第十章风险管理审计.ppt

第十章 风险管理审计 一、企业风险管理审计概述 （一）风险及风险管理 1.风险定义：是指影响组织目标实现的各种不确定性事件。 ◇包括：内部风险和外部风险 A.外部风险是指外部环境中对组织目标的实现产生影响的不确定性。 影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等 B.内部风险是指内部环境中对组织目标的实现产生影响的不确定性。 影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等 2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。 风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度） （二）风险管理的范围 包括：组织整体及职能部门两个层面。 1.低层目标的实现是高层目标实现的基础。 2.不同层面的风险管理的责任在于不同的管理层。 （三）风险管理的三个阶段 1.风险识别：根据组织目标、战略规划等识别所面临的风险。 ①组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。 ②识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。 2.风险评估 对已识别的风险，评估其发生的可能性及影响程度。 ①风险评估针对两方面进行：（必须同时进行评估） （1）风险发生的可能性； （2）风险的影响程度。 ②风险评估是做出恰当的风险应对决策的基本前提。 3.风险应对 采取应对措施，将风险控制在组织可接受的范围内。 ①应对措施根据风险的严重程度有针对性地进行。 （1）采取措施，降低风险； （2）不采取措施，接受风险。 ②采取应对措施应考虑成本效益原则。 （四）内部审计与风险管理的关系 1.内部审计是一种独立、客观的保证和咨询活动。其目的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。 2.内部审计介入风险管理的主要原因： ①内部审计机构有独特的位置； ②内部审计师更了解组织的高风险领域； ③内部审计师对于组织目标的实现有更强的责任感。 3.内部审计在风险管理中的作用 ①检查与评价 ②管理与协调 ③顾问与咨询 ④报告与防范 （五）组织管理层和内部审计人员在风险管理中的职责 1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。 ☆组织管理层对待风险的态度直接决定了风险管理的程度。 ☆可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。 2、 内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。 （六）企业风险管理审计目标 1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标。 2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。 （七）企业风险管理审计的特点 1.审计思路和观念发生根本性转变 2.工作重心开始转移 3.方法更加科学、先进 4.目的更加明确 二、企业风险管理框架 企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。 包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、David McNamee模型、COSO模型、IIA研究基金的ERM框架、2004 COSO-ERM模型等 （一）澳大利亚-新西兰联合委员会的AS/NZE4360 （二） COSO模型 （三） IIA研究基金的ERM框架 （四）安达信信息技术风险管理框架 （五）《中央企业全面风险管理指引》的企业风险管理框架 三、风险管理审查与评价 （一）风险的审查和评价 1.确定风险范围，制定风险评价标准 2.识别特定范围的风险 ①环境风险 ②过程风险 ③信息风险 3.分析风险 ①风险分析目标 ②风险分析的程序和内容 ★ 风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计