评估模型、风险应对模型和风险监控模型，其中风险识别模型常采用SWOT分析、PEST分析等工具。企业风险管理模型的构建需要结合企业自身的战略目标和业务环境，确保模型的适用性和有效性。1.3企业风险管理的实施原则与目标实施企业风险管理的原则包括全面性、独立性、持续性、适应性、以及与企业战略的契合性。全面性要求企业将风险管理覆盖到所有业务领域和管理环节，避免风险遗漏；独立性则强调风险管理应由独立部门或人员负责，避免利益冲突。持续性意味着企业应将风险管理作为一项长期战略，而非一次性任务，持续优化和调整风险管理策略。适应性要求企业根据外部环境的变化和内部管理的改进，动态调整风险管理策略和措施。企业风险管理的目标是通过有效识别、评估和应对风险，提升组织的绩效、保障运营安全、实现战略目标，并增强企业竞争力。1.4企业风险管理与内部控制的关系企业风险管理（ERM）与内部控制（InternalControl）是相辅相成的关系，内部控制是ERM的重要组成部分，二者共同服务于企业战略目标的实现。根据《企业内部控制基本规范》（2010年）的规定，内部控制是企业为保障资产安全、提高运营效率、促进合规性而建立的制度体系。企业风险管理不仅包括内部控制，还扩展到更广泛的领域，如战略规划、绩效评估、社会责任等，体现了ERM的全面性。企业风险管理与内部控制在实施过程中存在一定的重叠，但ERM更强调风险的识别、评估和应对，而内部控制更侧重于流程的规范和控制的执行。两者结合能够形成更有效的风险管理体系，确保企业既符合内部控制的要求，又能有效应对复杂多变的外部环境。第2章企业风险识别与评估2.1风险识别的方法与工具风险识别是企业风险管理的基础环节，常用方法包括SWOT分析、PEST分析、风险矩阵法和德尔菲法。其中，风险矩阵法（RiskMatrix）通过定量分析风险的可能性与影响程度，帮助识别关键风险点。企业通常采用流程图法（ProcessMapping）识别业务流程中的潜在风险，例如供应链中断、数据泄露等。该方法强调对业务流程的系统梳理，有助于发现隐性风险。风险识别工具如风险登记册（RiskRegister）是企业风险管理的重要载体，用于记录所有识别出的风险事项，包括风险类别、发生概率、影响程度及应对措施。跨部门协作是风险识别的有效方式，通过建立跨职能团队，可以更全面地覆盖业务各环节的风险。例如，财务、运营、法务等部门联合识别财务风险与合规风险。最新研究指出，企业应结合大数据分析技术，利用机器学习算法识别非结构化数据中的潜在风险信号，如异常交易行为或客户流失趋势。2.2风险评估的流程与标准风险评估通常遵循“识别—分析—评价—应对”四步法。其中，风险分析阶段常用定量分析（如概率-影响矩阵）与定性分析（如专家判断）相结合，以全面评估风险。风险评估标准通常包括风险发生概率、影响程度、可控性及潜在后果等维度。例如，ISO31000标准中提出，风险评估应基于企业战略目标，明确风险的优先级。企业应建立风险评估指标体系，如风险发生频率、影响等级、发本等，以量化风险并支持决策。例如，某大型制造企业采用风险评分模型，将风险分为低、中、高三级。风险评估结果需定期更新，尤其在业务环境变化或外部环境突变时，应重新评估风险等级。例如，2020年疫情导致供应链中断，企业需重新评估全球物流风险。研究表明，企业应将风险评估纳入日常管理流程，如季度风险评估会议，确保风险识别与评估的持续性与动态性。2.3风险等级的划分与分类风险等级通常分为低、中、高、极高四个等级，依据风险发生的可能性与影响程度划分。例如，ISO31000标准中将风险分为“可接受”、“需关注”、“需优先处理”、“需紧急处理”四个等级。风险分类可依据风险类型（如财务风险、运营风险、合规风险）或影响范围（如内部风险、外部风险）进行。例如，某银行将信用风险分为“信用评级AAA”、“BBB”、“BB”、“B”四个级别。风险等级划分需结合企业战略目标与资源能力，例如高风险事项应优先分配资源进行控制。研究显示，企业应根据风险等级制定差异化应对策略，避免资源浪费。在实际操作中，风险等级划分需结合定量与定性分析，如使用风险矩阵法确定风险等级。例如，某企业将数据泄露风险定为中等风险，因发生概率中等，影响程度较高。风险等级划分应动态调整，根据风险发生频率、影响范围及应对措施的有效性进行更新，确保风险评估的时效性与准确性。2.4风险应对策略的制定风险应对策略包括规避、转移、减轻、接受四种类型。例如，企业可通过多元化采购降低供应链风险，属于规避策略。企业应根据风险等级制定相应的应对措施，如高风险事项需制定应急预案，中等风险则需加强监控。例如，某公司针对市场风险制定动态价格调整机制。风险应对策略需与企业战略目标一致，例如，若企业战略是拓展国际市场，应重点防范汇率风险与合规风险。风险应对策略的制定应考虑成本与效益，如规避策略可能成本较高，但风险控制效果显著；转移策略则需支付保险费用。研究表明，企业应定期评估风险应对策略的有效性，必要时进行策略调整，以适应外部环境变化与内部管理优化。第3章企业内部控制体系构建3.1内部控制的基本概念与原则内部控制是指企业为实现其战略目标，通过制度、流程、职责划分等手段，防范风险、提高效率、保障财务报告真实性的一系列管理活动。根据《企业内部控制基本规范》（2016年修订），内部控制应遵循全面性、审慎性、独立性、权责对应和成本效益五大原则。《企业内部控制基本规范》明确指出，内部控制应覆盖企业所有经营活动，包括财务报告、运营、合规、人力资源等关键环节，确保企业运营的合法性和有效性。内部控制的原则中，“审慎性”要求企业对风险进行合理评估，并采取适当措施进行应对，避免因过度反应或忽视风险而造成损失。根据国际内部审计师协会（IIA）的定义，内部控制是“在组织内部建立的一系列政策和程序，以确保组织目标的实现，并在合理保证财务报告的准确性、运营的效率及合规性方面发挥作用。”企业应建立内部控制的监督机制，定期评估内部控制的有效性，并根据内外部环境变化进行动态调整，以确保其持续适应企业发展的需求。3.2内部控制的要素与结构根据《企业内部控制基本规范》（2016年修订），内部控制主要由控制环境、风险评估、控制活动、信息与沟通、内部监督五个要素构成，构成一个完整的体系框架。控制环境包括组织结构、治理结构、企业文化、人力资源政策等，是内部控制的基础，直接影响内部控制的执行效果。风险评估是内部控制的重要环节，企业应定期识别、分析和应对潜在风险，确保风险应对措施与企业战略目标一致。控制活动是具体实施控制的手段，包括授权审批、职责分离、会计控制、预算控制等，确保各项业务活动符合内部控制要求。信息与沟通是内部控制的重要保障，企业应确保相关信息在组织内部有效传递，以便于管理层及时做出决策。3.3内部控制的制定与执行企业内部控制的制定需结合自身业务特点，制定科学合理的控制流程和制度，确保其与企业战略目标相一致。例如，制造业企业可能需要制定生产流程控制制度，以确保产品质量和生产效率。内部控制的执行依赖于组织内部的职责分工和流程规范，企业应通过培训、考核等方式确保员工理解并执行内部控制制度。在执行过程中，企业应注重流程的可操作性和灵活性，避免因过于僵化而影响业务运行效率。例如，某大型零售企业通过引入信息化系统，实现了库存管理的自动化控制。内部控制的执行应与绩效考核相结合，将内部控制效果纳入员工绩效评估体系，增强员工的参与感和责任感。企业应建立内部控制的执行机制，如定期检查、审计和反馈机制，确保内部控制制度的有效实施。3.4内部控制的监督与改进内部控制的监督是确保内部控制有效运行的关键环节，企业应通过内部审计、第三方审计等方式对内部控制制度进行定期评估。根据《企业内部控制基本规范》（2016年修订），企业应建立内部控制的监督机制，包括内部审计部门、管理层和员工的共同参与，确保内部控制的有效性。监督结果应作为改进内部控制的重要依据，企业应根据监督发现的问题，及时修订控制措施，提高内部控制的适应性和有效性。企业应建立内部控制的持续改进机制，通过数据分析、经验总结等方式，不断优化内部控制流程和制度。有效的内部控制不仅有助于企业风险防控，还能提升企业竞争力，因此应定期评估内部控制的成效，并根据外部环境变化进行动态调整。第4章企业风险管理与内部控制的整合4.1风险管理与内部控制的协同作用风险管理与内部控制在企业中是相辅相成的关系，风险管理侧重于识别、评估和应对潜在风险，而内部控制则关注于确保组织目标的实现，二者共同构成企业风险控制体系的核心。根据《企业内部控制基本规范》（2016年修订），内部控制应与风险管理目标一致，确保风险识别、评估和应对措施的有效性。研究表明，风险管理与内部控制的协同作用能显著提升企业运营效率和财务绩效，例如，某跨国企业通过整合风险管理与内部控制，其运营成本降低12%，风险事件发生率下降18%。企业风险管理框架（ERM）与内部控制体系（CIS）的融合，有助于构建全面的风险管理文化，提升组织对复杂环境的适应能力。实证研究表明，企业若能实现风险管理与内部控制的有机整合，其战略决策的科学性与执行力将得到明显增强。4.2风险管理与内部控制的结合路径风险管理与内部控制的结合主要体现在风险识别、评估、应对及监督等环节的协同推进。例如，风险评估结果可直接作为内部控制措施制定的依据。根据《风险管理框架》（ISO31000），企业应建立风险与控制的双向反馈机制，确保风险管理活动与内部控制措施相互促进。一些企业采用“风险导向”的内部控制模式，将风险因素纳入内控流程，如通过风险矩阵、风险偏好设定等工具，实现风险与控制的动态平衡。在实际操作中，风险管理与内部控制的结合路径通常包括风险评估与控制措施的同步制定、风险指标的统一管理、以及风险应对策略的持续优化。例如，某上市公司通过将风险管理嵌入内控流程，实现了风险预警机制的及时响应，有效降低了财务风险和合规风险。4.3内部控制在风险管理中的应用内部控制是风险管理的重要支撑手段，其核心在于通过制度、流程和职责划分，降低风险发生的可能性。根据《内部控制应用指引》（2016年修订），内部控制应覆盖风险识别、评估、应对和监督全过程，确保风险管理的全面性。在实际应用中，内部控制常通过职责分离、授权审批、复核机制等手段，有效防范舞弊、操作失误及信息不对称等风险。例如，某大型国企通过建立“风险-控制”双轮驱动机制，将风险识别与内控措施紧密结合，使风险应对效率提升30%以上。研究表明，内部控制的有效性直接影响风险管理的成效，良好的内控体系能显著降低风险发生概率，提升企业抗风险能力。4.4风险管理与内部控制的优化策略企业应建立风险与控制的协同机制，将风险管理目标与内部控制目标统一，确保两者在战略层面上高度一致。通过引入风险评估模型（如风险矩阵、SWOT分析等），企业可以更科学地识别和优先处理关键风险，提升风险管理的精准度。在优化策略上，企业可通过数字化转型、流程再造、风险文化培育等方式，推动风险管理与内部控制的深度融合。实证数据显示，采用“风险导向”的内部控制模式，企业风险识别的准确率可提升40%以上，风险应对的效率显著提高。未来，随着企业对风险管理重视程度的提升，风险管理与内部控制的整合将更加深入，形成“风险驱动、控制保障”的良性循环。第5章企业风险管理的实施与监控5.1风险管理的实施步骤与流程企业风险管理的实施通常遵循“识别-评估-响应-监控”四个阶段，这一流程符合ISO31000标准，确保风险管理体系的系统性与持续性。风险识别阶段需运用定性与定量方法，如SWOT分析、风险矩阵等，结合企业战略目标进行风险分类，确保风险覆盖全面且有针对性。风险评估阶段应采用定量分析（如VaR模型）与定性分析相结合，通过风险指标（如概率与影响矩阵）评估风险等级，为后续应对措施提供依据。风险响应阶段需制定具体措施，如风险规避、转移、减轻或接受，依据风险等级和企业资源进行优先级排序，确保应对措施可行且有效。实施阶段需建立风险管理部门，明确职责分工，定期开展风险评估与报告，确保风险管理机制与企业战略同步推进。5.2风险监控的机制与方法风险监控应建立动态监测机制，利用信息系统（如ERP、BI工具）实时跟踪风险变化，确保风险信息的及时性与准确性。监控方法包括定期风险评审会议、风险指标跟踪、预警系统设置等，如采用“风险雷达图”或“风险热力图”进行可视化监控。风险监控需结合定量与定性分析，如运用蒙特卡洛模拟进行风险情景分析，同时结合专家判断进行定性评估，确保监控结果全面可靠。风险监控应与企业战略目标相结合，定期评估风险管理效果，如通过风险控制成本、风险损失率等指标衡量管理成效。风险监控需建立反馈机制，及时调整风险策略，确保风险管理机制的灵活性与适应性。5.3风险预警与应对机制风险预警应建立预警指标体系，如财务指标异常、运营数据波动、市场变化等，依据风险等级设置预警阈值，如采用“风险预警指数”进行量化评估。预警机制通常包括三级预警（红、黄、蓝），根据风险严重程度采取不同应对措施，如红色预警需立即处理，蓝色预警则进行跟踪监控。风险应对机制应包括风险缓释、转移、规避、接受等策略，如通过保险转移风险、签订合同转移风险、调整业务结构规避风险。风险应对需结合企业资源与能力，如中小企业可采用风险转移策略，大型企业则侧重风险规避与内部控制。风险预警与应对应建立应急响应机制，如制定应急预案、设立风险应急小组，确保在风险发生时能够快速响应与处置。5.4风险管理的持续改进机制持续改进机制应建立在风险管理的闭环管理基础上，包括风险识别、评估、应对、监控、反馈等环节，确保风险管理机制不断优化。企业应定期进行风险管理绩效评估，如采用“风险控制有效性评估”指标，分析风险管理的成效与不足，提出改进措施。持续改进应结合企业战略调整与外部环境变化，如市场环境变化、法规更新、技术进步等，及时调整风险管理策略。风险管理的持续改进需建立在数据驱动的基础上，如通过数据分析发现风险模式，优化风险应对策略，提升风险管理水平。持续改进应纳入企业绩效管理体系，如将风险管理成效纳入KPI体系，推动风险管理从被动应对向主动管理转变。第6章企业风险管理的评估与审计6.1风险管理的评估方法与指标风险管理评估通常采用定量与定性相结合的方法，其中定量评估常用风险矩阵、风险敞口分析和风险调整资本回报率（RAROC）等工具，用于衡量风险发生的可能性和影响程度。例如，根据ISO31000标准，企业应定期进行风险识别、分析与评估，以确保风险管理的持续有效性。风险评估指标包括风险识别度、风险发生概率、风险影响程度以及风险应对措施的有效性。根据《企业风险管理基本指引》（COSO-ERM），企业应建立风险评估指标体系，如风险等级（低、中、高）、风险事件发生频率、风险影响的经济后果等。常用的评估方法包括风险清单法、风险分析工具（如SWOT、PEST、波特五力模型）和风险情景分析。例如，某上市公司在进行市场风险评估时，采用蒙特卡洛模拟法进行未来现金流预测，以评估市场波动对财务状况的影响。评估结果应形成书面报告，内容包括风险识别、分析、评估及应对措施的建议。根据《企业风险管理框架》（COSO-ERM），企业需在评估后制定风险应对策略，并定期更新评估结果，确保风险管理的动态调整。风险评估应纳入企业战略规划，与业务目标相结合。例如，某跨国企业通过将风险评估纳入年度战略会议，确保风险管理与业务发展同步推进，提升整体运营效率。6.2内部控制的审计与评价内部控制审计主要针对企业内部控制体系的有效性进行评估，常用方法包括控制活动审计、风险评估程序审计和内部控制测试。根据《内部审计准则》（ISA），内部控制审计应遵循“全面、系统、独立”的原则。内部控制审计通常采用控制测试和实质性程序，如凭证检查、流程审查和系统访问权限验证。例如，某银行通过审计其贷款审批流程，发现部分审批人员未按制度操作，从而发现内部控制缺陷。内部控制评价应结合企业战略目标，评估内部控制是否支持业务目标的实现。根据COSO-ERM，内部控制应与企业治理结构、业务流程和风险管理相匹配。内部控制审计报告应包含审计结论、发现的问题、改进建议以及后续审计计划。例如，某企业审计发现采购流程中存在舞弊风险，提出加强供应商审核和权限控制的建议。内部控制审计结果应作为企业改进内部控制的重要依据，推动企业建立持续改进机制。根据《内部控制基本规范》，企业应定期开展内部控制审计，确保内部控制体系的有效运行。6.3风险管理的绩效评估风险管理绩效评估通常从风险控制效果、风险应对措施的执行情况以及风险管理的持续改进能力等方面进行衡量。根据《风险管理绩效评估指引》，企业应建立绩效评估指标体系，如风险事件发生率、风险损失额、风险应对效率等。绩效评估可采用定量分析（如风险损失率、风险调整后收益）和定性分析（如风险管理文化、风险意识）相结合的方式。例如，某企业通过分析过去五年风险事件发生次数，评估其风险管理的成熟度。绩效评估应与企业战略目标挂钩，确保风险管理成果与业务发展目标一致。根据COSO-ERM，企业应将风险管理绩效纳入绩效考核体系，提升管理者的风险意识。绩效评估结果应反馈至管理层，作为制定风险管理策略和改进措施的重要依据。例如，某企业通过绩效评估发现供应链风险较高，进而优化供应商管理流程，降低供应中断风险。绩效评估应定期开展，形成闭环管理机制。根据《企业风险管理框架》，企业应建立持续评估和改进机制，确保风险管理的动态优化。6.4风险管理的审计报告与改进风险管理审计报告应全面反映企业风险管理的现状、存在的问题及改进建议。根据《企业风险管理审计指引》，审计报告应包括风险识别、评估、应对及改进措施等内容。审计报告应结合企业内外部环境变化，提出针对性的改进建议。例如，某企业因市场环境变化，提出加强市场风险评估和应对机制的建议。审计报告应推动企业建立风险管理体系的改进机制，确保风险管理的持续有效。根据COSO-ERM，企业应将风险管理审计结果作为改进内部控制和风险管理的重要依据。审计报告应与企业治理结构相结合，提升管理层的风险意识和决策能力。例如，某企业通过审计报告指出治理结构中的风险漏洞，推动董事会加强风险管理职责。审计报告应定期发布，形成企业风险管理的长效机制。根据《企业风险管理基本指引》，企业应建立风险管理审计的常态化机制，确保风险管理的持续改进。第7章企业风险管理的信息化与技术应用7.1信息技术在风险管理中的应用信息技术在企业风险管理中扮演着关键角色，尤其在数据采集、处理和分析方面，能够显著提升风险识别与评估的效率。例如，ERP（企业资源计划）系统和CRM（客户关系管理）系统通过集成业务流程，实现风险数据的实时监控与动态更新，确保风险信息的准确性与及时性。信息技术的应用还推动了风险预警机制的智能化，如利用BI（商业智能）工具进行实时数据可视化，帮助企业快速响应潜在风险事件。据《企业风险管理（ERM）国际标准》（IFRS3）指出，信息技术的集成是ERM实施的重要组成部分。信息技术支持的风险管理模型，如基于大数据的风险分析模型，能够通过机器学习算法识别复杂风险模式，提高风险预测的精确度。例如，某跨国企业采用驱动的风险评估系统，将风险识别时间从数周缩短至数小时。信息技术的普及也促进了风险管理的透明化和标准化，如云计算和区块链技术的应用，确保数据在不同部门间的共享与安全，减少信息孤岛现象，提升风险管理的协同效率。信息技术的应用还推动了风险管理的数字化转型，如通过数字孪生技术构建企业风险模拟环境，实现风险的可视化与动态模拟，为管理层提供科学决策支持。7.2数据分析与风险预测技术数据分析技术是企业风险管理的核心工具之一，通过数据挖掘和统计分析方法，可以识别潜在风险因素并预测未来风险趋势。例如，聚类分析（ClusteringAnalysis）可用于识别高风险客户群体，而时间序列分析（TimeSeriesAnalysis）则可用于预测市场波动风险。风险预测技术通常依赖于机器学习算法，如随机森林（RandomForest）和神经网络（NeuralNetworks），这些算法能够处理非线性关系，提高风险预测的准确性。据《风险管理与信息系统》（RiskManagementandInformationSystems）期刊研究，使用机器学习进行风险预测的模型准确率可达85%以上。数据分析技术还支持风险情景分析，例如通过蒙特卡洛模拟（MonteCarloSimulation）对多种风险情景进行模拟，评估企业面临的潜在损失。这种技术广泛应用于金融、制造业和能源行业，帮助管理层制定应对策略。数据分析与风险预测技术的结合，能够实现从数据驱动到决策驱动的转变，提升风险管理的科学性和前瞻性。例如，某大型零售企业通过数据分析预测库存风险，成功优化了供应链管理，降低了库存成本。近年来，随着大数据和的发展，风险预测技术正朝着更智能化、自适应的方向演进，如使用自然语言处理（NLP）技术分析非结构化数据，提升风险识别的全面性。7.3企业风险管理的数字化转型企业风险管理的数字化转型是指将信息技术深度融入风险管理流程，实现风险识别、评估、监控和应对的全流程数字化。数字化转型不仅提高了风险管理的效率，还增强了风险应对的灵活性和前瞻性。例如，某跨国金融机构通过数字化转型，构建了全面的风险管理平台，实现了风险数据的实时采集、分析和可视化，显著提升了风险管理的响应速度和决策质量。数字化转型还推动了风险管理的协同化和全球化，如通过云计算和远程协作工具，实现全球分支机构的风险数据共享与统一管理，提升跨区域风险管理的效率。数字化转型的实施需要企业具备较强的信息技术能力，包括数据治理、系统集成和信息安全保障。根据《企业风险管理数字化转型白皮书》，数字化转型的成功依赖于企业内部的组织架构调整和技术基础设施的升级。企业风险管理的数字化转型不仅提升了风险管理的效率，还促进了风险管理文化的变革，使风险管理从传统的被动应对转向主动预防和持续优化。7.4信息安全与风险管理的结合信息安全是企业风险管理的重要组成部分，确保企业数据和系统安全，防止因信息泄露或系统故障导致的风险事件。根据《信息安全风险管理指南》（ISO/IEC27001），信息安全与风险管理的结合是企业风险管理体系的重要基础。在数字化转型背景下，信息安全与风险管理的结合更加紧密，如通过风险评估和安全控制措施，确保信息系统在运行过程中符合安全标准。例如，某银行通过建立信息安全风险评估模型，将信息安全纳入风险管理框架，有效降低了数据泄露风险。信息安全与风险管理的结合还涉及风险的量化与评估，如使用定量风险评估方法（QuantitativeRiskAssessment）对信息安全风险进行量化，帮助管理层制定相应的控制措施。信息安全与风险管理的结合不仅涉及技术层面，还包括组织、流程和文化的建设，如建立信息安全政策、培训员工、定期进行安全审计等。信息安全与风险管理的结合，有助于构建企业风险管理体系的闭环，确保风险识别、评估、监控和应对的全过程得到有效控制，提升企业的整体风险防控能力。第8章企业风险管理的未来发展趋势8.1企业风险管理的国际化趋势