企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，采用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進。

企業應建立貫穿于整個風險管理基本流程，連接各上下級、各部門和業務單位的風險管理信息溝通渠道，確保信息溝通的及時、準確、完整，為風險管理監督與改進奠定基礎。

企業各有關部門和業務單位應定期對風險管理工作進行自查和檢驗，及時發現缺陷并改進，其檢查、檢驗報告應及時報送企業風險管理職能部門。

企業風險管理職能部門應定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗，要根據本指引第三十條要求對風險管理策略進行評估，對跨部門和業務單位的風險管理解決方案進行評價，提出調整或改進建議，出具評價和建議報告，及時報送企業總經理或其委托分管風險管理工作的高級管理人員。

企業內部審計部門應至少每年一次對包括風險管理職能部門在內的各有關部門和業務單位能否按照有關規定開展風險管理工作及其工作效果進行監督評價，監督評價報告應直接報送董事會或董事會下設的風險管理委員會和審計委員會。此項工作也可結合年度審計、任期審計或專項審計工作一并開展。

二、風險管理評估和建議的內容

企業可聘請有資質、信譽好、風險管理專業能力強的中介機構對企業全面風險管理工作進行評價，出具風險管理評估和建議專項報告。報告一般應包括以下幾方面的實施情況、存在缺陷和改進建議：

（一）風險管理基本流程與風險管理策略；

（二）企業重大風險、重大事件和重要管理及業務流程的風險管理及內部控制系統的建設；

（三）風險管理組織體系與信息系統；

（四）全面風險管理總體目標。