《江苏省风险管理审计操作指南》由会员分享,可在线阅读,更多相关《江苏省风险管理审计操作指南(5页珍藏版)》请在金锄头文库上搜索。
1、江苏省风险管理审计操作指南江苏省风险管理审计操作指南江苏省风险管理审计操作指南 第一章 总 则 第一条 为了规范内部审计人员对组织活动中的风险管理状况进行审查与评价,提高内部风险管理审计质量,根据内部审计具体准则第 16 号风险管理审计,制定本操作指南。 第二条 本指南所称风险管理,是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。 第三条 本指南所称风险管理审计,是指内部审计机构和人员依据国家法律、法规、政策和标准,独立、客观地对本组织风险管理进行监督、评价,提出改进和加强风险管理的意见或建议的行为。 第四条 内部审计机构和人员应当充分了
2、解组织的风险管理过程,审查和评价风险识别的合理性、已有风险衡量的恰当性和风险防范措施的充分性、适当性,并提出改进措施。 第五条 风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价,也可对职能部门风险管理进行审查与评价。 第六条 本指南适用于各类组织内部审计机构和人员及其从事的内部审计活动。 第二章 一般原则 第七条 风险管理审计应当坚持独立客观的原则,内部审计机构和人员对风险管理的监督评价应当客观公正,审计人员不得直接参与风险管理,审计活动应当不受干扰,内部风险审计意见可直接向决策层报告。 第八条 风险管理审计应当坚持职业审慎的原则,充分考虑风险管理审计的
3、复杂性、艰巨性,不具备足够专业力量的内部审计机构不应开展风险管理审计,工作需要时,可采取委托其他具备相应能力的审计中介机构代为开展本单位的风险管理审计。 第九条 风险管理审计应当坚持科学有序的原则,遵循适当程序,采用先进方法和手段。 第十条 风险管理审计应当坚持风险优先的原则,着重关注审计对象的风险管理,同时应对审计本身的风险进行科学评估,并制定系统的应对策略和措施,对不确定因素,应在审计报告中进行披露。 第十一条 风险管理审计应当坚持保守秘密的原则,不得泄露国家秘密、商业秘密以及与此相关的风险管理审计资料和信息。 第三章 审计内容 第十二条 内部风险管理审计范围包括控制环境、目标设定、风险识
4、别、风险评估、风险对策、控制活动、信息及沟通、监督等。 (一)内部环境审计 1. 审计单位是否建立分工合理、职责明确、相互制衡、运作有效的架构体系。 2. 审计单位是否建立负责内部控制或监督的领导机构和专(兼)职的风险管理机构,明确各组织对内部控制所应承担的责任。 3. 审计单位是否制定科学合理的岗位职责,并依据岗位职责配备相应的、具有一定素质的管理人员和经办人员。 4. 审计单位是否实行了有效的分级授权制度,责任是否明确;是否有明确的人事管理、用人机制。 5. 审计单位是否建立科学、有效的激励约束机制,培育良好内控文化,积极创造全体员工依法履职的环境和氛围。 6. 审计单位是否培育有利于高效
5、履行职责的良好法律环境和制度环境。 (二)目标设定风险审计 1. 审计单位战略目标的制定是否充分考虑本单位内外部风险因素。 2. 审计对各类风险的防范,是否建立了行之有效的风险预警体系,能及时有效对出现的风险苗头发出警示。 3. 审计是否建立了风险识别评估和确认机制,对风险的识别和评估是否充分准确。 4. 审计单位承担的风险是否在可容忍的限度之内。 5. 审计管理层采取的规避、降低和控制风险的举措是否恰当,是否合乎成本效益原则。 6. 审计风险监控措施、报告制度是否行之有效和及时。 (三)风险识别 1. 审计各类规章制度是否合理、完善,内部控制设计是否存在缺陷,是否存在制度约束的真空点。 2.
6、 审计各部门或岗位的职能是否都进行了详尽的描述并明确了主要风险环节和相应的责任。 3. 审计对所识别的风险是否提出控制措施及落实相应的控制责任。 4. 审计各类制度是否随各项业务的发展或人员的调整及时修订和完善。 (四)风险评估 1. 审计决策层建立识别、计量、评估和监控各类风险的机制和程序是否运转有效,能否全面、及时、准确地识别和评价可能对本单位经营与管理目标的实现产生不利影响的内、外部因素。 2. 审计决策层是否了解并能够有效地处置本单位所面临的可能产生的自然风险、社会风险、经济风险、技术风险、政治风险、法律风险等。 3. 审计决策层对影响本单位实施监管策略和实现管理目标的风险是否进行连续
7、评价;对内部控制制度是否加以不断改进,是否有效地控制任何新的或以前未加以控制的风险。 (五)风险对策 1. 审计在业务运行和管理活动中是否通过适当的方式方法或措施避免风险的发生。 2. 审计是否制定风险发生时的紧急处理预案,采取适当的措施和方法将风险概率降到最小、风险程度降到最低。 3. 审计是否采取保险等方式将风险转移给专门的机构或部门。 4. 审计是否建立了重大事件紧急报告制度和责任追究责任,能否充分考虑风险应对策略实施可能产生新的风险,并有相关提示及处理措施,使之达到预定的控制目标,及时向上级部门报告。 (六)控制活动审计 1审计制度规程是否覆盖风险和关键的控制环节,是否体现业务运行和管
8、理活动的特点、目标、要求、处理程序。 2审计岗位设置是否划分明确,重要岗位是否按内部控制的要求分离及相互制约,人员配备是否胜任工作需求。 3审计业务审批或事务决定权是否通过书面形式进行划分和体现,是否对具体的事项、金额标准以及时效等作出明确规定。 4审计控制要求是否紧随事物的发展不断进行修订完善。 5各行业可根据各行业的特点确定控制活动审计内容。 (七)信息及沟通审计 1. 审计信息系统控制流程是否合理有效; 2.审计获取及处理信息的能力、信息传递渠道是否便捷畅通、有序运行; 3. 审计信息处理是否及时和适当,信息系统是否安全可靠,是否存在失控现象。 4. 审计信息是否在本单位内部所有部门和岗
9、位进行有效沟通。 5. 审计信息的筛选、知悉范围、使用、传递和保存是否有完善的制度和相应的配套措施作后盾,在国家法律、法规许可的范围内,是否有助于保障单位权益和实现单位利益最大化。 (八)监督审计 1. 审计单位是否通过适时持续监测和专项监督评价等途径及时掌握内部风险及控制状况; 2. 审计单位对风险控制的适时持续监测是否贯穿于日常业务运行和管理活动中,监测的结果及所采取的应对措施是否形成文字记录并妥善保存。 3. 审计单位根据适时持续监测的结果是否确定专项监督评价的范围和频率,监督评价的结果应向提出监督评价要求的管理层报告。 4. 审计单位是否建立对监控结果的整改和处理机制。 第四章 风险管
10、理审计步骤和方法 第十三条 对风险管理进行专项审计,应当编制审计计划,成立审计组、制订审计方案、发送审计通知,实施现场审计,作出审计评价,提出审计报告;开展后续审计。 第十四条 根据上级内部审计机构下达的工作任务、本单位实际工作需要以及风险评估的结果,确定将风险管理专项审计是否列入到当年的内部审计工作计划中。列入计划并有能力自行组织审计,则进入下一程序(列入计划自己无能力开展审计的,可通过委托有能力的中介机构实施审计)。 第十五条 审前准备 (一)成立审计组 根据审计任务和对象,确定审计范围、内容、重点和审计期限,根据风险管理原则,并考虑审计人员的执业能力和知识结构,选定审计组成员,必要时可外
11、聘专家,组成审计组。 确定审计组组长和主审人,必要时可确定副组长。审计组中根据需要分成若干分项目小组,确定分项目小组长。 (二)开展审前调查。了解被审计对象的性质、管理体制、经营战略、经营目标、人员结构、风险事件的发生等。 收集与本次审计有关的资料。主要包括:被审计对象及其下属机构的各种文件,外部审计部门出具的关于被审对象的审计结论和处理决定以及执行情况等,有关职能部门掌握的被审对象的情况,群众举报、反映情况的材料等。 (三)制定审计方案 审计组应根据审计任务和风险调查的结果,拟定审计方案。审计方案可以根据需要报领导审批后执行。审计组应组织关于审计方案的学习,明确任务、分工和工作要求。 (四)
12、下发审计通知书 主审负责起草审计通知书。审计通知书的内容可提前以电话、传真等方式通知被审计单位,同时要求被审计单位及其各部门分别准备自查报告,安排必要的工作条件,领导班子成员及各部门负责人不得出差等。 第十六条 审计实施 (一)与被审计对象领导、各层面的管理人员、技术人员、内部职工进行座谈,全面了解被审计对象的管理情况。 (二)现场察看并查阅被审计对象相关业务管理以及各种经济活动事项的审核、批准、指令等资料,并深入了解其各项经济业务的处理程序等。 (三)根据了解到的被审计对象的管理情况,绘制被审计对象 “业务处理流程图”等,为进一步检查了解被审计对象各项管理处理程序及其存在的漏洞或弊端作准备。
13、 (四)流程分析 1.通过流程图等形式对流程形成清晰的认识; 2.识别和记录将风险控制在预期水平的关键控制点; 3.评估这些关键控制点是否能够有效地将风险控制在预期水平; 4.如果这些关键控制点不足以将风险控制在预期水平,则进一步识别差距在哪里并确定缩小这种差距的措施。 (五)编制并向被审计对象员工发放“管理问题调查表”,调查被审计对象在计划管理、决策管理、内部控制管理等方面是否存在问题;同时要对被审计对象各项管理进行分析,确定审计重点,做到有的放矢。 (六)设计和执行审计测试 1.证实流程的实际运行是否如设计的那样能够确保预期目标的实现; 2.当没有相应的流程或流程运行不畅时确定潜在的影响有
14、多大。一是实施符合性测试,验证流程是否如设计的那样在有效运行;二是执行实质性测试(量化测试),当流程的一部分设计不完善或未能如设计那样顺畅运行时,实施实质性测试,以推算或预测潜在的影响; 3.根据测试结果,评估流程的有效性; 4.对设计不完善的流程或运行不畅的流程,应进一步分析其原因,找出可能的解决方案。 (七)对风险识别的审计。被审计对象的风险识别是否按照重要性、可能性以及容忍度等进行排序,是否制定风险管理审计计划,包括制订自然风险管理、社会风险管理、经济风险管理、技术风险管理、政治风险管理、法律风险管理等审计计划,确定风险管理审计的位置和背景。 (八)对风险评估的审计。审计人员按照通用风险
15、模型、结合被审计对象实际补充例外风险,以建立一个特定的风险模型,确保影响企业成功的所有风险都能被识别、定义和理解。并与被审计对象评定的风险及风险级别进行对照,查找差异,保证主要风险得到有效管理和控制。 (九)对风险监控的审计。对可能发生的风险和损失是否进行跟踪检查或后续评估。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调整风险管理计划。 (十)对风险处置的审计。对损失大、概率大的灾难性风险是否制定可操作性强的具体应急措施;损失小、概率大的风险,是否采取措施来降低风险程度;对损失大、概率小的风险,是否通过保险或合同条款转移风险;对损
16、失小,概率小的风险,是否采取积极手段予以控制。 第十七条 风险管理审计的主要技术方法 (一)审计抽样方法:审计抽样是风险管理审计的主要手段,内部审计应当在与经营目标息息相关的风险管理范围内选取样本,审计抽样的过程包括样本设计、样本选择、样本结果评价三个阶段。 (二)定量分析方法:是指运用数量方法评估并描述风险发生的可能性及其影响程度。 1.比率与差异分析法。内部审计师利用经济比率可以搜寻到范围更广、内涵更深及实质性的审计发现,并归纳出风险管理审计的分析结论。差异分析则可以帮助内部审计师了解实际情况与风险控制制度的差距,以及风险管理过程中可修正、可挖潜、可创新的能力。 2.静态和趋势分析法。计算“现金流”,并编制现金流量表进行现金流量分析是一种有效防范各种经济风险的有力举措。另外,结合动态数据分析则能更有效预测、组织各项风险,并全面、综合、系统评估企业实际经营态势。 3.建立分析模型和计算机数据库。通过建立控制风险模型,可以帮助内部审计师审查和评价风险控制制度。建立模型是指把所有可以定量测试的因素集合在一起, 分层、分步地综合各种因素, 并依照其重要性程度大小
