66.董事会在企业风险管理中有哪些职责与作用?

董事会是企业风险管理框架中的核心，它需要对风险管理的目标确立、组织构建、建章立制、制度执行以及审计与监控情况全面负责。董事会就企业全面风险管理工作的有效性对全体股东负责。董事会在全面风险管理方面主要履行的职责包括:

1、审议并向股东(大)会提交企业全面风险管理年度工作报告。

2、确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案。

3、了解和掌握企业面临的各项重大风险及其风险管理现状，作出有效控制风险的决策。对公司全面风险管理体系的建立健全、有效实施及检查监督负责。

4、批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。

5、批准重大决策的风险评估报告。

6、批准内部审计部门提交的风险管理监督评价审计报告。

7、批准风险管理组织机构设置及其职责方案。

8、批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度作出的风险性决定的行为。

9、督导企业风险管理文化的培育。

10、全面风险管理其他重大事项。

67.监事会在企业风险管理中有哪些职责与作用?

监事会是董事会外部的监督机制，对股东(大)会负责，与董事会互相独立、互不隶属，在风险管理组织框架中，监事会起到了监督企业风险管理决策及实施过程的作用。监事会的重点监督对象是董事会，并且通过对董事会的监督来实现对经营管理层的监督职能。根据《公司法》等相关法律、法规的要求，监事会在全面风险管理方面主要履行的职责包括:

1、列席董事会和经营管理层会议，就企业风险管理相关议题发表监督意见，充分了解重大事项的背景经过及风险管控情况。

2、就与企业财务活动、经营决策相关的风险管理情况开展专项检查，通过检查发现并分析企业风险管理制度方面的缺陷和漏洞，督促董事会和管理层勤勉履职。

3、向董事会及经营管理层成员通报专项检查报告内容，督促董事会和经营管理层整改落实，适时跟踪后续审计，保证监事会检查实效。

4、调研审阅各类经营信息材料，了解企业总体风险管理情况，揭示企业经营管理中存在的风险隐患，向董事会和经营管理层提出有针对性的意见。

5、密切联系外部审计机构，了解外部审计工作进展情况，并指导内部审计部门开展内审及稽核工作。

6、对董事会和经营管理层在风险管理框架下履职行为合法合规性的监督，当董事会和经营管理层发生违规违法行为，损害企业和股东利益时，采取措施予以制止、纠正并追究责任。

68.董事会下设风险管理委员会，其应当承担怎样的职责?

风险管理委员会成员一般由3-5名董事组成，由董事会选举产生，委员会成员中应当有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责，向董事会提交风险管理决策及报告，其主要履行的职责包括:

1、提交全面风险管理年度报告。

2、审议风险管理策略和重大风险管理解决方案。

3、审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告。

4、审议内部审计部门提交的风险管理监督评价审计综合报告。

5、审议风险管理组织机构设置及其职责方案。

6、办理董事会授权的有关全面风险管理的其他事项。

69.董事会下设审计委员会，其应当承担怎样的职责?

审计委员会同样是隶属于董事会的专业委员会，它独立于经营管理层，其建立的初衷是在董事会建立一个独立的、专门的治理力量以强化外部审计师的独立性，从而提高公司财务报告信息的真实性和可靠性。委员会成员可以从外部董事中选取。审计委员会在进行风险管理时应当承担的职责包括:

1、了解管理层对财务报告风险的评估情况，就相关问题征询外部审计师的意见。

2、了解并监督企业内部审计质量与财务信息披露。

3、了解可能诱发重大风险的财务报告方面的薄弱环节。

4、就企业内部审计机构负责人的任免提出意见。

5、了解内部审计师的风险评估和根据该评估而制定的审计计划。

6、了解管理层的企业风险评估结果及其对财务报告的影响，审查企业内部控制程序的有效性，并接受有关方面的投诉。

7、监督企业社会中介审计等机构的聘用、更换及报酬支付。

70.什么是风险管理中的风险识别?

风险识别是指企业运用各种方法与手段，系统、全面、连续地认识管理与经营过程中所面临的各种风险事件，并进行有效的记录，形成风险清单的过程。

风险识别是在建立了风险评估的基础、完成了企业目标的设置与分解这些准备工作后的一个步骤，其实是真正开始“发现”与“挖掘”企业决策与经营过程中风险的首要步骤，是企业有针对性地处理风险、管理风险的基础。

71.什么是风险管理中的风险分析?

风险分析是指在识别了风险事件后，需要对风险发生的原因、风险发生会造成的影响、风险涉及的相关岗位与人员、风险所属的领域与业务流程等搜集进一步的信息，以便于后续对风险进行有效的管理与应对这样一个过程。

企业所面临的风险是错综复杂的，需要通过建立风险分析模型进行有效的识别和分析。因此风险识别与分析在整个风险管理中具有十分重要的位置，只有全面、准确地识别出风险，才能衡量、评价风险和选择应对风险的办法。

72.风险识别与分析的方法主要有哪些?

风险识别与分析过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别与分析有许多种方法,最主要使用的有以下几种：

结构化/半结构化访谈；

问卷调查；

查阅文件；

头脑风暴式的专题研讨会；

专项审核。

73.风险评估的合理广度和深度应该有多大?

企业在开展风险评估工作时，需要确定合理的范围。风险评估的操作范围可以是整个集团，也可以是集团负责某业务中的一个事业部，或者是某家子公司，甚至可以为某一个企业中的某一部门，或者独立的信息系统、特定系统组件和服务等。

在风险评估之前，我们需要关注这个组织的“目标”，然后才能确定合理确定风险评估的广度与深度。应该说，不同的组织目标对风险的态度是完全不同的，可能在这家企业属于重大风险的事项，在另外一家企业中是完全可以接受甚至忽略的事项。

我们可以举个例子，在生产型企业中，股权投资是一项非常重大的事项，需要经过经营层与决策层的多次讨论与研究，必要时还需要外部专家与行业专家的论证。但是在一家私募股权基金或者产业投资公司中，投资业务只是一项常规性的日常业务，往往仅仅会通过风险对冲的方式降低投资的风险。

74.风险管理解决方案的实施需经过哪些重要环节?

首先，企业应根据风险管理解决方案制定相应的风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

其次，企业应针对识别出来的风险事项制定内部控制措施，一般至少包括以下内容:

第一，建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权作出风险性决定。

第二，建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。

第三，建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。

第四，建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。

第五，建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等。

第六，建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。

第七，建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。

第八，建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系，完善企业重大法律纠纷案件的备案管理制度。

第九，建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约，明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任，将该岗位作为内部审计的重点等。

最后，企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

75.对风险管理的有效性进行检验的主要方法有哪些?

1、压力测试。是指在极端情形下，分析评估风险管理模型或内部控制流程的有效性，发现内部控制中的问题，并根据发现的问题制定改进措施的方法，目的是防止出现重大损失事件。

2、返回测试。是将历史数据输入到风险管理模型或内控流程中得出一个结果，把得出的结果与预测值对比，以检验内控方法的有效性。

3、穿行测试。是指在风险管理过程中，在正常运行的条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求进行对比，以发现内控流程是否存在缺陷的方法。

4、内控体系有效性自我评估。是对内部控制制度进行评估的工作过程。它涉及所有员工，而不仅仅是少数审计人员或高层管理人员。这里的有效性评价是针对控制系统的评价，有别于部门业绩的评价和个人业绩的评价。