内部审计学第五章.ppt

《内部审计学第五章.ppt》由会员分享，可在线阅读，更多相关《内部审计学第五章.ppt（137页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部审计学内部审计学商学院会计系李栋辉商学院会计系李栋辉第五章风险管理与公司治理审计风险管理与公司治理审计主要内容主要内容第第1 1节节.风险管理审计的内容风险管理审计的内容第第2 2节节.风险管理审计的途径和方法风险管理审计的途径和方法第第3 3节节.风险管理审计案例分析风险管理审计案例分析第第4 4节节.公司治理审计公司治理审计第五章第五章 内部控制审计内部控制审计商学院会计系李栋辉商学院会计系李栋辉 COSO COSO是全国虚假财务报告委员会下属的发起人委员会是全国虚假财务报告委员会下属的发起人委员会 （The Committee of Sponsoring Organizations

2、of The The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial ReportingNational Commission of Fraudulent Financial Reporting）的）的英文缩写。英文缩写。19851985年，由美国注册会计师协会、美国会计协会、财务年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务

3、报告中的舞弊产生的原因，并寻找财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立解决之道。两年后，基于该委员会的建议，其赞助机构成立COSOCOSO委委员会，专门研究内部控制问题。员会，专门研究内部控制问题。19921992年年9 9月，月，COSOCOSO委员会发布委员会发布内内部控制部控制整合框架整合框架，简称，简称COSOCOSO报告，报告，19941994年进行了增补。年进行了增补。20042004年颁布年颁布企业风险管理框架企业风险管理框架整合框架整合框架。COSOCOSO之背景之背景商学院会计系李栋辉商学院会计系李栋辉内部

4、控制是内部控制是内部控制是内部控制是“由一个董事会、管理层和其他人员实现的由一个董事会、管理层和其他人员实现的由一个董事会、管理层和其他人员实现的由一个董事会、管理层和其他人员实现的过程过程过程过程，旨在旨在旨在旨在为下列目标为下列目标为下列目标为下列目标提供合理保证提供合理保证提供合理保证提供合理保证：财务报告的可靠：财务报告的可靠：财务报告的可靠：财务报告的可靠性，经营的效果和效率，符合适用的法律和法规性，经营的效果和效率，符合适用的法律和法规性，经营的效果和效率，符合适用的法律和法规性，经营的效果和效率，符合适用的法律和法规”。具。具。具。具体由控制环境、风险评估、控制活动、信息与沟通、

5、监体由控制环境、风险评估、控制活动、信息与沟通、监体由控制环境、风险评估、控制活动、信息与沟通、监体由控制环境、风险评估、控制活动、信息与沟通、监控五部分构成。控五部分构成。控五部分构成。控五部分构成。COSOCOSOCOSOCOSO内部控制内部控制-整合框架整合框架商学院会计系李栋辉商学院会计系李栋辉 国际上引用最普遍的、是由美国风险管理与内部控制方国际上引用最普遍的、是由美国风险管理与内部控制方面的权威机构面的权威机构COSOCOSO给出的界定：给出的界定：ERMERM是一个实体的董事会、管是一个实体的董事会、管理层和其他员工实施、适用于战略制订和整个组织范围的程理层和其他员工实施、适用于

6、战略制订和整个组织范围的程序序(process)(process)；该程序用于识别可能影响该实体的事件，管理；该程序用于识别可能影响该实体的事件，管理风险使之处于其偏好范围之内，并为实体目标的实现提供合风险使之处于其偏好范围之内，并为实体目标的实现提供合理的保证。这是一个非常宽泛的界定，它囊括了所有的风险，理的保证。这是一个非常宽泛的界定，它囊括了所有的风险，适用于包括企业在内的各种类型的社会组织。适用于包括企业在内的各种类型的社会组织。COSOCOSO希望藉此希望藉此为有关为有关ERMERM的讨论提供一个统一的框架。的讨论提供一个统一的框架。企业风险管理企业风险管理-整合框架整合框架商学院会

7、计系李栋辉商学院会计系李栋辉vCOSO-1992COSO-1992内部控制内部控制-整合框架整合框架v2002-2002-萨班斯萨班斯-奥科萨利法案奥科萨利法案vCOSO-2004COSO-2004企业风险管理企业风险管理-整合框架整合框架相关资料相关资料商学院会计系李栋辉商学院会计系李栋辉一、风险的定义一、风险的定义二、二、风险管理风险管理三、三、企业风险管理的八大要素企业风险管理的八大要素四、风险管理审计的内容四、风险管理审计的内容五、与内部控制审计的比较研究五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任第第1 1节节

8、风险管理审计的内容风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉案例案例1 1：巴林银行的倒闭：巴林银行的倒闭 千里之堤，毁于蚁穴千里之堤，毁于蚁穴 原因是什么原因是什么?商学院会计系李栋辉商学院会计系李栋辉巴林银行倒闭的原因巴林银行倒闭的原因银行的人员；账目；资金管理没有银行的人员；账目；资金管理没有监督约束监督约束机制机制银行对有银行对有利益冲突利益冲突的角色没有实行权责分离的角色没有实行权责分离 （交易和清算）（交易和清算）对营运中暴露出的错误，没有对营运中暴露出的错误，没有及时纠正及时纠正没有没有“内部控制内部控制”系统预报风险系统预报风险案例案例1 1：巴林银行的倒闭：巴林银

9、行的倒闭商学院会计系李栋辉商学院会计系李栋辉案例案例2 2：安然公司的崩溃：安然公司的崩溃美国第七大公司美国第七大公司市值市值500500亿美元亿美元世界公认最具创新能力的公司世界公认最具创新能力的公司不到一年时间，股票下跌不到一年时间，股票下跌95%95%20012001年年1212月宣布破产，美国历史上最大的破产案月宣布破产，美国历史上最大的破产案商学院会计系李栋辉商学院会计系李栋辉安然为何突然破产安然为何突然破产v贪婪欺诈的经营行为贪婪欺诈的经营行为“鼓励大家藐视各种规章制度鼓励大家藐视各种规章制度”v无法验证的财务报表无法验证的财务报表“揭开皇帝的新衣揭开皇帝的新衣”谁也无法解释收入从

10、何而来谁也无法解释收入从何而来v安达信的双重身份安达信的双重身份“一只手作账，另一只手证明这只手作的账一只手作账，另一只手证明这只手作的账”“利益冲突利益冲突”把安然送进坟墓把安然送进坟墓摘自美幸福杂志摘自美幸福杂志2002/392002/39期期案例案例2 2：安然公司的崩溃：安然公司的崩溃商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学今天今天明天明天科技科技使公司或产品转型使公司或产品转型使过时被淘汰使过时被淘汰顾客顾客对公司产品或服务满意对公司产品或服务满意被竞争者抢走被竞争者抢走实体资产实体资产发挥功能达成目的发挥功能达成目的成为负担成为负担人力资源人力资源为本公司服务为本公

11、司服务成为竞争对手成为竞争对手组织结构组织结构有助于提高效率有助于提高效率桎梏企业发展桎梏企业发展企业规模企业规模符合规模效益原则符合规模效益原则与经营要求不适合与经营要求不适合道德观念道德观念适应社会环境适应社会环境约束企业发展约束企业发展企业制度企业制度与经营目标正相关与经营目标正相关产生负面影响产生负面影响一、一、风险的定义风险的定义潜在风险的转化潜在风险的转化商学院会计系李栋辉商学院会计系李栋辉一、一、风险的定义风险的定义v国资委定义国资委定义:未来不确定性对企业实现其经营目标的影响。未来不确定性对企业实现其经营目标的影响。vIIAIIA发布的发布的IPPF:IPPF:对对实现目标实现

12、目标有影响的事件有影响的事件实际发生的可能性实际发生的可能性，风险通，风险通过影响程度和发生的可能性来衡量。过影响程度和发生的可能性来衡量。商学院会计系李栋辉商学院会计系李栋辉内部内部外部外部战略风险战略风险新技术、新产品、并购风险、新技术、新产品、并购风险、品牌建立、收益变化品牌建立、收益变化市场需求变化、失去主要客市场需求变化、失去主要客户或供应商、竞争对手户或供应商、竞争对手财务风险财务风险现金流、资产流动性现金流、资产流动性经济周期、信用风险经济周期、信用风险市场风险市场风险定价、促销政策定价、促销政策股票市场、外汇汇率、贷款股票市场、外汇汇率、贷款利息、期货市场利息、期货市场运营风险

13、运营风险安全生产、网络安全、环境保护、安全生产、网络安全、环境保护、人力资源、新项目、价格谈判、人力资源、新项目、价格谈判、火灾、车船事故、人身伤亡火灾、车船事故、人身伤亡管理责任、供应链、水灾、管理责任、供应链、水灾、偷盗、恐怖袭击偷盗、恐怖袭击法律风险法律风险知识产权、员工纠纷知识产权、员工纠纷合规、法律改变、诉讼合规、法律改变、诉讼一、一、风险的定义风险的定义国资委对国有企风险的分类国资委对国有企风险的分类商学院会计系李栋辉商学院会计系李栋辉企业失败的六种常见风险企业失败的六种常见风险v效果性风险效果性风险=目标偏离或错误目标偏离或错误v效率性风险效率性风险=资源浪费或无效使用资源浪费或

14、无效使用v资产性风险资产性风险=资产流失、损坏等（备件管理）资产流失、损坏等（备件管理）v信息性风险信息性风险=信息失真、不足或泄密（信用调查）信息失真、不足或泄密（信用调查）v遵循性风险遵循性风险=法规、计划、贯彻失败（不清洁订单）法规、计划、贯彻失败（不清洁订单）v无标准风险无标准风险=缺乏标准和规范（集成中心）缺乏标准和规范（集成中心）商学院会计系李栋辉商学院会计系李栋辉一、风险的定义一、风险的定义二、二、风险管理风险管理三、三、企业风险管理的八大要素企业风险管理的八大要素四、风险管理审计的内容四、风险管理审计的内容五、与内部控制审计的比较研究五、与内部控制审计的比较研究六、内部审计在企

15、业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任第第1 1节节 风险管理审计的内容风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉二、二、风险管理风险管理识别、评估、管理和控制潜在事件或情况的过程，识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。目的是为实现组织的既定目标提供合理保证。信息管理信息管理监控经营风险管理效果监控经营风险管理效果评价经营风险评价经营风险建立经营风险管理战略建立经营风险管理战略制定经营风险管理模型制定经营风险管理模型实施经营风险管理过程实施经营风险管理过程商学院会计系李栋辉商学院会计系李栋辉一、风险的定

16、义一、风险的定义二、二、风险管理风险管理三、三、企业风险管理的八大要素企业风险管理的八大要素四、风险管理审计的内容四、风险管理审计的内容五、与内部控制审计的比较研究五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任第第1 1节节 风险管理审计的内容风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系

17、李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素企业风险管理的内部环境企业风险管理的内部环境风险管风险管理理念理理念风险偏好风险偏好风险文化风险文化董事会董事会操守与道德价值观操守与道德价值观价值价值沟通沟通价值价值定性衡量定性衡量定量衡量定量衡量与战略的关系与战略的关系介于风险管理介于风险管理理念和风险偏理念和风险偏好之间好之间独立性独立性活动活动

18、参与参与行为标准行为标准先决条件先决条件 激励激励员工能力员工能力管理哲学管理哲学与经营风格与经营风格组织结构组织结构授权与责任授权与责任 人力资源准则人力资源准则知识知识技巧技巧平衡平衡正式和非正式正式和非正式保守和非保守保守和非保守集中和非集中集中和非集中矩阵矩阵/职能职能/范范围围授权授权可说明性可说明性招聘招聘培训培训薪酬薪酬激励和纪律激励和纪律商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院

19、会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素战略目标战略目标相关目标相关目标经营目标经营目标报告目标报告目标合规目标合规目标选定目标选定目标包包括括符符合合目标重合目标重合风险风险 偏好偏好风险风险 容忍度容忍度商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉v事件辨认事件辨认 事件的发生对企业可能带来正面或负面的影响，识别这些事件的

20、发生对企业可能带来正面或负面的影响，识别这些事件，区分风险和机会，并将机会反馈到管理层的战略和目标制事件，区分风险和机会，并将机会反馈到管理层的战略和目标制定过程中。定过程中。v影响企业目标实现的事件包括内部和外部两类。影响企业目标实现的事件包括内部和外部两类。外部因素：经济环境、自然环境、政治社会环境等外部因素：经济环境、自然环境、政治社会环境等 内部因素：企业的基础设施、人事、程序和技术等。内部因素：企业的基础设施、人事、程序和技术等。v事件的识别方法有很多种，常见的有：事件汇总列表法、小组讨事件的识别方法有很多种，常见的有：事件汇总列表法、小组讨论法等。论法等。三、三、企业风险管理的八大

21、要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉v风险评估风险评估v企业应对辨识出的事件进行评估，通过对考虑企业应对辨识出的事件进行评估，通过对考虑事件带来事件带来风险的可能性和影响程度进行分析和评估风险的可能性和影响程度进行分析和评估，并以此作，并以此作为决定如何进行管理的依据。为决定如何进行管理的依据。v风险评估同时使用定性分析和定量分析两种

22、方法，来评风险评估同时使用定性分析和定量分析两种方法，来评估潜在事项的不确定性程度。估潜在事项的不确定性程度。三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉v风险回应风险回应v当管理层对相关风险进行评估之后，其必须考虑可能采当管理层对相关风险进行评估之后，其必须考虑可能采取的风险回应方式及其影响，为了达到有效的风险管取

23、的风险回应方式及其影响，为了达到有效的风险管理效果，所选择的风险回应方式不能超出企业所能承理效果，所选择的风险回应方式不能超出企业所能承受的风险范围。受的风险范围。v风险回应的方式主要有：风险回避、风险承担、风险降风险回应的方式主要有：风险回避、风险承担、风险降低或者风险分担等。低或者风险分担等。三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学二、二、风险评估审计风险评估审计商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险

24、管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉v控制活动控制活动v制定和执行政策与程序以帮助确保风险应对措施得以有效实施制定和执行政策与程序以帮助确保风险应对措施得以有效实施v控制活动类型多样，包括预防性控制、发现性控制、手工控制。控制活动类型多样，包括预防性控制、发现性控制、手工控制。计算机控制和管理控制等。计算机控制和管理控制等。v信息系统控制信息系统控制 一般控制一般控制 对对ITIT管理架构、软件的购置与维修、资料存取的安全等管理架构

25、、软件的购置与维修、资料存取的安全等 应用控制应用控制 确保咨询处理的完整、正确及有效。确保咨询处理的完整、正确及有效。三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉v信息与沟通信息与沟通v信息包括业务信息和财务信息，可以是正式也可以是非正信息包括业务信息和财务信息，可以是正式也可以是非正式的。信息有助于企业把握风险和

26、机会，可以确保员工履式的。信息有助于企业把握风险和机会，可以确保员工履行职责的的方式和时机。行职责的的方式和时机。v有效的沟通含义较广泛，包括信息在企业的有效的沟通含义较广泛，包括信息在企业的向下、向上和向下、向上和平行流动平行流动。有效的沟通可以。有效的沟通可以确保员工认识到企业全面风险确保员工认识到企业全面风险管理的重要性和适当性管理的重要性和适当性，明确每一个职员在执行和支持企，明确每一个职员在执行和支持企业风险管理中的职责，从而确保企业战略目标的实现。业风险管理中的职责，从而确保企业战略目标的实现。三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉

27、三、三、企业风险管理的八大要素企业风险管理的八大要素事事件件辨辨认认风风险险评评估估风风险险回回应应信信息息与与沟沟通通监监督督 企业风险管理企业风险管理目目标标设设定定内内部部环环境境控控制制活活动动商学院会计系李栋辉商学院会计系李栋辉v监督监督v全面风险管理是不断变化的过程，会随内外部环境的变全面风险管理是不断变化的过程，会随内外部环境的变化而变化，因此需要对企业风险管理进行全面的监督。化而变化，因此需要对企业风险管理进行全面的监督。v监督的方式包括监督的方式包括持续监督和个别监督持续监督和个别监督。持续监督建立在经营活动中，能随时不断进行；持续监督建立在经营活动中，能随时不断进行；个别监

28、督在事实发生之后进行。个别监督在事实发生之后进行。三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉v企业风险管理并不是一个严格的顺次过程，其是一个多方企业风险管理并不是一个严格的顺次过程，其是一个多方向、反复的相互关联的程序，几乎每一个构成要素都能够向、反复的相互关联的程序，几乎每一个构成要素都能够也的确会影响其他构成要素。也的确会影响其他构成要素。三、三、企业风险管理的八大要素企业风险管理的八大要素监督监督信息信息沟通沟通内部内部 环境环境目标目标 设定设定事件事件 识别识别风险风险评估评估 风险风险 回应回应 控制控制 活动活动 商学院会计系李栋辉商

29、学院会计系李栋辉v内部环境包括组织的内部环境包括组织的风险管理理念、偏好、道德观及组织风险管理理念、偏好、道德观及组织运营的环境运营的环境，它是塑造组织，它是塑造组织ERMERM的重要因素，同时又受的重要因素，同时又受ERMERM运行实践的影响。目标设定、事件识别、风险评估、风险运行实践的影响。目标设定、事件识别、风险评估、风险回应和控制活动是一个紧密联系的循环过程。在具体实施回应和控制活动是一个紧密联系的循环过程。在具体实施中，企业可能不完全遵守这一顺序，而是根据具体情况予中，企业可能不完全遵守这一顺序，而是根据具体情况予以调整。信息与沟通、监控等两个要素贯穿以调整。信息与沟通、监控等两个要

30、素贯穿ERMERM的各个环节，的各个环节，为为ERMERM的改进和调适提供宝贵的经验材料和反馈信息，以保的改进和调适提供宝贵的经验材料和反馈信息，以保证系统处于良性运转状态。控制活动主要包括制定必要的证系统处于良性运转状态。控制活动主要包括制定必要的原则和程序等，它是对风险回应环节的支持和补充。原则和程序等，它是对风险回应环节的支持和补充。三、三、企业风险管理的八大要素企业风险管理的八大要素商学院会计系李栋辉商学院会计系李栋辉v战略目标：其企业最高层次目标，与企业使命相关联并支撑其使战略目标：其企业最高层次目标，与企业使命相关联并支撑其使命；风险管理的目标必须与企业发展的战略目标相辅相成，战略

31、命；风险管理的目标必须与企业发展的战略目标相辅相成，战略目标的实现可以通过风险管理实现。目标的实现可以通过风险管理实现。v经营目标：企业有效和高效率的利用资源，高效运营。经营目标：企业有效和高效率的利用资源，高效运营。v报告目标：真实披露企业的经营业绩，确保报告的真实可靠。报告目标：真实披露企业的经营业绩，确保报告的真实可靠。v合规目标：企业遵循相关法律法规，合规经营。合规目标：企业遵循相关法律法规，合规经营。企业风险管理企业风险管理-整合框架的目标整合框架的目标商学院会计系李栋辉商学院会计系李栋辉商学院会计系李栋辉商学院会计系李栋辉商学院会计系李栋辉商学院会计系李栋辉v联系：虽然联系：虽然E

32、RMERM框架在企业整体层面的不同纬度有了框架在企业整体层面的不同纬度有了内容的内容的增减增减，但基本结构仍然采用与内部控制模型相同的三维立，但基本结构仍然采用与内部控制模型相同的三维立体形式。这种形式有助于体形式。这种形式有助于深入理解控制和管理的对象深入理解控制和管理的对象，分，分析解决管理和控制中存在的问题。析解决管理和控制中存在的问题。v多维立体的多维立体的“魔方魔方”还蕴藏着还蕴藏着“全息论全息论”的概念：的概念：控制控制/管管理要素（正面维度）与目标（上面维度）理要素（正面维度）与目标（上面维度）是紧密相连的。是紧密相连的。组织中的组织中的任何一个机构、一项业务或一位成员（侧面维度

33、）任何一个机构、一项业务或一位成员（侧面维度）都应该都应该包含或者反映出该组织中的目标和控制包含或者反映出该组织中的目标和控制/管理要素等管理要素等信息。信息。ERMERM与内部控制的联系与区别与内部控制的联系与区别商学院会计系李栋辉商学院会计系李栋辉v区别区别1.1.概念的扩大概念的扩大v从理论上说，控制是属于管理的一个重要方面，是确保活动执从理论上说，控制是属于管理的一个重要方面，是确保活动执行的一种手段，但并不涉及目标的设定等决策行为；而管理则行的一种手段，但并不涉及目标的设定等决策行为；而管理则覆盖了从开始的决策到最终的执行等各方面的活动覆盖了从开始的决策到最终的执行等各方面的活动2.

34、2.目标的发展目标的发展v层次和内涵的提升层次和内涵的提升v范围的扩大范围的扩大ERMERM与内部控制的联系与区别与内部控制的联系与区别商学院会计系李栋辉商学院会计系李栋辉3.3.操作性的提升操作性的提升v应用范围的扩展（应用范围的扩展（决策层决策层）v风险度量的精确风险度量的精确v风险评价角度的深化风险评价角度的深化4.4.要素的发展要素的发展v目标设定目标设定v事项识别事项识别v风险回应风险回应ERMERM与内部控制的联系与区别与内部控制的联系与区别商学院会计系李栋辉商学院会计系李栋辉一、风险的定义一、风险的定义二、二、风险管理风险管理三、三、企业风险管理的八大要素企业风险管理的八大要素四

35、、风险管理审计的内容四、风险管理审计的内容五、与内部控制审计的比较研究五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任第第1 1节节 风险管理审计的内容风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉2120-2120-风险管理风险管理v内部审计活动内部审计活动必须评估风险管理过程的有效性必须评估风险管理过程的有效性，并对其改善做，并对其改善做出贡献。出贡献。v确定风险管理过程是否有效是内部审计师对下列事项进行评估确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断：后的判断：组织目标组织目标支持组织的使命并与

36、其保持一致；支持组织的使命并与其保持一致；重大风险重大风险得到识别和评估；得到识别和评估；选定选定适当的风险应对方案适当的风险应对方案，并，并符合组织的风险偏好符合组织的风险偏好；获取相关的风险信息获取相关的风险信息并在组织内部并在组织内部及时沟通及时沟通，以便员工、，以便员工、管理层和董事会履行其相关职责。管理层和董事会履行其相关职责。风险管理过程通过持续性管理活动、个别评估或两者结合的方风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。式受到监督。四、风险管理审计的内容四、风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉2120.A1-2120.A1-内部审计部门必须

37、评估下列与组织治理、运营内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险：及信息系统有关的风险：财务和运营信息的可靠性和完整性；财务和运营信息的可靠性和完整性；运营的效果和效率运营的效果和效率 资产的安全（资产的安全（与与COSOCOSO不同不同）对法律、法规及合同的遵循情况。对法律、法规及合同的遵循情况。2120.A2-2120.A2-内部审计部门内部审计部门必须评估发生舞弊的可能性以及所必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险在组织如何管理舞弊风险；四、风险管理审计的内容四、风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学2120.C1-2

38、120.C1-在开展咨询业务时，内部审计师在开展咨询业务时，内部审计师必须关注与业务目必须关注与业务目标相关的风险标相关的风险，并警惕其他重大风险的存在。，并警惕其他重大风险的存在。2120.C2-2120.C2-内部审计师必须将开展咨询业务过程中了解到的风内部审计师必须将开展咨询业务过程中了解到的风险情况，运用于评估组织的风险管理过程。险情况，运用于评估组织的风险管理过程。2120.C3-2120.C3-协助管理层建立或改善风险管理过程时，内部审计协助管理层建立或改善风险管理过程时，内部审计师师必须避免在实际工作中对风险进行管理必须避免在实际工作中对风险进行管理，从而承担任何管理，从而承担任

39、何管理层的责任。层的责任。商学院会计系李栋辉商学院会计系李栋辉一、风险的定义一、风险的定义二、二、风险管理风险管理三、三、企业风险管理的八大要素企业风险管理的八大要素四、风险管理审计的内容四、风险管理审计的内容五、与内部控制审计的比较研究五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任第第1 1节节 风险管理审计的内容风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉五、与内部控制审计的比较五、与内部控制审计的比较商学院会计系李栋辉商学院会计系李栋辉比较项目内部控制审计风险管理审计审计内容整体层面内部控制审计业务层面内部控

40、制审计战略层面风险管理审计业务层面风险管理审计审计计划抽样风险评估方法审计实施描述内部控制、控制测试、实质性测试描述风险、测试风险、评价风险审计报告问题导向、关注牵制风险导向、关注前瞻审计方法定性与定量，以定量为主定性与定量，以定量为主五、与内部控制审计的比较五、与内部控制审计的比较商学院会计系李栋辉商学院会计系李栋辉一、风险的定义一、风险的定义二、二、风险管理风险管理三、三、企业风险管理的八大要素企业风险管理的八大要素四、风险管理审计的内容四、风险管理审计的内容五、与内部控制审计的比较研究五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中

41、的角色与责任第第1 1节节 风险管理审计的内容风险管理审计的内容商学院会计系李栋辉商学院会计系李栋辉v内部审计不应该承担的责任内部审计不应该承担的责任（Inappropriate Activities）设置风险偏好设置风险偏好 对风险管理过程施加影响对风险管理过程施加影响 对管理层提供风险保证对管理层提供风险保证 就风险作出决策就风险作出决策 以管理层的立场进行风险应对以管理层的立场进行风险应对 对风险管理负责对风险管理负责六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任商学院会计系李栋辉商学院会计系李栋辉v内部审计在企业风险管理中的核心（内部审计在企业

42、风险管理中的核心（CoreCore）作用）作用 对风险管理过程的确认服务对风险管理过程的确认服务 对正确识别风险的确认服务对正确识别风险的确认服务 评估风险管理过程评估风险管理过程 评估关键风险因素报告评估关键风险因素报告 评估关键风险因素管理评估关键风险因素管理六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任为企业风险管理的为企业风险管理的有效性提供确认服有效性提供确认服务务监督者角色监督者角色商学院会计系李栋辉商学院会计系李栋辉v内部审计在风险管理中发挥合理（内部审计在风险管理中发挥合理（LegitimateLegitimate）的作用）的作用 帮助

43、识别和评估风险帮助识别和评估风险 指导管理层应对风险指导管理层应对风险 协调风险管理相关活动协调风险管理相关活动 加强对风险的报告与披露加强对风险的报告与披露 保持和完善企业风险管理框架保持和完善企业风险管理框架 支持企业风险管理的建设支持企业风险管理的建设 在董事会批准的前提下，参与制定风险管理战略在董事会批准的前提下，参与制定风险管理战略六、内部审计在企业风险管理过程中的角色与责任六、内部审计在企业风险管理过程中的角色与责任 咨询咨询 建议建议 协调协调商学院会计系李栋辉商学院会计系李栋辉主要内容主要内容第第1 1节节.风险管理审计的内容风险管理审计的内容第第2 2节节.风险管理审计的途径

44、和方法风险管理审计的途径和方法第第3 3节节.风险管理审计案例分析风险管理审计案例分析第第4 4节节.公司治理审计公司治理审计第四章第四章 内部控制审计内部控制审计商学院会计系李栋辉商学院会计系李栋辉一、风险识别一、风险识别二、二、风险分析与风险评估风险分析与风险评估三、基于三、基于风险评估的审计计划风险评估的审计计划四、基于风险矩阵图与风险测试的审计实施四、基于风险矩阵图与风险测试的审计实施五、可以借鉴的工具方法五、可以借鉴的工具方法第第2 2节节 风险管理审计的途径和方法风险管理审计的途径和方法商学院会计系李栋辉商学院会计系李栋辉（一）风险识别的概念（一）风险识别的概念 风险事故发生前，企

45、业运用各种方法、系统、全面、风险事故发生前，企业运用各种方法、系统、全面、连续地认识生产经营过程中所面临的各种风险及风险事故连续地认识生产经营过程中所面临的各种风险及风险事故发生的潜在原因。是整个风险管理过程的基本环节。发生的潜在原因。是整个风险管理过程的基本环节。v风险识别的过程风险识别的过程 风险识别的过程实质上就是收集有关风险因素、风险风险识别的过程实质上就是收集有关风险因素、风险事故、风险暴露和危害等方面信息的过程。事故、风险暴露和危害等方面信息的过程。一、风险识别一、风险识别商学院会计系李栋辉商学院会计系李栋辉一、风险识别一、风险识别 企业风险管理风险暴露风险风险或危害风险源风险识别

46、风险分析风险评价风险应对损失频率损失程度风险标准及其可接受因素商学院会计系李栋辉商学院会计系李栋辉案例案例v工业溶剂渗漏使作业现场的工业溶剂渗漏使作业现场的工人吸入有毒气体，导致工工人吸入有毒气体，导致工人中毒的风险事故。人中毒的风险事故。一、风险识别一、风险识别商学院会计系李栋辉商学院会计系李栋辉v风险事故风险事故：工业溶剂的泄露；：工业溶剂的泄露；v风险因素风险因素：使用工业溶剂的车间通风条件较差，工人在没有防：使用工业溶剂的车间通风条件较差，工人在没有防护工具的情况下离工作台太近；护工具的情况下离工作台太近；v风险暴露风险暴露：生产设备突然失控使得工人们必须进入通风条件较：生产设备突然失

47、控使得工人们必须进入通风条件较差的车间进行抢救；差的车间进行抢救；v损失损失：工人吸入有毒气体，致使呼吸道出现严重问题；：工人吸入有毒气体，致使呼吸道出现严重问题；v直接后果直接后果：工人住院治疗，企业医疗费用支出增加，受到行政：工人住院治疗，企业医疗费用支出增加，受到行政处罚；处罚；v长期后果长期后果：工人申诉，请求鉴定职业病，获得相应赔偿；：工人申诉，请求鉴定职业病，获得相应赔偿；v防止再次发生的方法防止再次发生的方法：重新设计工作台、安装通风设备、防止：重新设计工作台、安装通风设备、防止工业溶剂渗漏、向工人发放防毒面罩；工业溶剂渗漏、向工人发放防毒面罩；一、风险识别一、风险识别商学院会计

48、系李栋辉商学院会计系李栋辉1.1.发现或调查风险因素发现或调查风险因素v自然环境自然环境v社会经济环境社会经济环境 种族歧视、文化冲突、政府行为等种族歧视、文化冲突、政府行为等v政治及法制因素政治及法制因素：最难以捉摸：最难以捉摸 政党变更、外交关系、区域联盟等政党变更、外交关系、区域联盟等v运营环境运营环境 人力资源政策、安全的工作环境等人力资源政策、安全的工作环境等v意识及沟通因素意识及沟通因素 企业风险管理人员最大的难题是怎样辨别某一风险因企业风险管理人员最大的难题是怎样辨别某一风险因素，是概念上的可能还是真实的存在。素，是概念上的可能还是真实的存在。一、风险识别一、风险识别商学院会计系

49、李栋辉商学院会计系李栋辉2.2.减少风险因素增加的条件减少风险因素增加的条件v按照风险事故发生后果的严重程度：可以将风险因素划分为按照风险事故发生后果的严重程度：可以将风险因素划分为4 4类：类：v第一类：事故后果可以忽略，第一类：事故后果可以忽略，不采取控制措施的风险因素不采取控制措施的风险因素；v第二类：事故后果比较轻，暂时不能造成人员伤害和财产损失，第二类：事故后果比较轻，暂时不能造成人员伤害和财产损失，应该考虑采取控制措施的风险因素应该考虑采取控制措施的风险因素；v第三类：事故后果严重，会造成人员伤亡和系统损坏，需第三类：事故后果严重，会造成人员伤亡和系统损坏，需立即采立即采取措施加以

50、控制的风险因素取措施加以控制的风险因素；v第四类：可以造成灾难性后果的风险事故，需要第四类：可以造成灾难性后果的风险事故，需要立即采取措施予立即采取措施予以排除的风险因素以排除的风险因素；一、风险识别一、风险识别商学院会计系李栋辉商学院会计系李栋辉3.3.预见危害或者危险预见危害或者危险v无论由什么风险因素引发的风险事故，都会产生危害，造无论由什么风险因素引发的风险事故，都会产生危害，造成损失。因此风险识别的重要步骤是能预见到危害，将产成损失。因此风险识别的重要步骤是能预见到危害，将产生危害的条件消灭在萌芽状态。生危害的条件消灭在萌芽状态。一、风险识别一、风险识别商学院会计系李栋辉商学院会计系