河北风险管理审计座(发送).ppt

Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty,内部控制与风险管理审计,赵珊博士,国际内部审计师南京审计大学副教授,中国内部审计发展研究中心南京审计大学内部审计系2016年12月,nikkyzs,主要内容,内部控制与全面风险管理内部审计作用的发挥风险管理审计的界定内部控制和风险管理审计实施内部控制、风险管理审计案例,内部控制与全面风险管理,舞弊压力机会借口,内部控制的缘起,LarrySawyerW.SteveAlbrecht,压力要素是舞弊者的行为动机，压力的具体形式有所差异,职务舞弊者必须权衡利弊，进行心理平衡过程，使职务舞弊行为与其本人的道德观念、行为准则相吻合,机会是指可进行舞弊而又能掩盖起来不被发现或能侥幸逃避惩罚的时机或情形,80至90年代,内部控制的演化发展,业务本身日益复杂控制手段日益丰富,内部牵制,内部控制制度,内部控制结构,内部控制整合架构,风险管理整合框架,20世纪初期以前,20世纪30-70年代,90年代以来,2004年以来,SOXACT,2001,2002,2003,CombinedCode,HIH保险公司One.Tel,安然,萨班斯奥克斯利法案,世通Qwest,CodeofCorporateGovernance,国际内部控制的发展与最新趋势,2004,2005,2006,公司治理守则,第9号法案审计改革和公司信息披露法案,企业管治常规守则,内部控制规范,2007,FinancialInstrumentsandExchangeLaw,我国内部控制的发展过程,内部牵制阶段,会计控制阶段,全面控制阶段,1,2,3,（一）第一阶段是内部牵制。这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。1、1978年9月12日，国务院颁布会计人员职权条例。2、1984年4月24日，财政部发布会计人员工作规则。3、1985年1月21日，第六届全国人民代表大会常务委员会第九次会议通过中华人民共和国会计法，重申了会计岗位责任制的要求。,我国内部控制的发展过程,二、会计控制阶段：1、1996年6月17日，财政部发布会计基础工作规范，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。2、1999年修订的会计法，第一次以法律的形式对建立健全内部控制提出原则要求。3、财政部随后制定发布了内部会计控制规范基本规范（试行）和内部会计控制规范货币资金（试行）等7项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。,我国内部控制的发展过程,三、全面控制阶段：进入21世纪，随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。,我国内部控制的发展过程,中国内部控制的发展,2006,(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引(征求意见稿),(上交所/深交所)内部控制指引,(国资委)中央企业全面风险管理指引,2007,(财政部)企业内部控制规范-基本规范(征求意见稿),2008,(财政部)企业内部控制基本规范,（保监会）寿险公司内部控制评价办法（试行）,保险公司内部审计指引（试行）保险公司风险管理指引（试行）,(证监会）上市公司信息披露管理办法,（银监会）银行业金融机构信息系统风险管理的指引,（银监会）商业银行内部控制指引,（银监会)商业银行合规风险管理指引,（证监会）证券公司风险控制指标管理办法,（证监会）证券公司合规管理试行规定,（证监会）证券公司监督管理条例,（银监会）商业银行操作风险管理指引,我国内部控制的发展过程,2008年6月，财政部会同证监会、审计署、银监会、保监会五部委发布企业内部控制基本规范（简称基本规范）2010年4月企业内部控制配套指引发布。具体包括企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引2011年1月1日起在境内外同时上市的公司范围内施行，2012年1月1日起扩大到上证、深证主板上市的公司。鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所内部控制的有效性进行审计中国企业内部控制规范体系,内部控制基本规范及配套指引,13,确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。,对于影响公司目标实现的内部及外部因素的评估,确保相关信息被及时识别及传递的过程,公司对于内部控制的基本态度-”来自上层的基调”,企业内部控制基本规范框架,企业内部控制配套指引构成,国外主要风险管理标准,1931年至20世纪80年代末90年代初,20世纪90年代以来,风险管理的演化发展,基于保险和财务层面的风险管理阶段,基于整体层面的风险管理阶段,风险本身日益复杂风险管理手段日益丰富,2004年9月，COSO正式颁布企业风险管理整体框架，包含4大目标（战略、经营、报告和合规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。,国外主要风险管理标准：COSO-ERM,企业风险管理框架,内控控制框架,b.组织过程一体化部分,c.决策制定的一部分,a.创造价值,d.明确地解决不确定性,风险管理原则、框架和过程之间的关系,j.动态、循环和响应变化,管理风险的原则（第三组）,管理风险的框架（第四组）,管理风险的过程（第五组）,e.系统的，结构化的和及时的,f.基于可能得到的最佳资料,g.因地制宜,h.将人和文化因素考虑在内,i.透明和包容,k.推进组织的持续改进和改善,指令和承诺（4.2）,管理风险的框架设计（4.3）,框架的监控和审查（4.4）,部署风险管理（4.4）,框架的持续改善（4.6）,建立语境（5.3）,风险识别（5.4.2）,风险分析（5.4.3）,风险评价（5.4.4）,风险处理（5.5）,风险管理（5.4）,沟通和咨询（5.2）,对照和复核（5.6）,国内主要风险管理规定,国资委中央企业全面风险管理指引,目前对风险管理与内控认识存在的误区,把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。,误区,内置于企业日常管理过程中，是一种常规运行的机制。整合建设，但根据企业特点各有侧重。无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。新事物的导入有个过程，要认清风险管理成熟度。,正解,22,理论界对内部控制与风险管理的关系有两种观点：观点1：认为风险管理是内部控制的组成部分观点2：认为内部控制是风险管理的组成部分,23,风险管理与内部控制的关系,我们的看法是：如果以风险作为管理的起点，则内部控制是风险的应对，可以理解为控制属于风险管理的实现工具，因此控制包含于风险管理；如果认为企业管理的实质是控制，风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系统的一部分；从组织结构来看，内部控制和风险管理相应的组织结构是完全一致的，说明二者都应该无缝整合到一定的组织结构中，和其他有关的业务和职能管理共同服务于企业管理。,风险管理与内部控制的关系,风险管理：做正确的事风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误，防止出现重大危机问题。,内控：正确的做事内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目标的实现。,风险管理与内部控制的关系,风险管理与内部控制整合实施运作机制,内部控制基本规范及配套指引,旧准则,新准则,新旧内部审计准则结构的调整,内部审计作用的发挥,内部审计客体,内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。-CIIA,IIA最近发布的调查报告将内部审计职能涉及到的活动分为三大类25项：内部控制活动（14项）风险管理活动（5项）公司治理活动（6项）,内部审计客体,内部审计在风险管理中作用的发挥,内部审计的风险管理职责要考虑：组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。,内部审计与组织的风险管理成熟度无意识、零碎的有管理的系统化的擅长应对风险是否遵守是否整合了做的事情是否在做了相关法规管理信息是否正确正确的事情风险管理不太成熟：咨询业务，关注风险管理的架构和方法，以及基本风险的控制，为管理层献计献策风险管理较成熟：确认业务，促进改善风险管理介于之间：评估组织的最佳实务和应变措施，优化风险管理实务。,与企业风险管理相关的内部审计核心作用,需要安全保障的内部审计作用,内部审计不应当发生的作用,为风险管理过程提供确认,为风险管理评估的准确性提供确认,评价风险管理过程,评价对主要风险的报告,检查主要风险的管理,推动风险的识别与评估,指导管理层如何应对风险,协调企业全面风险管理工作,合并风险管理报告,维护和发展风险管理框架,倡导企业风险管理的建立,确定风险偏好,强制实施风险管理过程,管理层对风险的确认,决定风险应对,以管理层的名义实施风险应对,问责风险管理,风险管理审计的界定,风险管理审计的概念和内涵,风险管理审计是根据企业全面风险管理的目标和政策，采用系统化、规范化的方法，评价企业全面风险管理的运行状况，测试企业风险管理系统、各业务循环及相关部门在风险识别、风险分析、风险评价、风险治理等方面的活动，以识别、预警和纠正企业在实施风险管理过程中可能存在的不适或缺陷，进而提高企业风险管理的效率和效果，保障企业战略目标的实现。,风险管理审计的概念和内涵,1.风险管理审计目标是建立在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上，评价企业风险管理的整体框架、过程、对策或措施及其活动效果，验证企业风险的治理水平，并提出改进措施，以保障风险管理目标的实现，最终支持和保障总体战略目标的实现。2.企业风险管理审计对象是风险管理事项，如企业整体、区域、业务、职能领域、项目、过程、操作、资产、产品、服务或活动等，也可以是风险管理的特定要素，如风险管理政策和落实风险管理政策的方案、程序或手段等。3.风险管理审计职能体现在评价、监督、鉴证和咨询上。,风险管理审计的概念和内涵,4.风险管理审计重心在于识别目前风险管理有效性水平与期望水平之间的差距，以评价和改进风险管理有效性。如何评价企业风险管理的有效性？(1)依照COSO-ERM框架，一方面，核验战略、经营、报告和合规四大目标确实存在，并且针对这些目标的管理都是有效的。,(2)依照ISO-31000框架，核验企业风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的，且正常运行。,(3)对照特别制定的风险管理框架和要求衡量企业风险管理的有效性。如内控测试状态良好，机制对风险反应迅速，企业对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。,风险管理审计的演进,风险管理审计的演进,风险管理审计的分类,1、一般风险管理审计这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力，可细分类为：针对企业各管理层级的风险管理审计针对企业职能领域或特定关键风险的风险管理审计针对项目的风险管理审计针对各类活动的风险管理审计针对产品或服务的风险管理审计针对过程或操作的风险管理审计2、风险管理要素审计风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计。,风险管理审计与其他审计的关系,风险管理审计与其他审计的关系,风险管理审计实施,风险管理审计流程,确定审计域/全组织范围风险评估,全组织范围确认项目/制定审计计划方案,审计准备阶段,审计实施阶段,评价/测试控制设计和其他风险管理技术,审计取证结果评价,审计发现和审计报告,后续审计,沟通,协调,实施的具体工作,确定风险域全组织范围风险评估全组织范围确认项目制定风险管理审计计划评价控制的设计和其他风险管理技术测试控制和其他风险管理技术的有效性审计取证结果的评价后续审计,确定风险域,1、嘎吱车轮法(强制性包含领域)。由董事会、管理当局、国际组织、国家法规、外部审计、等发现或要求，急需关注和处理的问题。2、应被审计者的要求。被审计者自行提出的要求。3、系统确认法。组织结构图或成本中心报告企业流程或项目与管理层确定的风险域相协调与其他确认提供者相协调,一、确定风险域的方法,确定风险域,二、确定风险域应系统考虑因素上一次审计的日期和结果。涉及的金额。潜在的损失和风险。管理层的要求。经营方案、制度和控制的重大变化。审计人员的变动及能力。,确定风险域,三、风险域集中的领域对业绩有重要影响的事项；存在潜在危机，须使受损程度减至最低的事项；高级管理者及全公司关心的审计主题；与不合算的交易，无效业务的发现与改善的有关事项；与交易，业务的改进及对策有关的事项；经营层和管理层关心的审计主题；管理部门中不易发觉的事项；前次审计中未列作审计对象的事项；新的业务领域或新项目风险管理审计；突发事件审计；年度性针对企业战略、经营操作、财务和声誉综合风险管理领域审计；针对企业整体层面风险管理框架和政策合理性或针对风险管理过程有效性审计。,全组织范围风险评估,1、加权风险因素法审计部门经过风险分析，对风险程度根据重要性原则排出审计的优先顺序。审计项目的安排以风险评价为基础，优先审计风险高的被审计单位，再审计风险低的。其基本的步骤如下：选择5种（或者根据审计任务范畴或特征具体确定被审数量）对公司来讲最重要的被审风险因素对象；给每个被审计对象风险因素逐个打分，其评分范围为1-5分（5表示风险最大，1表示风险最小，3表示风险中等或未知风险）；加总各个被审计对象的分数得出风险值（最高分值为25分，意味着每个风险因素都是5分；最低分值5分，说明每个风险因素的得分都是1分）按风险值的高低分配审计资源。,一、内部审计师常用的风险评估方法,全组织范围风险评估,2、管理层访谈/问卷调查访谈使内部审计部门了解组织的价值主张并且使工作更具有战略性。访谈提纲可以包括：,一、内部审计师常用的风险评估方法,关键控制目标资料的可靠与完整对于法律、政策、程序的合规资产保护节约、效率和效果.,关键管理流程运行目标战略结构人力资源管理信息系统.,关键风险固有风险已进行的风险评估基于影响和可能性的重大风险管理风险的现行措施，包括关键控制.,全组织范围风险评估,3、风险评估专题讨论会收集和整理选定级别的答题，并采用保密投票技术和数据投影仪将其用图表形式呈现出来。议程可以包括：,一、内部审计师常用的风险评估方法,目的和结果的简单说明基本规则组织战略目标的讨论与认可启发、诊断式的问题采用的风险类型筛选、归纳风险风险的可能性和影响重大性的讨论风险矩阵记录讨论后续步骤.,全组织范围确认项目,1、有些在组织层面运行的控制为整个组织提供保证与控制环境有关的控制；信息技术一般控制；2、有些业务层面的控制在整个组织范畴内更便于理解和评价不同单元、流程或项目的薪酬不同；3、有些风险在组织和业务两个层面都管理，并且可以在一次全组织范围审核中同时在两个层面评价与职业道德和合规相关的政策和培训；人力资源和其他共享服务；,一、全组织范围确定项目的目的,全组织范围确认项目,1、组织中与审计主题相关的政策；2、治理文件；3、公认的风险和控制模型ERM、ISO310004、权威性准则可能与审计业务的主题相关；信息及相关技术控制目标COBIT质量管理体系ISO10006法律或监管要求5、最佳实务报告审计委员会的有效性IIARF,二、组织范围确定项目的标准,全组织范围确认项目,“内部审计部门必须针对组织内与职业道德相关的目标、计划和业务评估其设计、实施和效果”1、结构化访谈；怎么知道员工真正理解公司的职业道德规范？与同行业相比，我们的风险偏好是怎样的？收取或给与礼物的一般规定是什么？你是否觉得同样的规定适用于所有员工？为什么或为什么不是？你是否见过不合乎职业道德的行为受到表彰？2、推动型专题讨论会；3、问卷调查；,三、评价组织层面控制的方法,制定风险管理审计计划,风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：1、文档审阅：经营计划组织机构图流程图关键技术工作描述关键政策,一、高层次确认业务风险评估,制定风险管理审计计划,风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：2、各层次管理层访谈：使命或目的首要市场或竞争关键经营问题财务状况和趋势近期的变化优势经理关注或面临的挑战主要风险关键员工流程和运营系统的概览,一、高层次确认业务风险评估,制定风险管理审计计划,风险评估决定着确认业务的审计目标、范围和方法。识别和评估风险的来源和资料：3、管理层的风险评估4、业绩指标和趋势5、财务和运营信息6、以前的审计结果7、组织外部的内部审计师8、外部审计师和咨询专家9、法规和监管结果10、行业研究和标准11、事件报告12、保持客户联系,一、高层次确认业务风险评估,制定风险管理审计计划,“内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。”1、内部控制：内部审计部门必须评估控制的效率和效果，并促进持续改进、从而协助组织维持有效的控制。财务和运营信息的可靠性和完整性运营的效率和效果资产的安全法律、法规、政策、程序、合同的遵循情况2、风险管理：内部审计活动必须评估风险管理过程的有效性，并为其改善作出贡献。组织目标支持本组织的使命并与其保持一致。重大风险得到识别和评估选定适当的风险应对方案，并符合组织的风险偏好获取相关的风险信息，并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责,二、形成审计目标、范围和方法,制定风险管理审计计划,风险管理审计计划就审计目标、范围和方法等给出更为清晰的和可操作的指引。一般来讲，一个整体和较全面的审计计划应当包括：审计目标、审计域、审计要点、审计准则以及其他参照指标、审计程序及其包含内容、审计调查与测试取证安排、审计负责人及其责任、确定审计所需信息和资料、主要审计方法和技术的选用、审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等）、审计资源需求、审计组织与审计质量保障证措施、审计团队的组成、对被审目标的配合要求、审计报告要点框架等。风险管理审计计划可以规划化和表格化，并分发给承办该审计事项的所有审计人员。,三、风险管理审计计划内容,制定风险管理审计计划,四、与管理层的合作,五、业务之前的沟通,审计通知是内部审计部门在实施风险管理审计前通知客户接受审计的书面文件。审计通知书包括以下几点内容：客户及审计项目名称审计目的和审计范围审计时间客户提供的具体资料和其他必要的协助内部审计部门及其负责人的签章和签发日期,六、资源分配,七、启动会,启动会议是在审计项目开始时项目组成员、相关管理层或其他人员参加的沟通会议。其作用主要在于：说明审计目的、审计范围和要求协助的事项进一步了解审计对象沟通,评价控制的设计和其他风险管理技术,“内部审计部门必须评估针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。”“有效的审计设计：在多数情况下，在测试控制的有效性之前，要在了解和分析内部控制体系的设计上花费大量时间，以确定其是否能提供适当的控制，这为内部审计指出控制薄弱的根本原因而非指出其表面现象提供了坚实的基础”适当的控制：如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理，组织的目标和目的以经济高效的方式实现，那么可以认为已建立适当的控制。,评价控制的设计和其他风险管理技术,一、常用控制及其他风险管理技术预防或发现指令补偿人工或自动化组织层面、业务层面一般控制组织层面的控制共享信息技术服务应用控制业务层面控制,评价控制的设计和其他风险管理技术,二、详细确认业务风险评估1、识别目标2、识别固有风险3、评估风险影响和可能性4、识别控制和其他风险管理技术书面政策流程手册流程文档一线员工5、评价控制的设计和其他风险管理技术穿行测试固有风险-风险管理技术=剩余风险其他风险管理技术的评价软控制的评价,评价控制的设计和其他风险管理技术,三、用于记录和评价控制设计的工具1、风险控制矩阵,测试控制和其他风险管理技术的有效性,一、测试的决定关键或首要控制必须测试二、审计证据的类型书面证据、实物证据、视听证据、电子证据、口头证据、环境证据三、人工测试方法访谈问卷调查内部控制问卷观察检查函证顺查逆查,测试控制和其他风险管理技术的有效性,三、人工测试方法重新执行分析程序预期与实际比较趋势分析相关因素分析合理测试与标杆比较比率分析回归分析四、抽样统计抽样随机抽样判断抽样,测试控制和其他风险管理技术的有效性,五、测试应用控制输入控制处理控制输出控制完整性控制管理线索六、测试软控制,取证结果的评价,在实务中，审计人员对风险管理的评价可以用量化数字表示如1、2、3、4、5，或用字母表示如A、B、C、D、E,或者用颜色表示，如红、黄、绿等。风险的严重性（或影响）的评价具体尺度（除了表达为财务指标之外，也可以用声誉、资本、法律等方式来表述风险的影响）不严重：既无战略影响，又无财务影响。轻度严重：相对较小的战略和/或财务影响（一星期的利润）。中度严重：显著地影响战略和/或财务目标的实现（一月的利润）。严重：难以实现战略目标（可能需要战略上的一次改变），和/或重大的财务影响（一季的利润）。高度严重：战略目标无法实现，导致严重的财务后果（一年的利润）并威胁公司的生存能力。,取证结果的评价,风险可能性（概率）评价的具体尺度不发生：在特定的时期内不会发生（50%）。肯定：在特定的时期内已经发生或几乎肯定会发生（90%）。风险的层次评价（扩展的尺度）极小的威胁：几乎不可能严重地威胁组织。轻度威胁：不太可能严重地威胁组织。中度威胁：偶尔可能成为组织的严重威胁。严重威胁：很可能成为组织的严重威胁。灾难性的威胁肯定是组织的严重威胁,取证结果的评价,风险承受限度的评价避免：在任何情况下都不会允许此风险发生。降低：必须拥有持续地管理此风险的政策、流程和程序，并把它的影响降到最低限度。管理：必须能够预测此风险的发生，并采取前瞻性的行动以降低其影响。检查：将允许此风险发生，但是必须能在其影响过大之前及时检查并报告此风险。接受：风险的发生是可接受的。,取证结果的评价,风险管理/风险控制可扩展度（可管理性或可控性）评价无风险管理：组织任由风险发生，并接受其后果。低层次的风险管理：风险通常都可以检测到，但是组织更依赖于应急或恢复计划。中等的风险管理：在有效的监督下，能识别风险的发生，并拥有充足的时间减小风险的影响/提高获利的机会。扩展的风险管理：持续的监督和前瞻性的管理活动确保把风险的影响降到最低/增强获利的可能性。持续的风险管理：一个全面的风险管理计划有助于确保风险得到了预防，或者所有可度量的影响/机会都得到了优化。风险管理成熟度评价（采用风险管理成熟度模型评价）A级：特定风险管理B级：初步风险管理C级：可重复性风险管理D级：主动性风险管理E级：前瞻性风险管理。,取证结果的评价,被审事项现有风险管理水平或效力评价，例如：该事项的风险管理框架不适（其中包括风险管理政策不适），不能满足该事项目标实现的要求。该事项有明确与合理的风险管理框架（其中包括合理的风险管理政策），然而风险管理政策的实施不力和无效。该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策），且该事项的风险管理政策能基本落实。该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策），且该事项的风险管理政策能较好落实，内部控制有效，风险管理过程运行有效。,沟通与协商,沟通和协商将不间断地贯穿于整个审计过程中，其目的是为了促使审计工作得到各方面的支持和配合，以及为了保证审计工作的质量和效果。如果管理人员不认可审计人员所提出的审计发现或建议，这可能表明审计人员没有完全理解管理人员的风险承受限度。此时，应该与管理人员重新协商其风险承受限度，从而就以下方面达成共识：审计发现的有效性；解决这些发现中所提出问题的必要性；以及相关建议的恰当性。,整理审计发现,整理审计发现，描述审计发现，是着手撰写审计报告的基本准备工作，审计发现是风险管理审计报告的写作素材源泉。在评价审计证据后，需要把审计发现描述出来，但应当注意：审计发现应该以具体而简洁的语言进行表述。理解某一发现所必需的信息应该一一列举应该一眼就能辨别出与某一发现相关的风险。,整理审计发现,通常，我们可以采用矩阵图的方式反映审计发现，具体内容包括：现状。标准/期望。原因。,整理审计发现,影响。注意：尽可能详尽地对影响进行描述。影响可以量化成为财务价值数据除了能用财务价值表述的影响之外，审计人员还应该考虑其他方面的影响。但如果针对其他可能发生的影响情况存在有相应的行动要求的