2120----風險管理
內部審計活動必須評估風險管理過程的有效性,并對其改善作出貢獻。
2120.A1----內部審計部門必須評估下列與組織治理、運營及信息系統有關的風險:
(1)組織戰略目標的實現;
(2)財務和運營信息的可靠性和完整性;
(3)運營和程序效率與效果;
(4)資產的安全;
(5)對法律、法規、政策、程序及合同的遵循情況。
2120.A2----內部審計部門必須評估發生舞弊的可能性以及所在組織如何管理舞弊風險;
2120.C1----在開展咨詢業務時,內部審計師必須關注與業務目標相關的風險,并警惕其他重大風險的存在。
2120.C2----內部審計師必須將開展咨詢業務過程中了解到的風險情況運用于評估組織的風險管理過程。
2120.C3----協助管理層建立或改善風險管理過程時,內部審計師應必須避免在實際工作中對風險進行管理,從而承擔任何管理層的責任。
起:組織目標支持組織的使命并與其保持一致——重大風險得到識別和評估——選定適當的風險應對方案,并符合組織的風險偏好——獲取相關的風險信息并在組織內部及時溝通,以便員工、管理層和董事會履行其相關職責——確定風險管理過程是否有效:終
一、風險術語
風險:可能對目標的實現產生影響的事件發生的不確定性,并指出風險的衡量標準是后果與可能性。
關注:不確定性,也就是某種結果出現的概率;后果,即實際結果與期望值的偏離。
在經營管理活動中,風險為生產運營的弊端、失誤或失敗帶來組織危機的可能性。
(一)風險事件
在風險評估流程中,風險事件是那些可能發生的能夠阻礙內部控制目標實現的事件。
(二)可接受風險
假設某種風險發生時所產生的影響可以被主體接受的風險。
(三)剩余風險
未被管理的風險或建立控制措施之后仍然存在的所有風險。
(四)審計風險
審計人員對實質上誤報的財務資料可能提供不適當意見的風險。
審計風險=固有風險*控制風險*檢查風險
(五)固有風險
假定不存在相關的化解(風險)的控制措施,信息或數據對重大錯報的敏感性。
(六)控制風險
由于內部控制的局限性,不能通過內部控制結構、政策或程序及時被預防和發現的風險。
(七)檢查風險
審計師不能保證100%的檢查或由于審計程序不當而沒有發現存在的某些風險。
(八)風險偏好
風險偏好即組織對風險的態度,或對風險事件的容忍程度,一般分為風險喜好者、風險中性者、風險厭惡者。主體的風險容量反映了主體的風險管理理念,并且影響著文化與經營風格和資源配置。
(九)風險容忍度
與實現一項目標相關的可承受的偏離程度。風險容限能夠被計量,而且通常最好采用與相關目標相同的單位來進行計量。
(十)風險應對
管理當局為控制風險采取的一系列行動,旨在把風險控制在主體的風險容限和風險容量以內。
(十一)市場風險
市價波動對于企業營運或投資可能產生虧損的風險,如利率、匯率、股價等變動對相關損益的影響
(十二)會計風險
會計處理與稅務對企業盈虧可能產生的風險,如賬務處理的妥適性、合法性、稅務咨詢及處理是否完備。
二、風險要素
引起或增加風險事故發生的機會或擴大損失幅度的原因和條件。
(一)有形風險因素
導致損失發生的物質方面的因素,如財產所在的地域、建筑結構和用途等。
(二)無形風險因素【最難監管】
文化、習俗和生活態度等一類非物資形態的因素。包括道德風險因素和行為風險因素。
道德風險因素-----人們以不誠實、不良企圖、欺詐行為故意促使風險事故發生,或擴大已發生的風險事故所造成的損失的因素。
行為風險因素-----由于人們行為上的粗心大意和漠不關心,從而易于引發風險事故發生的機會和擴大損失程度的因素。
