1、风险管理与公司治理审计 内部审计与公司治理内部审计与公司治理一、获得董事会对内部一、获得董事会对内部审计章程的批准审计章程的批准内部审计既内部审计既是管理控制是管理控制的组成部分,的组成部分,又是评价其又是评价其他管理控制他管理控制的手段的手段内部审计章程由内部审计部门起草,并经内部审计章程由内部审计部门起草,并经 董事会、审计委员会、相关治理机构和高董事会、审计委员会、相关治理机构和高级管理层批准或认可。级管理层批准或认可。保证内部审计的独立性和地位。使工作不保证内部审计的独立性和地位。使工作不受限。也是评价内部审计质量的依据。受限。也是评价内部审计质量的依据。二、沟通审计业务计划二、沟通审
2、计业务计划年度工作计划应报高级管理层审批,年度工作计划应报高级管理层审批,并报董事会备案。并报董事会备案。若中期发生重大变化,应及时沟通若中期发生重大变化,应及时沟通。三、报告重大审计事项三、报告重大审计事项 首席审计执行官首席审计执行官每年至少向高级管每年至少向高级管理层和董事会提交理层和董事会提交一次工作报告,这一次工作报告,这是定期的工作。是定期的工作。当出现重大审计当出现重大审计事项时,应及时报事项时,应及时报告董事会,包括告告董事会,包括告知高级管理层的决知高级管理层的决定。定。应在向董事会报告重大事应在向董事会报告重大事项前,与高级管理层进行讨论。项前,与高级管理层进行讨论。若高级
3、管理层决定不采取任若高级管理层决定不采取任何行动并承担由此产生的风险,何行动并承担由此产生的风险,应再次向董事会报告。应再次向董事会报告。四、定期向董事会报四、定期向董事会报告关键绩效指标告关键绩效指标1.确定衡量绩效的相关标确定衡量绩效的相关标准准2.将绩效成果与已确定的将绩效成果与已确定的标准相比较。标准相比较。3.评估绩效差距评估绩效差距Key performance indicators,Key performance indicators,KPIsKPIs,可衡量:,可衡量:,可衡量:,可衡量:(1)(1)产出产出产出产出 (2 2)组织流程的特征)组织流程的特征)组织流程的特征)组
4、织流程的特征(及时性,精确性)(及时性,精确性)(及时性,精确性)(及时性,精确性)(3 3)风险)风险)风险)风险 (4 4)可持续指标或公)可持续指标或公)可持续指标或公)可持续指标或公司社会责任指标司社会责任指标司社会责任指标司社会责任指标五、讨论重大风险领域五、讨论重大风险领域六、支持董事会开展全面六、支持董事会开展全面风险评估风险评估1.评价组织的风险。评价组织的风险。2、检查会议记录,确定、检查会议记录,确定机构对风险的承受能力。机构对风险的承受能力。3、检查以前的风险评估报告。、检查以前的风险评估报告。4、与管理层讨、与管理层讨论降低风险和控制风险的活动。论降低风险和控制风险的活
5、动。5、独立评估、独立评估风险控制的有效性。风险控制的有效性。6、评估、评估“报告专线报告专线”的的恰当性。恰当性。7、评价管理层的风险自我评估。、评价管理层的风险自我评估。8、评估与风险管理相关的管理薄弱环节。评估与风险管理相关的管理薄弱环节。七、检查内部审计部门在七、检查内部审计部门在组织内风险管理框架中的组织内风险管理框架中的定位定位风险管理是管理风险管理是管理层的关键责任。层的关键责任。内审部门的协助内审部门的协助工作不能超出正工作不能超出正常的保证和咨询常的保证和咨询范围,即不负风范围,即不负风险管理的责任。险管理的责任。1、董事会应当负责制定战略目标。、董事会应当负责制定战略目标。
6、2、风险的所有权应当赋予高级管理层。、风险的所有权应当赋予高级管理层。3、剩余风险的接纳应当留给执行管理、剩余风险的接纳应当留给执行管理层。层。4、持续的识别、评估、减轻和监督活、持续的识别、评估、减轻和监督活动应当交由运营层。动应当交由运营层。5、内部审计部门应当定期评价并协助、内部审计部门应当定期评价并协助其他部门进行风险管理。其他部门进行风险管理。八、监督遵守公司行为规八、监督遵守公司行为规范和商业惯例情况范和商业惯例情况1、组织是否建立了关于行为规范和商、组织是否建立了关于行为规范和商业惯例的道德规范。业惯例的道德规范。2、针对不同的员工,强调不同的重点。、针对不同的员工,强调不同的重
7、点。3、是否进行了相关讲座和培训。、是否进行了相关讲座和培训。4、哪些合理措施保证员工遵守行为规、哪些合理措施保证员工遵守行为规范和商业惯例。范和商业惯例。行为规范涉及:行为规范涉及:利益冲突、保密、利益冲突、保密、公平交易、恰当公平交易、恰当使用组织资产、使用组织资产、礼品及酬金、遵礼品及酬金、遵守法律、规则及守法律、规则及监督制度、报告监督制度、报告违法及不道德行违法及不道德行为。为。九、报告控制框架的有九、报告控制框架的有效性效性增值服务:增值服务:1、参与信息披露控制和流程的初、参与信息披露控制和流程的初始设计。始设计。2、加入信息披露委员会。、加入信息披露委员会。3、协调外部审计师和
8、管理层的行、协调外部审计师和管理层的行动。动。4、独立地评价信息披露控制和流、独立地评价信息披露控制和流程。程。评价的内容和范围:评价的内容和范围:评价的标准:评价的标准:评价的程序:如在制定审计评价的程序:如在制定审计计划时,将控制过程列入检计划时,将控制过程列入检查和评价范围。查和评价范围。与管理层与管理层一起进行控制自我评价。一起进行控制自我评价。评价结果报告的接受对象:评价结果报告的接受对象:高级管理层和审计委员会高级管理层和审计委员会十、协助董事会评估外部审计十、协助董事会评估外部审计师的独立性师的独立性十一、评估董事会的道德氛围十一、评估董事会的道德氛围董事会为组织设立最高基调和监
9、督所有治理活动。董事会为组织设立最高基调和监督所有治理活动。评估董事会结构、目标和活性评估董事会结构、目标和活性评估董事会成员的职能评估董事会成员的职能评估董事会的方针手册评估董事会的方针手册评估董事会教育与培训评估董事会教育与培训十二、评估组织的道德十二、评估组织的道德氛围氛围清晰易懂的道德规范清晰易懂的道德规范有影响力的领导有影响力的领导接受举报的机构接受举报的机构保护检举人的制度保护检举人的制度 鼓励良好道德的人事制度鼓励良好道德的人事制度定期检查损害道德氛围的定期检查损害道德氛围的偏见偏见内部审计应:内部审计应:评价组织道德政策的健全性评价组织道德政策的健全性检查人事政策检查人事政策检
10、查沟通机制检查沟通机制检查不良行为被调查、发现检查不良行为被调查、发现和报告的程序和报告的程序十三、评估在特定领域十三、评估在特定领域遵守政策的情况遵守政策的情况电子商务领域电子商务领域环境、健康和安全风环境、健康和安全风险险衍生产品衍生产品环境、健康和安全审计环境、健康和安全审计(EHS)程序采用面向)程序采用面向遵循性的方法或面向管遵循性的方法或面向管理系统的方法,或两者理系统的方法,或两者同时使用。同时使用。十四、评估组织向董事十四、评估组织向董事会报告的机制会报告的机制管理层有责任向董事会管理层有责任向董事会报告,报告可以是定期报告,报告可以是定期的或非定期的。的或非定期的。评估是否建
11、立了关于报评估是否建立了关于报告的书面政策。告的书面政策。报告机制是否充分有效。报告机制是否充分有效。十五、跟踪并报告管理层对法规十五、跟踪并报告管理层对法规监管机构检查结果的落实情况监管机构检查结果的落实情况对外部审计的结果与内对外部审计的结果与内部审计的结果进行跟踪部审计的结果进行跟踪和报告的做法是基本一和报告的做法是基本一致的,两者可同时进行。致的,两者可同时进行。将检查结果向负责采取纠正措将检查结果向负责采取纠正措施的管理层报告。施的管理层报告。收集管理层对检查结果反应的收集管理层对检查结果反应的最新信息最新信息评价管理层对检查结果的反应。评价管理层对检查结果的反应。向董事会或高级管理
12、层报告被向董事会或高级管理层报告被审计管理层对检查结果的反应。审计管理层对检查结果的反应。十六、十六、跟踪并报告管理层对跟踪并报告管理层对外部审计结果的落实情况外部审计结果的落实情况十七、评估业绩测评系统的充分十七、评估业绩测评系统的充分性和整体目标的实现情况性和整体目标的实现情况信息搜集系统是信息搜集系统是最普遍的舞弊检最普遍的舞弊检查手段。如举报查手段。如举报热线。热线。舞弊控制机制包括:舞弊控制机制包括:1.创设高标准道德规范的组创设高标准道德规范的组织文化。织文化。2.评估舞弊防范流程与控制。评估舞弊防范流程与控制。3.建立一套恰当的监督机制建立一套恰当的监督机制十八、支持树立舞弊防范
13、意识,十八、支持树立舞弊防范意识,鼓励报告不正当的行为鼓励报告不正当的行为 风险管理内部审计风险管理框架(ERM)1.内部环境:道德观、人员、管理者的经营理念及风险管理的态度和文化。2.目标设定:战略、营运、报道、合规3.事件识别:不确定性事件(风险还是机会)、横跨企业各部门或垂直贯穿某业务单位。4.风险评估:固有风险/剩余风险,概率和影响,单个或联系,定性和定量风险管理框架(ERM)5.风险应对:避免、分散、控制、共享、转移、接受。6.控制活动:核准、授权、职务分离、撤销、确认、业绩审查、资产保护等。7.信息与沟通:内部沟通、外部沟通、横向沟通、上下沟通。8.监控:持续监督,单独评价有效的风
14、险管理的特征1.由管理层实施,并贯穿于日常决策始终并涵盖所有业务。2.打破各部门的分割,将各部门相互联系地考虑。3.强调分类进行。4.强调对薄弱环节的关注,尤其当这些风险可能导致组织的崩溃。5.考虑风险的联系和交互作用。6.风险管理应融入组织文化。7.不仅要注重规避风险,还要注重创造价值。风险管理的技巧避免 Avoid控制 Control转移 Transfer分散 Diversity共享 Share接受 Accept方法一:避免风险 Avoid特点:方法:实例:常规作业可以控制发生概率高风险危害大通过政策规定,规范业务行为通过定期检查,避免重大风险财务报销基本流程和规定采购批准的审核权限销售订
15、单的审核标准方法二:分散风险 Diversity特点:方法:实例:风险危害大发生可能大控制成本高方法有限分散防范措施降低风险企业多元化投资经销商三选一关键信息的备份方法三:控制风险 Control特点:方法:实例:涉及资产金额巨大与经营目标关系密切可以控制建立内控系统外部/内部审计建立作业流程全面预算管理大额采购的招标制度固定资产的定期盘点关键绩效定期报告方法四:转移风险 Transfer风险大单方不可控制损失成本过高风险后果影响大特点:方法:实例:转移自身风险到第三方减轻风险损失买各类保险防范天灾人祸方法五:分担风险 Share特点:方法:实例:风险大参与方交易规则明确不可控制因素多风险后果
16、危害大,成本高总包与分包合信用证结算贷款的担保制度分工负责,规定义务双/多方共同分担风险方法六:接受风险 Accept特点:方法:例:清楚风险来源发生可能性低有预防措施防范接受风险坐车;过马路公司访客开拓新市场选择风险管理方法的标准1.风险范围,金额大小2.严重程度,影响大小3.发生的可能性的高低4.紧迫程度高低5.可控/不可控6.控制成本高低7.可操作性8.公司主营业务风险管理方法(一)风险矩阵图不采取不采取措施措施确保规避或转确保规避或转移,优先安排移,优先安排防范措施防范措施严格控制,严格控制,专门补充控制措施专门补充控制措施 严格控制,严格控制,专门补充控制措施专门补充控制措施影响程度
17、风险概率风险概率风险管理方法(二)关键风险指标管理 1.确定量化关键的风险成因,2.分析确定导致风险事件发生时的具体数值,3.以该具体数值为基础,再加上或减去一定数值,即为关键风险指标。4.跟踪监测关键成因数值的变化,一旦达到关键风险指标,就发出预警。例如:某容器泄露的主要原因为使用时期长。若50年为最高限,则45年为关键风险指标。风险管理方法(三)压力测试 1.针对某风险管理模型或内控流程,假设可能发生的极端情景。(发生概率小,但一旦发生,后果十分严重,还应考虑历史上从未发生过的极端情形。2.评估极端情景发生时,该风险管理模型或内控流程是否有效,并分析对目标可能造成的损失。3.制定相应措施,
18、进一步修改和完善风险管理模型或内控流程。例如:火灾、被盗、巨大的业务流量。案例:沃尔玛的风险管理1、专门成立风险管理委员会,将日常风险监控与风险战略规划有机结合。审计委员会负责监督。2、风险管理过程模式包括风险识别、风险应对、行动计划、绩效评估、股东价值。3、组成跨部门的专家小组,进行全面调查,由风险管理委员会对数据进行汇总分析,形成风险识别报告。发现:当前最可能发生的重要风险来自于“人力资源、国际增加的协调、网络基础建设”。案例:沃尔玛的风险管理4、制定风险应对方案。选型风险点的负责人和分组,进行分工,明确各自职责,并确定最后完成时间和评估标准。5、工作绩效评估重点在于:工作的结果、实际完成
19、情况、今后的发展。动态评估,通过监测、评估和报告完成,最后用评估打分表反映。6、股东价值分析在于将风险事件与股东的投资收益、股价等进行对比,计算应对措施对股东的投资收益、股价的贡献。需要复杂计算,由计算机完成。内部审计在风险管理中的作用内部审计的风险管理职责既要考虑组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。内部审计与组织的风险管理成熟度无意识 零碎的 有管理的 系统化的 擅长应对风险是否遵守 是否整合了 做的事情 是否在做了相关法规 管理信息 是否正确 正确的事情风险管理不太成熟:咨询业务,关注风险管理的架构和方法,以及基本风险的控制,为管理层献计献策风险管理
20、较成熟:确认业务,促进改善风险管理介于之间:评估组织的最佳实务和应变措施,优化风险管理实务。内部审计与风险影响程度和概率1.影响大,内控较薄弱:咨询业务,为内控设计提供帮组,跟踪纠正措施的进展。2.影响大,内控漏洞小:确认业务,在准备阶段获取对合理性的确认。获取对效果性的保证,识别提高效率的方法。3.影响小,内控较薄弱:评估积累的影响和发生频率。4.影响小,内控漏洞小:重新分配资源。内控漏洞风险影响影响大,内影响大,内控漏洞小,控漏洞小,确认确认影响大,内控影响大,内控薄弱,咨询薄弱,咨询影响小,内影响小,内控漏洞小,控漏洞小,重新部署重新部署影响小,内控影响小,内控薄弱,累计影薄弱,累计影响
21、响内审对风险管理的审查一、风险识别过程的审查和评价 1.风险识别的方法:环境分析法、财务报表分析法、流程图法、幕景分析法、决策分析法、动态分析法、实地勘察法、文件检查法、专家调查法、分解分析法。2.风险识别过程的审查和评价:询问、观察、实地调查、审核文件、分析性复核。3.区分内部风险、外部风险。4.第一次进行风险识别需花费较多时间和较大成本,应形成完善的书面资料。后续风险评价只需根据变化的情况适当调整。内审对风险管理的审查二、风险评估过程的审查和评价 1.(1)风险损失频率:考虑风险暴露数、损失形态、危险事故。(2)风险损失程度:考虑风险暴露数、损失形态、损失的时间和金额。(3)风险矩阵。2.
22、定量和定性:定量方法有专家打分法、层次分析法、风险暴露计算模型、风险价值法。3.对风险评估过程的审查和评价应考虑:(1)已识别风险的特征 (2)相关历史数据的充分性和可靠性 (3)管理层进行风险评估的技术能力 (4)成本效益的考核与衡量内审对风险管理的审查三、风险应对措施的审查与评价 应考虑:1.采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内。2.采取的风险措施是否适合本组织的经营、管理特点。3.成本效益的考核与衡量。接下页接下页检查经营持续性计划工作面对灾难 一份详细的应对灾难计划应能提供紧急反应程序、替代通讯系统和现场设施、信息备份、灾难恢复、业务影响评价和恢复计划、功能恢复计划,以确保组织有准备应对紧急或灾难事件的日常维持程序。内部审计师应检查灾难恢复计划,以确保在发生不利情形后及时重启业务和流程是充分的。并且应确定是否包括了随着时间的推移而发生的变化。在灾难发生后的恢复期间,内部审计师应对经营活动恢复和控制的有效性进行监督。风险管理审计报告1.披露风险表现和风险排序。2.披露被审计单位对利用风险、防范风险的制度、措施及执行情况。3.披露风险利用、风险防范的效果。4.披露风险管理审计的方法、风险评价的条件和标准。5.谨慎披露舞弊事项。6.前瞻性地规划提高风险管理质量的建议。
