【正文】 務發(fā)展和管理的提升，為管理工作的重心從經營成果的反映向經營過程的控制轉移創(chuàng)造了技術條件。（2）信息系統(tǒng)處理的信息內容信息系統(tǒng)不僅處理組織內部所產生的財務信息、運作信息、合規(guī)性信息等信息，同時也處理組織外部的影響決策的事項、活動及環(huán)境等外部信息，因為這些信息對風險管理體系的有效運行是必不可少的。內部信息包括采購資料、銷售資料、內部營業(yè)活動資料和內部生產過程資料；外部信息資料包括顯示本組織產品的需求發(fā)生改變時，某種特定市場或行業(yè)的經濟資料，用于組織生產的商品的資料，顯示顧客偏好的市場情報，競爭對手產品開發(fā)活動的信息，立法機關與行政機關所發(fā)布的信息。 （3）信息系統(tǒng)的主要職能信息系統(tǒng)的主要職能是向管理層提供有關組織目標履行情況的報告；向各級管理者及時提供具體的信息，使其有效的履行其職責。組織的信息系統(tǒng)提供有效信息給適當?shù)娜藛T，通過交流和溝通，組織所有員工必須能夠知悉其營業(yè)、財務報告及遵循法律的責任，而且必須有向上級部門溝通重要信息的方法，并實現(xiàn)對外界顧客、供應商、政府主管機關和股東等有效的溝通。（4）良好的信息系統(tǒng)的特征組織建立良好的信息系統(tǒng)，必須做到：建立良好的信息系統(tǒng)支持策略；信息系統(tǒng)與組織營運有效結合；有良好的信息品質。信息系統(tǒng)提供信息時，應該做到：向不同層次的管理者提供詳盡程度不同的信息，幫助它們及時采取相應措施；信息要經過適當分析歸納，以保證信息的相關性，同時包含必要的細節(jié)，而不僅僅是信息的海洋；信息的提供要及時、準確，使外部和內部活動都能得到有效監(jiān)督，并能對內外變化做出快速反映。（5）信息系統(tǒng)的生命周期 （6）信息系統(tǒng)的開發(fā)方式①自行開發(fā)自行開發(fā)是企業(yè)依托自身力量完成整個開發(fā)過程。優(yōu)點：開發(fā)人員熟悉企業(yè)情況；培養(yǎng)鍛煉自己的開發(fā)隊伍。缺點：開發(fā)周期較長；技術水平和規(guī)范程度較難保證；成功率相對較低。 適用條件：企業(yè)自身技術力量雄厚，而且市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案。②外購調試外購調式的基本做法是企業(yè)購買成熟的商品化軟件，通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。優(yōu)點：開發(fā)建設周期短；成功率較高；成熟的商品化軟件質量穩(wěn)定，可靠性高；專業(yè)的軟件提供商實施經驗豐富。缺點：系統(tǒng)的后期升級進度受制于商品化軟件供應商產品更新?lián)Q代的速度，企業(yè)自主權不強，較為被動。適用條件：企業(yè)的特殊需求較少，市場上已有成熟的商品化軟件和系統(tǒng)實施方案。③業(yè)務外包信息系統(tǒng)的業(yè)務外包是指委托其他單位開發(fā)信息系統(tǒng)。優(yōu)點：充分利用專業(yè)公司的專業(yè)優(yōu)勢；節(jié)約了人力資源成本。缺點：溝通成本高；要求企業(yè)必須加大對外包項目的監(jiān)督力度。適用條件：市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案，企業(yè)自身技術力量薄弱或出于成本效益原則考慮不愿意維持龐大的開發(fā)隊伍。（八）監(jiān)督（Monitoring）（監(jiān)控、評價和反饋）含義和內容監(jiān)督，是指對風險管理有效地發(fā)揮功能進行連續(xù)評價的程序，是經營管理部門對風險管理的管理監(jiān)督和內部審計監(jiān)察部門對風險管理的再監(jiān)督與再評價活動的總稱。內部監(jiān)督是企業(yè)對風險管理建立與實施情況監(jiān)督檢查，評價風險管理的有效性，對于發(fā)現(xiàn)的風險管理缺陷，及時加以改進。對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。通過監(jiān)控，對風險管理進行經常性的監(jiān)督、評價和糾正，它是實施風險管理的重要保證，是對風險管理的控制。有效控制系統(tǒng)的最后一個組成部分是監(jiān)控。組織不僅僅為各類活動和組織各部門制定正確的政策和程序，還必須確保各方面都能遵循這些政策和程序，為此，組織必須對風險管理各要素的運行情況進行有效的監(jiān)督，并對現(xiàn)有政策及程序是否健全做出判斷，所以，風險管理系統(tǒng)需要被監(jiān)督。監(jiān)督的意義內部監(jiān)督作為風險管理的基本要素之一，對于風險管理的有效運行，以及風險管理的不斷完善起著重要的作用。首先，內部監(jiān)督以內部環(huán)境為基礎，并與內部環(huán)境有極強的互動關系。其次，內部監(jiān)督與風險評估、控制活動形成了三位一體的閉環(huán)控制系統(tǒng)。最后，內部監(jiān)督離不開信息與溝通的支持。所有監(jiān)督活動，都需要良好的信息與溝通機制予以保障。內部監(jiān)督的基本要求（1）監(jiān)督人員應具有勝任能力和獨立性（2）關注關鍵控制企業(yè)應根據(jù)風險評估，識別風險管理中的關鍵控制，收集判斷風險管理有效性的相關有力證據(jù)，確定需采取的監(jiān)督程序，以及需執(zhí)行的效率。關鍵控制應考慮一下因素：復雜程度高的控制；需要高度判斷力的控制；已知的控制失效；相關人員缺少實施某一控制所需的資質或經驗；管理層凌駕于某一控制活動之上；某一控制失效是重大的，且無法被及時地識別并整改。識別并實施關鍵控制所需的信息必須是相關性的、可靠的、及時的和充分的。監(jiān)督應拓展到風險管理系統(tǒng)的各個要素中去。監(jiān)督體系和方式組織內部可以通過兩種方式對風險管理進行監(jiān)控——內含于業(yè)務活動所進行的持續(xù)的日常監(jiān)控和基于獨立于業(yè)務活動的視角實施的獨立評價（個別評估、專項評估）。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在組織內各管理層面和各部門持續(xù)得到執(zhí)行。除此以外還有來自機構外部的監(jiān)督。監(jiān)督體系組成持續(xù)的日常監(jiān)督專項監(jiān)督外部監(jiān)督1管理高層監(jiān)督董事會監(jiān)督外部監(jiān)管機構的監(jiān)督2會計監(jiān)督審計委員會監(jiān)督外部法律法規(guī)監(jiān)督（司法監(jiān)督）3人事監(jiān)督監(jiān)事會監(jiān)督外部利益相關方的監(jiān)督4員工的自我監(jiān)督紀委監(jiān)督外部媒體監(jiān)督5監(jiān)察監(jiān)督外部審計監(jiān)督6風險管理委員會監(jiān)督7內部審計監(jiān)督（1）持續(xù)監(jiān)督活動持續(xù)監(jiān)督活動，是指實施內含于日常業(yè)務活動中的一系列的手續(xù)，連續(xù)對風險管理的有效性進行審核、評價。日常監(jiān)督是指企業(yè)對建立與實施風險管理的情況進行常規(guī)、持續(xù)的監(jiān)督檢查。執(zhí)行業(yè)務活動中實施的風險管理自我檢查、自我評價也包括在持續(xù)監(jiān)督活動之中。持續(xù)的監(jiān)督活動在營運過程中發(fā)生，它包括例行的日常管理和監(jiān)督活動，以及其他員工為履行其職務所采取的行動，在這一過程中，每一位相關人員都承擔各自的控制職責。持續(xù)監(jiān)督活動包括：負責營運的管理階層（operating management ）在履行其日常的管理活動時，取得風險管理系統(tǒng)持續(xù)發(fā)揮功能的資料，當營運報告、財務報告與它們所得到的資料有較大偏離時，可對報告提出質疑；內外信息印證；獲得風險管理執(zhí)行的證據(jù)；管理層對風險管理執(zhí)行的監(jiān)督；來自外界團體的溝通，可以驗證內部信息的正確性，并能及時反映問題所在；適當?shù)慕M織結構及監(jiān)督活動，可用來辨識缺失；各個職務的分離，使不同員工之間可以彼此相互檢查，防止舞弊；數(shù)據(jù)記錄與實物資產的核對，把信息系統(tǒng)所記錄的資料同實際資產核對；內外部稽核人員定期提出強化風險管理系統(tǒng)的建議；培訓課程、規(guī)劃會議和其他會議，把控制是否有效的重要信息反饋給管理階層；定期要求員工陳述它們是否了解組織的行為準則，對于負責業(yè)務和財務的員工，則要求它們陳述某些特定控制是否都予以執(zhí)行，管理階層或內部稽核人員還必須驗證這些陳述是否確實。經理層應采取種種措施充分利用內部信息與溝通機制，獲取適當?shù)摹⒆銐虻南嚓P信息來驗證風險管理是否有效設計和運行，并對日常經營管理活動進行持續(xù)監(jiān)督。主要措施：經理層召開經理辦公會、生產例會等會議；聽取員工的合理化建議。企業(yè)內部會計機構的監(jiān)督就是一種日常監(jiān)督，是指會計機構和會計人員憑借經授權的特殊地位和職權，依照特定主體制定的合法制度，對特定主體經濟活動過程及其資金運動進行綜合、全面、連續(xù)、及時的監(jiān)督，以確保各項經濟活動的合規(guī)性、合理性，保障會計信息的相關性、可靠性和可比性，從而達到提高特定主體工作效益的目的。有條件的企業(yè)，應當設置專門的風險管理機構。風險管理機構應采取種種措施，根據(jù)風險評估結果，對企業(yè)認定的重大風險的管控情況及成效開展持續(xù)性的監(jiān)督。 主要措施：結合內外部審計力量及其意見，對企業(yè)認定的重大風險的管控情況及成效開展持續(xù)性的監(jiān)督。通過控制自我評估的方法，召集有關管理層和員工就企業(yè)內控制度設計和執(zhí)行中存在的特定問題進行面談和討論，同時可以通過開展問卷調查和管理結果分析等方式進行監(jiān)督測試。（2）專項評估（個別評估、獨立評價）①專項評估的含義為從其他的視角對是否存在日常監(jiān)控中不能發(fā)現(xiàn)的問題而定期或臨時進行的評價，屬于獨立的專項評價。專項評估主要針對風險管理系統(tǒng)的某個部分進行專項檢查，并對整個風險管理系統(tǒng)的有效性做出評價。盡管持續(xù)監(jiān)督程序可以有效地評價風險管理體系，但組織有時需要組織例外的專項評估直接監(jiān)視控制系統(tǒng)的有效性，這種做法可評估持續(xù)性監(jiān)督程序。專項監(jiān)督不可或缺。日常監(jiān)督應和專項監(jiān)督有機結合，前者是后者的基礎，后者是前者的有效補充。②專項評估的范圍和頻率專項監(jiān)督的范圍和頻率應根據(jù)風險的大小、風險評估結果、變化發(fā)生的性質和程度、控制的重要性以及日常監(jiān)督的有效性等予以確定。一般來說，風險水平較高并且重要的控制，企業(yè)對其進行專項監(jiān)督的頻率應較高。③專項監(jiān)督的重點專項監(jiān)督的重點應關注以下兩個方面：: 審計部門依據(jù)日常監(jiān)督的結果，對風險較高且重要的項目要進行專項監(jiān)督?？紤]到成本效益原則，對風險很高但不重要的項目或很重要但是風險很小的項目可以減少個別評估的次數(shù)。應該將高風險且重要的項目作為個別評估對象。: 當內控環(huán)境發(fā)生變化時，要進行專項監(jiān)督，以確定風險管理是否還能適應新的內控環(huán)境。④專項監(jiān)督的步驟⑤具體的專項監(jiān)督管理層作為組織的代表，負有構建和運行風險管理的最終責任，從這一觀點來看它應該實施獨立評價。但是，管理層能夠直接實施的活動存在著局限，因此，它通常對內部審計部門等下達適當?shù)闹甘荆ㄟ^監(jiān)控其結果而實施獨立評價。董事會負責構建和運行風險管理的基本政策。此外，董事會負有對董事執(zhí)行職務進行監(jiān)督的職責。為了發(fā)揮這一職能，董事會負有對管理層是否按照董事會的決定合理構建和運行風險管理進行監(jiān)督的職責，當然他們的職責也通常借助內部審計或其他審計職能完成。、監(jiān)事會獨立評價監(jiān)事會對董事會建立與實施風險管理進行監(jiān)督。監(jiān)事會有權對董事、高級管理人員執(zhí)行公司職務的行為進行監(jiān)督；當董事、高級管理人員的行為損害公司的利益時，要求董事、高級管理人員予以糾正。監(jiān)事會有權對董事、高級管理人員提起訴訟。監(jiān)事可以列席董事會會議，并對董事會決議事項提出質詢或者建議。監(jiān)事會發(fā)現(xiàn)公司經營情況異常，可以進行調查；必要時，可以聘請會計師事務所等協(xié)助其工作，費用由公司承擔。 審核企業(yè)風險管理及其實施情況，并向董事會做出報告；指導企業(yè)內部審計機構的工作，監(jiān)督檢查企業(yè)的內部審計制度及其實施情況；處理有關投訴與舉報，督促企業(yè)建立暢通的投訴與舉報途徑；審核企業(yè)的財務報告及有關信息披露內容；負責內部審計與外部審計之間的溝通協(xié)調。內部審計一般從其獨立的立場，對風險管理的構建和運行狀況進行調查，并報告其改進事項。企業(yè)應當明確內部審計機構（或經授權的其他監(jiān)督機構）和其他內部機構在內部監(jiān)督中的職責權限，規(guī)范內部監(jiān)督的程序、方法和要求。企業(yè)應當保證內部審計機構具有相應的獨立性，并配備與履行內部審計職能相適應的人員和工作條件。內部審計機構不得置于財會機構的領導之下或者與財會機構合署辦公。內部審計機構依照法律規(guī)定和企業(yè)授權開展審計監(jiān)督。內部審計機構對審計過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向審計委員會或者董事會報告。監(jiān)督的程序為了應對變化和風險，企業(yè)應實施必要的監(jiān)督監(jiān)察來確保風險的有效運行，主要應關注監(jiān)督評審程序的合理性、對風險管理缺陷的報告和對政策程序的調整等等，確保風險管理能持續(xù)有效的運作。（1）建立健全內部監(jiān)督制度 企業(yè)的監(jiān)督制度應該包括：明確監(jiān)督的組織架構、崗位設置、崗位職責、相關權限、工作方法、信息溝通的方式以及各種表格及報告樣本等。（2）制定風險管理缺陷標準 風險管理缺陷，是指風險管理的設計存在漏洞，不能有效防范錯誤與舞弊，或者風險管理的運行存在弱點和偏差，不能及時發(fā)現(xiàn)并糾正錯誤與舞弊的情形。風險管理缺陷大體分為三個層次：有無風險管理的缺陷、有無重要風險管理缺陷、有無重大的風險管理缺陷，與此相適應，風險管理缺陷分為一般缺陷、重要缺陷和重大缺陷。按照缺陷的來源，可以分為設計缺陷和執(zhí)行缺陷。在內部監(jiān)督的過程中，要對缺陷的種類、性質和重要程度進行初步認定。（3）實施監(jiān)督對風險管理制度建立情況與實施情況進行監(jiān)督監(jiān)察，最直接的動機就是查找出企業(yè)風險管理存在的問題和薄弱環(huán)節(jié)。一方面，針對已經存在的風險管理缺陷，及時采取應對措施，減少控制缺陷可能給企業(yè)帶來的損害。另一方面，針對潛在的風險管理缺陷，采取相應的預防性控制措施，盡量限制缺陷的產生，或者當缺陷發(fā)生時，盡可能降低風險和損失。對于為實現(xiàn)單個或整體風險管理目標而設計與運行的風險管理機制不存在重大缺陷的情形的，企業(yè)應當認定針對這些整體風險管理目標的機制是有效的。反之，應該認為是無效的。（4）記錄和報告風險管理和控制程序的缺陷（關于風險管理中的問題的報告）①監(jiān)控的記錄監(jiān)控還包括對企業(yè)風險管理的記錄。對企業(yè)風險管理進行記錄的程度根據(jù)組織的規(guī)模、經營的復雜性和其他因素的影響而有所不同。適當?shù)挠涗浲ǔ癸L險管理的監(jiān)控更為有效果和有效率。當組織管理者打算向外部相關方提供關于企業(yè)風險管理效率的報告時，他們應考慮為企業(yè)風險管理設計一套記錄模式并保持有關的記錄。《企業(yè)內部控制基本規(guī)范》第四十七條規(guī)定，企業(yè)應當以書面或者其他適當?shù)男问剑咨票４鎯炔靠刂平⑴c實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。 相關文檔記錄：內部環(huán)境文檔、控制活動文檔、信息與溝通文檔、風險評估文檔、內部監(jiān)督文檔。②缺陷的報告不論是經營層還是其他控制人員抑或是內部審計人員發(fā)現(xiàn)了風險管理的缺陷，都應當及時向適當?shù)墓芾黼A層報告，并使其得到果斷處理。為了保證問題得到及時的解決，事先制定報告的政策和手續(xù)是重要的。企業(yè)應制定相關的管理規(guī)定，明確缺陷報告的職責、報告的內容，對缺陷報告程序及跟進措施等方面進行規(guī)范。風險管理的缺陷應該由下往上報告。內部控制缺陷的報告對象至少包括與該缺陷直接相關的責任單位、負責執(zhí)行整改措施的人員、責任單位的上級單位。針對重大缺陷，內部監(jiān)督機構應上報高級管理層、董事會及其審