某公司内部控制与风险管理审计培训教材课件

Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty内部控制与风险管理审计赵珊博士国际内部审计师南京审计大学副教授中国内部审计发展研究中心南京审计大学内部审计系2016年12月nikkyzs@Honesty,TruthPursuing,Dilig1主要内容内部控制与全面风险管理内部审计作用的发挥风险管理审计的界定内部控制和风险管理审计实施内部控制、风险管理审计案例主要内容内部控制与全面风险管理内部控制与全面风险管理内部控制与全面风险管理舞弊压力机会借口内部控制的缘起——LarrySawyer——W.SteveAlbrecht压力要素是舞弊者的行为动机，压力的具体形式有所差异职务舞弊者必须权衡利弊，进行心理平衡过程，使职务舞弊行为与其本人的道德观念、行为准则相吻合机会是指可进行舞弊而又能掩盖起来不被发现或能侥幸逃避惩罚的时机或情形舞弊内部控制的缘起——LarrySawyer压力要素是舞弊80至90年代内部控制的演化发展业务本身日益复杂控制手段日益丰富内部牵制内部控制制度内部控制结构内部控制整合架构风险管理整合框架20世纪初期以前20世纪30-70年代90年代以来2004年以来SOXACT80至90年代内部控制的演化发展业务本身日益复杂内部牵制内部5200120022003CombinedCodeHIH保险公司One.Tel安然萨班斯－奥克斯利法案世通

Qwest

CodeofCorporateGovernance国际内部控制的发展与最新趋势200420052006公司治理守则第9号法案审计改革和公司信息披露法案

企业管治常规守则内部控制规范2007FinancialInstrumentsandExchangeLaw200120022003CombinedHIH保险公司安然萨6我国内部控制的发展过程内部牵制阶段会计控制阶段全面控制阶段

123我国内部控制的发展过程内部牵制阶段会计控制阶段7（一）第一阶段是内部牵制。这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。1、1978年9月12日，国务院颁布《会计人员职权条例》。2、1984年4月24日，财政部发布《会计人员工作规则》。3、1985年1月21日，第六届全国人民代表大会常务委员会第九次会议通过《中华人民共和国会计法》，重申了会计岗位责任制的要求。我国内部控制的发展过程（一）第一阶段是内部牵制。我国内部控制的发展过程8二、会计控制阶段：

1、1996年6月17日，财政部发布《会计基础工作规范》，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。2、1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求。3、财政部随后制定发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》等7项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。我国内部控制的发展过程二、会计控制阶段：我国内部控制的发展过程9三、全面控制阶段：

进入21世纪，随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。

我国内部控制的发展过程三、全面控制阶段：我国内部控制的发展过程10中国内部控制的发展2006(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引

(征求意见稿)(上交所/深交所)内部控制指引(国资委)中央企业全面风险管理指引2007(财政部)企业内部控制规范-基本规范(征求意见稿)2008(财政部)企业内部控制基本规范（保监会）寿险公司内部控制评价办法（试行）保险公司内部审计指引（试行）保险公司风险管理指引（试行）(证监会）上市公司信息披露管理办法（银监会）银行业金融机构信息系统风险管理的指引（银监会）商业银行内部控制指引（银监会)商业银行合规风险管理指引（证监会）证券公司风险控制指标管理办法（证监会）证券公司合规管理试行规定（证监会）证券公司监督管理条例（银监会）商业银行操作风险管理指引我国内部控制的发展过程中国内部控制的发展2006(财政部)(上交所/深交所)(国资112008年6月，财政部会同证监会、审计署、银监会、保监会五部委发布《企业内部控制基本规范》（简称《基本规范》）2010年4月《企业内部控制配套指引》发布。具体包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》2011年1月1日起在境内外同时上市的公司范围内施行，2012年1月1日起扩大到上证、深证主板上市的公司。鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所内部控制的有效性进行审计——中国企业内部控制规范体系内部控制基本规范及配套指引内部控制基本规范及配套指引确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。对于影响公司目标实现的内部及外部因素的评估确保相关信息被及时识别及传递的过程公司对于内部控制的基本态度-”来自上层的基调”战略目标报告目标合规目标经营目标资产安全内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督《企业内部控制基本规范》框架13确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程《企业内部控制配套指引》构成《企业内部控制配套指引》构成时间机构标准1999/2004年澳大利亚和新西兰AS/NZ43601999风险管理准则2004年COSO企业风险管理-整合框架1988/2004年BCBS巴赛尔协议||2005年香港会计师工会内部控制与风险管理的基本架构2008年欧洲委员会偿付能力||2009年ISOISO31000风险管理2002年NISTNISTSP800-37风险管理框架1996年以来ISACACOBIT、ValIT、RiskIT国外主要风险管理标准时间机构标准1999/2004年澳大利亚和新西兰AS/NZ4151931年至20世纪80年代末90年代初20世纪90年代以来风险管理的演化发展基于保险和财务层面的风险管理阶段基于整体层面的风险管理阶段风险本身日益复杂风险管理手段日益丰富1931年至20世纪80年代末90年代初20世纪9162004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。国外主要风险管理标准：COSO-ERM企业风险管理框架监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内控控制框架2004年9月，COSO正式颁布《企业风险管理——整17

b.组织过程——一体化部分c.决策制定的一部分a.创造价值d.明确地解决不确定性风险管理原则、框架和过程之间的关系j.动态、循环和响应变化管理风险的原则（第三组）管理风险的框架（第四组）管理风险的过程（第五组）e.系统的，结构化的和及时的f.基于可能得到的最佳资料g.因地制宜h.将人和文化因素考虑在内i.透明和包容k.推进组织的持续改进和改善指令和承诺（4.2）管理风险的框架设计（4.3）框架的监控和审查（4.4）部署风险管理（4.4）框架的持续改善（4.6）建立语境（5.3）风险识别（5.4.2）风险分析（5.4.3）风险评价（5.4.4）风险处理（5.5）风险管理（5.4）沟通和咨询（5.2）对照和复核（5.6）b.组织过程c.决策制定的一部分a.创造价值d.明确地解决时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引国内主要风险管理规定时间机构标准2005年银监会商业银行市场风险管理指引200619国资委—中央企业全面风险管理指引国资委—中央企业全面风险管理指引20目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区•

内置于企业日常管理过程中，是

一种常规运行的机制。•

整合建设，但根据企业特点各有

侧重。•

无论多么先进的内部控制和风险

管理体系都只能为企业相关目标

的实现提供合理的而非绝对的保

证。•

新事物的导入有个过程，要认清

风险管理成熟度。正解••••

22目前对风险管理与内控认识存在的误区把内部控制与全面风险管误区21理论界对内部控制与风险管理的关系有两种观点：观点1：认为风险管理是内部控制的组成部分观点2：认为内部控制是风险管理的组成部分23风险管理与内部控制的关系理论界对内部控制与风险管理的关系有两种观点：23风险管理与内22我们的看法是：如果以风险作为管理的起点，则内部控制是风险的应对，可以理解为控制属于风险管理的实现工具，因此控制包含于风险管理；如果认为企业管理的实质是控制，风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系统的一部分；从组织结构来看，内部控制和风险管理相应的组织结构是完全一致的，说明二者都应该无缝整合到一定的组织结构中，和其他有关的业务和职能管理共同服务于企业管理。风险管理与内部控制的关系风险管理与内部控制的关系23Ø风险管理：做正确的事

•

风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；

不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”

•

风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误，防止出现重大危机问题。Ø内控：正确的做事

•

内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。

•

内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目标的实现。风险管理与内部控制的关系Ø风险管理：做正确的事Ø内控：正确的做事风险管理与内部控24风险管理与内部控制整合实施运作机制风险管理与内部控制整合实施运作机制《内部控制基本规范》及配套指引旧准则新准则新旧内部审计准则结构的调整《内部控制基本规范》及配套指引旧准则新准则新旧内部审计准则结内部审计作用的发挥内部审计作用的发挥内部审计客体内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。--CIIA内部审计客体内部审计，是一种独立、客观的确认和咨询活动，它通

IIA最近发布的调查报告将内部审计职能涉及到的活动分为三大类25项：内部控制活动（14项）风险管理活动（5项）公司治理活动（6项）内部审计客体IIA最近发布的调查报告将内部审计职能涉及到29内部控制活动风险管理活动公司治理活动合规性审计企业生存能力（持续经营）评价公司治理评价控制系统的有效性评价风险管理程序审计尽责调查经营审计财务风险审计道德审计项目管理审计信息风险审计战略和组织绩效的关系评价安全评价和调查信息系统风险审计薪酬评级灾难恢复测试和支持社会和可持续（社会责任、环境）审计舞弊和不合规调查质量审计外部审计协助管理审计组织人员的风险、控制、合规调查外包业务审计与国际财务报告标准的接轨可扩展商业报告语言的使用内部控制活动风险管理活动公司治理活动合规性审计企业生存能力公30内部审计在风险管理中作用的发挥内部审计的风险管理职责要考虑：组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。内部审计与组织的风险管理成熟度无意识、零碎的有管理的系统化的擅长应对风险是否遵守是否整合了做的事情是否在做了相关法规管理信息是否正确正确的事情风险管理不太成熟：咨询业务，关注风险管理的架构和方法，以及基本风险的控制，为管理层献计献策风险管理较成熟：确认业务，促进改善风险管理介于之间：评估组织的最佳实务和应变措施，优化风险管理实务。内部审计在风险管理中作用的发挥内部审计的风险管理职责31与企业风险管理相关的内部审计核心作用需要安全保障的内部审计作用内部审计不应当发生的作用为风险管理过程提供确认为风险管理评估的准确性提供确认评价风险管理过程评价对主要风险的报告检查主要风险的管理推动风险的识别与评估指导管理层如何应对风险协调企业全面风险管理工作合并风险管理报告维护和发展风险管理框架倡导企业风险管理的建立确定风险偏好强制实施风险管理过程管理层对风险的确认决定风险应对以管理层的名义实施风险应对问责风险管理与企业风险管理相关的内部审计核心作用需要安全保障的内部审计作风险管理审计的界定风险管理审计的界定风险管理审计的概念和内涵风险管理审计是根据企业全面风险管理的目标和政策，采用系统化、规范化的方法，评价企业全面风险管理的运行状况，测试企业风险管理系统、各业务循环及相关部门在风险识别、风险分析、风险评价、风险治理等方面的活动，以识别、预警和纠正企业在实施风险管理过程中可能存在的不适或缺陷，进而提高企业风险管理的效率和效果，保障企业战略目标的实现。某公司内部控制与风险管理审计培训教材课件风险管理审计的概念和内涵1.风险管理审计目标是建立在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上，评价企业风险管理的整体框架、过程、对策或措施及其活动效果，验证企业风险的治理水平，并提出改进措施，以保障风险管理目标的实现，最终支持和保障总体战略目标的实现。2.企业风险管理审计对象是风险管理事项，如企业整体、区域、业务、职能领域、项目、过程、操作、资产、产品、服务或活动等，也可以是风险管理的特定要素，如风险管理政策和落实风险管理政策的方案、程序或手段等。3.风险管理审计职能体现在评价、监督、鉴证和咨询上。某公司内部控制与风险管理审计培训教材课件风险管理审计的概念和内涵4.风险管理审计重心在于识别目前风险管理有效性水平与期望水平之间的差距，以评价和改进风险管理有效性。如何评价企业风险管理的有效性？(1)依照COSO-ERM框架，一方面，核验战略、经营、报告和合规四大目标确实存在，并且针对这些目标的管理都是有效的。(2)依照ISO-31000框架，核验企业风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的，且正常运行。(3)对照特别制定的风险管理框架和要求衡量企业风险管理的有效性。如内控测试状态良好，机制对风险反应迅速，企业对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。4.风险管理审计重心在于识别目前风险管理有效性水平与期望水平风险管理审计的演进某公司内部控制与风险管理审计培训教材课件风险管理审计的演进某公司内部控制与风险管理审计培训教材课件风险管理审计的分类1、一般风险管理审计这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力，可细分类为：⑴针对企业各管理层级的风险管理审计⑵针对企业职能领域或特定关键风险的风险管理审计⑶针对项目的风险管理审计⑷针对各类活动的风险管理审计⑸针对产品或服务的风险管理审计⑹针对过程或操作的风险管理审计2、风险管理要素审计风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计。某公司内部控制与风险管理审计培训教材课件风险管理审计与其他审计的关系某公司内部控制与风险管理审计培训教材课件风险管理审计与其他审计的关系某公司内部控制与风险管理审计培训教材课件风险管理审计实施风险管理审计实施风险管理审计流程确定审计域/全组织范围风险评估全组织范围确认项目/制定审计计划方案审计准备阶段审计实施阶段评价/测试控制设计和其他风险管理技术审计取证结果评价审计发现和审计报告后续审计沟通协调风险管理审计流程确定审计域/全组织范围风险评估全组织范围确认43实施的具体工作确定风险域全组织范围风险评估全组织范围确认项目制定风险管理审计计划评价控制的设计和其他风险管理技术测试控制和其他风险管理技术的有效性审计取证结果的评价后续审计实施的具体工作确定风险域44确定风险域1、嘎吱车轮法(强制性包含领域)。由董事会、管理当局、国际组织、国家法规、外部审计、等发现或要求，急需关注和处理的问题。2、应被审计者的要求。被审计者自行提出的要求。3、系统确认法。组织结构图或成本中心报告企业流程或项目与管理层确定的风险域相协调与其他确认提供者相协调一、确定风险域的方法确定风险域一、确定风险域的方法45确定风险域二、确定风险域应系统考虑因素①上一次审计的日期和结果。②涉及的金额。③潜在的损失和风险。④管理层的要求。⑤经营方案、制度和控制的重大变化。⑥审计人员的变动及能力。确定风险域二、确定风险域应系统考虑因素46确定风险域三、风险域集中的领域—对业绩有重要影响的事项；—存在潜在危机，须使受损程度减至最低的事项；—高级管理者及全公司关心的审计主题；—与不合算的交易，无效业务的发现与改善的有关事项；—与交易，业务的改进及对策有关的事项；—经营层和管理层关心的审计主题；—管理部门中不易发觉的事项；—前次审计中未列作审计对象的事项；—新的业务领域或新项目风险管理审计；—突发事件审计；—年度性针对企业战略、经营操作、财务和声誉综合风险管理领域审计；—针对企业整体层面风险管理框架和政策合理性或针对风险管理过程有效性审计。确定风险域三、风险域集中的领域47全组织范围风险评估1、加权风险因素法审计部门经过风险分析，对风险程度根据重要性原则排出审计的优先顺序。审计项目的安排以风险评价为基础，优先审计风险高的被审计单位，再审计风险低的。其基本的步骤如下：①选择5种（或者根据审计任务范畴或特征具体确定被审数量）对公司来讲最重要的被审风险因素对象；②给每个被审计对象风险因素逐个打分，其评分范围为1-5分（5表示风险最大，1表示风险最小，3表示风险中等或未知风险）；③加总各个被审计对象的分数得出风险值（最高分值为25分，意味着每个风险因素都是5分；最低分值5分，说明每个风险因素的得分都是1分）④按风险值的高低分配审计资源。一、内部审计师常用的风险评估方法全组织范围风险评估一、内部审计师常用的风险评估方法48全组织范围风险评估2、管理层访谈/问卷调查访谈使内部审计部门了解组织的价值主张并且使工作更具有战略性。访谈提纲可以包括：一、内部审计师常用的风险评估方法关键控制目标资料的可靠与完整对于法律、政策、程序的合规资产保护节约、效率和效果….关键管理流程运行目标战略结构人力资源管理信息系统….关键风险固有风险已进行的风险评估基于影响和可能性的重大风险管理风险的现行措施，包括关键控制….全组织范围风险评估一、内部审计师常用的风险评估方法关键控制目49全组织范围风险评估3、风险评估专题讨论会收集和整理选定级别的答题，并采用保密投票技术和数据投影仪将其用图表形式呈现出来。议程可以包括：一、内部审计师常用的风险评估方法目的和结果的简单说明基本规则组织战略目标的讨论与认可启发、诊断式的问题采用的风险类型筛选、归纳风险风险的可能性和影响重大性的讨论风险矩阵记录讨论后续步骤….全组织范围风险评估一、内部审计师常用的风险评估方法目的和结果50全组织范围确认项目1、有些在组织层面运行的控制为整个组织提供保证—与控制环境有关的控制；—信息技术一般控制；2、有些业务层面的控制在整个组织范畴内更便于理解和评价—不同单元、流程或项目的薪酬不同；3、有些风险在组织和业务两个层面都管理，并且可以在一次全组织范围审核中同时在两个层面评价—与职业道德和合规相关的政策和培训；—人力资源和其他共享服务；一、全组织范围确定项目的目的全组织范围确认项目一、全组织范围确定项目的目的51全组织范围确认项目1、组织中与审计主题相关的政策；2、治理文件；3、公认的风险和控制模型ERM、ISO310004、权威性准则可能与审计业务的主题相关；—信息及相关技术控制目标COBIT—质量管理体系ISO10006—法律或监管要求5、最佳实务报告—审计委员会的有效性IIARF二、组织范围确定项目的标准全组织范围确认项目二、组织范围确定项目的标准52全组织范围确认项目“内部审计部门必须针对组织内与职业道德相关的目标、计划和业务评估其设计、实施和效果”1、结构化访谈；怎么知道员工真正理解公司的职业道德规范？与同行业相比，我们的风险偏好是怎样的？收取或给与礼物的一般规定是什么？你是否觉得同样的规定适用于所有员工？为什么或为什么不是？你是否见过不合乎职业道德的行为受到表彰？2、推动型专题讨论会；3、问卷调查；三、评价组织层面控制的方法全组织范围确认项目三、评价组织层面控制的方法53制定风险管理审计计划风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：1、文档审阅：经营计划组织机构图流程图关键技术工作描述关键政策一、高层次确认业务风险评估制定风险管理审计计划一、高层次确认业务风险评估54制定风险管理审计计划风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：2、各层次管理层访谈：使命或目的首要市场或竞争关键经营问题财务状况和趋势近期的变化优势经理关注或面临的挑战主要风险关键员工流程和运营系统的概览一、高层次确认业务风险评估制定风险管理审计计划一、高层次确认业务风险评估55制定风险管理审计计划风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：3、管理层的风险评估4、业绩指标和趋势5、财务和运营信息6、以前的审计结果7、组织外部的内部审计师8、外部审计师和咨询专家9、法规和监管结果10、行业研究和标准11、事件报告12、保持客户联系一、高层次确认业务风险评估制定风险管理审计计划一、高层次确认业务风险评估56制定风险管理审计计划“内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。”1、内部控制：内部审计部门必须评估控制的效率和效果，并促进持续改进、从而协助组织维持有效的控制。财务和运营信息的可靠性和完整性运营的效率和效果资产的安全法律、法规、政策、程序、合同的遵循情况2、风险管理：内部审计活动必须评估风险管理过程的有效性，并为其改善作出贡献。组织目标支持本组织的使命并与其保持一致。重大风险得到识别和评估选定适当的风险应对方案，并符合组织的风险偏好获取相关的风险信息，并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责二、形成审计目标、范围和方法制定风险管理审计计划二、形成审计目标、范围和方法57制定风险管理审计计划风险管理审计计划就审计目标、范围和方法等给出更为清晰的和可操作的指引。一般来讲，一个整体和较全面的审计计划应当包括：审计目标、审计域、审计要点、审计准则以及其他参照指标、审计程序及其包含内容、审计调查与测试取证安排、审计负责人及其责任、确定审计所需信息和资料、主要审计方法和技术的选用、审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等）、审计资源需求、审计组织与审计质量保障证措施、审计团队的组成、对被审目标的配合要求、审计报告要点框架等。风险管理审计计划可以规划化和表格化，并分发给承办该审计事项的所有审计人员。三、风险管理审计计划内容制定风险管理审计计划三、风险管理审计计划内容58制定风险管理审计计划四、与管理层的合作五、业务之前的沟通审计通知是内部审计部门在实施风险管理审计前通知客户接受审计的书面文件。审计通知书包括以下几点内容：⑴客户及审计项目名称⑵审计目的和审计范围⑶审计时间⑷客户提供的具体资料和其他必要的协助⑸内部审计部门及其负责人的签章和签发日期六、资源分配七、启动会启动会议是在审计项目开始时项目组成员、相关管理层或其他人员参加的沟通会议。其作用主要在于：⑴说明审计目的、审计范围和要求协助的事项⑵进一步了解审计对象⑶沟通制定风险管理审计计划四、与管理层的合作五、业务之前的沟通六、59评价控制的设计和其他风险管理技术“内部审计部门必须评估针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。”“有效的审计设计：在多数情况下，在测试控制的有效性之前，要在了解和分析内部控制体系的设计上花费大量时间，以确定其是否能提供适当的控制，这为内部审计指出控制薄弱的根本原因而非指出其表面现象提供了坚实的基础”适当的控制：如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理，组织的目标和目的以经济高效的方式实现，那么可以认为已建立适当的控制。评价控制的设计和其他风险管理技术“内部审计部门必须评估针对组60评价控制的设计和其他风险管理技术一、常用控制及其他风险管理技术预防或发现指令补偿人工或自动化组织层面、业务层面一般控制组织层面的控制共享信息技术服务应用控制业务层面控制评价控制的设计和其他风险管理技术一、常用控制及其他风险管理技61评价控制的设计和其他风险管理技术二、详细确认业务风险评估1、识别目标2、识别固有风险3、评估风险影响和可能性4、识别控制和其他风险管理技术书面政策流程手册流程文档一线员工5、评价控制的设计和其他风险管理技术穿行测试固有风险-风险管理技术=剩余风险其他风险管理技术的评价软控制的评价评价控制的设计和其他风险管理技术二、详细确认业务风险评估62评价控制的设计和其他风险管理技术三、用于记录和评价控制设计的工具1、风险控制矩阵风险/控制矩阵目标固有风险影响/可能性控制（和其他风险管理技术）充分性评价适当性评价最终评价评价控制的设计和其他风险管理技术三、用于记录和评价控制设计的63测试控制和其他风险管理技术的有效性一、测试的决定关键或首要控制必须测试二、审计证据的类型书面证据、实物证据、视听证据、电子证据、口头证据、环境证据三、人工测试方法访谈问卷调查内部控制问卷观察检查函证顺查逆查测试控制和其他风险管理技术的有效性一、测试的决定64测试控制和其他风险管理技术的有效性三、人工测试方法重新执行分析程序预期与实际比较趋势分析相关因素分析合理测试与标杆比较比率分析回归分析四、抽样统计抽样随机抽样判断抽样测试控制和其他风险管理技术的有效性三、人工测试方法65测试控制和其他风险管理技术的有效性五、测试应用控制输入控制处理控制输出控制完整性控制管理线索六、测试软控制测试控制和其他风险管理技术的有效性五、测试应用控制66取证结果的评价在实务中，审计人员对风险管理的评价可以用量化数字表示如1、2、3、4、5，或用字母表示如A、B、C、D、E,或者用颜色表示，如红、黄、绿等。①风险的严重性（或影响）的评价具体尺度（除了表达为财务指标之外，也可以用声誉、资本、法律等方式来表述风险的影响）—不严重：既无战略影响，又无财务影响。—轻度严重：相对较小的战略和/或财务影响（一星期的利润）。—中度严重：显著地影响战略和/或财务目标的实现（一月的利润）。—严重：难以实现战略目标（可能需要战略上的一次改变），和/或重大的财务影响（一季的利润）。—高度严重：战略目标无法实现，导致严重的财务后果（一年的利润）并威胁公司的生存能力。取证结果的评价在实务中，审计人员对风险管理的评价可以用量化数67取证结果的评价②风险可能性（概率）评价的具体尺度—不发生：在特定的时期内不会发生（<5%）。—不太可能：在特定的时期内不太可能发生（<25%）。—可能：在特定的时期内或许会发生（<50%）。—很可能：在特定的时期内发生比不发生的可能性大（>50%）。—肯定：在特定的时期内已经发生或几乎肯定会发生（>90%）。③风险的层次评价（扩展的尺度）—极小的威胁：几乎不可能严重地威胁组织。—轻度威胁：不太可能严重地威胁组织。—中度威胁：偶尔可能成为组织的严重威胁。—严重威胁：很可能成为组织的严重威胁。——灾难性的威胁肯定是组织的严重威胁取证结果的评价②风险可能性（概率）评价的具体尺度68取证结果的评价④风险承受限度的评价—避免：在任何情况下都不会允许此风险发生。—降低：必须拥有持续地管理此风险的政策、流程和程序，并把它的影响降到最低限度。—管理：必须能够预测此风险的发生，并采取前瞻性的行动以降低其影响。—检查：将允许此风险发生，但是必须能在其影响过大之前及时检查并报告此风险。—接受：风险的发生是可接受的。取证结果的评价④风险承受限度的评价69取证结果的评价⑤风险管理/风险控制可扩展度（可管理性或可控性）评价—无风险管理：组织任由风险发生，并接受其后果。—低层次的风险管理：风险通常都可以检测到，但是组织更依赖于应急或恢复计划。—中等的风险管理：在有效的监督下，能识别风险的发生，并拥有充足的时间减小风险的影响/提高获利的机会。—扩展的风险管理：持续的监督和前瞻性的管理活动确保把风险的影响降到最低/增强获利的可能性。—持续的风险管理：一个全面的风险管理计划有助于确保风险得到了预防，或者所有可度量的影响/机会都得到了优化。⑥风险管理成熟度评价（采用风险管理成熟度模型评价）—A级：特定风险管理—B级：初步风险管理—C级：可重复性风险管理—D级：主动性风险管理—E级：前瞻性风险管理。取证结果的评价⑤风险管理/风险控制可扩展度（可管理性或可控性70取证结果的评价⑦被审事项现有风险管理水平或效力评价，例如：—该事项的风险管理框架不适（其中包括风险管理政策不适），不能满足该事项目标实现的要求。—该事项有明确与合理的风险管理框架（其中包括合理的风险管理政策），然而风险管理政策的实施不力和无效。—该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策），且该事项的风险管理政策能基本落实。—该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策），且该事项的风险管理政策能较好落实，内部控制有效，风险管理过程运行有效。取证结果的评价71沟通与协商沟通和协商将不间断地贯穿于整个审计过程中，其目的是为了促使审计工作得到各方面的支持和配合，以及为了保证审计工作的质量和效果。如果管理人员不认可审计人员所提出的审计发现或建议，这可能表明审计人员没有完全理解管理人员的风险承受限度。此时，应该与管理人员重新协商其风险承受限度，从而就以下方面达成共识：—审计发现的有效性；—解决这些发现中所提出问题的必要性；—以及相关建议的恰当性。沟通与协商沟通和协商将不间断地贯穿于整个审计过程中，其目的是72整理审计发现整理审计发现，描述审计发现，是着手撰写审计报告的基本准备工作，审计发现是风险管理审计报告的写作素材源泉。在评价审计证据后，需要把审计发现描述出来，但应当注意：⑴审计发现应该以具体而简洁的语言进行表述。⑵理解某一发现所必需的信息应该一一列举⑶应该一眼就能辨别出与某一发现相关的风险。整理审计发现整理审计发现，描述审计发现，是着手撰写审计报告的73整理审计发现通常，我们可以采用矩阵图的方式反映审计发现，具体内容包括：⑴现状。⑵标准/期望。⑶原因。整理审计发现通常，我们可以采用矩阵图的方式反映审计发现，具体74整理审计发现⑷影响。注意：①尽可能详尽地对影响进行描述。②影响可以量化成为财务价值数据③除了能用财务价值表述的影响之外，审计人员还应该考虑其他方面的影响。④但如果针对其他可能发生的影响情况存在有相应的行动要求的话，审计人员也需要对这些影响进行相应的说明。⑤适当时，这些影响可以和流程目标或主要风险联系起来。⑸评价。矩阵风险图⑹建议。整理审计发现⑷影响。注意：75对审计发现的处理是否纳入最终的审计报告之中。对哪些审计发现应该纳入最终审计报告之中？是否被修改或与其他发现进行合并，从而更好地阐明所提出的问题，并制定更可行的解决方案。与管理人员的共同讨论是否清除出审计报告的候选对象之列，这应当根据后续的事实或根据管理人员的评论。记录于工作底稿之中。对审计发现的处理是否纳入最终的审计报告之中。对哪些审计发现应76

审计报告的一般内容一般的审计报告应当包括标题、收件人、正文、附件、签章、报告日期等基本要素，正文包括以下主要内容：⑴立项依据。⑵背景介绍。①目的和理由；②被审计单位的规模、业务性质与特点、组织机构等；③上次同类审计的评价情况；④与审计项目相关的环境情况；⑤与被审计事项有关的技术性文件；⑥其它情况。

审计报告的一般内容一般的审计报告应当包括标题、收件人、正文77

审计报告的一般内容⑶审计目标与范围。⑷审计重点。⑸审计标准。⑹审计依据。⑺审计发现与风险之间的联系，风险与风险之间的联系及相互作用的可能结果。

审计报告的一般内容⑶审计目标与范围。78

审计报告的一般内容⑻审计结论。评估企业整体（或被审事项）风险管理体系的运行效果，评估每一个风险应对策略的科学性、合理性和落实效果，评估旨在落实风险策略的每一个将主要风险控制在可接受水平的管理活动效果，评估在现有风险治理和风险控制之水平下每一个（或某一个，根据审计任务决定）关键风险现存的风险暴露水平，比较这种风险暴露水平与期望值之间的差距，提出缩小差距的建议行动步骤和实施方案。：①强大的风险管理。“总的来说，与XYZ业务相关的风险（特别是关键性风险）一直被有效地控制在可接受的水平。尽管可能存在某些改进的机会，但是，目前围绕着业务流程的风险管理过程运转良好，风险管理活动没有进行重大改变的必要。”

审计报告的一般内容⑻审计结论。评估企业整体（或被审事项）风79

审计报告的一般内容②一般水平的风险管理。“总的来说，与XYZ业务相关的风险（特别是关键性风险）通常都能被控制在可接受的水平。但是，需要改进业务流程和同时改进围绕着业务流程的相应的风险管理过程的设计（和/或运作）以确保这些风险一直被管理在可接受的水平。主要的改进……。”③薄弱的风险管理。“总的来说，与XYZ业务相关的风险不能被持续地控制在可接受的水平，这表明该领域面临着较大的风险暴露。因此，有必要立即改进业务流程的设计（和/或运作），同时需改进相应的风险应对策略和控制措施，尤其是……。”⑼审计建议。审计人员应该依据审计发现和审计证据，结合组织的实际情况和审计结论的性质，提出审计建议。审计建议可分为以下几种类型：①现有系统运行良好，无需改变；②现有系统需要全部或局部改变，包括改进的方案设计，方案实施的要求，方案实施效果的预计，未实施此方案的后果分析。

审计报告的一般内容②一般水平的风险管理。“总的来说，与XY80

风险管理的后续审计

风险管理的后续审计81

风险管理的后续审计在实施后续审计中，审计人员应当关注：⑴后续审计对策的选择⑵注意沟通的艺术⑶对重大的审计发现和结论实施现场审计和测试⑷要继续发现问题、解决问题

风险管理的后续审计在实施后续审计中，审计人员应当关注：82内部控制和风险管理审计案例内部控制审计案例风险管理审计案例内部控制和风险管理审计案例内部控制审计案例83本PPT为可编辑版本，以下内容若不需要请删除后使用，感谢您的理解，祝您生活愉快，事业有成，身体健康，万事如意。本PPT为可编辑版本，以下内容若不需要请删除后使用，感谢您的84本PPT为可编辑版本，此内容若不需要请删除后使用，感谢您的理解，祝您生活愉快，事业有成，身体健康，万事如意。本PPT为可编辑版本，此内容若不需要请删除后使用，感谢您的理85本PPT为可编辑版本，此内容若不需要请删除后使用，感谢您的理解，祝您生活愉快，事业有成，身体健康，万事如意。本PPT为可编辑版本，此内容若不需要请删除后使用，感谢您的理86本PPT为可编辑版本，此内容若不需要请删除后使用，感谢您的理解，祝您生活愉快，事业有成，身体健康，万事如意。本PPT为可编辑版本，此内容若不需要请删除后使用，感谢您的理87Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty内部控制与风险管理审计赵珊博士国际内部审计师南京审计大学副教授中国内部审计发展研究中心南京审计大学内部审计系2016年12月nikkyzs@Honesty,TruthPursuing,Dilig88主要内容内部控制与全面风险管理内部审计作用的发挥风险管理审计的界定内部控制和风险管理审计实施内部控制、风险管理审计案例主要内容内部控制与全面风险管理内部控制与全面风险管理内部控制与全面风险管理舞弊压力机会借口内部控制的缘起——LarrySawyer——W.SteveAlbrecht压力要素是舞弊者的行为动机，压力的具体形式有所差异职务舞弊者必须权衡利弊，进行心理平衡过程，使职务舞弊行为与其本人的道德观念、行为准则相吻合机会是指可进行舞弊而又能掩盖起来不被发现或能侥幸逃避惩罚的时机或情形舞弊内部控制的缘起——LarrySawyer压力要素是舞弊80至90年代内部控制的演化发展业务本身日益复杂控制手段日益丰富内部牵制内部控制制度内部控制结构内部控制整合架构风险管理整合框架20世纪初期以前20世纪30-70年代90年代以来2004年以来SOXACT80至90年代内部控制的演化发展业务本身日益复杂内部牵制内部92200120022003CombinedCodeHIH保险公司One.Tel安然萨班斯－奥克斯利法案世通

Qwest

CodeofCorporateGovernance国际内部控制的发展与最新趋势200420052006公司治理守则第9号法案审计改革和公司信息披露法案

企业管治常规守则内部控制规范2007FinancialInstrumentsandExchangeLaw200120022003CombinedHIH保险公司安然萨93我国内部控制的发展过程内部牵制阶段会计控制阶段全面控制阶段

123我国内部控制的发展过程内部牵制阶段会计控制阶段94（一）第一阶段是内部牵制。这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。1、1978年9月12日，国务院颁布《会计人员职权条例》。2、1984年4月24日，财政部发布《会计人员工作规则》。3、1985年1月21日，第六届全国人民代表大会常务委员会第九次会议通过《中华人民共和国会计法》，重申了会计岗位责任制的要求。我国内部控制的发展过程（一）第一阶段是内部牵制。我国内部控制的发展过程95二、会计控制阶段：

1、1996年6月17日，财政部发布《会计基础工作规范》，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。2、1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求。3、财政部随后制定发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》等7项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。我国内部控制的发展过程二、会计控制阶段：我国内部控制的发展过程96三、全面控制阶段：

进入21世纪，随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。

我国内部控制的发展过程三、全面控制阶段：我国内部控制的发展过程97中国内部控制的发展2006(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引

(征求意见稿)(上交所/深交所)内部控制指引(国资委)中央企业全面风险管理指引2007(财政部)企业内部控制规范-基本规范(征求意见稿)2008(财政部)企业内部控制基本规范（保监会）寿险公司内部控制评价办法（试行）保险公司内部审计指引（试行）保险公司风险管理指引（试行）(证监会）上市公司信息披露管理办法（银监会）银行业金融机构信息系统风险管理的指引（银监会）商业银行内部控制指引（银监会)商业银行合规风险管理指引（证监会）证券公司风险控制指标管理办法（证监会）证券公司合规管理试行规定（证监会）证券公司监督管理条例（银监会）商业银行操作风险管理指引我国内部控制的发展过程中国内部控制的发展2006(财政部)(上交所/深交所)(国资982008年6月，财政部会同证监会、审计署、银监会、保监会五部委发布《企业内部控制基本规范》（简称《基本规范》）2010年4月《企业内部控制配套指引》发布。具体包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》2011年1月1日起在境内外同时上市的公司范围内施行，2012年1月1日起扩大到上证、深证主板上市的公司。鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所内部控制的有效性进行审计——中国企业内部控制规范体系内部控制基本规范及配套指引内部控制基本规范及配套指引确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。对于影响公司目标实现的内部及外部因素的评估确保相关信息被及时识别及传递的过程公司对于内部控制的基本态度-”来自上层的基调”战略目标报告目标合规目标经营目标资产安全内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督《企业内部控制基本规范》框架100确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程《企业内部控制配套指引》构成《企业内部控制配套指引》构成时间机构标准1999/2004年澳大利亚和新西兰AS/NZ43601999风险管理准则2004年COSO企业风险管理-整合框架1988/2004年BCBS巴赛尔协议||2005年香港会计师工会内部控制与风险管理的基本架构2008年欧洲委员会偿付能力||2009年ISOISO31000风险管理2002年NISTNISTSP800-37风险管理框架1996年以来ISACACOBIT、ValIT、RiskIT国外主要风险管理标准时间机构标准1999/2004年澳大利亚和新西兰AS/NZ41021931年至20世纪80年代末90年代初20世纪90年代以来风险管理的演化发展基于保险和财务层面的风险管理阶段基于整体层面的风险管理阶段风险本身日益复杂风险管理手段日益丰富1931年至20世纪80年代末90年代初20世纪91032004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。国外主要风险管理标准：COSO-ERM企业风险管理框架监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内控控制框架2004年9月，COSO正式颁布《企业风险管理——整104

b.组织过程——一体化部分c.决策制定的一部分a.创造价值d.明确地解决不确定性风险管理原则、框架和过程之间的关系j.动态、循环和响应变化管理风险的原则（第三组）管理风险的框架（第四组）管理风险的过程（第五组）e.系统的，结构化的和及时的f.基于可能得到的最佳资料g.因地制宜h.将人和文化因素考虑在内i.透明和包容k.推进组织的持续改进和改善指令和承诺（4.2）管理风险的框架设计（4.3）框架的监控和审查（4.4）部署风险管理（4.4）框架的持续改善（4.6）建立语境（5.3）风险识别（5.4.2）风险分析（5.4.3）风险评价（5.4.4）风险处理（5.5）风险管理（5.4）沟通和咨询（5.2）对照和复核（5.6）b.组织过程c.决策制定的一部分a.创造价值d.明确地解决时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引国内主要风险管理规定时间机构标准2005年银监会商业银行市场风险管理指引2006106国资委—中央企业全面风险管理指引国资委—中央企业全面风险管理指引107目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区•

内置于企业日常管理过程中，是

一种常规运行的机制。•

整合建设，但根据企业特点各有

侧重。•

无论多么先进的内部控制和风险

管理体系都只能为企业相关目标

的实现提供合理的而非绝对的保

证。•

新事物的导入有个过程，要认清

风险管理成熟度。正解••••

22目前对风险管理与内控认识存在的误区把内部控制与全面风险管误区108理论界对内部控制与风险管理的关系有两种观点：观点1：认为风险管理是内部控制的组成部分观点2：认为内部控制是风险管理的组成部分23风险管理与内部控制的关系理论界对内部控制与风险管理的关系有两种观点：23风险管理与内109我们的看法是：如果以风险作为管理的起点，则内部控制是风险的应对，可以理解为控制属于风险管理的实现工具，因此控制包含于风险管理；如果认为企业管理的实质是控制，风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系统的一部分；从组织结构来看，内部控制和风险管理相应的组织结构是完全一致的，说明二者都应该无缝整合到一定的组织结构中，和其他有关的业务和职能管理共同服务于企业管理。风险管理与内部控制的关系风险管理与内部控制的关系110Ø风险管理：做正确的事

•

风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；

不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”

•

风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误，防止出现重大危机问题。Ø内控：正确的做事

•

内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。

•

内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目标的实现。风险管理与内部控制的关系Ø风险管理：做正确的事Ø内控：正确的做事风险管理与内部控111风险管理与内部控制整合实施运作机制风险管理与内部控制整合实施运作机制《内部控制基本规范》及配套指引旧准则新准则新旧内部审计准则结构的调整《内部控制基本规范》及配套指引旧准则新准则新旧内部审计准则结内部审计作用的发挥内部审计作用的发挥内部审计客体内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。--CIIA内部审计客体内部审计，是一种独立、客观的确认和咨询活动，它通

IIA最近发布的调查报告将内部审计职能涉及到的活动分为三大类25项：内部控制活动（14项）风险管理活动（5项）公司治理活动（6项）内部审计客体IIA最近发布的调查报告将内部审计职能涉及到116内部控制活动风险管理活动公司治理活动合规性审计企业生存能力（持续经营）评价公司治理评价控制系统的有效性评价风险管理程序审计尽责调查经营审计财务风险审计道德审计项目管理审计信息风险审计战略和组织绩效的关系评价安全评价和调查信息系统风险审计薪酬评级灾难恢复测试和支持社会和可持续（社会责任、环境）审计舞弊和不合规调查质量审计外部审计协助管理审计组织人员的风险、控制、合规调查外包业务审计与国际财务报告标准的接轨可扩展商业报告语言的使用内部控制活动风险管理活动公司治理活动合规性审计企业生存能力公117内部审计在风险管理中作用的发挥内部审计的风险管理职责要考虑：组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。内部审计与组织的风险管理成熟度无意识、零碎的有管理的系统化的擅长应对风险是否遵守是否整合了做的事情是否在做了相关法规管理信息是否正确正确的事情风险管理不太成熟：咨询业务，关注风险管理的架构和方法，以及基本风险的控制，为管理层献计献策风险管理较成熟：确认业务，促进改善风险管理介于之间：评估组织的最佳实务和应变措施，优化风险管理实务。内部审计在风险管理中作用的发挥内部审计的风险管理职责118与企业风险管理相关的内部审计核心作用需要安全保障的内部审计作用内部审计不应当发生的作用为风险管理过程提供确认为风险管理评估的准确性提供确认评价风险管理过程评价对主要风险的报告检查主要风险的管理推动风险的识别与评估指导管理层如何应对风险协调企业全面风险管理工作合并风险管理报告维护和发展风险管理框架倡导企业风险管理的建立确定风险偏好强制实施风险管理过程管理层对风险的确认决定风险应对以管理层的名义实施风险应对问责风险管理与企业风险管理相关的内部审计核心作用需要安全保障的内部审计作风险管理审计的界定风险管理审计的界定风险管理审计的概念和内涵风险管理审计是根据企业全面风险管理的目标和政策，采用系统化、规范化的方法，评价企业全面风险管理的运行状况，测试企业风险管理系统、各业务循环及相关部门在风险识别、风险分析、风险评价、风险治理等方面的活动，以识别、预警和纠正企业在实施风险管理过程中可能存在的不适或缺陷，进而提高企业风险管理的效率和效果，保障企业战略目标的实现。某公司内部控制与风险管理审计培训教材课件风险管理审计的概念和内涵1.风险管理审计目标是建立在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上，评价企业风险管理的整体框架、过程、对策或措施及其活动效果，验证企业风险的治理水平，并提出改进措施，以保障风险管理目标的实现，最终支持和保障总体战略目标的实现。2.企业风险管理审计对象是风险管理事项，如企业整体、区域、业务、职能领域、项目、过程、操作、资产、产品、服务或活动等，也可以是风险管理的特定要素，如风险管理政策和落实风险管理政策的方案、程序或手段等。3.风险管理审计职能体现在评价、监督、鉴证和咨询上。某公司内部控制与风险管理审计培训教材课件风险管理审计的概念和内涵4.风险管理审计重心在于识别目前风险管理有效性水平与期望水平之间的差距，以评价和改进风险管理有效性。如何评价企业风险管理的有效性？(1)依照COSO-ERM框架，一方面，核验战略、经营、报告和合规四大目标确实存在，并且针对这些目标的管理都是有效的。(2)依照ISO-31000框架，核验企业风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的，且正常运行。(3)对照特别制定的风险管理框架和要求衡量企业风险管理的有效性。如内控测试状态良好，机制对风险反应迅速，企业对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。4.风险管理审计重心在于识别目前风险管理有效性水平与期望水平风险管理审计的演进某公司内部控制与风险管理审计培训教材课件风险管理审计的演进某公司内部控制与风险管理审计培训教材课件风险管理审计的分类1、一般风险管理审计这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力，可细分类为：⑴针对企业各管理层级的风险管理审计⑵针对企业职能领域或特定关键风险的风险管理审计⑶针对项目的风险管理审计⑷针对各类活动的风险管理审计⑸针对产品或服务的风险管理审计⑹针对过程或操作的风险管理审计2、风险管理要素审计风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计。某公司内部控制与风险管理审计培训教材课件风险管理审计与其他审计的关系某公司内部控制与风险管理审计培训教材课件风险管理审计与其他审计的关系某公司内部控制与风险管理审计培训教材课件风险管理审计实施风险管理审计实施风险管理审计流程确定审计域/全组织范围风险评估全组织范围确认项目/制定审计计划方案审计准备阶段审计实施阶段评价/测试控制设计和其他风险管理技术审计取证结果评价审计发现和审计报告后续审计沟通协调风险管理审计流程确定审计域/全组织范围风险评估全组织范围确认130实施的具体工作确定风险域全组织范围风险评估全组织范围确认项目制定风险管理审计计划评价控制的设计和其他风险管理技术测试控制和其他风险管理技术的有效性审计取证结果的评价后续审计实施的具体工作确定风险域131确定风险域1、嘎吱车轮法(强制性包含领域)。由董事会、管理当局、国际组织、国家法规、外部审计、等发现或要求，急需关注和处理的问题。2、应被审计者的要求。被审计者自行提出的要求。3、系统确认法。组织结构图或成本中心报告企业流程或项目与管理层确定的风险域相协调与其他确认提供者相协调一、确定风险域的方法确定风险域一、确定风险域的方法132确定风险域二、确定风险域应系统考虑因素①上一次审计的日期和结果。②涉及的金额。③潜在的损失和风险。④管理层的要求。⑤经营方案、制度和控制的重大变化。⑥审计人员的变动及能力。确定风险域二、确定风险域应系统考虑因素133确定风险域三、风险域集中的领域—对业绩有重要影响的事项；—存在潜在危机，须使受损程度减至最低的事项；—高级管理者及全公司关心的审计主题；—与不合算的交易，无效业务的发现与改善的有关事项；—与交易，业务的改进及对策有关的事项；—经营层和管理层关心的审计主题；—管理部门中不易发觉的事项；—前次审计中未列作审计对象的事项；—新的业务领域或新项目风险管理审计；—突发事件审计；—年度性针对企业战略、经营操作、财务和声誉综合风险管理领域审计；—针对企业整体层面风险管理框架和政策合理性或针对风险管理过程有效性审计。确定风险域三、风险域集中的领域134全组织范围风险评估1、加权风险因素法审计部门经过风险分析，对风险程度根据重要性原则排出审计的优先顺序。审计项目的安排以风险评价为基础，优先审计风险高的被审计单位，再审计风险低的。其基本的步骤如下：①选择5种（或者根据审计任务范畴或特征具体确定被审数量）对公司来讲最重要的被审风险因素对象；②给每个被审计对象风险因素逐个打分，其评分范围为1-5分（5表示风险最大，1表示风险最小，3表示风险中等或未知风险）；③加总各个被审计对象的分数得出风险值（最高分值为25分，意味着每个风险因素都是5分；最低分值5分，说明每个风险因素的得分都是1分）④按风险值的高低分配审计资源。一、内部审计师常用的风险评估方法全组织范围风险评估一、内部审计师常用的风险评估方法135全组织范围风险评估2、管理层访谈/问卷调查访谈使内部审计部门了解组织的价值主张并且使工作更具有战略性。访谈提纲可以包括：一、内部审计师常用的风险评估方法关键控制目标资料的可靠与完整对于法律、政策、程序的合规资产保护节约、效率和效果….关键管理流程运行目标战略结构人力资源管理信息系统….关键风险固有风险已进行的风险评估基于影响和可能性的重大风险管理风险的现行措施，包括关键控制….全组织范围风险评估一、内部审计师常用的风险评估方法关键控制目136全组织范围风险评估3、风险评估专题讨论会收集和整理选定级别的答题，并采用保密投票技术和数据投影仪将其用图表形式呈现出来。议程可以包括：一、内部审计师常用的风险评估方法目的和结果的简单说明基本规则组织战略目标的讨论与认可启发、诊断式的问题采用的风险类型筛选、归纳风险风险的可能性和影响重大性的讨论风险矩阵记录讨论后续步骤….全组织范围风险评估一、内部审计师常用的风险评估方法目的和结果137全组织范围确认项目1、有些在组织层面运行的控制为整个组织提供保证—与控制环境有关的控制；—信息技术一般控制；2、有些业务层面的控制在整个组织范畴内更便于理解和评价—不同单元、流程或项目的薪酬不同；3、有些风险在组织和业务两个层面都管理，并且可以在一次全组织范围审核中同时在两个层面评价—与职业道德和合规相关的政策和培训；—人力资源和其他共享服务；一、全组织范围确定项目的目的全组织范围确认项目一、全组织范围确定项目的目的138全组织范围确认项目1、组织中与审计主题相关的政策；2、治理文件；3、公认的风险和控制模型ERM、ISO310004、权威性准则可能与审计业务的主题相关；—信息及相关技术控制目标COBIT—质量管理体系ISO10006—法律或监管要求5、最佳实务报告—审计委员会的有效性IIARF二、组织范围确定