风险管理审计要点及流程.docx

《风险管理审计要点及流程.docx》由会员分享，可在线阅读，更多相关《风险管理审计要点及流程.docx（19页珍藏版）》请在第壹文秘上搜索。

1、风险管理审计要点及流程1、什么是企业风险管理审计？指企业的内部审计机构采用规范化系统化的方法，对企业的风险管理过程的适当性和有效性，进行审查和评价的活动，内部审计中关注的风险管理，包括风险识别与分析，风险评估与溯源以及对企业风险采取的应对措施等各个方面，因此内部审计机构与人员在开展风险管理审计时，必须了解风险管理的最佳实务与通过测试和评价获取的具体情况进行对比分析，找到差距及其产生的原因，为企业加强风险管理提出改进的建议。2、风险管理审计的特点1 .审计对象是风险管理风险管理审计要求内部审计人员对企业风险管理体系的设计及其运行的有效性，进行评价，另外作为企业风险管理体系的一个环节，内部审计人员

2、应当监督评价企业风险管理体系的有效性及机构的治理经营及信息系统方面的风险因素。2 .高层次2013版内部控制整合框架中包含了战略目标，要求企业在建立风险管理体系时，要将企业的战略和风险管理融合在一起，保持一致，因此风险管理审冲需要对企业的战略进行充分的了解，从战略的高度,从战略的高度对企业风险管理进行评价，3 .重要性从企业长远发展角度和战略高度出发，开展风险管理审计工作。具有较高的前脂性，将对企业长期生存和发展产生巨大的影响。3、风险管理审计要点风险管理审计要求内部审计人员对企业的风险管理流程进行总体评价。美国COSO委员会发布的企业风险企业的风险管理-整合框架，包括三个维度：第一维度是企业

3、的目标，即战略目标、经营目标、报告目标和合规目标；第二维度是全面风险管理的八个要素，即内部环境、风险应对、控制活动、信息与沟通、监控、目标设定、事件识别、风险评估：含各个职能部门、各条业务线及下属于包括整个企业；第三维度是企业的各个层级，包括各公司。全面风险管理的8个要素是为企业的4个目标服务的，企业各个层级同样也是要坚持这4个目标，同时从以上的8个方面开展风险管理活动。企业内部审计人员以Coso风险管理框架为基础，重点围绕风险因素进行审计，风险管理审计的要点如下：1风险管理政策的审核企业内部审计人员应当审核：企业是否制定正式的风险管理政策:风险管理政策是否包含了COSO全面风险管理的8个要素

4、;风险管理政策内是否包含对风险管理的实施流程:风险管理政策是否适合企业的经营方式与企业文化;风险管理政策是否明确了管理层、合作伙伴、审计人员以及其他所有人员的职责;风险管理政策是否能确保风险渗透整个企业，是否包含了将基本的风险循环战人经营流程的方法;风险管理政策中是否将风险与企业经营相结合，使其能够高效地应对风险，促进企业的发展。2风险目标设定的审核风险目标设定是指企业的管理层必须以目标为基础来识别成功的潜在因素。风险管理应确保企业管理层有一个特定的程序，用来设定目标、选择支持和连接企业使命的目标，并保证和企业风险偏好相一致。目标设定的审核主要是从目标制定和实施方面进行评价。企业内部审计人员应

5、当审核：企业战略是否考虑了董事会已识别的风险；在定义、识别风险以及决策实施过程中，企业的战略是否与风险管理政策一致；企业战略是否将风险战略考虑在内，对未能实现既定战略目标的风险进行整体应对；企业战略是否考虑了利益相关者对尽早回报的期望与经营增长和市场地位的可持续性之间的内在冲突未得到解决的风险;企业是否确定了适当的程序，保证目标能够分解到实施层，并使其能对相应的风险负责；战略制定是否充分了解利益相关者的责任，是否在合规与绩效之间取得平衡：企业是否建立了战略与员工间的沟通系统，并与战略设计和实施中的关键风险相结合；企业目标是否包含与Coso企业风险管理框架中的4项目标相对应的各个层级的目标。3风

6、险识别和评估的审核风险识别是识别对企业目标实现产生影响的潜在风险，其目的是建立并强化贯穿企业的风险语言，形成以组合的观点来考虑各种事项。风险识别包括内部和外部反映潜在因素影响战略执行和目标业绩的要素。风险评估是指对识别出来的进行评估，其目的是为了管理风险打下坚实的基础。企业内部审计人员应当审核：企业是否建立了有效识别风险的机制：是否充分识别了企业内外部的各种风险：识别的风险是否覆盖所有重要经营活动业务流程；风险识别是否考虑了企业的业务性质、组织结构、机构变动及员工流因素：风险识别和评估是否将宏观经济变动、行业发展趋势等纳人考虑之中，明确地定义阐述辨识出的风险及特征；是否对风险发生的条件和发生可

7、能性的进行分析和描述；企业是否评估风险对企业实现目标的影响程度、风险价值等是否对识别的风险进行分析和排序，确定应予以重点关注和优先控制的风险。当所处环境和条件发生变化时，是否及时对企业风险进行再识别和再评估。已发风险是否包含在已识别的风险范围内，是否定期或者不定期地识别和评估风险。4风险管理措施、方法的适当性审核企业风险管理的措施主要有5种：规避、转移、降低、接受。每种措施的使用都要在适当的条件之下，否则就会被认为措施不当。内部审计人员不仅审核企业风险管理措施设计的合规性、科学性和合理性，同时也要测试这些措施的执行有效性。在实际工作中，对风险管理措施和方法的适当性审核，要具体情况来判断，即对企

8、业所处特定环境、管理层才能、风险影响程度等因素判断，并结合对经理人风险偏好程度的判断有机进行。4、风险管理审计的内容风险管理审计包括：企业整体层面、业务层面。内部审计一方面可以审查与评价企业整体的风险管理工作效果:另-方面也对具体的业务层面，风险管理情况进行审查和评价。1企业整体层面从企业整体层面的角度看，内部审计人员在进行，风险管理审计应当关注的内容包括以F5个方面。（1）风险管理机制的健全性和有效性.风险管理机制是企业实施风险管理的基础，良好的风险管理机制是企业风险管理有效性的前提，因此企业内部审计机构及其人员应从以卜方面确定企业风险管理机制的健全。A、审杳风险管理组织机构的健全性，企业必

9、须以全体员工参与合作和专业管理相结合为基础，根据F1.身的规模大小管理水平，生产经营的性质以及风险程度等方面的特点建立一个规范化的风险管理组织体系，在这个体系中包含了风险管理负责人，一般专业管理人员，非专业风险管理(更多内容可关注公众号CIA内审师小站)和外部的风险管理服务等基本要素，风险管理组织体系还应当根据风险产生的原因和阶段，不断的进行动态调整，并通过健全的制度来明确相互之间的责权利，使企业的风险管理体系始终是一个有效的整体。B、审查风险管理程序的合理性，企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。C、审杳风险预警系统的存在及有效性风险管理的目的是避免风险降低风险

10、，因此风险管理的首要工作是建立风险预警系统及通过对风险进行科学的预测分析，预计可能存在的风险并提醒有关部门，采取有力措施予以改善，企业风险管理机构和人员应当密切注意与各种风险相关的内外因素及发展变化趋势，对企业可能发生的风险进行科学预测，进行风险预警。(2)风险识别的适当性和有效性。对企业面临的现有以及潜在的风险加以判断归类和鉴定的过程,内部审计人员应当实施必要的审计程序，对风险识别过程进行审查和评价，重点关注企业是否充分适当的确认面临的内外部风险企业所面临的风险。企业所面临的常见外部风险主要来源于以下因素:国家法律法规及政策的变化：宏观经济环境的变化：科学技术的发展；行业竞争资源及市场变化；

11、自然灾害及意外损失；其他因素。企业面临的常见的内部风险因素来源包括：经营活动的特点：组织结构的缺陷；资产的性质以及资产管理的局限性；信息系统的故障或中断；工作人员的道德水平，业务素质未达到的基本要求；其他因素。内部审计人员对风险识别过程进行审计应当包括以下内容：A、审查风险识别原则的合理性,风险识别和分析是企业进行风险评估和风险控制的前提，风险识别是关键性的第一步。风险识别方法所解决的主要问题是采取一定的方法分析风险因素风险的后果。风险管理部门是否将各种方法相互融合，相互结合的运用，应当充分了解风险评估的方法并对管理层。B、审查风险识别方法的适当性。内部审计人员进行风险识别方法的适当性审杳和评

12、价时，必须注重分析历史数据的可匏性。审杳管理层采用的风险评估方法时，重点考虑以下因素：历史数据的充分性与可靠性；已识别的风险的特征；管理层进行风险评估的技术能力：成本效益的考核与衡量等。在评价风险评估方法的适当性和有效性时，应当遵循的原则：在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法采用定性方法时需要客观听取和分析相关部门及人员的意见,以提高评估结果的客观性;定量方法提供的评估结果一般会比定性方法更有效。3 .风险应对措施的适当性和有效性.需考虑管理层风险偏好和风险接受程度。根据风险评估结果采取的风险应对措施主要包括：接受，由于风险已在企业I可接受的范围内，因而可以不采取任何

13、措施；回避，即采取措施避免进行可能产生风险的活动；降低，采取适当措施将风险降低到可接受的范围内；分担，采取措施将风险转移给其他企业或保险机构。在评价风险应对措施的适当性和有效性时，应当考虑以下因素：采取的风险应对措施是否与企业的经营管理特点相适应；采取风险应对措施之后的剩余风隐水平是否始终保持在企业可接受范围之内：成本效益的考核与衡量等。4 .风险管理环境适当性风险管理环境最主要的因素是管理层及所有执行者对风险管理的态度、管理理念及胜任能力。(1)管理层对风险管理的态度.主要内容包括：管理层是否认真组织和领导风险管理制度的建立工作,是否强调宣传风险管理的重要性，是否实施风险管理里内部审计，是否

14、按照风险审计建议进行整改等等。(2)有无根据企业性质、规模相适应的风险接受程度,一般来讲，风险接受程度是指企业所能接受风险的“高”“中”和“低”。(3)风险管理制度执行者的态度和索质.企业是否充分认识到风险管理的事要性。主要内容包括：执行风险管理的专业知识和专业技能。有无较强的企业整体运营管理的意义：有无胜任风险管工作责任心和诚实的态度。2具体业务层面尤其是国有企业，高风险业务领域呈趋同状态。当前环境下，各类企业物资采购、市场营销、投资、企业资源计划(ERP)系统的实施和环境保护成为公认的高风险业务领域。具体业务层面的风险管理实施审查与评价的主要内容：1 .物资采购业务风险管理审计。物资采购业

15、务是传统的高风险领域，因为采购必然导致企业最重要的资源一现金的流出。物资采购业务风险管理审计的内容主要包括：(1)评估企业采购业务风险控制体系是否完备。采购业务涉及采购、验收、保管、付款和记录多个业务环节和岗位。为保证采购确为企业生产经营所需且符合企业利益，收到的商品安全完整，价款及时准确地支付给供应商，内部审计人员应重点关注物资采购工作的职责分工，特别是采购、验收、付款和记录是否由不同的职能部门和人员负责。此外，还应关注违反内部牵制制度发生舞弊事件后的处理机制、程序及措施的健全性及有效性，同时要评估信息传递程序，控制违规操作风险。(2)评估物资采购业务中的信息传递内部控制是否能满足消除重大风险、控制一般风险的目的.具体内容主要包括：授权程序必否完备，文件和记录的使用是否纳人管理，独立检查机制是否建立并正常运行等。(3)评估物资采购业务对于下述风险的控制.市场化的趋势预测不准确，采购计划安排不合理，造成库存积压或者短缺，可能导致资源浪,我或者生产停滞、招标投标或定价机制不科学，供应商选择不当，采购方式不合理，授权审批不规范，可能出现舞弊或遭受欺诈，导致采购物资质次价高；采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。2 .市场营销业务风险管理审计。市场营销业务的风险常常特别重要。内部审计机构及人员对可以扩大为企业整体风险，因而加强市场营销业务。