风险评估和内部审计.docxVIP

风险评估（RiskAssessment）是指，在风险事件发生以前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 什么是风险评估 从信息安全的角度来讲，风险评估是对信息财产（即某事件或事物所拥有的信息集）所面对的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。风险评估任务 风险评估的主要任务包括： 辨别评估对象面对的各样风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 介绍风险消减对策 风险评估过程注意事项 在风险评估过程中，有几个重点的问题需要考虑。 首先，要确定保护的对象（或许财产）是什么？它的直接和间接价值怎样？其次，财产面对哪些潜在威胁？致使威胁的问题所在？威胁发生的可能性有 多大？ 第三，财产中存在哪里弱点可能会被威胁所利用？利用的容易程度又怎样？ 第四，一旦威胁事件发生，组织会遭到怎样的损失或许面对怎样的负面影响？ 精选文库 最后，组织应当采取怎样的安全举措才能将风险带来的损失降低到最低程 度？ 解决以上问题的过程，就是风险评估的过程。 进行风险评估时，有几个对应关系必须考虑： 每项财产可能面对多种威胁 威胁源（威胁代理）可能不止一个 每种威胁可能利用一个或多个弱点 内部审计的定义 1，1999年6月，内部审计师学会董事会经过了内部审计的如下定义：“内部审计 是一项独立、客观的咨询活动，用于改良机构的运作并增加其价值。经过引入一 种系统的、有条理的方法去评论和改良风险管理、控制和公司治理流程的有效性， 内部审计能够帮助一个机构实现其目标。” 2，在我国内部审计，是指由被审计单位内部机构或人员，对其内部控制的有效性、 财务信息的真切性和完整性以及经营活动的效率和效果等展开的一种评论活动。 内部审计是和政府审计、注册会计师审计并列的三种审计种类之一。 内部审计是“外部审计”的对应称法，即：由部门、单位内部设置的专职机构及 人员，独立地对本部门、本单位的财政财务收支及有关经济活动进行审查，用以 健全内部控制，维护财经纪律，改良经营管理，提高经济效益的综合经济监察活 动。内部审计在中国审计组织体系中，起着以国家审计为主导，以内部审计为基 础的重要作用，支撑着公司的审计工作。内部审计的本质在于，作为公司指挥者 管理机能的一部分，对公司管理手段妥善与否、有无弊漏和是否经济有效，进行 经常性的检查、剖析和评论。内部审计的主要缺陷和特点是，由于在本单位领导 --2 精选文库 下进行内部审计活动，其独立性表现稍弱；但拥有实时性、连续性、针对性、预防性等特点。 内审的目的是评论和改良风险管理、控制和公司治理流程的有效性，帮助公司实现其目标 内部审计主要重视点是有效性、经济性、合规性。 内部审计目标 内部审计的目标是促使本部门、本单位加强经济管理和实现经济目标。 内部审计机构的职责 1 展开财政财务审计 2 展开资本管理审计 3 展开任期紧经济责任审计 4 展开固定财产投资审计 5 展开内部控制审计与风险管理审计 6 展开管理审计与效益审计 7 展开其他审计 审计人员为每一个单元和共享的服务拟订详细的风险清单,并确定那些成为组织 最大威胁的风险.接着,审计人员根据风险的严重性和肯能性,在一个三点标尺上 对风险评级,那些最高级其他风险被标上重点风险,威胁和重点风险的联合点被最 先审计,并随之受到管理层的重视. 风险导向内部审计的本质 --3 精选文库 内部审计的本质是保证受托责任执行体制。在风险导向内部审计阶段，受托责任的范围和管理控制与内部审计的前几个阶段相比发生了一些变化，它们与风险 联合起来，使风险导向内部审计成为保证受托责任有效执行的能动的管理体制。 在管理体制方面，反应是管理控制的核心，而内部审计在公司管理控制体制中正是扮演了反应的角色，在风险导向内部审计阶段，反应的职能不只是过后的审 核与报告，更多的是实时以致事前的反应，因为这样才能更好地适应迅速变化的环境。这种反应与广义的风险相联合，能够使公司躲避下必要地的损失，或未即将到来的时机做好充分的准备，进而提高公司的运作效率，实现公司的价值增值，这种变化也更能体现内部审计的作用。 风险导向内部审计的特点 所谓风险导向内部审计是指内部审计人员在审计过程中从头至尾都已公司风险剖析评估为导向，根据量化的剖析水平排定审计项目优先序次，依据风险确定审计范围与重点，对公司的风险管理、内部控制和治理程序进行评论，进而提出建设性建议和建议，辅助公司管理风险，实现公司价值增值的独立、客观的签证和咨询活动。根