风险评估和内部审计

《风险评估和内部审计》由会员分享，可在线阅读，更多相关《风险评估和内部审计（8页珍藏版）》请在装配图网上搜索。

1、风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。什么是风险评估从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 风险评估任务风险评估的主要任务包括： 识别评估对象面临的各种风险 评估风险概率和可能带

2、来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 风险评估过程注意事项在风险评估过程中，有几个关键的问题需要考虑。 首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？ 其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？ 第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？ 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？ 最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？ 解决以上问题的过程，就是风险评估的过程。 进行风险评估时，有几个对应关系必须考虑： 每项资产可能面

3、临多种威胁 威胁源（威胁代理）可能不止一个 每种威胁可能利用一个或多个弱点内部审计的定义1，1999年6月，内部审计师学会董事会通过了内部审计的如下定义：“内部审计是一项独立、客观的咨询活动，用于 改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。” 2，在我国内部审计，是指由被审计单位内部机构或人员，对其内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。内部审计是和政府审计、注册会计师审计并列的三种审计类型之一。内部审计是“外部审计”的对应称法，即：由部门、单

4、位内部设置的专职机构及人员，独立地对本部门、本单位的财政财务收支及有关经济活动进行审查，用以健全内部控制，维护财经纪律，改善经营管理，提高经济效益的综合经济监督活动。内部审计在中国审计组织体系中，起着以国家审计为主导，以内部审计为基础的重要作用，支撑着企业的审计工作。内部审计的本质在于，作为企业指挥者管理机能的一部分，对企业管理手段妥善与否、有无弊漏和是否经济有效，进行经常性的检查、分析和评价。内部审计的主要缺陷和特点是，由于在本单位领导下进行内部审计活动，其独立性表现稍弱；但具有及时性、连续性、针对性、预防性等特点。内审的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实现其目

5、标内部审计主要侧重点是有效性、经济性、合规性。内部审计目标内部审计的目标是促进本部门、本单位加强经济管理和实现经济目标。内部审计机构的职责1 开展财政财务审计2 开展资金管理审计3 开展任期紧经济责任审计4开展固定资产投资审计5开展内部控制审计与风险管理审计6开展管理审计与效益审计7开展其他审计审计人员为每一个单元和共享的服务制定具体的风险清单,并确定那些成为组织最大威胁的风险.接着,审计人员根据风险的严重性和肯能性,在一个三点标尺上对风险评级,那些最高级别的风险被标上关键风险,威胁和关键风险的结合点被最先审计,并随之受到管理层的重视.风险导向内部审计的本质内部审计的本质是确保受托责任履行机制

6、。在风险导向内部审计阶段，受托责任的范围和管理控制与内部审计的前几个阶段相比发生了一些变化，它们与风险结合起来，使风险导向内部审计成为确保受托责任有效履行的能动的管理机制。在管理机制方面，反馈是管理控制的核心，而内部审计在企业管理控制机制中正是扮演了反馈的角色，在风险导向内部审计阶段，反馈的职能不只是事后的审核与报告，更多的是实时乃至事前的反馈，因为这样才能更好地适应快速变化的环境。这种反馈与广义的风险相结合，能够使企业规避下必要地的损失，或未即将到来的机会做好充分的准备，从而提高企业的运作效率，实现企业的价值增值，这种变化也更能体现内部审计的作用。风险导向内部审计的特征所谓风险导向内部审计是

7、指内部审计人员在审计过程中自始至终都已企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证和咨询活动。根据上述定义，风险导向内部审计区别于其他阶段的内部审计，有以下几个特点：1审计目标导向的变化。首先确定风险水平和审计重点，提出规避和控制风险的方法，通过后续的审计程序，检测风险是否得到了有效的控制。通过这种方式，能够将内部审计目标和企业目标有效地结合起来，体现了内部审计的真正价值，使得内部成为企业价值链中不可或缺的组成部分。2内部审

8、计范围的扩展。内部审计部门在对企业所有风险进行彻底了解后，对风险进行排序，根据风险大小来确定审计范围和分配审计资源。恰当、有效地分配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，有助于合理确保企业目标的实现。3内部审计方法的改进。在快速发展的21世纪，信息化的推广和普及能够很大程度地提高内部审计人员处理信息、准确判断的能力，为开展风险导向内部审计提供技术支持。风险导向内部审计广泛运用分析性程序检测被审计对象，其基本方法包括风险评估、分析性测试、实质性测试、余额测试等。对于有证据表明较低的领域，应依赖内部控制货分析性复核；对被认为风险较高的领域，实施大量的实质性测试和余额测试，是审计

9、手段与审计目标更好地融合，提高审计的效率。现代内部审计观念的核心是，审计人员不仅要善于发现问题，而且更要善于解决问题。无论是识别风险还是评价风险,都不是内部审计的最终目的。在识别和评价之后，还必须进行风险应对。从内部审计自身来说，通过评估结果找出风险程度较高的经营机构或业务领域，据此科学地选择审计项目，确定审计重点、审计频率、合理调配审计资源，从而使企业内部的业务经营全过程各环节都得到有效监督，保证充分的审计覆盖面，不留审计盲点；从企业的风险管理来说，由于内审部门处于企业的董事会、总经理与各职能部门之间，加强对风险的评估，把部分资源分配到影响全局、有碍组织发展的重大风险的前瞻性评价和风险揭示上

10、，并且将风险的评估同企业当前的经营管理控制、计划、策略结合起来可以为董事会和高层提供风险管理策略和内部控制方面的顾问服务，从企业制度化建设来说，将企业内部审计中风险评估的结果形成制度化的成果，并且及时将发现的风险因素、形成原因及相应整改措施在内部网络上进行明示，这一方面可以引起所有分支机构的对照检查与关注另一方面为企业的风险管理提供有益的帮助。2 、以风险为导向确定审计重点风险评估与内部审计在企业经营管理中的相互应用1、以风险评估作为导向配置企业的审计资源现阶段，我国企业的审计资源较为稀缺，内部审计部门要为企业价值增值服务，就需要根据风险的评估结果把稀缺的审计资源配置到最需要的审计环节，选择合

11、理的审计项目，科学制定内部审计计划，确定合适的审计频率，从而使企业内部业务经营环节得到有效地监督，从而进行有效地控制。通过对企业风险评估，找出剩余风险程度较高地经营机构或领域，优先安排经验丰富的内部审计人员进行专项审计。2、以风险评估为导向确定企业内部审计重点我国企业内部审计的风险评估水平尚处于较低水平，缺乏成熟的体系实施准确的全面的系统的风险评估，距离达到依靠风险评估的结果来制定审计计划、确定审计重点风险仍有一定的距离。内部审计要结合风险评估，将风险评估的方法运用于部分审计对象，提高审计项目的质量和效率，进而推进全面的风险评估。如对下属企业或分公司等开展审计，内部审计人员在项目方案设计和执行

12、过程中贯彻风险评估的理论，参照风险评估规范实施相关步骤。首先以机构为维度划分审计单元，以使得出的风险评估结果，能持续性地监控剩余风险较大的分支机构；再利用以往的审计经验，评估结果最大的几类风险，针对相对应风险控制环节确定具体审计步骤，评价相关控制的有效性，最后项目的结果可作为实施全面风险评估的重要测算依据。3、实现内部审计职能转向提供重要测算依据我国企业的内部审计部门，一般脱胎于原来的稽核监察部门，在过去数十年中，稽核监察人员的工作重点大都偏向于查错纠弊，直接关注企业的内部控制系统，在未评估企业风险前直接关注控制，肯定将带来许多问题：多余的控制阻碍了企业正常的经营运作；企业部门间的沟通变得更加

13、困难；控制的改变滞后于经营环境的迅猛变化，对过去形成的、与目前所面临的风险相差较大或无关的控制进行审计就会变得毫无意义。没有风险就没有控制，控制为管理风险而存在。以风险评估为基础的风险导向审计使审计人员关心企业所面临的风险，使审计工作与企业战略计划连接起来，使审计更具有针对性，从而有利于企业实现自身价值，达到企业的目标。4提高企业内部审计价值，完善全面风险评估管理我国企业的全面风险管理框架正在建设、完善过程当中，企业从机构设置、人员配置、流程再造等方面着手，实现对信用风险、市场风险、操作风险等各类风险的全面管理。企业内部审计风险评估的结果不但可以用于指导审计计划、专项审计方案的制定，还可以用于

14、指导并加强企业内部风险管理。风险导向的风险评估结果反映了企业内部各审计单元的剩余风险大小，凸显了经营机构或业务领域薄弱的控制环节，同时内部审计风险评估可以以独立的审计角度，定期的连续不断地进行风险评估，及时将发现的风险因素、风险环节通报企业管理层，引导企业进行对照检查与整改，改进与完善企业风险管理与内部控制的体制和流程，促进企业上下加强风险管理，并最终提高风险控制能力达到风险控制目标。加强风险评估在内部审计中应用的建议风险评估是内部审计的基础工作，必须坚持规范、长久地开展，因此我们建议从制度、信息系统等各方面加强对风险评估的支撑，形成一个完善的风险评估体系。1、建立制度形成保障。企业内部应对风

15、险评估工作制定相应制度办法，内部审计部门应定期开展风险导向的风险评估与计量工作。通过制定相关的制度办法形成保障，将风险评估工作固化下来，使之在企业内部形成一种长期的、持续不断地工作模式。2、建立系统作为支持。风险评估工作离不开定性与定量的分析与计量，要使评估结果更加精确、符合实际，必须有强大、健全的信息系统强有力的支持，为此，企业内部审计部门因加快审计信息系统的建立，以信息系统支持风险评估工作的开展。3、完善评估流程与方法。企业内部审计部门应在现有基础上进一步完善的风险评估指标体系和风险量化评估模型，制定统一、规范的风险评估方法和操作规程，内部审计人员在统一的操作流程下，运用规范化的评估方法开展风险评估工作，以便更精准地得到风险评估结果，来指导企业内部审计工作。4、完善指标促进有效评估。企业内部审计部门应着手建立风险评估指标体系，加快推动全面风险管理体系的建立，在实践中不断完善风险评估指标体系，有效地识别与评估企业面临的各类风险，通过有效地风险评估，为制定审计计划及开展审计项目提供线索信息和监测数据。