月河北风险管理审计讲座发送

Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty内部控制与风险管理审计赵珊博士国际内部审计师南京审计大学副教授中国内部审计发展研究中心南京审计大学内部审计系2016年12月主要内容内部控制与全面风险管理内部审计作用的发挥风险管理审计的界定内部控制和风险管理审计实施内部控制、风险管理审计案例内部控制与全面风险管理舞弊压力机会借口内部控制的缘起——LarrySawyer——W.SteveAlbrecht压力要素是舞弊者的行为动机，压力的具体形式有所差异职务舞弊者必须权衡利弊，进行心理平衡过程，使职务舞弊行为与其本人的道德观念、行为准则相吻合机会是指可进行舞弊而又能掩盖起来不被发现或能侥幸逃避惩罚的时机或情形80至90年代内部控制的演化发展业务本身日益复杂控制手段日益丰富内部牵制内部控制制度内部控制结构内部控制整合架构风险管理整合框架20世纪初期以前20世纪30-70年代90年代以来2004年以来SOXACT200120022003CombinedCodeHIH保险公司One.Tel安然萨班斯－奥克斯利法案世通

Qwest

CodeofCorporateGovernance国际内部控制的发展与最新趋势200420052006公司治理守则第9号法案审计改革和公司信息披露法案

企业管治常规守则内部控制规范2007FinancialInstrumentsandExchangeLaw我国内部控制的发展过程内部牵制阶段会计控制阶段全面控制阶段

123（一）第一阶段是内部牵制。这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。1、1978年9月12日，国务院颁布《会计人员职权条例》。2、1984年4月24日，财政部发布《会计人员工作规则》。3、1985年1月21日，第六届全国人民代表大会常务委员会第九次会议通过《中华人民共和国会计法》，重申了会计岗位责任制的要求。我国内部控制的发展过程二、会计控制阶段：

1、1996年6月17日，财政部发布《会计基础工作规范》，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。2、1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求。3、财政部随后制定发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》等7项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。我国内部控制的发展过程三、全面控制阶段：

进入21世纪，随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。

我国内部控制的发展过程中国国内内部部控控制制的的发发展展2006(财政政部部)企业业内内部部控控制制鉴鉴证证指指引引企业业内内部部控控制制评评价价指指引引企业业内内部部控控制制应应用用指指引引(征求求意意见见稿稿)(上交交所所/深交交所所)内部部控控制制指指引引(国资资委委中央企业全面风险管理指引2007(财政政部部)企业业内内部部控控制制规规范范-基本本规规范范(征求求意意见见稿稿)2008(财政政部部)企业业内部部控控制制基基本本规规范范（保保监监会会））寿险险公公司司内内部部控控制制评评价价办办法法（（试试行行））保险险公公司司内部部审审计计指指引引（（试试行行））保险险公公司司风险险管管理理指指引引（（试试行行））(证监监会会））上市市公公司司信信息息披披露露管管理理办办法法（银银监监会会））银行行业业金融融机机构构信信息息系系统统风风险险管管理理的的指指引引（银银监监会会））商业业银银行行内内部部控控制制指指引引（银银监监会会)商业业银银行行合合规规风风险险管管理理指指引引（证证监监会会））证券券公公司司风风险险控控制制指指标标管管理理办办法法（证证监监会会））证券券公公司司合合规规管管理理试试行行规规定定（证证监监会会））证券券公公司司监监督督管管理理条条例例（银银监监会会））商业银银行操操作风风险管管理指指引我国内内部控控制的的发展展过程程2008年6月，财财政部部会同同证监监会、、审计计署、、银监监会、、保监监会五五部委委发布布《企业内内部控控制基基本规规范》（简称称《基本规规范》）2010年4月《企业内内部控控制配配套指指引》发布。。具体体包括括《企业内内部控控制应应用指指引》、《企业内内部控控制评评价指指引》、《企业内内部控控制审审计指指引》2011年1月1日起在在境内内外同同时上上市的的公司司范围围内施施行，，2012年1月1日起扩扩大到到上证证、深深证主主板上上市的的公司司。鼓鼓励非非上市市的大大中型型企业业执行行。执执行本本规范范的上上市公公司，，应当当对本本公司司内部部控制制的有有效性性进行行自我我评价价，披披露年年度自自我评评价报报告，，并可可聘请请具有有证券券、期期货业业务资资格的的会计计师事事务所所内部部控制制的有有效性性进行行审计计——中国企企业内内部控控制规规范体体系内部控控制基基本规规范及及配套套指引引13确保被被识别别出规规避风风险的的控制制措施施可以以及时时有效效得到到实施施的政政策和和程序序确认内内部控控制是是否进进行充充分的的设计计和执执行，，以及及是否否具备备有效效性和和适应应性。。对于影影响公公司目目标实实现的的内部部及外外部因因素的的评估估确保相相关信信息被被及时时识别别及传传递的的过程程公司对对于内内部控控制的的基本本态度度-”来自上上层的的基调调”战略目标报告目标合规目标经营目标资产安全内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督《企业内内部控控制基基本规规范》框架《企业内内部控控制配配套指指引》构成时间机构标准1999/2004年澳大利亚和新西兰AS/NZ43601999风险管理准则2004年COSO企业风险管理-整合框架1988/2004年BCBS巴赛尔协议||2005年香港会计师工会内部控制与风险管理的基本架构2008年欧洲委员会偿付能力||2009年ISOISO31000风险管理2002年NISTNISTSP800-37风险管理框架1996年以来ISACACOBIT、ValIT、RiskIT国外主要风风险管管理标准1931年至20世纪80年代末末90年代初初20世纪90年代以以来风险管管理的的演化化发展展基于保保险和和财务务层面面的风风险管管理阶阶段基于整整体层层面的的风险险管理风险本身身日益复复杂风险管理理手段日日益丰富富2004年9月月，COSO正正式颁布布《企业业风险管管理———整体框框架》，，包含4大目标标（战略略、经营营、报告告和合规规目标））、8个个相互关关联的要要素（内内部环境境、目标标设定、、事项识识别、风风险评估估、风险险应对、、控制活活动、信信息与沟沟通、监监控）和和应用的的企业及及单位（（公司层国外主要要风险管管理标准准：COSO-ERM企业风险险管理框框架监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内控控制制框架b.组织过程程——一体化部部分c.决策制定定的一部部分a.创造价值值d.明确地解解决不确确定性风险管理理原则、、框架和和过程之之间的关关系j.动态、循循环和响响应变化化管理风险险的原则则（第三组组）管理风险险的框架架（第四组组）管理风险险的过程程（第五组组）e.系统的，，结构化化的和及及时的f.基于可能得到到的最佳资料料g.因地制宜h.将人和文化因因素考虑在内内i.透明和包容k.推进组织的持持续改进和改改善指令和承诺（4.2）管理风险的框框架设计（4.3）框架的监控和和审查（4.4）部署风险管理理（4.4）框架的持续改改善（4.6）建立语境（5.3）风险识别（）风险分析（）风险评价（）风险处理（5.5）风险管理（5.4）沟通和咨询（（5.2）对照和复核（（5.6）时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引国内主要风险险管理规定国资委—中央央企业全面风风险管理指引引目前对风险管管理与内控认认识存在的误误区把内部控制与与全面风险管管理体系的建设设理解为建章章立制。内部控制体系系和全面风险险管理体系是相相互独立的。。内部控制和全全面风险管理理的作用被夸大大。内部控制与全全面风险管理理理念在企业实实践落地难。。误区•内置于企业日日常管理过程程中，是一种常规运行行的机制。•整合建设，但但根据企业特特点各有侧重。•无论多么先进进的内部控制制和风险管理理体体系系都都只只能能为为企企业业相相关关目目标标的实实现现提提供供合合理理的的而而非非绝绝对对的的保保证。。•新事事物物的的导导入入有有个个过过程程，，要认认清清风险险管管理理成成熟熟度度。正解解••••22理论论界界对对内内部部控控制制与与风风险险管管理理的的关关系系有有两两种种观观点点：：观点点1：：认认为为风风险险管管理理是是内内部部控控制制的的组组成成部部分分观点点2：：认认为为内内部部控控制制是是风风险险管管理理的的组组成成部部分分23风险险管管理理与与内部控制的的关系我们的看法法是：如果以风险险作为管理理的起点，，则内部控控制是风险险的应对，，可以理解解为控制属属于风险管管理的实现现工具，因因此控制包含于于风险管理理；如果认为企企业管理的的实质是控控制，风险险管理只是是在资源有有限性和对对象复杂性性矛盾下的的平衡和导导向，那么么风险管理可可以作为控控制系统的的一部分；从组织结构构来看，内内部控制和和风险管理理相应的组组织结构是是完全一致致的，说明明二者都应应该无缝整整合到一定定的组织结结构中，和和其他有关关的业务和和职能管理理共同服务于于企业管理理。风险管理与与内部控制的的关系Ø风险管管理：做正正确的事•风险管理解解决的不仅仅是流程问问题，更是是要解决战战略决策问问题、应急急处理问题题；不仅要解决决当前的问问题，更要要预测和应应对将来可可能发生的的问题；不不但要解决决“正确地地做事”，，关键是还还要解决““做正确的的事”•风险管理更更偏向于前前端，对影影响目标实实现的因素素的分析、、评估与应应对，防止止重大决策策失误，防防止出现重重大危机问问题。Ø内控控：正确确的做事事•内控解决决的是流流程问题题，包括括业务流流程、管管理流程程中的风风险控制制，解决决的是““正确地地做事””。•内部控制制更加重重视实施施，嵌入入到企业业各业务务流程的的具体业业务活动动中，融融合在企企业的各各项规章章制度之之中，使使企业在在正常运运营过程程中自发发地防止止错误，，确保合合规和真真实，从从而合理理保证目目标的实实现。风险管理理与内部控制制的关系系风险管理理与内部部控制整整合实施施运作机机制5-内部控制审计12-遵循性审计16-风险管理审计21-内部审计的控制自我评估法2201内部控制审计《内部控制制基本规规范》及配套指指引旧准则新准则新旧内部部审计准准则结构构的调整整内部审计计作用的的发挥内部审计计客体内部审计，是是一种独立、、客观的确认认和咨询活动动，它通过运运用系统、规规范的方法，，审查和评价价组织的业务务活动、内部部控制和风险险管理的适当当性和有效性性，以促进组组织完善治理理、增加价值值和实现目标标。--CIIAIIA最近发布的调调查报告将内内部审计职能能涉及到的活活动分为三大大类25项：内部控制活动动（14项）风险管理活动动（5项）公司治理活动动（6项）内部审计客体体内部控制活动风险管理活动公司治理活动合规性审计企业生存能力（持续经营）评价公司治理评价控制系统的有效性评价风险管理程序审计尽责调查经营审计财务风险审计道德审计项目管理审计信息风险审计战略和组织绩效的关系评价安全评价和调查信息系统风险审计薪酬评级灾难恢复测试和支持社会和可持续（社会责任、环境）审计舞弊和不合规调查质量审计外部审计协助管理审计组织人员的风险、控制、合规调查外包业务审计与国际财务报告标准的接轨可扩展商业报告语言的使用内部审计在风风险管理中作作用的发挥内部审计的风风险管理职责责要考虑：组组织规模、成成熟程度、风风险管理状况况、风险影响响程度及概率率、组织文化化、立场公告告等。内部审计与组组织的风险管管理成熟度无意识、零碎碎的有有管理的系系统化的擅擅长应应对风险是否遵守是是否整合合了做做的事情情是是否否在做了相关法规管管理信息是是否正确确正正确确的事情风险管理不太太成熟：咨询询业务，关注注风险管理的的架构和方法法，以及基本本风险的控制制，为管理层层献计献策风险管理较成成熟：确认业业务，促进改改善风险管理理介于之间：评评估组织的最最佳实务和应应变措施，优优化风险管理理实务。与企业风险管管理相关的内内部审计核心心作用需要安全保障障的内部审计计作用内部审计不应应当发生的作作用为风险管理过过程提供确认认为风险管理评评估的准确性性提供确认评价风险管理理过程评价对主要风风险的报告检查主要风险险的管理推动风险的识识别与评估指导管理层如如何应对风险险协调企业全面面风险管理工工作合并风险管理理报告维护和发展风风险管理框架架倡导企业风险险管理的建立立确定风险偏好好强制实施风险险管理过程管理层对风险险的确认决定风险应对对以管理层的名名义实施风险险应对问责风险管理理风险管理审计计的界定风险管理审计计的概念和内内涵风险管理审计计是根据企业全全面风险管理理的目标和政政策，采用系风险管理审计计的概念和内内涵1.风险险管管理理审审计计目目标标是建建立立在在确确定定企企业业基基本本经经营营目目标标、、风风险险、、绩绩效效指指标标和和风风险险承承受受能能力力的的基基础础上上，，评评价价企企业业风风险险管管理理的的整整体体框框架架、、过过程程、、对对策策或或措措施施及及其其活活动动效效果果，，验验证证企企业业风风险险的的治治理理水水平平，，并并提提出出改改进进措措施施，，以以保保障障风风险险管管理理目目标标的的实实现现，，最最终终支支持持和和保保障障总总体体战战略略目目标标的的实实现现。。2.企业风风险管管理审审计对对象是风险险管理理事项项，如如企业业整体体、区区域、、业务务、职职能领领域、、项目目、过3.风险管理审计职能体现在评价、监督、鉴证和咨询上。风险管管理审审计的的概念念和内内涵4.风险管管理审审计重重心在在于识识别目目前风风险管管理有有效性性水平平与期期望水水平之之间的的差距距，以以评价价和改改进风风险管管理有有效性性。如何评评价企企业风风险管管理的的有效效性？(1)依照COSO-ERM框架，，一方方面，，核验验战略略、经经营、、报告告和合合规四四大目目标确确实存存在，，并且且针对对这些些目标标的管管理都都是有有效的的。(2)依照ISO-31000框架，，核验验企业业风险险管理理过程程中针针对每每个关关键的的风险险环节节实施施的风风险管管理是是存在在和合合理的的，且且正常常运行行。(3)对照特别制制定的风险险管理框架架和要求衡衡量企业风风险管理的的有效性。。如内控测测试状态良良好，机制制对风险反反应迅速，，企业对风风险的预测测能力正在在逐渐提高高，事故发发生率降低低和损失明明显减少，，社会责任任形象提升升等。风险管理审审计的演进进风险管理审审计的演进进风险管理审审计的分类类1、一般风险险管理审计计这类审计主主要目的是是识别/确认被审事事项的关键键业绩影响响因素和评评价相应的的风险管理理效率和效效力，可细细分类为：：⑴针对企业业各管理层层级的风险险管理审计计⑵针对企业业职能领域域或特定关关键风险的的风险管理理审计⑶针对项目目的风险管管理审计⑷针对各类类活动的风风险管理审审计⑸针对产品品或服务的的风险管理理审计⑹针对过程程或操作的的风险管理理审计2、风险管理理要素审计计风险管理要要素审计是是针对企业业风险管理理政策、方方法、措施施、手段等等要素实施施的审计。。风险管理审审计与其他他审计的关关系风险管理审审计与其他他审计的关关系风险管理审审计实施风险管理审审计流程确定审计域域/全组织范围围风险评估估全组织范围围确认项目目/制定审计计计划方案审计准备阶阶段审计实施阶阶段评价/测试控制设设计和其他他风险管理理技术审计取证结结果评价审计发现和和审计报告告后续审计沟通协调实施的具体体工作确定风险域域全组织范围围风险评估估全组织范围围确认项目目制定风险管管理审计计计划评价控制的的设计和其其他风险管管理技术测试控制和和其他风险险管理技术术的有效性性审计取证结结果的评价价后续审计确定风险域域1、嘎吱车轮轮法(强制性包含含领域)。由董事会会、管理当当局、国际际组织、国国家法规、、外部审计计、等发现现或要求，，急需关注注和处理的的问题。2、应被审计计者的要求求。被审计计者自行提提出的要求求。3、系统确认认法。组织结构图图或成本中中心报告企业流程或或项目与管理层确确定的风险险域相协调调与其他确认认提供者相相协调一、确定风风险域的方方法确定风险域域二、确定风风险域应系系统考虑因因素①上一次审审计的日期期和结果。。②涉及的金金额。③潜在的损损失和风险险。④管理层的的要求。⑤经营方案案、制度和和控制的重重大变化。。⑥审计人员员的变动及及能力。确定风险域域三、风险域域集中的领领域—对业绩有重重要影响的的事项；—存在潜在危危机，须使使受损程度度减至最低低的事项；；—高级管理者者及全公司司关心的审审计主题；；—与不合算的的交易，无无效业务的的发现与改改善的有关关事项；—与交易，业业务的改进进及对策有有关的事项项；—经营层和管管理层关心心的审计主主题；—管理部门中中不易发觉觉的事项；；—前次次审审计计中中未未列列作作审审计计对对象象的的事事项项；；—新的的业业务务领领域域或或新新项项目目风风险险管管理理审审计计；；—突发发事事件件审审计计；；—年度度性性针针对对企企业业战战略略、、经经营营操操作作、、财财务务和和声声誉誉综综合合风风险险管管理理领领域域审审计计；；—针对企业整体体层面风险管管理框架和政政策合理性或或针对风险管管理过程有效效性审计。全组织范围风风险评估1、加权风险因因素法审计部门经过过风险分析，，对风险程度度根据重要性性原则排出审审计的优先顺顺序。审计项项目的安排以以风险评价为为基础，优先先审计风险高高的被审计单单位，再审计计风险低的。。其基本的步步骤如下：①选择5种（或者根据据审计任务范范畴或特征具具体确定被审审数量）对公公司来讲最重重要的被审风风险因素对象象；②给每个被审审计对象风险险因素逐个打打分，其评分分范围为1-5分（5表示风险最大大，1表示风险最小小，3表示风险中等等或未知风险险）；③加总各个被被审计对象的的分数得出风风险值（最高高分值为25分，意意味着着每个个风险险因素素都是是5分；最最低分分值5分，，说说明明每每个个风风险险因因素素的的得得分分都都是是1分））④按按风风险险值值的的高高低低分分配配审审计计资资源源。。一、、内内部部审审计计师师常常用用的的风风险险评评估估方方法法全组组织织范范围围风风险险评评估估2、管管理理层层访访谈谈/问卷卷调调查查访谈谈使使内内部部审审计计部部门门了了解解组组织织的的价价值值主主张张并并且且使使工工作作更更具具有有战战略略性性。。访谈提纲纲可以包包括：一、内部部审计师师常用的的风险评评估方法法关键控制目目标资料的可靠靠与完整对于法律、、政策、程程序的合规规资产保护节约、效率率和效果….关键管理流流程运行目标战略结构人力资源管管理信息系统….关键风险固有风险已进行的风风险评估基于影响和和可能性的的重大风险险管理风险的的现行措施施，包括关关键控制….全组织范围围风险评估估3、风险评估估专题讨论论会收集和整理理选定级别别的答题，，并采用保保密投票技技术和数据据投影仪将将其用图表表形式呈现现出来。议程可以包包括：一、内部审审计师常用用的风险评评估方法目的和结果果的简单说说明基本规则组织战略目目标的讨论论与认可启发、诊断断式的问题题采用的风险险类型筛选、归纳纳风险风险的可能能性和影响响重大性的讨讨论风险矩阵记记录讨论后续步步骤….全组织范围围确认项目目1、有些在组组织层面运运行的控制制为整个组组织提供保保证—与控制环境境有关的控控制；—信息技术一一般控制；；2、有些业务务层面的控控制在整个个组织范畴畴内更便于于理解和评评价—不同单元、、流程或项项目的薪酬酬不同；3、有些风险险在组织和和业务两个个层面都管管理，并且且可以在一一次全组织织范围审核核中同时在在两个层面面评价—与职业道德德和合规相相关的政策策和培训；；—人力资源和和其他共享享服务；一、全组织织范围确定定项目的目目的全组织范围围确认项目目1、组织中与与审计主题题相关的政政策；2、治理文件件；3、公认的风风险和控制制模型ERM、ISO310004、权威性准准则可能与与审计业务务的主题相相关；—信息及相关关技术控制制目标COBIT—质量管理体体系ISO10006—法律或监管管要求5、最佳实务务报告—审计委员会会的有效性性IIARF二、组织范范围确定项项目的标准准全组织范围围确认项目目“内部审计计部门必须须针对组织织内与职业业道德相关关的目标、、计划和业业务评估其其设计、实实施和效果果”1、结构化访访谈；怎么知道员员工真正理理解公司的的职业道德德规范？与同行业相相比，我们们的风险偏偏好是怎样样的？收取或给与与礼物的一一般规定是是什么？你是否觉得得同样的规规定适用于于所有员工工？为什么么或为什么么不是？你是否见过过不合乎职职业道德的的行为受到到表彰？2、推动型专专题讨论会会；3、问卷调查查；三、评价组组织层面控控制的方法法制定风险管管理审计计计划风险评估决决定着确认认业务的审审计目标、、范围和方方法。识别和评估估风险的来来源和资料料：1、文档审阅阅：经营计划组织机构图图流程图关键技技术工作描描述关键政政策一、高高层次次确认认业务务风险险评估估制定风风险管管理审审计计计划风险评评估决决定着着确认认业务务的审审计目目标、、范围围和方方法。。识别和和评估估风险险的来来源和和资料料：2、各各层层次次管管理理层层访访谈谈：：使命命或或目目的的首要要市市场场或或竞竞争争关键键经经营营问问题题财务务状状况况和和趋趋势势近期期的的变变化化优势势经理理关关注注或或面面临临的的挑挑战战主要要风风险险关键员工工流程和运运营系统统的概览览一、高层层次确认认业务风风险评估估制定风险险管理审审计计划划风险评估估决定着着确认业业务的审审计目标标、范围围和方法法。识别和评评估风险险的来源源和资料料：3、管理层层的风险险评估4、业绩指指标和趋趋势5、财务和和运营信信息6、以前的的审计结结果7、组织外外部的内内部审计计师8、外部审审计师和和咨询专专家9、法规和和监管结结果10、行业研研究和标标准11、事件报报告12、保持客客户联系系一、高层层次确认认业务风风险评估估制定风险险管理审审计计划划“内部审审计的责责任是对对内部控控制设计计和运行行的有效效性进行行审查和和评价，，出具客客观、公公正的审审计报告告，促进进组织改改善内部部控制及及风险管管理。””1、内部控控制：内内部审计计部门必必须评估估控制的的效率和和效果，，并促进进持续改改进、从从而协助助组织维维持有效效的控制制。财务和和运营营信息息的可可靠性性和完完整性性运营的的效率率和效效果资产的的安全全法律、、法规规、政政策、、程序序、合合同的的遵循循情况况2、风险险管理理：内内部审审计活活动必必须评评估风风险管管理过过程的的有效效性，，并为为其改改善作作出贡贡献。。组织目目标支支持本本组织织的使使命并并与其其保持持一致致。重大风风险得得到识识别和和评估估选定适适当的的风险险应对对方案案，并并符合合组织织的风风险偏偏好获取相相关的的风险险信息息，并并在组组织内内部及及时沟沟通，，以便便员工工、管管理层层和董董事会会履行行其相相关职职责二、形形成审审计目目标、、范围围和方方法制定风风险管管理审审计计计划风险管管理审审计计计划就就审计计目标标、范范围和和方法法等给给出更更为清清晰的的和可可操作作的指指引。。一般般来讲讲，一一个整整体和和较全全面的的审计计计划划应当当包括括：审计目目标、、审计计域、、审计计要点点、审审计准准则以以及其其他参参照指指标、、审计计程序序及其其包含含内容容、审审计调调查与与测试试取证证安排排、审审计负负责人人及其其责任任、确确定审审计所所需信信息和和资料料、主主要审审计方方法和和技术术的选选用、、审计计时间间进度度和审审计顺顺序（（例如如审计计顺序序、何何时与与谁交交谈、、进行行现场场观察察的时时间安安排、、对每每一种种审计计程序序推进进进度度的时时间安安排、、每个个阶段段需进进展的的审计计深度度、何何时向向谁提提交审审计结结果等等）、、审计计资源源需求求、审审计组组织与与审计计质量量保障障证措措施、、审计计团队队的组组成、、对被被审目目标的的配合合要求求、审审计报报告要要点框框架等等。风险管管理审审计计计划可可以规规划化化和表表格化化，并并分发发给承承办该该审计计事项项的所所有审审计人人员。。三、风风险管管理审审计计计划内内容制定风风险管管理审审计计计划四、与与管理理层的的合作作五、业业务之之前的的沟通通审计通通知是是内部部审计计部门门在实实施风风险管管理审审计前前通知知客户户接受受审计计的书书面文文件。。审计计通知知书包包括以以下几几点内内容：：⑴客户户及审审计项项目名名称⑵审计计目的的和审审计范范围⑶审计计时间间⑷客户户提供供的具具体资资料和和其他他必要要的协协助⑸内部部审计计部门门及其其负责责人的的签章章和签签发日日期六、资资源分分配七、启启动会会启动会会议是是在审审计项项目开开始时时项目目组成成员、、相关关管理理层或或其他他人员员参加加的沟沟通会会议。。其作作用主主要在在于：：⑴说明明审计计目的的、审审计范范围和和要求求协助助的事事项⑵进一一步了了解审审计对对象⑶沟通通评价控控制的的设计计和其其他风风险管管理技技术“内部部审计计部门门必须须评估估针对对组织织内部部治理理、运运营和和信息息系统统等风风险的的控制制的适当性性和有有效性性。”“有效效的审审计设设计：：在多多数情情况下下，在在测试试控制制的有有效性性之前前，要要在了了解和和分析析内部部控制制体系系的设设计上上花费费大量量时间间，以以确定定其是是否能能提供供适当当的控控制，，这为为内部部审计计指出出控制制薄弱弱的根根本原原因而而非指指出其其表面面现象象提供供了坚坚实的的基础础”适当的的控制制：如果管管理层层的计计划和和组织织行为为能够够合理理保证证组织织的风风险得得到有有效管管理，，组织织的目目标和和目的的以经经济高高效的的方式式实现现，那那么可可以认认为已已建立立适当当的控控制。。评价控控制的的设计计和其其他风风险管管理技技术一、常常用控控制及及其他他风险险管理理技术术预防或或发现现指令补偿人工或或自动动化组织层层面、、业务务层面面一般控控制组组织织层面面的控控制共共享享信息息技术术服务务应用控控制业业务务层面面控制制评价控控制的的设计计和其其他风风险管管理技技术二、详详细确确认业业务风风险评评估1、识别别目标标2、识别固有风风险3、评估风险影影响和可能性性4、识别控制和和其他风险管管理技术书面政策流程手册流程文档一线员工5、评价控制的设计和和其他风险管管理技术穿行测试固有风险-风险管理技术术=剩余风险其他风险管理理技术的评价价软控制的评价价评价控制的设设计和其他风风险管理技术术三、用于记录录和评价控制制设计的工具具1、风险控制矩矩阵风险/控制矩阵目标固有风险影响/可能性控制（和其他风险管理技术）充分性评价适当性评价最终评价测试控制和其其他风险管理理技术的有效效性一、测试的决决定关键或首要控控制必须测试试二、审计证据据的类型书面证据、实实物证据、视视听证据、电电子证据、口口头证据、环环境证据三、人工测试试方法访谈问卷调查内部控制问卷卷观察检查函证顺查逆查测试控制和其其他风险管理理技术的有效效性三、人工测试试方法重新执行分析程序预期与实际比比较趋势分析相关因素分析析合理测试与标杆比较比率分析回归分析四、抽样统计抽样随机抽样判断抽样测试控制和其其他风险管理理技术的有效效性五、测试应用用控制输入控制处理控制输出控制完整性控制管理线索六、测试软控控制取证结果的评评价在实务中，审审计人员对风风险管理的评评价可以用量量化数字表示示如1、2、3、4、5，或用字母表表示如A、B、C、D、E,或者用颜色表表示，如红、、黄、绿等。。①风险的严重重性（或影响响）的评价具具体尺度（除除了表达为财财务指标之外外，也可以用用声誉、资本本、法律等方方式来表述风风险的影响））—不严重：既无无战略影响，，又无财务影影响。—轻度严重：相相对较小的战战略和/或财务影响（（一星期的利利润）。—中度严重：显显著地影响战战略和/或财务目标的的实现（一月月的利润）。。—严重：难以实实现战略目标标（可能需要要战略上的一一次改变），，和/或重大的财务务影响（一季季的利润）。。—高度严重：战战略目标无法法实现，导致致严重的财务务后果（一年年的利润）并并威胁公司的的生存能力。。取证结果的评评价②风险可能性性（概率）评评价的具体尺尺度—不发生：在特特定的时期内内不会发生（（<5%）。—不太可能：在在特定的时期期内不太可能能发生（<25%）。—可能：在特定定的时期内或或许会发生（（<50%）。—很可能：在特特定的时期内内发生比不发发生的可能性性大（>50%）。—肯定：在特定定的时期内已已经发生或几几乎肯定会发发生（>90%）。③风险的层次次评价（扩展展的尺度）—极小的威胁：：几乎不可能能严重地威胁胁组织。—轻度威胁：不不太可能严重重地威胁组织织。—中度威胁：偶偶尔可能成为为组织的严重重威胁。—严重威胁：很很可能成为组组织的严重威威胁。——灾难性的威胁胁肯定是组织织的严重威胁胁取证结果的评评价④风险承受限限度的评价—避免：在任何何情况下都不不会允许此风风险发生。—降低：必须拥拥有持续地管管理此风险的的政策、流程程和程序，并并把它的影响响降到最低限限度。—管理：必须能能够预测此风风险的发生，，并采取前瞻瞻性的行动以以降低其影响响。—检查：将允许许此风险发生生，但是必须须能在其影响响过大之前及及时检查并报报告此风险。。—接受：风险的的发生是可接接受的。取证结果的评评价⑤风险管理/风险控制可扩扩展度（可管管理性或可控控性）评价—无风险管理：：组织任由风风险发生，并并接受其后果果。—低层次的风险险管理：风险险通常都可以以检测到，但但是组织更依依赖于应急或或恢复计划。。—中等的风险管管理：在有效效的监督下，，能识别风险险的发生，并并拥有充足的的时间减小风风险的影响/提高获利的机机会。—扩展的风险管管理：持续的的监督和前瞻瞻性的管理活活动确保把风风险的影响降降到最低/增强获利的可可能性。—持续的风险管管理：一个全全面的风险管管理计划有助助于确保风险险得到了预防防，或者所有有可度量的影影响/机会都得到了了优化。⑥风险管理成成熟度评价（（采用风险管管理成熟度模模型评价）—A级：特定风险险管理—B级：初步风险险管理—C级：可重复性性风险管理—D级：主动性风风险管理—E级：前瞻性风风险管理。取证结果的评评价⑦被审事项现现有风险管理理水平或效力力评价，例如如：—该事项的风险险管理框架不不适（其中包包括风险管理理政策不适）），不能满足足该事项目标标实现的要求求。—该事项有明确确与合理的风风险管理框架架（其中包括括合理的风险险管理政策）），然而风险险管理政策的的实施不力和和无效。—该事项有较明明确与合理的的风险管理框框架（其中包包括合理的风风险管理政策策），且该事事项的风险管管理政策能基基本落实。—该事项有较明明确与合理的的风险管理框框架（其中包包括合理的风风险管理政策策），且该事事项的风险管管理政策能较较好落实，内内部控制有效效，风险管理理过程运行有有效。沟通与协商沟通和协商将将不间断地贯贯穿于整个审审计过程中，，其目的是为为了促使审计计工作得到各各方面的支持持和配合，以以及为了保证证审计工作的的质量和效果果。如果管理人员员不认可审计计人员所提出出的审计发现现或建议，这这可能表明审审计人员没有有完全理解管管理人员的风风险承受限度度。此时，应应该与管理人人员重新协商商其风险承受受限度，从而而就以下方面面达成共识：：—审计发现的有有效性；—解决这些发现现中所提出问问题的必要性性；—以及相关建议议的恰当性。。整理审计发现现整理审计发现现，描述审计计发现，是着着手撰写审计计报告的基本本准备工作，，审计发现是是风险管理审审计报告的写写作素材源泉泉。在评价审计证证据后，需要要把审计发现现描述出来，，但应当注意意：⑴审计发现应应该以具体而而简洁的语言言进行表述。。⑵理解某一发发现所必需的的信息应该一一一列举⑶应该该一眼眼就能能辨别别出与与某一一发现现相关关的风风险。。整理审审计发发现通常，，我们们可以以采用用矩阵阵图的的方式式反映映审计计发现现，具具体内内容包包括：：⑴现状状。⑵标准准/期望。。⑶原因因。整理审审计发发现⑷影响响。注注意：