Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty內(nèi)部控制與風(fēng)險管理審計趙珊博士國際內(nèi)部審計師南京審計大學(xué)副教授中國內(nèi)部審計發(fā)展研究中心南京審計大學(xué)內(nèi)部審計系2016年12月nikkyzs@Honesty,TruthPursuing,Dilig1主要內(nèi)容內(nèi)部控制與全面風(fēng)險管理內(nèi)部審計作用的發(fā)揮風(fēng)險管理審計的界定內(nèi)部控制和風(fēng)險管理審計實施內(nèi)部控制、風(fēng)險管理審計案例主要內(nèi)容內(nèi)部控制與全面風(fēng)險管理內(nèi)部控制與全面風(fēng)險管理內(nèi)部控制與全面風(fēng)險管理舞弊壓力機(jī)會借口內(nèi)部控制的緣起——LarrySawyer——W.SteveAlbrecht壓力要素是舞弊者的行為動機(jī)，壓力的具體形式有所差異職務(wù)舞弊者必須權(quán)衡利弊，進(jìn)行心理平衡過程，使職務(wù)舞弊行為與其本人的道德觀念、行為準(zhǔn)則相吻合機(jī)會是指可進(jìn)行舞弊而又能掩蓋起來不被發(fā)現(xiàn)或能僥幸逃避懲罰的時機(jī)或情形舞弊內(nèi)部控制的緣起——LarrySawyer壓力要素是舞弊80至90年代內(nèi)部控制的演化發(fā)展業(yè)務(wù)本身日益復(fù)雜控制手段日益豐富內(nèi)部牽制內(nèi)部控制制度內(nèi)部控制結(jié)構(gòu)內(nèi)部控制整合架構(gòu)風(fēng)險管理整合框架20世紀(jì)初期以前20世紀(jì)30-70年代90年代以來2004年以來SOXACT80至90年代內(nèi)部控制的演化發(fā)展業(yè)務(wù)本身日益復(fù)雜內(nèi)部牽制內(nèi)部5200120022003CombinedCodeHIH保險公司One.Tel安然薩班斯－奧克斯利法案世通

Qwest

CodeofCorporateGovernance國際內(nèi)部控制的發(fā)展與最新趨勢200420052006公司治理守則第9號法案審計改革和公司信息披露法案

企業(yè)管治常規(guī)守則內(nèi)部控制規(guī)范2007FinancialInstrumentsandExchangeLaw200120022003CombinedHIH保險公司安然薩6我國內(nèi)部控制的發(fā)展過程內(nèi)部牽制階段會計控制階段全面控制階段

123我國內(nèi)部控制的發(fā)展過程內(nèi)部牽制階段會計控制階段7（一）第一階段是內(nèi)部牽制。這一時期計劃經(jīng)濟(jì)占主導(dǎo)地位，二十世紀(jì)七十年代末至八十年代，內(nèi)部牽制更加受到重視。1、1978年9月12日，國務(wù)院頒布《會計人員職權(quán)條例》。2、1984年4月24日，財政部發(fā)布《會計人員工作規(guī)則》。3、1985年1月21日，第六屆全國人民代表大會常務(wù)委員會第九次會議通過《中華人民共和國會計法》，重申了會計崗位責(zé)任制的要求。我國內(nèi)部控制的發(fā)展過程（一）第一階段是內(nèi)部牽制。我國內(nèi)部控制的發(fā)展過程8二、會計控制階段：

1、1996年6月17日，財政部發(fā)布《會計基礎(chǔ)工作規(guī)范》，要求各單位進(jìn)一步建立健全包括但不限于內(nèi)部牽制制度的內(nèi)部會計管理制度。2、1999年修訂的《會計法》，第一次以法律的形式對建立健全內(nèi)部控制提出原則要求。3、財政部隨后制定發(fā)布了《內(nèi)部會計控制規(guī)范——基本規(guī)范（試行）》和《內(nèi)部會計控制規(guī)范——貨幣資金（試行）》等7項內(nèi)部會計控制規(guī)范，要求單位加強(qiáng)內(nèi)部會計及與會計相關(guān)的控制，形成完善的內(nèi)部牽制和監(jiān)督制約機(jī)制，以堵塞漏洞、消除隱患，保護(hù)財產(chǎn)安全，防止舞弊行為，促進(jìn)經(jīng)濟(jì)活動健康發(fā)展。我國內(nèi)部控制的發(fā)展過程二、會計控制階段：我國內(nèi)部控制的發(fā)展過程9三、全面控制階段：

進(jìn)入21世紀(jì)，隨著世界范圍的企業(yè)合并、資本國際化、貿(mào)易壁壘的逐漸消失和金融市場的一體化，內(nèi)部控制日益成為一個世界性話題，單純依賴會計控制已難以應(yīng)對企業(yè)面對的市場風(fēng)險，會計控制必須向全面控制發(fā)展。企業(yè)需要站在發(fā)展全局的角度，全方位加強(qiáng)內(nèi)部控制制度體系建設(shè)，為深化企業(yè)改革、加強(qiáng)經(jīng)營管理、提高企業(yè)抗風(fēng)險能力和可持續(xù)發(fā)展能力提供技術(shù)支持。

我國內(nèi)部控制的發(fā)展過程三、全面控制階段：我國內(nèi)部控制的發(fā)展過程10中國內(nèi)部控制的發(fā)展2006(財政部)企業(yè)內(nèi)部控制鑒證指引企業(yè)內(nèi)部控制評價指引企業(yè)內(nèi)部控制應(yīng)用指引

(征求意見稿)(上交所/深交所)內(nèi)部控制指引(國資委)中央企業(yè)全面風(fēng)險管理指引2007(財政部)企業(yè)內(nèi)部控制規(guī)范-基本規(guī)范(征求意見稿)2008(財政部)企業(yè)內(nèi)部控制基本規(guī)范（保監(jiān)會）壽險公司內(nèi)部控制評價辦法（試行）保險公司內(nèi)部審計指引（試行）保險公司風(fēng)險管理指引（試行）(證監(jiān)會）上市公司信息披露管理辦法（銀監(jiān)會）銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理的指引（銀監(jiān)會）商業(yè)銀行內(nèi)部控制指引（銀監(jiān)會)商業(yè)銀行合規(guī)風(fēng)險管理指引（證監(jiān)會）證券公司風(fēng)險控制指標(biāo)管理辦法（證監(jiān)會）證券公司合規(guī)管理試行規(guī)定（證監(jiān)會）證券公司監(jiān)督管理條例（銀監(jiān)會）商業(yè)銀行操作風(fēng)險管理指引我國內(nèi)部控制的發(fā)展過程中國內(nèi)部控制的發(fā)展2006(財政部)(上交所/深交所)(國資112008年6月，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》（簡稱《基本規(guī)范》）2010年4月《企業(yè)內(nèi)部控制配套指引》發(fā)布。具體包括《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》、《企業(yè)內(nèi)部控制審計指引》2011年1月1日起在境內(nèi)外同時上市的公司范圍內(nèi)施行，2012年1月1日起擴(kuò)大到上證、深證主板上市的公司。鼓勵非上市的大中型企業(yè)執(zhí)行。執(zhí)行本規(guī)范的上市公司，應(yīng)當(dāng)對本公司內(nèi)部控制的有效性進(jìn)行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務(wù)資格的會計師事務(wù)所內(nèi)部控制的有效性進(jìn)行審計——中國企業(yè)內(nèi)部控制規(guī)范體系內(nèi)部控制基本規(guī)范及配套指引內(nèi)部控制基本規(guī)范及配套指引確保被識別出規(guī)避風(fēng)險的控制措施可以及時有效得到實施的政策和程序確認(rèn)內(nèi)部控制是否進(jìn)行充分的設(shè)計和執(zhí)行，以及是否具備有效性和適應(yīng)性。對于影響公司目標(biāo)實現(xiàn)的內(nèi)部及外部因素的評估確保相關(guān)信息被及時識別及傳遞的過程公司對于內(nèi)部控制的基本態(tài)度-”來自上層的基調(diào)”戰(zhàn)略目標(biāo)報告目標(biāo)合規(guī)目標(biāo)經(jīng)營目標(biāo)資產(chǎn)安全內(nèi)部環(huán)境公司層面業(yè)務(wù)單元子公司風(fēng)險評估控制活動信息與溝通內(nèi)部監(jiān)督《企業(yè)內(nèi)部控制基本規(guī)范》框架13確保被識別出規(guī)避風(fēng)險的控制措施可以及時有效得到實施的政策和程《企業(yè)內(nèi)部控制配套指引》構(gòu)成《企業(yè)內(nèi)部控制配套指引》構(gòu)成時間機(jī)構(gòu)標(biāo)準(zhǔn)1999/2004年澳大利亞和新西蘭AS/NZ43601999風(fēng)險管理準(zhǔn)則2004年COSO企業(yè)風(fēng)險管理-整合框架1988/2004年BCBS巴賽爾協(xié)議||2005年香港會計師工會內(nèi)部控制與風(fēng)險管理的基本架構(gòu)2008年歐洲委員會償付能力||2009年ISOISO31000風(fēng)險管理2002年NISTNISTSP800-37風(fēng)險管理框架1996年以來ISACACOBIT、ValIT、RiskIT國外主要風(fēng)險管理標(biāo)準(zhǔn)時間機(jī)構(gòu)標(biāo)準(zhǔn)1999/2004年澳大利亞和新西蘭AS/NZ4151931年至20世紀(jì)80年代末90年代初20世紀(jì)90年代以來風(fēng)險管理的演化發(fā)展基于保險和財務(wù)層面的風(fēng)險管理階段基于整體層面的風(fēng)險管理階段風(fēng)險本身日益復(fù)雜風(fēng)險管理手段日益豐富1931年至20世紀(jì)80年代末90年代初20世紀(jì)9162004年9月，COSO正式頒布《企業(yè)風(fēng)險管理——整體框架》，包含4大目標(biāo)（戰(zhàn)略、經(jīng)營、報告和合規(guī)目標(biāo)）、8個相互關(guān)聯(lián)的要素（內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通、監(jiān)控）和應(yīng)用的企業(yè)及單位（公司層面、子公司、業(yè)務(wù)單元和科室）。國外主要風(fēng)險管理標(biāo)準(zhǔn)：COSO-ERM企業(yè)風(fēng)險管理框架監(jiān)控信息和溝通控制活動風(fēng)險評估控制環(huán)境營運(yùn)財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1監(jiān)督信息和溝通控制活動風(fēng)險評估控制環(huán)境營運(yùn)財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1內(nèi)控控制框架2004年9月，COSO正式頒布《企業(yè)風(fēng)險管理——整17

b.組織過程——一體化部分c.決策制定的一部分a.創(chuàng)造價值d.明確地解決不確定性風(fēng)險管理原則、框架和過程之間的關(guān)系j.動態(tài)、循環(huán)和響應(yīng)變化管理風(fēng)險的原則（第三組）管理風(fēng)險的框架（第四組）管理風(fēng)險的過程（第五組）e.系統(tǒng)的，結(jié)構(gòu)化的和及時的f.基于可能得到的最佳資料g.因地制宜h.將人和文化因素考慮在內(nèi)i.透明和包容k.推進(jìn)組織的持續(xù)改進(jìn)和改善指令和承諾（4.2）管理風(fēng)險的框架設(shè)計（4.3）框架的監(jiān)控和審查（4.4）部署風(fēng)險管理（4.4）框架的持續(xù)改善（4.6）建立語境（5.3）風(fēng)險識別（5.4.2）風(fēng)險分析（5.4.3）風(fēng)險評價（5.4.4）風(fēng)險處理（5.5）風(fēng)險管理（5.4）溝通和咨詢（5.2）對照和復(fù)核（5.6）b.組織過程c.決策制定的一部分a.創(chuàng)造價值d.明確地解決時間機(jī)構(gòu)標(biāo)準(zhǔn)2005年銀監(jiān)會商業(yè)銀行市場風(fēng)險管理指引2006年國資委中央企業(yè)全面風(fēng)險管理指引2006年銀監(jiān)會商業(yè)銀行合規(guī)風(fēng)險管理指引2007年銀監(jiān)會商業(yè)銀行操作風(fēng)險管理指引2007年保監(jiān)會保險公司風(fēng)險管理指引2009年銀監(jiān)會商業(yè)銀行流動風(fēng)險管理指引2009年銀監(jiān)會商業(yè)銀行聲譽(yù)風(fēng)險管理指引2009年銀監(jiān)會商業(yè)銀行信息科技風(fēng)險管理指引2010年保監(jiān)會人身保險公司全面風(fēng)險管理實施指引國內(nèi)主要風(fēng)險管理規(guī)定時間機(jī)構(gòu)標(biāo)準(zhǔn)2005年銀監(jiān)會商業(yè)銀行市場風(fēng)險管理指引200619國資委—中央企業(yè)全面風(fēng)險管理指引國資委—中央企業(yè)全面風(fēng)險管理指引20目前對風(fēng)險管理與內(nèi)控認(rèn)識存在的誤區(qū)把內(nèi)部控制與全面風(fēng)險管理體系的建設(shè)理解為建章立制。內(nèi)部控制體系和全面風(fēng)險管理體系是相互獨立的。內(nèi)部控制和全面風(fēng)險管理的作用被夸大。內(nèi)部控制與全面風(fēng)險管理理念在企業(yè)實踐落地難。誤區(qū)?

內(nèi)置于企業(yè)日常管理過程中，是

一種常規(guī)運(yùn)行的機(jī)制。?

整合建設(shè)，但根據(jù)企業(yè)特點各有

側(cè)重。?

無論多么先進(jìn)的內(nèi)部控制和風(fēng)險

管理體系都只能為企業(yè)相關(guān)目標(biāo)

的實現(xiàn)提供合理的而非絕對的保

證。?

新事物的導(dǎo)入有個過程，要認(rèn)清

風(fēng)險管理成熟度。正解????

22目前對風(fēng)險管理與內(nèi)控認(rèn)識存在的誤區(qū)把內(nèi)部控制與全面風(fēng)險管誤區(qū)21理論界對內(nèi)部控制與風(fēng)險管理的關(guān)系有兩種觀點：觀點1：認(rèn)為風(fēng)險管理是內(nèi)部控制的組成部分觀點2：認(rèn)為內(nèi)部控制是風(fēng)險管理的組成部分23風(fēng)險管理與內(nèi)部控制的關(guān)系理論界對內(nèi)部控制與風(fēng)險管理的關(guān)系有兩種觀點：23風(fēng)險管理與內(nèi)22我們的看法是：如果以風(fēng)險作為管理的起點，則內(nèi)部控制是風(fēng)險的應(yīng)對，可以理解為控制屬于風(fēng)險管理的實現(xiàn)工具，因此控制包含于風(fēng)險管理；如果認(rèn)為企業(yè)管理的實質(zhì)是控制，風(fēng)險管理只是在資源有限性和對象復(fù)雜性矛盾下的平衡和導(dǎo)向，那么風(fēng)險管理可以作為控制系統(tǒng)的一部分；從組織結(jié)構(gòu)來看，內(nèi)部控制和風(fēng)險管理相應(yīng)的組織結(jié)構(gòu)是完全一致的，說明二者都應(yīng)該無縫整合到一定的組織結(jié)構(gòu)中，和其他有關(guān)的業(yè)務(wù)和職能管理共同服務(wù)于企業(yè)管理。風(fēng)險管理與內(nèi)部控制的關(guān)系風(fēng)險管理與內(nèi)部控制的關(guān)系23?風(fēng)險管理：做正確的事

?

風(fēng)險管理解決的不僅是流程問題，更是要解決戰(zhàn)略決策問題、應(yīng)急處理問題；

不僅要解決當(dāng)前的問題，更要預(yù)測和應(yīng)對將來可能發(fā)生的問題；不但要解決“正確地做事”，關(guān)鍵是還要解決“做正確的事”

?

風(fēng)險管理更偏向于前端，對影響目標(biāo)實現(xiàn)的因素的分析、評估與應(yīng)對，防止重大決策失誤，防止出現(xiàn)重大危機(jī)問題。?內(nèi)控：正確的做事

?

內(nèi)控解決的是流程問題，包括業(yè)務(wù)流程、管理流程中的風(fēng)險控制，解決的是“正確地做事”。

?

內(nèi)部控制更加重視實施，嵌入到企業(yè)各業(yè)務(wù)流程的具體業(yè)務(wù)活動中，融合在企業(yè)的各項規(guī)章制度之中，使企業(yè)在正常運(yùn)營過程中自發(fā)地防止錯誤，確保合規(guī)和真實，從而合理保證目標(biāo)的實現(xiàn)。風(fēng)險管理與內(nèi)部控制的關(guān)系?風(fēng)險管理：做正確的事?內(nèi)控：正確的做事風(fēng)險管理與內(nèi)部控24風(fēng)險管理與內(nèi)部控制整合實施運(yùn)作機(jī)制風(fēng)險管理與內(nèi)部控制整合實施運(yùn)作機(jī)制《內(nèi)部控制基本規(guī)范》及配套指引舊準(zhǔn)則新準(zhǔn)則新舊內(nèi)部審計準(zhǔn)則結(jié)構(gòu)的調(diào)整《內(nèi)部控制基本規(guī)范》及配套指引舊準(zhǔn)則新準(zhǔn)則新舊內(nèi)部審計準(zhǔn)則結(jié)內(nèi)部審計作用的發(fā)揮內(nèi)部審計作用的發(fā)揮內(nèi)部審計客體內(nèi)部審計，是一種獨立、客觀的確認(rèn)和咨詢活動，它通過運(yùn)用系統(tǒng)、規(guī)范的方法，審查和評價組織的業(yè)務(wù)活動、內(nèi)部控制和風(fēng)險管理的適當(dāng)性和有效性，以促進(jìn)組織完善治理、增加價值和實現(xiàn)目標(biāo)。--CIIA內(nèi)部審計客體內(nèi)部審計，是一種獨立、客觀的確認(rèn)和咨詢活動，它通

IIA最近發(fā)布的調(diào)查報告將內(nèi)部審計職能涉及到的活動分為三大類25項：內(nèi)部控制活動（14項）風(fēng)險管理活動（5項）公司治理活動（6項）內(nèi)部審計客體IIA最近發(fā)布的調(diào)查報告將內(nèi)部審計職能涉及到29內(nèi)部控制活動風(fēng)險管理活動公司治理活動合規(guī)性審計企業(yè)生存能力（持續(xù)經(jīng)營）評價公司治理評價控制系統(tǒng)的有效性評價風(fēng)險管理程序?qū)徲嫳M責(zé)調(diào)查經(jīng)營審計財務(wù)風(fēng)險審計道德審計項目管理審計信息風(fēng)險審計戰(zhàn)略和組織績效的關(guān)系評價安全評價和調(diào)查信息系統(tǒng)風(fēng)險審計薪酬評級災(zāi)難恢復(fù)測試和支持社會和可持續(xù)（社會責(zé)任、環(huán)境）審計舞弊和不合規(guī)調(diào)查質(zhì)量審計外部審計協(xié)助管理審計組織人員的風(fēng)險、控制、合規(guī)調(diào)查外包業(yè)務(wù)審計與國際財務(wù)報告標(biāo)準(zhǔn)的接軌可擴(kuò)展商業(yè)報告語言的使用內(nèi)部控制活動風(fēng)險管理活動公司治理活動合規(guī)性審計企業(yè)生存能力公30內(nèi)部審計在風(fēng)險管理中作用的發(fā)揮內(nèi)部審計的風(fēng)險管理職責(zé)要考慮：組織規(guī)模、成熟程度、風(fēng)險管理狀況、風(fēng)險影響程度及概率、組織文化、立場公告等。內(nèi)部審計與組織的風(fēng)險管理成熟度無意識、零碎的有管理的系統(tǒng)化的擅長應(yīng)對風(fēng)險是否遵守是否整合了做的事情是否在做了相關(guān)法規(guī)管理信息是否正確正確的事情風(fēng)險管理不太成熟：咨詢業(yè)務(wù)，關(guān)注風(fēng)險管理的架構(gòu)和方法，以及基本風(fēng)險的控制，為管理層獻(xiàn)計獻(xiàn)策風(fēng)險管理較成熟：確認(rèn)業(yè)務(wù)，促進(jìn)改善風(fēng)險管理介于之間：評估組織的最佳實務(wù)和應(yīng)變措施，優(yōu)化風(fēng)險管理實務(wù)。內(nèi)部審計在風(fēng)險管理中作用的發(fā)揮內(nèi)部審計的風(fēng)險管理職責(zé)31與企業(yè)風(fēng)險管理相關(guān)的內(nèi)部審計核心作用需要安全保障的內(nèi)部審計作用內(nèi)部審計不應(yīng)當(dāng)發(fā)生的作用為風(fēng)險管理過程提供確認(rèn)為風(fēng)險管理評估的準(zhǔn)確性提供確認(rèn)評價風(fēng)險管理過程評價對主要風(fēng)險的報告檢查主要風(fēng)險的管理推動風(fēng)險的識別與評估指導(dǎo)管理層如何應(yīng)對風(fēng)險協(xié)調(diào)企業(yè)全面風(fēng)險管理工作合并風(fēng)險管理報告維護(hù)和發(fā)展風(fēng)險管理框架倡導(dǎo)企業(yè)風(fēng)險管理的建立確定風(fēng)險偏好強(qiáng)制實施風(fēng)險管理過程管理層對風(fēng)險的確認(rèn)決定風(fēng)險應(yīng)對以管理層的名義實施風(fēng)險應(yīng)對問責(zé)風(fēng)險管理與企業(yè)風(fēng)險管理相關(guān)的內(nèi)部審計核心作用需要安全保障的內(nèi)部審計作風(fēng)險管理審計的界定風(fēng)險管理審計的界定風(fēng)險管理審計的概念和內(nèi)涵風(fēng)險管理審計是根據(jù)企業(yè)全面風(fēng)險管理的目標(biāo)和政策，采用系統(tǒng)化、規(guī)范化的方法，評價企業(yè)全面風(fēng)險管理的運(yùn)行狀況，測試企業(yè)風(fēng)險管理系統(tǒng)、各業(yè)務(wù)循環(huán)及相關(guān)部門在風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險治理等方面的活動，以識別、預(yù)警和糾正企業(yè)在實施風(fēng)險管理過程中可能存在的不適或缺陷，進(jìn)而提高企業(yè)風(fēng)險管理的效率和效果，保障企業(yè)戰(zhàn)略目標(biāo)的實現(xiàn)。某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的概念和內(nèi)涵1.風(fēng)險管理審計目標(biāo)是建立在確定企業(yè)基本經(jīng)營目標(biāo)、風(fēng)險、績效指標(biāo)和風(fēng)險承受能力的基礎(chǔ)上，評價企業(yè)風(fēng)險管理的整體框架、過程、對策或措施及其活動效果，驗證企業(yè)風(fēng)險的治理水平，并提出改進(jìn)措施，以保障風(fēng)險管理目標(biāo)的實現(xiàn)，最終支持和保障總體戰(zhàn)略目標(biāo)的實現(xiàn)。2.企業(yè)風(fēng)險管理審計對象是風(fēng)險管理事項，如企業(yè)整體、區(qū)域、業(yè)務(wù)、職能領(lǐng)域、項目、過程、操作、資產(chǎn)、產(chǎn)品、服務(wù)或活動等，也可以是風(fēng)險管理的特定要素，如風(fēng)險管理政策和落實風(fēng)險管理政策的方案、程序或手段等。3.風(fēng)險管理審計職能體現(xiàn)在評價、監(jiān)督、鑒證和咨詢上。某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的概念和內(nèi)涵4.風(fēng)險管理審計重心在于識別目前風(fēng)險管理有效性水平與期望水平之間的差距，以評價和改進(jìn)風(fēng)險管理有效性。如何評價企業(yè)風(fēng)險管理的有效性？(1)依照COSO-ERM框架，一方面，核驗戰(zhàn)略、經(jīng)營、報告和合規(guī)四大目標(biāo)確實存在，并且針對這些目標(biāo)的管理都是有效的。(2)依照ISO-31000框架，核驗企業(yè)風(fēng)險管理過程中針對每個關(guān)鍵的風(fēng)險環(huán)節(jié)實施的風(fēng)險管理是存在和合理的，且正常運(yùn)行。(3)對照特別制定的風(fēng)險管理框架和要求衡量企業(yè)風(fēng)險管理的有效性。如內(nèi)控測試狀態(tài)良好，機(jī)制對風(fēng)險反應(yīng)迅速，企業(yè)對風(fēng)險的預(yù)測能力正在逐漸提高，事故發(fā)生率降低和損失明顯減少，社會責(zé)任形象提升等。4.風(fēng)險管理審計重心在于識別目前風(fēng)險管理有效性水平與期望水平風(fēng)險管理審計的演進(jìn)某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的演進(jìn)某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的分類1、一般風(fēng)險管理審計這類審計主要目的是識別/確認(rèn)被審事項的關(guān)鍵業(yè)績影響因素和評價相應(yīng)的風(fēng)險管理效率和效力，可細(xì)分類為：⑴針對企業(yè)各管理層級的風(fēng)險管理審計⑵針對企業(yè)職能領(lǐng)域或特定關(guān)鍵風(fēng)險的風(fēng)險管理審計⑶針對項目的風(fēng)險管理審計⑷針對各類活動的風(fēng)險管理審計⑸針對產(chǎn)品或服務(wù)的風(fēng)險管理審計⑹針對過程或操作的風(fēng)險管理審計2、風(fēng)險管理要素審計風(fēng)險管理要素審計是針對企業(yè)風(fēng)險管理政策、方法、措施、手段等要素實施的審計。某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計與其他審計的關(guān)系某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計與其他審計的關(guān)系某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計實施風(fēng)險管理審計實施風(fēng)險管理審計流程確定審計域/全組織范圍風(fēng)險評估全組織范圍確認(rèn)項目/制定審計計劃方案審計準(zhǔn)備階段審計實施階段評價/測試控制設(shè)計和其他風(fēng)險管理技術(shù)審計取證結(jié)果評價審計發(fā)現(xiàn)和審計報告后續(xù)審計溝通協(xié)調(diào)風(fēng)險管理審計流程確定審計域/全組織范圍風(fēng)險評估全組織范圍確認(rèn)43實施的具體工作確定風(fēng)險域全組織范圍風(fēng)險評估全組織范圍確認(rèn)項目制定風(fēng)險管理審計計劃評價控制的設(shè)計和其他風(fēng)險管理技術(shù)測試控制和其他風(fēng)險管理技術(shù)的有效性審計取證結(jié)果的評價后續(xù)審計實施的具體工作確定風(fēng)險域44確定風(fēng)險域1、嘎吱車輪法(強(qiáng)制性包含領(lǐng)域)。由董事會、管理當(dāng)局、國際組織、國家法規(guī)、外部審計、等發(fā)現(xiàn)或要求，急需關(guān)注和處理的問題。2、應(yīng)被審計者的要求。被審計者自行提出的要求。3、系統(tǒng)確認(rèn)法。組織結(jié)構(gòu)圖或成本中心報告企業(yè)流程或項目與管理層確定的風(fēng)險域相協(xié)調(diào)與其他確認(rèn)提供者相協(xié)調(diào)一、確定風(fēng)險域的方法確定風(fēng)險域一、確定風(fēng)險域的方法45確定風(fēng)險域二、確定風(fēng)險域應(yīng)系統(tǒng)考慮因素①上一次審計的日期和結(jié)果。②涉及的金額。③潛在的損失和風(fēng)險。④管理層的要求。⑤經(jīng)營方案、制度和控制的重大變化。⑥審計人員的變動及能力。確定風(fēng)險域二、確定風(fēng)險域應(yīng)系統(tǒng)考慮因素46確定風(fēng)險域三、風(fēng)險域集中的領(lǐng)域—對業(yè)績有重要影響的事項；—存在潛在危機(jī)，須使受損程度減至最低的事項；—高級管理者及全公司關(guān)心的審計主題；—與不合算的交易，無效業(yè)務(wù)的發(fā)現(xiàn)與改善的有關(guān)事項；—與交易，業(yè)務(wù)的改進(jìn)及對策有關(guān)的事項；—經(jīng)營層和管理層關(guān)心的審計主題；—管理部門中不易發(fā)覺的事項；—前次審計中未列作審計對象的事項；—新的業(yè)務(wù)領(lǐng)域或新項目風(fēng)險管理審計；—突發(fā)事件審計；—年度性針對企業(yè)戰(zhàn)略、經(jīng)營操作、財務(wù)和聲譽(yù)綜合風(fēng)險管理領(lǐng)域?qū)徲?；—針對企業(yè)整體層面風(fēng)險管理框架和政策合理性或針對風(fēng)險管理過程有效性審計。確定風(fēng)險域三、風(fēng)險域集中的領(lǐng)域47全組織范圍風(fēng)險評估1、加權(quán)風(fēng)險因素法審計部門經(jīng)過風(fēng)險分析，對風(fēng)險程度根據(jù)重要性原則排出審計的優(yōu)先順序。審計項目的安排以風(fēng)險評價為基礎(chǔ)，優(yōu)先審計風(fēng)險高的被審計單位，再審計風(fēng)險低的。其基本的步驟如下：①選擇5種（或者根據(jù)審計任務(wù)范疇或特征具體確定被審數(shù)量）對公司來講最重要的被審風(fēng)險因素對象；②給每個被審計對象風(fēng)險因素逐個打分，其評分范圍為1-5分（5表示風(fēng)險最大，1表示風(fēng)險最小，3表示風(fēng)險中等或未知風(fēng)險）；③加總各個被審計對象的分?jǐn)?shù)得出風(fēng)險值（最高分值為25分，意味著每個風(fēng)險因素都是5分；最低分值5分，說明每個風(fēng)險因素的得分都是1分）④按風(fēng)險值的高低分配審計資源。一、內(nèi)部審計師常用的風(fēng)險評估方法全組織范圍風(fēng)險評估一、內(nèi)部審計師常用的風(fēng)險評估方法48全組織范圍風(fēng)險評估2、管理層訪談/問卷調(diào)查訪談使內(nèi)部審計部門了解組織的價值主張并且使工作更具有戰(zhàn)略性。訪談提綱可以包括：一、內(nèi)部審計師常用的風(fēng)險評估方法關(guān)鍵控制目標(biāo)資料的可靠與完整對于法律、政策、程序的合規(guī)資產(chǎn)保護(hù)節(jié)約、效率和效果….關(guān)鍵管理流程運(yùn)行目標(biāo)戰(zhàn)略結(jié)構(gòu)人力資源管理信息系統(tǒng)….關(guān)鍵風(fēng)險固有風(fēng)險已進(jìn)行的風(fēng)險評估基于影響和可能性的重大風(fēng)險管理風(fēng)險的現(xiàn)行措施，包括關(guān)鍵控制….全組織范圍風(fēng)險評估一、內(nèi)部審計師常用的風(fēng)險評估方法關(guān)鍵控制目49全組織范圍風(fēng)險評估3、風(fēng)險評估專題討論會收集和整理選定級別的答題，并采用保密投票技術(shù)和數(shù)據(jù)投影儀將其用圖表形式呈現(xiàn)出來。議程可以包括：一、內(nèi)部審計師常用的風(fēng)險評估方法目的和結(jié)果的簡單說明基本規(guī)則組織戰(zhàn)略目標(biāo)的討論與認(rèn)可啟發(fā)、診斷式的問題采用的風(fēng)險類型篩選、歸納風(fēng)險風(fēng)險的可能性和影響重大性的討論風(fēng)險矩陣記錄討論后續(xù)步驟….全組織范圍風(fēng)險評估一、內(nèi)部審計師常用的風(fēng)險評估方法目的和結(jié)果50全組織范圍確認(rèn)項目1、有些在組織層面運(yùn)行的控制為整個組織提供保證—與控制環(huán)境有關(guān)的控制；—信息技術(shù)一般控制；2、有些業(yè)務(wù)層面的控制在整個組織范疇內(nèi)更便于理解和評價—不同單元、流程或項目的薪酬不同；3、有些風(fēng)險在組織和業(yè)務(wù)兩個層面都管理，并且可以在一次全組織范圍審核中同時在兩個層面評價—與職業(yè)道德和合規(guī)相關(guān)的政策和培訓(xùn)；—人力資源和其他共享服務(wù)；一、全組織范圍確定項目的目的全組織范圍確認(rèn)項目一、全組織范圍確定項目的目的51全組織范圍確認(rèn)項目1、組織中與審計主題相關(guān)的政策；2、治理文件；3、公認(rèn)的風(fēng)險和控制模型ERM、ISO310004、權(quán)威性準(zhǔn)則可能與審計業(yè)務(wù)的主題相關(guān)；—信息及相關(guān)技術(shù)控制目標(biāo)COBIT—質(zhì)量管理體系ISO10006—法律或監(jiān)管要求5、最佳實務(wù)報告—審計委員會的有效性IIARF二、組織范圍確定項目的標(biāo)準(zhǔn)全組織范圍確認(rèn)項目二、組織范圍確定項目的標(biāo)準(zhǔn)52全組織范圍確認(rèn)項目“內(nèi)部審計部門必須針對組織內(nèi)與職業(yè)道德相關(guān)的目標(biāo)、計劃和業(yè)務(wù)評估其設(shè)計、實施和效果”1、結(jié)構(gòu)化訪談；怎么知道員工真正理解公司的職業(yè)道德規(guī)范？與同行業(yè)相比，我們的風(fēng)險偏好是怎樣的？收取或給與禮物的一般規(guī)定是什么？你是否覺得同樣的規(guī)定適用于所有員工？為什么或為什么不是？你是否見過不合乎職業(yè)道德的行為受到表彰？2、推動型專題討論會；3、問卷調(diào)查；三、評價組織層面控制的方法全組織范圍確認(rèn)項目三、評價組織層面控制的方法53制定風(fēng)險管理審計計劃風(fēng)險評估決定著確認(rèn)業(yè)務(wù)的審計目標(biāo)、范圍和方法。識別和評估風(fēng)險的來源和資料：1、文檔審閱：經(jīng)營計劃組織機(jī)構(gòu)圖流程圖關(guān)鍵技術(shù)工作描述關(guān)鍵政策一、高層次確認(rèn)業(yè)務(wù)風(fēng)險評估制定風(fēng)險管理審計計劃一、高層次確認(rèn)業(yè)務(wù)風(fēng)險評估54制定風(fēng)險管理審計計劃風(fēng)險評估決定著確認(rèn)業(yè)務(wù)的審計目標(biāo)、范圍和方法。識別和評估風(fēng)險的來源和資料：2、各層次管理層訪談：使命或目的首要市場或競爭關(guān)鍵經(jīng)營問題財務(wù)狀況和趨勢近期的變化優(yōu)勢經(jīng)理關(guān)注或面臨的挑戰(zhàn)主要風(fēng)險關(guān)鍵員工流程和運(yùn)營系統(tǒng)的概覽一、高層次確認(rèn)業(yè)務(wù)風(fēng)險評估制定風(fēng)險管理審計計劃一、高層次確認(rèn)業(yè)務(wù)風(fēng)險評估55制定風(fēng)險管理審計計劃風(fēng)險評估決定著確認(rèn)業(yè)務(wù)的審計目標(biāo)、范圍和方法。識別和評估風(fēng)險的來源和資料：3、管理層的風(fēng)險評估4、業(yè)績指標(biāo)和趨勢5、財務(wù)和運(yùn)營信息6、以前的審計結(jié)果7、組織外部的內(nèi)部審計師8、外部審計師和咨詢專家9、法規(guī)和監(jiān)管結(jié)果10、行業(yè)研究和標(biāo)準(zhǔn)11、事件報告12、保持客戶聯(lián)系一、高層次確認(rèn)業(yè)務(wù)風(fēng)險評估制定風(fēng)險管理審計計劃一、高層次確認(rèn)業(yè)務(wù)風(fēng)險評估56制定風(fēng)險管理審計計劃“內(nèi)部審計的責(zé)任是對內(nèi)部控制設(shè)計和運(yùn)行的有效性進(jìn)行審查和評價，出具客觀、公正的審計報告，促進(jìn)組織改善內(nèi)部控制及風(fēng)險管理。”1、內(nèi)部控制：內(nèi)部審計部門必須評估控制的效率和效果，并促進(jìn)持續(xù)改進(jìn)、從而協(xié)助組織維持有效的控制。財務(wù)和運(yùn)營信息的可靠性和完整性運(yùn)營的效率和效果資產(chǎn)的安全法律、法規(guī)、政策、程序、合同的遵循情況2、風(fēng)險管理：內(nèi)部審計活動必須評估風(fēng)險管理過程的有效性，并為其改善作出貢獻(xiàn)。組織目標(biāo)支持本組織的使命并與其保持一致。重大風(fēng)險得到識別和評估選定適當(dāng)?shù)娘L(fēng)險應(yīng)對方案，并符合組織的風(fēng)險偏好獲取相關(guān)的風(fēng)險信息，并在組織內(nèi)部及時溝通，以便員工、管理層和董事會履行其相關(guān)職責(zé)二、形成審計目標(biāo)、范圍和方法制定風(fēng)險管理審計計劃二、形成審計目標(biāo)、范圍和方法57制定風(fēng)險管理審計計劃風(fēng)險管理審計計劃就審計目標(biāo)、范圍和方法等給出更為清晰的和可操作的指引。一般來講，一個整體和較全面的審計計劃應(yīng)當(dāng)包括：審計目標(biāo)、審計域、審計要點、審計準(zhǔn)則以及其他參照指標(biāo)、審計程序及其包含內(nèi)容、審計調(diào)查與測試取證安排、審計負(fù)責(zé)人及其責(zé)任、確定審計所需信息和資料、主要審計方法和技術(shù)的選用、審計時間進(jìn)度和審計順序（例如審計順序、何時與誰交談、進(jìn)行現(xiàn)場觀察的時間安排、對每一種審計程序推進(jìn)進(jìn)度的時間安排、每個階段需進(jìn)展的審計深度、何時向誰提交審計結(jié)果等）、審計資源需求、審計組織與審計質(zhì)量保障證措施、審計團(tuán)隊的組成、對被審目標(biāo)的配合要求、審計報告要點框架等。風(fēng)險管理審計計劃可以規(guī)劃化和表格化，并分發(fā)給承辦該審計事項的所有審計人員。三、風(fēng)險管理審計計劃內(nèi)容制定風(fēng)險管理審計計劃三、風(fēng)險管理審計計劃內(nèi)容58制定風(fēng)險管理審計計劃四、與管理層的合作五、業(yè)務(wù)之前的溝通審計通知是內(nèi)部審計部門在實施風(fēng)險管理審計前通知客戶接受審計的書面文件。審計通知書包括以下幾點內(nèi)容：⑴客戶及審計項目名稱⑵審計目的和審計范圍⑶審計時間⑷客戶提供的具體資料和其他必要的協(xié)助⑸內(nèi)部審計部門及其負(fù)責(zé)人的簽章和簽發(fā)日期六、資源分配七、啟動會啟動會議是在審計項目開始時項目組成員、相關(guān)管理層或其他人員參加的溝通會議。其作用主要在于：⑴說明審計目的、審計范圍和要求協(xié)助的事項⑵進(jìn)一步了解審計對象⑶溝通制定風(fēng)險管理審計計劃四、與管理層的合作五、業(yè)務(wù)之前的溝通六、59評價控制的設(shè)計和其他風(fēng)險管理技術(shù)“內(nèi)部審計部門必須評估針對組織內(nèi)部治理、運(yùn)營和信息系統(tǒng)等風(fēng)險的控制的適當(dāng)性和有效性?！薄坝行У膶徲嬙O(shè)計：在多數(shù)情況下，在測試控制的有效性之前，要在了解和分析內(nèi)部控制體系的設(shè)計上花費大量時間，以確定其是否能提供適當(dāng)?shù)目刂?，這為內(nèi)部審計指出控制薄弱的根本原因而非指出其表面現(xiàn)象提供了堅實的基礎(chǔ)”適當(dāng)?shù)目刂疲喝绻芾韺拥挠媱澓徒M織行為能夠合理保證組織的風(fēng)險得到有效管理，組織的目標(biāo)和目的以經(jīng)濟(jì)高效的方式實現(xiàn)，那么可以認(rèn)為已建立適當(dāng)?shù)目刂啤Ｔu價控制的設(shè)計和其他風(fēng)險管理技術(shù)“內(nèi)部審計部門必須評估針對組60評價控制的設(shè)計和其他風(fēng)險管理技術(shù)一、常用控制及其他風(fēng)險管理技術(shù)預(yù)防或發(fā)現(xiàn)指令補(bǔ)償人工或自動化組織層面、業(yè)務(wù)層面一般控制組織層面的控制共享信息技術(shù)服務(wù)應(yīng)用控制業(yè)務(wù)層面控制評價控制的設(shè)計和其他風(fēng)險管理技術(shù)一、常用控制及其他風(fēng)險管理技61評價控制的設(shè)計和其他風(fēng)險管理技術(shù)二、詳細(xì)確認(rèn)業(yè)務(wù)風(fēng)險評估1、識別目標(biāo)2、識別固有風(fēng)險3、評估風(fēng)險影響和可能性4、識別控制和其他風(fēng)險管理技術(shù)書面政策流程手冊流程文檔一線員工5、評價控制的設(shè)計和其他風(fēng)險管理技術(shù)穿行測試固有風(fēng)險-風(fēng)險管理技術(shù)=剩余風(fēng)險其他風(fēng)險管理技術(shù)的評價軟控制的評價評價控制的設(shè)計和其他風(fēng)險管理技術(shù)二、詳細(xì)確認(rèn)業(yè)務(wù)風(fēng)險評估62評價控制的設(shè)計和其他風(fēng)險管理技術(shù)三、用于記錄和評價控制設(shè)計的工具1、風(fēng)險控制矩陣風(fēng)險/控制矩陣目標(biāo)固有風(fēng)險影響/可能性控制（和其他風(fēng)險管理技術(shù)）充分性評價適當(dāng)性評價最終評價評價控制的設(shè)計和其他風(fēng)險管理技術(shù)三、用于記錄和評價控制設(shè)計的63測試控制和其他風(fēng)險管理技術(shù)的有效性一、測試的決定關(guān)鍵或首要控制必須測試二、審計證據(jù)的類型書面證據(jù)、實物證據(jù)、視聽證據(jù)、電子證據(jù)、口頭證據(jù)、環(huán)境證據(jù)三、人工測試方法訪談問卷調(diào)查內(nèi)部控制問卷觀察檢查函證順查逆查測試控制和其他風(fēng)險管理技術(shù)的有效性一、測試的決定64測試控制和其他風(fēng)險管理技術(shù)的有效性三、人工測試方法重新執(zhí)行分析程序預(yù)期與實際比較趨勢分析相關(guān)因素分析合理測試與標(biāo)桿比較比率分析回歸分析四、抽樣統(tǒng)計抽樣隨機(jī)抽樣判斷抽樣測試控制和其他風(fēng)險管理技術(shù)的有效性三、人工測試方法65測試控制和其他風(fēng)險管理技術(shù)的有效性五、測試應(yīng)用控制輸入控制處理控制輸出控制完整性控制管理線索六、測試軟控制測試控制和其他風(fēng)險管理技術(shù)的有效性五、測試應(yīng)用控制66取證結(jié)果的評價在實務(wù)中，審計人員對風(fēng)險管理的評價可以用量化數(shù)字表示如1、2、3、4、5，或用字母表示如A、B、C、D、E,或者用顏色表示，如紅、黃、綠等。①風(fēng)險的嚴(yán)重性（或影響）的評價具體尺度（除了表達(dá)為財務(wù)指標(biāo)之外，也可以用聲譽(yù)、資本、法律等方式來表述風(fēng)險的影響）—不嚴(yán)重：既無戰(zhàn)略影響，又無財務(wù)影響?！p度嚴(yán)重：相對較小的戰(zhàn)略和/或財務(wù)影響（一星期的利潤）?！卸葒?yán)重：顯著地影響戰(zhàn)略和/或財務(wù)目標(biāo)的實現(xiàn)（一月的利潤）。—嚴(yán)重：難以實現(xiàn)戰(zhàn)略目標(biāo)（可能需要戰(zhàn)略上的一次改變），和/或重大的財務(wù)影響（一季的利潤）?！叨葒?yán)重：戰(zhàn)略目標(biāo)無法實現(xiàn)，導(dǎo)致嚴(yán)重的財務(wù)后果（一年的利潤）并威脅公司的生存能力。取證結(jié)果的評價在實務(wù)中，審計人員對風(fēng)險管理的評價可以用量化數(shù)67取證結(jié)果的評價②風(fēng)險可能性（概率）評價的具體尺度—不發(fā)生：在特定的時期內(nèi)不會發(fā)生（<5%）?！惶赡埽涸谔囟ǖ臅r期內(nèi)不太可能發(fā)生（<25%）?！赡埽涸谔囟ǖ臅r期內(nèi)或許會發(fā)生（<50%）。—很可能：在特定的時期內(nèi)發(fā)生比不發(fā)生的可能性大（>50%）?！隙ǎ涸谔囟ǖ臅r期內(nèi)已經(jīng)發(fā)生或幾乎肯定會發(fā)生（>90%）。③風(fēng)險的層次評價（擴(kuò)展的尺度）—極小的威脅：幾乎不可能嚴(yán)重地威脅組織?！p度威脅：不太可能嚴(yán)重地威脅組織?！卸韧{：偶爾可能成為組織的嚴(yán)重威脅。—嚴(yán)重威脅：很可能成為組織的嚴(yán)重威脅?！獮?zāi)難性的威脅肯定是組織的嚴(yán)重威脅取證結(jié)果的評價②風(fēng)險可能性（概率）評價的具體尺度68取證結(jié)果的評價④風(fēng)險承受限度的評價—避免：在任何情況下都不會允許此風(fēng)險發(fā)生?！档停罕仨殦碛谐掷m(xù)地管理此風(fēng)險的政策、流程和程序，并把它的影響降到最低限度?！芾恚罕仨毮軌蝾A(yù)測此風(fēng)險的發(fā)生，并采取前瞻性的行動以降低其影響。—檢查：將允許此風(fēng)險發(fā)生，但是必須能在其影響過大之前及時檢查并報告此風(fēng)險?！邮埽猴L(fēng)險的發(fā)生是可接受的。取證結(jié)果的評價④風(fēng)險承受限度的評價69取證結(jié)果的評價⑤風(fēng)險管理/風(fēng)險控制可擴(kuò)展度（可管理性或可控性）評價—無風(fēng)險管理：組織任由風(fēng)險發(fā)生，并接受其后果?！蛯哟蔚娘L(fēng)險管理：風(fēng)險通常都可以檢測到，但是組織更依賴于應(yīng)急或恢復(fù)計劃?！械鹊娘L(fēng)險管理：在有效的監(jiān)督下，能識別風(fēng)險的發(fā)生，并擁有充足的時間減小風(fēng)險的影響/提高獲利的機(jī)會。—擴(kuò)展的風(fēng)險管理：持續(xù)的監(jiān)督和前瞻性的管理活動確保把風(fēng)險的影響降到最低/增強(qiáng)獲利的可能性?！掷m(xù)的風(fēng)險管理：一個全面的風(fēng)險管理計劃有助于確保風(fēng)險得到了預(yù)防，或者所有可度量的影響/機(jī)會都得到了優(yōu)化。⑥風(fēng)險管理成熟度評價（采用風(fēng)險管理成熟度模型評價）—A級：特定風(fēng)險管理—B級：初步風(fēng)險管理—C級：可重復(fù)性風(fēng)險管理—D級：主動性風(fēng)險管理—E級：前瞻性風(fēng)險管理。取證結(jié)果的評價⑤風(fēng)險管理/風(fēng)險控制可擴(kuò)展度（可管理性或可控性70取證結(jié)果的評價⑦被審事項現(xiàn)有風(fēng)險管理水平或效力評價，例如：—該事項的風(fēng)險管理框架不適（其中包括風(fēng)險管理政策不適），不能滿足該事項目標(biāo)實現(xiàn)的要求?！撌马椨忻鞔_與合理的風(fēng)險管理框架（其中包括合理的風(fēng)險管理政策），然而風(fēng)險管理政策的實施不力和無效?！撌马椨休^明確與合理的風(fēng)險管理框架（其中包括合理的風(fēng)險管理政策），且該事項的風(fēng)險管理政策能基本落實?！撌马椨休^明確與合理的風(fēng)險管理框架（其中包括合理的風(fēng)險管理政策），且該事項的風(fēng)險管理政策能較好落實，內(nèi)部控制有效，風(fēng)險管理過程運(yùn)行有效。取證結(jié)果的評價71溝通與協(xié)商溝通和協(xié)商將不間斷地貫穿于整個審計過程中，其目的是為了促使審計工作得到各方面的支持和配合，以及為了保證審計工作的質(zhì)量和效果。如果管理人員不認(rèn)可審計人員所提出的審計發(fā)現(xiàn)或建議，這可能表明審計人員沒有完全理解管理人員的風(fēng)險承受限度。此時，應(yīng)該與管理人員重新協(xié)商其風(fēng)險承受限度，從而就以下方面達(dá)成共識：—審計發(fā)現(xiàn)的有效性；—解決這些發(fā)現(xiàn)中所提出問題的必要性；—以及相關(guān)建議的恰當(dāng)性。溝通與協(xié)商溝通和協(xié)商將不間斷地貫穿于整個審計過程中，其目的是72整理審計發(fā)現(xiàn)整理審計發(fā)現(xiàn)，描述審計發(fā)現(xiàn)，是著手撰寫審計報告的基本準(zhǔn)備工作，審計發(fā)現(xiàn)是風(fēng)險管理審計報告的寫作素材源泉。在評價審計證據(jù)后，需要把審計發(fā)現(xiàn)描述出來，但應(yīng)當(dāng)注意：⑴審計發(fā)現(xiàn)應(yīng)該以具體而簡潔的語言進(jìn)行表述。⑵理解某一發(fā)現(xiàn)所必需的信息應(yīng)該一一列舉⑶應(yīng)該一眼就能辨別出與某一發(fā)現(xiàn)相關(guān)的風(fēng)險。整理審計發(fā)現(xiàn)整理審計發(fā)現(xiàn)，描述審計發(fā)現(xiàn)，是著手撰寫審計報告的73整理審計發(fā)現(xiàn)通常，我們可以采用矩陣圖的方式反映審計發(fā)現(xiàn)，具體內(nèi)容包括：⑴現(xiàn)狀。⑵標(biāo)準(zhǔn)/期望。⑶原因。整理審計發(fā)現(xiàn)通常，我們可以采用矩陣圖的方式反映審計發(fā)現(xiàn)，具體74整理審計發(fā)現(xiàn)⑷影響。注意：①盡可能詳盡地對影響進(jìn)行描述。②影響可以量化成為財務(wù)價值數(shù)據(jù)③除了能用財務(wù)價值表述的影響之外，審計人員還應(yīng)該考慮其他方面的影響。④但如果針對其他可能發(fā)生的影響情況存在有相應(yīng)的行動要求的話，審計人員也需要對這些影響進(jìn)行相應(yīng)的說明。⑤適當(dāng)時，這些影響可以和流程目標(biāo)或主要風(fēng)險聯(lián)系起來。⑸評價。矩陣風(fēng)險圖⑹建議。整理審計發(fā)現(xiàn)⑷影響。注意：75對審計發(fā)現(xiàn)的處理是否納入最終的審計報告之中。對哪些審計發(fā)現(xiàn)應(yīng)該納入最終審計報告之中？是否被修改或與其他發(fā)現(xiàn)進(jìn)行合并，從而更好地闡明所提出的問題，并制定更可行的解決方案。與管理人員的共同討論是否清除出審計報告的候選對象之列，這應(yīng)當(dāng)根據(jù)后續(xù)的事實或根據(jù)管理人員的評論。記錄于工作底稿之中。對審計發(fā)現(xiàn)的處理是否納入最終的審計報告之中。對哪些審計發(fā)現(xiàn)應(yīng)76

審計報告的一般內(nèi)容一般的審計報告應(yīng)當(dāng)包括標(biāo)題、收件人、正文、附件、簽章、報告日期等基本要素，正文包括以下主要內(nèi)容：⑴立項依據(jù)。⑵背景介紹。①目的和理由；②被審計單位的規(guī)模、業(yè)務(wù)性質(zhì)與特點、組織機(jī)構(gòu)等；③上次同類審計的評價情況；④與審計項目相關(guān)的環(huán)境情況；⑤與被審計事項有關(guān)的技術(shù)性文件；⑥其它情況。

審計報告的一般內(nèi)容一般的審計報告應(yīng)當(dāng)包括標(biāo)題、收件人、正文77

審計報告的一般內(nèi)容⑶審計目標(biāo)與范圍。⑷審計重點。⑸審計標(biāo)準(zhǔn)。⑹審計依據(jù)。⑺審計發(fā)現(xiàn)與風(fēng)險之間的聯(lián)系，風(fēng)險與風(fēng)險之間的聯(lián)系及相互作用的可能結(jié)果。

審計報告的一般內(nèi)容⑶審計目標(biāo)與范圍。78

審計報告的一般內(nèi)容⑻審計結(jié)論。評估企業(yè)整體（或被審事項）風(fēng)險管理體系的運(yùn)行效果，評估每一個風(fēng)險應(yīng)對策略的科學(xué)性、合理性和落實效果，評估旨在落實風(fēng)險策略的每一個將主要風(fēng)險控制在可接受水平的管理活動效果，評估在現(xiàn)有風(fēng)險治理和風(fēng)險控制之水平下每一個（或某一個，根據(jù)審計任務(wù)決定）關(guān)鍵風(fēng)險現(xiàn)存的風(fēng)險暴露水平，比較這種風(fēng)險暴露水平與期望值之間的差距，提出縮小差距的建議行動步驟和實施方案。：①強(qiáng)大的風(fēng)險管理?！翱偟膩碚f，與XYZ業(yè)務(wù)相關(guān)的風(fēng)險（特別是關(guān)鍵性風(fēng)險）一直被有效地控制在可接受的水平。盡管可能存在某些改進(jìn)的機(jī)會，但是，目前圍繞著業(yè)務(wù)流程的風(fēng)險管理過程運(yùn)轉(zhuǎn)良好，風(fēng)險管理活動沒有進(jìn)行重大改變的必要?！?/p>

審計報告的一般內(nèi)容⑻審計結(jié)論。評估企業(yè)整體（或被審事項）風(fēng)79

審計報告的一般內(nèi)容②一般水平的風(fēng)險管理?！翱偟膩碚f，與XYZ業(yè)務(wù)相關(guān)的風(fēng)險（特別是關(guān)鍵性風(fēng)險）通常都能被控制在可接受的水平。但是，需要改進(jìn)業(yè)務(wù)流程和同時改進(jìn)圍繞著業(yè)務(wù)流程的相應(yīng)的風(fēng)險管理過程的設(shè)計（和/或運(yùn)作）以確保這些風(fēng)險一直被管理在可接受的水平。主要的改進(jìn)……。”③薄弱的風(fēng)險管理?！翱偟膩碚f，與XYZ業(yè)務(wù)相關(guān)的風(fēng)險不能被持續(xù)地控制在可接受的水平，這表明該領(lǐng)域面臨著較大的風(fēng)險暴露。因此，有必要立即改進(jìn)業(yè)務(wù)流程的設(shè)計（和/或運(yùn)作），同時需改進(jìn)相應(yīng)的風(fēng)險應(yīng)對策略和控制措施，尤其是……?！雹蛯徲嫿ㄗh。審計人員應(yīng)該依據(jù)審計發(fā)現(xiàn)和審計證據(jù)，結(jié)合組織的實際情況和審計結(jié)論的性質(zhì)，提出審計建議。審計建議可分為以下幾種類型：①現(xiàn)有系統(tǒng)運(yùn)行良好，無需改變；②現(xiàn)有系統(tǒng)需要全部或局部改變，包括改進(jìn)的方案設(shè)計，方案實施的要求，方案實施效果的預(yù)計，未實施此方案的后果分析。

審計報告的一般內(nèi)容②一般水平的風(fēng)險管理。“總的來說，與XY80

風(fēng)險管理的后續(xù)審計

風(fēng)險管理的后續(xù)審計81

風(fēng)險管理的后續(xù)審計在實施后續(xù)審計中，審計人員應(yīng)當(dāng)關(guān)注：⑴后續(xù)審計對策的選擇⑵注意溝通的藝術(shù)⑶對重大的審計發(fā)現(xiàn)和結(jié)論實施現(xiàn)場審計和測試⑷要繼續(xù)發(fā)現(xiàn)問題、解決問題

風(fēng)險管理的后續(xù)審計在實施后續(xù)審計中，審計人員應(yīng)當(dāng)關(guān)注：82內(nèi)部控制和風(fēng)險管理審計案例內(nèi)部控制審計案例風(fēng)險管理審計案例內(nèi)部控制和風(fēng)險管理審計案例內(nèi)部控制審計案例83本PPT為可編輯版本，以下內(nèi)容若不需要請刪除后使用，感謝您的理解，祝您生活愉快，事業(yè)有成，身體健康，萬事如意。本PPT為可編輯版本，以下內(nèi)容若不需要請刪除后使用，感謝您的84本PPT為可編輯版本，此內(nèi)容若不需要請刪除后使用，感謝您的理解，祝您生活愉快，事業(yè)有成，身體健康，萬事如意。本PPT為可編輯版本，此內(nèi)容若不需要請刪除后使用，感謝您的理85本PPT為可編輯版本，此內(nèi)容若不需要請刪除后使用，感謝您的理解，祝您生活愉快，事業(yè)有成，身體健康，萬事如意。本PPT為可編輯版本，此內(nèi)容若不需要請刪除后使用，感謝您的理86本PPT為可編輯版本，此內(nèi)容若不需要請刪除后使用，感謝您的理解，祝您生活愉快，事業(yè)有成，身體健康，萬事如意。本PPT為可編輯版本，此內(nèi)容若不需要請刪除后使用，感謝您的理87Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty內(nèi)部控制與風(fēng)險管理審計趙珊博士國際內(nèi)部審計師南京審計大學(xué)副教授中國內(nèi)部審計發(fā)展研究中心南京審計大學(xué)內(nèi)部審計系2016年12月nikkyzs@Honesty,TruthPursuing,Dilig88主要內(nèi)容內(nèi)部控制與全面風(fēng)險管理內(nèi)部審計作用的發(fā)揮風(fēng)險管理審計的界定內(nèi)部控制和風(fēng)險管理審計實施內(nèi)部控制、風(fēng)險管理審計案例主要內(nèi)容內(nèi)部控制與全面風(fēng)險管理內(nèi)部控制與全面風(fēng)險管理內(nèi)部控制與全面風(fēng)險管理舞弊壓力機(jī)會借口內(nèi)部控制的緣起——LarrySawyer——W.SteveAlbrecht壓力要素是舞弊者的行為動機(jī)，壓力的具體形式有所差異職務(wù)舞弊者必須權(quán)衡利弊，進(jìn)行心理平衡過程，使職務(wù)舞弊行為與其本人的道德觀念、行為準(zhǔn)則相吻合機(jī)會是指可進(jìn)行舞弊而又能掩蓋起來不被發(fā)現(xiàn)或能僥幸逃避懲罰的時機(jī)或情形舞弊內(nèi)部控制的緣起——LarrySawyer壓力要素是舞弊80至90年代內(nèi)部控制的演化發(fā)展業(yè)務(wù)本身日益復(fù)雜控制手段日益豐富內(nèi)部牽制內(nèi)部控制制度內(nèi)部控制結(jié)構(gòu)內(nèi)部控制整合架構(gòu)風(fēng)險管理整合框架20世紀(jì)初期以前20世紀(jì)30-70年代90年代以來2004年以來SOXACT80至90年代內(nèi)部控制的演化發(fā)展業(yè)務(wù)本身日益復(fù)雜內(nèi)部牽制內(nèi)部92200120022003CombinedCodeHIH保險公司One.Tel安然薩班斯－奧克斯利法案世通

Qwest

CodeofCorporateGovernance國際內(nèi)部控制的發(fā)展與最新趨勢200420052006公司治理守則第9號法案審計改革和公司信息披露法案

企業(yè)管治常規(guī)守則內(nèi)部控制規(guī)范2007FinancialInstrumentsandExchangeLaw200120022003CombinedHIH保險公司安然薩93我國內(nèi)部控制的發(fā)展過程內(nèi)部牽制階段會計控制階段全面控制階段

123我國內(nèi)部控制的發(fā)展過程內(nèi)部牽制階段會計控制階段94（一）第一階段是內(nèi)部牽制。這一時期計劃經(jīng)濟(jì)占主導(dǎo)地位，二十世紀(jì)七十年代末至八十年代，內(nèi)部牽制更加受到重視。1、1978年9月12日，國務(wù)院頒布《會計人員職權(quán)條例》。2、1984年4月24日，財政部發(fā)布《會計人員工作規(guī)則》。3、1985年1月21日，第六屆全國人民代表大會常務(wù)委員會第九次會議通過《中華人民共和國會計法》，重申了會計崗位責(zé)任制的要求。我國內(nèi)部控制的發(fā)展過程（一）第一階段是內(nèi)部牽制。我國內(nèi)部控制的發(fā)展過程95二、會計控制階段：

1、1996年6月17日，財政部發(fā)布《會計基礎(chǔ)工作規(guī)范》，要求各單位進(jìn)一步建立健全包括但不限于內(nèi)部牽制制度的內(nèi)部會計管理制度。2、1999年修訂的《會計法》，第一次以法律的形式對建立健全內(nèi)部控制提出原則要求。3、財政部隨后制定發(fā)布了《內(nèi)部會計控制規(guī)范——基本規(guī)范（試行）》和《內(nèi)部會計控制規(guī)范——貨幣資金（試行）》等7項內(nèi)部會計控制規(guī)范，要求單位加強(qiáng)內(nèi)部會計及與會計相關(guān)的控制，形成完善的內(nèi)部牽制和監(jiān)督制約機(jī)制，以堵塞漏洞、消除隱患，保護(hù)財產(chǎn)安全，防止舞弊行為，促進(jìn)經(jīng)濟(jì)活動健康發(fā)展。我國內(nèi)部控制的發(fā)展過程二、會計控制階段：我國內(nèi)部控制的發(fā)展過程96三、全面控制階段：

進(jìn)入21世紀(jì)，隨著世界范圍的企業(yè)合并、資本國際化、貿(mào)易壁壘的逐漸消失和金融市場的一體化，內(nèi)部控制日益成為一個世界性話題，單純依賴會計控制已難以應(yīng)對企業(yè)面對的市場風(fēng)險，會計控制必須向全面控制發(fā)展。企業(yè)需要站在發(fā)展全局的角度，全方位加強(qiáng)內(nèi)部控制制度體系建設(shè)，為深化企業(yè)改革、加強(qiáng)經(jīng)營管理、提高企業(yè)抗風(fēng)險能力和可持續(xù)發(fā)展能力提供技術(shù)支持。

我國內(nèi)部控制的發(fā)展過程三、全面控制階段：我國內(nèi)部控制的發(fā)展過程97中國內(nèi)部控制的發(fā)展2006(財政部)企業(yè)內(nèi)部控制鑒證指引企業(yè)內(nèi)部控制評價指引企業(yè)內(nèi)部控制應(yīng)用指引

(征求意見稿)(上交所/深交所)內(nèi)部控制指引(國資委)中央企業(yè)全面風(fēng)險管理指引2007(財政部)企業(yè)內(nèi)部控制規(guī)范-基本規(guī)范(征求意見稿)2008(財政部)企業(yè)內(nèi)部控制基本規(guī)范（保監(jiān)會）壽險公司內(nèi)部控制評價辦法（試行）保險公司內(nèi)部審計指引（試行）保險公司風(fēng)險管理指引（試行）(證監(jiān)會）上市公司信息披露管理辦法（銀監(jiān)會）銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理的指引（銀監(jiān)會）商業(yè)銀行內(nèi)部控制指引（銀監(jiān)會)商業(yè)銀行合規(guī)風(fēng)險管理指引（證監(jiān)會）證券公司風(fēng)險控制指標(biāo)管理辦法（證監(jiān)會）證券公司合規(guī)管理試行規(guī)定（證監(jiān)會）證券公司監(jiān)督管理條例（銀監(jiān)會）商業(yè)銀行操作風(fēng)險管理指引我國內(nèi)部控制的發(fā)展過程中國內(nèi)部控制的發(fā)展2006(財政部)(上交所/深交所)(國資982008年6月，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》（簡稱《基本規(guī)范》）2010年4月《企業(yè)內(nèi)部控制配套指引》發(fā)布。具體包括《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》、《企業(yè)內(nèi)部控制審計指引》2011年1月1日起在境內(nèi)外同時上市的公司范圍內(nèi)施行，2012年1月1日起擴(kuò)大到上證、深證主板上市的公司。鼓勵非上市的大中型企業(yè)執(zhí)行。執(zhí)行本規(guī)范的上市公司，應(yīng)當(dāng)對本公司內(nèi)部控制的有效性進(jìn)行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務(wù)資格的會計師事務(wù)所內(nèi)部控制的有效性進(jìn)行審計——中國企業(yè)內(nèi)部控制規(guī)范體系內(nèi)部控制基本規(guī)范及配套指引內(nèi)部控制基本規(guī)范及配套指引確保被識別出規(guī)避風(fēng)險的控制措施可以及時有效得到實施的政策和程序確認(rèn)內(nèi)部控制是否進(jìn)行充分的設(shè)計和執(zhí)行，以及是否具備有效性和適應(yīng)性。對于影響公司目標(biāo)實現(xiàn)的內(nèi)部及外部因素的評估確保相關(guān)信息被及時識別及傳遞的過程公司對于內(nèi)部控制的基本態(tài)度-”來自上層的基調(diào)”戰(zhàn)略目標(biāo)報告目標(biāo)合規(guī)目標(biāo)經(jīng)營目標(biāo)資產(chǎn)安全內(nèi)部環(huán)境公司層面業(yè)務(wù)單元子公司風(fēng)險評估控制活動信息與溝通內(nèi)部監(jiān)督《企業(yè)內(nèi)部控制基本規(guī)范》框架100確保被識別出規(guī)避風(fēng)險的控制措施可以及時有效得到實施的政策和程《企業(yè)內(nèi)部控制配套指引》構(gòu)成《企業(yè)內(nèi)部控制配套指引》構(gòu)成時間機(jī)構(gòu)標(biāo)準(zhǔn)1999/2004年澳大利亞和新西蘭AS/NZ43601999風(fēng)險管理準(zhǔn)則2004年COSO企業(yè)風(fēng)險管理-整合框架1988/2004年BCBS巴賽爾協(xié)議||2005年香港會計師工會內(nèi)部控制與風(fēng)險管理的基本架構(gòu)2008年歐洲委員會償付能力||2009年ISOISO31000風(fēng)險管理2002年NISTNISTSP800-37風(fēng)險管理框架1996年以來ISACACOBIT、ValIT、RiskIT國外主要風(fēng)險管理標(biāo)準(zhǔn)時間機(jī)構(gòu)標(biāo)準(zhǔn)1999/2004年澳大利亞和新西蘭AS/NZ41021931年至20世紀(jì)80年代末90年代初20世紀(jì)90年代以來風(fēng)險管理的演化發(fā)展基于保險和財務(wù)層面的風(fēng)險管理階段基于整體層面的風(fēng)險管理階段風(fēng)險本身日益復(fù)雜風(fēng)險管理手段日益豐富1931年至20世紀(jì)80年代末90年代初20世紀(jì)91032004年9月，COSO正式頒布《企業(yè)風(fēng)險管理——整體框架》，包含4大目標(biāo)（戰(zhàn)略、經(jīng)營、報告和合規(guī)目標(biāo)）、8個相互關(guān)聯(lián)的要素（內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通、監(jiān)控）和應(yīng)用的企業(yè)及單位（公司層面、子公司、業(yè)務(wù)單元和科室）。國外主要風(fēng)險管理標(biāo)準(zhǔn)：COSO-ERM企業(yè)風(fēng)險管理框架監(jiān)控信息和溝通控制活動風(fēng)險評估控制環(huán)境營運(yùn)財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1監(jiān)督信息和溝通控制活動風(fēng)險評估控制環(huán)境營運(yùn)財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1內(nèi)控控制框架2004年9月，COSO正式頒布《企業(yè)風(fēng)險管理——整104

b.組織過程——一體化部分c.決策制定的一部分a.創(chuàng)造價值d.明確地解決不確定性風(fēng)險管理原則、框架和過程之間的關(guān)系j.動態(tài)、循環(huán)和響應(yīng)變化管理風(fēng)險的原則（第三組）管理風(fēng)險的框架（第四組）管理風(fēng)險的過程（第五組）e.系統(tǒng)的，結(jié)構(gòu)化的和及時的f.基于可能得到的最佳資料g.因地制宜h.將人和文化因素考慮在內(nèi)i.透明和包容k.推進(jìn)組織的持續(xù)改進(jìn)和改善指令和承諾（4.2）管理風(fēng)險的框架設(shè)計（4.3）框架的監(jiān)控和審查（4.4）部署風(fēng)險管理（4.4）框架的持續(xù)改善（4.6）建立語境（5.3）風(fēng)險識別（5.4.2）風(fēng)險分析（5.4.3）風(fēng)險評價（5.4.4）風(fēng)險處理（5.5）風(fēng)險管理（5.4）溝通和咨詢（5.2）對照和復(fù)核（5.6）b.組織過程c.決策制定的一部分a.創(chuàng)造價值d.明確地解決時間機(jī)構(gòu)標(biāo)準(zhǔn)2005年銀監(jiān)會商業(yè)銀行市場風(fēng)險管理指引2006年國資委中央企業(yè)全面風(fēng)險管理指引2006年銀監(jiān)會商業(yè)銀行合規(guī)風(fēng)險管理指引2007年銀監(jiān)會商業(yè)銀行操作風(fēng)險管理指引2007年保監(jiān)會保險公司風(fēng)險管理指引2009年銀監(jiān)會商業(yè)銀行流動風(fēng)險管理指引2009年銀監(jiān)會商業(yè)銀行聲譽(yù)風(fēng)險管理指引2009年銀監(jiān)會商業(yè)銀行信息科技風(fēng)險管理指引2010年保監(jiān)會人身保險公司全面風(fēng)險管理實施指引國內(nèi)主要風(fēng)險管理規(guī)定時間機(jī)構(gòu)標(biāo)準(zhǔn)2005年銀監(jiān)會商業(yè)銀行市場風(fēng)險管理指引2006106國資委—中央企業(yè)全面風(fēng)險管理指引國資委—中央企業(yè)全面風(fēng)險管理指引107目前對風(fēng)險管理與內(nèi)控認(rèn)識存在的誤區(qū)把內(nèi)部控制與全面風(fēng)險管理體系的建設(shè)理解為建章立制。內(nèi)部控制體系和全面風(fēng)險管理體系是相互獨立的。內(nèi)部控制和全面風(fēng)險管理的作用被夸大。內(nèi)部控制與全面風(fēng)險管理理念在企業(yè)實踐落地難。誤區(qū)?

內(nèi)置于企業(yè)日常管理過程中，是

一種常規(guī)運(yùn)行的機(jī)制。?

整合建設(shè)，但根據(jù)企業(yè)特點各有

側(cè)重。?

無論多么先進(jìn)的內(nèi)部控制和風(fēng)險

管理體系都只能為企業(yè)相關(guān)目標(biāo)

的實現(xiàn)提供合理的而非絕對的保

證。?

新事物的導(dǎo)入有個過程，要認(rèn)清

風(fēng)險管理成熟度。正解????

22目前對風(fēng)險管理與內(nèi)控認(rèn)識存在的誤區(qū)把內(nèi)部控制與全面風(fēng)險管誤區(qū)108理論界對內(nèi)部控制與風(fēng)險管理的關(guān)系有兩種觀點：觀點1：認(rèn)為風(fēng)險管理是內(nèi)部控制的組成部分觀點2：認(rèn)為內(nèi)部控制是風(fēng)險管理的組成部分23風(fēng)險管理與內(nèi)部控制的關(guān)系理論界對內(nèi)部控制與風(fēng)險管理的關(guān)系有兩種觀點：23風(fēng)險管理與內(nèi)109我們的看法是：如果以風(fēng)險作為管理的起點，則內(nèi)部控制是風(fēng)險的應(yīng)對，可以理解為控制屬于風(fēng)險管理的實現(xiàn)工具，因此控制包含于風(fēng)險管理；如果認(rèn)為企業(yè)管理的實質(zhì)是控制，風(fēng)險管理只是在資源有限性和對象復(fù)雜性矛盾下的平衡和導(dǎo)向，那么風(fēng)險管理可以作為控制系統(tǒng)的一部分；從組織結(jié)構(gòu)來看，內(nèi)部控制和風(fēng)險管理相應(yīng)的組織結(jié)構(gòu)是完全一致的，說明二者都應(yīng)該無縫整合到一定的組織結(jié)構(gòu)中，和其他有關(guān)的業(yè)務(wù)和職能管理共同服務(wù)于企業(yè)管理。風(fēng)險管理與內(nèi)部控制的關(guān)系風(fēng)險管理與內(nèi)部控制的關(guān)系110?風(fēng)險管理：做正確的事

?

風(fēng)險管理解決的不僅是流程問題，更是要解決戰(zhàn)略決策問題、應(yīng)急處理問題；

不僅要解決當(dāng)前的問題，更要預(yù)測和應(yīng)對將來可能發(fā)生的問題；不但要解決“正確地做事”，關(guān)鍵是還要解決“做正確的事”

?

風(fēng)險管理更偏向于前端，對影響目標(biāo)實現(xiàn)的因素的分析、評估與應(yīng)對，防止重大決策失誤，防止出現(xiàn)重大危機(jī)問題。?內(nèi)控：正確的做事

?

內(nèi)控解決的是流程問題，包括業(yè)務(wù)流程、管理流程中的風(fēng)險控制，解決的是“正確地做事”。

?

內(nèi)部控制更加重視實施，嵌入到企業(yè)各業(yè)務(wù)流程的具體業(yè)務(wù)活動中，融合在企業(yè)的各項規(guī)章制度之中，使企業(yè)在正常運(yùn)營過程中自發(fā)地防止錯誤，確保合規(guī)和真實，從而合理保證目標(biāo)的實現(xiàn)。風(fēng)險管理與內(nèi)部控制的關(guān)系?風(fēng)險管理：做正確的事?內(nèi)控：正確的做事風(fēng)險管理與內(nèi)部控111風(fēng)險管理與內(nèi)部控制整合實施運(yùn)作機(jī)制風(fēng)險管理與內(nèi)部控制整合實施運(yùn)作機(jī)制《內(nèi)部控制基本規(guī)范》及配套指引舊準(zhǔn)則新準(zhǔn)則新舊內(nèi)部審計準(zhǔn)則結(jié)構(gòu)的調(diào)整《內(nèi)部控制基本規(guī)范》及配套指引舊準(zhǔn)則新準(zhǔn)則新舊內(nèi)部審計準(zhǔn)則結(jié)內(nèi)部審計作用的發(fā)揮內(nèi)部審計作用的發(fā)揮內(nèi)部審計客體內(nèi)部審計，是一種獨立、客觀的確認(rèn)和咨詢活動，它通過運(yùn)用系統(tǒng)、規(guī)范的方法，審查和評價組織的業(yè)務(wù)活動、內(nèi)部控制和風(fēng)險管理的適當(dāng)性和有效性，以促進(jìn)組織完善治理、增加價值和實現(xiàn)目標(biāo)。--CIIA內(nèi)部審計客體內(nèi)部審計，是一種獨立、客觀的確認(rèn)和咨詢活動，它通

IIA最近發(fā)布的調(diào)查報告將內(nèi)部審計職能涉及到的活動分為三大類25項：內(nèi)部控制活動（14項）風(fēng)險管理活動（5項）公司治理活動（6項）內(nèi)部審計客體IIA最近發(fā)布的調(diào)查報告將內(nèi)部審計職能涉及到116內(nèi)部控制活動風(fēng)險管理活動公司治理活動合規(guī)性審計企業(yè)生存能力（持續(xù)經(jīng)營）評價公司治理評價控制系統(tǒng)的有效性評價風(fēng)險管理程序?qū)徲嫳M責(zé)調(diào)查經(jīng)營審計財務(wù)風(fēng)險審計道德審計項目管理審計信息風(fēng)險審計戰(zhàn)略和組織績效的關(guān)系評價安全評價和調(diào)查信息系統(tǒng)風(fēng)險審計薪酬評級災(zāi)難恢復(fù)測試和支持社會和可持續(xù)（社會責(zé)任、環(huán)境）審計舞弊和不合規(guī)調(diào)查質(zhì)量審計外部審計協(xié)助管理審計組織人員的風(fēng)險、控制、合規(guī)調(diào)查外包業(yè)務(wù)審計與國際財務(wù)報告標(biāo)準(zhǔn)的接軌可擴(kuò)展商業(yè)報告語言的使用內(nèi)部控制活動風(fēng)險管理活動公司治理活動合規(guī)性審計企業(yè)生存能力公117內(nèi)部審計在風(fēng)險管理中作用的發(fā)揮內(nèi)部審計的風(fēng)險管理職責(zé)要考慮：組織規(guī)模、成熟程度、風(fēng)險管理狀況、風(fēng)險影響程度及概率、組織文化、立場公告等。內(nèi)部審計與組織的風(fēng)險管理成熟度無意識、零碎的有管理的系統(tǒng)化的擅長應(yīng)對風(fēng)險是否遵守是否整合了做的事情是否在做了相關(guān)法規(guī)管理信息是否正確正確的事情風(fēng)險管理不太成熟：咨詢業(yè)務(wù)，關(guān)注風(fēng)險管理的架構(gòu)和方法，以及基本風(fēng)險的控制，為管理層獻(xiàn)計獻(xiàn)策風(fēng)險管理較成熟：確認(rèn)業(yè)務(wù)，促進(jìn)改善風(fēng)險管理介于之間：評估組織的最佳實務(wù)和應(yīng)變措施，優(yōu)化風(fēng)險管理實務(wù)。內(nèi)部審計在風(fēng)險管理中作用的發(fā)揮內(nèi)部審計的風(fēng)險管理職責(zé)118與企業(yè)風(fēng)險管理相關(guān)的內(nèi)部審計核心作用需要安全保障的內(nèi)部審計作用內(nèi)部審計不應(yīng)當(dāng)發(fā)生的作用為風(fēng)險管理過程提供確認(rèn)為風(fēng)險管理評估的準(zhǔn)確性提供確認(rèn)評價風(fēng)險管理過程評價對主要風(fēng)險的報告檢查主要風(fēng)險的管理推動風(fēng)險的識別與評估指導(dǎo)管理層如何應(yīng)對風(fēng)險協(xié)調(diào)企業(yè)全面風(fēng)險管理工作合并風(fēng)險管理報告維護(hù)和發(fā)展風(fēng)險管理框架倡導(dǎo)企業(yè)風(fēng)險管理的建立確定風(fēng)險偏好強(qiáng)制實施風(fēng)險管理過程管理層對風(fēng)險的確認(rèn)決定風(fēng)險應(yīng)對以管理層的名義實施風(fēng)險應(yīng)對問責(zé)風(fēng)險管理與企業(yè)風(fēng)險管理相關(guān)的內(nèi)部審計核心作用需要安全保障的內(nèi)部審計作風(fēng)險管理審計的界定風(fēng)險管理審計的界定風(fēng)險管理審計的概念和內(nèi)涵風(fēng)險管理審計是根據(jù)企業(yè)全面風(fēng)險管理的目標(biāo)和政策，采用系統(tǒng)化、規(guī)范化的方法，評價企業(yè)全面風(fēng)險管理的運(yùn)行狀況，測試企業(yè)風(fēng)險管理系統(tǒng)、各業(yè)務(wù)循環(huán)及相關(guān)部門在風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險治理等方面的活動，以識別、預(yù)警和糾正企業(yè)在實施風(fēng)險管理過程中可能存在的不適或缺陷，進(jìn)而提高企業(yè)風(fēng)險管理的效率和效果，保障企業(yè)戰(zhàn)略目標(biāo)的實現(xiàn)。某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的概念和內(nèi)涵1.風(fēng)險管理審計目標(biāo)是建立在確定企業(yè)基本經(jīng)營目標(biāo)、風(fēng)險、績效指標(biāo)和風(fēng)險承受能力的基礎(chǔ)上，評價企業(yè)風(fēng)險管理的整體框架、過程、對策或措施及其活動效果，驗證企業(yè)風(fēng)險的治理水平，并提出改進(jìn)措施，以保障風(fēng)險管理目標(biāo)的實現(xiàn)，最終支持和保障總體戰(zhàn)略目標(biāo)的實現(xiàn)。2.企業(yè)風(fēng)險管理審計對象是風(fēng)險管理事項，如企業(yè)整體、區(qū)域、業(yè)務(wù)、職能領(lǐng)域、項目、過程、操作、資產(chǎn)、產(chǎn)品、服務(wù)或活動等，也可以是風(fēng)險管理的特定要素，如風(fēng)險管理政策和落實風(fēng)險管理政策的方案、程序或手段等。3.風(fēng)險管理審計職能體現(xiàn)在評價、監(jiān)督、鑒證和咨詢上。某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的概念和內(nèi)涵4.風(fēng)險管理審計重心在于識別目前風(fēng)險管理有效性水平與期望水平之間的差距，以評價和改進(jìn)風(fēng)險管理有效性。如何評價企業(yè)風(fēng)險管理的有效性？(1)依照COSO-ERM框架，一方面，核驗戰(zhàn)略、經(jīng)營、報告和合規(guī)四大目標(biāo)確實存在，并且針對這些目標(biāo)的管理都是有效的。(2)依照ISO-31000框架，核驗企業(yè)風(fēng)險管理過程中針對每個關(guān)鍵的風(fēng)險環(huán)節(jié)實施的風(fēng)險管理是存在和合理的，且正常運(yùn)行。(3)對照特別制定的風(fēng)險管理框架和要求衡量企業(yè)風(fēng)險管理的有效性。如內(nèi)控測試狀態(tài)良好，機(jī)制對風(fēng)險反應(yīng)迅速，企業(yè)對風(fēng)險的預(yù)測能力正在逐漸提高，事故發(fā)生率降低和損失明顯減少，社會責(zé)任形象提升等。4.風(fēng)險管理審計重心在于識別目前風(fēng)險管理有效性水平與期望水平風(fēng)險管理審計的演進(jìn)某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的演進(jìn)某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計的分類1、一般風(fēng)險管理審計這類審計主要目的是識別/確認(rèn)被審事項的關(guān)鍵業(yè)績影響因素和評價相應(yīng)的風(fēng)險管理效率和效力，可細(xì)分類為：⑴針對企業(yè)各管理層級的風(fēng)險管理審計⑵針對企業(yè)職能領(lǐng)域或特定關(guān)鍵風(fēng)險的風(fēng)險管理審計⑶針對項目的風(fēng)險管理審計⑷針對各類活動的風(fēng)險管理審計⑸針對產(chǎn)品或服務(wù)的風(fēng)險管理審計⑹針對過程或操作的風(fēng)險管理審計2、風(fēng)險管理要素審計風(fēng)險管理要素審計是針對企業(yè)風(fēng)險管理政策、方法、措施、手段等要素實施的審計。某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計與其他審計的關(guān)系某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計與其他審計的關(guān)系某公司內(nèi)部控制與風(fēng)險管理審計培訓(xùn)教材課件風(fēng)險管理審計實施風(fēng)險管理審計實施風(fēng)險管理審計流程確定審計域/全組織范圍風(fēng)險評估全組織范圍確認(rèn)項目/制定審計計劃方案審計準(zhǔn)備階段審計實施階段評價/測試控制設(shè)計和其他風(fēng)險管理技術(shù)審計取證結(jié)果評價審計發(fā)現(xiàn)和審計報告后續(xù)審計溝通協(xié)調(diào)風(fēng)險管理審計流程確定審計域/全組織范圍風(fēng)險評估全組織范圍確認(rèn)130實施的具體工作確定風(fēng)險域全組織范圍風(fēng)險評估全組織范圍確認(rèn)項目制定風(fēng)險管理審計計劃評價控制的設(shè)計和其他風(fēng)險管理技術(shù)測試控制和其他風(fēng)險管理技術(shù)的有效性審計取證結(jié)果的評價后續(xù)審計實施的具體工作確定風(fēng)險域131確定風(fēng)險域1、嘎吱車輪法(強(qiáng)制性包含領(lǐng)域)。由董事會、管理當(dāng)局、國際組織、國家法規(guī)、外部審計、等發(fā)現(xiàn)或要求，急需關(guān)注和處理的問題。2、應(yīng)被審計者的要求。被審計者自行提出的要求。3、系統(tǒng)確認(rèn)法。組織結(jié)構(gòu)圖或成本中心報告企業(yè)流程或項目與管理層確定的風(fēng)險域相協(xié)調(diào)與其他確認(rèn)提供者相協(xié)調(diào)一、確定風(fēng)險域的方法確定風(fēng)險域一、確定風(fēng)險域的方法132確定風(fēng)險域二、確定風(fēng)險域應(yīng)系統(tǒng)考慮因素①上一次審計的日期和結(jié)果。②涉及的金額。③潛在的損失和風(fēng)險。④管理層的要求。⑤經(jīng)營方案、制度和控制的重大變化。⑥審計人員的變動及能力。確定風(fēng)險域二、確定風(fēng)險域應(yīng)系統(tǒng)考慮因素133確定風(fēng)險域三、風(fēng)險域集中的領(lǐng)域—對業(yè)績有重要影響的事項；—存在潛在危機(jī)，須使受損程度減至最低的事項；—高級管理者及全公司關(guān)心的審計主題；—與不合算的交易，無效業(yè)務(wù)的發(fā)現(xiàn)與改善的有關(guān)事項；—與交易，業(yè)務(wù)的改進(jìn)及對策有關(guān)的事項；—經(jīng)營層和管理層關(guān)心的審計主題；—管理部門中不易發(fā)覺的事項；—前次審計中未列作審計對象的事項；—新的業(yè)務(wù)領(lǐng)域或新項目風(fēng)險管理審計；—突發(fā)事件審計；—年度性針對企業(yè)戰(zhàn)略、經(jīng)營操作、財務(wù)和聲譽(yù)綜合風(fēng)險管理領(lǐng)域?qū)徲?；—針對企業(yè)整體層面風(fēng)險管理框架和政策合理性或針對風(fēng)險管理過程有效性審計。確定風(fēng)險域三、風(fēng)險域集中的領(lǐng)域134全組織范圍風(fēng)險評估1、加權(quán)風(fēng)險因素法審計部門經(jīng)過風(fēng)險分析，對風(fēng)險程度根據(jù)重要性原則排出審計的優(yōu)先順序。審計項目的安排以風(fēng)險評價為基礎(chǔ)，優(yōu)先審計風(fēng)險高的被審計單位，再審計風(fēng)險低的。其基本的步驟如下：①選擇5種（或者根據(jù)審計任務(wù)范疇或特征具體確定被審數(shù)量）對公司來講最重要的被審風(fēng)險因素對象；②給每個被審計對象風(fēng)險因素逐個打分，其評分范圍為1-5分（5表示風(fēng)險最大，1表示風(fēng)險最小，3表示風(fēng)險中等或未知風(fēng)險）；③加總各個被審計對象的分?jǐn)?shù)得出風(fēng)險值（最高分值為25分，意味著每個風(fēng)險因素都是5分；最低分值5分，說明每個風(fēng)險因素的得分都是1分）④按風(fēng)險值的高低分配審計資源。一、內(nèi)部審計師常用的風(fēng)險評估方法全組織范圍風(fēng)險評估一、內(nèi)部審計師常用的風(fēng)險評估方法135全組織范圍風(fēng)險評估2、管理層訪談/問卷調(diào)查訪談使內(nèi)部審計部門了解組織的價值主張并且使工作更具有戰(zhàn)略性。訪談提綱可以包括：一、內(nèi)部審計師常用的風(fēng)險評估方法關(guān)鍵控制目標(biāo)資料的可靠與完整對于法律、政策、程序的合規(guī)資產(chǎn)保護(hù)節(jié)約、效率和效果….關(guān)鍵管理流程運(yùn)行目標(biāo)戰(zhàn)略結(jié)構(gòu)人力資源管理信息系統(tǒng)….關(guān)鍵風(fēng)險固有風(fēng)險已進(jìn)行的風(fēng)險評估基于影響和可能性的重大風(fēng)險管理風(fēng)險的現(xiàn)行措施，包括關(guān)鍵控制….全組織范圍風(fēng)險評估一、內(nèi)部審計師常用的風(fēng)險評估方法關(guān)鍵控制目136全組織范圍風(fēng)險評估3、風(fēng)險評估專題討論會收集和整理選定級別的答題，并采用保密投票技術(shù)和數(shù)據(jù)投影儀將其用圖表形式呈現(xiàn)出來。議程可以包括：一、內(nèi)部審計師常用的風(fēng)險評估方法目的和結(jié)果的簡單說明基本規(guī)則組織戰(zhàn)略目標(biāo)的討論與認(rèn)可啟發(fā)、診斷式的問題采用的風(fēng)險類型篩選、歸納風(fēng)險風(fēng)險的可能性和影響重大性的討論風(fēng)險矩陣記錄討論后續(xù)步驟….全組織范圍風(fēng)險評估一、內(nèi)部審計師常用的風(fēng)險評估方法目的和結(jié)果137全組織范圍確認(rèn)項目1、有些在組織層面運(yùn)行的控制為整個組織提供保證—與控制環(huán)境有關(guān)的控制；—信息技術(shù)一般控制；2、有些業(yè)務(wù)層面的控制在整個組織范疇內(nèi)更便于理解和評價—不同單元、流程或項目的薪酬不同；3、有些風(fēng)險在組織和業(yè)務(wù)兩個層面都管理，并且可以在一次全組織范圍審核中同時在兩個層面評價—與職業(yè)道德和合規(guī)相關(guān)的政策和培訓(xùn)；—人力資源和其他共享服務(wù)；一、全組織范圍確定項目的目的全組織范圍確認(rèn)項目一、全組織范圍確定項目的目的138全組織范圍確認(rèn)項目1、組織中與審計主題相關(guān)的政策；2、治理文件；3、公認(rèn)的風(fēng)險和控制模型ERM、ISO310004、權(quán)威性準(zhǔn)則可能與審計業(yè)務(wù)的主題相關(guān)；—信息及相關(guān)技術(shù)控制目標(biāo)COBIT—質(zhì)量管理體系ISO10006—法律或監(jiān)管要求5、最佳實務(wù)報告—審計委員會的有效性IIARF二、組織范圍確定