[27050内部审计讲义第六章.docVIP

风险管理与公司治理审计 第一节风险管理审计的内容 一、什么是风险 (一)定义 国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确IIA新颁布的IPPF将风险定义为：“指对实现目标有影响的事件实际发生的 (二)风险分类 风险在企业经营活动中有不同的表现，国资委将企业风险分为：战略风险、。 二、风险管理 企业风险管理是指围绕企业风险去管理策略目标，针对企业战略、规划、产 三、企业风险管理的八大要素 企业风险管理有八个相互关联的要素，这八个要素形成了一个 (一)内部环境 企业的内部环境是风险管理的基础， (二)目标设定 即规定设定目标的程序并确认目标、策略及风险承受之间的一致性。企业目1．策略：有关企业整体的目标及使命。2．营运：有关效率、绩效及获利能力。3．报导：有关内部及对外部的报导。4．遵循：有关法令及规章的遵循。 (三)事件辨认 企业经营环境充满不确定性，没有任何企业可以100％地确定特定事项是否 (四)风险评估 辨风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估，并风险评估同时使用定性与定量的方法来评估潜在事项的不确定性程度。 (五)风险回应 当风险被辨认及评估之后，管理 风险回应方式，主要有回避、降低、分摊及接受，当然还有转移、集中等其 (六)控制活动 内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目rr管理架构、软体的购置及维修、资料存取的安全等控制；而应用控制的目的则 (七)资讯及沟通 组织的每个层级在辨认、评估及回应风险口守都需要取得来自内部及外部的暹 有效的企业风险管理必须依赖于历史资讯及现时资讯。从历史资讯中可追踪 (八)监督 监督的作用在于确保企业风险管理的各个构成要素在组织的每个层级一致执 所有可能影响企业目标实现的风险——不管这些风险所显现出的潜在问题或 企业风险管理是一个相互关联的程序，只有八个要素同时存在并能顺利地运 四、风险管理审计的内容 风险管理审计与风险导向审计的内涵截然不同。风 根据我国《内部审计具体准则第16号——内部控制中的风险管理》的要 (一)风险识别审计 内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价， (二)风险评估审计 内部审计人员审查与评价风险评估过程时，应重点关注两个要素：(1)风(2)风险对组织目标的实现产生影响的严重程度。 (三)风险应对审计 内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。根据风1．回避，是指采取措施避免可产生风险的活动；2．接受，是指由于风险已在组织可接受的范围内，因而不采取任何措施；3．降低，是指采取可行措施将风险降低到组织可接受的范围内；4．分担，是指采取措施转移风险。 五、与内部控制审计的比较研究 不能单纯地从COSO的“五要素”或“八要素”角度简单确定内部控制审(经营活动)，风险管理的重心在高管层之上(战略设)，内部控制主要关注不相容职务是否分离，风险管理主要关注经营目在这样的基础上甄别内部控制审计和风险管理审计，可以得到如表所 表内部控制审计与风险管理审计的关系 比较的内容 内部控制审计 风险管理审计 审计内容 整体层面内部控制审计 业务层面内部控制审计 战略层面风险管理审计 业务层面风险管理审计 审计计划 更多地使用抽样方法确定 更多地使用风险评估方法确定 审计实施 描述内部控制、符合性测试、实质性测试 描述风险、测试风险、评价风险 审计报告 问题导向，关注牵制 风险导向，关注前瞻 审计方法 定性定量相结合，定量评价为主 定性定量相结合，定量评价为主 比较而言，风险管理审计与内部控制审计不是两个截然不同的事情，二者在 六、内部审计在企业风险管理过程中的角色和责任 内部审计在企业风险管理过程中的核心作用是就企业风险管理过程的有效性 (一)确认服务主要包括：1．对风2．对正确识别风险的确认服务，3评估风险管理过程，4．评估关键风险因素报告，5．评估关键风险因素管理。 (二)咨询服务在咨询服务方面，内部审计应充当企业风险管理过程中的咨询者、建议者、1．帮助识别和评估风险，2．指导管理层应对风险，3协调风险管理相关活动，4．加强对风险的报告与披露，5．保持和完善企业风6．支持企业风险管理的建设，7．在董事会批准的前提下，协助制 第二节风险管理审计的途径与方法 风险管理审计从工作的第一步开始就要考虑可能影响企业目标实现的风险， 一、风险识别 风险识别是企业风险管理审计的第一步，是对企业面临的、以及潜在的风险 二、风险评估的内容与方法 (一)风险评估的主要内容 风险评估是对已识别内部和外部风险的分析确认和衡量 (二)风险评估的方法 风险评估的方法有很多，但大体说来可 三、基于风险评估的审计计划 制订计划分为两步评测可利用的资源风险分析及风险排序 风险分析审计的