风险管理过程审计

　　“审计新视野丛书”是以内部审计师为主要读者的系列丛书。本书同时适于从事治理、风险和控制系统复核的外部审计人员、合规性小组、财务主管、咨询师及其他人员。本丛书也适于执行官、经理和职员，其正越来越多地被要求复核内部控制系统，以确保各种类型的组织均有健全的风险管理过程。

　　第1章 为什么要有风险管理 14
1.1 引言 14
1.2 风险管理框架模型：阶段Ⅰ 17
1.2.1 企业外部的全球和市场发展 17
1.2.2 法律、法规、守则和指南 18
1.2.3 任务 19
1.2.4 CEO 和委员会 19
1.2.5 战略形成 20
1.2.6 高级管理者 20
1.2.7 战略实施 21
1.3 风险管理框架模型：阶段Ⅱ 21
1.3.1 积极的利益相关者 22
1.3.2 消极的利益相关者 22
1.3.3 战略风险 22
1.3.4 经营风险 24
1.3.5 风险图（财务、经营、项目和合规） 24
1.4 风险管理框架模型：阶段Ⅲ 25
1.4.1 风险容量 25
1.4.2 能力（capability） 26
1.4.3 投入（commitment） 26
1.4.4 选择（choice） 26
1.4.5 一致性（consistency） 27
1.4.6 背景（context） 27
1.4.7 挑战（challenge） 27
1.4.8 沟通（communication） 28
1.4.9 明晰性（clarity） 28
1.4.10 控制（control） 29
1.4.11 核心价值（core values） 29
1.4.12 文化（culture） 29
1.5 风险管理框架模型：阶段Ⅳ 30
1.5.1 高级管理者 30
1.5.2 经营目标 31
1.5.3 风险识别 31
1.5.4 风险评估 32
1.5.5 风险管理 33
1.5.6 KPIs 34
1.5.7 披露 34
1.6 风险管理框架模型：阶段Ⅴ 35
1.6.1 企业风险管理框架 35
1.6.2 内部控制报告 36
1.6.3 监控 37
1.6.4 验证 37
1.6.5 改良 38
1.6.6 持续整合 39
1.7 小结 39
第2章 确定风险管理成熟度 40
2.1 引言 40
2.2 风险管理成熟度模型：阶段Ⅰ 42
2.3 风险管理成熟度模型：阶段Ⅱ 43
2.3.1 审计植入 44
2.3.2 基础培训 44
2.3.3 协调和领导 46
2.3.4 帮助、支持、设计和实施 47
2.3.5 非审计任务 48
2.4 风险管理成熟度模型：阶段Ⅲ 49
2.4.1 层次一：意识 50
2.4.2 层次二：设计 51
2.4.3 层次三：整合 52
2.4.4 层次四：复核 52
2.5 风险管理成熟度模型：阶段Ⅳ 53
2.5.1 首席执行官（CEO） 54
2.5.2 首席风险官（CRO） 54
2.5.3 雇员 55
2.5.4 首席审计师（CAE) 56
2.6 风险管理成熟度模型：阶段Ⅴ 58
2.6.1 咨询职责 58
2.6.2 鉴证职责 59
2.6.3 审计植入 60
2.6.4 教导和建议 60
2.6.5 正式的复核和客观的鉴证 61
2.6.6 审计客观性 61
2.6.7 风险无知 62
2.6.8 风险敏感 63
2.7 小结 64
第3章 企业层面的风险管理 65
3.1 引言 65
3.2 企业风险管理模型：阶段Ⅰ 66
3.2.1 单独的风险活动 66
3.2.2 一次性的风险报告 67
3.2.3 公司战略 67
3.3 企业风险管理模型：阶段Ⅱ 68
3.3.1 风险政策 68
3.3.2 接受 69
3.3.3 容纳和协调 69
3.3.4 ERM过程 70
3.3.5 内部控制报告 72
3.4 企业风险管理模型：阶段Ⅲ 73
3.4.1 平台阶段 73
3.5 企业风险管理模型：阶段Ⅳ 74
3.5.1 风险容量 74
3.5.2 职责 75
3.5.3 过程 76
3.5.4 工具 77
3.5.5 记录 78
3.5.6 报告 79
3.6 企业风险管理模型：阶段Ⅴ 80
3.6.1 整合 80
3.6.2 嵌入 80
3.6.3 风险状况 81
3.6.4 向上、向旁边和向下 82
3.6.5 经营系统 82
3.6.6　合规性 83
3.6.7 业绩 83
3.6.8 全球报告 84
3.7 小结 85
第4章 风险容量 87
4.1 引言 87
4.2 风险容量模型：阶段Ⅰ 87
4.2.1 经营领域 88
4.2.2 风险所有者 89
4.2.3 低、中、高 89
4.2.4 设定目标和重要性水平 90
4.3 风险容量模型：阶段Ⅱ 91
4.3.1 给风险选定恰当的分类 92
4.4 风险容量模型：阶段Ⅲ 94
4.4.1 确定向上/向下的方向 94
4.5 风险容量模型：阶段Ⅳ 95
4.5.1 决定授权水平 96
4.6 风险容量模型：阶段Ⅴ 97
4.7 小结 100
第5章 控制风险自我评估 102
5.1 引言 102
5.2 控制风险自我评估模型：阶段Ⅰ 103
5.2.1 董事会风险政策 104
5.2.2 公司风险评估 104
5.2.3 审计/风险委员会 105
5.2.4 开始 105
5.3 控制风险自我评估模型：阶段Ⅱ 106
5.3.1 意识 106
5.3.2 工具 107
5.3.3 动机 108
5.3.4 CRSA方法 108
5.4 控制风险自我评估模型：阶段Ⅲ 109
5.4.1 控制文化 109
5.4.2 设定目标 110
5.4.3 项目 111
5.4.4 过程 111
5.4.5 人 111
5.5 控制风险自我评估模型：阶段Ⅳ 112
5.5.1 KPIs 113
5.5.2 利益相关者 113
5.5.3 变更 114
5.5.4 RI、RA、RO、RM、行动 114
5.5.5 框图 115
5.5.6 内部控制认证 117
5.6 控制风险自我评估模型：阶段Ⅴ 117
5.6.1 风险容量 118
5.6.2 风险容限 118
5.6.3 风险文化 119
5.6.4 风险触发器 120
5.7 小结 120
第6章 制定审计方法 122
6.1 引言 122
6.2 审计方法模型：阶段Ⅰ 124
6.2.1 董事会ERM政策 125
6.2.2 审计委员会 126
6.2.3 审计章程 127
6.3 审计方法模型：阶段Ⅱ 128
6.3.1 咨询 129
6.3.2 领导 129
6.3.3 建议 130
6.3.4 没有ERM 130
6.3.5 好的ERM 131
6.4 审计方法模型：阶段Ⅲ 131
6.4.1 鉴证 132
6.4.2 风险为基础的审计计划 133
6.4.3 初步调查 136
6.4.4 ERM框架 137
6.5 审计方法模型：阶段Ⅳ 138
6.5.1 CRSA 138
6.5.2 调查 139
6.6 审计方法模型：阶段Ⅴ 140
6.6.1 任务分配计划 141
6.6.2 经营风险登记簿 143
6.6.3 审计证据 144
6.6.4 SIC 146
6.7 小结 147
第7章 虚幻的完美 148
7.1 引言 148
7.2 糟糕的实践模型：阶段Ⅰ 149
7.2.1 风险管理超载 149
7.2.2 监管者、律师和媒体 151
7.2.3 投资者、董事会和合伙人 152
7.2.4 ERM记录和报告 152
7.3 糟糕的实践模型：阶段Ⅱ 154
7.3.1 道德 154
7.3.2 收益 155
7.3.3 感知到的确定性 156
7.3.4 分散的不确定性 157
7.4 糟糕的实践模型：阶段Ⅲ 158
7.4.1 风险登记簿 158
7.4.2 详细的风险评估 160
7.4.3 热度示意图 160
7.4.4 风险报告 161
7.4.5 风险研讨会 161
7.5 糟糕的实践模型：阶段Ⅳ 162
7.5.1 公众形象 162
7.5.2 不公开的现实 163
7.6 糟糕的实践模型：阶段Ⅴ 164
7.6.1 我们掌控 164
7.6.2 我们仍在海上漂 165
7.7 小结 167
第8章 全面的ERM理念 168
8.1 引言 168
8.2 ERM程序模型：阶段Ⅰ 168
8.2.1 利益相关者 169
8.2.2 经营风险 169
8.2.3 法规和规章 170
8.2.4 公共窗口 170
8.2.5 任务和远景 170
8.3 ERM程序模型：阶段Ⅱ 171
8.3.1 经营计划过程 172
8.3.2 经营业绩过程 172
8.3.3 战略、决策和受托责任 173
8.3.4 ERM 173
8.4 ERM 程序模型：阶段Ⅲ 174
8.4.1 道德、价值和决策 174
8.4.2 风险容量、风险图和风险轮廓图 175
8.4.3 标准、程序和过程 175
8.4.4 风险委员会、论坛和CRO 176
8.4.5 目标、RI、RA、RM、行动和KPIs 177
8.5 ERM 程序模型：阶段Ⅳ 178
8.5.1 平台 179
8.5.2 术语、胜任能力、职责、分类、团队 179
8.5.3 H&S、IS、IT、项目、应急、经营和支持 179
8.5.4 整合 180
8.5.5 风险识别 181
8.6 ERM 程序模型：阶段Ⅴ 181
8.6.1 认证 182
8.6.2 复核 183
8.6.3 持续和开放的沟通 183
8.7 小结 184
附录A 应用ERM诊断工具 186