风险审计课程-FrankHe13416

L/O/G/O企业风险管理审计亚洲风险与危机管理协会注册企业风险管理师注册企业风险管理师顾问背景_贺焱（FrankHe）曾经服务过的知名企业:金融业：信达资产管理公司、华融资产管理公司、山东农行、青岛农行、招商银行、华夏银行、中国工商银行票据中心、新疆建行、山东建行、云南建行、北京建行、北京银行、光大银行、平安保险、新华人寿、中国人寿等服务业：中国国际航空公司、东方航空公司、厦门航空公司、北京移动、河南移动、天津网通、新疆网通、河北网通、首都机场要客部、首都机场安保公司、赛特饭店、万科、物美超市、COSCO、清华接待服务部等制造业：可口可乐（香港）、庄臣上海、蒙牛中国、厦门航空食品公司、香港赛马会等从事咨询认证行业16年，基于对于标准和管理的了解和熟悉，为众多金融、保险行业、航空、通信行业客户提供管理及标准咨询服务，在BSI就职期间时任BSI专职讲师、大客户经理、CMSAS中国区产品经理、中国区金融行业经理等职务职业经历:在英国标准协会（BSI）就职期间保持国际六体系主任审核员，其中包括质量、食品安全、环境、职业健康安全、投诉、信息安全管理体系资格CERM专职讲师FrankHe注册企业风险管理师3介绍－欢迎学员介绍姓名/公司名称负责的区域对风险管理的了解（听说过-1-简单理念了解-3-在工作中使用-5）审核经历（质量/环境/安全/风险）对本课程的期望注册企业风险管理师4注意事项应急逃生个人财物禁止录音课程测试手机模式时间管理学习方法证书发放注册企业风险管理师课程目录风险审计概述1本课程是基于组织主动需求之前提，基于组织系统风险实施审计（稽核）之前提，并非完全适用于被动审计（稽核）之要求组织风险审计的目的2实施风险审计的系统方法3审计结论的系统应用4L/O/G/OAsiaAssociationofRiskandCrisisManagement亚洲风险与危机管理协会注册企业风险管理师六、《企业全面风险管理总论》ISO31000框架《信息安全管理》ISO27001/ISO20000《风险评估》（ISO31010方法论）企业财务风险管理企业操作风险管理企业战略风险管理公司治理企业风险管理审计风险审计概述_稽核/审计涉及方面企业内部控制保险与风险管理衍生工具与风险管理合同方式的风险管理企业危机管理BCM&ISO22301基础层解决方案层方法论关键领域应用层应急及战略层效果与效力评价层《决策与风险管理》注册企业风险管理师风险审计概述_审计的涉及方面风险报告威胁和机遇风险审核风险评估风险分析风险识别风险描述风险预测定论组织战略目标风险威胁监控残余风险报告TheRiskManagementProcess风险管理流程风险修正注册企业风险管理师风险审计概述_审计的涉及方面注册企业风险管理师课程模块风险审计概述1组织风险审计的目的2实施风险审计的系统方法3审计结论的系统应用4风险相关定义审计相关定义风险审计框架涉及审计的方面涉及审计的种类风险审计之目的审计目的之对比风险审计之原则传统与现代审计之对比审计的范围审计实施准备审计的过程方法审计抽样审计结果确认审计汇总报告审计结论提交审计结果的分析审计的改进审计结果的验证注册企业风险管理师风险审计概述_起源及发展演变“审计”一词最早见于《宋史》，“审”为审查，“计”为会计账目，审计就是审查会计账目。1972年美国会计学会的《基础审计概念的说明》中对审计的定义是：审计是为了查明经济活动和经济现象的表现与所定标准之间的一致程序而客观地收集和评价有关证据，并将其结果传达给有利害关系使用者的有组织的过程。美国审计总局对审计下的定义是：“审计一语，包括审查会计记录、财务事项和财务报表，但就审计总局的全部工作来说，它还包括如下内容：①查核各项工作是否遵守有关的法律和规章制度；②查核各项工作是否经济和有效率；③查核各项工作的结果，以便评价其是否已有效地达到了预期的结果（包括立法机构规定的目标）”。日本著名审计学者三泽一教授在《审计基础理论》一书中为审计所下的定义是：审计是具有公正不伪立场的第三者就一定的对象的必须查明的事项进行批评性的调查行为，还包含报告调查结果。“审计”一词英文单词为“Audit”，被注释为“审核或稽核”，兼有“审查与核对的涵义。注册企业风险管理师风险审计概述_起源及发展演变审计（稽核）主体角度审计（稽核）导向角度2000200420082012注册企业风险管理师风险审计概述_风险相关定义2.1Risk风险effectofuncertaintyonobjectives不确定性对目标的影响注1：影响是与预期的偏差——积极和/或消极注2：目标可以有不同方面（如财务，健康和安全，以及环境目标），可以体现在不同的层次（如战略、组织范围、项目、产品和流程）。注3：风险通常被描述为潜在事件（2.19）和后果（2.20），或它们的组合。注4：风险往往表达了对事件后果（包括环境的变化）和相关的可能性概率（2.21）。2.2Riskmanagement风险管理coordinatedactivitiestodirectandcontrolanorganizationwithregardtorisk(2.1)一个组织对风险的指挥和控制的一系列协调活动2.3Riskmanagementframework风险管理框架setofcomponentsthatprovidethefoundationsandorganizationalarrangementsfordesigning,implementing,monitoring(2.30),reviewingandcontinuallyimprovingriskmanagement(2.2)throughouttheorganization组织对风险管理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排注1：基础包括管理风险的政策、目标、任务和承诺注2：组织安排包括计划、关系、职责、资源、流程和活动注3:风险管理框架被植入到组织的整个战略和运营的战略和实践中注册企业风险管理师风险审计概述_风险相关定义2.5CorrectiveAction纠正措施（3.6.5）：为消除已发现的不符合原因所采取的措施。注1：一个不符合可以有若干的原因。注2:采取纠正措施是为了防止再发生，而采取预防措施是为了防止发生。2.6PreventiveAction预防措施（3.6.4）：为消除潜在不符合原因所采取的措施。注1：一个潜在不符合可以有若干个原因。注2:采取预防措施是为了防止发生，而采取纠正措施是为了防止再发生。2.4Correction纠正（3.6.6）：为消除已发现的不合格(3.6.2)所采取的措施注册企业风险管理师风险审计概述_审计相关定义1、审计的概念美国会计学会（AAA）在颁布的“基本审计概念说明”的公告中，把审计概念描述为：审计是客观地获取和评价关于对经济活动和经济事项的认定的证据，以查明这些认定与既定的标准之间相符合的程度，并将其传达给利害关系人的一个系统过程。2、审计准则审计准则是指专业审计人员在实施审计工作时必须恪守的最高行为准则，是审计工作质量的权威判断标准，是在实践中产生，经不断的完善和改进，逐渐为多数同行承认并参照执行的一种审计工作惯例。3、审计目标审计目标是指审查和评价审计对象所要达到的目标和要求，它是指导审计工作的指南4、审计程序审计程序是指审计人员对审计项目从开始到结束的整个过程中所采取的系统性的工作步骤，一般包括准备、实施和完成三个阶段。注册企业风险管理师风险审计概述_审计相关定义5、审计技术方法审计技术方法是指审计人员检查和分析审计对象，收集和评价审计证据，并形成审计结论和意见的各种专门的手段和方法。一般的通用的审计技术主要包括：审阅法、复核法、核对法、盘存法、函证法、观察法、分析法、推理法、询问法、调节法和鉴定法等、审计技术随着审计发展而不断吸收管理学、统计学等一些技术方法，使得在执行不同的审计任务中选用的审计技术呈现较大的差异。6、审计依据审计依据是对所查明的事实与现行的各种规定进行比较、分析、判断和评价，据以提出审计意见和建议的客观标准，是审计人员在审计过程中用来衡量被审事项是非优劣的准绳。审计依据应具有权威性、层次性、地域性、相关性和时效性。7、审计证据审计证据是反映审计人员在审计过程中获取的真实凭据，用以证实审计事项真相，并支持形成审计结论的所有材料。审计证据应具有客观性、可靠性、合法性、实践性、重要性、相关性和充分性。注册企业风险管理师风险审计概述_审计相关定义8、审计报告审计报告是审计人员根据审计准则的要求，在完成预定的审计程序之后出具的对被审事项表示意见和提出建议的书面资料。9、审计管理一般，审计管理包括对审计主体和审计业务的管理。审计主体的管理主要包括对审计机构和审计人员的管理。审计业务管理主要是指对审计主体运用管理手段对审计业务活动及其所体现的审计关系所进行的计划、组织、协调和控制等。本考试大纲认定的在审计管理中主要涉及到管理环节包括：—审计计划管理—审计过程与质量管理—审计信息管理（包括记录、统计分析等）—审计报告管理注册企业风险管理师风险审计概述_风险稽核之发展涉及审计（稽核）方面风险管理稽核体系稽核专项稽核管理稽核•系统风险对应稽核活动•涉及风险之国际标准、主管机构等要求•财务专项审计•金融、财务等专业管理要求管理专项体系风险管理•体系特定活动•基于高层集权、国际标准、法律法规要求•日常管理活动•基于经验、局部要求等活动特征注册企业风险管理师风险审计概述_风险稽核之对比项目活动目的实施主体活动局限性实施方法控制特性报告属性风险管理稽核•针对风险•系统风险管控要求•组织内部实施•组织外部实施•对组织风险管理策划的充分性；•风险控制措施的有效性；•应急控制措施的适宜性确认。•确认要求；•确认基础方法；•确认控制措施；•抽样验证；•专业判断、综合评价、多应用管理技术和专用工具。•预防性控制•第三方•第一方体系稽核针对流程，确认管理体系•有效性•适宜性•符合性•组织内部实施•组织外部实施•组织管理体系的策划；•组织管理体系的运行及监控；•组织管理体系的维护。•确认要求；•确认流程；•确认过程控制；•抽样验证。•系统性控制•第一方•第二方•第三方专项稽核•针对财务活动•组织内部实施•组织外部实施•确认专项要求如财务报表的真实性与合规性的确认•消防/稽核安全监督•风险评估；•控制测试；•实质性测试。•结果控制•合规控制•第一方•第二方管理稽核•针对组织管理着或业务活动实施者•组织内部实施•日常组织（组织、岗位）管理活动•以问题为导向；•多应用于管理和检查•过程控制•第一方注册企业风险管理师风险审计概述_风险审计框架•风险管理审计是根据企业全面风险管理的目标和政策，审计人员采用系统化、规范化的方法，评价企业全面风险管理的运行状况，测试企业风险管理系统、各业务循环及相关部门在风险识别、风险分析、风险评价、风险治理等方面的活动，以识别、预警和纠正企业在实施风险管理过程中可能存在的不适合或缺陷，进而提高企业风险管理的效率和效果，保障企业战略目标的实现。2.3风险管理框架组织对风险管理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排注1：基础包括管理风险的政策、目标、任务和承诺注2：组织安排包括计划、关系、职责、资源、流程和活动注3:风险管理框架被植入到组织的整个战略和运营的战略和实践中注册企业风险管理师风险审计概述_风险审计框架风险审计1.明确风险管理基础及底线要求；2.评价管理框架、过程、对策及控制措施；3.验证控制效果，同时确认风险影响程度。1.物理区域2.管理区域3.流程活动4.实施对象主体及相关方1.专项工具2.COSO3.ISO31000ISO310104.萨班斯法案5.ISO19011稽核目标