2.第六章 风险管理的监督与改进及内部审计 (德勤

风险管理的监督与改进德勤华永会计师事务所2006年8月2培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾3第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险管理进行监督和改进？企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？企业各部门在风险管理监督和改进中各自应负的职责？4培训内容第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾5第二部分：逐条讲解第六章监督与改进第三十六条－概述性描述第三十七条－建立信息沟通渠道第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与6第三十六条－监督与改进的概括性描述“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”1.监督与改进在风险管理体系中的重要性2.监督与改进的实质3.监督与改进的对象、内容及结论4.监督风险管理有效性的方法7监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。基于COSO模型的企业风险管理八要素:管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对——回避、承受、降低分担风险——采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。8监督和改进在风险管理体系中的重要性(续）——引自COSOERM框架考虑企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通内部环境目标设定事件识别风险评估风险对策控制活动信息与沟通监控战略目标经营目标财务目标合规目标子公司业务单元职能部门公司层面内部环境目标设定事件识别风险评估风险对策控制活动信息与沟通监控战略目标经营目标财务目标合规目标子公司业务单元职能部门公司层面确保及时识别并传达相关信息的流程9监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。关注风险管理的目标分析风险管理实施的有效性发现并传递重大风险管理缺陷持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估10监督的对象、重点及结论监督的重点监督的对象1.风险管理初始信息2.风险评估3.风险管理策略4.关键控制活动5.风险管理解决方案1.重大风险2.重大事项和重大决策3.重要管理及业务流程风险管理活动是否有效结论改进即管理层和董事会是否能在以下四个方面得到合理保证：•了解企业战略目标实现的程度•了解企业经营目标实现的程度•企业财务报告的可靠性•企业对相关法律法规的遵守11以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影响低发生可能性低影响低发生可能性高影响高发生可能性低影响高发生可能性对实现商业目标的影响风险发生的可能性低灾难性的影响不大高12监督风险管理有效性的方法•压力测试•返回测试•穿行测试•风险控制自我评估指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。风险控制自我评估（RSA）是一种新兴的技术和方法，即公司为更好地实现风险管理的目标，定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。13第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与14第三十七条－建立信息沟通渠道“企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。”1.风险管理信息沟通的必要性2.对风险管理信息沟通的要求3.建设信息沟通渠道的具体措施15风险管理信息沟通的必要性——引自COSOERM框架考虑企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通内部环境目标设定事件识别风险评估风险对策控制活动信息与沟通监控战略目标经营目标财务目标合规目标子公司业务单元职能部门公司层面内部环境目标设定事件识别风险评估风险对策控制活动信息与沟通监控战略目标经营目标财务目标合规目标子公司业务单元职能部门公司层面确保及时识别并传达相关信息的流程16对风险管理信息沟通的要求传递的内容：以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。传递的要求：及时——保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确——保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整——保证把应该传递的信息不打任何折扣地传递到相关部门和岗位沟通频率高、方式随意具有沟通所需的物质条件完善的沟通制度和系统全方位的信息共享17建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、各业务单位负责人就生产、运营情况进行沟通、交流；财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。员工除了正常向直属上级汇报工作的沟通渠道外，还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。各部门定期组织对本部门员工的定期培训，使员工清楚他的目标及他的职责和别人的职责如何相互影响；人事部门根据公司制定的各种业绩考核办法组织对各级人员进行业绩考核，并及时将考核结果反馈给被考核人，有效检查各级人员对其职责的理解和有效控制明确职责和有效控制内部沟通与交流18第二部分：《指引》讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与19第三十八条－各相关部门与业务单位的责任“企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。”1.各相关部门与业务单位是对风险管理进行监督的第一道防线2.如何进行自查和检查3.缺陷报告和改进措施20各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会内部审计部门和董事会下设的审计委员会风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告监督评价21风险管理中各部门的职责分工质量控制各相关职能部门和业务单位审计委员会CEO/CFO风险管理流程所有者中介机构共同组建项目组风险管理委员会(ICC)风险管理评估报告项目执行技术专家公司层面控制项目组业务层面控制项目组信息系统控制项目组内部审计师22各相关部门和业务单位如何进行自查和检查获得风险管理执行的证据获得外部对内部信息的反映和印证定期核对会计记录与实物资产对外部审计师提出的建议作出响应建立相关渠道获得风险管理的反馈信息监督员工对道德规范的遵守情况和是否执行了控制活动……23缺陷报告和改进措施部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必须直接向高级管理层和董事会汇报。识别出错误交易或行为针对问题的根本原因进行调查实施跟进，确保必要的纠正措施得到实施识别高风险区域防范误区：“他律”24第二部分：逐条讲解第三十六条－监督与改进的概述第三十七条－建立信息沟通渠道，奠定监督基础第三十八条－各相关部门与业务单位的责任第三十九条－风险管理职能部门的责任第四十条－内部审计部门的责任第四十一条－专业机构的参与25第三十九条－风险管理职能部门的责任“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”1.对风险管理策略进行定期评估2.对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验3.对跨部门和业务单位的风险管理解决方案进行评价4.风险管理职能部门的报告路线26对风险管理策略进行定期评估什么是风险管理策略？《指引》第二十六条明确规定：“风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。”谁来制定风险管理策略？董事会及其下属的风险管理委员会应当负责制定风险管理策略。怎样管理风险管理策略？《指引》第三十条中明确规定：“企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。”风险管理职能部门作为其支持机构的主要职责？保证风险管理策略得以遵循和落实，负责协同有关部门制定具体执行办法和风险管理解决方案；随时审视公司的经营环境、发展战略和业务开展等重要风险因素的变化，对风险管理策略是否合理和适用做出判断，必要时做出调整建议；定期总结汇报企业风险因素的变化情况和风险管理的各方面工作，为其决策提供全面的信息支持。27对风险管理工作实施情况和有效性进行检查和检验有效性合理性适用性定期审查各部门的风险管理工作公司总体风险管理状况的报告28对跨部门和业务单位的风险管理解决方案进行评价风险管理部门应当定期评价风险管理方案的适当性、合理性和有效性，从以下两个方面着手：一是审视风险管理解决方案的执行情况，了解其中的