内部审计第十章.ppt

1、第十章 风险管理审计,了解风险管理和风险管理审计的含义 描述企业风险的主要类型及应对措施 说明内部审计在企业风险管理中的职责和目标 举例描述风险管理审计过程,监督（评价与反馈）,控制活动（政策与程序）,风险评估,控制环境（机构文化、管理基调）,信息交流,中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制风险管理手册,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照风险管理手册的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美

2、元(1050万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。 揭示：中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作

3、方式,及时有效地发现企业风险管理实践中存在的短板。,事件追因 2004年一季度油价攀升，公司潜亏580万美元，总裁陈久霖期望油价能回跌，决定延期交割合同，交易量也随之增加。二季度随着油价持续升高，公司账面亏损额增加到3 000万美元左右，陈久霖决定再延后交割，交易量再次增加。为了补加交易商追加的保证金，公司耗尽2 600万美元的营运资本、1.2亿美元的银团贷款和6 800万元的应收账款资金，账面亏损高达1.8亿美元，另需支付8 000万美元的额外保证金，资金周转出现严重问题。10月10日，向集团公司首次呈报交易和账面亏损。10月26日，因无法补加合同保证金而遭逼仓，公司蒙受1.32亿美元的实际

4、亏损。12月1日，亏损达5.5亿美元，为此公司向新加坡证券交易所申请停牌，并向当地法院申请破产保护。 原因分析 在中航油新加坡公司的股权结构中，集团公司一股独大，股东会中没有对集团公司决策有约束力的大股东，众多分散的小股东只是为了获取投资收益，对重大决策基本没有话语权，最终发展成由经营者一人独裁统治，市场规则和内部制度失效，决策与运作过程神秘化、保密化，独断专行决策的流程化和日常化。公司总裁陈久霖兼集团公司副总经理，中航油新加坡公司基本上是其一个人的“天下”。 陈久霖能够将越权投机进行到底，除了他编造虚假信息隐瞒真相之外，集团公司的失察、失控也难辞其咎。在企业经营中，公司内部的管理者也应该成为

5、内控的对象，企业的风险管理框架要求董事会承担内控的责任，进行多元控制，保证内控实施力度。内部控制从单元主体转向多元主体，可以防止滥用职权、牟取私利、独断专行等后果。中航油事件中，总裁陈久霖亲自操盘期货期权投机交易，而他本人又是公司内部控制的责任主体。如此混乱的局面最终导致企业控制失灵。,一、企业风险管理审计概述,（一）风险及风险管理 1.风险定义：是指影响组织目标实现的各种不确定性事件。 包括： 外部风险：外部环境中对组织目标的实现产生影响的不确定性。 影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等 内部风险：内部环境中对组织目标的实现产生影响的不确定性。

6、影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等,2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。 风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）为组织目标的实现提供合理保证。,（二）内部审计与风险管理的关系 http:/www.e- 1.内部审计是一种独立、客观的保证和咨询活动。其目的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。 2.内部审计介入风险管理的主要原因： 内部审计机

7、构有独特的位置； 内部审计师更了解组织的高风险领域； 内部审计师对于组织目标的实现有更强的责任感。,3.内部审计在风险管理中的作用 检查与评价 管理与协调 顾问与咨询 报告与防范,治理机构（董事会等）负责确定战略方向和机构目标并监督目标实现,管理高层负责目标的实现和确定风险的归属,辅助职责,内部审计部门负责定期评价和报告工作，提供合理保证,执行管理层,操作层负责持续的确认、评价、减缓,、,（三）企业风险管理审计目标 1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排

8、，或使损失降到最小，帮助组织实现预期目标。 2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。,（四）企业风险管理审计的特点 1.审计思路和观念发生根本性转变 2.工作重心开始转移 3.方法更加科学、先进 4.目的更加明确,（五）风险管理的范围 包括：组织整体及职能部门两个层面。 1.低层目标的实现是高层目标实现的基础。 2.不同层面的风险管理的责任在于不同的管理层。,组织管理层和内部审计人员在风险管理中的职责 1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。 组织管理层对待风险的态度直

9、接决定了风险管理的程度。 可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。 2、 内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。,二、企业风险管理框架,企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。 （一）定义：由组织的董事会、管理层和其他员工共同参与的，应用于组织斩落制定和组织内部各个层次和部门的，用于识别可能对组织造成潜在影响的事项并在其风险偏好范围内管理风险的，为组织目标的实现提供合理保证的过程。 包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、Dav

10、id McNamee模型、COSO模型、IIA研究基金的ERM框架、2004 COSO-ERM模型等,（二）风险管理的八个要素,内部环境：风险管理的环境，其他要素的基础 目标制定：选择战略并确定其他与之相关的目标并在组织内层层分解和落实。四类目标：战略目标、经营目标、报告目标、合法性目标。 风险（事项）识别：根据组织目标、战略规划等识别所面临的风险。 组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。 识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。,4. 风险评估 对已识别的风险，评估其发生的可能性及影响

11、程度。 风险评估针对两方面进行：（必须同时进行评估） （1）风险发生的可能性； （2）风险的影响程度。 风险评估是做出恰当的风险应对决策的基本前提。,5. 风险应对 采取应对措施，将风险控制在组织可接受的范围内。 应对措施根据风险的严重程度有针对性地进行。 （1）采取措施，降低风险； （2）不采取措施，接受风险。 采取应对措施应考虑成本效益原则。 6. 控制活动：帮助保证风险反应方案得到正确执行的相关政策和程序。 7. 信息和沟通 8.监控：评估风险管理要素的内容和运行以及一段时间的执行质量的一个过程,（一）澳大利亚-新西兰联合委员会的AS/NZE4360,例：澳大利亚运用风险管理预防腐败 第

12、一步是分析本部门哪里有腐败风险。第二步是评估风险。对风险可能造成的后果、可能性进行估测，根据评估结果将各种风险排队，查找哪些环节更容易产生腐败。第三步是控制风险。根据各个环节腐败风险的大小制定反腐败控制计划，明确谁来管理，责任在哪个部门，列出完善制度的时间表。计划里必须把花多少人力、物力的具体数字和具体措施写清楚。此外，还要明确涉及多少金额的腐败问题必须报告警察，或者罚款、降职、撤职等。每个部门都有一个办公室专门负责。但由于专业性较强，各部门通常会把评估风险、制定腐败控制计划交给专家去做。第四步是每个部门的审计委员会通过内部审计或其他方法发现腐败问题如果需要调查，可以由本部门查，也可以请警察查

13、。第五步是每个部门每年要向议会公共会计与审计联合委员会报告反腐败情况，包括查办了多少案件，谁负责调查，结果如何，损失多少钱，追回多少钱，犯罪人的类别和数量，花费多少人力、物力去预防腐败等。此外，审计部门每年还要对各部门的反腐败计划执行情况进行抽检。,（二） COSO模型,建立组织目标,评估风险,确定需要的控制,识别、测评、排序风险,（三） IIA研究基金的ERM框架,评估风险 1.识别风险因素 2.排序 3.归类 4.简要描述风险机会,整合风险 数量影响 减轻风险 财务方法,探究风险 分析机会 制定计划 实施,保持向前 1.监测变化 风险因素 环境 组织 2.必要时重新进 行以前的步骤,（四）

14、安达信信息技术风险管理框架,确定管理目标,经营风险评估 识别、探究、辨别、测评,制定经营风险 管理战略,改善经营风险管理 过程,规避、消除、 转移、接收,制定或实施 风险管理、监控程序,经营风险实施效果测试,决策信息,（五）中央企业全面风险管理指引的企业风险管理框架,收集风险管理初始信息,进行风险评估,制定风险管理策略,提出和实施风险管理,风险管理的监督和改进,风险管理文化融合,组织体系构建,我国企业风险管理现状 2007年6月，国务院国资委颁布了中央企业全面风险管理指引，并将风险管理作为考核企业领导人员的重要内容。国资委正在研究企业全面风险管理评价标准、范围和方法。但截至2007年4月，我国

15、所有的国有企业尚无一家真正建立起全面风险管理体系，还没有一家中央企业达到中央企业全面风险管理指引的标准、建立起了全面的风险管理。 而普华永道会计公司2004年对国际上1400多个大中型公司的调查显示， 已经建成完整的风险管理体系的为38%，部分建成的为35%，正在计划实施的为16%， 正在研究或尚无建设计划的为10%。,课堂练习,1. 内部审计活动评价现存风险管理流程的有效性的目标是要确定： A、管理层已计划并设计了风险管理流程，以便为实现组织的目标和目的提供合理的保证； B、执行层指导风险管理流程以便为实现组织的目标和目的提供合理的保证； C、组织的目标和目的会高效率地、经济地实现； D、组

16、织的目标和目的以准确、及时的方式实现，并且使资源的使用最小化。,答案,A,三、风险管理审查与评价,（一）风险的审查和评价（关注风险发生的可能性与严重程度） 1.确定风险范围，制定风险评价标准 1） 风险范围 风险战略范围 组织范围 业务范围 2）风险评价标准体系 2.识别特定范围的风险 环境风险 过程风险：营运风险，授权风险，信息处理风险，金融风险，诚信风险，信誉风险，流动性风险 信息风险,3.分析风险：结合企业特定条件（寿命周期、经营战略等），将识别出来的风险的可能性、损失额、发生频率等性质进行鉴定。 风险分析目标：判断风险程度，为合理制定风险管理策略与决定风险处理方案提供充分根据。 风险分

17、析的程序和内容（风险因素、风险事故、风险征兆） 风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等,（二）风险评估方法 1.定量方法，如风险坐标图方法 2.定性方法 风险坐标图,案例分析,猴王集团是一家生产焊接材料和成套设备为主、多元化的国有大型企业公司。公司始建于1958年，最奥的产品是铁钉、铁丝，总资产仅7.84万元。1984年实行厂长负责制，企业狠抓技术，台上负债经营、兼并联合、投资扩张之路，形成了大型企业集团的框架。截止1999年，集团公司拥有1个上市公司，4个股份有限公司，总资产34.14亿元。猴王发展可以分为3个阶段： 第一

18、阶段，自我累计和产品创新阶段1980-1989。企业1980年工厂整顿开始，确定了电焊产品的主营地位，1984厂长制以后，开始负债经营，盘活企业资产，加强企业基础管理工作，率先引进日本、瑞典先进设备，1988年以成为湖北省经济效益先进单位榜首企业，是行业发展的明星企业。,第二阶段，是八五时期的企业规模快速扩张阶段。以股份制改造为契机，运用投资控股、兼并等资本营运手段，迅速扩大了企业规模。随后努力在全国筹建100家工厂、100家公司和100个经营部。截止95年底，集团在工商管理部门登记注册的机构有300多个。 第三阶段，九五时期的调整阶段。以建立现代企业制度为契机，发展第三产业，全力消除过渡扩张

19、的恶果，确保公司经济稳定运行。但遗憾的是，集团公司未狠心调整，未对拉长的战线全面收缩，相反不切合实际提出发展人造金刚石产业，是资金投资分散，经营状况进一步恶化。公司2000年走向破产。,四、企业风险管理审计,（一）风险管理机制的审查与评价 1.审查组织机构的健全性 2.审查风险管理程序的合理性 3.审查风险预警系统的存在及有效性 （二）风险识别的适当性及有效性审查 1.审查风险识别原则的合理性 2.审查风险识别方法的适当性,（三）风险评估方法的适当性及有效性 1.审查风险评估方法重点考虑以下因素： 已识别的风险的特征； 相关历史数据的充分性与可靠性； 管理层进行风险评估的技术能力； 成本效益的

20、考核与衡量 其他,2.评价风险评估方法适当性和有效性应遵循原则 定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性。 在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法 定量方法一般情况下会比定性方法提供更为客观的评估结果。,（四）风险应对措施适当性和有效性审查 1.风险应对的审查与评价 回避：采取措施避免进行可产生风险的活动。 接受：由于风险已在组织可接受的范围内，可不采取任何措施。 降低：采取适当措施将风险降低到组织可接受的范围内。 分担：采取措施将风险转移给其他组织或保险机构。 通常：对1级风险回避或降低； 对2级或3级风险降低或分担； 对4级风险接受,2.评价风

21、险应对措施时应考虑的因素 采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内； 采取的风险应对措施是否适合本组织的经营、管理特点； 成本的考核与衡量。,（五）审查和评价风险管理过程结果报告 1.内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。 2.风险管理的审查和评价结果应反映在内部控制审计报告中，必要时应出具专项审计报告。,百事可乐的针头事件 百事可乐与可口可乐几度争抢霸主地位。 但在激烈竞争过程中，一次突发事件险些使百事可乐陷入被挤出市场的危机，这就是“针头事件”。 久闻百事可乐清新爽口的威廉斯太太从超级市场买了两筒百事可乐给孩子。回家后，喝完一筒

22、，觉得味道不错，无意中将罐筒倒扣于桌上，竟然有枚针头被倒了出来。威廉斯太太大惊失色，立即向新闻界捅出此事，可口可乐公司也趁机大肆宣传自己的产品，一时间，百事可乐难得有人问津。,百事可乐公司一得到“针头事件”消息，立即采取了措施，风险处理小组（由总裁、副总裁、法律顾问等）成立一方面通过新闻界向威廉斯太太道歉，并请她讲述事件经过，感谢她对百事可乐的信任，感谢她给百事可乐把了质量关，给予威斯太太一笔可观的奖金以示安慰。还通过媒介向广大消费者宣布：谁若在百事可乐中再发现类似问题，必有重奖。 另一方面，在公司百事可乐生产线上更加严格地进行质量检验，并请威廉斯太太参观，使威廉斯太太确信百事可乐质量可靠，并

23、赢得了这位女士的赞扬。 整个针头事件使百事可乐公司销售减少至少2500万美元，总共53人被联邦调查局逮捕认为在百事可乐中放置异物。 事后有关调查显示，94%消费者认为百事可乐危机处理得当，并且愿意购买他的产品。 评价：风险小组迅速反应，主管的重视，选择正确处理危机的手段，坦诚相见。,风险管理审计案例,江铃汽车股份有限公司的内部审计机构实施了风险管理审计，在进行内部审计时以风险为出发点，并以风险管理作为内部审计的对象。 江铃股份在制订审计计划时，以往是按照各单位复杂程度以及预期工作量来安排审计时间的。现在将审计计划直接与企业风险挂钩，完全按风险大小来确定审计的重点。将人力物力资源尽可能分配到风险大的事件或环节上。在审计过程中树立成本效益原则，对于风险大的环节，采用更严密的程序和更严格的手段。在帮助设计内部控制措施时，非常注意在严格的内部控制与经营效率间找到平衡点，太严格的内部控制往往以牺牲效率为代价，“所控制的风险是否值得这样控制”成为内部审计工作中常常考虑的问题。,江铃股份将公司面临的风险区分为外部风险和内部风险，并对具体内容进行识别和评估。在外部风险中，国家有关汽车尾气排放标准的变化会直接威胁公司五年内达到市场份额的目标，因此市场营销部门确认并充分考虑该风险的影响大小，做出相应的风险对策以完成既定目标。内部