企业风险审计.ppt

主要内容第一部分 企业风险审计含义及目标第二部分 企业风险审计框架 第三部分 专项风险审计,企业风险审计,企业战略管理与风险：企业的战略管理基本上可以概括为：企业以未来为基点，为寻求和维持持久竞争优势而作出的有关全局的重大筹划和谋略。如营销战略、新产品开发战略、财务战略、品牌战略等。企业战略管理有以下几种含义：1，企业战略是要确定组织的未来使命，是为实现长期目标而确定的活动程序和资源分配及配置的优先级；2、战略是一种事先的计划、是对未来行动方案的要求和说明；3、战略的结果在于限定企业的竞争范围，主旨是要为组织整体“增加价值”，为求增长整体价值最大，宁肯局部增加开支，如价直链管理；4、企业战略是为获得持久竞争优势而对外部机会和威胁以及内部优势和劣势的积极反映,背景介绍,企业风险审计是内部审计部门及内部审计师采用系统化、规范化的方法，测试组织风险管理系统（RMIS）、各业务循环及相关部门在风险识别、分析、评价、管理及处理等方面的活动内容，对组织的风险管理、控制及监督过程进行评判，保证和预警进而提高它们的效率，帮助组织实现目标。,一、企业风险审计的定义,企业风险审计的总目标是审计部门和审计师按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价、管理等方面的合理性和有效性，于损失发生之前能做出最有效安排，使损失发生后所需要的资源，与保持有效经营必要的资源，能达成适度平衡，帮助组织实现目标。,二、企业风险审计的总目标,1.风险范围确定的合理性：包括战略范围、组织范围、业务范围、风险范围；2.风险评价标准与指标体系的科学性：评价基础、评价方法、评价内容、指标计算；3.风险识别、评价的科学性：主要审核如下方面，按照审计确定的风险范围，核实风险识别是否全面；风险各级分类的合理性；可控风险、不可控风险确定的科学性；4.风险管理措施、方法与程序的合理性；5.风险实际处理的合理性。,三、企业风险审计的一般审计目标,四、风险管理审计与风险基础审计,风险管理审计与其它审计的对比1,风险管理审计与其它审计的对比2,现代风险审计与传统内部审计比较,现代风险审计与传统内部审计比较（续）,五.内部审计在风险管理中的作用,国际内部审计师协会（IIA）主席伍顿.安德森博士在2004年5月25日的上海报告中指出：IIA 内部审计实务标准认为内部审计在风险管理中的角色和作用有两个方面：一是协助风险估算程序；二是对风险管理程序的评价，对风险管理的恰当程度作出保证。,第二部分：企业风险审计框架,企业风险审计柜架图,一.风险审计理论依据与专业判断,(一)风险审计重要性理论,风险审计重要性概念：风险审计重要性是指被审计单位所处的环境、管理和业务活动，风险识别、分析评估及风险处理方法的任何方面，若存在影响组织基本目标实现的潜在可能，审计师则可判定该风险是重要的，否则，则可判定不重要和判定为保留风险和剩余风险。,(二)风险重要性层次,根据对组织目标影响层次的不同,其管理和处理风险应有不同层次的抗衡能力和措施来对应。如“堤坝理论”。从这点出发可将重要性分为不同的级别和层次，可以从定性和定量两个角度对其考量。风险在定性方面可以分为：不重要的，即风险没有伤害，很低的财务损失；次要的，需要急救处理、现场立即发布、中等财务损失；中等的，需要“医学”处理，在没有外力帮助下现场发布，较高的财务损失；重要的，扩大了伤害，产品能力的损失，现场发布没有产生不良作用，重要的财务损失：灾难性的，现场发布产生不良的影响，巨大的财务损失。,风险重要性的量化指标称为风险水平，可从损失绝对额（它可以是一个数值，也可能是一个风险范围的区域值）、发生可能性的相对数、发生频率次数等指标进行界定。风险可能性的条件有如下几种：几乎是确定的。在多数情况下预期会发生；很可能。在多数情况下很可能发生。可能。在某些时候能够发生；不太可能。在某些时候不大能够发生；很少的，。在例外情况下可能发生。发生频率可分为高、中、低等。,(三)风险审计专业性判断,风险审计专业判断的内容：企业风险审计专业判断的内容包括：经理人的风险偏好、风险预警指标体系中定性因素条件、定量的计算方法、风险范围、风险类别、风险因素、风险事故、时间、损失额、发生的可能性、频次、证兆、风险状态、报警级别、管理方法、成本与效果。1.经理人的风险偏好判断(问卷模式)2.风险程度的专业判断：风险可能性的判断，风险损失额的判断，风险发生频律的判断。确定各层次的重要性风险水平一为风险管理和评价风险管理做好依据。评价风险并对其分出先后次序。图示如下：,风险程度与风险管理方法的系统评判,风险程度与风险管理方法的系统评判图,二、捕捉风险征兆与风险报警,()捕捉风险证兆、计算风险度 1.捕捉风险证兆：根据审计设定的预警指标体系，利用DCCS法、损益临界点法、SW0T法、KSF法、财务危机的“五率”等方法，分析各风险特定的风险因素、风险事故的现实特征及程度、捕捉风险证兆。风险度的计算与判定，它是审计师判断特定风险重要程度的标准，可以用打分的形式来表现，也可以用风险程度综合水平指标来直接反映。如五级打分法；“1分”表示风险最低，“5分”表示风险最高，风险重要性界点的风险度标准值，可以定为“3分”或“2分”。,捕捉风险征兆与风险报警,第步，建立审计预警指标准体系；第二步，根据稽核指标建立经营风险预警的数学模型：确定每一项风险预警指标及标准值，并划分风险区域和风险临界点；第三步，计算风险度：每个经营风险预警区间对应相应的指标值；每个指标值对应相适应的指标分值;不同的标准值设置不同的风险权重；根据指标分值与权重计算出该项预警指标的风险度；计算审计对象总的风险度。,3、风险报警,对于超出标准值的预警指标就要及时提出预警信号。风险先行（预警）指标是发现不测事态发生证兆的指标；临界点乃是一触即发的时点。审计师是通过对被审计部门风险管理内容的审计测试，对风险管理作出审计评价，一般分为五级：级；低度风险（优良状态），无须采取控制措施；二级：较低风险（正常状态），后果可以忽略，可不采取控制措施；三级：中度风险（轻微状态），后果较小，暂时不会造成营销系统损坏，应考虑采取控制措施；四级：严重风险（较重状态），后果严重，会造成营销系统损坏，应立即采取措施；五级：高度风险（危机状态），灾难性后果，必须立即予以排除。,测试捕捉到的风险证兆（风险因素、触发条件风险事故，已经同时存在），如果这些证兆的结果已接近临界点，便构成了警报：优良“双绿灯”；正常“绿灯”；低度风险“黄灯”；高度风险“红灯”；危机状态“双红灯”。,4、风险报警的作用,根据现代弹性决策原则，在风险管理的进程中，对于审计师适时测度、判断的结果和报警信号，一般需要做如下按排；高度风险，需要以及采取行动，董事会/高级管理层应参与；严重风险，需要高级管理层注意；中度风险，通过具体监控或影响程度加以管理；低度风险，通过日常程序加以管理，不需要具体资源的应用。,(二)风险审计规划策略,在风险战略形势下，企业董事局、高层管理者希望通过审计资源的配置来回答或保证他们“我们的投入是否能获得最大的回报？”的问题；审计委员会希望“我们是否对最高程度的风险也进行了管理？”做出保证式回答。,(三)风险因素优先性审计规划策略,风险因素优先性审计规划策略是企业内部审计师为完成审计目标，首先确定审计域，从业务与业绩两个角度把影响业务和业绩的风险（源）因素识别出来，然后进行风险优先化，对域内风险予以分析，确定每种风险的级别和权数，评价风险程度，给风险打分并排序，对特殊要求适当考虑，尽而对年度审计资源进行合理配置的策略。,(四)审计域的确定,1.审计域定义:审计域（the Audit Universe）又称审计范围，是指被审计职能确定为可审计对象、活动、单位或职能的活动。一般情况下，按照重要性原则，审计师应该关注风险程度高、对组织战略目标实现影响大的业务活动。2.审计域确定 系统确认法；强制性包含领域；企业的正式组织结构；被审者的要求。,确定审计域的系统考虑,上一次审计的日期和结果；涉及的金额；潜在的损失和风险；管理层的要求；经营方案、制度和控制的重大变化；获取经营效益的机会；审计员工的变动及能力。,(五)审计配置问题,1、审计的最佳时间选择 选择在审计利益大于审计成本时的审计领域；选择逐渐削减控制、风险提高的领域 优化审计周期，根据风险领域及风险性质，选择最佳的审计时间间隔。2、优先化的审计资源配置应该达到：将企业整体风险减至最小 在规划期内进行风险的优先性选择。,三、风险因素优先化审计策略程序及内容,风险因素优先化审计策略程（图）,(一)程序及内容,第一步 根据风险管理提供的或审计人分析的结果，确定审计域。如根据风险管理框架分析的结果，有可能将风险审计域确定为营运风险、财务风险、新产品开发风险、品牌风险、内部控制风险、组织风险等。第二步 确定风险因素。有的分18个风险因素的，有分10个的、有分7个的，有分14个的，有分27个的。第三步 根据风险程度（风险可能性、损失额、发生频率）确定风险性质。可定性为一级：优良状态，无需采取控制措施；二级：正常状态，后果可以忽略，可不采取控制措施；三级：轻微状态，后果较小，暂时不会造成营销系统损坏，应考虑采取控制措施；四级：严重状态，后果严重，会造成营销系统损坏，需立即采取控制措施；五级：危急状态，灾难性后果，必须立即予以排除。也可用1、2、3、4、5或其他有风险性质意义的数字表示。,第四步 根据每一个因素对企业整体风险的重要性，采用德尔菲法或成对比较法进行审计专业判断，确定风险权重，即单项风险因素在总的风险中的重要比重。风险权重一旦建立，在没有首席审计执行官批准以及没有重新计算所有可审计单位的情况下不能随意变更。风险因素的优先化审计策略程序及内容（续）第五步 审计打分。将风险因素审计测试结果判定的风险分数与其相应的权数相乘，得出一个风险因素的风险分值，然后将各个风险因素的风险分值加总，求出一个审计域的整个风险分值。,第六步 按照从高到低的次序，排列风险顺序。若确定的审计域包括几个方面风险审核的内容，如营运、财务、新产品开发、信息系统、内部控制、品牌、某子公司、某分厂，都如上进行风险测试打分，并按照从高到低的次序，排列风险顺序。第七步 配置审计资源，编制年度审计计划。按照风险测试打分排序的结果，考虑高管层的建议和被审者的要求，根据审计资源做出风险因素优先性配置的决定。,(二)审计资源配置,1.通常的考虑：审计资源配置应该考虑专业化问题，如数据处理方面效率的问题，审计人员构成中有否电子数据处理专家，若有将会大大提高审计效率。对于特殊风险，必须进行风险分析，分别配置审计资源。2.审计频率的配置 采用风险分数确定审计频率级别，如每一年、每两年等，并用频率表格将审计域与审计频率综合反映出来。3.年度审计重点的确定 审计频率确定以后，还需要确定年度审计重点，有如下参考因素：按照风险分数由高到低排列；从最高开始直到审计资源用尽；根据风险性质进行审计抽样；系统确认法；强制性包含领域。,(三)审计资源的优化配置,1.优化的审计资源配置，应该达到：（1）将企业整体风险减至最小；（2）在规划期内进行风险的优先性选择。2.审计的最佳时间选择(1）选择在审计利益大于审计成本时的审计领域；(2）选择逐渐削减控制，风险提高的领域；(3）优化审计周期，根据风险领域及风险性质，选择最佳的审计时间间隔。,3、确定审计域与审计资源配置的困难 企业的信息系统特别是会计信息系统的低效，在会计认定方面存在不充分和低效率的问题；另外，审计域可能侧重某方面的确定，而企业风险往往是一个系统的问题；在企业风险审计中是否应该有一个统一的审计活动领域还是应该有几个（如财务、法规遵循性、信息技术、运营)？审计域的设立应该是单维的，还是多维的（比如组织职能、信息系统、主要合同、产品线、交易周期）或者是两者的结合？审计活动领域是否应该超越企业的法律界限（比如重要供应商和客户）？,杜邦“沸腾壶”（boiling pot）模型,四、风险审计程序,编制审计计划，制定审计方案 选择被审者 风险审计的实施 后续审计 风险审计的交流与沟通 编制审计计划，制定审计方案 确定审计范围；即上一节讨论的“审计域”问题；风险管理范围与风险审计范围的关系；应该说，风险管理的范围就是风险审计的范围，但是，由于审计资源的限制，风险审计必定要运用“风险因素优先性审计规划策略”。编制风险审计方案 审计方案的概念。记录审计计划和各项审计工作时间安排的文件，被称作审计方案。一般包括从审计开始到结束的全布执行步骤。（实施审计修改时要进行标注）。审计方案的内容与格式：应包括审计目标、审计范围、审计过程中必须特别加以注意关注的事项、拟收集的审计证据、审计人员分工以及审计的时间安排。,审计计划的内容,关于审计计划内容的变更。IIA2001标准201024款专门对审计计划内容的变更做了说明，它要求“在更新审计范围和与相关审计计划中的内容时，应该反映出管理层的方针、目标、工作重心出现的变化”。关于审计测试。在风险审计计划中，对于重要的风险因素应该确定出它们各个级别的风险权重和重要性水平。在开展审计业务时，用于检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性、发生的频率等。关于审计报告。标准2410一1一1款要求，风险审计报告应该传达对风险管理审计的结论和建议，以降低风险。为了让管理层充分理解风险的程度，在报告中应特别提出风险活动对于实现目标的关键性与后果。首席审计执行官的职责。IIA20标准中特别将首席审计执行官的职责纳入年度计划。标准要求，首席审计执行官应该每年至少准备一份关于内部控制充分性的声明，以减少风险。此声明也应该对未防范风险的重大性及管理层对此风险的接收情况发表意见。,确定审计域，选择被审者,选择被审者实际上是风险因素优先性审计策略的具体运用，是贯彻风险审计计划的第一步，它将审计计划中审计目标、范围、审计方案、资源配制几个重大内容高度统一起来，这一步是内部审计风险导向的最具体体现，根据审计风险模型理论，即 审计风险=固有风险控制风险捡查风险 由于这一步要依赖内部审计师的专业判断，所以它是影响内部审计师审计风险高低的关键一步，是内部审计师检查风险大小的起因。选择被审者的步骤：制定选择被审者的策略识别潜在被审者按风险将潜在的被审者排序确定被审者,五、风险审计测试与评价(一)确定风险管理范围的合理性、评判风险评价标准,风险管理范围合理性的评判 这一步是为了保证风险管理与企业的战略目标保持一致。分析方法一般运用PEST宏观分析、KSF分析、核心竞争力分析、财务收益、会计比例、统计趋势分析等方法，确认企业的市场环境与竞争能力及其收益水平，从而找出企业的战略范围、数值范围和风险范围。考虑范围分为：战略范围的考虑。如股票持有者、职员、客户、供应商等，并考虑他们的目标，审核组织的强项、弱点、机会和威胁；组织范围的考虑。审核并确定组织处于生命周期的那个阶段，组织系统的“健康”状况；强项、弱点、机会和威胁都是什么；关键的成功要素有那些；考虑组织的能力、宗旨、目标和战略的实现程度；风险管理范围，根据对前面两项审核后的结果，分析评判被审计者风险管理的决定。,审计师在评价风险标准时，应该考虑该风险评价标准能够满足：对业务特征高度概括；对风险要点鲜明清晰；对环境的变化具有弹性反映的功能需要。根据风险管理的“堤坝理论”和审计的重要性及重要性层次理论，对风险不同层次建立相应的临界点指标值，根据风险指标和临界点建立对风险程度的预警指标体系。内部审计师一般可以参考风险管理部门的风险评价标准指标数值。若没有，就需要自己设置判断。一般可以按照最基本数值、一般、中等、较高、最高(或最理想)水平等级别设置。最高或最理想一般可按以下指标作为确定依据：A企业的经营目标；B行业目标或历史目标；C榜样目标；D实际推断目标。,(二)风险识别/分析/评价的审核,对于风险识别，主要审核如下方面：按照审计确定的风险范围、核实风险识别是否全面；风险各级各类的合理性；可控风险不可控风险确定的科学性。对于风险分析与评价主要审核：被审计者制定的风险评价标准的依据是否科学，实际中是否按照执行；风险的可容忍水平（风险接受）是否科学；实际情况怎样；调整条件是什么；风险损失是如何确定的，计量的范围、依据是否合理、科学；风险的可能性是如何测算的，科学性如何；风险发生的频率有否科学估计；风险资产的权重分配是否合理，有否随意变化，有否建立调整的条件；风险分析、评价程序是否合理。,(三)风险管理措施/方法的评价,对风险规避措施的评价。风险规避就是不作为。审计师判断采用这种方法时应该有如下考虑：第一、欲避免某种风险也许不可能；第二、采用规避风险方法最经济；未来收益小于控制成本；第三、避免一项风险可能产生另外新的风险（如为拉住客户结果会有很大的坏帐可能)。风险控制与抑制。作为经理人需要承担若干风险，在组织内建立和执行内部控制制度，采用预防性、检查性、纠正性、指导性、补偿性控制方法。实施授权、执行、记录、使用、清查等业务功能，将风险控制在可接受水平下。审计师需要对内部控制设计的健全性、执行的有效性测试和评价。风险转移。风险转移分控制性非保险、财务性非保险和保险三种。财务性非保险转移有中和（如套购、期权等工具）、免责约定、保证、公司化等。它具有：使用广泛、措施灵活、直接成本低等。但它也存在如下局限：法律和情理的双重限制、承担一定代价等。,风险接受（风险自留）。当某种风险不能避免、或因敢冒险可获厚利时，由自己保留承担的风险，审计师可以依据如下条件来判断公司经理人采用这种风险处理方法是否合理：处理风险的成本大于承担风险所付出的代价；估计某种风险可能发生的重大损失本身可以安全承担；不可能转移于他人的风险或不可能防止的损失。风险利用。风险管理的这种策略直到20年5月才被IIA主席伍顿先生总结并占在理论角度正式提出。风险利用的措施有配置、多元化、扩张、创造、重新设计、重新组织、价格(杠杆）、仲裁、重新谈判、影响等。风险利用是把风险当作机遇，利用运营中的困难通过风险战略，开拓市场，达到更大的战略目的。风险利用是最为积极的风险管理战略，它对于培养经理人风险偏好、建立企业文化有重要意义。,(四)风险监管的系统评价,风险管理有四项基本要求：风险管理政策；风险管理支持结构和资源；实施方案；持续的评估和审核。对组织风险监管系统评价需要从上述四个方面展开。由保障的连续性ERM模型，由风险轨迹、控制轨迹、监控计划、风险基础审计等项构成。建立风险轨迹包括的内容：风险轨迹是指利用头脑风暴等方法，集中专家和职工意见，判定的某风险因素从产生到形成损失的全程可能发展过程。建立组织控轨迹：控制轨迹指针对在风险轨迹中为每一流程所采取的风险管理、控制与监管的措施和方法。,监控计划 保证组织ERM的连续系统有两个含义：一是组织内部各个层次之间前后连贯、系统、协调有效；二是ERM在组织内部是持续不断的。内部审计 内部审计师运用审计方法，主要鉴别：鉴别出风险管理措施和方法的适当性；对于风险管理实施控制和抑制的风险，关键要鉴别是否存在控制不足、控制过度的风险；鉴别风险的边缘控制步骤；鉴别风险的关键控制步骤。,(五)风险预警的审计,风险评价指标和临界点构成风险预警系统的的两大支柱。在五分制下，风险报警可有如下；一分：绿灯；无风险证兆(优良状态)，无须采取控制措施；2分：黄灯；低度风险(正常状态)，后果可以忽略，可不采取控制措施，通过日常程序加以管理，不太可能需要具体资源的应用；3分：橙色灯；中度风险(轻微状态)，后果较小，但不会造成系统损坏，应考虑采取控制措施，通过具体监控和响应程序加以管理；4分：红灯：严重风险(严重状态)，后果严重，会造成系统损坏，需立即采取控制措施，需要髙级管理层注意；5分：双红灯：高度风险(危急状态)，灾难后果，要立即采取行动，必须立即予以排除，董事会/高级管理层应参与。审计师判断风险预警机制是否合理，一般需要注意：风险预警测算的风险度（又称预警指数）应该是单项指标和综合指标的结合，不能只测算综合风险水平，单项风险指标水平对于风险管理实际上更加有用；风险预报级别的合理性，避免风险管理过渡或不足；风险预警与风险分析、评价和管理应该有机结合，不能流于单个形式。,六、审计发现与审计报告(一)审计发现,审计发现是审计师执行风险管理检查、测试时产生的审计结论。有时被称为“要点”。审计师通常把这些要点记录于“审计发现汇总表”中。审计发现包括现状、标准或期望、差异、原因、影响、建议五个部分，多以“矩阵图”反映。(二)审计报告 IIA2001标准第2440款表述指明“为使公认风险范围以外的“例外”情况受到重视，风险管理和控制，审计主管应负责将发现的风险管理、控制及治理方面的问题，报告给那些能保证对审计结果进行应有考虑的人员”。报告的基本要素：标题、收件人、正文、附件、签章、报告日期。,报告基本内容：审计目标、风险概况、审计依据、审计发现、审计评价、审计决定、审计建议。它应该符合客观、完整、清晰、及时、体现重要性原则。关于剩余风险。由于各方面原因，管理层对于有些风险采取接受的态度，这些风险一般称剩余风险。在这方面标准第2600款要求：对内部审计师查明和发现的风险管理、控制及治理方面的问题，在审计执行主管认为高级管理层接受的剩余风险水平，对于机构来说是无法接受的情况下，审计执行主管就此与高级管理层进行讨论。如果无法确定剩余风险的问题，审计执行主管与高级管理层应将此事报告董事会加以解决。,七、后续审计,标准2500款对于监测进程有相关阐述。2500A1说明：审计执行主管应规定后续审计过程，以监督、保证管理行为能够得到有效落实，或高级管理层已接受了“审计建议”确不采取行动所带来的风险。后续审计应该追踪到：对于重大的审计发现，相关部门和环节是否予以纠正；若不予纠正，责任和原因到底在哪儿。标准要求，若审计执行主管认为高级管理层接受的剩余风险对于机构无法接受，应该上报董事局加以解决。,第三部分 个别风险审计 一、营销风险审计,主要内容：营销风险管理 营销风险的种类 营销风险的管理目标 营销风险审计 经销风险的识别 营销风险评价指标体系 营销风险分析/评价/管理/处理的审核评价,(一)营销风险管理,营销风险种类 按照营销风险的成因，可分为四种：需求变化风险。由于消费者需求变化造成产品不能适销对路。营销环境风险。由于政策、风俗等变化造成的风险。竞争对手风险。由于意外原因，使得竞争对手在市场竞争中明显处于优势，自身的市场吸引力、份额有所减少，甚致有被挤出市场的风险。营销人员风险。由于营销人员自身的道德和心理素质问题，造成营销业务中出现舞弊或错误，从而为营销活动带来风险。2.营销风险层次 按对营销目标影响程度的不同，根据重要性原则，把营销风险分为三个层次：致命性（灾难项）营销风险；一般性营销风险；轻微性营销风险。,3.营销风险因素 营销风险包含了企业风险框架中“过度风险”中，客户满意风险、过时/萎缩风险、核心竞争力风险、经营中断风险、产品/服务失败风险、竞争对手风险、商标/品牌贬值风险等重要风险因素的内容。4.营销风险管理目标 损前目标。是指风险事故发生之前，营销风险管理应达到的目标。经济性目标，以最小的费用支出获取最大安全保证；遵循性目标，在与客户、消费者、广告商、竞争者打交道中，密切关注相关的法律法规；安全系数目标，将营销风险控制在可承受的范围内；社会公众责任目标，风险管理的战略范围应该考虑股东、债权人、客户、消费者、员工、国家。损后目标。是指当确认损失发生时和以后，营销风险管理应达到的目标。,生存目标，指企业发生重大损失后，寻求的首要目标；获利能力目标，判断损失对组织获利能力的影响，风险管理必须把损失控制在一定范围内，保证企业获利能力不会低于最低报酬率；收益稳定目标，比起高收益高风险、稳定往往是投资人最高追求，稳定的收益意味着企业营销的正常发展；持续经营目标，不因损失事件的发生而使企业营销活动中断，防止竞争者乘虚扩展势力范围；社会责任目标，损失发生处理应该减少对员工、债权人、投资人、国家等有关方面影响；持续发展目标，应该注重市场、产品的开辟、财务上保障的风险管理。,(二)营销风险审计,1、营销风险审计程序(见图),营销风险管理框架,2、营销风险审计步骤及内容 取得组织结构图及营销战略文件 取得财务报告及营销资料 营销流程图审计分析 营销风险环境审计分析 营销风险分析调查表 营销风险问卷分析 3、营销风险评价指标体系 营销风险评价指标体系包括核心竞争能力威胁、顾客风险、供应商风险、竞争对手风险等四大部分 企业核心竞争力风险指标 客观部分有：市场占有率、相对市场占有率、市场占有变化率、销售额实质增长率、产品销售率、销售利润率、销售费用率、价格竞争力、存货周转率。主观部分有：竞争集中度、能力障碍率、行业进入难易度、产品周期、差异度、替代产品价格性能比等。,顾客风险 客观部份有：合同履约率、顾客投诉率、赊销比率、应收账款周转率、新顾客增长率等。主观部分有：价格敏感度、顾客心理占有率、顾客情感占有率、顾客忠诚率等。供应商风险 客观部分有：价格增长率、合同履约率、采购合格率、新客户比例、存货周转交货比、结算风险率。主观部分有：误导计划率、供应竞争度等。竞争对手风险 客观部分有：资产负债率、流动比率。合同履约率等。主观部分有：国内经济景气度、企业显露度等。,(三)营销风险分析,营销策略风险分析 日常营销策略一般粗略的分为无差异市场策略、差一市场策略和密集型市场策略。营销竞争地位一般分四种类型：市场领导者；市场挑战者；市场专攻者；市场跟随者。不同的营销策略有不同的风险。营销风险因素分析 列出营销风险清单；营销威胁分析，应列出主要威胁因素；前景分析，通过有关数字、图表、曲线等对风险因素性质、程度进行甄别与评价。营销风险测量 捕捉风险证兆。利用DCCS法、损益临界点法、SW0T法、KSF法、财务危机“五率”。风险度的计算与判定。可利用五级打分法的形式来表示。,(四)营销风险评价,营销策略风险评价 A一FA综合评价。它是运用层次分析法、模糊综合评判和精确值测评的方法。营销风险因素性质/程度的专业判断 营销风险管理措施与方法评价一合理与有效性评价 风险规避 营销风险控制与抑制 营销风险转移 营销风险保留 营销风险利用,二、企业财务风险审计(一)财务风险评价指标体系,1、客户信用审核风险的评价指标体系 信用风险影响因素：金融风险产生的因素来自赊销和信用面临的风险。影响因素从大的方面看有政治风险、信息风险、商业风险。客户企业风险等。信用风险的考核与评价指标体系：客户自身特征(40%)：表面印象、组织管理、产品和行业、市场竟争、经营状况、发展前景。优先性特征(30%)：交易盈利能力、交易条件、对市场吸引力的影响、对竞争力的影响、付款担保、可替代性。财务信用特征(30%)：付款记录、银行信用、获利能力、资产负债表评估、偿债能力、资本总额。2、融资活动财务风险评价指标体系：资本结构、资本成本、财务杠杆系数、营运资金持有量。,投资风险评价指标体系 固流结构、净现值、企业内部基准收益率(R0E)、现金盈利值和现金增加值。系列财务筹划指标体系 税务筹划风险评价指标体系、汇率风险评价指标。利率风险评价指标。如基本利率、利率期限波动临界值、实际利率等。财务风险综合评价指标体系 流动率。流动率=流动资产/流动负债。欧美企业认为该值的理想制是200，日本为150。速动率。速动率=速动资产/流动负债。被称为企业资产与负债比值的酸性比率，一般认为理想值为100。固定率。固定率=固定资产/伯有资金。反映企业长期固定资产中由权益资本保证的比率。该指标越小越好理想值最起码应小于100。固定长期适合率。固定长期适合率=固定资产/(自有资产十长期负债)理想值小于100。,权益比率与权益乘数。权益乘数=1/(1一资产负债率)；权益比率(自有资本率)=自有资产/总资产。权益比率的理想值为60%总资产报酬率。总资产报酬率=利润总额/平均总资产。根据企业及行业情况确定。固定资产报酬率。固定资产报酬率=销售利润总额/固定资产平均值 资本保值增值率。资本保值与增值率=扣除客观因素后的年末所有者权益/年初所有者权益X100%。超过100%为增值，100%为保值。6.不同国家、行业、企业，财务比例基准值比较 判断财务风险评价指标的标准值是否合适，应该结合经济环境、经营目标和生产条件及变化，不同的国家、地区、行业、企业，财务比利基准值有所不同。,(二)财务风险审计计划,1.研究财务活动的现实背景：公司的财务目标与战略；财务政策与系统；CE0与F0的风险偏好；经营环境与营销/财务风险策略与政策；股东与管理者的利益关系。2.确定财务风险审计目标与审计范围 信用风险管理审计的目标；融资风险管理审计目标；投资风险管理审计目标。3.成立审计小组，分配审计资源，制定初步设计方案。,(三)财务风险审计的实施,信用风险管理的审计 掌握政策与要求 对信用风险识别的审计 对信用风险、评价、风险管理措施和理性的审计、信用风险损失处理的审计评价。比如对一笔坏帐的处理是否合理，审计时应该就下面几个问题进行审计：参加坏帐诊断人的审核。参加诊断人员应该有：财务和销售副总、销售部门经理、信用管理部门经理、内部审计经理等。分析产生原因以及决定是否追款；按债务人所在国的规定是否已过法律诉讼时效；合同是否有重大漏洞；业务履行中是否有不符合贸易法规规定的要求；债务人是否有偿债能力；是否己破产；信用政策是否有漏洞和履行是否有效；是否内外勾结挪用和侵吞公款；追回的货款是否能够盖过追款费用。坏帐补偿处理措施合适与否，抵债资产计价是否公允。,融资风险管理审计 资本结构评稳性管理审计；营运资金持有政策审计；现金流风险审计；财务风险管理审计。投资风险管理审计 对投资风险分析/评价的审核 风险调整贴现率法：它是根据风险的大小确定风险因素贴现率计算净现值 肯定当量法：其思路是先用一个系数把有风险的现金收支调整为无风险的现金收支，然后用无风险的贴现率计算净现值法的规则判断投资机会的可取程度。投资风险管理的审计 审核投资风险管理策略的适当性。对于拟实施以项目组合风险管理方式的投资活动，应该着重审计项目组合是否合适，投资风险是否得到对冲；对于实施风险控制与抑制方式的投资项目，审计师应对控制设计和执行两个方面予以测试，投资风险控制与抑制的审计。测试投资风险的控制设计是否健全；测试投资风险控制执行是否有效；对审计发现归集、整理，评价控制风险，提出审计建议；完成审计报告。,三、组织风险审计,主要内容 组织与组织类型 组织风险审计 组织风险与组织风险审计 组织风险识别/分析/评价 组织风险审计的发现/原因分析/建议和报告,(一)组织概念及类型,1.组织的概念 组织是为了达到某些特定目标经由分工与合作及不同层次的权力和责任制度，而构成的人的集合。组织概念的三层含义：一是组织必须具有目标；二是根据组织目标协调分工与合作关系；三是组织需要设计不同层次的权利与责任制度。2.组织结构类型 组织结构大致有五种类型：直线职能结构、事业部结构、模拟分权结构、矩阵结构和各种形式的委员会结构等。,(二)组织风险审计,1.组织风险与组织风险审计 组织风险：是指企业组织形式对组织目标实现影响的程度。组织风险审计：是指依据组织目标的要求，通过对组织形式架构、组织权利与责任的设计、组织管理政策落实等方面的审核，对组织效能的发挥程度以及对组织目标的影响程度作出评价的过程。组织风险审计的意义。有利于培养和鉴别经理人的风险偏好；有利于组织的文化建设；有利于协调组织工作，发挥组织效能。组织风险审计的程序 组织风险审计规划 组织风险审计的实施 组织风险审计的报告,组织风险的识别、分析与评价 组织风险可以概括分为组织建设风险和组织效能风险。组织建设风险审计。它是指组织架构不是最佳实现组织目标形式的可能性。内部审计师应该首先对组织形式的合理性予以审计。组织形式多种多样，对每个组织来说，他的目标而又是独特的，组织形式与目标间是否合理配置，一般需要进行如下内容的测试。依据组织目的与目标要求，分析组织形式、层次、跨度的合理性。对组织管理跨度合理性审计。管理垮度是指一个领导者直接指挥下级的数目。审计是应该从影响管理垮度的因素即主管人员的能力、下级人员能力、沟通程度、层次距离等分析管理垮度的合理性。组织效能风险审计。组织效能风险概括表现为组织管理效能和对外界环境的适应能力。我们认为，组织效能是指通过组织层次内和横街间权利与责住的协调，实现各种目标的速度和完美程度。一个健康地向上的组织必须时刻评估自己的组织效能。敏锐地观察外界环境的变化，不断自我完善，主动地依照计划寻求变革以求生存和发展。敏锐地观察外界环境的变化，不断自我完善，主动地依照计划寻求变革以求生存和发展。,组织寿命周期各阶段风险的评价 第一、初始阶段。领导危机和信誉危机风险 第二、聚合阶段。自主性风险 第三、规范阶段。失控风险 第四、成熟阶段。官僚主义风险和硬化风险 第五、再发展或衰退阶段。一般组织风险的识别与评价 第一、沟通与协调能力的风险识别与评价 第二、组织效能风险分析：数值设置；述职人员构成；组织分工；业务执行。第三、对环境变化的前瞻性、敏感性、实用性风险评价。,(三)组织风险审计发现和原因分析,审计发现。审计发现可能有：组织效能差，产品产量、质量、成本、员工士气、市场占有率、市场吸引力、销售、利润等定性和定量指标没有达到期望值；组织内部非正式组织活动猖獗，讲究小团体势力的利益；组织机构臃肿，人浮于事，管理层和员工忙而不见效益；对环境变化反应不敏感，对未来没有准备和打算等。原因分析。上述审计发现的原因可以从以下方面查找：组织结构设计不合理；组织管理制度设计不合理；管理跨度不适当，过宽或过窄；领导人员的经营理念、风格以及风险偏好与企业目标、经营环境有偏差；团队人员配备不协调；组织缺乏与内部和外部必要的沟通与协调等。,(四)审计建议,组织形式应该围绕组织目的、目标和风险程度而设计，把组织形式当作是实现目的的工具、手段和方式。影响组织形式是集权还是分权？应该考虑：工作的重要性。涉及到大量资金流和影响职工士气的问题均属重要事项，决策权应集中；对不太重要事项的决定可实行分权。经营规模。规模大经营管理复杂，可采用分权形式。管理者管理水平和控制能力。企业外部环境。组织设计应该符合技术工艺特性。根据技术的复杂程度确定。组织设计对环境的考虑建议。,加强公司治理。实现企业过程再造，企业再造过程原则引起组织如下方面的变革：工作单元的变化：从功能部门向流动团队转变；工作内容的变化：从简单的工作任务向综合型工作任务转变；人员地位的变化：从被控制向被受权转变；工作准备的变化：从培训向教育转变；绩效评价和报酬方式焦点的变化：从行动过程向结果转变(围绕最终结果而非具体任务来实施再造工作，是企业再造的基本原则之一，即由原来不同专业人员干的工作合并为一个工作，由一个业务员和工作组来完成。这样，省去了转换的过程，从而加快了速度，提高效率，并能对顾客变化作出快速反应）；进步标准的变化：从绩效向能力转变；价值观的变化：从保守型向进取型转变；管理者的变化：从监督型向服务型转变；组织结构的变化：从梯型等级体系向扁平型体系转变；高级管理人员的变化：从记分员向领导者转变。,(五)织风险审计报告,按照IIA内部审计实务标准的要求，组织风险审计的报告应该送达的人可能是审计委员会负责人、首席审计执行官、经理人、董事会和被审计部门。审计报告应该阐述为完成组织风险审计的目标，特别对组织目的和目标、组织形式、高级管理人的风险偏好、组织效能的审计发现、标准状况、差异、原因、被审计单位的说明、审计建议一一列明。,四、产品开发及品牌风险审计,审计主要内容：1.产品开发风险与管理 产品开发风险审计 品牌战略与风险管理 品牌风险审计。,(一)产品开发风险与管理 产品开发的概念、策略和原则 产品开发的程序 产品开发的风险 4.产品开发风险的管理,(二)产品开发风险审计,产品开发风险审计的概念、目标 产品开发风险审计程序 产品开发风险审计计划与方案 建立新产品评价标准指标体系 产品开发战略、策略、计划的审计 产品开发小组创新能力的审计,(