风险评估和内部审计

1、风险评估（Risk Assessment）是指，在风险事件发生之前或之后（但还没有结束）， 该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评 估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 什么是风险评估 从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的 信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风 险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的 一个重要途径，属于组织信息安全管理体系策划的过程。 风险评估任务 风险评估的主要任务包括: 识别评估对象面临的各种风险 评估风

2、险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 风险评估过程注意事项 在风险评估过程中，有几个关键的问题需要考虑。 首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何? 其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有 多大? 第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何? 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响? 精选文库 最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程 度? 6 解决以上问题的过程，就是风险评估的过程。 进行风险评估时，有几个

3、对应关系必须考虑: 每项资产可能面临多种威胁 威胁源（威胁代理）可能不止一个 每种威胁可能利用一个或多个弱点 内部审计的定义 “内部审计 1，1999年6月，内部审计师学会董事会通过了内部审计的如下定义: 是一项独立、客观的咨询活动，用于改善机构的运作并增加其价值。通过引入一 种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性, 内部审计可以帮助一个机构实现其目标。” 2, 在我国内部审计，是指由被审计单位内部机构或人员，对其内部控制的有效性、 财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。 内部审计是和政府审计、注册会计师审计并列的三种审计类型之一

4、。 内部审计是“外部审计”的对应称法，即：由部门、单位内部设置的专职机构及 人员，独立地对本部门、本单位的财政财务收支及有关经济活动进行审查，用以 健全内部控制，维护财经纪律，改善经营管理，提高经济效益的综合经济监督活 动。内部审计在中国审计组织体系中，起着以国家审计为主导，以内部审计为基 础的重要作用，支撑着企业的审计工作。内部审计的本质在于，作为企业指挥者 管理机能的一部分，对企业管理手段妥善与否、有无弊漏和是否经济有效，进行 经常性的检查、分析和评价。内部审计的主要缺陷和特点是，由于在本单位领导 下进行内部审计活动，其独立性表现稍弱；但具有及时性、连续性、针对性、预 防性等特点。 内审的

5、目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实 现其目标 内部审计主要侧重点是有效性、经济性、合规性。 内部审计目标 内部审计的目标是促进本部门、本单位加强经济管理和实现经济目标。 内部审计机构的职责 1开展财政财务审计 2开展资金管理审计 3开展任期紧经济责任审计 4开展固定资产投资审计 5开展内部控制审计与风险管理审计 6开展管理审计与效益审计 7开展其他审计 ,并确定那些成为组织 审计人员为每一个单元和共享的服务制定具体的风险清单 最大威胁的风险.接着,审计人员根据风险的严重性和肯能性，在一个三点标尺上 对风险评级，那些最咼级别的风险被标上关键风险，威胁和关键风险的结合

6、点被最 先审计，并随之受到管理层的重视 风险导向内部审计的本质 内部审计的本质是确保受托责任履行机制。在风险导向内部审计阶段，受托责 任的范围和管理控制与内部审计的前几个阶段相比发生了一些变化，它们与风险 结合起来，使风险导向内部审计成为确保受托责任有效履行的能动的管理机制。 在管理机制方面，反馈是管理控制的核心， 而内部审计在企业管理控制机制中 正是扮演了反馈的角色，在风险导向内部审计阶段，反馈的职能不只是事后的审 核与报告，更多的是实时乃至事前的反馈，因为这样才能更好地适应快速变化的 环境。这种反馈与广义的风险相结合，能够使企业规避下必要地的损失，或未即 将到来的机会做好充分的准备，从而提

7、高企业的运作效率，实现企业的价值增值, 这种变化也更能体现内部审计的作用。 风险导向内部审计的特征 所谓风险导向内部审计是指内部审计人员在审计过程中自始至终都已企业风 险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定 审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出 建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证 和咨询活动。根据上述定义，风险导向内部审计区别于其他阶段的内部审计，有 以下几个特点: 1审计目标导向的变化。首先确定风险水平和审计重点，提出规避和控制风险 的方法，通过后续的审计程序，检测风险是否得到了有效的控制。

8、通过这种方式, 能够将内部审计目标和企业目标有效地结合起来，体现了内部审计的真正价值, 使得内部成为企业价值链中不可或缺的组成部分。 2内部审计范围的扩展。内部审计部门在对企业所有风险进行彻底了解后，对 风险进行排序，根据风险大小来确定审计范围和分配审计资源。恰当、有效地分 配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，有助于合理 确保企业目标的实现。 3内部审计方法的改进。在快速发展的21世纪，信息化的推广和普及能够很 大程度地提高内部审计人员处理信息、准确判断的能力，为开展风险导向内部审 计提供技术支持。风险导向内部审计广泛运用分析性程序检测被审计对象，其基 本方法包括风险评

9、估、分析性测试、实质性测试、余额测试等。对于有证据表明 较低的领域，应依赖内部控制货分析性复核；对被认为风险较高的领域，实施大 量的实质性测试和余额测试，是审计手段与审计目标更好地融合，提高审计的效 率。 现代内部审计观念的核心是，审计人员不仅要善于发现问题，而且更要善于解 决问题。无论是识别风险还是评价风险，都不是内部审计的最终目的。在识别和评 价之后，还必须进行风险应对。从内部审计自身来说，通过评估结果找出风险程 度较高的经营机构或业务领域，据此科学地选择审计项目，确定审计重点、审计 频率、合理调配审计资源，从而使企业内部的业务经营全过程各环节都得到有效 监督，保证充分的审计覆盖面，不留审

10、计盲点；从企业的风险管理来说，由于内 审部门处于企业的董事会、总经理与各职能部门之间，加强对风险的评估，把部 分资源分配到影响全局、有碍组织发展的重大风险的前瞻性评价和风险揭示上, 并且将风险的评估同企业当前的经营管理控制、计划、策略结合起来可以为董事 会和高层提供风险管理策略和内部控制方面的顾问服务，从企业制度化建设来说, 将企业内部审计中风险评估的结果形成制度化的成果，并且及时将发现的风险因 素、形成原因及相应整改措施在内部网络上进行明示，这一方面可以引起所有分 支机构的对照检查与关注另一方面为企业的风险管理提供有益的帮助 2、以风险为导向确定审计重点 风险评估与内部审计在企业经营管理中的

11、相互应用 1、以风险评估作为导向配置企业的审计资源 现阶段，我国企业的审计资源较为稀缺，内部审计部门要为企业价值增值服务, 就需要根据风险的评估结果把稀缺的审计资源配置到最需要的审计环节，选择合 理的审计项目，科学制定内部审计计划，确定合适的审计频率，从而使企业内部 业务经营环节得到有效地监督，从而进行有效地控制。通过对企业风险评估，找 出剩余风险程度较高地经营机构或领域，优先安排经验丰富的内部审计人员进行 专项审计。 2、以风险评估为导向确定企业内部审计重点 我国企业内部审计的风险评估水平尚处于较低水平, 缺乏成熟的体系实施准确 的全面的系统的风险评估，距离达到依靠风险评估的结果来制定审计计

12、划、确定 审计重点风险仍有一定的距离。内部审计要结合风险评估，将风险评估的方法运 用于部分审计对象，提高审计项目的质量和效率，进而推进全面的风险评估。 如对下属企业或分公司等开展审计，内部审计人员在项目方案设计和执行过程 中贯彻风险评估的理论，参照风险评估规范实施相关步骤。首先以机构为维度划 分审计单元，以使得出的风险评估结果，能持续性地监控剩余风险较大的分支机 构；再利用以往的审计经验，评估结果最大的几类风险，针对相对应风险控制环 节确定具体审计步骤，评价相关控制的有效性，最后项目的结果可作为实施全面 风险评估的重要测算依据。 3、实现内部审计职能转向提供重要测算依据 我国企业的内部审计部门

13、， 一般脱胎于原来的稽核监察部门， 在过去数十年中, 稽核监察人员的工作重点大都偏向于查错纠弊，直接关注企业的内部控制系统, 在未评估企业风险前直接关注控制，肯定将带来许多问题：多余的控制阻碍了企 业正常的经营运作；企业部门间的沟通变得更加困难；控制的改变滞后于经营环 境的迅猛变化，对过去形成的、与目前所面临的风险相差较大或无关的控制进行 审计就会变得毫无意义。没有风险就没有控制，控制为管理风险而存在。以风险 评估为基础的风险导向审计使审计人员关心企业所面临的风险，使审计工作与企 业战略计划连接起来，使审计更具有针对性，从而有利于企业实现自身价值，达 到企业的目标。 4提高企业内部审计价值，完

14、善全面风险评估管理 我国企业的全面风险管理框架正在建设、完善过程当中，企业从机构设置、人 员配置、流程再造等方面着手，实现对信用风险、市场风险、操作风险等各类风 险的全面管理。企业内部审计风险评估的结果不但可以用于指导审计计划、专项 审计方案的制定，还可以用于指导并加强企业内部风险管理。风险导向的风险评 估结果反映了企业内部各审计单元的剩余风险大小，凸显了经营机构或业务领域 薄弱的控制环节，同时内部审计风险评估可以以独立的审计角度，定期的连续不 断地进行风险评估，及时将发现的风险因素、风险环节通报企业管理层，引导企 业进行对照检查与整改，改进与完善企业风险管理与内部控制的体制和流程，促 进企业

15、上下加强风险管理，并最终提高风险控制能力达到风险控制目标。 加强风险评估在内部审计中应用的建议 风险评估是内部审计的基础工作，必须坚持规范、长久地开展，因此我们建议 从制度、信息系统等各方面加强对风险评估的支撑，形成一个完善的风险评估体 系。 1、建立制度形成保障。企业内部应对风险评估工作制定相应制度办法，内部 审计部门应定期开展风险导向的风险评估与计量工作。通过制定相关的制度办法 形成保障，将风险评估工作固化下来，使之在企业内部形成一种长期的、持续不 断地工作模式。 2、建立系统作为支持。风险评估工作离不开定性与定量的分析与计量，要使 评估结果更加精确、符合实际，必须有强大、健全的信息系统强有力的支持，为 此，企业内部审计部门因加快审计信息系统的建立，以信息系统支持风险评估工 作的开展。 3、完善评估流程与方法。企业内部审计部门应在现