风险管理审计实务专题讲座

3.对风险应对措施的审查和评价
(1)风险应对措施
根据风险评估结果作出的风险应对措施
回避 行是 可指 产采 生取 风措 险施 的避 活免 动进
接受
降低
分担
措因织是 施而可指
可接由 以 范降采 围低取 内到适
组当 织措 可施 接将
险转是 机移指 构给采
(6)其他
1.对风险识别过程的审查和评价
(1)组织治理结构的缺陷
(2)组织经营活动的特点
内
部
(3)组织资产的性质以及资产管理的
风
局限性
险
(4)组织信息系统的故障或中断
的
来
源
(5)组织人员的道德品质、业务素质 未达到要求
(6)其他
2.对风险评估过程的审查和评价
可能性高
后果严重 后果较严重
I级风险 I级风险
【案例3分析】三泰公司审计室李处长关于风险管理审计应只关注三泰装备 厂的内部风险的说法是不正确的。风险管理审计准则第九条规定：“内部审 计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关 注组织面临的内、外部风险是否已得到充分、适当的确认。” 他要求内部审计人员要注意分析的因素是不合适的。风险管理审计准则第十 一条规定： 内部风险是指内部环境中对组织目标的实现产生影响的不确定性， 其主要来源于以下因素：
审
计
审前调查的目的
级
拟
定
审
前 调
审 前 调
审 前 调
查 提
查 的 主
查 的 主
纲
要
要
内
方
容
法
企业需要为审计稽察组准备好的有关资料
1．审前调查的目的 2．审前调查的主要内容
审 前 调 查 的 主 要 内 容
（1）基本情况 （2）企业财务管理概况 （3）近三年固定资产管理情况 （4）近三年销售管理情况 （5）近三年对外投资情况 （6）物资采购与存货管理情况 （7）近三年企业内部相互提供产品或劳务的管 理情况 （8）近三年劳动工资管理情况 （9）近三年内部审计机构的设置及工作情况 （10）近三年群众举报及违纪违法案件查处情 况 （11）审计查出问题的整改情况 （12）近三年其他内部管理情况
后果中等
后果较不严 重
后果轻微
I级风险 II级风险
III级风险
可能性中高 可能性中
I级风险 I级风险
I级风险 II级风险
II级风险 III级风险
III级风险 III级风险
III级风险
IV级风险
可能性中低 可能性低
II级风险 III级风险
III级风险 III级风险
III级风险 IV级风险
IV级风险 IV级风险
目录
1 [案例] 2 [问题思考] 3 [实务精要] 4 [案例分析]
[案例分析]
一、组成审计组，进行审前准备 二、进行初步性复核 三、编制审计方案 四、送达审计通知书
五、收集与审计有关的资料
六、进驻被审计单位
七、实行承诺制度
审
计
过
程
分
八、进行风险管理审计
析
九、独立进行审计评价程 序
十、出具审计报告
风险管理审计准则第七条规定：“内部审计机构和人员应当 充分了解组织的风险管理过程，审查和评价其适当性和有效性， 并提出改进建议。”
1.对风险识别过程的审查和评价
(1)国家法律、法规及政策的变化
外
部
(2)经济环境的变化
风
险
(3)科技的快速发展
的
来
(4)行业竞争、资源及市场变化
源
(5)自然灾害及意外损失
IV级风险
IV级风险
定性 方法
定量 方法
运用定性术语评估并描述风险发生的可能性及其 影响程度
运用数量方法评估并描述风险发生的可能性及其 影响程度
内部审计人员应当对管理层所采用的风险评估方法进行审查， 并重点考虑以下因素：
（1）已识别风险的特征； （2）相关历史数据的充分性与可靠性； （3）管理层进行风险评估的技术能力； （4）成本效益的考核与衡量； （5）其他。
【案例2分析】三泰公司审计室李处长关于风险管理审计包括内部控制审计 的说法是欠妥的。风险管理审计准则第四条规定：“风险管理是组织内部控制 的基本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基 本内容之一。”这一条明确了内部审计人员对风险管理的审查和评价是内部控 制审计的基本内容之一。
3．审前调查的主要方法
（l）听取被审计单位关于上述“审前调查的内 容”的总体意见 （2）根据工作需要抽查调阅有关资料 （3）与企业主要领导交换意见
【案例1分析】三泰公司审计室探索风险管理审计路子是必 要的。按照国际内部审计师协会(IIA)2019年版《内部审计实务 标准》的倡导，组织内部应开展以风险为导向的内部审计。内 部风险管理审计与传统的内部审计比较，在审计特征、审计方 法等方面都有不同，除审计总目标没有改变外，在具体审计目 标上都发生了变化。审计人由原来的“看门犬”、“效益的挖 掘者”目前被要求成“风险的减少者”和“保险人”。
风险管理审计与传统的内部审计比较
审计思路和观念 发生根本性转变
账项基础审计注重具体交易事项的审查测试；制度基 础审计虽注重内部控制的符合性测试，而风险管理审 计则是注重确认和测试风险管理部门为降低风险而采
取的方式和方法。
风
险 管 理
审计工作重心开 始转移
审计人员的审计工作由原来的内部控制审计扩展到所 有风险管理技术审计，审计范围拓宽了很多。
(一)组织治理结构的缺陷； (二)组织经营活动的特点； (三)组织资产的性质以及资产管理的局限性； (四)组织信息系统的故障或中断； (五)组织人员的道德品质、业务素质未达到要求； (六)其他。
zhongtianheng
一、全面风险管理审计概述
(一)全面风险管理概念
对影响组织目标实现 的各种不确定性事件 进行识别与评估
采取应对措施将其影 响控制在可接受范围 内
过程
风险管理旨在为组织目 标的实现提供合理保证
(二)风险管理审计概念
风险管理审计是指内部审计部门采用一种系统化、规范 化的方法来进行以测试风险管理信息系统、各业务循环以 及相关部门的风险识别、分析、评价、管理及处理等为基 础的一系列审核活动，对机构的风险管理、控制及监督过 程进行评价进而提高过程效率，帮助机构实现目标。
门、分厂和相关工艺。目前有3位内部审计师，他们每人每星期工作40小 时，一年有3周假期。
考虑到被审计单位的实际情 况和有效的审计资源，三泰公 司审计室李处长采用了根据风 险大小确定具体审计对象的审 计策略。在具体确定时，三泰 公司审计室李处长主要考虑了 以下因素：
1．上一次审计的日期和结果。 2．上次审计发现缺陷越多，说明控制有 问题，越应审计。 3．涉及的金额。 4．潜在的损失和风险。 5．管理层的要求。 6．经营方案、制度和控制的重大变化。 7．获取经营效益的机会。 8．审计员工的变动及能力。
三泰公司审计室李处长采用了根据风险大小确定具体审计对象的审计策 略比较合理的，在具体确定审计对象时所考虑因素是全面的，具体分析如下：
1．上一次审计的日期和结果。审计间隔期越长，风险越大，这个因素应 该考虑。
2．上次审计发现缺陷越多，说明控制有问题，越应审计。这是必然。 3．涉及的金额。审计人员应优先安排涉及资金金额大的项目，这个因素 应该考虑。 4．潜在的损失和风险。一般要结合企业内部控制系统来考虑。越弱的控 制意味着越大的潜在损失和越多的风险，而越强的控制则意味着较少的潜在 损失，同一资金水平下的风险也将减少。
其取 他措 组施 织将 或风 保险
(2)应考虑的因素
采取风险应对措施之 后的剩余风险水平是 否在组织可以接受的 范围之内
采取的风险应对 措施是否适合本 组织的经营、管 理特点
成本效益的 考核与衡量
（六）风险管理审计的报告
风险管理的审查和评价结果应反映在内部控制审计 报告中，必要时应出具专项审计报告。
5．管理层的要求。内部审计人员要重视管理层的要求。 6．经营方案、制度和控制的重大变化。若经营方案发生重大变化， 又很难确定相关的控制系统是否充分，就有理由优先对其进行审计。 7．获取经营效益的机会。对能增加企业收益的经营活动，往往是企 业领导最关心的，所以审计人员应优先考虑那些产生积极影响的审计效果。 8．审计员工的变动及能力。审计人员的技能组合会影响到审计工作 的侧重点。
审
计
风险管理审计是利用战略和目标分析的结论，确定关
的 特 点
审计的方法更科 学、更先进
键风险点，进行风险评估，采取必要的措施降低或消 除风险。风险管理审计还广泛运用数学分析、统计分 析和计算机等技术方法，使审计工作更加简单、快捷。
审计的目的更加 明确
风险管理审计，在于揭示组织的各种风险因素，降低 和防范各种风险，协助组织决策者和管理层达到预期 的经营目标。
目录
1 [案例] 2 [问题思考] 3 [实务精要] 4 [案例分析]
【案例1】三泰公司审计室根据2019年度的审计计划安排对其所属的三 泰装备厂进行了内部审计，并确定探索对风险管理审计的新路子。
三泰公司审计室李处长在安排年度计划时，考虑被审计者的风险程度，合
理进行审计资源的安排。三泰装备厂潜在的被审计者共15个，包括行政部
本案例中三泰公司审计室李处长要求审计人员应重点对三泰装备厂职能部 门的风险管理进行审查与评价，说是重点是对的。如说是只对三泰装备厂职能 部门的风险管理进行审查与评价是不对的。风险管理审计准则第八条规定： “风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体 风险管理进行审查与评价，也可对职能部门风险管理进行审查与评价。”这一 条明确风险管理审计的范围包括了组织整体风险管理和职能部门风险管理两方 面。
(一)国家法律、法规及政策的变化； (二)经济环境的变化； (三)科技的快速发展； (四)行业竞争、资源及市场变化； (五)自然灾害及意外损失； (六)其他。
目录
1 [案例] 2 [问题思考] 3 [实务精要] 4 [案例分析]
【问题思考1】三泰公司审计室探索风险管理审计路子是否必要？三泰 公司审计室李处长采用了根据风险大小确定具体审计对象的审计策略是否 合理？三泰公司审计室李处长在具体确定审计对象时所考虑因素是否全面？
二、全面风险管理审计实务操作
(一)一般原则
1.风险管理审计是内部控制审计的基本内容之一 2．内部审计人员对风险管理的审查和评价是内部控制审计的基 本内容之一
（二）风险管理的责任
组织管理层负责确定可接受的风险范围，建立、健全风险管理机 制并使之有效运行。
（三）风险管理的主要阶段
风险管理审计准则第六条规定，风险管理包括以下主要阶段：
1．风险识别，即根据组织目标、战略规划等 识别所面临的风险； 2．风险评估，即对已识别的风险，评估其发 生的可能性及影响程度； 3．风险应对，即采取应对措施，将风险控制 在组织可接受的范围内。
（四）风险管理审计的范围
组织整体 风 险 管 理
职能部门
组织整体风险管理 职能部门风险管理
（五）风险管理审计的内容
【问题思考2】三泰公司审计室李处长关于风险管理审计包括内部控制 审计的说法是否欠妥？只对三泰装备厂职能部门的风险管理进行审查与评 价的要求是否对？
【问题思考3】三泰公司审计室李处长关于风险管理审计应只关注三泰 装备厂的内部风险的说法是否正确？他要求内部审计人员要注意分析的因 素是合适？
目录
1 [案例] 2 [问题思考] 3 [实务精要] 4 [案例分析]
【案例2】三泰公司审计室根据2019年度的审计计划安排对其所属的三泰装 备厂进行了内部风险管理审计。三泰公司审计室李处长认为风险管理审计包括 内部控制审计，应重点对三泰装备厂职能部门的风险管理进行审查与评价。
【案例3】三泰公司审计室根据2019年度的审计计划安排对其所属的三泰装 备厂进行了内部风险管理审计。三泰公司审计室李处长认为风险管理审计应只 关注三泰装备厂的内部风险，并要注意分析以下因素：