CIA考试加油站!为你给力! 交流QQ群2420093 联系QQ 8656664
第一部分第七讲:风险管理与内部审计(1)
2120—风险管理
内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献。
【释义】
确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断:
· 组织目标支持组织的使命并与其保持一致;
· 重大风险得到识别和评估;
· 选定适当的风险应对
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,并符合组织的风险偏好;
· 获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责。
内部审计活动可以在多项业务实施过程中收集信息以支持上述判断,综合审视这些业务的结果,可以对组织的风险管理过程及其有效性有所了解。
风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。
2120.A1—内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:
· 财务和运营信息的可靠性和完整性;
· 运营和程序的效率与效果;
· 资产的安全;
· 对法律、法规、政策、程序及合同的遵循情况。
2120.A2—内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。
2120.C1—在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。
2120.C2—内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。
2120.C3—协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,以免承担任何管理层的责任。
风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。作为风险管理的一个重要环节,企业内部审计在内部控制、公司治理及组织运营中的地位日趋突出,已成为关系企业兴衰成败的重要因素。内部审计经过长期的发展,目前已渐渐进入风险导向内部审计阶段,与公司治理和内部控制之间的关系也日趋紧密。
1.风险管理概念
1)风险术语
IIA对风险定义为:可能对目标的实现产生影响的事件发生的不确定性,并指出风险的衡量
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
是后果与可能性。
风险包含两方面的内涵:一是不确定性,也就是某种结果出现的概率;二是后果,即实际结果与期望值的偏离。风险的衡量标准是后果与可能性。
在经营管理活动中,风险常常被定义为生产运营的弊端、失误或失败带来组织危机的可能性。根据一般的分类标准,风险可以分为行业风险与组织风险。按风险发生的原因分,组织风险可以分为内在风险和外在风险。
风险事件:在风险评估流程中,风险事件就是那些可能发生的能够阻碍内控目标实现的事件。风险事件通常有正面的或负面的影响,也可能同时有正面和负面的影响。
可接受风险:即假设某种风险发生时所产生的影响可以被主体接受的风险。
剩余风险:是指管理层采取了有关措施,包括采取应对某项风险的控制活动降低负面事件的影响和可能性之后仍然存在的风险。简单来说,剩余风险是指未被管理的风险或建立控制措施之后仍然存在的所有风险。
审计风险:国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”美国注册会计师协会发布的第47号审计标准说明中提出了审计风险模型:审计风险=固有风险×控制风险×检查风险。可见,审计风险是由固有风险、控制风险和检查风险三个要素构成。
固有风险:在管理当局在没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险。按照实务公告2010-2描述,财务/外部审计师长期以来将固有风险归纳为:假定不存在相关的化解(风险)的控制措施,信息或数据对重大错报的敏感性。
控制风险:由于内部控制的局限性,不能通过内部控制结构、政策或程序及时被预防和发现的风险。
检查风险:审计师不能保证100%的检查或审计程序不当而没有发现存在的某些风险。
风险偏好:即组织对风险的态度,或对风险事件的容忍程度,一般分为风险喜好者、风险中性者、风险厌恶者,主体的风险容量反映了主体的风险管理理念,并且影响着文化与经营风格和资源配置。
风险容忍度:即与实现一项目标相关的可承受的偏离程度。风险容限能够被计量,而且通常最好采用与相关目标相同的单位来进行计量。
风险应对:管理当局为控制风险采取的一系列行动,指在把风险控制在主体的风险容限和风险容量以内。
市场风险:市价波动对于企业营运或投资可能产生亏损之风险,如利率、汇率、股价等变动对相关部位损益的影响。
会计风险:会计处理与税务对企业盈亏可能产生之风险,如账务处理之妥适性、合法性、税务咨询及处理是否完备。
沟通风险:沟通风险实际上是信息风险与关系风险的总称。所谓信息风险,包括由于信息的不准确、不及时、不完整所造成的决策失误的风险或决策缓慢的风险。所谓关系风险是指由于沟通不力,或不能很好地了解信息,致使出现对信息的错误理解,并导致不适当的行动,进而造成的客户丧失、机会损失或士气低落以及各种冲突等。对这些风险进行及时观察和控制。也是组织风险控制的重要内容。
2)风险管理
风险管理是管理层的一项主要职责,是经营管理过程中的核心内容。根据IIA对风险的定义,任何可能引起企业价值减少的因素都可以被定义为企业风险,都属于企业风险管理的范畴。风险管理就是采取一定的措施对风险进行检测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上,从而为实现组织的既定目标提供合理保证。风险管理共有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
有效的风险管理流程有助于识别与重大固有风险相关的关键控制。实施控制是管理层在其风险偏好内对风险进行管理的一种常见方法。内部审计师要对关键控制进行审计,并对重大风险的管理提供保证。
风险管理始终是内部审计计划和评估过程的组成内容,是内部审计人员的重要工具,内部审计师要用一个正式的过程来帮助理解风险并尽力将工作集中在高风险领域。
风险管理是高级管理层和董事会的重要职责。为了实现组织的业务目标,管理层应当确保组织中建立健全并运转良好的风险管理过程并使其发挥作用。董事会和审计委员会监督、判断是否存在适当的风险管理过程以及这些过程是否充分、有效。内部审计师应该对管理层和审计委员会提供帮助,就管理层的风险过程的充分性和有效性进行检查、评估、报告并提出改进意见。具体的活动和责任包括:
· 战略方向的确定由董事会或委员会负责;
· 风险的归属可以由管理高层分配;
· 对剩余风险的接受可以由执行管理层决定;
· 持续的确认、
评价
LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载
、减缓和监测活动可以由操作层人员分配决定;
· 定期评估和保证工作应该由内部审计活动负责。
管理层和董事会负责组织的风险管理和控制过程。起咨询性作用的内部审计师主要通过识别、评估并运用风险管理的方法和控制措施,帮助组织解决这些风险问题。对组织的风险管理过程进行评价和报告一般是审计的重点。
【典型习题】
根据《国际内部审计专业实务
框架
财政支出绩效评价指标框架幼儿园园本课程框架学校德育工作框架世界古代史知识框架质量保证体系框架图
》的定义,剩余风险是:
A.风险的影响。
B.控制下的风险。
C.未被管理的风险。
D.环境中的潜在风险。
参考答案:C
解题思路:
A.不正确。风险的影响是风险的结果。
B.不正确。控制中的风险是被管理的风险。
C.正 确。剩余风险是指那些运用了所有的控制和风险管理技术以后而留下来、未被管理的风险。
D.不正确。潜在的风险是绝对风险。
2.风险管理技术
风险管理技术包括风险评估框架、风险防范系统等。风险评估的框架包括风险评估、风险缓解和根据模型对可能导致风险的不确定因素进行分析。
·风险评估。包括确定风险评估的范围与方法,收集和分析相关数据和对分析结果进行说明。风险评估既可以是对某项风险的单独评估,也可以是对组织整体风险的综合评估;
·风险缓释。是指在确定了风险的范围、发生的可能性、可能造成的损失等因素后选择的保护措施,最大限度地降低风险,实行风险控制并对其效果进行监控;
·不确定性分析。尽可能充分地搜集各种可能导致风险的因素的有关情报,并建立尽可能准确的分析模型,预测风险发生的可能性及其影响。对不确定性因素进行分析时,需要借助一系列技术手段。
风险管理的一条基本原则是以最小的成本获得最大的保障。对风险的处理有风险回避、预防风险、自留风险和转移风险等四种方法。
1)风险回避
风险回避是指考虑到影响预定目标达成的诸多风险因素,结合决策者自身的风险偏好性和风险承受能力,从而做出的中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。风险回避的前提在于企业能够准确对企业自身条件和外部形势,客观存在的风险属性和大小有准确的认识。这种方法明显具有很大的局限性,因为并不是所有的风险都可以回避或应该进行回避。
2)预防风险
预防风险是指采取预防措施,以减小损失发生的可能性及损失程度。兴修水利、建造防护林就是典型的例子。预防风险涉及一个现时成本与潜在损失比较的问题:若潜在损失远大于采取预防措施所支出的成本,就应采用预防风险手段。
3)自留风险
自留风险是指自己非理性或理性地主动承担风险,即指一个企业以其内部的资源来弥补损失。“非理性”自留风险是指对损失发生存在侥幸心理或对潜在的损失程度估计不足从而暴露于风险中;“理性”自留风险是指经正确分析,认为潜在损失在承受范围之内,而且自己承担全部或部分风险比购买保险要经济合算。自留风险一般适用于对付发生概率小,且损失程度低的风险。
4)转移风险
转移风险是指通过某种安排,把自己面临的风险全部或部分转移给另一方。通过转移风险而得到保障,是应用范围最广、最有效的风险管理手段,保险就是其中之一。
【典型习题】
许多组织通过资金电子转账向其供应商付款,而不是签发支票。关于与签发支票有关的风险,以下风险管理技术中,资金电子转账代表了哪一项?
A.控制。
B.接受。
C.转移。
D.回避。
参考答案:D
解题思路:
A.不正确。取消支票付款并不代表实施了持续性的控制。控制更多是体现在
制度
关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载
上,比如建立权责分离。
B.不正确。取消支票付款不是接受与支票付款有关的风险,而是回避这种风险。
C.不正确。与支票付款有关的风险并没有转移给任何其他的人,而是不存在了。
D.正 确。通过取消支票付款,组织回避了与之有关的风险。区别转移和回避的要点在于,原风险是否仍然存在。选择风险回避,代表原风险不存在,但同样会产生新的风险。如题,虽然签发支票的风险不存在了,但应用电子转账会有新的风险。
PAGE
1