央企全面风险管理培训07 第六章 风险管理的监督与改进 （德勤(1).ppt

风险管理的监督与改进,德勤华永会计师事务所2006年8月,培训内容,第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾,第一部分：本章概述,前面各章内容的回顾,本章内容的概要,如何对风险管理进行监督和改进？,企业如何落实风险管理的监督和改进？专业机构可以起到什么作用？,企业各部门在风险管理监督和改进中各自应负的职责？,培训内容,第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾,第二部分：逐条讲解,第六章 监督与改进第三十六条概述性描述第三十七条建立信息沟通渠道第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与,第三十六条监督与改进的概括性描述,“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”,监督与改进在风险管理体系中的重要性监督与改进的实质监督与改进的对象、内容及结论监督风险管理有效性的方法,监督与改进在风险管理体系中的重要性,控制活动,目标设定,事项识别,风险评估,风险应对,内部环境,信息与沟通,监督,内部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。,基于COSO模型的企业风险管理八要素:,管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。,必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。,通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。,制订和执行政策与程序以确保风险应对得以有效实施。,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。,对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,监督和改进在风险管理体系中的重要性(续）,引自COSO ERM框架,考虑,企业各个层面的活动,企业风险管理的,8要素,可在4个范畴内审阅,确保及时执行风险管理活动的政策和流程,对影响企业绩效的内外部因素的评估,企业的控制意识，“来自高层的声音”,判定内部控制设计、执行充分性、有效性和适应性的流程,持续监控,控制活动,风险响应,风险评估,目标设定,事件辨别,信息与沟通,确保及时识别并传达相关信息的流程,监督和改进的实质,监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进，持续提升风险管理水平。,关注风险管理的目标,分析风险管理实施的有效性,发现并传递重大风险管理缺陷,持续提升风险管理水平,根据变化情况及时加以改进,监督和改进的实质,执行相关测试和自我评估,监督的对象、重点及结论,监督的重点,监督的对象,1.风险管理初始信息,2.风险评估,3.风险管理策略,4.关键控制活动,5.风险管理解决方案,1.重大风险,2.重大事项和重大决策,3.重要管理及业务流程,风险管理活动是否有效,结论,改进,即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守,以重大风险、重大事件和重大决策、重要管理及业务流程为重点,监督风险管理有效性的方法,压力测试返回测试穿行测试风险控制自我评估,指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。,将历史数据输入到风险管理模型或内控流程中，把结果与预测值对比，以检验其有效性的方法。,在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。,风险控制自我评估（RSA）是一种新兴的技术和方法，即公司为更好地实现风险管理的目标，定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。,第二部分：逐条讲解,第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第四十条 内部审计部门的责任 第四十一条专业机构的参与,第三十七条建立信息沟通渠道,“企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。”,风险管理信息沟通的必要性对风险管理信息沟通的要求建设信息沟通渠道的具体措施,风险管理信息沟通的必要性,引自COSO ERM框架,考虑,企业各个层面的活动,企业风险管理的,8要素,可在4个范畴内审阅,确保及时执行风险管理活动的政策和流程,对影响企业绩效的内外部因素的评估,企业的控制意识，“来自高层的声音”,判定内部控制设计、执行充分性、有效性和适应性的流程,持续监控,控制活动,风险响应,风险评估,目标设定,事件辨别,信息与沟通,确保及时识别并传达相关信息的流程,对风险管理信息沟通的要求,传递的内容：以重大风险、重大事件和重大决策、重要管理及业务流程为重点，传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。传递的要求：及时保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整保证把应该传递的信息不打任何折扣地传递到相关部门和岗位,沟通频率高、方式随意,具有沟通所需的物质条件,建设信息沟通渠道的具体措施,管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、各业务单位负责人就生产、运营情况进行沟通、交流；财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。员工除了正常向直属上级汇报工作的沟通渠道外，还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通，提出合理化建议和要求、反映违纪和舞弊问题等。,各部门定期组织对本部门员工的定期培训，使员工清楚他的目标及他的职责和别人的职责如何相互影响；人事部门根据公司制定的各种业绩考核办法组织对各级人员进行业绩考核，并及时将考核结果反馈给被考核人，有效检查各级人员对其职责的理解和有效控制,明确职责和有效控制,内部沟通与交流,第二部分：指引讲解,第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第四十条 内部审计部门的责任 第四十一条专业机构的参与,第三十八条各相关部门与业务单位的责任,“企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。”,各相关部门与业务单位是对风险管理进行监督的第一道防线如何进行自查和检查缺陷报告和改进措施,各相关部门和业务单位是对风险管理进行监督的第一道防线,各相关部门和业务单位,风险管理职能部门和董事会下设的风险管理委员会,内部审计部门和董事会下设的审计委员会,风险管理的三道防线,定期自查和检验并汇报,检查、检验并评价,出具评价和建议报告,监督评价,风险管理中各部门的职责分工,质量控制,各相关职能部门和业务单位,审计委员会,CEO/CFO,风险管理流程所有者,中介机构,共同组建项目组,风险管理委员会(ICC),风险管理评估报告,项目执行,技术专家,公司层面控制项目组,业务层面控制项目组,信息系统控制项目组,内部审计师,各相关部门和业务单位如何进行自查和检查,获得风险管理执行的证据 获得外部对内部信息的反映和印证定期核对会计记录与实物资产对外部审计师提出的建议作出响应建立相关渠道获得风险管理的反馈信息监督员工对道德规范的遵守情况和是否执行了控制活动,缺陷报告和改进措施,部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人，以及风险管理部门汇报，但特殊类型的缺陷必须直接向高级管理层和董事会汇报。,识别出错误交易或行为,针对问题的根本原因进行调查,实施跟进，确保必要的纠正措施得到实施,识别高风险区域,防范误区：“他律”,第二部分：逐条讲解,第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与,第三十九条风险管理职能部门的责任,“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”,对风险管理策略进行定期评估对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验对跨部门和业务单位的风险管理解决方案进行评价风险管理职能部门的报告路线,对风险管理策略进行定期评估,什么是风险管理策略？,指引第二十六条明确规定：“风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。”,谁来制定风险管理策略？,董事会及其下属的风险管理委员会应当负责制定风险管理策略。,怎样管理风险管理策略？,指引第三十条中明确规定：“企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。”,风险管理职能部门作为其支持机构的主要职责？,保证风险管理策略得以遵循和落实，负责协同有关部门制定具体执行办法和风险管理解决方案；随时审视公司的经营环境、发展战略和业务开展等重要风险因素的变化，对风险管理策略是否合理和适用做出判断，必要时做出调整建议；定期总结汇报企业风险因素的变化情况和风险管理的各方面工作，为其决策提供全面的信息支持。,对风险管理工作实施情况和有效性进行检查和检验,有效性,合理性,适用性,定期审查各部门的风险管理工作,公司总体风险管理状况的报告,对跨部门和业务单位的风险管理解决方案进行评价,风险管理部门应当定期评价风险管理方案的适当性、合理性和有效性，从以下两个方面着手：一是审视风险管理解决方案的执行情况，了解其中的问题，提出调整和改进建议，保证有效性；二是根据风险管理策略的变化做出调整建议，保证其适用性。,风险管理解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。（见指引第三十一条）,风险管理职能部门的报告路线,董事会及其下设的风险管理委员会,总经理或主管副总,风险管理职能部门,小结,作为企业风险管理的专业部门，风险管理部门的职责应当体现风险管理流程的各个环节，主要包括以下各个方面：,收集风险管理初始信息，掌握企业面临的风险状况,采用专业并适用的系统评估方法进行风险评估,协调风险管理的内部各方的工作，保证各项工作有效开展,合理利用外部专业机构的服务，提高风险管理专业性，保证工作的效率和效果,第二部分：逐条讲解,第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与,第四十条内部审计部门的责任,“企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。”,回顾内部审计的定义内部审计在风险管理监督中的职责内部审计对风险管理监督结果的报告路线内部审计在风险管理监督中的工作方法,内部审计定义回顾,内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营x效益。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。,第一代（1980之前）,第二代（80年代）,第三代（90年代）,第四代（21世纪）,控制,企业风险,企业风险管理流程,控制结构,出发点是已有的流程、程序和控制,以符合性测试为主,出发点是财务 风险和符合性 风险,确定应该存 在的控制,审计目的是评 估控制的设计、运行效果和合 规性,出发点是对企 业和各种风险 的充分理解,确定应该存 在的控制,审计目的是评 估控制的设计、运行效果和合 规性,确定应该存在的能 有效控制风险的企 业风险管理流程,评估在各个企业 风险管理流程的 设计、运行效果 和合规性,出发点是对企业和 各种风险的充分理 解,内部审计职能的转变,财务报表审计离任审计审慎性复核,前瞻性Proactive,过去,内审的改变,未来,被动性Reactive,内部控制风险管理公司治理,内部审计在现代企业中的新角色,存货盘点,发询证函,指标考核,符合性测试,价值评估,效率考察,协助外审,咨询建议,.,.,企业内部控制有效的有效组成部分防错纠弊的检察员监控企业运作和资源使用的效率和效果协助外部审计风险管理咨询,内部审计在风险管理监督中的职责,内部审计作为整个风险管理监督的最后一道防线，它的职责是：防范误区：内部审计对风险管理的监督职责不能替代风险管理职能部门的工作，更不能替代业务部门对风险管理进行监督和改进的职责。在目前国内的企业中，很容易把这些监督职责全部放到内部审计的头上，致使内部审计越俎代庖。,确保业务部门自己进行有效的风险管理（包括自己对所从事业务的风险管理的监督与改进）,确保风险管理职能部门确实履行了自己对风险管理进行监督与改进的职责，是对公司整体风险管理的独立可观的监督。,内部审计对风险管理监督结果的报告路线,内部审计对风险管理监督结果应直接报告给董事会或董事会下设的风险管理委员会和审计委员会,各相关部门和业务单位,风险管理职能部门和董事会下设的风险管理委员会,内部审计部门和董事会下设的审计委员会,风险管理的三道防线,定期自查和检验并汇报,检查、检验并评价,出具评价和建议报告,监督评价,内部审计在风险管理监督中的工作方法,内部审计的主要工作是确保业务部门和风险管理职能部门能够识别出企业的重大风险并对这些重大风险进行了有效管理。,第二部分：逐条讲解,第三十六条监督与改进的概述第三十七条建立信息沟通渠道，奠定监督基础第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第 四十 条内部审计部门的责任 第四十一条专业机构的参与,第四十一条专业机构的参与,“企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：(一)风险管理基本流程与风险管理策略；(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；(三)风险管理组织体系与信息系统；(四)全面风险管理总体目标。”,国有企业实施全面风险管理的难点专业中介机构参与这项工作的必要性专业中介机构的工作内容和方法专业咨询机构参与企业风险管理监督的成功要素,国有企业实施全面风险管理的难点,目前，在美国上市的中国公司已经开始按照萨班斯法案404条款的要求建立全面的内部控制体系，如中海油、中国石油、中国联通、中国铝业、华能电力、中国人寿等。根据德勤的项目经验，国有企业目前实施全面风险管理的难点主要是：目标设定 未设定具体控制目标风险评估无正式风险评估程序控制措施不正规不标准或没有证据支持的控制措施控制文件不完整，如不完整或过时的政策和程序缺乏对主要业务环节/程序/目标/风险/控制的全面分析不符合COSO标准的控制框架内部审计不完全独立，更像一个特别财务项目小组 测试方法 缺乏正式的测试方法来支持管理层对内控的评估,国有企业实施全面风险管理的难点（续）,内部控制整体框架 仅仅认为内控是在业务层面，忽略了公司层面和IT基础层面的内控 内控目标 很多中国企业思考的内控目标也囿于财务报告可靠性而忽略运营效果&效率和合规性目标，使得内部控制仅仅限制在财务会计部门，成为一种纯粹的会计控制，因此无法延伸到整个企业的各个流程内部，进而演变为一种管理文化。实施方法 很多企业尚未建立流程企业的观念，建立内控体系时仍然按照职能部门展开。内部审计 缺乏强有力的内部审计部门来评估内部控制设计的合理性和执行的有效性内控观念 很多企业思考内控时，一般都是“他律”的概念，并未考虑与“自律”的业绩管理的结合问题。信息化管理 忽略信息化在内控的应用,培训内容,第一部分：本章概述第二部分：逐条讲解第三部分：重点回顾,第三部分：重点回顾,风险管理监督和改进的对象和重点三道防线各自在风险管理监督和改进中的作用和职责专业中介机构在风险管理监督和改进中的作用,监督的对象,监督和改进的对象和重点,监督的重点,1.风险管理初始信息,2.风险评估,3.风险管理策略,4.关键控制活动,5.风险管理解决方案,1.重大风险,2.重大事项和重大决策,3.重要管理及业务流程,风险管理活动是否有效,结论,改进,三道防线各自在风险管理监督和改进中的作用和职责,风险管理流程所有者,持续自我评估以识别风险和控制文档记录和实施控制识别控制差异执行补救活动,运行和监督公司风险管理活动维持基本结构和执行风险管理职能部门的建议定义风险管理流程所有者和确保执行管理控制活动报告风险管理信息,确保维持和评估风险管理有效性监督风险管理缺陷的补救措施报告风险管理信息,拥有和管理风险,内部控制责任主体,监视和建议,内审部门和内审委员会,风险管理职能部门和风险管理委员会,各相关部门和业务单位,确认和报告,向董事会报告风险管理的现状证明各自领域风险管理的设计和执行有效性,风险管理,专业中介机构在风险管理监督和改进中的作用,Assertion,项目计划,试点、推广、全面实施,项目结束,Entity,-,Level,Process,-,Level,Technology Solution Support,Program Communications,Project Team,Scope&Plan,Assess&Define,Identify,&Document,Test&,Remediate,Monitor,Certify,&Assert,规范和完善控制目标和控制活动,内部控制手册,监控程序,运行控制活动并进一步改进,控制目标,公司层面控制,流程层面控制,控制活动,控制矩阵 内部控制手册,技术,流程,人员,项目管理,方法,落实分层责任,项目组的沟通与协调,培训及知识转移,共同组成项目组并进行培训,阶段,范围和计划,识别和记录,规范和完善,运行及改进,监督及报告,价值管理,COSO框架,价值分析,风险评估,IT层面控制,根据客户要求以及德勤在全球的服务经验，德勤开发了风险管理咨询项目整体框架：,成立项目管理办公室,项目管理和质量保证,问答,