风险管理方案计划审计办法

***********公司

风险管理审计办法

编号：TS-KP-XS-**

版本: 2013

编制：审计部

批准：董事会

2013年**月**日

****************公司内部控制体系

风险管理审计办法

目录：共九章

第一章总则

第二章风险管理审计的目标

第三章风险管理审计的思路

第四章风险管理审计的主要分类

第五章风险管理审计须遵循的原则

第六章风险管理审计的程序

第七章制定风险管理审计方案的主要内容第八章风险管理审计取证的评价标准

第九章审计报告

第一节整理审计发现的要求

第二节风险管理审计报告的内容

第十章附则

第一章总则

第一条为了规范内部审计人员对公司全面风险管理的审查与评价行为，根据中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。

第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计（或风险审计）是指公司内部审计机构根据公司全面风险管理的目标和政策，采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试，以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷，进而提高公司风险管理的效率和效果，保障企业战略目标的实现。

第三条本办法所称风险管理，是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。

第四条本办法所称全面风险管理，是指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理风气，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第四条本办法适用******有限公司（以下简称“公司”）及所属各分公司、全资子公司的内部审计工作，控股子公司的内部审计部门参照执行。

第二章风险管理审计的目标

第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策，评价公司是如何通过实施风险管理从而实现企业各类管理目标的，进而评价公司风

险管理的效率和效力，提出改进措施，以保障公司全面风险管理目标的实现，最终支持和保障公司总体战略目标的实现。

第六条风险管理审计总目标的具体化就是风险管理审计具体目标。风险管理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层次。

第七条一般风险管理审计目标是对事项的关键风险管理的效率和效力评价，或者说特别关注被审事项的关键风险管理框架设计的合理性和运行的有效性。其审计内容一般包括：一是评价那些可能影响被审事项目标实现的关键性风险的管理缺口（关键风险被识别程度）；二是评价为保障被审事项目标实现而开展的风险管理活动的效率和效力（或者说是评价被审事项的风险管理框架设计的合理性和运行过程的有效性）

第八条专项风险管理审计目标是按照每一个审计专项具体任务和具体内容而定的，以下列举一些常见的专项风险管理审计目标：

(一)有关风险管理要素的审计目标，例如包括：

1、风险范围确定的合理性：包括战略范围、组织与环境范围、业务范围；

2、风险评价标准与指标体系的科学性：例如评价基础、评价方法、评价

内容、指标计算；

3、风险评估方法的合理性与科学性：主要审核如下方面：按照审计确定的风险范围，核实风险识别是否全面，风险各级分类的合理性，可控风险与不可控风险确定的科学性，风险分析方法选用的科学性，风险评估结果的可信性；

4、风险治理策略和措施的合理性；

5、风险理财组合方案的合理性。

（二）风险管理活动的充足性。

（三）风险管理制度的适当性。

（四）危机管理计划的合理性与可操作性。

（五）风险管理目标与企业管理目标的协调一致性。

（六）新项目和新市场的可进入性评价。

（七）对损失事件的原因调查性评价（真实性评价）。

（八）风险相关记录和风险信息的完整性/真实性评价。

（九）内部控制体系的有效性，内部控制措施的恰当性。

（十）其他。

第三章风险管理审计的思路

第九条依照ISO-31000框架，核验公司风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的，且正常运行。这些环节包括：沟通与协商，识别与分析风险，风险评估，评价和选择策略，实施风险治理，监控，持续改进。

第十条依照COSO-ERM框架，一方面，核验战略、经营、报告和合规四大目标确实存在，并且针对这些目标的管理都是有效的，如核验董事会和经营管理层：了解组织实现其战略目标的程度，了解组织实现其经营目标的程度，能保障组织的报告是可靠的，能保障组织遵循适用的法律和法规。另一方面，核验八大要素的存在，以及核验其正常运行情况。

第十一条对照特别制定的风险管理框架和要求来衡量企业风险管理的有效性。如内控测试状态良好，机制对风险反应迅速，公司对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。

第四章风险管理审计的主要分类

第十二条一般风险管理审计

这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力，可细分类为：

（一）针对公司各管理层级的风险管理审计：企业整体、分公司、业务或子公司。

（二）针对公司职能领域或特定关键风险的风险管理审计：战略审计、财务审计、信息系统审计、质量审计、安全审计、环境审计和内控审计等。

（三）针对项目的风险管理审计

（四）针对各类活动的风险管理审计

（五）针对产品或服务的风险管理审计

（六）针对过程或操作的风险管理审计

（七）针对资产的风险管理审计

第十三条风险管理要素审计

风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计

第五章风险管理审计须遵循的原则

第十四条审计人员风险管理专业水准原则：审计人员应熟悉ISO-31000 “风险管理原则和实施指引”和了解ISO-31010“风险管理-风险评估技术”；

第十五条审计人员职业道德和具备审计专业基本水准原则；

第十六条目标导向原则：清晰地理解被审事项的目标，识别影响目标实现的风险要素，提出将这些风险要素管理至公司可接受水平之内的改进建议；

第十七条关键性（重要性）原则：在设计审计方案和实施审计时，应关注关键目标、关键业务、关键流程和关键风险点，识别影响关键业绩实现的关键要素，进而就关键风险点的管理缺口提出改进建议；

第十八条审计规划/计划原则：充分了解风险管理审计的审计目标和审计任务，做足审计准备，设计周密、充足和合理的审计取证方案，制定合理与可操作的风险管理审计计划和方案；

第十九条充分了解就被审事项所设定的风险管理期望和价值原则：了解被审事项（整体或局部）的风险管理政策或管理原则，这是对公司整体、局部、业务、项目、资产、过程或活动等事项实施风险管理审计的判别依据之一；