内部审计具体准则第16号：风险管理审计.ppt

内部审计具体准那么第16号：风险管理审计•一、风险管理涵义•〔一〕风险•1、风险：是指影响组织目标实现的各种不确定性事件•2、 组织无法事先预知风险的程度、发生的概率等详细信息，但必须采取措施控制风险、管理风险，以促进组织目标的实现；〔二〕、风险管理 1、风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程风险管理旨在为组织目标的实现提供合理保证 2、风险管理是为了将风险控制在可接受的范围内；〔风险的可接受范围取决于组织对风险的态度〕 3、风险管理提供的保证只能是合理的保证，而不可能是绝对的保证二、制定风险管理准那么的目的和意义〔一〕目的1、是为了标准内部审计人员对组织内部控制中的风险管理状况进行审查与评价2、通过对风险管理的审查方法、评价标准等到进行标准，有助于内部审计人员提高风险管理审计的效率和效果，帮助组织建立并实施适当、有效的风险管理制度〔二〕意义1、有助于内部审计人员对组织风险管理状况作出评价并提出可行性建议2、系统反映了现代风险管理的全过程，对组织的风险管理起到借鉴作用。

三、风险管理与内部控制的关系•风险管理是组织内部控制的根本组成局部，内部审计人员对风险管理的审查和评价是内部控制审计的根本内容之一•内部控制五要素：控制环境、风险管理、控制活动、信息与沟通、监督四、组织管理层的 风险管理责任•1、组织管理层：负责确定可接受的风险范围可接受的风险范围，建立、健全风险管理机制并使之有效运行•2、组织管理层对待风险的态度直接决定了风险管理的程度•3、可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的五、内部审计人员在风险管理中的责任• 内部审计机构和人员应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议六、风险管理的三个阶段•〔一〕风险识别：根据组织目标、战略规划等识别所面临的风险•1、组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行•2、识别的风险可能会影响组织整体层，也可能仅影响单个职能部门〔二〕风险评估•即对已识别的风险，评估其发生的可能性及影响程度•1、风险评估针对两方面进行：〔必须同时进行评估〕•〔1〕风险发生的可能性；•〔2〕风险的影响程度。

•2、风险评估是做出恰当的风险应对决策的根本前提〔三〕风险应对•即采取应对措施，将风险控制在组织可接受的范围内•1、应对措施根据风险的严重程度有针对性地进行•〔1〕采取措施，降低风险；•〔2〕不采取措施，接受风险•2、采取应对措施应考虑本钱效益原那么七、风险管理的范围包括：组织整体及职能部门两个层面即内部审计人员既可对组织整体风险管理进行审查与评价，也可对部门风险管理进行审查与评价1、低层目标的实现是高层目标实现的根底2、不同层面的风险管理的责任在于不同的管理层八、风险识别的审查与评价• 实施必要的审计程序，重点关注组织面临的内、外部风险是否得到充分、适当确实认•1、询问管理层及相关人员：了解组织内、外部环境如经营目标、经营情况等•2、审核书面资料：关注风险管理的充分性•3、分析性复核：确认组织经营活动与内部控制中面临的重大差异与缺陷风险•4、将风险识别的过程与结果以书面材料形式详细记录与保存九、外部风险•1、是指外部环境中对组织目标的实现产生影响的不确定性•2、影响外部风险的主要因素：P69•十、内部风险•1、是指内部环境中对组织目标的实现产生影响的不确定性•2、影响因素：P69十一、风险评估的审查与评价•重点关注：•1、风险发生的可能性：影响组织目标实现的不确定性事件成为现实的可能性。

•〔可用定性如高中低或定量方式如%来表示〕•2、风险对组织目标的实现产生影响的严重程度：即该不确定性事件发生时对组织目标带来的影响程度•〔1〕定量：金额；〔2〕定性：后果严重、中等、不严重表示P288图表十二、风险评估方法的审查与评价•重点考虑以下因素：•1、已识别的风险的特征；•2、相关历史数据的充分性与可靠性；•3、管理层进行风险评估的技术能力；•4、本钱效益的考核与衡量•5、其他十三、评价风险评估方法的适当性和有效性应遵循原那么•1、定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性•2、在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法•3、定量方法一般情况下会比定性方法提供更为客观的评估结果十四、风险应对的审查与评价•〔一〕回避：采取措施防止进行可产生风险的活动•〔二〕接受：由于风险已在组织可接受的范围内，可不采取任何措施•〔三〕降低：采取适当措施将风险降低到组织可接受的范围内•〔四〕分担：采取措施将风险转移给其他组织或保险机构•通常：对1级风险——回避或降低；• 对2级或3级风险——降低或分担；• 对4级风险——接受十五、评价风险应对措施时应考虑的因素•1、采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内；•2、采取的风险应对措施是否适合本组织的经营、管理特点；•3、本钱的考核与衡量。

十六、风险管理审计报告•1、内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议•2、风险管理的审查和评价结果应反映在内部控制审计报告中，必要时应出具专项审计报告。