风险审计资料讲解

1、风险管理审计风险管理审计+ +知识结构n一、风险与风险管理概念n二、风险管理审计与风险基础审计n三、风险管理审计的程序+ +（一）风险1、定义美国人韦氏（Webster）给出的经典定义： “风险是遭受损失的可能性。” 一个项目中的损失可能有： 质量的降低； 费用的增加； 项目完成的推迟等。 风险（Risk) = 损害 * 发生的概率一、风险与风险管理概念+ +2、风险来源按风险的来源可将风险分为外部风险和内部风险nA.外部风险是指外部环境中对组织目标的实现产生影响的不确定性。影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等nB.内部风险是指内部环境中对组织目标

2、的实现产生影响的不确定性。 影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等+ +3、风险要素n风险要素是构成风险特征、影响风险产生、存在和发展的因素（1）风险条件，即风险因素：引起风险发生的条件（2）风险事故，即风险事件（3）风险损失风险暴露的金额可能性发生频率风险暴露的金额可能性发生频率+ +3、风险的分类n(1)按照风险的对象划分:财产风险、人身风险、责任风险、信用风险;n(2)按照风险的性质划分:纯粹风险和投机风险n(3)按照承受风险的能力划分:可接受风险和不可接受风险+ +在我国,国资委根据内、外部风险的来源,将国有企业的风险分为:战略风险、财务风险、市场风险、运营风险及

3、法律风险。具体的内容见表10-1。 内部外部战略风险 新产品、新技术、并购、风险、品牌建立、收益变化需求变化、失去主要的供应商和客户、竞争对手财务风险 现金流、资产流动性经济周期、信用风险市场风险 促销及定价政策外汇汇率、贷款利息、期货及股票市场的变化等运营风险 人力资源、环境保护、网络安全、价格谈判管理责任、供应链、偷盗、恐怖袭击等法律风险 员工纠纷、知识产权合规、诉讼等+ +（二）风险管理n1、风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。 风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对

4、风险的态度）+ +2、风险管理的范围包括：组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。3、企业风险管理是一个贯穿整个企业的持续的过程;4、受组织内部各个层级的员工(这里指雇员)的影响;+ +3、风险管理八大要素n详见内部控制自我评价+ +4、风险管理的三个阶段n1）风险识别：风险识别：根据组织目标、战略规划等识别所面临的风险。 组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。 识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。+ +2）风

5、险评估对已识别的风险，评估其发生的可能性及影响程度。 风险评估针对两方面进行：（必须同时进行评估） （1）风险发生的可能性； （2）风险的影响程度。 风险评估是做出恰当的风险应对决策的基本前提。+ +3）风险应对n采取应对措施，将风险控制在组织可接受的范围内。 应对措施根据风险的严重程度有针对性地进行。 （1）采取措施，降低风险； （2）不采取措施，接受风险。 采取应对措施应考虑成本效益原则。+ +二、风险管理审计与风险基础审计1风险管理审计与风险基础审计的关系联系联系审计依据相同：都是企业的风险管理方针、策略和风险评价指标体系。业务内容相同：风险范围确认，风险识别、评价、应对等审核审计总目标相同：为战略决策提供信息，实现企业目标，增加企业价值n区别区别n含义不同n关注点不一样n服务对象不一样风险管理审计作为一种具体审计业务,主要服务于企业管理层;风险基础审计更多地作为一种审计方法,直接服务于审计部门+ +2、风险管理审计与内部控制审计的比较+ +比较的类别比较的主体 内部控制审计风险管理审计审计内容整体、业务层面内部控制审计战略、业务层面的风险管理审计审计侧重点高管层之下的经营活动 高管层之上的战略设计以及决策审计计划侧重于抽样方法侧重于风险评估方法审计实施描述内控、符合性测试、实质性测试描述风险、测试风险、评价风险审计报告问题导向、关注牵制风险导向、前瞻性