内部审计学（第2版） 课件 【ch08】风险管理审计

风险管理审计“华信经管创新系列內部审计学（第二版）第八章01风险管理审计概述风险管理审计的概念界定风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理审计就是一个组织的内部审计机构采用系统化、规范化的方法，对该组织风险管理信息系统、各业务循环以及相关职能部门的风险识别、分析、评价、管理及处理等过程进行测试，并在此基础上开展的一系列审查、评价和咨询活动。风险管理审计通过对组织的风险管理、控制及监督过程进行评价和提供咨询，进而提高组织管理层所实施的风险管理过程的效率，最终帮助组织实现其目标。风险管理审计概述内部审计在企业全面风险管理中的作用促使企业风险管理成为一个上下贯通、持续改进的企业增值机制之一，帮助企业治理层、管理层不断提升企业价值。具体而言，风险管理审计承担着协助实现企业战略目标的重大任务，企业的战略目标无论如何表述，首要的都是保证企业永续经营和资本增值，风险管理审计在完善企业风险控制体系，帮助企业避免颠覆性重大风险，消除风险点，减少跑冒滴漏，提高经济效益等方面，都发挥着不可替代的作用。风险管理审计概述风险管理审计与风险导向审计的联系与区别(一)风险管理审计和风险导向审计的联系(1)二者的审计依据都是企业的风险管理方针、策略和风险评价指标体系；(2)业务内容基本上都是对组织风险范围确定、风险识别、风险评价、风险管理措施和方法、风险处理等方面进行审核；(3)审计的总目标都是为战略决策提供信息，为实现战略目标服务，为企业增加价值。风险管理审计概述风险管理审计与风险导向审计的联系与区别(二)风险管理审计和风险导向审计的区别1.含义不同风险导向审计则是审计主体为了提高财务审计、绩效审计、内部控制审计的效率和质量，降低审计风险，测试组织的风险战略和风险管理，根据测试结果，决定其他相应审计程序的范围、性质、程度和时间。2.侧重点不同风险导向审计则是通过对组织风险的测试确定实质性程序的实施程度，从而提高审计效率和质量，降低审计风险。3.服务对象不同风险管理审计作为一种具体审计业务，主要服务于企业管理层；而风险导向审计更多地作为一种审计方法，直接服务于审计实施主体。风险管理审计概述02风险管理审计的目标和内容风险管理审计的目标THECONNOTATIONOFCORPORATECULTURE内部审计作为组织内部一种独立、客观的确认和咨询活动，应当通过运用系统、规范的程序和方法，审查和评价组织的业务活动及内部控制、风险管理的适当性和有效性，促进改善组织的治理和管理，帮助组织增加价值，实现组织目标。内部审计在实施风险管理审计时也应当将帮助组织增加价值和实现组织目标作为其总体目标，并通过对组织的风险管理活动进行监督和评价，以及通过为组织的风险管理活动提供咨询来实现审计的总体目标。风险管理审计的总目标风险管理审计的目标和内容风险管理审计的目标和内容010203促进组织风险管理架构的建立和完善。评价组织风险管理工作的效果并做出报告。维护组织风险管理体系的完整性和持续运行。01风险管理审计的具体目标组织治理层和高级管理层对风险管理的态度风险管理制度执行者的态度和素质与组织性质、规模相适应的风险管理理念根据组织性质、规模确定其风险接受程度风险管理审计的目标和内容风险管理审计的主要内容-针对风险管理环境的审查与评价0102031.审查风险管理组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性风险管理审计的目标和内容风险管理审计的主要内容-针对风险管理机制的审查与评价组织常见的外部风险是指外部环境中对组织目标的实现产生影响的不确定性，主要来源于以下因素：(1)国家法律、法规及政策的变化；(2)经济环境的变化；(3)科技的快速发展；(4)行业竞争、资源及市场变化；(5)自然灾害及意外损失；(6)其他因素。针对风险识别的适当性及有效性的审查与评价风险管理审计的目标和内容组织常见的内部风险是指内部环境中对组织目标的实现产生影响的不确定性，主要来源于以下因素：(1)组织治理结构的缺陷；(2)组织经营活动的特点；(3)组织资产的性质以及资产管理的局限性；(4)组织信息系统的故障或中断；(5)组织人员的道德品质、业务素质未达到要求；(6)其他因素。针对风险识别的适当性及有效性的审查与评价风险管理审计的目标和内容针对风险识别的适当性及有效性的审查与评价内部审计人员对风险识别过程的审计，主要是通过实施必要的审计程序，对组织风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。具体包括以下内容：(1)组织进行风险评估以及风险控制的前提是进行风险识别和分析，风险识别是风险管理中关键性的第一步。因此，内部审计人员必须首先审查和评价组织所遵循风险识别原则的合理性。风险管理审计的目标和内容针对风险识别的适当性及有效性的审查与评价(2)识别风险是风险管理的基础，组织的风险管理人员应当在进行了实地调查研究之后，运用各种方法对尚未发生的、潜在的及存在的各种风险进行系统的归类，并总结出组织面临的各种风险。风险识别方法所要解决的主要问题就是采取一定的方法分析风险因素、风险的性质以及潜在后果。为此，内部审计人员应当审查和评价组织风险识别方法的适当性，关注组织风险管理部门是否将各种方法相互融通、相互结合地运用。风险管理审计的目标和内容内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：(1)已经识别的风险的特征；(2)相关历史数据的充分性与可靠性；(3)管理层进行风险评估的技术能力；(4)成本效益的考核与衡量等。针对风险评估方法的适当性及有效性的审查与评价风险管理审计的目标和内容内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：(1)定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；(2)在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。针对风险评估方法的适当性及有效性的审查与评价风险管理审计的目标和内容针对风险应对措施的适当性和有效性的审查与评价THECONNOTATIONOFCORPORATECULTURE根据风险评估结果做出的风险应对措施主要包括以下方面：(1)回避，即采取措施避免进行可产生风险的活动；(2)接受，即由于风险已在组织可接受的范围内，因而可以不采取任何措施；(3)降低，即采取适当措施将风险降低到组织可接受的范围内；(4)分担，即采取措施将风险转移给其他组织或保险机构。风险管理审计的目标和内容针对风险应对措施的适当性和有效性的审查与评价THECONNOTATIONOFCORPORATECULTURE内部审计人员在评价组织风险应对措施的适当性和有效性时，应当考虑以下因素：(1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；(2)采取的风险应对措施是否适合本组织的经营和管理特点；(3)成本效益的考核与衡量等。风险管理审计的目标和内容0102031.评估投资风险管理政策的合理性，控制政策风险2.评估具体投资项目决策中的风险评估是否充分，风险取向是否符合企业战略3.评估投资项目治理中的风险控制措施是否完备风险管理审计的目标和内容风险管理审计的主要实施领域-对投资业务的风险管理审计风险管理审计的目标和内容01021.审查企业采购业务风险控制体系是否完备2.审查采购业务中的信息传递内部控制是否能够满足消除重大风险，控制一般风险的目的(1)授权程序是否完备(2)文件和记录的使用是否纳入管理(3)独立检查机制是否建立和正常运行01对物资采购业务的风险管理审计0102031.评估市场部门制定的营销政策是否切合当前环境，控制政策失误风险2.评估主要客户信用风险的控制手段是否健全，是否运行良好，以便控制坏账风险3.评估市场部门及其主要营销人员的风险取向是否符合企业战略，风险是否得到充分揭示风险管理审计的目标和内容对市场营销业务的风险管理审计01020304051.评估ERP系统风险管理体系的完整性

4.评估ERP系统是否设置自我风险监控功能，以控制重大问题风险2.评估ERP系统相关业务流程风险控制的有效性3.对ERP系统关键控制点上主要经营风险的控制实施实质性测试5.评估信息系统软硬件故障风险风险管理审计的目标和内容ERP系统实施领域的风险管理审计1.评估环境保护监督管理制度体系的建设情况，控制监督“盲点”风险2.评估企业自身建设项目的立项与审批中的环境保护风险因素，控制“源头”风险风险管理审计的目标和内容环境保护领域的风险管理审计03风险管理审计的方法(一)审阅(二)检查(三)访谈(四)分析程序风险管理审计的方法传统审计方法在风险管理审计中的应用风险管理体系建立情况的审计方法(1)研究一般性风险。审计人员一般从会计师事务所和咨询公司、保险顾问、行业协会、其他网站信息等来源获得一般性风险清单。(2)识别企业特有风险。不同的企业风险不同，虽然研究一般性风险为创建风险库提供基础，但审计人员应当采用调查问卷等方式让企业的各层次管理人员参与头脑风暴，找到企业特有的风险，修正一般性风险，建立起适合企业的风险库。(3)定义风险。用“原因和结果”的形式定义风险，但定义要简明，且使用公司熟悉的语言，以便形成一种通用的风险语言。风险管理审计的方法风险管理体系建立情况的审计方法(4)链接风险与战略。每个风险都必须被放在“它能对战略产生怎样的影响”的环境中进行讨论，找到风险与企业战略和企业经营目标的关联。如果一个风险不能够与战略目标、经营目标、财务目标或价值观联系起来的话，就说明这个风险没有被恰当地定义，甚至与公司不相关。风险与战略的链接过程具有反复性，刚开始时人们会发现风险与多个目标相关，但经过深入分析后可能会排除一些较弱的相关性，以修改或增加、删除一些风险。然而，通过深入理解这些风险的特征和相互关系，人们将在每个风险的评估过程中更加突出与战略相关的重点风险。风险管理审计的方法风险管理体系建立情况的审计方