《风险管理审计办法》由会员分享,可在线阅读,更多相关《风险管理审计办法(14页珍藏版)》请在金锄头文库上搜索。
1、风险管理审计办法编号:tS-KP-XS-*版 本: 2013编 制:审计部批 准:董事会2013年*月*日*公司内部控制体系风险管理审计办法目录:共九章第一章 总则第二章 风险管理审计的目标第三章 风险管理审计的思路第四章 风险管理审计的主要分类第五章 风险管理审计须遵循的原则第六章 风险管理审计的程序第七章 制定风险管理审计方案的主要内容第八章 风险管理审计取证的评价标准第九章 审计报告第一节 整理审计发现的要求第二节 风险管理审计报告的内容第十章 附则第一章 总 则第一条 为了规范内部审计人员对公司全面风险管理的审查与评价行为, 根据中国内部审计协会内部审计具体准则第 16号风险管理审计、
2、公司 内部控制体系文件、企业内部审计制度特制定本办法。第二条 本办法所称风险管理险审计又称风险审计或风险导向审计。风险管 理审计(或风险审计)是指公司内部审计机构根据公司全面风险管理的目标和政 策,采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应 对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过 程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战 略目标的实现。第三条 本办法所称风险管理,是指一套由董事会和经营管理层共同设立、 与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性 事件进行识别与评估,并采取应对措施将
3、其影响控制在可接受范围内的过程。风 险管理旨在为公司目标的实现提供合理保证。第四条 本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公 司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理 风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管 理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的 总体目标提供合理保证的过程和方法。第四条 本办法适用*有限公司(以下简称“公司”)及所属各分公司、 全资子公司的内部审计工作,控股子公司的内部审计部门参照执行。第二章 风险管理审计的目标第五条 风险管理审计的总体目标是依据公司战略目标和风险
4、管理政策,评 价公司是如何通过实施风险管理从而实现企业各类管理目标的,进而评价公司风 险管理的效率和效力,提出改进措施,以保障公司全面风险管理目标的实现,最 终支持和保障公司总体战略目标的实现。第六条 风险管理审计总目标的具体化就是风险管理审计具体目标。风险管 理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层 次。第七条 一般风险管理审计目标是对事项的关键风险管理的效率和效力评 价,或者说特别关注被审事项的关键风险管理框架设计的合理性和运行的有效 性。其审计内容一般包括:一是评价那些可能影响被审事项目标实现的关键性风 险的管理缺口(关键风险被识别程度);二是评价为保障被审事
5、项目标实现而开 展的风险管理活动的效率和效力(或者说是评价被审事项的风险管理框架设计的 合理性和运行过程的有效性)第八条 专项风险管理审计目标是按照每一个审计专项具体任务和具体内 容而定的,以下列举一些常见的专项风险管理审计目标:(一)有关风险管理要素的审计目标,例如包括:1、风险范围确定的合理性:包括战略范围、组织与环境范围、业务范围2、风险评价标准与指标体系的科学性:例如评价基础、评价方法、评价 内容、指标计算;3、风险评估方法的合理性与科学性:主要审核如下方面:按照审计确定 的风险范围,核实风险识别是否全面,风险各级分类的合理性,可控风险与不 可控风险确定的科学性,风险分析方法选用的科学
6、性,风险评估结果的可信性;4、风险治理策略和措施的合理性;5、风险理财组合方案的合理性。(二)风险管理活动的充足性。(三)风险管理制度的适当性。(四)危机管理计划的合理性与可操作性。(五)风险管理目标与企业管理目标的协调一致性。(六)新项目和新市场的可进入性评价。(七)对损失事件的原因调查性评价(真实性评价)。(八)风险相关记录和风险信息的完整性/真实性评价。(九)内部控制体系的有效性,内部控制措施的恰当性。(十)其他。第三章 风险管理审计的思路第九条 依照 ISO-31000 框架,核验公司风险管理过程中针对每个关键的风 险环节实施的风险管理是存在和合理的,且正常运行。这些环节包括:沟通与协
7、 商,识别与分析风险,风险评估,评价和选择策略,实施风险治理,监控,持续 改进。第十条依照COSO-ERM框架,一方面,核验战略、经营、报告和合规四大 目标确实存在,并且针对这些目标的管理都是有效的,如核验董事会和经营管理 层:了解组织实现其战略目标的程度,了解组织实现其经营目标的程度,能保障 组织的报告是可靠的,能保障组织遵循适用的法律和法规。另一方面,核验八大 要素的存在,以及核验其正常运行情况。第十一条 对照特别制定的风险管理框架和要求来衡量企业风险管理的有 效性。如内控测试状态良好,机制对风险反应迅速,公司对风险的预测能力正在 逐渐提高,事故发生率降低和损失明显减少,社会责任形象提升等
8、。第四章 风险管理审计的主要分类第十二条 一般风险管理审计这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的 风险管理效率和效力,可细分类为:(一)针对公司各管理层级的风险管理审计:企业整体、分公司、业务或子 公司。(二)针对公司职能领域或特定关键风险的风险管理审计:战略审计、财务 审计、信息系统审计、质量审计、安全审计、环境审计和内控审计等。(三)针对项目的风险管理审计(四)针对各类活动的风险管理审计(五)针对产品或服务的风险管理审计(六)针对过程或操作的风险管理审计(七)针对资产的风险管理审计第十三条 风险管理要素审计 风险管理要素审计是针对企业风险管理政策、方法、措施、手
9、段等要素实施 的审计第五章 风险管理审计须遵循的原则第十四条 审计人员风险管理专业水准原则:审计人员应熟悉 ISO-31000“风险管理原则和实施指引”和了解ISO-31O1O “风险管理-风险评估技术”;第十五条 审计人员职业道德和具备审计专业基本水准原则;第十六条 目标导向原则:清晰地理解被审事项的目标,识别影响目标实现 的风险要素,提出将这些风险要素管理至公司可接受水平之内的改进建议;第十七条 关键性(重要性)原则:在设计审计方案和实施审计时,应关注 关键目标、关键业务、关键流程和关键风险点,识别影响关键业绩实现的关键要 素,进而就关键风险点的管理缺口提出改进建议;第十八条 审计规划/计
10、划原则:充分了解风险管理审计的审计目标和审计 任务,做足审计准备,设计周密、充足和合理的审计取证方案,制定合理与可操 作的风险管理审计计划和方案;第十九条 充分了解就被审事项所设定的风险管理期望和价值原则:了解被 审事项(整体或局部)的风险管理政策或管理原则,这是对公司整体、局部、业 务、项目、资产、过程或活动等事项实施风险管理审计的判别依据之一;第二十条 风险管理审计过程组织原则:执行风险管理审计计划,调整计划, 及时完成计划;第二十一条 沟通和协商原则:各审计相关方在审计过程中应保持持续和畅 通的磋商和沟通;第二十二条 确保审计质量原则:应确保审计计划制定的质量,确保审计 过程实施的质量,
11、确保审计报告的输出质量;第二十三条 风险管理审计报告应体现重要性、客观性、完整性、及时性和 可靠性原则。第六章 风险管理审计的程序第二十四条 风险管理审计程序如下所示:1、风险评估与确定审计域程序(通过风险评估识别关键风险分布从而确定 审计域)a2、制定风险管理审计计划程序3、按计划实施调查和测试(主要包括内部控制测试程序和实质性测试程序)4、审计证据评价程序、审计报告程序(包括整理审计发现、审计报告和风 险管理建议)。5、风险管理审计的后续审计第七章 制定风险管理审计方案的主要内容第二十五条 风险管理审计方案就审计的组织方式、时间进度、资源分配、审计证据取证安排、审计质量保证措施等给出更为清
12、晰和可操作的指引。一般来讲,一个整体和较全面的企业风险管理审计计划方案应当包括:(一)审计目标;(二)审计域;(三)审计要点;(四)审计准则以及其他参照指标;(五)审计程序及其包含内容;(六)审计调查与测试取证安排;(七)审计负责人及其责任;(八)确定审计所需信息和资料;(九)主要审计方法和技术的选用(包括控制测试和实质性测试方法);(十)审计时间进度和审计顺序(例如审计顺序、何时与谁交谈、进行现场 观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审 计深度、何时向谁提交审计结果等);(十一)审计资源需求;(十二)审计组织与审计质量保障证措施;(十三)审计团队的组成;(十四
13、)对被审目标的配合要求;(十五)审计报告要点框架等。第八章 风险管理审计取证的评价标准第二十六条 审计人员对风险管理的评价可以用量化数字表示:1、2、3、4、5,或用字母表示如A、B、C、D、E,表示由低到高(或由轻到重)的程度。第二十七条 风险的严重性(或影响)的评价具体尺度(除了表达为财务指 标之外,也可以用声誉、资本、法律等方式来表述风险的影响)1、不严重:既无战略影响,又无财务影响。2、轻度严重:相对较小的战略和/或财务影响(一星期的利润)。3、中度严重:显著地影响战略和/或财务目标的实现(一月的利润)。4、严重:难以实现战略目标(可能需要战略上的一次改变),和/或重大的 财务影响(一
14、季的利润)。5、高度严重:战略目标无法实现,导致严重的财务后果(一年的利润)并 威胁公司的生存能力。第二十八条 风险可能性(概率)评价的具体尺度1、不发生:在特定的时期内不会发生(5%)。2、不太可能:在特定的时期内不太可能发生(25%)。3、可能:在特定的时期内或许会发生(50%)。4、很可能:在特定的时期内发生比不发生的可能性大(50%)。5、肯定:在特定的时期内已经发生或几乎肯定会发生(90%)。 第二十九条 风险的层次评价(扩展的尺度)1、极小的威胁:几乎不可能严重地威胁组织。2、轻度威胁:不太可能严重地威胁组织。3、中度威胁:偶尔可能成为组织的严重威胁。4、严重威胁:很可能成为组织的
15、严重威胁。5、灾难性的威胁肯定是组织的严重威胁。第三十条 风险承受限度的评价1、避免:在任何情况下都不会允许此风险发生。2、降低:必须拥有持续地管理此风险的政策、流程和程序,并把它的影响 降到最低限度。3、管理:必须能够预测此风险的发生,并采取前瞻性的行动以降低其影响4、检查:将允许此风险发生,但是必须能在其影响过大之前及时检查并报 告此风险。5、接受:风险的发生是可接受的。第三十一条 风险管理/风险控制可扩展度(可管理性或可控性)评价1、无风险管理:组织任由风险发生,并接受其后果。2、低层次的风险管理:风险通常都可以检测到,但是组织更依赖于应急或 恢复计划。3、中等的风险管理:在有效的监督下,能识别风险的发生,并拥有充足的 时间减小风险的影响/提高获利的机会。4、扩展的风险管理:持续的监督和前瞻性的管理活动确保把风险的影响降 到最低/增强获利的可能性。5、持续的风险管理:一个全面的风险管理计划有助于确保风险得到了预防, 或者所有可度量的影响/机会都得到了优化。第三十二条 风险管理成熟度评价(采用风险管理成熟度模型评价)A 级:特定风险管理B 级:初步风险管理C 级:
