第六章风险管理的监督与改进德勤

风险管理的监督与改进

德勤华永会计师事务所2006年8月培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险管理进行监督和改进？企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？企业各部门在风险管理监督和改进中各自应负的职责？培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾

第二部分：逐条讲解第六章监督与改进第三十六条－概述性描述第三十七条－建立信息沟通渠道第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与

第三十六条－监督与改进的概括性描述“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”

监督与改进在风险管理体系中的重要性监督与改进的实质监督与改进的对象、内容及结论监督风险管理有效性的方法监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。基于COSO模型的企业风险管理八要素:管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对——回避、承受、降低分担风险——采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。监督和改进在风险管理体系中的重要性(续）——引自COSOERM框架考虑

企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保及时识别并传达相关信息的流程监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。关注风险管理的目标

分析风险管理实施的有效性发现并传递重大风险管理缺陷持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估

监督的对象、重点及结论监督的重点监督的对象1.风险管理初始信息2.风险评估

3.风险管理策略4.关键控制活动5.风险管理解决方案1.重大风险2.重大事项和重大决策3.重要管理及业务流程风险管理活动是否有效结论改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守以重大风险险、重大事事件和重大大决策、重重要管理及及业务流程程为重点高影响低发生可能性低影响低发生可能性高影响高发生可能性低影响高发生可能性对实现商业目标的影响风险发生的可能性低灾难性的影响不大高监督风险管管理有效性性的方法压力测试返回测试穿行测试风险控制自自我评估指在极端情情景下，分分析评估风风险管理模模型或内控控流程的有有效性，发发现问题，，制定改进进措施的方方法，目的的是防止出出现重大损损失事件。。将历史数据据输入到风风险管理模模型或内控控流程中，，把结果与与预测值对对比，以检检验其有效效性的方法法。在正常运行行条件下，，将初始数数据输入内内控流程，，穿越全流流程和所有有关键环节节，把运行行结果与设设计要求对对比，以发发现内控流流程缺陷的的方法。风险控制自自我评估（（RSA）是一种新新兴的技术术和方法，，即公司司为更好地地实现风险险管理的目目标，定期期或不定期期地评价自自己及子公公司的风险险管理系统统、风险管管理的有效效性及风险险管理实施施的效率效效果。第二部分：：逐条讲解解第三十六条条－监督与与改进的概概述第三十七条条－建立信信息沟通渠渠道，奠定定监督基础础第三十八条条－各相关关部门与业业务单位的的责任第三十九条条－风险管管理职能部部门的责任任第四十条－－内部部审计部门门的责任第四十一条条－专业机机构的参与与第三十七条条－建立信信息沟通渠渠道“企业应建建立贯穿于于整个风险险管理基本本流程，连连接各上下下级、各部部门和业务务单位的风风险管理信信息沟通渠渠道，确保保信息沟通通的及时、、准确、完完整，为风风险管理监监督与改进进奠定基础础。”风险管理信信息沟通的的必要性对风险管理理信息沟通通的要求建设信息沟沟通渠道的的具体措施施风险管理信信息沟通的的必要性——引自COSOERM框架考虑企业各个层层面的活动企业风险管管理的8要素可在4个范畴内审审阅确保及时执执行风险管理活动的政策策和流程对影响企业业绩效的内内外部因素素的评估企业的控制制意识，““来自高层层的声音””判定内部控控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通通确保及时识别并传达达相关信息的流程对风险管理理信息沟通通的要求传递的内容容：以重大风险险、重大事事件和重大大决策、重重要管理及及业务流程程为重点，，传递风险险管理初始始信息、风风险评估、、风险管理理策略、关关键控制活活动及风险险管理解决决方案的实实施情况。。传递的要求求：及时——保证把重要要相关信息息在应该被被传递的时时间传递到到相关部门门和岗位准确——保证把重要要风险管理理信息不被被修饰或改改变地传递递到相关部部门和岗位位完整——保证把应该该传递的信信息不打任任何折扣地地传递到相相关部门和和岗位沟通频率高高、方式随随意具有沟通所所需的物质质条件完善的沟通制度和系统全方位的信息共享建设信息沟沟通渠道的的具体措施施管理层定期期向董事会会就最新的的业绩、发发展、风险险、重要事事件或事故故等问题进进行汇报。。公司管理层层定期或不不定期召开开各种会议议，及时与与相关职能能部门领导导、各业务务单位负责责人就生产产、运营情情况进行沟沟通、交流流；财务部门定定期向各部部门交流和和通报财务务状况、经经营成果、、预算执行行情况等。。财务部门定定期将应收收帐款情况况反馈给销销售部门和和清欠办公公室。员工除了正正常向直属属上级汇报报工作的各部门定期期组织对本本部门员工工的定期培培训，使员员工清楚他他的目标及及他的职责责和别人的的职责如何何相互影响响；人事部门根根据公司制制定的各种种业绩考核核办法组织织对各级人人员进行业业绩考核，，并及时将将考核结果果反馈给被被考核人，，有效检查查各级人员员对其职责责的理解和和有效控制制明确职责和和有效控制制内部沟通与与交流第二部分：：《指引》讲解第三十六条条－监督与与改进的概概述第三十七条条－建立信信息沟通渠渠道，奠定定监督基础础第三十八条条－各相关关部门与业业务单位的的责任第三十九条条－风险管管理职能部部门的责任任第四十条－－内部部审计部门门的责任第四十一条条－专业机机构的参与与第三三十十八八条条－－各各相相关关部部门门与与业业务务单单位位的的责责任任“企业业各各有有关关部部门门和和业业务务单单位位应应定定期期对对风风险险管管理理工工作作进进行行自自查查和和检检验验，，及及时时发发现现缺缺陷陷并并改改进进，，其其检检查查、、检检验验报报告告应应及及时时报报送送企企业业风风险险管管理理职职能能部部门门。。”各相相关关部部门门与与业业务务单单位位是是对对风风险险管管理理进进行行监监督督的的第第一一道道防防线线如何何进进行行自自查查和和检检查查缺陷陷报报告告和和改改进进措措施施各相相关关部部门门和和业业务务单单位位是是对对风风险险管管理理进进行行监监督督的的第第一一道道防防线线各相相关关部部门门和和业业务务单单位位风险险管管理理职职能能部部门门和和董董事事会会下下设设的的风风险险管管理理委委员员会会内部部审审计计部部门门和和董董事事会会下下设设的的审审计计委委员员会会风险险管管理理的的三三道道防防线线定期期自自查查和和检检验验并并汇汇报报检查查、、检检验验并并评评价价出具具评评价价和和建建议议报报告告监督督评评价价风险险管管理理中中各各部部门门的的职职责责分分工工质量量控控制制各相相关关职职能能部部门门和和业业务务单单位位审计计委委员员会会CEO/CFO风险险管管理理流流程程所所有有者者中介介机机构构共同同组组建建项项目目组组风险险管管理理委委员员会会(ICC)风险险管管理理评评估估报报告告项目目执执行行技术术专专家家公司司层层面面控控制制项目目组组业务务层层面面控控制制项目目组组信息息系系统统控控制制项目目组组内部部审审计计师师各相相关关部部门门和和业业务务单单位位如如何何进进行行自自查查和和检检查查获得得风风险险管管理理执执行行的的证证据据获得得外外部部对对内内部部信信息息的的反反映映和和印印证证定期期核核对对会会计计记记录录与与实实物物资资产产对外外部部审审计计师师提提出出的的建建议议作作出出响响应应建立立相相关关渠渠道道获获得得风风险险管管理理的的反反馈馈信信息息监督督员员工工对对道道德德规规范范的的遵遵守守情情况况和和是是否否执执行行了了控控制制活活动动………缺陷陷报报告告和和改改进进措措施施部门门和和业业务务单单位位应应将将风风险险管管理理的的缺缺陷陷向向直直接接负负责责人人、、至至少少高高一一级级别别的的人人，，以以及及风风险险管管理理部部门门汇汇报报，，但但特特殊殊类类型型的的缺缺陷陷必必须须直直接接向向高高级级管管理理层层和和董董事事会会汇汇报报。。识别别出出错错误误交交易易或或行行为为针对对问问题题的的根根本本原原因因进行行调调查查实施施跟跟进进，，确确保保必必要要的的纠纠正正措措施施得得到到实实施施识别别高高风风险险区区域域防范范误误区区：：““他他律律””第二二部部分分：：逐逐条条讲讲解解第三三十十六六条条－－监监督督与与改改进进的的概概述述第三三十十七七条条－－建建立立信信息息沟沟通通渠渠道道，，奠奠定定监监督督基基础础第三三十十八八条条－－各各相相关关部部门门与与业业务务单单位位的的责责任任第三十九条－－风险管理职职能部门的责责任第四十条条－内部审计计部门的责任任第四十一条－－专业机构的的参与第三十九条－－风险管理职职能部门的责责任“企业风险管理理职能部门应应定期对各部部门和业务单单位风险管理理工作实施情情况和有效性性进行检查和和检验，要根根据本指引第第三十条要求求对风险管理理策略进行评评估，对跨部部门和业务单单位的风险管管理解决方案案进行评价，，提出调整或或改进建议，，出具评价和和建议报告，，及时报送企企业总经理或或其委托分管管风险管理工工作的高级管管理人员。””对风险管理策策略进行定期期评估对各部门和业业务单位风险险管理工作实实施情况和有有效性进行检检查和检验对跨部门和业业务单位的风风险管理解决决方案进行评评价风险管理职能能部门的报告告路线对风险管理策策略进行定期期评估什么是风险管管理策略？《指引》第二十六条明明确规定：““风险管理策策略是指企业业根据自身条条件和外部环环境，围绕企企业发展战略略，确定风险险偏好、风险险承受度、风风险管理有效效性标准，选选择风险承担担、风险规避避、风险转移移、风险转换换、风险对冲冲、风险补偿偿、风险控制制等适合的风风险管理工具具的总体策略略，并确定风风险管理所需需人力和财力力资源的配置置原则。”谁来制定风险险管理策略？？董事会及其下下属的风险管管理委员会应应当负责制定定风险管理策策略。怎样管理风险险管理策略？？《指引》第三十条中明明确规定：““企业应定期期总结和分析析已制定的风风险管理策略略的有效性和和合理性，结结合实际不断断修订和完善善。其中，应应重点检查依依据风险偏好好、风险承受受度和风险控控制预警线实实施的结果是是否有效，并并提出定性或或定量的有效效性标准。””风险管理职能能部门作为其其支持机构的的主要职责？？保证风险管理理策略得以遵遵循和落实，，负责协同有有关部门制定定具体执行办办法和风险管管理解决方案案；随时审视公司司的经营环境境、发展战略略和业务开展展等重要风险险因素的变化化，对风险管管理策略是否否合理和适用用做出判断，，必要时做出出调整建议；；定期总结汇报报企业风险因因素的变化情情况和风险管管理的各方面面工作，为其其决策提供全全面的信息支支持。对风险管理工工作实施情况况和有效性进进行检查和检检验有效性合理性适用性定期审查各部部门的风险管管理工作公司总体风险险管理状况的的报告对跨部门和业业务单位的风风险管理解决决方案进行评评价风险管理部门门应当定期评评价风险管理理方案的适当当性、合理性性和有效性，，从以下两个个方面着手：：一是审视风险险管理解决方方案的执行情情况，了解其其中的问题，，提出调整和和改进建议，，保证有效性性；二是根据风险险管理策略的的变化做出调调整建议，保保证其适用性性。风险管理解决决方案一般应应包括风险解解决的具体目目标，所需的的组织领导，，所涉及的管管理及业务流流程，所需的的条件、手段段等资源，风风险事件发生生前、中、后后所采取的具具体应对措施施以及风险管管理工具(如：关键风险险指标管理、、损失事件管管理等)。（见《指引》第三十一条））风险管理职能能部门的报告告路线董事会及其下下设的风险管管理委员会总经理或主管管副总风险管理职能能部门小结作为企业风险险管理的专业业部门，风险险管理部门的的职责应当体体现风险管理理流程的各个个环节，主要要包括以下各各个方面：收集风险管理理初始信息，，掌握企业面面临的风险状状况采用专业并适适用的系统评评估方法进行行风险评估协调风险管理理的内部各方方的工作，保保证各项工作作有效开展合理利用外部部专业机构的的服务，提高高风险管理专专业性，保证证工作的效率率和效果第二部分：逐逐条讲解第三十六条－－监督与改进进的概述第三十七条－－建立信息沟沟通渠道，奠奠定监督基础础第三十八条－－各相关部门门与业务单位位的责任第三十九条－－风险管理职职能部门的责责任第四十条条－内部审计计部门的责任任第四十一条－－专业机构的的参与第四十条－内内部审计部门门的责任“企业内部审审计部门应至至少每年一次次对包括风险险管理职能部部门在内的各各有关部门和和业务单位能能否按照有关关规定开展风风险管理工作作及其工作效效果进行监督督评价，监督督评价报告应应直接报送董董事会或董事事会下设的风风险管理委员员会和审计委委员会。此项项工作也可结结合年度审计计、任期审计计或专项审计计工作一并开开展。”回顾内部审计计的定义内部审计在风风险管理监督督中的职责内部审计对风风险管理监督督结果的报告告路线内部审计在风风险管理监督督中的工作方方法内部审计定义义回顾内部审计是一一种独立、客客观的确认和和咨询活动，，旨在增加价价值和改善组组织的运营x效益。它通过过应用系统的的、规范的方方法，评价并并改善风险管管理、控制和和治理过程的的效果，帮助助组织实现其其目标。第一代（1980之之前）第二代（80年代））第三代（90年代））第四代（21世纪））控制企业风险企业风险管理理流程控制结构出发点是已有有的流程、程程序和控制以符合性测试试为主出发点是财务务风险和符合性性风险确定应该存在的控制审计目的是评评估控制的设计计、运行效果和合合规性出发点是对企企业和各种风险险的充分理解确定应该存在的控制审计目的是评评估控制的设计计、运行效果和合合规性确定应该存在在的能有效控制风险险的企业风险管理流流程评估在各个企企业风险管理流程程的设计、运行效效果和合规性出发点是对企企业和各种风险的充充分理解内部审计职能能的转变财务报表审计计离任审计审慎性复核前瞻性Proactive过去内审的改变未来被动性Reactive内部控制风险管理公司治理内部审计在现现代企业中的的新角色存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议……...……….企业内部控制制有效的有效效组成部分防错纠弊的检检察员监控企业运作作和资源使用用的效率和效效果协助外部审计计风险管理咨询询内部审计在风风险管理监督督中的职责内部审计作为为整个风险管管理监督的最最后一道防线线，它的职责责是：防范误区：内内部审计对风风险管理的监监督职责不能能替代风险管管理职能部门门的工作，更更不能替代业业务部门对风风险管理进行行监督和改进进的职责。在在目前国内的的企业中，很很容易把这些些监督职责全全部放到内部部审计的头上上，致使内部部审计越俎代庖。确保业务部门门自己进行有有效的风险管管理（包括自自己对所从事事业务的风险险管理的监督督与改进）确保风险管理理职能部门确确实履行了自自己对风险管管理进行监督督与改进的职职责，是对公公司整体风险险管理的独立立可观的监督督。内部审计对风风险管理监督督结果的报告告路线内部审计对风风险管理监督督结果应直接接报告给董事事会或董事会会下设的风险险管理委员会会和审计委员员会各相关部门和和业务单位风险管理职能能部门和董事事会下设的风风险管理委员员会内部审计部门门和董事会下下设的审计委委员会风险管理的三三道防线定期自查和检检验并汇报检查、检验并并评价出具评价和建建议报告监督评价内部审计在风风险管理监督督中的工作方方法内部审计的主主要工作是确确保业务部门门和风险管理理职能部门能能够识别出企企业的重大风风险并对这些些重大风险进进行了有效管管理。关注企业的重大风险，不能平均用力。第二部分：逐逐条讲解第三十六条－－监督与改进进的概述第三十七条－－建立信息沟沟通渠道，奠奠定监督基础础第三十八条－－各相关部门门与业务单位位的责任第三十九条－－风险管理职职能部门的责责任第四十条条－内部审计计部门的责任任第四十一条－－专业机构的的参与第四十一条－－专业机构的的参与“企业可聘请请有资质、信信誉好、风险险管理专业能能力强的中介介机构对企业业全面风险管管理工作进行行评价，出具具风险管理评评估和建议专专项报告。报报告一般应包包括以下几方方面的实施情情况、存在缺缺陷和改进建建议：(一)风险管理基本本流程与风险险管理策略；；(二)企业重大风险险、重大事件件和重要管理理及业务流程程的风险管理理及内部控制制系统的建设设；(三)风险管理组织织体系与信息息系统；(四)全面风险管理理总体目标。。”国有企业实施施全面风险管管理的难点专业中介机构构参与这项工工作的必要性性专业中介机构构的工作内容容和方法专业咨询机构构参与企业风风险管理监督督的成功要素素国有企业实施施全面风险管管理的难点目前，在美国国上市的中国国公司已经开开始按照萨班班斯法案404条款的要求建建立全面的内内部控制体系系，如中海油油、中国石油油、中国联通通、中国铝业业、华能电力力、中国人寿寿等。根据德德勤的项目经经验，国有企企业目前实施施全面风险管管理的难点主主要是：目标设定未设定具体控控制目标风险评估无正式风险评评估程序控制措施不正规不标准准或没有证据据支持的控制制措施控制文件不完完整，如不完整或过时时的政策和程程序缺乏对主要业业务环节/程序/目标/风险/控制的全面分析不符合COSO标准的控制框架内部审计不完完全独立，更更像一个特别别财务项目小小组测试方法缺乏正式的测测试方法来支支持管理层对对内控的评估估国有企业实施施全面风险管管理的难点（（续）内部控制整体体框架仅仅认为内控控是在业务层层面，忽略了了公司层面和和IT基础层面的内内控内控目标很多中国企业业思考的内控控目标也囿于于财务报告可可靠性而忽略略运营效果&效率和合规性性目标，使得得内部控制仅仅仅限制在财财务会计部门门，成为一种种纯粹的会计计控制，因此此无法延伸到到整个企业的的各个流程内内部，进而演演变为一种管管理文化。实施方法很多企业尚未未建立流程企企业的观念，，建立内控体体系时仍然按按照职能部门门展开。内部审计缺乏强有力的的内部审计部部门来评估内内部控制设计计的合理性和和执行的有效效性内控观念很多企业思考考内控时，一一般都是“他他律”的概念念，并未考虑虑与“自律””的业绩管理理的结合问题题。信息化管理忽略信息化在在内控的应用用培训内容第一部分：本本章概述第二部分：逐逐条讲解第三部分：重重点回顾第三部分：重重点回顾风险管理监督督和改进的对对象和重点三道防线各自自在风险管理理监督和改进进中的作用和和职责专业中介机构构在风险管理理监督和改进进中的作用监督的对象监督和改进的的对象和重点点监督的重点1.风险管理初始始信息2.风险评估3.风险管理策略略4.关键控控制活活动5.风险管管理解解决方方案1.重大风风险2.重大事事项和和重大大决策策3.重要管管理及及业务务流程程风险管管理活活动是是否有有效结论改进三道防防线各各自在在风险险管理理监督督和改改进中中的作作用和和职责责风险管管理