目前企业风险管理的监控可以以两种方式进行，一种是持续的监控，一种是个别评价。企业风险管理过程就是通过持续的监控行为、个别评价或两者的结合来实现的。持续的监控行为发生在企业的日常经营过程中，包括企业的日常风险管理和监督行为、员工履行各自职责的行为，持续的监控是企业内的一种日常性的制度安排，具有普遍性，因此不需要个别评价。也就是说，个别评价活动的广度和频度有赖于风险预估和日常监控程序的有效性。在进行个别评价时，必须充分考虑环境变化的性质和程度以及可能的相关风险、风险管理人员的能力和经验以及持续监控的有效性。

企业风险管理的持续监控

在正常运营过程中，企业要执行许多不同的活动来监控风险管理构成要素的有效性。这些活动包含在了日常经营中的信息日常审查里。相对于个别监控，由于持续监控被实时地执行并根植于企业主体之中，因此，持续监控更加有效。

对于日常的监控活动，我们可以举出以下事例，管理当局审查主要经营活动指标的报告，如新的销售或现金状况的快报，有关未交付订货、毛利的信息和其他主要的财务与经营统计数据；经营管理人员把产量、存货、质量测量、销售和其他从日常活动中获得的信息与系统产生的信息以及预算或计划进行比较；管理当局根据已制定的风险敞口范围审查绩效，如可接受的错误率、悬而未决的项目、调整的项目、外汇敞口余额或来自订约方的风险；管理人员审查主要的绩效指标，如风险方向和大小的趋势、战略和战术行动的状态、实际结果相对于预算或前期的趋势和变化等。美国的COSO认为，一般情况下，持续监控活动应由直线式的经营管理人员或辅助式的辅助管理人员来执行，这是因为，这些管理人员可以对他们所掌握的信息进行更深入的思考，通过分析信息所暴露出来的关系、矛盾或其他问题，寻找产生问题的环节和责任人，在进一步掌握信息的基础，确定是否需要提出改进的措施。COSO特别强调，持续监控活动应与经营过程中的政策所要求执行的活动区分开来。例如，作为信息系统或会计程序所要求的步骤来执行的交易审批、账户余额调节等最好界定为企业控制活动。

企业风险管理的个别评价

个别评价是企业风险监控的另一种方式。个别评价往往是由企业的经营目标、业务流程或管理主体等方面发生变化而引起的。个别评价的参与人员范围更广泛，包括企业的高层管理人员、风险管理人员、内部审计部门和外部专家。个别评价一般是要定期实施的，实施的频度由企业根据自身对风险变化的情况的判断加以确定。以下是一个生产商如何设计其新库存控制系统的一个个别评价过程：

一家大型制造公司的管理当局为其企业资源计划(ERP)系统安装了新模块，以提高其全球供应链流程。目标包括降低库存成本、提高追踪能力和提供更多有关存货可用性的信息。假定系统实现顾客服务目标的极端重要性以及该流程的变动范围，就可以确定，在上线部署后的4个月内，每个月对该流程实施一次个别评价，而且在其后的两年内每6个月实施一次个别评价。个别评价由来自信息技术职能部门、内部审计职能部门的人员和外部咨询人员组成的小组来执行。第一次评价集中在：系统变化控制、组织变动准备、安全、数据质量、与遗留系统的接口。随后的评价致力于处理的准确性和完整性，包括传输和移交、相关控制活动、更改接近与控制、人工界面以及信息输出的使用和有效性。