第11章-企业风险管理方案实施、报告与改进

企业风险管理任课教师：秦德智教授E-mail：qindezhi@vip.sina.com第十一章企业风险管理方案实施、报告与改进——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进学习目标掌握企业风险管理方案实施过程掌握企业风险管理的监控与评价掌握撰写风险管理报告掌握风险管理循环——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进风险管理方案实施须经过以下环节：第一节风险管理方案的实施最高管理层重视参与制定章程标准及工作内容合理落实授权责任经控制融入业务流程业绩经历与风险联系形成风险管理文化任务——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进第一节风险管理方案的实施(一)制定明确的目标、标准及过程(二)最高管理层的支持及参与(三)选择、发展最佳风险管理人才(一)落实风险管理责任应遵循的原则(1)介入原则；(2)预防原则；(3)重点原则；(4)现场原则；(5)全面原则。(二)明确领导责任(三)取得责任人认可一、最高管理层重视和参与二、制订章程和工作内容描述三、合理分配权责、落实管理责任四、将风险控制融入业务流程五、强化业绩、奖励和风险之间的联系六、形成企业风险管理文化——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(一)持续监控活动(1)在日常工作中获取能够判断内部控制与风险管理执行情况的信息；(2)外部反映与公司内部信息的反映是否吻合，有多大差异；(3)财务系统数据与实物资产的定期核对；(4)重视内外部审计师提出的改善措施，并积极配合；(5)各级管理人员应积极了解内部控制与风险管理的执行情况；(6)定期与员工进行沟通；(7)关注和支持内部审计活动。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(二)个别评价活动个别评价关注要点：①评价计划的制订；②评价活动的执行；③评价报告和纠正措施。1．个别评价的步骤(1)计划。①规定评价的目标和范围；②确定一个具有管理该评价所需权力的主管人员；③确定评价小组、辅助人员和主要业务单元联系人；④规定评价方法、时间路线和实施步骤；⑤就评价计划达成一致意见。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(二)个别评价活动1．个别评价的步骤(2)执行。①获得对业务单元或业务流程活动的了解；②了解单元或流程的风险管理过程是如何设计运作的；③应用一致同意的方法来评价风险管理过程；④通过与公司内部审计标准的比较来分析结果，并在必要时采取后续措施；⑤如果适用的话，记录缺陷和被提议的纠正措施；⑥与适当人员复核和验证调查结果。(3)报告和纠正措施。①与业务单元或过程以及其他适当的管理人员复核结果；②从单元或业务过程的管理人员处获得说明和纠正计划；③把管理反馈写入最终的评价报告。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(二)个别评价活动2．个别评价方法和工具(1)过程流程图；(2)风险与控制矩阵；(3)风险与控制参考手册；(4)使用内部行业或同行的信息确定基准；(5)计算机辅助审计技术；(6)风险与控制自我评价讨论会；(7)调查问卷；(8)动员会第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(二)个别评价活动2．个别评价方法和工具(1)过程流程图；(2)风险与控制矩阵；(3)风险与控制参考手册；(4)使用内部行业或同行的信息确定基准；(5)计算机辅助审计技术；(6)风险与控制自我评价讨论会；(7)调查问卷；(8)动员会第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(三)监督测试活动通过对风险控制点的实际情况进行有效性检测，以确定各业务流程中的控制是否依照公司内部控制的规定运行，并向公司报告测试结果及失效控制点的整改建议，监督整改落实情况，并为公司董事会出具内部控制评价报告提供依据。1．测试人员的职责与权限职责：根据公司制订的测试方法对控制点进行测试，判断各项测试对象内部控制的有效性和合理性。根据测试的情况出具报告。并保证工作底稿及测试报告的真实性和完整性。权力：有权查阅与所测试的业务流程有关的凭证、文件；就所测试的流程询问相关经办人员；就测试过程中出现的障碍向测试项目组组长汇报。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(三)监督测试活动2．测试活动流程(1)测试工作计划。①制订和编写《测试工作计划表》；②获取和分析被测试子公司的财务和业务资料；③确认被测试对象提供的内部控制材料是最新的；④确认测试人员已到位。(2)召开测试项目启动会议。(3)运行有效性测试。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(三)监督测试活动2．测试活动流程(4)分析测试结果。①问题的特殊性质是否可能给公司带来重大影响。②单个或多个问题发现导致财务报表中出现错报，或在披露中出现虚伪陈述的可能性。③财务报表中出现错报或在披露中出现虚伪陈述后果的重要性和严重性。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(三)监督测试活动2．测试活动流程(5)编写测试报告。应完整和准确地反映如下问题：①违反风险管理要求的控制点及其重要性。②各测试问题可能产生的影响。③可能受影响的经济指标及影响程度。④改进建议。⑤执行时间表。⑥被测试单位的反馈意见等。(6)召开测试项目结束会议。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(三)监督测试活动3．测试方法运行有效性测试方法应该包括：(1)适当的人员询问。(2)相关文档的审阅。(3)风险控制点执行的实地观察。(4)对控制点执行重复验证等。测试人员可根据控制点的不同性质，选择适用于该控制点测试的方法或方法组合。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险监控的形式与方法(三)监督测试活动4．保存测试的工作底稿(1)保存。测试工作底稿经过分类整理汇集后，编号归档，形成档案。①对测试归档资料进行清理核实检查，按周期和流程编号排放，并制作文件索引。②制作档案交接清单，由测试项目组组长签字。③留存交接清单，作为测试工作资料保留。(2)保密措施。在测试时间内所收集的凭证、文档和样本须统一归口管理。测试人员不得向他人透露有关测试的任何资料。涉及企业机密的内容有绝对保密的责任。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进二、监控评价过程的要求及原则(一)监控评价的要求(1)评价者必须了解所评价主体的每一项活动以及企业风险管理的每一个构成要素。(2)评价者必须确定系统实际上运行得如何。(3)评价者了解确定实际运行状况时可通过与执行人或受到风险管理影响的人进行讨论的方式来完成。(4)评价者在测试分析企业风险管理过程的设计及执行结果时，要以管理当局针对每一构成要素所制定的标准为依据。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进二、监控评价过程的要求及原则(二)监控评价应遵循的原则(1)独立性。(2)可信性。(3)可操作性。(4)透明性。(5)反馈性。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进三、企业风险监督的重点企业风险监督的内容包括两方面：一是方法技术，即对相关人员所用方法、为执行选定的风险管理战略所设计的特别技术环节等，实施即时控制；二是程序过程，即对企业的执行官员、高级管理者、过程／活动责任人和风险管理责任人、内部实施及执行人员等，所使用的一切正式及非正式的程序进行监控。企业风险管理监控重点是：(1)现存的重点风险。(2)新出现的风险。(3)风险管理绩效。(4)特定的度量措施、政策与程序。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进三、企业风险监督的重点第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进四、风险监控评价的程序企业应根据自身对风险情况掌握进行内部定期评价和外部评价。(一)各部门自查、自检和评估(二)风险管理职能部门评估第二节风险管理的监督、控制与评价风险现状标准原因影响评价建议没有重要的例外，内部控制设计良好标准的控制程序流程图风险控制和抑制措施将风险控制在可接受水平下控制设计适中可行尚无更正确建议现金的收入、记账和保管由同一人执行原设计是相互分离的职务另一位出纳病故①存在挪用公款可能②怀疑贪污控制设计有缺欠、执行无效应将收款、记账、保管实施职务分离——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进四、风险监控评价的程序(三)外部中介机构检查评估企业可聘请有资质、信誉好、风险管理专业能力强的中介机构和顾问，对企业全面风险管理工作进行评价，出具风险管理评估和检查专题报告。报告应评价风险管理计划的实施情况、存在的缺陷及改进建议。可就下列事项中的某一项或全部提供咨询：①风险管理基本流程与风险管理策略；②重大风险、重大事件和重要业务流程的风险管理及内部控制系统的建设；③风险管理组织体系与信息系统；④全面风险管理的总体目标。应该注意：中介机构和顾问只起到协助、补充和促进作用，不能取代高层管理者在风险管理中的作用。第二节风险管理的监督、控制与评价——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险报告对象及内容监控评价过程中发现的风险管理缺陷——影响企业经营战略目标设定及实现的各种现象及行为等，应向有关部门和所涉及的人员进行报告。至于向谁报告缺陷，COSO—ERM2004列示如下：·把缺陷报告给那些直接负责实现受这些缺陷影响的经营目标的人·把缺陷报告给直接负责这些活动的人以及至少高一级的人·存在报告敏感信息(如非法或不当行为)的备选报告渠道·特定类型的缺陷要报告给更高级的管理者·针对向董事会或特定的董事会、委员会报告的内容制定规程·把已采取的或将要采取的纠正措施的信息，反馈给参与报告过程的相关人员第三节风险报告——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进一、风险报告对象及内容向高级管理层报告的例示性标准当一个事件发生的可能性不可忽略，而且其影响会引发以下结果时，要报告缺陷：·对员工或其他人的安全产生不利影响·非法或不当行为·资产的重大损失·没有实现主要目标·对主体的声誉有消极影响·不当的对外报告第三节风险报告——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进二、风险报告种类主要分为以下几大类别：预测性风险报告、监测性风险报告、检查监督性风险报告、周期总结性风险报告和特殊事件报告，还包括应特别要求而出具的相关报告，如向企业利益相关者出具的报告或向监管方提供的报告等。企业风险报告还可以按单一风险报告、组合风险报告和整体风险报告分类；按对内报告和对外报告分类；按口头、文字或信号等报告传递媒体的不同分类；按自动报告和非自动报告分类；以及按财务报告和非财务报告分类等。风险报告应针对不同层次及不同相关利益者，其报告内容及详略也有所区别。第三节风险报告——云南大学商旅学院秦德智教授——第十一章方案实施、报告与改进二、风险报告种类（一）、针对企业内部管理层报告种类·收益、损失的原因报告·当前企业风险状况报告，周期性风险管理总结报告·关键风险的监测报告·经营中发生的意外与偏差