【正文】 或財務影響（一星期的利潤）。 — 中度嚴重：顯著地影響戰(zhàn)略和 /或財務目標的實現(xiàn)（一月的利潤）。 — 嚴重：難以實現(xiàn)戰(zhàn)略目標（可能需要戰(zhàn)略上的一次改變），和 /或重大的財務影響（一季的利潤）。 — 高度嚴重：戰(zhàn)略目標無法實現(xiàn)，導致嚴重的財務后果（一年的利潤）并威脅公司的生存能力。 68 取證結果的評價 ②風險可能性（概率）評價的具體尺度 — 不發(fā)生：在特定的時期內不會發(fā)生（ 5%）。 — 不太可能：在特定的時期內不太可能發(fā)生（ 25%）。 — 可能：在特定的時期內或許會發(fā)生（ 50%）。 — 很可能：在特定的時期內發(fā)生比不發(fā)生的可能性大（ 50%）。 — 肯定：在特定的時期內已經(jīng)發(fā)生或幾乎肯定會發(fā)生（ 90%）。 ③風險的層次評價（擴展的尺度） — 極小的威脅：幾乎不可能嚴重地威脅組織。 — 輕度威脅：不太可能嚴重地威脅組織。 — 中度威脅：偶爾可能成為組織的嚴重威脅。 — 嚴重威脅：很可能成為組織的嚴重威脅。 —— 災難性的威脅肯定是組織的嚴重威脅 69 取證結果的評價 ④風險承受限度的評價 — 避免：在任何情況下都不會允許此風險發(fā)生。 — 降低：必須擁有持續(xù)地管理此風險的政策、流程和程序，并把它的影響降到最低限度。 — 管理：必須能夠預測此風險的發(fā)生，并采取前瞻性的行動以降低其影響。 — 檢查：將允許此風險發(fā)生，但是必須能在其影響過大之前及時檢查并報告此風險。 — 接受：風險的發(fā)生是可接受的。 70 取證結果的評價 ⑤風險管理 /風險控制可擴展度（可管理性或可控性）評價 — 無風險管理：組織任由風險發(fā)生，并接受其后果。 — 低層次的風險管理：風險通常都可以檢測到，但是組織更依賴于應急或恢復計劃。 — 中等的風險管理：在有效的監(jiān)督下，能識別風險的發(fā)生，并擁有充足的時間減小風險的影響 /提高獲利的機會。 — 擴展的風險管理：持續(xù)的監(jiān)督和前瞻性的管理活動確保把風險的影響降到最低 /增強獲利的可能性。 — 持續(xù)的風險管理：一個全面的風險管理計劃有助于確保風險得到了預防，或者所有可度量的影響 /機會都得到了優(yōu)化。 ⑥風險管理成熟度評價（采用風險管理成熟度模型評價） — A級：特定風險管理 — B級：初步風險管理 — C級：可重復性風險管理 — D 級：主動性風險管理 — E 級：前瞻性風險管理。 71 取證結果的評價 ⑦被審事項現(xiàn)有風險管理水平或效力評價，例如： — 該事項的風險管理框架不適（其中包括風險管理政策不適），不能滿足該事項目標實現(xiàn)的要求。 — 該事項有明確與合理的風險管理框架（其中包括合理的風險管理政策），然而風險管理政策的實施不力和無效。 — 該事項有較明確與合理的風險管理框架（其中包括合理的風險管理政策），且該事項的風險管理政策能基本落實。 — 該事項有較明確與合理的風險管理框架（其中包括合理的風險管理政策），且該事項的風險管理政策能較好落實，內部控制有效，風險管理過程運行有效。 72 溝通與協(xié)商 溝通和協(xié)商將不間斷地貫穿于整個審計過程中，其目的是為了促使審計工作得到各方面的支持和配合，以及為了保證審計工作的質量和效果。 如果管理人員不認可審計人員所提出的審計發(fā)現(xiàn)或建議，這可能表明審計人員沒有完全理解管理人員的風險承受限度。此時，應該與管理人員重新協(xié)商其風險承受限度，從而就以下方面達成共識： — 審計發(fā)現(xiàn)的有效性； — 解決這些發(fā)現(xiàn)中所提出問題的必要性； — 以及相關建議的恰當性。 73 整理審計發(fā)現(xiàn) 整理審計發(fā)現(xiàn)，描述審計發(fā)現(xiàn)，是著手撰寫審計報告的基本準備工作，審計發(fā)現(xiàn)是風險管理審計報告的寫作素材源泉。 在評價審計證據(jù)后，需要把審計發(fā)現(xiàn)描述出來，但應當注意： ⑴審計發(fā)現(xiàn)應該以具體而簡潔的語言進行表述。 ⑵理解某一發(fā)現(xiàn)所必需的信息應該一一列舉 ⑶應該一眼就能辨別出與某一發(fā)現(xiàn)相關的風險。 74 整理審計發(fā)現(xiàn) 通常，我們可以采用矩陣圖的方式反映審計發(fā)現(xiàn)，具體內容包括： ⑴現(xiàn)狀。 ⑵標準 /期望。 ⑶原因。 75 整理審計發(fā)現(xiàn) ⑷影響。注意： ①盡可能詳盡地對影響進行描述。 ②影響可以量化成為財務價值數(shù)據(jù) ③除了能用財務價值表述的影響之外，審計人員還應該考慮其他方面的影響。 ④但如果針對其他可能發(fā)生的影響情況存在有相應的行動要求的話，審計人員也需要對這些影響進行相應的說明。 ⑤適當時，這些影響可以和流程目標或主要風險聯(lián)系起來。 ⑸評價。矩陣風險圖 ⑹建議。 76 對審計發(fā)現(xiàn)的處理 ? 是否納入最終的審計報告之中。對哪些審計發(fā)現(xiàn)應該納入最終審計報告之中？ ? 是否被修改或與其他發(fā)現(xiàn)進行合并，從而更好地闡明所提出的問題，并制定更可行的解決方案。 ? 與管理人員的共同討論 ? 是否清除出審計報告的候選對象之列，這應當根據(jù)后續(xù)的事實或根據(jù)管理人員的評論。 記錄于工作底稿之中。 77 審計報告的一般內容 一般的審計報告應當包括標題、收件人、正文、附件、簽章、報告日期等基本要素，正文包括以下主要內容： ⑴立項依據(jù)。 ⑵背景介紹。 ①目的和理由； ②被審計單位的規(guī)模、業(yè)務性質與特點、組織機構等； ③上次同類審計的評價情況； ④與審計項目相關的環(huán)境情況； ⑤與被審計事項有關的技術性文件； ⑥其它情況。 78 審計報告的一般內容 ⑶審計目標與范圍。 ⑷審計重點。 ⑸審計標準。 ⑹審計依據(jù)。 ⑺審計發(fā)現(xiàn)與風險之間的聯(lián)系，風險與風險之間的聯(lián)系及相互作用的可能結果。 79 審計報告的一般內容 ⑻審計結論。評估企業(yè)整體（或被審事項）風險管理體系的運行效果，評估每一個風險應對策略的科學性、合理性和落實效果，評估旨在落實風險策略的每一個將主要風險控制在可接受水平的管理活動效果，評估在現(xiàn)有風險治理和風險控制之水平下每一個（或某一個，根據(jù)審計任務決定）關鍵風險現(xiàn)存的風險暴露水平，比較這種風險暴露水平與期望值之間的差距，提出縮小差距的建議行動步驟和實施方案。： ①強大的風險管理?！翱偟膩碚f，與 XYZ業(yè)務相關的風險（特別是關鍵性風險）一直被有效地控制在可接受的水平。盡管可能存在某些改進的機會，但是，目前圍繞著業(yè)務流程的風險管理過程運轉良好，風險管理活動沒有進行重大改變的必要?！? 80 審計報告的一般內容 ②一般水平的風險管理?！翱偟膩碚f，與 XYZ業(yè)務相關的風險（特別是關鍵性風險）通常都能被控制在可接受的水平。但是，需要改進業(yè)務流程和同時改進圍繞著業(yè)務流程的相應的風險管理過程的設計（和 /或運作）以確保這些風險一直被管理在可接受的水平。主要的改進 ……?！? ③薄弱的風險管理?！翱偟膩碚f，與 XYZ業(yè)務相關的風險不能被持續(xù)地控制在可接受的水平，這表明該領域面臨著較大的風險暴露。因此，有必要立即改進業(yè)務流程的設計（和 /或運作），同時需改進相應的風險應對策略和控制措施，尤其是 …… 。” ⑼審計建議。審計人員應該依據(jù)審計發(fā)現(xiàn)和審計證據(jù)，結合組織的實際情況和審計結論的性質，提出審計建議。審計建議可分為以下幾種類型： ①現(xiàn)有系統(tǒng)運行良好，無需改變； ②現(xiàn)有系統(tǒng)需要全部或局部改變，包括改進的方案設計，方案實施的要求，方案實施效果的預計，未實施此方案的后果分析。 81 風險管理的后續(xù)審計 82 風險管理的后續(xù)審計 在實施后續(xù)審計中，審計人員應當關注： ⑴后續(xù)審計對策的選擇 ⑵注意溝通的藝術 ⑶對重大的審計發(fā)現(xiàn)和結論實施現(xiàn)場審計和測試 ⑷要繼續(xù)發(fā)現(xiàn)問題、解決問題 83 內部控制和風險管理審計案例 ?內部控制審計案例 ?風險管理審計案例 84 演講完畢，謝謝觀看！