某公司内部控制与风险管理审计培训教材.ppt

* * * * * 制定风险管理审计计划 “内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。” 1、内部控制：内部审计部门必须评估控制的效率和效果，并促进持续改进、从而协助组织维持有效的控制。 财务和运营信息的可靠性和完整性 运营的效率和效果 资产的安全 法律、法规、政策、程序、合同的遵循情况 2、风险管理：内部审计活动必须评估风险管理过程的有效性，并为其改善作出贡献。 组织目标支持本组织的使命并与其保持一致。 重大风险得到识别和评估 选定适当的风险应对方案，并符合组织的风险偏好 获取相关的风险信息，并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责 二、形成审计目标、范围和方法 制定风险管理审计计划 风险管理审计计划就审计目标、范围和方法等给出更为清晰的和可操作的指引。一般来讲，一个整体和较全面的审计计划应当包括： 审计目标、审计域、审计要点、审计准则以及其他参照指标、审计程序及其包含内容、审计调查与测试取证安排、审计负责人及其责任、确定审计所需信息和资料、主要审计方法和技术的选用、审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等）、审计资源需求、审计组织与审计质量保障证措施、审计团队的组成、对被审目标的配合要求、审计报告要点框架等。 风险管理审计计划可以规划化和表格化，并分发给承办该审计事项的所有审计人员。 三、风险管理审计计划内容 制定风险管理审计计划 四、与管理层的合作 五、业务之前的沟通 审计通知是内部审计部门在实施风险管理审计前通知客户接受审计的书面文件。审计通知书包括以下几点内容： ⑴客户及审计项目名称 ⑵审计目的和审计范围 ⑶审计时间 ⑷客户提供的具体资料和其他必要的协助 ⑸内部审计部门及其负责人的签章和签发日期 六、资源分配 七、启动会 启动会议是在审计项目开始时项目组成员、相关管理层或其他人员参加的沟通会议。其作用主要在于： ⑴说明审计目的、审计范围和要求协助的事项 ⑵进一步了解审计对象 ⑶沟通 评价控制的设计和其他风险管理技术 “内部审计部门必须评估针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。” “有效的审计设计：在多数情况下，在测试控制的有效性之前，要在了解和分析内部控制体系的设计上花费大量时间，以确定其是否能提供适当的控制，这为内部审计指出控制薄弱的根本原因而非指出其表面现象提供了坚实的基础” 适当的控制：如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理，组织的目标和目的以经济高效的方式实现，那么可以认为已建立适当的控制。 评价控制的设计和其他风险管理技术 一、常用控制及其他风险管理技术 预防或发现 指令 补偿 人工或自动化 组织层面、业务层面 一般控制 组织层面的控制 共享信息技术服务 应用控制 业务层面控制 评价控制的设计和其他风险管理技术 二、详细确认业务风险评估 1、识别目标 2、识别固有风险 3、评估风险影响和可能性 4、识别控制和其他风险管理技术 书面政策 流程手册 流程文档 一线员工 5、评价控制的设计和其他风险管理技术 穿行测试 固有风险-风险管理技术=剩余风险 其他风险管理技术的评价 软控制的评价 评价控制的设计和其他风险管理技术 三、用于记录和评价控制设计的工具 1、风险控制矩阵 风险/控制矩阵 目标 固有风险 影响/可能性 控制（和其他风险管理技术） 充分性评价 适当性评价 最终评价 测试控制和其他风险管理技术的有效性 一、测试的决定 关键或首要控制必须测试 二、审计证据的类型 书面证据、实物证据、视听证据、电子证据、口头证据、环境证据 三、人工测试方法 访谈 问卷调查 内部控制问卷 观察 检查 函证 顺查 逆查 测试控制和其他风险管理技术的有效性 三、人工测试方法 重新执行 分析程序 预期与实际比较 趋势分析 相关因素分析 合理测试 与标杆比较 比率分析 回归分析 四、抽样 统计抽样 随机抽样 判断抽样 测试控制和其他风险管理技术的有效性 五、测试应用控制 输入控制 处理控制 输出控制 完整性控制 管理线索 六、测试软控制 取证结果的评价 在实务中，审计人员对风险管理的评价可以用量化数字表示如1、2、3、4、5，或用字母表示如A、B、C、D、E,或者用颜色表示，如红、黄、绿等。 ①风险的严重性（或影响）的评价具体尺度（除了表达为财务指标之外，也可以用声誉、资本、法律等方式来表述风险的影响） —不严重：既无战略影响，又无财务影响。 —轻度严重：相对较小的战略和/或财务影响（一星期的利润）。 —中度严重：显著地影响战略和/或财务目标