风险评估和内部审计

风险评估和内部审计公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

风险评估（Risk Assessment）是指，在发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从的角度来讲，评估是对（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织体系策划的过程。

风险评估的主要任务包括：

识别评估对象面临的各种风险

评估风险和可能带来的负面影响

确定组织承受风险的能力

确定风险消减和控制的优先等级

推荐风险消减对策

在风险评估过程中，有几个关键的问题需要考虑。

首先，要确定保护的对象（或者资产）是什么它的直接和间接价值如何其次，资产面临哪些潜在威胁导致威胁的问题所在威胁发生的可能性有多大

第三，资产中存在哪里弱点可能会被威胁所利用利用的容易程度又如何第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响

最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度

解决以上问题的过程，就是风险评估的过程。

进行风险评估时，有几个对应关系必须考虑：

每项资产可能面临多种威胁

威胁源（威胁代理）可能不止一个

每种威胁可能利用一个或多个弱点

内部审计的定义

1，1999年6月，内部审计师学会董事会通过了内部审计的如下定义：“内部审计是一项独立、客观的咨询活动，用于改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。”

2，在我国内部审计，是指由被审计单位内部机构或人员，对其内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。内部审计是和政府审计、注册会计师审计并列的三种审计类型之一。内部审计是“外部审计”的对应称法，即：由部门、单位内部设置的专职机构及人员，独立地对本部门、本单位的财政财务收支及有关经济活动进行审查，用以健全内部控制，维护财经纪律，改善经营管理，提高经济效益的综合经济监督活动。内部审计在中国审计组织体系中，起着以为主导，以内部审计为基

础的重要作用，支撑着企业的审计工作。内部审计的本质在于，作为企业指挥者管理机能的一部分，对企业管理手段妥善与否、有无弊漏和是否经济有效，进行经常性的检查、分析和评价。内部审计的主要缺陷和特点是，由于在本单位领导下进行内部审计活动，其独立性表现稍弱；但具有及时性、连续性、针对性、预防性等特点。

内审的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实现其目标

内部审计主要侧重点是有效性、经济性、合规性。

内部审计目标

内部审计的目标是促进本部门、本单位加强经济管理和实现经济目标。

内部审计机构的职责

1 开展财政财务审计

2 开展资金管理审计

3 开展任期紧经济责任审计

4开展固定资产投资审计

5开展内部控制审计与风险管理审计

6开展管理审计与效益审计

7开展其他审计

审计人员为每一个单元和共享的服务制定具体的风险清单,并确定那些成为组织最大威胁的风险.接着,审计人员根据风险的严重性和肯能性,在一个三点标尺上对风险评级,那些最高级别的风险被标上关键风险,威胁和关键风险的结合点被最先审计,并随之受到管理层的重视.

风险导向内部审计的本质

内部审计的本质是确保受托责任履行机制。在风险导向内部审计阶段，受托责任的范围和管理控制与内部审计的前几个阶段相比发生了一些变化，它们与风险结合起来，使风险导向内部审计成为确保受托责任有效履行的能动的管理机制。

在管理机制方面，反馈是管理控制的核心，而内部审计在企业管理控制机制中正是扮演了反馈的角色，在风险导向内部审计阶段，反馈的职能不只是事后的审核与报告，更多的是实时乃至事前的反馈，因为这样才能更好地适应快速变化的环境。这种反馈与广义的风险相结合，能够使企业规避下必要地的损失，或未即将到来的机会做好充分的准备，从而提高企业的运作效率，实现企业的价值增值，这种变化也更能体现内部审计的作用。

风险导向内部审计的特征

所谓风险导向内部审计是指内部审计人员在审计过程中自始至终都已企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证和咨询活动。根据上述定义，风险导向内部审计区别于其他阶段的内部审计，有以下几个特点：

1审计目标导向的变化。首先确定风险水平和审计重点，提出规避和控制风险的方法，通过后续的审计程序，检测风险是否得到了有效的控制。通过这种方式，能够将内部审计目标和企业目标有效地结合起来，体现了内部审计的真正价值，使得内部成为企业价值链中不可或缺的组成部分。

2内部审计范围的扩展。内部审计部门在对企业所有风险进行彻底了解后，对风险进行排序，根据风险大小来确定审计范围和分配审计资源。恰当、有效地分配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，有助于合理确保企业目标的实现。

3内部审计方法的改进。在快速发展的21世纪，信息化的推广和普及能够很大程度地提高内部审计人员处理信息、准确判断的能力，为开展风险导向内部审计提供技术支持。风险导向内部审计广泛运用分析性程序检测被审计对象，其基本方法包括风险评估、分析性测试、实质性测试、余额测试等。对于有证据表明较低的领域，应依赖内部控制货分析性复核；对被认为风险较高的领域，实施大量的实质性测试和余额测试，是审计手段与审计目标更好地融合，提高审计的效率。

现代内部审计观念的核心是，审计人员不仅要善于发现问题，而且更要善于解决问题。无论是识别风险还是评价风险,都不是内部审计的最终目的。在识别和评价之后，还必须进行风险应对。从内部审计自身来说，通过评估结果找出风险程度较高的经营机构或业务领域，据此科学地选择审计项目，确定审计重点、审计频率、合理调配审计资源，从而使企业内部的业务经营全过程各环节都得到有效监督，保证充分的审计覆盖面，不留审计盲点；从企业的风险管理来说，由于内审部门处于企业的董事会、总经理与各职能部门之间，加强对风险的评估，把部分资源分配到影响全局、有碍组织发展的重大风险的前瞻性评价和风险揭示上，并且将风险的评估同企业当前的经营管理控制、计划、策略结合起来可以为董事会和高层提供风险管理策略和内部控制方面的顾问服务，从企业制度化建设来说，将企业内部审计中风险评估的结果形成制度化的