进行风险管理评价，如同启动正式的风险管理工作一样重要。因为，所有工作都是围绕企业的目标进行展开的。是否能够达到预期的设计，需要有明确的目标导向引导工作的进行。如此一来，树立清晰和可操作的标杆，就可以根据工作进展，及时界定风险管理工作的有效性。

实施风险管理工作类似计划假期旅行：除非选择了目的地，否则不能随意上路。同样，企业不能开始就计划风险管理工作，除非已经知道最终的目的。当管理层在年度报告中向董事会出具风险管理的报告时，如果肯定地回答出本年度对风险管理的工作卓有成效，并且企业的风险管理系统运行正常、管理有效，则意味着企业年度风险管理工作取得了满意的成绩。

企业建设全面风险管理体系是为了达到以下目标：

(1)从企业经营战略出发，统一风险度量，建立风险预控机制和应对策略；

(2)明确企业不同层面的风险管理职责，保证风险管理体系的落实；

(3)形成风险信息的收集、分析、报告系统，为风险的实时有效监控和应对提供依据；

(4)有效地规避或减轻可能给企业造成重大损失的风险，保证企业战略目标的实现；

(5)企业利益相关者能够了解企业的风险，满足股东、债权人以及监管机构的要求；

(6)形成一套自我运行、自我完善的风险管理机制；

(7)管理风险，创造价值。

企业全面风险管理体系是从企业整体层面建设企业的风险管理的整体架构，包括制定企业的风险管理战略、完善企业的内控体系、设计与优化企业的风险管理流程、设计企业风险管理组织结构及其职能，从而使企业建立起风险管理的长效机制，从根本上提升风险管理的效率和效果。

风险管理评价是根据风险管理的理想模式，对企业现行风险管理体系的健全性、遵循性与有效性进行的检测、分析和评定，其实质是评价企业风险管理体系的设计与执行情况。进行风险管理评价的意义主要体现在三个方面。

1．对风险管理制度可行性检测和改进

由于不同的企业，其经营规模、所面临的外部经营环境和内部经营环境不同，同样的风险管理体系在不同单位所产生的效果不尽相同，即使在同一单位，由于内外部各项条件的变化，其不同时期的风险管理与内部控制的效果也不相同。因此，定期或不定期地开展风险管理评价，不断地调整和完善企业的风险管理体系及内部控制制度，是有效实施全面风险管理的重要手段和必要环节。

2．对风险管理制度贯彻执行情况的检查和强化

通过风险管理与内部控制评价，不但能够发现和检测风险管理与企业内部控制制度的缺陷，而且可以了解员工对风险管理与内部控制制度的执行程度和执行结果，从而提高企业的经营管理水平。

3. 对企业审计和自律监管重点的选择和确定

随着现代企业的经营规模和经营业务的不断扩展，内部审计工作的业务量也不断加大，监督领域逐步拓宽，涉及企业经营管理的方方面面。在这样的情况下，如果再采取过去那种事无巨细全面审计的方式，是不可取的。通过风险管理与内部控制评价，可以首先发现风险管理与内部控制失控点和风险点，然后，有所侧重地集中力量，针对重点进行审计，从而提高审计工作的准确性和针对性，并降低审计成本。现阶段，西方先进的审计理论和方法已经相当科学和完善，内部审计已经发展到以风险管理与内部控制评价为主体、以风险防范为目标、以提高绩效为目的的高级阶段。

风险管理评价可用以检查，评价风险管理过程的充分性和有效性：

1．评价风险管理主要目标的完成情况

主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标，存在的风险，以及对降低风险和加强控制的活动评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评占所搜集的信息是否准确，以及审计技术的应用；评占与风险管理有关的薄弱环节，并与管理层、董事会、审计委员会讨论，提出意见并监督实施。

2．评价管理层选择的风险管理方式的适当性

每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、有市场融资能力的公司必须用正式的定量风险管理方法：规模小的，业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。

一、企业风险管理机制评价指标

评价企业对风险是否能够进行有效的管理，首要问题是考察企业的风管理机制。概括地说，企业风险管理机制主要寓于决策机制和内控机制中。企业的投资风险管理，取决于决策机制。企业实际运营与操作中的险管理，取决于内部控制机制。

(一)评价决策机制

主要关注三点：一是进行权力结构科学合理性分析，对其制衡机制的有效性作出判断；二是进行决策程序的可行性分析，考察具体执行过程中是否常有“例外”情况发生；三是进行决策责任的确定性分析，即考察决策责任是否落实到具体人，发生决策失误时，能否找到应该承担责任的人。良好的决策机制主要表现为：权力结构合理，责任与权力统一，制衡机制有效，决策程序能够严格执行，出现决策失误责任人明确具体。

(二)评价内部控制机制

主要关注四点：一是内控制度是否健全，企业运营的所有操作都要有据可依，内部控制不能基于“天网恢恢，疏而不漏”的概念之上，内部控制制度必须全面、严密、明确、具体；二是内控制度执行是否严格，“有法不依”是风险防范的“天敌”，比“无法可依”危害更大，在企业运营中，任何人、任何行为都不能有“例外”；三是组织结构是否有利于内控机制的正常运转，不相容的职务是否分设，制约制衡机制是否的效；四是“罚则”是否具体，能否落实。

二、企业经营风险管理评价指标

通常，对企业经营风险可以从生产、市场、资源、管理、财务、环境等方面进行考察和分析评价。具体做法可采取企业自测和专家分析相结合的方法。经过分析研究，对可能发生的风险列表，由企业相关人员对这些风险作出自测分析，在风险度上给出“高、中、低”三个层次等级的预测，然后再由有关专家进行鉴别。这种方法一般用来评价企业风险意识及风险管理的敏感程度。

(一)生产风险分析

主要分析设备(装备)的适用性，能否满足当前生产经营需要，能否满足企业发展需要；产品(或经营服务)的市场定位和市场地位，客户的满意程度；主要产品所处的技术寿命周期和市场寿命周期；产品(或经营服务)的质量状况；技术储备和新产品开发情况；生产(经营)成本的竞争能力；工艺合理性及先进程度。

(二)市场风险分析

主要分析本企业竞争优势、销售策略、销售网络、价格策略、市场份额，并与主要竞争对手进行对标分析。

(三)资源风险分析

主要分析人力、资本、原材料、能源、技术等重要资源的来源、价格、质量，以及资源占有率、地域分布等。

(四)管理风险分析

主要分析企业组织结构对企业发展战略的适应性，决策程序的合理性，对所属企业(分支机构)控制制度和控制方法的有效性，分配制度(激励机制)的合理有效性，业绩考核方式的合理合规性，内控制度的完备性和执行有效性。

(五)财务风险分析

主要分析资产结构的合理性，与本企业主业经营性质的适应性；根据财务报告，分析资产的可流动性和偿债能力；汇率、利率变动对企业的影响；财务信息的客观可靠性、及时性、完整性；财务信息对决策的影响力；投资评价制度的科学合理性，以及对投资主体的激励作用等。

(六)环境风险分析

主要分析企业外部因素变化给企业带来的风险，包括资金的供应状况对企业融资的影响；社会上能够满足企业发展需要的人力资源的质量、价格对企业的影响；国家法律和政策变化(如产业政策、金融政策、税收政策、环保政策、资源政策等)对企业发展的影响；重要客户、供应商的资信状况；社会技术进步状况及发展趋势对企业发展的影响；经济全球化的现状和发展趋势对企业生存空间及未来发展的影响；国际市场与国内市场变化对企业的影响等。

风险管理评价程序包括评价准备、评价实施、评价报告、评价等级认定、评价结果利用和后续审计等步骤。

风险管理评价评价准备

1．收集评价资料

为全面掌握评价期内被评价单位风险管理与内部控制状况，评价机构应收集整理评价期内被评价单位的以下资料：上级单位向被评价单位授权的文件，以及被评价单位制定的规章制度；被评价单位主要业务经营指标的完成情况和风险指标控制情况；对被评价单位的内外部审计及监管检查报告、通报、整改通知书等；被评价单位及其下属单位发生的案件和责任事故情况等。

收集评价资料的方式一般有三种：一是向被评价单位有关管理人员和当事人询问有关风险管理与内部控制的现状情况；二是查阅被评价单位有关风险管理与内部控制的规章制度和文件资料，如果被评价单位编有风险管理与内部控制流程图或其他专门描述其风险管理与内部控制的文件资料，可直接索取并加以利用；三是查阅以前年度有关被评价单位风险管理与内部控制方面的审计或评价档案。如果以前曾对该单位进行过风险管理与内部控制评价，那么，以前的档案也是评价人员了解被评价单位风险管理与内部控制现状的一项主要依据。

2．非现场评价结果汇总分析

对评价期内收集的评价资料进行综合汇总分析，在此基础上，对非现场评价未涉及和需要进一步核实的评价点，确定为现场评价的重点内容。

3．制定评价方案

在对被评价单位风险管理进行了解分析和非现场评价的基础上，制定评价实施方案，明确评价的目的、时间、内容、范围、方法等。

4．组成评价

组抽调审计人员、企业管理专家与专业技术人员等组成评价组。评价人员应经过风险管理与内部控价的培训，具备相应的评价能力，掌握评价方法和标准。

5．征求上级单位有关部门对被评价单位的评价意见

评价前向被评价单位的上级单位各有关部门发出《风险管理与内部控制评价征求意见表》(表1)，了解上级单位有关部门对被评价单位风险管理与内部控制状况的意见。

表1 　风险管理与内部控制评价征求意见表

处室名称：　评价年度：　年度

6．发出《风险管理与内部控制评价通知书》

现场评价前，上级单位向被评价单位发出《风险管理与内部控制评价通知书》(参考格式见表2)，同时发出“被评价单位提供资料清单”(参考格式见表3)、“被评价单位各部门提供资料清单”(参考格式见表4)和“风险管理与内部控制评价问卷'，要求被评价单位及其各部门按照资料清单的要求提供有关资料。问卷的内容在对被评价单位首次评价时，要求被评价单位全部回答。在之后的评价中，可根据实际情况，选择问卷的全部或部分内容进行调查。

表2 　风险管理与内部控制评价通知书

被评价单位：

发文单位：(公章)

年 月 日

表3 　被评价单位提供资料清单

表4 　被评价单位各部门提供资料清单

风险管理评价评价实施

1．健全性测试

健全性测试主要是了解、检查和评价企业各种业务和事项中的风险是否被识别，关键风险点的定位是否准确，是否有相应的管理和控制制度、措施。健全性测试主要采取以下五种方式进行：

一是问卷调查。现场收集“风险管理与内部控制评价问卷”进行调查、分析，问卷调查结果要作为评价记录加以保管。

二是询问调查。现场评价时，首先要召开由评价组成员、被评价单位领导和有关部门负责人参加的进点会谈，听取被评价单位汇报。在进点会谈后，评价组可以有针对性地与被评价单位领导及其各部门的负责人和主要业务人员进行座谈调查。座谈情况要登记《风险管理与内部控制评价调查记录》(参考格式见表5)，作为评价资料归档保存。

表5 　风险管理与内部控制评价调查记录

编号：

三是查阅被评价单位各项管理制度和相关文件，以及风险管理与内部控制过程中形成的文件和记录，如账本、报表、凭证、各种文件传递及签阅单、各种记录、合同、报告等。

四是观察被审计单位业务活动和内部控制的实际运行情况等，了解被评价单位内部控制体系的基本情况，必要时可进行穿行测试。

五是流程图比较。根据被评价单位现行的风险管理与内部控制制度，绘制被评价单位主要业务的标准业务流程图。将标准业务流程图与被评价单位实际操作流程图进行比较，初步评价被评价单位风险管理与内部控制体系的健全性和充分性。

评价人员应将通过检查所了解的被评价单位风险管理与内部控制的现状，与事先确定的评价模式进行对照，以揭示其风险管理与内部控制措施是否被采用。在相互对照中发现的管理与控制缺陷，评价人员应按不同的性质和内容加以归类、汇集，并登记在《风险管理与内部控制缺陷登记表》中(表6)。

表6 　风险管理与内部控制缺陷登记表

被评价单位：

对于检查出的管理与控制缺陷，评价人员应通过询问管理人员或当事人以及查阅有关资料的方式，了解其是否存有补偿性措施。倘若存在，评价人员则应进一步分析这些补偿性控制措施能否全部抵消管理与控制缺陷的影响，并在“风险管理与内部控制缺陷登记表”中加以说明。

在确定被评价单位风险管理与内部控制缺陷没有补偿性措施或补偿性措施不能全部抵消其影响后，评价人员应说明管理与控制缺陷可能产生某些错弊的性质，以及对整个控制系统的影响程度。如果还存在其他缺陷的话，评价人员还应分析管理与控制缺陷间的相互联系及其可能产生的共同影响。

在分析被评价单位风险管理与内部控制系统中所有管理与控制缺陷及其潜在影响的基础上，评价人员即可对其健全程度作出评价。

如果认为被评价单位的风险管理与内部控制系统是健全的或基本健全的，能够保证评价人员所关注的管理与控制目标的实现，评价人员即可对该单位的风险管理与内部控制系统予以信赖，并测试其有效性；反之，评价人员则不予信赖，而直接进入实质性评价阶段。

2．初步评价

在健全性测试后，评价人员要对被评价单位的风险管理与内部控制状况进行初步评价，评价内容包括：被评价单位是否存在风险管理与内部控制缺陷；被评价单位对风险管理与内部控制缺陷是否已采取补偿措施，采取措施后仍存在的风险和后果等，初步评价结果要登记“风险管理与内部控制健全性测试结果登记表”(参考格式见表7)。

表7 　风险管理与内部控制健全性测试结果登记表

3．符合性测试和评价

实施健全性测试虽然解决了风险管理与内部控制制度本身设计是否健全完整的问题，但这些只是对规章制度或业务处理方面作出的规定，而在实际业务活动中企业是否贯彻这些规定，特别是有无按规定设置这些管理与控制环节和关键控制点，并真正发挥其作用，则需通过符合性测试和评价来解决。

符合性测试和评价，又称“遵循性测试”，是评价人员为了证实风险管理与内部控制制度在实际工作中是否得到贯彻执行以及贯彻执行程度如何，而对在健全性评价中被认为健全或基本健全的风险管理与内部控制进行的测试评价。

1)符合性测试和评价的范围和内容

符合性测试的范围和内容是由健全性测试和评价所确定的，那些经过健全性测试和评价被认为是可以信赖的风险管理与内部控制，就构成了符合性测试的内容，而那些经过健全性评价被认为存在缺陷、错误或薄弱的内部控制，则应排斥在符合性测试的范围之外，而直接列为实质性审计的重点内容。

2)符合性测试的数量

对于列入符合性测试范围的风险管理与内部控制内容，并不是进行全面审查，而通常是实施抽样测试。符合性测试的关键在于确定适当的样本数量，这是关系到测试效率和质量的主要问题。样本数量太小，无法保证抽样结果的代表性，样本数量太大，又会增加测试的工作量，影响测试效果。因此，评价人员必须根据评价工作的实际需要，科学地选择测试样本的容量。

符合性测试数量的最低限度一般由风险管理与内部控制执行频率来确定，它与风险管理与内部控制执行频率成正比。如以一年为一个评价期间，大体可确定样本数量如表8所示。

表8 　符合性测试表

3)符合性测试的方法

符合性测试数量确定后，可通过判断抽样法、整批抽样法、分层抽样法、系统抽样法和利用随机数表等方法抽取样本。也可以以业务循环为基础、以经营部门为基础、以财务报表的分类为基础进行风险管理与内部控制测试。至于测试样本的方法，主要使用检查证据、穿行测试(重复执行)和实地观察等方法。

(1)证据检查法。证据检查法是指评价人员在符合性测试和评价中，抽取一定数量的原始文件、账表、凭证等书面证据和其他有关证据，检查其是否存在控制线索，以判断风险管理与内部控制是否得到有效贯彻执行的方法。其工作原理是：被评价单位的风险管理与内部控制执行情况都要在资料文件中表现出来，如凭证上的签章等。

(2)穿行测试法。亦称重复执行法，是指评价人员在符合性测试和评价中，抽取某项控制系统的几笔业务，按照被评价单位规定的业务或事项处理程序，从头到尾地重新执行一遍，以检查这些业务在办理过程中是否执行了规定的管理与控制措施，并通过其处理结果是否相符来判断各项风险管理与控制措施能否有效发挥作用的技术方法。

(3)实地观察法。是指评价人员在符合性测试和评价中，身临被评价单位的工作现场，实地观察有关人员的实际工作情况，以察看其规定的风险管理与控制措施是否得到严格执行的技术方法。

上述三种方法的适用范围如表9所示。

表9 　符合性测试方法和控制类型表

4)符合性测试表

对于符合性测试结果，通常登记在《符合性测试表》(表10)中，以作为符合性评价和日后查阅的依据。

表10　符合性测试表

被评价单位：

5)符合性评价

符合性测试完毕，评价人员汇总符合性测试表记录的单项测试结果，着重将风险管理与内部控制系统的薄弱环节和失控环节整理出来，对其失控性质、失控程度和潜在影响进行逐项分析，然后对风险管理与内部控制在实际工作中的执行与否和执行程度作出评价。如果关键控制点或多数一般控制点失去控制，则表明风险管理与内部控制无法发挥管理与控制功能，可以作出直接进行实质性审计的结论；如果是少数一般控制点执行不利或全部控制点都执行良好，则进入综合性评价。

4．实质性测试

实质性测试是在符合性测试的基础上，针对风险管理与内部控制缺陷和可能产生的后果，运用检查、观察、查询及函证、计算、分析性复核等方法，对被评价单位的业务项目进行直接审查的过程。实质性测试确定测试的重点领域时，应当考虑以下几个方面：缺少风险管理与内部控制的重要业务领域；风险管理与内部控制设置不合理、控制目标不能实现的领域：风险管理与内部控制没有发挥作用的领域。

5．风险管理内部控制指标分析

评价小组应对收集掌握的被评价单位风险管理与内部控制指标进行核实、对比分析和趋势分析，对风险管理与内部控制目标的实现情况作出评价。

6．综合评价

评价组根据现场和非现场评价情况，登记评价日记和评价工作底稿。在集体讨论的基础上，按照评价标准对每个评价要点进行评级，填写《风险管理与内部控制评价计分表》。

风险管理评价评价报告

评价组要对评价结果进行归纳整理、统计分析和综合汇总，撰写评价报告，并征求被评价单位的书面意见。评价组要将评价报告、被评价单位的书面意见以及评价日记、工作底稿等相关资料一并报送评价委托单位。

评价报告正文内容包括基本情况、评价结果、评价分析等三部分。

1．基本情况主要包括以下内容

(1)企业概况、主要业务类型和经营范围、与生产经营相关的风险管理与内部控制环境等。

(2)问卷调查的基本情况，企业风险管理与内部控制体系中的关键风险点及其配套制度的建设、执行情况等。

(3)企业在集团总体战略目标规划下，督促子企业建立健全风险管理与内部控制的实际管理情况等。

(4)如果企业由于行业性质、战略目标和风险管理理念等因素可能存在特定风险，还应详细介绍该特定风险的实际控制情况等。

(5)企业风险管理与内部控制管理机构的职责权限、独立性和实际运行状况，风险管理与内部控制监督检查工作的内容、程序、方式，以及相关工作报告的汇报对象和落实情况等。

2．评价结果主要包括以下内容

(1)企业集团、集团总部以及样本子企业的定量和定性评价结果，在风险管理与内部控制建设与执行方面取得的主要成绩和存在的主要不足。

(2)按照集团总部和样本子企业，逐项列示存在的重大违规事项和重大风险管理与内部控制缺陷。

(3)根据集团总部和样本子企业的评价结果绘制定性评价结果散点图，详细说明各样本测试单位定性评价结果的整体分布情况及其对企业集团整体定性评价结果的影响。

3．评价分析主要包括以下内容

(1)根据企业集团的定量评价结果和定性评价结果散点图，结合风险管理与内部控制评价工作的实际情况，分析企业集团整体的风险管理与内部控制水平。

(2)逐项说明重大违规事项的过程、原因和涉及金额或产生的影响。分析风险管理与内部控制设计的健全性和合理性，如果属于风险管理与内部控制执行问题，还应分析其未发挥应有作用的原因。

(3)逐项说明重大风险管理与内部控制缺陷，用图表、文字等形式对相关业务流程进行具体描述。分析相关风险管理与内部控制设计的健全性和合理性，如果属于风险管理与内部控制执行问题，还应分析其未发挥应有作用的原因。

(4)针对集团总部和样本子企业，逐项分析风险管理与内部控制存在缺陷的主要环节、原因及其影响，并提出完善建议。

(5)详细说明集团总部和样本子企业对评价结果的反馈意见、双方存在较大分歧的内容和各自依据。

风险管理评价报告附件应当包括样本测试单位、各项评价指标以及各项权重的确定情况，调整评价指标或权重的理由和具体调整情况，样本测试单位评价结果汇总表等。

风险管理评价报告应当以充分、适当的测试证据为依据，形成评价结论。

风险管理评价后续审计评价

风险管理与内部控制评价工作结束后，委托单位还要组织后续审计或评价，跟踪检查被评价单位问题整改情况和处罚处理决定执行情况等。后续审计或评价可以安排在下一次评价时，也可以与其他审计或评价项目合并进行。

风险管理评价主要是对企业风险管理状况的评价，包括企业风险管理环境、企业风险识别与评估、企业内部控制、风险管理信息交流与反馈、风险管理监督与改进、风险管理与案件和责任事故评价等六个评价系统。

1．企业风险管理环境评价系统(占评价总权重的25%)

评价的主要内容包括：风险管理组织体系是否建立健全，主要包括规范的公司法人治理结构(包括对予公司的控制)；风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构是否健全；股东(大)会、董事会、监事会与经理层、各职能部门之间的权责分配是否合理，职责分工是否明确，报告关系是否清晰；是否制定了明确、适宜、有效的风险管理与内部控制政策；是否建立了风险管理目标；是否建立了符合风险管理与内部控制要求的授权管理体系；是否制定了完整的人力资源政策，是否建立了完善的人力资源管理体系；是否建立了法律风险管理体系；是否培育和塑造了良好的风险管理文化等。

2．企业风险识别与评估评价系统(占评价总权重的10%)

评价的主要内容包括：是否建立了风险识别、评估的机制和程序，并进行持续的风险识别和评估；是否及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略；是否及时改进风险管理与内部控制制度、有效地防范和控制风险；是否建立了风险与危机预警系统；是否建立了风险应急、危机处理和相应的防范措施等。

3．企业内部控制评价系统(占评价总权重的50%)

评价的主要内容包括：内部控制是否贯穿决策、执行和监督全过程，是否覆盖企业及其所属单位的各种业务和事项；各项业务、事项和各个职能部门是否执行和实施了有效的相互制约、相互监督等内部制衡措施；各项业务和事项是否按照组织控制、权限控制、目标控制、措施控制、流程控制等环节进行管理和控制等。内部控制评价系统包括10个子系统：

(1)企业预算内部控制评价(占内部控制评价权重的5%)。

(2)企业筹资内部控制评价(占内部控制评价权重的5%)。

(3)企业投资内部控制评价(占内部控制评价权重的5%)。

(4)企业财务内部控制评价(包括货币资金、存货、固定资产、无形资产、工程项目、成本费用、担保、关联方交易、财务报告编制与信息披露等)(占内部控制评价权重的55%)。

(5)企业采购内部控制评价(占内部控制评价权重的5%)。

(6)企业销售内部控制评价(占内部控制评价权重的5%)。

(7)企业质量内部控制评价(占内部控制评价权重的5%)。

(8)企业安全生产内部控制评价(占内部控制评价权重的5%)。

(9)企业环境保护内部控制评价(占内部控制评价权重的5%)。

(10)企业并购内部控制评价(占内部控制评价权重的5%)。

4．风险管理信息交流与反馈评价系统(占评价权重的5%)

评价的主要内容包括：是否建立了适用的、覆盖企业全部业务和事项的信息系统；决策层、管理层是否能够掌握充分、综合、可靠、连续的财务、经营以及影响决策的其他内外部信息；是否建立了内部上下之间、内外部横向之间信息交流机制和渠道；信息是否能够及时、安全、准确、可靠地传递、存储和使用等。

5．风险管理监督与改进评价系统(占评价权重的10%)

评价的主要内容包括：业务部门、风险管理部门、审计部门、纪检监察部门等是否对风险管理和内部控制规章制度、业务流程的建设和执行情况进行连续的监管；监管活动是否合规；是否建立了监管结果直接向管理层、决策层和股东或股东大会报告的机制；监管中发现的风险管理和内部控制缺陷是否及时报告并得到有效纠正。包括四个评价子系统：

(1)审计监督评价(占风险管理监督与改进评价权重的15%)。

(2)纪检监察监督评价(占风险管理监督与改进评价权重的15%)。

(3)自律监管评价(占风险管理监督与改进评价权重的40%)。

(4)问题整改评价(占风险管理监督与改进评价权重的30%)。

6．案件和责任事故评价(占总体权重的-10%)

评价的主要内容包括：企业是否发生了重大的风险或内部控制失误事件；如果没有发生重大的风险或内部控制失误事件则计零分；如果发生了重大的风险或内部控制失误事件，但损失和影响较小且及时采取了补救措施，则适当扣分；如果企业发生了重大的风险或内部控制失误事件，本评价指标要全部扣分，但最高扣10%。

本书从理论和实务紧密结合的角度，对各类风险进行识别、衡量和评价，并在风险管理评价的基础上介绍了选择风险管理技术、确定风险管理方案、实施风险管理措施、评价风险管理绩效等方面的内容。本书对企业风险管理、保险公司风险管理、家庭风险管理和政府风险管理进行了系统、全面的介绍，同时吸收了国内外教材的长处，重点介绍风险管理操作的实务。