内部审计学第05章.ppt

主要内容 国际上引用最普遍的、是由美国风险管理与内部控制方面的权威机构COSO给出的界定：ERM是一个实体的董事会、管理层和其他员工实施、适用于战略制订和整个组织范围的程序(process)；该程序用于识别可能影响该实体的事件，管理风险使之处于其偏好范围之内，并为实体目标的实现提供合理的保证。这是一个非常宽泛的界定，它囊括了所有的风险，适用于包括企业在内的各种类型的社会组织。COSO希望藉此为有关ERM的讨论提供一个统一的框架。 COSO-1992《内部控制-整合框架》 2002-《萨班斯-奥科萨利法案》 COSO-2004《企业风险管理-整合框架》 案例1：巴林银行的倒闭 千里之堤，毁于蚁穴 原因是什么? 巴林银行倒闭的原因 银行的人员；账目；资金管理没有监督约束机制 银行对有利益冲突的角色没有实行权责分离 （交易和清算） 对营运中暴露出的错误，没有及时纠正 没有“内部控制”系统预报风险 案例2：安然公司的崩溃 美国第七大公司 市值500亿美元 世界公认最具创新能力的公司 不到一年时间，股票下跌95% 2001年12月宣布破产，美国历史上最大的破产案 安然为何突然破产 贪婪欺诈的经营行为 “鼓励大家藐视各种规章制度” 无法验证的财务报表 “揭开皇帝的新衣”——谁也无法解释收入从何而来 安达信的双重身份 “一只手作账，另一只手证明这只手作的账” “利益冲突”把安然送进坟墓 摘自美《幸福》杂志2002/39期 企业失败的六种常见风险 效果性风险=〉目标偏离或错误 效率性风险=〉资源浪费或无效使用 资产性风险=〉资产流失、损坏等（备件管理） 信息性风险=〉信息失真、不足或泄密（信用调查） 遵循性风险=〉法规、计划、贯彻失败（不清洁订单） 无标准风险=〉缺乏标准和规范（集成中心） 战略目标：其企业最高层次目标，与企业使命相关联并支撑其使命；风险管理的目标必须与企业发展的战略目标相辅相成，战略目标的实现可以通过风险管理实现。 经营目标：企业有效和高效率的利用资源，高效运营。 报告目标：真实披露企业的经营业绩，确保报告的真实可靠。 合规目标：企业遵循相关法律法规，合规经营。 联系：虽然ERM框架在企业整体层面的不同纬度有了内容的增减，但基本结构仍然采用与内部控制模型相同的三维立体形式。这种形式有助于深入理解控制和管理的对象，分析解决管理和控制中存在的问题。 多维立体的“魔方”还蕴藏着“全息论”的概念：控制/管理要素（正面维度）与目标（上面维度）是紧密相连的。组织中的任何一个机构、一项业务或一位成员（侧面维度）都应该包含或者反映出该组织中的目标和控制/管理要素等信息。 区别 1.概念的扩大 从理论上说，控制是属于管理的一个重要方面，是确保活动执行的一种手段，但并不涉及目标的设定等决策行为；而管理则覆盖了从开始的决策到最终的执行等各方面的活动 2.目标的发展 层次和内涵的提升 范围的扩大 3.操作性的提升 应用范围的扩展（决策层） 风险度量的精确 风险评价角度的深化 4.要素的发展 目标设定 事项识别 风险回应 2120-风险管理 内部审计活动必须评估风险管理过程的有效性，并对其改善做出贡献。 确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断： ? ——组织目标支持组织的使命并与其保持一致； ? ——重大风险得到识别和评估； ——选定适当的风险应对方案，并符合组织的风险偏好； ? ——获取相关的风险信息并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责。 风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。 内部审计不应该承担的责任（Inappropriate Activities） ——设置风险偏好 ——对风险管理过程施加影响 ——对管理层提供风险保证 ——就风险作出决策 ——以管理层的立场进行风险应对 ——对风险管理负责 内部审计在企业风险管理中的核心（Core）作用 ——对风险管理过程的确认服务 ——对正确识别风险的确认服务 ——评估风险管理过程 ——评估关键风险因素报告 ——评估关键风险因素管理 内部审计在风险管理中发挥合理（Legitimate）的作用 ——帮助识别和评估风险 ——指导管理层应对风险 ——协调风险管理相关活动 ——加强对风险的报告与披露 ——保持和完善企业风险管理框架 ——支持企业风险管理的建设 ——在董事会批准的前提下，参与制定风险管理战略 主要内容 （一）风险识别的概念 ——风险事故