搜索
全面风险管理审计业务规范1有关定义与基本要求1.1定义1.1.1风险是指在公司及企业发展过程中,各种不确定性对公司及企业实现战略及经营目标的影响。风险一般分为战略风险、财务风险、市场风险、运营风险和法律风险等5个一级风险,也可分为决策风险与执行风险或内部风险与外部风险等。1.1.2全面风险管理是指围绕战略目标,由公司董事会、管理层和员工共同参与,通过在经营管理的各个环节和经营过程中执行风险管理流程、建立全面风险管理体系、培育风险管理文化,为实现公司风险管理的总体目标提供合理保证的过程和方法。1.1.3风险管理审计是指审计部门和审计人员通过实施必要的审计程序,对被审计单位全面风险管理情况特别是风险评估、风险应对所进行的审查评价,重点关注面临的内、外部风险是否已得到充分、适当的确认、防范和控制。1.2开展风险管理审计应遵循以下原则:1.2.1谨慎性原则。审计人员应深入查找被审计单位生产经营管理中面临的各项风险,客观谨慎评估风险等级以及风险应对效果,充分考虑各项风险可能造成的损失。1.2.2成本效益原则。审计部门实施风险管理审计项目,应合理利用审计资源,严格控制审计成本,以适当的投入实现审计目标。1.2.3全面性原则。审计人员应将被审计单位经营管理的所有领域和环节的风险管理情况纳入审计检查范畴。1.2.4重要性原则。审计人员应主要关注被审计单位重点业务事项和高风险领域的风险管理情况。1.3本指引适用于公司审计部门审查评价被审计单位全面风险管理工作开展情况,对被审计单位进行的专项风险管理审计,可参考本指引相关内容。2各级审计部门职责2.1审计部负责组织制定风险管理审计制度,提出年度风险管理检查评价计划并组织实施,对公司全面风险管理体系的健全性和运行的有效性进行检查评价,提出改进完善意见,向风险管理职能部门反馈,并向董事会专门委员会报告。2.2审计部派出机构(审计组)和企业审计部门负责本指引的贯彻落实,按照有关要求开展风险管理审计,并应将审计发现的重大问题,除向本单位报告外,还应及时报告审计部,同时审计过程中注意探索经验,并接受上级审计部门的业务指导与监督。3工作程序及内容、方法3.1审前准备。实施风险管理审计项目,在选定审计组组长与主审、成立审计组之后,应根据需要对被审计单位进行审前调查,在掌握有关总体情况的基础上编制审计实施方案,并视情况开展审前培训。3.1.1审前调查。通过听取汇报、查阅资料、个别访谈、远程在线查询等方法,了解被审计单位基本情况、风险管理情况以及外部环境情况,分析判断风险管理薄弱环节。3.1.1.1企业(部门)基本情况,主要包括以下内容:(1)治理结构、组织架构以及部门职责分工情况,关注企业(部门)内部的业务监督与协调机制。(2)生产经营范围及主要业务开展情况,关注技术、装备、营销等方面的竞争力以及产品市场占有率。(3)企业(部门)战略目标及经营目标制定与完成情况,关注目标调整与分解落实情况。(4)主要经营管理人员、关健岗位人员的业务素质与专业胜任能力,关注相关绩效考核与岗位资格认定情况。(5)财务状况、经营情况,关注资产质量、偿债能力、盈利能力。(6)经营管理制度、内部控制建设与实施情况,关注制度体系的健全性。(7)信息化建设及安全运行情况,关注资金管理、物资采购、产品销售等关键业务的系统应用与运行情况。(8)接受内审外查情况,关注发现的主要问题及整改情况。(9)发生的违法违纪案件、安全环保事故与经济纠纷情况,关注发生的原因及造成的损失。(10)企业稳定与重大舆情情况,关注企业发生的上访事件与新闻舆论事件。3.1.1.2风险管理情况,主要包括以下内容:(1)风险管理总体目标与策略、风险管理制度、风险管理组织体系建设及制定情况。(2)对职工进行风险管理培训、宣传报道风险案例等风险管理文化建设情况。(3)信息收集渠道、职责分工以及收集的信息与风险案例。(4)风险评估流程、职责分工、采用的主要方法以及评估、确认的风险。(5)风险应对措施制定与实施情况。(6)风险监控预警机制设立情况。(7)风险管理部门、审计部门对风险管理工作进行监督检查以及问题整改情况。3.1.1.3外部环境情况,主要包括以下内容:(1)宏观发展形势方面,了解国内外宏观经济政策以及经济运行情况、所在行业状况、国家产业政策;有关科技进步、技术创新等方面信息;同行业企业战略风险失控导致企业蒙受损失的案例。(2)财会政策及管理方面,了解适用的财务政策、会计准则与税收政策;同行业企业资产负债率、资金周转率等指标的平均水平与先进水平;同行业企业财务风险失控导致危机的案例。(3)市场环境方面,了解产品(服务)的供需变化趋势;所需能源与原材料供应保障的充足性、稳定性和价格变化;主要客户、供应商的信用情况;竞争者、潜在竞争者、产品替代品等方面信息;同行业企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例。(4)运营管理方面,了解同行业企业新产品研发、新市场开发、市场营销策略、销售渠道等方面信息;同行业企业在质量、安全、环保等方面曾发生的事故(事件)。(5)法律法规方面,了解有关国内外政治、法律环境、新法律法规和政策、知识产权等方面信息;同行业企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例。3.1.2编制审计实施方案。根据审计项目的有关要求和通过审前调查了解的情况,编制审计实施方案,明确审计目的、依据、检查内容及方法等。3.1.2.1审计目的。通过审查评价被审计单位落实全面风险管理工作情况,促进被审计单位改进风险管理工作、增强风险防控能力,提高风险管理水平。3.1.2.2审计依据。中央企业全面风险管理指引、公司全面风险管理暂行办法、公司风险评估工作指引、公司内部控制手册及本指引等。3.1.2.3审计范围。被审计单位实际面临的风险,重点关注重大、重要的风险区域与业务环节。审计过程中以被审计单位识别出的二级风险为基础,采用随机抽样与判断抽样相结合的方法抽取所要审计的风险。对于二级风险中的重大风险应全部抽取,重要风险抽取比例一般不小于30%,一般风险抽取比例不小于10%。风险抽取结果应参照公司下发的年度风险评估结果进行必要的调整或补充。3.1.2.4审计检查内容。被审计单位全面风险管理工作开展情况,包括风险管理体系建立、风险管理文化建设、信息收集、风险评估、风险应对、监控预警、监督评价与改进等。通过审前调查了解的有关情况也应在相关部分进行反映,并将掌握的问题线索与管理薄弱环节作为审计重点。3.1.2.5审计方法。主要采用查阅资料、问卷调查、座谈访谈、审计抽样等方法进行检查,对于通过检查获取的信息可采用态势分析法(SWOT)、敏感性分析法等方法进行深入分析。审计过程中应充分应用审计预警系统、AIS等审计信息化手段。3.1.2.6工作分工。一般按照一级风险设立审计小组,按照审计范围内的二级风险对审计组成员进行分工。各审计小组主要负责审查风险评估、风险应对、监控预警等工作。其他全面风险管理工作,可成立综合组负责审查。分工过程中应根据审计人员具备的业务岗位资格及专业胜任能力分配相适应的工作。3.1.3审前培训。审计组应根据人员组成情况决定是否进行审前培训。培训过程中应组织审计人员学习相关制度规定与风险管理基础知识,介绍被审计单位相关情况,讲解实施方案确定的审计内容以及审前准备阶段掌握的问题线索、管理薄弱环节等审计重点,明确职责分工、时间安排等。3.2现场实施。审计组进驻被审计单位,应召开审计进点会,说明工作方法、目的,并听取被审计单位风险管理情况介绍,然后按照审计实施方案及其他有关要求,审查评价被审计单位全面风险管理工作开展情况。3.2.1审查评价风险管理体系。主要采用查阅有关文件、制度的方法,审查被审计单位是否根据公司相关规定制定风险管理目标和策略,细化风险管理制度,成立风险管理领导小组,设置或指定专门部室负责风险管理工作,明确有关部室(单位)风险管理职责等,评价被审计单位风险管理体系的健全性。3.2.2审查评价风险管理文化。主要采用查阅相关培训、宣传资料与问卷调查等方法,审查被审计单位是否通过教育培训、宣传报道等途径培育风险管理文化,并通过落实有关措施,促进企业(部门)员工牢固树立风险防控意识,评价风险管理文化建设的有效性。3.2.3审查评价信息收集基础工作与结果。主要采用复核信息收集渠道与过程以及所收集的信息与案例的方法,审查被审计单位是否持续、广泛收集与本单位业务有关的内、外部信息与风险案例,评价被审计单位所收集信息的完整性、准确性与时效性,以及相关基础工作的可靠性。3.2.4审查评价风险评估基础工作与结果。审查被审计单位风险评估依据的信息、采用的方法与参与人员的技术能力是否符合相关规定,并通过复核被审计单位风险评估结果,评价被审计单位风险评估结果的充分性与适当性以及相关基础工作的可靠性。3.2.4.1审查评价风险评估基础工作。主要采用复核风险评估工作底稿的方法,审查被审计单位风险评估依据的信息是否充分、准确,风险评估方法选择及运用是否得当,风险评估人员是否具备较强的技术能力,评价被审计单位风险评估基础工作的可靠性。3.2.4.2审查评价风险识别结果。根据工作分工,确定所抽取二级风险对应的业务范围,筛选和分析掌握的信息以及公司下发的风险清单,并通过问卷调查、座谈访谈等方法,广泛听取被审计单位上级主管部门、同行业企业及被审计单位专家的意见,重新识别相关业务面临的三级风险,并判断风险定义与描述是否适当,评价被审计单位风险识别结果的充分性与适当性。对于其他级别风险的审查,可参照以上程序执行。3.2.4.3审查评价风险分析与评价结果。根据工作分工,对于所负责审查的二级风险,逐一确定下属三级风险产生的原因与所影响的业务,收集和分析有关信息,参考被审计单位风险分析与评价标准,并通过问卷调查、座谈访谈等方法广泛听取各方面意见,重新确认风险发生可能性、影响程度与三级风险等级,再根据三级风险对上一级二级风险的重要程度,确定相应的权重,重新确认二级风险等级,评价被审计单位风险分析与评价结果的适当性。3.2.5审查评价风险应对措施。主要采用分析风险事件发生原因与内部控制测试等方法,审查被审计单位是否对重大、重要风险采取了控制、转移、规避、承担等应对措施,相关措施规定是否符合风险管理策略以及成本效益原则,并从减少风险发生可能性与降低影响程度两方面检查措施实施效果,确认应对后的剩余风险水平是否符合风险管理目标,评价风险应对措施的适当性与有效性。3.2.6审查评价风险监控预警机制。主要采用查阅风险库与分析有关指标的方法,审查被审计单位是否对面临的重大、重要风险建立了监控预警制度,所设置的预警指标与预警值是否合理、适当,评价风险预警机制的完善性。3.2.7审查评价风险管理监督评价与改进。主要采用查阅有关检查报告与整改资料的方法,审查被审计单位风险管理部门是否按规定对同级专业管理部门及所属单位风险管理工作进行监督检查,审计部门是否对全面风险管理体系建设及运行情况进行独立检查评价,被检查部门(单位)对发现的问题是否进行及时、有效的整改,评价风险管理监督评价与改进工作的及时性与有效性。3.3总体评价。现场审计工作结束后,审计人员应根据实际检查情况对被审计单位风险管理工作进行总体评价。评价内容主要包括:风险管理体系的健全性、风险管理文化建设的有效性、信息收集的完整性、准确性与时效性、风险评估结果的充分性与适当性、风险应对措施的适当性与有效性、监控预警机制的完善性、监督评价与改进工作的及时性与有效性等。3.4审计终结。审计工作底稿经被审计单位签字确认后,由主审起草审计报告。审计报告经审理、签发后,根据需要出具审计建议书,并跟踪落实整改情况。3.4.1编制审计报告。审计人员应在审计报告中描述被审计单位基本情况与风险管理情况,反映风险管理工作中存在的主要问题,并对风险管理工作作出总体评价,同时提出审计意见与建议。3.4.2审理项目资料。审计报告起草完成后,审计组长和主审应以审计组名义与被审计单位初步交换意见,并根据反馈意见进行核实、修改,再将修改后的报告连同被审计单位意见、审计工作底稿等资