董事會不直接負責風險管理，風險管理由管理層負責。但是董事會需要確認管理層有效地、主動積極地、持續不斷地履行了此種責任。但是，已在這方面建立規范化過程的公司是鳳毛麟角。許多風險是臨時發現的，但經常發現得很及時。這種臨時確認風險的方法是不夠的，因為發現重大風險時常常已為時過晚，而且結果是災難性的。比如，相信其公司正在采取簡單的套利方式來防范主要匯率或其他利率波動的董事會一直沒有意識到還有巨額的資金沒有得到任何風險防范，等到他們醒悟過來時，一切都已晚了。董事會不知道公司的銷售做法有誤，不知道新興競爭對手生產的新產品就要瓜分市場份額，更不知道公司已痛失新的大有利潤可賺的渠道和市場機遇。

董事會的主要責任：

首先，確保公司已建立有效的過程來確認風險，根據一系列的假設來衡量其潛在影響力、并開展必要的積極管理工作。

其次，董事會應確知最重大的風險是什么，并決定分別采取什么措施。

事實上，董事會更為重視第二種責任。董事們經常向管理層詢問關鍵風險，并經常討論計劃或已采取的措施。然而，如果董事們對公司揭示風險的能力沒有信心，他們不可能保證所有的關鍵風險都得到了討論。只有部分董事關注管理層事先發現風險和處理重大風險的程序。

風險管理過程的概念很簡單，但落實起來又是另一回事。要特別注意在管理人員之間就一目了然的事項達成一致意見，例如業務部門的目標和各位經理所“管轄”的具體程序。要取得期望的效果需要應用多種方法，在許多時候需要舉辦協調討論會，將關鍵人物聚集在一起，以獲得必要的“贊同參與”，使風險管理過程付諸實施。

最終目的是在公司每個業務部門、每個層次建立“風險結構”或“風險框架”。即，董事會需要確信管理層不僅已確定并管理現有的風險(類似于在某一時間點上“拍快照”)，而且已建立有效的隨時發現新風險的過程。此框架不一定也不應該是凌駕在現有管理程序之上的單獨的過程。相反，它應該與管理層運營公司的方式結合在一起，充實管理過程并使之以風險為重心。在整個企業范圍內建立起來的、行之有效的風險管理架構能確保風險得到恰當的管理，資產得到護衛，商譽得到保護，股東價值得到提高。