07第六章风险管理的监督与改进（德勤dnu.pptx

《07第六章风险管理的监督与改进（德勤dnu.pptx》由会员分享，可在线阅读，更多相关《07第六章风险管理的监督与改进（德勤dnu.pptx（49页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 风险管理的监督与改进德勤华永会计师事务所2006年8月 2培训内容q 第一部分：本章概述q 第二部分：逐条讲解q 第三部分：重点回顾 3第一部分：本章概述前面各章内容的回顾本章内容的概要如何对风险管理进行监督和改进？企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？企业各部门在风险管理监督和改进中各自应负的职责？4培训内容q 第一部分：本章概述q 第二部分：逐条讲解q 第三部分：重点回顾 5第二部分：逐条讲解第六章 监督与改进第三十六条概述性描述第三十七条建立信息沟通渠道第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专

2、业机构的参与 6第三十六条监督与改进的概括性描述“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”1.监督与改进在风险管理体系中的重要性2.监督与改进的实质3.监督与改进的对象、内容及结论4.监督风险管理有效性的方法 7监督与改进在风险管理体系中的重要性控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调，它为企业人员如何认识和对待

3、风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。基于COSO模型的企业风险管理八要素:管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险

4、应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。8监督和改进在风险管理体系中的重要性(续）引自COSO ERM框架考虑 企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅 确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保

5、及时识别并传达相关信息的流程 9监督和改进的实质监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。关注风险管理的目标分析风险管理实施的有效性发现并传递重大风险管理缺陷持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估 10监督的对象、重点及结论监督的重点 监督的对象1.风险管理初始信息 2.风险评估 3.风险管理策略 4.关键控制活动 5.风险管理解决方案 1.重大风险2.重大事项和重大决策3.重要管理及业务流程风险管理活动是否有效

6、结论改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守 11以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影响低发生可能性低影响低发生可能性高影响高发生可能性低影响高发生可能性对实现商业目标的影响风险发生的可能性低灾难性的影响不大高 12监督风险管理有效性的方法压力测试返回测试穿行测试风险控制自我评估 4指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。4将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检

7、验其有效性的方法。4在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。4风险控制自我评估（RSA）是一种新兴的技术和方法，即公司为更好地实现风险管理的目标，定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。13第二部分：逐条讲解第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第四十条 内部审计部门的责任 第四十一条专业机构的参与 14第三十七条建立信息沟通渠道“企业应建立贯穿于整个风险管理基本流程，连接

8、各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。”1.风险管理信息沟通的必要性2.对风险管理信息沟通的要求3.建设信息沟通渠道的具体措施 15风险管理信息沟通的必要性引自COSO ERM框架考虑 企业各个层面的活动企业风险管理的8要素可在4个范畴内审阅 确保及时执行风险管理活动的政策和流程对影响企业绩效的内外部因素的评估企业的控制意识，“来自高层的声音”判定内部控制设计、执行充分性、有效性和适应性的流程持续监控控制活动风险响应风险评估目标设定事件辨别信息与沟通确保及时识别并传达相关信息的流程 16对风险管理信息沟通的要求 传递的内

9、容：以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。传递的要求：及时保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整保证把应该传递的信息不打任何折扣地传递到相关部门和岗位沟通频率高、方式随意 具有沟通所需的物质条件完善的沟通制度和系统 全方位的信息共享 17建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、各业务单位

10、负责人就生产、运营情况进行沟通、交流；财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。员工除了正常向直属上级汇报工作的沟通渠道外，还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。各部门定期组织对本部门员工的定期培训，使员工清楚他的目标及他的职责和别人的职责如何相互影响；人事部门根据公司制定的各种业绩考核办法组织对各级人员进行业绩考核，并及时将考核结果反馈给被考核人，有效检查各级人员对其职责的理解和有效控制明确职责和有效控制 内部沟通与交流 18第二

11、部分：指引讲解第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第四十条 内部审计部门的责任 第四十一条专业机构的参与 19第三十八条各相关部门与业务单位的责任“企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。”1.各相关部门与业务单位是对风险管理进行监督的第一道防线2.如何进行自查和检查3.缺陷报告和改进措施 20各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会

12、内部审计部门和董事会下设的审计委员会 风险管理的三道防线定期自查和检验并汇报 检查、检验并评价出具评价和建议报告 监督评价 21风险管理中各部门的职责分工质量控制各相关职能部门和业务单位审计委员会CEO/CFO风险管理流程所有者 中介机构共同组建项目组风险管理委员会(ICC)风险管理评估报告项目执行 技术专家公司层面控制项目组业务层面控制项目组信息系统控制项目组内部审计师 22各相关部门和业务单位如何进行自查和检查 获得风险管理执行的证据 获得外部对内部信息的反映和印证 定期核对会计记录与实物资产 对外部审计师提出的建议作出响应 建立相关渠道获得风险管理的反馈信息 监督员工对道德规范的遵守情况

13、和是否执行了控制活动 23缺陷报告和改进措施 部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必须直接向高级管理层和董事会汇报。识别出错误交易或行为针对问题的根本原因进行调查实施跟进，确保必要的纠正措施得到实施识别高风险区域防范误区：“他律”24第二部分：逐条讲解第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与 25第三十九条风险管理职能部门的责任“企业风险管理职能部门应定期对各部门和业务单位风险管理

14、工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”1.对风险管理策略进行定期评估2.对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验3.对跨部门和业务单位的风险管理解决方案进行评价4.风险管理职能部门的报告路线 26对风险管理策略进行定期评估什么是风险管理策略？4指引第二十六条明确规定：“风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承

15、担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。”谁来制定风险管理策略？4董事会及其下属的风险管理委员会应当负责制定风险管理策略。怎样管理风险管理策略？4指引第三十条中明确规定：“企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。”风险管理职能部门作为其支持机构的主要职责？4保证风险管理策略得以遵循和落实，负责协同有关部门制定具体执行办法和风险管理解决方案；4随时审视公

16、司的经营环境、发展战略和业务开展等重要风险因素的变化，对风险管理策略是否合理和适用做出判断，必要时做出调整建议；4定期总结汇报企业风险因素的变化情况和风险管理的各方面工作，为其决策提供全面的信息支持。27对风险管理工作实施情况和有效性进行检查和检验有效性合理性适用性定期审查各部门的风险管理工作公司总体风险管理状况的报告 28对跨部门和业务单位的风险管理解决方案进行评价风险管理部门应当定期评价风险管理方案的适当性、合理性和有效性，从以下两个方面着手：一是审视风险管理解决方案的执行情况，了解其中的问题，提出调整和改进建议，保证有效性；二是根据风险管理策略的变化做出调整建议，保证其适用性。风险管理解

17、决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。（见指引第三十一条）29风险管理职能部门的报告路线董事会及其下设的风险管理委员会 总经理或主管副总风险管理职能部门 30小结 作为企业风险管理的专业部门，风险管理部门的职责应当体现风险管理流程的各个环节，主要包括以下各个方面：收集风险管理初始信息，掌握企业面临的风险状况采用专业并适用的系统评估方法进行风险评估协调风险管理的内部各方的工作，保证各项工作有效开展合理利用外部专业机构的服务，提高风险管理

18、专业性，保证工作的效率和效果 31第二部分：逐条讲解第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与 32第四十条内部审计部门的责任“企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。”1.回顾内部审计的定义2.内部审计在风险管理监督中的职责3

19、.内部审计对风险管理监督结果的报告路线4.内部审计在风险管理监督中的工作方法 33内部审计定义回顾内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营x效益。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。第一代（1980之前）第二代（80年代）第三代（90年代）第四代（21世纪）控制 企业风险 企业风险管理流程 控制结构 出发点是已有的流程、程序和控制 以符合性测试为主 出发点是财务 风险和符合性 风险 确定应该存 在的控制 审计目的是评 估控制的设计、运行效果和合 规性 出发点是对企 业和各种风险 的充分理解 确定应该存 在的控

20、制 审计目的是评 估控制的设计、运行效果和合 规性 确定应该存在的能 有效控制风险的企 业风险管理流程 评估在各个企业 风险管理流程的 设计、运行效果 和合规性 出发点是对企业和 各种风险的充分理 解 34内部审计职能的转变财务报表审计离任审计审慎性复核前瞻性 前瞻性Proactive Proactive过去内审的改变未来被动性 被动性Reactive Reactive内部控制风险管理公司治理 35内部审计在现代企业中的新角色存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议.企业内部控制有效的有 企业内部控制有效的有效组成部分 效组成部分 防错纠弊的检察员 防错纠弊的检察员

21、监控企业运作和资源使 监控企业运作和资源使用的效率和效果 用的效率和效果 协助外部审计 协助外部审计 风险管理咨询 风险管理咨询 36内部审计在风险管理监督中的职责内部审计作为整个风险管理监督的最后一道防线，它的职责是：防范误区：内部审计对风险管理的监督职责不能替代风险管理职能部门的工作，更不能替代业务部门对风险管理进行监督和改进的职责。在目前国内的企业中，很容易把这些监督职责全部放到内部审计的头上，致使内部审计越俎代庖。确保业务部门自己进行有效的风险管理（包括自己对所从事业务的风险管理的监督与改进）确保风险管理职能部门确实履行了自己对风险管理进行监督与改进的职责，是对公司整体风险管理的独立可

22、观的监督。37内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结果应直接报告给董事会或董事会下设的风险管理委员会和审计委员会各相关部门和业务单位风险管理职能部门和董事会下设的风险管理委员会 内部审计部门和董事会下设的审计委员会 风险管理的三道防线定期自查和检验并汇报 检查、检验并评价出具评价和建议报告 监督评价 38内部审计在风险管理监督中的工作方法内部审计的主要工作是确保业务部门和风险管理职能部门能够识别出企业的重大风险并对这些重大风险进行了有效管理。关注企业的重大风险，不能平均用力关注企业的重大风险，不能平均用力。39第二部分：逐条讲解第三十六条监督与改进的概述第三十七条建立信息

23、沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与 40第四十一条专业机构的参与“企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：(一)风险管理基本流程与风险管理策略；(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；(三)风险管理组织体系与信息系统；(四)全面风险管理总体目标。”1.国有企业实施全面风险管理的难点2.专业中介机构参与这项工作的必要性3.专业中介机构的工作内容和方法4.专业咨询机构参与企业风险管理监督的成功要素