内部审计学第05章 风险管理审计教学课件.pptx

内部审计学第05 章 风险管理审计教学课件Integrity 第5章 风险管理审计 当前，世界正经历新一轮大发展大变革大调整，大国战略博弈全面加剧，国际体系和国际秩序深度调整，人类文明发展面临的新机遇新挑战层出不穷，不确定不稳定因素明显增多，世界处于百年未有之大变局。纷繁多变的环境,对公司决策层提出了更高的要求,经理层也提高了风险防范的意识,重点加强风险管理工作。在公司的日常管理中,风险都是客观存在的。为了减少损失,降低成本,减少负面舆论,公司全面风险管理也随之产生。内部审计是公司治已病防未病的经济医生和经济卫士,在公司风险管理中发挥越来越重要的作用。实施风险管理审计,可以有效甄别公司现有风险和潜在风险,加强风险预防和管控,降低风险损失,增加公司价值,从而帮助公司实现其目标。前 言目 录CONTENTS 第2节风险管理审计的概念和方法 第3节风险管理审计的程序和内容 第1节 风险及风险管理体系 第4节风险管理审计案例01风险及风险管理体系第1节 风险及风险管理体系（一）风险的概念简言之,风险是指在一个特定的时间内和一定的环境条件下,人们所期望的目标与实际结果之间的差异程度。2001年国际内部审计师协会(IIA)认为风险是“对实现目标产生影响的事件发生的不确定性称为风险”,并指出其后果和可能性是衡量风险的指标。中国国务院国有资产监督管理委员会认为风险是未来的不确定性对公司实现经营目标的影响。一、风险的概念及其类型 一、风险的概念及其类型第1节 风险及风险管理体系一、风险的概念及其类型 一、风险的概念及其类型不确定性是可能发生的事件,具有一定概率消极影响对公司造成损失或者影响客观存在的、不可避免的伴随着公司经营,与公司目标相关,是由于公司风险敞口造成的积极影响给公司创造机会,增加公司价值风险的特征依据国际专业协会和国家机构对风险定义第1节 风险及风险管理体系(二)风险的类型我国按照公司的实际需求,对风险进行更为明晰的分类,将风险划分为战略风险、财务风险、市场风险、运营风险以及法律风险。战略风险是指公司在制订公司战略的过程中以及在后续实施上,出现不符合公司预期的事件;或者因为环境的变化,但是公司并没有做出适当的调整而导致不利影响。财务风险是指公司融资投资时产生的风险、在财务核算及管理过程产生的风险、对外或对内出具财务报告不当所引发的风险。一、风险的概念及其类型 一、风险的概念及其类型第1节 风险及风险管理体系(二)风险的类型市场风险是指外部市场环境变化从而造成公司不利事件发生的风险。经营风险是指公司在日常经营过程中,由于外部环境客观存在复杂和多变的特点,而公司主体自身对于外部环境的识别、认知、分析、应对能力有限,从而导致公司经营活动失败或者经营活动无法达成预期目标所造成的损失。法律风险是指公司在经营管理过程中出现违反法律、法规、部门规章制度的行为,导致公司承担有形物质和无形声誉的损失。一、风险的概念及其类型 一、风险的概念及其类型第1节 风险及风险管理体系一、风险的概念及其类型 一、风险的概念及其类型风险影响因素123风险偏好风险容忍度风险后果风险具有不确定性,因此未来发生风险时,可能会对公司目标产生积极或消极的后果。公司在风险偏好的基础上,对于公司目标实现过程中,对于理想预期情况和现实发生之间差异的可接受程度。公司在实现公司目标的过程中对风险种类、风险水平等方面可以接受的数量和风险程度。第1节 风险及风险管理体系(四)风险应对风险应对是指在确定了决策的主体经营活动中存在的风险,并分析出风险概率及其风险影响程度的基础上,根据风险性质和决策主体对风险的承受能力而制定的防范计划。1.风险接受。风险接受是指发生风险事故时,公司选择自己承担风险损失的风险管理方法。2.风险规避。风险规避是指通过变更原有的计划,从而消除风险或者风险发生的条件,达到实现公司目标的管理方法。一、风险的概念及其类型 一、风险的概念及其类型第1节 风险及风险管理体系(四)风险应对3.风险分担。风险分担是指在公司经营管理过程中,将各种风险要素以一定的分配方式分配给包括投资者、公司自身、外部机构等多方面参与者的风险管理方法。4.风险减轻。风险减轻是指通过一定的措施,从而将不利风险事件后果和可能性降低到公司可以接受的程度。一、风险的概念及其类型 一、风险的概念及其类型第1节 风险及风险管理体系（一）风险管理的概念1.风险管理是一种文化、能力和实践，是降组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的一个过程，强调风险管理的持续性。2.风险管理不仅是风险管理委员会或者管理层的职责，还需要所有员工参与，体现风险管理的全员性。3.风险管理的目的并不是不惜一切代价降低风险，而是尽量使风险减低至可以接受的容量范围内，体现风险与收益平衡的观点。风险是无法彻底消除的，风险管理仅仅是对经营目标的实现做出合理而非绝对的保证，体现风险是客观存在的观点。二、风险管理体系 二、风险管理体系第1节 风险及风险管理体系二、风险管理体系 二、风险管理体系全面风险管理阶段20世纪90年代中期以来,局部风险管理已经不能适应公司面临的现实状况。ISO 三个“标准”的发布。从保险理念发展而来,美国管理协会于1931年开始倡导风险管理理念,开始研究风险管理及保险理论。单一风险管理阶段局部风险管理阶段20世纪80年代后,虽然认识到风险之间具有联系,但是关注的重点是局部风险或者特定行业的特定风险。局部风险管理关注的重点是减少风险,而非管理风险。（二）风险管理的发展历程第1节 风险及风险管理体系（三）全面风险管理框架1.全面风险管理是企业全面的风险管理。2.全面风险管理是企业全流程的风险管理。3.全面风险管理是企业全员参与的风险管理。4.全面风险管理是实时的风险管理。5.全面风险管理是考虑成本的风险管理。二、风险管理体系 二、风险管理体系第1节 风险及风险管理体系（三）全面风险管理框架COSO发布的企业风险管理与战略和业绩的整合，其中包括企业风险管理五个要素。1、治理与文化；2、风险、战略与目标设定；3、风险管理执行；4、审查和修订；5、信息、沟通和报告（四）全面风险管理的未来1.处理剧增的数据；2.利用人工智能和自动化；3.管理风险管理的成本；4.建立更强大的组织二、风险管理体系 二、风险管理体系02风险管理审计的概念和方法第2节风险管理审计的概念和方法l 公司治理理论的发展及审计委员会越来越受到公司的重视,为内部审计在公司中发挥更大的作用提供了广阔的舞台。20世纪70年代,内部审计开始进入风险管理审计时代。l 20世纪60年代,美国政府开始广泛开展管理审计,对管理的效率、效果、经济性进行审查,审查范围包含董事会和经理应当承担的责任。l 20世纪70年代,在能源危机爆发的背景下,美国强制性对公用事业单位进行管理审计,这些公用事业单位涉及煤气、电力等单位。l 1974年开始,纽约州私营公用事业单位接受强制性管理审计,管理审计重点是对外部环境的审计,特别是对外部环境引发的风险进行审计。一、一、风险管理审计的起源和发展 风险管理审计的起源和发展第2节风险管理审计的概念和方法l 20世纪70年代开始,审计委员会制度得到承认并迅速发展。据纽约证券交易所调查数据显示,上市公司审计委员会由1975年的80%覆盖变为1976年的96%。审计委员会的重要职责之一是监督职责,而履行监督职责要依赖内部审计人员的专业能力。内部审计人员具有无可比拟的优势,其一是对公司经营管理熟悉;其二是自身专业能力较强。l IIA顺应内部审计发展需求,出台一系列责任说明书和准则。1971年发布业务审计独立宣言,提出内部审计人员可以自由对公司各种方针、计划、记录进行审核和评价。1978年发布内部审计职业实务准则,该准则的发布,对内部审计职业化具有标志性意义。一、一、风险管理审计的起源和发展 风险管理审计的起源和发展第2节风险管理审计的概念和方法l 现代内部审计中的风险管理审计业务,称为“风险管理审计”是适合审计理论发展和实践发展。l 国际内部审计师协会(IIA)2001年在内部审计实务标准中对内部审计做出的新定义,以风险管理为基础和核心,是公司增加价值必不可少的环节。在内部审计实务标准中对内部审计实施风险管理审计的原则、内容和方法做出了明确的阐述,对内部审计从事风险管理审计提出了建议,为公司风险管理审计的发展有着很强的指导意义。l 中国内部审计协会在颁布的内部审计准则中指出:风险管理审计是内部审计人员实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内部、外部风险是否已得到充分、适当确认。二、二、风险管理审计的概念 风险管理审计的概念第2节风险管理审计的概念和方法 风险管理审计是指公司内部审计机构采用系统化、规范化的方法,进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动,对公司的风险管理过程进行评价进而提出改进建议和措施,帮助公司实现其目标。风险管理审计是对风险进行管理、控制过程是否有效的审核和评价,是对风险管理部门和人员的监督,是公司风险管理的最后一道防线。在风险管理审计中,公司内部审计机构和内部审计以增加公司价值为使命,对公司的可持续发展发挥重要作用。二、二、风险管理审计的概念 风险管理审计的概念第2节风险管理审计的概念和方法1.公司生命周期分析法公司生命周期分析法是根据公司处在不同的生命周期阶段风险的不同特征来实施公司的风险评估。公司处于不同的生命周期,经营风险和财务风险不同,如下表所示。三、三、风险管理审计的方法 风险管理审计的方法第2节风险管理审计的概念和方法三、三、风险管理审计的方法 风险管理审计的方法创立和导入阶段 财务风险几乎等于零 经营风险则显得很高。通过大量的促销手段和投入高的广告开支,想方设法抓住顾客进入成长期成熟期 公司及产品被基本认可,营销风险与财务风险都处于中等。内审人员内部审计人员在实施风险管理审计的过程中可以按照生命周期法对公司及产品所处的生命周期阶段有所判断,并对其阶段风险作出确认。衰退期 利用股利政策进行融资,也利用债务融资,故财务风险高 经营上由于业务规模收缩,经营风险降低了 持续经营将面临挑战1.生命周期法第2节风险管理审计的概念和方法2.SWOT又称强弱危机综合分析法,是一种公司竞争态势分析方法,是市场营销的基础分析方法之一,通过评价公司的优势(Str engths)、劣势(W eaknesses)、竞争市场上的机会(Opportunities)和威胁(Thr eats),用以在制定公司的发展战略前对公司进行深入全面的分析以及竞争优势的定位。三、三、风险管理审计的方法 风险管理审计的方法从整体上看,SWOT可以分为两部分:第一部分为SW,主要用来分析内部条件;第二部分为OT,主要用来分析外部条件。第2节风险管理审计的概念和方法3.KSF 即使同一个产业中的个别公司会存在不同的关键成功因素,关键成功因素有4个主要的来源:(1)个别产业的结构。(2)竞争策略、产业中的地位及地理位置。(3)环境因素。(4)暂时因素。关键成功因素分析法主要包含以下几个步骤(一个完整的KSF分析方法主要有五个步骤)：公司定位;识别KSF;收集KSF情报;比较评估KSF;制定行动计划。关键成功因素分析法的优点是能够使所开发的系统具有很强的针对性,能够较快地取得收益。应用关键成功因素分析法需要注意的是当关键成功因素解决后,又会出现新的关键成功因素,就必须再重新开发系统。三、三、风险管理审计的方法 风险管理审计的方法第2节风险管理审计的概念和方法4.DCCS分析法/BOSTON矩阵分析模型 在公司存在多种经营情况下,通过实行产品战略有效组合的风险分析图,分析每种产品内财务与市场特征。该方法是将公司经营的产品或项目逐个地进行财务分析,对其现金流量、盈利能力等重要指标进行计算,并分析每种产品或项目的市场份额和增长潜力,然后将这些产品或项目放在一个矩阵图中,对其现有的市场份额和未来的市场潜力进行对比,物竞天择,根据公司自身的资源和市场环境,作出投资决策,一般原则是“杀狗、养猫、挤奶、向明星”。三、三、风险管理审计的方法 风险管理审计的方法第2节风险管理审计的概念和方法5.盈亏临界点分析法盈亏临界点,是指公司收入和成本相等的经营状态,即边际贡献等于固定成本时公司所处的既不盈利又不亏损的状态。通常用一定的业务量来表示这种状态。6.财务、会计、统计指标分析法利用过去、预测或计划数值,可以对现有资产状况、盈利能力、发展趋势进行测算,以反映公司资产的质量、生存状况、发展运作情况和未来盈利性。财务、会计、统计指标分析法就是这样的方法。具体如表所示。三、三、风险管理审计的方法 风险管理审计的方法第2节风险管理审计的概念和方法1.内部审计顺应加强风险管理的要求2.内部审计机构对拓展新领域的探索3.内部审计发展和作用发挥的内在要求4.内部审计受外部审计开展风险评估的影响四、四、实施风险管理审计的意义 实施风险管理审计的意义03风险管理审计的程序和内容第3节风险管理审计的程序和内容(一)审计计划阶段1.了解被审计单位概况。2.进行风险评估进行风险评估是内部审计机构和内部审计人员在审计计划阶段应考虑潜在风险事项影响公司实现目标的程度3.确定审计领域确定审计领域是指内部审计机构和内部审计人员根据被审计单位的风险评估情况确定风险管理审计对象、活动、单位的活动。4.编制审计方案 一、一、风险管理审计的程序 风险管理审计的程序第3节风险管理审计的程序和内容(二)审计实施阶段 1.审计风险管理机制2.审计风险管理评价标准3.审计风险识别机制4.审计风险评估机制（1）风险发生的可能性。（2）风险对公司目标的实现产生影响的严重程度。（3）已识别的风险的特征。5.审计风险分析机制6.审计风险应对措施 一、一、风险管理审计的程序 风险管理审计的程序第3节风险管理审计的程序和内容(三)审计报告阶段 1.整理审计发现 整理审计发现的要求有:描述被审计单位的经验现状,描述被审计单位遵守风险管理标准的情况,用简洁而直接的语言来描述存在的问题及原因,对发现的重要问题描述其潜在影响,描述风险评估的结果,提出可操作性的建议。一、一、风险管理审计的程序 风险管理审计的程序第3节风险管理审计的程序和内容(三)审计报告阶段 2.撰写审计报告 审计报告的正文包括以下主要内容:立项依据、背景介绍、审计目标与范围,陈述本次审计的目标、审计内容和审计期间,对于受限项目应该单独说明,对审计中发现的重点问题做出简短的叙述及评论,审计标准、审计依据、审计发现与风险之间的联系,审计结论,根据已查明的事实,确认公司整体风险管理体系的运行效果,确认每一项风险应对策略的科学性、合理性和落实效果、审计建议等。一、一、风险管理审计的程序 风险管理审计的程序第3节风险管理审计的程序和内容(四)后续审计阶段 风险因素是决定后续审计本质和范围的重要因素,风险越大,后续审计的范围可能越广。后续审计应该将注意力集中于最严重的或者潜在的风险管理问题上,对一般风险事项的后续审计可仅限于询问和简短的讨论。控制目的的实现和风险评估是后续审计的重要内容。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正;若不纠正,应确认责任和原因。一、一、风险管理审计的程序 风险管理审计的程序第3节风险管理审计的程序和内容(一)审计公司内部环境 1.审计董事会和经理职能及作用公司经理也是内部环境的一部分,其职责是建立公司风险管理理念,确定公司的风险偏好,营造公司的风险文化并将公司的风险管理和相关的初步行动结合起来。董事会的职责是作出公司的重大决策、确立经理的目标,以及监督经理的工作。2.审计公司文化的功能发挥情况3.审计经理的观念与战略的一致性4.审计公司风险偏好与战略的一致性二、二、风险管理审计的内容 风险管理审计的内容第3节风险管理审计的程序和内容(二)审计目标设定的合理性 内部审计人员就是要系统地将公司战略和商业模式与对其实现构成威胁的风险联系起来,审计公司的战略目标、经营目标、财务目标、各个部门的目标的合理性。(三)审计风险事件识别的充分性风险事件的识别就是要将比可容忍风险更加严重的次要风险从主要风险中分离出来,并提供数据以有助于风险的评价和处理。二、二、风险管理审计的内容 风险管理审计的内容第3节风险管理审计的程序和内容(四)审计风险评估的合理性 1.分析风险的可能性、发生频率风险事件发生的可能性分析、频率分析，一般通过对实际资料的收集、利用内部审计人员的专业判断取得。2.分析风险的性质、影响结果内部审计人员按照影响的程度(一般是量化成数值),一般将风险性质划分为“不重要”“次要”“中等”“主要”“灾难性”等级别3.风险事件的综合审计根据风险分析的结果,内部审计人员得到大量特定风险及风险程度的信息,需要对风险性质、风险程度进行认定,为制定科学的风险战略提供可靠的保证。二、二、风险管理审计的内容 风险管理审计的内容第3节风险管理审计的程序和内容(五)审计风险应对措施的恰当性 内部审计人员审计风险应对措施是否恰当,最好结合对董事会和经理风险偏好判断来进行。风险规避实际上就是不作为,内部审计人员判断采用这种方法应该有如下考虑：如要避免某种风险也许可能性较小;采用规避风险方法最经济,未来收益小于控制成本;避免一项风险可能产生另外新的风险。内部审计人员则可根据三个条件来判断公司董事会和经理采用的合理性:1.处理风险的成本大于承担风险所付出的代价;2.估计某种风险可能发生的重大损失本身可以完全承担;3.不可能转移于他人的风险或不可能防止的损失。二、二、风险管理审计的内容 风险管理审计的内容第3节风险管理审计的程序和内容(六)审计控制活动的科学性和合理性 内部审计人员应该从如下几个方面审计控制活动的科学性、合理性。1.审查相关交易过程的控制措施。2.审查总体控制与具体控制。总体控制的缺乏会使具体控制失效。3.审查多重控制。4.审查成本与效益原则。二、二、风险管理审计的内容 风险管理审计的内容第3节风险管理审计的程序和内容(七)审计信息与沟通的有效性 公司是一群人彼此沟通并互相配合的协作模式。作为一个充满生机和活力的有机体,公司的生存与发展牵涉到它的“健康”问题。一个公司中最重要的是董事会的战略、目标意图能否自由、迅速、通畅地传递给经理,并且经理是否能充分理解董事会的意思表达,并将意见充分反映到董事会。而经理对员工意见的获取和采纳程度,以及公司是否有多种沟通渠道都成为内部审计人员关注的焦点。二、二、风险管理审计的内容 风险管理审计的内容第3节风险管理审计的程序和内容(八)审计风险监控的有效性 内部审计人员对风险监控的审计,实际上就是审计董事会和经理的风险管理业绩的优劣。在这个过程中,内部审计人员要对风险评估过程进行再次审计,并为公司的风险管理提出改进建议,实现其增值功能。二、二、风险管理审计的内容 风险管理审计的内容04 风险管理审计案例第4节风险管理审计案例A公司为ZGH集团的控股子公司,成立于2010年8月。A公司主营业务和愿景是以“建设、运营核电项目;为用户提供安全、可靠、经济、清洁的电力;为股东创造合理的投资收益;为核电事业培养人才;为社会、股东、公司、员工的和谐发展和促进我国核电事业的健康发展做出应有贡献”。截至2020年年底,集团总投资超过800亿元,A公司1号机组投入商运,2号机组已经转入并网,正式由建设阶段转向运营管理阶段。本次风险管理审计工作由集团审计部领导,审计小组包括审计项目组长和小组成员15名。组长具备内部控制与风险管理方面的专业知识,曾参与实施过5个以上审计项目；15名小组成员具备与被审计业务相关的专业知识或具备内部控制与风险管理方面的专业知识,专业互补,基本覆盖被审计业务领域。审计小组借调集团公司下属D公司3名核电建设和运营方面专家组成专家支持团队为小组提供独立的、专业的确认和咨询服务。组长在采用外部专家意见作为审计依据时,对其独立性、客观性、权威性负责。审计组的审计目的是确定A公司是否识别出核电运营阶段的主要风险并制定切实可行的应对措施,为机组的安全可靠运行提供保障。一、风险管理审计主要过程(一)审前调查(二)审计范围(三)目标设定与风险识别(四)审计方法(五)审计取证二、审计结论（一）审计发现依据金额大小,风险程度、性质,发生频率和可能造成的影响,分为四级（二）形成审计结论根据各审计分项发现的不符合项,确定各审计分项的得分1.备件短缺风险2.采购业务风险3.人力资源风险第4节风险管理审计案例第4节风险管理审计案例 一、思考题1.说明内部审计在风险管理中的角色的定位。2.内部审计实施风险管理审计的作用有哪些？3.风险管理审计包括哪些内容和方法？二、案例分析题 一、甲公司风险管理状况(一)风险管理目标体系的设定(二)风险的识别与分析(三)采取的风险应对措施 二、甲公司的风险管理审计要求：1.假如你是内部审计部门经理，如何组织实施甲公司的风险管理审计？2.假如你是内部审计人员，如何确定风险管理审计的重点内容？3.假如你是内部审计人员，如何提出风险管理的改进建议？Integrity Integrity 谢谢！