1、审计办公室行动学习记录表1: 行动学习小组研讨成果总结表(一)研讨部门XXXX审计办公室 日期XXXX/5/8当天议题关于开展风险管理审计项目的相关行动学习(系列)研究方法分步研讨(用行动学习方式开展项目审计工作)组织人员XXX参与人员全体审计人员研讨过程实录题目1:开展风险管理审计的出发点与重要性1近些年来国内外各类风险事件的发生,反应了缺乏风险意识、风险管理弱化给企业造成了严重后果:例证:美国安然、世界通讯、英国巴林银行倒闭、日本八佰伴百货破产、四川长虹APEX事件、安徽华源危机、中国银行哈尔滨河松运行事件都说明了企业实施全面风险管理的重要性。2结合公司实际,通过开展风险审计项目评价公司风
2、险管理体系的建设情况。3通过开展风险审计项目对各业务系统所存在风险进行识别、评估。4通过开展风险审计项目明确具体的风险防范措施,最终达到提高全员风险管理意识,强化公司风险管理的目的。5通过审计强化风险管理的重要性,督促公司风险管理达到与企业整体经营战略相结合的风险最优化。将企业成长与风险相联系起来,把全面风险管理放在企业战略的位置上。6通过审计,督促公司加强识别事件及评估风险的能力,同时设置与企业成长及回报目标相一致的风险承受度。(这里强调的是目标的稳定性,全面风险管理将企业目标的波动控制在一定的范围内。)7通过审计,督促公司加强风险管理意识,保护企业不致因害性事件或错误而遭受重大损失。无论多
3、么谨慎,灾害或战略失误总是要发生的,要点是不致因此面遭受重大损失。因此企业对于可能发生的潜在重大不利事件要进行充分地评估并建立回应,从而减少意外及相关的成本和损失。8通过审计,督促公司建立有效和有效率的内控以减少运营领域的波动性,强调提高运营效率,根据评估出风险的大小,减少不必要的内耗并调整内部 控制。研讨过程实录题目2 :风险管理要素研究对公司风险管理要素进行归类:内部环境:带来风险的内部因素(战略、财务、营运、诚信等) 董事会和管理层的风险态度(保守或冒进)管理哲学和经营风格、组织结构、授权和责任 人力资源政策、战略和经营目标等。(对风险管理的有效性起很大影响)事件识别:识别影响目标实现的
4、不确定事件,作为评估和管理的对象。注意风险容忍、事件之间的相互联系、技术方法。风险评估:发生概率和后果严重性风险排序,决定风险管理的不同策略风险反应:接受、避免还是减轻风险?控制活动:设计控制程序或政策,改变所识别风险的发生概率或后果的性质信息与沟通:以适当的发生生成和传递风险信息, 使相关人员及时履行管理职责, 供外部使用者正确判断与决策监控:对风险管理有效性和相关内部控制进行监控,起保障作用题目3:风险管理的特性下列特征的项目尤其应该风险管理:创新多,使用新技术多;投资数额巨大;边设计、边施工、边科研的项目;合作关系复杂的项目;业主严格要求,受多种因素制约的项目;有重要政治、军事、经济、社
5、会意义;项目目标没有最终确定的项目等。题目4:风险导向的内部审计思路1、年度审计计划对可能影响组织的风险进行评估的基础上,制定内部审计机构的审计计划;2、内部审计范围包含组织战略性计划的组成部分,反映整个组织的计划目标;3、项目审计方案应该在评估风险顺序的基础上安排审计事项的重点;可以考虑的因素包括:金额大小、管理能力、资产的变现能力、内部控制质量、变化或稳定程度、上次审计时间和结论、业务复杂性、需估计的成分、与政府的关系等。4、开出风险识别清单,与各部门共同协作。5、风险评估设置三个分析指标,即重要性(非常重要、重要、一般重要)、可能性(基本确定、很可能、可能、极小可能)、可控性(不可控、基
6、本可控、可控)。研讨过程实录.重要性排队。对所识别的风险按重要性排出先后顺序,通过对该系统的认识判断出非常重要(3分)、重要(分)、一般重要(1分)的比率,从而确定出每个风险的重要性等级及分值。.可能性分析。对所识别出来的风险按可能概率判断出发生的可能性。确定出基本确定(95以上4分)、很可能(50以上95以下3分)、可能(5以上50以下2分)、极小可能(5以下1分)4个可能性等级和分值。.可控性分析。依据风险产生的因素(内部、外部)判断出风险的可控程度,按实际业务情况划分为不可控(3分)、基本可控(2分)、可控(1分)三个等级。从而确定各个风险的分值。.通过对每个风险三个指标定性分析,确定出
7、各个风险三个指标的分值,三个分值的乘积的高低,定量分析出每个风险的等级的高、中、低。6、按战略、运营、财务、其他四个系统排队,最终排出公司的高、中、低风险体系。7、研究风险的应对措施,并提出审计建议或意见。主要结论一、风险管理与内部控制、治理程序共属于公司的管理目标体系。降低风险、提升价值是风险管理审计的整体目标。通过公司自身的风险管理活动及审计部门的风险管理审计从而降低公司在经营中所面临的风险,与风险降低相对应的是价值的提升, 即:公司创造出更多的财富, 而在这一财富创造过程的价值链中, 风险管理审计作为其中的一个环节,随着整个价值链的价值增加,从而使审计价值得到提升。二、公司风险管理存在的
8、问题1尽管公司各层面十分关注风险,但没有形成风险管理体系,没有建立公司风险管理机制。2各部门没有形成风险管理体系。员工缺乏对风险管理的认识。3公司对风险管理研究得不够充分;科学性有待提高。三、风险管理审计项目的开展与推进(一)希望研讨会集中研讨的题目,从学习风险管理体系核心的内容和学习方法,理出一个清晰明确的东西,更具可操作性。(二)通过头脑风暴法制订学习契约,达成共识:1人人参与,畅所欲言2遵守时间,按时完成作业3运用所学方法解决实际问题4严禁批评发言者下步行动根据研讨结果,确定下一步行动计划:1由项目组研讨项目审计计划、实施方案2由项目组拟定审计通知书与审计所需资料清单3由项目组召开审计进
9、入会议4启动现场工作注: 此表电子版于月末前交给培训中心. 具体负责人: XXX联系电话(内线): 表1: 行动学习小组研讨成果总结表(二)研讨部门XXXX审计办公室 日期XXXX/5/10当天议题关于开展风险管理审计项目的相关行动学习(系列)研究方法团体列名法群策群力研讨风险管理审计项目组织人员XXX参与人员全体审计人员研讨过程实录题目1:风险管理审计项目实施计划与方案项目实施步骤:1识别经营风险识别经营风险是整个审计框架的第一阶段, 其提供了一个整体框架用于了解公司风险管理行为的有效性,并且分析公司的情况和信息流程。本部分所使用的主要分析工具包括:(1)分析框架了解那些影响公司成败的主要因
10、素以及它们之间的动态联系。这些主要的因素包括环境、信息、所有者、顾客、竞争者、价值、企业流程和管理层。企业分析框架可以为审计员提供以下支持:(a)了解企业的相关情况。(b)通过考虑企业中那些影响经营的变化和问题来确认风险。(2)风险模型各业务部门提供了一份清单,列示了可以威胁组织整体或组织中特定流程的各种类型的风险。(3)整体风险管理有效性评价分析针对所识别出的固有风险如何进行排序和溯源。2风险控制评价风险控制评价是整个审计框架的第二阶段,评估管理层如何对特定估计的相关风险进行控制。本部分需要了解以下问题:企业如何控制特定估计的风险?企业如何确定其风险控制流程在有效的运作?3确定剩余审计风险确
11、定剩余审计风险是整个审计框架的第三阶段,本阶段要求审计员运用专业判断,确定那些没有将错误风险有效降至可接受水平的控制范围,这些不够有效的控制导致了剩余审计风险。本阶段主要关注以下问题:是否存在没有降至可接受水平的风险?如果存在,那么是哪些控制程序没有有效运行?4剩余审计风险的管理剩余审计风险的管理为整个审计框架的第四阶段,该阶段通过审计客户的分析和行动(包括改进相关控制措施)或者通过审计员执行降低风险的程序,将剩余审计风险降至可接受水平。本阶段关注以下问题:研讨过程实录什么样的企业行为或审计程序能够将剩余审计风险降至可接受水平?审计人员会向公司提供什么样的建议用于改进其风险控制流程?这一阶段的
12、主要内容包括:企业分析及跟踪控制行为分析性复核程序的运用相关准则要求必须执行的审计程序风险管理审计模式下的管理建议书风险管理审计自我评价和整体结论研讨过程实录题目2:拟定审计通知书与审计所需资料清单1提前一周下达审计通知书,明确审计所需资料的清单。2明确各部门事前需要准备的事项:公司风险管理总体情况描述,应从风险管理体系建设、风险管理效果、风险管理工作开展情况分别阐述战略、运营、财务、信息、人力资源等层面风险的管理情况。(行政部)2各部门(生产、采购、销售、技术监督、开发、策划、人力、财务、行政等)风险管理总体情况描述,评估风险管理情况。(各部门)3识别本部门具体有哪些风险,评估分析风险级别,
13、截止现在采取的措施,历史上发生哪些案例(详见附表)。题目3:召开审计进入会议1利用审计进驻会议,起到宣传与教育的双重功效的作用。一方面对风险管理各系统的相关人员进行了风险管理知识培训,统一了思想,明确了主题,为实施风险管理项目审计奠定了基础、做了铺垫和演示。一方面宣传了审计工作,增加了各部门对审计工作的认识。宣传项目审计的意义2明确审计目标:对公司风险管理体系进行审核和评价;重点对战略系统、运营系统、财务系统、其他系统进行风险识别、风险评估、风险控制。3确定审计区间:2005年12月31日至XXXX年7月1日,重要事项向前追溯或向后延伸。4成立审计小组,明确审计成员的工作职责与业务分工。5与参
14、会者初步交流审计意见,确定工作步骤和需要提供的支持与帮助。题目4:启动现场工作按实施方案确定的审计程序与审计方法开展工作:A.审计人员和各部门分别开出风险识别清单。B.对风险进行识别和描述。C.对风险进行归类和排队。D.开展风险评估。主要结论一、通过研讨基本形成风险管理审计项目的工作思路1. 通过审计进入会议,宣传项目审计的重要性与意义,提高风险管理审计的认识。同时对各部门如何识别、评估风险进行辅导。.风险识别需本着自下而上的原则,基层处室或车间识别后,部门进行汇总整理。风险识别清单中的风险描述需包括三要素,即什么风险,什么因素产生的风险,风险产生后果的可能性。.风险评估的方法。.如何制定应对
15、措施。.要求进行案例描述。2. 设计出风险识别清单,下发给公司各部门或各系统。要求各部门针对本系统内存在的风险进行系统的识别。风险识别清单样表:()风险识别表部门:序号风险描述风险控制措施案例描述12343.审计小组内部进行风险识别,并将各部门所识别的风险进行汇总整理。.审计小组初步进行风险评估。风险评估样表:部门:( )风险评估表序号风险描述风险控制措施案例描述可控性重要性可能性风险等级等级分值等级分值等级分值等级分值分值1 2 3 4 5 6风险等级的确定:低风险区域 中风险区域 高风险区域0122436主要结论5.与各系统主要领导沟通评估结果,并经双方确认。6.评估后要求各系统针对所识别
16、和评估的风险制定切实可行、有效的具体控制措施。7.评价各系统所制定风险控制措施的可行性,有效性。8.通过对全公司各个系统风险管理情况及公司风险管理体系建设情况的分析,评价公司风险管理总体状况,提出审计建议。二、风险管理项目审计,是华润酒精乃至华润金玉审计机构成立以来第一次开展,也是华润酒精乃至华润金玉公司成立以来第一次开展的这方面的项目。无论从审计程序到审计方法,还是从横向到纵向,或是从深度到广度,项目组成员缺乏这方面的实战和经验。在项目计划书得到公司领导批准后,项目组成员积极探索、研究讨论风险管理相关的问题与方式、方法。首先,加强审计部门的内部交流与外部沟通,对如何开展风险管理审计做了认真细
17、致的研究,明确了审计方向、主旨和进攻目标。其次,在充分研讨的基础上,广泛地听取各方面意见,制订出科学、合理、可行的项目实施方案。然后,利用有效的手段,利用信息网络资源,学习内审相关准则,借鉴成功的风险管理审计经验。最后统一了认识,形成了科学的审计思路。本次风险管理审计定位于对公司各系统风险进行识别、评估、制定防范措施,同时评估公司整体风险管理体系的建设与完善情况。下步行动一、战略风险评估结果分析二、运营风险评估结果分析三、财务风险评估结果分析四、其他风险评估结果分析注: 此表电子版于月末前交给培训中心. 具体负责人: XXX联系电话(内线):XXXX表1: 行动学习小组研讨成果总结表(三)研讨
18、部门华润酒精审计办公室 日期XXXX/5/12当天议题关于开展风险管理审计项目的相关行动学习(系列)研究方法头脑风暴法德尔菲法组织人员XXX参与人员全体审计人员研讨过程实录题目1:战略风险评估背景:关于战略风险识别部分,由于审计人员受从事工作岗位及工作经验和阅历所存在的局限,对公司战略风险的识别可能不具有前瞻仰性和科学性, 所以本部分的风险识别工作主要依赖于采取向高管层征集风险内容.审计办公室已于一周前向高管层发出征集邀请,但由于大部分领导出差或因工作繁忙未能回应,所以审计小组决定先在审计部门范围内就一些财务风险、运营风险以及危险事故等可能亦会成为潜在的战略风险部分内容进行识别。第一步:催化者
19、进行关于战略风险名词导入战略风险指的是,危害到公司增长和股东价值的一系列内部/外部事件或趋势,它们通常危害到企业商业模式的核心。第二步:征集战略风险条目:共征集战略风险21条,经过集体研讨,认为其中8条不属于战略风险范畴,经剔除后,不适用条目,整理完成识别战略风险条目13条.(具体内容可见后附战略风险状况表,此处略)第三步:根据行业通用风险评价标准,从重要性、可能性、可控性三个方面评价以上风险,根据结果测算出风险等级。(具体见后附战略风险状况表)第四步:研讨以上风险有效的控制措施(具体措施见后附战略风险状况表)分散行动任务:行动结束后,小组各成员积极寻找风险案例,为保证案例的鲜活性,案例内容要
20、求为公司经营史上已发生的此类风险战略风险评估表详见附件。题目2:生产风险评估表(详见附件)题目3:营销风险评估表(详见附件)题目4:采购风险评估表(详见附件)题目5:财务风险评估表(详见附件)题目6:人事风险评估表(详见附件)题目7:工程风险评估表(详见附件)题目8:开发风险评估表(详见附件)题目9:策划风险评估表(详见附件)题目10:行政风险评估表(详见附件)主要问题一、各系统通过对每项风险的研讨和分析,制定出具体的防范和应对措施,可以有效控制和化解经营风险,使风险降低到可以接受的水平。审核发现部分控制措施无法达到有效控制风险的目的。二、部分风险控制措施制定的不够详细,不够具体。如:生产系统
21、第29条风险:烘干供料时操作不当会造成结顶粮下落将人埋在粮堆下,抢救不及时会造成死亡。其制定的控制措施为:粮堆禁止上人作业,清理粮堆要使用铲车。地漏上增加了防护操作平台。审计认为,首先应定期进行操作规程培训,提高操作员的安全意识;其次增加防护操作平台,使用铲车清理粮堆;第三,加强检查力度,建立硬性考核机制。 三、个别风险控制措施制定的可操作性不强,过于笼统。如生产系统第46条风险:辅助材料入厂检验不严,影响产品质量。其制定的措施措施为:完善辅料入厂制度,严格按制度执行。审计认为,应明确如何完善,完善哪部分内容。四、部分风险项目没有明确具体的控制措施。如采购系统第15条风险:原煤招标前标底价格泄
22、露,可能造成投标方抬高投标价,使采购成本上升。其制定的措施:原煤的招标标底价格是受到严格控制的,根本没有泄露的可能。审计认为,应说明现在的控制措施。下步行动分系统(战略、运营、财务、基项、其他)归纳、整理、分析风险管理体系,得出各系统的风险结果。从而找出公司的高风险区域和因子。注: 此表电子版于月末前交给培训中心. 具体负责人: XXX联系电话(内线):XXXX表1: 行动学习小组研讨成果总结表(四)研讨部门XXXX审计办公室 日期XXXX/5/15当天议题关于开展风险管理审计项目的相关行动学习(系列)研究方法团体列名法组织人员XXX参与人员全体审计人员研讨过程及结果实录战略风险:战略风险13
23、项,其中:高风险6项、中风险3项、低风险4项。说明:战略风险仅由审计人员识别和评估,可能存在识别不全面、评估不准确的情况,请高管层及相关人员指正。详见下图:项目高中低合计重要性非常重要61310重要213一般重要0可能性基本确定112很可能5117可能134极小可能0可控性不可控617基本可控22可控44风险数量合计63413研讨过程及结果实录运营风险运营风险总共188项,其中:生产风险93项:高风险4项、中风险43项、低风险46项;采购风险38项:高风险2项、中风险8项、低风险28项;销售风险57项:高风险12项、中风险19项、低风险26项。项目生产采购销售高中低高中低高中低重要性非常重要3
24、3918243111411重要14284111512一般重要143可能性基本确定1121很可能3101371023可能33385171620极小可能843可控性不可控4612531263基本可控371531133可控302420风险数量合计443462828121926研讨过程及结果实录财务风险财务风险91项,其中:高风险4项、中风险13项、低风险74项。财务风险具体评估结果:项目高中低合计重要性非常重要4134461重要1919一般重要1111可能性基本确定0很可能4116可能123547极小可能3838可控性不可控42511基本可控11920可控6060风险数量合计4137491研讨过程及
25、结果实录工程风险工程风险56项,其中:高风险3项、中风险29项、低风险24项。项目高中低合计重要性非常重要3261140重要31114一般重要22可能性基本确定0很可能39113可能202141极小可能22可控性不可控3328基本可控26531可控1717风险数量合计3292456其他风险其他风险包括行政、人力资源、开发、市场策划系统存在的风险。其他风险总共74项,其中:行政风险29项:高风险1项、中风险7项、低风险21项;人力资源风险30项:高风险0项、中风险12项、低风险18项;开发风险8项:高风险0项、中风险4项、低风险4项。策划风险7项:高风险2项、中风险2项、低风险3项。其他风险具体评估结果:项目行政人力开发策划高中低中低中低高中低重要性非常重要1366122213重要48613221一般重要74可能性基本确定1很可能15692122可能212213343极小可能33可控性不可控141321基本可控31109111可控201933风险数量合计1721121844223风险管理审计项目研讨结果一、风险管理体系已初见雏形,但机制不够系统、健全。公司风险管理体系已逐渐得到完善,截止报告日已建立了内部审计机构、纪检监察机构、质量管理机构及相关业务流程和制度,但风险管理机构、风险
