内部审计专题纲要

1、内部审计专题(纲要）南 京 审 计 学 院国 际 审 计 学 院1内部审计专题内部审计理论内部审计实务 内部控制及其审计 风险管理及其审计 财务经营审计 经济效益审计 经济责任审计 2内部审计理论框架内部审计定位内部审计组织内部审计本质内部审计特征内部审计目标内部审计客体3内部审计定位 1、内部审计准则规定 内部审计基本准则第2条规定：“本准则所称内部审计，是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经济活动及内部控制的适当性、合法性和有效性来促进走至目标实现”。第3条规定：“本准则适用于各类组织的内部审计机构，内部审计人员及其从事的内部审计活动”。4内部审计定位2、内部审计定

2、位依据 内部审计的最终目标： - -实现公司价值最大化 服务于公司投资人利益 为公司整体目标服务5内部审计组织 1、内部审计组织设置 设置在公司董事会下的内部审计机构； 设置在公司监事会下的内部审计机构； 设置在公司总经理领导下的内部审计机构； 设置在财务部门的内部审计机构； 设置在其他部门的内部审计机构；6内部审计组织 2、内部审计组织构架 国有企业内部审计组织： 7内部审计组织2、内部审计组织构架 民营企业内部审计组织： 8内部审计组织2、内部审计组织构架 事业单位内部审计组织： 9内部审计本质1、内部审计的地位： 监督系统的主要构成部分 投资人及利益关系人-目标：价值增值、利益最大化、每

3、股利润最大化。需要管理和监督两大系统支持，其中管理系统包括：制度制定、战略战术决策、日常业务管理、日常业务经营；监督系统包括：对管理系统的控制和干预、对管理活动的评价和信息采集和验证。10内部审计本质2、内部审计的本质 监督？管理咨询顾问？监督信息系统？ 管理信息系统：会计系统客观性、系统性，管理者对管理信息系统的需求，对系统内的开放性，对系统外的限制性，导致信息不对称。 监督信息系统：内部审计客观性、系统性，打破信息不对称的格局，为监督者提供依据。 11内部审计本质3、内部审计的特征 独立性 传统意义上的内部审计的独立性组织上、人员上、经费上、思想上； 现代意义上的内部审计的独立性从内部审计

4、的定位上看：直接管理领导内部审计机构的机构负责人的理念和行为中，追求“公司价值最大化”目标的成分有多大，内部审计的独立性就有多强；12内部审计本质3、内部审计的特征 独立性： 现代意义上的内部审计的独立性从受托责任关系上看：内部审计是为投资者最大利益服务的，内部审计对投资者授出的财产经营权、管理权有效行使监督权，行使审计监督权的有效性有多强，内部审计的独立性就有多强。13内部审计本质3、内部审计的特征 内部审计的独立性的保障机制： 靠正确的定位来保证； 靠明晰的治理结构来保证； 内部审计机构设置一定要理顺关系； 14内部审计目标1、内部审计基本目标 审计基本目标审计工作的预期目的，规定了审计的

5、发展方向，明确了设计发展前景；界定了审计工作的范围；规划了审计的预期效果；是对审计目的的客观性矫正。一般包括真实性、合法性、有效性三大基本目标。内部审计同样有三大目标。15内部审计目标2、内部审计目标与企业目标 企业目标：企业价值增长目标 审计目标：服务于企业价值增长目标；服务于经济工作中心任务； 制约因素：审计主体地位；审计的功能定位。16内部审计目标3、内部审计检查验证目标 真实性、可靠性目标： 经济活动信息的真实性、可靠性； 合法性、合规性目标： 经济活动的合法性、合规性； 17内部审计目标5、内部审计评价目标 适当性、有效性目标 经济活动的适当性、有效性； 包括： 经济性、效率性、效果

6、性； 经济效益、社会效益、环境效益、资源效益。18内部审计职能1、内部审计基本职能 检查、评价-为监督者服务的职能 通过对审计客体检查和评价，为独立的监督机构提供真实可靠的系统客观的审计客体信息。19内部审计职能2、内部审计的作用 机制制衡作用： 信息对成作用： 20内部审计客体 1、内部审计对象 内部审计检查验证对象：经营活动状况与变动信息，包括：经营管理活动、经济资源配置、经营成果分配、物质财富创造活动信息。 内部审计评价对象：经济活动效果：包括经济资源配置效果、各项管理规章制度执行效果、各项管理行为过程效果等。 21内部审计客体2、内部审计客体范围 经营业务活动-广义包括： 财务资本业务

7、、实物资产业务、人力资源业务、经营活动业务（狭义）。 经营活动业务-狭义包括：供、产、销。22内部审计客体3、内部审计客体层次 决策活动高层管理者计划决策； 组织活动各部门执行决策; 作业活动业务操作。 23内部审计客体4、内部审计客体内容 内部控制系统-组织运行、制度构建 风险管理系统-决策判断、方案选择 管理信息系统-内控、决策、经营信息 管理活动系统-制度、决策执行 24内部审计实务框架内部控制及其审计风险管理及其审计企业财务审计（舞弊审计）企业效益审计（绩效评价)25内部控制及其审计内部控制的基本理论内部控制的设计内部控制的审计26内部控制的基本理论1、内部控制的概念 1996年底，美

8、国审计程序委员会在其审计准则说明书第78号中，对第55号进行了修订，认可了COSO报告的研究成果，认为内部控制整体框架由控制环境、风险评估、控制活动、资讯与沟通、监督五要素构成。27内部控制的基本理论1、内部控制的概念 美国COSO报告认为：内部控制系为达成末些特定目标而设计的过程。即是由管理层设计、由董事会、管理层和其他人执行为达成营运的效果及效率，财务报导的可靠性和相关法令的遵循提供合理保证的过程。该定义反映出的理念是：内部控制是一个过程，是一个由人执行、受人影响的过程；内部控制只为管理层、董事会提供合理的保证，而不是全部；内部控制由制约舞弊向控制风险方面提升。28内部控制的基本理论1、内

9、部控制的概念 中国内部审计协会结合中国国情，采纳了COSO委员会的概念，在内部审计具体准则第5号内部控制审计中规定：内部控制是指组织内部为实现经营目标，保护资产安全完整，保证国家法律法规，提高组织的营运效率及效果而采取的各种政策和程序，由控制环境、风险管理、控制活动、信息与沟通和监督五个要素构成。29内部控制的基本理论2、内部控制的要素 单要素论：内部牵制； 两要素论：内部会计控制、内部管理控制； 三要素论：控制环境、会计系统、控制程序； 五要素论：控制环境、风险评估、控制活动、资讯与沟通、监督。(coso框架） 八要素论：控制环境、风险辨识、风险评估、风险反映、风险应对、控制活动、信息和沟通

10、、监控。30内部控制的基本理论2、内部控制的要素 内部控制的五要素-控制环境 董事会内部控制系统的核心；管理者的素质；管理者的经营理念；管理层倡导的组织文化；各项职责分工及相应人员的能力；人力资源政策及其执行。 内部控制的五要素-风险评估： 确定目标；风险事件识别；风险评家；作出风险反应；采取控制措施；风险信息沟通；监控风险管理的有效性。31内部控制的基本理论2、内部控制的要素 内部控制的五要素 -控制活动： 所有经营活动应有适当授权；不相容职务应当分离；有效控制凭证和记录的真实性；资产和记录的接近限制；独立的业务审核。 内部控制的五要素资讯与沟通。 内部控制的五要素监督。32内部控制的基本理

11、论3、内部控制的目标功能 内部控制的目标： 合法性-； 真实性-； 安全性-； 有效性-。33内部控制的基本理论3、内部控制的目标功能 内部控制的功能： -纠错防弊 -控制风险 - 提高效率34内部控制的基本理论4、内部控制的总体框架 内部控制组织系统硬件、平台 内部控制制度系统软件35内部控制的基本理论4、内部控制的总体框架 内部控制组织系统硬件、平台 公司治理结构高层控制 内部组织机构部门控制 业务执行岗位人员控制36内部控制的基本理论4、内部控制的总体框架 内部控制制度系统软件 规章制度部门、层次、人员分工；各项业务程序规定及操作规程； 业务流程业务程序、控制点； 业务执行手续37内部控

12、制的设计1、内部控制设计的重点内容 预防控制：预防差错、预防舞弊、预防风险； 体制牵制：组织体制分权，人员职务分离； 程序制约：规范业务流程、注入动力机制； 责任牵制： 经授权使同一岗位由两人以上负责； 风险控制：控制点中注入控制风险的因素。38内部控制的设计2、内部控制设计的原则 信息化 从制度上保证有效使用信息资源；从制度上保证信息沟通；从制度上保证信息反馈。 标准化 合法性、适用性、有效性、合理性、可溶性。 系统化 根据系统哲学思想进行制度规划； 依据系统管理观点设计制度功能；运用系统分析设计制动结构。39内部控制的设计3、内部控制组织系统设计 企业单位内部治理结构设计 产权关系制衡-投

13、资人之间制衡 经营关系制衡决策与执行制衡 代理关系制衡所有权与经营权制衡 40内部控制的设计3、内部控制组织系统设计 公司内部组织结构设计 集权型组织结构设计（略） 分权型组织结构设计（略）41内部控制的设计3、内部控制组织系统设计 公司单位内部岗位设计 设计原则：以目标定岗位即以组织目标定岗位；以任务定岗位即以需求定岗位；以流程定岗位即根据业务流程定岗位；以责任定岗位即实行岗位责任制。 设计要求：岗位设计，应以公司组织结构设计为基础；应充分考虑公司的管理方式；应避免因人设岗，尽可能以人设岗；岗位设计要充分注意岗位之间的职能衔接；要建立起岗位之间的制约机制；要有利于建立信息沟通渠道。42内部控

14、制的设计4、内部控制制度系统设计 内部控制制度设计 主要内容寓于管理制度之中：如财务管理制度、会计制度、资产管理制度、人事管理制度、定额管理制度等。 设计依据:-国家法律法规、企业管理体制、企业管理原理、社会通行规则等。43内部控制的设计4、内部控制制度系统设计 控制流程设计：控制程序的建立 以企业内部控制制度为依据；以业务岗位为依托；以建立控制点为主体。 控制点的设计：控制点、关键控制点的设计 控制点：业务流程中的阶环节点、特定的控制目标、若干任务手续的集合点。 关键控制点：与控制程序目标直接相关的控制点。44内部控制的设计4、内部控制制度系统设计 业务手续设计： 设计原则：技术性、透明性、

15、民主性、牵制性。 设计要求：明确控制点的控制目的； 以控制点为依托建立制约手续。 45内部控制的设计5、内部控制系统设计实操 例：企业单位公司治理及组织结构图（略）46内部控制的设计5、内部控制系统设计实操 例：事业单位公司治理及组织结构图（略）47内部控制的设计5、内部控制系统设计实操 例：物资采购控制流程图（略）48内部控制的设计5、内部控制系统设计实操 例：广告经营业务控制流程图（略）49内部控制的审计1、内部控制审查与评价内容 内部控制系统健全性符合性审查评价内容: 按内部控制结构的内容分： 企业单位组织系统评价-公司治理结构、单位组织机构、部门岗位设置； 企业单位制度系统评价-企业规

16、章制度、业务流程规范、实务操作手续。 50内部控制的审计1、内部控制审查与评价内容 企业单位组织系统评价： 公司治理结构评价：治理要素组织建立、人员配置及来源、业务分工权力分配、制衡关系； 单位组织机构评价：单位中层组织结构、人员配置情况、单位业务分工、部门职责、内部分权； 部门岗位设置评价：岗位设置情况、人员配置情况、岗位责任。51内部控制的审计1、内部控制审查与评价内容 企业单位制度系统评价： 公司规章制度评价：制度体系健全性、单项制度的完善性、单位制度建立合法性、制度的执行； 单位业务流程评价：业务流程、人员配置情况、控制点的建立、流程与制度相符性、业务流程执行； 部门岗位设置评价：岗位

17、设置情况、人员配置情况、岗位责任制的贯彻、考核制度的建立。 52内部控制的审计1、内部控制审查与评价内容 内部控制系统可信性有效性审查评价内容: 按内部控制要素的内容分： 控制环境、风险评估、控制活动、资讯与沟通、监督。53内部控制的审计1、内部控制审查与评价内容 控制环境评价; 经营活动的复杂程度；管理权限的集中程度；管理行为守则的健全性和有效性；管理层对逾越既定控制程序的态度；组织文化的内容及组织成员对此的理解和认同；54内部控制的审计1、内部控制审查与评价内容 风险管理评价： 可能引发风险的内外因素；风险发生的可能性；对抗风险的能力；风险管理的具体方法及效果。 控制活动评价： 控制活动建

18、立的适当性； 控制活动对风险的识别和规避； 控制活动对组织目标实现的作用； 控制活动执行的有效性。55内部控制的审计1、内部控制审查与评价内容 资讯与沟通评价： 获取财务信息、非财务信息的能力；信息处理即使性和适当性；信息传递渠道的便捷与畅通；管理信息系统的安全可靠性。 监督评价： 56内部控制的审计2、内部控制审查与评价程序 内部控制审计评价目标： 健全性-评价内部控制系统是否健全完善。 符合性-评价内部控制系统构建的合法性；评价内部控制系统构建的适当性；评价内部控制系统执行的合规性。 有效性-评价内部控制系统功能的可靠性；评价内部控制系统的可信性。57内部控制的审计2、内部控制审查与评价程

19、序 内部控制审计评价目的： 寻找内部控制薄弱环节，为判断性审计抽样提供依据； 在寻找内部控制薄弱环节的基础上，判断内怒控制系统的可靠性和可信度，为改善内部控制的运行效果，调整、修改内部控制结构和内容，以提高内部控制系统的运行效率和效果。58内部控制的审计2、内部控制审查与评价程序 制度基础审计评价程序： 第一步： 第二步：59内部控制的审计2、内部控制审查与评价程序 制度基础审计评价程序： 第三步： 第四步：60内部控制的审计2、内部控制审查与评价程序 制度基础审计评价程序： 第五步： 第六步：61内部控制的审计2、内部控制审查与评价程序 内部控制专项审计评价程序： 第一步： 第二步：62内部

20、控制的审计2、内部控制审查与评价程序 内部控制专项审计评价程序： 第三步： 第四步：63内部控制的审计2、内部控制审查与评价程序 内部控制专项审计评价程序： 第五步： 第六步：64内部控制的审计3、内部控制审查评价方法 内部控制的调查方法： 65内部控制的审计3、内部控制审查评价方法 内部控制的测试方法 66内部控制的审计3、内部控制审查评价方法 内部控制的评价方法 67风险管理及其审计企业单位风险单位风险管理风险管理审计68企业单位风险风险的概念风险的要素风险的特征风险的分类69风险的概念1、风险的定义起源 风险的概念起源于意大利，17世纪由法国传入英国，19世纪早期传入美国。 风险在英文词

21、典中等定义是“遭受损失或伤害的机会或可能性”。风险的高低，取决于预计的损失的大小和发生损失的可能性；如果预计损失很小或者发生损失的可能性微乎其微，风险就很低。 古典经济学家奈特在风险、不确定性和利润一书中，将利润的存在归结为承担风险支付的报酬。70风险的概念2、美国风险的定义 美国学者海尼斯（Haynes）1985年著的风险一项经济因素中认为：“风险一词意味着损害的可能性。某种行为能否产生有害的后果应以其不确定性界定，如果某种行为具有不确定性时，其行为就反映了风险的负担”。 美国经济学者罗伯特.梅尔1986年著的“保险概论”中，吧风险定义为“风险即损失的不确定性”。71风险的概念3、国际风险的

22、定义 澳大利亚昆士兰大学教授在危机管理一书中写道：通过对以往数据的统计分析，或专家对某个真实事件的客观判断，通常可推断得出可能有的失败火负面结果。这个可能有的失败或负面结果就是该事件的风险。 国际内部审计师协会对风险的定义是：风险是发生某种影响目标完成的事件的不确定性。风险的大小可用该事件的后果和可能性来计量。 因此，在有可能发生使企业单位的经营目标不能实现的事件时，就存在着经营风险。72风险的概念4、风险的定义归纳 对风险概念的不同观点归纳： （1）风险是损失机会和损失可能性； （2）风险是损失的不确定性； （3）风险是实际与预期结果的的离差或概率； （4）风险是一个事项将会发生并给目标实现

23、带来负面影响的可能性。73风险的要素1、风险的一般要素 风险三要素： 风险因素、风险事故、损失 风险三要素的关系： 风险因素借助风险事故形成损失； 风险因素与风险事故在一定条件下可相互转化74风险的要素1、风险的一般要素 风险因素： 实质风险因素-某一标的风险事故发生的机会或扩大严重程度的物质条件，有形风险因素；环境风险因素-外在和内部环境对风险事故发生机会或扩大严重程度德量力影响因素，多为无形因素。75风险的要素1、风险的一般要素 风险事故：风险事件，引起损失的直接或外在原因，使风险转化为损失的媒介； 损失：非故意、非计划、非预期经济价值减少的事实，非故意、非计划、非预期 、经济价值减少。7

24、6风险的要素2、环境风险要素 风险环境-也即是风险管理环境，或称内部控制环境。任何一个企业事业单位都是在一定的环境中开展经营管理活动的，而这一环境存在各种不确定因素可能使单位不能实现其经营目标，这种有风险的经营环境就是单位的风险环境。 77风险的要素2、环境风险要素 风险环境要素包括： 操守及价值观；胜任能力；董事会监督委员会 ；管理哲学和经营风格；组织结构 ；权责划分； 人力资源的政策及其评估。78风险的特征1、风险的属性 风险的本质属性-风险的不确定性； 风险与不确定性-风险来源于不确定性风险大小取决于不确定性的高低； 风险与可能性性-可能性概率，对不确定性的量化描述； 不确定性是风险的本

25、质。79风险的特征2、风险的特征 风险的客观性-存在的客观事实； 风险的不确定性-就某一事件来说收益损失可能性同在； 风险的条件性-在一定具体条件下产生； 风险的变动性-随时间的变化而变动80风险的分类1、一般风险类别概念 系统风险和非系统风险： 系统风险-市场风险，不可分散风险，因为政治、经济及社会环境等企业外部因素的不确定性产生的风险。 非系统风险-公司特有风险，可分散的风险，只发生在个别企业有单个特有因素引起的风险。 81风险的分类1、一般风险类别概念 投机风险和纯粹风险： 投机风险-既有损失可能性又有获利机会的风险，例如期权、期货、证券投资等； 纯粹风险-只有损失可能性没有获利机会的风

26、险，例如地震、火灾、水灾、盗窃等带来损失的可能性。82风险的分类1、一般风险类别概念 静态风险和动态风险： 静态风险-经济条件没有发生变化一些自然行为和人的失当行为形成损失的可能性，例如天灾、死亡等 动态风险-社会经济变动为直接原因的风险，例如政策、市场、投资、生产、技术等。 83风险的分类1、一般风险类别概念 可控风险和不可控风险： 可控风险-也称管理风险，可以预测可以控制的风险。 不可控风险-也称不客管理的风险，不易避免较难控制的风险。84风险的分类2、 国外多种分类 客观风险 主观风险 市场风险 财务风险 纯粹风险 投机风险 行为风险 管理风险 静态风险 动态风险 基本风险 特定风险85

27、风险的分类2、 国外多种分类 外部风险：法律风险、政治风险、 经济风险等。 内部风险：战略风险 、财务风险、经营风险、 诚信风险等86风险的分类3、中国式风险的分类： 中国式风险分类：（主要风险要素） 外因风险-政策、法规风险； 内因风险-技术、成本、质量风险； 输入风险-人才、资金、材料、能源风险； 输出风险-市场、销售风险。87单位风险管理风险管理的概念风险管理框架COSO风险管理88风险管理的概念1、风险管理的里程碑 巴塞尔协议 （Basle Conordat) 上世纪6080年代西方金融、保险、制造业发展 1988年7月，西方十国集团成员国中央银行行长在瑞士巴塞尔举行国际清算银行会议时

28、，通过了一份由“巴塞尔银行业条例和监管常设委员会”（简称巴塞尔委员会）制定的文件：关于统一国际资本衡量和资本标准的协议（简称巴塞尔协议）。89风险管理的概念1、风险管理的历程碑 巴塞尔协议 （Basle Conordat)出台背景 1974年前联邦德国赫斯塔特银行（Herstatt Bank）和美国富兰克林国民银行（Franklin National Bank）的倒闭。国际金融界开始对国际银行的监管给予了高度重视。1974年9月，西方金融界“十国集团”英、美、法、德、意、日、荷、比利时、加拿大和瑞典十国加上瑞士、卢森堡共十二国金融监管机构和中央银行代表，在国际清算银行的发起下，于瑞士巴塞尔开会

29、讨论跨国银行监管问题。90风险管理的概念1、风险管理的历程碑 巴塞尔协议 （Basle Conordat)出台背景 1975年2月，成立了国际银行的常设监督机构-巴塞尔银行监督委员会（The Basel Committee On Banking Supervision）简称巴塞尔委员会。1975年9月，赫斯塔特银行和美国富兰克林国民银行倒闭的第二年，第一个巴塞尔协议出台。核心内容：任何银行的国外机构都不能逃避监管，母国和东道国应共同承担职责。1983年5月，修改了巴塞尔协议，修改后的巴塞尔协议基本上是前一个协议的细化。91风险管理的概念1、风险管理的历程碑 巴塞尔协议 （Basle Conor

30、dat) 1988年7月，巴塞尔委员会通过的关于统一国际银行的资本计算和资本标准报告称为1988年的巴塞尔协议。其主要内容：对包括衍生金融工具的资本重新定义；制定出风险资产换算标准，规定了不同资产的的风险换算系数（这一条款称为“风险加权制”）；规定出资本充足率的最低标准。92风险管理的概念1、风险管理的历程碑 巴塞尔新资本协议 20世纪90年代，国际上金融危机 尤其是1997年东南亚金融危机，促使世界各国把防范和化解金融风险放在了首位。2001年1月，巴塞尔委员会公布了新巴塞尔协议，其核心内容是：提高资本的风险敏感度，更加强队信用风险、市场风险和操作风险的监测与控制，全面推行风险管理的概念。9

31、3风险管理的概念2、风险管理的定义 专家定义：国际内部审计师协会（IIA）2003届主席伍顿、安德森不博士2004年5月所作的关于COSOERM报告将企业风险管理定义为；通过确认、识别、管理和控制组织潜在的情况和事件，为实现自治目标而提供适当保证的程序。94风险管理的概念2、风险管理的定义 提供风险管理的服务机构定义：普华永道会计师事务所将风险管理定义为：有效的风险管理可以识别威胁控制损失（预防损失并减少损失发生的严重性）、防范未经授权使用资金，并对伤害采取保护措施。95风险管理的概念2、风险管理的定义： 美国国家虚假财务报告委员会赞助机构研究小组（COSO）对企业风险管理的定义是：企业风险管

32、理是由企业董事会、管理层和其他人员实施的、从战略层面开始的、并贯穿整个企业的一个过程，这个过程的设计是为了及时识别可能影响企业的潜在事件并按企业接受风险的态度管理风险，为实现企业目标提供合理的保证。96风险管理的概念3、风险管理流程目标 风险管理流程五大目标 确定和优先排列来自商业战略和活动的风险； 管理层和董事会确定企业可承受的风险水平； 设计和实施风险降低活动减少或管理企业高层确定可以接受的风险； 进行持续的监控活动以定期评估风险和风险管理控制的效力； 董事会和管理层接受风险管理流程的结果和报告。97风险管理框架1、AS/MZE4360模型 1995年澳大利亚和新西兰联合委员会公布了风险管

33、理基本模式； 1999年公布了新模式- AS/MZE4360，该模式对企业风险管理内容和过程高度概括。98风险管理框架1、AS/MZE4360模型AS/MZE4360模型确定范围识别风险沟通和协调分析风险监控和审核评价风险处理风险99风险管理框架2、1997年COSO内部控制-整合框架 “目标-风险-控制”模型 建立需要控制识别、测评、排序风险 评估风险建立组织目标100风险管理框架3、IIA研究基金的企业风险管理框 评估风险 整合风险 探究风险 保持向前101风险管理框架3、IIA研究基金的企业风险管理框IIA研究基金的企业风险管理框整合风险数量影响减轻风险财务方法探究风险分析机会制定计划事

34、实保持向前检测变化风险因素环境组织必要是重新进行以前的步骤评估风险识别风险因素排序归类简要描述风机会102风险管理框架4、安达信风险管理框架 信息技术风险管理框架 确立管理者目标目的； 评价经营风险； 制定经营风险管理战略； 制定或实施风险管理、控制程序； 监督经营风险管理程序的实施效果； 改善经营风险管理过程。103风险管理框架5、风险管理整合框架 理论界整合后的风险管理框架-七个步骤： 步骤一：背景分析与范围确定-分析风险环境 步骤二：识别风险-辨识风险事件 步骤三：分析风险-评估风险度 步骤四：评价风险并排序-对风险事件按风险度的大小排队 步骤五：处理风险-针对风险事件采取相应的控制措施

35、。104风险管理框架5、风险管理整合框架 理论界整合后的风险管理框架-七个步骤： 步骤六：监督与审核 过程-监督与审核贯穿于整个过程 环境-监督与审核基于特定的环境 组织-监督与审核通过建立组织实施 战略-监督与审核是企业发展战略的内容 利害人-监督与审核有效维护利害关系人利益105风险管理框架5、风险管理整合框架 理论界整合后的风险管理框架-七个步骤： 步骤七：沟通与协调 部门内部 风险管理委员会与业务循环相关部门 内部审计、政府审计和CPA EDP与风险信息 组织与利益相关者 与供应商、客户、同业 与中介机构106COSO风险管理1、COSO委员会 美国国家虚假财务报告委员会赞助机构研究小

36、组Committee of Sponsoring Organisation of the Treadyway Commission的英文缩写，是该委员会（又称杜德威委员会，以该委员会主席杜德威得名）的主办机构于己于人985年自发成立的的另一个民间组织。107COSO风险管理1、COSO委员会 主办机构是美国五个财务会计方面的专业协会，也包括美国会计协会、国家会计师协会（现为管理会计师协会）、美国注册会计师协会、国际内部审计师协会和财务执行官协会。 COSO主要由上述五个机构建立，也独立于这五个机构。108COSO风险管理2、COSO报告的目的： COSO风险管理模式从分析风险管理的相关性开始，

37、指出由于企业经营环境和经营决策中存在可能带来风险也可能带来机遇的不确定因素。管理层面临的挑战是要决定为了获得利益相关者的价值增长而准备接受的不确定因素的程度。109COSO风险管理2、COSO报告的目的： 利益相关者（包括股东、企业所在社区、员工、顾客和供应商等受企业影响各方）的价值只有在企业的管理战略、增长目标、风险控制和有效地使用企业资源四者之间达到最佳平衡点是才实现最大值。110COSO风险管理3、风险管理的意义 风险管理有助于企业识别阻碍其实现战略目标的各种风险，并使企业价值增长、风险和投资回报相联系，使企业战略和企业对风险的接受态度一致，加强企业的风险反映决策，降低损失和减少发生突发

38、事件的情况。企业风险管理与公司治理内部控制是紧密联系的。111COSO风险管理4、企业风险管理的目的 帮助企业实现利润目标，防止损失，提高财务报告质量；遵纪守法，避免信誉损害等，帮助企业达到目的地并避开沿途的险境。 COSO企业风险管理模式的重要目的之一是整合不同的观点形成一个框架，确定通用的定义和基本要素，为企业评估风险管理和法律制定者制定法规提供一个起点。112COSO风险管理5、COSO对风险管理的定义： 业风险管理是由企业的董事会、管理层和其他人员实施的，从战略层面开始并贯穿整个企业的一个过程。这个过程的设计是为了识别可能影响企业的潜在事件并按企业接受风险的态度管理风险，为实现企业目标

39、提供合理保证。内部控制是企业风险管理的一个组成部分，内部控制：整合性架构的全部内容都在企业风险管理框架中。113COSO风险管理6、COSO中风险管理基本要素： COSO确定的企业风险管理的7个基本要素是： 控制环境、 事件识别、 风险评估、 风险反映、 控制活动、 信息和沟通、 监控 COSO对每个部分给出了明确的解释和详细说明。114COSO风险管理7、风险管理与企业目标的关系： COSO指出企业经营的目标 战略目标、 经营目标、 可靠的报告、 遵守法律 风险管理是上述4个层面的经营目标得到有效实现的合理保证。115COSO风险管理7、风险管理与企业目标的关系： 评判企业目标实现程度的内容

40、包括：了解企业战略目标实现的程度度，确定企业的报告是可靠的，相关的法律得到遵守。 COSO指出企业四个层面的目标与这7个部分之间的关系是：企业风险管理的每一个个要素都适用于四个层面的目标，每个目标都与7个基本要素相关。116COSO风险管理8、风险管理的限制因素： COSO指出了企业风险管理的限制因素：经营决策者的人性弱点易产生多人合谋作弊；风险控制的高成本效益比率，控制程序没有正常运行；管理人员超越控制程序等。 风险管理可以有助于确保管理层知道企业的进展，但不能确保经营目标本身的实现，对企业的任何目标都不能提供绝对的保证。117COSO风险管理9、相关人员在风险管理中的责任： COSO提出了

41、相关责任人的角色和责任： 董事会和企业首席执行官负有最终责任-董事会负责监督企业的风险管理 ； 高层管理人员、首席执行官、财务执行官及主要部门负责人要讨论企业风险管理能力和有效性并确保存在持续的监控程序；要支持企业的风险管理并负责职责范围内风险控制程序的有效运作；118COSO风险管理9、相关人员在风险管理中的责任 COSO提出了相关责任人的角色和责任： 其他人员负责执行制定的风险管理指示，要考虑如何执行奉行管理及加强风险管理； 外部审计师、执法人员、顾客、供应商、商业伙伴、财务分析师、债券等级评审机构、新闻媒体等可以提供有用的信息给企业。119风险管理审计风险审计概念风险导向审计风险管理审计

42、120风险审计概念1、风险审计的定义 风险审计-也称风险管理审计，审计人员在分析风险因素、捕捉风险踪迹、判断风险事件发展走向的前提下，围绕着风险事件发生的可能性、发生的频率、造成损失大小，对企业发展目标的影响、单位风险控制措施和能力等内容的审查分析，寻找控制风险的最佳方案和企业发展的最佳机会，并检查、督促有关部门贯彻执行的一系列审计工作。121风险审计概念2、风险管理审计的目标 风险管理审计总体目标-增加公司价值：包括经济价值-资本总量合计，资产市场价值；社会价值-公司无形价值、社会贡献价值。 风险项目审计具体目标-控制风险、降低损失；寻找机遇、提高效益。122风险审计概念3、风险管理审计的对

43、象 审计对象-企业风险管理活动。风险项目审计的具体对象是：企业单位在经营活动中对风险的辨识、风险的评价、风险的应对、风险的控制是否及时、可靠、措施是否得当、有效。 审计范围-风险领域。决策与决策执行领域。 123风险审计概念4、风险管理审计与风险基础审计 风险基础审计：风险是一种导向，审计程序中所有对风险的分析和评估，都是为财务管理和经营管理有效性目标服务的风险的分析、评估审计程序的一部分，是一种被动性的风险审计。 风险管理审计也是风险项目审计，是对风险基础审计功能的扩展和延伸，风险和风险管理是审计的客体，整个审计程序都是围绕风险进行，是一种主动性的风险审计。124风险审计概念4、风险管理审计

44、与风险基础审计 风险基础审计-在空间上受传统审计对象和范围的限制，局限于经济活动领域； 风险管理审计-在空间上不受传统审计对象和范围限制，哪里有风险那里就是审计的范围。125风险审计概念4、风险管理审计与风险基础审计 风险基础审计-在时间上主要通过已经发生的风险事件断风险存在的领域、继续造成损失的可能性，在造成损失后或造成损失过程中曹取控制纠正措施； 风险管理审计-在时间上主要通过对产生风险因素的分析，捕捉风险的踪迹，在风险事件发生前采取控制、纠正措施；并寻找发展机遇。126风险导向审计1、风险导向审计的发展 20世纪40年代初，跨国公司崛起公司分支机构增多管理层次和跨度增大，出现了管理失控的

45、危机-内部控制发展；20世纪7080年代，企业风险战略和风险管理开始兴起，特别是银行业和保险业。20世纪90年代，国际上开始关注CPA审计风险。127风险导向审计1、风险导向审计的发展 风险基础审计发展的两条路线 以审计主体风险为基础的风险基础审计-主体风险基础审计； 以审计客体风险为基础的风险基础审计-客体风险基础审计。128风险导向审计1、风险导向审计的发展 主体基础风险审计-属性抽样步骤：确定测试目的；确定属性和偏离特征；确定总体；确定样本单位；确定可容忍的差错发生率；确定可接受的风险；估计总体差错发生率；确定样本规模；选取样本项目；样本检查与总体判断。129风险导向审计1、风险导向审计

46、的发展 客体基础风险审计-以发现和控制被审计单位经营风险、财务风险、决策战略风险为目的的审计模式。主要原理是：通过对已发生的经营、财务、决策事件风险分析和评估，依据发现的风险事件和风险点确定财务、经营活动审计重点、程序和方法。130风险导向审计2、风险基础审计的涵义： 以对被审计单位风险识别为基础，全面分析影响单位管理目标实现的各种因素，并据此确定实施进一步审计的性质、范围、时间，进而进行控制测试和实质性检查的一种审计方法。 风险审计与风险基础审计时两各不同的概念。131风险导向审计3、风险基础审计与制度基础审计比较 审计基础不同： 制度基础审计以内控制度为基础，仅评价适应性、符合性；根据评审

47、结果确定审计取证的的范围、重点和方法。 风险基础审计以风险评估为基础，根据对被审计单位经济活动的内外多种风险因素的评估确定审计检查取证的的范围、重点和方法。132风险导向审计3、风险基础审计与制度基础审计比较 运用方法不同 制度基础审计风险基础审计都运用抽样技术，风险基础审计对风险加以量化，其抽样技术是更为完全意义上的审计抽样，风险基础审计更着重份习性测试方法。133风险导向审计3、风险基础审计与制度基础审计比较 对内部控制的运用不同 制度基础审计风险基础审计均涉及内部控制的运用。制度基础审计以内部控制为核心，运用评价结果决定实质性检查；风险基础审计仅通过内部控制的了解，评估控制风险。134风

48、险导向审计3、风险基础审计与制度基础审计比较 测试的重点不同 制度基础审计测试的重点是内部控制制度；风险基础审计除测试内部控制制度以外，对影响风险水平的内外因素均进行测试，测试范围更为广泛、全面。135风险导向审计4、风险导向审计的程序 风险导向审计的步骤： 第一步： 第二步：136风险导向审计4、风险导向审计的程序 风险导向审计的步骤： 第三步： 第四步：137风险导向审计4、风险导向审计的程序 风险导向审计的步骤： 第五步： 第六步：138风险导向审计4、风险导向审计的程序 风险导向审计的步骤： 第七步：139风险导向审计5、风险基础审计方法 风险事件识别方法： 风险因素识别法：外部因素、

49、内部因素，主要用于战略决策风险识别。 杠杆识别法：财务杠杆识别法、经营杠杆识别法，主要用于资本运作（投资融资）经营管理等风险事件。 事件复核确认法：执行流程复核、预测信息复核、文件资料复核、信用记录复核等。140风险导向审计5、风险基础审计方法 审计事项的取证方法： 财务管理活动取证方法-审阅法、核对法、调节法、复核法、验证法等。 资产管理活动取证方法-盘存法、调节法、估量法、功能测试法、评估法等。 经营管理活动取证方法-统计法、 测算法、 打分法、 问卷法等。141风险导向审计5、风险基础审计方法 审计结果的评价方法 信息资料真实性风险评价方法-金额误差法、 频率误差法、相对误差法。 经营活

50、动合法性风险评价方法-违规金额确认法、违规事项频率、 违规比率计算法。 管理活动有效性风险评价方法-定性评价方法、定量评价法、综合评价方法。142风险管理审计1、风险管理审计的内容 风险识别审计： 风险识别：目标-企业经营目标；要素-风险影响要素；事件-经营决策事项。 识别审计： 目标确认的适当性；风险要素的实在性；风险事件的确切性。143风险管理审计1、风险管理审计的内容 风险评价审计： 风险评价： 风险分级-轻微风险、一般风险、重大风险、暴险；分级标准-按预计损失与投入产出关系。 评价审计： 充分了解评估方法；对管理层评估方法审查；评估方法的适应性有效性审查； 评估遵循的原则审查。144风

51、险管理审计1、风险管理审计的内容 风险应对审计： 风险应对： 应对策略-根据风险级别采取相应的应对策略；应对措施-这对具体风险时间采取相应的措施。 应对审计： 应考虑的因素：采取风险应对措施后的剩余风险组织是否可以接受；采取的应对措施是否符合本组织的经营、管理特点；成本效益的考虑与衡量。145风险管理审计1、风险管理审计的内容 风险控制审计： 风险控制： 控制策略-推倒方案、修改方案、维持方案；控制措施-按照策略采取对应措施。 控制审计： 控制策略选择审计；控制措施制定审计；控制措施贯彻审计。 146风险管理审计2、风险管理审计程序 风险管理审计的步骤： 第一步： 第二步：147风险管理审计2

52、、风险管理审计程序 风险管理审计的步骤： 第三步： 第四步：148风险管理审计2、风险管理审计程序 风险管理审计的步骤： 第五步： 第六步：149风险管理审计3、风险管理审计方法 风险事件辨识审计方法： 风险因素辨识法： 社会、政治、经济、文化、法律环境影响因素； 资金、人力资源、能源材料影响因素； 制度、文化、技术、质量、成本影响因素 价格、市场、服务应先因素。 通过分析上述因素对企业经营目标的影响辨识风险。150风险管理审计3、风险管理审计方法 风险识别检查方法： 取得或编制“企业风险表”； 检查风险识别的范围； 分析风险识别的内容； 测试风险识别采用的方法； 复核风险识别的流程和结果。1

53、51风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险计价-量化风险的过程。 风险计价步骤： 个别具体风险计价 风险计价组合 确定所有风险水平 152风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险计价方法-风险幅度计价 风 险 幅 度 计 价 表 程度 描述符 具体标准 影响程度 备注1 不重要的损失金额占公司营业收入1%以下者轻微2 次要的损失金额占公司营业收入1%-3%较轻3 中等的损失金额占公司营业收入3%-5%一般4 主要的损失金额占公司营业收入5%-8%较重5 灾难性的损失金额占公司营业收入8%以上者非常严重153风险管理审计3、风险管理审计方法 风险事件

54、评价审计方法： 风险计价方法-风险发生频率计价 风险发生频率计价表 级别 描述符 具体标准 发生的可能性 1 几乎是确定的 损失每年不止发生一次 非常高 2 很可能 约每三年发生一次者 高 3 可能的 约每十年发生一次者 中等 4 不太可能 约三十年发生一次者 低 5 很少的 约一百年以上发生一次者 非常低154风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险计价方法-数据分析 取得风险幅度计价和风险发生频率计价数据。 例如：某企业总资产1000万元，估计损失额在300万到500万元之间，其损失程度为一般。企业的资产损失的可能性三年发生一次损失的概率在61%-80%之间。 155

55、风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险计价方法-建立模型 例如： 假设一：损失概率（X）为五类分别是;极少发生【X（1）】、可能性较小【X（2）】 、中等概率【X（3）】 、很有可能【X（4）】 和基本上肯定【X（5）】。 假设二：损失幅度（Y)亦为五类分别是：可不在乎【Y（1）】 不严重【Y（2）】、中等 【Y（3）】 、很严重【Y（4）】、和最严重 【Y（5）】。156风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险计价方法-建立模型 假设三：X（1）=I I=1,2,3,4,5; Y（J）=J J=1,2,3,4,5; R（I,J）=X（I）+Y（J

56、）。 其中：R表示风险水平。当2R4时，称之为低风险；当5R7时，称之为中度风险；当8R10时，称之为高度风险； 以此，可构建一个风险矩阵表。157风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险计价方法-建立模型风险矩阵表X y123451234562345673456784567895678910158风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险评价步骤： 测定、定性、风险排序- 鉴别风险管理措施； 评估风险管理措施； 准备风险管理措施计划； 执行风险措施计划。159风险管理审计3、风险管理审计方法 风险事件评价审计方法： 风险损失计量方法 预计风险影响因素

57、可能带来的损失价值； 分析风险预计损失与经营目标的关系； 根据风险预计损失与经营目标关系风险分级。 160风险管理审计3、风险管理审计方法 风险事件应对审计方法： 检查风险应对策略的选择和采取应对措施过程; 选择风险应对策略：风险规避、风险降低、风险分散、风险转移、风险接受、风险利用。 采取风险应对措施：应对控制、应对预警、应对报告、应对监督。161风险管理审计3、风险管理审计方法 风险事件应对审计方法： 检查应对策略的应用：企业选择性发展、支持盈利能力、控制不利风险162风险管理审计3、风险管理审计方法 风险控制审计方法： 风险控制步骤审计 开展财务及经济业务分析； 检查风险控制档案； 检查

58、风险关键控制 ； 检查控制程序文件； 检查风险控制措施。163风险管理审计3、风险管理审计方法 风险预警审计方法： 检查风险预警机制-风险分析机制、风险责任机制、风险处理机制 检查风险预警模式-总体模式、部门模式 检查风险预警指标- 检查风险预警标准-警戒线164企业财务审计（舞弊审计）财务信息可靠性审计经营活动合法性审计165财务信息可靠性审计信息资料可靠性审计概述价值型数据信息资料采集验证数量型数据信息资料采集验证影响型数据信息资料采集验证166信息资料可靠性审计概述1、信息资料可靠性审计涵义 信息资料可靠性审计主要是对反映经济活动的信息资料采集的基础上，对各种信息资料审计的原始证据进行合

59、格性判断。实质上这个阶段就是搜集审计证据的初始阶段，审计证据收集的主要任务包括对书面、实物等反映经济活动事实的信息资料的采集和对反映经济活动量的涉评数据的采集。在采集过程中必须对信息资料的质量进行确认，以保证信息资料的合格性。167信息资料可靠性审计概述1、信息资料可靠性审计涵义 信息资料可靠性审计： 原始资料搜集、涉评数据采集 原始资料评价、涉评数据验证168信息资料可靠性审计概述2、信息资料可靠性涵义 信息资料的可靠性是指信息使用者可以信任所提供的信息。当信息反映了其所打算反映的内容，不偏不倚地表现了实际的经济活动和结果，既不倾向于事先预定的结果，也不迎合某一特定利益集团的需要；能够经得起

60、验证核实，才能认为是具有可靠性的。在这个定义中，可靠性包括了三部分：反映的真实性，可验证性和中立性。这个定义强调了两点。一是可靠的信息资料必须是值得信息使用者信赖的；二是可靠的信息资料必须是可以验证的。169信息资料可靠性审计概述2、信息资料可靠性涵义 信息资料的真实性 信息资料的真实性强调信息应与实际相符，应具有客观性。具有可靠性的信息必然是真实的，但仅仅具有真实性的信息不一定具有可靠性。信息中的“真实”与现实中的“真实”是两个相互联系又不完全相同的概念。前者是对后者修正后的一种结果，不可能完全相同，只能接近。总而言之，真实性是信息的生命。信息只有首先保证真实，才能值得信息使用者信赖，才能具