《风险评估和内部审计》.docxVIP

书品讨 风险评估（Risk Assessment）是指，在风险事件发生之前或之后（但还没有结束）， 该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评 估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 什么是风险评估 从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的 信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风 险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的 一个重要途径，属于组织信息安全管理体系策划的过程。 风险评估任务 风险评估的主要任务包括： 识别评估对象面临的各种风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 风险评估过程注意事项 在风险评估过程中，有几个关键的问题需要考虑。 首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？ 其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有 多大？ 第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？ 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响? 最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程 度？ 解决以上问题的过程，就是风险评估的过程。 进行风险评估时，有几个对应关系必须考虑： 每项资产可能面临多种威胁 威胁源（威胁代理）可能不止一个 每种威胁可能利用一个或多个弱点 内部审计的定义 1999年6月，内部审计师学会董事会通过了内部审计的如下定义： “内部审计 是一项独立、客观的咨询活动，用于 改善机构的运作并增加其价值。通过引入一 种系统的、有条理的方法去评价和改善风险管理、 控制和公司治理流程的有效性， 内部审计可以帮助一个机构实现其目标。” 在我国内部审计，是指由被审计单位内部机构或人员， 对其内部控制的有效性、 财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。 内部审计是和政府审计、注册会计师审计并列的三种审计类型之一。 内部审计是“外部审计”的对应称法，即：由部门、单位内部设置的专职机构及 人员，独立地对本部门、本单位的财政财务收支及有关经济活动进行审查，用以 健全内部控制，维护财经纪律，改善经营管理，提高经济效益的综合经济监督活 动。内部审计在中国审计组织体系中，起着以国家审计为主导，以内部审计为基 础的重要作用，支撑着企业的审计工作。内部审计的本质在于，作为企业指挥者 管理机能的一部分，对企业管理手段妥善与否、有无弊漏和是否经济有效，进行 经常性的检查、分析和评价。内部审计的主要缺陷和特点是，由于在本单位领导 # 品 讨 tzr, 下进行内部审计活动，其独立性表现稍弱；但具有及时性、连续性、针对性、预 防性等特点。 内审的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实 现其目标 内部审计主要侧重点是有效性、经济性、合规性。 内部审计目标 内部审计的目标是促进本部门、本单位加强经济管理和实现经济目标。 内部审计机构的职责 1开展财政财务审计 2开展资金管理审计 3开展任期紧经济责任审计 4开展固定资产投资审计 5开展内部控制审计与风险管理审计 6开展管理审计与效益审计 7开展其他审计 审计人员为每一个单元和共享的服务制定具体的风险清单 ，并确定那些成为组织 最大威胁的风险.接着,审计人员根据风险的严重性和肯能性 ，在一个三点标尺上 对风险评级，那些最高级别的风险被标上关键风险 ，威胁和关键风险的结合点被最 先审计，并随之受到管理层的重视. 风险导向内部审计的本质 内部审计的本质是确保受托责任履行机制。 在风险导向内部审计阶段， 受托责 任的范围和管理控制与内部审计的前几个阶段相比发生了一些变化，它们与风险 结合起来，使风险导向内部审计成为确保受托责任有效履行的能动的管理机制。 在管理机制方面，反馈是管理控制的核心， 而内部审计在企业管理控制机制中 正是扮演了反馈的角色，在风险导向内部审计阶段，反馈的职能不只是事后的审 核与报告，更多的是实时乃至事前的反馈，因为这样才能更好地适应快速变化的 环境。这种反馈与广义的风险相结合，能够使企业规避下必要地的损失，或未即 将到来的机会做好充分的准备， 从而提高企业的运作效率， 实现企业的价值增值， 这种变化也更能体现内部审计的作用。 风险导向内部审计的特征 所谓风险导向内部审计是指内部审计人员在审计过程中白始至终都已企业风 险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定 审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出 建设性意见和建议，协助企业