《内部审计第十章fwvg.pptx》由会员分享,可在线阅读,更多相关《内部审计第十章fwvg.pptx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第十章 风险管理审计了解风险管理和风险管理审计的含义描述企业风险的主要类型及应对措施说明内部审计在企业风险管理中的职责和目标举例描述风险管理审计过程监督(评价与反馈)监督(评价与反馈)控制活动(政策与程序)控制活动(政策与程序)风险评估风险评估控制环境(机构文控制环境(机构文化、管理基调)化、管理基调)信息交流信息交流中国航油中国航油(新加坡新加坡)股份有限公司股份有限公司(下称中航油新加坡公司下称中航油新加坡公司)曾聘曾聘请国际著名的安永会计师事务所为其编制请国际著名的安永会计师事务所为其编制风险管理手册风险管理手册,设有专门的风险管理委员会及软件监测系统设有专门的风险管理委员会及软件监测系
2、统,实施交易员、风实施交易员、风险控制委员会、审计部、总裁、董事会层层上报险控制委员会、审计部、总裁、董事会层层上报,交叉控制交叉控制,按照按照风险管理手册风险管理手册的规定的规定,任何导致任何导致50万美元以上损失的万美元以上损失的交易将自动平仓。中航油新加坡公司共有交易将自动平仓。中航油新加坡公司共有10位交易员位交易员,损失的损失的最大限额应是最大限额应是500万美元万美元(1050万万=500万万)。但是。但是,中航油新中航油新加坡公司的衍生品交易最终亏损额高达加坡公司的衍生品交易最终亏损额高达5.5亿美元亿美元,以至申请以至申请破产保护。破产保护。揭示:中航油事件的核心问题并不在于市
3、场云谲波诡揭示:中航油事件的核心问题并不在于市场云谲波诡,而在于而在于该公司从表面上看似乎已实施了风险管理的流程该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险识别、风险评估、风险应对风险评估、风险应对;但缺少对风险管理系统中的其他辅助要但缺少对风险管理系统中的其他辅助要素的合理关注素的合理关注,最终导致企业整体风险管理失败。这一案例也最终导致企业整体风险管理失败。这一案例也再次说明再次说明:风险管理不仅仅只包括风险识别、评估及应对风险管理不仅仅只包括风险识别、评估及应对,更更包括内部环境、控制活动、信息和沟通以及监控包括内部环境、控制活动、信息和沟通以及监控;风险管理系风险管理系统
4、的有效运转依赖于各要素的通力协作统的有效运转依赖于各要素的通力协作,对风险管理不应停留对风险管理不应停留于狭义上的理解于狭义上的理解;风险管理审计准则应指导内部审计人员从广风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其全盘考虑风险管理的构成要素及其运作方式运作方式,及时有效地发现企业风险管理实践中存在的短板。及时有效地发现企业风险管理实践中存在的短板。事件追因事件追因2004年一季度油价攀升,公司潜亏年一季度油价攀升,公司潜亏580万美元,总裁陈久霖期望油价能回跌,万美元,总裁陈久霖期望油价能回跌,决定延期交割合同,交易量也随
5、之增加。二季度随着油价持续升高,公司账决定延期交割合同,交易量也随之增加。二季度随着油价持续升高,公司账面亏损额增加到面亏损额增加到3 000万美元左右,陈久霖决定再延后交割,交易量再次增万美元左右,陈久霖决定再延后交割,交易量再次增加。为了补加交易商追加的保证金,公司耗尽加。为了补加交易商追加的保证金,公司耗尽2 600万美元的营运资本、万美元的营运资本、1.2亿美元的银团贷款和亿美元的银团贷款和6 800万元的应收账款资金,账面亏损高达万元的应收账款资金,账面亏损高达1.8亿美元,亿美元,另需支付另需支付8 000万美元的额外保证金,资金周转出现严重问题。万美元的额外保证金,资金周转出现严
6、重问题。10月月10日,日,向集团公司首次呈报交易和账面亏损。向集团公司首次呈报交易和账面亏损。10月月26日,因无法补加合同保证金而日,因无法补加合同保证金而遭逼仓,公司蒙受遭逼仓,公司蒙受1.32亿美元的实际亏损。亿美元的实际亏损。12月月1日,亏损达日,亏损达5.5亿美元,为亿美元,为此公司向新加坡证券交易所申请停牌,并向当地法院申请破产保护。此公司向新加坡证券交易所申请停牌,并向当地法院申请破产保护。原因分析原因分析在中航油新加坡公司的股权结构中,集团公司一股独大,股东会中没有对集在中航油新加坡公司的股权结构中,集团公司一股独大,股东会中没有对集团公司决策有约束力的大股东,众多分散的小
7、股东只是为了获取投资收益,团公司决策有约束力的大股东,众多分散的小股东只是为了获取投资收益,对重大决策基本没有话语权,最终发展成由经营者一人独裁统治,市场规则对重大决策基本没有话语权,最终发展成由经营者一人独裁统治,市场规则和内部制度失效,决策与运作过程神秘化、保密化,独断专行决策的流程化和内部制度失效,决策与运作过程神秘化、保密化,独断专行决策的流程化和日常化。公司总裁陈久霖兼集团公司副总经理,中航油新加坡公司基本上和日常化。公司总裁陈久霖兼集团公司副总经理,中航油新加坡公司基本上是其一个人的是其一个人的“天下天下”。陈久霖能够将越权投机进行到底,除了他编造虚假信息隐瞒真相之外,集团陈久霖能
8、够将越权投机进行到底,除了他编造虚假信息隐瞒真相之外,集团公司的失察、失控也难辞其咎。在企业经营中,公司内部的管理者也应该成公司的失察、失控也难辞其咎。在企业经营中,公司内部的管理者也应该成为内控的对象,企业的风险管理框架要求董事会承担内控的责任,进行多元为内控的对象,企业的风险管理框架要求董事会承担内控的责任,进行多元控制,保证内控实施力度。内部控制从单元主体转向多元主体,可以防止滥控制,保证内控实施力度。内部控制从单元主体转向多元主体,可以防止滥用职权、牟取私利、独断专行等后果。中航油事件中,总裁陈久霖亲自操盘用职权、牟取私利、独断专行等后果。中航油事件中,总裁陈久霖亲自操盘期货期权投机交
9、易,而他本人又是公司内部控制的责任主体。如此混乱的局期货期权投机交易,而他本人又是公司内部控制的责任主体。如此混乱的局面最终导致企业控制失灵。面最终导致企业控制失灵。一、企业风险管理审计概述(一)风险及风险管理 1.风险定义:是指影响组织目标实现的各种不确定性事件。包括:外部风险:外部环境中对组织目标的实现产生影响的不确定性。影响外部风险的主要因素:国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等 内部风险:内部环境中对组织目标的实现产生影响的不确定性。影响因素:治理结构、组织特点、信息系统、职业道德、业务素质等 2.风险管理的定义:是对影响组织目标实现的各种不确定性事件进行识别与评
10、估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的:为了将风险控制在可接受的范围内;(风险的可接受范围取决于组织对风险的态度)为组织目标的实现提供合理保证。3.内部审计在风险管理中的作用内部审计在风险管理中的作用 检查与评价检查与评价 管理与协调管理与协调 顾问与咨询顾问与咨询 报告与防范报告与防范 治理机构(董事会等)治理机构(董事会等)负责确定战略方向和机负责确定战略方向和机构目标并监督目标实现构目标并监督目标实现管理高层管理高层管理高层负责目标负责目标负责目标的实现和确定风险的归的实现和确定风险的归的实现和确定风险的归属属属辅助职责内部审计部门内部审计部门内部审计部门负责
11、定期负责定期负责定期评价和报告工作,提供合理评价和报告工作,提供合理评价和报告工作,提供合理保证保证保证执行管理层执行管理层执行管理层操作层操作层操作层负责持续的负责持续的负责持续的确认、评价、减缓确认、评价、减缓确认、评价、减缓 、(三)企业风险管理审计目标1、总目标:审计部门和审计人员按照组织风险管理方针和策略的部署,以风险管理目标为标准,审核被审计部门在风险识别、评价和管理等方面的合理性和有效性,在损失可能发生之前作出最有损失可能发生之前作出最有效的安排,或使损失降到最小效的安排,或使损失降到最小,帮助组织实现预期目标。2、具体目标:包括一般审计目标和项目审计目标。一般审计目标是所有项目
12、必须达到的目标;项目审计目标是某一特定项目所要达到的目标。(四)企业风险管理审计的特点1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确(五)风险管理的范围包括:组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。组织管理层和内部审计人员在风险管理中的职责 1、组织管理层:负责确定可接受的风险范围,建立建立、健全风险管理机制并使之有效运行。组织管理层对待风险的态度直接决定了风险管理的程度。可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。2、内部审计机构
13、和人员:应当充分了解组织的风险管理过程,审查和评价审查和评价其适当性和有效性,并提出改进建议。二、企业风险管理框架企业风险管理框架框架(ERMF)是反映风险管理过程和内容的程序图。(一)定义:由组织的董事会、管理层和其他员工共同参与的,应用于组织斩落制定和组织内部各个层次和部门的,用于识别可能对组织造成潜在影响的事项并在其风险偏好范围内管理风险的,为组织目标的实现提供合理保证的过程。包括:澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、David McNamee模型、COSO模型、IIA研究基金的ERM框架、2004 COSO-ERM模型等(二)风险管理的八个要素1.内
14、部环境:风险管理的环境,其他要素的基础2.目标制定:选择战略并确定其他与之相关的目标并在组织内层层分解和落实。四类目标:战略目标、经营目标、报告目标、合法性目标。3.风险(事项)识别:根据组织目标、战略规划等识别所面临的风险。组织目标:战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行,在整个组织的各层次都要进行。识别的风险可能会影响组织整体层,也可能仅影响单个职能部门。4.风险评估 对已识别的风险,评估其发生的可能性及影响程度。风险评估针对两方面进行:(必须同时进行评估)(1)风险发生的可能性;(2)风险的影响程度。风险评估是做出恰当的风险应对决策的基本
15、前提。5.风险应对 采取应对措施,将风险控制在组织可接受的范围内。应对措施根据风险的严重程度有针对性地进行。(1)采取措施,降低风险;(2)不采取措施,接受风险。采取应对措施应考虑成本效益原则。6.控制活动:帮助保证风险反应方案得到正确执行的相关政策和程序。7.信息和沟通8.监控:评估风险管理要素的内容和运行以及一段时间的执行质量的一个过程(一)澳大利亚-新西兰联合委员会的AS/NZE4360确定范围监测和审核沟通和协调识别风险分析风险评价风险处理风险例:澳大利亚运用风险管理预防腐败例:澳大利亚运用风险管理预防腐败第一步是分析本部门哪里有腐败风险。第二步是评估风险。对风险可能造成的后果、可能性
16、进行估测,根据评估结果将各种风险排队,查找哪些环节更容易产生腐败。第三步是控制风险。根据各个环节腐败风险的大小制定反腐败控制计划,明确谁来管理,责任在哪个部门,列出完善制度的时间表。计划里必须把花多少人力、物力的具体数字和具体措施写清楚。此外,还要明确涉及多少金额的腐败问题必须报告警察,或者罚款、降职、撤职等。每个部门都有一个办公室专门负责。但由于专业性较强,各部门通常会把评估风险、制定腐败控制计划交给专家去做。第四步是每个部门的审计委员会通过内部审计或其他方法发现腐败问题如果需要调查,可以由本部门查,也可以请警察查。第五步是每个部门每年要向议会公共会计与审计联合委员会报告反腐败情况,包括查办
17、了多少案件,谁负责调查,结果如何,损失多少钱,追回多少钱,犯罪人的类别和数量,花费多少人力、物力去预防腐败等。此外,审计部门每年还要对各部门的反腐败计划执行情况进行抽检。(二)COSO模型建立组织目标建立组织目标评估风险评估风险确定需要的控制确定需要的控制识别、测评、排序风险识别、测评、排序风险(三)IIA研究基金的ERM框架评估风险1.识别风险因素2.排序3.归类4.简要描述风险机会整合风险数量影响减轻风险财务方法探究风险分析机会制定计划实施保持向前1.监测变化风险因素环境组织2.必要时重新进行以前的步骤(四)安达信信息技术风险管理框架确定管理目标经营风险评估识别、探究、辨别、测评制定经营风
18、险管理战略改善经营风险管理过程规避、消除、转移、接收制定或实施风险管理、监控程序经营风险实施效果测试决策信息(五)中央企业全面风险管理指引的企业风险管理框架收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理风险管理的监督和改进风险管理文化融合组织体系构建我国企业风险管理现状我国企业风险管理现状2007年6月,国务院国资委颁布了中央企业全面风险管理指引,并将风险管理作为考核企业领导人员的重要内容。国资委正在研究企业全面风险管理评价标准、范围和方法。但截至2007年4月,我国所有的国有企业尚无一家真正建立起全面风险管理体系,还没有一家中央企业达到中央企业全面风险管理指引的标准、建立
19、起了全面的风险管理。而普华永道会计公司2004年对国际上1400多个大中型公司的调查显示,已经建成完整的风险管理体系的为38%,部分建成的为35%,正在计划实施的为16%,正在研究或尚无建设计划的为10%。课堂练习1.内部审计活动评价现存风险管理流程的有效性的目标是要确定:A、管理层已计划并设计了风险管理流程,以便为实现组织的目标和目的提供合理的保证;B、执行层指导风险管理流程以便为实现组织的目标和目的提供合理的保证;C、组织的目标和目的会高效率地、经济地实现;D、组织的目标和目的以准确、及时的方式实现,并且使资源的使用最小化。答案A三、风险管理审查与评价(一)风险的审查和评价(关注风险发生的
20、可能性与严重程度)1.确定风险范围,制定风险评价标准1)风险范围风险战略范围组织范围业务范围2)风险评价标准体系 2.识别特定范围的风险环境风险过程风险:营运风险,授权风险,信息处理风险,金融风险,诚信风险,信誉风险,流动性风险信息风险3.分析风险:结合企业特定条件(寿命周期、经营战略等),将识别出来的风险的可能性、损失额、发生频率等性质进行鉴定。风险分析目标:判断风险程度,为合理制定风险管理策略与决定风险处理方案提供充分根据。风险分析的程序和内容(风险因素、风险事故、风险征兆)风险征兆的捕捉方法:寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等(二)风
21、险评估方法 1.定量方法,如风险坐标图方法 2.定性方法 风险坐标图案例分析猴王集团是一家生产焊接材料和成套设备为主、多元化的国有大型企业公司。公司始建于1958年,最奥的产品是铁钉、铁丝,总资产仅7.84万元。1984年实行厂长负责制,企业狠抓技术,台上负债经营、兼并联合、投资扩张之路,形成了大型企业集团的框架。截止1999年,集团公司拥有1个上市公司,4个股份有限公司,总资产34.14亿元。猴王发展可以分为3个阶段:第一阶段,自我累计和产品创新阶段1980-1989。企业1980年工厂整顿开始,确定了电焊产品的主营地位,1984厂长制以后,开始负债经营,盘活企业资产,加强企业基础管理工作,
22、率先引进日本、瑞典先进设备,1988年以成为湖北省经济效益先进单位榜首企业,是行业发展的明星企业。第二阶段,是八五时期的企业规模快速扩张阶段。以股份制改造为契机,运用投资控股、兼并等资本营运手段,迅速扩大了企业规模。随后努力在全国筹建100家工厂、100家公司和100个经营部。截止95年底,集团在工商管理部门登记注册的机构有300多个。第三阶段,九五时期的调整阶段。以建立现代企业制度为契机,发展第三产业,全力消除过渡扩张的恶果,确保公司经济稳定运行。但遗憾的是,集团公司未狠心调整,未对拉长的战线全面收缩,相反不切合实际提出发展人造金刚石产业,是资金投资分散,经营状况进一步恶化。公司2000年走
23、向破产。项目(万)项目(万)1992199419961999总资产21934172141295193341419净资产195918149811639471775销售收入193549024810816135359利润819113173902-18035阶段阶段DCCS 法法风险风险后果定型分析后果定型分析一阶段:导入期明星产品财务风险高次要的二阶段:成长期问题猫经营风险高主要的三阶段:成熟期/衰退期瘦狗经营风险和财务风险高灾难性机会机会市场占有率高,产业效市场占有率高,产业效益,规模经济益,规模经济威胁竞争激烈优势产品多元化劣势资产结构不合理,流动性差,财务风险巨大;无核心竞争力四、企业风险管理
24、审计(一)风险管理机制的审查与评价1.审查组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性 (二)风险识别的适当性及有效性审查1.审查风险识别原则的合理性2.审查风险识别方法的适当性(三)风险评估方法的适当性及有效性1.审查风险评估方法重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的考核与衡量 其他2.评价风险评估方法适当性和有效性应遵循原则 定性方法的采用需要充分考虑部门或人员的意见,以提高评估的客观性。在风险难以量化、定量评价所需数据难以获取时,一般应采取定性方法 定量方法一般情况下会比定性方法提供更
25、为客观的评估结果。(四)风险应对措施适当性和有效性审查1.风险应对的审查与评价 回避:采取措施避免进行可产生风险的活动。接受:由于风险已在组织可接受的范围内,可不采取任何措施。降低:采取适当措施将风险降低到组织可接受的范围内。分担:采取措施将风险转移给其他组织或保险机构。通常:对1级风险回避或降低;对2级或3级风险降低或分担;对4级风险接受2.评价风险应对措施时应考虑的因素 采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内;采取的风险应对措施是否适合本组织的经营、管理特点;成本的考核与衡量。(五)审查和评价风险管理过程结果报告 1.内部审计人员应向组织适当管理层报告审查和评价风险管
26、理过程的结果,并提出改进建议。2.风险管理的审查和评价结果应反映在内部控制审计报告内部控制审计报告中,必要时必要时应出具专项审计报告。百事可乐的针头事件百事可乐的针头事件百事可乐与可口可乐几度争抢霸主地位。但在激烈竞争过程中,一次突发事件险些使百事可乐陷入被挤出市场的危机,这就是“针头事件”。久闻百事可乐清新爽口的威廉斯太太从超级市场买了两筒百事可乐给孩子。回家后,喝完一筒,觉得味道不错,无意中将罐筒倒扣于桌上,竟然有枚针头被倒了出来。威廉斯太太大惊失色,立即向新闻界捅出此事,可口可乐公司也趁机大肆宣传自己的产品,一时间,百事可乐难得有人问津。百事可乐公司一得到“针头事件”消息,立即采取了措施
27、,风险处理小组(由总裁、副总裁、法律顾问等)成立一方面通过新闻界向威廉斯太太道歉,并请她讲述事件经过,感谢她对百事可乐的信任,感谢她给百事可乐把了质量关,给予威斯太太一笔可观的奖金以示安慰。还通过媒介向广大消费者宣布:谁若在百事可乐中再发现类似问题,必有重奖。另一方面,在公司百事可乐生产线上更加严格地进行质量检验,并请威廉斯太太参观,使威廉斯太太确信百事可乐质量可靠,并赢得了这位女士的赞扬。整个针头事件使百事可乐公司销售减少至少2500万美元,总共53人被联邦调查局逮捕认为在百事可乐中放置异物。事后有关调查显示,94%消费者认为百事可乐危机处理得当,并且愿意购买他的产品。评价:风险小组迅速反应
28、,主管的重视,选择正确处理危机的手段,坦诚相见。风险管理审计案例 江铃汽车股份有限公司的内部审计机构实施了风险管理审计,在进行内部审计时以风险为出发点,并以风险管理作为内部审计的对象。江铃股份在制订审计计划时,以往是按照各单位复杂程度以及预期工作量来安排审计时间的。现在将审计计划直接与企业风险挂钩,完全按风险大小来确定审计的重点。将人力物力资源尽可能分配到风险大的事件或环节上。在审计过程中树立成本效益原则,对于风险大的环节,采用更严密的程序和更严格的手段。在帮助设计内部控制措施时,非常注意在严格的内部控制与经营效率间找到平衡点,太严格的内部控制往往以牺牲效率为代价,“所控制的风险是否值得这样控
29、制”成为内部审计工作中常常考虑的问题。江铃股份将公司面临的风险区分为外部风险和内部风险,并对具体内容进行识别和评估。在外部风险中,国家有关汽车尾气排放标准的变化会直接威胁公司五年内达到市场份额的目标,因此市场营销部门确认并充分考虑该风险的影响大小,做出相应的风险对策以完成既定目标。内部审计机构则针对该风险管理机制进行审计并做出评价,以确定该机制的有效性。在内部风险中,由于产品研发和基建投资等项目的管理体制和监控系统不断改变,由此给公司新系统的有效性和稳定性方面带来了较大的风险。内部审计机构对项目的授权机制、监控机制进行审计,以确定其有效性,并抽样审查重大项目实施,以确定经过该系统处理后的项目数
30、据的可靠性。风险管理控制8要素内部环境目标制定事项识别风险评估风险反应、应对控制活动信息与沟通监控课后练习1.以下哪项是对内部审计活动评价组织现存的风险管理、控制与治理过程充分性的目标的最佳描述A、帮助确定必要测试的性质、时间安排及范围,以实现业务目标;B、确保内部控制系统的重大薄弱环节得以纠正;C、确保风险管理、控制和治理过程是否为组织的目标和目的得以高效率、经济地实现提供合理的保证;D、确定风险管理、控制和治理过程是否确保会计记录的正确性以及财务报表的公允披露。2、下列哪项对内部审计中使用的“风险评估”一词的陈述不正确:A、风险评估是指在可审计活动中,能够对已转让的美元价值的可预期风险水平判断的过程。上述已转让价值可以使内部审计主管挑选出有利于节约审计成本的审计对象。B、内部审计主管应该将来自各种渠道的信息应用于风险评估过程,包括与董事会、管理当局、外部审计人员的讨论,法规的审查以及财务/经营数据的分析。C、风险评估是可能对组织不利的状况和/或事件进行系统评价与整合过程的职业判断,并为内部审计工作安排提供了依据。D、作为审计或初步调查的结果,内部审计主管可以随时修正审计对象的估计风险水平,并对工作日程表进行适当的调整。