斯坦福大学研究院的企业全面风险管理框架
斯坦福大学研究院提出的是企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）框架。

企业全面风险管理（CERM：Comprehensive Enterprises Risk Management）强调通过量化分析支撑下的决策分析，在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下，COSO风险管理框架以内控为中心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内控体系，完善风险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升风险管理的效率和效果，最终帮助企业实现风险管理的各项目标，包括：
•建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系；
•利用系统的、科学的方法对各类风险进行识别和分析 ；
•将风险应对措施落实到企业的制度、组织、流程和职能当中；
•形成企业风险管理战略，支持企业经营战略目标的实现 ；
•使所有企业利益相关人了解企业的风险，满足股东以及监管机构的要求。


拓展阅读：

全面把握企业全面风险管理的基本流程与要求

企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制，需要建立科学的全面风险管理流程，保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作，《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作，具体包括：

（一）收集风险管理初始信息

收集风险管理初始信息是企业全面风险管理的首要环节，其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。

不同的风险，源于企业内外不同方面，而且随时随地都有可能发生。因此，收集风险管理初始信息应该贯穿于企业所有的业务单位，并且作为一项经常性工作。它要求企业有效地建立风险信息收集与管理系统，广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。

（二）进行风险评估

企业风险评估，是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估，具体包括风险识别、风险分析和风险评价三个步骤，其目的在于查找和描述企业风险，评价所识别出的各种风险对企业实现目标的影响程度和风险价值，给出风险控制的优先次序等。

风险识别、风险分析和风险评价，是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行，也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何，都要采取定性与定量相结合的方法，如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率，还要统一制定各种风险度量单位和风险评估模型，要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系，也要进行必要的相关分析，以便对各种风险进行集中管理。此外，风险评估也是一项经常性工作，需要进行动态管理。

（三）制定风险管理策略
制定风险管理策略，就是根据内外条件，对所识别出的各种风险，按照所给出的优先次序。围绕企业目标与战略，确定风险偏好、风险承受度和风险管理有效性标准，选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具，确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节，决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性，对不适当的风险管理策略进行及时的修正或调整。

（四）提出和实施风险管理解决方案
提出和实施风险管理解决方案，就是根据所制定的风险管理策略。针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括：提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条件、手段以及各种内控制度等，以及风险事件发生之前、之中和之后应该采取的具体应对措施（包括外包方案）以及风险管理工具。

所制定的风险管理解决方案，应该满足合规性要求，同时要注重成本、质量与效率的平衡，坚持经营战略与风险策略、风险控制与运行效率的统一，保护自身商业秘密，防止自身对外包解决方案产生依赖性风险。

（五）风险管理的监督与改进
企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此，企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点，对上述各项风险管理工作实施情况进行监督，并且采取有效的方法对其有效性进行检验。根据监督和检验结果，对所存在的问题或缺陷加以改进。

为了加强风险管理的监督与改进工作，企业应该建立健全风险管理工作自查制度、监督评价制度（包括外部评价制度）、报告制度和信息反馈系统，为改进和有效落实风险管理策略和风险管理解决方案提供保证。