风险管理审计课件

第十章风险管理审计第十章风险管理审计1一、企业风险管理审计概述（一）风险及风险管理1.风险定义：是指影响组织目标实现的各种不确定性事件。

包括：内部风险和外部风险

一、企业风险管理审计概述（一）风险及风险管理2A.外部风险是指外部环境中对组织目标的实现产生影响的不确定性。影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等B.内部风险是指内部环境中对组织目标的实现产生影响的不确定性。

影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等A.外部风险是指外部环境中对组织目标的实现产生影响的不确定性32.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进4（二）风险管理的范围包括：组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。（二）风险管理的范围5（三）风险管理的三个阶段1.风险识别：根据组织目标、战略规划等识别所面临的风险。

①组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。②识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。（三）风险管理的三个阶段62.风险评估对已识别的风险，评估其发生的可能性及影响程度。

①风险评估针对两方面进行：（必须同时进行评估）（1）风险发生的可能性；（2）风险的影响程度。②风险评估是做出恰当的风险应对决策的基本前提。2.风险评估73.风险应对采取应对措施，将风险控制在组织可接受的范围内。

①应对措施根据风险的严重程度有针对性地进行。（1）采取措施，降低风险；（2）不采取措施，接受风险。②采取应对措施应考虑成本效益原则。3.风险应对8（四）内部审计与风险管理的关系1.内部审计是一种独立、客观的保证和咨询活动。其目的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。

2.内部审计介入风险管理的主要原因：①内部审计机构有独特的位置；②内部审计师更了解组织的高风险领域；③内部审计师对于组织目标的实现有更强的责任感。

（四）内部审计与风险管理的关系93.内部审计在风险管理中的作用

①检查与评价②管理与协调③顾问与咨询④报告与防范

3.内部审计在风险管理中的作用10（五）组织管理层和内部审计人员在风险管理中的职责1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。☆组织管理层对待风险的态度直接决定了风险管理的程度。☆可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。（五）组织管理层和内部审计人员在风险管理中的职责112、内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。第十章风险管理审计12（六）企业风险管理审计目标1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标。2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。（六）企业风险管理审计目标13（七）企业风险管理审计的特点1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确（七）企业风险管理审计的特点14二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管15（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范围监测和审核沟通和协调识别风险分析风险评价风险处理风险（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范16（二）COSO模型建立组织目标评估风险确定需要的控制识别、测评、排序风险（二）COSO模型建立组织目标评估风险确定需要的控制识别、17（三）IIA研究基金的ERM框架评估风险1.识别风险因素2.排序3.归类4.简要描述风险机会整合风险

数量影响

减轻风险

财务方法探究风险

分析机会

制定计划

实施保持向前1.监测变化→风险因素→环境→组织2.必要时重新进行以前的步骤（三）IIA研究基金的ERM框架评估风险整合风险探究风险保18（四）安达信信息技术风险管理框架确定管理目标经营风险评估识别、探究、辨别、测评制定经营风险管理战略改善经营风险管理过程规避、消除、转移、接收制定或实施风险管理、监控程序经营风险实施效果测试决策信息（四）安达信信息技术风险管理框架确定管理目标经营风险评估制定19（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理风险管理的监督和改进风险管理文化融合组织体系构建（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险20三、风险管理审查与评价（一）风险的审查和评价1.确定风险范围，制定风险评价标准2.识别特定范围的风险①环境风险②过程风险③信息风险三、风险管理审查与评价（一）风险的审查和评价213.分析风险①风险分析目标②风险分析的程序和内容

★风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等3.分析风险22（二）风险评估方法1.定量方法，如蒙特卡罗方法2.定性方法

★风险坐标图（二）风险评估方法23四、企业风险管理审计（一）风险管理机制的审查与评价1.审查组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性

（二）风险识别的适当性及有效性审查1.审查风险识别原则的合理性2.审查风险识别方法的适当性四、企业风险管理审计（一）风险管理机制的审查与评价24（三）风险评估方法的适当性及有效性1.审查风险评估方法重点考虑以下因素：①已识别的风险的特征；②相关历史数据的充分性与可靠性；③管理层进行风险评估的技术能力；④成本效益的考核与衡量

⑤其他（三）风险评估方法的适当性及有效性252.评价风险评估方法适当性和有效性应遵循原则①定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性。②在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法③定量方法一般情况下会比定性方法提供更为客观的评估结果。2.评价风险评估方法适当性和有效性应遵循原则26（四）风险应对措施适当性和有效性审查1.风险应对的审查与评价①回避：采取措施避免进行可产生风险的活动。②接受：由于风险已在组织可接受的范围内，可不采取任何措施。③降低：采取适当措施将风险降低到组织可接受的范围内。④分担：采取措施将风险转移给其他组织或保险机构。通常：对1级风险——回避或降低；对2级或3级风险——降低或分担；对4级风险——接受（四）风险应对措施适当性和有效性审查272.评价风险应对措施时应考虑的因素①采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内；②采取的风险应对措施是否适合本组织的经营、管理特点；

③成本的考核与衡量。2.评价风险应对措施时应考虑的因素28（五）审查和评价风险管理过程结果报告1.内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。2.风险管理的审查和评价结果应反映在内部控制审计报告中，必要时应出具专项审计报告。（五）审查和评价风险管理过程结果报告29演讲完毕，谢谢观看！演讲完毕，谢谢观看！30第十章风险管理审计第十章风险管理审计31一、企业风险管理审计概述（一）风险及风险管理1.风险定义：是指影响组织目标实现的各种不确定性事件。

包括：内部风险和外部风险

一、企业风险管理审计概述（一）风险及风险管理32A.外部风险是指外部环境中对组织目标的实现产生影响的不确定性。影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等B.内部风险是指内部环境中对组织目标的实现产生影响的不确定性。

影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等A.外部风险是指外部环境中对组织目标的实现产生影响的不确定性332.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进34（二）风险管理的范围包括：组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。（二）风险管理的范围35（三）风险管理的三个阶段1.风险识别：根据组织目标、战略规划等识别所面临的风险。

①组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。②识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。（三）风险管理的三个阶段362.风险评估对已识别的风险，评估其发生的可能性及影响程度。

①风险评估针对两方面进行：（必须同时进行评估）（1）风险发生的可能性；（2）风险的影响程度。②风险评估是做出恰当的风险应对决策的基本前提。2.风险评估373.风险应对采取应对措施，将风险控制在组织可接受的范围内。

①应对措施根据风险的严重程度有针对性地进行。（1）采取措施，降低风险；（2）不采取措施，接受风险。②采取应对措施应考虑成本效益原则。3.风险应对38（四）内部审计与风险管理的关系1.内部审计是一种独立、客观的保证和咨询活动。其目的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。

2.内部审计介入风险管理的主要原因：①内部审计机构有独特的位置；②内部审计师更了解组织的高风险领域；③内部审计师对于组织目标的实现有更强的责任感。

（四）内部审计与风险管理的关系393.内部审计在风险管理中的作用

①检查与评价②管理与协调③顾问与咨询④报告与防范

3.内部审计在风险管理中的作用40（五）组织管理层和内部审计人员在风险管理中的职责1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。☆组织管理层对待风险的态度直接决定了风险管理的程度。☆可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。（五）组织管理层和内部审计人员在风险管理中的职责412、内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。第十章风险管理审计42（六）企业风险管理审计目标1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标。2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。（六）企业风险管理审计目标43（七）企业风险管理审计的特点1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确（七）企业风险管理审计的特点44二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等二、企业风险管理框架企业风险管理框架（ERMF）是反映风险管45（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范围监测和审核沟通和协调识别风险分析风险评价风险处理风险（一）澳大利亚-新西兰联合委员会的AS/NZE4360确定范46（二）COSO模型建立组织目标评估风险确定需要的控制识别、测评、排序风险（二）COSO模型建立组织目标评估风险确定需要的控制识别、47（三）IIA研究基金的ERM框架评估风险1.识别风险因素2.排序3.归类4.简要描述风险机会整合风险

数量影响

减轻风险

财务方法探究风险

分析机会

制定计划

实施保持向前1.监测变化→风险因素→环境→组织2.必要时重新进行以前的步骤（三）IIA研究基金的ERM框架评估风险整合风险探究风险保48（四）安达信信息技术风险管理框架确定管理目标经营风险评估识别、探究、辨别、测评制定经营风险管理战略改善经营风险管理过程规避、消除、转移、接收制定或实施风险管理、监控程序经营风险实施效果测试决策信息（四）安达信信息技术风险管理框架确定管理目标经营风险评估制定49（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理风险管理的监督和改进风险管理文化融合组织体系构建（五）《中央企业全面风险管理指引》的企业风险管理框架收集风险50三、风险管理审查与评价（一）风险的审查和评价1.确定风险范围，制定风险评价标准2.识别特定范围的风险①环境风险②过程风险③信息风险三、风险管理审查与评价（一）风险的审查和评价513.分析风险①风险分析目标②风险分析的程序和内容

★风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等3.分析风险52（二）风险评估方法1.定量方法，如蒙特卡罗方法2.定性方法

★风险坐标图（二）风险评估方法53四、企业风险管理审计（一）风险管理机制的审查与评价1.审查组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性

（二）风险识别的适当性及有效性审查1.审查风险识别原则的合理性2.审查风险识别方法的适当性四、企业风险管理审计（一）风险管理机制的审查与评价54（三）风险评估方法的适当性及有效性1.审查风险评估方法重点考虑以下因素：①已识别的风险的特征；