07第六章风险管理的监督与改进（德勤

Subhead,Bullet,Indent 1,Indent 2,Indent 3,Master Title,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,风险管理的监督与改进,德勤华永会计师事务所,2006,年8月,培训内容,第一部分：本章概述,第二部分：逐条讲解,第,三,部分：重点回顾,第一部分：本章概述,前面各章内容的回顾,本章内容的概要,如何对风险管理进行,监督和改进？,企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？,企业各部门在风险管理监督和改进中各自应负的职责？,培训内容,第一部分：本章概述,第二部分：逐条讲解,第,三,部分：重点回顾,第二部分：逐条讲解,第六章 监督与改进,第三十六条概述性描述,第三十七条建立信息沟通渠道,第三十八条各相关部门与业务单位的责任,第三十九条风险管理职能部门的责任,第 四十 条内部审计部门的责任,第四十一条专业机构的参与,第三十六条监督与改进的概括性描述,“,企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。,”,监督与改进在风险管理体系中的重要性,监督与改进的实质,监督与改进的对象、内容及结论,监督风险管理有效性的方法,监督与改进在风险管理体系中的重要性,控制活动,目标设定,事项识别,风险评估,风险应对,内部环境,信息与沟通,监督,内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。,基于,COSO,模型的企业风险管理八要素,:,管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。,必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。,通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,风险应对,回避、承受、降低,分担风险,采取一系列行动把风险控制在主体的风险承受力和风险容量以内。,制订和执行政策与程序以确保风险应对得以有效实施。,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。,对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,监督和改进在风险管理体系中的重要性,(,续）,引自,COSO ERM,框架,考虑,企业各个层面,的活动,企业风险管理的,8,要素,可在,4,个范畴内审阅,确保及时执行,风险管理,活动的政策和流程,对影响企业绩效的内外部因素的评估,企业的控制意识，“来自高层的声音”,判定内部控制,设计,、,执行,充分性、,有效性,和,适应性,的流程,持续监控,控制活动,风险响应,风险评估,目标设定,事件辨别,信息与沟通,确保,及时,识别并传达,相关信息,的流程,监督和改进的实质,监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。,关注风险管理的目标,分析风险管理实施的有效性,发现并传递重大,风险,管理缺陷,持续提升风险管理水平,根据变化情况及时加以改进,监督和改进的实质,执行相关测试和自我评估,监督的对象、重点及结论,监督的重点,监督的对象,1.,风险管理初始信息,2.,风险评估,3.,风险管理策略,4.,关键控制活动,5.,风险管理解决方案,1.,重大风险,2.,重大事项和重大决策,3.,重要管理及业务流程,风险管理活动是否有效,结论,改进,即管理层和董事会是否能在以下四个方面得到合理保证：,了解企业战略目标实现的程度,了解企业经营目标实现的程度,企业财务报告的可靠性,企业对相关法律法规的遵守,以重大风险、,重大事件和重大决策、重要管理及业务流程为重点,高影响,低发生可能性,低影响,低发生可能性,高影响,高发生可能性,低影响,高发生可能性,对实现商业,目标的影响,风险发生的可能性,低,灾难性的,影响不大,高,监督风险管理有效性的方法,压力测试,返回测试,穿行测试,风险控制自我评估,指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。,将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。,在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。,风险控制自我评估（,RSA,）是一种新兴的技术和方法，即公司为更好地实现风险管理的目标，定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。,第二部分：逐条讲解,第三十六条监督与改进的概述,第三十七条建立信息沟通渠道，奠定监督基础,第三十八条各相关部门与业务单位的责任,第三十九条风险管理职能部门的责任,第四十条 内部审计部门的责任,第四十一条专业机构的参与,第三十七条建立信息沟通渠道,“企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。”,风险管理信息沟通的必要性,对风险管理信息沟通的要求,建设信息沟通渠道的具体措施,风险管理信息沟通的必要性,引自,COSO ERM,框架,考虑,企业各个层面,的活动,企业风险管理的,8,要素,可在,4,个范畴内审阅,确保及时执行,风险管理,活动的政策和流程,对影响企业绩效的内外部因素的评估,企业的控制意识，“来自高层的声音”,判定内部控制,设计,、,执行,充分性、,有效性,和,适应性,的流程,持续监控,控制活动,风险响应,风险评估,目标设定,事件辨别,信息与沟通,确保,及时,识别并传达,相关信息,的流程,对风险管理信息沟通的要求,传递的内容：,以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。,传递的要求：,及时,保证把重要相关信息在应该被传递的时间传递到相关部门和岗位,准确,保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位,完整,保证把应该传递的信息不打任何折扣地传递到相关部门和岗位,沟通频率高、方式随意,具有沟通所需的物质条件,完善的沟通制度和系统,全方位的信息共享,建设信息沟通渠道的具体措施,管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。,公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、各业务单位负责人就生产、运营情况进行沟通、交流；,财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。,财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。,员工除了正常向直属上级汇报工作的沟通渠道外，还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。,各部门定期组织对本部门员工的定期培训，使员工清楚他的目标及他的职责和别人的职责如何相互影响；,人事部门根据公司制定的各种业绩考核办法组织对各级人员进行业绩考核，并及时将考核结果反馈给被考核人，有效检查各级人员对其职责的理解和有效控制,明确职责和有效控制,内部沟通与交流,第二部分：,指引,讲解,第三十六条监督与改进的概述,第三十七条建立信息沟通渠道，奠定监督基础,第三十八条各相关部门与业务单位的责任,第三十九条风险管理职能部门的责任,第四十条 内部审计部门的责任,第四十一条专业机构的参与,第三十八条各相关部门与业务单位的责任,“,企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。,”,各相关部门与业务单位是对风险管理进行监督的第一道防线,如何进行自查和检查,缺陷报告和改进措施,各相关部门和业务单位是对风险管理进行监督的第一道防线,各相关部门和业务单位,风险管理职能部门和董事会下设的风险管理委员会,内部审计部门和董事会下设的审计委员会,风险管理的三道防线,定期自查和检验并汇报,检查、检验并评价,出具评价和建议报告,监督评价,风险管理中各部门的职责分工,质量控制,各相关职能部门和业务单位,审计委员会,CEO/CFO,风险管理流程所有者,中介机构,共同组建项目组,风险管理委员会,(ICC),风险管理评估报告,项目执行,技术专家,公司层面控制,项目组,业务层面控制,项目组,信息系统控制,项目组,内部审计师,各相关部门和业务单位如何进行自查和检查,获得风险管理执行的证据,获得外部对内部信息的反映和印证,定期核对会计记录与实物资产,对外部审计师提出的建议作出响应,建立相关渠道获得风险管理的反馈信息,监督员工对道德规范的遵守情况和是否执行了控制活动,缺陷报告和改进措施,部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必须直接向高级管理层和董事会汇报。,识别出错误交易或行为,针对问题的根本原因,进行调查,实施跟进，确保必要的纠正措施得到实施,识别高风险区域,防范误区：“他律”,第二部分：逐条讲解,第三十六条监督与改进的概述,第三十七条建立信息沟通渠道，奠定监督基础,第三十八条各相关部门与业务单位的责任,第三十九条风险管理职能部门的责任,第 四十 条内部审计部门的责任,第四十一条专业机构的参与,第三十九条风险管理职能部门的责任,“,企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。,”,对风险管理策略进行定期评估,对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对跨部门和业务单位的风险管理解决方案进行评价,风险管理职能部门的报告路线,对风险管理策略进行定期评估,什么是风险管理策略？,指引,第二十六条明确规定：,“,风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。,”,谁来制定风险管理策略？,董事会及其下属的风险管理委员会应当负责制定风险管理策略。,怎样管理风险管理策略？,指引,第三十条中明确规定：,“,企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。,”,风险管理职能部门作为其支持机构的主要职责？,保证风险管理策略得以遵循和落实，负责协同有关部门制定具体执行办法和风险管理解决方案；,随时审视公司的经营环境、发展战略和业务开展等重要风险因素的变化，对风险管理策略是否合理和适用做出判断，必要时做出调整建议；,定期总结汇报企业风险因素的变化情况和风险管理的各方面工作，为其决策提供全面的信息支持。,对风险管理工作实施情况和有效性进行检查和检验,有效性,合理性,适