集团公司审计风险管理工作指南

集团公司审计风险管理工作指南前言随着集团公司规模的不断扩大、业务领域的持续拓展以及内外部环境的日益复杂，审计工作在保障企业战略目标实现、维护资产安全、提升治理水平等方面的作用愈发凸显。然而，审计过程本身亦伴随着各类风险，若不能有效识别、评估与控制，不仅可能导致审计结论失真、审计目标落空，甚至可能给集团带来不必要的损失或声誉影响。为此，特制定本指南，旨在为集团及各下属单位审计部门开展审计风险管理工作提供系统性的思路、方法与操作指引，促进审计工作质量的稳步提升，确保审计职能的有效发挥。一、总则（一）定义本指南所称审计风险管理，是指审计部门在审计项目执行及审计管理全过程中，对可能影响审计目标实现的各类不确定性因素进行识别、评估、应对、监控和报告的一系列系统性活动。（二）目标审计风险管理的核心目标在于：1.确保审计工作符合法律法规、监管要求及集团内部规章制度。2.提高审计证据的充分性、适当性，保障审计结论的客观、公正与准确。3.合理配置审计资源，提升审计工作效率与效果。4.防范审计过程中的潜在风险，降低审计失败的可能性。5.促进审计部门与集团其他部门及被审计单位之间的有效沟通与协作。（三）原则开展审计风险管理工作应遵循以下原则：1.全面性原则：审计风险管理应覆盖所有审计项目、所有审计环节及所有审计人员。2.审慎性原则：对审计风险的识别和评估应保持职业怀疑态度，采取审慎的方法和措施。3.重要性原则：在全面风险管理的基础上，重点关注高风险领域和关键审计环节。4.适应性原则：审计风险管理机制应与集团的业务性质、规模、复杂程度及风险承受能力相适应，并随内外部环境变化及时调整。5.成本效益原则：在风险控制效果与投入成本之间寻求平衡，力求以合理的成本实现有效的风险控制。（四）适用范围本指南适用于集团总部及各下属单位（包括但不限于全资子公司、控股子公司）的内部审计部门及其开展的各类审计活动，包括财务审计、经营审计、合规审计、舞弊审计、信息系统审计、专项审计及审计调查等。二、审计风险管理组织架构与职责（一）集团审计委员会集团审计委员会作为审计工作的监督与指导机构，在审计风险管理方面承担以下职责：1.审议集团审计风险管理相关的政策、制度和指南。2.监督集团整体审计风险水平及审计部门风险管理工作的有效性。3.听取审计部门关于重大审计风险事项的报告，并提出处理意见或建议。4.协调解决审计风险管理中遇到的重大问题。（二）集团审计部集团审计部是集团审计风险管理的牵头部门，主要职责包括：1.制定和完善集团统一的审计风险管理政策、制度和操作指南。2.组织、指导和监督各下属单位审计部门的审计风险管理工作。3.识别和评估集团层面及跨单位、跨业务领域的重大审计风险。4.统筹集团审计资源，合理分配至高风险领域。5.建立集团审计风险数据库和案例库，推广风险管理最佳实践。6.向集团审计委员会和管理层定期报告集团审计风险管理状况。（三）下属单位审计部门各下属单位审计部门负责本单位的审计风险管理具体工作：1.根据集团统一要求，结合本单位实际情况，细化审计风险管理措施。2.负责本单位审计项目全流程的风险识别、评估、应对和监控。3.向上级审计部门报告本单位发生的重大审计风险事件及处理情况。4.参与集团审计风险数据库建设和经验分享。（四）审计项目组及审计人员审计项目组及审计人员是审计风险管理的直接执行者，对其负责的审计项目风险负直接责任：1.在审计项目各阶段严格执行风险管理程序。2.主动识别和评估项目执行过程中的具体风险点。3.采取适当的风险应对措施，并对措施的有效性进行验证。4.及时向上级汇报审计过程中发现的重大风险问题。三、审计风险的识别（一）风险识别的时机与频率审计风险识别应贯穿于审计项目的整个生命周期，包括审计计划阶段、审计实施阶段、审计报告阶段以及后续跟踪阶段。在制定年度审计计划前，应进行全面的风险识别，以确定年度审计重点；在具体审计项目立项及方案制定阶段，应对特定项目的风险进行专项识别；在审计实施过程中，应持续关注新出现的风险因素。（二）风险识别的主要内容审计风险主要来源于以下几个方面，识别时应重点关注：1.固有风险：*被审计单位的行业特点、业务性质、经营规模及复杂程度。*被审计单位的内部控制环境、治理结构及管理水平。*被审计单位的财务状况、盈利能力及现金流情况。*被审计单位面临的市场竞争、政策法规变动、技术更新等外部环境压力。*以往审计中发现问题的性质、数量及整改情况。2.控制风险：*被审计单位内部控制制度的健全性、合理性及执行有效性。*关键控制点的设置及运行情况。*信息系统一般控制及应用控制的有效性。*对舞弊行为的防范、发现及处理机制。3.检查风险：*审计计划的周密性与适应性。*审计程序设计的恰当性与执行的有效性。*审计证据的充分性、适当性与可靠性。*审计人员的专业胜任能力、职业谨慎性及客观性。*审计方法的恰当运用，如抽样风险等。4.其他风险：*审计独立性风险（如审计人员与被审计单位存在不当利益关系）。*审计沟通风险（如与被审计单位、管理层沟通不畅或误解）。*审计报告风险（如报告内容不准确、不完整、不及时或表达方式不当）。*法律合规风险（如审计行为违反相关法律法规）。（三）风险识别的方法常用的审计风险识别方法包括但不限于：1.流程梳理法：通过梳理被审计单位业务流程及审计工作流程，识别关键节点可能存在的风险。2.文件审阅法：审阅被审计单位的战略规划、年度报告、内部控制手册、以往审计报告、监管检查报告、重大合同等文件。3.访谈法：与被审计单位管理层、业务骨干、关键岗位人员及集团相关职能部门进行访谈。4.历史数据分析：分析历史审计发现、风险事件、损失案例等数据，总结风险发生的规律和趋势。5.行业对标与经验判断：参考同行业企业的风险事件及审计实践，结合审计人员的专业经验进行判断。6.头脑风暴法：组织审计团队成员就特定审计项目或领域的风险进行无限制的讨论和联想。7.鱼骨图/因果图法：用于分析风险产生的根本原因，帮助全面识别风险因素。8.问卷调查法：设计针对性的问卷，向相关人员收集风险信息。（四）风险识别的记录与更新审计部门应建立审计风险识别清单或风险登记册，详细记录已识别的风险名称、风险类别、风险描述、潜在影响、风险来源等信息。风险识别是一个动态过程，随着审计工作的深入和内外部环境的变化，应及时对风险清单进行补充、调整和更新。四、审计风险的评估（一）风险评估的定义与目的审计风险评估是指在风险识别的基础上，对已识别的审计风险发生的可能性（或频率）及其潜在影响程度进行分析和评价，以确定风险等级，为制定风险应对策略提供依据。其目的在于合理分配审计资源，将有限的资源优先投入到高风险领域。（二）风险评估的维度风险评估通常从以下两个核心维度进行：1.可能性：指某一风险事件发生的概率或频率，可分为高、中、低三个级别进行描述。2.影响程度：指风险事件一旦发生，对审计目标实现、集团财务状况、经营成果、声誉、合规性等方面可能造成的负面影响，同样可分为高、中、低三个级别进行描述。影响程度的评估应考虑财务、运营、声誉、法律、战略等多个方面。（三）风险评估的标准与等级划分集团审计部应制定统一的风险评估标准。1.可能性标准：*高：风险事件很可能发生，或在过去一定时期内频繁发生。*中：风险事件可能发生，或在过去一定时期内偶有发生。*低：风险事件不太可能发生，或在过去一定时期内未发生过且发生条件苛刻。2.影响程度标准：*高：可能导致审计结论出现重大错误，或给集团造成重大损失、严重声誉损害、重大合规问题，或严重影响集团战略目标实现。*中：可能导致审计结论出现一定偏差，或给集团造成一定损失、声誉损害、合规问题，或对集团战略目标实现有一定影响。*低：对审计结论影响较小，或给集团造成的损失、声誉损害、合规问题轻微，对集团战略目标实现影响有限。3.风险等级划分：通过可能性和影响程度的组合，将审计风险划分为不同等级，例如：*极高风险：高可能性×高影响程度*高风险：高可能性×中影响程度或中可能性×高影响程度*中风险：高可能性×低影响程度或中可能性×中影响程度或低可能性×高影响程度*低风险：中可能性×低影响程度或低可能性×中影响程度*极低风险：低可能性×低影响程度（四）风险评估的实施1.成立评估小组：根据风险的性质和重要性，可成立专门的风险评估小组，或由审计项目组全体成员共同参与。2.收集信息：收集与风险相关的各类信息，确保评估基于充分的事实依据。3.运用评估方法：结合定性与定量方法进行评估。对于难以量化的风险，以定性评估为主；对于部分可量化的风险，可尝试采用适当的量化工具或模型。4.综合判断与分级：评估小组成员根据评估标准对各项风险进行独立判断，然后通过讨论达成共识，确定最终的风险等级。5.形成风险评估报告：记录风险评估的过程、方法、结果及主要结论，作为风险应对的重要依据。五、审计风险的应对（一）风险应对的策略针对不同等级的审计风险，可采取以下一种或多种应对策略的组合：1.风险规避：通过改变审计计划、调整审计范围、终止某些高风险的审计程序或项目等方式，主动放弃或退出可能引发特定风险的审计活动。例如，当审计人员独立性受到严重威胁且无法消除时，应考虑回避相关审计项目。2.风险降低：采取措施降低风险发生的可能性或减轻风险发生后的影响程度。这是审计风险管理中最常用的策略。例如，通过增加审计样本量、执行更详细的审计程序、利用专家工作、加强对审计人员的培训和督导等方式降低检查风险；通过更深入地了解被审计单位及其环境、测试内部控制的有效性等方式降低对固有风险和控制风险的评估水平。3.风险转移：将部分或全部审计风险有意识地转移给其他方承担。例如，在特定领域（如复杂的IT系统审计、特殊行业的合规审计）聘请外部专业机构或专家提供协助；通过购买职业责任保险来分担因审计失误可能造成的赔偿风险（如适用）。4.风险承受（风险自留）：对于一些影响程度较低、发生可能性也较低的风险，或采取风险降低措施后仍残留的、在可接受范围内的风险，审计部门在权衡成本效益后选择主动承受，并持续监控其变化。（二）针对不同风险等级的应对措施1.极高风险与高风险：*优先纳入审计计划，配置充足的、经验丰富的审计资源。*制定详细的审计方案，设计并执行更为严格和全面的审计程序。*加强审计过程中的监督与复核，如提高复核层级、增加复核频率。*考虑利用外部专家的工作或与其他监管部门进行沟通协调。*审计结果需及时向高级管理层和审计委员会报告。2.中风险：*按常规审计计划安排，配置适当的审计资源。*执行标准的审计程序，并根据具体情况进行适当调整。*进行常规的审计复核。*审计结果按规定路径上报。3.低风险与极低风险：*可适当降低审计频率或简化审计程序，或在资源有限时适当延后审计。*主要通过风险承受策略进行管理，并关注其是否有向高风险转化的迹象。*可采用抽样审计或利用内部自我评估的结果（需评估其可靠性）。（三）审计计划与风险应对的衔接年度审计计划和项目审计方案的制定应充分考虑风险评估的结果。审计资源的分配应与风险等级相匹配，高风险领域应获得更多的审计关注和资源投入。在审计项目执行过程中，如发现新的重大风险或原有风险等级发生显著变化，应及时调整审计方案和应对措施。六、审计风险的监控与报告（一）风险监控的定义与目的审计风险监控是指在审计风险管理过程中，对已识别风险的变化情况、风险应对措施的执行情况及其有效性进行持续的跟踪、检查和评价，并根据监控结果及时调整风险管理策略和措施的过程。其目的在于确保风险应对措施得到有效执行，风险水平控制在可接受范围之内。（二）风险监控的内容风险监控的主要内容包括：1.已识别风险的状态变化，包括可能性、影响程度及风险等级的变化。2.新出现的风险因素或潜在风险事件。3.风险应对措施的执行进度、质量和效果。4.风险应对措施是否达到预期目标，是否需要调整或补充。5.审计过程中是否出现未预见的风险。（三）风险监控的方法审计风险监控可采取以下方法：1.定期检查：审计项目负责人定期（如每周或每阶段）对项目风险状况及应对措施执行情况进行检查。2.审计工作底稿复核：通过对审计工作底稿的各级复核，检查审计程序的执行情况和风险控制的有效性。3.风险状态报告：定期（如月度、季度）更新风险登记册，报告风险状态。4.专题会议：针对重大或突发风险事件，召开专题会议进行分析和讨论。5.审计质量检查：通过内部质量控制检查或外部质量评估，审视整体审计风险管理水平。6.关键风险指标（KRI）监测：选取一些能够反映风险变化趋势的关键指标进行持续跟踪。