第六章风险管理的监督与改进课件

风险管理的监督与改进

德勤华永会计师事务所2006年8月风险管理的监督与改进

德勤华永会计师事务所培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

培训内容第一部分：本章概述第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险管理进行监督和改进？企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？企业各部门在风险管理监督和改进中各自应负的职责？第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

培训内容第一部分：本章概述

第二部分：逐条讲解第六章监督与改进第三十六条－概述性描述第三十七条－建立信息沟通渠道第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第六章监督与改进

第三十六条－监督与改进的概括性描述“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”

监督与改进在风险管理体系中的重要性监督与改进的实质监督与改进的对象、内容及结论监督风险管理有效性的方法

第三十六条－监督与改进的概括性描述“企业应以重大风险、重监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。基于COSO模型的企业风险管理八要素:管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对——回避、承受、降低分担风险——采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风监督和改进在风险管理体系中的重要性(续）——引自COSOERM框架考虑

企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保及时识别并传达相关信息的流程监督和改进在风险管理体系中的重要性(续）——引自COSOE监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。关注风险管理的目标

分析风险管理实施的有效性发现并传递重大风险管理缺陷持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟

监督的对象、重点及结论监督的重点监督的对象1.风险管理初始信息2.风险评估

3.风险管理策略4.关键控制活动5.风险管理解决方案1.重大风险2.重大事项和重大决策3.重要管理及业务流程风险管理活动是否有效结论改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守

监督的对象、重点及结论监督的重点监督的对象1.风险管理初始以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影响低发生可能性低影响低发生可能性高影响高发生可能性低影响高发生可能性对实现商业目标的影响风险发生的可能性低灾难性的影响不大高以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影

监督风险管理有效性的方法压力测试返回测试穿行测试风险控制自我评估

指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。风险控制自我评估（RSA）是一种新兴的技术和方法，即公司为更好地实现风险管理的目标，定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。

监督风险管理有效性的方法压力测试指在极端情景下，分析评估风

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述

第三十七条－建立信息沟通渠道“企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。”风险管理信息沟通的必要性对风险管理信息沟通的要求建设信息沟通渠道的具体措施

第三十七条－建立信息沟通渠道“企业应建立贯穿于整个风险管理风险管理信息沟通的必要性——引自COSOERM框架考虑

企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保及时识别并传达相关信息的流程风险管理信息沟通的必要性——引自COSOERM框架考虑企

对风险管理信息沟通的要求传递的内容：以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。传递的要求：及时——保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确——保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整——保证把应该传递的信息不打任何折扣地传递到相关部门和岗位沟通频率高、方式随意具有沟通所需的物质条件完善的沟通制度和系统全方位的信息共享

对风险管理信息沟通的要求传递的内容：沟通频率高、方式随意具建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、各业务单位负责人就生产、运营情况进行沟通、交流；财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。员工除了正常向直属上级汇报工作的沟通渠道外，还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。各部门定期组织对本部门员工的定期培训，使员工清楚他的目标及他的职责和别人的职责如何相互影响；人事部门根据公司制定的各种业绩考核办法组织对各级人员进行业绩考核，并及时将考核结果反馈给被考核人，有效检查各级人员对其职责的理解和有效控制明确职责和有效控制内部沟通与交流建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发

第二部分：《指引》讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：《指引》讲解第三十六条－监督与改进的概述

第三十八条－各相关部门与业务单位的责任“企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。”

各相关部门与业务单位是对风险管理进行监督的第一道防线如何进行自查和检查缺陷报告和改进措施

第三十八条－各相关部门与业务单位的责任“企业各有关部门和业各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会内部审计部门和董事会下设的审计委员会风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告监督评价各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部风险管理中各部门的职责分工质量控制各相关职能部门和业务单位审计委员会CEO/CFO风险管理流程所有者

中介机构共同组建项目组风险管理委员会(ICC)风险管理评估报告项目执行技术专家公司层面控制项目组业务层面控制项目组信息系统控制项目组内部审计师风险管理中各部门的职责分工质量控制各相关职能部门和业务单位审各相关部门和业务单位如何进行自查和检查获得风险管理执行的证据获得外部对内部信息的反映和印证定期核对会计记录与实物资产对外部审计师提出的建议作出响应建立相关渠道获得风险管理的反馈信息监督员工对道德规范的遵守情况和是否执行了控制活动……各相关部门和业务单位如何进行自查和检查获得风险管理执行的证据缺陷报告和改进措施

部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必须直接向高级管理层和董事会汇报。识别出错误交易或行为针对问题的根本原因进行调查实施跟进，确保必要的纠正措施得到实施识别高风险区域防范误区：“他律”缺陷报告和改进措施部门和业务单位应将风险管理的缺陷向直接负

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述第三十九条－风险管理职能部门的责任“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”对风险管理策略进行定期评估对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验对跨部门和业务单位的风险管理解决方案进行评价风险管理职能部门的报告路线第三十九条－风险管理职能部门的责任“企业风险管理职能部门应定

对风险管理策略进行定期评估什么是风险管理策略？《指引》第二十六条明确规定：“风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。”谁来制定风险管理策略？董事会及其下属的风险管理委员会应当负责制定风险管理策略。怎样管理风险管理策略？《指引》第三十条中明确规定：“企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。”风险管理职能部门作为其支持机构的主要职责？保证风险管理策略得以遵循和落实，负责协同有关部门制定具体执行办法和风险管理解决方案；随时审视公司的经营环境、发展战略和业务开展等重要风险因素的变化，对风险管理策略是否合理和适用做出判断，必要时做出调整建议；定期总结汇报企业风险因素的变化情况和风险管理的各方面工作，为其决策提供全面的信息支持。

对风险管理策略进行定期评估什么是风险管理策略？《指引》第二

对风险管理工作实施情况和有效性进行检查和检验有效性合理性适用性定期审查各部门的风险管理工作公司总体风险管理状况的报告

对风险管理工作实施情况和有效性进行检查和检验有效性合理性适对跨部门和业务单位的风险管理解决方案进行评价风险管理部门应当定期评价风险管理方案的适当性、合理性和有效性，从以下两个方面着手：一是审视风险管理解决方案的执行情况，了解其中的问题，提出调整和改进建议，保证有效性；二是根据风险管理策略的变化做出调整建议，保证其适用性。风险管理解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。（见《指引》第三十一条）对跨部门和业务单位的风险管理解决方案进行评价风险管理解决方案风险管理职能部门的报告路线董事会及其下设的风险管理委员会总经理或主管副总风险管理职能部门风险管理职能部门的报告路线董事会及其下设的风险管理委员会总小结作为企业风险管理的专业部门，风险管理部门的职责应当体现风险管理流程的各个环节，主要包括以下各个方面：收集风险管理初始信息，掌握企业面临的风险状况采用专业并适用的系统评估方法进行风险评估协调风险管理的内部各方的工作，保证各项工作有效开展合理利用外部专业机构的服务，提高风险管理专业性，保证工作的效率和效果小结作为企业风险管理的专业部门，风险管理部门的职责应当体现

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述第四十条－内部审计部门的责任“企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。”

回顾内部审计的定义内部审计在风险管理监督中的职责内部审计对风险管理监督结果的报告路线内部审计在风险管理监督中的工作方法第四十条－内部审计部门的责任“企业内部审计部门应至少每年一次内部审计定义回顾内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营x效益。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。第一代（1980之前）第二代（80年代）第三代（90年代）第四代（21世纪）控制企业风险企业风险管理流程控制结构出发点是已有的流程、程序和控制以符合性测试为主出发点是财务风险和符合性风险确定应该存在的控制审计目的是评估控制的设计、运行效果和合规性出发点是对企业和各种风险的充分理解确定应该存在的控制审计目的是评估控制的设计、运行效果和合规性确定应该存在的能有效控制风险的企业风险管理流程评估在各个企业风险管理流程的设计、运行效果和合规性出发点是对企业和各种风险的充分理解内部审计定义回顾内部审计是一种独立、客观的确认和咨询活动，旨内部审计职能的转变财务报表审计离任审计审慎性复核前瞻性Proactive过去内审的改变未来被动性Reactive内部控制风险管理公司治理内部审计职能的转变财务报表审计前瞻性过去内审的改变未来被动性内部审计在现代企业中的新角色存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议……...……….企业内部控制有效的有效组成部分防错纠弊的检察员监控企业运作和资源使用的效率和效果协助外部审计风险管理咨询内部审计在现代企业中的新角色存货盘点发询证函指标考核符合性测内部审计在风险管理监督中的职责内部审计作为整个风险管理监督的最后一道防线，它的职责是：防范误区：内部审计对风险管理的监督职责不能替代风险管理职能部门的工作，更不能替代业务部门对风险管理进行监督和改进的职责。在目前国内的企业中，很容易把这些监督职责全部放到内部审计的头上，致使内部审计越俎代庖。确保业务部门自己进行有效的风险管理（包括自己对所从事业务的风险管理的监督与改进）确保风险管理职能部门确实履行了自己对风险管理进行监督与改进的职责，是对公司整体风险管理的独立可观的监督。内部审计在风险管理监督中的职责内部审计作为整个风险管理监督的内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结果应直接报告给董事会或董事会下设的风险管理委员会和审计委员会各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会内部审计部门和董事会下设的审计委员会风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告监督评价内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结内部审计在风险管理监督中的工作方法内部审计的主要工作是确保业务部门和风险管理职能部门能够识别出企业的重大风险并对这些重大风险进行了有效管理。关注企业的重大风险，不能平均用力。内部审计在风险管理监督中的工作方法关注企业的重大风险，不能平

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述第四十一条－专业机构的参与“企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：(一)风险管理基本流程与风险管理策略；(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；(三)风险管理组织体系与信息系统；(四)全面风险管理总体目标。”国有企业实施全面风险管理的难点专业中介机构参与这项工作的必要性专业中介机构的工作内容和方法专业咨询机构参与企业风险管理监督的成功要素第四十一条－专业机构的参与“企业可聘请有资质、信誉好、风险管

国有企业实施全面风险管理的难点目前，在美国上市的中国公司已经开始按照萨班斯法案404条款的要求建立全面的内部控制体系，如中海油、中国石油、中国联通、中国铝业、华能电力、中国人寿等。根据德勤的项目经验，国有企业目前实施全面风险管理的难点主要是：目标设定

未设定具体控制目标风险评估

无正式风险评估程序控制措施

不正规不标准或没有证据支持的控制措施 控制文件不完整，如 不完整或过时的政策和程序缺乏对主要业务环节/程序/目标/风险/控制的全面分析 不符合COSO标准的控制框架 内部审计不完全独立，更像一个特别财务项目小组测试方法缺乏正式的测试方法来支持管理层对内控的评估

国有企业实施全面风险管理的难点目前，在美国上市的中国公司已国有企业实施全面风险管理的难点（续）内部控制整体框架

仅仅认为内控是在业务层面，忽略了公司层面和IT基础层面的内控

内控目标

很多中国企业思考的内控目标也囿于财务报告可靠性而忽略运营效果&效率和合规性目标，使得内部控制仅仅限制在财务会计部门，成为一种纯粹的会计控制，因此无法延伸到整个企业的各个流程内部，进而演变为一种管理文化。实施方法

很多企业尚未建立流程企业的观念，建立内控体系时仍然按照职能部门展开。内部审计缺乏强有力的内部审计部门来评估内部控制设计的合理性和执行的有效性内控观念很多企业思考内控时，一般都是“他律”的概念，并未考虑与“自律”的业绩管理的结合问题。信息化管理忽略信息化在内控的应用国有企业实施全面风险管理的难点（续）内部控制整体框架仅培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

培训内容第一部分：本章概述第三部分：重点回顾风险管理监督和改进的对象和重点三道防线各自在风险管理监督和改进中的作用和职责专业中介机构在风险管理监督和改进中的作用第三部分：重点回顾风险管理监督和改进的对象和重点监督的对象监督和改进的对象和重点监督的重点1.风险管理初始信息2.风险评估

3.风险管理策略4.关键控制活动5.风险管理解决方案1.重大风险2.重大事项和重大决策3.重要管理及业务流程风险管理活动是否有效结论改进监督的对象监督和改进的对象和重点监督的重点1.风险管理初始信三道防线各自在风险管理监督和改进中的作用和职责风险管理流程所有者持续自我评估以识别风险和控制文档记录和实施控制识别控制差异执行补救活动运行和监督公司风险管理活动维持基本结构和执行风险管理职能部门的建议定义风险管理流程所有者和确保执行管理控制活动报告风险管理信息确保维持和评估风险管理有效性监督风险管理缺陷的补救措施报告风险管理信息拥有和管理风险内部控制责任主体监视和建议内审部门和内审委员会风险管理职能部门和风险管理委员会各相关部门和业务单位确认和报告向董事会报告风险管理的现状证明各自领域风险管理的设计和执行有效性风险管理三道防线各自在风险管理监督和改进中的作用和职责风险管理流程所专业中介机构在风险管理监督和改进中的作用加强并改进项目管理成立项目管理办公室项目计划项目管理和质量保证项目结束Assertion项目计划试点、推广、全面实施项目结束Entity-LevelProcess-LevelTechnologySolutionSupportProgramCommunicationsProjectTeamScope&PlanAssess&DefineIdentify&DocumentTest&RemediateMonitor,Certify&Assert规范和完善控制目标和控制活动内部控制手册监控程序运行控制活动并进一步改进控制目标公司层面控制流程层面控制控制活动控制矩阵内部控制手册技术流程人员项目管理方法落实分层责任项目组的沟通与协调培训及知识转移共同组成项目组并进行培训阶段范围和计划识别和记录规范和完善运行及改进监督及报告价值管理COSO框架价值分析风险评估IT层面控制根据客户要求以及德勤在全球的服务经验，德勤开发了风险管理咨询项目整体框架：成立项目管理办公室项目管理和质量保证专业中介机构在风险管理监督和改进中的作用加强并改进项目管理成问答问答演讲完毕，谢谢观看！演讲完毕，谢谢观看！风险管理的监督与改进

德勤华永会计师事务所2006年8月风险管理的监督与改进

德勤华永会计师事务所培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

培训内容第一部分：本章概述第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险管理进行监督和改进？企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？企业各部门在风险管理监督和改进中各自应负的职责？第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

培训内容第一部分：本章概述

第二部分：逐条讲解第六章监督与改进第三十六条－概述性描述第三十七条－建立信息沟通渠道第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第六章监督与改进

第三十六条－监督与改进的概括性描述“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”

监督与改进在风险管理体系中的重要性监督与改进的实质监督与改进的对象、内容及结论监督风险管理有效性的方法

第三十六条－监督与改进的概括性描述“企业应以重大风险、重监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。基于COSO模型的企业风险管理八要素:管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对——回避、承受、降低分担风险——采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风监督和改进在风险管理体系中的重要性(续）——引自COSOERM框架考虑

企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保及时识别并传达相关信息的流程监督和改进在风险管理体系中的重要性(续）——引自COSOE监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。关注风险管理的目标

分析风险管理实施的有效性发现并传递重大风险管理缺陷持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟

监督的对象、重点及结论监督的重点监督的对象1.风险管理初始信息2.风险评估

3.风险管理策略4.关键控制活动5.风险管理解决方案1.重大风险2.重大事项和重大决策3.重要管理及业务流程风险管理活动是否有效结论改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守

监督的对象、重点及结论监督的重点监督的对象1.风险管理初始以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影响低发生可能性低影响低发生可能性高影响高发生可能性低影响高发生可能性对实现商业目标的影响风险发生的可能性低灾难性的影响不大高以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影

监督风险管理有效性的方法压力测试返回测试穿行测试风险控制自我评估

指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。风险控制自我评估（RSA）是一种新兴的技术和方法，即公司为更好地实现风险管理的目标，定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。

监督风险管理有效性的方法压力测试指在极端情景下，分析评估风

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述

第三十七条－建立信息沟通渠道“企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。”风险管理信息沟通的必要性对风险管理信息沟通的要求建设信息沟通渠道的具体措施

第三十七条－建立信息沟通渠道“企业应建立贯穿于整个风险管理风险管理信息沟通的必要性——引自COSOERM框架考虑

企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保及时识别并传达相关信息的流程风险管理信息沟通的必要性——引自COSOERM框架考虑企

对风险管理信息沟通的要求传递的内容：以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。传递的要求：及时——保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确——保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整——保证把应该传递的信息不打任何折扣地传递到相关部门和岗位沟通频率高、方式随意具有沟通所需的物质条件完善的沟通制度和系统全方位的信息共享

对风险管理信息沟通的要求传递的内容：沟通频率高、方式随意具建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、各业务单位负责人就生产、运营情况进行沟通、交流；财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。员工除了正常向直属上级汇报工作的沟通渠道外，还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。各部门定期组织对本部门员工的定期培训，使员工清楚他的目标及他的职责和别人的职责如何相互影响；人事部门根据公司制定的各种业绩考核办法组织对各级人员进行业绩考核，并及时将考核结果反馈给被考核人，有效检查各级人员对其职责的理解和有效控制明确职责和有效控制内部沟通与交流建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发

第二部分：《指引》讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：《指引》讲解第三十六条－监督与改进的概述

第三十八条－各相关部门与业务单位的责任“企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。”

各相关部门与业务单位是对风险管理进行监督的第一道防线如何进行自查和检查缺陷报告和改进措施

第三十八条－各相关部门与业务单位的责任“企业各有关部门和业各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会内部审计部门和董事会下设的审计委员会风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告监督评价各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部风险管理中各部门的职责分工质量控制各相关职能部门和业务单位审计委员会CEO/CFO风险管理流程所有者

中介机构共同组建项目组风险管理委员会(ICC)风险管理评估报告项目执行技术专家公司层面控制项目组业务层面控制项目组信息系统控制项目组内部审计师风险管理中各部门的职责分工质量控制各相关职能部门和业务单位审各相关部门和业务单位如何进行自查和检查获得风险管理执行的证据获得外部对内部信息的反映和印证定期核对会计记录与实物资产对外部审计师提出的建议作出响应建立相关渠道获得风险管理的反馈信息监督员工对道德规范的遵守情况和是否执行了控制活动……各相关部门和业务单位如何进行自查和检查获得风险管理执行的证据缺陷报告和改进措施

部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必须直接向高级管理层和董事会汇报。识别出错误交易或行为针对问题的根本原因进行调查实施跟进，确保必要的纠正措施得到实施识别高风险区域防范误区：“他律”缺陷报告和改进措施部门和业务单位应将风险管理的缺陷向直接负

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述第三十九条－风险管理职能部门的责任“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”对风险管理策略进行定期评估对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验对跨部门和业务单位的风险管理解决方案进行评价风险管理职能部门的报告路线第三十九条－风险管理职能部门的责任“企业风险管理职能部门应定

对风险管理策略进行定期评估什么是风险管理策略？《指引》第二十六条明确规定：“风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。”谁来制定风险管理策略？董事会及其下属的风险管理委员会应当负责制定风险管理策略。怎样管理风险管理策略？《指引》第三十条中明确规定：“企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。”风险管理职能部门作为其支持机构的主要职责？保证风险管理策略得以遵循和落实，负责协同有关部门制定具体执行办法和风险管理解决方案；随时审视公司的经营环境、发展战略和业务开展等重要风险因素的变化，对风险管理策略是否合理和适用做出判断，必要时做出调整建议；定期总结汇报企业风险因素的变化情况和风险管理的各方面工作，为其决策提供全面的信息支持。

对风险管理策略进行定期评估什么是风险管理策略？《指引》第二

对风险管理工作实施情况和有效性进行检查和检验有效性合理性适用性定期审查各部门的风险管理工作公司总体风险管理状况的报告

对风险管理工作实施情况和有效性进行检查和检验有效性合理性适对跨部门和业务单位的风险管理解决方案进行评价风险管理部门应当定期评价风险管理方案的适当性、合理性和有效性，从以下两个方面着手：一是审视风险管理解决方案的执行情况，了解其中的问题，提出调整和改进建议，保证有效性；二是根据风险管理策略的变化做出调整建议，保证其适用性。风险管理解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。（见《指引》第三十一条）对跨部门和业务单位的风险管理解决方案进行评价风险管理解决方案风险管理职能部门的报告路线董事会及其下设的风险管理委员会总经理或主管副总风险管理职能部门风险管理职能部门的报告路线董事会及其下设的风险管理委员会总小结作为企业风险管理的专业部门，风险管理部门的职责应当体现风险管理流程的各个环节，主要包括以下各个方面：收集风险管理初始信息，掌握企业面临的风险状况采用专业并适用的系统评估方法进行风险评估协调风险管理的内部各方的工作，保证各项工作有效开展合理利用外部专业机构的服务，提高风险管理专业性，保证工作的效率和效果小结作为企业风险管理的专业部门，风险管理部门的职责应当体现

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述第四十条－内部审计部门的责任“企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。”

回顾内部审计的定义内部审计在风险管理监督中的职责内部审计对风险管理监督结果的报告路线内部审计在风险管理监督中的工作方法第四十条－内部审计部门的责任“企业内部审计部门应至少每年一次内部审计定义回顾内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营x效益。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。第一代（1980之前）第二代（80年代）第三代（90年代）第四代（21世纪）控制企业风险企业风险管理流程控制结构出发点是已有的流程、程序和控制以符合性测试为主出发点是财务风险和符合性风险确定应该存在的控制审计目的是评估控制的设计、运行效果和合规性出发点是对企业和各种风险的充分理解确定应该存在的控制审计目的是评估控制的设计、运行效果和合规性确定应该存在的能有效控制风险的企业风险管理流程评估在各个企业风险管理流程的设计、运行效果和合规性出发点是对企业和各种风险的充分理解内部审计定义回顾内部审计是一种独立、客观的确认和咨询活动，旨内部审计职能的转变财务报表审计离任审计审慎性复核前瞻性Proactive过去内审的改变未来被动性Reactive内部控制风险管理公司治理内部审计职能的转变财务报表审计前瞻性过去内审的改变未来被动性内部审计在现代企业中的新角色存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议……...……….企业内部控制有效的有效组成部分防错纠弊的检察员监控企业运作和资源使用的效率和效果协助外部审计风险管理咨询内部审计在现代企业中的新角色存货盘点发询证函指标考核符合性测内部审计在风险管理监督中的职责内部审计作为整个风险管理监督的最后一道防线，它的职责是：防范误区：内部审计对风险管理的监督职责不能替代风险管理职能部门的工作，更不能替代业务部门对风险管理进行监督和改进的职责。在目前国内的企业中，很容易把这些监督职责全部放到内部审计的头上，致使内部审计越俎代庖。确保业务部门自己进行有效的风险管理（包括自己对所从事业务的风险管理的监督与改进）确保风险管理职能部门确实履行了自己对风险管理进行监督与改进的职责，是对公司整体风险管理的独立可观的监督。内部审计在风险管理监督中的职责内部审计作为整个风险管理监督的内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结果应直接报告给董事会或董事会下设的风险管理委员会和审计委员会各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会内部审计部门和董事会下设的审计委员会风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告监督评价内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结内部审计在风险管理监督中的工作方法内部审计的主要工作是确保业务部门和风险管理职能部门能够识别出企业的重大风险并对这些重大风险进行了有效管理。关注企业的重大风险，不能平均用力。内部审计在风险管理监督中的工作方法关注企业的重大风险，不能平

第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第二部分：逐条讲解第三十六条－监督与改进的概述第四十一条－专业机构的参与“企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：(一)风险管理基本流程与风险管理策略；(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；(三)风险管理组织体系与信息