第六讲风险管理与公司治理审计

1、风险管理审计的内容风险管理审计的内容风险管理审计的途径与方法风险管理审计的途径与方法公司治理审计公司治理审计什么是风险什么是风险风险管理风险管理企业风险管理的八大要素企业风险管理的八大要素风险管理审计的内容风险管理审计的内容与内部控制审计的比较研究与内部控制审计的比较研究内部审计在企业风险管理过程中的角色和内部审计在企业风险管理过程中的角色和责任责任pIPPF的定义：的定义：风险是指对实现目标有影响的事件实际发生的可风险是指对实现目标有影响的事件实际发生的可能性，风险通过影响程度和发生的可能性来衡量。能性，风险通过影响程度和发生的可能性来衡量。确定、风险、不确定的区别？确定、风险、不确定的区别

2、？p分类：分类：战略风险、财务风险、市场风险、运营风险和法战略风险、财务风险、市场风险、运营风险和法律风险律风险如何分类比较合理？如何分类比较合理？企业风险管理是指围绕企业风险去管理策略目企业风险管理是指围绕企业风险去管理策略目标，针对企业战略、规划、产品研发、投融资、标，针对企业战略、规划、产品研发、投融资、市场运营等等各项业务管理及其重要业务流程，市场运营等等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。章制度、程序和措施。“识别、评估、管理和控制潜在事件或情况的识别、评估、管理和控制潜在事件或情况的过程，

3、目的是为实现组织的既定目标提供合理过程，目的是为实现组织的既定目标提供合理保证。保证。”风险管理必须服务于风险管理必须服务于企业价值最大化的实现。的实现。企业风险管理的目标企业风险管理的目标并不是完全消除风险，也不，也不是简单地降低风险，而应是：是简单地降低风险，而应是：（1）在进行决策时对风险进行评估，将风险控制在一个可接受的限度内；（2）避免不必要的风险并防止不必要的损失；（3）在风险发生概率较高的情况下降低不利结果出现的频率，在不利结果较严重的情况下降低其影响。内部环境内部环境目标设定目标设定事件辨认事件辨认风险评估风险评估风险回应风险回应控制活动控制活动资讯及沟通资讯及沟通监督监督p内

4、部环境：内部环境：是风险管理的基础，不仅仅会影响到策略及目标是风险管理的基础，不仅仅会影响到策略及目标的设定、活动的设置，而且会影响到对风险的辨的设定、活动的设置，而且会影响到对风险的辨认、评估及回应。认、评估及回应。由多种因素组成，如道德观、人员、管理者的经由多种因素组成，如道德观、人员、管理者的经营理念及风险管理的态度和文化。营理念及风险管理的态度和文化。p目标设定：目标设定：策略策略企业整体的目标及使命企业整体的目标及使命营运营运效率、绩效及获利能力效率、绩效及获利能力报道报道内外部报道内外部报道遵循遵循法令及规章的遵循法令及规章的遵循p事件辨认：事件辨认：考虑所有影响其策略及目标达成的

5、内外部因素，考虑所有影响其策略及目标达成的内外部因素，并将潜在事项加以分类。并将潜在事项加以分类。分类方式：按事项是否横跨整个企业，是否垂直分类方式：按事项是否横跨整个企业，是否垂直穿越各个作业单位来进行归类。穿越各个作业单位来进行归类。还要考虑各事件之间的相关性。还要考虑各事件之间的相关性。未识别的事件不能在风险反应和风险接受计划中未识别的事件不能在风险反应和风险接受计划中得到处理，会导致意外的风险。得到处理，会导致意外的风险。p风险评估：风险评估：着重于对潜在事项发生的可能性及其影响程度进着重于对潜在事项发生的可能性及其影响程度进行分析和评估，并要分析和评估潜在事项对目标行分析和评估，并要

6、分析和评估潜在事项对目标实现的影响。实现的影响。同时使用定性与定量的方法，来评估潜在事项的同时使用定性与定量的方法，来评估潜在事项的不确定性程度。不确定性程度。p风险回应：风险回应：选择风险应对措施时，考虑风险承受度及成本效益。选择风险应对措施时，考虑风险承受度及成本效益。主要方式：风险回避、降低、分摊及接受，还有转主要方式：风险回避、降低、分摊及接受，还有转移、集中等方式。移、集中等方式。选择措施选择措施执行计划执行计划评估执行后剩余风险。评估执行后剩余风险。p控制活动：控制活动：内部控制政策及程序内部控制政策及程序为了确保风险回应方式为了确保风险回应方式的有效执行。的有效执行。一般控制与应

7、用控制。一般控制与应用控制。p咨询及沟通：咨询及沟通：辨认、评估及回应风险时都需要取得内外部的适辨认、评估及回应风险时都需要取得内外部的适当资讯。当资讯。有效沟通包括从上至下，或从下至上的沟通，也有效沟通包括从上至下，或从下至上的沟通，也包括对客户、供应商、政府单位及股东等外部团包括对客户、供应商、政府单位及股东等外部团体的资讯沟通。体的资讯沟通。历史资讯和现时资讯。历史资讯和现时资讯。p监督：监督：确保企业风险管理的各个构成要素在组织的每个层确保企业风险管理的各个构成要素在组织的每个层级一致执行。级一致执行。包括持续监督和个别监督。包括持续监督和个别监督。持续监督：建立在营运活动之中，且随时

8、不断进行。持续监督：建立在营运活动之中，且随时不断进行。个别监督：事实发生之后才进行。个别监督：事实发生之后才进行。pIPPF的的“工作标准：工作标准：2120”条规定：条规定：内部审计活动必须评估风险管理过程的有效性，内部审计活动必须评估风险管理过程的有效性，并对其改善作出贡献。并对其改善作出贡献。具体内容具体内容p内部审计人员需要了解的风险管理内涵：内部审计人员需要了解的风险管理内涵：ERM是一个过程。是一个过程。ERM不是一起事件，而是涵盖组织很大范围活动不是一起事件，而是涵盖组织很大范围活动的一系列行动。的一系列行动。ERM要应用于组织战略的制定上。要应用于组织战略的制定上。要考虑风险

9、偏好。要考虑风险偏好。ERM仅提供合理保证。仅提供合理保证。审计内容审计内容审计计划审计计划审计实施审计实施审计报告审计报告审计方法审计方法内部审计在业务层面主要提供的是确认服内部审计在业务层面主要提供的是确认服务，也可以在提供确认服务的同时就风险务，也可以在提供确认服务的同时就风险管理有关问题提供咨询服务。管理有关问题提供咨询服务。p内部审计不应承担原本属于管理层的风险内部审计不应承担原本属于管理层的风险管理责任，具体包括：管理责任，具体包括：设置风险偏好；对风险管理过程施加影响；为管设置风险偏好；对风险管理过程施加影响；为管理层提供风险保证；就风险作出决策；以管理层理层提供风险保证；就风险

10、作出决策；以管理层的立场进行风险风对；对风险管理负责。的立场进行风险风对；对风险管理负责。p内部审计在风险管理过程中的核心作用是内部审计在风险管理过程中的核心作用是就风险管理过程的有效性提供确认服务，就风险管理过程的有效性提供确认服务，及监督者的角色，主要包括以下五个方面：及监督者的角色，主要包括以下五个方面：对风险管理过程的确认服务；对风险管理过程的确认服务；对正确识别风险的确认服务；对正确识别风险的确认服务；评估风险管理过程；评估风险管理过程；评估关键风险因素报告；评估关键风险因素报告；评估关键风险因素管理。评估关键风险因素管理。p在咨询服务方面，应发挥合理的作用，主在咨询服务方面，应发挥

11、合理的作用，主要包括以下七个方面：要包括以下七个方面：帮助识别和评估风险；帮助识别和评估风险；指导管理层应对风险；指导管理层应对风险；协调风险管理相关活动；协调风险管理相关活动；加强对风险的报告与披露；加强对风险的报告与披露；保持和完善企业风险管理框架；保持和完善企业风险管理框架；支持企业风险管理的建设；支持企业风险管理的建设；在董事会批准的前提下，参与制定风险管理战略。在董事会批准的前提下，参与制定风险管理战略。风险识别风险识别风险分析与风险评估风险分析与风险评估基于风险评估的审计计划基于风险评估的审计计划基于风险矩阵图与风险测试的审计实施基于风险矩阵图与风险测试的审计实施可以借鉴的工具方法

12、可以借鉴的工具方法风险识别，是企业风险管理审计的第一步风险识别，是企业风险管理审计的第一步风险识别方法风险识别方法分解分析法分解分析法p审计师进行内部审计时，可通过以下方式对企审计师进行内部审计时，可通过以下方式对企业风险的主要因素进行分析：业风险的主要因素进行分析：了解被审计单位的性质、管理体制、经营品种、了解被审计单位的性质、管理体制、经营品种、经营规模、人员结构等。经营规模、人员结构等。风险评估是对已识别内外部风险的分析确风险评估是对已识别内外部风险的分析确认和衡量，之所以要对风险进行评估，是认和衡量，之所以要对风险进行评估，是因为风险影响企业单位实现其目标或危害因为风险影响企业单位实现

13、其目标或危害其经营。其经营。p风险损失频率估计：风险损失频率估计：主要通过计算损失次数的概率分布，考虑三个因主要通过计算损失次数的概率分布，考虑三个因素：风险暴露数、损失形态和危险事故，三因素素：风险暴露数、损失形态和危险事故，三因素不同组合，影响风险损失次数的概率分布。不同组合，影响风险损失次数的概率分布。按风险发生可能性将风险分类按风险发生可能性将风险分类p风险损失程度的估计：风险损失程度的估计：考虑三个事项：考虑三个事项：同一危险事故所致各种损失的形同一危险事故所致各种损失的形态、一个危险事故牵连的风险暴露数与损失的时态、一个危险事故牵连的风险暴露数与损失的时间性和金额。间性和金额。对于

14、财务风险损失程度的估计，最新的方对于财务风险损失程度的估计，最新的方法则是风险值法，即在既定的风险容忍度法则是风险值法，即在既定的风险容忍度下，市场状况最坏时确认投资组合最大的下，市场状况最坏时确认投资组合最大的不可预期损失。不可预期损失。按风险损失程度将风险进行分类按风险损失程度将风险进行分类风险矩阵图风险矩阵图p审计人员在评估风险时需要考虑如下因素：审计人员在评估风险时需要考虑如下因素：金额重要性、资产流动性、管理能力、内部控制的质金额重要性、资产流动性、管理能力、内部控制的质量、变化或稳定程度、上次审计业务发展的时间、复量、变化或稳定程度、上次审计业务发展的时间、复杂性、与雇员及政府的关

15、系等。杂性、与雇员及政府的关系等。p风险评估的方法分为定性和定量两种方法。风险评估的方法分为定性和定量两种方法。定性方法：运用定性术语评估并描述风险发生可能性定性方法：运用定性术语评估并描述风险发生可能性及其影响程度；及其影响程度；定量方法：运用数量方法，主要有专家打分法、层次定量方法：运用数量方法，主要有专家打分法、层次分析法、风险暴露计算模型、沃尔评分法、风险价值分析法、风险暴露计算模型、沃尔评分法、风险价值法、计分法等。法、计分法等。p制订计划分为两步：制订计划分为两步：评测可利用的资源评测可利用的资源风险点众多，内审资源有限且相对不足；风险点众多，内审资源有限且相对不足；编制计划第一步

16、，是评测共有的内审资源：编制计划第一步，是评测共有的内审资源：根据不同级别的内审师的可提供专业服务的小时数来根据不同级别的内审师的可提供专业服务的小时数来计算。计算。风险分析及风险排序风险分析及风险排序根据风险分析和风险排序分配审计资源，按照前述风根据风险分析和风险排序分配审计资源，按照前述风险评估得出的风险因素分值；险评估得出的风险因素分值；通常优先对风险较大的项目审计，配备最好的人力资通常优先对风险较大的项目审计，配备最好的人力资源。源。计划阶段，选择被审计对象是审计工作起点。计划阶段，选择被审计对象是审计工作起点。选择的策略是风险因素优先策略。选择的策略是风险因素优先策略。p运用风险评估

17、技术，估计风险严重程度和发生运用风险评估技术，估计风险严重程度和发生的可能性，形成风险矩阵图。的可能性，形成风险矩阵图。审计计划阶段的风险评估主要是确定总体的审计对象审计计划阶段的风险评估主要是确定总体的审计对象及其先后顺序。及其先后顺序。风险矩阵图的绘制可以突出具体业务过程中的风险，风险矩阵图的绘制可以突出具体业务过程中的风险，可以进一步确认审计业务本身面临的风险和风险的严可以进一步确认审计业务本身面临的风险和风险的严重程度，从而确定审计实施阶段的重点。重程度，从而确定审计实施阶段的重点。p数字化的风险测试与风险评价。数字化的风险测试与风险评价。内部控制制度的测试方法，也可以应用于对风险内部

18、控制制度的测试方法，也可以应用于对风险管理进行审计，可以提供有关业务风险情况的数管理进行审计，可以提供有关业务风险情况的数据支持。据支持。p前瞻性的风险管理审计报告。前瞻性的风险管理审计报告。披露风险表现和风险排序。披露风险表现和风险排序。披露被审计单位对利用风险、防范风险的制度、措施披露被审计单位对利用风险、防范风险的制度、措施及执行情况。及执行情况。披露风险应对、风险防范的效果。披露风险应对、风险防范的效果。披露风险管理审计的方法、风险评价和条件和标准。披露风险管理审计的方法、风险评价和条件和标准。谨慎披露舞弊事项。谨慎披露舞弊事项。前瞻性地规划提高风险管理质量的建议。前瞻性地规划提高风险管理质量的建议。风险坐标图风险坐标图蒙特卡罗方法蒙特卡罗方法关键风险指标管理关键风险指标管理压力测试压力测试公司治理的概念公司治理的概念公司治理的基本原则公司治理的基本原则公司治理审计内涵和外延公司治理审计内涵和外延公司治理审计的组织方式公司治理审计的组织方式公司治理审计的作业重心公司治理审计的作业重心公司治理就是通过建立一系列内外部规范机制来明确公司治理就是通过建立一系列内外部规范机制来明确对公司管理者和董事会的责任要求，对他们履行责任对公司管理者和董事会的责任要求，对他们履行责任的情况实施监督，防范管理者的不良行为，保障股东的情况实施监督，防范管理者