内部审计第十章课件

第十章风险管理审计了解风险管理和风险管理审计的含义描述企业风险的主要类型及应对措施说明内部审计在企业风险管理中的职责和目标举例描述风险管理审计过程第十章风险管理审计了解风险管理和风险管理审计的含义监督（评价与反馈）控制活动（政策与程序）风险评估控制环境（机构文化、管理基调）信息交流监督（评价与反馈）控制活动（政策与程序）风险评估控制环境（机中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。揭示：中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请事件追因2004年一季度油价攀升，公司潜亏580万美元，总裁陈久霖期望油价能回跌，决定延期交割合同，交易量也随之增加。二季度随着油价持续升高，公司账面亏损额增加到3000万美元左右，陈久霖决定再延后交割，交易量再次增加。为了补加交易商追加的保证金，公司耗尽2600万美元的营运资本、1.2亿美元的银团贷款和6800万元的应收账款资金，账面亏损高达1.8亿美元，另需支付8000万美元的额外保证金，资金周转出现严重问题。10月10日，向集团公司首次呈报交易和账面亏损。10月26日，因无法补加合同保证金而遭逼仓，公司蒙受1.32亿美元的实际亏损。12月1日，亏损达5.5亿美元，为此公司向新加坡证券交易所申请停牌，并向当地法院申请破产保护。原因分析在中航油新加坡公司的股权结构中，集团公司一股独大，股东会中没有对集团公司决策有约束力的大股东，众多分散的小股东只是为了获取投资收益，对重大决策基本没有话语权，最终发展成由经营者一人独裁统治，市场规则和内部制度失效，决策与运作过程神秘化、保密化，独断专行决策的流程化和日常化。公司总裁陈久霖兼集团公司副总经理，中航油新加坡公司基本上是其一个人的“天下”。陈久霖能够将越权投机进行到底，除了他编造虚假信息隐瞒真相之外，集团公司的失察、失控也难辞其咎。在企业经营中，公司内部的管理者也应该成为内控的对象，企业的风险管理框架要求董事会承担内控的责任，进行多元控制，保证内控实施力度。内部控制从单元主体转向多元主体，可以防止滥用职权、牟取私利、独断专行等后果。中航油事件中，总裁陈久霖亲自操盘期货期权投机交易，而他本人又是公司内部控制的责任主体。如此混乱的局面最终导致企业控制失灵。事件追因一、企业风险管理审计概述（一）风险及风险管理

1.风险定义：是指影响组织目标实现的各种不确定性事件。

包括：

外部风险：外部环境中对组织目标的实现产生影响的不确定性。

影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等

内部风险：内部环境中对组织目标的实现产生影响的不确定性。

影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等

一、企业风险管理审计概述（一）风险及风险管理2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）为组织目标的实现提供合理保证。2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进内部审计第十章课件3.内部审计在风险管理中的作用

①检查与评价②管理与协调

③顾问与咨询④报告与防范治理机构（董事会等）——负责确定战略方向和机构目标并监督目标实现管理高层——负责目标的实现和确定风险的归属辅助职责内部审计部门——负责定期评价和报告工作，提供合理保证执行管理层操作层——负责持续的确认、评价、减缓①、③②④3.内部审计在风险管理中的作用

①（三）企业风险管理审计目标1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标。2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。（三）企业风险管理审计目标（四）企业风险管理审计的特点1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确（四）企业风险管理审计的特点（五）风险管理的范围包括：组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。（五）风险管理的范围组织管理层和内部审计人员在风险管理中的职责

1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。☆组织管理层对待风险的态度直接决定了风险管理的程度。☆可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。2、内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。组织管理层和内部审计人员在风险管理中的职责二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。（一）定义：由组织的董事会、管理层和其他员工共同参与的，应用于组织斩落制定和组织内部各个层次和部门的，用于识别可能对组织造成潜在影响的事项并在其风险偏好范围内管理风险的，为组织目标的实现提供合理保证的过程。包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管（二）风险管理的八个要素内部环境：风险管理的环境，其他要素的基础目标制定：选择战略并确定其他与之相关的目标并在组织内层层分解和落实。四类目标：战略目标、经营目标、报告目标、合法性目标。风险（事项）识别：根据组织目标、战略规划等识别所面临的风险。

①组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。

②识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。（二）风险管理的八个要素内部环境：风险管理的环境，其他要素的4.风险评估对已识别的风险，评估其发生的可能性及影响程度。

①风险评估针对两方面进行：（必须同时进行评估）（1）风险发生的可能性；（2）风险的影响程度。

②风险评估是做出恰当的风险应对决策的基本前提。4.风险评估5.风险应对采取应对措施，将风险控制在组织可接受的范围内。

①应对措施根据风险的严重程度有针对性地进行。（1）采取措施，降低风险；（2）不采取措施，接受风险。

②采取应对措施应考虑成本效益原则。6.控制活动：帮助保证风险反应方案得到正确执行的相关政策和程序。7.信息和沟通8.监控：评估风险管理要素的内容和运行以及一段时间的执行质量的一个过程5.风险应对（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范围监测和审核沟通和协调识别风险分析风险评价风险处理风险（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范例：澳大利亚运用风险管理预防腐败第一步是分析本部门哪里有腐败风险。第二步是评估风险。对风险可能造成的后果、可能性进行估测，根据评估结果将各种风险排队，查找哪些环节更容易产生腐败。第三步是控制风险。根据各个环节腐败风险的大小制定反腐败控制计划，明确谁来管理，责任在哪个部门，列出完善制度的时间表。计划里必须把花多少人力、物力的具体数字和具体措施写清楚。此外，还要明确涉及多少金额的腐败问题必须报告警察，或者罚款、降职、撤职等。每个部门都有一个办公室专门负责。但由于专业性较强，各部门通常会把评估风险、制定腐败控制计划交给专家去做。第四步是每个部门的审计委员会通过内部审计或其他方法发现腐败问题如果需要调查，可以由本部门查，也可以请警察查。第五步是每个部门每年要向议会公共会计与审计联合委员会报告反腐败情况，包括查办了多少案件，谁负责调查，结果如何，损失多少钱，追回多少钱，犯罪人的类别和数量，花费多少人力、物力去预防腐败等。此外，审计部门每年还要对各部门的反腐败计划执行情况进行抽检。例：澳大利亚运用风险管理预防腐败（二）COSO模型建立组织目标评估风险确定需要的控制识别、测评、排序风险（二）COSO模型建立组织目标评估风险确定需要的控制识别、（三）IIA研究基金的ERM框架评估风险1.识别风险因素2.排序3.归类4.简要描述风险机会整合风险

数量影响

减轻风险

财务方法探究风险

分析机会

制定计划

实施保持向前1.监测变化→风险因素→环境→组织2.必要时重新进行以前的步骤（三）IIA研究基金的ERM框架评估风险整合风险探究风险保（四）安达信信息技术风险管理框架确定管理目标经营风险评估识别、探究、辨别、测评制定经营风险管理战略改善经营风险管理过程规避、消除、转移、接收制定或实施风险管理、监控程序经营风险实施效果测试决策信息（四）安达信信息技术风险管理框架确定管理目标经营风险评估制定（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理风险管理的监督和改进风险管理文化融合组织体系构建（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险我国企业风险管理现状2007年6月，国务院国资委颁布了《中央企业全面风险管理指引》，并将风险管理作为考核企业领导人员的重要内容。国资委正在研究企业全面风险管理评价标准、范围和方法。但截至2007年4月，我国所有的国有企业尚无一家真正建立起全面风险管理体系，还没有一家中央企业达到《中央企业全面风险管理指引》的标准、建立起了全面的风险管理。而普华永道会计公司2004年对国际上1400多个大中型公司的调查显示，已经建成完整的风险管理体系的为38%，部分建成的为35%，正在计划实施的为16%，正在研究或尚无建设计划的为10%。我国企业风险管理现状课堂练习1.内部审计活动评价现存风险管理流程的有效性的目标是要确定：A、管理层已计划并设计了风险管理流程，以便为实现组织的目标和目的提供合理的保证；B、执行层指导风险管理流程以便为实现组织的目标和目的提供合理的保证；C、组织的目标和目的会高效率地、经济地实现；D、组织的目标和目的以准确、及时的方式实现，并且使资源的使用最小化。课堂练习1.内部审计活动评价现存风险管理流程的有效性的目标答案A答案A三、风险管理审查与评价（一）风险的审查和评价（关注风险发生的可能性与严重程度）1.确定风险范围，制定风险评价标准1）风险范围①风险战略范围②组织范围③业务范围2）风险评价标准体系2.识别特定范围的风险①环境风险②过程风险：营运风险，授权风险，信息处理风险，金融风险，诚信风险，信誉风险，流动性风险③信息风险三、风险管理审查与评价（一）风险的审查和评价（关注风险发生的3.分析风险：结合企业特定条件（寿命周期、经营战略等），将识别出来的风险的可能性、损失额、发生频率等性质进行鉴定。①风险分析目标：判断风险程度，为合理制定风险管理策略与决定风险处理方案提供充分根据。②风险分析的程序和内容（风险因素、风险事故、风险征兆）

★风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等3.分析风险：结合企业特定条件（寿命周期、经营战略等），将识内部审计第十章课件（二）风险评估方法

1.定量方法，如风险坐标图方法

2.定性方法

★风险坐标图（二）风险评估方法案例分析猴王集团是一家生产焊接材料和成套设备为主、多元化的国有大型企业公司。公司始建于1958年，最奥的产品是铁钉、铁丝，总资产仅7.84万元。1984年实行厂长负责制，企业狠抓技术，台上负债经营、兼并联合、投资扩张之路，形成了大型企业集团的框架。截止1999年，集团公司拥有1个上市公司，4个股份有限公司，总资产34.14亿元。猴王发展可以分为3个阶段：第一阶段，自我累计和产品创新阶段1980-1989。企业1980年工厂整顿开始，确定了电焊产品的主营地位，1984厂长制以后，开始负债经营，盘活企业资产，加强企业基础管理工作，率先引进日本、瑞典先进设备，1988年以成为湖北省经济效益先进单位榜首企业，是行业发展的明星企业。案例分析猴王集团是一家生产焊接材料和成套设备为主、多元化的国第二阶段，是八五时期的企业规模快速扩张阶段。以股份制改造为契机，运用投资控股、兼并等资本营运手段，迅速扩大了企业规模。随后努力在全国筹建100家工厂、100家公司和100个经营部。截止95年底，集团在工商管理部门登记注册的机构有300多个。第三阶段，九五时期的调整阶段。以建立现代企业制度为契机，发展第三产业，全力消除过渡扩张的恶果，确保公司经济稳定运行。但遗憾的是，集团公司未狠心调整，未对拉长的战线全面收缩，相反不切合实际提出发展人造金刚石产业，是资金投资分散，经营状况进一步恶化。公司2000年走向破产。项目（万）1992199419961999总资产21934172141295193341419净资产195918149811639471775销售收入193549024810816135359利润819113173902-18035第二阶段，是八五时期的企业规模快速扩张阶段。以股份制改造为契阶段DCCS法风险后果定型分析一阶段：导入期明星产品财务风险高次要的二阶段：成长期问题猫经营风险高主要的三阶段：成熟期/衰退期瘦狗经营风险和财务风险高灾难性机会市场占有率高，产业效益，规模经济威胁竞争激烈优势产品多元化劣势资产结构不合理，流动性差，财务风险巨大；无核心竞争力阶段DCCS法风险后果定型分析一阶段：导入期明星产品财务风四、企业风险管理审计（一）风险管理机制的审查与评价1.审查组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性

（二）风险识别的适当性及有效性审查1.审查风险识别原则的合理性2.审查风险识别方法的适当性四、企业风险管理审计（一）风险管理机制的审查与评价（三）风险评估方法的适当性及有效性1.审查风险评估方法重点考虑以下因素：①已识别的风险的特征；②相关历史数据的充分性与可靠性；③管理层进行风险评估的技术能力；④成本效益的考核与衡量

⑤其他（三）风险评估方法的适当性及有效性2.评价风险评估方法适当性和有效性应遵循原则①定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性。②在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法③定量方法一般情况下会比定性方法提供更为客观的评估结果。2.评价风险评估方法适当性和有效性应遵循原则（四）风险应对措施适当性和有效性审查1.风险应对的审查与评价①回避：采取措施避免进行可产生风险的活动。②接受：由于风险已在组织可接受的范围内，可不采取任何措施。③降低：采取适当措施将风险降低到组织可接受的范围内。④分担：采取措施将风险转移给其他组织或保险机构。通常：对1级风险——回避或降低；对2级或3级风险——降低或分担；对4级风险——接受（四）风险应对措施适当性和有效性审查2.评价风险应对措施时应考虑的因素①采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内；②采取的风险应对措施是否适合本组织的经营、管理特点；

③成本的考核与衡量。2.评价风险应对措施时应考虑的因素（五）审查和评价风险管理过程结果报告

1.内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。

2.风险管理的审查和评价结果应反映在内部控制审计报告中，必要时应出具专项审计报告。（五）审查和评价风险管理过程结果报告百事可乐的针头事件百事可乐与可口可乐几度争抢霸主地位。但在激烈竞争过程中，一次突发事件险些使百事可乐陷入被挤出市场的危机，这就是“针头事件”。久闻百事可乐清新爽口的威廉斯太太从超级市场买了两筒百事可乐给孩子。回家后，喝完一筒，觉得味道不错，无意中将罐筒倒扣于桌上，竟然有枚针头被倒了出来。威廉斯太太大惊失色，立即向新闻界捅出此事，可口可乐公司也趁机大肆宣传自己的产品，一时间，百事可乐难得有人问津。百事可乐的针头事件百事可乐公司一得到“针头事件”消息，立即采取了措施，风险处理小组（由总裁、副总裁、法律顾问等）成立一方面通过新闻界向威廉斯太太道歉，并请她讲述事件经过，感谢她对百事可乐的信任，感谢她给百事可乐把了质量关，给予威斯太太一笔可观的奖金以示安慰。还通过媒介向广大消费者宣布：谁若在百事可乐中再发现类似问题，必有重奖。另一方面，在公司百事可乐生产线上更加严格地进行质量检验，并请威廉斯太太参观，使威廉斯太太确信百事可乐质量可靠，并赢得了这位女士的赞扬。整个针头事件使百事可乐公司销售减少至少2500万美元，总共53人被联邦调查局逮捕认为在百事可乐中放置异物。事后有关调查显示，94%消费者认为百事可乐危机处理得当，并且愿意购买他的产品。评价：风险小组迅速反应，主管的重视，选择正确处理危机的手段，坦诚相见。百事可乐公司一得到“针头事件”消息，立即采取了措施，风险处理风险管理审计案例

江铃汽车股份有限公司的内部审计机构实施了风险管理审计，在进行内部审计时以风险为出发点，并以风险管理作为内部审计的对象。江铃股份在制订审计计划时，以往是按照各单位复杂程度以及预期工作量来安排审计时间的。现在将审计计划直接与企业风险挂钩，完全按风险大小来确定审计的重点。将人力物力资源尽可能分配到风险大的事件或环节上。在审计过程中树立成本效益原则，对于风险大的环节，采用更严密的程序和更严格的手段。在帮助设计内部控制措施时，非常注意在严格的内部控制与经营效率间找到平衡点，太严格的内部控制往往以牺牲效率为代价，“所控制的风险是否值得这样控制”成为内部审计工作中常常考虑的问题。风险管理审计案例江铃汽车股份有限公司的内

江铃股份将公司面临的风险区分为外部风险和内部风险，并对具体内容进行识别和评估。在外部风险中，国家有关汽车尾气排放标准的变化会直接威胁公司五年内达到市场份额的目标，因此市场营销部门确认并充分考虑该风险的影响大小，做出相应的风险对策以完成既定目标。内部审计机构则针对该风险管理机制进行审计并做出评价，以确定该机制的有效性。在内部风险中，由于产品研发和基建投资等项目的管理体制和监控系统不断改变，由此给公司新系统的有效性和稳定性方面带来了较大的风险。内部审计机构对项目的授权机制、监控机制进行审计，以确定其有效性，并抽样审查重大项目实施，以确定经过该系统处理后的项目数据的可靠性。江铃股份将公司面临的风险区分为外部风险风险管理控制8要素内部环境目标制定事项识别风险评估风险反应、应对控制活动信息与沟通监控风险管理控制8要素内部环境课后练习1.以下哪项是对内部审计活动评价组织现存的风险管理、控制与治理过程充分性的目标的最佳描述A、帮助确定必要测试的性质、时间安排及范围，以实现业务目标；B、确保内部控制系统的重大薄弱环节得以纠正；C、确保风险管理、控制和治理过程是否为组织的目标和目的得以高效率、经济地实现提供合理的保证；D、确定风险管理、控制和治理过程是否确保会计记录的正确性以及财务报表的公允披露。课后练习1.以下哪项是对内部审计活动评价组织现存的风险管理2、下列哪项对内部审计中使用的“风险评估”一词的陈述不正确：A、风险评估是指在可审计活动中，能够对已转让的美元价值的可预期风险水平判断的过程。上述已转让价值可以使内部审计主管挑选出有利于节约审计成本的审计对象。B、内部审计主管应该将来自各种渠道的信息应用于风险评估过程，包括与董事会、管理当局、外部审计人员的讨论，法规的审查以及财务/经营数据的分析。C、风险评估是可能对组织不利的状况和/或事件进行系统评价与整合过程的职业判断，并为内部审计工作安排提供了依据。D、作为审计或初步调查的结果，内部审计主管可以随时修正审计对象的估计风险水平，并对工作日程表进行适当的调整。2、下列哪项对内部审计中使用的“风险评估”一词的陈述不正确：内部审计第十章课件第十章风险管理审计了解风险管理和风险管理审计的含义描述企业风险的主要类型及应对措施说明内部审计在企业风险管理中的职责和目标举例描述风险管理审计过程第十章风险管理审计了解风险管理和风险管理审计的含义监督（评价与反馈）控制活动（政策与程序）风险评估控制环境（机构文化、管理基调）信息交流监督（评价与反馈）控制活动（政策与程序）风险评估控制环境（机中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。揭示：中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请事件追因2004年一季度油价攀升，公司潜亏580万美元，总裁陈久霖期望油价能回跌，决定延期交割合同，交易量也随之增加。二季度随着油价持续升高，公司账面亏损额增加到3000万美元左右，陈久霖决定再延后交割，交易量再次增加。为了补加交易商追加的保证金，公司耗尽2600万美元的营运资本、1.2亿美元的银团贷款和6800万元的应收账款资金，账面亏损高达1.8亿美元，另需支付8000万美元的额外保证金，资金周转出现严重问题。10月10日，向集团公司首次呈报交易和账面亏损。10月26日，因无法补加合同保证金而遭逼仓，公司蒙受1.32亿美元的实际亏损。12月1日，亏损达5.5亿美元，为此公司向新加坡证券交易所申请停牌，并向当地法院申请破产保护。原因分析在中航油新加坡公司的股权结构中，集团公司一股独大，股东会中没有对集团公司决策有约束力的大股东，众多分散的小股东只是为了获取投资收益，对重大决策基本没有话语权，最终发展成由经营者一人独裁统治，市场规则和内部制度失效，决策与运作过程神秘化、保密化，独断专行决策的流程化和日常化。公司总裁陈久霖兼集团公司副总经理，中航油新加坡公司基本上是其一个人的“天下”。陈久霖能够将越权投机进行到底，除了他编造虚假信息隐瞒真相之外，集团公司的失察、失控也难辞其咎。在企业经营中，公司内部的管理者也应该成为内控的对象，企业的风险管理框架要求董事会承担内控的责任，进行多元控制，保证内控实施力度。内部控制从单元主体转向多元主体，可以防止滥用职权、牟取私利、独断专行等后果。中航油事件中，总裁陈久霖亲自操盘期货期权投机交易，而他本人又是公司内部控制的责任主体。如此混乱的局面最终导致企业控制失灵。事件追因一、企业风险管理审计概述（一）风险及风险管理

1.风险定义：是指影响组织目标实现的各种不确定性事件。

包括：

外部风险：外部环境中对组织目标的实现产生影响的不确定性。

影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等

内部风险：内部环境中对组织目标的实现产生影响的不确定性。

影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等

一、企业风险管理审计概述（一）风险及风险管理2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）为组织目标的实现提供合理保证。2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进内部审计第十章课件3.内部审计在风险管理中的作用

①检查与评价②管理与协调

③顾问与咨询④报告与防范治理机构（董事会等）——负责确定战略方向和机构目标并监督目标实现管理高层——负责目标的实现和确定风险的归属辅助职责内部审计部门——负责定期评价和报告工作，提供合理保证执行管理层操作层——负责持续的确认、评价、减缓①、③②④3.内部审计在风险管理中的作用

①（三）企业风险管理审计目标1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标。2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。（三）企业风险管理审计目标（四）企业风险管理审计的特点1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确（四）企业风险管理审计的特点（五）风险管理的范围包括：组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。（五）风险管理的范围组织管理层和内部审计人员在风险管理中的职责

1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。☆组织管理层对待风险的态度直接决定了风险管理的程度。☆可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。2、内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。组织管理层和内部审计人员在风险管理中的职责二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。（一）定义：由组织的董事会、管理层和其他员工共同参与的，应用于组织斩落制定和组织内部各个层次和部门的，用于识别可能对组织造成潜在影响的事项并在其风险偏好范围内管理风险的，为组织目标的实现提供合理保证的过程。包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管（二）风险管理的八个要素内部环境：风险管理的环境，其他要素的基础目标制定：选择战略并确定其他与之相关的目标并在组织内层层分解和落实。四类目标：战略目标、经营目标、报告目标、合法性目标。风险（事项）识别：根据组织目标、战略规划等识别所面临的风险。

①组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。

②识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。（二）风险管理的八个要素内部环境：风险管理的环境，其他要素的4.风险评估对已识别的风险，评估其发生的可能性及影响程度。

①风险评估针对两方面进行：（必须同时进行评估）（1）风险发生的可能性；（2）风险的影响程度。

②风险评估是做出恰当的风险应对决策的基本前提。4.风险评估5.风险应对采取应对措施，将风险控制在组织可接受的范围内。

①应对措施根据风险的严重程度有针对性地进行。（1）采取措施，降低风险；（2）不采取措施，接受风险。

②采取应对措施应考虑成本效益原则。6.控制活动：帮助保证风险反应方案得到正确执行的相关政策和程序。7.信息和沟通8.监控：评估风险管理要素的内容和运行以及一段时间的执行质量的一个过程5.风险应对（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范围监测和审核沟通和协调识别风险分析风险评价风险处理风险（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范例：澳大利亚运用风险管理预防腐败第一步是分析本部门哪里有腐败风险。第二步是评估风险。对风险可能造成的后果、可能性进行估测，根据评估结果将各种风险排队，查找哪些环节更容易产生腐败。第三步是控制风险。根据各个环节腐败风险的大小制定反腐败控制计划，明确谁来管理，责任在哪个部门，列出完善制度的时间表。计划里必须把花多少人力、物力的具体数字和具体措施写清楚。此外，还要明确涉及多少金额的腐败问题必须报告警察，或者罚款、降职、撤职等。每个部门都有一个办公室专门负责。但由于专业性较强，各部门通常会把评估风险、制定腐败控制计划交给专家去做。第四步是每个部门的审计委员会通过内部审计或其他方法发现腐败问题如果需要调查，可以由本部门查，也可以请警察查。第五步是每个部门每年要向议会公共会计与审计联合委员会报告反腐败情况，包括查办了多少案件，谁负责调查，结果如何，损失多少钱，追回多少钱，犯罪人的类别和数量，花费多少人力、物力去预防腐败等。此外，审计部门每年还要对各部门的反腐败计划执行情况进行抽检。例：澳大利亚运用风险管理预防腐败（二）COSO模型建立组织目标评估风险确定需要的控制识别、测评、排序风险（二）COSO模型建立组织目标评估风险确定需要的控制识别、（三）IIA研究基金的ERM框架评估风险1.识别风险因素2.排序3.归类4.简要描述风险机会整合风险

数量影响

减轻风险

财务方法探究风险

分析机会

制定计划

实施保持向前1.监测变化→风险因素→环境→组织2.必要时重新进行以前的步骤（三）IIA研究基金的ERM框架评估风险整合风险探究风险保（四）安达信信息技术风险管理框架确定管理目标经营风险评估识别、探究、辨别、测评制定经营风险管理战略改善经营风险管理过程规避、消除、转移、接收制定或实施风险管理、监控程序经营风险实施效果测试决策信息（四）安达信信息技术风险管理框架确定管理目标经营风险评估制定（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理风险管理的监督和改进风险管理文化融合组织体系构建（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险我国企业风险管理现状2007年6月，国务院国资委颁布了《中央企业全面风险管理指引》，并将风险管理作为考核企业领导人员的重要内容。国资委正在研究企业全面风险管理评价标准、范围和方法。但截至2007年4月，我国所有的国有企业尚无一家真正建立起全面风险管理体系，还没有一家中央企业达到《中央企业全面风险管理指引》的标准、建立起了全面的风险管理。而普华永道会计公司2004年对国际上1400多个大中型公司的调查显示，已经建成完整的风险管理体系的为38%，部分建成的为35%，正在计划实施的为16%，正在研究或尚无建设计划的为10%。我国企业风险管理现状课堂练习1.内部审计活动评价现存风险管理流程的有效性的目标是要确定：A、管理层已计划并设计了风险管理流程，以便为实现组织的目标和目的提供合理的保证；B、执行层指导风险管理流程以便为实现组织的目标和目的提供合理的保证；C、组织的目标和目的会高效率地、经济地实现；D、组织的目标和目的以准确、及时的方式实现，并且使资源的使用最小化。课堂练习1.内部审计活动评价现存风险管理流程的有效性的目标答案A答案A三、风险管理审查与评价（一）风险的审查和评价（关注风险发生的可能性与严重程度）1.确定风险范围，制定风险评价标准1）风险范围①风险战略范围②组织范围③业务范围2）风险评价标准体系2.识别特定范围的风险①环境风险②过程风险：营运风险，授权风险，信息处理风险，金融风险，诚信风险，信誉风险，流动性风险③信息风险三、风险管理审查与评价（一）风险的审查和评价（关注风险发生的3.分析风险：结合企业特定条件（寿命周期、经营战略等），将识别出来的风险的可能性、损失额、发生频率等性质进行鉴定。①风险分析目标：判断风险程度，为合理制定风险管理策略与决定风险处理方案提供充分根据。②风险分析的程序和内容（风险因素、风险事故、风险征兆）

★风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等3.分析风险：结合企业特定条件（寿命周期、经营战略等），将识内部审计第十章课件（二）风险评估方法

1.定量方法，如风险坐标图方法

2.定性方法

★风险坐标图（二）风险评估方法案例分析猴王集团是一家生产焊接材料和成套设备为主、多元化的国有大型企业公司。公司始建于1958年，最奥的产品是铁钉、铁丝，总资产仅7.84万元。1984年实行厂长负责制，企业狠抓技术，台上负债经营、兼并联合、投资扩张之路，形成了大型企业集团的框架。截止1999年，集团公司拥有1个上市公司，4个股份有限公司，总资产34.14亿元。猴王发展可以分为3个阶段：第一阶段，自我累计和产品创新阶段1980-1989。企业1980年工厂整顿开始，确定了电焊产品的主营地位，1984厂长制以后，开始负债经营，盘活企业资产，加强企业基础管理工作，率先引进日本、瑞典先进设备，1988年以成为湖北省经济效益先进单位榜首企业，是行业发展的明星企业。案例分析猴王集团是一家生产焊接材料和成套设备为主、多元化的国第二阶段，是八五时期的企业规模快速扩张阶段。以股份制改造为契机，运用投资控股、兼并等资本营运手段，迅速扩大了企业规模。随后努力在全国筹建100家工厂、100家公司和100个经营部。截止95年底，集团在工商管理部门登记注册的机构有300多个。第三阶段，九五时期的调整阶段。以建立现代企业制度为契机，发展第三产业，全力消除过渡扩张的恶果，确保公司经济稳定运行。但遗憾的是，集团公司未狠心调整，未对拉长的战线全面收缩，相反不切合实际提出发展人造金刚石产业，是资金投资分散，经营状况进一步恶化。公司2000年走向破产。项目（万）1992199419961999总资产21934172141295193341419净资产195918149811639471775销售收入193549024810816135359利润819113173902-18035第二阶段，是八五时期的企业规模快速扩张阶段。以股份制改造为契阶段DCCS法风险后果定型分析一阶段：导入期明星产品财务风险高次要的二阶段：成长期问题猫经营风险高主要的三阶段：成熟期/衰退期瘦狗经营风险和财务风险高灾难性机会市场占有率高，产业效益，规模经济威胁竞争激烈优势产品多元化劣势资产结构不合理，流动性差，财务风险巨大；无核心竞争力阶段DCCS法风险后果定型分析一阶段：导入期明星产品财务风四、企业风险管理审计（一）风险管理机制的审查与评价1.审查组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性

（二）风险识别的适当性及有效性审查1.审查风险识别原则的合理性2.审查风险识别方法的适当性四、企业风险管理审计（一）风险管理机制的审查与评价（三）风险评估方法的适当性及有效性1.审查风险评估方法重点考虑以下因素：①已识别的风险的特征；②相关历史数据的充分性与可靠性；③管理层进行风险评估的技术能力；④成本效益的考核与衡量

⑤其他（三）风险评估方法的适当性及有效性2.评价风险评估方法适当性和有效性应遵循原则①定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性。②在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法③定量方法一般情况下会比定性方法提供更为客观的评估结果。2.评价风险评估方法适当性和有效性应遵循原则（四）风险应对措施适当性和有效性审查1.风险应对的审查与评价①回避：采取措施避免进行可产生风险的活动。②接受：由于风险已在组织可接受的范围内，可不采取任何措施。③降低：采取适当措施将风险降低到组织可接受的范围内。④分担：采取措施将风险转移给其他组织或保险机构。通常：对1级风险——回避或降低；对2级或3级风险——降低或分担；对4级风险——接受（四）风险应对措施适当性和有效性审查2.评价风险应对措施时应考虑的因素①采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内；②采取的风险应对措施是否适合本组织的经营、管理特点；

③成本的考核与衡量。2.评价风险应对措施时应考虑的因素（五）审查和评价风险管理过程结果报告

1.内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。

2.风