第六章风险管理审计

第六章风险管理审计第六章风险管理审计［本章学习目的］由于各种不确定性因素，企业面临着各种风险，对风险进行有效的管理和控制，是企业能否生存发展、实现其预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此，无论是国际内部审计师协会对内部审计的定义，还是我国内部审计准则都强调了内部审计在企业风险管理中的作用。本章从风险以及风险管理的定义出发，介绍风险管理审计的相关内容。通过本章学习，使学生理解和掌握企业风险管理框架的主要内容、风险管理审计的概念、目标和内容，特别是对金融工具风险管理审计的规定有所了解。本章主要内容•第一节风险管理审计概述•第二节企业风险管理审计•第三节金融工具风险管理审计补充资料•《中央企业全面风险管理指引》国有资产监督管理委员会2006年6月发布•《企业风险管理——整合框架》（EnterpriseRiskManagement—IntegratedFramework），2004年9月COSO发布ERM框架的348构成框架1、三个维度——是指：企业目标、风险管理要素和企业管理层次；2、四方面的目标：（1）战略目标；（2）经营目标；（3）报告目标；（4）合规目标。3、八个要素：（1）内部环境；（2）目标设置；（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监督。案例引入从中航油事件看企业风险管理•中国航油（新加坡）股份有限公司于1993年在新加坡成立，是中国航空油料集团有限公司的海外控股公司，石油类跨国公司。公司于2001年12月6日在新加坡股票交易所主板挂牌上市。该公司自1997年以来，凭借对国内进口航油市场的实质性垄断，净资产由16.8万美元增至2003年1.28亿美元，6年增长762倍，成为股市上的明星企业。2002年公司被新交所评为“最具透明度的上市公司”奖，并且是唯一入选的中资公司。公司总裁陈久霖被《世界经济论坛》评选为“亚洲经济新领袖”。•然而，正是这样一家明星公司，在2004年12月1日，宣布向法庭申请破产保护令，原因是因为公司在之前的石油衍生品交易中出现5.54亿美元的巨额亏损。事件披露后，新加坡投资者称其为1995年巴林事件后最大的金融丑闻。•经国家有关部门批准，新加坡公司在中国航油集团公司授权后，自2003年开始做油品套期保值业务。•在此期间，新加坡公司总裁陈久霖擅自扩大业务范围，从2003年开始从事石油衍生品期权交易，同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权赌注每桶38美元，没想到国际油价一路攀升,2004年10月以后，新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同，中航油需向交易方（银行和金融机构）支付保证金，每桶油价每上涨1美元，中航油新加坡公司要向这些银行支付5000万美元的保证金，其结果导致中航油新加坡公司现金流量的枯竭，实际损失和潜在损失总计5.54亿美元。中航油的失败除了内部环境原因之外，在风险评估方面也存在一些非常值得关注的问题:1.关注企业风险比关注企业细节控制更为重要ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,将风险管理作为内部控制的最主要内容中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业,说明该企业确实在细节方面的内部控制做得非常周到。但是,从事后暴露出的结果来看,恰恰是在经营风险管理上出了问题。2.公司目标设定的随意性导致经营风险加大•内部控制体系要求管理人员要设立适当的目标，并且使选择的目标能支持、连接企业的使命，并与其风险偏好相一致。企业整体目标的设立形成了一个组织风险偏好，即从高处展望董事会和管理层将接受多大的风险。•2001年，在母公司支持下，中航油以中国航油垄断采购的概念成功登陆新加坡市场。然而，中航油总裁陈久霖并不满足单纯的油品现货交易，在董事会不知情的情况下，擅自将企业战略目标移位于不合规的风险极大的投机性期货交易，这种目标设定的随意性，最终导致了中航油的毁灭性打击。3.通过事项识别区分机会与风险•一个组织必须识别影响其目标实现的内、外部事项,区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会,通过事项识别,能引导管理层战略或者目标始终能保持不被偏离。•2002年中航油新加坡公司的年报显示其当年的投机交易盈利,2003年下半年,中航油新加坡公司进入石油期权交易市场,到年底也赚了钱。事实上,这正是事项识别中的机会与风险问题。一、风险及风险管理（一）风险1.风险定义：是指影响组织目标实现的各种不确定性事件。◇包括：内部风险和外部风险2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）第一节风险管理审计概述风险管理基本流程包括以下主要工作：(一)收集风险管理初始信息；(二)进行风险评估；(三)制定风险管理策略；(四)提出和实施风险管理解决方案；(五)风险管理的监督与改进。•二、风险管理审计的含义风险管理审计是内部审计以风险为考虑核心，采用系统化、规范化的方法，通过对企业全面风险管理活动进行监督和评价，提出改进意见，来改善企业风险管理、增进企业价值的一种审计。第一节风险管理审计概述第一节风险管理审计概述目标设定风险识别风险分析风险应对风险管理过程制定战略目标确定业务层目标合理确定风险承受能力风险管理目标的设计过程：设定战略目标设定经营目标设定财务报告目标设定合规性目标设定资产安全目标确定企业整体风险承受能力可接受风险水平确定具体业务层次上的风险识别辨别风险分析风险风险识别一般采用定性分析方法，分两个阶段：现场调查法风险清单分析法财务状况分析法组织结构图分析法流程图法事故树法可行性研究风险评估活动是一个输入转化为输出的过程风险应对及其对策风险评估企业目标风险偏好风险可接受程度风险发生的原因•风险的重要性水平风险应对策略风险规避风险分担风险降低风险承受•三、风险管理审计的特征1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确第一节风险管理审计概述第二节企业风险管理审计•一、风险管理审计的目标•企业风险管理的总目标在考量成本——收益的基础上，风险成本的最小化，价值（收益的最大化）•企业风险管理审计的目标通过内部审计机构和人员对企业风险管理过程的了解，审查并评价其适当性和有效性，提出改进建议，促进企业目标的实现。•二、风险管理审计的内容（一）风险管理机制的审查和评价（二）风险识别的充分性以及有效性审查（三）风险评估方法的适当性以及有效性的审查（四）审查风险评估方法应当遵循的原则（五）审查和评价风险管理过程结果报告第二节企业风险管理审计•三、风险管理审计的方法1．研究与审阅信息资料2．检查公司政策、董事会和审计委员会的会议记录3．检查以前发表的风险评估报告4．与组织管理层讨论5．收集信息第二节企业风险管理审计•四、风险管理审计的程序第二节企业风险管理审计制定风险管理审计计划实施风险管理审计出具风险管理审计报告进行后续审计中心环节（1）确定后续审计项目（2）确定后续审计人员（3）开展具体的工作（4）出具后续审计报告第三节金融工具风险管理审计第三节金融工具风险管理审计•一、金融工具风险管理审计的对象金融工具风险管理审计的对象当然是各种不同的金融工具。按照金融工具持有目的的不同，可以将其分为经营工具和投融资工具两大类别。经营工具类金融工具主要指应用的应收应付账款类。投融资类金融工具按其是否存在活跃市场，可以再分为证券类和非证券类金融工具。•二、金融工具风险管理审计的目标金融工具风险管理审计的总体目标，是对被审计单位金融工具风险管理的全过程做出评价，并针对其重大缺陷提出改进建议。与金融工具相关的主要财务风险包括：（1）市场风险（2）信用风险（3）操作风险第三节金融工具风险管理审计法兴银行49亿欧元亏损案法兴诈骗案始末：一个人玩耍全世界•创建于拿破仑时代、经历了两次世界大战并最终成为法国商界支柱之一的法兴银行，一直以全球风险监控最出色著称。尤其在股权衍生品方面，该银行连续五年被《风险》杂志评为第一或第二。而全球知名的英国《银行家》杂志，更授予法兴银行2007年度股权衍生品最佳奖。法兴银行长期扮演世界衍生品交易的领导者角色，是全球另类投资领域最大的提供商，被金融界公认为防范风险的典范。•正由于长期形成的相当完善的内部风险监控体系，交易员凯维埃尔的欺诈行为其实早就有迹可寻。法兴诈骗案始末：一个人玩耍全世界•2008年1月下旬，一个毕业于法国三流商学院的年轻人，轻易绕过五重安全控制系统，躲过由2000多人组成的庞大监控队伍，挪用巨额资金在股指期货市场上赌博，最后输掉49亿欧元（约合71亿美元513亿元人民币），制造出全球银行业历史上最大规模的欺诈案。•2000年，23岁的凯维埃尔进入法国兴业银行。随后5年，他一直在银行内部不同的中台部门工作。所谓“中台部门”就是管理交易员的机构，这个工作机会让他得以深入了解法兴集团内部处理和风险控制的程序以及步骤。2005年，他成为银行风险套利部门的交易员。从此，凯维埃尔像蚂蚁一样，开始构筑他的“期货投机帝国”。•正是因为法国兴业银行具有享誉全球的风险控制系统，凯维埃尔的欺诈性交易在系统中触发了多达75次警报，但是大部分预警并没有按风险控制程序得到全面、准确、可信的查证，否则要绕过多达6重风险管理程序的监控几乎是不可能。•可能也正是因为法国兴业银行具有享誉全球的风险控制系统，所以当出现异常现象时，风险监控部门依然沉浸在过去风险控制优秀的辉煌历史中，未给予足够重视。•凯维埃尔最初从事后台监管工作，熟悉银行内部的风险管理程序。•法兴集团相关负责人说，在中台5年的工作经验被凯维埃尔派上了用场。“他利用自己在操作控制系统上积累的知识，躲避了控制系统的检查。”而这些控制系统正是用于审核交易员所完成的操作行为的真实性和有关特性。•凯维埃尔通过伪造公司账户（技术性交易对手），建立了庞大的多头仓位；利用同事的名字登录系统，掩盖自己的交易痕迹；利用虚假交易记录来掩盖仓位出现的亏损；利用内部交易确认的时间差逃避监控；利用交易开始日期延迟（起息日大大晚于交易日期）的时间取消交易；风险控制的手段和方法被其悉数掌控和利用。•这些都帮助凯维埃尔逃避了风险控制系统的有效监控，从而使得其欺诈性交易行为得以多次发生。1995年2月巴林银行案件尼克·李森1995年12月，里森在新加坡被判6年半监禁，不过服刑期一半时，因为患结肠癌于1999年获释。他还出版了自传《流氓交易员》（中文译名《我如何搞垮巴林银行》）并拍成电影。现在的里森依然衣着讲究，颇有明星交易员的派头。他说自己“现在生活的节奏放慢了，但却是高质量的生活”。他目前在一家足球俱乐部担任经理。捅破20亿美元窟窿摩根大通是下一个雷曼吗？•美国最大银行摩根大通因一名交易员的“押错赌注”导致巨亏20亿美元，市场预计其损失会进一步拉大，并担心其会否演化成“雷曼兄弟”倒闭事件，甚至会否引发美国的新一轮金融危机。•据外媒报道，亏损源于摩根大通旗下的首席投资办公室——绰号为“伦敦鲸”的交易员伊科西尔，重仓建立的大笔头寸。•三、市场风险量化评估审计在风险管理的各种方法中，VAR方法最为引人瞩目。所谓VAR（ValueatRisk）按字面的解释就是“处于风险状态的价值”，即在一定置信水平和一定持有期内，某一金融工具或其组合在未来资产价格波动下所面临的最大损失额。VAR的计算方法主要有以下四种方法：1．参数法（方差——协方差法）2．历史模拟法3．蒙特卡洛模拟方法4．情境分析第三节金融工具风险管理审计•三、市场风险量化评估审计审计人员的一般职责1.测试和审查所有内部市场风险模型，并确保审查工作得到了正确施行。2.评估了VAR模