全面风险管理审计业务规范

全面风险管理审计业务规范

1 有关定义与基本要求

1.1 定义

1.1.1 风险是指在公司及企业发展过程中，各种不确定性对公司及企业实现战略及经营目标的影响。风险一般分为战略风险、财务风险、市场风险、运营风险和法律风险等5个一级风险，也可分为决策风险与执行风险或内部风险与外部风险等。

1.1.2 全面风险管理是指围绕战略目标，由公司董事会、管理层和员工共同参与，通过在经营管理的各个环节和经营过程中执行风险管理流程、建立全面风险管理体系、培育风险管理文化，为实现公司风险管理的总体目标提供合理保证的过程和方法。

1.1.3 风险管理审计是指审计部门和审计人员通过实施必要的审计程序，对被审计单位全面风险管理情况特别是风险评估、风险应对所进行的审查评价，重点关注面临的内、外部风险是否已得到充分、适当的确认、防范和控制。

1.2 开展风险管理审计应遵循以下原则：

1.2.1 谨慎性原则。审计人员应深入查找被审计单位生产经营管理中面临的各项风险，客观谨慎评估风险等级以及风险应对效果，充分考虑各项风险可能造成的损失。

1.2.2 成本效益原则。审计部门实施风险管理审计项目，应合理利用审计资源，严格控制审计成本，以适当的投入实现审计目标。

1.2.3 全面性原则。审计人员应将被审计单位经营管理的所有领域和

环节的风险管理情况纳入审计检查范畴。

1.2.4 重要性原则。审计人员应主要关注被审计单位重点业务事项和高风险领域的风险管理情况。

1.3 本指引适用于公司审计部门审查评价被审计单位全面风险管理工作开展情况，对被审计单位进行的专项风险管理审计，可参考本指引相关内容。

2 各级审计部门职责

2.1 审计部负责组织制定风险管理审计制度，提出年度风险管理检查评价计划并组织实施，对公司全面风险管理体系的健全性和运行的有效性进行检查评价，提出改进完善意见，向风险管理职能部门反馈，并向董事会专门委员会报告。

2.2 审计部派出机构（审计组）和企业审计部门负责本指引的贯彻落实，按照有关要求开展风险管理审计,并应将审计发现的重大问题，除向本单位报告外，还应及时报告审计部，同时审计过程中注意探索经验，并接受上级审计部门的业务指导与监督。

3 工作程序及内容、方法

3.1 审前准备。实施风险管理审计项目，在选定审计组组长与主审、成立审计组之后，应根据需要对被审计单位进行审前调查，在掌握有关总体情况的基础上编制审计实施方案，并视情况开展审前培训。3.1.1 审前调查。通过听取汇报、查阅资料、个别访谈、远程在线查询等方法，了解被审计单位基本情况、风险管理情况以及外部环境情况，分析判断风险管理薄弱环节。

3.1.1.1 企业（部门）基本情况，主要包括以下内容：

（1）治理结构、组织架构以及部门职责分工情况，关注企业（部门）内部的业务监督与协调机制。

（2）生产经营范围及主要业务开展情况，关注技术、装备、营销等方面的竞争力以及产品市场占有率。

（3）企业（部门）战略目标及经营目标制定与完成情况，关注目标调整与分解落实情况。

（4）主要经营管理人员、关健岗位人员的业务素质与专业胜任能力，关注相关绩效考核与岗位资格认定情况。

（5）财务状况、经营情况，关注资产质量、偿债能力、盈利能力。（6）经营管理制度、内部控制建设与实施情况，关注制度体系的健全性。

（7）信息化建设及安全运行情况，关注资金管理、物资采购、产品销售等关键业务的系统应用与运行情况。

（8）接受内审外查情况，关注发现的主要问题及整改情况。

（9）发生的违法违纪案件、安全环保事故与经济纠纷情况，关注发生的原因及造成的损失。

（10）企业稳定与重大舆情情况，关注企业发生的上访事件与新闻舆论事件。

3.1.1.2 风险管理情况，主要包括以下内容：

（1）风险管理总体目标与策略、风险管理制度、风险管理组织体系建设及制定情况。

（2）对职工进行风险管理培训、宣传报道风险案例等风险管理文化建设情况。

（3）信息收集渠道、职责分工以及收集的信息与风险案例。

（4）风险评估流程、职责分工、采用的主要方法以及评估、确认的风险。

（5）风险应对措施制定与实施情况。

（6）风险监控预警机制设立情况。

（7）风险管理部门、审计部门对风险管理工作进行监督检查以及问题整改情况。

3.1.1.3 外部环境情况，主要包括以下内容：

（1）宏观发展形势方面,了解国内外宏观经济政策以及经济运行情况、所在行业状况、国家产业政策；有关科技进步、技术创新等方面信息；同行业企业战略风险失控导致企业蒙受损失的案例。

（2）财会政策及管理方面，了解适用的财务政策、会计准则与税收政策；同行业企业资产负债率、资金周转率等指标的平均水平与先进水平；同行业企业财务风险失控导致危机的案例。

（3）市场环境方面，了解产品(服务)的供需变化趋势；所需能源与原材料供应保障的充足性、稳定性和价格变化；主要客户、供应商的信用情况；竞争者、潜在竞争者、产品替代品等方面信息；同行业企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例。

（4）运营管理方面，了解同行业企业新产品研发、新市场开发、市场营销策略、销售渠道等方面信息；同行业企业在质量、安全、环保

等方面曾发生的事故（事件）。

（5）法律法规方面，了解有关国内外政治、法律环境、新法律法规和政策、知识产权等方面信息；同行业企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例。

3.1.2 编制审计实施方案。根据审计项目的有关要求和通过审前调查了解的情况，编制审计实施方案，明确审计目的、依据、检查内容及方法等。

3.1.2.1 审计目的。通过审查评价被审计单位落实全面风险管理工作情况，促进被审计单位改进风险管理工作、增强风险防控能力，提高风险管理水平。

3.1.2.2 审计依据。中央企业全面风险管理指引、公司全面风险管理暂行办法、公司风险评估工作指引、公司内部控制手册及本指引等。

3.1.2.3 审计范围。被审计单位实际面临的风险，重点关注重大、重要的风险区域与业务环节。审计过程中以被审计单位识别出的二级风险为基础，采用随机抽样与判断抽样相结合的方法抽取所要审计的风险。对于二级风险中的重大风险应全部抽取，重要风险抽取比例一般不小于30%，一般风险抽取比例不小于10%。风险抽取结果应参照公司下发的年度风险评估结果进行必要的调整或补充。

3.1.2.4 审计检查内容。被审计单位全面风险管理工作开展情况，包括风险管理体系建立、风险管理文化建设、信息收集、风险评估、风险应对、监控预警、监督评价与改进等。通过审前调查了解的有关情况也应在相关部分进行反映，并将掌握的问题线索与管理薄弱环节作