内部审计案例教程：内部审计在风险管理及公司治理中的作用.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,风险管理与公司治理审计,内部审计与公司治理,一、获得董事会对内部审计章程的批准,内部审计既是管理控制的组成部分，又是评价其他管理控制的手段,内部审计章程由内部审计部门起草，并经 董事会、审计委员会、相关治理机构和高级管理层批准或认可保证内部审计的独立性和地位使工作不受限也是评价内部审计质量的依据二、沟通审计业务计划,年度工作计划应报高级管理层审批，并报董事会备案若中期发生重大变化，应及时沟通,三、报告重大审计事项,首席审计执行官每年至少向高级管理层和董事会提交一次工作报告，这是定期的工作当出现重大审计事项时，应及时报告董事会，包括告知高级管理层的决定应在向董事会报告重大事项前，与高级管理层进行讨论若高级管理层决定不采取任何行动并承担由此产生的风险，应再次向董事会报告四、定期向董事会报告关键绩效指标,1.,确定衡量绩效的相关标准,2.,将绩效成果与已确定的标准相比较3.,评估绩效差距,Key performance indicators,KPIs,，可衡量：,(1),产出 （,2,）组织流程的特征（及时性，精确性）,（,3,）风险 （,4,）可持续指标或公司社会责任指标,五、讨论重大风险领域,六、支持董事会开展全面风险评估,1.,评价组织的风险。

2,、检查会议记录，确定机构对风险的承受能力3,、检查以前的风险评估报告4,、与管理层讨论降低风险和控制风险的活动5,、独立评估风险控制的有效性6,、评估“报告专线”的恰当性7,、评价管理层的风险自我评估8,、评估与风险管理相关的管理薄弱环节七、检查内部审计部门在组织内风险管理框架中的定位,风险管理是管理层的关键责任内审部门的协助工作不能超出正常的保证和咨询范围，即不负风险管理的责任1,、董事会应当负责制定战略目标2,、风险的所有权应当赋予高级管理层3,、剩余风险的接纳应当留给执行管理层4,、持续的识别、评估、减轻和监督活动应当交由运营层5,、内部审计部门应当定期评价并协助其他部门进行风险管理八、监督遵守公司行为规范和商业惯例情况,1,、组织是否建立了关于行为规范和商业惯例的道德规范2,、针对不同的员工，强调不同的重点3,、是否进行了相关讲座和培训4,、哪些合理措施保证员工遵守行为规范和商业惯例行为规范涉及：,利益冲突、保密、公平交易、恰当使用组织资产、礼品及酬金、遵守法律、规则及监督制度、报告违法及不道德行为九、报告控制框架的有效性,增值服务：,1,、参与信息披露控制和流程的初始设计。

2,、加入信息披露委员会3,、协调外部审计师和管理层的行动4,、独立地评价信息披露控制和流程评价的内容和范围：,评价的标准：,评价的程序：如在制定审计计划时，将控制过程列入检查和评价范围与管理层一起进行控制自我评价评价结果报告的接受对象：高级管理层和审计委员会,十、协助董事会评估外部审计师的独立性,十一、评估董事会的道德氛围,董事会为组织设立最高基调和监督所有治理活动评估董事会结构、目标和活性,评估董事会成员的职能,评估董事会的方针手册,评估董事会教育与培训,十二、评估组织的道德氛围,清晰易懂的道德规范,有影响力的领导,接受举报的机构,保护检举人的制度,鼓励良好道德的人事制度,定期检查损害道德氛围的偏见,内部审计应：,评价组织道德政策的健全性,检查人事政策,检查沟通机制,检查不良行为被调查、发现和报告的程序,十三、评估在特定领域遵守政策的情况,电子商务领域,环境、健康和安全风险,衍生产品,环境、健康和安全审计（,EHS,）程序采用面向遵循性的方法或面向管理系统的方法，或两者同时使用十四、评估组织向董事会报告的机制,管理层有责任向董事会报告，报告可以是定期的或非定期的评估是否建立了关于报告的书面政策。

报告机制是否充分有效十五、跟踪并报告管理层对法规监管机构检查结果的落实情况,对外部审计的结果与内部审计的结果进行跟踪和报告的做法是基本一致的，两者可同时进行将检查结果向负责采取纠正措施的管理层报告收集管理层对检查结果反应的最新信息,评价管理层对检查结果的反应向董事会或高级管理层报告被审计管理层对检查结果的反应十六、,跟踪并报告管理层对外部审计结果的落实情况,十七、评估业绩测评系统的充分性和整体目标的实现情况,信息搜集系统是最普遍的舞弊检查手段如举报热线舞弊控制机制包括：,1.,创设高标准道德规范的组织文化2.,评估舞弊防范流程与控制3.,建立一套恰当的监督机制,十八、支持树立舞弊防范意识，鼓励报告不正当的行为,风险管理内部审计,风险管理框架（,ERM,）,1.,内部环境：道德观、人员、管理者的经营理念及风险管理的态度和文化2.,目标设定：战略、营运、报道、合规,3.,事件识别：不确定性事件（风险还是机会）、横跨企业各部门或垂直贯穿某业务单位4.,风险评估：固有风险,/,剩余风险，概率和影响，单个或联系，定性和定量,风险管理框架（,ERM,）,5.,风险应对：避免、分散、控制、共享、转移、接受。

6.,控制活动：核准、授权、职务分离、撤销、确认、业绩审查、资产保护等7.,信息与沟通：内部沟通、外部沟通、横向沟通、上下沟通8.,监控：持续监督，单独评价,有效的风险管理的特征,1.,由管理层实施，并贯穿于日常决策始终并涵盖所有业务2.,打破各部门的分割，将各部门相互联系地考虑3.,强调分类进行4.,强调对薄弱环节的关注，尤其当这些风险可能导致组织的崩溃5.,考虑风险的联系和交互作用6.,风险管理应融入组织文化7.,不仅要注重规避风险，还要注重创造价值风险管理的技巧,避免,Avoid,控制,Control,转移,Transfer,分散,Diversity,共享,Share,接受,Accept,方法一：避免风险,Avoid,特点：,方法：,实例：,常规作业,可以控制,发生概率高,风险危害大,通过政策规定，规范业务行为,通过定期检查，避免重大风险,财务报销基本流程和规定,采购批准的审核权限,销售订单的审核标准,方法二：分散风险,Diversity,特点：,方法：,实例：,风险危害大,发生可能大,控制成本高,方法有限,分散防范措施,降低风险,企业多元化投资,经销商三选一,关键信息的备份,方法三：控制风险,Control,特点：,方法：,实例：,涉及资产金额巨大,与经营目标关系密切,可以控制,建立内控系统,外部,/,内部审计,建立作业流程,全面预算管理,大额采购的招标制度,固定资产的定期盘点,关键绩效定期报告,方法四：转移风险,Transfer,风险大,单方不可控制,损失成本过高,风险后果影响大,特点：,方法：,实例：,转移自身风险到第三方,减轻风险损失,买各类保险,防范天灾人祸,方法五：分担风险,Share,特点：,方法：,实例：,风险大,参与方交易规则明确,不可控制因素多,风险后果危害大，成本高,总包与分包合,信用证结算,贷款的担保制度,分工负责，规定义务,双,/,多方共同分担风险,方法六：接受风险,Accept,特点：,方法：,例：,清楚风险来源,发生可能性低,有预防措施,防范,接受风险,坐车；过马路,公司访客,开拓新市场,选择风险管理方法的标准,风险范围，金额大小,严重程度，影响大小,发生的可能性的高低,紧迫程度高低,可控,/,不可控,控制成本高低,可操作性,公司主营业务,风险管理方法（一）,风险矩阵图,不采取措施,确保规避或转移，优先安排防范措施,严格控制，,专门补充控制措施,严格控制，,专门补充控制措施,影响程度,风险概率,风险管理方法（二）,关键风险指标管理,1.,确定量化关键的风险成因，,2.,分析确定导致风险事件发生时的具体数值，,3.,以该具体数值为基础，再加上或减去一定数值，即为关键风险指标。

4.,跟踪监测关键成因数值的变化，一旦达到关键风险指标，就发出预警例如：某容器泄露的主要原因为使用时期长若,50,年为最高限，则,45,年为关键风险指标风险管理方法（三）,压力测试,1.,针对某风险管理模型或内控流程，假设可能发生的极端情景发生概率小，但一旦发生，后果十分严重，还应考虑历史上从未发生过的极端情形2.,评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失3.,制定相应措施，进一步修改和完善风险管理模型或内控流程例如：火灾、被盗、巨大的业务流量案例：沃尔玛的风险管理,1,、专门成立风险管理委员会，将日常风险监控与风险战略规划有机结合审计委员会负责监督2,、风险管理过程模式包括风险识别、风险应对、行动计划、绩效评估、股东价值3,、组成跨部门的专家小组，进行全面调查，由风险管理委员会对数据进行汇总分析，形成风险识别报告发现：当前最可能发生的重要风险来自于“人力资源、国际增加的协调、网络基础建设”案例：沃尔玛的风险管理,4,、制定风险应对方案选型风险点的负责人和分组，进行分工，明确各自职责，并确定最后完成时间和评估标准5,、工作绩效评估重点在于,:,工作的结果、实际完成情况、今后的发展。

动态评估，通过监测、评估和报告完成，最后用评估打分表反映6,、股东价值分析在于将风险事件与股东的投资收益、股价等进行对比，计算应对措施对股东的投资收益、股价的贡献需要复杂计算，由计算机完成内部审计在风险管理中的作用,内部审计的风险管理职责既要考虑组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等内部审计与组织的风险管理成熟度,无意识 零碎的 有管理的 系统化的 擅长应对风险,是否遵守 是否整合了 做的事情 是否在做,了相关法规 管理信息 是否正确 正确的事情,风险管理不太成熟：咨询业务，关注风险管理的架构和方法，以及基本风险的控制，为管理层献计献策,风险管理较成熟：确认业务，促进改善风险管理,介于之间：评估组织的最佳实务和应变措施，优化风险管理实务内部审计与风险影响程度和概率,1.,影响大，内控较薄弱：咨询业务，为内控设计提供帮组，跟踪纠正措施的进展2.,影响大，内控漏洞小：确认业务，在准备阶段获取对合理性的确认获取对效果性的保证，识别提高效率的方法3.,影响小，内控较薄弱：评估积累的影响和发生频率4.,影响小，内控漏洞小：重新分配资源内控漏洞,风险影响,影响大，内控漏洞小，确认,影响大，内控薄弱，咨询,影响小，内控漏洞小，重新部署,影响小，内控薄弱，累计影响,内审对风险管理的审查,一、风险识别过程的审查和评价,1.,风险识别的方法：环境分析法、财务报表分析法、流程图法、幕景分析法、决策分析法、动态分析法、实地勘察法、文件检查法、专家调查法、分解分析法。

2.,风险识别过程的审查和评价：询问、观察、实地调查、审核文件、分析性复核3.,区分内部风险、外部风险4.,第一次进行风险识别需花费较多时间和较大成本，应形成完善的书面资料后续风险评价只需根据变化的情况适当调整内审对风险管理的审查,二、风险评估过程的审查和评价,1.,（,1,）风险损失频率：考虑风险暴露数、损失形态、危险事故2,）风险损失程度：考虑风险暴露数、损失形态、损失的时间和金额3,）风险矩阵2.,定量和定性：定量方法有专家打分法、层次分析法、风险暴露计算模型、风险价值法3.,对风险评估过程的审查和评价应考虑：,（,1,）已识别风险的特征,（,2,）相关历史数据的充分性和可靠性,（,3,）管理层进行风险评估的技术能力,（,4,）成本效益的考核与衡量,内审对风险管理的审查,三、风险应对措施的审查与评价,应考虑：,1.,采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内2.,采取的风险措施是否适合本组织的经营、管理特点3.,成本效益的考核与衡量。