风险基础审计

2007-11-21刘爱松第十章风险基础审计2007-11-2刘爱松2本章框架风险与风险管理风险基础审计的涵义与特征风险基础审计的程序与方法2007-11-2刘爱松3风险•根据COSO的研究报告《企业风险管理——整体框架》（2002）的定义，风险是由不确定性带来的，不确定性既意味着不利，也意味着机会。不确定性可能带来的不利后果即为风险。2007-11-2刘爱松4风险管理•企业风险管理是一个过程，它由一个主体（企业）的董事会、管理当局和其他人员实施，应用于战略制订过程中并在全企业范围内贯彻，旨在识别可能会影响主体（企业）的潜在事项，管理风险以将其控制在该主体（企业）的可接受风险水平，并为主体目标的实现提供合理保证。2007-11-2刘爱松5企业的目标•在主体既定的使命或愿景（vision）范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：•战略（strategic）目标——高层次目标，与使命相关联并支撑其使命；2007-11-2刘爱松6企业的目标•经营（operations）目标——有效和高效率地利用其资源；•报告（reporting）目标——报告的可靠性；•合规（compliance）目标——符合适用的法律和法规。2007-11-2刘爱松7企业风险的来源•企业风险来源一般可以分为组织层级及作业层级。•（一）组织层级风险：P305•（二）作业层级风险：生产风险、营销及销售风险（P306）。2007-11-2刘爱松8风险的种类•可以分为静态风险和动态风险。•（一）动态风险•1、管理上的风险：（1）市场风险；（2）财务风险；（3）生产风险。•2、政治上的风险。•3、创新的风险。2007-11-2刘爱松9•（二）静态风险•（1）资产实质上的损害•（2）欺诈或犯罪导致的损失•（3）因法律责任所造成的财产损失•（4）财货遭受损害导致产生收入的能力降低•（5）重要员工或所有者的死亡。2007-11-2刘爱松10企业风险管理的内容•1、协调风险取向（riskappetite）与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。•2、改进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。2007-11-2刘爱松11•3、减少经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。•4、识别和管理企业的各种风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。2007-11-2刘爱松12•5、抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。•6、改进资源的配置——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。2007-11-2刘爱松132007-11-2刘爱松14风险管理要素•1、内部环境——内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。2007-11-2刘爱松15风险管理要素•2、目标设定——必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。2007-11-2刘爱松16风险管理要素•3、事项识别——必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。•4、风险评估——通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。2007-11-2刘爱松17风险管理要素•5、风险应对——管理当局选择风险应对——回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容限（risktolerance）①和风险容量以内。•6、控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。2007-11-2刘爱松18风险管理要素•7、信息与沟通——相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。•8、监控——对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。2007-11-2刘爱松19风险管理与内部控制的关系•内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。内部控制是在《内部控制——整合框架》中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此那份文件对内部控制的定义和框架依然有效。尽管《内部控制——整体框架》的正文中只有一部分2007-11-2刘爱松20•被本框架所引用，但是本框架通过参考的方式把该框架整体融合了进来。2007-11-2刘爱松21风险基础审计的涵义•风险基础审计是指以对被审计单位的风险识别为基础，全面分析影响被审计单位管理目标实现的各种因素，并据此确定实施进一步审计程序的性质、范围、时间，进而进行控制测试和实质性检查的一种审计方法。它是在制度基础审计的基础上发展起来的。2007-11-2刘爱松22风险基础审计的特征•（一）风险基础审计与制度基础审计的差异•1、审计基础不同•2、运用方法不同•3、对内部控制制度的运用不同•4、测试的重点不同2007-11-2刘爱松23风险基础审计的特征•（二）风险基础审计的特征•风险基础审计从被审计单位的管理目标入手2007-11-2刘爱松24各种审计模式的侧重点•账目基础审计（详细审计）：侧重于实质性测试•制度基础审计：内部控制测试•风险基础审计：风险评估2007-11-2刘爱松25风险基础审计的程序•1、风险评估：包括风险识别、风险分析•2、总体应对措施•3、进一步审计程序：包括内部控制测试、实质性测试•4、评价审计证据：在评价证据的基础上提出风险管理建议。