内审师考试《内部审计在治理、风险和控制中的作用》最新讲义:D2

youlanqingkong1

D2　风险管理2.1 建立和实施一个全组织的风险和控制框架
IIA的立场公告提到内部审计在企业全面风险管理中的作用，其所阐述的原则可以用于指导内部审计对各类风险管理的参与，但其特别关注企业的全面风险管理，因为全面风险管理更有助于改善组织的治理过程。该立场公告认为企业全面风险管理（ERM）是贯穿整个组织的具有结构性、一致性和持续性的过程，用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。
企业全面风险管理的责任是由董事会对确保风险得到管理负全部责任。实践中，董事会将风险管理框架的运作授权给管理团队来执行，由管理团队负责完成以下所列的各项活动。可以设立一项单独的职能协调和项目化管理这些活动，并利用专业技能和知识。组织中的每个人都在确保成功的企业全面风险管理中发挥作用，但管理层对识别和管理风险负主要责任。
企业全面风险管理活动包括：说明和沟通组织目标；确定组织的风险偏好；建立适当的内部环境，包括风险管理框架；识别影响目标实现的潜在威胁；评估风险（如，威胁的影响和发生可能性）；选择和实施风险应对；采取控制和其他应对措施；组织中所有层级采用一致的方式进行风险信息沟通；集中监督和协调风险管理过程及结果；为风险管理的效果提供确认。
企业全面风险管理框架的好处在于能够在协助组织管理风险从而实现目标方面做出重大贡献，其好处包括：为实现组织目标提供更大的可能性；在董事会层面综合报告不同的风险；提高对主要风险及其广泛影响的认识；识别和分担跨业务风险；对重要事项集中管理；减少意外或危机；在组织内部更加关注用正确的方法做正确的事情；对将要采取的行动增加变更的可能性；具备为获取更高回报而承担更大风险的能力；更有依据的风险承受和决策。
确定内部审计的作用时需要考虑的主要因素是该活动是否对内部审计部门的独立性和客观性产生任何威胁，是否可能改进组织的风险管理、控制和治理过程。内部审计在全面风险管理中的作用包括：
风险管理对于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险，诸如社会、道德、环境及财务和运营方面的风险，并解释如何管理风险使之降低到可接受的水平。同时，全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认和咨询作用，利用各种方式协助全面风险管理的实现。
内部审计对企业全面风险管理的确认作用
▲ 董事会或同类机构的主要要求之一是确保风险管理过程有效运作且主要风险被控制在可接受的水平。对全面风险管理的确认源自不同的渠道，其中来自管理层的确认是最基本的，应当与客观确认相结合，而内部审计是客观确认的主要来源；其他来源包括外部审计师和独立的专家检查。
▲ 通常内部审计师对以下三方面提供确认：
风险管理过程，包括其设计和运行情况；
对“主要”风险进行管理，包括控制的效果和其他应对措施；
可靠、适当的风险评估及对风险和控制情况的报告。
▲ 内部审计是一种独立客观的确认活动，其与企业全面风险管理相关的核心功能是为董事会提供关于风险管理效果的客观确认。研究表明，事实上董事会成员和内部审计师均认可内部审计为组织增加价值的两种最重要的方式是为主要业务风险已得到适当管理提供客观确认及为风险管理和内部控制框架正在有效地运作提供确认。
内部审计在企业全面风险管理中的咨询作用
▲ 内部审计能为改进组织的治理、风险管理和控制过程提供咨询服务。内部审计师对企业全面风险管理的咨询工作的深入程度取决于其他资源，包括董事会所能够获取的内部和外部的资源，还取决于组织的风险成熟度，并且可能会随时间而变化。内部审计师在考虑风险、了解风险和治理之间的联系及推动方面的专长，意味着内部审计部门完全有能力作为企业全面风险管理的推动者，甚至项目的管理者，特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加和风险管理在业务操作中的不断深入，内部审计对企业全面风险管理的推动作用可能会减弱。类似的，如果组织雇用了风险管理专家或机构服务，则内部审计更可能通过专注于确认作用来增加价值，而不是通过更多地开展咨询活动。
▲ 图1中间部分说明了与企业全面风险管理相关的内部审计的咨询作用。一般来说，越偏向转盘右侧的内部审计咨询活动，越需要安全保障措施以维护它的独立性和客观性。内部审计部门可以承担的一些咨询作用包括：
将内部审计分析风险和控制所用的工具与技术提供给管理层；
作为将企业全面风险管理引入组织的倡导者，充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势；
提供建议，推动专题讨论会，指导组织风险和控制，促进共同语言、框架和理解的建立；
作为协调、监督和报告风险的中心；
协助管理者确定降低风险的最佳方式。
▲ 确定咨询服务与确认作用是否能够共处的主要因素是确定内部审计师是否承担了任何的管理责任。在企业全面风险管理中，只要内部审计没有实际管理风险的职能（这是管理层的职责），只要高级管理层积极认可和支持企业全面风险管理，内部审计就能够提供咨询服务，无论何时内部审计部门都应致力于帮助管理层建立或改进风险管理过程。
▲ 内部审计参与企业全面风险管理的前提条件（安全措施）
如图1所示，在满足某些条件时，内部审计可能拓展其对企业全面风险管理的参与。这些条件包括：
应当明确管理层对风险管理的职责；
内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过；
内部审计不应当代表管理层管理任何风险；
内部审计应当提供建议、挑战并支持管理层作决定，而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。这种确认服务应当由其他适当的、有资格的人提供；确认活动之外的任何工作应当被视为一种咨询业务，应当遵循与此业务相关的实施标准。
内部审计参与企业全面风险管理应具备的技能和知识结构。
内部审计师和风险经理共享某些知识、技能和价值。例如，他们都了解公司治理的要求，具有项目管理、分析和推进技巧，重视良好的风险平衡而不是极端地承担或者逃避风险。然而，风险经理只为组织的管理层服务，不必为审计委员会提供独立和客观确认。内部审计师在介入企业全面风险管理时也不应该低估风险经理的专业知识（例如风险转移与风险量化和建模技术），这些知识对大部分内部审计师来说是陌生的。内部审计师如果不能证明自己拥有适当技能和知识，就不应当承担风险管理领域的工作。另外，如果内部审计部门没有充分的技能和知识可以利用，也无法从其他地方获得，内部审计负责人不应当提供此领域的咨询服务。
风险管理是公司治理的基本要素。管理层代表董事会负责建立和实施风险管理框架。企业全面风险管理因其结构性、一致性和持续性的方法带来很多好处。内部审计师在企业全面风险管理中的核心作用应当是为管理层和董事会就风险管理的有效性提供确认，内部审计在此核心作用之外拓展业务活动时，应当采取一定的安全措施，包括将业务看做是咨询服务并因此适用所有相关的《标准》。内部审计通过这种方式保护其确认服务的独立性和客观性。遵从这些约束，企业全面风险管理就能够帮助提高内部审计形象，增强内部审计效果。
总之，管理层和董事会对于本组织的风险管理和控制流程负责。风险管理是管理层的一项关键责任。为了实现其经营目标，管理层应当确保本组织具备良好的风险管理流程，并且运转正常。董事会和审计委员会对于确定本组织具备良好的风险管理流程且运转正常负有监督责任。内部审计师应当在改善管理层的风险管理流程的效果和效率方面协助管理层和审计委员会进行检查、评价、报告和提出建议。内部审计师以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制，从而解决这些风险。
2.2 协调全面风险评估
根据内部审计部门在组织内风险管理框架中的定位，内部审计部门应当定期评价并协助其他部门进行风险管理，在组织的风险管理过程中，内部审计的职责、定位要在所有相关部门和个人之间进行协调。
协调工作可以根据内部审计部门在组织风险管理过程中的作用开展，并且可以分阶段调整：不发挥作用；将风险管理过程的审计作为内部审计计划的一部分；积极、持续地支持并参与风险管理过程，如参加监督委员会、参与监管活动并报告情况；管理和协调风险管理过程。
在组织全面风险评估过程中，内部审计在各个阶段中的角色和职责还是主要取决于内部审计部门和董事会章程的规定。
2.3 向董事会报告公司的风险评估
对本组织的风险管理过程进行评估并作出书面报告通常是审计工作的一项重要内容，一般具有较高的审计优先顺序。评价管理层的风险管理过程不同于内部审计师利用风险分析计划审计业务。其评估重点是组织风险管理过程的适当性和有效性。起咨询性作用的内部审计师能够通过发现评估并运用风险管理的方法和控制措施，帮助组织解决风险问题。
对于尚未建立风险管理流程的组织，首席审计执行官应提请管理层注意，并提出建议。如果组织没有正式的风险管理过程，首席审计执行官要向管理层和审计委员会正式说明他们理解、管理和监督组织内部风险的职责，说明他们需要确认组织内确实运行着的各种程序，可以对主要风险提供一定程度的显性控制，以及对这些过程是如何管理和监督的。
如果有关方面提出要求，内部审计师可以积极协助组织进行风险管理过程的初步建立工作，但更为积极的作用是通过改善组织基本程序的咨询工作对传统确认业务进行补充。但这些协助工作不能超出正常的保证和咨询范围，以免损害独立性。也就是说，内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。内部审计部门在建立风险管理过程之中和之后所承担的责任，也要在内部审计章程中作出规定。如果这些协助活动超出了正常范围，应按《标准》的要求进行披露。
2.4 检查经营持续性计划过程
内部审计师应对组织处理业务中断的准备情况做出评价。
一份详细的计划应能提供紧急反应程序，替代通讯系统和现场设施，信息系统备份，灾难恢复，业务影响评价和恢复计划，功能恢复程序以及确保组织有准备应对紧急或灾难事件的日常维持程序。
2. 4.1内部审计师在灾难发生前的作用
业务中断可能是由于自然事件和意外或故意犯罪行为而导致的。这种业务中断对财务和经营的方方面面都会产生重要影响。审计师应当对组织处理业务中断的准备情况作出评价。一份详细的计划应该能够提供紧急反应程序，替代通讯系统和现场设施，信息备份、灾难恢复，业务影响评价和恢复计划，功能恢复程序，以及确保组织有准备应对紧急或灾难事件的日常维持程序。
内部审计师应该对组织的经营持续计划过程作出定期评价，以保证高级管理层了解灾难准备情况。内部审计师在灾备中的支持作用主要体现在：
▲ 协助开展风险分析；
▲ 对已草拟计划的设计和详细程度作出评价；
▲ 定期开展确认业务，证明计划及时得到更新。
内部审计师确认审计的目的是验证这些计划对于确保在发生不利情形之后及时重启业务和流程是充分的，并且反映了当前的企业运营环境。经营持续和灾难恢复计划可能在很短时间内就过时了。应对和回应各种变化是管理层一项无可避免的任务。经理和负责人的轮替以及系统设置、界面和软件的变化都可能对这些计划产生重要影响。内部审计活动应当检查该恢复计划，确定它的构成是否包含了随着时间的推移而发生的变化、修订后的计划是否传达到适当的内部和外部人员。
在审计过程中，内部审计师应当考虑：
▲ 所有计划是不是最新的，更新这些计划的流程是否存在；
▲ 这些计划是否包含了所有关键的经营职能和系统；如果没有，遗漏的理由是什么?
▲ 这些计划是否基于营业中断的风险和潜在的后果而制定；
▲ 这些计划是否被书面记载，是否与本组织的政策和流程相一致，职能责任是否被指派；
▲ 本组织是否有能力并准备好实施该计划；
▲ 这些计划是否被测试并根据测试结果进行了修订；
▲ 这些计划是否被妥善保管，管理层是否知道其保管地点和调阅的方法；
▲ 员工是否知道备选（后备）设施的地点；
▲ 这些计划是否与当地应急服务部门相互协调。
2.4.2内部审计师在灾难发生后的作用
灾难一旦发生，内部审计师就能发挥重要作用。在恢复期间，内部审计师应当对经营活动恢复和控制的有效性进行监督。内部审计活动应当对内部控制和减轻风险措施需要改进的领域加以确认，对经营持续计划的改进提出建议。内部审计还可以对恢复活动提供支持。
通常在灾难发生后的几个月内，内部审计师能够帮助发现从中汲取的教训。这类观察和建议可以加强恢复活动，更新以后的经营持续性计划。
总之，高级管理层将会综合考虑内部审计师的知识、技能、独立性和客观性，决定内部审计师对经营持续性和灾难恢复过程的介入程度。
【典型试题】
1. 内部审计师可以在协助某个组织建立风险管理过程的初始阶段发挥更加能动的作用。然而，如果这种协助超出了内部审计师正常的鉴证和咨询活动范围，其独立性可能受到损害。以下哪项可能损害参与风险管理过程的初始建立阶段的内部审计师的独立性？
a.对风险管理过程进行评估和编制报告。
b.管理已识别的风险。
c.评价管理层的风险过程的充分性和有效性。
d.实施控制，用来应对已识别的风险。
『正确答案』b
『答案解析』
a.不正确。“对风险管理过程进行评估和编制报告”不仅是一项内部审计活动，而且具有较高的审计优先顺序。
b.正确。“能动的作用”不代表“风险的所有者身份”，这是管理层的责任。
c.不正确。这是内部审计师的一项责任。
d.不正确。从事咨询工作的内部审计师可以协助管理层实施控制。
2. 美国证券交易委员会（ SEC）第13a -14和15d -14条规则要求证券发行人的主要执行官和主要财务官，或者其他履行类似职责的人员，应书面证实其履行了以下哪些职能？
I.负责制定和维护发行人的“信息披露控制和流程”。
II.设计了这些信息披露控制和流程，用以确保重要信息能够被其知晓，尤其是在该期间报告所属的期间。
III.在报告被申报之前的180天内评估了发行人的信息披露控制和流程的有效性。
a.I和II
b.Ⅱ和III
c.I和III
d.I、n和III
『正确答案』a
『答案解析』
I.正确。《萨班斯－奥克斯利法案》第302条明确了公司对于财务报告的责任。SEC发布了实施该法案的指引。SEC第13a -14和15d -14条规则采纳了该法案的有关规定，要求证券发行人的主要执行官和主要财务官，或者其他履行类似职责的人员，在每份季度或年度财务报告中，书面证实其履行了以下责任：
▲ 负责制定和维护发行人的“信息披露控制和流程”；
▲ 设计了这些信息披露控制和流程，用以确保重要信息能够被其知晓，尤其是期间报告所属的期间；
▲ 在报告被申报之前的90天内评估了发行人的信息披露控制和流程的有效性；
▲ 在报告中宣布基于所需的评估在签署当日对于信息披露控制和流程的有效性的结论。
II.正确。见题解I。
III.不正确。见题解I。
3. 《萨班斯－奥克斯利法案》适用于以下各种情况，除了：
a.其股票被广泛持有并在主要股票交易所交易的美国国内公司。
b.其股票在美国被广泛持有并在主要股票交易所交易的外国公司。
c.公开交易的合伙企业。
d.在一个以上的州执业的一般合伙企业。
『正确答案』d
『答案解析』
a.不正确。该法案适用于应当遵守美国联邦证券法律的在美国上市交易的发行人。
b.不正确。该法案适用于应当遵守美国联邦证券法律的在美国上市交易的发行人，也包括在美国上市交易的外国公司。
c.不正确。公开交易的合伙企业也发行股票，适用于美国联邦证券法律。
d.正确。一般合伙企业不发行股票，因此美国联邦证券法律不适用于它。