第十章 风险管理审计

• （四）内部审计与风险管理的关系 1.内部审计是一种独立、客观的保证和咨询活动。 其目的是在于为组织增加价值和提高组织的运作 效率。它通过系统化和规范化的方法，评价和改 进风险管理、控制及治理过程的效果，帮助组织 实现其目标。 2.内部审计介入风险管理的主要原因： ①内部审计机构有独特的位置； ②内部审计师更了解组织的高风险领域； ③内部审计师对于组织目标的实现有更强的责任感。
第十章 风险管理审计
一、企业风险管理审计概述
• （一）风险及风险管理 1.风险定义：是指影响组织目标实现的各种 不确定性事件。
◇包括：内部风险和外部风险
• A.外部风险是指外部环境中对组织目标的实现产 生影响的不确定性。
• 影响外部风险的主要因素：国家法律法规变化、经济环境 变化、科技发展、行业竟争、意外等
• （一）澳大利亚-新西兰联合委员会的AS/NZE4360
确定范围
沟 通 和 协 调
识别风险 分析风险 评价风险
监 测 和 审 核
处理风险
• （二） COSO模型
建立组织目标 评估风险 确定需要的控制
识别、测评、排序风险
• （三） IIA研究基金的ERM框架
整合Байду номын сангаас险
评估风险 1.识别风险因素 2.排序 3.归类 4.简要描述风险机会
• B.内部风险是指内部环境中对组织目标的实现产
生影响的不确定性。
影响因素：治理结构、组织特点、信息系统、职业道德、 业务素质等
• 2.风险管理的定义：是对影响组织目标实现 的各种不确定性事件进行识别与评估，并 采取应对措施将其影响控制在可接受范围 内的过程。 风险管理的目的：为了将风险控制在可 接受的范围内；（风险的可接受范围取决 于组织对风险的态度）
• （三）风险评估方法的适当性及有效性 1.审查风险评估方法重点考虑以下因素： ①已识别的风险的特征； ②相关历史数据的充分性与可靠性； ③管理层进行风险评估的技术能力； ④成本效益的考核与衡量 ⑤其他
• 2.评价风险评估方法适当性和有效性应遵循 原则 ①定性方法的采用需要充分考虑部门或 人员的意见，以提高评估的客观性。 ②在风险难以量化、定量评价所需数据 难以获取时，一般应采取定性方法 ③定量方法一般情况下会比定性方法提 供更为客观的评估结果。
• 3.分析风险 ①风险分析目标 ②风险分析的程序和内容
★ 风险征兆的捕捉方法：寿命周期法、SWOT 法、盈亏临界点法、DCCS法、财务会计与统计
指标法、“五率”衡量法等
• （二）风险评估方法 1.定量方法，如蒙特卡罗方法 2.定性方法
★ 风险坐标图
四、企业风险管理审计
• （一）风险管理机制的审查与评价 1.审查组织机构的健全性 2.审查风险管理程序的合理性 3.审查风险预警系统的存在及有效性 （二）风险识别的适当性及有效性审查 1.审查风险识别原则的合理性 2.审查风险识别方法的适当性
2、 内部审计机构和人员：应当充分了解组 织的风险管理过程，审查和评价其适当性 和有效性，并提出改进建议。
• （六）企业风险管理审计目标 1、总目标：审计部门和审计人员按照组织风险管理 方针和策略的部署，以风险管理目标为标准，审 核被审计部门在风险识别、评价和管理等方面的 合理性和有效性，在损失可能发生之前作出最有 效的安排，或使损失降到最小，帮助组织实现预 期目标。 2、具体目标：包括一般审计目标和项目审计目标。 一般审计目标是所有项目必须达到的目标；项目 审计目标是某一特定项目所要达到的目标。
• （七）企业风险管理审计的特点 1.审计思路和观念发生根本性转变 2.工作重心开始转移 3.方法更加科学、先进 4.目的更加明确
二、企业风险管理框架
企业风险管理框架（ERMF）是反映风险管 理过程和内容的程序图。
包括：澳大利亚-新西兰联合委员会的AS/NZE4360、 加拿大标准委员会模型、David McNamee模型、 COSO模型、IIA研究基金的ERM框架、2004 COSO-ERM模型等
• （二）风险管理的范围 包括：组织整体及职能部门两个层面。 1.低层目标的实现是高层目标实现的基础。 2.不同层面的风险管理的责任在于不同的管 理层。
• （三）风险管理的三个阶段 1.风险识别：根据组织目标、战略规划等 识别所面临的风险。 ①组织目标：战略目标、经营目标、各 职能部门的目标、岗位目标等。风险的识 别应根据不同层次的目标分别进行，在整 个组织的各层次都要进行。 ②识别的风险可能会影响组织整体层， 也可能仅影响单个职能部门。
• （四）风险应对措施适当性和有效性审查 • 1.风险应对的审查与评价 ①回避：采取措施避免进行可产生风险的活动。 ②接受：由于风险已在组织可接受的范围内，可不采取
任何措施。 ③降低：采取适当措施将风险降低到组织可接受的范围 内。
④分担：采取措施将风险转移给其他组织或保险机构。
• 通常：对1级风险——回避或降低； • 对2级或3级风险——降低或分担； • 对4级风险——接受
◇数量影响 ◇减轻风险 ◇财务方法
保持向前 1.监测变化
→风险因素 →环境 →组织
探究风险
◇分析机会 ◇制定计划 ◇实施
2.必要时重新进 行以前的步骤
• （四）安达信信息技术风险管理框架
确定管理目标
经营风险评估 识别、探究、辨别、测评
改善经营风险管理 过程
决策信息
制定经营风险 管理战略
经营风险实施效果测试
• 2.风险评估 • 对已识别的风险，评估其发生的可能性 及影响程度。 ①风险评估针对两方面进行：（必须同时 进行评估） （1）风险发生的可能性； （2）风险的影响程度。 ②风险评估是做出恰当的风险应对决策的 基本前提。
• 3.风险应对 采取应对措施，将风险控制在组织可接 受的范围内。 ①应对措施根据风险的严重程度有针对性 地进行。 （1）采取措施，降低风险； （2）不采取措施，接受风险。 ②采取应对措施应考虑成本效益原则。
• 3.内部审计在风险管理中的作用 ①检查与评价 ②管理与协调 ③顾问与咨询 ④报告与防范
• （五）组织管理层和内部审计人员在风险 管理中的职责
1、组织管理层：负责确定可接受的风险范围， 建立、健全风险管理机制并使之有效运行。
☆组织管理层对待风险的态度直接决定了风险
管理的程度。 ☆可接受的风险范围由组织管理层根据组织特 点、其自身经营理念及管理思想、组织文化等因 素确定的。
• 2.评价风险应对措施时应考虑的因素 ①采取风险应对措施后的剩余风险水平 是否在组织可以接受的范围之内； ②采取的风险应对措施是否适合本组织 的经营、管理特点； ③成本的考核与衡量。
• （五）审查和评价风险管理过程结果报告 1.内部审计人员应向组织适当管理层报 告审查和评价风险管理过程的结果，并提 出改进建议。 2.风险管理的审查和评价结果应反映在 内部控制审计报告中，必要时应出具专项 审计报告。
制定或实施 风险管理、监控程序
规避、消除、 转移、接收
• （五）《中央企业全面风险管理指引》的企业风
险管理框架
收集风险管理初始信息
组 织 体 系 构 建
进行风险评估
制定风险管理策略
提出和实施风险管理 风险管理的监督和改进
风 险 管 理 文 化 融 合
三、风险管理审查与评价
• （一）风险的审查和评价 1.确定风险范围，制定风险评价标准 2.识别特定范围的风险 ①环境风险 ②过程风险 ③信息风险