江苏省风险管理审计操作指南.doc

江苏省风险管理审计操作指南江苏省风险管理审计操作指南 第一章 总 则 第一条为了规范内部审计人员对组织活动中的风险管理状况进行审查与评价，提高内部风险管理审计质量，根据内部审计具体准则第16号风险管理审计，制定本操作指南。 第二条本指南所称风险管理，是指对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。 第三条本指南所称风险管理审计，是指内部审计机构和人员依据国家法律、法规、政策和标准，独立、客观地对本组织风险管理进行监督、评价，提出改进和加强风险管理的意见或建议的行为。 第四条内部审计机构和人员应当充分了解组织的风险管理过程，审查和评价风险识别的合理性、已有风险衡量的恰当性和风险防范措施的充分性、适当性，并提出改进措施。 第五条风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价，也可对职能部门风险管理进行审查与评价。 第六条本指南适用于各类组织内部审计机构和人员及其从事的内部审计活动。 第二章 一般原则 第七条风险管理审计应当坚持独立客观的原则，内部审计机构和人员对风险管理的监督评价应当客观公正，审计人员不得直接参与风险管理，审计活动应当不受干扰，内部风险审计意见可直接向决策层报告。 第八条 风险管理审计应当坚持职业审慎的原则，充分考虑风险管理审计的复杂性、艰巨性，不具备足够专业力量的内部审计机构不应开展风险管理审计，工作需要时，可采取委托其他具备相应能力的审计中介机构代为开展本单位的风险管理审计。 第九条风险管理审计应当坚持科学有序的原则，遵循适当程序，采用先进方法和手段。 第十条风险管理审计应当坚持风险优先的原则，着重关注审计对象的风险管理，同时应对审计本身的风险进行科学评估，并制定系统的应对策略和措施，对不确定因素，应在审计报告中进行披露。 第十一条风险管理审计应当坚持保守秘密的原则，不得泄露国家秘密、商业秘密以及与此相关的风险管理审计资料和信息。 第三章 审计内容 第十二条 内部风险管理审计范围包括控制环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息及沟通、监督等。 （一）内部环境审计 1. 审计单位是否建立分工合理、职责明确、相互制衡、运作有效的架构体系。 2. 审计单位是否建立负责内部控制或监督的领导机构和专（兼）职的风险管理机构，明确各组织对内部控制所应承担的责任。 3. 审计单位是否制定科学合理的岗位职责，并依据岗位职责配备相应的、具有一定素质的管理人员和经办人员。 4. 审计单位是否实行了有效的分级授权制度，责任是否明确；是否有明确的人事管理、用人机制。 5. 审计单位是否建立科学、有效的激励约束机制，培育良好内控文化，积极创造全体员工依法履职的环境和氛围。 6. 审计单位是否培育有利于高效履行职责的良好法律环境和制度环境。 （二）目标设定风险审计 1. 审计单位战略目标的制定是否充分考虑本单位内外部风险因素。 2. 审计对各类风险的防范,是否建立了行之有效的风险预警体系,能及时有效对出现的风险苗头发出警示。 3. 审计是否建立了风险识别评估和确认机制，对风险的识别和评估是否充分准确。 4. 审计单位承担的风险是否在可容忍的限度之内。 5. 审计管理层采取的规避、降低和控制风险的举措是否恰当，是否合乎成本效益原则。 6. 审计风险监控措施、报告制度是否行之有效和及时。 （三）风险识别 1. 审计各类规章制度是否合理、完善，内部控制设计是否存在缺陷，是否存在制度约束的真空点。 2. 审计各部门或岗位的职能是否都进行了详尽的描述并明确了主要风险环节和相应的责任。 3. 审计对所识别的风险是否提出控制措施及落实相应的控制责任。 4. 审计各类制度是否随各项业务的发展或人员的调整及时修订和完善。 （四）风险评估 1. 审计决策层建立识别、计量、评估和监控各类风险的机制和程序是否运转有效，能否全面、及时、准确地识别和评价可能对本单位经营与管理目标的实现产生不利影响的内、外部因素。 2. 审计决策层是否了解并能够有效地处置本单位所面临的可能产生的自然风险、社会风险、经济风险、技术风险、政治风险、法律风险等。 3. 审计决策层对影响本单位实施监管策略和实现管理目标的风险是否进行连续评价；对内部控制制度是否加以不断改进，是否有效地控制任何新的或以前未加以控制的风险。 （五）风险对策 1. 审计在业务运行和管理活动中是否通过适当的方式方法或措施避免风险的发生。 2. 审计是否制定风险发生时的紧急处理预案，采取适当的措施和方法将风险概率降到最小、风险程度降到最低。 3. 审计是否采取保险等方式将风险转移给专门的机构或部门。 4. 审计是否建立了重大事件紧急报告制度和责任追究责任，能否充分考虑风险应对策略实施可能产生新的风险，并有相关提示及处理措施，使之达到预定的控制目标，及时向上级部门报告。 （六）控制活动审计 1审计制度规程是否覆盖风险和关键的控制环节，是否体现业务运行和管理活动的特点、目标、要求、处理程序。 2审计岗位设置是否划分明确，重要岗位是否按内部控制的要求分离及相互制约，人员配备是否胜任工作需求。 3审计业务审批或事务决定权是否通过书面形式进行划分和体现，是否对具体的事项、金额标准以及时效等作出明确规定。 4审计控制要求是否紧随事物的发展不断进行修订完善。 5各行业可根据各行业的特点确定控制活动审计内容。 （七）信息及沟通审计 1. 审计信息系统控制流程是否合理有效； 2.审计获取及处理信息的能力、信息传递渠道是否便捷畅通、有序运行； 3. 审计信息处理是否及时和适当，信息系统是否安全可靠，是否存在失控现象。 4. 审计信息是否在本单位内部所有部门和岗位进行有效沟通。 5. 审计信息的筛选、知悉范围、使用、传递和保存是否有完善的制度和相应的配套措施作后盾，在国家法律、法规许可的范围内，是否有助于保障单位权益和实现单位利益最大化。 （八）监督审计 1. 审计单位是否通过适时持续监测和专项监督评价等途径及时掌握内部风险及控制状况； 2. 审计单位对风险控制的适时持续监测是否贯穿于日常业务运行和管理活动中，监测的结果及所采取的应对措施是否形成文字记录并妥善保存。 3. 审计单位根据适时持续监测的结果是否确定专项监督评价的范围和频率，监督评价的结果应向提出监督评价要求的管理层报告。 4. 审计单位是否建立对监控结果的整改和处理机制。 第四章 风险管理审计步骤和方法 第十三条对风险管理进行专项审计，应当编制审计计划，成立审计组、制订审计方案、发送审计通知，实施现场审计，作出审计评价，提出审计报告；开展后续审计。 第十四条 根据上级内部审计机构下达的工作任务、本单位实际工作需要以及风险评估的结果，确定将风险管理专项审计是否列入到当年的内部审计工作计划中。列入计划并有能力自行组织审计，则进入下一程序（列入计划自己无能力开展审计的，可通过委托有能力的中介机构实施审计）。 第十五条审前准备 （一）成立审计组 根据审计任务和对象，确定审计范围、内容、重点和审计期限，根据风险管理原则，并考虑审计人员的执业能力和知识结构，选定审计组成员，必要时可外聘专家，组成审计组。 确定审计组组长和主审人，必要时可确定副组长。审计组中根据需要分成若干分项目小组，确定分项目小组长。 （二）开展审前调查。了解被审计对象的性质、管理体制、经营战略、经营目标、人员结构、风险事件的发生等。 收集与本次审计有关的资料。主要包括：被审计对象及其下属机构的各种文件，外部审计部门出具的关于被审对象的审计结论和处理决定以及执行情况等，有关职能部门掌握的被审对象的情况，群众举报、反映情况的材料等。 （三）制定审计方案 审计组应根据审计任务和风险调查的结果，拟定审计方案。审计方案可以根据需要报领导审批后执行。审计组应组织关于审计方案的学习，明确任务、分工和工作要求。 （四）下发审计通知书 主审负责起草审计通知书。审计通知书的内容可提前以电话、传真等方式通知被审计单位，同时要求被审计单位及其各部门分别准备自查报告，安排必要的工作条件，领导班子成员及各部门负责人不得出差等。 第十六条 审计实施 （一）与被审计对象领导、各层面的管理人员、技术人员、内部职工进行座谈，全面了解被审计对象的管理情况。 （二）现场察看并查阅被审计对象相关业务管理以及各种经济活动事项的审核、批准、指令等资料，并深入了解其各项经济业务的处理程序等。 （三）根据了解到的被审计对象的管理情况，绘制被审计对象 “业务处理流程图”等，为进一步检查了解被审计对象各项管理处理程序及其存在的漏洞或弊端作准备。 （四）流程分析 1.通过流程图等形式对流程形成清晰的认识； 2.识别和记录将风险控制在预期水平的关键控制点； 3.评估这些关键控制点是否能够有效地将风险控制在预期水平； 4.如果这些关键控制点不足以将风险控制在预期水平，则进一步识别差距在哪里并确定缩小这种差距的措施。 （五）编制并向被审计对象员工发放“管理问题调查表”，调查被审计对象在计划管理、决策管理、内部控制管理等方面是否存在问题；同时要对被审计对象各项管理进行分析，确定审计重点，做到有的放矢。 （六）设计和执行审计测试 1.证实流程的实际运行是否如设计的那样能够确保预期目标的实现； 2.当没有相应的流程或流程运行不畅时确定潜在的影响有多大。一是实施符合性测试，验证流程是否如设计的那样在有效运行；二是执行实质性测试(量化测试)，当流程的一部分设计不完善或未能如设计那样顺畅运行时，实施实质性测试，以推算或预测潜在的影响； 3.根据测试结果，评估流程的有效性； 4.对设计不完善的流程或运行不畅的流程，应进一步分析其原因，找出可能的解决方案。 （七）对风险识别的审计。被审计对象的风险识别是否按照重要性、可能性以及容忍度等进行排序，是否制定风险管理审计计划，包括制订自然风险管理、社会风险管理、经济风险管理、技术风险管理、政治风险管理、法律风险管理等审计计划，确定风险管理审计的位置和背景。 （八）对风险评估的审计。审计人员按照通用风险模型、结合被审计对象实际补充例外风险，以建立一个特定的风险模型，确保影响企业成功的所有风险都能被识别、定义和理解。并与被审计对象评定的风险及风险级别进行对照，查找差异，保证主要风险得到有效管理和控制。 （九）对风险监控的审计。对可能发生的风险和损失是否进行跟踪检查或后续评估。跟踪已识别风险的发展变化情况，包括在整个项目生命周期内，风险产生的条件和导致的后果变化，作出减缓风险的方案，调整风险管理计划。 （十）对风险处置的审计。对损失大、概率大的灾难性风险是否制定可操作性强的具体应急措施；损失小、概率大的风险，是否采取措施来降低风险程度；对损失大、概率小的风险，是否通过保险或合同条款转移风险；对损失小，概率小的风险，是否采取积极手段予以控制。 第十七条 风险管理审计的主要技术方法 （一）审计抽样方法：审计抽样是风险管理审计的主要手段，内部审计应当在与经营目标息息相关的风险管理范围内选取样本，审计抽样的过程包括样本设计、样本选择、样本结果评价三个阶段。 （二）定量分析方法：是指运用数量方法评估并描述风险发生的可能性及其影响程度。 1.比率与差异分析法。内部审计师利用经济比率可以搜寻到范围更广、内涵更深及实质性的审计发现，并归纳出风险管理审计的分析结论。差异分析则可以帮助内部审计师了解实际情况与风险控制制度的差距，以及风险管理过程中可修正、可挖潜、可创新的能力。 2.静态和趋势分析法。计算“现金流”，并编制现金流量表进行现金流量分析是一种有效防范各种经济风险的有力举措。另外，结合动态数据分析则能更有效预测、组织各项风险，并全面、综合、系统评估企业实际经营态势。 3.建立分析模型和计算机数据库。通过建立控制风险模型，可以帮助内部审计师审查和评价风险控制制度。建立模型是指把所有可以定量测试的因素集合在一起， 分层、分步地综合各种因素， 并依照其重要性程度大小， 测试出每种因素对测试目标的影响程度和影响数值大小。通过建立计算机数据库，为内部审计师提供了优越的运算条件。 （三）定性分析方法：是指运用定性术语评估描述风险发生的可能性及其影响程度。在风险管理审计过程中， 对一些不能采用定量分析的审计项目可以采用定性分析法。例如，采用流程图法可以清楚地反映被审计对象风险管理的内部控制情况，以便内部审计人员发现内部控制的不足；采用专家调查法可以对一些特殊的项目进行有效的分析，以便帮助内部审计师做出正确的审计结论。 第十八条 审计评价 （一）评价的内容。一是被审计对象计划管理、财务管理、决策管理的科学性、可行性、效益性；二是被审计对象内部控制制度的合规性、完整性、有效性、经济性。 （二）评价的原则 1.客观性原则：依据被审计对象管理方面的可靠数据和客观事实，采取写实、量化的方法，实事求是地评价被审计对象的管理情况。 2.全面性原则：一是评价被审计对象的管理情况要全面，既有财务管理、计划管理、决策管理，又要有内部控制制度管理； 既有本部的管理，又要有下属机构及其各环节的管理。二是既充分肯定成绩，又要如实指出不足。 3.针对性原则：根据被审计对象管理方面存在的实际问题，有针对性地进行分析评价，以引起被审计对象的重视，促进被审计对象整改。 4.准确性原则：评价要以实定论，做到观点鲜明、用词准确。 5.谨慎性原则：一是采取写实的方法，不随意定性；二是审计未涉及或证据不足的事项不评价；三是超出管理审计范围的事项不评价。 （三）评估风险管理能力。风险管理的综合能力体现在五个方面：战略、流程、人力资源、技术、信息，这些能力可以根据水平的高低相应划分为几个阶段。 1.审计组基于流程分析和审计测试的结果，描述每一项能力的具体特征，确定其当前所处的阶段； 2.综合考虑管理层对风险的容忍限度与公司治理的相关要求，确定每种能力的期望水平； 3.针对各项风险管理能力当前所处阶段与期望阶段之间的差距，考虑各种改进技术方法和政策措施。 （四）提出改进建议。按照针对性、可测量性、能达到、责任到人、及时性，结合前述各步骤中的审计发现及风险管理活动的实际情况，提出完善风险管理行动计划的建议，并及时与管理层进行沟通，落实风险管理改进的责任人，设定建议落实时限，以确保实现风险管理审计最终的增值功能。 第五章 审计报告 第十九条 风险管理审计报告是内部审计人员在实施必要的审计程序后，以经过核实的审计证据为依据，就被审计单位内部风险管理状况的适当性、合规性和有效性出具的书面文书。其基本要素应包括：标题、收件人、正文、附件、签章、报告日期。 第二十条风险管理审计报告的正文内容是实施风险管理审计结果的综合反映，其主要内容应包括：审计概况、审计情况、审计评价和审计建议。 （一）审计概况：主要描述本次风险管理审计的依据、审计目的和范围、审计重点和审计标准、主要实施程序等内容。 （二）被审计单位风险管理基本情况： 1.主要反映审计期内被审计单位: （1）风险管理基本流程运转情况，即：是否收集风险管理初始信息，是否组织进行风险评估，是否制定相应的风险管理策略，是否提出和实施风险管理解决方案等。 （2）风险管理监督与改进情况，即：是否能以重大风险、重大事件和重大决策、重要管理及业务流程为重点对风险管理基本运转情况进行监督，是否采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，是否根据风险变化情况和存在的缺陷及时进行整改等。 （3）风险管理组织体系建设情况，即：是否建立健全了规范的公司法人治理结构，形成高效运转、有效制衡的监督约束机制；董事会是否履行了在风险管理方面的职责，风险管理委员会的召集人是否符合规定要求，下设的风险管理委员会是否履行了相应的职责任务；各个层级的管理人员是否指导、制定、实施风险管理工作要求。 （4）风险管理信息系统建设情况，即：是否建立了涵盖风险管理基本流程和内部控制系统各个环节的风险管理信息系统；输入系统的信息是否准确、及时、可用和完整，是否设置了对数据信息更改的控制与管理措施。 （5）风险管理文化建立情况等被审计单位的风险管理情况。 2.问题与成因：主要反映审计期内被审计单位在风险管理中存在的问题，针对问题产生的主观和客观情况进行剖析。 （三）审计评价：主要反映通过审计得出的对审计期内被审计单位在风险管理方面的结论性评价，主要包括以下五个等级： （1）风险管理与控制有效。 （2）风险管理与控制基本有效。 （3）风险管理与控制有缺陷。 （4）风险管理与控制有重大缺陷，。 （5）风险管理与控制失责。 （四）审计建议：主要描述针对已查明审计事实和审计评价结果提出改进和完善内部风险管理的建议。风险管理审计的建议应主要包括以下四个方面： 1.建议风险回避，即建议管理层应主动放弃或拒绝实施那些可能引起风险损失的事项。 2.建议风险转移，即建议管理层将自己面临的风险采取保险、利用法律规定保护或其他有效方式转移给其他单位。 3.建议风险控制，即针对不同的风险点，建议管理层采取预防性、指导性、检查性和纠正性等控制措施，设法降低风险损失的概率和损失的幅度。 4.建议风险承担，即在处置风险成本高于承担风险所付出的代价时，建议管理层可以不采取任何措施。 第二十一条 风险管理审计报告由内部审计人员撰写，征求被审计单位意见后提交本单位董事会或管理层审核和应用。 第二十二条 内部审计机构和人员实施常规审计，其审计报告应运用风险管理审计的成果，体现风险管理审计报告的相关内容。 第二十三条 审计项目结束后，应按照谁审计谁立卷的原则进行档