第十二章 风险应对 Final version

ind申报风险管理计划模板-回复ind申报风险管理计划模板是一种用于帮助组织制定和执行风险管理计划的工具。

它提供了一个系统化的方法来识别、评估和应对潜在风险，从而提高组织的决策能力和整体业务绩效。

以下是一份基于该模板的风险管理计划的详细解释。

第一步：目标和范围在这一步中，我们将明确风险管理计划的目标和范围。

目标是指我们想要通过风险管理计划实现的结果，范围则定义了风险管理计划的工作内容和边界。

目标：我们的目标是帮助组织有效管理风险，以保护组织的利益、确保业务连续性，并提高决策质量和整体业务绩效。

范围：我们的风险管理计划将覆盖整个组织以及与之相关的各个业务领域和功能部门。

第二步：风险识别在这一步中，我们将识别潜在的风险，并对其进行分类和描述。

风险识别是风险管理计划的基础，它为我们提供了一个全面的风险图景。

我们将采用以下方法来进行风险识别：1. 保护目标法：通过识别可能对组织目标造成损害的外部和内部事件，以及可能引发这些事件的根本原因。

2. 风险分类法：将识别到的风险根据其性质、来源和影响程度等因素进行分类，并为每个类别确定一个合适的风险描述。

第三步：风险评估在这一步中，我们将对已识别的风险进行评估，以确定其潜在影响和优先级。

风险评估是风险管理计划的重要组成部分，它帮助我们确定应对风险的优先级和方式。

我们将采用以下方法来进行风险评估：1. 风险概率评估：评估每个风险事件发生的概率。

2. 风险影响评估：评估每个风险事件发生后可能对组织造成的影响。

3. 风险优先级评估：根据风险概率和影响，确定每个风险事件的优先级。

第四步：风险应对在这一步中，我们将确定针对各个风险事件的具体应对措施，并制定应变方案和纠正措施，以减轻风险产生的影响。

我们将采用以下方法来进行风险应对：1. 风险规避：通过采取预防措施来降低风险发生的可能性。

2. 风险转移：通过购买保险或与其他组织合作来转移风险责任。

3. 风险减轻：通过采取控制措施来减轻风险事件发生后的影响程度。

PMP风险管理知识点风险管理效用函数：风险的追随者，中立者，回避者信息收集技术：头脑风暴，德尔菲技术，访谈，根本原因分析SWOT分析：优势，劣势，机会，威胁数据收集和表现技术：访谈，概率分布概率影响矩阵：深灰色――高风险中灰色――低风险浅灰色――中风险定量风险分析和建模技术：敏感性分析：用于确定哪些风险对项目具有最大的潜在影响，龙卷风图预期货币价值分析（EMV）：EMV=P某V+P某V+……P（概率），V（后果）决策树建模和模拟：蒙特卡洛技术风险应对策略：消极：回避，转移，减轻，接受（主动，被动）积极：开拓，分享，提高，接受推荐的纠正措施：应急计划，权变措施风险的触发因素，征兆，预警信号残余风险，次生风险风险管理计划描述将如何安排与实施项目风险管理包括：方法论角色与职责预算时间安排风险类别风险概率和影响的定义概率影响矩阵修订的干系人承受力报告格式跟踪风险登记册识别风险中输出：1、已识别风险清单2、潜在应对措施清单实施定性风险分析输出：1、项目风险的相对排序或优级清单2、按类别分类的风险3、风险成因或需特别关注的项目领域4、近期就需应对的风险观察清单5、需进一步分析与应对的清单6、低优先级风险观察清单7、定性风险分析结果的趋势实施定量风险分析输出：1、项目的概率分析2、实现成本和时间目标的概率3、量化风险优先级清单4、定量风险分析结果的趋势规划风险应对输出：1、已识别风险及描述，所影响的项目领域，风险起因，以及对项目目标的潜在影响2、风险责任人及其职责3、风险优先级清单4、商定的应对策略5、实施应对策略所需的行动6、触发因素，征兆和预警信号7、实施应对策略所需的预算和进度活动8、应急计划及启动应急计划的触发因素9、弹回计划10、残余风险，有意接受的风险11、次生风险（即发风险）12、根据项目的定量风险分析以及组织的风险临界值，计算出来的应急储备监控风险输出：1、风险再评估，风险审计和定期风险审查结果，还可能需要删去不复存在的风险并释放相应储备2、项目风险和风险应对的实际结果。

第三节控制测试三、控制测试的时间（三）确定利用以前审计获取的有关控制运行有效性的审计证据应当考虑的因素（教材P263）图12-1 本审计期间测试某项控制的决策图注册会计师在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当，以及再次测试控制的时间间隔时，应当考虑的因素包括：（1）内部控制其他要素的有效性；（2）控制特征（人工控制还是自动化控制）产生的风险；（3）信息技术一般控制的有效性；（4）控制设计及其运行的有效性；（5）由于环境发生变化而特定控制缺乏相应变化导致的风险；（6）重大错报的风险和对控制的信赖程度。

（四）旨在减轻特别风险的控制测试（教材P264）结合教材P264图12-11.对于旨在减轻特别风险的控制，不论该控制在本期是否发生变化，注册会计师都不应依赖以前审计获取的证据。

2.如果注册会计师拟信赖针对特别风险的控制，那么所有关于该控制运行有效性的审计证据必须来自当年的控制测试，注册会计师应当在每次审计中都测试这类控制。

【例题7·多选题】C注册会计师负责对丙公司20×8年度财务报表进行审计。

在识别、评价和应对特别风险时，C注册会计师遇到下列事项，请代为做出正确的专业判断在了解和测试与特别风险相关的内部控制时，C注册会计师的下列做法正确的有（）。

（2008年）A.评价相关控制的设计情况，并确定其是否已经得到执行B.如果拟信赖相关控制，每年测试控制的有效性C.如果拟信赖相关控制，且相关控制自上次测试后未发生变化，每两年测试一次控制的有效性D.如果相关控制不能恰当应对特别风险，应当就该事项与丙公司治理层沟通【答案】ABD【解析】本题题干部分讨论的是注册会计师对特别风险的内部控制进行了解和测试的问题，选项A是了解内部控制的目的，故正确；注册会计师对特别风险内部控制的测试时间要求在本年进行测试，故选项B正确而选项C错误；如果管理层没有实施控制来应对特别风险应视为被审计单位的控制存在重大缺陷，应当与管理层和治理层沟通，所以选项D的说法也是正确的。

审计英语风险评估与风险应对一、考情分析从历年考试情况来看，风险导向审计要求注册会计师以重大错报风险的识别、评估和应对审计工作为主线，以提高审计效率和效果。

故本章属于非常重要的知识。

英语部分，本章要求掌握的程度：在明确风险识别、评估和应对的基本思路的前提下，对通过了解被审计单位及其环境所关注到的情况，能够识别、评估被审计单位财务报表中可能存在的重大错报风险，进而结合风险应对的要求设计实施进一步程序。

二、专业词汇存在性：Existence完整性：Completeness计价和分摊：Valuation and allocation权利和义务：Right and obligation准确性：Accuracy截止：Cut-off内部控制：Internal control存货减值准备：Inventory impairment provision减值损失：Impairment loss折旧费用：Depreciation expense重大错报风险：Material misstatement risks审计程序：Audit procedures认定层次：Assertion Level控制测试：Tests of control实质性程序：Substantive procedures审计程序的性质、时间、范围：The nature, timing or extent of audit procedures非常规交易：Abnormal transactions特殊风险：Special risks舞弊：Fraud控制环境：Control environment认定层次重大错报风险：重要性：Materiality穿行测试：Walk-through test控制活动：Control activities重新执行：Re-performance询问：Inquiry观察：Observe检查：Inspect顺查：Trace三、重点、难点讲解Ⅰ.了解被审计单位及其环境注册会计师应当从下列方面了解被审计单位及其环境：Ⅰ.Understanding Auditee and Its EnvironmentCPA should understand auditee and its environment from following aspects:（1）相关行业状况、法律环境与监管环境以及其他外部因素；（1）industry status, regulatory environment and other external factors;（2）被审计单位的性质；（2）nature of the auditee;（3）被审计单位对会计政策的选择和运用；（4）被审计单位的目标、战略以及导致重大错报风险的相关经营风险；（5）对被审计单位财务业绩的衡量和评价；（6）被审计单位的内部控制。

208 和成本风险等。

由于项目时间和成本的风险都是项目风险管理的重点，所以，模拟仿真法在项目风险度量中应用较为广泛。

人们经常使用的这类方法有蒙特卡罗方法（Monte Carlo Method）或三角模拟分析法。

4．风险评审技术风险评审技术（V enture Evaluation Review Technique，VERT）是为了适应某些有高度不确定性和风险性的决策问题而开发的一种网络仿真系统。

在20世纪80年代初期，VERT首先在美国大型系统研制计划和评估中得到应用。

VERT在本质上仍属于随机网络仿真技术，它按照工程项目和研制项目的实施过程，建立对应的随机网络模型。

VERT根据每项活动或任务的性质，在网络节点上设置多种输入和输出逻辑功能，使网络模型能够充分反映实际过程的逻辑关系和随机约束。

同时，VERT还在每项活动上提供多种赋值功能，建模人员可对每项活动赋予时间周期、费用和性能指标，并且能够同时对这3项指标进行仿真运行。

因此，VERT仿真可以给出在不同性能指标下，相应时间周期和费用的概率分布、项目在技术上获得成功或失败的概率等。

这种将时间、费用、性能（简称T、C、P）联系起来进行综合性仿真的技术，为多目标决策提供了强有力的工具。

5．敏感性分析法敏感性分析法是指从众多不确定性因素中找出对项目目标（进度、成本和质量等）有重要影响的敏感性因素，并分析、测算其对项目目标的影响程度和敏感性程度，进而判断项目承受风险能力的一种不确定性分析方法。

根据不确定性因素每次变动数目的多少，敏感性分析法分为单因素敏感性分析法和多因素敏感性分析法，如单因素敏感性分析法，每次只变动一个因素而其他因素保持不变。

但在实际风险评估工作中，采用多因素敏感性分析法较多。

敏感性分析法的目的有以下几个。

（1）找出影响项目目标的敏感性因素，分析敏感性因素变动的原因，并为进一步进行不确定性分析（如概率分析）提供依据。

（2）研究不确定性因素变动，如引起项目进度变动的范围或极限值，分析判断项目承担风险的能力（底线）等。

PMP：项⽬风险管理-规划风险应对本⽂将介绍PMPBOK项⽬风险管理知识领域在规划过程组11.5规划风险应对管理过程的输⼊、⼯具与技术、输出。

11.5规划风险应对（Plan Risk Responses）定义：针对项⽬⽬标，制定提⾼机会、降低威胁的⽅案和措施的过程。

作⽤：根据风险的优先级来制定应对措施，并把风险应对所需的资源和活动加进项⽬的预算、进度计划和项⽬管理计划中。

要点：=》制定风险应对措施需要理解风险处理机制==》根据该机制来分析风险应对计划是否有效==》确认和分配风险应对责任⼈（owner for risk response）来实施风险应对措施=》风险应对措施必须与风险的重要性相匹配，能经济有效地应对挑战。

=》最佳风险应对措施需要从备选⽅案中加以选择过程：11.5.2规划风险应对：⼯具与技术若⼲种风险应对策略可供使⽤，应该为每个风险选择最可能有效的策略或策略组合可利⽤风险分析⼯具（如决策树）来选择最适当的应对策略然后，应制定具体⾏动去实施该策略，包括主要策略和备⽤策略（如有必要）可以制定弹回计划（fallback plan），以便在所选策略⽆效或发⽣已接受的风险时加以实施还应该对次⽣风险（secondary risk）进⾏审查=》次⽣风险是由实施风险应对措施导致的风险要为时间或成本分配应急储备制定应急储备时，可能需要说明动⽤的触发条件11.5.2.1消极风险或威胁的应对策略(Strategies for Negative Risks or Threats)通常⽤规避、转移、减轻这三种策略来应对威胁或消极风险第四种策略--接受，可同时应对消极与积极风险规避 Avoid风险规避是指项⽬团队采取⾏动来消除威胁，或保护项⽬免受风险影响的风险应对策略通常包括改变项⽬管理计划，以完全消除威胁规避策略包括：=》把项⽬⽬标从风险的影响中分离=》改变受到威胁的⽬标：缩⼩范围、改变策略、延长进度=》关闭整个项⽬（最极端的规避策略）在项⽬早期出现的某些风险，可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避转移 Transfer风险转移是指项⽬团队将威胁造成的影响连同应对责任⼀起转移给第三⽅的风险应对策略转移风险是把风险管理责任简单地推给另⼀⽅，⽽并⾮消除风险转移策略的代价是需要向风险承担者⽀付风险费⽤转移策略对处理风险的财务后果最有效外包是⼀种典型的风险转移策略转移⼯具包括：=》保险 Insurance=》履约保函 Performance bonds=》担保书 Warranties=》保证书 Guarantess=》合同 Contracts=》协议 Agreements减轻 Mitigate风险减轻是指项⽬团队采取⾏动降低风险发⽣概率和/或影响的风险应对策略意味着把不利风险的概率和/或影响降低到可接受的临界值范围内提前采取⾏动来降低风险概率和/或可能给项⽬造成的影响，⽐风险发⽣后再设法补救要更加有效减轻措施包括：=》采⽤不太复杂的流程=》进⾏更多的测试=》选⽤更可靠的供应商=》开发原型=》加⼊冗余部件等接受 Accept风险接受是指项⽬团队决定接受风险的存在，⽽不采取任何措施（除⾮风险真的发⽣）的风险应对策略使⽤场景：=》没有其他合理的应对策略=》或其他策略不具有经济有效性接受策略有两种=》被动接受==》只需记录本策略，⽽不需要任何其他⾏动==》待风险发⽣时再由项⽬团队进⾏处理（权变措施）==》定期审查，确保威胁没有太⼤变化=》主动接受==》建⽴应急储备，安排⼀定的时间、资⾦或资源来应对风险11.5.2.2积极风险或机会的应对策略（Strategies for Positive Risks or Opportunites）开拓 Exploit与“规避”相对应旨在消除与某个特定积极风险相关的不确定性，确保机会肯定出现直接开拓包括：=》把组织中最有能⼒的资源分派给项⽬来缩短完⼯时间=》采⽤全新技术或技术升级来减⼩实现项⽬⽬标所需的成本和⼯期分享 Share与“转移”相对应是指把应对机会的部分或全部责任分配给最能为项⽬利益抓住该机会的第三⽅（共享⽅）分享的例⼦包括：=》建⽴风险共担的合作关系与团队=》为特殊⽬的成⽴公司或联营体⽬的是充分利⽤机会，使各⽅都从中受益提⾼ Enhance与“减轻”相对应旨在提⾼积极机会的发⽣概率和/或积极影响识别那些会影响积极风险发⽣的关键因素，并使这些因素最⼤化，以提⾼机会发⽣的概率提⾼机会的例⼦包括：为尽早完成活动⽽增加资源接受 Accept接受机会是指当机会发⽣时乐以利⽤，但不主动追求机会通常被动接受风险应对策略的区别规避和减轻通常适⽤于⾼影响的严重风险转移和接受则更适⽤于低影响的不太严重威胁11.5.2.3应急应对策略（Contingent Response Strategies）应急应对策略是指只有在某些预定条件发⽣时才能实施的专门计划过的应对措施这些措施⼜称为应急计划（Contingency Plan）或应急预案应急计划也属于（接受策略的）弹回计划应急计划应包括明确定义的可跟踪的触发事件，如未实现阶段性⾥程牌；获得供应商更⾼程度的重视11.5.3规划风险应对：输出11.5.3.1项⽬管理计划更新，包括（但不限于）：=》进度管理计划=》成本管理计划=》质量管理计划=》采购管理计划：反映风险应对措施的所带来的⾃制外购决策与合同类型的变化=》⼈⼒资源管理计划=》范围基准：反映因应对风险⽽产⽣的新⼯作、⼯作变更或⼯作取消=》进度基准：反映因应对风险⽽产⽣的新⼯作（或取消的⼯作）=》成本基准：反映因应对风险⽽产⽣的新⼯作（或取消的⼯作）11.5.3.2项⽬⽂件更新风险登记册的更新包括：=》风险责任⼈及职责=》商定的应对策略=》实施上述应对策略所需的具体⾏动=》风险发⽣的触发因素、征兆和预警信号=》实施所选应对策略所需的预算和进度活动=》应急计划和启动应急计划的触发因素=》弹回计划（Fallback plans）:在风险发⽣并且主要应对措施⽆效时使⽤的备选应对计划=》残余风险（Residual risks）:在采取预定措施之后依然存在的风险，以及有意接受的风险=》次⽣风险（Secondary risks）:实施风险应对措施直接导致的新风险=》根据定量风险分析及风险临界值计算出来的应急储备项⽬执⾏中的风险处理流程。