内部审计学第05章

商学院会计系李栋辉内部审计学第五章风险管理与公司治理审计商学院会计系李栋辉主要内容第1节.风险管理审计的内容第2节.风险管理审计的途径和方法第3节.风险管理审计案例分析第4节.公司治理审计第五章内部控制审计√商学院会计系李栋辉COSO是全国虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制—整合框架》，简称COSO报告，1994年进行了增补。2004年颁布《企业风险管理框架—整合框架》。COSO之背景商学院会计系李栋辉内部控制是“由一个董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性，经营的效果和效率，符合适用的法律和法规”。具体由控制环境、风险评估、控制活动、信息与沟通、监控五部分构成。——COSO内部控制-整合框架商学院会计系李栋辉国际上引用最普遍的、是由美国风险管理与内部控制方面的权威机构COSO给出的界定：ERM是一个实体的董事会、管理层和其他员工实施、适用于战略制订和整个组织范围的程序(process)；该程序用于识别可能影响该实体的事件，管理风险使之处于其偏好范围之内，并为实体目标的实现提供合理的保证。这是一个非常宽泛的界定，它囊括了所有的风险，适用于包括企业在内的各种类型的社会组织。COSO希望藉此为有关ERM的讨论提供一个统一的框架。企业风险管理-整合框架商学院会计系李栋辉COSO-1992《内部控制-整合框架》2002-《萨班斯-奥科萨利法案》COSO-2004《企业风险管理-整合框架》相关资料商学院会计系李栋辉一、风险的定义二、风险管理三、企业风险管理的八大要素四、风险管理审计的内容五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任第1节风险管理审计的内容商学院会计系李栋辉案例1：巴林银行的倒闭千里之堤，毁于蚁穴原因是什么?商学院会计系李栋辉巴林银行倒闭的原因银行的人员；账目；资金管理没有监督约束机制银行对有利益冲突的角色没有实行权责分离（交易和清算）对营运中暴露出的错误，没有及时纠正没有“内部控制”系统预报风险案例1：巴林银行的倒闭商学院会计系李栋辉案例2：安然公司的崩溃美国第七大公司市值500亿美元世界公认最具创新能力的公司不到一年时间，股票下跌95%2001年12月宣布破产，美国历史上最大的破产案商学院会计系李栋辉安然为何突然破产贪婪欺诈的经营行为“鼓励大家藐视各种规章制度”无法验证的财务报表“揭开皇帝的新衣”——谁也无法解释收入从何而来安达信的双重身份“一只手作账，另一只手证明这只手作的账”“利益冲突”把安然送进坟墓摘自美《幸福》杂志2002/39期案例2：安然公司的崩溃商学院会计系李栋辉内部审计学今天明天科技使公司或产品转型使过时被淘汰顾客对公司产品或服务满意被竞争者抢走实体资产发挥功能达成目的成为负担人力资源为本公司服务成为竞争对手组织结构有助于提高效率桎梏企业发展企业规模符合规模效益原则与经营要求不适合道德观念适应社会环境约束企业发展企业制度与经营目标正相关产生负面影响一、风险的定义潜在风险的转化商学院会计系李栋辉一、风险的定义国资委定义:——未来不确定性对企业实现其经营目标的影响。IIA发布的IPPF:——对实现目标有影响的事件实际发生的可能性，风险通过影响程度和发生的可能性来衡量。商学院会计系李栋辉内部外部战略风险新技术、新产品、并购风险、品牌建立、收益变化市场需求变化、失去主要客户或供应商、竞争对手财务风险现金流、资产流动性经济周期、信用风险市场风险定价、促销政策股票市场、外汇汇率、贷款利息、期货市场运营风险安全生产、网络安全、环境保护、人力资源、新项目、价格谈判、火灾、车船事故、人身伤亡管理责任、供应链、水灾、偷盗、恐怖袭击法律风险知识产权、员工纠纷合规、法律改变、诉讼一、风险的定义国资委对国有企风险的分类商学院会计系李栋辉企业失败的六种常见风险效果性风险=〉目标偏离或错误效率性风险=〉资源浪费或无效使用资产性风险=〉资产流失、损坏等（备件管理）信息性风险=〉信息失真、不足或泄密（信用调查）遵循性风险=〉法规、计划、贯彻失败（不清洁订单）无标准风险=〉缺乏标准和规范（集成中心）商学院会计系李栋辉一、风险的定义二、风险管理三、企业风险管理的八大要素四、风险管理审计的内容五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任第1节风险管理审计的内容商学院会计系李栋辉二、风险管理识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。信息管理监控经营风险管理效果评价经营风险建立经营风险管理战略制定经营风险管理模型实施经营风险管理过程商学院会计系李栋辉一、风险的定义二、风险管理三、企业风险管理的八大要素四、风险管理审计的内容五、与内部控制审计的比较研究六、内部审计在企业风险管理过程中的角色与责任第1节风险管理审计的内容商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉三、企业风险管理的八大要素企业风险管理的内部环境风险管理理念风险偏好风险文化董事会操守与道德价值观价值沟通价值定性衡量定量衡量与战略的关系介于风险管理理念和风险偏好之间独立性活动参与行为标准先决条件激励员工能力管理哲学与经营风格组织结构授权与责任人力资源准则知识技巧平衡正式和非正式保守和非保守集中和非集中矩阵/职能/范围授权可说明性招聘培训薪酬激励和纪律商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉三、企业风险管理的八大要素战略目标相关目标经营目标报告目标合规目标选定目标包括符合目标重合风险偏好风险容忍度商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉事件辨认——事件的发生对企业可能带来正面或负面的影响，识别这些事件，区分风险和机会，并将机会反馈到管理层的战略和目标制定过程中。影响企业目标实现的事件包括内部和外部两类。——外部因素：经济环境、自然环境、政治社会环境等——内部因素：企业的基础设施、人事、程序和技术等。事件的识别方法有很多种，常见的有：事件汇总列表法、小组讨论法等。三、企业风险管理的八大要素商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉风险评估企业应对辨识出的事件进行评估，通过对考虑事件带来风险的可能性和影响程度进行分析和评估，并以此作为决定如何进行管理的依据。风险评估同时使用定性分析和定量分析两种方法，来评估潜在事项的不确定性程度。三、企业风险管理的八大要素商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉风险回应当管理层对相关风险进行评估之后，其必须考虑可能采取的风险回应方式及其影响，为了达到有效的风险管理效果，所选择的风险回应方式不能超出企业所能承受的风险范围。风险回应的方式主要有：风险回避、风险承担、风险降低或者风险分担等。三、企业风险管理的八大要素商学院会计系李栋辉风险回避：是指在完成项目风险分析与评价后，如果发现项目风险发生的概率很高，而且可能的损失也很大，又没有其他有效的对策来降低风险时，应采取放弃项目、放弃原有计划或改变目标等方法，使其不发生或不再发展，从而避免可能产生的潜在损失。三、企业风险管理的八大要素风险分担：风险分担策略是借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险度承受之内的策略。商学院会计系李栋辉内部审计学二、风险评估审计风险降低利用政策或措施将风险降低到可接受的水平。风险承担是指项目风险保留在风险管理主体内部，通过采取内部控制措施等来化解风险或者对这些保留下来的项目风险不采取任何措施。风险承担与其他风险对策的根本区别在于：它不改变项目风险的客观性质，即既不改变项目风险的发生概率，也不改变项目风险潜在损失的严重性。商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉控制活动制定和执行政策与程序以帮助确保风险应对措施得以有效实施控制活动类型多样，包括预防性控制、发现性控制、手工控制。计算机控制和管理控制等。信息系统控制●一般控制——对IT管理架构、软件的购置与维修、资料存取的安全等●应用控制——确保咨询处理的完整、正确及有效。三、企业风险管理的八大要素商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉信息与沟通信息包括业务信息和财务信息，可以是正式也可以是非正式的。信息有助于企业把握风险和机会，可以确保员工履行职责的的方式和时机。有效的沟通含义较广泛，包括信息在企业的向下、向上和平行流动。有效的沟通可以确保员工认识到企业全面风险管理的重要性和适当性，明确每一个职员在执行和支持企业风险管理中的职责，从而确保企业战略目标的实现。三、企业风险管理的八大要素商学院会计系李栋辉三、企业风险管理的八大要素事件辨认风险评估风险回应信息与沟通监督企业风险管理目标设定内部环境控制活动商学院会计系李栋辉监督全面风险管理是不断变化的过程，会随内外部环境的变化而变化，因此需要对企业风险管理进行全面的监督。监督的方式包括持续监督和个别监督。——持续监督建立在经营活动中，能随时不断进行；——个别监督在事实发生之后进行。三、企业风险管理的八大要素商学院会计系李栋辉企业风险管理并不是一个严格的顺次过程，其是一个多方向、反复的相互关联的程序，几乎每一个构成要素都能够也的确会影响其他构成要素。三、企业风险管理的八大要素监督信息沟通内部环境目标设定事件识别风险评估风险回应控制活动商学院会计系李栋辉内部环境包括组织的风险管理理念、偏好、道德观及组织运营的环境，它是塑造组织ERM的重要因素，同时又受ERM运行实践的影响。目标设定、事件识别、风险评估、风险回应和控制活动是一个紧密联系的循环过程。在具体实施中，企业可能不完全遵守这一顺序，而是根据具体情况予以调整。信息与沟通、监控等两个要素贯穿ERM的各个环节，为ERM的改进和调适提供宝贵的经验材料和反馈信息，以保证系统处于良性运转状态。控制活动主要包括制定必要的原则和程序等，它是对风险回应环节的支持和补充。三、企业风险管理的八大要素商学院会计系李栋辉战略目标：其企业最高层次目标，与企业使命相关联并支撑其使命；风险管理的目标必须与企业发展的战略目标相辅相成，战略目标的实现可以通过风险管理实现。经营目标：企业有效和高效率的利用资源，高效运营。报告目标：真实披露企业的经营业绩，确保报告的真实可靠。合规目标：企业遵循相关法律法规，合规经营。企业风险管理-整合框架的目标商学院会计系李栋辉商学院会计系李栋辉商学院会计系李栋辉联系：虽然ERM框架在企业整体层面的不同纬度有了内容的增减，但基本结构仍然采用与内部控制模型相同的三维立体形