風險管理審計辦法

《風險管理審計辦法》由會員分享，可在線閱讀，更多相關(guān)《風險管理審計辦法（19頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 *********** 公司 風險管理審計辦法 編 號： TS-KP-XS-** 版 本: 2013 編 制：審計部 批 準：董事會 2013 年** 月** 日 **************** 公司內(nèi)部控制體系 風險管理審計辦法

2、 目錄：共九章 第一章 總則 第二章 風險管理審計的目標 第三章 風險管理審計的思路 第四章 風險管理審計的主要分類 第五章 風險管理審計須遵循的原則 第六章 風險管理審計的程序 第七章 制定風險管理審計方案的主要內(nèi)容 第八章 風險管理審計取證的評價標準 第九章 審計報告 第一節(jié) 整理審計發(fā)現(xiàn)的要求 第二節(jié) 風險管理審計報告的內(nèi)容 第十章 附則 第一章 總則 第一條 為了規(guī)范內(nèi)部審計人員對公

3、司全面風險管理的審查與評價行為， 根據(jù)中國內(nèi)部審計協(xié)會《內(nèi)部審計具體準則第 16 號——風險管理審計》、公司 內(nèi)部控制體系文件、《企業(yè)內(nèi)部審計制度》特制定本辦法。 第二條 本辦法所稱風險管理險審計又稱風險審計或風險導(dǎo)向?qū)徲嫛?風險管 理審計（或風險審計） 是指公司內(nèi)部審計機構(gòu)根據(jù)公司全面風險管理的目標和政 策，采用一種系統(tǒng)化、 規(guī)范化的方法對公司風險管理過程中的風險評估、 風險應(yīng)對和風險控制活動進行評價和測試， 以識別、預(yù)警和糾正公司在實施風險管理過程中可能存在的不適或缺陷， 進而提高公司風險管理的效率和效果， 保障企業(yè)戰(zhàn)略目標的實現(xiàn)。 第三條 本辦法所稱風

4、險管理，是指一套由董事會和經(jīng)營管理層共同設(shè)立、與企業(yè)戰(zhàn)略相結(jié)合的管理流程。 它的功能是對影響公司目標實現(xiàn)的各種不確定性事件進行識別與評估， 并采取應(yīng)對措施將其影響控制在可接受范圍內(nèi)的過程。 風險管理旨在為公司目標的實現(xiàn)提供合理保證。 第四條 本辦法所稱全面風險管理， 是指公司圍繞總體經(jīng)營目標， 通過在公司管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程， 培育良好的風險管理風氣，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、 風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)， 從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。 第四條 本辦法適用 ******

5、 有限公司（以下簡稱 “公司”）及所屬各分公司、全資子公司的內(nèi)部審計工作，控股子公司的內(nèi)部審計部門參照執(zhí)行。 第二章 風險管理審計的目標 第五條 風險管理審計的總體目標是依據(jù)公司戰(zhàn)略目標和風險管理政策， 評價公司是如何通過實施風險管理從而實現(xiàn)企業(yè)各類管理目標的， 進而評價公司風 2 險管理的效率和效力， 提出改進措施， 以保障公司全面風險管理目標的實現(xiàn)， 最 終支持和保障公司總體戰(zhàn)略目標的實現(xiàn)。 第六條 風險管理審計總目標的具體化就是風險管理審計具體目標。 風險管

6、理審計具體目標可分為一般風險管理審計目標和專項風險管理審計目標兩個層 次。 第七條 一般風險管理審計目標是對事項的關(guān)鍵風險管理的效率和效力評 價，或者說特別關(guān)注被審事項的關(guān)鍵風險管理框架設(shè)計的合理性和運行的有效 性。其審計內(nèi)容一般包括： 一是評價那些可能影響被審事項目標實現(xiàn)的關(guān)鍵性風 險的管理缺口（關(guān)鍵風險被識別程度） ；二是評價為保障被審事項目標實現(xiàn)而開 展的風險管理活動的效率和效力 （或者說是評價被審事項的風險管理框架設(shè)計的 合理性和運行過程的有效性） 第八條 專項風險管理審計目標是按照每一個審計專項具體任務(wù)和具體內(nèi) 容而定

7、的，以下列舉一些常見的專項風險管理審計目標： ( 一) 有關(guān)風險管理要素的審計目標，例如包括： 1、風險范圍確定的合理性：包括戰(zhàn)略范圍、組織與環(huán)境范圍、業(yè)務(wù)范圍； 2、風險評價標準與指標體系的科學(xué)性：例如評價基礎(chǔ)、評價方法、評價 內(nèi)容、指標計算； 3、風險評估方法的合理性與科學(xué)性：主要審核如下方面：按照審計確定 的風險范圍，核實風險識別是否全面， 風險各級分類的合理性， 可控風險與不 可控風險確定的科學(xué)性， 風險分析方法選用的科學(xué)性， 風險評估結(jié)果的可信性； 4、風險治理策略和措施的合理性； 5、風險理財組合方案的合理性。 （

8、二）風險管理活動的充足性。 （三）風險管理制度的適當性。 （四）危機管理計劃的合理性與可操作性。 （五）風險管理目標與企業(yè)管理目標的協(xié)調(diào)一致性。 （六）新項目和新市場的可進入性評價。 3 （七）對損失事件的原因調(diào)查性評價（真實性評價） 。 （八）風險相關(guān)記錄和風險信息的完整性 / 真實性評價。 （九）內(nèi)部控制體系的有效性，內(nèi)部控制措施的恰當性。 （十）其他。 第三章 風險管理審計的思路 第九條 依照 ISO-31000 框架，核驗

9、公司風險管理過程中針對每個關(guān)鍵的風險環(huán)節(jié)實施的風險管理是存在和合理的， 且正常運行。 這些環(huán)節(jié)包括： 溝通與協(xié)商，識別與分析風險，風險評估，評價和選擇策略，實施風險治理，監(jiān)控，持續(xù)改進。 第十條 依照 COSO-ERM框架，一方面，核驗戰(zhàn)略、經(jīng)營、報告和合規(guī)四大目標確實存在， 并且針對這些目標的管理都是有效的， 如核驗董事會和經(jīng)營管理層：了解組織實現(xiàn)其戰(zhàn)略目標的程度， 了解組織實現(xiàn)其經(jīng)營目標的程度， 能保障組織的報告是可靠的， 能保障組織遵循適用的法律和法規(guī)。 另一方面，核驗八大要素的存在，以及核驗其正常運行情況。 第十一條 對照特別制定的風險管理框架和要求來衡量企業(yè)風險管理的

10、有 效性。如內(nèi)控測試狀態(tài)良好， 機制對風險反應(yīng)迅速， 公司對風險的預(yù)測能力正在 逐漸提高，事故發(fā)生率降低和損失明顯減少，社會責任形象提升等。 第四章 風險管理審計的主要分類 第十二條 一般風險管理審計 這類審計主要目的是識別 / 確認被審事項的關(guān)鍵業(yè)績影響因素和評價相應(yīng)的 風險管理效率和效力，可細分類為： （一）針對公司各管理層級的風險管理審計：企業(yè)整體、分公司、業(yè)務(wù)或子 公司。 4 （二）針對公司職能領(lǐng)域或特定關(guān)鍵風險的風險管理審計： 戰(zhàn)略審計、財務(wù)審計、信息系

11、統(tǒng)審計、質(zhì)量審計、安全審計、環(huán)境審計和內(nèi)控審計等。 （三）針對項目的風險管理審計 （四）針對各類活動的風險管理審計 （五）針對產(chǎn)品或服務(wù)的風險管理審計 （六）針對過程或操作的風險管理審計 （七）針對資產(chǎn)的風險管理審計 第十三條 風險管理要素審計 風險管理要素審計是針對企業(yè)風險管理政策、 方法、措施、手段等要素實施的審計 第五章 風險管理審計須遵循的原則 第十四條 審計人員風險管理專業(yè)水準原則：審計人員應(yīng)熟悉 ISO-31000 “風險管理原則和實施指引”和了解 ISO-31010“風險管理 - 風

12、險評估技術(shù)”； 第十五條 審計人員職業(yè)道德和具備審計專業(yè)基本水準原則； 第十六條 目標導(dǎo)向原則： 清晰地理解被審事項的目標， 識別影響目標實現(xiàn)的風險要素，提出將這些風險要素管理至公司可接受水平之內(nèi)的改進建議； 第十七條 關(guān)鍵性（重要性）原則：在設(shè)計審計方案和實施審計時，應(yīng)關(guān)注關(guān)鍵目標、關(guān)鍵業(yè)務(wù)、關(guān)鍵流程和關(guān)鍵風險點， 識別影響關(guān)鍵業(yè)績實現(xiàn)的關(guān)鍵要素，進而就關(guān)鍵風險點的管理缺口提出改進建議； 第十八條 審計規(guī)劃 / 計劃原則：充分了解風險管理審計的審計目標和審計任務(wù)，做足審計準備，設(shè)計周密、充足和合理的審計取證方案，制定合理與可操作的風險管理審計計劃和方案； 第十九

13、條 充分了解就被審事項所設(shè)定的風險管理期望和價值原則： 了解被審事項（整體或局部）的風險管理政策或管理原則，這是對公司整體、局部、業(yè) 務(wù)、項目、資產(chǎn)、過程或活動等事項實施風險管理審計的判別依據(jù)之一； 5 第二十條 風險管理審計過程組織原則： 執(zhí)行風險管理審計計劃， 調(diào)整計劃，及時完成計劃； 第二十一條 溝通和協(xié)商原則：各審計相關(guān)方在審計過程中應(yīng)保持持續(xù)和暢通的磋商和溝通； 第二十二條 確保審計質(zhì)量原則：應(yīng)確保審計計劃制定的質(zhì)量，確保審計過程實施的質(zhì)量，確保審計報告的輸出質(zhì)量； 第二十三條 風險管理審計報告應(yīng)體現(xiàn)重要性、

14、客觀性、完整性、 及時性和可靠性原則。 第六章 風險管理審計的程序 第二十四條 風險管理審計程序如下所示： 1、風險評估與確定審計域程序（通過風險評估識別關(guān)鍵風險分布從而確定 審計域） 2、制定風險管理審計計劃程序 3、按計劃實施調(diào)查和測試 （主要包括內(nèi)部控制測試程序和實質(zhì)性測試程序） 4、審計證據(jù)評價程序、審計報告程序（包括整理審計發(fā)現(xiàn)、審計報告和風 險管理建議）。 5、風險管理審計的后續(xù)審計

15、第七章 制定風險管理審計方案的主要內(nèi)容 第二十五條 風險管理審計方案就審計的組織方式、時間進度、資源分配、 6 審計證據(jù)取證安排、 審計質(zhì)量保證措施等給出更為清晰和可操作的指引。 一般來講，一個整體和較全面的企業(yè)風險管理審計計劃方案應(yīng)當包括： （一）審計目標； （二）審計域； （三）審計要點； （四）審計準則以及其他參照指標； （五）審計程序及其包含內(nèi)容； （六）審計調(diào)查與測試取證安排； （七）審計負責人及其責任； （八）確定審計所需信息和資料； （九）主要審

16、計方法和技術(shù)的選用（包括控制測試和實質(zhì)性測試方法） ； （十）審計時間進度和審計順序（例如審計順序、何時與誰交談、進行現(xiàn)場觀察的時間安排、 對每一種審計程序推進進度的時間安排、 每個階段需進展的審計深度、何時向誰提交審計結(jié)果等） ； （十一）審計資源需求； （十二）審計組織與審計質(zhì)量保障證措施； （十三）審計團隊的組成； （十四）對被審目標的配合要求； （十五）審計報告要點框架等。 第八章 風險管理審計取證的評價標準 第二十六條 審計人員對風險管理的評價可以用量化數(shù)字表示： 1、2、3、4、 5，或用字母

17、表示如 A、 B、 C、 D、 E，表示由低到高（或由輕到重）的程度。 第二十七條 風險的嚴重性（或影響） 的評價具體尺度 （除了表達為財務(wù)指 標之外，也可以用聲譽、資本、法律等方式來表述風險的影響） 1、不嚴重：既無戰(zhàn)略影響，又無財務(wù)影響。 7 2、輕度嚴重：相對較小的戰(zhàn)略和 / 或財務(wù)影響（一星期的利潤） 。 3、中度嚴重：顯著地影響戰(zhàn)略和 / 或財務(wù)目標的實現(xiàn)（一月的利潤） 。 4、嚴重：難以實現(xiàn)戰(zhàn)略目標（可能需要戰(zhàn)略上的一次改變） ，和 / 或重大的 財務(wù)影響（一季的利潤） 。 5、高

18、度嚴重：戰(zhàn)略目標無法實現(xiàn)，導(dǎo)致嚴重的財務(wù)后果（一年的利潤）并 威脅公司的生存能力。 第二十八條 風險可能性（概率）評價的具體尺度 1、不發(fā)生：在特定的時期內(nèi)不會發(fā)生（ <5%）。 2、不太可能：在特定的時期內(nèi)不太可能發(fā)生（ <25%）。 3、可能：在特定的時期內(nèi)或許會發(fā)生（ <50%）。 4、很可能：在特定的時期內(nèi)發(fā)生比不發(fā)生的可能性大（ >50%）。 5、肯定：在特定的時期內(nèi)已經(jīng)發(fā)生或幾乎肯定會發(fā)生（ >90%）。 第二十九條 風險的層次評價（擴展的尺度） 1、極小的威脅：幾乎不可能嚴重地威脅組織。

19、 2、輕度威脅：不太可能嚴重地威脅組織。 3、中度威脅：偶爾可能成為組織的嚴重威脅。 4、嚴重威脅：很可能成為組織的嚴重威脅。 5、災(zāi)難性的威脅肯定是組織的嚴重威脅。 第三十條 風險承受限度的評價 1、避免：在任何情況下都不會允許此風險發(fā)生。 2、降低：必須擁有持續(xù)地管理此風險的政策、流程和程序，并把它的影響 降到最低限度。 3、管理：必須能夠預(yù)測此風險的發(fā)生， 并采取前瞻性的行動以降低其影響。 4、檢查：將允許此風險發(fā)生，但是必須能在其影響過大之前及時檢查并報 告此風險。 5、接受：風險的發(fā)生是可接受的。

20、 第三十一條 風險管理 / 風險控制可擴展度（可管理性或可控性）評價 8 1、無風險管理：組織任由風險發(fā)生，并接受其后果。 2、低層次的風險管理：風險通常都可以檢測到，但是組織更依賴于應(yīng)急或 恢復(fù)計劃。 3、中等的風險管理：在有效的監(jiān)督下，能識別風險的發(fā)生，并擁有充足的 時間減小風險的影響 / 提高獲利的機會。 4、擴展的風險管理：持續(xù)的監(jiān)督和前瞻性的管理活動確保把風險的影響降 到最低 / 增強獲利的可能性。 5、持續(xù)的風險管理： 一個全面的風險管理計劃有助于確保風險得到了預(yù)防， 或者所有可度

21、量的影響 / 機會都得到了優(yōu)化。 第三十二條 風險管理成熟度評價（采用風險管理成熟度模型評價） —A 級：特定風險管理 —B 級：初步風險管理 —C級：可重復(fù)性風險管理 —D 級：主動性風險管理 —E 級：前瞻性風險管理。 第三十三條 被審事項現(xiàn)有風險管理水平或效力評價，例如： 1、該事項的風險管理框架不適 （其中包括風險管理政策不適） ，不能滿足該 事項目標實現(xiàn)的要求。 2、該事項有明確與合理的風險管理框架（其中包括合理的風險管理政策） ，然而風險管理政策的實施不力和無效。 3、該事項有較明確與合理的風險管理框架

22、 （其中包括合理的風險管理政策） ，且該事項的風險管理政策能基本落實。 4、該事項有較明確與合理的風險管理框架 （其中包括合理的風險管理政策） ， 且該事項的風險管理政策能較好落實，內(nèi)部控制有效，風險管理過程運行有效。 第三十四條 其他風險管理相關(guān)指標評價 例如： （一）公司風險管理過程合理性和有效性評價 9 （二）公司風險文化評價 （三）公司戰(zhàn)略風險管理水平評價（包括風險偏好） （四）公司風險溯源和風險揭示評價 （五）風險管理的關(guān)鍵績效指標評價 （六）公司危機管理能力評價

23、 （七）公司可持續(xù)性評價 第九章 審計報告 第一節(jié) 整理審計發(fā)現(xiàn)的要求 第三十五條 審計發(fā)現(xiàn)應(yīng)該以具體而簡潔的語言進行表述； 多余或不必要的信息不應(yīng)包括在內(nèi)。 第三十六條 理解某一發(fā)現(xiàn)所必需的信息應(yīng)該一一列舉， 比如說相關(guān)的測試結(jié)果（如失誤、例外情況等等） ，或者該發(fā)現(xiàn)所識別出的缺陷（差距）實例。 第三十七條 應(yīng)該一眼就能辨別出與某一發(fā)現(xiàn)相關(guān)的風險。 如果不是這樣的話，審計人員應(yīng)該對該發(fā)現(xiàn)所反映的風險進行具體描述 第二節(jié) 風險管理審計報告的內(nèi)容 第三十八條

24、 立項依據(jù)。 第三十九條 背景介紹。在審計報告中， 應(yīng)當對有助于理解審計項目立項以 及審計評價的以下情況進行簡要描述： （一）選擇審計項目的目的和理由； （二）被審計單位的規(guī)模、業(yè)務(wù)性質(zhì)與特點、組織機構(gòu)、管理方式、員工數(shù) 量、主要管理人員等； （三）上次同類審計的評價情況； （四）與審計項目相關(guān)的環(huán)境情況； 10 （五）與被審計事項有關(guān)的技術(shù)性文件； （六）其它情況。 第四十條 審計目標與范圍。審計報告中應(yīng)當明確地陳述本次審計的目標，并應(yīng)與審計計劃中提出的目標相一致； 還應(yīng)當指出本次審

25、計的活動內(nèi)容和所包含的期間。如果存在未進行審計的領(lǐng)域， 應(yīng)當在報告中指出， 特別是某些受到限制無法進行檢查的項目，應(yīng)說明受限制無法審查的原因。 第四十一條 審計重點。審計報告應(yīng)當對本次審計項目的重點、 難點進行詳細說明，并指出針對這些方面采取了何種措施及其所產(chǎn)生的效果， 也可以對審計中所發(fā)現(xiàn)的重點問題做出簡短的敘述及評論。 第四十二條 審計標準。與完成審計任務(wù)相適應(yīng)的國家、 部門或行業(yè)頒布的必須執(zhí)行的標準或法則，以及企業(yè)自身制定的章程、管理流程制度或規(guī)則等。 第四十三條 審計依據(jù)。應(yīng)聲明審計是按照審計準則的規(guī)定實施， 若存在未遵循該準則的情形，應(yīng)對其做出解釋和說明。

26、 第四十四條 審計發(fā)現(xiàn)與風險之間的聯(lián)系， 風險與風險之間的聯(lián)系及相互作用的可能結(jié)果。 第四十五條 審計結(jié)論。根據(jù)已查明的事實（例如已查明關(guān)鍵業(yè)績影響要素，已獲取得力的審計證據(jù)） ，評估企業(yè)整體（或被審事項）風險管理體系的運行效果，評估每一個風險應(yīng)對策略的科學(xué)性、 合理性和落實效果， 評估關(guān)鍵風險現(xiàn)存的風險暴露水平， 比較這種風險暴露水平與期望值之間的差距， 提出縮小差距的建議行動步驟和實施方案。 第四十六條 審計建議。審計人員應(yīng)該依據(jù)審計發(fā)現(xiàn)和審計證據(jù)， 結(jié)合組織的實際情況和審計結(jié)論的性質(zhì)，提出審計建議。審計建議可分為以下幾種類型： （一）現(xiàn)有系統(tǒng)運行良好，無需改變；

27、 （二）現(xiàn)有系統(tǒng)需要全部或局部改變， 包括改進的方案設(shè)計， 方案實施的要求，方案實施效果的預(yù)計，未實施此方案的后果分析。 第十章 附則 11 第四十七條 . 本辦法未盡事宜按國家法律、法規(guī)、規(guī)范性文件和本公司章程 規(guī)定執(zhí)行。 第四十八條 本辦法與國家法律、 法規(guī)、規(guī)范性文件和本公司章程規(guī)定不一 致的，以有關(guān)國家法律、法規(guī)、規(guī)范性文件和本公司章程規(guī)定為準。 第四十九條 本辦法由公司審計部擬定 , 自公司總經(jīng)理辦公會批準頒布之日 起施行。 12