风险导向内部审计理论与风险管理审计实务

1、1,风险导向内部审计理论与风险管理审计实务,审计业务知识培训讲座,2,2014年审计业务知识培训课程总览,固定资产投资与建设项目跟踪审计2014年3月21日3月28日南审2014年5月23日5月30日南宁2014年7月18日7月25日呼和浩特2014年8月08日8月15日长春中国内部审计准则与内部审计实务操作2014年4月18日4月25日海口2014年6月04日6月11日贵阳2014年7月14日7月21日银川内部控制制度与风险管理2014年6月10日6月19日昆明2014年6月20日6月27日厦门2014年9月19日9月26日成都2014年11月21日11月28日深圳,经济责任审计理论与实务操

2、作2014年7月23日7月30日西宁2014年8月15日8月22日乌鲁木齐2014年11月03日11月13日昆明2014年12月17日12月24日海口预算执行审计与绩效审计2014年9月12日9月19日西安2014年10月24日10月31日厦门行政事业单位内部控制规范（试行）2014年10月17日10月24日黄山高级审计师考前辅导2014年8月10日8月15日大连,3,审计业务知识培训,收费标准：培训费1200元（含场租费、资料费、专家讲课费等）；会务组统一安排食宿，费用自理，食宿费及相关费用按当期培训班的标准执行，所有费用报到时面交。报名咨询：电话：010-88430528137180012

3、71传真-mail:jigang3336联系人：纪刚,4,主讲内容,内部审计的发展与演进风险导向审计概述风险导向内部审计理论框架风险导向内部审计在风险管理中的应用结论与建议,5,一、内部审计的发展与演进,萌芽状态的内部审计（20世纪初以前）财务导向的内部审计（20世纪初至20世纪40年代）业务导向的内部审计（20世纪50至70年代初）管理导向的内部审计（20世纪70至20世纪末）风险导向的内部审计（21世纪至今）,6,（一）萌芽状态的内部审计（20世纪初以前）,审计内容：检查受托责任的履行情况审计目的：查错防弊,7,（二）财务导向的内部审计（20世纪初至20世纪40

4、年代）,审计内容：财务收支审计目标：查错防弊,8,（三）业务导向的内部审计（20世纪50至70年代初）,审计内容：组织内部经营与管理活动，具体包括：内部控制、职责分工、企业素质、经营决策、资源利用效果、计划方案，等。审计目标：经济性、效率性、效果性,9,（四）管理导向的内部审计（20世纪70至20世纪末）,审计对象：组织高层的管理决策、方针及战略；审计特征：内部审计工作由管理保障向风险保障转变；审计方式由被动审查向主动提出解决问题的建议转变。缺陷：（1）内部审计仅为事后评价与反馈；（2）没有将审查对象与组织目标联系在一起；（3）无法证明内部审计是企业价值链上的重要环节。,10,（五）风险导向的

5、内部审计（21世纪至今）,背景：2001，安然事件；2002，SOX法案；2004，ERM框架。特点：（1）内部控制是风险导向内部审计的基础；（2）对风险的评估和改善是风险导向内部审计的首要目标。内部审计是一种旨在增加组织价值和改善组织运营的独立、客观的确认与咨询活动，它通过系统化、规范化的方法，评价和改善组织的风险管理、内部控制和治理程序的效果，以帮助组织实现目标。（IIA）,11,二、风险导向审计概述,(一)风险导向审计的兴起1、审计期望差距的存在和审计目标的改变是风险基础审计产生的社会因素2、审计组织的经济压力是风险基础审计产生的经济原因3、制度基础审计的内在缺陷及解决方法是风险基础审计

6、产生的技术原因,12,（二）风险导向审计的概念及特征,1、概念风险导向审计立足于对审计风险进行系统的分析和评价，并以此作为出发点，制定审计战略，制定与企业状况相适应的多样化审计计划，以达到审计工作的效率性和效果性。2、特征（1）通过对被审计单位控制环境的评价，鉴别其财务报表重要组成项目的各项认定，考虑财务报表重大错误表述的风险；（2）建立审计目标。审计目标以风险评价为基础，通过风险评估分析，制订审计计划，确定如何收集、收集多少和收集何种性质的证据的决策，为更有效地控制和提高审计效果及审计效率，提供了一个完整的结构；（3）根据审计目标确定拟实施的审计程序的性质、时间及范围。,13,（三）传统风险

7、导向审计与现代风险导向审计,1、传统风险导向审计的特点对被审计单位的了解和风险分析是辅助性的没有强制性前置的风险分析程序审计的起点还是被审计单位的财务报告审计活动的主体分两大层面：a.对控制层面的内部控制进行符合性测试b.对报表认定层面进行实质性测试,14,传统风险导向审计流程,了解企业的情况,了解企业内部控制,评价和测评内部控制,根据测试结果进行实质性测试,通过风险模型联系,非强制性的,传统风险导向审计,15,2、现代风险导向审计,理论基础：经营风险驱动审计风险。简单地说，就是任何影响客户实现其经营目标的潜在风险，都是审计风险的来源。企业的经营风险来自两个层面：战略风险和运营风险。基本逻辑：

8、财务报表是否存在重大错报与经营活动的顺利与否相关；经营活动的顺利与否与企业的经营战略目标是否正确相关；企业经营战略的风险会逐步转化为财务报表的重大错报风险；重大错报风险是审计风险的直接来源。,16,现代风险导向审计流程,企业整体风险的分析（战略、目标、行业、技术）,经营层面的环节分析,内部控制,对内部控制的测试,根据风险分析结果进行实质性测试,整体层面风险分析,控制层面的了解与测试,认定层面的实质性程序,发现了特定风险,发现了特定风险,17,风险导向审计主要特点：,分析企业整体经营风险关注经营风险对审计的影响关注舞弊扩大了审计责任从内部控制延伸到风险框架coso2,18,（四）风险导向审计程序

9、和方法,19,风险导向审计程序和方法,20,风险导向审计程序和方法,21,风险导向审计程序,1、战略风险分析,2、业务流程分析,3、剩余风险分析,4、实质性测试程序,审计师主要分析企业层的整体战略及内外部战略风险对审计的影响。对整体战略的分析：首先要分析企业层面的经营模式，然后再分析企业所面临的外部威胁。对企业层面的经营模式和外部威胁的分析：需要结合企业战略控制措施、风险评估方法以及业绩衡量体系。重点：了解被审计单位的战略定位，包括被审计单位所面临的外部环境和行业形势、实现可持续竞争优势的战略、威胁到战略实现的经营风险及采对的应对措施。,业务流程按其功能分为核心业务流程、资源管理业务流程和战略

10、管理流程。核心业务流程用以研发、生产、销售企业的产品或服务；资源管理流程用以获取、加工和向核心业务流程配送资源；战略管理流程用以确定企业的宗旨、经营目标，识别经营风险，制定风险管理程序，监督经营目标实现程度等。审计师：识别重大的流程风险，并了解被审计单位如何控制这些风险。要对流程的表现运用财务指标和非财务指标对其进行横向或纵向比较。最后，需要分析业务流程的风险及控制情况对财务报表和审计的影响。,剩余风险是指没有得到控制的或者能直接导致问题的战略风险或业务流程风险。代表了被审计单位最可能发生问题的根源，也是注册会计师执行审计工作时最应关注的地方。注册会计师需要将审计风险降低至可接受的低水平。,审

11、计人员根据战略风险分析和业务流程分析阶段总结出的具体审计目标和计划的审计程序实施实质性测试审计程序，并根据实质性测试的结果以及被审计单位对审计人员建议调整财务报表的处理，最终决定审计意见的类型。,22,风险导向审计方法,审计师对企业的战略风险分析被划分为四个阶段：1、采用企业层面的经营模式分析，取得对被审计单位的基本了解，从而了解企业的目标、战略定位、经营环节的组织等；2、以PEST分析、波特五力分析和SWOT分析等为分析框架，采用头脑风暴、风险分析小组等形式，识别和分析宏观环境和行业环境对企业战略的影响，初步识别和分析重要的战略风险及其对审计的影响；3、分析企业的战略管理控制及其效果，形成对

12、重要的战略风险的结论；4、在对企业战略和经营理解的基础上，识别出企业的重大交易类别及其对审计的影响，结合已经识别出的重要战略风险，推导出关键经营环节，作为环节分析阶段分析的对象。,23,三、风险导向内部审计理论框架,（一）风险导向内部审计的概念所谓风险导向内部审计是指内部审计人员在审计过程中自始自终都以企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的鉴证和咨询活动。可见，风险导向内部审计是为降低审计风险和经营风险进行风险管理的一种有

13、效工具也是不同于财务审计、业务审计和管理审计的一种新的审计模式。,24,（二）风险导向内部审计的本质,根据风险导向内部审计的定义，内部审计人员在整个审计过程中，都要自始至终都关注企业风险（不是审计风险），依据风险确定审计范围与重点，以降低风险为导向，对企业的风险管理、内部控制和公司治理程序进行评价，协助企业管理风险，实现企业价值增值的确证和咨询活动。可见，风险导向内部审计的本质就是确保受托责任履行的管理控制机制。,25,（三）风险导向内部审计的目标,账项基础审计-查错防弊（经济卫士）制度导向审计-兴利除弊（经济医士）风险导向审计-增加价值（经济谋士）可见，风险导向内部审计的目标是提供增值服务。

14、,26,（四）风险导向内部审计的对象,内部控制风险管理组织治理目标风险控制,27,（五）风险导向内部审计的职能,A对内部审计的职能作了明确规定：“内部审计是一项独立的、客观的确证和咨询活动，其目的在于为组织增加价值并提高组织的工作效率。它采取系统化和规范化的方法，对风险管理、内部控制和公司治理过程进行评估和改善，从而帮助组织实现其目标。”可见，风险导向内部审计的职能是“确证和咨询服务”，这两项职能都是紧密结合内部审计的增值目标发展而来的。,28,（六）风险导向内部审计人员的能力,29,（七）风险导向内部审计的方法,提供确认服务的技术方法：杠杆比较法提供咨询服务的技术方法：控制自我评估法,30,

15、（八）风险导向内部审计与风险管理的关系,英国风险管理协会意见：（1）内部审计工作重点应放在重要的风险上，审查贯穿组织范围的风险管理；（2）为风险管理提供确证服务；（3）积极支持并参与风险管理程序；（4）促进风险识别和评估；（5）帮助向董事会、审计委员会等提供风险报告。IIA的审计实务准则：（1）帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系；（2）评价控制的效率与效果，促进控制的不断完善，以帮助组织保持有效的控制。,31,（九）风险导向内部审计与外部审计的区别,内涵不同目标不同风险范围不同,32,四、风险导向内部审计在风险管理中的应用,风险管理审计概述风险导向内部审计在风险管理中

16、的应用案例分析,33,1、风险及风险管理（1）风险：是指影响组织目标实现的各种不确定性事件。包括：内部风险和外部风险,（一）风险管理审计概述,34,国资委对国有企业风险的分类,35,（2）风险管理的定义,是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）,36,2、风险管理过程及管理内容和职能,37,（1）概念风险管理审计是内部审计以风险为考虑核心，采用系统化、规范化的方法，通过对企业全面风险管理活动进行监督和评价，提出改进意见，来改善企业风险管理、增进

17、企业价值的一种审计。（2）特征：1)审计思路和观念发生根本性转变2）工作重心开始转移3）方法更加科学、先进4）目的更加明确,3、风险管理审计,38,4、内部审计人员在风险管理中的角色,在风险环境分析中的作用：评估单位的“固有风险”和“剩余风险”；分析环境因素的变化；将分析结果反映给管理层的审计报告中。在风险事件识别活动中的作用：内部审计人员要判断管理层是否完全识别了单位的所有风险，若有遗漏，要提醒管理层加以考虑。在风险评估中的作用：内部审计人员从客观的角度分析风险的假设条件、计算方法来评价风险，提供专业意见。在风险反映和控制活动中的作用：内部审计人员通过分析/评估风险回避的合理性、减少风险措施

18、的有效性，以降低单位承受的风险。在风险信息沟通和风险管理系统监控中的作用：内部审计人员通过审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息，保证单位对风险的管理是一直有效的。,39,（二）风险导向内部审计在风险管理中的应用,1、风险管理审计的目标（1）企业风险管理的总目标：在考量成本收益的基础上，风险成本的最小化，价值（收益）的最大化；（2）企业风险管理审计的目标：通过内部审计机构和人员对企业风险管理过程的了解，审查并评价其适当性和有效性，提出改进建议，促进企业目标的实现。,40,（1）风险管理机制的审查和评价1）审查风险管理组织机构的健全性2）审查风险管理程序的合理性3）审查风

19、险预警系统的存在及有效性,2、风险管理审计的内容,41,42,（2）风险识别的充分性以及有效性审查,内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。,43,（3）风险评估方法的适当性以及有效性的审查,内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时，内部审计人员应当充分了解风险评估的方法，并对管理层所采用的风险评估方法的适当性和有效性进行审查。,44,（4）审查风险评估方法应当遵循的原则,1）定性方法的采用需要充分考虑相关

20、部门或人员的意见，以提高评估结果的客观性；2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；3）定量方法一般情况下会比定性方法能够提供更为客观的评估结果。,45,（5）审查和评价风险管理过程结果报告,内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：1）采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；2）采取的风险应对措施是否适合本组织的经营、管理特点；3）成本效益的考量。,46,（1）研究与审阅信息资料（2）检查公司政策、董事会和审计委员会的会议记录（3）检查以前发表的风险评估报告（4）与组织管理层讨论（5）收集信息,3、风险管理审计的方法

21、,47,4、风险管理审计的程序,中心环节,（1）确定后续审计项目（2）确定后续审计人员（3）开展具体的工作（4）出具后续审计报告,48,（三）案例分析,1、公司简介某集团有限公司是中国最大的肉制品生产企业之一，其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市，拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术，以其独有的技术方法，研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验，集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年，冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温

22、肉制品，自2002年至2004年，其市场占有率连续三年位居中国大型零售商销售首位。对该集团而言，企业的迅速壮大是成功的标志，但更是企业所面临的挑战。作为一家迅速发展中的企业，集团深刻意识到专业化管理对于企业壮大的重要性。因此，集团时刻致力于强化企业的专业化管理，增强企业的核心竞争力。,49,2、风险管理流程存在的问题及对策,（1）风险管理文化存在的问题该公司虽然在香港联合证券交易所上市，但其实质仍是一中国民营企业，该公司按照香港的上市规则建立了法人治理结构，但其“人治”的色彩非常浓厚。内部控制对高级管理层的约束力较弱。,50,对策与建议,在风险管理方面，首先要做的工作是在全公司范围内自上而下进

23、行一次风险管理的宣传、教育、培训，增强员工风险管理意识，董事和高级管理人员应在培育风险管理文化中起表率作用；加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。,51,（2）风险管理组织体系存在的问题,在公司现有的组织结构里，没有专职的风险管理机构。董事会下既没有设风险管理委员会，也没有设审计委员会。风险管理职能由其他部门（如总经办、审计部、投资发展部）根据需要分散承担，由于风险管理职责不明确，缺少对各种风险的整合管理。,52,对策与建议,在董事会下设风险管理委员会，整合现有风险管理资源。明确总经理对全面风险管理工作的有效性向董事会负责。总经理委托的高级

24、管理人员负责主持全面风险管理的日常工作，成立风险管理部，负责组织协调全面风险管理日常工作，除一至两个专职人员外，其他人员可暂由其他部门派人兼任。内部审计部门在风险管理方面主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。,53,（3）风险识别、评估和排序存在的问题,公司当前进行重点管理的13种风险，还是一年前管理层通过讨论识别、评估确认的，一年来没有重新进行识别、评估、排序。而一年来公司内外部环境都发生了很大的变化，原来识别的风险范围是否充分、评估排序是否恰当，亟需进行重新审视。,54,对策与建议,在进行风险管理宣传的同时，设计、发放调查问卷

25、，发动公司所有员工对公司面临的风险和机会进行识别，对调查结果进行统计、分析、总结，筛选出主要风险后，在管理层范围内对这些风险进行打分，评估重要性后排序；而对于识别出来的机会，管理层要考虑如何加以充分利用。,55,（4）风险管理策略与方法存在的问题,公司现有的针对13种风险采取的防范措施几乎全部可归结为抑制与控制策略，以期降低损失发生的可能性、频率，缩小损失程度。这13种风险范围之外的风险可以说是采取了风险接受策略。而对于风险规避策略、风险转移策略、风险利用策略则极少采用。在风险管理策略与方法的选择上显得比较保守，缺乏灵活性。而对于机会，则没有明确的策略进行利用。,56,对策与建议,在对公司面临的风险进行重新识别、评估后，在风险规避、风险转移、风险抑制与控制、风险接受、风险利用等策略上灵活选择，可通过保险、契约、合同、金融工具等形式将风险转移出去；同时要对机会加以利用，并反映到战略目标、经营目标的制定上。,57,（5）风险管理监控与检查存在的问题,公司目前没有专职人员对风险管理进行监控，对风险管理的监控依赖于对日常经营活动进行监控的日报、月报系统，而在日报、月报内容中并无专门对风险管