内部审计王宝庆

内部审计1第10章风险管理审计内部审计2一级章节第10章风险管理审计10.1风险与风险管理概念的厘定10.1.1风险对于风险的定义,不同的领域有不同的释义:(1)风险的一般定义。韦氏辞典对风险的解释有两层含义:①损失或伤害的可能性;②引起或预示

一种危害的人或事。牛津辞典对风险的注释是遭遇危险、受到损失或伤害等的可能性或机会。

《辞海》对风险的解释是指人们在生产建设和日常生活中遭遇可能导致人身伤亡、财产受损及

其他经济损失的自然灾害、意外事故和其他不测事件的可能性。内部审计3(2)经济学领域的定义。自1895年,美国经济学家海恩斯提出风险的概念以来,许多学者也都对风

险做出了不同的定义,这些定义大致可以归纳为三种观点:①不确定性观——风险是损失的不确

定性;②危险损失观——风险是可能发生的危险和损失;③结果差异观——风险是实际结果与预

计结果之间的差异。(3)社会学领域的定义。社会学领域对风险的定义大多从人的主观角度解释,认为风险是人的一种

感受或认知,是“一种对客观事物的主观估计”。(4)其他学术领域中的定义。许多学者常常会根据各自研究的需要,对风险进行有针对性的定义。

例如,统计学家把风险定义为实际结果与预期结果的离差度。保险学者把风险定义为一个事件的

实际结果偏离预期结果的客观概率。还有学者将风险用公式定义,认为风险是事件造成破坏或伤

害的程度与该事件发生的概率两者的乘积。尽管对风险的定义描述不一,但我们不难提炼出一些风险共同的特征:第一,结果具有不确定性;第

二,结果的不确定性可能是损失,也可能是收益,但令人关注的是损失;第三,客观存在性,但在一定内部审计4程度上可以用概率和统计学工具进行预测;第四,风险评估的过程受诸多主观因素的影响。根据IIA颁布的《国际内部审计专业实务框架》,风险的定义为:“对实现目标有影响的事件实际

发生的可能性。风险通过影响程度和发生的可能性来衡量。”国资委在《中央企业全面风险管

理指引》中对企业风险的定义是:未来的不确定性对企业实现其经营目标的影响。这些定义表

明,组织的经营活动存在不确定性因素,如果组织的这些内外部因素是确定的,则不存在风险。这

些不确定性因素带来了组织运行结果的不确定性。为了更好地理解风险,我们将对内外部风险的

来源以及风险的三要素进行介绍。10.1.1.1风险来源(1)外部风险,即外部环境中对组织目标的实现产生影响的不确定性。外部风险主要因素为:国家

法律、法规及政策规定变化风险、经济环境变化的风险、科技快速发展的风险、行业竞争、资

源及市场变化的风险、自然灾害及意外损失的风险、产品更新换代、消费者口味变化以及政治

环境变化的风险。内部审计5(2)内部风险,即内部环境中对组织目标的实现产生影响的不确定性。内部风险主要因素包括:组

织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、信息系统

的故障和中断、职业道德、业务素质未达到要求等。10.1.1.2风险要素(1)风险条件,又称风险因素。这是指引发风险事故发生的条件。(2)风险事故,亦称风险事件。这是指引起损失的直接或外在原因。它是使风险造成损失的可能性

转化为现实性的媒介。(3)风险损失。这是指非故意的、非计划的、非预期的经济价值减少的事实。

对风险的测量可以使用下列公式:风险=暴露的金额×可能性×发生频率。10.1.1.3风险分类内部审计6(1)按照风险的对象划分:财产风险、人身风险、责任风险、信用风险;(2)按照风险的性质划分:纯粹风险和投机风险;(3)按照承受风险的能力划分:可接受风险和不可接受风险。在我国,国资委根据内、外部风险的来源,将国有企业的风险分为:战略风险、财务风险、市场风

险、运营风险及法律风险。具体的内容见表10-1。内部审计7表10-1国有企业风险分类

内部外部战略风险新产品、新技术、并购

风险、品牌建立、收益

变化需求变化、失去主要的

供应商和客户、竞争对

手财务风险现金流、资产流动性经济周期、信用风险市场风险促销及定价政策外汇汇率、贷款利息、

期货及股票市场的变化

等内部审计8表10-1国有企业风险分类运营风险人力资源、环境保护、

网络安全、价格谈判管理责任、供应链、偷

盗、恐怖袭击等法律风险员工纠纷、知识产权合规、诉讼等内部审计910.1.2风险管理20世纪50年代美国大公司发生重大损失促使高级管理层认识到风险管

理的重要性,在随后的几年中,风险管理学科不断地发展,但对于什么是风

险管理,学术界尚未形成统一的意见。(1)企业风险管理是一个贯穿整个企业的持续的过程;(2)受组织内部各个层级的员工(这里指雇员)的影响;(3)可用于组织战略的制定过程;(4)可以应用于组织内部的所有层级和部门;(5)是企业各层级风险的组合;(6)企业风险管理目的在于识别可能会发生的事项;内部审计10(7)对风险进行管理的手段,使风险在可接受的容忍度内;(8)能够为组织的管理层和董事会提供合理的保证;(9)帮助一个部门或者多个独立但存在交叉的部门实现其目标。2005年中国内部审计协会根据各方的观点,在其颁布的《内部审计具体准则第16号——风险管理

审计》中给出的风险管理的定义为:风险管理是对影响组织目标实现的各种不确定事件进行识别

与评估,并采取对应措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现

提供合理的保证。从上述定义中我们可以容易地得出:企业的风险管理是一个持续不断进行的过程,而且会牵涉企

业各方面的资源及运营作业。为了更好地将风险管理融入每天的经营活动,需要对组成风险管理

的要素及风险管理的阶段有所了解。10.1.2.1风险管理八要素内部审计111)内部环境(1)风险管理哲学,主要是关于如何看待组织运营中的各类风险;(2)风险偏好,代表组织愿意接受的风险数量——由董事会决定;(3)董事会作为组织首要的治理主体履行监督功能;(4)忠诚和伦理价值;(5)胜任能力,包括完成任务所需的知识和技能;(6)组织结构、框架;(7)授权和责任,指个体或小组被授权并鼓励主动处理解决问题的程度,以及对其权利的限制;(8)人力资源标准,指雇用、适应环境、培训、评估、薪酬以及员工辅导等活动。2)目标设定内部审计123)事件识别4)风险评估5)风险对策6)控制活动7)信息与沟通(1)信息详细程度是否正确;(2)当需要时是否有信息,并且信息是否及时;(3)是否是当前的信息,是否反映最新的财务或运营情况;(4)准确和值得信赖;(5)能否被需要的人获取。内部审计13对于沟通,有效信息沟通的外延比较广泛,它既包括向下的信息流动(将管理层的计划及已知的风

险传递给员工),平行流动(员工在部门间传递生产和销售的风险),还包括向上流动(员工将意外情

况告知上级管理层)。8)监督10.1.2.2风险管理三阶段(1)风险识别阶段。这个阶段根据组织目标、战略规划等识别所有可能发生的、影响组织目标实

现的重要风险。识别的风险可能会影响组织整体,也可能仅影响单个的职能部门。(2)风险评估阶段。这个阶段对已识别的风险,评估其发生的可能性及影响程度。风险评估是做出

恰当的风险应对决策的基本前提。风险评估的方法可以是定性的也可以是定量的。(3)风险应对阶段。这个阶段采取应对措施,将风险控制在组织可接受的范围内。应对措施应根据

风险的严重程度,在考虑成本效益原则的基础上:或采取措施,降低风险;或不采取措施,接受风险。内部审计1410.2风险管理审计与风险基础审计10.2.1风险管理审计与风险基础审计的关系1)两者的联系2)两者的区别(1)含义不同。风险管理审计是审计主体通过对组织目标设定、风险识别、风险程度的评价等工

作的审计,评价风险政策、措施的适当性、执行的有效性的过程。风险基础审计是审计主体在开

展财务审计、绩效审计等审计工作时,首先以测试组织的风险管理战略和风险管理为前提,根据风

险管理审计的结果,决定其他相应审计程序的范围、性质和时间。(2)关注点不同。风险管理审计关注于风险管理的鉴证,促使内部审计师站在企业战略管理的高

度,运用系统思维,通过对风险管理措施、方法、程序的审计,结合企业内部控制、财务、绩效的

审核结果,对风险管理现状及效果进行专业判断,提出审计评价与建议。风险基础审计关注于对会内部审计15计信息质量的鉴证,通过对组织风险的测试确定实质性测试的程度,从而提高审计效率和质量,降

低审计风险。(3)服务对象不同。风险管理审计作为一种具体审计业务,主要服务于企业管理层;而风险基础审

计更多地作为一种审计方法,直接服务于审计部门。10.2.2风险管理审计与内部控制审计的比较在现代企业风险管理进程中,内部控制审计是以影响和控制企业经营目

标实现的各种内部控制制度为依据,确定审计项目,以企业进行的所有降

低和防范风险的内部控制活动为测试重点,评价内部控制体系减低和防

范风险的充分性和有效性,并提出恰当建议,完善和健全内部控制体系。内部审计16图10-1确定性风险和不确定性风险的关系内部审计17表10-2内部控制审计与风险管理审计的关系比较的类别比较的主体

内部控制审计风险管理审计审计内容整体、业务层面内部控

制审计战略、业务层面的风险

管理审计审计侧重点高管层之下的经营活动高管层之上的战略设计

以及决策审计计划侧重于抽样方法侧重于风险评估方法审计实施描述内控、符合性测试

、实质性测试描述风险、测试风险、

评价风险内部审计18表10-2内部控制审计与风险管理审计的关系审计报告问题导向、关注牵制风险导向、前瞻性内部审计19表10-2内部控制审计与风险管理审计的关系

10.3内部审计在企业风险管理过程中的

角色与责任内部审计2010.3内部审计在企业风险管理过程中的角色与责任10.3.1核心作用2004年IIA颁布的名为《内部审计在企业全面风险管理中的作用》的文

件,指出内部审计在企业风险管理过程中应该发挥核心作用。(1)为风险管理过程的确认服务;(2)对正确识别风险的确认服务;(3)评价风险管理过程;(4)评价关键风险因素报告;(5)评估关键风险因素管理。内部审计2110.3.2合理作用IIA认为内部审计部门应在咨询服务方面,对企业风险管理过程起到合理

作用,这主要表现在以下几个方面:(1)帮助识别和评估风险;(2)指导管理层应对风险;(3)协调企业风险管理相关活动;(4)加强风险报告和披露;(5)维护和发展企业风险管理框架;(6)支持建立企业风险管理建设;内部审计22(7)在董事会批准的前提下,参与制定风险管理战略。10.3.3不应承担的责任为了不损害内部审计部门的独立性和客观性,内部审计不应承担的工作

包括:(1)设置风险偏好;(2)对风险管理程序强行施加影响;(3)对风险的管理保证,即成为唯一的一个向管理层提供关于风险管理充分性保证服务的来源。这

种行为被视为承担了管理层的责任;(4)就风险做出决策;(5)代表管理层进行风险应对;内部审计23(6)承担风险管理责任。在实践中,当决定内部审计部门在企业风险管理过程中所发挥的作用时,首席审计执行官需要评估

这些活动对内部审计部门独立性和客观性的影响。当内部审计部门的责任延伸至不应承担的责

任时,必须实施下列的保证措施:(1)必须明确管理层对企业的风险管理负责;(2)在内部审计章程中确定内部审计部门的责任并得到审计委员会的支持;(3)内部审计部门不能代表管理层实施风险管理;(4)内部审计部门不能制定风险管理决策;(5)内部审计部门不能为其负责的风险管理框架的任何部门提供保证。上述是在企业实施风险管理流程的前提下,做出的分析,但是当组织没有正式的方式管理过程时,

首席审计执行官要向管理层和董事会正式说明他们理解、管理和监督组织内部风险的职责,说明内部审计24他们需要确认组织内确实运行着各种—即使是非正式的—过程,可以对主要风险提供一定程度的

显性控制,以及对这些过程是如何管理和监督的。10.4风险管理审计的程序内部审计25图10-2风险管理审计的程序10.4.1检查已经设定的目标风险管理审计的开始和结束都是帮助组织实现目标。10.4.2制订风险管理审计计划审计的目的之一是向管理层提供信息,以减少组织在实现目标过程中可内部审计26能的风险。(1)项目审计计划,是对具体风险业务、项目或因素实施审计的全过程所做的综合计划和安排。主

要包括:审计的目标、范围、重要审计领域、审计组成员、预计审计时间、利用的外部专家等。(2)审计方案,是对具体风险业务、因素的审计程序及其时间等所做的详细安排,主要包括:具体审

计的目标、审计程序和方法、预定的执行人员和执行时间、拟获取的审计证据等。审计计划通常由内部审计机构根据上级部门和本部门、单位的具体情况拟定,并报本部门、单位

领导批准后实施。审计计划可以促进内审人员有效率的、及时的完成审计业务,提高审计效率。10.4.3风险因素识别、分析与评价本部分的主要内容包括:风险识别、定义、按照风险重要性和可能性进

行排序等,审计人员通过调研通用风险模型,发动相关人员补充例外风险内部审计27、定义风险、联结风险与战略等各项工作,建立一个特定的风险模型,确

保影响企业成功的所有风险都能被识别、定义和理解。(1)通过流程图等形式对公司流程及流程管理形成清晰的认识;(2)识别和记录将风险控制在预期水平的关键控制点;(3)评估这些关键控制点是否能够有效地将风险控制在预期水平;(4)如果这些关键控制点不足以将风险控制在预期水平,则需要进一步识别差距,并确定缩小这种

差距的措施;(5)对存在较大认识偏差的风险进行了解,或者由公司组织讨论,并将不同的风险认知水平揭示出

来,引导责任人进行再次理解、判断和评估,直到不存在较大偏差。内部审计人员为了证实流程的实际运行能够确保预期目标的实现,证实没有相应的流程或流程运

行不畅时潜在的影响有多大,需要进行审计测试,此时,内部审计人员的主要工作包括:内部审计28(1)实施符合性测试,验证流程是否如设计的那样在有效运行;(2)当流程的一部分设计不完善或未能如设计那样顺畅运行时,执行实质性测试(量化测试),以推算

或预测潜在的影响;(3)根据测试结果,评估流程的有效性;(4)对设计不完善的流程或运行不畅的流程,应进一步分析其原因,找出可能的解决方案。10.4.4评估风险管理能力风险管理的综合能力体现在战略与政策、流程、人力资源、技术、信

息、管理报告等方面,这些能力的水平可以划分为若干级别(或阶段),如

初始阶段、可重复阶段、确定阶段、管理阶段、优化阶段。(1)内部审计人员基于流程分析和审计测试的结果,描述每一项能力的具体特征,并对照五个阶段内部审计29的界定来确定企业风险管理水平当前所处的阶段;(2)综合考虑管理层对风险的容忍度与公司治理的相关要求,确定每种能力的期望;(3)针对各项风险管理能力当前所处阶段与期望阶段之间的差距,考虑各种改进技术方法和政策措

施。按照SMART(即针对性specific、可测量性measurable、能达到actionable、责任到人responsibility

、及时性timely)标准,结合前述各步骤中的审计发现及当前风险管理活动的实际情况提出完善风

险管理行动计划的建议,并及时与管理层进行沟通,落实风险管理改进责任人,设定建议落实时限,

以确保实现风险管理审计最终的增值功能。10.4.5审计实施风险评估的结果可能会产生风险图和风险记录,这些文件记录了每一项

风险以及相应步骤、程序、产品、方案、项目或者部门的风险。内部审计3010.4.6出具风险管理审计报告审计工作的最终结果表现为审计报告,报告阶段在整个审计过程中有着

重要的作用。(1)审计概况。本部分主要描述风险管理审计的依据、审计目的和范围、审计重点和审计标准、

主要实施程序等内容。(2)审计单位风险管理基本情况。本部分主要反映审计期内被审计单位的情况、存在的问题以及

成因。其中需要反映的被审计单位的情况包括:①风险管理基本流程运转情况,即:是否收集风险管理初始信息,是否组织进行风险评估,是否制定

相应的风险管理策略,是否提出和实施风险管理解决方案等。②风险管理监督与改进情况,即:是否能以重大风险、重大事件和重大决策、重要管理及业务流

程为重点对风险管理基本运转情况进行监督,是否采用压力测试、返回测试、穿行测试以及风险内部审计31控制自我评估等方法对风险管理的有效性进行检验,是否根据风险变化情况和存在的缺陷及时进

行整改等。③风险管理组织体系建设情况,即:是否建立健全了规范的公司法人治理结构,形成高效运转、有

效制衡的监督约束机制;董事会是否履行了在风险管理方面的职责,风险管理委员会的召集人是

否符合规定要求,下设的风险管理委员会是否履行了相应的职责任务;各个层级的管理人员是否

指导、制定、实施风险管理工作要求。④风险管理信息系统建设情况,即:是否建立了涵盖风险管理基本流程和内部控制系统各个环节

的风险管理信息系统;输入系统的信息是否准确、及时、可用和完整,是否设置了对数据信息更

改的控制与管理措施。⑤风险管理文化建立情况。(3)审计评价。本部分主要反映通过审计得出的对审计期内被审计单位在风险管理方面的结论性

评价。内部审计32(4)审计建议。本部分主要描述对已查明审计事实和审计评价结果提出改进和完善内部风险管理

的建议。风险管理审计的建议应主要包括风险回避、降低、分担、承受。风险管理审计报告由内部审计人员撰写结束后,与被审计单位进行交流沟通,征求意见,提交本单

位董事会或管理层审核和应用。10.4.7进行风险管理后续审计后续审计是风险管理审计项目完成后,审计人员对其所提出的改进措施

的落实情况进行审计。(1)确定后续审计项目。后续审计项目应根据原审计项目所涉及风险的大小以及实施改进措施的

难易程度来确定。原审计项目所涉及的风险越大,实施改进措施越困难的,就越需要后续审计。(2)确定后续审计的人员。可以选择内部审计人员,以查明被审计者是否采取了适当的措施、是否

取得了理想的效果,也可以由高级管理层直接实施后续审计,监督被审计单位的后续工作。内部审计33(3)开展具体的后续审计工作。内审部门根据被审计单位对改进建议的书面回复内容,与其探讨存

在的问题和误解,如果有重大的审计发现,则需进行现场审计,对已改善了的控制环境的风险进行

重新评估,判断其是否在合理范围内。(4)出具后续审计报告。内部审计人员实施后续审计后,应向被审计单位出具后续审计报告,与被

审计单位管理者共同探讨上次审计决定或建议未得以落实的原因。10.5风险管理审计的内容10.5.1审查与评价风险管理机制风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业

风险管理是否有效的前提,因此,内部审计部门或人员需要审查以下方面,

以确定企业风险管理机制的健全性及有效性。内部审计34(1)审查风险管理组织机构的健全性。企业应该在全员参与和专业管理相结合的基础上,根据自身

生产经营的性质、规模的大小,管理水平,风险程度等特点,建立一个含有风险管理负责人、专业

管理人员以及非专业风险管理人员以及外部风险管理等的风险管理体系。并且这个风险管理体

系需要根据产生风险的原因和阶段进行动态调整。(2)审查风险管理程序的合理性。企业风险管理机构应当采用合理的风险管理程序,以确保风险管

理的有效性。(3)审查风险预警系统的存在及有效性。风险管理的首要工作是建立风险预警系统,即通过对风险

进行科学的预测分析,预计可能发生的风险,并提醒企业相关部门采取措施,以达到规避风险、减

少风险的目的。10.5.2审查与评价风险识别的适当性及有效性风险识别是指对企业面临的以及潜在的风险加以判断、归类和鉴定风内部审计35险性质的过程。(1)风险识别原则的合理性。企业进行风险管理审计、风险评估的前提是对风险的识别和分析,正

确地识别风险是审计成功的关键性的一步。(2)风险识别方法的适当性。内部审计师在进行实地调研后,需要运用各种风险识别方法归类并总

结企业面临的各种风险。风险识别方法需要解决的问题包括:分析风险要素、风险性质以及这些

风险可能导致的后果。内部审计人员在分析风险识别方法的适当性时可以采取各种方法,例如:

可行性分析、决策分析、投入产出分析、流程图分析、资产负债分析、专家调查法、风险清单

分析法(包括调查表法、资产—损失分析法、保单对照法等)、财务报表分析法等以识别确保公

司经营模式的成功所必须管理的风险,在此基础上,通过利用产业结构分析、竞争对手分析等方法

进一步分析更深层次的原因、根源,以便深化对企业相关风险的全面认识和理解。(3)风险识别的充分性。审计人员在充分了解企业总体目标及主要业务的基础上,可以从战略风险

、运营风险、财务风险、信息风险等四个层面评估已经识别的风险的充分性,审查企业面临的主内部审计36要风险是否均被识别出来,并找出未识别的主要风险。10.5.3审查与评价风险评估方法的适当性及有效性风险评估的方法包括定性和定量两种。内部审计37表10-3定性方法与定量方法的关系分类定性方法定量方法风险发生的可能性高、中、低一般用概率表示,如90

%,10%风险的影响程度后果严重、中等、一般

、不严重等一般用金额表示内部审计38(1)定性方法的使用需要充分考虑相关部门及人员的意见。从对定性方法的描述中,很容易发现定

性方法相对于定量方法来说,受评估人员主观判断的影响较大,为了更加接近客观事实,提高评估

结果的客观性,内部审计人员应多方面的收集相关风险资料,在充分考虑相关部门及人员的意见

后,得出多方面的综合意见。例如,我们在评估市场风险对企业的影响时,不能只考虑市场调查部

门的意见,还需要结合营销部门、客户服务部门的意见。(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法。在运用定量方法的前

提条件不具备时,如没有定量分析所需的数据,如果仍然要进行定量分析,那么就会导致评估结果

的无意义和失效。例如,员工不胜任岗位要求,会导致工作效率低以及组织名誉损失风险。在这种

情况下,应该采用定性方法对风险进行相当模糊的描述和评估,以提高风险评估结果的有效性。审计人员在充分了解风险评估方法和原则的前提下,对管理层所采取的风险评估方法的适当性和

有效性进行审查和评估,并应该重点考虑如下要素:(1)已识别的风险的特征。内部审计师应当考虑使用以识别风险的特征来判断风险评估方法的适

当性。如果已经识别的风险可以用定量的方法表示,则可以用定量的方法表示评估风险的影响程内部审计39度,此时,内部审计师需要判断的是描述风险时间影响的金额是否恰当。(2)相关历史数据的充分性与可靠性。与某些风险相关的历史数据容易获得并且比较可靠,可以在

此基础上进行定量分析,但如果某些风险的发生具有偶发性,不具有相关历史数据,则很难进行定

量分析,如火灾、地震等意外事故带来的风险。(3)管理层进行风险评估的技术能力。定量分析的方法需要可靠的历史数据,还需要一定的数学模

型和现代信息技术,并非任何人员都能掌握,如果管理层没有该方面的技术能力,则定量方法评估

结果的适当性是值得怀疑的。对定性方法来说,定性方法的不仅依靠管理人员的主观判断,还需要

依赖所获得的各种信息和资料,评估人员需要具备丰富的经验。(4)成本效益的考核与衡量。定性方法运用较为简便,成本较低,但其结果较为主观,效果有时不太

好,而定量方法虽然较为客观和准确但是因为定量方法的运用比较复杂,有事需要信息技术的辅

助,所以成本与定性方法相比会较高。管理层在运用定性与定量方法时需要考虑方法的成本—效

益性。内部审计4010.5.4审查和评价风险应对措施的适当性及有效性10.5.4.1风险应对措施(1)回避。退出会产生风险的活动。如果风险评估的结果表明风险发生可能性较大,后果较严重,

组织往往会采取回避的风险措施。它特别适用于重大的项目决策。风险回避可能包括退出一条

产品线、拒绝向一个新的地区市场拓展等。(2)降低。采取措施降低可能发生的风险或降低风险对目标影响的可能性,或者同时降低两者。

“降低”策略是组织采取适当措施降低风险的举措,是最普遍与常用的风险应对措施。“降低”

策略的具体运用有多种方法,但其中最主要的是通过内部控制来控制风险。风险降低并非是完全

消除风险,因为完全消除风险是不可能的也是不必要的。(3)分担。通过转嫁风险或与他人分担风险,来降低可能发生的风险或降低风险对目标影响的可能

性。常见的技术包括购买保险产品、从事避险交易或外包业务活动。内部审计41(4)承受。不采取任何措施而接受可能发生的风险或风险对目标影响的可能性。事实上,组织更愿

意承受现有风险水平,而不是消耗昂贵的资源以实施某种风险应对措施。10.5.4.2评价风险应对措施的适当性和有效性应考虑的因素(1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内。剩余风险水平是指

采取风险管理措施管理风险之后现有的风险的程度,剩余风险水平对应的是未采取任何措施时风

险的原始水平。风险应对措施的有效性首先表现在采取了改进措施后是否能够将风险控制在组

织可以接受的程度。内部审计师需要对剩余风险水平评估,确定评估结果是否在组织可接受的范

围之内。(2)采取的风险应对措施是否适合本组织的经营、管理特点。除了风险应对措施的有效性,还需要

强调风险应对措施的适当性。换句话说,组织采取的风险应对措施应该符合组织的经营、管理特

点。如针对由于员工胜任能力有限带来的工作效率效果损失风险,企业可以采取在岗培训的方式

提高员工胜任能力。内部审计42(3)成本效益的考核与衡量。评估风险应对措施的适当性应当衡量其成本效益性。组织应该选择

令自己满意的风险应对措施,如果某种风险应对措施的效果达到最佳,但其成本非常高,这种措施

未必是适合的。10.6风险管理审计方法与技巧10.6.1风险识别风险识别是对企业面临的以及潜在的风险加以判断、归类和鉴定风险

性质的过程。10.6.2风险分析与评估风险评估是对已识别的内部和外部风险的分析确认和衡量,风险评估能内部审计43帮助确定何处存在风险、风险的大小、确定风险预警的级别以及需要

采取何种措施,也是风险管理审计的基础。(1)风险损失频率的估计主要是通过计算损失次数的频率分布。在计算时主要考虑三个因素:风险

暴露数,损失形态和危险事故。如果企业建有完善的风险管理信息系统,也可根据信息系统提供的

历史数据来估计损失频率。(2)风险损失程度的估计需要考虑的三个事项包括:同一危险事故所致各种损失的形态、一个危险

事故牵连的风险暴露数与损失的时间性和金额。而对于财务风险损失程度的估计最新的方法是

风险值法。风险值法是在既定的风险容忍度下,市场状况最坏时确认投资组合最大的不可预期损

失。风险评估系统的方法可以借鉴如下几种:风险坐标图、蒙特卡罗法、关键风险管理指标、压力测

试法、模糊综合评价法、指标评价法。内部审计4410.6.2.1风险坐标图内部审计45表10-4风险发生可能性的定性、定量评估标准及其相对应关系定量方

法一评分12345定量方

法二一定时

期发生的概率10%以下10%~30

%30%~70

%70%~90

%90%以上内部审计46表10-4风险发生可能性的定性、定量评估标准及其相对应关系定性方

法文字描

述一极低低中等高极高

文字描

述二一般情

况下不

会发生极少情

况下才

发生某些情

况下发

生较多情

况下发

生常常会

发生

文字描

述三今后10

年内发

生的可

能少于1

次今后5~1

0年内可

能发生1

次今后2~5

年内可

能发生1

次今后1年

内可能

发生1次今后1年

内至少

发生1次内部审计47表10-5风险发生后对目标影响程度的定性、定量评估标准及其相对应关系适用

于所有行业定量方法一

评分12345

定量方法二

企业

财务

损失

占税

前利

润的

百分

比1%以

下1%~5

%6%~10

%11%~2

0%20%

定性

方法文字描述一

极轻

微的轻微

的中等

的重大

的灾害

性的

文字描述二

极低低中等高极高

文字

描述

三企业

日常

运行不受

影响轻度

影响

(造成

轻微

的人

身伤

害,情

况立

刻受

到控

制)中度

影响

(造成

一定

人身

伤害,

需要

医疗

救援,

情况

需要

外部

支持

才能

得到

控制)严重

影响

(企业

失去

一些

业务

能力,

造成

严重

人身

伤害,

情况

失控

但无

致命

影响)重大

影响

(重大

业务

失误,

造成

重大

人身

伤亡,

情况

失控,

给企

业致

命影

响)

财务

损失较低

的财

务损

失轻微

的财

务损

失中等

的财

务损

失重大

的财

务损

失极大

的财

务损

失

企业

声誉负面

消息

在企

业内

部流

传,企

业声

誉没

有损

失负面

消息

在当

地局

部流

传,对

企业

声誉

造成

轻微

损害负面

消息

在某

区域

流传,

对企

业声

誉造

成中

等损

害负面

消息

在全

国各

地流

传,对

企业

声誉

造成

重大

损害负面

消息

流传

世界

各地,

政府

或监

管机

构进

行调

查,引

起公

众关

注,对

企业

声誉

造成

无法

弥补

的损

害内部审计48表10-5风险发生后对目标影响程度的定性、定量评估标准及其相对应关系适应于

开采业

、制造

业定性与

定量结

合安全短暂影

响职工

或公民

的健康严重影

响一位

职工或

公民健

康严重影

响多位

职工或

公民健

康导致一

位职工

或公民

死亡导致多

位职工

或公民

死亡

运营对营运

影响微

弱;在时间

、人力

或成本

方面不

超出预

算1%对营运

影响轻

微;受到监

管者责

难;在时间

、人力

或成本

方面不

超出预

算1%~5

%减慢营

业运作;受到法

规惩罚

或被罚

款等;在时间

、人力

或成本

方面不

超出预

算6%~1

0%无法达

到部分

营运目

标或关

键业绩

指标;受到监

管者的

限制;在时间

、人力

或成本

方面不

超出预

算11%~

20%;无法达

到所有

的营运

目标或

关键业

绩指标违规操

作使业

务受到

终止;时间、

人力或

成本方

面超出

预算20

%

环境对环境

或社会

造成短

暂的影

响;可不采

取措施对环境

或社会

造成一

定的影

响;应通知

政府有

关部门对环境

造成中

等影响;需一定

时间才

能恢复;出现个

别投诉

事件;应执行

一定程

度的补

救措施造成主

要环境

损害;需要相

当长的

时间来

恢复;大规模

的公众

投诉;应执行

重大的

补救措

施无法弥

补的灾

难性环

境损害;激起公

众的愤

怒;潜在的

大规模

的公众

法律投

诉内部审计49图10-3风险坐标图(1)内部审计50图10-4风险坐标图(2)内部审计51图10-5风险坐标图(3)10.6.2.2蒙特卡罗法内部审计521)蒙特卡罗法的基本思想2)蒙特卡罗法的步骤10.6.2.3关键风险管理指标10.6.2.4压力测试法10.6.2.5模糊综合评价法1)模糊事件2)模糊综合评价法的基本思路3)模糊综合评价法的步骤10.6.2.6指标评价法内部审计5310.6.3审计实施审计测试是审计实施阶段的主要内容,意味着通过将选择的项目变成证

据。10.6.4审计报告因不确定性的存在,风险管理审计报告也存在风险,为了更好地实现风险

审计报告的前瞻性和可用性,风险管理审计报告应该注意如下几点:(1)提高风险管理质量。在实践中,常规的审计报告更加侧重微观层面,针对审计发现的问题提出

审计建议,更加具有针对性。但风险管理审计报告应该在此基础上,侧重于战略管理层面以及方案

选择等方面,以便指导被审计单位的高层领导在今后的工作中,关注企业的风险管理工作,为实现

风险管理审计的增值功能奠定基础。内部审计54(2)披露风险表现和风险排序。与主要表达业务执行过程的真实性、合规性及效益性方面存在的

问题及原因分析的常规审计业务相比,风险管理审计报告披露的内容还应包括被审计事项的风险

点,并对这些风险点风险的大小进行排序,指出关键风险点和重要风险点。(3)披露被审计单位利用风险、防范风险的制度、措施及执行情况。常规业务审计报告一般不涉

及这方面,但风险管理审计的审计报告需要从公司治理、内部控制、全面风险管理的整体系统中

寻找与具体风险防范、风险利用有关的规定并表达这些规定的执行情况。(4)披露风险管理审计的方法、风险评价的条件和标准。结合被审计单位的特点,使用恰当的方法

和标准,是风险管理审计的必然要求。为提高审计信息的对称性,风险管理审计报告应该对这些内

容有所披露,这样也有助于降低审计报告的风险。关键概念

风险管理审计角色定位审计内容审计方法内部审计55本章小结

风险管理审计是审计主体通过对组织目标设定、风险识别、风险程度的评价等工作的审计,评价

风险政策、措施的适当性、执行的有效性的过程。内部审计在企业风险管理审计过程中的核心

作用是向董事会就企业风险管理过程的有效性提供确认服务,以确保关键运营风险得到恰当的管

理,以及内部控制系统有效运行。内部审计机构和人员应当充分了解组织的风险管理过程,审查和

评价其适当性和有效性,并提出改进建议。风险管理审计从审计工作的开始就需要考虑可能影响

企业目标实现的风险,并且风险管理审计强调在整个审计过程中保持这种风险意识。审计人员在

风险管理审计中,应正确使用相应的审计方法和技巧,为风险管理提供一定的帮助。阅读案例

方太公司审计部案内部审计56宁波方太集团创建于1996年。18年来始终专注于高端嵌入式厨房电器的研发和制造,致力于为追

求高品质生活的人们提供具有设计领先、人性化厨房科技和可靠品质的高端嵌入式厨房电器产

品,倡导健康环保的生活方式,让千万家庭享受更加幸福的居家生活。方太始终坚持“专业、高端、负责”的战略性定位,品牌实力不断提升,已成功在中国确立了“高

端厨电专家与领导者”的地位。方太作为一家以创新驱动组织发展和成长的企业,建立了文化、

管理和产品三大创新领域。公司致力打造中西合璧的企业文化,探索并提出现代儒家管理模式,创

造性地在管理中融合中国传统文化,形成独特的管理风格。这也为我们审计工作的开展带来了新

内容和挑战。公司通过大范围的授权,来更快地应对市场变化带来的挑战。同时,对权力的监管也就显得尤为重

要。在这样的背景下,公司审计部于十多年前就成立,目前有近20人的专业审计团队,拥有营销、

职能/招投标两个审计中心。为增加价值并改善公司运营,满足公司发展,设计出既满足业务发展需求,又能够很好实现风险规

避的审计策略和内部控制体系,成为部门的重要任务。我们面临的第一个问题也是最重要的问题内部审计57就是:审什么。为解决这一问题,方太集团审计部从2009年开始就全面推行风险导向审计。应用中我们总结出COSO、资源、业务模块三维度风险分析法,分别从内控要素、重要性、业务

固有和控制风险三方面进行风险剖析。一、COSO的应用我们通过COSO内控框架评估,找出公司内控的缺失环节,设定各环节内控风险容忍程度。我们公

司2008年以前营销分公司在不同的业务模块都大量产生舞弊行为,最初的判断是总体控制都比较

弱,不少业务模块内控都需要全面改造,但这样的大幅调整势必引起整个管理体系的变化,风险和

影响都难以承受。我们通过COSO分析后,认为内控缺失环节与公司管理思维密切相关,一个控制

要素缺失,往往在不同业务模块同时存在,舞弊多样性的背后,有着共同的根源。通过进一步研判,

认为只需加强“建立适当保护措施,规范凭证、文件、记录的接触和保管”这一条,就可以解决相

关问题。通过实践,杜绝了所有模块类似的违纪情况,以最小的代价和管理波动就实现了内控目标

。内部审计58另外我们认为内控一定不是越严越好,必须讲求“中庸”即适度。过度的内控一定会加大管理成

本,影响经营。传统的控制理念中控制活动和控制监督是最重要的主体,但我们的风险容忍程度却

是中高。初看起来,一定会认为我们内控状况比较差,但从实践情况来看,这套内控体系起到很好

的控制效果,且业务系统几乎感受不到内控对经营的影响。之所以达到控制和经营效果的平衡,我

们认为也是基于COSO相对于以前的内部控制而言,更加强调以下几点:(1)强调那些属于管理文化层面的软性管理因素。(2)强调信息系统的作用。(3)强调内部控制应与企业的经营管理过程相结合。(4)强调内部控制只能做到“合理”保证。我们利用五要素之间存在的有机联系,借助公司良好的控制环境、风险评估机制及信息系统的有

利因素,给予了这两个环节较高却适度的风险容忍水平。COSO内控评分见表10-6。内部审计59表10-6COSO内控评分内部控制因

素2009年

2010年

均值风险均值风险控制环境3.86中偏低4.14低风险评估过

程4.67低4.67低信息系统与

沟通3.33中4中控制活动2.86高3.5中内部审计60表10-6COSO内控评分对控制的监

督2.6高3.33中总体内控风

险3.46中高3.92中内部审计61

□控制活动和对控制的监督分数较低,仍然是内控重点□信息系统得到很大程度的改良□部分关键业务环节内控仍需加强二、风险资源和业务模块风险评估审计部门人员和精力都是有限的,如何将有限的审计资源投入到最需要的地方,取得最佳的审计效

果和质量,是风险资源和业务模块评估的价值所在。首先我们对公司风险与非风险资源进行了划分,固有风险和内控风险高的为风险资源,反之为非风

险资源。审计投入一定是集中于风险资源。那是不是风险资源都是审计重点呢,也不是。例如,以

2009年评估为例,我们的服务收入,就是固有风险和内控风险双高,但由于其金额占比很小,我们仍

未将其列为审计重点。因为我们的审计资源分配到了同样有着双高风险,而且金额更为巨大的其

他业务模块,必须将他们的内控解决好,才宜将精力投入这些领域。风险资源评估见表10-7。内部审计62表10-7风险资源评估风险资

源(78%)资源占比固有风

险内控风

险检查风

险审计策

略

商场费

用31.3%高高高审计重

点

超价17.1%高高高审计重

点

经销/代

理商费

用9.4%高中高审计重

点

市场推

广费16.1%高中中审计关

注

工程2.6%中低中审计关

注

服务收

入1.5%高高中非关注

点内部审计63表10-7风险资源评估非风险

资源(22%)仓储物

流2.6%中中低非关注

点

工资及

行政费

用19.4%低低低非关注

点

其他0.0%低低低非关注

点内部审计64通过我们有效的风险管理和内控设置,2012年营销公司舞弊数量和金额较2009年都下降了90

%,所有业务模块内控风险均降低到中等水平。为公司的健康发展起到了重要的支持作用。主要参考文献[1]Albrecht.舞弊检查[M].李爽,吴溪等,译.北京:中国财政经济出版社,2005.[2]皮克特.内部审计业务纲要[M].孙庆红,译.北京:经济科学出版社,2006.[3]贝利,格拉姆林,拉姆蒂.内部审计思想[M].王光远,译.北京:中国时代经济出版社,2008.[4]西尔弗斯通,达维亚.舞弊侦查技巧与策略[M].谢盛纹,译.大连:东北财经大学出版社,2008.[5]编写组.世界主要国家审计[M].北京:中国大百科全书出版社,1996.[6]财政部会计司.企业内部控制规范讲解2010[M].北京:经济科学出版社,2010.[7]陈国荣.我国企业内部审计机构隶属关系研究[D].太原:山西财经大学,2009.[8]程娟.内部审计机构在我国上市公司中的定位问题研究[D].北京:首都经济贸易大学,2009.内部审计65[9]丁陈锋,钟轩.龙湾国有全资公司会计涉嫌贪污挪用公款1380余万[EB/OL].[2011-10-25]浙江在

线.[10]高月芬.我国企业内部审计组织设置问题研究[D].上海:同济大学,2006.[