【正文】 針對重大缺陷，內(nèi)部監(jiān)督機構應上報高級管理層、董事會及其審。風險管理的缺陷應該由下往上報告。為了保證問題得到及時的解決，事先制定報告的政策和手續(xù)是重要的。 相關文檔記錄：內(nèi)部環(huán)境文檔、控制活動文檔、信息與溝通文檔、風險評估文檔、內(nèi)部監(jiān)督文檔。當組織管理者打算向外部相關方提供關于企業(yè)風險管理效率的報告時，他們應考慮為企業(yè)風險管理設計一套記錄模式并保持有關的記錄。對企業(yè)風險管理進行記錄的程度根據(jù)組織的規(guī)模、經(jīng)營的復雜性和其他因素的影響而有所不同。反之，應該認為是無效的。另一方面，針對潛在的風險管理缺陷，采取相應的預防性控制措施，盡量限制缺陷的產(chǎn)生，或者當缺陷發(fā)生時，盡可能降低風險和損失。（3）實施監(jiān)督對風險管理制度建立情況與實施情況進行監(jiān)督監(jiān)察，最直接的動機就是查找出企業(yè)風險管理存在的問題和薄弱環(huán)節(jié)。按照缺陷的來源，可以分為設計缺陷和執(zhí)行缺陷。（2）制定風險管理缺陷標準 風險管理缺陷，是指風險管理的設計存在漏洞，不能有效防范錯誤與舞弊，或者風險管理的運行存在弱點和偏差，不能及時發(fā)現(xiàn)并糾正錯誤與舞弊的情形。監(jiān)督的程序為了應對變化和風險，企業(yè)應實施必要的監(jiān)督監(jiān)察來確保風險的有效運行，主要應關注監(jiān)督評審程序的合理性、對風險管理缺陷的報告和對政策程序的調(diào)整等等，確保風險管理能持續(xù)有效的運作。內(nèi)部審計機構依照法律規(guī)定和企業(yè)授權開展審計監(jiān)督。企業(yè)應當保證內(nèi)部審計機構具有相應的獨立性，并配備與履行內(nèi)部審計職能相適應的人員和工作條件。內(nèi)部審計一般從其獨立的立場，對風險管理的構建和運行狀況進行調(diào)查，并報告其改進事項。監(jiān)事會發(fā)現(xiàn)公司經(jīng)營情況異常，可以進行調(diào)查；必要時，可以聘請會計師事務所等協(xié)助其工作，費用由公司承擔。監(jiān)事會有權對董事、高級管理人員提起訴訟。、監(jiān)事會獨立評價監(jiān)事會對董事會建立與實施風險管理進行監(jiān)督。此外，董事會負有對董事執(zhí)行職務進行監(jiān)督的職責。但是，管理層能夠直接實施的活動存在著局限，因此，它通常對內(nèi)部審計部門等下達適當?shù)闹甘?，通過監(jiān)控其結果而實施獨立評價。: 當內(nèi)控環(huán)境發(fā)生變化時，要進行專項監(jiān)督，以確定風險管理是否還能適應新的內(nèi)控環(huán)境?？紤]到成本效益原則，對風險很高但不重要的項目或很重要但是風險很小的項目可以減少個別評估的次數(shù)。一般來說，風險水平較高并且重要的控制，企業(yè)對其進行專項監(jiān)督的頻率應較高。日常監(jiān)督應和專項監(jiān)督有機結合，前者是后者的基礎，后者是前者的有效補充。盡管持續(xù)監(jiān)督程序可以有效地評價風險管理體系，但組織有時需要組織例外的專項評估直接監(jiān)視控制系統(tǒng)的有效性，這種做法可評估持續(xù)性監(jiān)督程序。（2）專項評估（個別評估、獨立評價）①專項評估的含義為從其他的視角對是否存在日常監(jiān)控中不能發(fā)現(xiàn)的問題而定期或臨時進行的評價，屬于獨立的專項評價。 主要措施：結合內(nèi)外部審計力量及其意見，對企業(yè)認定的重大風險的管控情況及成效開展持續(xù)性的監(jiān)督。有條件的企業(yè)，應當設置專門的風險管理機構。主要措施：經(jīng)理層召開經(jīng)理辦公會、生產(chǎn)例會等會議；聽取員工的合理化建議。持續(xù)監(jiān)督活動包括：負責營運的管理階層（operating management ）在履行其日常的管理活動時，取得風險管理系統(tǒng)持續(xù)發(fā)揮功能的資料，當營運報告、財務報告與它們所得到的資料有較大偏離時，可對報告提出質(zhì)疑；內(nèi)外信息印證；獲得風險管理執(zhí)行的證據(jù)；管理層對風險管理執(zhí)行的監(jiān)督；來自外界團體的溝通，可以驗證內(nèi)部信息的正確性，并能及時反映問題所在；適當?shù)慕M織結構及監(jiān)督活動，可用來辨識缺失；各個職務的分離，使不同員工之間可以彼此相互檢查，防止舞弊；數(shù)據(jù)記錄與實物資產(chǎn)的核對，把信息系統(tǒng)所記錄的資料同實際資產(chǎn)核對；內(nèi)外部稽核人員定期提出強化風險管理系統(tǒng)的建議；培訓課程、規(guī)劃會議和其他會議，把控制是否有效的重要信息反饋給管理階層；定期要求員工陳述它們是否了解組織的行為準則，對于負責業(yè)務和財務的員工，則要求它們陳述某些特定控制是否都予以執(zhí)行，管理階層或內(nèi)部稽核人員還必須驗證這些陳述是否確實。執(zhí)行業(yè)務活動中實施的風險管理自我檢查、自我評價也包括在持續(xù)監(jiān)督活動之中。監(jiān)督體系組成持續(xù)的日常監(jiān)督專項監(jiān)督外部監(jiān)督1管理高層監(jiān)督董事會監(jiān)督外部監(jiān)管機構的監(jiān)督2會計監(jiān)督審計委員會監(jiān)督外部法律法規(guī)監(jiān)督（司法監(jiān)督）3人事監(jiān)督監(jiān)事會監(jiān)督外部利益相關方的監(jiān)督4員工的自我監(jiān)督紀委監(jiān)督外部媒體監(jiān)督5監(jiān)察監(jiān)督外部審計監(jiān)督6風險管理委員會監(jiān)督7內(nèi)部審計監(jiān)督（1）持續(xù)監(jiān)督活動持續(xù)監(jiān)督活動，是指實施內(nèi)含于日常業(yè)務活動中的一系列的手續(xù)，連續(xù)對風險管理的有效性進行審核、評價。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在組織內(nèi)各管理層面和各部門持續(xù)得到執(zhí)行。監(jiān)督應拓展到風險管理系統(tǒng)的各個要素中去。關鍵控制應考慮一下因素：復雜程度高的控制；需要高度判斷力的控制；已知的控制失效；相關人員缺少實施某一控制所需的資質(zhì)或經(jīng)驗；管理層凌駕于某一控制活動之上；某一控制失效是重大的，且無法被及時地識別并整改。所有監(jiān)督活動，都需要良好的信息與溝通機制予以保障。其次，內(nèi)部監(jiān)督與風險評估、控制活動形成了三位一體的閉環(huán)控制系統(tǒng)。監(jiān)督的意義內(nèi)部監(jiān)督作為風險管理的基本要素之一，對于風險管理的有效運行，以及風險管理的不斷完善起著重要的作用。有效控制系統(tǒng)的最后一個組成部分是監(jiān)控。對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及一段時期的執(zhí)行質(zhì)量的一個過程。（八）監(jiān)督（Monitoring）（監(jiān)控、評價和反饋）含義和內(nèi)容監(jiān)督，是指對風險管理有效地發(fā)揮功能進行連續(xù)評價的程序，是經(jīng)營管理部門對風險管理的管理監(jiān)督和內(nèi)部審計監(jiān)察部門對風險管理的再監(jiān)督與再評價活動的總稱。缺點：溝通成本高；要求企業(yè)必須加大對外包項目的監(jiān)督力度。③業(yè)務外包信息系統(tǒng)的業(yè)務外包是指委托其他單位開發(fā)信息系統(tǒng)。缺點：系統(tǒng)的后期升級進度受制于商品化軟件供應商產(chǎn)品更新?lián)Q代的速度，企業(yè)自主權不強，較為被動。②外購調(diào)試外購調(diào)式的基本做法是企業(yè)購買成熟的商品化軟件，通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。缺點：開發(fā)周期較長；技術水平和規(guī)范程度較難保證；成功率相對較低。（5）信息系統(tǒng)的生命周期 （6）信息系統(tǒng)的開發(fā)方式①自行開發(fā)自行開發(fā)是企業(yè)依托自身力量完成整個開發(fā)過程。（4）良好的信息系統(tǒng)的特征組織建立良好的信息系統(tǒng)，必須做到：建立良好的信息系統(tǒng)支持策略；信息系統(tǒng)與組織營運有效結合；有良好的信息品質(zhì)。 （3）信息系統(tǒng)的主要職能信息系統(tǒng)的主要職能是向管理層提供有關組織目標履行情況的報告；向各級管理者及時提供具體的信息，使其有效的履行其職責。（2）信息系統(tǒng)處理的信息內(nèi)容信息系統(tǒng)不僅處理組織內(nèi)部所產(chǎn)生的財務信息、運作信息、合規(guī)性信息等信息，同時也處理組織外部的影響決策的事項、活動及環(huán)境等外部信息，因為這些信息對風險管理體系的有效運行是必不可少的。組織的高級管理層必須建立起有效的信息系統(tǒng)，確保信息的交流和溝通，以確保有關人員掌握必要的信息并進行有效的溝通。同時，認真了解自身存在的問題，積極反映訴求和建議，努力加強與監(jiān)管機構的協(xié)調(diào)。企業(yè)在組織經(jīng)濟活動時，不可避免地要與其他企業(yè)發(fā)生經(jīng)濟糾紛，因此需要聘請律師幫助處理糾紛，以保障企業(yè)的利益。d．與中介機構的溝通 外部審計師對企業(yè)的財務報告進行審計工作，通過一系列完善的審計程序經(jīng)常能夠發(fā)現(xiàn)企業(yè)日常經(jīng)營以及財務報告中存在的問題。c．與供應商的溝通供應商處于供應鏈的上游，對企業(yè)的經(jīng)營活動有很強的制約能力。 客戶是企業(yè)產(chǎn)品和服務的接受者或消費者，企業(yè)經(jīng)營目標的實現(xiàn)依賴于客戶的配合。a．與投資者和債權人的溝通投資者和債權人是企業(yè)資本的提供者，也是企業(yè)風險的主要承擔者。企業(yè)員工應當采取電子溝通、書面溝通、口頭溝通等多種方式，實現(xiàn)所需的內(nèi)部信息、外部信息在企業(yè)內(nèi)部準確、及時地傳遞和分享，確保董事會、管理層和企業(yè)員工之間有效溝通。信息與溝通的方式是靈活多樣的，但無論哪種方式，都應當保證信息的真實性、及時性和有用性。（2）信息與溝通的主要環(huán)節(jié)信息與溝通的主要環(huán)節(jié)有：確認、計量、記錄有效的經(jīng)濟業(yè)務；在財務報告中恰當揭示財務狀況、經(jīng)營成果和現(xiàn)金流量；保證管理層與單位內(nèi)部、外部的順暢溝通。按照溝通的渠道分為正式溝通，也包括非正式溝通。內(nèi)部信息溝通是指企業(yè)經(jīng)營、管理所需的內(nèi)外部信息在企業(yè)內(nèi)部的傳遞和分享，內(nèi)部溝通又分為組織內(nèi)部的縱向交流，也包括部門間橫向交流。通過溝通，企業(yè)員工能夠明確他人的信息需求，并對自己的職責有更清晰的認識，從而有助于工作的順利完成和效率的提高。溝通是技術性的，已經(jīng)在管理工作中得到廣泛的應用，但比技術更有意義的是企業(yè)組織內(nèi)外部的有效交流。信息與溝通是為了使管理層和員工能執(zhí)行其職責，企業(yè)各個部門及員工之間必須溝通和交流相關的信息。信息的溝通和交流（1）溝通的含義、作用和分類，以便他們能夠履行與經(jīng)營、財務報告和合規(guī)相關的職責。信息在企業(yè)內(nèi)部進行有目的、及時的、準確的、安全的傳遞，對貫徹企業(yè)發(fā)展戰(zhàn)略、正確識別生產(chǎn)經(jīng)營中的風險、及時糾正操作錯誤、提高決策質(zhì)量具有重要的作用。（3）內(nèi)部信息的傳遞信息的傳遞一般包括兩個階段：一個是信息的形成，一個是信息的傳遞和使用。有效的溝通也是廣義上的溝通，包括組織內(nèi)自上而下、自下而上以及橫向的溝通。在獲取信息的同時，也要注意以某種方式來交流信息，以保證對它的關注和充分利用。信息應當是相關、及時和準確的，并且它可能與某些標準或目標、與內(nèi)部或外部的運營活動、與具體的情況有關。信息具有以下特征：共享性、可傳遞性、可編碼性（信息可以用標準符號來表示，以便于采集、存儲、處理和傳輸）、具有價值（價值取決于效用和成本的關系，信息價值=信息效用信息成本）。要想獲取信息就要先獲得載荷信息的數(shù)據(jù)，再對其加工。信息是數(shù)據(jù)的含義，是人們對數(shù)據(jù)的理解，是數(shù)據(jù)加工后的結果。必要的信息不僅要進行傳遞，使其接受方正確理解信息，還要使該信息為組織內(nèi)所有需要它的人員所共有，這是非常重要的。對組織內(nèi)所有人員履行各自職能的必要的信息，必須及時且合理地識別、把握、處理和傳遞。管理階層需要調(diào)查超出計劃的結果或者不正常的趨勢，辨認采購作業(yè)的目標無法達成的原因。這些評價活動對實現(xiàn)組織經(jīng)營的效果和效率非常有用。（4）績效評價控制。第二類是應用控制（application control ），與個別數(shù)據(jù)在信息系統(tǒng)中的處理的方式有關。信息處理是保證業(yè)務在信息系統(tǒng)中正確、完全和經(jīng)授權處理的活動。理想狀態(tài)的職責分離是沒有一個職員負責超過一個以上的職能。人員的安排不能發(fā)生責任沖突，要識別和盡力縮小有潛在利益沖突的地方，并遵從謹慎、獨立的監(jiān)督評審。（2）職責分離。實物控制中要制定防止資產(chǎn)被竊的程序。又稱為資產(chǎn)和記錄接近控制。企業(yè)應通過采用手工控制與自動控制、防護性控制與發(fā)現(xiàn)性控制相結合的方法實施相應的控制措施。組織的管理層應明確：必須為每一項經(jīng)營活動制定相應的政策和程序；現(xiàn)有的政策和程序必須得到充分實施；對于例外情況要及時采取補救措施；主管人員要定期評估控制活動的效果等。它包括一系列的政策及其相關實施程序，制定和實施控制活動是為了控制組織通過上述風險評估程序確認的風險，并確保管理層的決策和指令得以實施，如核準、授權、驗證、調(diào)節(jié)、復核營業(yè)績效，保障資產(chǎn)安全及職務分工等?？刂苹顒哟嬖谟诮M織的各部分、各個層面和各個部門，通常包括兩個要素：確定應該做什么的政策和影響該政策的一系列程序?？刂苹顒邮侵附Y合具體業(yè)務和事項，運用相應的控制政策和程序，或稱控制手段去實施控制。 不可接受的剩余風險（Unacceptable Residual Risk）——在控制活動沒有充分設計、沒有適當實施時，或是將風險減小到一個可以接受的水平無效時，就會存在這種風險。各行政部門、職能部門或者業(yè)務部門的管理者應采取一定的措施對該部門的風險進行復合式評估并選擇相應的風險反應方案。 有效的風險管理要求管理者選擇可以使組織風險發(fā)生的可能性和影響都落在風險容忍度之內(nèi)的風險反應方案。風險應對策略的選擇還可以從企業(yè)范圍內(nèi)組合的角度去考慮。風險應對策略選擇時應考慮的因素風險承受度成本和效益風險的特性可供選擇的措施風險應對策略選擇時應注意的問題一般情況下，對戰(zhàn)略、財務、運營和法律風險，可采取風險承受、風險回避、風險分擔等方法。風險的自留可能是有意識的、無意識的，積極的、消極的，主動的、被動的，有計劃的、無計劃的。在判斷對風險進行事前應對多花費的費用超過其效果的情況，或者判斷即使風險顯性化后也可以應對的情況下，如果風險處于可以容許的水平以下，則認為組織可以接受該風險。（4）風險承受就是接受風險（風險的自留、接納風險），是指不采取任何行動而接受可能發(fā)生的風險及其影響。財務型非保險轉移常用手段有：保證、再保證、證券化、股份化、簽訂套期交易合約等。通過風險分擔方式應對風險，風險并沒有減少，只是風險承擔者發(fā)生了變化。（3）風險轉移也就是共擔風險（風險分擔），是指通過轉嫁風險或與他人共擔風險，將風險的全部或一部分轉移到組織外部，從而降低風險發(fā)生的可能性或降低風險對組織的影響。風險降低依目的的不同可以劃分為損失預防和損失抑制兩類。風險規(guī)避的方式分為完全放棄（拒絕承擔任何風險，不從事可能產(chǎn)生風險的任何活動）、中途放棄（中止承擔某種風險）和改變條件（改變生產(chǎn)活動的性質(zhì)）。風險規(guī)避風險轉移完全放棄中途放棄改變條件保險轉移財務型非保險轉移控制型非保險轉移風險降低風險承受損失預防損失抑制接受計劃（1）終止產(chǎn)生風險的活動（也稱為規(guī)避風險、風險規(guī)避），是指暫?；蛑兄箷痫L險的活動，就是采取措施退出會給組織帶來風險的活動。風險管理是應對風險的一種方式。 風險應對的具體策略風險反應指組織管理個別風險所選用的方式。 通常，審計師通過確定管理層識別與財務報告有關的風險、評價它們的重要性、發(fā)生的可能性、針對風險需要采取的行動，以取得對管理層風險評估過程的了解。管理層的風險評估是風險管理設計和運行的組成部分，是為了減少差錯和舞弊；審計師要