内部审计与风险管理1.ppt

内部审计与风险管理 风险管理框架（ERM） 1.内部环境：道德观、人员、管理者的经营理念及风险管理的态度和文化。 2.目标设定：战略、营运、报道、合规 3.事件识别：不确定性事件（风险还是机会）、横跨企业各部门或垂直贯穿某业务单位。 4.风险评估：固有风险/剩余风险，概率和影响，单个或联系，定性和定量 风险管理框架（ERM） 5.风险应对：避免、分散、控制、共享、转移、接受。 6.控制活动：核准、授权、职务分离、撤销、确认、业绩审查、资产保护等。 7.信息与沟通：内部沟通、外部沟通、横向沟通、上下沟通。 8.监控：持续监督，单独评价 有效的风险管理的特征 1.由管理层实施，并贯穿于日常决策始终并涵盖所有业务。 2.打破各部门的分割，将各部门相互联系地考虑。 3.强调分类进行。 4.强调对薄弱环节的关注，尤其当这些风险可能导致组织的崩溃。 5.考虑风险的联系和交互作用。 6.风险管理应融入组织文化。 7.不仅要注重规避风险，还要注重创造价值。 风险管理的技巧 避免 Avoid 控制 Control 转移 Transfer 分散 Diversity 共享 Share 接受 Accept 方法一：避免风险 Avoid 特点： 方法： 实例： 方法二：分散风险 Diversity 特点： 方法： 实例： 方法三：控制风险 Control 特点： 方法： 实例： 方法四：转移风险 Transfer 方法五：分担风险 Share 特点： 方法： 实例： 方法六：接受风险 Accept 特点： 方法： 例： 选择风险管理方法的标准 风险范围，金额大小 严重程度，影响大小 发生的可能性的高低 紧迫程度高低 可控/不可控 控制成本高低 可操作性 公司主营业务 风险管理方法（一）——风险矩阵图 风险管理方法（二）——关键风险指标管理 1.确定量化关键的风险成因， 2.分析确定导致风险事件发生时的具体数值， 3.以该具体数值为基础，再加上或减去一定数值，即为关键风险指标。 4.跟踪监测关键成因数值的变化，一旦达到关键风险指标，就发出预警。 例如：某容器泄露的主要原因为使用时期长。若50年为最高限，则45年为关键风险指标。 风险管理方法（三）——压力测试 1.针对某风险管理模型或内控流程，假设可能发生的极端情景。（发生概率小，但一旦发生，后果十分严重，还应考虑历史上从未发生过的极端情形。 2.评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。 3.制定相应措施，进一步修改和完善风险管理模型或内控流程。 例如：火灾、被盗、巨大的业务流量。 案例：沃尔玛的风险管理 1、专门成立风险管理委员会，将日常风险监控与风险战略规划有机结合。审计委员会负责监督。 2、风险管理过程模式包括风险识别、风险应对、行动计划、绩效评估、股东价值。 3、组成跨部门的专家小组，进行全面调查，由风险管理委员会对数据进行汇总分析，形成风险识别报告。发现：当前最可能发生的重要风险来自于“人力资源、国际增加的协调、网络基础建设”。 案例：沃尔玛的风险管理 4、制定风险应对方案。选型风险点的负责人和分组，进行分工，明确各自职责，并确定最后完成时间和评估标准。 5、工作绩效评估重点在于:工作的结果、实际完成情况、今后的发展。动态评估，通过监测、评估和报告完成，最后用评估打分表反映。 6、股东价值分析在于将风险事件与股东的投资收益、股价等进行对比，计算应对措施对股东的投资收益、股价的贡献。需要复杂计算，由计算机完成。 内部审计在风险管理中的作用 内部审计的风险管理职责既要考虑组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。 内部审计与组织的风险管理成熟度 无意识 零碎的 有管理的 系统化的 擅长应对风险 是否遵守 是否整合了 做的事情 是否在做 了相关法规 管理信息 是否正确 正确的事情 风险管理不太成熟：咨询业务，关注风险管理的架构和方法，以及基本风险的控制，为管理层献计献策 风险管理较成熟：确认业务，促进改善风险管理 介于之间：评估组织的最佳实务和应变措施，优化风险管理实务。 内部审计与风险影响程度和概率 1.影响大，内控较薄弱：咨询业务，为内控设计提供帮组，跟踪纠正措施的进展。 2.影响大，内控漏洞小：确认业务，在准备阶段获取对合理性的确认。获取对效果性的保证，识别提高效率的方法