内部审计学第七章风险管理审计

1、风险管理审计第七章了解风险的含义、要素及其分类了解风险管理要素及关键环节了解企业风险管理框架理解风险管理的定义理解风险管理与内部控制的外在联系掌握风险管理审计的含义掌握风险管理审计的内容掌握风险管理审计的程序学习目标本章大纲风险与风险管理概述风险管理审计与内部控制审计的关系风险管理审计的内容风险管理审计的程序一风险与风险管理概述第一节 风险与风险管理概述一、风险的内涵（一）风险的含义 风险是指影响组织目标实现的各种不确定性事件，包括内部风险和外部风险。1.外部风险是指外部环境中对组织目标的实现产生影响的不确定性。 影响因素包括：国家法律法规变化、经济环境变化、科技发展、行业竞争、意外等。2.内

2、部风险是指内部环境中对组织目标的实现产生影响的不确定性。 影响因素包括：治理结构、组织特点、信息系统、职业道德、业务素质等。（二）风险要素 风险要素是指构成风险特征，影响风险的产生、存在和发展的因素。1.风险条件：指引发风险事故或在风险事故发生时致使损失扩大的条件。（1）有形风险因素：火灾（2）无形风险因素：文化2.风险事故：即风险事件，是指直接导致生命、财产损失（人员伤亡、疾病、环境破坏、经济价值减少）发生的偶发事件。它是使风险造成损失的可能性转化为现实性的媒介。3.风险损失：非故意的、非计划的、非预期经济价值的减少（人员伤亡、疾病、环境破坏），这些损失是无法用货币来衡量的，但需要用货币衡量

3、由此所引起的经济困难或其对社会所创造经济价值能力的减少。二、风险的分类（一）按风险的对象划分1.财产风险：损毁、灭失、贬值2.人身风险：疾病、伤残、死亡3.责任风险：法律、合同、道义4.信用风险：违约或犯罪（二）按风险产生的原因划分1.自然风险：自然、物理现象2.社会风险：过失、行为不当、故意3.经济风险：经管、市场预测、价格变化、需求变化4.政治风险：种族宗教国家，冲突叛乱战争政权更替5.技术风险：科技发展淘汰（三）按风险的性质划分1.纯粹风险：只损失，不获利2.投机风险：有得有失（四）按风险产生的环境划分1.静态风险：非社会经济活动变化，自然力不规则或人们行为失误：地震、灌水、台风、疾病，

4、盗窃、呆账、事故等2.动态风险：社会经济活动变化：体制改变、市场结构调整、利率变化（五）按承受风险的能力划分1.可接受风险：低于能够接受最大损失限度2.不可接受风险：超过限度三、风险管理的含义（一）风险管理的定义 企业风险管理是一个过程，是由企业董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事项，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。正确理解风险管理，需要把握以下一些基本概念：71.企业的风险管理是一个过程，其本身并不是目的，而是实现目的的一种方式。2.风险管理受人的影响，它不只是企业的政策、调查和表格，还涉及一

5、个企业各个层次的员工。3.风险管理也适用于企业战略制定过程。4.企业风险管理应在整个企业范围内应用，包括组织整体及职能部门两个层面，并应以一种企业总体的风险组合的观点来看待。5.风险管理的设计应有助于确认对企业造成潜在影响的事项并确保，在企业风险偏好的范围内管理企业的风险。6.风险管理仅为企业的管理者和董事会提供合理的保证。7.风险管理的目的是将风险控制在可接受的范围内，风险的可接受范围取决于组织对风险的态度。三、风险管理的含义2013（二）风险管理要素1.内部环境：内部人员看待风险的态度，风险管理理念、风险承受能力、正直和道德的价值观及工作环境。2.目标设定：之后才能识别影响目标实现的事件。

6、3.事项识别：分清风险和机会。4.风险评估：之后确定管理的依据。5.风险应对：规避、接受、降低和分担并制定措施。6.控制活动：制定和实施政策与程序，确保风险应对策略有效实施7.信息与沟通：借助信息来识别、评估和应对风险；沟通包括信息的上传、下达和平行流动。8.监督：监控风险管理并及时修正。（三）风险管理的关键环节1.风险识别是指根据组织目标、战略规划等识别所面临的风险。组织目标包括战略目标、经营目标、各职能部门的目标、岗位目标等，风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。识别的风险可能会影响组织整体，也可能仅影响单个职能部门。2.风险评估是指对已识别的风险，评估其发生

7、的可能性及影响程度。风险评估是做出恰当的风险应对决策的基本前提。3.风险应对指采取应对措施，将风险控制在组织可接受的范围内。应对措施应根据风险的严重程度，在考虑成本效益原则的基础上有针对性地进行：或采取措施，降低风险；或不采取措施，接受风险。四、企业风险管理框架 企业风险管理框架（ERMF）是反映风险管理过程和内容的可视逻辑图。这种框架通常是一般性的，易于被多数人理解。比较著名的有：P222-225（一）COSO1997风险模型（二）AS/NZE4360澳大利亚-新西兰联合委员会（三）安达信风险管理框架（四）IIA研究基金的ERM框架（五）COSOERM2004模型：转型（六）中国ERM模型（

8、七）COSO-ERM2017模型：强调风险管理在创造、保持和实现价值方面的角色。二风险管理审计的内容第二节 风险管理审计与风险控制审计的关系一、风险管理与内部控制的外在联系 从COSO的内部控制整合框架与企业风险管理整合框架这两份报告来看，风险管理与内部控制有以下相似和不同之处：5第一，它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。第二，它们都被明确定义为一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等；也不是单独或额外的活动，如检查评估等。它们最好被内置于企业日常管理过程中，作为常规运行的机制来建

9、设。第三，它们都为企业目标的实现提供合理的保证。第四，风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。 这些重合是由它们目标的多数重合及实现机制相似决定的。第五，企业风险管理整合框架提出了风险组合与整体风险管理的新观念。 企业风险管理整合框架借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险，以统筹考虑风险对策，防止各部门分散考虑与应对风险。二、风险管理与内部控制的内在联系（一）企业内部控制的发展演进与相关风险 企业的所有权与经营权高度分离，职业经营者有可能不履行其

10、受托责任而损害股东的利益。 有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。雍正反腐败（二）内部控制或风险管理的根本作用是相同的 维护投资者利益、保全企业资产、创造新价值（三）内部控制走向风险管理是一种趋势 新的技术、市场条件，要求更主动、更全面的风险管理（四）内部控制是风险管理的一个组成部分 交叉、整合、统一三、风险管理审计的含义及产生基础 风险管理审计是指采用一种系统化、规范化的方法，以确定企业风险管理有效性的过程，包括确认和评价企业目标设定、风险识别、风险评估、风险应对及监督等管理活动的缺陷和缺陷等级，分析缺陷形成原因，提出改进风险管理的建议，从而帮助企业实现目标。（一）风险

11、管理审计是风险管理的必然要求（二）内部审计介入风险管理的主要原因 内部审计的独立性、综合性、了解内部情况（三）开展风险管理审计是中国内部审计的发展方向四、内部审计在风险管理中的作用与责任（一）内部审计在风险管理中的作用1.能帮助改进组织风险管理体系，并在风险管理过程中起关键作用2.能够以第三者的身份从全局的高度客观、公正地管理风险3.可以指导企业的风险应对策略4.能以咨询顾问的身份协助机构确定、评价并实施针对风险管理的方法和控制措施5.内部审计在风险管理中可以起到明显的杠杆作用：相对于聘请会计师事务所进行风险评估而言，省力、高效。（二）内部审计在风险管理中的责任 虽然内部审计可以在业务层面上提

12、供与风险管理有关的确认服务与咨询服务，但内部审计不应承担原本属于管理层的风险管理责任，如：设置风险偏好对风险管理过程施加影响为管理层提供风险保证就风险做出决策以管理层的立场进行风险应对对风险管理负责五、风险管理审计与内部控制审计的关系（一）风险管理审计与内部控制审计的区别 41.从审计出发点来看，风险管理审计侧重审核风险管理政策与组织经营战略方针的一致性；内部控制审计侧重组织经营的横向、纵向的制约与协调。2.从审核目标来看，风险管理审计主要审核组织风险管理政策设计的适当性、执行的有效性以及风险损失处理的合理性；内部控制审计主要是审核内部控制设计的健全性、适当性和执行的有效性。3.从审计方法来看

13、，风险管理审计主要运用预警分析、专业判断和综合评价等方法；内部控制审计主要运用测试、分析和专业判断等方法。4.从审计重点来看，风险管理审计的重心从组织的下层转向组织的上层，主要集中在高管层之上，包括组织的公司治理、战略决策等，风险管理审计的内容按照企业风险管理流程设计展开，从企业目标的角度来评估与改善风险，并对企业风险管理体系的准确、可靠、充分和有效发表审计意见；内部控制审计的重点集中在高管层之下，在对内部控制各个控制环节的审查上，目的在于发现内部控制中的薄弱环节。发现这些薄弱环节实际上就是找出了问题发生的根源，然后在这些环节上扩大检查范围，看其是否造成了重大的错误或舞弊。（二）风险管理审计与

14、内部控制审计的联系 内部控制的设计和执行应该针对风险管理的要求，而风险管理很大程度上依赖于内部控制的设计和执行。因此，风险管理审计与内部控制审计相互渗透，目的都是为了增加组织价值。特别是COSO组织发布2013年内部控制整合框架后，内部控制和风险管理进一步融合，联系更加紧密。六、风险管理审计与风险导向审计的关系（一）风险管理审计和风险导向审计的区别 31.含义不同 风险管理审计是内部审计机构通过对组织风险识别、风险程度的评价等工作的审计，评价风险政策的合理性、措施的适当性以及执行的有效性； 风险导向审计是内部审计机构为了提高内部审计工作的质量和效率，降低审计风险，测试组织的风险战略和风险管理，

15、根据测试结果，决定其他相应审计的范围、性质、程度和时间。2.侧重点不同 在风险管理审计中，内部审计人员站在组织战略管理的高度，运用系统思维，通过对风险管理措施、方法、程序的审计，结合内部控制、财务、绩效的审核结果，对风险管理现状及效果进行专业判断，提出审计评价与建议，侧重于对风险管理进行确认和咨询。 风险导向审计通过对组织风险的测试确定实质性测试的程度，从而提高审计效率和质量，降低审计风险，侧重于实现既定审计目标。3.服务对象不同 风险管理审计作为一种具体审计业务，主要服务于组织高级管理层和董事会； 风险导向审计更多地作为一种审计方法，直接服务于内部审计机构。（二）风险管理审计和风险导向审计的

16、联系1.审计依据都是组织的风险管理框架，即风险管理方针、策略和风险评价指标体系等。2.业务内容基本上都是对组织风险范围的确定、风险识别、风险评价、风险管理措施和方法、风险处理等方面进行审核。3.审计的总目标都是为战略决策提供信息，为实现战略目标服务，为组织增加价值。三风险管理审计的内容20132014201520162017第三节 风险管理审计的内容一、审查与评价风险管理机制（一）审查风险管理组织机构的健全性（二）审查风险管理程序的合理性（三）审查风险预警系统的存在及有效性二、审查和评价风险识别的适当性及有效性注意教材的顺序1.审查风险识别原则的合理性2.审查风险识别方法的适当性 各种方法相互

17、融通、相互结合3.评估风险识别的充分性 面临风险均被识别2013三、审查和评价风险评估方法的适当性及有效性（一）外部风险评估 外部风险：外部环境中对组织目标的实现产生影响的不确定性。1.国家法律法规及政策的变化2.经济环境的变化3.科技的快速发展4.行业竞争、资源及市场的变化5.自然灾害及意外损失6.其他2013（二）内部风险评估 内部风险：内部环境中对组织目标的实现产生影响的不确定性1.组织治理结构的缺陷2.组织经营活动的特点3.组织资产的性质及资产管理的局限性4.组织信息系统的故障或中断5.组织人员的道德品质、业务素质未达到要求6.其他2013（三）风险评估的方法：定量分析法、定性分析法P

18、233 常用风险评估方法简表 30种方法对比P237 技术在风险评估阶段的适用性 32种方法对比（四）内部审计人员对管理层采用的风险评估方法进行审查时，应重点考虑的因素1.已识别的风险特征2.相关历史数据的充分性和可靠性3.管理层进行风险评估的技术能力4.成本效益的考核与衡量20132014201520162017四、审查和评价风险应对措施的适当性和有效性（一）风险应对措施1.回避，是指采取措施避免进行可产生风险的活动。2.接受，是指由于风险已在组织可接受的范围内，因而可以不采取任何措施。3.降低，是指采取适当措施将风险降低到组织可接受的范围内。4.分担，采取措施将风险转移给其他组织或保险机构

19、（二）审计和评价的要点1.采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内。2.采取的风险应对措施是否符合本组织的经营、管理特点。3.成本效益的考核与衡量等。四风险管理审计的程序第四节 风险管理审计的程序 特定项目的风险管理审计程序共有七步：设定目标评估风险分析流程审计测试评估风险管理能力提出改进建议编制风险管理审计报告详见下页2013一、设定目标（一）确定审计项目的动因动因：年度审计计划、管理层的特别要求、某项风险事件的发生。有助于确定审计的目标、范围、重点（二）识别和理解流程的关键目标流程的目标：战略目标、经营目标、价值目标理解企业的具体流程及流程管理的根本原因（三）确定关键

20、绩效指标（KPI）了解有哪些关键绩效指标以及如何监控评估流程设计的有效性，指标的相关性、可衡量性、信息可靠性以及表述清晰性。2013二、评估风险1.按照重要性（风险对企业造成不利影响的程度，见表7-3）对风险进行排序。2.按照可能性（见表7-4）对风险进行排序。3.审计人员通过研究通用风险模型（图7-8所示）、发动相关人员补充例外风险、定义风险、联结风险与战略等各项工作，建立一个特定的风险模型，确保影响企业成功的所有风险都能被识别、定义和理解。4.通过当面访谈、发放调查表、召开座谈会等形式收集相关信息，按照重要性、可能性以及容忍度等标准，使用专家评分法、风险评估模型、风险指数法等方法确定哪些风

21、险是主要风险，哪些风险是次要风险以及哪些风险是低级风险，从而为保证核心风险能够得到有效管理奠定坚实的基础。2013此外，在这一步中，审计人员还需了解管理层对各种风险的容忍度，以便于： 在评估流程设计的差距、 决定执行什么样的审计测试 确定必须达到哪些审计结果时能够更好地权衡公司治理与管理的容忍度。三、分析流程1.通过流程图等形式对公司流程及流程管理形成清晰的认识。2.识别和记录将风险控制在预期水平的关键控制点。3.评估这些关键控制点是否能够有效地将风险控制在预期水平。4.如果这些关键控制点不足以将风险控制在预期水平，则进一步识别差距在哪里并确定缩小这种差距的措施。5.对存在较大认识偏差的风险进

22、行了解，或者由公司组织讨论，并将不同的风险认知水平揭示出来，引导责任人进行再次理解、判断和评估，直到不存在较大偏差。四、审计测试（一）测试的目的1.证实流程的实际运行是否如设计的那样能够确保预期目标的实现。2.当没有相应的流程，或流程运行不畅时，确定潜在的影响有多大。（二）为达此目的，内部审计人员的做法1.实施符合性测试，验证流程是否如设计的那样在有效运行。2.当流程的一部分设计不完善或未能如设计的那样顺畅运行时，执行实质性测试（量化测试），以推算或预测潜在的影响。3.根据测试结果，评估流程的有效性。4.对设计不完善的流程或运行不畅的流程，应进一步分析其原因，找出可能的解决方案。五、评估风险管

23、理能力（一）风险管理综合能力主要体现在：战略与政策、流程、人力资源、技术、信息、管理报告等（二）这些能力可划分为五个阶段：初始阶段、可重复阶段、确定阶段、管理阶段、优化阶段。（三）本步骤具体工作1.内部审计人员基于流程分析和审计测试的结果，描述每一项能力的具体特征，并对照五个阶段的界定来确定企业风险管理水平当前所处的阶段。2.综合考虑管理层对风险的容忍度与公司治理的相关要求，确定每种能力的期望水平（所处阶段）。3.针对各项风险管理能力当前所处阶段与期望阶段之间的差距，考虑各种改进技术方法和政策措施。六、提出改进建议按照SMART（针对性specific、可测量性measurable、能达到ac

24、tionable、责任responsibility、及时性timely）标准，1.结合前述各步骤中的审计发现及当前风险管理活动的实际情况，2.提出完善风险管理行动计划的建议，3.及时与管理层进行沟通，4.落实风险管理改进责任人，5.设定建议落实时限，以确保实现风险管理审计最终的增值功能。七、编制风险管理审计报告 风险管理审计报告是内部审计人员在实施必要的审计程序后，以经过核实的审计证据为依据，就被审计单位内部风险管理状况的适当性、合规性和有效性出具的书面文件。其基本要素应包括：标题、收件人、正文、附件、签章、报告日期。 风险管理审计报告的正文内容是实施风险管理审计结果的综合反映，是风险管理审计

25、报告的核心内容。其主要内容应包括：审计概况、被审计单位风险管理基本情况、审计评价和审计建议。（一）审计概况 主要描述本次风险管理审计的依据、审计目的和范围、审计重点和审计标准、主要实施程序等内容。（二）被审计单位风险管理基本情况1.主要反映审计期间内被审计单位的如下情况：（1）风险管理基本流程运转情况（2）风险管理监督与改进情况（3）风险管理组织体系建设情况（4）风险管理信息系统建设情况（5）风险管理文化建设情况等2.问题与成因 主要反映审计期内被审计单位在风险管理中存在的问题，并针对问题产生的主观和客观情况进行剖析。（三）审计评价 主要反映通过审计得出的对审计期内被审计单位在风险管理方面的结

26、论性评价，主要包括以下五个等级：风险管理与控制有效风险管理与控制基本有效风险管理与控制有缺陷风险管理与控制有重大缺陷风险管理与控制失职（四）审计建议 主要描述对已查明审计事实和审计评价结果提出改进和完善内部风险管理的建议。 风险管理审计的建议应主要包括以下四个方面：1.建议风险回避，即建议管理层主动放弃或拒绝实施那些可能引起风险损失的事项。2.建议风险转移，即建议管理层将自己面临的风险采取保险、利用法律规定保护或其他有效方式转移给其他单位。3.建议风险控制，即针对不同的风险点，建议管理层采取预防性、指导性、检查性和纠正性等控制措施，设法降低发生风险损失的概率和损失的数额。4.建议风险承担，即在

27、处置风险成本高于承担风险所付出的代价时，建议管理层不采取任何措施。 风险管理审计报告由内部审计人员撰写，征求被审计单位意见后提交本单位董事会或管理层审核和应用。本章小结20132014201520162017 风险是指影响组织目标实现的各种不确定性事件，包括内部风险和外部风险。风险要素是指构成风险特征，影响风险的产生、存在和发展的因素，可归结为三个要素：风险条件、风险事故和风险损失。企业风险管理是一个过程，是由企业董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。 风险管理

28、审计是指采用一种系统化、规范化的方法，确定企业风险管理有效性的过程，包括确认和评价企业目标设定、风险识别、风险应对及监督等管理活动的缺陷和缺陷等级，分析缺陷形成原因，提出改进风险管理建议，从而帮助企业实现目标。 风险管理审计的内容主要包括审查与评价风险管理机制、审查和评价风险识别的适当性及有效性、审查和评价风险应对措施的适当性和有效性。本章练习题20132014201520162017一、单选题1.以下关于风险分类的叙述中，是指在经济交往中，权利人与义务人之间由于一方违约或犯罪而使对方蒙受经济损失的风险的是（）。A.财产风险B.人身风险C.责任风险D.信用风险2.从风险管理的过程来看，主要有三

29、个关键环节：风险识别、风险评价、风险应对，其中，根据组织目标、战略规划等识别所面临的风险对应的是（）。A.风险识别B.风险评估C.风险应对D.风险管理3.以下（）是世界上第一部比较规范的风险管理模型，并将风险管理过程分为确定风险范围、识别风险、分析风险、评价风险、处理风险、信息与沟通、监督与审核七个部分。A.COSO风险模型B.AS/NZE4360模型C.安达信风险管理框架D.IIA研究基金的ERM框架本章练习题20132014201520162017一、单选题4.（）是指采用一种系统化、规范化的方法，确定企业风险管理有效性的过程，包括确认和评价企业目标设定、风险识别、风险应对及监督等管理活动

30、的缺陷和缺陷等级，分析缺陷形成原因，提出改进风险管理建议，从而帮助企业实现目标。A.风险管理审计B.风险管理C.内部控制D.内部控制审计5.（）按照企业风险管理流程展开，从企业目标的角度来评估与改善风险，并对企业风险管理体系的准确、可靠、充分和有效发表审计意见。由于审计的内容不尽相同，审计方法上也有一定的差异。A.风险管理审计B.风险管理C.内部控制D.内部控制审计6.以下风险评估的主要方法中，能使内部审计师搜寻到范围更广、内涵更深及更具实质性的审计发现，并归纳出风险管理审计的分析结论的是（）。A.比率与差异分析法B.静态和趋势分析法C.建立分析模型和计算机数据库D.定性分析法本章练习题20132014201520162017一、单选题7.（）是内部审计人员在实施必要的审计程序后，以经过核实的审计证据为依据，就被审计单位内部风险管理状况的适当性、合规性和有效性出具的书面文件。A.风险管理审计B.风险管理审计内容C.风险管理审计报告D.风险管理审计目标8.描述本次风险管理审计的依据、审计目的和范围、审计重点和审计标准、主要实施程序等内容的是（）。A.审计概况B.审计情况C.审计评价D.审计建议9.（）即是否收集风险管理初始信息，是否组织进行风