风险管理审计.pptVIP

風險管理審計一、企業風險管理審計概述（一）風險及風險管理1.風險定義：是指影響組織目標實現的各種不確定性事件。

包括：內部風險和外部風險A.外部風險是指外部環境中對組織目標的實現產生影響的不確定性。影響外部風險的主要因素：國家法律法規變化、經濟環境變化、科技發展、行業竟爭、意外等B.內部風險是指內部環境中對組織目標的實現產生影響的不確定性。影響因素：治理結構、組織特點、資訊系統、職業道德、業務素質等2.風險管理的定義：是對影響組織目標實現的各種不確定性事件進行識別與評估，並採取應對措施將其影響控制在可接受範圍內的過程。風險管理的目的：為了將風險控制在可接受的範圍內；（風險的可接受範圍取決於組織對風險的態度）（二）風險管理的範圍包括：組織整體及職能部門兩個層面。1.低層目標的實現是高層目標實現的基礎。2.不同層面的風險管理的責任在於不同的管理層。（三）風險管理的三個階段1.風險識別：根據組織目標、戰略規劃等識別所面臨的風險。①組織目標：戰略目標、經營目標、各職能部門的目標、崗位目標等。風險的識別應根據不同層次的目標分別進行，在整個組織的各層次都要進行。②識別的風險可能會影響組織整體層，也可能僅影響單個職能部門。2.風險評估對已識別的風險，評估其發生的可能性及影響程度。①風險評估針對兩方面進行：（必須同時進行評估）（1）風險發生的可能性；（2）風險的影響程度。②風險評估是做出恰當的風險應對決策的基本前提。3.風險應對採取應對措施，將風險控制在組織可接受的範圍內。①應對措施根據風險的嚴重程度有針對性地進行。（1）採取措施，降低風險；（2）不採取措施，接受風險。②採取應對措施應考慮成本效益原則。（四）內部審計與風險管理的關係1.內部審計是一種獨立、客觀的保證和諮詢活動。其目的是在於為組織增加價值和提高組織的運作效率。它通過系統化和規範化的方法，評價和改進風險管理、控制及治理過程的效果，幫助組織實現其目標。2.內部審計介入風險管理的主要原因：①內部審計機構有獨特的位置；②內部審計師更瞭解組織的高風險領域；③內部審計師對於組織目標的實現有更強的責任感。3.內部審計在風險管理中的作用①檢查與評價②管理與協調③顧問與諮詢④報告與防範（五）組織管理層和內部審計人員在風險管理中的職責1、組織管理層：負責確定可接受的風險範圍，建立、健全風險管理機制並使之有效運行。☆組織管理層對待風險的態度直接決定了風險管理的程度。☆可接受的風險範圍由組織管理層根據組織特點、其自身經營理念及管理思想、組織文化等因素確定的。2、內部審計機構和人員：應當充分瞭解組織的風險管理過程，審查和評價其適當性和有效性，並提出改進建議。（六）企業風險管理審計目標1、總目標：審計部門和審計人員按照組織風險管理方針和策略的部署，以風險管理目標為標準，審核被審計部門在風險識別、評價和管理等方面的合理性和有效性，在損失可能發生之前作出最有效的安排，或使損失降到最小，幫助組織實現預期目標。2、具體目標：包括一般審計目標和專案審計目標。一般審計目標是所有專案必須達到的目標；專案審計目標是某一特定專案所要達到的目標。（七）企業風險管理審計的特點1.審計思路和觀念發生根本性轉變2.工作重心開始轉移3.方法更加科學、先進4.目的更加明確二、企業風險管理框架企業風險管理框架（ERMF）是反映風險管理過程和內容的程式圖。包括：澳大利亞-新西蘭聯合委員會的AS/NZE4360、加拿大標準委員會模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等（一）澳大利亞-新西蘭聯合委員會的AS/NZE4360確定範圍監測和審核溝通和協調識別風險分析風險評價風險處理風險（二）COSO模型建立組織目標評估風險確定需要的控制識別、測評、排序風險（三）IIA研究基金的ERM框架評估風險1.識別風險因素2.排序3.歸類4.簡要描述風險機會整合風險

數量影響

減輕風險

財務方法探究風險

分析機會

制定計畫

實施保持向前1.監測變化→風險因素→環境→組織2.必要時重新進行以前的步驟（四