企业风险管理审计.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第十章 风险管理审计,一、企业风险管理审计概述,（一）风险及风险管理,1.风险定义：是指影响组织目标实现的各种不确定性事件包括：,内部风险,和,外部风险,A.外部风险,是指,外部环境,中对组织目标的实现产生影响的不确定性,影响外部风险的主要因素：,国家法律法规变化,、,经济环境变化,、,科技发展,、,行业竟争,、,意外,等,B.内部风险,是指,内部环境,中对组织目标的实现产生影响的不确定性影响因素：,治理结构,、,组织特点,、,信息系统,、,职业道德,、,业务素质,等,2.,风险管理,的定义：是对影响组织目标实现的各种不确定性事件进行,识别与评估,，并,采取应对措施,将其影响控制在,可接受范围内,的过程风险管理的,目的,：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）,（二）风险管理的范围,包括：,组织整体,及,职能部门,两个层面1.低层目标的实现是高层目标实现的基础2.不同层面的风险管理的责任在于不同的管理层三）风险管理的三个阶段,1.,风险识别,：根据组织目标、战略规划等识别所面临的风险。

组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行识别的风险可能会影响组织整体层，也可能仅影响单个职能部门2.,风险评估,对已识别的风险，评估其发生的可能性及影响程度风险评估针对两方面进行：（必须同时进行评估）,（1）风险发生的可能性；,（2）风险的影响程度风险评估是做出恰当的风险应对决策的基本前提3.,风险应对,采取应对措施，将风险控制在组织可接受的范围内应对措施根据风险的严重程度有针对性地进行1）采取措施，降低风险；,（2）不采取措施，接受风险采取应对措施应考虑成本效益原则四）内部审计与风险管理的关系,1.,内部审计是一种独立、客观的保证和咨询活动其目的是在于为组织增加价值和提高组织的运作效率它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标2.内部审计介入风险管理的主要原因：,内部审计机构有独特的位置；,内部审计师更了解组织的高风险领域；,内部审计师对于组织目标的实现有更强的责任感3.内部审计在风险管理中的作用,检查与评价,管理与协调,顾问与咨询,报告与防范,（五）组织管理层和内部审计人员在风险管理中的职责,1、,组织管理层,：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。

组织管理层对待风险的态度直接决定了风险管理的程度可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的2、,内部审计机构和人员,：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议六）企业风险管理审计目标,1、,总目标,：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标2、,具体目标,：包括,一般审计目标,和,项目审计目标,一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标七）企业风险管理审计的特点,1.审计思路和观念发生根本性转变,2.工作重心开始转移,3.方法更加科学、先进,4.目的更加明确,二、企业风险管理框架,企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、David McNamee模型、COSO模型、IIA研究基金的ERM框架、2004 COSO-ERM模型等,（一）,澳大利亚-新西兰联合委员会的,AS/NZE4360,确定范围,监测和审核,沟通和协调,识别风险,分析风险,评价风险,处理风险,（二）,COSO模型,建立组织目标,评估风险,确定需要的控制,识别、测评、排序风险,（三）,IIA研究基金的ERM框架,评估风险,1.识别风险因素,2.排序,3.归类,4.简要描述风险机会,整合风险,数量影响,减轻风险,财务方法,探究风险,分析机会,制定计划,实施,保持向前,1.监测变化,风险因素,环境,组织,2.必要时重新进,行以前的步骤,（四）安达信信息技术风险管理框架,确定管理目标,经营风险评估,识别、探究、辨别、测评,制定经营风险,管理战略,改善经营风险管理,过程,规避、消除、,转移、接收,制定或实施,风险管理、监控程序,经营风险实施效果测试,决策信息,（五）,中央企业全面风险管理指引的企业风险管理框架,收集风险管理初始信息,进行风险评估,制定风险管理策略,提出和实施风险管理,风险管理的监督和改进,风险管理文化融合,组织体系构建,三、风险管理审查与评价,（一）风险的审查和评价,1.,确定,风险范围，,制定,风险评价标准,2.,识别,特定范围的风险,环境风险,过程风险,信息风险,3.,分析,风险,风险分析目标,风险分析的程序和内容,风险征兆的捕捉方法：寿命周期法、SWOT法,、,盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等,（二）风险评估方法,1.定量方法，如蒙特卡罗方法,2.定性方法,风险坐标图,四、企业风险管理审计,（一）风险管理机制的审查与评价,1.审查组织机构的健全性,2.审查风险管理程序的合理性,3.审查风险预警系统的存在及有效性,（二）风险识别的适当性及有效性审查,1.审查风险识别,原则的合理性,2.审查风险识别,方法的适当性,（三）风险评估方法的适当性及有效性,1.审查风险评估方法重点考虑以下因素：,已识别的风险的特征；,相关历史数据的充分性与可靠性；,管理层进行风险评估的技术能力；,成本效益的考核与衡量,其他,2.评价风险评估方法适当性和有效性应遵循原则,定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性。

在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法,定量方法一般情况下会比定性方法提供更为客观的评估结果四）风险应对措施适当性和有效性审查,1.风险应对的审查与评价,回避,：采取措施避免进行可产生风险的活动接受,：由于风险已在组织可接受的范围内，可不采取任何措施降低,：采取适当措施将风险降低到组织可接受的范围内分担,：采取措施将风险转移给其他组织或保险机构通常：对1级风险回避或降低；,对2级或3级风险降低或分担；,对4级风险接受,2.评价风险应对措施时应考虑的因素,采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内；,采取的风险应对措施是否适合本组织的经营、管理特点；,成本的考核与衡量五）审查和评价风险管理过程结果报告,1.内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议2.风险管理的审查和评价结果应反映在,内部控制审计报告,中，,必要时,应出具专项审计报告。