月河北風險管理審計講座發(fā)送_第1頁
月河北風險管理審計講座發(fā)送_第2頁
月河北風險管理審計講座發(fā)送_第3頁
月河北風險管理審計講座發(fā)送_第4頁
月河北風險管理審計講座發(fā)送_第5頁
已閱讀5頁,還剩79頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty內(nèi)部控制與風險管理審計趙珊博士國際內(nèi)部審計師南京審計大學副教授中國內(nèi)部審計發(fā)展研究中心南京審計大學內(nèi)部審計系2016年12月主要內(nèi)容內(nèi)部控制與全面風險管理內(nèi)部審計作用的發(fā)揮風險管理審計的界定內(nèi)部控制和風險管理審計實施內(nèi)部控制、風險管理審計案例內(nèi)部控制與全面風險管理舞弊壓力機會借口內(nèi)部控制的緣起——LarrySawyer——W.SteveAlbrecht壓力要素是舞弊者的行為動機,壓力的具體形式有所差異職務(wù)舞弊者必須權(quán)衡利弊,進行心理平衡過程,使職務(wù)舞弊行為與其本人的道德觀念、行為準則相吻合機會是指可進行舞弊而又能掩蓋起來不被發(fā)現(xiàn)或能僥幸逃避懲罰的時機或情形80至90年代內(nèi)部控制的演化發(fā)展業(yè)務(wù)本身日益復雜控制手段日益豐富內(nèi)部牽制內(nèi)部控制制度內(nèi)部控制結(jié)構(gòu)內(nèi)部控制整合架構(gòu)風險管理整合框架20世紀初期以前20世紀30-70年代90年代以來2004年以來SOXACT200120022003CombinedCodeHIH保險公司One.Tel安然薩班斯-奧克斯利法案世通

Qwest

CodeofCorporateGovernance國際內(nèi)部控制的發(fā)展與最新趨勢200420052006公司治理守則第9號法案審計改革和公司信息披露法案

企業(yè)管治常規(guī)守則內(nèi)部控制規(guī)范2007FinancialInstrumentsandExchangeLaw我國內(nèi)部控制的發(fā)展過程內(nèi)部牽制階段會計控制階段全面控制階段

123(一)第一階段是內(nèi)部牽制。這一時期計劃經(jīng)濟占主導地位,二十世紀七十年代末至八十年代,內(nèi)部牽制更加受到重視。1、1978年9月12日,國務(wù)院頒布《會計人員職權(quán)條例》。2、1984年4月24日,財政部發(fā)布《會計人員工作規(guī)則》。3、1985年1月21日,第六屆全國人民代表大會常務(wù)委員會第九次會議通過《中華人民共和國會計法》,重申了會計崗位責任制的要求。我國內(nèi)部控制的發(fā)展過程二、會計控制階段:

1、1996年6月17日,財政部發(fā)布《會計基礎(chǔ)工作規(guī)范》,要求各單位進一步建立健全包括但不限于內(nèi)部牽制制度的內(nèi)部會計管理制度。2、1999年修訂的《會計法》,第一次以法律的形式對建立健全內(nèi)部控制提出原則要求。3、財政部隨后制定發(fā)布了《內(nèi)部會計控制規(guī)范——基本規(guī)范(試行)》和《內(nèi)部會計控制規(guī)范——貨幣資金(試行)》等7項內(nèi)部會計控制規(guī)范,要求單位加強內(nèi)部會計及與會計相關(guān)的控制,形成完善的內(nèi)部牽制和監(jiān)督制約機制,以堵塞漏洞、消除隱患,保護財產(chǎn)安全,防止舞弊行為,促進經(jīng)濟活動健康發(fā)展。我國內(nèi)部控制的發(fā)展過程三、全面控制階段:

進入21世紀,隨著世界范圍的企業(yè)合并、資本國際化、貿(mào)易壁壘的逐漸消失和金融市場的一體化,內(nèi)部控制日益成為一個世界性話題,單純依賴會計控制已難以應(yīng)對企業(yè)面對的市場風險,會計控制必須向全面控制發(fā)展。企業(yè)需要站在發(fā)展全局的角度,全方位加強內(nèi)部控制制度體系建設(shè),為深化企業(yè)改革、加強經(jīng)營管理、提高企業(yè)抗風險能力和可持續(xù)發(fā)展能力提供技術(shù)支持。

我國內(nèi)部控制的發(fā)展過程中國國內(nèi)內(nèi)部部控控制制的的發(fā)發(fā)展展2006(財政政部部)企業(yè)業(yè)內(nèi)內(nèi)部部控控制制鑒鑒證證指指引引企業(yè)業(yè)內(nèi)內(nèi)部部控控制制評評價價指指引引企業(yè)業(yè)內(nèi)內(nèi)部部控控制制應(yīng)應(yīng)用用指指引引(征求求意意見見稿稿)(上交交所所/深交交所所)內(nèi)部部控控制制指指引引(國資資委委中央企業(yè)全面風險管理指引2007(財政政部部)企業(yè)業(yè)內(nèi)內(nèi)部部控控制制規(guī)規(guī)范范-基本本規(guī)規(guī)范范(征求求意意見見稿稿)2008(財政政部部)企業(yè)業(yè)內(nèi)部部控控制制基基本本規(guī)規(guī)范范(保保監(jiān)監(jiān)會會))壽險險公公司司內(nèi)內(nèi)部部控控制制評評價價辦辦法法((試試行行))保險險公公司司內(nèi)部部審審計計指指引引((試試行行))保險險公公司司風險險管管理理指指引引((試試行行))(證監(jiān)監(jiān)會會))上市市公公司司信信息息披披露露管管理理辦辦法法(銀銀監(jiān)監(jiān)會會))銀行行業(yè)業(yè)金融融機機構(gòu)構(gòu)信信息息系系統(tǒng)統(tǒng)風風險險管管理理的的指指引引(銀銀監(jiān)監(jiān)會會))商業(yè)業(yè)銀銀行行內(nèi)內(nèi)部部控控制制指指引引(銀銀監(jiān)監(jiān)會會)商業(yè)業(yè)銀銀行行合合規(guī)規(guī)風風險險管管理理指指引引(證證監(jiān)監(jiān)會會))證券券公公司司風風險險控控制制指指標標管管理理辦辦法法(證證監(jiān)監(jiān)會會))證券券公公司司合合規(guī)規(guī)管管理理試試行行規(guī)規(guī)定定(證證監(jiān)監(jiān)會會))證券券公公司司監(jiān)監(jiān)督督管管理理條條例例(銀銀監(jiān)監(jiān)會會))商業(yè)銀銀行操操作風風險管管理指指引我國內(nèi)內(nèi)部控控制的的發(fā)展展過程程2008年6月,財財政部部會同同證監(jiān)監(jiān)會、、審計計署、、銀監(jiān)監(jiān)會、、保監(jiān)監(jiān)會五五部委委發(fā)布布《企業(yè)內(nèi)內(nèi)部控控制基基本規(guī)規(guī)范》(簡稱稱《基本規(guī)規(guī)范》)2010年4月《企業(yè)內(nèi)內(nèi)部控控制配配套指指引》發(fā)布。。具體體包括括《企業(yè)內(nèi)內(nèi)部控控制應(yīng)應(yīng)用指指引》、《企業(yè)內(nèi)內(nèi)部控控制評評價指指引》、《企業(yè)內(nèi)內(nèi)部控控制審審計指指引》2011年1月1日起在在境內(nèi)內(nèi)外同同時上上市的的公司司范圍圍內(nèi)施施行,,2012年1月1日起擴擴大到到上證證、深深證主主板上上市的的公司司。鼓鼓勵非非上市市的大大中型型企業(yè)業(yè)執(zhí)行行。執(zhí)執(zhí)行本本規(guī)范范的上上市公公司,,應(yīng)當當對本本公司司內(nèi)部部控制制的有有效性性進行行自我我評價價,披披露年年度自自我評評價報報告,,并可可聘請請具有有證券券、期期貨業(yè)業(yè)務(wù)資資格的的會計計師事事務(wù)所所內(nèi)部部控制制的有有效性性進行行審計計——中國企企業(yè)內(nèi)內(nèi)部控控制規(guī)規(guī)范體體系內(nèi)部控控制基基本規(guī)規(guī)范及及配套套指引引13確保被被識別別出規(guī)規(guī)避風風險的的控制制措施施可以以及時時有效效得到到實施施的政政策和和程序序確認內(nèi)內(nèi)部控控制是是否進進行充充分的的設(shè)計計和執(zhí)執(zhí)行,,以及及是否否具備備有效效性和和適應(yīng)應(yīng)性。。對于影影響公公司目目標實實現(xiàn)的的內(nèi)部部及外外部因因素的的評估估確保相相關(guān)信信息被被及時時識別別及傳傳遞的的過程程公司對對于內(nèi)內(nèi)部控控制的的基本本態(tài)度度-”來自上上層的的基調(diào)調(diào)”戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產(chǎn)安全內(nèi)部環(huán)境公司層面業(yè)務(wù)單元子公司風險評估控制活動信息與溝通內(nèi)部監(jiān)督《企業(yè)內(nèi)內(nèi)部控控制基基本規(guī)規(guī)范》框架《企業(yè)內(nèi)內(nèi)部控控制配配套指指引》構(gòu)成時間機構(gòu)標準1999/2004年澳大利亞和新西蘭AS/NZ43601999風險管理準則2004年COSO企業(yè)風險管理-整合框架1988/2004年BCBS巴賽爾協(xié)議||2005年香港會計師工會內(nèi)部控制與風險管理的基本架構(gòu)2008年歐洲委員會償付能力||2009年ISOISO31000風險管理2002年NISTNISTSP800-37風險管理框架1996年以來ISACACOBIT、ValIT、RiskIT國外主要風風險管管理標準1931年至20世紀80年代末末90年代初初20世紀90年代以以來風險管管理的的演化化發(fā)展展基于保保險和和財務(wù)務(wù)層面面的風風險管管理階階段基于整整體層層面的的風險險管理風險本身身日益復復雜風險管理理手段日日益豐富富2004年9月月,COSO正正式頒布布《企業(yè)業(yè)風險管管理———整體框框架》,,包含4大目標標(戰(zhàn)略略、經(jīng)營營、報告告和合規(guī)規(guī)目標))、8個個相互關(guān)關(guān)聯(lián)的要要素(內(nèi)內(nèi)部環(huán)境境、目標標設(shè)定、、事項識識別、風風險評估估、風險險應(yīng)對、、控制活活動、信信息與溝溝通、監(jiān)監(jiān)控)和和應(yīng)用的的企業(yè)及及單位((公司層國外主要要風險管管理標準準:COSO-ERM企業(yè)風險險管理框框架監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1監(jiān)督信息和溝通控制活動風險評估控制環(huán)境營運財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1內(nèi)控控制制框架b.組織過程程——一體化部部分c.決策制定定的一部部分a.創(chuàng)造價值值d.明確地解解決不確確定性風險管理理原則、、框架和和過程之之間的關(guān)關(guān)系j.動態(tài)、循循環(huán)和響響應(yīng)變化化管理風險險的原則則(第三組組)管理風險險的框架架(第四組組)管理風險險的過程程(第五組組)e.系統(tǒng)的,,結(jié)構(gòu)化化的和及及時的f.基于可能得到到的最佳資料料g.因地制宜h.將人和文化因因素考慮在內(nèi)內(nèi)i.透明和包容k.推進組織的持持續(xù)改進和改改善指令和承諾(4.2)管理風險的框框架設(shè)計(4.3)框架的監(jiān)控和和審查(4.4)部署風險管理理(4.4)框架的持續(xù)改改善(4.6)建立語境(5.3)風險識別()風險分析()風險評價()風險處理(5.5)風險管理(5.4)溝通和咨詢((5.2)對照和復核((5.6)時間機構(gòu)標準2005年銀監(jiān)會商業(yè)銀行市場風險管理指引2006年國資委中央企業(yè)全面風險管理指引2006年銀監(jiān)會商業(yè)銀行合規(guī)風險管理指引2007年銀監(jiān)會商業(yè)銀行操作風險管理指引2007年保監(jiān)會保險公司風險管理指引2009年銀監(jiān)會商業(yè)銀行流動風險管理指引2009年銀監(jiān)會商業(yè)銀行聲譽風險管理指引2009年銀監(jiān)會商業(yè)銀行信息科技風險管理指引2010年保監(jiān)會人身保險公司全面風險管理實施指引國內(nèi)主要風險險管理規(guī)定國資委—中央央企業(yè)全面風風險管理指引引目前對風險管管理與內(nèi)控認認識存在的誤誤區(qū)把內(nèi)部控制與與全面風險管管理體系的建設(shè)設(shè)理解為建章章立制。內(nèi)部控制體系系和全面風險險管理體系是相相互獨立的。。內(nèi)部控制和全全面風險管理理的作用被夸大大。內(nèi)部控制與全全面風險管理理理念在企業(yè)實實踐落地難。。誤區(qū)?內(nèi)置于企業(yè)日日常管理過程程中,是一種常規(guī)運行行的機制。?整合建設(shè),但但根據(jù)企業(yè)特特點各有側(cè)重。?無論多么先進進的內(nèi)部控制制和風險管理理體體系系都都只只能能為為企企業(yè)業(yè)相相關(guān)關(guān)目目標標的實實現(xiàn)現(xiàn)提提供供合合理理的的而而非非絕絕對對的的保保證。。?新事事物物的的導導入入有有個個過過程程,,要認認清清風險險管管理理成成熟熟度度。正解解????22理論論界界對對內(nèi)內(nèi)部部控控制制與與風風險險管管理理的的關(guān)關(guān)系系有有兩兩種種觀觀點點::觀點點1::認認為為風風險險管管理理是是內(nèi)內(nèi)部部控控制制的的組組成成部部分分觀點點2::認認為為內(nèi)內(nèi)部部控控制制是是風風險險管管理理的的組組成成部部分分23風險險管管理理與與內(nèi)部控制的的關(guān)系我們的看法法是:如果以風險險作為管理理的起點,,則內(nèi)部控控制是風險險的應(yīng)對,,可以理解解為控制屬屬于風險管管理的實現(xiàn)現(xiàn)工具,因因此控制包含于于風險管理理;如果認為企企業(yè)管理的的實質(zhì)是控控制,風險險管理只是是在資源有有限性和對對象復雜性性矛盾下的的平衡和導導向,那么么風險管理可可以作為控控制系統(tǒng)的的一部分;從組織結(jié)構(gòu)構(gòu)來看,內(nèi)內(nèi)部控制和和風險管理理相應(yīng)的組組織結(jié)構(gòu)是是完全一致致的,說明明二者都應(yīng)應(yīng)該無縫整整合到一定定的組織結(jié)結(jié)構(gòu)中,和和其他有關(guān)關(guān)的業(yè)務(wù)和和職能管理理共同服務(wù)于于企業(yè)管理理。風險管理與與內(nèi)部控制的的關(guān)系?風險管管理:做正正確的事?風險管理解解決的不僅僅是流程問問題,更是是要解決戰(zhàn)戰(zhàn)略決策問問題、應(yīng)急急處理問題題;不僅要解決決當前的問問題,更要要預測和應(yīng)應(yīng)對將來可可能發(fā)生的的問題;不不但要解決決“正確地地做事”,,關(guān)鍵是還還要解決““做正確的的事”?風險管理更更偏向于前前端,對影影響目標實實現(xiàn)的因素素的分析、、評估與應(yīng)應(yīng)對,防止止重大決策策失誤,防防止出現(xiàn)重重大危機問問題。?內(nèi)控控:正確確的做事事?內(nèi)控解決決的是流流程問題題,包括括業(yè)務(wù)流流程、管管理流程程中的風風險控制制,解決決的是““正確地地做事””。?內(nèi)部控制制更加重重視實施施,嵌入入到企業(yè)業(yè)各業(yè)務(wù)務(wù)流程的的具體業(yè)業(yè)務(wù)活動動中,融融合在企企業(yè)的各各項規(guī)章章制度之之中,使使企業(yè)在在正常運運營過程程中自發(fā)發(fā)地防止止錯誤,,確保合合規(guī)和真真實,從從而合理理保證目目標的實實現(xiàn)。風險管理理與內(nèi)部控制制的關(guān)系系風險管理理與內(nèi)部部控制整整合實施施運作機機制5-內(nèi)部控制審計12-遵循性審計16-風險管理審計21-內(nèi)部審計的控制自我評估法2201內(nèi)部控制審計《內(nèi)部控制制基本規(guī)規(guī)范》及配套指指引舊準則新準則新舊內(nèi)部部審計準準則結(jié)構(gòu)構(gòu)的調(diào)整整內(nèi)部審計計作用的的發(fā)揮內(nèi)部審計計客體內(nèi)部審計,是是一種獨立、、客觀的確認認和咨詢活動動,它通過運運用系統(tǒng)、規(guī)規(guī)范的方法,,審查和評價價組織的業(yè)務(wù)務(wù)活動、內(nèi)部部控制和風險險管理的適當當性和有效性性,以促進組組織完善治理理、增加價值值和實現(xiàn)目標標。--CIIAIIA最近發(fā)布的調(diào)調(diào)查報告將內(nèi)內(nèi)部審計職能能涉及到的活活動分為三大大類25項:內(nèi)部控制活動動(14項)風險管理活動動(5項)公司治理活動動(6項)內(nèi)部審計客體體內(nèi)部控制活動風險管理活動公司治理活動合規(guī)性審計企業(yè)生存能力(持續(xù)經(jīng)營)評價公司治理評價控制系統(tǒng)的有效性評價風險管理程序?qū)徲嫳M責調(diào)查經(jīng)營審計財務(wù)風險審計道德審計項目管理審計信息風險審計戰(zhàn)略和組織績效的關(guān)系評價安全評價和調(diào)查信息系統(tǒng)風險審計薪酬評級災難恢復測試和支持社會和可持續(xù)(社會責任、環(huán)境)審計舞弊和不合規(guī)調(diào)查質(zhì)量審計外部審計協(xié)助管理審計組織人員的風險、控制、合規(guī)調(diào)查外包業(yè)務(wù)審計與國際財務(wù)報告標準的接軌可擴展商業(yè)報告語言的使用內(nèi)部審計在風風險管理中作作用的發(fā)揮內(nèi)部審計的風風險管理職責責要考慮:組組織規(guī)模、成成熟程度、風風險管理狀況況、風險影響響程度及概率率、組織文化化、立場公告告等。內(nèi)部審計與組組織的風險管管理成熟度無意識、零碎碎的有有管理的系系統(tǒng)化的擅擅長應(yīng)應(yīng)對風險是否遵守是是否整合合了做做的事情情是是否否在做了相關(guān)法規(guī)管管理信息是是否正確確正正確確的事情風險管理不太太成熟:咨詢詢業(yè)務(wù),關(guān)注注風險管理的的架構(gòu)和方法法,以及基本本風險的控制制,為管理層層獻計獻策風險管理較成成熟:確認業(yè)業(yè)務(wù),促進改改善風險管理理介于之間:評評估組織的最最佳實務(wù)和應(yīng)應(yīng)變措施,優(yōu)優(yōu)化風險管理理實務(wù)。與企業(yè)風險管管理相關(guān)的內(nèi)內(nèi)部審計核心心作用需要安全保障障的內(nèi)部審計計作用內(nèi)部審計不應(yīng)應(yīng)當發(fā)生的作作用為風險管理過過程提供確認認為風險管理評評估的準確性性提供確認評價風險管理理過程評價對主要風風險的報告檢查主要風險險的管理推動風險的識識別與評估指導管理層如如何應(yīng)對風險險協(xié)調(diào)企業(yè)全面面風險管理工工作合并風險管理理報告維護和發(fā)展風風險管理框架架倡導企業(yè)風險險管理的建立立確定風險偏好好強制實施風險險管理過程管理層對風險險的確認決定風險應(yīng)對對以管理層的名名義實施風險險應(yīng)對問責風險管理理風險管理審計計的界定風險管理審計計的概念和內(nèi)內(nèi)涵風險管理審計計是根據(jù)企業(yè)全全面風險管理理的目標和政政策,采用系風險管理審計計的概念和內(nèi)內(nèi)涵1.風險險管管理理審審計計目目標標是建建立立在在確確定定企企業(yè)業(yè)基基本本經(jīng)經(jīng)營營目目標標、、風風險險、、績績效效指指標標和和風風險險承承受受能能力力的的基基礎(chǔ)礎(chǔ)上上,,評評價價企企業(yè)業(yè)風風險險管管理理的的整整體體框框架架、、過過程程、、對對策策或或措措施施及及其其活活動動效效果果,,驗驗證證企企業(yè)業(yè)風風險險的的治治理理水水平平,,并并提提出出改改進進措措施施,,以以保保障障風風險險管管理理目目標標的的實實現(xiàn)現(xiàn),,最最終終支支持持和和保保障障總總體體戰(zhàn)戰(zhàn)略略目目標標的的實實現(xiàn)現(xiàn)。。2.企業(yè)風風險管管理審審計對對象是風險險管理理事項項,如如企業(yè)業(yè)整體體、區(qū)區(qū)域、、業(yè)務(wù)務(wù)、職職能領(lǐng)領(lǐng)域、、項目目、過3.風險管理審計職能體現(xiàn)在評價、監(jiān)督、鑒證和咨詢上。風險管管理審審計的的概念念和內(nèi)內(nèi)涵4.風險管管理審審計重重心在在于識識別目目前風風險管管理有有效性性水平平與期期望水水平之之間的的差距距,以以評價價和改改進風風險管管理有有效性性。如何評評價企企業(yè)風風險管管理的的有效效性?(1)依照COSO-ERM框架,,一方方面,,核驗驗戰(zhàn)略略、經(jīng)經(jīng)營、、報告告和合合規(guī)四四大目目標確確實存存在,,并且且針對對這些些目標標的管管理都都是有有效的的。(2)依照ISO-31000框架,,核驗驗企業(yè)業(yè)風險險管理理過程程中針針對每每個關(guān)關(guān)鍵的的風險險環(huán)節(jié)節(jié)實施施的風風險管管理是是存在在和合合理的的,且且正常常運行行。(3)對照特別制制定的風險險管理框架架和要求衡衡量企業(yè)風風險管理的的有效性。。如內(nèi)控測測試狀態(tài)良良好,機制制對風險反反應(yīng)迅速,,企業(yè)對風風險的預測測能力正在在逐漸提高高,事故發(fā)發(fā)生率降低低和損失明明顯減少,,社會責任任形象提升升等。風險管理審審計的演進進風險管理審審計的演進進風險管理審審計的分類類1、一般風險險管理審計計這類審計主主要目的是是識別/確認被審事事項的關(guān)鍵鍵業(yè)績影響響因素和評評價相應(yīng)的的風險管理理效率和效效力,可細細分類為::⑴針對企業(yè)業(yè)各管理層層級的風險險管理審計計⑵針對企業(yè)業(yè)職能領(lǐng)域域或特定關(guān)關(guān)鍵風險的的風險管理理審計⑶針對項目目的風險管管理審計⑷針對各類類活動的風風險管理審審計⑸針對產(chǎn)品品或服務(wù)的的風險管理理審計⑹針對過程程或操作的的風險管理理審計2、風險管理理要素審計計風險管理要要素審計是是針對企業(yè)業(yè)風險管理理政策、方方法、措施施、手段等等要素實施施的審計。。風險管理審審計與其他他審計的關(guān)關(guān)系風險管理審審計與其他他審計的關(guān)關(guān)系風險管理審審計實施風險管理審審計流程確定審計域域/全組織范圍圍風險評估估全組織范圍圍確認項目目/制定審計計計劃方案審計準備階階段審計實施階階段評價/測試控制設(shè)設(shè)計和其他他風險管理理技術(shù)審計取證結(jié)結(jié)果評價審計發(fā)現(xiàn)和和審計報告告后續(xù)審計溝通協(xié)調(diào)實施的具體體工作確定風險域域全組織范圍圍風險評估估全組織范圍圍確認項目目制定風險管管理審計計計劃評價控制的的設(shè)計和其其他風險管管理技術(shù)測試控制和和其他風險險管理技術(shù)術(shù)的有效性性審計取證結(jié)結(jié)果的評價價后續(xù)審計確定風險域域1、嘎吱車輪輪法(強制性包含含領(lǐng)域)。由董事會會、管理當當局、國際際組織、國國家法規(guī)、、外部審計計、等發(fā)現(xiàn)現(xiàn)或要求,,急需關(guān)注注和處理的的問題。2、應(yīng)被審計計者的要求求。被審計計者自行提提出的要求求。3、系統(tǒng)確認認法。組織結(jié)構(gòu)圖圖或成本中中心報告企業(yè)流程或或項目與管理層確確定的風險險域相協(xié)調(diào)調(diào)與其他確認認提供者相相協(xié)調(diào)一、確定風風險域的方方法確定風險域域二、確定風風險域應(yīng)系系統(tǒng)考慮因因素①上一次審審計的日期期和結(jié)果。。②涉及的金金額。③潛在的損損失和風險險。④管理層的的要求。⑤經(jīng)營方案案、制度和和控制的重重大變化。。⑥審計人員員的變動及及能力。確定風險域域三、風險域域集中的領(lǐng)領(lǐng)域—對業(yè)績有重重要影響的的事項;—存在潛在危危機,須使使受損程度度減至最低低的事項;;—高級管理者者及全公司司關(guān)心的審審計主題;;—與不合算的的交易,無無效業(yè)務(wù)的的發(fā)現(xiàn)與改改善的有關(guān)關(guān)事項;—與交易,業(yè)業(yè)務(wù)的改進進及對策有有關(guān)的事項項;—經(jīng)營層和管管理層關(guān)心心的審計主主題;—管理部門中中不易發(fā)覺覺的事項;;—前次次審審計計中中未未列列作作審審計計對對象象的的事事項項;;—新的的業(yè)業(yè)務(wù)務(wù)領(lǐng)領(lǐng)域域或或新新項項目目風風險險管管理理審審計計;;—突發(fā)發(fā)事事件件審審計計;;—年度度性性針針對對企企業(yè)業(yè)戰(zhàn)戰(zhàn)略略、、經(jīng)經(jīng)營營操操作作、、財財務(wù)務(wù)和和聲聲譽譽綜綜合合風風險險管管理理領(lǐng)領(lǐng)域域?qū)弻徲嬘?;;—針對企業(yè)整體體層面風險管管理框架和政政策合理性或或針對風險管管理過程有效效性審計。全組織范圍風風險評估1、加權(quán)風險因因素法審計部門經(jīng)過過風險分析,,對風險程度度根據(jù)重要性性原則排出審審計的優(yōu)先順順序。審計項項目的安排以以風險評價為為基礎(chǔ),優(yōu)先先審計風險高高的被審計單單位,再審計計風險低的。。其基本的步步驟如下:①選擇5種(或者根據(jù)據(jù)審計任務(wù)范范疇或特征具具體確定被審審數(shù)量)對公公司來講最重重要的被審風風險因素對象象;②給每個被審審計對象風險險因素逐個打打分,其評分分范圍為1-5分(5表示風險最大大,1表示風險最小小,3表示風險中等等或未知風險險);③加總各個被被審計對象的的分數(shù)得出風風險值(最高高分值為25分,意意味著著每個個風險險因素素都是是5分;最最低分分值5分,,說說明明每每個個風風險險因因素素的的得得分分都都是是1分))④按按風風險險值值的的高高低低分分配配審審計計資資源源。。一、、內(nèi)內(nèi)部部審審計計師師常常用用的的風風險險評評估估方方法法全組組織織范范圍圍風風險險評評估估2、管管理理層層訪訪談?wù)?問卷卷調(diào)調(diào)查查訪談?wù)勈故箖?nèi)內(nèi)部部審審計計部部門門了了解解組組織織的的價價值值主主張張并并且且使使工工作作更更具具有有戰(zhàn)戰(zhàn)略略性性。。訪談提綱綱可以包包括:一、內(nèi)部部審計師師常用的的風險評評估方法法關(guān)鍵控制目目標資料的可靠靠與完整對于法律、、政策、程程序的合規(guī)規(guī)資產(chǎn)保護節(jié)約、效率率和效果….關(guān)鍵管理流流程運行目標戰(zhàn)略結(jié)構(gòu)人力資源管管理信息系統(tǒng)….關(guān)鍵風險固有風險已進行的風風險評估基于影響和和可能性的的重大風險險管理風險的的現(xiàn)行措施施,包括關(guān)關(guān)鍵控制….全組織范圍圍風險評估估3、風險評估估專題討論論會收集和整理理選定級別別的答題,,并采用保保密投票技技術(shù)和數(shù)據(jù)據(jù)投影儀將將其用圖表表形式呈現(xiàn)現(xiàn)出來。議程可以包包括:一、內(nèi)部審審計師常用用的風險評評估方法目的和結(jié)果果的簡單說說明基本規(guī)則組織戰(zhàn)略目目標的討論論與認可啟發(fā)、診斷斷式的問題題采用的風險險類型篩選、歸納納風險風險的可能能性和影響響重大性的討討論風險矩陣記記錄討論后續(xù)步步驟….全組織范圍圍確認項目目1、有些在組組織層面運運行的控制制為整個組組織提供保保證—與控制環(huán)境境有關(guān)的控控制;—信息技術(shù)一一般控制;;2、有些業(yè)務(wù)務(wù)層面的控控制在整個個組織范疇疇內(nèi)更便于于理解和評評價—不同單元、、流程或項項目的薪酬酬不同;3、有些風險險在組織和和業(yè)務(wù)兩個個層面都管管理,并且且可以在一一次全組織織范圍審核核中同時在在兩個層面面評價—與職業(yè)道德德和合規(guī)相相關(guān)的政策策和培訓;;—人力資源和和其他共享享服務(wù);一、全組織織范圍確定定項目的目目的全組織范圍圍確認項目目1、組織中與與審計主題題相關(guān)的政政策;2、治理文件件;3、公認的風風險和控制制模型ERM、ISO310004、權(quán)威性準準則可能與與審計業(yè)務(wù)務(wù)的主題相相關(guān);—信息及相關(guān)關(guān)技術(shù)控制制目標COBIT—質(zhì)量管理體體系ISO10006—法律或監(jiān)管管要求5、最佳實務(wù)務(wù)報告—審計委員會會的有效性性IIARF二、組織范范圍確定項項目的標準準全組織范圍圍確認項目目“內(nèi)部審計計部門必須須針對組織織內(nèi)與職業(yè)業(yè)道德相關(guān)關(guān)的目標、、計劃和業(yè)業(yè)務(wù)評估其其設(shè)計、實實施和效果果”1、結(jié)構(gòu)化訪訪談;怎么知道員員工真正理理解公司的的職業(yè)道德德規(guī)范?與同行業(yè)相相比,我們們的風險偏偏好是怎樣樣的?收取或給與與禮物的一一般規(guī)定是是什么?你是否覺得得同樣的規(guī)規(guī)定適用于于所有員工工?為什么么或為什么么不是?你是否見過過不合乎職職業(yè)道德的的行為受到到表彰?2、推動型專專題討論會會;3、問卷調(diào)查查;三、評價組組織層面控控制的方法法制定風險管管理審計計計劃風險評估決決定著確認認業(yè)務(wù)的審審計目標、、范圍和方方法。識別和評估估風險的來來源和資料料:1、文檔審閱閱:經(jīng)營計劃組織機構(gòu)圖圖流程圖關(guān)鍵技技術(shù)工作描描述關(guān)鍵政政策一、高高層次次確認認業(yè)務(wù)務(wù)風險險評估估制定風風險管管理審審計計計劃風險評評估決決定著著確認認業(yè)務(wù)務(wù)的審審計目目標、、范圍圍和方方法。。識別和和評估估風險險的來來源和和資料料:2、各各層層次次管管理理層層訪訪談?wù)劊海菏姑蚧蚰磕康牡氖滓惺袌鰣龌蚧蚋偢偁帬庩P(guān)鍵鍵經(jīng)經(jīng)營營問問題題財務(wù)務(wù)狀狀況況和和趨趨勢勢近期期的的變變化化優(yōu)勢勢經(jīng)理理關(guān)關(guān)注注或或面面臨臨的的挑挑戰(zhàn)戰(zhàn)主要要風風險險關(guān)鍵員工工流程和運運營系統(tǒng)統(tǒng)的概覽覽一、高層層次確認認業(yè)務(wù)風風險評估估制定風險險管理審審計計劃劃風險評估估決定著著確認業(yè)業(yè)務(wù)的審審計目標標、范圍圍和方法法。識別和評評估風險險的來源源和資料料:3、管理層層的風險險評估4、業(yè)績指指標和趨趨勢5、財務(wù)和和運營信信息6、以前的的審計結(jié)結(jié)果7、組織外外部的內(nèi)內(nèi)部審計計師8、外部審審計師和和咨詢專專家9、法規(guī)和和監(jiān)管結(jié)結(jié)果10、行業(yè)研研究和標標準11、事件報報告12、保持客客戶聯(lián)系系一、高層層次確認認業(yè)務(wù)風風險評估估制定風險險管理審審計計劃劃“內(nèi)部審審計的責責任是對對內(nèi)部控控制設(shè)計計和運行行的有效效性進行行審查和和評價,,出具客客觀、公公正的審審計報告告,促進進組織改改善內(nèi)部部控制及及風險管管理?!薄?、內(nèi)部控控制:內(nèi)內(nèi)部審計計部門必必須評估估控制的的效率和和效果,,并促進進持續(xù)改改進、從從而協(xié)助助組織維維持有效效的控制制。財務(wù)和和運營營信息息的可可靠性性和完完整性性運營的的效率率和效效果資產(chǎn)的的安全全法律、、法規(guī)規(guī)、政政策、、程序序、合合同的的遵循循情況況2、風險險管理理:內(nèi)內(nèi)部審審計活活動必必須評評估風風險管管理過過程的的有效效性,,并為為其改改善作作出貢貢獻。。組織目目標支支持本本組織織的使使命并并與其其保持持一致致。重大風風險得得到識識別和和評估估選定適適當?shù)牡娘L險險應(yīng)對對方案案,并并符合合組織織的風風險偏偏好獲取相相關(guān)的的風險險信息息,并并在組組織內(nèi)內(nèi)部及及時溝溝通,,以便便員工工、管管理層層和董董事會會履行行其相相關(guān)職職責二、形形成審審計目目標、、范圍圍和方方法制定風風險管管理審審計計計劃風險管管理審審計計計劃就就審計計目標標、范范圍和和方法法等給給出更更為清清晰的的和可可操作作的指指引。。一般般來講講,一一個整整體和和較全全面的的審計計計劃劃應(yīng)當當包括括:審計目目標、、審計計域、、審計計要點點、審審計準準則以以及其其他參參照指指標、、審計計程序序及其其包含含內(nèi)容容、審審計調(diào)調(diào)查與與測試試取證證安排排、審審計負負責人人及其其責任任、確確定審審計所所需信信息和和資料料、主主要審審計方方法和和技術(shù)術(shù)的選選用、、審計計時間間進度度和審審計順順序((例如如審計計順序序、何何時與與誰交交談、、進行行現(xiàn)場場觀察察的時時間安安排、、對每每一種種審計計程序序推進進進度度的時時間安安排、、每個個階段段需進進展的的審計計深度度、何何時向向誰提提交審審計結(jié)結(jié)果等等)、、審計計資源源需求求、審審計組組織與與審計計質(zhì)量量保障障證措措施、、審計計團隊隊的組組成、、對被被審目目標的的配合合要求求、審審計報報告要要點框框架等等。風險管管理審審計計計劃可可以規(guī)規(guī)劃化化和表表格化化,并并分發(fā)發(fā)給承承辦該該審計計事項項的所所有審審計人人員。。三、風風險管管理審審計計計劃內(nèi)內(nèi)容制定風風險管管理審審計計計劃四、與與管理理層的的合作作五、業(yè)業(yè)務(wù)之之前的的溝通通審計通通知是是內(nèi)部部審計計部門門在實實施風風險管管理審審計前前通知知客戶戶接受受審計計的書書面文文件。。審計計通知知書包包括以以下幾幾點內(nèi)內(nèi)容::⑴客戶戶及審審計項項目名名稱⑵審計計目的的和審審計范范圍⑶審計計時間間⑷客戶戶提供供的具具體資資料和和其他他必要要的協(xié)協(xié)助⑸內(nèi)部部審計計部門門及其其負責責人的的簽章章和簽簽發(fā)日日期六、資資源分分配七、啟啟動會會啟動會會議是是在審審計項項目開開始時時項目目組成成員、、相關(guān)關(guān)管理理層或或其他他人員員參加加的溝溝通會會議。。其作作用主主要在在于::⑴說明明審計計目的的、審審計范范圍和和要求求協(xié)助助的事事項⑵進一一步了了解審審計對對象⑶溝通通評價控控制的的設(shè)計計和其其他風風險管管理技技術(shù)“內(nèi)部部審計計部門門必須須評估估針對對組織織內(nèi)部部治理理、運運營和和信息息系統(tǒng)統(tǒng)等風風險的的控制制的適當性性和有有效性性?!薄坝行У膶弻徲嬙O(shè)設(shè)計::在多多數(shù)情情況下下,在在測試試控制制的有有效性性之前前,要要在了了解和和分析析內(nèi)部部控制制體系系的設(shè)設(shè)計上上花費費大量量時間間,以以確定定其是是否能能提供供適當當?shù)目乜刂?,,這為為內(nèi)部部審計計指出出控制制薄弱弱的根根本原原因而而非指指出其其表面面現(xiàn)象象提供供了堅堅實的的基礎(chǔ)礎(chǔ)”適當?shù)牡目刂浦疲喝绻芄芾韺訉拥挠嬘媱澓秃徒M織織行為為能夠夠合理理保證證組織織的風風險得得到有有效管管理,,組織織的目目標和和目的的以經(jīng)經(jīng)濟高高效的的方式式實現(xiàn)現(xiàn),那那么可可以認認為已已建立立適當當?shù)目乜刂?。。評價控控制的的設(shè)計計和其其他風風險管管理技技術(shù)一、常常用控控制及及其他他風險險管理理技術(shù)術(shù)預防或或發(fā)現(xiàn)現(xiàn)指令補償人工或或自動動化組織層層面、、業(yè)務(wù)務(wù)層面面一般控控制組組織織層面面的控控制共共享享信息息技術(shù)術(shù)服務(wù)務(wù)應(yīng)用控控制業(yè)業(yè)務(wù)務(wù)層面面控制制評價控控制的的設(shè)計計和其其他風風險管管理技技術(shù)二、詳詳細確確認業(yè)業(yè)務(wù)風風險評評估1、識別別目標標2、識別固有風風險3、評估風險影影響和可能性性4、識別控制和和其他風險管管理技術(shù)書面政策流程手冊流程文檔一線員工5、評價控制的設(shè)計和和其他風險管管理技術(shù)穿行測試固有風險-風險管理技術(shù)術(shù)=剩余風險其他風險管理理技術(shù)的評價價軟控制的評價價評價控制的設(shè)設(shè)計和其他風風險管理技術(shù)術(shù)三、用于記錄錄和評價控制制設(shè)計的工具具1、風險控制矩矩陣風險/控制矩陣目標固有風險影響/可能性控制(和其他風險管理技術(shù))充分性評價適當性評價最終評價測試控制和其其他風險管理理技術(shù)的有效效性一、測試的決決定關(guān)鍵或首要控控制必須測試試二、審計證據(jù)據(jù)的類型書面證據(jù)、實實物證據(jù)、視視聽證據(jù)、電電子證據(jù)、口口頭證據(jù)、環(huán)環(huán)境證據(jù)三、人工測試試方法訪談問卷調(diào)查內(nèi)部控制問卷卷觀察檢查函證順查逆查測試控制和其其他風險管理理技術(shù)的有效效性三、人工測試試方法重新執(zhí)行分析程序預期與實際比比較趨勢分析相關(guān)因素分析析合理測試與標桿比較比率分析回歸分析四、抽樣統(tǒng)計抽樣隨機抽樣判斷抽樣測試控制和其其他風險管理理技術(shù)的有效效性五、測試應(yīng)用用控制輸入控制處理控制輸出控制完整性控制管理線索六、測試軟控控制取證結(jié)果的評評價在實務(wù)中,審審計人員對風風險管理的評評價可以用量量化數(shù)字表示示如1、2、3、4、5,或用字母表表示如A、B、C、D、E,或者用顏色表表示,如紅、、黃、綠等。。①風險的嚴重重性(或影響響)的評價具具體尺度(除除了表達為財財務(wù)指標之外外,也可以用用聲譽、資本本、法律等方方式來表述風風險的影響))—不嚴重:既無無戰(zhàn)略影響,,又無財務(wù)影影響?!p度嚴重:相相對較小的戰(zhàn)戰(zhàn)略和/或財務(wù)影響((一星期的利利潤)?!卸葒乐兀猴@顯著地影響戰(zhàn)戰(zhàn)略和/或財務(wù)目標的的實現(xiàn)(一月月的利潤)。?!獓乐兀弘y以實實現(xiàn)戰(zhàn)略目標標(可能需要要戰(zhàn)略上的一一次改變),,和/或重大的財務(wù)務(wù)影響(一季季的利潤)。?!叨葒乐兀簯?zhàn)戰(zhàn)略目標無法法實現(xiàn),導致致嚴重的財務(wù)務(wù)后果(一年年的利潤)并并威脅公司的的生存能力。。取證結(jié)果的評評價②風險可能性性(概率)評評價的具體尺尺度—不發(fā)生:在特特定的時期內(nèi)內(nèi)不會發(fā)生((<5%)?!惶赡埽涸谠谔囟ǖ臅r期期內(nèi)不太可能能發(fā)生(<25%)?!赡埽涸谔囟ǘǖ臅r期內(nèi)或或許會發(fā)生((<50%)?!芸赡埽涸谔靥囟ǖ臅r期內(nèi)內(nèi)發(fā)生比不發(fā)發(fā)生的可能性性大(>50%)。—肯定:在特定定的時期內(nèi)已已經(jīng)發(fā)生或幾幾乎肯定會發(fā)發(fā)生(>90%)。③風險的層次次評價(擴展展的尺度)—極小的威脅::幾乎不可能能嚴重地威脅脅組織?!p度威脅:不不太可能嚴重重地威脅組織織?!卸韧{:偶偶爾可能成為為組織的嚴重重威脅。—嚴重威脅:很很可能成為組組織的嚴重威威脅。——災難性的威脅脅肯定是組織織的嚴重威脅脅取證結(jié)果的評評價④風險承受限限度的評價—避免:在任何何情況下都不不會允許此風風險發(fā)生?!档停罕仨殦頁碛谐掷m(xù)地管管理此風險的的政策、流程程和程序,并并把它的影響響降到最低限限度?!芾恚罕仨毮苣軌蝾A測此風風險的發(fā)生,,并采取前瞻瞻性的行動以以降低其影響響?!獧z查:將允許許此風險發(fā)生生,但是必須須能在其影響響過大之前及及時檢查并報報告此風險。?!邮埽猴L險的的發(fā)生是可接接受的。取證結(jié)果的評評價⑤風險管理/風險控制可擴擴展度(可管管理性或可控控性)評價—無風險管理::組織任由風風險發(fā)生,并并接受其后果果?!蛯哟蔚娘L險險管理:風險險通常都可以以檢測到,但但是組織更依依賴于應(yīng)急或或恢復計劃。?!械鹊娘L險管管理:在有效效的監(jiān)督下,,能識別風險險的發(fā)生,并并擁有充足的的時間減小風風險的影響/提高獲利的機機會?!獢U展的風險管管理:持續(xù)的的監(jiān)督和前瞻瞻性的管理活活動確保把風風險的影響降降到最低/增強獲利的可可能性。—持續(xù)的風險管管理:一個全全面的風險管管理計劃有助助于確保風險險得到了預防防,或者所有有可度量的影影響/機會都得到了了優(yōu)化。⑥風險管理成成熟度評價((采用風險管管理成熟度模模型評價)—A級:特定風險險管理—B級:初步風險險管理—C級:可重復性性風險管理—D級:主動性風風險管理—E級:前瞻性風風險管理。取證結(jié)果的評評價⑦被審事項現(xiàn)現(xiàn)有風險管理理水平或效力力評價,例如如:—該事項的風險險管理框架不不適(其中包包括風險管理理政策不適)),不能滿足足該事項目標標實現(xiàn)的要求求。—該事項有明確確與合理的風風險管理框架架(其中包括括合理的風險險管理政策)),然而風險險管理政策的的實施不力和和無效?!撌马椨休^明明確與合理的的風險管理框框架(其中包包括合理的風風險管理政策策),且該事事項的風險管管理政策能基基本落實?!撌马椨休^明明確與合理的的風險管理框框架(其中包包括合理的風風險管理政策策),且該事事項的風險管管理政策能較較好落實,內(nèi)內(nèi)部控制有效效,風險管理理過程運行有有效。溝通與協(xié)商溝通和協(xié)商將將不間斷地貫貫穿于整個審審計過程中,,其目的是為為了促使審計計工作得到各各方面的支持持和配合,以以及為了保證證審計工作的的質(zhì)量和效果果。如果管理人員員不認可審計計人員所提出出的審計發(fā)現(xiàn)現(xiàn)或建議,這這可能表明審審計人員沒有有完全理解管管理人員的風風險承受限度度。此時,應(yīng)應(yīng)該與管理人人員重新協(xié)商商其風險承受受限度,從而而就以下方面面達成共識::—審計發(fā)現(xiàn)的有有效性;—解決這些發(fā)現(xiàn)現(xiàn)中所提出問問題的必要性性;—以及相關(guān)建議議的恰當性。。整理審計發(fā)現(xiàn)現(xiàn)整理審計發(fā)現(xiàn)現(xiàn),描述審計計發(fā)現(xiàn),是著著手撰寫審計計報告的基本本準備工作,,審計發(fā)現(xiàn)是是風險管理審審計報告的寫寫作素材源泉泉。在評價審計證證據(jù)后,需要要把審計發(fā)現(xiàn)現(xiàn)描述出來,,但應(yīng)當注意意:⑴審計發(fā)現(xiàn)應(yīng)應(yīng)該以具體而而簡潔的語言言進行表述。。⑵理解某一發(fā)發(fā)現(xiàn)所必需的的信息應(yīng)該一一一列舉⑶應(yīng)該該一眼眼就能能辨別別出與與某一一發(fā)現(xiàn)現(xiàn)相關(guān)關(guān)的風風險。。整理審審計發(fā)發(fā)現(xiàn)通常,,我們們可以以采用用矩陣陣圖的的方式式反映映審計計發(fā)現(xiàn)現(xiàn),具具體內(nèi)內(nèi)容包包括::⑴現(xiàn)狀狀。⑵標準準/期望。。⑶原因因。整理審審計發(fā)發(fā)現(xiàn)⑷影響響。注注意:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論