內(nèi)部審計學(xué)第七章風險管理審計

1、風險管理審計第七章了解風險的含義、要素及其分類了解風險管理要素及關(guān)鍵環(huán)節(jié)了解企業(yè)風險管理框架理解風險管理的定義理解風險管理與內(nèi)部控制的外在聯(lián)系掌握風險管理審計的含義掌握風險管理審計的內(nèi)容掌握風險管理審計的程序?qū)W習(xí)目標本章大綱風險與風險管理概述風險管理審計與內(nèi)部控制審計的關(guān)系風險管理審計的內(nèi)容風險管理審計的程序一風險與風險管理概述第一節(jié) 風險與風險管理概述一、風險的內(nèi)涵（一）風險的含義 風險是指影響組織目標實現(xiàn)的各種不確定性事件，包括內(nèi)部風險和外部風險。1.外部風險是指外部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性。 影響因素包括：國家法律法規(guī)變化、經(jīng)濟環(huán)境變化、科技發(fā)展、行業(yè)競爭、意外等。2.內(nèi)

2、部風險是指內(nèi)部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性。 影響因素包括：治理結(jié)構(gòu)、組織特點、信息系統(tǒng)、職業(yè)道德、業(yè)務(wù)素質(zhì)等。（二）風險要素 風險要素是指構(gòu)成風險特征，影響風險的產(chǎn)生、存在和發(fā)展的因素。1.風險條件：指引發(fā)風險事故或在風險事故發(fā)生時致使損失擴大的條件。（1）有形風險因素：火災(zāi)（2）無形風險因素：文化2.風險事故：即風險事件，是指直接導(dǎo)致生命、財產(chǎn)損失（人員傷亡、疾病、環(huán)境破壞、經(jīng)濟價值減少）發(fā)生的偶發(fā)事件。它是使風險造成損失的可能性轉(zhuǎn)化為現(xiàn)實性的媒介。3.風險損失：非故意的、非計劃的、非預(yù)期經(jīng)濟價值的減少（人員傷亡、疾病、環(huán)境破壞），這些損失是無法用貨幣來衡量的，但需要用貨幣衡量

3、由此所引起的經(jīng)濟困難或其對社會所創(chuàng)造經(jīng)濟價值能力的減少。二、風險的分類（一）按風險的對象劃分1.財產(chǎn)風險：損毀、滅失、貶值2.人身風險：疾病、傷殘、死亡3.責任風險：法律、合同、道義4.信用風險：違約或犯罪（二）按風險產(chǎn)生的原因劃分1.自然風險：自然、物理現(xiàn)象2.社會風險：過失、行為不當、故意3.經(jīng)濟風險：經(jīng)管、市場預(yù)測、價格變化、需求變化4.政治風險：種族宗教國家，沖突叛亂戰(zhàn)爭政權(quán)更替5.技術(shù)風險：科技發(fā)展淘汰（三）按風險的性質(zhì)劃分1.純粹風險：只損失，不獲利2.投機風險：有得有失（四）按風險產(chǎn)生的環(huán)境劃分1.靜態(tài)風險：非社會經(jīng)濟活動變化，自然力不規(guī)則或人們行為失誤：地震、灌水、臺風、疾病，

4、盜竊、呆賬、事故等2.動態(tài)風險：社會經(jīng)濟活動變化：體制改變、市場結(jié)構(gòu)調(diào)整、利率變化（五）按承受風險的能力劃分1.可接受風險：低于能夠接受最大損失限度2.不可接受風險：超過限度三、風險管理的含義（一）風險管理的定義 企業(yè)風險管理是一個過程，是由企業(yè)董事會、管理層以及其他人員共同實施的，應(yīng)用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事項，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。正確理解風險管理，需要把握以下一些基本概念：71.企業(yè)的風險管理是一個過程，其本身并不是目的，而是實現(xiàn)目的的一種方式。2.風險管理受人的影響，它不只是企業(yè)的政策、調(diào)查和表格，還涉及一

5、個企業(yè)各個層次的員工。3.風險管理也適用于企業(yè)戰(zhàn)略制定過程。4.企業(yè)風險管理應(yīng)在整個企業(yè)范圍內(nèi)應(yīng)用，包括組織整體及職能部門兩個層面，并應(yīng)以一種企業(yè)總體的風險組合的觀點來看待。5.風險管理的設(shè)計應(yīng)有助于確認對企業(yè)造成潛在影響的事項并確保，在企業(yè)風險偏好的范圍內(nèi)管理企業(yè)的風險。6.風險管理僅為企業(yè)的管理者和董事會提供合理的保證。7.風險管理的目的是將風險控制在可接受的范圍內(nèi)，風險的可接受范圍取決于組織對風險的態(tài)度。三、風險管理的含義2013（二）風險管理要素1.內(nèi)部環(huán)境：內(nèi)部人員看待風險的態(tài)度，風險管理理念、風險承受能力、正直和道德的價值觀及工作環(huán)境。2.目標設(shè)定：之后才能識別影響目標實現(xiàn)的事件。

6、3.事項識別：分清風險和機會。4.風險評估：之后確定管理的依據(jù)。5.風險應(yīng)對：規(guī)避、接受、降低和分擔并制定措施。6.控制活動：制定和實施政策與程序，確保風險應(yīng)對策略有效實施7.信息與溝通：借助信息來識別、評估和應(yīng)對風險；溝通包括信息的上傳、下達和平行流動。8.監(jiān)督：監(jiān)控風險管理并及時修正。（三）風險管理的關(guān)鍵環(huán)節(jié)1.風險識別是指根據(jù)組織目標、戰(zhàn)略規(guī)劃等識別所面臨的風險。組織目標包括戰(zhàn)略目標、經(jīng)營目標、各職能部門的目標、崗位目標等，風險的識別應(yīng)根據(jù)不同層次的目標分別進行，在整個組織的各層次都要進行。識別的風險可能會影響組織整體，也可能僅影響單個職能部門。2.風險評估是指對已識別的風險，評估其發(fā)生

7、的可能性及影響程度。風險評估是做出恰當?shù)娘L險應(yīng)對決策的基本前提。3.風險應(yīng)對指采取應(yīng)對措施，將風險控制在組織可接受的范圍內(nèi)。應(yīng)對措施應(yīng)根據(jù)風險的嚴重程度，在考慮成本效益原則的基礎(chǔ)上有針對性地進行：或采取措施，降低風險；或不采取措施，接受風險。四、企業(yè)風險管理框架 企業(yè)風險管理框架（ERMF）是反映風險管理過程和內(nèi)容的可視邏輯圖。這種框架通常是一般性的，易于被多數(shù)人理解。比較著名的有：P222-225（一）COSO1997風險模型（二）AS/NZE4360澳大利亞-新西蘭聯(lián)合委員會（三）安達信風險管理框架（四）IIA研究基金的ERM框架（五）COSOERM2004模型：轉(zhuǎn)型（六）中國ERM模型（

8、七）COSO-ERM2017模型：強調(diào)風險管理在創(chuàng)造、保持和實現(xiàn)價值方面的角色。二風險管理審計的內(nèi)容第二節(jié) 風險管理審計與風險控制審計的關(guān)系一、風險管理與內(nèi)部控制的外在聯(lián)系 從COSO的內(nèi)部控制整合框架與企業(yè)風險管理整合框架這兩份報告來看，風險管理與內(nèi)部控制有以下相似和不同之處：5第一，它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”，強調(diào)了全員參與的觀點，指出各方在內(nèi)部控制或風險管理中都有相應(yīng)的角色與職責。第二，它們都被明確定義為一個“過程”，不能當作某種靜態(tài)的東西，如制度文件、技術(shù)模型等；也不是單獨或額外的活動，如檢查評估等。它們最好被內(nèi)置于企業(yè)日常管理過程中，作為常規(guī)運行的機制來建

9、設(shè)。第三，它們都為企業(yè)目標的實現(xiàn)提供合理的保證。第四，風險管理與內(nèi)部控制的組成要素有五個方面是重合的，即（控制或內(nèi)部）環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。 這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。第五，企業(yè)風險管理整合框架提出了風險組合與整體風險管理的新觀念。 企業(yè)風險管理整合框架借用現(xiàn)代金融理論中的資產(chǎn)組合理論，提出了風險組合與整體管理的觀念，要求從企業(yè)層面上總體把握分散于企業(yè)各層次及各部門的風險，以統(tǒng)籌考慮風險對策，防止各部門分散考慮與應(yīng)對風險。二、風險管理與內(nèi)部控制的內(nèi)在聯(lián)系（一）企業(yè)內(nèi)部控制的發(fā)展演進與相關(guān)風險 企業(yè)的所有權(quán)與經(jīng)營權(quán)高度分離，職業(yè)經(jīng)營者有可能不履行其

10、受托責任而損害股東的利益。 有限責任也有可能誘使企業(yè)從事風險過高的項目而損害債權(quán)人利益。雍正反腐?。ǘ﹥?nèi)部控制或風險管理的根本作用是相同的 維護投資者利益、保全企業(yè)資產(chǎn)、創(chuàng)造新價值（三）內(nèi)部控制走向風險管理是一種趨勢 新的技術(shù)、市場條件，要求更主動、更全面的風險管理（四）內(nèi)部控制是風險管理的一個組成部分 交叉、整合、統(tǒng)一三、風險管理審計的含義及產(chǎn)生基礎(chǔ) 風險管理審計是指采用一種系統(tǒng)化、規(guī)范化的方法，以確定企業(yè)風險管理有效性的過程，包括確認和評價企業(yè)目標設(shè)定、風險識別、風險評估、風險應(yīng)對及監(jiān)督等管理活動的缺陷和缺陷等級，分析缺陷形成原因，提出改進風險管理的建議，從而幫助企業(yè)實現(xiàn)目標。（一）風險

11、管理審計是風險管理的必然要求（二）內(nèi)部審計介入風險管理的主要原因 內(nèi)部審計的獨立性、綜合性、了解內(nèi)部情況（三）開展風險管理審計是中國內(nèi)部審計的發(fā)展方向四、內(nèi)部審計在風險管理中的作用與責任（一）內(nèi)部審計在風險管理中的作用1.能幫助改進組織風險管理體系，并在風險管理過程中起關(guān)鍵作用2.能夠以第三者的身份從全局的高度客觀、公正地管理風險3.可以指導(dǎo)企業(yè)的風險應(yīng)對策略4.能以咨詢顧問的身份協(xié)助機構(gòu)確定、評價并實施針對風險管理的方法和控制措施5.內(nèi)部審計在風險管理中可以起到明顯的杠桿作用：相對于聘請會計師事務(wù)所進行風險評估而言，省力、高效。（二）內(nèi)部審計在風險管理中的責任 雖然內(nèi)部審計可以在業(yè)務(wù)層面上提

12、供與風險管理有關(guān)的確認服務(wù)與咨詢服務(wù)，但內(nèi)部審計不應(yīng)承擔原本屬于管理層的風險管理責任，如：設(shè)置風險偏好對風險管理過程施加影響為管理層提供風險保證就風險做出決策以管理層的立場進行風險應(yīng)對對風險管理負責五、風險管理審計與內(nèi)部控制審計的關(guān)系（一）風險管理審計與內(nèi)部控制審計的區(qū)別 41.從審計出發(fā)點來看，風險管理審計側(cè)重審核風險管理政策與組織經(jīng)營戰(zhàn)略方針的一致性；內(nèi)部控制審計側(cè)重組織經(jīng)營的橫向、縱向的制約與協(xié)調(diào)。2.從審核目標來看，風險管理審計主要審核組織風險管理政策設(shè)計的適當性、執(zhí)行的有效性以及風險損失處理的合理性；內(nèi)部控制審計主要是審核內(nèi)部控制設(shè)計的健全性、適當性和執(zhí)行的有效性。3.從審計方法來看

13、，風險管理審計主要運用預(yù)警分析、專業(yè)判斷和綜合評價等方法；內(nèi)部控制審計主要運用測試、分析和專業(yè)判斷等方法。4.從審計重點來看，風險管理審計的重心從組織的下層轉(zhuǎn)向組織的上層，主要集中在高管層之上，包括組織的公司治理、戰(zhàn)略決策等，風險管理審計的內(nèi)容按照企業(yè)風險管理流程設(shè)計展開，從企業(yè)目標的角度來評估與改善風險，并對企業(yè)風險管理體系的準確、可靠、充分和有效發(fā)表審計意見；內(nèi)部控制審計的重點集中在高管層之下，在對內(nèi)部控制各個控制環(huán)節(jié)的審查上，目的在于發(fā)現(xiàn)內(nèi)部控制中的薄弱環(huán)節(jié)。發(fā)現(xiàn)這些薄弱環(huán)節(jié)實際上就是找出了問題發(fā)生的根源，然后在這些環(huán)節(jié)上擴大檢查范圍，看其是否造成了重大的錯誤或舞弊。（二）風險管理審計與

14、內(nèi)部控制審計的聯(lián)系 內(nèi)部控制的設(shè)計和執(zhí)行應(yīng)該針對風險管理的要求，而風險管理很大程度上依賴于內(nèi)部控制的設(shè)計和執(zhí)行。因此，風險管理審計與內(nèi)部控制審計相互滲透，目的都是為了增加組織價值。特別是COSO組織發(fā)布2013年內(nèi)部控制整合框架后，內(nèi)部控制和風險管理進一步融合，聯(lián)系更加緊密。六、風險管理審計與風險導(dǎo)向?qū)徲嫷年P(guān)系（一）風險管理審計和風險導(dǎo)向?qū)徲嫷膮^(qū)別 31.含義不同 風險管理審計是內(nèi)部審計機構(gòu)通過對組織風險識別、風險程度的評價等工作的審計，評價風險政策的合理性、措施的適當性以及執(zhí)行的有效性； 風險導(dǎo)向?qū)徲嬍莾?nèi)部審計機構(gòu)為了提高內(nèi)部審計工作的質(zhì)量和效率，降低審計風險，測試組織的風險戰(zhàn)略和風險管理，

15、根據(jù)測試結(jié)果，決定其他相應(yīng)審計的范圍、性質(zhì)、程度和時間。2.側(cè)重點不同 在風險管理審計中，內(nèi)部審計人員站在組織戰(zhàn)略管理的高度，運用系統(tǒng)思維，通過對風險管理措施、方法、程序的審計，結(jié)合內(nèi)部控制、財務(wù)、績效的審核結(jié)果，對風險管理現(xiàn)狀及效果進行專業(yè)判斷，提出審計評價與建議，側(cè)重于對風險管理進行確認和咨詢。 風險導(dǎo)向?qū)徲嬐ㄟ^對組織風險的測試確定實質(zhì)性測試的程度，從而提高審計效率和質(zhì)量，降低審計風險，側(cè)重于實現(xiàn)既定審計目標。3.服務(wù)對象不同 風險管理審計作為一種具體審計業(yè)務(wù)，主要服務(wù)于組織高級管理層和董事會； 風險導(dǎo)向?qū)徲嫺嗟刈鳛橐环N審計方法，直接服務(wù)于內(nèi)部審計機構(gòu)。（二）風險管理審計和風險導(dǎo)向?qū)徲嫷?/p>

16、聯(lián)系1.審計依據(jù)都是組織的風險管理框架，即風險管理方針、策略和風險評價指標體系等。2.業(yè)務(wù)內(nèi)容基本上都是對組織風險范圍的確定、風險識別、風險評價、風險管理措施和方法、風險處理等方面進行審核。3.審計的總目標都是為戰(zhàn)略決策提供信息，為實現(xiàn)戰(zhàn)略目標服務(wù)，為組織增加價值。三風險管理審計的內(nèi)容20132014201520162017第三節(jié) 風險管理審計的內(nèi)容一、審查與評價風險管理機制（一）審查風險管理組織機構(gòu)的健全性（二）審查風險管理程序的合理性（三）審查風險預(yù)警系統(tǒng)的存在及有效性二、審查和評價風險識別的適當性及有效性注意教材的順序1.審查風險識別原則的合理性2.審查風險識別方法的適當性 各種方法相互

17、融通、相互結(jié)合3.評估風險識別的充分性 面臨風險均被識別2013三、審查和評價風險評估方法的適當性及有效性（一）外部風險評估 外部風險：外部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性。1.國家法律法規(guī)及政策的變化2.經(jīng)濟環(huán)境的變化3.科技的快速發(fā)展4.行業(yè)競爭、資源及市場的變化5.自然災(zāi)害及意外損失6.其他2013（二）內(nèi)部風險評估 內(nèi)部風險：內(nèi)部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性1.組織治理結(jié)構(gòu)的缺陷2.組織經(jīng)營活動的特點3.組織資產(chǎn)的性質(zhì)及資產(chǎn)管理的局限性4.組織信息系統(tǒng)的故障或中斷5.組織人員的道德品質(zhì)、業(yè)務(wù)素質(zhì)未達到要求6.其他2013（三）風險評估的方法：定量分析法、定性分析法P

18、233 常用風險評估方法簡表 30種方法對比P237 技術(shù)在風險評估階段的適用性 32種方法對比（四）內(nèi)部審計人員對管理層采用的風險評估方法進行審查時，應(yīng)重點考慮的因素1.已識別的風險特征2.相關(guān)歷史數(shù)據(jù)的充分性和可靠性3.管理層進行風險評估的技術(shù)能力4.成本效益的考核與衡量20132014201520162017四、審查和評價風險應(yīng)對措施的適當性和有效性（一）風險應(yīng)對措施1.回避，是指采取措施避免進行可產(chǎn)生風險的活動。2.接受，是指由于風險已在組織可接受的范圍內(nèi)，因而可以不采取任何措施。3.降低，是指采取適當措施將風險降低到組織可接受的范圍內(nèi)。4.分擔，采取措施將風險轉(zhuǎn)移給其他組織或保險機構(gòu)

19、（二）審計和評價的要點1.采取風險應(yīng)對措施之后的剩余風險水平是否在組織可以接受的范圍之內(nèi)。2.采取的風險應(yīng)對措施是否符合本組織的經(jīng)營、管理特點。3.成本效益的考核與衡量等。四風險管理審計的程序第四節(jié) 風險管理審計的程序 特定項目的風險管理審計程序共有七步：設(shè)定目標評估風險分析流程審計測試評估風險管理能力提出改進建議編制風險管理審計報告詳見下頁2013一、設(shè)定目標（一）確定審計項目的動因動因：年度審計計劃、管理層的特別要求、某項風險事件的發(fā)生。有助于確定審計的目標、范圍、重點（二）識別和理解流程的關(guān)鍵目標流程的目標：戰(zhàn)略目標、經(jīng)營目標、價值目標理解企業(yè)的具體流程及流程管理的根本原因（三）確定關(guān)鍵

20、績效指標（KPI）了解有哪些關(guān)鍵績效指標以及如何監(jiān)控評估流程設(shè)計的有效性，指標的相關(guān)性、可衡量性、信息可靠性以及表述清晰性。2013二、評估風險1.按照重要性（風險對企業(yè)造成不利影響的程度，見表7-3）對風險進行排序。2.按照可能性（見表7-4）對風險進行排序。3.審計人員通過研究通用風險模型（圖7-8所示）、發(fā)動相關(guān)人員補充例外風險、定義風險、聯(lián)結(jié)風險與戰(zhàn)略等各項工作，建立一個特定的風險模型，確保影響企業(yè)成功的所有風險都能被識別、定義和理解。4.通過當面訪談、發(fā)放調(diào)查表、召開座談會等形式收集相關(guān)信息，按照重要性、可能性以及容忍度等標準，使用專家評分法、風險評估模型、風險指數(shù)法等方法確定哪些風

21、險是主要風險，哪些風險是次要風險以及哪些風險是低級風險，從而為保證核心風險能夠得到有效管理奠定堅實的基礎(chǔ)。2013此外，在這一步中，審計人員還需了解管理層對各種風險的容忍度，以便于： 在評估流程設(shè)計的差距、 決定執(zhí)行什么樣的審計測試 確定必須達到哪些審計結(jié)果時能夠更好地權(quán)衡公司治理與管理的容忍度。三、分析流程1.通過流程圖等形式對公司流程及流程管理形成清晰的認識。2.識別和記錄將風險控制在預(yù)期水平的關(guān)鍵控制點。3.評估這些關(guān)鍵控制點是否能夠有效地將風險控制在預(yù)期水平。4.如果這些關(guān)鍵控制點不足以將風險控制在預(yù)期水平，則進一步識別差距在哪里并確定縮小這種差距的措施。5.對存在較大認識偏差的風險進

22、行了解，或者由公司組織討論，并將不同的風險認知水平揭示出來，引導(dǎo)責任人進行再次理解、判斷和評估，直到不存在較大偏差。四、審計測試（一）測試的目的1.證實流程的實際運行是否如設(shè)計的那樣能夠確保預(yù)期目標的實現(xiàn)。2.當沒有相應(yīng)的流程，或流程運行不暢時，確定潛在的影響有多大。（二）為達此目的，內(nèi)部審計人員的做法1.實施符合性測試，驗證流程是否如設(shè)計的那樣在有效運行。2.當流程的一部分設(shè)計不完善或未能如設(shè)計的那樣順暢運行時，執(zhí)行實質(zhì)性測試（量化測試），以推算或預(yù)測潛在的影響。3.根據(jù)測試結(jié)果，評估流程的有效性。4.對設(shè)計不完善的流程或運行不暢的流程，應(yīng)進一步分析其原因，找出可能的解決方案。五、評估風險管

23、理能力（一）風險管理綜合能力主要體現(xiàn)在：戰(zhàn)略與政策、流程、人力資源、技術(shù)、信息、管理報告等（二）這些能力可劃分為五個階段：初始階段、可重復(fù)階段、確定階段、管理階段、優(yōu)化階段。（三）本步驟具體工作1.內(nèi)部審計人員基于流程分析和審計測試的結(jié)果，描述每一項能力的具體特征，并對照五個階段的界定來確定企業(yè)風險管理水平當前所處的階段。2.綜合考慮管理層對風險的容忍度與公司治理的相關(guān)要求，確定每種能力的期望水平（所處階段）。3.針對各項風險管理能力當前所處階段與期望階段之間的差距，考慮各種改進技術(shù)方法和政策措施。六、提出改進建議按照SMART（針對性specific、可測量性measurable、能達到ac

24、tionable、責任responsibility、及時性timely）標準，1.結(jié)合前述各步驟中的審計發(fā)現(xiàn)及當前風險管理活動的實際情況，2.提出完善風險管理行動計劃的建議，3.及時與管理層進行溝通，4.落實風險管理改進責任人，5.設(shè)定建議落實時限，以確保實現(xiàn)風險管理審計最終的增值功能。七、編制風險管理審計報告 風險管理審計報告是內(nèi)部審計人員在實施必要的審計程序后，以經(jīng)過核實的審計證據(jù)為依據(jù)，就被審計單位內(nèi)部風險管理狀況的適當性、合規(guī)性和有效性出具的書面文件。其基本要素應(yīng)包括：標題、收件人、正文、附件、簽章、報告日期。 風險管理審計報告的正文內(nèi)容是實施風險管理審計結(jié)果的綜合反映，是風險管理審計

25、報告的核心內(nèi)容。其主要內(nèi)容應(yīng)包括：審計概況、被審計單位風險管理基本情況、審計評價和審計建議。（一）審計概況 主要描述本次風險管理審計的依據(jù)、審計目的和范圍、審計重點和審計標準、主要實施程序等內(nèi)容。（二）被審計單位風險管理基本情況1.主要反映審計期間內(nèi)被審計單位的如下情況：（1）風險管理基本流程運轉(zhuǎn)情況（2）風險管理監(jiān)督與改進情況（3）風險管理組織體系建設(shè)情況（4）風險管理信息系統(tǒng)建設(shè)情況（5）風險管理文化建設(shè)情況等2.問題與成因 主要反映審計期內(nèi)被審計單位在風險管理中存在的問題，并針對問題產(chǎn)生的主觀和客觀情況進行剖析。（三）審計評價 主要反映通過審計得出的對審計期內(nèi)被審計單位在風險管理方面的結(jié)

26、論性評價，主要包括以下五個等級：風險管理與控制有效風險管理與控制基本有效風險管理與控制有缺陷風險管理與控制有重大缺陷風險管理與控制失職（四）審計建議 主要描述對已查明審計事實和審計評價結(jié)果提出改進和完善內(nèi)部風險管理的建議。 風險管理審計的建議應(yīng)主要包括以下四個方面：1.建議風險回避，即建議管理層主動放棄或拒絕實施那些可能引起風險損失的事項。2.建議風險轉(zhuǎn)移，即建議管理層將自己面臨的風險采取保險、利用法律規(guī)定保護或其他有效方式轉(zhuǎn)移給其他單位。3.建議風險控制，即針對不同的風險點，建議管理層采取預(yù)防性、指導(dǎo)性、檢查性和糾正性等控制措施，設(shè)法降低發(fā)生風險損失的概率和損失的數(shù)額。4.建議風險承擔，即在

27、處置風險成本高于承擔風險所付出的代價時，建議管理層不采取任何措施。 風險管理審計報告由內(nèi)部審計人員撰寫，征求被審計單位意見后提交本單位董事會或管理層審核和應(yīng)用。本章小結(jié)20132014201520162017 風險是指影響組織目標實現(xiàn)的各種不確定性事件，包括內(nèi)部風險和外部風險。風險要素是指構(gòu)成風險特征，影響風險的產(chǎn)生、存在和發(fā)展的因素，可歸結(jié)為三個要素：風險條件、風險事故和風險損失。企業(yè)風險管理是一個過程，是由企業(yè)董事會、管理層以及其他人員共同實施的，應(yīng)用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。 風險管理

28、審計是指采用一種系統(tǒng)化、規(guī)范化的方法，確定企業(yè)風險管理有效性的過程，包括確認和評價企業(yè)目標設(shè)定、風險識別、風險應(yīng)對及監(jiān)督等管理活動的缺陷和缺陷等級，分析缺陷形成原因，提出改進風險管理建議，從而幫助企業(yè)實現(xiàn)目標。 風險管理審計的內(nèi)容主要包括審查與評價風險管理機制、審查和評價風險識別的適當性及有效性、審查和評價風險應(yīng)對措施的適當性和有效性。本章練習(xí)題20132014201520162017一、單選題1.以下關(guān)于風險分類的敘述中，是指在經(jīng)濟交往中，權(quán)利人與義務(wù)人之間由于一方違約或犯罪而使對方蒙受經(jīng)濟損失的風險的是（）。A.財產(chǎn)風險B.人身風險C.責任風險D.信用風險2.從風險管理的過程來看，主要有三

29、個關(guān)鍵環(huán)節(jié)：風險識別、風險評價、風險應(yīng)對，其中，根據(jù)組織目標、戰(zhàn)略規(guī)劃等識別所面臨的風險對應(yīng)的是（）。A.風險識別B.風險評估C.風險應(yīng)對D.風險管理3.以下（）是世界上第一部比較規(guī)范的風險管理模型，并將風險管理過程分為確定風險范圍、識別風險、分析風險、評價風險、處理風險、信息與溝通、監(jiān)督與審核七個部分。A.COSO風險模型B.AS/NZE4360模型C.安達信風險管理框架D.IIA研究基金的ERM框架本章練習(xí)題20132014201520162017一、單選題4.（）是指采用一種系統(tǒng)化、規(guī)范化的方法，確定企業(yè)風險管理有效性的過程，包括確認和評價企業(yè)目標設(shè)定、風險識別、風險應(yīng)對及監(jiān)督等管理活動

30、的缺陷和缺陷等級，分析缺陷形成原因，提出改進風險管理建議，從而幫助企業(yè)實現(xiàn)目標。A.風險管理審計B.風險管理C.內(nèi)部控制D.內(nèi)部控制審計5.（）按照企業(yè)風險管理流程展開，從企業(yè)目標的角度來評估與改善風險，并對企業(yè)風險管理體系的準確、可靠、充分和有效發(fā)表審計意見。由于審計的內(nèi)容不盡相同，審計方法上也有一定的差異。A.風險管理審計B.風險管理C.內(nèi)部控制D.內(nèi)部控制審計6.以下風險評估的主要方法中，能使內(nèi)部審計師搜尋到范圍更廣、內(nèi)涵更深及更具實質(zhì)性的審計發(fā)現(xiàn)，并歸納出風險管理審計的分析結(jié)論的是（）。A.比率與差異分析法B.靜態(tài)和趨勢分析法C.建立分析模型和計算機數(shù)據(jù)庫D.定性分析法本章練習(xí)題20132014201520162017一、單選題7.（）是內(nèi)部審計人員在實施必要的審計程序后，以經(jīng)過核實的審計證據(jù)為依據(jù)，就被審計單位內(nèi)部風險管理狀況的適當性、合規(guī)性和有效性出具的書面文件。A.風險管理審計B.風險管理審計內(nèi)容C.風險管理審計報告D.風險管理審計目標8.描述本次風險管理審計的依據(jù)、審計目的和范圍、審計重點和審計標準、主要實施程序等內(nèi)容的是（）。A.審計概況B.審計情況C.審計評價D.審計建議9.（）即是否收集風險管理初始信息，是否組織進行風