风险管理审计办法.doc

1、公司风险管理审计办法编 号： TS-KP-XS-*版 本: 2013编 制：审计部批 准：董事会2013 年* 月* 日*公司内部控制体系风险管理审计办法目录：共九章第一章总则第二章风险管理审计的目标第三章风险管理审计的思路第四章风险管理审计的主要分类第五章风险管理审计须遵循的原则第六章风险管理审计的程序第七章制定风险管理审计方案的主要内容第八章风险管理审计取证的评价标准第九章审计报告第一节整理审计发现的要求第二节风险管理审计报告的内容第十章附则第一章总则第一条为了规范内部审计人员对公司全面风险管理的审查与评价行为，根据中国内部审计协会内部审计具体准则第16 号风险管理审计、公司内部控制体系

2、文件、企业内部审计制度特制定本办法。第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计（或风险审计） 是指公司内部审计机构根据公司全面风险管理的目标和政策，采用一种系统化、 规范化的方法对公司风险管理过程中的风险评估、 风险应对和风险控制活动进行评价和测试， 以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷， 进而提高公司风险管理的效率和效果， 保障企业战略目标的实现。第三条 本办法所称风险管理，是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。 它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估， 并采取应对措施将其影响控制在可接受

3、范围内的过程。 风险管理旨在为公司目标的实现提供合理保证。第四条 本办法所称全面风险管理， 是指公司围绕总体经营目标， 通过在公司管理的各个环节和经营过程中执行风险管理的基本流程， 培育良好的风险管理风气，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、 风险管理信息系统和内部控制系统， 从而为实现风险管理的总体目标提供合理保证的过程和方法。第四条 本办法适用 * 有限公司（以下简称 “公司”）及所属各分公司、全资子公司的内部审计工作，控股子公司的内部审计部门参照执行。第二章风险管理审计的目标第五条 风险管理审计的总体目标是依据公司战略目标和风险管理政策， 评

4、价公司是如何通过实施风险管理从而实现企业各类管理目标的， 进而评价公司风2险管理的效率和效力， 提出改进措施， 以保障公司全面风险管理目标的实现，最终支持和保障公司总体战略目标的实现。第六条风险管理审计总目标的具体化就是风险管理审计具体目标。风险管理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层次。第七条一般风险管理审计目标是对事项的关键风险管理的效率和效力评价，或者说特别关注被审事项的关键风险管理框架设计的合理性和运行的有效性。其审计内容一般包括： 一是评价那些可能影响被审事项目标实现的关键性风险的管理缺口（关键风险被识别程度） ；二是评价为保障被审事项目标实现而开展的风

5、险管理活动的效率和效力 （或者说是评价被审事项的风险管理框架设计的合理性和运行过程的有效性）第八条专项风险管理审计目标是按照每一个审计专项具体任务和具体内容而定的，以下列举一些常见的专项风险管理审计目标：( 一) 有关风险管理要素的审计目标，例如包括：1、风险范围确定的合理性：包括战略范围、组织与环境范围、业务范围；2、风险评价标准与指标体系的科学性：例如评价基础、评价方法、评价内容、指标计算；3、风险评估方法的合理性与科学性：主要审核如下方面：按照审计确定的风险范围，核实风险识别是否全面， 风险各级分类的合理性， 可控风险与不可控风险确定的科学性， 风险分析方法选用的科学性， 风险评估结果的

6、可信性；4、风险治理策略和措施的合理性；5、风险理财组合方案的合理性。（二）风险管理活动的充足性。（三）风险管理制度的适当性。（四）危机管理计划的合理性与可操作性。（五）风险管理目标与企业管理目标的协调一致性。（六）新项目和新市场的可进入性评价。3（七）对损失事件的原因调查性评价（真实性评价）。（八）风险相关记录和风险信息的完整性/ 真实性评价。（九）内部控制体系的有效性，内部控制措施的恰当性。（十）其他。第三章风险管理审计的思路第九条 依照 ISO-31000 框架，核验公司风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的， 且正常运行。 这些环节包括： 沟通与协商，识别与分

7、析风险，风险评估，评价和选择策略，实施风险治理，监控，持续改进。第十条 依照 COSO-ERM框架，一方面，核验战略、经营、报告和合规四大目标确实存在， 并且针对这些目标的管理都是有效的， 如核验董事会和经营管理层：了解组织实现其战略目标的程度， 了解组织实现其经营目标的程度， 能保障组织的报告是可靠的， 能保障组织遵循适用的法律和法规。 另一方面，核验八大要素的存在，以及核验其正常运行情况。第十一条对照特别制定的风险管理框架和要求来衡量企业风险管理的有效性。如内控测试状态良好， 机制对风险反应迅速， 公司对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。第四章风

8、险管理审计的主要分类第十二条一般风险管理审计这类审计主要目的是识别/ 确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力，可细分类为：（一）针对公司各管理层级的风险管理审计：企业整体、分公司、业务或子公司。4（二）针对公司职能领域或特定关键风险的风险管理审计： 战略审计、财务审计、信息系统审计、质量审计、安全审计、环境审计和内控审计等。（三）针对项目的风险管理审计（四）针对各类活动的风险管理审计（五）针对产品或服务的风险管理审计（六）针对过程或操作的风险管理审计（七）针对资产的风险管理审计第十三条风险管理要素审计风险管理要素审计是针对企业风险管理政策、 方法、措施、手段等要素实施的审

9、计第五章风险管理审计须遵循的原则第十四条 审计人员风险管理专业水准原则：审计人员应熟悉 ISO-31000 “风险管理原则和实施指引”和了解 ISO-31010“风险管理 - 风险评估技术”；第十五条审计人员职业道德和具备审计专业基本水准原则；第十六条 目标导向原则： 清晰地理解被审事项的目标， 识别影响目标实现的风险要素，提出将这些风险要素管理至公司可接受水平之内的改进建议；第十七条 关键性（重要性）原则：在设计审计方案和实施审计时，应关注关键目标、关键业务、关键流程和关键风险点， 识别影响关键业绩实现的关键要素，进而就关键风险点的管理缺口提出改进建议；第十八条 审计规划 / 计划原则：充分

10、了解风险管理审计的审计目标和审计任务，做足审计准备，设计周密、充足和合理的审计取证方案，制定合理与可操作的风险管理审计计划和方案；第十九条 充分了解就被审事项所设定的风险管理期望和价值原则： 了解被审事项（整体或局部）的风险管理政策或管理原则，这是对公司整体、局部、业务、项目、资产、过程或活动等事项实施风险管理审计的判别依据之一；5第二十条 风险管理审计过程组织原则： 执行风险管理审计计划， 调整计划，及时完成计划；第二十一条 沟通和协商原则：各审计相关方在审计过程中应保持持续和畅通的磋商和沟通；第二十二条 确保审计质量原则：应确保审计计划制定的质量，确保审计过程实施的质量，确保审计报告的输出

11、质量；第二十三条 风险管理审计报告应体现重要性、客观性、完整性、 及时性和可靠性原则。第六章风险管理审计的程序第二十四条风险管理审计程序如下所示：1、风险评估与确定审计域程序（通过风险评估识别关键风险分布从而确定审计域）2、制定风险管理审计计划程序3、按计划实施调查和测试 （主要包括内部控制测试程序和实质性测试程序）4、审计证据评价程序、审计报告程序（包括整理审计发现、审计报告和风险管理建议）。5、风险管理审计的后续审计第七章制定风险管理审计方案的主要内容第二十五条风险管理审计方案就审计的组织方式、时间进度、资源分配、6审计证据取证安排、 审计质量保证措施等给出更为清晰和可操作的指引。 一般来

12、讲，一个整体和较全面的企业风险管理审计计划方案应当包括：（一）审计目标；（二）审计域；（三）审计要点；（四）审计准则以及其他参照指标；（五）审计程序及其包含内容；（六）审计调查与测试取证安排；（七）审计负责人及其责任；（八）确定审计所需信息和资料；（九）主要审计方法和技术的选用（包括控制测试和实质性测试方法）；（十）审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、 对每一种审计程序推进进度的时间安排、 每个阶段需进展的审计深度、何时向谁提交审计结果等） ；（十一）审计资源需求；（十二）审计组织与审计质量保障证措施；（十三）审计团队的组成；（十四）对被审目标的配合要求

13、十五）审计报告要点框架等。第八章风险管理审计取证的评价标准第二十六条审计人员对风险管理的评价可以用量化数字表示：1、2、3、4、5，或用字母表示如A、 B、 C、 D、 E，表示由低到高（或由轻到重）的程度。第二十七条风险的严重性（或影响） 的评价具体尺度 （除了表达为财务指标之外，也可以用声誉、资本、法律等方式来表述风险的影响）1、不严重：既无战略影响，又无财务影响。72、轻度严重：相对较小的战略和/ 或财务影响（一星期的利润） 。3、中度严重：显著地影响战略和/ 或财务目标的实现（一月的利润） 。4、严重：难以实现战略目标（可能需要战略上的一次改变），和 / 或重大的财务影响（一季的利

14、润） 。5、高度严重：战略目标无法实现，导致严重的财务后果（一年的利润）并威胁公司的生存能力。第二十八条风险可能性（概率）评价的具体尺度1、不发生：在特定的时期内不会发生（5%）。2、不太可能：在特定的时期内不太可能发生（25%）。3、可能：在特定的时期内或许会发生（50%）。5、肯定：在特定的时期内已经发生或几乎肯定会发生（90%）。第二十九条风险的层次评价（扩展的尺度）1、极小的威胁：几乎不可能严重地威胁组织。2、轻度威胁：不太可能严重地威胁组织。3、中度威胁：偶尔可能成为组织的严重威胁。4、严重威胁：很可能成为组织的严重威胁。5、灾难性的威胁肯定是组织的严重威胁。第三十条风险承受限度的评

15、价1、避免：在任何情况下都不会允许此风险发生。2、降低：必须拥有持续地管理此风险的政策、流程和程序，并把它的影响降到最低限度。3、管理：必须能够预测此风险的发生，并采取前瞻性的行动以降低其影响。4、检查：将允许此风险发生，但是必须能在其影响过大之前及时检查并报告此风险。5、接受：风险的发生是可接受的。第三十一条风险管理 / 风险控制可扩展度（可管理性或可控性）评价81、无风险管理：组织任由风险发生，并接受其后果。2、低层次的风险管理：风险通常都可以检测到，但是组织更依赖于应急或恢复计划。3、中等的风险管理：在有效的监督下，能识别风险的发生，并拥有充足的时间减小风险的影响 / 提高获利的机会。4

16、扩展的风险管理：持续的监督和前瞻性的管理活动确保把风险的影响降到最低 / 增强获利的可能性。5、持续的风险管理： 一个全面的风险管理计划有助于确保风险得到了预防，或者所有可度量的影响 / 机会都得到了优化。第三十二条风险管理成熟度评价（采用风险管理成熟度模型评价）A 级：特定风险管理B 级：初步风险管理C级：可重复性风险管理D 级：主动性风险管理E 级：前瞻性风险管理。第三十三条被审事项现有风险管理水平或效力评价，例如：1、该事项的风险管理框架不适 （其中包括风险管理政策不适） ，不能满足该事项目标实现的要求。2、该事项有明确与合理的风险管理框架（其中包括合理的风险管理政策） ，然而风险管理

17、政策的实施不力和无效。3、该事项有较明确与合理的风险管理框架 （其中包括合理的风险管理政策） ，且该事项的风险管理政策能基本落实。4、该事项有较明确与合理的风险管理框架（其中包括合理的风险管理政策） ，且该事项的风险管理政策能较好落实，内部控制有效，风险管理过程运行有效。第三十四条其他风险管理相关指标评价例如：（一）公司风险管理过程合理性和有效性评价9（二）公司风险文化评价（三）公司战略风险管理水平评价（包括风险偏好）（四）公司风险溯源和风险揭示评价（五）风险管理的关键绩效指标评价（六）公司危机管理能力评价（七）公司可持续性评价第九章审计报告第一节整理审计发现的要求第三十五条 审计发现应该以具

18、体而简洁的语言进行表述； 多余或不必要的信息不应包括在内。第三十六条 理解某一发现所必需的信息应该一一列举， 比如说相关的测试结果（如失误、例外情况等等） ，或者该发现所识别出的缺陷（差距）实例。第三十七条 应该一眼就能辨别出与某一发现相关的风险。 如果不是这样的话，审计人员应该对该发现所反映的风险进行具体描述第二节风险管理审计报告的内容第三十八条立项依据。第三十九条背景介绍。在审计报告中， 应当对有助于理解审计项目立项以及审计评价的以下情况进行简要描述：（一）选择审计项目的目的和理由；（二）被审计单位的规模、业务性质与特点、组织机构、管理方式、员工数量、主要管理人员等；（三）上次同类审计的评

19、价情况；（四）与审计项目相关的环境情况；10（五）与被审计事项有关的技术性文件；（六）其它情况。第四十条 审计目标与范围。审计报告中应当明确地陈述本次审计的目标，并应与审计计划中提出的目标相一致； 还应当指出本次审计的活动内容和所包含的期间。如果存在未进行审计的领域， 应当在报告中指出， 特别是某些受到限制无法进行检查的项目，应说明受限制无法审查的原因。第四十一条 审计重点。审计报告应当对本次审计项目的重点、 难点进行详细说明，并指出针对这些方面采取了何种措施及其所产生的效果， 也可以对审计中所发现的重点问题做出简短的叙述及评论。第四十二条 审计标准。与完成审计任务相适应的国家、 部门或行业颁

20、布的必须执行的标准或法则，以及企业自身制定的章程、管理流程制度或规则等。第四十三条 审计依据。应声明审计是按照审计准则的规定实施， 若存在未遵循该准则的情形，应对其做出解释和说明。第四十四条 审计发现与风险之间的联系， 风险与风险之间的联系及相互作用的可能结果。第四十五条 审计结论。根据已查明的事实（例如已查明关键业绩影响要素，已获取得力的审计证据） ，评估企业整体（或被审事项）风险管理体系的运行效果，评估每一个风险应对策略的科学性、 合理性和落实效果， 评估关键风险现存的风险暴露水平， 比较这种风险暴露水平与期望值之间的差距， 提出缩小差距的建议行动步骤和实施方案。第四十六条 审计建议。审计人员应该依据审计发现和审计证据， 结合组织的实际情况和审计结论的性质，提出审计建议。审计建议可分为以下几种类型：（一）现有系统运行良好，无需改变；（二）现有系统需要全部或局部改变， 包括改进的方案设计， 方案实施的要求，方案实施效果的预计，未实施此方案的后果分析。第十章附则11第四十七条 . 本办法未尽事宜按国家法律、法规、规范性文件和本公司章程规定执行。第四十八条本办法与国家法律、 法规、规范性文件和本公司章程规定不一致的，以有关国家法律、法规、规范性文件和本公司章程规定为准。第四十九条本办法由公司审计部拟定, 自公司总经理办公会批准颁布之日起施行。12