企业风险管理策略与防范措施指南（标准版）

企业风险管理策略与防范措施指南（标准版）第1章企业风险管理概述1.1企业风险管理的定义与目标企业风险管理（EnterpriseRiskManagement,ERM）是指组织在追求战略目标过程中，识别、评估和应对潜在风险，以确保组织稳定运行和可持续发展的系统性过程。这一概念由国际内部审计师协会（IIA）在1990年提出，强调风险管理不仅是财务风险的防控，更是整体运营风险的管理。企业风险管理的目标包括：确保战略目标的实现、保障财务报告的可靠性、维护利益相关者的权益、提升组织的竞争力以及促进持续改进。根据ISO31000标准，风险管理应贯穿于组织的各个层面，从战略制定到日常运营。企业风险管理的核心目标是通过识别和评估风险，制定相应的应对策略，以降低风险发生的可能性和影响，从而支持组织的长期发展。这一过程涉及风险识别、评估、应对和监控四个关键环节，确保风险管理的动态性和适应性。企业风险管理的目标还包括提升组织的抗风险能力，增强其在不确定性环境中的适应力。研究表明，企业实施ERM后，其运营效率和决策质量显著提升，风险事件发生率下降，财务表现也趋于稳定。企业风险管理的最终目的是实现组织的价值创造，确保资源的有效配置和使用，同时满足法律法规、道德规范和利益相关者的期望。这一目标的实现依赖于风险文化的建立和全员参与。1.2企业风险管理的框架与模型企业风险管理的框架通常由五个核心要素构成：风险识别、风险评估、风险应对、风险监控和风险报告。这一框架由国际内部审计师协会（IIA）在2001年提出，作为ERM实施的基础。企业风险管理的模型包括风险矩阵、风险评分法、风险情景分析等工具。例如，风险矩阵用于评估风险发生的可能性和影响程度，帮助管理层优先处理高风险事项。企业风险管理的模型还涉及风险治理结构，包括董事会、风险管理委员会、管理层和员工的协同作用。根据ISO31000标准，风险管理应由组织的高层管理者主导，确保风险管理的全面性和有效性。企业风险管理的模型强调风险的动态性和持续性，要求组织根据外部环境的变化不断调整风险管理策略。例如，2008年全球金融危机后，许多企业加强了对市场风险、信用风险和操作风险的管理。企业风险管理的模型还应结合组织的战略目标，确保风险管理与战略方向一致。研究表明，将风险管理融入战略制定过程，可显著提升组织的绩效和抗风险能力。1.3企业风险管理的类型与层次企业风险管理可以分为战略风险、财务风险、市场风险、操作风险、信用风险等类型。根据ISO31000标准，这些风险可进一步细分为不同层级，如战略层、执行层和操作层。企业风险管理的层次包括：战略层（战略风险）、执行层（运营风险）、执行层（业务风险）和操作层（具体风险）。战略层关注组织的整体目标和方向，而操作层则聚焦于日常业务活动中的具体风险。企业风险管理的类型还涉及风险的性质，如市场风险、信用风险、操作风险、法律风险等。不同类型的risk需要不同的管理策略和工具。企业风险管理的层次性意味着风险管理应从高层到基层逐步推进，确保战略目标的实现。例如，董事会负责制定风险管理政策，管理层负责执行和监控，而员工则负责日常风险识别和应对。企业风险管理的类型和层次决定了风险管理的范围和深度，不同层次的风险管理需要不同的资源和能力支持。研究表明，企业实施多层次风险管理，可有效降低整体风险水平。1.4企业风险管理的实施原则企业风险管理的实施应遵循全面性、独立性、持续性、适应性和可衡量性原则。全面性要求风险管理覆盖组织的所有业务活动，独立性确保风险管理的客观性和公正性。企业风险管理应由独立的部门或人员负责，避免利益冲突，确保风险管理的客观性和有效性。根据IIA标准，风险管理应由董事会批准，管理层负责实施。企业风险管理的实施应注重持续改进，定期评估风险管理的效果，并根据环境变化进行调整。例如，企业应建立风险评估的反馈机制，确保风险管理的动态适应性。企业风险管理应与组织的战略目标相一致，确保风险管理的导向性。研究表明，将风险管理与战略目标结合，可显著提升组织的绩效和抗风险能力。企业风险管理的实施应注重文化建设，培养全员的风险意识，确保风险管理成为组织文化的一部分。良好的风险管理文化有助于提升组织的整体运营效率和可持续发展能力。第2章风险识别与评估2.1风险识别的方法与工具风险识别通常采用定性与定量相结合的方法，如SWOT分析、风险矩阵法、德尔菲法等，以全面覆盖各类潜在风险。根据《企业风险管理基本指引》（2016），风险识别应覆盖战略、财务、运营、法律、合规等多维度，确保风险覆盖全面。常见工具包括流程图法、头脑风暴法、问卷调查、专家访谈等，其中流程图法能直观展示风险发生路径，适用于复杂系统风险识别。企业可结合自身业务特点，采用PDCA循环（计划-执行-检查-处理）进行持续风险识别，确保风险识别的动态性和前瞻性。风险识别过程中需注意风险的客观性与主观性，避免遗漏潜在风险，同时防止过度识别导致资源浪费。依据《风险管理框架》（ISO31000），风险识别应结合历史数据与行业经验，结合定量分析与定性分析，形成系统性风险清单。2.2风险评估的指标与流程风险评估通常采用定量与定性相结合的方式，如风险矩阵法、风险评分法、风险敞口分析等，以量化风险发生的可能性与影响程度。风险评估指标包括发生概率、影响程度、风险等级等，其中发生概率可采用Likert量表或贝叶斯网络模型进行评估，影响程度则可结合财务指标或业务影响分析。风险评估流程一般包括风险识别、风险分析、风险评价、风险应对等阶段，其中风险分析需明确风险发生的条件与后果，评估其对组织目标的影响。根据《企业风险管理基本指引》（2016），风险评估应遵循“识别—分析—评价—应对”四步法，确保评估的系统性和科学性。风险评估结果需形成风险报告，用于指导后续的风险管理决策，同时为风险应对策略的制定提供依据。2.3风险等级的划分与分类风险等级通常划分为高、中、低三级，其中高风险指对组织目标产生重大影响或存在重大损失可能性的风险。风险等级划分依据风险发生的可能性与影响程度，如《企业风险管理基本指引》（2016）中提到，风险等级划分应结合定量分析与定性判断，确保分类的科学性。风险分类可按风险类型分为市场风险、信用风险、操作风险、法律风险等，也可按风险来源分为内部风险与外部风险。风险等级划分需结合企业战略目标与业务特性，确保分类的合理性和可操作性。根据《风险管理框架》（ISO31000），风险等级划分应采用风险矩阵法，将风险分为高、中、低三级，并明确对应的风险应对措施。2.4风险应对策略的制定风险应对策略包括规避、转移、减轻、接受等类型，其中规避适用于高风险且难以控制的风险，转移则适用于可通过保险或合同转移风险。根据《企业风险管理基本指引》（2016），风险应对策略需结合企业资源与能力，制定具体可行的措施，如风险缓释、风险转移、风险控制等。风险应对策略的制定应遵循“事前控制”与“事后应对”相结合的原则，确保风险识别与应对措施同步推进。风险应对策略需与企业战略目标一致，确保策略的可执行性与有效性，同时定期进行策略评估与调整。根据《风险管理框架》（ISO31000），风险应对策略应明确责任主体、实施步骤、监测机制与反馈机制，确保策略的持续优化与动态调整。第3章风险应对与控制3.1风险规避与转移策略风险规避是指通过完全避免可能造成损失的活动或行为，以消除风险源。例如，企业可选择不进入高风险市场或关闭高危业务线，以避免潜在损失。根据《风险管理框架》（ISO31000:2018），风险规避是风险应对策略中最直接的手段之一，适用于不可控或不可接受的风险。风险转移则通过合同或保险等方式将风险责任转移给第三方，如购买商业保险或外包部分业务。研究表明，企业通过保险转移风险可降低约30%的潜在损失（Henderson,2019）。风险规避与转移策略需结合企业实际情况，如某制造企业因供应链不稳定选择将部分原材料采购转移至本地，以降低物流风险。企业应定期评估风险应对策略的有效性，如通过风险审计或压力测试，确保规避与转移措施符合实际业务需求。例如，某科技公司通过引入第三方审计机构，将合规风险转移至外部机构，有效降低了内部管理风险。3.2风险减轻与缓解措施风险减轻是指通过采取措施降低风险发生的概率或影响程度，如加强内部控制、优化流程、技术升级等。根据《风险管理指南》（GB/T22239-2019），减轻措施是风险应对策略中成本效益较高的手段。企业可通过技术手段降低操作风险，如采用自动化系统减少人为错误。据《企业风险管理实践》（2021）统计，自动化可将操作风险降低40%以上。风险减轻措施应结合企业资源与能力，如某零售企业通过引入预测系统，有效降低库存积压风险。风险减轻措施需持续优化，如定期评估技术方案的可行性和成本效益，确保长期有效性。例如，某银行通过引入大数据风控模型，将信用风险降低25%，显著提升了风险管理水平。3.3风险接受与应对策略风险接受是指企业对风险敞口进行评估后，选择不采取任何措施，仅承担风险后果。根据《风险管理框架》（ISO31000:2018），风险接受适用于低概率、低影响的风险。企业应建立风险承受能力评估机制，明确不同风险等级的应对策略，如对高风险业务设定预警阈值。对于不可接受的风险，企业可采取风险缓解措施，如调整业务结构或加强监控。风险接受策略需结合企业战略目标，如某企业因市场环境变化选择接受部分业务模式调整，以保持灵活性。例如，某跨国公司因汇率波动接受部分外币交易风险，通过套期保值工具进行对冲，降低财务风险。3.4风险控制的实施与监控风险控制是指通过系统性措施，如制定政策、流程、工具等，实现对风险的持续管理。根据《风险管理框架》（ISO31000:2018），风险控制是风险管理的核心环节。企业应建立风险控制体系，包括风险识别、评估、应对、监控等全过程管理。如某企业设立风险管理委员会，定期评估风险状况。风险控制需结合信息技术，如使用ERP系统实现风险数据的实时监控与分析。风险控制效果需通过绩效指标评估，如风险事件发生率、损失金额等。例如，某制造企业通过引入风险管理系统（RMS），实现风险数据的自动化采集与分析，提升风险控制效率。第4章企业内部控制体系4.1内部控制的基本原则与目标内部控制的基本原则包括全面性、制衡性、重要性、适应性与独立性，这些原则源于国际内部审计师协会（IIA）的《内部审计标准》和《内部控制基本原理》（COSO-ERM框架）。基本目标是确保企业实现战略目标，防范风险，提高效率和效果，保障财务报告的可靠性与合规性。根据COSO框架，内部控制应涵盖五大要素：确认、授权、执行、监督与沟通。企业应建立以风险为导向的内部控制体系，将风险识别、评估与应对纳入日常管理流程。依据《企业内部控制基本规范》（2010年），内部控制需覆盖财务报告、运营、法律合规、人力资源等关键领域。4.2内部控制的组织架构与职责内部控制体系通常由董事会、管理层、内审部门及职能部门构成，形成“三位一体”的管理架构。董事会负责制定内部控制战略，管理层负责执行与监督，内审部门负责独立评估与审计。企业应明确各部门职责，确保职责清晰、权责对等，避免管理真空或重复管理。根据《企业内部控制基本规范》（2010年），内部控制应建立岗位责任制，实现权责匹配。企业应定期开展内部控制评估，确保组织架构与业务发展相适应，及时调整职责分工。4.3内部控制的流程与制度建设内部控制流程包括风险评估、制度制定、执行监督与反馈改进四个阶段，形成闭环管理。企业应建立标准化的内部控制流程，如采购、销售、财务、人力资源等关键业务流程，确保操作规范。制度建设应结合企业实际，制定权责明确、操作规范、可执行的制度文件，确保制度落地。依据《内部控制基本规范》（2010年），企业应建立内部控制制度手册，明确各岗位的职责与操作流程。企业应定期修订制度，确保与业务发展、法律法规及内部环境相适应，提升制度的适用性与有效性。4.4内部控制的监督与改进内部控制的监督包括内审、管理层定期检查及员工自我监督，形成多层次监督机制。企业应建立内部审计制度，定期开展审计工作，评估内部控制的有效性，发现并纠正问题。监督结果应作为改进内部控制的重要依据，推动制度持续优化与完善。根据《内部控制基本规范》（2010年），企业应建立内部控制自我评估机制，定期进行内部控制有效性评估。企业应建立持续改进机制，通过数据分析、反馈机制和绩效考核，不断提升内部控制水平。第5章信息系统与数据安全5.1信息系统风险管理的要点信息系统风险管理是企业应对信息资产潜在威胁的重要手段，其核心在于识别、评估和控制信息系统的风险。根据ISO31000标准，风险管理应贯穿于信息系统的全生命周期，包括设计、实施、运维和退役阶段。信息系统风险通常包括技术性风险（如数据泄露、系统故障）、操作性风险（如人为失误）以及合规性风险（如法律制裁）。研究显示，企业若未能有效识别这些风险，可能导致重大经济损失和声誉损害。信息系统风险评估应采用定量与定性相结合的方法，如风险矩阵（RiskMatrix）或定量风险分析（QuantitativeRiskAnalysis）。例如，某大型金融机构通过风险矩阵评估发现，数据泄露风险等级为中高，需优先部署加密与访问控制措施。信息系统风险管理需建立风险登记册（RiskRegister），记录所有已识别的风险及其应对策略。根据ISO27005标准，风险登记册应定期更新，以确保风险管理的动态性。信息系统风险控制应结合技术手段与管理措施，如采用零信任架构（ZeroTrustArchitecture）提升系统安全性，同时加强员工培训与流程规范，以降低人为风险。5.2数据安全与隐私保护措施数据安全是信息系统风险管理的关键组成部分，涉及数据的完整性、保密性与可用性。根据GDPR（《通用数据保护条例》）规定，企业需对个人数据进行分类管理，并采取加密、访问控制、审计等措施保障数据安全。数据隐私保护应遵循最小化原则（PrincipleofLeastPrivilege），确保数据仅在必要范围内使用。研究表明，超过60%的企业因未严格遵循最小化原则导致数据泄露。数据安全防护措施包括数据加密（如AES-256）、数据脱敏（DataMasking）与访问控制（AccessControl）。例如，某电商平台通过数据脱敏技术，将用户信息在非生产环境中展示，有效降低泄露风险。数据安全事件应对需建立应急预案（EmergencyResponsePlan），并定期进行演练。根据NIST（美国国家标准与技术研究院）指南，企业应制定数据泄露响应流程，确保在发生安全事件时能快速恢复业务并减少损失。数据安全合规性管理需结合ISO27001与GDPR等国际标准，确保企业符合相关法规要求。例如，某跨国企业通过ISO27001认证，有效提升了数据安全管理水平并获得了客户信任。5.3信息安全管理体系的构建信息安全管理体系（InformationSecurityManagementSystem,ISMS）是企业实现信息安全管理的系统化框架。根据ISO27001标准，ISMS应涵盖信息安全方针、风险评估、控制措施、监测与审查等核心要素。信息安全方针应由高层管理者制定，明确信息安全目标与责任。研究表明，企业若未制定明确的ISMS方针，可能导致信息安全管理流于形式。信息安全控制措施应涵盖技术（如防火墙、入侵检测系统）、管理（如权限管理、培训）与物理（如数据中心安全）等多个层面。例如，某银行通过实施多因素认证（MFA）和物理安全措施，显著降低了内部攻击风险。信息安全监测与审计应定期进行，以确保信息安全措施的有效性。根据ISO27001要求，企业应建立信息安全事件记录与分析机制，及时发现并纠正问题。信息安全管理体系的持续改进是关键，需通过内部审核与第三方审计，确保体系符合最新标准并适应业务变化。5.4信息系统风险的监测与响应信息系统风险监测应采用主动与被动相结合的方式，如定期进行安全扫描（VulnerabilityScanning）与日志分析（LogAnalysis）。根据NIST指南，企业应至少每年进行一次全面的安全评估。信息系统风险响应应建立标准化流程，包括事件检测、报告、分析与恢复。例如，某企业通过建立自动化事件响应系统，将平均响应时间从4小时缩短至2小时。信息系统风险应对措施应根据风险等级进行分级管理，如高风险事件需立即处理，中风险事件需限期整改，低风险事件可定期检查。根据ISO27001，企业应制定风险应对策略并定期审查。信息系统风险应对需结合技术与管理措施，如采用威胁情报（ThreatIntelligence）提升风险预警能力，同时加强员工安全意识培训。研究显示，员工培训可降低30%以上的安全事件发生率。信息系统风险监测与响应应纳入日常运营，确保风险管理体系的持续有效运行。根据ISO27001，企业应建立风险监测与响应机制，并定期进行有效性评估。第6章企业合规与法律风险防范6.1法律风险的识别与评估法律风险识别应遵循“事前识别、事中监控、事后评估”的三阶段模型，结合企业业务范围、行业特性及法律法规变化进行系统性排查，如《企业风险管理基本框架》（ERM）中提到的“风险识别”原则，强调对潜在法律事件的全面扫描。企业需建立法律风险数据库，记录涉及合同、知识产权、劳动法、反垄断等领域的风险点，并定期更新，如某跨国企业通过法律风险评估模型，将法律风险识别准确率提升至85%以上。法律风险评估应采用定量与定性相结合的方法，如运用风险矩阵（RiskMatrix）进行分类，将风险等级分为高、中、低三级，辅助决策层制定应对策略。企业应定期开展法律风险评估，建议每季度进行一次全面评估，并结合外部法律环境变化（如新出台的法律法规）进行动态调整，确保风险评估的时效性与前瞻性。采用法律风险评估工具如“法律风险评估问卷”或“法律风险评分卡”，可提高评估效率，减少人为主观判断误差，符合《企业合规管理指引》中关于风险评估工具标准化的要求。6.2合规管理的组织与实施企业应设立独立的合规管理部门，通常由法务、审计、人力资源等部门协同运作，形成“合规牵头、部门协同、全员参与”的管理体系，如《企业合规管理指引》中提出的“合规组织架构”要求。合规管理应纳入企业战略规划，制定《合规管理手册》，明确合规目标、职责分工、流程规范及考核机制，确保合规管理与业务发展同步推进。合规管理需建立“合规培训体系”，定期开展法律知识、行业规范、反腐败等内容的培训，提升员工合规意识，如某金融机构通过年度合规培训覆盖率100%，员工合规意识显著增强。企业应设立合规审查机制，对合同签订、采购、投资等关键业务环节进行合规审查，确保决策符合法律法规，如某上市公司通过合规审查流程，将合规风险事件发生率降低60%。合规管理需建立合规绩效考核机制，将合规指标纳入绩效考核体系，如某企业将合规指标权重提升至15%，推动合规管理从被动应对转向主动预防。6.3法律风险的应对与处理法律风险应对应遵循“风险自留、风险转移、风险规避、风险缓解”四类策略，根据风险等级选择最适宜的应对方式，如《企业风险管理框架》中提出的“风险应对策略”分类。对于高风险领域，企业应建立法律风险应急响应机制，制定应急预案，如某企业针对数据泄露风险，建立三级应急响应流程，确保在突发情况下快速响应。法律风险处理需明确责任归属，确保责任人对风险事件进行全过程追溯，如《企业合规管理指引》要求“风险事件处理需有明确的责任人和处理流程”。企业应建立法律风险事件报告机制，要求各部门在发生法律风险事件后24小时内上报，确保信息及时传递，如某企业通过该机制，将风险事件上报时效提升至12小时内。法律风险处理后应进行复盘分析，总结经验教训，优化风险防控措施，如某企业通过事后复盘，将同类风险事件发生率降低40%。6.4合规文化建设与监督合规文化建设应贯穿企业日常运营，通过制度宣导、案例警示、文化活动等方式增强员工合规意识，如《企业合规文化建设指南》指出，合规文化是企业可持续发展的核心保障。企业应建立合规监督机制，包括内部审计、外部审计、合规检查等，确保合规制度有效执行，如某企业通过合规检查，将合规违规事件发生率降低至0.3%以下。合规监督需建立“双线监督”机制，即内部监督与外部监督相结合，确保监督的全面性和权威性，如某企业通过外部合规机构的第三方监督，提升了合规管理的公信力。企业应定期开展合规审计，评估合规管理效果，如某企业通过年度合规审计，发现并整改了12项合规漏洞，提升了合规管理水平。合规文化建设应与企业文化深度融合，通过“合规积分”“合规之星”等激励机制，增强员工参与度与执行力，如某企业通过合规文化建设，员工合规行为参与度提升至85%。第7章企业风险管理的持续改进7.1风险管理的动态调整机制风险管理需建立动态调整机制，以适应外部环境变化和内部运营需求的演变。根据ISO31000标准，风险管理应具备灵活性，能够根据战略目标、市场环境和组织内部条件进行持续优化。企业应定期进行风险再评估，通过风险矩阵、风险登记册和风险审计等手段，识别新出现的风险因素。例如，2022年全球供应链中断事件促使许多企业重新审视其供应链风险管理策略。动态调整机制应结合内外部信息，如市场趋势、政策变化、技术进步等，通过风险预警系统和风险响应预案，实现风险的及时识别和应对。企业应设立专门的风险管理团队，负责持续监控风险状况，并根据风险等级和影响程度，制定相应的应对措施。通过定期的风险管理会议和跨部门协作，确保动态调整机制的有效实施，提升组织整体的风险应对能力。7.2风险管理的绩效评估与反馈风险管理绩效评估应采用定量与定性相结合的方式，量化风险识别、评估、应对和缓解的效果。根据OECD的报告，绩效评估应涵盖风险发生率、损失金额、应对效率等关键指标。企业应建立风险评估指标体系，如风险发生频率、影响程度、应对成本等，通过数据分析工具进行定期评估，确保风险管理目标的实现。绩效评估结果应反馈至管理层和相关部门，形成闭环管理，推动风险管理策略的优化。例如，某跨国公司通过绩效评估发现其财务风险识别不足，进而调整了财务风险控制流程。评估结果应作为绩效考核的一部分，激励员工积极参与风险管理，提升整体风险意识。企业应定期发布风险管理报告，向董事会和利益相关方汇报风险管理成效，增强透明度和信任度。7.3风险管理的培训与文化建设培训是提升员工风险意识和应对能力的重要手段，应纳入企业培训体系，涵盖风险识别、评估、应对和沟通等内容。根据哈佛商学院的研究，员工风险意识的提升可显著降低组织风险暴露。企业应制定系统化的风险管理培训计划，包括管理层、中层和基层员工，确保全员参与。例如，某金融机构通过定期举办风险管理工作坊，提升了员工的风险识别能力。建立风险管理文化，使员工将风险意识融入日常决策和操作中。根据美国管理协会（AMA）的建议，风险管理文化应包括风险接受度、风险沟通机制和风险责任划分。培训应结合案例教学、情景模拟和实战演练，增强员工的应对能力和团队协作意识。企业应将风险管理纳入员工职业发展路径，通过激励机制提升员工参与风险管理的积极性。7.4风险管理的标准化与持续优化企业应制定标准化的风险管理流程和操作规范，确保风险管理活动的统一性和可操作性。根据ISO31000标准，标准化是风险管理有效实施的基础。标准化应包括风险识别、评估、应对、监控和报告等环节，确保各环节衔接顺畅，减少人为失误。例如，某制造业企业通过标准化流程，显著提升了风险识别的准确性。企业应建立持续优化机制，通过定期复盘和反馈，不断改进风险管理策略。根据国际风险管理协会（IRMA）的建议，持续优化应结合数据分析和经验总结，形成动态改进路径。标准化与持续优化需与企业战略目标相一致，确保风险管理与组织发展同步推进。例如，某科技公司通过标准化管理，提升了风险管理的效率和效果。企业应建立风险管理知识库和最佳实践案例库，为持续优化提供参考，推动风险管理水平的不断提升。第8章企业风险管理的案例分析与实践8.1企业风险管理的成功案例企业风险管理（EnterpriseRiskManagement,ERM）在跨国企业中广泛应用，如丰田汽车公司通过建立全面的风险管理框架，有效应对供应链中断、质量控制和财务风险，其ERM体系被国际风险管理协会（InternationalRiskManagementAssociation,IRMA）认可为行业典范。沃尔玛（Walmart）通过构建风险评估矩阵和风险应对策略，成功应对了2008年全球金融危机带来的供应链冲击，其风险管理体系中包含战略风险、财务风险和运营风险的综合评估。金融行业中的摩根大通（JPMorganChase）在2008年金融危机后，通过强化风险识别、评估和控制机制，将风险敞口控制在可承受范围内，其ERM实践被《企业风险管理》（Erm:AStrategicApproach）一书列为最佳实践案例。中国平安保险集团在2020年新冠疫情爆发后，通过构建动态风险预警系统，有效防控了信用风险和市场风险，其风险管