月河北风险管理审计讲座发送.ppt

* * * * * * * * 制定风险管理审计计划 风险评估决定着确认业务的审计目标、范围和方法。 识别和评估风险的来源和资料： 1、文档审阅： 经营计划 组织机构图 流程图 关键技术 工作描述 关键政策 一、高层次确认业务风险评估 制定风险管理审计计划 风险评估决定着确认业务的审计目标、范围和方法。 识别和评估风险的来源和资料： 2、各层次管理层访谈： 使命或目的 首要市场或竞争 关键经营问题 财务状况和趋势 近期的变化 优势 经理关注或面临的挑战 主要风险 关键员工 流程和运营系统的概览 一、高层次确认业务风险评估 制定风险管理审计计划 风险评估决定着确认业务的审计目标、范围和方法。 识别和评估风险的来源和资料： 3、管理层的风险评估 4、业绩指标和趋势 5、财务和运营信息 6、以前的审计结果 7、组织外部的内部审计师 8、外部审计师和咨询专家 9、法规和监管结果 10、行业研究和标准 11、事件报告 12、保持客户联系 一、高层次确认业务风险评估 制定风险管理审计计划 “内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。” 1、内部控制：内部审计部门必须评估控制的效率和效果，并促进持续改进、从而协助组织维持有效的控制。 财务和运营信息的可靠性和完整性 运营的效率和效果 资产的安全 法律、法规、政策、程序、合同的遵循情况 2、风险管理：内部审计活动必须评估风险管理过程的有效性，并为其改善作出贡献。 组织目标支持本组织的使命并与其保持一致。 重大风险得到识别和评估 选定适当的风险应对方案，并符合组织的风险偏好 获取相关的风险信息，并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责 二、形成审计目标、范围和方法 制定风险管理审计计划 风险管理审计计划就审计目标、范围和方法等给出更为清晰的和可操作的指引。一般来讲，一个整体和较全面的审计计划应当包括： 审计目标、审计域、审计要点、审计准则以及其他参照指标、审计程序及其包含内容、审计调查与测试取证安排、审计负责人及其责任、确定审计所需信息和资料、主要审计方法和技术的选用、审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等）、审计资源需求、审计组织与审计质量保障证措施、审计团队的组成、对被审目标的配合要求、审计报告要点框架等。 风险管理审计计划可以规划化和表格化，并分发给承办该审计事项的所有审计人员。 三、风险管理审计计划内容 制定风险管理审计计划 四、与管理层的合作 五、业务之前的沟通 审计通知是内部审计部门在实施风险管理审计前通知客户接受审计的书面文件。审计通知书包括以下几点内容： ⑴客户及审计项目名称 ⑵审计目的和审计范围 ⑶审计时间 ⑷客户提供的具体资料和其他必要的协助 ⑸内部审计部门及其负责人的签章和签发日期 六、资源分配 七、启动会 启动会议是在审计项目开始时项目组成员、相关管理层或其他人员参加的沟通会议。其作用主要在于： ⑴说明审计目的、审计范围和要求协助的事项 ⑵进一步了解审计对象 ⑶沟通 评价控制的设计和其他风险管理技术 “内部审计部门必须评估针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。” “有效的审计设计：在多数情况下，在测试控制的有效性之前，要在了解和分析内部控制体系的设计上花费大量时间，以确定其是否能提供适当的控制，这为内部审计指出控制薄弱的根本原因而非指出其表面现象提供了坚实的基础” 适当的控制：如果管理层的计划和组织行为能够合理保证组织的风险得到有效管理，组织的目标和目的以经济高效的方式实现，那么可以认为已建立适当的控制。 评价控制的设计和其他风险管理技术 一、常用控制及其他风险管理技术 预防或发现 指令 补偿 人工或自动化 组织层面、业务层面 一般控制 组织层面的控制 共享信息技术服务 应用控制 业务层面控制 评价控制的设计和其他风险管理技术 二、详细确认业务风险评估 1、识别目标 2、识别固有风险 3、评估风险影响和可能性 4、识别控制和其他风险管理技术 书面政策 流程手册 流程文档 一线员工 5、评价控制的设计和其他风险管理技术 穿行测试 固有风险-风险管理技术=剩余风险 其他风险管理技术的评价 软控制的评价 评价控制的设计和其他风险管理技术 三、用于记录和评价控制设计的工具 1、风险控制矩阵 风险/控制矩阵 目标 固有风险 影响/可能性 控制（和其他风险管理技术） 充分性评价 适当性评价 最终评价 测试控制和其他风险管理技术的有效性 一、测试的决定 关键或首要控制必须测试 二、审计证据的类型 书面证据、实物证据