27050《内部审计》讲义(第6章).docVIP

 PAGE \* MERGEFORMAT 8 风险管理与公司治理审计 COSO委员会决定通过有效的风险管理、内部控制及公司治理来改善企业管理的问题，并于2001年开始建立一个可被广泛接受的企业风险管理架构，于2003年7月完成了《企业风险管理框架(草案)》并公开向业界征求意见，于2004年4月颁布正式稿。COSO希望新框架能够成为企业董事会和管理者的一个有用工具，用来衡量企业管理团队处理风险的能力，而内部审计人员可以通过运用ERM(EnterpriseRightsManagement,企业权限管理)框架来更好地理解、评价和管理组织以及内部审计工作中遇到的风险。本章学习重点把握4456即4个名词（风险、公司治理、风险管理、风险评估）、4个论述（风险管理审计与内部控制审计的关系、内部审计在企业风险管理过程中的角色和责任、风险管理的要素、风险管理审计与风险导向审计的内涵是否相同?为什么?）、5个简答（国资委???企业风险的分类、风险回应的方式、制订基于风险评估的审计计划的步骤、公司治理的基本原则、风险分析审计的要点）、6个案例（围绕风险因素、风险类型、风险管理有效性及存在问题、审计风险进行分析）。 第一节风险管理审计的内容 一、什么是风险 (一)定义 国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确定性对企业实现其经营目标的影响。【名】IIA新颁布的IPPF将风险定义为：“指对实现目标有影响的事件实际发生的可能性，风险通过影响程度和发生的可能性来衡量。”【名】 (二)风险分类 风险在企业经营活动中有不同的表现，国资委将企业风险分为：战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。【答】 二、风险管理 企业风险管理是指围绕企业风险去管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。【名】其含义是“识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。”风险管理过程可以用下列模型表示。 三、企业风险管理的八大要素【论】 企业风险管理有八个相互关联的要素，这八个要素形成了一个全面性的行动架构。 (一)内部环境 企业的内部环境是风险管理的基础，内部环境不仅会影响到策略及目标的设定、活动的设置，而且影响到对风险的辨认、评估及回应。内部环境由多种因素组成，如道德观、人员、管理者的经营理念及风险管理的态度和文化。 (二)目标设定 即规定设定目标的程序并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定：1．策略：有关企业整体的目标及使命。2．营运：有关效率、绩效及获利能力。3．报导：有关内部及对外部的报导。4．遵循：有关法令及规章的遵循。 (三)事件辨认 企业经营环境充满不确定性，没有任何企业可以100％地确定特定事项是否或何时发生及其结果将会如何。通过事项辨认的程序，管理者将思考所有会影响其策略及目标达成的内部及外部因素，并将潜在事项加以分类。管理者还要对这些事项之间的相关性进行分析和了解，并且获得充足的资讯作为风险评估的基础。 (四)风险评估 风险评估是指辨认并分析影响目标达成的各种不确定因素。【名】风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估，并要分析和评估潜在事项对目标实现的影响。虽然一个单一事项的影响可能很小，但是一连串的事件可能使影响程度增大。风险评估同时使用定性与定量的方法来评估潜在事项的不确定性程度。 (五)风险回应 当风险被辨认及评估之后，管理者必须思考可能采取的风险回应方式及其影响，评估时应同时考虑风险承受度及成本效益。为了达到有效的风险管理，所选择的风险回应方式不能超出企业所能承受的风险范围。 风险回应方式，主要有回避、降低、分摊及接受，当然还有转移、集中等其他方式。管理者决定了管理风险的方式之后，必须将其转化为有效的行动，制订执行计划并且评估计划执行后的剩余风险。【答】 (六)控制活动 内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目标及达成目标的方法不同，所以控制活动也不相同，而且控制活动还反映了企业经营的环境、产业特征、内部组织、内部控制及文化等。一般控制通常包括了对rr管理架构、软体的购置及维修、资料存取的安全等控制；而应用控制的目的则是确保资讯处理的完整、正确及有效。 (七)资讯及沟通 组织的每个层级在辨认、评估及回应风险口守都需要取得来自内部及外部的暹当资讯。资讯取得后，应及时而详尽地提供给管理者，帮助他们快速而有效地拱行任务。有效的沟通既包括内部从上至下或从卞奎上的沟通，也包括对客户、倒应商、政府单