企業(yè)風險管理整合框架

資料范本本資料為word版本，可以直接編輯和打印，感謝您的下載企業(yè)風險管理整合框架地點時間說明：本資料適用于約定雙方經(jīng)過談判，協(xié)商而共同承認，共同遵守的責任與義務，僅供參考，文檔可直接下載或修改，不需要的部分可直接刪除，使用時請詳細閱讀內容第二章《企業(yè)風險管理——整合框架》基本理論一、《企業(yè)風險管理一一整合框架》（簡稱ERM框架）的頒布1992年COSO發(fā)布的《內部控制一一整合框架》雖然被許多企業(yè)采用，但理論界和實務界紛紛提出改進建議，認為其對風險強調不夠，使得內部控制無法與企業(yè)風險管理相結合。2001年，COSO委托普華永道開發(fā)一個對于管理層評價和改進他們所在組織的企業(yè)內部控制的簡便易行的框架。在此期間出現(xiàn)了安然公司破產(chǎn)事件、美國國會2002年出臺了《2002公眾公司會計改革和投資者保護法案》（薩班斯一一奧克斯利法案），該法案是繼美國《1933年證券法》、《1934年證券交易法》以來乂一部具有里程碑意義的法律，該法案強調了公司內部控制的重要性，從管理層、內部審計以及外部審訃等兒個層面對公司內部控制做了具體規(guī)定，并設置了問責機制和相應的懲罰措施，成為繼20世紀30年代美國經(jīng)濟危機以來，政府制定的涉及范圍最廣、處罰最嚴厲的公司法律。2004年，Treadway委員會下屬的發(fā)起組織委員會（COSO）發(fā)布了《企業(yè)風險管理一一整合框架》（ERM）本人認為COSO發(fā)布的《企業(yè)風險管理一一整合框架》，具有較強的理論可取性和實踐可行性，不但涵蓋了內部控制整體框架的全部內容，而且有了更多的創(chuàng)新，必將全面替代COSO發(fā)布的內部控制整合框架，所以本書按照COSO發(fā)布的《企業(yè)風險管理一一整合框架》來闡述。，該框架是在1992年COSO委員會頒布的內部控制框架基礎上，吸收各方風險管理研究成果基礎上提出的，是內部控制整體框架的延伸和擴展，一經(jīng)推出，就迅速得到了推廣。這個框架的顯著變化是將內部控制上升至全面風險管理的高度來認識。COSO發(fā)布《企業(yè)風險管理一一整合框架》的忖的與當初發(fā)布風險管理框架的LI的相似，是由于實務界存在對統(tǒng)一的概念性指南的需要。COSO希望新框架能夠成為組織董事會和管理者的一個有用工具，用來衡量組織的管理團隊處理風險的能力，并希望該框架能夠成為衡量企業(yè)風險管理是否有效的一個標準。二、企業(yè)風險管理的定義《企業(yè)風險管理一一整合框架》（簡稱ERM框架）指出，“全面風險管理是一個過程，它由一個主體的莆事會、管理層和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，并為主體LI標的實現(xiàn)提供合理保證”。企業(yè)全面風險管理指貫穿整個組織的具有結構性、一致性和持續(xù)性的過程，以識別、評估、決定如何應對及報告影響組織LI標實現(xiàn)的機遇和威脅。這是一個廣義的風險管理定義，適用于各種類型的組織、行業(yè)和部門。該定義直接關注組織LI標的實現(xiàn)，并且為衡量企業(yè)風險管理的有效性提供了基礎。該定義強調：(1)企業(yè)的風險管理是一個過程，其本身并不是一個結果，而是實現(xiàn)結果的一種方式。企業(yè)的風險管理是滲透于組織各項活動中的一系列行動。這些行動普遍存在于管理者對組織的日常管理中，是組織日常管理所固有的。它僅是一種工具，是實現(xiàn)口標的工具而已。如果將風險管理看成是一個口標，就會為建立而建立，就會本末倒置，流于形式。(2)企業(yè)全面風險管理框架針對一類或兒類相互獨立但乂存在重疊的U標，口的在于組織H標的實現(xiàn)。這里是一個非常明顯的進步，這種進步不僅僅在于提出“風險管理框架針對一類或兒類相互獨立但乂存在重疊的LI標”風險管理的LI標也是實現(xiàn)多個LI標，這里的關鍵區(qū)別在于直接明確風險管理的終極LI標是促進組織LI標的實現(xiàn)，這就揭示了風險管理的LI的，為風險管理指明了方向，同時這也是判斷風險管理成功失敗的唯一的標準，即風險管理能否有效促進組織LI標的實現(xiàn)。(3)企業(yè)的風險管理是一個過程，一個系統(tǒng)的持續(xù)的動態(tài)過程。這里和風險管理的定義一樣，強調風險管理也是一個過程，是動態(tài)的，組織經(jīng)營管理環(huán)境的變化必然要求風險管理適應環(huán)境變化的要求，風險管理不僅僅是在某個特定時間里執(zhí)行的政策和程序，不僅僅是一種工具，而是組織內部的各部門連續(xù)運作。是一個發(fā)現(xiàn)風險、處理風險、發(fā)現(xiàn)新風險、處理新風險的循環(huán)往復過程。它隨著組織的LI標的變化而變化，隨著面臨環(huán)境的變化而變化等等，這個過程不是僵化的，就象中國古語“世移時移，變法亦矣！”，這個世界唯一不變的是變化，否則就是刻舟求劍，緣木求魚。同時，也強調風險管理是一個全面的系統(tǒng)過程，他不僅僅限于對某一事項和情況的處理，而是滲透到組織的每個方面，只有把風險管理嵌入到組織日常的管理過程中，才能發(fā)揮風險管理機制的作用。（4）企業(yè)風險管理是一個由人參與的過程，涉及一個組織各個層次的員工。定義一方面強調風險的管理不是高高在上，由組織的上層和董事會來實施并承擔責任的，而是組織內每一個人的責任，強調人人有責任和義務參與風險管理，雖然參與的方式有所不同；另一方面也說明每一個員工所做的每一件事和每一份努力都和組織L1標的實現(xiàn)、和風險的控制有直接的關系，培養(yǎng)員工的參與感，樹立員工的主人翁意識和歸屬感，發(fā)自內心地關心企業(yè)的風險管理。（5）該過程可用于組織的戰(zhàn)略制定。組織LJ標可以分為不同的層次，戰(zhàn)略H標是組織最高層次的LI標，它與組織的預期和任務相聯(lián)系并支持預期和任務的實現(xiàn)。一個組織為實現(xiàn)其戰(zhàn)略LI標而制定戰(zhàn)略，并將戰(zhàn)略分解成相應的子口標，再將子U標層層分解到業(yè)務部門、行政部門和各生產(chǎn)過程。在制定戰(zhàn)略時，管理者應考慮與不同的戰(zhàn)略相關聯(lián)的風險。該風險管理過程應該應用于組織內部每個層次和部門，組織管理者對組織所面臨的風險應有一個總體層面上的風險組合觀。一個組織必須從全局、從總體層面上考慮組織的各項活動。企業(yè)的風險管理應考慮組織內所有層面的活動，從組織總體的活動（如戰(zhàn)略訃劃和資源分配）到業(yè)務部門的活動（如市場部、人力資源部），再到業(yè)務流程（如生產(chǎn)過程和新客戶信用復核）。組織是一個整體，有一個整體總目標，雖然總目標分成很多分目標，但是分目標和總目標的實現(xiàn)不是矛盾的，而是統(tǒng)一的，分口標的實現(xiàn)有利于總LI標的實現(xiàn)，否則，分LI標就是失敗的。這里在考慮分LI標時，鼓勵分析人員不要孤立地考慮問題，而是將分口標放在組織整體上來進行考慮，這樣判斷標準就非常清晰明確，從面上看點就更加全面，而不是管中窺豹，只見一斑，見樹木而不見森林。該過程是用來識別可能對組織造成潛在影響的事項并在組織風險偏好的范圉內管理風險。風險偏好主要指對待風險的態(tài)度，具體指組織愿意承受的風險水平。不同組織，同一組織的不同領導人，其風險偏好各不相同，在不同的風險偏好下，風險管理的策略也不相同。風險管理的LI的并非將風險降低到零，也并非將風險控制的越低越好，而是在考慮企業(yè)風險偏好的前提下，設訃風險管理的模式和策略，從而達到企業(yè)風險管理的u的一一將風險控制在企業(yè)可以接受的風險偏好范圍內。（8）設訃合理、運行有效的風險管理能夠向組織的管理者和董事會在組織各LI標的實現(xiàn)上提供合理的保證。一方面強調風險管理可以提供保證；另一方面也強調在完美的風險管理也不可能提供絕對的保證，任何悄況下，風險都很難降到零，所以，風險管理只能提供合理的保證，迷信或片面夸大風險管理的效果是不恰當?shù)??？傊?，企業(yè)風險管理是一個過程，企業(yè)風險管理的有效性是某一時點的一個狀態(tài)或條件。決定一個企業(yè)的風險管理是否有效是基于對風險管理要素設訃和執(zhí)行是否正確的評估基礎上的一個主觀判斷。企業(yè)的風險管理要有效，則其設訃必須包括所有的要素并得到執(zhí)行。企業(yè)風險管理可以從一個組織的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。即使是站在某一特定的業(yè)務部門的角度來看待風險管理，所有的要素也都應作為基準包含在內。三、企業(yè)風險管理框架的構成要素企業(yè)風險管理框架分為內部環(huán)境、目標制定（設定）、事項識別、風險評估、風險反應（風險應對）、控制活動、信息和溝通、監(jiān)控等八個相互關聯(lián)的要素，各要素貫穿在組織的管理過程之中。（-）內部環(huán)境1、概念和作用所謂內部環(huán)境就是對組織風險管理的建立和實施有重大影響的因素的統(tǒng)稱，是建立、加強或削弱特定政策和程序效率發(fā)生影響的各種因素的統(tǒng)稱。任何組織的風險管理都存在于一定的環(huán)境之中，環(huán)境的好壞直接決定組織其他控制能否實施或實施的效果。組織的內部環(huán)境主要是指企業(yè)風險管理的環(huán)境，是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構，在企業(yè)風險管理的建立與實施中發(fā)揮著基礎性作用。內部環(huán)境反映了莆事會、管理層、業(yè)主和其他人員等對待控制（控制對于組織的重要性）的態(tài)度、認識和行動。它決定了一個組織的管理基調，提供組織紀律與架構，塑造組織文化，并影響著員工的控制意識。它是其他控制因素的基礎，為風險管理界定紀律和結構。組織的內部環(huán)境不僅影響組織戰(zhàn)略和LI標的設定、業(yè)務活動的組織和對風險的識別、評估和反應，還影響組織控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設計和執(zhí)行。這里的內部環(huán)境和控制環(huán)境相比，外延進一步擴大，這意味著在考慮風險管理時，不但考慮直接因素，還要考慮間接因素，一句話，考慮影響風險管理的全部環(huán)境。這里我認為把“內部環(huán)境”改為“風險管理環(huán)境”更恰當，因為“內部環(huán)境”從字面上來看讓人感覺風險管理面臨的風險及其需要考慮的環(huán)境僅僅局限于內部。2、內部環(huán)境的組成鑒于很多教材和觀點依然以COSO的五要素整合框架為最權威的框架，關于內部環(huán)境的很多說法在很多方面和控制環(huán)境基本可以換用。IIA實務標準詞匯表指出，“控制環(huán)境指董事會和管理層對組織風險管理重要性的態(tài)度及行動。內部環(huán)境為實現(xiàn)風險管理制度的主要U標提供規(guī)范和組織架構。內部環(huán)境包括以下要素：誠信和職業(yè)道德價值觀；管理層的理念和經(jīng)營風格以及思想和作風；組織結構（包括治理結構）；權力和責任的劃分（授權和分配責任的方法）；人力資源政策和實務；人員的勝任能力。”除此以外，內部環(huán)境還應該包括董事會和審計委員會、發(fā)展戰(zhàn)略、內部審計、企業(yè)文化、外部影響（影響本組織業(yè)務的各種外部關系，例如由銀行指定代理人的檢查）等。（1）管理的理念、方式和風格管理當局在建立一個有力的內部環(huán)境中起著關鍵的作用，風險管理只要得到高層的重視才能取得成功，如果主要領導人濫用職權，或者不相容職務串通舞弊，風險管理必然失效。這里主要考慮：管理當局對待風險態(tài)度和控制風險的方法；依靠文件化的政策、業(yè)績指標以及報告體系等與關鍵經(jīng)理人員溝通：為實現(xiàn)組織LI標，組織對管理的重視程度；管理當局對會計報表所持的態(tài)度和采取的行動；對現(xiàn)有可選擇的會計準則和會訃數(shù)值估訃所持有的謹慎或冒進態(tài)度。在這個因素中，領導的風格是一個非常重要的因素。領導風格定義領導風格(Leadershipstyles)指一個組織中的管理者對經(jīng)營管理的態(tài)度和處理事情的習慣做法。在組織中，領導風格與領導方式體現(xiàn)了組織的管理理念和經(jīng)營風格，即一個組織對風險的態(tài)度、對財務的態(tài)度、決策方式和溝通方式等。領導風格的分類根據(jù)組織條件和領導人的風格，可以把領導風格區(qū)分為任務驅動型和關系驅動型兩類。任務驅動型是指領導著重考慮任務的分解、落實，相應地，在領導的過程中，領導者更傾向于應用權威進行命令式的指揮和根據(jù)口標隨時進行強有力的控制。這種領導風格比較適宜于任務分工明確，組織穩(wěn)定，內部關系清晰簡單的組織狀況。關系驅動型是指領導者更加注重通過理順組織關系，通過溝通和協(xié)調來調動成員的工作積極性和能動性來完成組織任務。這一風格更多地適宜于任務分工要求較強的協(xié)作關系，技術性強，組織中專業(yè)人士較多，人際關系相對復雜的組織條件。=3\*GB3③領導方式的分類領導風格和領導方式密不可分，領導方式因人而異，也因組織而異。一般地，根據(jù)組織的特征和管理者個人的偏好不同，領導方式可以分為自山放任式、民主式、結構化式和體貼式等。在一些任務比較特別，完成任務的過程中成員自主性較強，成員本身的責任感和專業(yè)能夠保證其獨立完成工作，管理者和員工之間具備充分的信任感的情況下，可以采用自由放任式的領導方式。在組織士氣不振或分工不明確，環(huán)境復雜不利和口標難以達到的情況下，通過體貼員工，鼓勵他們達到LI標的方式就是體貼式。在組織專業(yè)能力較強，任務復雜多變，組織成員與管理者之間具有一定程度的信任感的情況下，民主化的領導方式有利于發(fā)揮專業(yè)人員的專業(yè)優(yōu)勢，同時也利于統(tǒng)一意見，鼓舞士氣。在任務比較確定并且較為穩(wěn)定的組織中，統(tǒng)稱采用機構式的領導方式，按部就班地領導成員完成任務。在大多數(shù)情況下，領導者都會根據(jù)具體的情況采取多種領導方式的組合策略，但不管怎樣，這些組合通常也帶有明顯的個人風格。組織結構組織結構是指組織計劃、協(xié)調和控制經(jīng)營活動的整體框架。設置合理的組織結構，有助于建立良好的內部環(huán)境。一個公司的組織結構包含①確定組織的形式和性質，包括確認相關的管理職能和報告關系；②為每個內部機構劃分責任權限的制定辦法。組織結構常用組織結構圖來表示，以準確反映授權方式和報告關系。具體應考慮：組織結構的合適性，及其提供管理機構所需信息的溝通能力；各主管人員所負責任的適當性；按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經(jīng)驗；當環(huán)境改變時，機構配合改變其組織結構的程度；員工，尤其是負責管理及監(jiān)督職能的員工人數(shù)的充足程度。莆事會和審訃委員會莆事會是內部環(huán)境的重要組成部分，對其他內部環(huán)境要素有重要的影響。組織的管理者也是內部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念（風險管理哲學、理念或態(tài)度）及冒險的“欲望”，確定組織的風險偏好，營造組織的風險文化，并將企業(yè)的風險管理和相關的初步行動結合起來。因為董事會和管理層對風險的態(tài)度將影響組織對業(yè)務活動的選擇和為使風險被控制在可以接受的水平而采取的措施。比如，如果董事會和管理層對風險的態(tài)度是非常保守的，那么組織有可能只選擇在一些風險非常低的領域里投資，當然收益也可能相對較低。組成這兩個機構所要考慮的因素主要包括：成員的經(jīng)驗；相對于管理層的獨立性；外部董事的比例；其成員參與管理的程度；所采取措施的適宜性；對管理層提出問題的深度和廣度；它們與內部、外部審計人員的關系實質。這兩個機構應當負責批準并定期審查整個經(jīng)營戰(zhàn)略和重大政策；理解經(jīng)營的主要風險，確定這些風險的可接受水平，保證高層管理者采取必要步驟，識別、衡量、評審和控制風險；批準機構的結構；并確保高層管理者不斷評審風險管理系統(tǒng)的有效性。授權和分配責任的方法如果管理當局建立了授權和分配責任的方法，就會大大增強機構的控制意識。強調對于組織內的全部活動要合理有效地分配職責和權限，并為執(zhí)行任務和承擔職責的機構成員特別是關鍵崗位的人員，提供和配備所需的資源并確保他們的經(jīng)驗和知識與職責權限相匹配，要使所有員工知道：他們的工作行為、職責擔負形式和認可方式與達成組織U標的聯(lián)系。管理控制方法管理控制方法是管理當局對其他人的授權使用情況直接控制和對整個公司的活動實行監(jiān)督的方法的總稱，包括經(jīng)營計劃、預算、預測、利潤計劃、責任會計等。具體執(zhí)行時需要①計劃；②比較(實際與預算、實際與計劃)；③調查差異、采取糾正措施。組織規(guī)模越大，這些方法越重要。內部審計內部審計是組織自我評估的一種活動，它通過協(xié)助管理當局監(jiān)督其他控制政策和程序來促進好的內部環(huán)境的建立。內部審計與其權限、人員的資格以及可使用的資源密切相關。內部審計必須獨立于被審計部門，并且直接向董事會或審計委員會報告。人力資源政策及實務風險管理是山人來進行并受人的因素影響，風險管理中最重要的因素是人，如果員工具有足夠的勝任能力和誠心度，將大大有助于風險管理LI標的實現(xiàn)。保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是風險管理有效的關鍵因素之一。好的人事政策和實務，能確保執(zhí)行組織政策和程序的人員具有正直品行和勝任能力，組織必須雇傭足夠的人員并給予適當?shù)呐嘤柡妥銐虻馁Y源，使其能完成所分配的任務。正直品行和勝任能力的人員在很大程度上取決于組織的有關雇傭政策、待遇、業(yè)績考核以及晉升等政策和程序的合理程度。具體包括：有完善的招聘與選拔方針及操作性程序；對新員，進行組織文化和道德價值觀的導向培訓；對違反行為準則的任何事項，制定紀律約束與處罰措施；對業(yè)績良好的員工，制定具有獎勵和激勵作用的報酬計劃，并避免誘發(fā)不道德行為；根據(jù)階段性的業(yè)績評估結果，對員工予以晉升、指導以及獎罰。誠信正直的原則和道德價值觀無論是組織最高管理階層還是其他成員都應當做到嚴格一致的誠信行為和道德標準；不盲目追求不切實際的LI標，以免形成不必要的壓力；對敬感職位之間的職務分工要準確明細，以避免造成偷竊資產(chǎn)或隱藏不良績效的誘因；加強組織的內部審核制度；發(fā)揮董事會的職能，使其客觀監(jiān)督組織的高層管理階層；提供道德方面的指導，使所有雇員在一般和特定環(huán)境下能夠保持正確的判斷：制作文字化的行為準則和政策聲明，將其傳達給全體雇員；將誘發(fā)人們不誠實、非法和不道德行為的動機降至最低。外部影響外部機構的監(jiān)管可能導致管理當局采用更多特定的風險管理政策和程序。(二)目標設定1、LJ標設定的含義和重要性LI標設定是企業(yè)在識別和分析實現(xiàn)LI標的風險并采取行動來管理風險之前，采取恰當?shù)某绦蛉ピO定LI標，確保所選定的LI標支持和切合企業(yè)的發(fā)展使命，并且與企業(yè)的風險承受能力相一致。LI標設定是企業(yè)風險評估的起點，是風險識別、風險分析和風險應對的前提。根據(jù)組織確定的任務或預期，管理者設定組織的戰(zhàn)略LI標，選擇戰(zhàn)略并確定其他與之相關的LI標并在組織內層層分解和落實。管理者必須首先確定組織的LI標，才能夠確定對LI標的實現(xiàn)有潛在影響的事項。而企業(yè)風險管理就是提供給組織管理者一個適當?shù)倪^程，既能夠幫助設定組織的LI標，乂能夠將LI標與組織的任務或預期聯(lián)系在一起，并且保證設定的LI標與組織的風險偏好相一致。風險管理要達到的LI的稱為風險管理LI標，任何組織的控制LI標，總是源于管理LI標，總是和其管理LI標相一致的，它是管理LI標的具體化，風險管理為組織LI標的實現(xiàn)服務。而任何組織的管理LI標.乂總是和管理思想及經(jīng)營方針密切相關。管理思想和經(jīng)營方針既受經(jīng)濟環(huán)境的影響，乂受決策階層的基本觀念影響。確定風險管理LI標既要了解經(jīng)營管理的總體LI標，乂要了解各管理階層的個別U標，即要把各種經(jīng)營活動分解成一個或兒個循環(huán)，循環(huán)包括處理一個特定交易或業(yè)務所需要的一切特定活動(諸如驗證、分類、記錄、報告、信息)。循環(huán)應與機構的組織和職責分工相一致，應與機構的總體口標相配合，以促成總體LI標的實現(xiàn)。因此，風險管理的基本LI標，都是保證組織完成自己的工作任務或達到目的的，它具有實用性。2、確定風險管理的LI標需要關注企業(yè)的利益相關者企業(yè)的利益相關者就是和企業(yè)的發(fā)展、變化直接相關的那些組織和人員，他們會因企業(yè)的變化收益或者受害，企業(yè)LI標(導向)的確定直接影響利益相關者的利益；反過來講，企業(yè)利益相關者的訴求也會影響企業(yè)LI標的確定以及企業(yè)風險管理LI標的確定，因此要確定合理的企業(yè)LI標就需要首先確定企業(yè)的利益相關者，根據(jù)利益相關者的訴求確定企業(yè)的LI標。只有明確了風險管理的利益相關者，才能更好的明確風險管理的LI的和方向，更好地為風險管理服務。需要注意的是，企業(yè)風險管理的利益相關者和公司治理的利益相關者不能直接劃等號，但二者會互相影響。但考慮利益相關者的要求對企業(yè)LI標的影響時，要分清并關注主要的利益相關者，而非面面俱到。3、企業(yè)的五類口標不同的LI標對風險管理的制定、實施、要求各不相同，但不管怎樣，風險管理都要實現(xiàn)如下五類目標：(1)促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略LI標促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略是風險管理的最高LI標，也是終極LI標。戰(zhàn)略與企業(yè)U標相關聯(lián)并且支持其實現(xiàn)的基礎，是管理者為實現(xiàn)企業(yè)價值最大化的根本LI標而針對環(huán)境做出的一種反應和選擇。(2)保證財務和運營信息的可靠性與完整性財務報告及相關信息的真實完整LI標是指風險管理要合理保證企業(yè)提供了真實可靠的財務信息及其他信息。保證所有交易和事項以正確的金額，在恰當?shù)臅嬈陂g及時記錄于適當?shù)馁~戶，使會計報表的編制符合相關準則的相關要求。為確保財務報告及相關信息真實完整應做到：(1)應按照企業(yè)會計準則的有關會計制度如實地核算經(jīng)濟業(yè)務、編制財務報告，滿足會計信息的一般質量要求。應通過風險管理制度的設計，包括不相容職務分離控制制度、授權審批控制制度、日常信息核對制度、懲罰制度等，來防止提供虛假會計信息，抑制虛假交易的發(fā)生。為提供可黑的財務報告，必須保證具有可黑的會計記錄?？珊诘臅嬘涗浭侵改切┛梢杂脕砭幹瓶煽控攧請蟊淼挠涗洠承┰履┗蚰昴┑恼{整記錄（如調整分錄）。如果其他各方面都能做到準確無誤，會計記錄就可以按照設訃要求提供可靠信息。要求具有可靠會計記錄的的之一，是及時提供可靠的財務信息。管理部門需要可幕的財務信息以便在組織的經(jīng)營活動中做出正確的經(jīng)營決策；股東、貸款者和其他各方，需要可靠的財務信息以便進行正確的投資、貸款和其他決策。一般來說，審計人員直接關心提供給外部使用的財務報表可黑性的控制，而對內部管理報告可靠性的控制僅僅在審計人員認為其對它們審計工作產(chǎn)生影響時才予以關注。保證運營的效率和效果（高效率、有成效（結果））提高經(jīng)營的效率和效果是風險管理要達到的最直接也是最根本的口標。經(jīng)濟有效的利用資源，盡可能減少組織有限資源的耗費，實現(xiàn)理想的成本水平和效益水平。良好的風險管理可以從以下四個方面來提高企業(yè)的經(jīng)營效率和效果：=1\*GB3①組織精簡、權責劃分明確，各部門之間、工作環(huán)節(jié)之間要密切配合，協(xié)調一致，充分發(fā)揮資源潛力，充分有效的使用資源，提高經(jīng)營績效。=2\*GB3②優(yōu)化與整合風險管理業(yè)務流程，避免出現(xiàn)控制點的交義和冗余，也要防止出現(xiàn)內控盲點，要設訃最優(yōu)的內控流程并嚴格執(zhí)行，最大限度地提高執(zhí)行效率。=3\*GB3③建立良好的信息和溝通體系，提高管理層的經(jīng)濟決策和反應的效率。=4\*GB3④建立有效的內部考核機制，提高工作的效率和效果。組織的經(jīng)營管理行為和決定遵守相關的法律、法規(guī)和合同（保證遵循政策、計劃、程序、法律、法規(guī)和合同）經(jīng)營管理合法合規(guī)LI標是指風險管理要合理保證企業(yè)在國家法律和法規(guī)允許的范圍內開展經(jīng)營活動，嚴禁違法經(jīng)營。經(jīng)營管理合法合規(guī)是企業(yè)生存和發(fā)展的客觀前提，是風險管理的基礎性LI標，是實現(xiàn)其他內控LI標的保證。政策、計劃和程序是山組織制定的，法律和法規(guī)來源于組織外部，內部審計人員要審查規(guī)章制度的遵循情況，評價政策、訃劃和程序的適當性。評價政策、計劃和程序的適當性是核心所在，若政策、計劃和程序本身已不適當，遵守政策、計劃和程序毫無意義。（5）資產(chǎn)得到保護（保護資產(chǎn)的安全）資產(chǎn)安全口標主要是為了防止資產(chǎn)流失。保護資產(chǎn)的安全與完整是企業(yè)開展經(jīng)營活動的物質前提。資產(chǎn)安全目標有兩個層次：=1\*GB3①確保資產(chǎn)在使用價值上的完整性，主要是指防止貨幣資金和實物資產(chǎn)被挪用、轉移、侵占、盜竊以及對無形資產(chǎn)控制權的旁落。=2\*GB3②確保資產(chǎn)在價值量上的完整性，主要是防止資產(chǎn)被低價出售，損害企業(yè)利益。保護資產(chǎn)通常理解為對現(xiàn)金、有價證券和存貨等資產(chǎn)的保護，以防止出現(xiàn)舞弊性錯誤，如顧客通過盜竊或篡改記錄、多拿傭金、紅利或索取使用費等；也防止非故意性的錯誤，如偶然性少收貨、多付購貨款或財產(chǎn)損壞等。通常認為，保護資產(chǎn)不包括防止因魯莽決策而造成的財產(chǎn)損失，例如賠本銷售產(chǎn)品，在不妥當?shù)牡攸c開設倉庫或是大作收效其微的廣告。為保護組織的資產(chǎn)安全所設計的風險管理的基本思想在于制衡，因為有了制衡，兩個人同時犯同一錯誤的概率大大減少，從而加大了不法分子實施犯罪計劃、進行貪污舞弊行為的難度，從而保護企業(yè)的資產(chǎn)被非法侵蝕或占用，保障企業(yè)正常經(jīng)營活動的順利開展。具體的保證資產(chǎn)安全的控制措施有安裝防盜門鎖、聘用保安、設置密碼、修建地下室。貴重資產(chǎn)需要有多重保護措施。4、目標之間的關系風險管理的五個LI標不是彼此孤立的，而是相互聯(lián)系、共同構成了一個完整的風險管理口標體系。其中，戰(zhàn)略LI標是最高LI標，是與企業(yè)使命相聯(lián)系的終極LI標；其他四個是建立在戰(zhàn)略LI標基礎上的業(yè)務層次LI標，其中經(jīng)營口標是戰(zhàn)略LI標的細化、分解與落實，是戰(zhàn)略LI標的短期化與具體化，是風險管理的核心LI標；資產(chǎn)LI標是實現(xiàn)經(jīng)營LI標的物質前提；報告LI標是經(jīng)營LI標的成果體現(xiàn)與反映；合規(guī)LI標是實現(xiàn)經(jīng)營LI標的有效保證。5>LI標的設定與風險偏好、風險承受度LI標設定是否科學、有效，取決于其是否符合企業(yè)的風險偏好和風險承受度。企業(yè)要經(jīng)常對設定的LI標進行審閱，以保證這些LI標和企業(yè)的偏好、風險承受能力一致。風險偏好風險偏好是指企業(yè)在實現(xiàn)其LI標的過程中愿意接受的風險的數(shù)量?？梢詮亩ㄐ院投績蓚€角度對風險偏好加以度量。風險偏好與企業(yè)的戰(zhàn)略直接相關，在戰(zhàn)略制定階段，企業(yè)應進行風險管理，考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結合起來，LI的是幫助企業(yè)的管理者在不同的戰(zhàn)略之間選擇與企業(yè)風險偏好相一致的戰(zhàn)略。風險承受度風險承受度是指在企業(yè)LI標實現(xiàn)的過程中對差異的可承受風險限度，是企業(yè)在風險偏好的基礎上設定的對相關LI標實現(xiàn)過程中所出現(xiàn)的差異的可接受水平，也被稱作風險承受能力。也就是說，風險承受度包括整體風險承受能力和業(yè)務層面的可接受風險水平。企業(yè)應以風險組合的觀點看待風險。對企業(yè)內每個單位而言，其風險可能落在該單位的風險承受范圍內，但從企業(yè)整體來看，總風險可能超過企業(yè)總體的風險偏好范圍，因此，應以企業(yè)總體的風險組合的觀點看待風險。6、企業(yè)戰(zhàn)略LI標的設定和分解在設定企業(yè)風險管理LI標的過程中，企業(yè)要根據(jù)自己的風險偏好和風險承受能力首先設定企業(yè)層面的LI標，即戰(zhàn)略LI標，然后再設定業(yè)務層面LI標。戰(zhàn)略口標需要考慮的因素和內容戰(zhàn)略口標是企業(yè)使命和功能的具體化，一方面有關企業(yè)生存的各個部門都需要設定LI標。盡管企業(yè)戰(zhàn)略LI標是多元化的，但各個企業(yè)需要設定LI標的內容卻是大致相同，通常戰(zhàn)略目標的內容可從以下兒個方面來考慮：不是每個企業(yè)在以上每個區(qū)域都要規(guī)定口標，并且戰(zhàn)略口標也不僅局限于以上9個方面。（2）戰(zhàn)略口標的分解戰(zhàn)略日標不止一個，而是由若干日標項目組成的一個戰(zhàn)略H標體系。戰(zhàn)略LI標可以進行縱向分解和橫向分解，還可以運用平衡訃分卡進行分解。=1\*GB3①縱向分解從縱向上看，企業(yè)戰(zhàn)略LI標可以分解成樹形圖。在企業(yè)使命基礎上設定戰(zhàn)略LI標，但為了其實現(xiàn)，還必須將其分解成職能戰(zhàn)略LI標，也就是，總戰(zhàn)略LI標是企業(yè)的主體目標，職能型目標是保證性目標。=2\*GB3②橫向分解企業(yè)的戰(zhàn)略LI標大致可以分為兩類：第一類是用來滿足企業(yè)生存和發(fā)展所需要的項LILI標，這些LI標項LI乂可以分解成業(yè)績LI標和能力LI標。業(yè)績LI標主要包括收益性、成長性和安全性指標等三類定量LI標：能力口標主要包括企業(yè)綜合能力指標、研究開發(fā)能力指標、生產(chǎn)能力指標、人事組織能力指標和財務管理能力指標等一些定性和定量指標。笫二類是用來滿足與企業(yè)有利益關系的各個社會群體所要求的LI標。這樣的群體主要有顧客、企業(yè)職工、股東、所有社區(qū)及企業(yè)社會群體。=3\*GB3③平衡計分卡通過平衡計分卡，可以從4個維度明晰企業(yè)的戰(zhàn)略LI標重點，如財務維度方面，快速擴大銷售規(guī)模，提高銷售收入；客戶維度方面，顯著提高產(chǎn)品品牌，擴大市場占有率；內部業(yè)務流程維度方面，導入信息化平臺管理，改善銷售模式；學習與成長維度方面，加強骨干員工的培訓，打造學習型團隊等。（3）戰(zhàn)略LI標設定的原則戰(zhàn)略LI標設定的原則，通常使用SMART原則，它是以下五個英文單詞首字母的縮寫：S(Specific)代表具體，不能籠統(tǒng)；M(Measurable)代表可計量，可以量化并可被驗證；A(Attainable)代表可行，可以達到；R(Relevant)代表相關性，實實在在，可以證明和觀察；T(Time-based)代表時限，具有明確的截止期限。(4)戰(zhàn)略LI標設定的步驟a.明確企業(yè)發(fā)展L1標b.制定實現(xiàn)LI標的戰(zhàn)略計劃c.編制年度計劃d.企業(yè)編制年度預算(5)戰(zhàn)略言丁標設定的方法企業(yè)在設定戰(zhàn)略口標時，有4個思考的維度：一是企業(yè)過去和現(xiàn)在已經(jīng)達到的LI標；二是所在行業(yè)的平均水平；三是所在行業(yè)最優(yōu)水平或杠桿業(yè)績；四是依據(jù)使命和愿景，企業(yè)應該達到的水平。在具體設定戰(zhàn)略LI標時，常用的方法有時間序列分析法、相關分析法、盈虧平衡分析法、決策矩陣法、決策樹法、基準分析法、博弈論法、模型模擬法等分析方法。7、設定業(yè)務層面忖標業(yè)務層面的U標受制于戰(zhàn)略U標并制約或促進戰(zhàn)略U標的實現(xiàn)。設定的業(yè)務U標應該具體并具有可衡量性，并且與重要業(yè)務流程密切相關。業(yè)務流程設定一般需要4個階段，具體如下圖：(三)事項識別(識別風險因素、風險識別)1、風險、風險因素的定義風險是指某一對組織LI標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性。風險因素可定義為對組織LI標的實現(xiàn)產(chǎn)生負面影響的事情。因此，確定風險因素的先決條件是設定LI標，組織的LI標，通常是由組織的理念及其所追求的價值所決定的，而與之相配合的是組織下一級各部門的具體LI標。組織在實現(xiàn)U標的過程中，由于受來自內部和外部各種不確定的因素的影響，使得組織的經(jīng)營活動面臨各種風險。不確定性的存在，使得組織的管理者需要對這些事項進行識別。而潛在事項對組織可能有正面的影響、負面的影響或者兩者同時存在。對組織有正面影響的事項，或者是組織的機遇，或者是可以抵消風險對組織的負面影響的事項。機遇可以在組織戰(zhàn)略或LI標設定的過程中加以考慮，以確定有關行動抓住機遇。可能潛在地抵消風險的負面影響的事項則應在風險的評估和反應階段予以考慮。有負面影響的事項是組織的風險，要求組織的管理者對其進行評估和反應。風險識別的含義風險識別是對企業(yè)面臨的各種潛在事項進行確認。對于風險識別的概念，可以從以下兒個方面理解：風險識別是一項動態(tài)的、連續(xù)不斷、系統(tǒng)性的重復過程風險識別是一項復雜的系統(tǒng)，程風險識別是整個風險評估過程中重要的程序之一。風險識別的內容風險識別主要內容包括兩方面：一是感知風險事項，二是分析風險事項。感知風險事項和分析風險事項構成事項識別的基本內容，兩者是相輔相成，互相聯(lián)系。感知到風險事項的存在才能進一步有意識有LI的的分析風險，進而掌握風險的存在及導致風險事項發(fā)生的原因和條件。識別風險因素風險評估中的要素包括關注對整體LI標和業(yè)務活動LI標的設定和銜接、對內部和外部風險的識別與分析、對影響LI標實現(xiàn)的變化的認識和各項政策與工作程序的調整。組織的風險一般是山外部因素和內部因素所產(chǎn)生的。內部風險因素包括：信息系統(tǒng)處理的中斷：聘用員工的品質、培訓方法及激勵制度；經(jīng)理人員的責任改變；組織活動的性質以及員工可接近資產(chǎn)的程度；信息系統(tǒng)處理的特點；董事會或監(jiān)事會不夠堅定或無效等。外部風險因素包括：科技發(fā)展；顧客的需求或預期改變；競爭；新的法律和行政命令；自然災害；經(jīng)濟環(huán)境改變等。5、風險識別的過程發(fā)現(xiàn)或者調查風險因素自然環(huán)境社會經(jīng)濟因素政治及法制因素營運環(huán)境減少風險因素增加的條件發(fā)現(xiàn)或者調查風險源以后，應該尋求引發(fā)風險因素減少的條件。企業(yè)的風險因素應該包括但不限于以下內容：產(chǎn)品或服務的市場前景、行業(yè)經(jīng)驗環(huán)境的變化、商業(yè)周期或產(chǎn)品生命周期的影響、市場飽和等；經(jīng)營模式發(fā)生變化，經(jīng)營業(yè)績不穩(wěn)定，主產(chǎn)品或主要原材料價格波動，產(chǎn)品或服務過度集中或分散等；技術不成熟、技術尚未產(chǎn)業(yè)化、技術缺乏有效保護或保護期限短、缺乏核心技術或產(chǎn)品技術面臨被淘汰等;d.投資項LI在市場前景、技術保障、產(chǎn)業(yè)政策、環(huán)境保護、融資安排等方面存在的問題，因營業(yè)規(guī)模、營業(yè)范圍擴大或者業(yè)務轉型而導致的管理風險、業(yè)務轉型風險。預見危險或者風險事項識別的重要步驟就是能夠預見危害，將產(chǎn)生危害的條件消滅在萌芽狀態(tài)。重視風險暴露這是事項識別的重要組成部分，可能面臨損失的物體都有風險暴露的可能性，必須重視風險的暴漏。任何企業(yè)的任何部門都有可能暴露于風險事項的威脅之下。為了事項識別的方便，一般把風險暴露分為：實物資產(chǎn)風險暴露、金融資產(chǎn)風險暴露、客戶資產(chǎn)風險暴露、雇員或供應商資產(chǎn)風險暴露和組織資產(chǎn)風險暴露。6、風險識別的方法（1）財務報表分析法財務報表分析法是通過資產(chǎn)負債表、損益表、現(xiàn)金流量表和其他附表等財務信息的分析來識別風險事項。財務報表分析法具體分為：趨勢分析法、比率分析法、因素分析法、杜邦分析法。a.趨勢分析法是根據(jù)一個企業(yè)連續(xù)數(shù)期的利潤表和資產(chǎn)負債表的各個項II進行比較，以求出金額和白分比增減變動的方向和幅度，以揭示當期財務狀況和經(jīng)營狀況增減變化的性質及其趨向。趨勢分析法通常包括橫向分析法和縱向分析法。b.比率分析法就是把財務報表的某些項LI同其他項口進行比較，這些金額或者數(shù)據(jù)可以選自一張會計報表，亦可以選自兩張會計報表。比率分析法可以分析財務報表所列項H與項LI之間的相互關系，運用的比較廣泛。主要有經(jīng)營成果的比分析、權益狀況的比率分析、流動資產(chǎn)狀況的比率分析。^因素分析法比率因素分解法，是指把一個財務比率分解為若干個影響因素的方法。差異因素分解法乂分為定基替代法和連環(huán)替代法兩種。d.杜邦分析法：流程圖分析法流程圖分析法是將風險主體的全部生產(chǎn)經(jīng)營過程，按其內在的邏輯聯(lián)系繪成作業(yè)流程圖，針對流程中的關鍵環(huán)節(jié)和薄弱環(huán)節(jié)調查和分析風險。流程圖的分類：按照流程路線的復雜程度劃分，可以分為簡單流程圖和復雜流程圖按照流程的內容劃分可以分為內部流程圖和外部流程圖按照流程圖的表現(xiàn)形式劃分，分為實物形態(tài)流程圖和價值形態(tài)流程圖事件樹分析法事件樹分析法乂稱故障樹法，其實質是利用邏輯思維的規(guī)律和形式，從宏觀的角度去分析事故形成的過程。事件樹分析法的特點：事件樹分析是一個動態(tài)過程可以指出防止事故發(fā)生的途徑能夠找出消除事故的根本措施現(xiàn)場調查法獲知主體經(jīng)營情況的最佳途徑就是現(xiàn)場調查。現(xiàn)場調查一般有三個步驟：調查詢的準備，包括確定調查時間和調查對象等現(xiàn)場調查和訪問，認真填寫表格形成調查報告與反饋（5）保單對照法保單對照法，是將保險公司現(xiàn)行出售的保單風險種類與風險分析調查表融合改成的，用于風險識別的問卷式表格，風險管理者可以根據(jù)這一表格與主體已有的保單加以對照分析，發(fā)現(xiàn)現(xiàn)存的風險事項。（6）其他方法經(jīng)常性的檢查關鍵文檔面談企業(yè)風險事項識別的方法很多，各有其優(yōu)缺點和使用條件，沒有絕對的使用所有事項識別的方法。主體不同，事項識別的方法也不同，試圖用其中一種方法識別主體所面臨的所有事項時不現(xiàn)實的。事項識別是一個連續(xù)不斷的、系統(tǒng)的過程，事項識別方法既關注過去，也著眼未來，僅憑一兩次有限的分析不能解決所有的問題，許多復雜的和潛在的事項要經(jīng)過多次識別才能獲得最佳效果。(四)風險評價(RiskAppraisal)1、含義在確定了組織的內外部環(huán)境和LI標，識別了風險因素的前提下，可以對影響U標實現(xiàn)的風險因素逐項進行風險評價。風險主要來自于外部環(huán)境和內部條件的變化，風險因素識別包括對外部因素和內部因素進行檢查；風險分析則是估計風險的重大程度、風險發(fā)生的可能性、如何控制風險等。風險分析是結合企業(yè)特定條件在風險識別的基礎上，運用定量或定性方法進一步分析風險發(fā)生的可能性和對企業(yè)LI標實現(xiàn)的影響程度，并對風險的狀況進行綜合評價，為制定風險管理策略與選擇應對方案提供依據(jù)。風險評估就是分析和辨認實現(xiàn)既定LI標可能發(fā)生的風險。風險分析是風險應對的基礎，并為制定合理的風險應對策略提供依據(jù)，沒有客觀、充分、合理的風險分析，風險應對將是無的放矢、效率低下的。從風險管理的角度看，風險評價的實質應充分考慮對組織LI標的實現(xiàn)可能造成不利影響的內外因素，真正認識到這些風險，然后可以在下一步根據(jù)風險的評價確認經(jīng)營活動過程中的關鍵控制點，從而針對關鍵控制點進一步采取相應的有針對性的控制活動。管理者為了建立和完善風險管理，要評價風險；內部審訃人員為了評價風險管理，也要連續(xù)評價風險；注冊會訃師為了制定財務審計的審計策略，也要依賴于評價風險管理的評價結果。風險分析的內容風險評估可以使管理者了解潛在事項如何影響組織LI標的實現(xiàn)。風險評估中最基本的部分，就是如何辨認風險因素中已發(fā)生的改變，并采取必要的行動。這些改變因素包括：行業(yè)環(huán)境的改變、新員工、業(yè)務迅速成長、新科技、新業(yè)務、新產(chǎn)品、新作業(yè)、公司重組、國外業(yè)務等。管理者應從兩個方面對風險進行評估一一風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指對組織LI標的實現(xiàn)產(chǎn)生影響的嚴重程度，即事項的發(fā)生將會帶來的影響。風險發(fā)生的可能性分析可能性分析是指假定企業(yè)不采取任何措施去影響經(jīng)營管理過程，將會發(fā)生風險的概率。它通常是通過實際情況的收集和利用專業(yè)判斷來完成。風險可能性分析的結果一般有“很少”、“不太可能”、“可能”、“很可能”和“兒乎確定”五種情況。風險產(chǎn)生的影響程度分析影響程度分析主要是指對LI標現(xiàn)實的負面影響程度分析。按照影響的結果(通常是量化成數(shù)值)，一般將風險劃分為“不重要”、“次要”、“中等”、“主要”和“災難性”五級。風險的測量風險評估可以采用定性或定量的方法進行。(1)定性方法。是指運用定性術語評估并描述風險發(fā)生的可能性及其影響程度。定性分析方法是U前風險分析中采用比較多的方法，它具有很強的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者世界的標準和慣例，對風險因素的大小或高低程度進行定性描述，譬如高、中、低三級。定性分析的操作方法多種多樣，有問卷調查、集體討論、專家資訊、人員訪談等。最常見的定性分析方法是風險評估圖法。風險評估圖法是把風險發(fā)生的可能性、風險發(fā)生后對LI標的影響程度，作為兩個維度繪制在同一個平面上(即繪制成直角坐標系)。(2)定量方法。=1\*GB3①含義定量分析法，是指運用數(shù)量方法評估并描述風險發(fā)生的可能性及其影響程度。就是對構成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣計量的金額，從而量化風險分析的結果。定量方法一般情況下會比定性方法提供更為客觀的評估結果。在風險難以量化、定量評價所需數(shù)據(jù)難以獲取時，一般應采用定性方法。在對相關事項做了個別分析以后，還要考慮同時發(fā)生某些風險的可能性。=2\*GB3②風險的定量分析和測量一般要考慮的兩個關鍵因素(a)當前有多少潛在的損失？(b)損失實際發(fā)生的可能性有多大？風險是這兩個因素的組合。風險的計算公式R=pr(E)R為風險pr為山于風險管理無效而導致?lián)p失的可能性(E)為暴露的金額以上兩個指標中，(E)的確定顯而易見，而pr則很難，對pr影響最大的是風險管理，良好的風險管理可以降低損失的可能性，從而降低了風險，不良的風險管理增加了損失的可能性，從而增加了風險，所以評價風險的高低就是評價風險管理的好壞，通過風險的測量實際上就確定了風險管理的薄弱環(huán)節(jié)、急需改造和完善的環(huán)節(jié)。=3\*GB3③比較常用的定量分析法有情景分析、敬感性分析、VaR、壓力測試等.(a)情景分析法情景分析法是通過假設、預測、模擬等手段生成未來情景，并分析其對H標產(chǎn)生影響的一種分析方法。情景分析法對這些情況特別有用：提醒決策者注意某種措施或政策可能引起的風險或危機性的后果；建議需要進行監(jiān)視的風險范圍；研究某些關鍵性因素對未來過程的影響；提醒人們注意某種技術的發(fā)展會給人們帶來哪些風險。敏感性分析敬感性分析是通過分析，預測項LI主要因素發(fā)生變化時對經(jīng)濟評價指標的影響，從中找出墩感因素，并確定其影響程度。雖然敬感性分析已得到廣泛的應用，但也有其弱點。這種方法要求每一關鍵變量的變化是相互獨立的。然而，管理層更感興趣的是兩個或兩個以上關鍵變量的變化的綜合影響。僅僅考慮獨立的因素是不現(xiàn)實的，因為它們往往是相互影響的。VaR值風險價值（VaR）,是指在正常的市場條件和給定的置信水平（通常是95%或99%）下，在給定的特有期間內，某一投資組合預期所面臨的潛在的最大損失金額。VaR把對預期的未來損失的大小和該損失發(fā)生的可能性結合起來，不僅讓投資者知道發(fā)生損失的規(guī)模，而且知道其發(fā)生的可能性，是一種數(shù)量化市場風險的重要量度工具。壓力測試壓力測試是指評估那些具有極端影響事件的情景下，分析評估風險管理模型或內控流程的有效性，發(fā)現(xiàn)問題，制定改進措施的方法。壓力測試一般被用作概率度量方法的補充，用來分析那些通過與概率技術一起使用的分布假設可能沒有充分捕捉到的低可能性、高影響事件的結果。需要注意的是，定性分析與定量分析法在實際應用中并非互相排斥，而是相互補充，相輔相成。因此，實務中，兩種方法的結合時很必要的，兩者可以互補其不足，企業(yè)也可以根據(jù)自身的特征決定采用具體的結合形式。險分析需要關注的事項為了適應不斷變化的環(huán)境，風險評價須不斷的進行。辨識和分析風險的過程是一種持續(xù)及反復的過程，也是有效風險管理的關鍵組成要素，管理階層須謹慎注意各部門的風險，并采取必要的管理措施。對風險的評估要多次進行。風險的最初評估是從有限的信息開始的，隨著獲取更多的信息，必須對風險進行重新評估和比較。對風險的最初評估和后來的評估保持一致是不可能的，就向對一個人的了解一樣，掌握的信息越多，越接近事實和真相。沒有信息和資料，風險評價無從談起，所以，必須收集必要的信息和資料（證據(jù)），以支持自己的風險評價結論并據(jù)以做出決策。管理層的風險評估與內部審計師、外部審訃師等專業(yè)咨詢機構的風險評估不同。管理層的風險評估是風險管理設計和運行的組成部分，是為了減少差錯和舞弊；審計師要關注的是管理層風險評估的過程，評估風險會決定審訃證據(jù)的收集。如果管理層能有效地評估風險并做出相應反應，審計師通常會收集較少的證據(jù)。通常，審計師通過確定管理層識別與財務報告有關的風險、評價它們的重要性、發(fā)生的可能性、針對風險需要采取的行動，以取得對管理層風險評估過程的了解。（五）風險應對（風險反應）含義風險應對是指在風險分析的基礎上，針對企業(yè)所存在的風險因素和風險評價的結果，運用現(xiàn)代科學技術知識和風險管理方面的理論與方法，提出各種風險解決方案，經(jīng)過分析論證與評價從中選擇最優(yōu)方案并予以實施，來達到降低風險目的的過程。風險應對的具體策略風險反應指組織管理個別風險所選用的方式。主要類型：（1）容忍風險；（2）減少風險的影響和可能性；（3）風險轉移；（4）終止產(chǎn)生風險的活動。風險管理是應對風險的一種方式。風險應對的措施一般可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。終止產(chǎn)生風險的活動（也稱為規(guī)避風險、風險規(guī)避），是指暫停或中止會引起風險的活動，就是采取措施退出會給組織帶來風險的活動。在風險發(fā)生的可能性和影響很大，或者在風險管理困難等的情況下，應當選擇規(guī)避風險。風險規(guī)避的方式分為完全放棄（拒絕承擔任何風險，不從事可能產(chǎn)生風險的任何活動）、中途放棄（中止承擔某種風險）和改變條件（改變生產(chǎn)活動的性質）。減少風險（控制風險、降低風險）是指采取設訃新的風險管理等應對策略，減少風險發(fā)生的可能性、減少風險的影響或兩者同時減少。風險降低依LI的的不同可以劃分為損失預防和損失抑制兩類。前者以降低損失概率為言了的，后者以縮小損失程度為日的。風險轉移也就是共擔風險（風險分擔），是指通過轉嫁風險或與他人共擔風險，將風險的全部或一部分轉移到組織外部，從而降低風險發(fā)生的可能性或降低風險對組織的影響。風險分擔一般是一種事前的風險應對策略，即在風險發(fā)生前，通過各種交易活動，避免承擔全部風險損失。通過風險分擔方式應對風險，風險并沒有減少，只是風險承擔者發(fā)生了變化。風險分擔的方式可以分為三種：財務型非保險轉移、控制型非保險轉移和保險轉移。財務型非保險轉移常用手段有：保證、再保證、證券化、股份化、簽訂套期交易合約等?？刂菩头潜ｋU轉移常用的方法有外包、租賃、出售、回租等。風險承受就是接受風險（風險的自留、接納風險），是指不采取任何行動而接受可能發(fā)生的風險及其影響。由于種種原因（技術、經(jīng)濟、主觀或客觀等），管理層可能選擇將風險自留，承擔風險而不采取任何措施。在判斷對風險進行事前應對多花費的費用超過其效果的情況，或者判斷即使風險顯性化后也可以應對的情況下，如果風險處于可以容許的水平以下，則認為組織可以接受該風險。風險承受時一種風險財務技術，企業(yè)明知可能有風險發(fā)生，但在權衡了其他風險應對策略之后，處于經(jīng)濟性和可行性的考慮將風險留下，若出現(xiàn)損失，則依黑企業(yè)自身的財力去彌補風險所帶來的損失，風險承受的前提是自留風險可能導致的損失比轉移風險所需代價小。風險的自留可能是有意識的、無意識的，積極的、消極的，主動的、被動的，有計劃的、無計劃的。風險承受對策包括訃劃性風險承受和非計劃性風險承受兩種。風險應對策略選擇時應考慮的因素風險承受度成本和效益風險的特性可供選擇的措施風險應對策略選擇時應注意的問題一般情況下，對戰(zhàn)略、財務、運營和法律風險，可采取風險承受、風險回避、風險分擔等方法。對能夠通過保險、期貨、對沖等金融手段進行理財?shù)娘L險，可以采取風險分擔、風險降低等方法。風險應對策略的選擇還可以從企業(yè)范圉內組合的角度去考慮。風險應對后的風險評價對于每一個重要的風險，組織都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使組織風險發(fā)生的可能性和影響都落在風險容忍度之內的風險反應方案。選定某一風險反應方案后，管理者應在殘存風險(剩余風險)的基礎上重新評估風險，即從組織總體的角度、或者組合風險的角度重新訃量風險。各行政部門、職能部門或者業(yè)務部門的管理者應采取一定的措施對該部門的風險進行復合式評估并選擇相應的風險反應方案。在此要區(qū)分兒個概念初步的風險評估(PreliminaryRiskAssessment) 在業(yè)務訃劃期間所開展的風險評估，旨在確立業(yè)務的范圍和LI標。剩余風險(ResidualRisks) 指管理層采取措施(包括用于應對某項風險的控制活動)以減少負面事件的影響及可能性之后仍然存在的風險。不可接受的剩余風險(UnacceptableResidualRisk) 在控制活動沒有充分設計、沒有適當實施時，或是將風險減小到一個可以接受的水平無效時，就會存在這種風險。(六)控制活動(ControlActivity)(政策和程序)含義控制過程指政策、程序和控制活動等控制框架的組成部分，用以確保將風險控制在風險管理過程設定的風險容忍范用之內，以保證LI標得以實現(xiàn)的政策和程序。控制活動是指結合具體業(yè)務和事項，運用相應的控制政策和程序，或稱控制手段去實施控制?？刂苹顒邮菐椭ＷC風險反應方案得到正確執(zhí)行的相關政策和程序?？刂苹顒哟嬖谟诮M織的各部分、各個層面和各個部門，通常包括兩個要素：確定應該做什么的政策和影響該政策的一系列程序。組織管理階層辨認風險，然后針對這種風險發(fā)出必要的指令。它包括一系列的政策及其相關實施程序，制定和實施控制活動是為了控制組織通過上述風險評估程序確認的風險，并確保管理層的決策和指令得以實施，如核準、授權、驗證、調節(jié)、復核營業(yè)績效，保障資產(chǎn)安全及職務分工等。只有當組織的管理層和全體員工將控制活動視為組織的日常運作中必不可少的組成部分時，風險管理才是最有效的。組織的管理層應明確：必須為每一項經(jīng)營活動制定相應的政策和程療;；現(xiàn)有的政策和程序必須得到充分實施；對于例外情況要及時采取補救措施；主管人員要定期評估控制活動的效果等。具體的控制措施控制活動在組織內的各個階層和職能之間都會出現(xiàn)，這主要包括:不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制、績效考評控制等。企業(yè)應通過采用手工控制與自動控制、防護性控制與發(fā)現(xiàn)性控制相結合的方法實施相應的控制措施。實物控制。乂稱為資產(chǎn)和記錄接近控制。這些控制活動包括實物安全控制、對計算機以及數(shù)據(jù)資料的接觸予以授權、定期盤點以及將控制數(shù)據(jù)予以對比。實物控制中要制定防止資產(chǎn)被竊的程序。要規(guī)定禁止無關人員接觸的主要物品：現(xiàn)金、支票、發(fā)票、合同、賬簿、報表、客戶名錄等。職責分離。指將各種功能性職責分離，以防止單獨作業(yè)的人員從事或隱藏不正常行為。人員的安排不能發(fā)生責任沖突，要識別和盡力縮小有潛在利益沖突的地方，并遵從謹慎、獨立的監(jiān)督評審。一般來說，下面的職責應被分開：業(yè)務授權（管理功能）與業(yè)務執(zhí)行（保管職能）、業(yè)務執(zhí)行與業(yè)務記錄（會計職能）、業(yè)務記錄與業(yè)務復核。理想狀態(tài)的職責分離是沒有一個職員負責超過一個以上的職能。信息處理控制。信息處理是保證業(yè)務在信息系統(tǒng)中正確、完全和經(jīng)授權處理的活動。對信息系統(tǒng)的控制活動可分為兩類，笫一類是一般控制（generalcontrol），通常與信息系統(tǒng)的設計和管理有關，它幫助管理階層確保系統(tǒng)能持續(xù)、適當?shù)倪\轉，主要內容包括：對資料中心運作的控制；對系統(tǒng)軟件的控制；存取安全的控制；對應用系統(tǒng)的發(fā)展及維護的控制。第二類是應用控制（applicationcontrol）,與個別數(shù)據(jù)在信息系統(tǒng)中的處理的方式有關。它包括應用軟件中的電算化步驟及相關的人工程序，主要內容包括：輸入控制、輸出控制、處理控制。績效評價控制。指將實際業(yè)績與其他標準，如前期業(yè)績、預算和外部基準尺度進行比較；將不同系列的數(shù)據(jù)相聯(lián)系，如經(jīng)營數(shù)據(jù)和財務數(shù)據(jù)，分析它們之間的關系，然后再進行調查與糾正。這些評價活動對實現(xiàn)組織經(jīng)營的效果和效率非常有用。以存貨為例，其績效指標包括：購貨價差、訂單中“緊急訂貨”的比例、總訂單中退貨的比例。管理階層需要調查超出計劃的結果或者不正常的趨勢，辨認采購作業(yè)的目標無法達成的原因。（七）信息與交流（InformationandCommunication）（信息與溝通）信息與溝通是指對必要的信息進行識別、把握以及處理，確保其在組織內部、外部以及關聯(lián)方相互之間準確傳遞。對組織內所有人員履行各自職能的必要的信息，必須及時且合理地識別、把握、處理和傳遞。信息與溝通是企業(yè)及時、準確地收集、傳遞與風險管理相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。必要的信息不僅要進行傳遞，使其接受方正確理解信息，還要使該信息為組織內所有需要它的人員所共有，這是非常重要的。1、信息含義信息是對人們有用的、能夠影響人們行為的數(shù)據(jù)。信息是數(shù)據(jù)的含義，是人們對數(shù)據(jù)的理解，是數(shù)據(jù)加工后的結果。數(shù)據(jù)是信息的載體，沒有數(shù)據(jù)便沒有信息，因此，信息不能單獨存在。要想獲取信息就要先獲得載荷信息的數(shù)據(jù)，再對其加工。在一個企業(yè)內，地位越高的管理者所需要的信息越需要加工和處理。信息具有以下特征：共享性、可傳遞性、可編碼性（信息可以用標準符號來表示，以便于采集、存儲、處理和傳輸）、具有價值（價值取決于效用和成本的關系，信息價值二信息效用-信息成本）。信息的獲取組織在經(jīng)營過程中，必須識別、捕捉確切的信息，在適當?shù)臅r間內以適當?shù)姆绞酱_認、取得和溝通所有相關和恰當?shù)男畔ⅲ允瓜嚓P人員能夠執(zhí)行他們的職責，這對于有效的管理是至關重要的。信息應當是相關、及時和準確的，并且它可能與某些標準或LI標、與內部或外部的運營活動、與具體的情況有關。簡言之，可以得到的信息應該是那些有利于做出決策和相關報告的信息。在獲取信息的同時，也要注意以某種方式來交流信息，以保證對它的關注和充分利用。來自于組織內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證組織的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通，包括組織內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與組織外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。內部信息的傳遞信息的傳遞一般包括兩個階段：一個是信息的形成，一個是信息的傳遞和使用。內部信息傳遞流程是根據(jù)企業(yè)生產(chǎn)經(jīng)營管理的特點來確定，其形式千差萬別，沒有一個最優(yōu)的方案。信息在企業(yè)內部進行有LI的、及時的、準確的、安全的傳遞，對貫徹企業(yè)發(fā)展戰(zhàn)略、正確識別生產(chǎn)經(jīng)營中的風險、及時糾正操作錯誤、提高決策質量具有重要的作用。內部信息傳遞的方式要遵循及時有效性、反饋性、預測性、真實準確性、安全保密性、成本效益性原則。2、信息的溝通和交流溝通的含義、作用和分類溝通是把信息提供給適當?shù)娜藛T，以便他們能夠履行與經(jīng)營、財務報告和合規(guī)相關的職責。信息必須進行交流和溝通，失去交流，信息毫無價值。信息與溝通是為了使管理層和員工能執(zhí)行其職責，企業(yè)各個部門及員工之間必須溝通和交流相關的信息。交流的信息既有外部的信息，也有內部的信息。溝通是技術性的，已經(jīng)在管理工作中得到廣泛的應用，但比技術更有意義的是企業(yè)組織內外部的有效交流。溝通是雙向的，在傳遞信息后，信息傳遞者任務并沒有結束，還應積極從信息接受者那里獲取反饋信息，以促進信息獲取質量的改進和信息傳遞程序的優(yōu)化。通過溝通，企業(yè)員工能夠明確他人的信息需求，并對自己的職責有更清晰的認識，從而有助于工作的順利完成和效率的提高。信息的溝通和交流的分類按信息的流向和溝通的對象可以分為內部溝通和外部溝通。內部信息溝通是指企業(yè)經(jīng)營、管理所需的內外部信息在企業(yè)內部的傳遞和分享，內部溝通乂分為組織內部的縱向交流，也包括部門間橫向交流。外部信息溝通是指企業(yè)與利益相關者之間的信息溝通。按照溝通的渠道分為正式溝通，也包括非正式溝通。正式溝通是指在企業(yè)正式結構、層次系統(tǒng)進行溝通：非正式溝通是指通過正式系統(tǒng)外的途徑進行溝通。信息與溝通的主要環(huán)節(jié)信息與溝通的主要環(huán)節(jié)有：確認、計量、記錄有效的經(jīng)濟業(yè)務；在財務報告中恰當揭示財務狀況、經(jīng)營成果和現(xiàn)金流量；保證管理層與單位內部、外部的順暢溝通。溝通的口標和方式溝通的方式一般由政策手冊、財務報告手冊、備查薄以及口頭交流和管理示例等。信息與溝通的方式是靈活多樣的，但無論哪種方式，都應當保證信息的真實性、及時性和有用性。=1\*GB3①內部溝通的LI標和方式內部溝通應做到：所有員工，特別是哪些負有重要營業(yè)責任或財務管理責任的員工，除得到用以管理其負責活動的重要資料外，還應得到來自最高管理層的清楚信息；每個人清楚的知道自己所擔負的特定任務，它在控制系統(tǒng)中所扮演的角色及所承擔的責任；員工在執(zhí)行任務時，一旦有非預期的事故發(fā)生，除了要注意該事故本身外，還應當注意導致該事故發(fā)生的原因，這樣才能辨認潛在缺失，采取合理的行動，并預防事故再度發(fā)生；員工必須知道它所負責的活動是怎樣與它人的工作發(fā)生關聯(lián)的；員工必須擁有在組織中向上溝通重要信息的方法。企業(yè)員工應當采取電子溝通、書面溝通、口頭溝通等多種方式，實現(xiàn)所需的內部信息、外部信息在企業(yè)內部準確、及時地傳遞和分享，確保董事會、管理層和企業(yè)員工之間有效溝通。=2\*GB3②外部溝通的目標和方式外部溝通應做到：顧客和供應商能經(jīng)過開放的溝通管道輸入重要的信息；與相關的外部團體溝通，用以獲悉關于本風險管理功能的重要信息；外部審計人員對組織營業(yè)、相關業(yè)務問題及控制系統(tǒng)審計后，可以提供給管理階層及董事會重要的控制信息；主要政府機關（如：銀行和保險機關）所報道的復核或檢查的結果，可以有效的彌補控制的缺失。與投資者和債權人的溝通投資者和債權人是企業(yè)資本的提供者，也是企業(yè)風險的主要承擔者。因此，企業(yè)有必要向他們及時報告企業(yè)的戰(zhàn)略規(guī)劃、壘營方針、投融資計劃、年度預算、經(jīng)營成果、財務狀況、利潤分配方案以及重大擔保、合并分立、資產(chǎn)重組等方面的信息。與客戶的溝通客戶是企業(yè)產(chǎn)品和服務的接受者或消費者，企業(yè)經(jīng)營LI標的實現(xiàn)依賴于客戶的配合。企業(yè)可以通過客戶座談會、走訪客戶等多種形式，定期聽取客戶對消費偏好、銷售政策、產(chǎn)品質量、售后服務、貨款結算等方面的意見和建議，收集客戶需求和客戶的意見，妥善解決可能存在的控制不當問題。與供應商的溝通供應商處于供應鏈的上游，對企業(yè)的經(jīng)營活動有很強的制約能力。企業(yè)可以通過供需見面會、訂貨會、業(yè)務洽談會等多種形式與供應商就供貨渠道、產(chǎn)品質量、技術性能、交易價格、信用政策、結算方式等問題進行溝通，及時發(fā)現(xiàn)可能存在的控制不當問題。與中介機構的溝通外部審訃師對企業(yè)的財務報告進行審訃工作，通過一系列完善的審計程序經(jīng)常能夠發(fā)現(xiàn)企業(yè)日常經(jīng)營以及財務報告中存在的問題。企業(yè)應當定期與外部審計師進行會晤，聽取外部審計師有關財務報表審計、風險管理等方面的建議，以保證風險管理的有效運行以及雙方工作的協(xié)調。企業(yè)在組織經(jīng)濟活動時，不可避免地要與其他企業(yè)發(fā)生經(jīng)濟糾紛，因此需要聘請律師幫助處理糾紛，以保障企業(yè)的利益。.與監(jiān)管機構的溝通監(jiān)管機構對企業(yè)的經(jīng)營方針和戰(zhàn)略有重要的影響，企業(yè)應當及時向監(jiān)管機構了解監(jiān)管政策和監(jiān)管要求及其變化，并相應完善自身的管理制度。同時，認真了解自身存在的問題，積極反映訴求和建議，努力加強與監(jiān)管機構的協(xié)調。3、信息系統(tǒng)O信息系統(tǒng)含義信息系統(tǒng)是指企業(yè)利用計算機和通信技術，對風險管理進行集成、轉化和提升所形成的信息化管理平臺。組織的高級管理層必須建立起有效的信息系統(tǒng)，確保信息的交流和溝通，以確保有關人員掌握必要的信息并進行有效的溝通。信息系統(tǒng)的實施觸發(fā)了企業(yè)管理模式、生產(chǎn)方式、交易方式、作業(yè)流程的變革，企業(yè)原有的風險管理越來越不適應企業(yè)的業(yè)務發(fā)展和管理的提升，為管理工作的重心從經(jīng)營成果的反映向經(jīng)營過程的控制轉移創(chuàng)造了技術條件。信息系統(tǒng)處理的信息內容信息系統(tǒng)不僅處理組織內部所產(chǎn)生的財務信息、運作信息、合規(guī)性信息等信息，同時也處理組織外部的影響決策的事項、活動及環(huán)境等外部信息，因為這些信息對風險管理體系的有效運行是必不可少的。內部信息包括采購資料、銷售資料、內部營業(yè)活動資料和內部生產(chǎn)過程資料；外部信息資料包括顯示本組織產(chǎn)品的需求發(fā)生改變時，某種特定市場或行業(yè)的經(jīng)濟資料，用于組織生產(chǎn)的商品的資料，顯示顧客偏好的市場情報，競爭對手產(chǎn)品開發(fā)活動的信息，立法機關與行政機關所發(fā)布的信息。信息系統(tǒng)的主要職能信息系統(tǒng)的主要職能是向管理層提供有關組織LI標履行情況的報告；向各級管理者及時提供具體的信息，使其有效的履行其職責。組織的信息系統(tǒng)提供有效信息給適當?shù)娜藛T，通過交流和溝通，組織所有員，必須能夠知悉其營業(yè)、財務報告及遵循法律的責任，而且必須有向上級部門溝通重要信息的方法，并實現(xiàn)對外界顧客、供應商、政府主管機關和股東等有效的溝通。良好的信息系統(tǒng)的特征組織建立良好的信息系統(tǒng)，必須做到：建立良好的信息系統(tǒng)支持策略：信息系統(tǒng)與組織營運有效結合；有良好的信息品質。信息系統(tǒng)提供信息時，應該做到：向不同層次的管理者提供詳盡程度不同的信息，幫助它們及時采取相應措施；信息要經(jīng)過適當分析歸納，以保證信息的相關性，同時包含必要的細節(jié)，而不僅僅是信息的海洋；信息的提供要及時、準確，使外部和內部活動都能得到有效監(jiān)督，并能對內外變化做出快速反映。信息系統(tǒng)的生命周期信息系統(tǒng)的開發(fā)方式=1\*GB3①自行開發(fā)自行開發(fā)是企業(yè)依托自身力量完成整個開發(fā)過程。優(yōu)點：開發(fā)人員熟悉企業(yè)情況；培養(yǎng)鍛煉自己的開發(fā)隊伍。缺點：開發(fā)周期較長；技術水平和規(guī)范程度較難保證；成功率相對較低。適用條件：企業(yè)自身技術力量雄厚，而且市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案。=2\*GB3②外購調試外購調式的基本做法是企業(yè)購買成熟的商品化軟件，通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。優(yōu)點：開發(fā)建設周期短；成功率較高；成熟的商品化軟件質量穩(wěn)定，可靠性高；專業(yè)的軟件提供商實施經(jīng)驗豐富。缺點：系統(tǒng)的后期升級進度受制于商品化軟件供應商產(chǎn)品更新?lián)Q代的速度，企業(yè)自主權不強，較為被動。適用條件：企業(yè)的特殊需求較少，市場上已有成熟的商品化軟件和系統(tǒng)實施方案。=3\*GB3③業(yè)務外包信息系統(tǒng)的業(yè)務外包是指委托其他單位開發(fā)信息系統(tǒng)。優(yōu)點：充分利用專業(yè)公司的專業(yè)優(yōu)勢；節(jié)約了人力資源成本。缺點：溝通成本高；要求企業(yè)必須加大對外包項LI的監(jiān)督力度。適用條件：市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案，企業(yè)自身技術力量薄弱或出于成本效益原則考慮不愿意維持龐大的開發(fā)隊伍。（八）監(jiān)督（乂0口讓0血8）（監(jiān)控、評價和反饋）含義和內容監(jiān)督，是指對風險管理有效地發(fā)揮功能進行連續(xù)評價的程序，是經(jīng)營管理部門對風險管理的管理監(jiān)督和內部審計監(jiān)察部門對風險管理的再監(jiān)督與再評價活動的總稱。內部監(jiān)督是企業(yè)對風險管理建立與實施情況監(jiān)督檢查，評價風險管理的有效性，對于發(fā)現(xiàn)的風險管理缺陷，及時加以改進。對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。通過監(jiān)控，對風險管理進行經(jīng)常性的監(jiān)督、評價和糾正，它是實施風險管理的重要保證，是對風險管理的控制。有效控制系統(tǒng)的最后一個組成部分是監(jiān)控。組織不僅僅為各類活動和組織各部門制定正確的政策和程序，還必須確保各方面都能遵循這些政策和程序，為此，組織必須對風險管理各要素的運行情況進行有效的監(jiān)督，并對現(xiàn)有政策及程序是否健全做出判斷，所以，風險管理系統(tǒng)需要被監(jiān)督。監(jiān)督的意義內部監(jiān)督作為風險管理的基本要素之一，對于風險管理的有效運行，以及風險管理的不斷完善起著重要的作用。首先，內部監(jiān)督以內部環(huán)境為基礎，并與內部環(huán)境有極強的互動關系。其次，內部監(jiān)督與風險評估、控制活動形成了三位一體的閉環(huán)控制系統(tǒng)。最后，內部監(jiān)督離不開信息與溝通的支持。所有監(jiān)督活動，都需要良好的信息與溝通機制予以保障。內部監(jiān)督的基本要求（1）監(jiān)督人員應具有勝任能力和獨立性（2）關注關鍵控制企業(yè)應根據(jù)風險評估，識別風險管理中的關鍵控制，收集判斷風險管理有效性的相關有力證據(jù)，確定需采取的監(jiān)督程序，以及需執(zhí)行的效率。關鍵控制應考慮一下因素：復雜程度高的控制；需要高度判斷力的控制；已知的控制失效；相關人員缺少實施某一控制所需的資質或經(jīng)驗；管理層凌駕于某一控制活動之上；某一控制失效是重大的，且無法被及時地識別并整改。識別并實施關鍵控制所需的信息必須是相關性的、可靠的、及時的和充分的。監(jiān)督應拓展到風險管理系統(tǒng)的各個要素中去。4、監(jiān)督體系和方式組織內部可以通過兩種方式對風險管理進行監(jiān)控一一內含于業(yè)務活動所進行的持續(xù)的日常監(jiān)控和基于獨立于業(yè)務活動的視角實施的獨立評價（個別評估、專項評估）。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在組織內各管理層面和各部門持續(xù)得到執(zhí)行。除此以外還有來自機構外部的監(jiān)督。（1）持續(xù)監(jiān)督活動持續(xù)監(jiān)督活動，是指實施內含于日常業(yè)務活動中的一系列的手續(xù)，連續(xù)對風險管理的有效性進行審核、評價。日常監(jiān)督是指企業(yè)對建立與實施風險管理的情況進行常規(guī)、持續(xù)的監(jiān)督檢查。執(zhí)行業(yè)務活動中實施的風險管理自我檢查、自我評價也包括在持續(xù)監(jiān)督活動之中。持續(xù)的監(jiān)督活動在營運過程中發(fā)生，它包括例行的日常管理和監(jiān)督活動，以及其他員工為履行其職務所采取的行動，在這一過程中，每一位相關人員都承擔各自的控制職責。持續(xù)監(jiān)督活動包括：負責營運的管理階層（operatingmanagement）在履行其日常的管理活動時，取得風險管理系統(tǒng)持續(xù)發(fā)揮功能的資料，當營運報告、財務報告與它們所得到的資料有較大偏離時，可對報告提出質疑；內外信息印證；獲得風險管理執(zhí)行的證據(jù)；管理層對風險管理執(zhí)行的監(jiān)督；來自外界團體的溝通，可以驗證內部信息的正確性，并能及時反映問題所在；適當?shù)慕M織結構及監(jiān)督活動，可用來辨識缺失；各個職務的分離，使不同員工之間可以彼此相互檢查，防止舞弊；數(shù)據(jù)記錄與實物資產(chǎn)的核對，把信息系統(tǒng)所記錄的資料同實際資產(chǎn)核對；內外部稽核人員定期提出強化風險管理系統(tǒng)的建議；培訓課程、規(guī)劃會議和其他會議，把控制是否有效的重要信息反饋給管理階層；定期要求員工陳述它們是否了解組織的行為準則，對于負責業(yè)務和財務的員，，則要求它們陳述某些特定控制是否都予以執(zhí)行，管理階層或內部稽核人員還必須驗證這些陳述是否確