07第六章风险管理的监督与改进ppt课件

1、风险管理的监视与改良德勤华永会计师事务所2006年8月培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回想 第一部分：本章概述前面各章内容的回想本章内容的概要如何对风险管理进展监视和改良？企业如何落实风险管理的监视和改良？专业机构可以起到什么作用？企业各部门在风险管理监视和改良中各自应负的职责？培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回想 第二部分：逐条讲解第六章 监视与改良第三十六条概述性描画第三十七条建立信息沟通渠道第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与第三十六条监视与改良的概

2、括性描画“企业应以艰苦风险、艰苦事件和艰苦决策、重要管理及业务流程为重点，对风险管理初始信息、风险评价、风险管理战略、关键控制活动及风险管理处理方案的实施情况进展监视，采用压力测试、前往测试、穿行测试以及风险控制自我评价等方法对风险管理的有效性进展检验，根据变化情况和存在的缺陷及时加以改良。 监视与改良在风险管理体系中的重要性监视与改良的本质监视与改良的对象、内容及结论监视风险管理有效性的方法监视与改良在风险管理体系中的重要性控制活动目的设定事项识别风险评价风险应对内部环境信息与沟通监视内部环境包括组织基调，它为企业人员如何认识和对待风险设定了根底，包括风险管理理念和风险容量、诚信和品德价值观

3、，以及他们所处的运营环境。基于COSO模型的企业风险管理八要素:管理当局只需预先设定目的来能识别影响目的实现的潜在事项。管理层采取适当的程序设定目的，确保目的支持和切合企业使命，并且与企业的风险容量相符。必需识别影响主体目的实现的内部和外部事项，区分风险和时机。时机被反响到管理当局的战略或目的制定过程中。经过思索风险的能够性和影响来对风险加以分析，并以此作为决议如何进展管理的根据。风险评价应立足于固有风险和剩余风险。风险应对逃避、接受、降低分担风险采取一系列行动把风险控制在主体的风险接受力和风险容量以内。制定和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机

4、予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进展全面监控，必要时加以修正。监控可以经过继续的管理活动、个别评价或者两者结合来完成。监视和改良在风险管理体系中的重要性(续引自COSO ERM框架思索 企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅 确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部要素的评价企业的控制认识，“来自高层的声音断定内部控制设计、执行充分性、有效性和顺应性的流程继续监控控制活动风险呼应风险评价目的设定事件区分信息与沟通确保及时识别并传达相关信息的流程监视和改良的本质监视和改良的本质是关注

5、风险管理的目的、沉思熟虑的对风险管理进展分析、集中发现关于艰苦风险、艰苦事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进展改良，继续提升风险管理程度。关注风险管理的目的 分析风险管理实施的有效性发现并传送艰苦风险管理缺陷继续提升风险管理程度根据变化情况及时加以改良监视和改良的本质执行相关测试和自我评价监视的对象、重点及结论监视的重点监视的对象1.风险管理初始信息 2.风险评价 3.风险管理战略 4.关键控制活动 5.风险管理处理方案 1. 艰苦风险2. 艰苦事项和艰苦决策3. 重要管理及业务流程风险管理活动能否有效结论改良即管理层和董事会能否能在以下四个方面得到合理保证：了解企业战略

6、目的实现的程度了解企业运营目的实现的程度企业财务报告的可靠性企业对相关法律法规的遵守以艰苦风险、艰苦事件和艰苦决策、重要管理及业务流程为重点高影响低发生能够性低影响低发生能够性高影响高发生能够性低影响高发生能够性对实现商业目的的影响风险发生的能够性低灾难性的影响不大高监视风险管理有效性的方法压力测试前往测试穿行测试风险控制自我评价 指在极端情景下，分析评价风险管理模型或内控流程的有效性，发现问题，制定改良措施的方法，目的是防止出现艰苦损失事件。 将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。 在正常运转条件下，将初始数据输入内控流程，穿越全流程和一切关键环

7、节，把运转结果与设计要求对比，以发现内控流程缺陷的方法。 风险控制自我评价RSA是一种新兴的技术和方法， 即公司为更好地实现风险管理的目的，定期或不定期地评价本人及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。 第二部分：逐条讲解第三十六条监视与改良的概述第三十七条建立信息沟通渠道，奠定监视根底第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第四十条 内部审计部门的责任 第四十一条专业机构的参与第三十七条建立信息沟通渠道“企业应建立贯穿于整个风险管理根本流程，衔接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完好，为风险管理监

8、视与改良奠定根底。风险管理信息沟通的必要性对风险管理信息沟通的要求建立信息沟通渠道的详细措施风险管理信息沟通的必要性引自COSO ERM框架思索 企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅 确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部要素的评价企业的控制认识，“来自高层的声音断定内部控制设计、执行充分性、有效性和顺应性的流程继续监控控制活动风险呼应风险评价目的设定事件区分信息与沟通确保及时识别并传达相关信息的流程对风险管理信息沟通的要求传送的内容：以艰苦风险、艰苦事件和艰苦决策、重要管理及业务流程为重点，传送风险管理初始信息、风险评价、风险管理战略、关键控制活动及风

9、险管理处理方案的实施情况。传送的要求：及时保证把重要相关信息在应该被传送的时间传送到相关部门和岗位准确保证把重要风险管理信息不被修饰或改动地传送到相关部门和岗位完好保证把应该传送的信息不打任何折扣地传送到相关部门和岗位沟通频率高、方式随意具有沟通所需的物质条件完善的沟通制度和系统全方位的信息共享建立信息沟通渠道的详细措施管理层定期向董事会就最新的业绩、开展、风险、重要事件或事故等问题进展汇报。公司管理层定期或不定期召开各种会议，及时与相关职能部门指点、各业务单位担任人就消费、运营情况进展沟通、交流；财务部门定期向各部门交流和通报财务情况、运营成果、预算执行情况等。财务部门定期将应收帐款情况反响

10、给销售部门和清欠办公室。员工除了正常向直属上级汇报任务的沟通渠道外，还可以经过、邮件、面谈各种方式与本单位主要指点和纪检、监察部门进展直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。各部门定期组织对本部门员工的定期培训，使员工清楚他的目的及他的职责和他人的职责如何相互影响；人事部门根据公司制定的各种业绩考核方法组织对各级人员进展业绩考核，并及时将考核结果反响给被考核人，有效检查各级人员对其职责的了解和有效控制明确职责和有效控制内部沟通与交流第二部分：讲解第三十六条监视与改良的概述第三十七条建立信息沟通渠道，奠定监视根底第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第

11、四十条 内部审计部门的责任 第四十一条专业机构的参与第三十八条各相关部门与业务单位的责任“企业各有关部门和业务单位应定期对风险管理任务进展自查和检验，及时发现缺陷并改良，其检查、检验报告应及时报送企业风险管理职能部门。 各相关部门与业务单位是对风险管理进展监视的第一道防线如何进展自查和检查缺陷报告和改良措施 各相关部门和业务单位是对风险管理进展监视的第一道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会 内部审计部门和董事会下设的审计委员会 风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告 监视评价风险管理中各部门的职责分工质量控制各相关职能部门和业

12、务单位审计委员会CEO/CFO风险管理流程一切者 中介机构共同组建工程组风险管理委员会 (ICC)风险管理评价报告工程执行技术专家公司层面控制工程组业务层面控制工程组信息系统控制工程组内部审计师各相关部门和业务单位如何进展自查和检查获得风险管理执行的证据 获得外部对内部信息的反映和印证定期核对会计记录与实物资产对外部审计师提出的建议作出呼应建立相关渠道获得风险管理的反响信息监视员工对品德规范的遵守情况和能否执行了控制活动缺陷报告和改良措施 部门和业务单位应将风险管理的缺陷向直接担任人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必需直接向高级管理层和董事会汇报。识别出错误买卖或行为

13、针对问题的根本缘由进展调查实施跟进，确保必要的纠正措施得到实施识别高风险区域防备误区：“他律第二部分：逐条讲解第三十六条监视与改良的概述第三十七条建立信息沟通渠道，奠定监视根底第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与第三十九条风险管理职能部门的责任“企业风险管理职能部门应定期对各部门和业务单位风险管理任务实施情况和有效性进展检查和检验，要根据本指引第三十条要求对风险管理战略进展评价，对跨部门和业务单位的风险管理处理方案进展评价，提出调整或改良建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理任务的

14、高级管理人员。 对风险管理战略进展定期评价对各部门和业务单位风险管理任务实施情况和有效性进展检查和检验对跨部门和业务单位的风险管理处理方案进展评价风险管理职能部门的报告道路对风险管理战略进展定期评价什么是风险管理战略？第二十六条明确规定：“风险管理战略是指企业根据本身条件和外部环境，围绕企业开展战略，确定风险偏好、风险接受度、风险管理有效性规范，选择风险承当、风险躲避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适宜的风险管理工具的总体战略，并确定风险管理所需人力和财力资源的配置原那么。谁来制定风险管理战略？董事会及其下属的风险管理委员会该当担任制定风险管理战略。怎样管理风险管理战略？第

15、三十条中明确规定：“企业应定期总结和分析已制定的风险管理战略的有效性和合理性，结合实践不断修订和完善。其中，应重点检查根据风险偏好、风险接受度和风险控制预警线实施的结果能否有效，并提出定性或定量的有效性规范。风险管理职能部门作为其支持机构的主要职责？保证风险管理战略得以遵照和落实，担任协同有关部门制定详细执行方法和风险管理处理方案；随时审视公司的运营环境、开展战略和业务开展等重要风险要素的变化，对风险管理战略能否合理和适用做出判别，必要时做出调整建议；定期总结汇报企业风险要素的变化情况和风险管理的各方面任务，为其决策提供全面的信息支持。对风险管理任务实施情况和有效性进展检查和检验有效性合理性适

16、用性定期审查各部门的风险管理任务公司总体风险管理情况的报告对跨部门和业务单位的风险管理处理方案进展评价风险管理部门该当定期评价风险管理方案的适当性、合理性和有效性，从以下两个方面着手： 一是审视风险管理处理方案的执行情况，了解其中的问题，提出调整和改良建议，保证有效性； 二是根据风险管理战略的变化做出调整建议，保证其适用性。风险管理处理方案普通应包括风险处理的详细目的，所需的组织指点，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的详细应对措施以及风险管理工具(如：关键风险目的管理、损失事件管理等)。见第三十一条风险管理职能部门的报告道路董事会及其下设的风险管理委

17、员会 总经理或主管副总风险管理职能部门 小结 作为企业风险管理的专业部门，风险管理部门的职责该当表达风险管理流程的各个环节，主要包括以下各个方面：搜集风险管理初始信息，掌握企业面临的风险情况采用专业并适用的系统评价方法进展风险评价协调风险管理的内部各方的任务，保证各项任务有效开展合理利用外部专业机构的效力，提高风险管理专业性，保证任务的效率和效果第二部分：逐条讲解第三十六条监视与改良的概述第三十七条建立信息沟通渠道，奠定监视根底第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与第四十条内部审计部门的责任“企业内部审计部门

18、应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理任务及其任务效果进展监视评价，监视评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项任务也可结合年度审计、任期审计或专项审计任务一并开展。 回想内部审计的定义内部审计在风险管理监视中的职责内部审计对风险管理监视结果的报告道路内部审计在风险管理监视中的任务方法内部审计定义回想内部审计是一种独立、客观确实认和咨询活动，旨在添加价值和改善组织的运营x效益。它经过运用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，协助组织实现其目的。第一代1980之前第二代80年代第三代90年代

19、第四代21世纪控制企业风险企业风险管理流程控制构造 出发点是已有的流程、程序和控制 以符合性测试为主 出发点是财务 风险和符合性 风险 确定应该存 在的控制 审计目的是评 估控制的设计、 运转效果和合 规性 出发点是对企 业和各种风险 的充分了解 确定应该存 在的控制 审计目的是评 估控制的设计、 运转效果和合 规性 确定应该存在的能 有效控制风险的企 业风险管理流程 评价在各个企业 风险管理流程的 设计、运转效果 和合规性 出发点是对企业和 各种风险的充分理 解内部审计职能的转变财务报表审计离任审计谨慎性复核前瞻性Proactive过去内审的改动未来被动性Reactive内部控制风险管理公司

20、治理内部审计在现代企业中的新角色存货清点发询证函目的考核符合性测试价值评价效率调查协助外审咨询建议.企业内部控制有效的有效组成部分防错纠弊的检察员监控企业运作和资源运用的效率和效果协助外部审计风险管理咨询内部审计在风险管理监视中的职责内部审计作为整个风险管理监视的最后一道防线，它的职责是：防备误区：内部审计对风险管理的监视职责不能替代风险管理职能部门的任务，更不能替代业务部门对风险管理进展监视和改良的职责。在目前国内的企业中，很容易把这些监视职责全部放到内部审计的头上，致使内部审计越俎代庖。确保业务部门本人进展有效的风险管理包括本人对所从事业务的风险管理的监视与改良确保风险管理职能部门确实履行

21、了本人对风险管理进展监视与改良的职责，是对公司整体风险管理的独立可观的监视。内部审计对风险管理监视结果的报告道路内部审计对风险管理监视结果应直接报告给董事会或董事会下设的风险管理委员会和审计委员会各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会 内部审计部门和董事会下设的审计委员会 风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告 监视评价内部审计在风险管理监视中的任务方法内部审计的主要任务是确保业务部门和风险管理职能部门可以识别出企业的艰苦风险并对这些艰苦风险进展了有效管理。关注企业的艰苦风险，不能平均用力。第二部分：逐条讲解第三十六条监视与改良的概述

22、第三十七条建立信息沟通渠道，奠定监视根底第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构的参与“企业可聘请有资质、信誉好、风险管理专业才干强的中介机构对企业全面风险管理任务进展评价，出具风险管理评价和建议专项报告。报告普通应包括以下几方面的实施情况、存在缺陷和改良建议： (一) 风险管理根本流程与风险管理战略； (二) 企业艰苦风险、艰苦事件和重要管理及业务流程的风险管理及内部控制系统的建立； (三) 风险管理组织体系与信息系统； (四) 全面风险管理总体目的。国有企业实施全面风险管理的难点专业中介机

23、构参与这项任务的必要性专业中介机构的任务内容和方法专业咨询机构参与企业风险管理监视的胜利要素国有企业实施全面风险管理的难点目前，在美国上市的中国公司曾经开场按照萨班斯法案404条款的要求建立全面的内部控制体系，如中海油、中国石油、中国联通、中国铝业、华能电力、中国人寿等。根据德勤的工程阅历，国有企业目前实施全面风险管理的难点主要是：目的设定 未设定详细控制目的风险评价无正式风险评价程序控制措施不正规不规范或没有证据支持的控制措施控制文件不完好，如不完好或过时的政策和程序缺乏对主要业务环节/程序/目的/风险/控制的全面分析不符合COSO规范的控制框架内部审计不完全独立，更像一个特别财务工程小组

24、测试方法 缺乏正式的测试方法来支持管理层对内控的评价国有企业实施全面风险管理的难点续内部控制整体框架 仅仅以为内控是在业务层面，忽略了公司层面和IT根底层面的内控 内控目的 很多中国企业思索的内控目的也囿于财务报告可靠性而忽略运营效果&效率和合规性目的，使得内部控制仅仅限制在财务会计部门，成为一种纯粹的会计控制，因此无法延伸到整个企业的各个流程内部，进而演化为一种管理文化。 实施方法 很多企业尚未建立流程企业的观念，建立内控体系时依然按照职能部门展开。内部审计 缺乏强有力的内部审计部门来评价内部控制设计的合理性和执行的有效性内控观念 很多企业思索内控时，普通都是“他律的概念，并未思索与“自律的业绩管理的结合问题。信息化管理 忽略信息化在内控的运用培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回想 第三部分：重点回想风险管理监视和改良的对象和重点三道防线各自在风险管理监视和改良中的作用和职责专业中介机构在风险管理监视和改良中的作用监视的对象监视和改良的对象和重点监视的重点1.风险管理初始信息 2.风险评价