审计学-额-完整版.ppt

* 企业风险管理整体框架提出了新的目标——战略目标，并置于最高层次。企业风险管理的范围与内容，扩展到战略高度。 企业风险管理整体框架首次提出总体层面上的风险组合观，管理层在确定战略目标和战略时，需将战略与风险偏好保持一致，选择与企业风险偏好相一致的战略，以风险组合的观点看待风险。 * ⒉风险管理流程 内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通和监控五个要素组成。 企业风险管理整体框架对这五个要素进行深化和拓展，演变为内部环境、目标设定、事件识别，风险评估、风险应对、控制活动、信息与沟通和监控八个要素，并首次提出了清晰的风险管理流程： 目标制定——事项识别——风险评估——风险反应——控制活动。 以企业内部环境为基础，借助信息与沟通进行，并处于监控之下。 * ⒊角色与职责变化 董事会：风险管理方面扮演更加重要的角色——负有总体责任，且变得更加机警，需要批准企业的风险偏好，复核企业的风险组合观并与企业的风险偏好相比较，评估企业最重要的风险并评估管理者的风险反应是否适当。企业风险管理的成功与否，将在很大程度上依赖于董事会。 首席执行官（CEO）：确定目标和战略方案，并将其分为战略目标、经营目标、报告目标和遵循目标。每一个业务单元、分部、子公司的领导，也需要识别各自的目标，并与企业的总体目标相联系。 * 管理层：识别风险和影响风险的事项、评估风险并采取控制措施。 内部审计人员：原来对内审委员会负责，现在可能要对内审委员会和风险主管负责，并在企业风险管理监控中发挥重要作用，对管理层风险管理过程的充分性和有效性进行检查、评价、报告和提出改进建议，协助管理层和董事会履行职责。 风险主管或风险经理：为新增的一个角色，与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风险管理框架，也负有帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。 * 四、八要素与五要素关系 内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 信息与沟通 监控 控制环境 风险评估 控制活动 信息与沟通 监控 * 图示比较 * 五、内部控制评价 含义：企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。 原则： （1）全面性。评价工作包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。 （2）重要性。在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。 （3）客观性。准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。 目的： （1）确定实质性测试的范围和重点 （2）促进企业改善经营管理 内部控制评价的内容： 围绕内部环境、风险评估、控制活动、信 息与沟通、内部监督等要素，对内部控制设计 与运行情况进行全面评价。 * （1）内部环境评价以组织架构、发展战略、人力资源、 企业文化、社会责任等为依据。主要有： 公司治理结构是否完善，董事会、监事会和股东大会等管理架构 是否合法运作和科学决策； 是否建立有效地激励约束机制和树立风险防范的意识； 公司管理层及业务环节是否开展内控培训，让内部风险防范成为 高管的共识； 是否培育良好的公司精神和内部控制文化，创造全体员工充分了 解并履行职责的环境； 公司高管人员和采购人员是否签订诚信承诺书，对所有的重要原 材料及设备供应商，在购销活动中首先签订阳光协议，要求其操 作过程透明公开，禁止商业贿赂等行为。 风险评估机制评价以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。 重点关注公司是否建立完整的风险评估体系，是否建立审 计委员会和风险管理部门，是否对经营风险、财务风险、市场风 险、政策法规风险和道德风险等进行持续监控；是否对已发现的 公司各类风险有控制措施，如内控制度执行情况的检查和监督， 以及相关制度是否向子公司延伸，以确保子公司的经营安全。 控制活动评价以《企业内部控制基本规范》和各项应用指引中的控制措施为依据。重点审核组织结构方面采取的控制活动和内控制度方面采取的控制活动。 在组织结构方面重点审核：机构、岗位及职责权限是否合理设置和分工；不相容职务是否相互 分离；是否成立相关职能部门，对采购和验收等环节是否设置相互监督制度，做到人员分离；公司是否把业务流程作为内部控制制度建设的重点，设置关键控制点和反馈系统。 在内控制度建设方面重点审核：公司是否制定了董事会的议事规则、总经理事权规则、财务管理制度、采购管理制度、投资管理制度、合同管