風(fēng)險管理與公司治理審計

內(nèi)部審計與公司治理一、獲得董事會對內(nèi)部審計章程的批準(zhǔn)內(nèi)部審計既是管理控制的組成部分，又是評價其他管理控制的手段內(nèi)部審計章程由內(nèi)部審計部門起草，并經(jīng)董事會、審計委員會、相關(guān)治理機構(gòu)和高級管理層批準(zhǔn)或認(rèn)可。保證內(nèi)部審計的獨立性和地位。使工作不受限。也是評價內(nèi)部審計質(zhì)量的依據(jù)。二、溝通審計業(yè)務(wù)計劃年度工作計劃應(yīng)報高級管理層審批，并報董事會備案。若中期發(fā)生重大變化，應(yīng)及時溝通。三、報告重大審計事項

首席審計執(zhí)行官每年至少向高級管理層和董事會提交一次工作報告，這是定期的工作。當(dāng)出現(xiàn)重大審計事項時，應(yīng)及時報告董事會，包括告知高級管理層的決定。

應(yīng)在向董事會報告重大事項前，與高級管理層進行討論。若高級管理層決定不采取任何行動并承擔(dān)由此產(chǎn)生的風(fēng)險，應(yīng)再次向董事會報告。四、定期向董事會報告關(guān)鍵績效指標(biāo)1.確定衡量績效的相關(guān)標(biāo)準(zhǔn)2.將績效成果與已確定的標(biāo)準(zhǔn)相比較。3.評估績效差距Keyperformanceindicators,KPIs，可衡量：(1)產(chǎn)出（2）組織流程的特征（及時性，精確性）（3）風(fēng)險（4）可持續(xù)指標(biāo)或公司社會責(zé)任指標(biāo)五、討論重大風(fēng)險領(lǐng)域六、支持董事會開展全面風(fēng)險評估1.評價組織的風(fēng)險。2、檢查會議記錄，確定機構(gòu)對風(fēng)險的承受能力。3、檢查以前的風(fēng)險評估報告。4、與管理層討論降低風(fēng)險和控制風(fēng)險的活動。5、獨立評估風(fēng)險控制的有效性。6、評估“報告專線”的恰當(dāng)性。7、評價管理層的風(fēng)險自我評估。8、評估與風(fēng)險管理相關(guān)的管理薄弱環(huán)節(jié)。七、檢查內(nèi)部審計部門在組織內(nèi)風(fēng)險管理框架中的定位風(fēng)險管理是管理層的關(guān)鍵責(zé)任。內(nèi)審部門的協(xié)助工作不能超出正常的保證和咨詢范圍，即不負(fù)風(fēng)險管理的責(zé)任。1、董事會應(yīng)當(dāng)負(fù)責(zé)制定戰(zhàn)略目標(biāo)。2、風(fēng)險的所有權(quán)應(yīng)當(dāng)賦予高級管理層。3、剩余風(fēng)險的接納應(yīng)當(dāng)留給執(zhí)行管理層。4、持續(xù)的識別、評估、減輕和監(jiān)督活動應(yīng)當(dāng)交由運營層。5、內(nèi)部審計部門應(yīng)當(dāng)定期評價并協(xié)助其他部門進行風(fēng)險管理。八、監(jiān)督遵守公司行為規(guī)范和商業(yè)慣例情況1、組織是否建立了關(guān)于行為規(guī)范和商業(yè)慣例的道德規(guī)范。2、針對不同的員工，強調(diào)不同的重點。3、是否進行了相關(guān)講座和培訓(xùn)。4、哪些合理措施保證員工遵守行為規(guī)范和商業(yè)慣例。

行為規(guī)范涉及：利益沖突、保密、公平交易、恰當(dāng)使用組織資產(chǎn)、禮品及酬金、遵守法律、規(guī)則及監(jiān)督制度、報告違法及不道德行為。九、報告控制框架的有效性增值服務(wù)：1、參與信息披露控制和流程的初始設(shè)計。2、加入信息披露委員會。3、協(xié)調(diào)外部審計師和管理層的行動。4、獨立地評價信息披露控制和流程。評價的內(nèi)容和范圍：評價的標(biāo)準(zhǔn)：評價的程序：如在制定審計計劃時，將控制過程列入檢查和評價范圍。與管理層一起進行控制自我評價。評價結(jié)果報告的接受對象：高級管理層和審計委員會十、協(xié)助董事會評估外部審計師的獨立性十一、評估董事會的道德氛圍董事會為組織設(shè)立最高基調(diào)和監(jiān)督所有治理活動。評估董事會結(jié)構(gòu)、目標(biāo)和活性評估董事會成員的職能評估董事會的方針手冊評估董事會教育與培訓(xùn)十二、評估組織的道德氛圍清晰易懂的道德規(guī)范有影響力的領(lǐng)導(dǎo)接受舉報的機構(gòu)保護檢舉人的制度鼓勵良好道德的人事制度定期檢查損害道德氛圍的偏見內(nèi)部審計應(yīng)：評價組織道德政策的健全性檢查人事政策檢查溝通機制檢查不良行為被調(diào)查、發(fā)現(xiàn)和報告的程序十三、評估在特定領(lǐng)域遵守政策的情況電子商務(wù)領(lǐng)域環(huán)境、健康和安全風(fēng)險衍生產(chǎn)品環(huán)境、健康和安全審計（EHS）程序采用面向遵循性的方法或面向管理系統(tǒng)的方法，或兩者同時使用。十四、評估組織向董事會報告的機制管理層有責(zé)任向董事會報告，報告可以是定期的或非定期的。評估是否建立了關(guān)于報告的書面政策。報告機制是否充分有效。十五、跟蹤并報告管理層對法規(guī)監(jiān)管機構(gòu)檢查結(jié)果的落實情況對外部審計的結(jié)果與內(nèi)部審計的結(jié)果進行跟蹤和報告的做法是基本一致的，兩者可同時進行。將檢查結(jié)果向負(fù)責(zé)采取糾正措施的管理層報告。收集管理層對檢查結(jié)果反應(yīng)的最新信息評價管理層對檢查結(jié)果的反應(yīng)。向董事會或高級管理層報告被審計管理層對檢查結(jié)果的反應(yīng)。十六、跟蹤并報告管理層對外部審計結(jié)果的落實情況十七、評估業(yè)績測評系統(tǒng)的充分性和整體目標(biāo)的實現(xiàn)情況信息搜集系統(tǒng)是最普遍的舞弊檢查手段。如舉報熱線。舞弊控制機制包括：

1.創(chuàng)設(shè)高標(biāo)準(zhǔn)道德規(guī)范的組織文化。

2.評估舞弊防范流程與控制。

3.建立一套恰當(dāng)?shù)谋O(jiān)督機制十八、支持樹立舞弊防范意識，鼓勵報告不正當(dāng)?shù)男袨?/p>

風(fēng)險管理內(nèi)部審計風(fēng)險管理框架（ERM）1.內(nèi)部環(huán)境：道德觀、人員、管理者的經(jīng)營理念及風(fēng)險管理的態(tài)度和文化。2.目標(biāo)設(shè)定：戰(zhàn)略、營運、報道、合規(guī)3.事件識別：不確定性事件（風(fēng)險還是機會）、橫跨企業(yè)各部門或垂直貫穿某業(yè)務(wù)單位。4.風(fēng)險評估：固有風(fēng)險/剩余風(fēng)險，概率和影響，單個或聯(lián)系，定性和定量風(fēng)險管理框架（ERM）5.風(fēng)險應(yīng)對：避免、分散、控制、共享、轉(zhuǎn)移、接受。6.控制活動：核準(zhǔn)、授權(quán)、職務(wù)分離、撤銷、確認(rèn)、業(yè)績審查、資產(chǎn)保護等。7.信息與溝通：內(nèi)部溝通、外部溝通、橫向溝通、上下溝通。8.監(jiān)控：持續(xù)監(jiān)督，單獨評價有效的風(fēng)險管理的特征1.由管理層實施，并貫穿于日常決策始終并涵蓋所有業(yè)務(wù)。2.打破各部門的分割，將各部門相互聯(lián)系地考慮。3.強調(diào)分類進行。4.強調(diào)對薄弱環(huán)節(jié)的關(guān)注，尤其當(dāng)這些風(fēng)險可能導(dǎo)致組織的崩潰。5.考慮風(fēng)險的聯(lián)系和交互作用。6.風(fēng)險管理應(yīng)融入組織文化。7.不僅要注重規(guī)避風(fēng)險，還要注重創(chuàng)造價值。風(fēng)險管理的技巧避免Avoid控制Control轉(zhuǎn)移Transfer分散Diversity共享Share接受Accept方法一：避免風(fēng)險Avoid特點：方法：實例：常規(guī)作業(yè)可以控制發(fā)生概率高風(fēng)險危害大通過政策規(guī)定，規(guī)范業(yè)務(wù)行為通過定期檢查，避免重大風(fēng)險財務(wù)報銷基本流程和規(guī)定采購批準(zhǔn)的審核權(quán)限銷售訂單的審核標(biāo)準(zhǔn)方法二：分散風(fēng)險Diversity特點：方法：實例：風(fēng)險危害大發(fā)生可能大控制成本高方法有限分散防范措施降低風(fēng)險企業(yè)多元化投資經(jīng)銷商三選一關(guān)鍵信息的備份方法三：控制風(fēng)險Control特點：方法：實例：涉及資產(chǎn)金額巨大與經(jīng)營目標(biāo)關(guān)系密切可以控制建立內(nèi)控系統(tǒng)外部/內(nèi)部審計建立作業(yè)流程全面預(yù)算管理大額采購的招標(biāo)制度固定資產(chǎn)的定期盤點關(guān)鍵績效定期報告方法四：轉(zhuǎn)移風(fēng)險Transfer風(fēng)險大單方不可控制損失成本過高風(fēng)險后果影響大特點：方法：實例：轉(zhuǎn)移自身風(fēng)險到第三方減輕風(fēng)險損失買各類保險防范天災(zāi)人禍方法五：分擔(dān)風(fēng)險Share特點：方法：實例：風(fēng)險大參與方交易規(guī)則明確不可控制因素多風(fēng)險后果危害大，成本高總包與分包合信用證結(jié)算貸款的擔(dān)保制度分工負(fù)責(zé)，規(guī)定義務(wù)雙/多方共同分擔(dān)風(fēng)險方法六：接受風(fēng)險Accept特點：方法：例：清楚風(fēng)險來源發(fā)生可能性低有預(yù)防措施防范接受風(fēng)險坐車；過馬路公司訪客開拓新市場選擇風(fēng)險管理方法的標(biāo)準(zhǔn)風(fēng)險范圍，金額大小嚴(yán)重程度，影響大小發(fā)生的可能性的高低緊迫程度高低可控/不可控控制成本高低可操作性公司主營業(yè)務(wù)風(fēng)險管理方法（一）——

風(fēng)險矩陣圖不采取措施確保規(guī)避或轉(zhuǎn)移，優(yōu)先安排防范措施嚴(yán)格控制，專門補充控制措施

嚴(yán)格控制，專門補充控制措施影響程度風(fēng)險概率風(fēng)險管理方法（二）——

關(guān)鍵風(fēng)險指標(biāo)管理

1.確定量化關(guān)鍵的風(fēng)險成因，

2.分析確定導(dǎo)致風(fēng)險事件發(fā)生時的具體數(shù)值，

3.以該具體數(shù)值為基礎(chǔ)，再加上或減去一定數(shù)值，即為關(guān)鍵風(fēng)險指標(biāo)。

4.跟蹤監(jiān)測關(guān)鍵成因數(shù)值的變化，一旦達(dá)到關(guān)鍵風(fēng)險指標(biāo)，就發(fā)出預(yù)警。例如：某容器泄露的主要原因為使用時期長。若50年為最高限，則45年為關(guān)鍵風(fēng)險指標(biāo)。風(fēng)險管理方法（三）——

壓力測試1.針對某風(fēng)險管理模型或內(nèi)控流程，假設(shè)可能發(fā)生的極端情景。（發(fā)生概率小，但一旦發(fā)生，后果十分嚴(yán)重，還應(yīng)考慮歷史上從未發(fā)生過的極端情形。

2.評估極端情景發(fā)生時，該風(fēng)險管理模型或內(nèi)控流程是否有效，并分析對目標(biāo)可能造成的損失。

3.制定相應(yīng)措施，進一步修改和完善風(fēng)險管理模型或內(nèi)控流程。例如：火災(zāi)、被盜、巨大的業(yè)務(wù)流量。

案例：沃爾瑪?shù)娘L(fēng)險管理1、專門成立風(fēng)險管理委員會，將日常風(fēng)險監(jiān)控與風(fēng)險戰(zhàn)略規(guī)劃有機結(jié)合。審計委員會負(fù)責(zé)監(jiān)督。2、風(fēng)險管理過程模式包括風(fēng)險識別、風(fēng)險應(yīng)對、行動計劃、績效評估、股東價值。3、組成跨部門的專家小組，進行全面調(diào)查，由風(fēng)險管理委員會對數(shù)據(jù)進行匯總分析，形成風(fēng)險識別報告。發(fā)現(xiàn)：當(dāng)前最可能發(fā)生的重要風(fēng)險來自于“人力資源、國際增加的協(xié)調(diào)、網(wǎng)絡(luò)基礎(chǔ)建設(shè)”。案例：沃爾瑪?shù)娘L(fēng)險管理4、制定風(fēng)險應(yīng)對方案。選型風(fēng)險點的負(fù)責(zé)人和分組，進行分工，明確各自職責(zé)，并確定最后完成時間和評估標(biāo)準(zhǔn)。5、工作績效評估重點在于:工作的結(jié)果、實際完成情況、今后的發(fā)展。動態(tài)評估，通過監(jiān)測、評估和報告完成，最后用評估打分表反映。6、股東價值分析在于將風(fēng)險事件與股東的投資收益、股價等進行對比，計算應(yīng)對措施對股東的投資收益、股價的貢獻(xiàn)。需要復(fù)雜計算，由計算機完成。內(nèi)部審計在風(fēng)險管理中的作用內(nèi)部審計的風(fēng)險管理職責(zé)既要考慮組織規(guī)模、成熟程度、風(fēng)險管理狀況、風(fēng)險影響程度及概率、組織文化、立場公告等。內(nèi)部審計與組織的風(fēng)險管理成熟度無意識零碎的有管理的系統(tǒng)化的擅長應(yīng)對風(fēng)險是否遵守是否整合了做的事情是否在做了相關(guān)法規(guī)管理信息是否正確正確的事情風(fēng)險管理不太成熟：咨詢業(yè)務(wù)，關(guān)注風(fēng)險管理的架構(gòu)和方法，以及基本風(fēng)險的控制，為管理層獻(xiàn)計獻(xiàn)策風(fēng)險管理較成熟：確認(rèn)業(yè)務(wù)，促進改善風(fēng)險管理介于之間：評估組織的最佳實務(wù)和應(yīng)變措施，優(yōu)化風(fēng)險管理實務(wù)。內(nèi)部審計與風(fēng)險影響程度和概率1.影響大，內(nèi)控較薄弱：咨詢業(yè)務(wù)，為內(nèi)控設(shè)計提供幫組，跟蹤糾正措施的進展。2.影響大，內(nèi)控漏洞小：確認(rèn)業(yè)務(wù)，在準(zhǔn)備階段獲取對合理性的確認(rèn)。獲取對效果性的保證，識別提高效率的方法。3.影響小，內(nèi)控較薄弱：評估積累的影響和發(fā)生頻率。4.影響小，內(nèi)控漏洞小：重新分配資源。內(nèi)控漏洞風(fēng)險影響影響大，內(nèi)控漏洞小，確認(rèn)影響大，內(nèi)控薄弱，咨詢影響小，內(nèi)控漏洞小，重新部署影響小，內(nèi)控薄弱，累計影響內(nèi)審對風(fēng)險管理的審查一、風(fēng)險識別過程的審查和評價

1.風(fēng)險識別的方法：環(huán)境分析法、財務(wù)報表分析法、流程圖法、幕景分析法、決策分析法、動態(tài)分析法、實地勘察法、文件檢查法、專家調(diào)查法、分解分析法。

2.風(fēng)險識別過程的審查和評價：詢問、觀察、實地調(diào)查、審核文件、分析性復(fù)核。

3.區(qū)分內(nèi)部風(fēng)險、外部風(fēng)險。

4.第一次進行風(fēng)險識別需花費較多時間和較大成本，應(yīng)形成完善的書面資料。后續(xù)風(fēng)險評價只需根據(jù)變化的情況適當(dāng)調(diào)整。內(nèi)審對風(fēng)險管理的審查二、風(fēng)險評估過程的審查和評價

1.（1）風(fēng)險損失頻率：考慮風(fēng)險暴露數(shù)、損失形態(tài)、危險事故。（2）風(fēng)險損失程度：考慮風(fēng)險暴露數(shù)、損失形態(tài)、損失的時間和金額。（3）風(fēng)險矩陣。

2.定量和定性：定量方法有專家打分法、層次分析法、風(fēng)險暴露計算模型、風(fēng)險價值法。

3.對風(fēng)險評估過程的審查和評價應(yīng)考慮：（1）已識別風(fēng)險的特征（2）相關(guān)歷史數(shù)據(jù)的充分性和可靠性（3）管理層進行風(fēng)險評估的技術(shù)能力（4）成本效益的考核與衡量內(nèi)審對風(fēng)險管理的審查三、風(fēng)險應(yīng)對措施的審查與評價應(yīng)考慮：

1.采取風(fēng)險應(yīng)對措施后的剩余風(fēng)險水平是否在組織可以接受的范圍之內(nèi)。

2.采取的風(fēng)險措施是否適合本組織的經(jīng)營、管理特點。

3.成本效益的考核與衡量。接下頁檢查經(jīng)營持續(xù)性計劃工作——

面對災(zāi)難

一份詳細(xì)的應(yīng)對災(zāi)難計劃應(yīng)能提供緊急反應(yīng)程序、替代通訊系統(tǒng)和現(xiàn)場設(shè)施、信息備份、災(zāi)難恢復(fù)、業(yè)務(wù)影響評價和恢復(fù)計劃、功能恢復(fù)計劃，以