某公司内部控制与风险管理审计培训教材

1、Honesty, Truth Pursuing, Diligence , Devotion to Public Duty内部控制与风险管理审计内部控制与风险管理审计赵珊赵珊 博士博士国际内部审计师南京审计大学副教授2主要内容主要内容- 内部控制与全面风险管理内部控制与全面风险管理- 内部审计作用的发挥内部审计作用的发挥- 风险管理审计的界定风险管理审计的界定- 内部控制和风险管理审计实施内部控制和风险管理审计实施- 内部控制、风险管理审计案例内部控制、风险管理审计案例Honesty，Truth Pursuing，Diligence , Devotion to Public Duty内部控制与全

2、面风险管理内部控制与全面风险管理4舞弊舞弊p压力p机会p借口内部控制的缘起内部控制的缘起Larry Sawyer W.Steve Albrecht压力要素是舞弊者的行为动机，压力的具体形式有所差异职务舞弊者必须权衡利弊，进行心理平衡过程，使职务舞弊行为与其本人的道德观念、行为准则相吻合机会是指可进行舞弊而又能掩盖起来不被发现或能侥幸逃避惩罚的时机或情形58080至9090年代内部控制内部控制的演化发展的演化发展业务本身日益复杂业务本身日益复杂控制手段日益丰富控制手段日益丰富内部牵制内部牵制内部控制制度内部控制制度内部控制结构内部控制结构内部控制内部控制整合架构整合架构风险管理风险管理整合框架整

3、合框架2020世纪初期以前2020世纪30-7030-70年代9090年代以来20042004年以来SOX ACTSOX ACT6200120022003CombinedCodeHIH保险公司One.Tel安然萨班斯奥克斯利法案世通 Qwest Code of Corporate Governance国际内部控制的发展与最新趋势200420052006公司治理 守则第9号法案审计改革和公司信息披露法案 企业管治常规守则内部控制规范2007Financial Instruments and Exchange Law7我国内部控制的发展过程 内部牵制阶段 会计控制阶段 全面控制阶段 1238（一）

4、第一阶段是内部牵制。（一）第一阶段是内部牵制。这一时期计划经济占主导地位，二十世纪七十年代末这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。至八十年代，内部牵制更加受到重视。1 1、19781978年年9 9月月1212日，国务院颁布日，国务院颁布会计人员职权条会计人员职权条例例。2 2、19841984年年4 4月月2424日，财政部发布日，财政部发布会计人员工作规会计人员工作规则则。3 3、19851985年年1 1月月2121日，第六届全国人民代表大会常务委日，第六届全国人民代表大会常务委员会第九次会议通过员会第九次会议通过中华人民共和国会计法中华人民共和

5、国会计法，重，重申了会计岗位责任制的要求。申了会计岗位责任制的要求。我国内部控制的发展过程9二、会计控制阶段：二、会计控制阶段： 1 1、19961996年年6 6月月1717日，财政部发布日，财政部发布会计基础工作规会计基础工作规范范，要求各单位进一步建立健全包括但不限于内部，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。牵制制度的内部会计管理制度。 2 2、19991999年修订的年修订的会计法会计法，第一次以法律的形式，第一次以法律的形式对建立健全内部控制提出原则要求。对建立健全内部控制提出原则要求。3 3、财政部随后制定发布了、财政部随后制定发布了内部会计控制规范

6、内部会计控制规范基本规范（试行）基本规范（试行）和和内部会计控制规范内部会计控制规范货货币资金（试行）币资金（试行）等等7 7项内部会计控制规范，要求单项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。护财产安全，防止舞弊行为，促进经济活动健康发展。 我国内部控制的发展过程10三、全面控制阶段：三、全面控制阶段： 进入进入2121世纪，随着世界范围的企业合并、资本国世纪，随着世界范围的企业

7、合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。供技术支持。 我国内部控

8、制的发展过程11中国内部控制的发展2006(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引 (征求意见稿)(上交所/深交所)内部控制指引(国资委)中央企业全面风险管理指引2007(财政部)企业内部控制规范-基本规范(征求意见稿)2008(财政部)企业内部控制基本规范（保监会）寿险公司内部控制评价办法（试行）保险公司内部审计指引（试行）保险公司风险管理指引（试行）(证监会）上市公司信息披露管理办法（银监会）银行业金融机构信息系统风险管理的指引（银监会）商业银行内部控制指引（银监会)商业银行合规风险管理指引（证监会）证券公司风险控制指标管理办法（证监会）证券公司合规管理试行规

9、定（证监会）证券公司监督管理条例（银监会）商业银行操作风险管理指引我国内部控制的发展过程12p 2008年年6月，财政部会同证监会、审计署、银监会、保监会五部委发月，财政部会同证监会、审计署、银监会、保监会五部委发布布企业内部控制基本规范企业内部控制基本规范（简称（简称基本规范基本规范）p 2010年年4月月企业内部控制配套指引企业内部控制配套指引发布。具体包括发布。具体包括企业内部控企业内部控制应用指引制应用指引、企业内部控制评价指引企业内部控制评价指引、企业内部控制审计指企业内部控制审计指引引p 2011年年1月月1日起在境内外同时上市的公司范围内施行，日起在境内外同时上市的公司范围内施行

10、， 2012年年1月月1日起扩大到上证、深证主板上市的公司。鼓励非上市的大中型企业执日起扩大到上证、深证主板上市的公司。鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所内部控制的有效性进行审计的会计师事务所内部控制的有效性进行审计中国企业内部控制规范体系中国企业内部控制规范体系内部控制基本规范及配套指引内部控制基本规范及配套指引1313确保被识别出规避确保被识别出规避

11、风险的控制措施可以风险的控制措施可以及时有效得到实施的及时有效得到实施的政策和程序政策和程序确认内部控制是否进确认内部控制是否进行充分的设计和执行，以行充分的设计和执行，以及是否具备有效性和适应及是否具备有效性和适应性。性。对于影响公司目标对于影响公司目标实现的内部及外部因实现的内部及外部因素的评估素的评估确保相关信息被及确保相关信息被及时识别及传递的过程时识别及传递的过程公司对于内部控制公司对于内部控制的基本态度的基本态度-”-”来自来自上层的基调上层的基调”战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务单单元元子子公

12、公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督企业内部控制基本规范企业内部控制基本规范框架框架14企业内部控制配套指引企业内部控制配套指引构成构成15时间时间机构机构标准标准1999/2004年澳大利亚和新西兰 AS/NZ43601999风险管理准则2004年COSO企业风险管理-整合框架1988/2004年BCBS巴赛尔协议|2005年香港会计师工会内部控制与风险管理的基本架构2008年欧洲委员会偿付能力|2009年ISOISO31000风险管理2002年NISTNIST SP 800-37风险管理框架1996年以来ISACACOBIT、Val IT、Risk I

13、T国国外外主要风险管理主要风险管理标准标准161931 1931 年至20 20 世纪80 80 年代末90 90 年代初20 20 世纪90 90 年代以来风险管理的演化发展风险管理的演化发展基于保险和财务层基于保险和财务层面的风险管理阶段面的风险管理阶段基于整体层面的基于整体层面的风险管理阶段风险管理阶段风险本身日益复杂风险本身日益复杂风险管理手段日益丰富风险管理手段日益丰富17 2004年9月，COSO正式颁布企业风险管理整体框架，包含4大目标（战略、经营、报告和合规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）和应用的企业及单

14、位（公司层面、子公司、业务单元和科室）。国外主要风险管理标准：国外主要风险管理标准：COSO-ERM企业风险管理框架企业风险管理框架监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内控控制框架内控控制框架18 b.组织过程 一体化部分c.决策制定的一部分a.创造价值d.明确地解决

15、不确定性风险管理原则、框架和过程之间的关系j.动态、循环和响应变化管理风险的原则（第三组）管理风险的框架（第四组）管理风险的过程（第五组）e.系统的，结构化的和 及时的f.基于可能得到的最佳资料g.因地制宜h.将人和文化因素考虑在内i.透明和包容k.推进组织的持续改进和改善指令和承诺（4.2）管理风险的框架设计（4.3）框架的监控和审查（4.4）部署风险管理（4.4）框架的持续改善（4.6）建立语境（5.3）风险识别（5.4.2）风险分析（5.4.3）风险评价（5.4.4）风险处理（5.5）风险管理（5.4）沟通和咨询（5.2）对照和复核（5.6）19时间时间机构机构标准标准2005年银监会商

16、业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引国内主要风险管理规定国内主要风险管理规定20国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引21目前对风险管理与内控认识存在的误区目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管

17、理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区误区 内置于企业日常管理过程中，是一种常规运行的机制。 整合建设，但根据企业特点各有侧重。 无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。 新事物的导入有个过程，要认清风险管理成熟度。正解222222理论界对内部控制与风险管理的关系有两种观点：观点1：认为风险管理是内部控制的组成部分观点2：认为内部控制是风险管理的组成部分2323风险管理与风险管理与内部控制的关系内部控制的关系23我们的看法是：如果以风险作为管理的起点，则内部控制是风险的应对，可以理

18、解为控制属于风险管理的实现工具，因此控制包含于风险管理控制包含于风险管理；如果认为企业管理的实质是控制，风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系统风险管理可以作为控制系统的一部分的一部分；从组织结构来看，内部控制和风险管理相应的组织结构是完全一致的，说明二者都应该无缝整合到一定的组织结构中，和其他有关的业务和职能管理共同服务于企业管理共同服务于企业管理。风险管理与风险管理与内部控制的关系内部控制的关系24 风险管理：做正确的事风险管理：做正确的事 风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将

19、来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事” 风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误，防止出现重大危机问题。 内控：正确的做事内控：正确的做事 内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。 内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目标的实现。风险管理与风险管理与内部控制的关系内部控制的关系25风险管理与内部控制整合实施运作机制风险管理与内部控制整合实施运作机制26内部控制内部

20、控制基本规范基本规范及配套指引及配套指引旧准则旧准则新准则新准则新旧内部审计准则结构的调整新旧内部审计准则结构的调整Honesty，Truth Pursuing，Diligence , Devotion to Public Duty内部审计作用的发挥内部审计作用的发挥28内部审计客体内部审计客体内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。-CIIA29 IIA最近发布的调查报告将内部审计职能涉及到的活动最近发布的调查报告将内部审计职能涉及到的活动分为三大类分为三大类

21、25项：项：内部控制活动（14项）风险管理活动（5项）公司治理活动（6项）内部审计客体内部审计客体30内部控制活动内部控制活动风险管理活动风险管理活动公司治理活动公司治理活动合规性审计企业生存能力（持续经营）评价公司治理评价控制系统的有效性评价风险管理程序审计尽责调查经营审计财务风险审计道德审计项目管理审计信息风险审计战略和组织绩效的关系评价安全评价和调查信息系统风险审计薪酬评级灾难恢复测试和支持社会和可持续（社会责任、环境）审计舞弊和不合规调查质量审计外部审计协助管理审计组织人员的风险、控制、合规调查外包业务审计与国际财务报告标准的接轨可扩展商业报告语言的使用31内部审计在风险管理中作用的发

22、挥内部审计在风险管理中作用的发挥 内部审计的风险管理职责要考虑：组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。p 内部审计与组织的风险管理成熟度内部审计与组织的风险管理成熟度无意识、零碎的 有管理的 系统化的 擅长应对风险是否遵守 是否整合了 做的事情 是否在做了相关法规 管理信息 是否正确 正确的事情 风险管理不太成熟：咨询业务，关注风险管理的架构和方法，以及基本风险的控制，为管理层献计献策 风险管理较成熟：确认业务，促进改善风险管理 介于之间：评估组织的最佳实务和应变措施，优化风险管理实务。32与企业风险管理相关的内部审计核心作用需要安全保障的内部审计作用内部

23、审计不应当发生的作用为风险管理过程提供确认为风险管理评估的准确性提供确认评价风险管理过程评价对主要风险的报告检查主要风险的管理推动风险的识别与评估指导管理层如何应对风险协调企业全面风险管理工作合并风险管理报告维护和发展风险管理框架倡导企业风险管理的建立确定风险偏好强制实施风险管理过程管理层对风险的确认决定风险应对以管理层的名义实施风险应对问责风险管理Honesty，Truth Pursuing，Diligence , Devotion to Public Duty风险管理审计的界定风险管理审计的界定34风险管理审计的概念和内涵风险管理审计的概念和内涵风险管理审计风险管理审计是根据企业全面风险管

24、理的目标和政策，采是根据企业全面风险管理的目标和政策，采用系统化、规范化的方法，评价企业全面风险管理的运行用系统化、规范化的方法，评价企业全面风险管理的运行状况，测试企业风险管理系统、各业务循环及相关部门在状况，测试企业风险管理系统、各业务循环及相关部门在风险识别、风险分析、风险评价、风险治理等方面的活动，风险识别、风险分析、风险评价、风险治理等方面的活动，以识别、预警和纠正企业在实施风险管理过程中可能存在以识别、预警和纠正企业在实施风险管理过程中可能存在的不适或缺陷，进而提高企业风险管理的效率和效果，保的不适或缺陷，进而提高企业风险管理的效率和效果，保障企业战略目标的实现。障企业战略目标的实

25、现。35风险管理审计的概念和内涵风险管理审计的概念和内涵1.风险管理审计目标风险管理审计目标是建立在确定企业基本经营目标、风险、是建立在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上，评价企业风险管理的整体绩效指标和风险承受能力的基础上，评价企业风险管理的整体框架、过程、对策或措施及其活动效果，验证企业风险的治理框架、过程、对策或措施及其活动效果，验证企业风险的治理水平，并提出改进措施，以保障风险管理目标的实现，最终支水平，并提出改进措施，以保障风险管理目标的实现，最终支持和保障总体战略目标的实现。持和保障总体战略目标的实现。2.企业风险管理审计对象企业风险管理审计对象是风险管理事

26、项，如企业整体、区域、是风险管理事项，如企业整体、区域、业务、职能领域、项目、过程、操作、资产、产品、服务或活业务、职能领域、项目、过程、操作、资产、产品、服务或活动等，也可以是风险管理的特定要素，如风险管理政策和落实动等，也可以是风险管理的特定要素，如风险管理政策和落实风险管理政策的方案、程序或手段等。风险管理政策的方案、程序或手段等。3.风险管理审计职能风险管理审计职能体现在评价、监督、鉴证和咨询上。体现在评价、监督、鉴证和咨询上。36风险管理审计的概念和内涵风险管理审计的概念和内涵4.风险管理审计重心在于识别目前风险管理有效性水平风险管理审计重心在于识别目前风险管理有效性水平与期望水平之

27、间的差距，以评价和改进风险管理有效性。与期望水平之间的差距，以评价和改进风险管理有效性。如何评价企业风险管理的有效性如何评价企业风险管理的有效性？(1)依照依照COSO-ERM框架，一方面，核验战略、经营、框架，一方面，核验战略、经营、报告和合规四大目标确实存在，并且针对这些目标的管报告和合规四大目标确实存在，并且针对这些目标的管理都是有效的。理都是有效的。(2)依照依照ISO-31000框架，核验企业风险管理过程中针对每框架，核验企业风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的，且正个关键的风险环节实施的风险管理是存在和合理的，且正常运行。常运行。(3)对照特别制定的风险

28、管理框架和要求衡量企业风险管理对照特别制定的风险管理框架和要求衡量企业风险管理的有效性。如内控测试状态良好，机制对风险反应迅速，的有效性。如内控测试状态良好，机制对风险反应迅速，企业对风险的预测能力正在逐渐提高，事故发生率降低和企业对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。损失明显减少，社会责任形象提升等。37风险管理审计的演进风险管理审计的演进38风险管理审计的演进风险管理审计的演进39风险管理审计的分类风险管理审计的分类1、一般风险管理审计、一般风险管理审计这类审计主要目的是识别这类审计主要目的是识别/确认被审事项的关键业绩影响因素确认被审事项的关键业

29、绩影响因素和评价相应的风险管理效率和效力，可细分类为：和评价相应的风险管理效率和效力，可细分类为：针对企业各管理层级的风险管理审计针对企业各管理层级的风险管理审计针对企业职能领域或特定关键风险的风险管理审计针对企业职能领域或特定关键风险的风险管理审计针对项目的风险管理审计针对项目的风险管理审计针对各类活动的风险管理审计针对各类活动的风险管理审计针对产品或服务的风险管理审计针对产品或服务的风险管理审计针对过程或操作的风险管理审计针对过程或操作的风险管理审计2、风险管理要素审计、风险管理要素审计风险管理要素审计是针对企业风险管理政策、方法、措施、手风险管理要素审计是针对企业风险管理政策、方法、措施

30、、手段等要素实施的审计。段等要素实施的审计。40风险管理审计与其他审计的关系风险管理审计与其他审计的关系41风险管理审计与其他审计的关系风险管理审计与其他审计的关系Honesty，Truth Pursuing，Diligence , Devotion to Public Duty风险管理审计实施风险管理审计实施43风险管理审计流程风险管理审计流程确定审计域确定审计域/全组织范围风险评估全组织范围风险评估全组织范围确认项目全组织范围确认项目/制定审计计划方案制定审计计划方案审计准备阶段审计准备阶段审计实施阶段审计实施阶段评价评价/测试控制设计和其他风险管理技术测试控制设计和其他风险管理技术审计取

31、证结果评价审计取证结果评价审计发现和审计报告审计发现和审计报告后续审计后续审计沟沟通通协协调调44实施的具体工作实施的具体工作 确定风险域确定风险域 全组织范围风险评估全组织范围风险评估 全组织范围确认项目全组织范围确认项目 制定风险管理审计计划制定风险管理审计计划 评价控制的设计和其他风险管理技术评价控制的设计和其他风险管理技术 测试控制和其他风险管理技术的有效性测试控制和其他风险管理技术的有效性 审计取证结果的评价审计取证结果的评价 后续审计后续审计45确定风险域确定风险域1、嘎吱车轮法(强制性包含领域)。由董事会、管理当局、国际组织、国家法规、外部审计、等发现或要求，急需关注和处理的问题

32、。2、应被审计者的要求。被审计者自行提出的要求。3、系统确认法。 组织结构图或成本中心报告 企业流程或项目 与管理层确定的风险域相协调 与其他确认提供者相协调一、确定风险域的方法一、确定风险域的方法46确定风险域确定风险域二、确定风险域应系统考虑因素二、确定风险域应系统考虑因素上一次审计的日期和结果。涉及的金额。潜在的损失和风险。管理层的要求。经营方案、制度和控制的重大变化。审计人员的变动及能力。47确定风险域确定风险域三、风险域集中的领域三、风险域集中的领域对业绩有重要影响的事项；存在潜在危机，须使受损程度减至最低的事项；高级管理者及全公司关心的审计主题；与不合算的交易，无效业务的发现与改善

33、的有关事项；与交易，业务的改进及对策有关的事项；经营层和管理层关心的审计主题；管理部门中不易发觉的事项；前次审计中未列作审计对象的事项；新的业务领域或新项目风险管理审计；突发事件审计；年度性针对企业战略、经营操作、财务和声誉综合风险管理领域审计；针对企业整体层面风险管理框架和政策合理性或针对风险管理过程有效性审计。48全组织范围风险评估全组织范围风险评估1、加权风险因素法 审计部门经过风险分析，对风险程度根据重要性原则排出审计的优先顺序。审计项目的安排以风险评价为基础，优先审计风险高的被审计单位，再审计风险低的。其基本的步骤如下：选择5种（或者根据审计任务范畴或特征具体确定被审数量）对公司来讲

34、最重要的被审风险因素对象；给每个被审计对象风险因素逐个打分，其评分范围为1-5分（5表示风险最大，1表示风险最小，3表示风险中等或未知风险）；加总各个被审计对象的分数得出风险值（最高分值为25分，意味着每个风险因素都是5分；最低分值5分，说明每个风险因素的得分都是1分）按风险值的高低分配审计资源。一、内部审计师常用的风险评估方法一、内部审计师常用的风险评估方法49全组织范围风险评估全组织范围风险评估2、管理层访谈/问卷调查 访谈使内部审计部门了解组织的价值主张并且使工作更具有战略性。访谈提纲可以包括：一、内部审计师常用的风险评估方法一、内部审计师常用的风险评估方法关键控制目标关键控制目标资料的

35、可靠与完整对于法律、政策、程序的合规资产保护节约、效率和效果.关键管理流程关键管理流程运行目标战略结构人力资源管理信息系统.关键风险关键风险固有风险已进行的风险评估基于影响和可能性的重大风险管理风险的现行措施，包括关键控制.50全组织范围风险评估全组织范围风险评估3、风险评估专题讨论会 收集和整理选定级别的答题，并采用保密投票技术和数据投影仪将其用图表形式呈现出来。议程可以包括：一、内部审计师常用的风险评估方法一、内部审计师常用的风险评估方法目的和结果的简单说明基本规则组织战略目标的讨论与认可启发、诊断式的问题采用的风险类型筛选、归纳风险风险的可能性和影响重大性的讨论风险矩阵记录讨论后续步骤.

36、51全组织范围确认项目全组织范围确认项目1、有些在组织层面运行的控制为整个组织提供保证与控制环境有关的控制；信息技术一般控制；2、有些业务层面的控制在整个组织范畴内更便于理解和评价不同单元、流程或项目的薪酬不同；3、有些风险在组织和业务两个层面都管理，并且可以在一次全组织范围审核中同时在两个层面评价与职业道德和合规相关的政策和培训；人力资源和其他共享服务；一、全组织范围确定项目的目的一、全组织范围确定项目的目的52全组织范围确认项目全组织范围确认项目1、组织中与审计主题相关的政策；2、治理文件；3、公认的风险和控制模型ERM、ISO310004、权威性准则可能与审计业务的主题相关；信息及相关技

37、术控制目标COBIT质量管理体系ISO10006法律或监管要求5、最佳实务报告审计委员会的有效性IIARF二、组织范围确定项目的标准二、组织范围确定项目的标准53全组织范围确认项目全组织范围确认项目“内部审计部门必须针对组织内与职业道德相关的目标、计划和业务评估其设计、实施和效果”1、结构化访谈；怎么知道员工真正理解公司的职业道德规范？与同行业相比，我们的风险偏好是怎样的？收取或给与礼物的一般规定是什么？你是否觉得同样的规定适用于所有员工？为什么或为什么不是？你是否见过不合乎职业道德的行为受到表彰？2、推动型专题讨论会；3、问卷调查；三、评价组织层面控制的方法三、评价组织层面控制的方法54制定

38、风险管理审计计划制定风险管理审计计划风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：1、文档审阅：经营计划组织机构图流程图关键技术工作描述关键政策一、高层次确认业务风险评估一、高层次确认业务风险评估55制定风险管理审计计划制定风险管理审计计划风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：2、各层次管理层访谈：使命或目的首要市场或竞争关键经营问题财务状况和趋势近期的变化优势经理关注或面临的挑战主要风险关键员工流程和运营系统的概览一、高层次确认业务风险评估一、高层次确认业务风险评估56制定风险管理审计计划制定风险管理审计计划风险评估决定着确认业

39、务的审计目标、范围和方法。识别和评估风险的来源和资料：3、管理层的风险评估4、业绩指标和趋势5、财务和运营信息6、以前的审计结果7、组织外部的内部审计师8、外部审计师和咨询专家9、法规和监管结果10、行业研究和标准11、事件报告12、保持客户联系一、高层次确认业务风险评估一、高层次确认业务风险评估57制定风险管理审计计划制定风险管理审计计划 “内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。”1、内部控制：内部审计部门必须评估控制的效率和效果，并促进持续改进、从而协助组织维持有效的控制。财务和运营信息的可靠性和完整性运营的效

40、率和效果资产的安全法律、法规、政策、程序、合同的遵循情况2、风险管理：内部审计活动必须评估风险管理过程的有效性，并为其改善作出贡献。组织目标支持本组织的使命并与其保持一致。重大风险得到识别和评估选定适当的风险应对方案，并符合组织的风险偏好获取相关的风险信息，并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责二、形成审计目标、范围和方法二、形成审计目标、范围和方法58制定风险管理审计计划制定风险管理审计计划风险管理审计计划就审计目标、范围和方法等给出更为清晰的和可操作的指引。一般来讲，一个整体和较全面的审计计划应当包括：审计目标、审计域、审计要点、审计准则以及其他参照指标、审计程序及其

41、包含内容、审计调查与测试取证安排、审计负责人及其责任、确定审计所需信息和资料、主要审计方法和技术的选用、审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等）、审计资源需求、审计组织与审计质量保障证措施、审计团队的组成、对被审目标的配合要求、审计报告要点框架等。风险管理审计计划可以规划化和表格化，并分发给承办该审计事项的所有审计人员。三、风险管理审计计划内容三、风险管理审计计划内容59制定风险管理审计计划制定风险管理审计计划四、与管理层的合作四、与管理层的合作五、业务之前的沟通五、业务之

42、前的沟通审计通知是内部审计部门在实施风险管理审计前通知客户接受审计的书面文件。审计通知书包括以下几点内容：客户及审计项目名称审计目的和审计范围审计时间客户提供的具体资料和其他必要的协助内部审计部门及其负责人的签章和签发日期六、资源分配六、资源分配七、启动会七、启动会启动会议是在审计项目开始时项目组成员、相关管理层或其他人员参加的沟通会议。其作用主要在于：说明审计目的、审计范围和要求协助的事项进一步了解审计对象沟通60评价控制的设计和其他风险管理技术评价控制的设计和其他风险管理技术“内部审计部门必须评估针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性适当性和有效性。”“有效的审计设计

43、：在多数情况下，在测试控制的有效性之前，要在了解和分析内部控制体系的设计上花费大量时间，以确定其是否能提供适当的控制，这为内部审计指出控制薄弱的根本原因而非指出其表面现象提供了坚实的基础”适当的控制：适当的控制：如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理，组织的目标和目的以经济高效的方式实现，那么可以认为已建立适当的控制。61评价控制的设计和其他风险管理技术评价控制的设计和其他风险管理技术一、常用控制及其他风险管理技术一、常用控制及其他风险管理技术预防或发现指令补偿人工或自动化组织层面、业务层面一般控制 组织层面的控制 共享信息技术服务应用控制 业务层面控制62评价控制的设计

44、和其他风险管理技术评价控制的设计和其他风险管理技术二、详细确认业务风险评估二、详细确认业务风险评估1、识别目标2、识别固有风险3、评估风险影响和可能性4、识别控制和其他风险管理技术书面政策流程手册流程文档一线员工5、评价控制的设计和其他风险管理技术穿行测试固有风险-风险管理技术=剩余风险其他风险管理技术的评价软控制的评价63评价控制的设计和其他风险管理技术评价控制的设计和其他风险管理技术三、用于记录和评价控制设计的工具三、用于记录和评价控制设计的工具1、风险控制矩阵风险风险/控制矩阵控制矩阵目标目标固有风固有风险险影响影响/可可能性能性控制控制（和其（和其他风险他风险管理技管理技术）术）充分性

45、充分性评价评价适当性适当性评价评价最终评最终评价价64测试控制和其他风险管理技术的有效性测试控制和其他风险管理技术的有效性一、测试的决定一、测试的决定关键或首要控制必须测试二、审计证据的类型二、审计证据的类型书面证据、实物证据、视听证据、电子证据、口头证据、环境证据三、人工测试方法三、人工测试方法访谈问卷调查内部控制问卷观察检查函证顺查逆查65测试控制和其他风险管理技术的有效性测试控制和其他风险管理技术的有效性三、人工测试方法三、人工测试方法重新执行分析程序 预期与实际比较 趋势分析 相关因素分析 合理测试 与标杆比较 比率分析 回归分析四、抽样四、抽样统计抽样随机抽样判断抽样66测试控制和其

46、他风险管理技术的有效性测试控制和其他风险管理技术的有效性五、测试应用控制五、测试应用控制输入控制处理控制输出控制完整性控制管理线索六、测试软控制六、测试软控制67取证结果的评价取证结果的评价在实务中，审计人员对风险管理的评价可以用量化数字表示如1、2、3、4、5，或用字母表示如A、B、C、D、E,或者用颜色表示，如红、黄、绿等。风险的严重性（或影响）的评价具体尺度（除了表达为财务指标之外，也可以用声誉、资本、法律等方式来表述风险的影响）不严重：既无战略影响，又无财务影响。轻度严重：相对较小的战略和/或财务影响（一星期的利润）。中度严重：显著地影响战略和/或财务目标的实现（一月的利润）。严重：难

47、以实现战略目标（可能需要战略上的一次改变），和/或重大的财务影响（一季的利润）。高度严重：战略目标无法实现，导致严重的财务后果（一年的利润）并威胁公司的生存能力。68取证结果的评价取证结果的评价风险可能性（概率）评价的具体尺度不发生：在特定的时期内不会发生（5%）。不太可能：在特定的时期内不太可能发生（25%）。可能：在特定的时期内或许会发生（50%）。肯定：在特定的时期内已经发生或几乎肯定会发生（90%）。风险的层次评价（扩展的尺度）极小的威胁：几乎不可能严重地威胁组织。轻度威胁：不太可能严重地威胁组织。中度威胁：偶尔可能成为组织的严重威胁。严重威胁：很可能成为组织的严重威胁。灾难性的威胁肯

48、定是组织的严重威胁69取证结果的评价取证结果的评价风险承受限度的评价避免：在任何情况下都不会允许此风险发生。降低：必须拥有持续地管理此风险的政策、流程和程序，并把它的影响降到最低限度。管理：必须能够预测此风险的发生，并采取前瞻性的行动以降低其影响。检查：将允许此风险发生，但是必须能在其影响过大之前及时检查并报告此风险。接受：风险的发生是可接受的。70取证结果的评价取证结果的评价风险管理/风险控制可扩展度（可管理性或可控性）评价无风险管理：组织任由风险发生，并接受其后果。低层次的风险管理：风险通常都可以检测到，但是组织更依赖于应急或恢复计划。中等的风险管理：在有效的监督下，能识别风险的发生，并拥

49、有充足的时间减小风险的影响/提高获利的机会。扩展的风险管理：持续的监督和前瞻性的管理活动确保把风险的影响降到最低/增强获利的可能性。持续的风险管理：一个全面的风险管理计划有助于确保风险得到了预防，或者所有可度量的影响/机会都得到了优化。风险管理成熟度评价（采用风险管理成熟度模型评价）A级：特定风险管理B级：初步风险管理C级：可重复性风险管理D 级：主动性风险管理E 级：前瞻性风险管理。71取证结果的评价取证结果的评价被审事项现有风险管理水平或效力评价，例如：该事项的风险管理框架不适（其中包括风险管理政策不适），不能满足该事项目标实现的要求。该事项有明确与合理的风险管理框架（其中包括合理的风险管理政策），然而风险管理政策的实施不力和无效。该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策），且该事项的风险管理政策能基本落实。该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策），且该事项的风险管理政策能较好落实，内部控制有效，风险管理过程运行有效。72沟通与协商沟通与协商沟通和协商将不间断地贯穿于整个审计过程中，其目的是为了促使审计工作得到各方面的支持和配合，以及为了保证审计工作的质量和效果。如果管理人员不认可审计人员所提出的审计发现或建议，这可能表明审计人员没有完全理解管理人员的风险承受限度。此时，应该与管理人员重新协商其风险承受限度，