企业风险管理体系构建与执行手册

企业风险管理体系构建与执行手册第1章总则1.1企业风险管理体系的定义与目标企业风险管理体系（EnterpriseRiskManagementSystem,ERMS）是指企业为实现战略目标，系统化、规范化地识别、评估、监测、应对和控制各类风险，以保障组织稳健运行和可持续发展的管理机制。这一概念最早由国际风险管理协会（IRMA）在20世纪80年代提出，强调风险管理体系应涵盖战略、财务、运营、市场等多维度风险管理活动。根据《企业风险管理——整合框架》（ERM–IntegratedFramework）中的定义，企业风险管理的目标包括风险识别、评估、应对、监控和报告，旨在提升组织的运营效率、保障利益相关者权益、实现战略目标，并在不确定性中创造价值。企业风险管理的终极目标是通过风险识别与应对，将潜在负面影响降至可接受水平，确保组织在复杂多变的商业环境中保持竞争力和稳定性。世界银行（WorldBank）和国际金融公司（IFC）在多个发展中国家的实践表明，健全的风险管理体系能够有效降低运营风险、财务风险和合规风险，提升企业抗风险能力。企业风险管理的实施需要结合组织战略，通过制度建设、流程优化和人员培训，形成风险文化，使风险管理从被动应对转向主动预防，实现风险与战略的协同。1.2企业风险管理的基本原则企业风险管理应遵循全面性原则，涵盖企业所有业务活动和潜在风险，确保风险识别与评估的完整性。企业风险管理应遵循重要性原则，优先识别和评估对战略目标、财务状况和运营效率有重大影响的风险。企业风险管理应遵循匹配性原则，风险管理策略和措施应与企业战略、资源状况和风险承受能力相匹配。企业风险管理应遵循独立性原则，风险管理职责应与业务部门分离，确保风险评估和决策不受个人或部门利益干扰。企业风险管理应遵循持续性原则，风险管理应贯穿于企业经营活动的全过程，形成动态监控和持续改进机制。1.3本手册适用范围与适用对象本手册适用于所有企业，包括但不限于制造业、金融业、信息技术、物流、能源等各类行业企业。本手册适用于企业内部的风险管理部门、业务部门及所有涉及风险识别、评估、应对和监控的人员。本手册适用于企业高层管理者、中层管理者及基层员工，作为风险管理工作的指导性文件。本手册适用于企业内外部审计、合规审查、风险管理培训等管理活动，作为风险控制的参考依据。本手册适用于企业风险管理体系的构建、执行、评估和持续改进，确保风险管理机制的有效运行。1.4企业风险管理的组织架构与职责企业应建立独立的风险管理组织，通常包括风险管理部门、战略规划部门、财务部门、运营部门等，形成跨部门协作机制。风险管理部门应负责风险识别、评估、监控和报告，制定风险管理政策和程序，确保风险管理工作的系统性。高层管理者应承担风险战略决策责任，确保风险管理与企业战略目标一致，并提供资源支持。中层管理者应负责风险识别和评估的具体实施，推动风险管理措施的落地执行，并定期进行风险评估和报告。基层员工应积极参与风险识别，报告潜在风险，并配合风险管理流程，形成全员参与的风险管理文化。第2章风险识别与评估2.1风险识别的方法与流程风险识别通常采用系统化的方法，如SWOT分析、风险矩阵法、专家访谈、头脑风暴等，以全面覆盖企业运营中的潜在风险。根据ISO31000标准，风险识别应结合企业战略目标，识别可能影响目标实现的内外部因素。企业应建立风险识别的常态化机制，定期开展风险清单更新，确保风险信息的时效性和准确性。例如，某制造业企业通过每月风险会议，结合生产、供应链、市场等模块，识别出23项关键风险点。风险识别需结合定量与定性分析，如运用FMEA（失效模式与效应分析）对设备故障、流程缺陷等进行量化评估，同时通过德尔菲法收集专家意见，增强识别的全面性。风险识别过程中，应注重风险的层次性与关联性，避免遗漏关键风险。例如，某金融企业通过建立风险图谱，发现信用风险与市场风险存在显著关联，从而提升风险识别的深度。风险识别应贯穿于企业各个业务环节，包括战略规划、项目执行、日常运营等，确保风险识别的全面性与持续性。2.2风险评估的指标与标准风险评估通常采用定量与定性相结合的方式，定量指标包括发生概率、影响程度、发生频率等，而定性指标则涉及风险的严重性、可控性等。根据ISO31000标准，风险评估应采用风险矩阵法进行量化评估。风险评估的指标应符合企业实际，如财务风险、运营风险、合规风险等，需结合行业特点和企业战略制定。例如，某零售企业根据其供应链特点，设定库存周转率、供应商交货准时率等为评估指标。风险评估标准应明确，如采用“可能性-影响”矩阵，将风险划分为低、中、高三级，其中“高”级风险需优先处理。根据《企业风险管理基本框架》（ERM），风险评估应遵循“识别-分析-评价-应对”四个阶段。风险评估需结合历史数据与当前状况，如通过统计分析、趋势预测等方法，评估风险发生的可能性及影响范围。例如，某科技公司通过历史数据发现技术更新导致的市场风险，从而调整评估标准。风险评估结果应形成书面报告，并作为风险应对策略制定的重要依据。根据《风险管理信息系统》（RMIS）的建议，评估结果需与企业决策层沟通，确保风险信息的透明与有效利用。2.3风险等级的划分与分类风险等级通常分为高、中、低三级，依据风险发生的可能性和影响程度划分。根据ISO31000标准，风险等级划分应遵循“可能性-影响”双维度，其中高风险指可能性高且影响大，低风险则反之。风险分类应结合企业实际，如将风险分为战略风险、运营风险、合规风险、市场风险等，不同类别适用不同的应对策略。例如，某跨国企业将汇率波动列为中风险，而供应链中断列为高风险。风险等级划分需结合定量与定性分析，如通过风险矩阵法计算风险值，再根据企业风险偏好进行分级。根据《企业风险管理框架》（ERM），风险等级划分应与企业战略目标一致。风险分类应贯穿于企业各个层级，如管理层、中层、基层，确保风险识别与评估的全面性。例如，某制造企业通过分层分类，确保关键岗位风险识别更加精准。风险等级划分应动态调整，根据企业内外部环境变化进行更新，确保风险评估的时效性与适应性。2.4风险信息的收集与分析风险信息的收集应覆盖企业内外部环境，包括市场、政策、技术、人员、财务等，确保信息的全面性。根据《风险管理信息系统》（RMIS）建议，信息收集应采用多源异构数据，如内部数据库、外部情报、行业报告等。风险信息的分析应采用数据挖掘、统计分析、专家判断等方法，识别潜在风险并预测发展趋势。例如，某金融机构通过大数据分析，发现客户信用风险呈上升趋势，从而提前预警。风险信息分析应注重数据的准确性与完整性，避免信息偏差。根据《风险管理实践指南》，信息分析应遵循“数据清洗-特征提取-模式识别”流程，确保分析结果的可靠性。风险信息分析应结合企业战略目标，如将风险信息与业务目标对齐，确保风险识别与应对策略的匹配性。例如，某零售企业通过分析销售数据，识别出区域市场风险，从而调整区域策略。风险信息分析结果应形成可视化报告，便于管理层快速理解并做出决策。根据《风险管理报告规范》，报告应包含风险概况、分析结论、应对建议等内容，确保信息传递的清晰与有效。第3章风险应对策略3.1风险应对的类型与方法风险应对策略通常包括规避、转移、减轻、接受四种主要类型，其中规避是指通过改变业务活动避免风险发生，如企业通过产品线调整减少市场风险；转移则是通过保险或外包将风险转移给第三方，例如企业购买责任险以应对潜在的法律风险；减轻是指采取措施降低风险发生的可能性或影响，如引入自动化系统减少人为操作失误；接受则是承认风险并制定应对措施，适用于不可控或成本过高的风险。根据风险管理理论，风险应对策略应遵循“风险-成本”平衡原则，即在风险发生后，应对措施的成本需低于潜在损失。研究表明，企业若能在风险发生前采取有效措施，可将损失降低至原损失的30%-50%（Huang,2018）。风险应对方法还包括风险量化分析，如运用蒙特卡洛模拟等工具对风险进行量化评估，帮助管理层做出更科学的决策。例如，某跨国企业通过风险矩阵分析，将风险等级分为低、中、高三级，并据此制定相应的应对策略。风险应对策略的选择需结合企业战略目标、资源状况及风险发生的概率与影响程度。根据ISO31000标准，企业应建立风险应对策略的优先级排序，优先处理高影响、高概率的风险，确保资源合理配置。企业应定期对风险应对策略进行回顾与更新，根据外部环境变化和内部管理调整，确保策略的时效性和有效性。例如，某科技公司每年对风险应对策略进行评估，结合市场趋势和政策调整，及时优化应对措施。3.2风险应对的决策流程风险应对决策流程通常包括风险识别、评估、决策、实施与监控五个阶段。风险识别阶段需通过定性与定量方法识别潜在风险，如运用SWOT分析或风险清单法；风险评估阶段则需计算风险发生概率与影响，确定风险等级。决策阶段需结合企业战略目标与资源状况，采用成本效益分析法（Cost-BenefitAnalysis）或风险矩阵进行权衡，选择最优应对策略。例如，某制造企业通过风险矩阵评估，决定采用风险转移策略应对供应链中断风险。实施阶段需制定具体的行动计划，包括责任分配、预算安排、时间表等，并确保各部门协同执行。根据ISO31000标准，应对策略的实施应包含风险应对计划、应急预案和沟通机制。监控阶段需建立风险应对效果的评估机制，定期检查应对措施是否有效，及时调整策略。例如，某金融企业通过风险监控系统，实时跟踪风险指标，确保应对措施动态调整。决策流程需贯穿于企业风险管理全过程，确保应对策略的科学性与可操作性，避免因信息不全或决策失误导致风险失控。3.3风险应对的实施与监控风险应对的实施需明确责任主体，建立风险应对团队，制定详细的行动计划和执行标准。根据风险管理框架，企业应设立风险管理办公室（RMO）负责统筹协调风险应对工作。实施过程中需注重风险的动态管理，通过定期复盘和反馈机制，确保应对措施与实际风险状况相匹配。例如，某零售企业通过季度风险复盘会议，评估应对策略的有效性并进行优化。监控应涵盖风险指标的量化评估与定性分析，如采用风险指标仪表盘（RiskDashboard）实时监控风险变化，确保风险处于可控范围内。根据《企业风险管理实务》（2020），监控应包括风险识别、评估、应对、监控和改进五个环节。监控工具可包括风险预警系统、风险评分模型和风险事件报告机制，确保风险信息的及时传递与处理。例如，某物流企业通过风险预警系统，提前发现潜在的运输风险并采取应对措施。风险应对的实施与监控需与企业战略目标相结合，确保应对策略与业务发展相一致，避免因策略脱离实际而影响企业运营。3.4风险应对的评估与改进风险应对的评估需从风险发生、应对措施效果、资源消耗等方面进行分析，判断应对策略是否达到预期目标。根据《风险管理框架》（2021），评估应包括效果评估、成本效益分析和持续改进。评估结果可为后续风险应对策略的优化提供依据，例如通过风险回顾会议分析应对措施的优缺点，并据此调整策略。某科技公司通过年度风险评估，发现其应对措施在技术风险方面效果不佳，进而调整了应对策略。改进措施应包括策略调整、流程优化、人员培训等，确保风险应对机制持续完善。根据ISO31000标准，企业应建立风险应对的持续改进机制，定期评估并更新风险应对策略。改进应结合企业实际运行情况，避免形式化管理。例如，某制造企业通过建立风险改进小组，将风险应对与绩效考核挂钩，提升员工风险意识与执行力。风险应对的评估与改进需贯穿于企业风险管理的全过程，确保风险管理体系的动态适应性和可持续性。根据《企业风险管理实务》（2020），企业应建立风险应对的闭环管理机制，实现风险的持续控制与优化。第4章风险控制与管理4.1风险控制的措施与手段风险控制措施应遵循“事前、事中、事后”三阶段管理原则，结合企业战略目标和业务流程，采用定量与定性相结合的方法，如风险矩阵、风险识别图谱、风险敞口分析等工具，确保风险识别的全面性和控制的精准性。据ISO31000标准，风险控制应基于风险评估结果，采取风险缓释、风险转移、风险减轻、风险接受等四种策略。常见的控制手段包括风险规避、风险转移、风险减轻和风险接受。例如，企业可通过保险转移部分风险，或通过合同条款转移合同风险，或通过技术手段减轻操作风险。根据《风险管理导论》（王文斌，2021），风险转移是企业应对不可控风险的有效手段之一。风险控制措施需结合企业实际，建立动态调整机制，定期评估控制效果，并根据外部环境变化进行优化。例如，供应链风险控制中，企业可通过多元化供应商、建立应急储备、加强信息共享等方式实现动态管理。风险控制应纳入企业整体管理体系，与战略规划、组织架构、内部控制等环节相衔接，形成闭环管理。根据《企业风险管理基本框架》（COSO，2017），风险控制是企业实现战略目标的重要保障。风险控制措施需具备可操作性，应结合企业资源、能力及风险等级，选择最合适的控制方式。例如，对于高风险领域，应优先采用风险规避或风险转移策略，而对于低风险领域，可采用风险接受或风险减轻策略。4.2风险控制的实施与执行风险控制的实施需明确责任分工，建立风险控制流程，确保各层级人员知晓并执行控制措施。根据《风险管理实务》（张伟，2020），风险控制应由管理层牵头，各部门协同推进，形成“谁负责、谁执行、谁监督”的责任机制。实施过程中需建立风险控制台账，记录风险识别、评估、控制、监控等全周期信息，确保数据可追溯、可审计。例如，企业可通过ERP系统实现风险数据的实时录入与分析，提升控制效率。风险控制需结合业务流程进行，确保控制措施与业务活动同步实施。根据《风险管理与内部控制》（李明，2019），风险控制应贯穿于业务流程的各个环节，避免控制措施与业务脱节。风险控制的执行需定期开展培训与演练，提升员工的风险意识与应对能力。例如，企业可定期组织风险识别与应对演练，强化员工对风险事件的应对能力。风险控制的执行应建立反馈机制，及时发现并纠正执行偏差。根据《风险管理实践指南》（王强，2022），通过定期评估与绩效考核，确保控制措施的有效性与持续性。4.3风险控制的监督与审计风险控制的监督应由独立部门或第三方机构进行，确保监督的客观性和公正性。根据《内部审计准则》（CISA，2021），内部审计是企业风险控制的重要监督手段，可对控制措施的执行效果进行评估。监督应涵盖风险识别、评估、控制、监控等全周期，确保控制措施的落实。例如，企业可通过定期审计检查风险控制措施是否按计划执行，是否存在遗漏或失效。审计结果应形成报告，为管理层提供决策依据，同时为后续风险控制提供改进方向。根据《企业风险管理审计指南》（李华，2020），审计报告应包括风险控制的效果、存在的问题及改进建议。审计应结合定量与定性方法，如风险指标分析、案例研究、访谈等，确保审计的全面性与深度。例如，企业可通过数据分析识别风险控制中的薄弱环节，为优化控制措施提供依据。审计结果需纳入企业绩效考核体系，确保风险控制的持续改进。根据《风险管理绩效评估体系》（张丽，2021），审计结果应作为企业风险管理绩效的重要指标，推动风险控制机制的优化。4.4风险控制的持续改进机制风险控制需建立持续改进机制，通过定期评估与反馈，不断提升控制效果。根据《风险管理持续改进指南》（王强，2022），企业应建立风险控制的PDCA循环（计划-执行-检查-处理），确保控制措施不断优化。持续改进应结合企业战略目标和外部环境变化，动态调整风险控制策略。例如，企业可建立风险控制的改进小组，定期分析风险数据，提出优化建议。持续改进应纳入企业绩效管理，将风险控制成效与员工绩效、部门考核挂钩，提升全员参与度。根据《企业绩效管理实务》（李明，2019），绩效考核应包括风险控制的指标，确保控制措施的有效性。持续改进需建立风险控制的反馈与激励机制，鼓励员工提出风险控制建议，形成全员参与的管理氛围。例如，企业可通过风险控制奖励机制，激发员工主动识别和应对风险的积极性。持续改进应形成制度化、标准化流程，确保风险控制机制的长期有效运行。根据《风险管理制度建设指南》（张伟，2020），企业应制定风险控制的标准化操作流程，确保控制措施的统一性和可执行性。第5章风险报告与沟通5.1风险报告的编制与发布风险报告应遵循企业风险管理体系的标准化流程，依据风险事件的严重性、影响范围及发生频率进行分级分类，确保信息的准确性和时效性。根据ISO31000标准，风险报告应包含风险识别、评估、应对及监控等全过程信息，体现风险的动态管理特性。风险报告通常由风险管理部门牵头编制，结合定量与定性分析方法，采用表格、图表及文字描述相结合的方式呈现。企业应建立风险报告模板，确保各层级（如战略层、管理层、执行层）信息的可比性与一致性，避免信息孤岛现象。风险报告需在规定时间内发布，一般包括风险事件概述、影响分析、应对措施及后续监控计划等内容。5.2风险报告的频率与内容风险报告的频率应与企业运营周期及风险变化的节奏相匹配，通常按周、月或季度进行定期发布，确保风险信息的持续追踪。根据《企业风险管理成熟度模型》（ERM），风险报告内容应涵盖风险识别、评估、应对及监控四个阶段，确保全面覆盖风险管理全周期。重要风险事件发生后，应立即启动专项风险报告，内容包括事件背景、影响评估、应对措施及后续风险预警。风险报告应包含定量数据（如概率、影响等级）与定性分析（如风险等级、潜在后果），提升信息的说服力与决策支持能力。企业应根据业务特点制定风险报告的标准化内容框架，确保报告的结构清晰、逻辑严密，便于管理层快速获取关键信息。5.3风险报告的沟通机制风险报告的沟通应建立多层级机制，包括管理层、业务部门及外部利益相关者，确保信息在不同层级间有效传递。根据《风险管理信息沟通指南》，企业应明确风险报告的接收人及沟通渠道，如内部会议、邮件、信息系统等，确保信息的及时性与可追溯性。风险报告应通过定期会议、风险通报会及专项沟通会等形式进行传达，确保关键信息在组织内部形成共识。风险沟通应注重信息的透明度与可理解性，避免使用过于专业的术语，同时结合案例说明增强说服力。企业应建立风险报告反馈机制，收集各部门对报告内容、形式及时效性的反馈，持续优化沟通流程。5.4风险报告的反馈与改进风险报告的反馈应涵盖内容、形式、时效及执行效果等方面，确保信息的实用性和可操作性。根据《风险管理评估与改进指南》，企业应定期对风险报告进行评估，识别存在的问题并提出改进建议。风险报告的改进应结合企业风险管理体系的迭代升级，如引入大数据分析、预测模型等技术手段，提升报告的精准度与效率。企业应建立风险报告改进的闭环机制，从反馈、分析、优化到实施，形成持续改进的良性循环。风险报告的改进需与企业战略目标相一致，确保报告内容与企业风险管理能力相匹配，推动风险管理体系的动态优化。第6章风险管理的监督与考核6.1风险管理的监督机制风险管理的监督机制应建立以风险识别、评估、应对、监控为闭环的动态管理流程，确保风险控制措施的有效性与持续性。根据ISO31000标准，风险管理的监督应涵盖风险识别、评估、应对、监控及改进等关键环节，形成闭环管理。监督机制需设立独立的监督部门或岗位，由具备风险管理专业背景的人员负责，确保监督过程的客观性与权威性。文献指出，独立监督可有效减少内部干扰，提升风险控制的科学性与公正性。建议采用定期检查与不定期抽查相结合的方式，结合风险等级与业务复杂度制定监督频率，确保风险控制措施落实到位。例如，高风险业务可每季度进行一次全面检查，低风险业务可每半年进行一次抽查。监督结果应形成书面报告，并纳入绩效考核体系，作为管理层决策的重要依据。研究表明，监督结果的透明化与数据化有助于提升组织对风险的敏感度与响应能力。需建立风险监督的反馈机制，鼓励员工提出风险控制中的问题与建议，形成全员参与的监督文化，提升风险管理的实效性。6.2风险管理的考核标准与方法考核标准应涵盖风险识别准确性、风险评估的科学性、风险应对措施的有效性及风险控制效果的可衡量性。根据ISO31000标准，风险管理的考核应从四个维度进行：风险识别、评估、应对、监控。考核方法可采用定量与定性相结合的方式，如风险矩阵、风险评分表、风险事件记录等，确保考核的客观性与可操作性。文献显示，定量评估可提高风险识别的精确度，而定性评估则有助于全面了解风险的复杂性。考核结果应与员工绩效、部门责任划分及管理层决策挂钩，形成激励与约束机制。研究表明，将风险管理纳入绩效考核体系，可有效提升员工的风险意识与责任意识。考核周期应根据风险等级与业务特点设定，高风险业务可每季度考核，低风险业务可每半年考核，确保考核的及时性与针对性。考核结果应作为后续风险控制措施优化与培训的重要依据，推动风险管理能力的持续提升。6.3风险管理的考核结果应用考核结果应作为风险控制措施调整与资源配置优化的重要参考依据，确保资源投入与风险应对措施相匹配。文献指出，基于考核结果的资源配置优化，可显著提升风险管理的效率与效果。考核结果应反馈至相关部门与人员，形成整改闭环，确保问题得到及时发现与纠正。研究表明，考核结果的及时反馈可有效减少风险积累与损失扩大。考核结果应与员工晋升、奖惩机制挂钩，形成正向激励，提升员工对风险管理的重视程度与参与度。根据企业实践，考核结果的应用可显著提升员工的风险管理意识与执行力。考核结果应作为后续风险管理体系优化的重要依据，推动风险管理机制的持续改进与完善。文献显示，基于考核结果的体系优化，可有效提升风险管理的科学性与有效性。考核结果应定期汇总分析，形成风险管理的改进报告，为管理层提供决策支持，确保风险管理机制的动态调整与持续优化。6.4风险管理的持续优化机制持续优化机制应建立在风险管理体系的动态调整基础上，结合内外部环境变化与风险管理实践反馈，不断优化风险识别、评估、应对与监控流程。根据ISO31000标准，风险管理应实现持续改进，形成PDCA循环（计划-执行-检查-处理）。优化机制应设立专门的优化小组，由风险管理专家、业务部门代表及外部顾问组成，定期评估风险管理流程的有效性与适用性。研究表明，建立专业小组可有效提升风险管理的科学性与前瞻性。优化内容应包括风险识别的广度与深度、风险评估的准确性、风险应对的灵活性及风险监控的及时性。根据企业实践，优化机制应注重风险识别的前瞻性与风险应对的针对性。优化结果应形成标准化的改进方案，并纳入风险管理手册与操作流程，确保优化成果的可复制与可推广。文献显示，标准化的优化方案有助于提升风险管理的规范性与一致性。持续优化机制应与组织战略目标相结合，确保风险管理与企业发展战略相匹配，提升组织整体风险防控能力。研究表明，与战略目标一致的优化机制，可有效提升风险管理的协同效应与战略价值。第7章风险管理的培训与文化建设7.1风险管理的培训体系建立系统化的培训体系是企业风险管理体系的重要组成部分，应遵循“全员参与、分层分类、持续改进”的原则，确保所有岗位人员均接受必要的风险知识培训。培训体系应涵盖风险识别、评估、应对及监控等全过程，结合企业实际业务场景，采用“理论+实践”相结合的方式，提升员工风险意识与应对能力。培训内容需符合ISO31000风险管理标准，结合企业风险矩阵、风险事件案例分析等工具，增强培训的科学性和实用性。建议设立培训考核机制，将培训效果纳入绩效考核，确保培训内容真正转化为员工的风险管理能力。企业应定期评估培训体系的有效性，根据业务发展和风险变化调整培训内容与形式，保持培训的时效性和针对性。7.2风险管理的培训内容与形式培训内容应包括风险识别方法（如SWOT分析、风险矩阵）、风险评估工具（如风险等级评估、定量分析）、风险应对策略（如风险转移、规避、减轻、接受）等。培训形式应多样化，包括线上课程、线下研讨会、案例模拟、角色扮演、外部专家讲座等，以提高培训的吸引力和参与度。企业可引入外部专业机构进行风险培训，确保培训内容的权威性和专业性，提升员工的风险管理能力。培训应注重实操能力的培养，如风险识别工具的使用、风险应对方案的制定与演练，增强员工的实际操作能力。建议每季度开展一次全员风险培训，结合企业年度风险评估结果，针对性地开展专项培训，提升员工的风险意识。7.3风险管理的文化建设风险管理文化建设是企业风险管理体系落地的关键，应将风险管理理念融入企业核心价值观和文化之中，形成“风险意识强、责任意识高”的组织文化。企业应通过宣传栏、内部刊物、培训会等方式，持续传播风险管理的重要性，营造“人人关注风险、人人参与风险防