第一篇:试论审计风险
试论审计风险
审计风险是一个非常重要的概念。在审计理论中,审计风险与审计重要性和审计证据等概念密切相关;在审计实务中,审计风险是审计人员在制定审计计划、执行审计程序、出具审计报告等阶段必须时时加以考虑的一个重要因素。笔者在此对审计风险概念作以下论述,以供参考。
一、审计风险的基本涵义
关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,而美国审计准则界定为“无意”行为,而非有意为之;但是对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束,因而审计风险具有下面三种具体表现形式。
二、审计风险的三种形式
1.评估审计风险。评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生重大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。
2.可接受审计风险。可接受审计风险是指审计项目完成后,审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下三个因素控制:①会计师事务所的风险承受能力:会计师事务所的风险承受能力越强,可接受审计风险也就可以越高。会计师事务所的风险承受能力则主要取决于事务所的规模、经济实力以及法律责任的承担能力等。②财务报表和审计报告使用者的情况:财务报表和审计报告的使用者素质越高、范围越广,对财务报表和审计报告的利用程度越高,可接受审计风险就越低。③行业之间的竞争情况:会计师事务所之间的竞争越激烈,可接受审计风险也就越低。可接受审计风险是审计人员或会计师事务所主观确定的,其与评估审计风险的差异,即为需要主观努力的程度,是决定审计项目取舍的重要衡量标准之一。
3.终极审计风险。终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。
简而言之,评估审计风险是客观存在的,可接受审计风险是主观确定的,而终极审计风险是客观存在和主观努力的结果。因此,审计人员在决定是否承接某一审计项目时,可以将评估审计风险与可接受审计风险进行比较,然后根据成本效益原则决定取舍。如果接受该项目,在审计过程中应尽量严格执行所设计的审计程序,使终极审计风险等于或小于预先设定的可接受审计风险。虽然终极审计风险取决于可接受审计风险,但并不完全等同于后者,它是固有风险、控制风险和检查风险共同作用的结果。
三、审计风险与审计重要性和审计证据的关系
1.审计风险与审计重要性的关系。《我国独立审计具体准则第10号———审计重要性》第二条指出:“审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”简单地说,审计重要性就是错报的可容忍程度,其量化标准即重要性水平。也就是说,在重要性水平之内的错报,是可以容忍,可以接受的。因此,审计风险与审计重要性之间有着密切的关系。
评估审计风险与审计重要性之间是反向关系,即评估审计风险越高,所确定的重要性水平就越低,这样才能保证终极审计风险在一定水平内。反之,评估审计风险越低,重要性水平越高,这样可以节约审计成本。《我国独立审计具体准则第10号———审计重要性》第八条指出:“注册会计师应当考虑重要性与审计风险之间存在的反向关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”这里的审计风险指的就是评估审计风险。这一反向关系也可从另一个角度来理解,即计划确定的重要性水平越高,对审计工作质和量的要求就越低,在此条件下作出正确审计结论的可能性就越大,审计风险因而也就越低。
可接受审计风险与审计重要性之间是正向关系,即可接受审计风险越高,所确定的重要性水平越高,这样可以保证审计成本的节约。反之可接受审计风险越低,所确定的重要性水平也应越低,这样才能保证审计质量的控制。因为可接受审计风险越低,说明审计人员要求的财务报表错报的可容忍程度越低,则其重要性水平也应越低,才能满足较低的审计风险的要求。终极审计风险与审计重要性之间也是正向关系。因为终极审计风险基本上取决于可接受审计风险。
2.审计风险与审计证据的关系。审计证据是审计人员在执行审计业务过程中,为形成审计意见所获取的证据。审计人员所获取的审计证据越多,对实质上错报的财务资料提供不适当意见的可能性就越小,审计风险也就越低。因而审计证据与审计风险之间也有着密切的关系。
评估审计风险与审计证据是正向关系,即评估审计风险越高,所需获取的审计证据就应越多,这样才可降低终极审计风险。可接受审计风险与审计证据则为反向关系,即可接受审计风险越低,所需获取的审计证据就越多。因为搜集的证据越多,越容易发现财务报表中的错误,因而越容易形成正确的审计意见,审计风险也就越小。终极审计风险与审计证据也为反向关系,即所获取的审计证据越多,终极审计风险就越小。
财会月刊(会计)2000·04·审计研究
经济责任审计防范风险对策
经济责任审计政策性强,时间紧、任务重,存在着一定的风险。我们在实践中摸索到一些有效方法,可防范审计风险。
一、重视和加强审前调查,制定切实可行的审计方案
经济责任审计前的调查必须对与责任人相关范围内所负责的财政财务收支情况重点审查。对于群众反映较多的情况应慎之又慎。以查账为基本手段的审计不易分清是领导责任还是管理责任,是直接责任还是间接责任,因而要全面展开审前调查,广罗信息、精于筛选。如不进行审前调查,往往会造成审计方案与实际情况脱节。特别在当前,企业及行政事业单位违纪问题较多,会计信息不真,个别领导干部弄虚作假,在审前调查的基础上拟定有针对性的尽可能完善的审计工作方案,便成为减少或回避审计风险的关键一步。
二、加强财政财务收支真实性的审计
李金华审计长最近指出,对被审计单位弄虚作假,作假账、报假表等问题,揭露不了,长期失察,这就是我们当前最大的风险。李审计长的指示及时给经济责任审计敲了警钟。对于经济责任审计,不同的部门和单位审计的重点不同,但家底的真实即领导者管理的资产负债和资金的状况的真实,是最基本的,也是最重要的。当前,随着经济责任审计工作的深入开展,更应紧抓“打假治乱”这个重点,因为打假治乱就是揭露假会计信息、假账,揭露并严厉查处造假行为,治理会计程序和经济秩序中的混乱现象。审计工作中,首先,从思想上高度重视,时刻注重发现大案要案线索;其次,从检查会计信息和会计帐目的真实性和完整性入手,在会计信息和会计帐目真实完整的基础上再分析财政财务收支活动的合规性效益性,从而审透审彻底,极大程度地减少审计风险,搞好与之相关的经济责任审计工作。
三、将“单位年度审计”与“经济责任审计”、“同级审计”与“上审下”有机结合起来
由于经济责任审计一般包括任期内、任期届满或离任时的审计,审计所涉及的年限一般较长,同时,对于法定代表人的审计又必须以检查被审计者任职时所负责范围内单位的财政财务收支真实性、合法性、效益性为基础,因而,将对单位的年度财政财务审计与对法定代表人经济责任审计有机结合起来,有利于审计机关审计资源的有效投入,提高审计工作质量、降低审计风险。
另外,由于审计管辖不同,应将“同级审核”与“上审下”有机结合起来。如企业正常审计的管辖范围以企业财政、财务隶属关系或国有资产监督管理关系确定,但因经济责任审计涉及到法定代表人,实践中存在法定代表人的人事管理关系与企业财政、财务隶属关系或者国有资产监督关系不一致的情况。审计过程中,应参考被审计者的直接管理机构或任免机构对其所做的考核和评价结果,通过上下核对,相互印证,才能充分反映问题的真实面貌,揭露那些深层次的问题,有效地防范审计风险。
四、充分利用经济责任审计应有的附加程序,防范审计风险
经济责任审计一般是由组织人事部门安排的,审计结果也是作为认定审计对象实绩和经济责任、并对之作出考核评价或处理的依据。在实施审计时,要充分利用经济责任审计应有的附加程序。比如,为全面充分地了解被审计者的意见,应有被审计者提出其任期内的述职报告。这个附加程序可帮助我们找出其单位内部控制薄弱环节,确定审计重点;除按法定程序向被审计单位征求意见外,还应有将审计报告向被审计者个人征求意见的附加程序,从而使审计结果更准确客观,达到防范审计风险的目的。
第二篇:审计风险
一、内部审计概述
随着经济一体化的进程,审计在维护秩序、提高经济效益方面发挥着越来越重要的作用。内部审计指部门或单位内部独立的审计机构和审计人员,依照律、法规、政策、程序和方法,对本部门、本单位的收支及其经济活动进行审核,查明其真实性、合法性和有效性,并提出建议和意见的一种经济监督活动。内部审计风险是指财务报告事实上存在重大错报、漏报,或者企业经营上存在的弊端,或内控制度存在重大漏洞缺陷,内部审计人员经过审计未能发现或失察,而提出不正确或不恰当的审计意见,审计对象及其相关方面遭受损失或损害,并由此引起审计主体承担责任的风险。为了有效地防范和避免审计风险,应对内部审计风险进行科学的分析和深入研究,从而保证内部审计事业健康发展。
二、内部审计风险的成因
(一)内部审计的主观风险
1、内部审计机构缺乏相对独立性。内部审计机构是单位内设机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性不如外部审计,不可避免地受本单位的利益限制。内部审计的组织形式也反映出其独立性的弱化,有的单位把审计机构设在财务部门中,有的把审计机构和监察部门合并在一起,有的单位由分管钱财物资及账目的人员兼任审计岗位,有的单位领导既领导财会工作,又领导审计工作。因此,企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公允的评价。
2、内部审计人员的综合素质不能适应目前的工作需要。审计人员的素质包括思想素质、职业素质、业务技能素质、工作态度及素质,内部审计人员素质不像专业的审计人员那么高,很难客观地做出公正和无偏见的判断;另外,内部审计人员配备普遍不足,有的人员缺乏专业培训,人数也难以满足审计业务的需要。同时,相当一部分审计人员改革创新意识比较弱,审计理念还停留在传统审计上,大局意识和风险意识不强。
3、内部审计程序和方法本身隐含的审计风险。许多企业内部不完善,如审计机构缺少事前的审计计划,事中的审计程序和报告前的审计复核,审计工作底稿不完整,一般只记录审计问题事项,而未记录审计人员认为正确的审计事项,使得审计复核、控制无从入手,这都使内部审计质量得不到保证,风险防范意识薄弱。
(二)内部的客观风险
1、内部审计制度不健全。内部审计目前只有20世纪八十年代审计署颁布的《关于内部审计工作的规定》(1989年制定,2003年修订),法律级次明显偏低,可操作性差,存在着滞后现象。这样,内审人员在进行审计时,只有依据经验和知识进行分析判断,在某种程度上严重影响了审计结论的权威性和正确性,因而大大增加了。
2、审计对象的复杂及审计范围的扩展,加大了内审风险。现代组织由于经营规模的扩大,经营业务的日趋复杂,使得内审对象的范围逐步扩展,为内部审计带来了更多的困难。这里差错和虚假的资料掺杂其中,失察的可能性也随之增大;内部审计业务也已不再局限于收支审计,还包括责任审计、内审业务的拓展、使审计人员承担更多责任和风险。
3、企业的外部导致的审计风险。近年来,随着经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。经营风险的存在往往引发更大的审计风险,对内部审计人员提出了更加严峻的挑战,加剧审计风险的产生。
第三篇:审计部门风险
审计部门风险报告
有审计就有风险。审计风险按照审计的阶段,可分为:
1、审计计划风险;
2、审计执行风险;
3、审计报告风险。
一、审计计划风险
(一)审计计划风险内容
企业内部审计计划的基本内容包括:(1)被审计单位的基本情况;(2)审计目的、审计范围及审计策略。(3)重点审计领域。(4)审计工作进度。(5)审计小组组成及人员分工。
相应的,审计计划的风险要素包含以下内容:(1)、对被审计单位的基本情况是否全面、真实了解;(2)、对审计目的、审计范围及审计策略的确定是否恰当;(3)、对重点审计领域的确定是否恰当。(4)、审计工作进度与实际工作量是否相符(5)、审计小组成员的选派和分工是否恰当。
(二)、审计计划风险的防范措施分析
审计部门所要根据自己承办的项目的要求和任务,以及被审计单位的行业特点和情况复杂与否,确定选派专业性强、能胜任的审计人员组成审计组。制定好审计项目、内容、目标、方法和任务等工作计划。
二、审计执行风险
(一)、审计执行环节的风险
审计执行是指审计人员围绕审计目标收集审计证据的过程。审计证据是形成和支持审计意见的基础。受客观环境影响,在审计执行过程中被审计单位一般存在提供不真实的资料的情况,因此审计人员得到错误、失真的审计证据必然得出错误的审计结论,不全面、不充足的审计证据必然会得出片面、不可靠的审计结论。同时,由于企业内部审计机构是单位内设机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性不如外部审计,审计过程中,不可避免地受本单位的利益限制。独立性是审计工作的
灵魂。不能有效保证审计部门和人员在组织上的独立性及其在业务工作中的自主性和权威性,就不能保证审计质量和规避审计风险。
(二)、审计风险的防范措施分析
审计过程中执行阶段的审计风险防范有三个重要环节:首先是审计取证,审计人员取得的证据必须充分、有力、合规、合法、客观真实,具有可证性,收集的证据一定要经过审计人员、被审计单位的主管和有关人员共同签章才可生效。其次,应规范审计工作底稿,因为,审计工作底稿是审计人员在审计活动中制作的“原始凭证”。最后,审计人员应严格自律,自觉遵守执业标准和职业道德规范。
三、审计报告风险
(一)、审计报告环节的风险
审计报告是审计的成果,也是追究审计责任和承担审计风险的具体依据。按照审计抽样、取证所形成的工作底稿做出的,好像审计风险应存在于审计报告以前各计程序和正常逻辑思维审计报告是依据审计约定书规定的内容和要求,依据审计环节。当审计人员的审计意见与被审计单位的事实不符,从而使审计报告的使用者的决策行为受到影响,就产生了审计报告的风险;此外,审计报告对有关关联问题、或有事项等的表述以及对被审计单位财务状况的表述是否准确、得当,也有可能产生风险;因此,审计报告本身不但存在风险,而且是防范风险的重要环节。
(二)、审计报告风险防范
审计报告是审计过程的最后一阶段。提交报告前,应对审计工作中有关的重点问题、重要程序和对审计报告有直接影响的部分内容进行认真复核,确保准确无误。起草审计报告时,对审计报告中的审计结果及依据和审计评价及建议,要做到事实清楚、客观公正。审计依据要准确,文字简练。同时要做好相关支持性材料的整理归档。
第四篇:规避审计风险
改制上市公司的三年业绩审计是一个风险较高的的审计领域,如何最大限度的降低审计风险,是注册会计师和会计师事务所都在认真思索的问题。充分重视并积极介入改制上市公司的资产重组,则是减少了审计风险的有效途径之一。
注册会计师介入资产重组的必要性
就改制上市公司审计而言,主要的风险不在其资产不实,而在于业绩不实。这是因为公司改制上市时,除注册会计师对其作至少三年的业绩审计外,其资产还须经资产评估机构进行全面评估,在这种情况下,公司存在比较重大的不实资产不被发现的可能性是相对较小的。与此相反,鉴于目前急需改制上市企业的普遍状况和公司上市必须达到的条件,改制上市公司普遍面临着提高业绩的巨大压力,因其业绩不实导致的审计风险也远较其它企业为大。
公司改制上市的过程,通常也是其资产重组的过程。因为公司要成功上市,其业绩必须满足—定的条件,这些条件相对来讲是不变的,而改制上市公司的业绩则往往是可调节的,调节的途径就是资产重组。这是因为业绩良好的公司内部可能存在部分不良资产,而业绩一般甚至亏损的公司中,也可能存在部分优良资产,在—些大型公司或公司集团中这种情况比较普通。因此,通过资产的优化组合,结合经营管理观念的转变,无疑将会增强改制上市公司的盈利能力和发展潜力。从近年来国内公司改制上市的成功经验看,资产重组是业绩—般的公司改制上市的必由之路。
在整个资产重组方案的设计过程中,注册会计师通常并不扮演主要角色,但注册会计师以其所具有的会计、审计、资产评估等领域的专业知识,所能发挥的作用则是其他人所不能代替的。因此,通过积极参与改制上市公司资产重组方案的设计,实现资产的最优组合,使改制上市公司真正具备较强的赢利能力和发展潜力,是规避因业绩不实所导致的改制上市公司审计险的有效途径,特别是在目前执业环境下,这项工作的重要性更是怎样强调都不过分。
在实际工作中、部分注册会计师对资产重组的重要性和自己在其中应该发挥的作用认识不够,只是被动地参与改制上市公司的资产重组方案的制定,其结果往往将事务所和自己置于十分不利的境地。因为公司上市是一项涉及多方面利益、时间紧、工作量大的一项系统工程,注册会计师和事务所往往承受着来自各个方面的重大压力,如果不能通过资产的优化组合来控制审计风险,最后就可能不得不在某种压力下违心地发表审计意见,使自己陷于风险的漩涡。
注册会计师介入资产重组的途径
改制公司资产重组方案的设计是各中介机构、改制公司(有时还包括企业主管部门)共同合作的产物。注册会计师应在有关方面的配合下,做好以下工作:
1、深入了解情况。注册会计师了解的情况越多,越具体,其在重组方案设计中发言的份量就越重。而了解和评价公司的资产质量和经营业绩又恰好是注册会计师的强项。在资产重组方案设计过程中注册会计师应着重了解的情况包括:(1)改制公司的组织结构,包括分公司、子公司、联营企业等;(2)公司及各个组成部份的经营情况、财务状况及主要资产的质量;(3)公司的整体技术水平;(4)产品销售市场和主要原材料供应情况;(5)职工构成情况:(6)公司享受的优惠政策;(7)公司的发展规划和生产经营计划;(8)公司
所在行业的现状。通过对公司内部情况和外部环境的了解:就可能为资产重组方案的设计提供较大的调整空间。
2、参与资产重组方案的设计。注册会计师应运用掌握的第—手资料,结合其专业经验,形成自己对重组方案的意见。资产重组方案设计的基本思路是在满足公司上市条件的前提下,兼顾公司改制上市的当前需要和长远发展需要,结合公司上市的目标定位,尽可能把具有较好效益的优良资产组合进拟上市公司。对那些质地优良,但暂时不能产生效益的资产,则可暂时不作为组合对象(可考虑作为以后配股资源)。而对于那些亏损部门和劣质资产,则完全不应进入拟上市公司。
3、验证和评价资产重组方案。资产重组方案确定以后,审计人员必须对其进行全面验证,充分评价其可行性。
首先,应根据资产重组方案,对改制上市公司作初步业绩模拟,业绩模韵应注重真实性和合理性,即在符合国家有关财务、会计、税收等法规情况下,尽量使模拟结果如实地反映资产重组后公司的实际盈利能力。在此前提下,凡是公司上市后确实不会再发生的收入和费用原则上都应予以剥离。此外,注册会计师还应保持应有的谨慎,因为模拟的业绩和实际业绩之间往往存在—定的差距,例如,分离人员减少的工资费用就可能因人均工资费用的增加而部分被抵销。改制上市公司的资产重组通常涉及公司资产、人员和业务的重组,故业绩模拟也就表现为对与这些分离出去的资产、人员和业务相关的收入、费用和成本的剥离,审计人员应合理确定有关收入、费用的剥离标准,据以初步计算改制上市公司的三年模拟业绩。
其次,应对模拟的三年业绩进行比较,分析其发展趋势,并以此为基础,结合公司内外各种因素的影响,测算未来一定期间内改制上市公司的经营业绩。测算时通常应考虑的影响因素有:(1)正在实施或准备实施的重大投资项目;(2)产品结构和市场变动的影响;(3)国家宏观经济政策变动的影响;(4)其它影响因素,如公司享受的优惠政策的变动等。
最后,应根据测算出的改制公司未来一定期间的经营业绩,结合公司上市的必要条件和公司确定的上市目标,对资产重组方案的可行性作出评价。当测算结果高于上市必要条件但低于公司上市目标时,可考虑降低公司上市目标或调整资产重组方案,如测算结果低于上市必要条件,则必须对资产重组方案进行调整。
需要指出的是,注册会计师对改制上市公司资产重组的关注并不仅限于资产重组方案设计阶段。如果经审计确认的经营业绩与原测算结果不—致时,同样应考虑对资产重组方案重新进行调整。
第五篇:风险管理审计办法
***********公司
风险管理审计办法
编 号:TS-KP-XS-**
版 本: 2013 编 制:审计部 批 准:董事会
2013年**月**日
****************公司内部控制体系
风险管理审计办法
目录:共九章
第一章 总则
第二章 风险管理审计的目标
第三章 风险管理审计的思路
第四章 风险管理审计的主要分类
第五章 风险管理审计须遵循的原则 第六章 风险管理审计的程序
第七章 制定风险管理审计方案的主要内容
第八章 风险管理审计取证的评价标准
第九章 审计报告
第一节 整理审计发现的要求
第二节 风险管理审计报告的内容
第十章 附则
第一章 总 则
第一条 为了规范内部审计人员对公司全面风险管理的审查与评价行为,根据中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。
第二条 本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计(或风险审计)是指公司内部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。
第三条 本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。
第四条 本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第四条 本办法适用******有限公司(以下简称“公司”)及所属各分公司、全资子公司的内部审计工作,控股子公司的内部审计部门参照执行。
第二章 风险管理审计的目标
第五条 风险管理审计的总体目标是依据公司战略目标和风险管理政策,评价公司是如何通过实施风险管理从而实现企业各类管理目标的,进而评价公司风
险管理的效率和效力,提出改进措施,以保障公司全面风险管理目标的实现,最终支持和保障公司总体战略目标的实现。
第六条 风险管理审计总目标的具体化就是风险管理审计具体目标。风险管理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层次。
第七条 一般风险管理审计目标是对事项的关键风险管理的效率和效力评价,或者说特别关注被审事项的关键风险管理框架设计的合理性和运行的有效性。其审计内容一般包括:一是评价那些可能影响被审事项目标实现的关键性风险的管理缺口(关键风险被识别程度);二是评价为保障被审事项目标实现而开展的风险管理活动的效率和效力(或者说是评价被审事项的风险管理框架设计的合理性和运行过程的有效性)
第八条 专项风险管理审计目标是按照每一个审计专项具体任务和具体内容而定的,以下列举一些常见的专项风险管理审计目标:
(一)有关风险管理要素的审计目标,例如包括:
1、风险范围确定的合理性:包括战略范围、组织与环境范围、业务范围;
2、风险评价标准与指标体系的科学性:例如评价基础、评价方法、评价内容、指标计算;
3、风险评估方法的合理性与科学性:主要审核如下方面:按照审计确定的风险范围,核实风险识别是否全面,风险各级分类的合理性,可控风险与不可控风险确定的科学性,风险分析方法选用的科学性,风险评估结果的可信性;
4、风险治理策略和措施的合理性;
5、风险理财组合方案的合理性。
(二)风险管理活动的充足性。
(三)风险管理制度的适当性。
(四)危机管理计划的合理性与可操作性。
(五)风险管理目标与企业管理目标的协调一致性。
(六)新项目和新市场的可进入性评价。
(七)对损失事件的原因调查性评价(真实性评价)。
(八)风险相关记录和风险信息的完整性/真实性评价。
(九)内部控制体系的有效性,内部控制措施的恰当性。
(十)其他。
第三章 风险管理审计的思路
第九条 依照ISO-31000框架,核验公司风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的,且正常运行。这些环节包括:沟通与协商,识别与分析风险,风险评估,评价和选择策略,实施风险治理,监控,持续改进。
第十条 依照COSO-ERM框架,一方面,核验战略、经营、报告和合规四大目标确实存在,并且针对这些目标的管理都是有效的,如核验董事会和经营管理层:了解组织实现其战略目标的程度,了解组织实现其经营目标的程度,能保障组织的报告是可靠的,能保障组织遵循适用的法律和法规。另一方面,核验八大要素的存在,以及核验其正常运行情况。
第十一条 对照特别制定的风险管理框架和要求来衡量企业风险管理的有效性。如内控测试状态良好,机制对风险反应迅速,公司对风险的预测能力正在逐渐提高,事故发生率降低和损失明显减少,社会责任形象提升等。
第四章 风险管理审计的主要分类
第十二条 一般风险管理审计
这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力,可细分类为:
(一)针对公司各管理层级的风险管理审计:企业整体、分公司、业务或子公司。
(二)针对公司职能领域或特定关键风险的风险管理审计:战略审计、财务审计、信息系统审计、质量审计、安全审计、环境审计和内控审计等。
(三)针对项目的风险管理审计
(四)针对各类活动的风险管理审计
(五)针对产品或服务的风险管理审计
(六)针对过程或操作的风险管理审计
(七)针对资产的风险管理审计 第十三条 风险管理要素审计
风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计
第五章 风险管理审计须遵循的原则
第十四条 审计人员风险管理专业水准原则:审计人员应熟悉ISO-31000 “风险管理原则和实施指引”和了解ISO-31010“风险管理-风险评估技术”;
第十五条 审计人员职业道德和具备审计专业基本水准原则;
第十六条 目标导向原则:清晰地理解被审事项的目标,识别影响目标实现的风险要素,提出将这些风险要素管理至公司可接受水平之内的改进建议;
第十七条 关键性(重要性)原则:在设计审计方案和实施审计时,应关注关键目标、关键业务、关键流程和关键风险点,识别影响关键业绩实现的关键要素,进而就关键风险点的管理缺口提出改进建议;
第十八条 审计规划/计划原则:充分了解风险管理审计的审计目标和审计任务,做足审计准备,设计周密、充足和合理的审计取证方案,制定合理与可操作的风险管理审计计划和方案;
第十九条 充分了解就被审事项所设定的风险管理期望和价值原则:了解被审事项(整体或局部)的风险管理政策或管理原则,这是对公司整体、局部、业务、项目、资产、过程或活动等事项实施风险管理审计的判别依据之一;
第二十条 风险管理审计过程组织原则:执行风险管理审计计划,调整计划,及时完成计划;
第二十一条 沟通和协商原则:各审计相关方在审计过程中应保持持续和畅通的磋商和沟通;
第二十二条 确保审计质量原则:应确保审计计划制定的质量,确保审计过程实施的质量,确保审计报告的输出质量;
第二十三条 风险管理审计报告应体现重要性、客观性、完整性、及时性和可靠性原则。
第六章 风险管理审计的程序
第二十四条 风险管理审计程序如下所示:
1、风险评估与确定审计域程序(通过风险评估识别关键风险分布从而确定审计域)
2、制定风险管理审计计划程序
3、按计划实施调查和测试(主要包括内部控制测试程序和实质性测试程序)
4、审计证据评价程序、审计报告程序(包括整理审计发现、审计报告和风险管理建议)。
5、风险管理审计的后续审计
第七章 制定风险管理审计方案的主要内容
第二十五条 风险管理审计方案就审计的组织方式、时间进度、资源分配、6 审计证据取证安排、审计质量保证措施等给出更为清晰和可操作的指引。一般来讲,一个整体和较全面的企业风险管理审计计划方案应当包括:
(一)审计目标;
(二)审计域;
(三)审计要点;
(四)审计准则以及其他参照指标;
(五)审计程序及其包含内容;
(六)审计调查与测试取证安排;
(七)审计负责人及其责任;
(八)确定审计所需信息和资料;
(九)主要审计方法和技术的选用(包括控制测试和实质性测试方法);
(十)审计时间进度和审计顺序(例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等);
(十一)审计资源需求;
(十二)审计组织与审计质量保障证措施;
(十三)审计团队的组成;
(十四)对被审目标的配合要求;
(十五)审计报告要点框架等。
第八章 风险管理审计取证的评价标准
第二十六条 审计人员对风险管理的评价可以用量化数字表示:1、2、3、4、5,或用字母表示如A、B、C、D、E,表示由低到高(或由轻到重)的程度。
第二十七条 风险的严重性(或影响)的评价具体尺度(除了表达为财务指标之外,也可以用声誉、资本、法律等方式来表述风险的影响)
1、不严重:既无战略影响,又无财务影响。
2、轻度严重:相对较小的战略和/或财务影响(一星期的利润)。
3、中度严重:显著地影响战略和/或财务目标的实现(一月的利润)。
4、严重:难以实现战略目标(可能需要战略上的一次改变),和/或重大的财务影响(一季的利润)。
5、高度严重:战略目标无法实现,导致严重的财务后果(一年的利润)并威胁公司的生存能力。
第二十八条 风险可能性(概率)评价的具体尺度
1、不发生:在特定的时期内不会发生(<5%)。
2、不太可能:在特定的时期内不太可能发生(<25%)。
3、可能:在特定的时期内或许会发生(<50%)。
4、很可能:在特定的时期内发生比不发生的可能性大(>50%)。
5、肯定:在特定的时期内已经发生或几乎肯定会发生(>90%)。第二十九条 风险的层次评价(扩展的尺度)
1、极小的威胁:几乎不可能严重地威胁组织。
2、轻度威胁:不太可能严重地威胁组织。
3、中度威胁:偶尔可能成为组织的严重威胁。
4、严重威胁:很可能成为组织的严重威胁。
5、灾难性的威胁肯定是组织的严重威胁。第三十条 风险承受限度的评价
1、避免:在任何情况下都不会允许此风险发生。
2、降低:必须拥有持续地管理此风险的政策、流程和程序,并把它的影响降到最低限度。
3、管理:必须能够预测此风险的发生,并采取前瞻性的行动以降低其影响。
4、检查:将允许此风险发生,但是必须能在其影响过大之前及时检查并报告此风险。
5、接受:风险的发生是可接受的。
第三十一条 风险管理/风险控制可扩展度(可管理性或可控性)评价
1、无风险管理:组织任由风险发生,并接受其后果。
2、低层次的风险管理:风险通常都可以检测到,但是组织更依赖于应急或恢复计划。
3、中等的风险管理:在有效的监督下,能识别风险的发生,并拥有充足的时间减小风险的影响/提高获利的机会。
4、扩展的风险管理:持续的监督和前瞻性的管理活动确保把风险的影响降到最低/增强获利的可能性。
5、持续的风险管理:一个全面的风险管理计划有助于确保风险得到了预防,或者所有可度量的影响/机会都得到了优化。
第三十二条 风险管理成熟度评价(采用风险管理成熟度模型评价)—A级:特定风险管理 —B级:初步风险管理 —C级:可重复性风险管理 —D 级:主动性风险管理 —E 级:前瞻性风险管理。
第三十三条 被审事项现有风险管理水平或效力评价,例如:
1、该事项的风险管理框架不适(其中包括风险管理政策不适),不能满足该事项目标实现的要求。
2、该事项有明确与合理的风险管理框架(其中包括合理的风险管理政策),然而风险管理政策的实施不力和无效。
3、该事项有较明确与合理的风险管理框架(其中包括合理的风险管理政策),且该事项的风险管理政策能基本落实。
4、该事项有较明确与合理的风险管理框架(其中包括合理的风险管理政策),且该事项的风险管理政策能较好落实,内部控制有效,风险管理过程运行有效。
第三十四条 其他风险管理相关指标评价 例如:
(一)公司风险管理过程合理性和有效性评价
(二)公司风险文化评价
(三)公司战略风险管理水平评价(包括风险偏好)
(四)公司风险溯源和风险揭示评价
(五)风险管理的关键绩效指标评价
(六)公司危机管理能力评价
(七)公司可持续性评价
第九章 审计报告
第一节 整理审计发现的要求
第三十五条 审计发现应该以具体而简洁的语言进行表述;多余或不必要的信息不应包括在内。
第三十六条 理解某一发现所必需的信息应该一一列举,比如说相关的测试结果(如失误、例外情况等等),或者该发现所识别出的缺陷(差距)实例。
第三十七条 应该一眼就能辨别出与某一发现相关的风险。如果不是这样的话,审计人员应该对该发现所反映的风险进行具体描述
第二节 风险管理审计报告的内容
第三十八条 立项依据。
第三十九条 背景介绍。在审计报告中,应当对有助于理解审计项目立项以及审计评价的以下情况进行简要描述:
(一)选择审计项目的目的和理由;
(二)被审计单位的规模、业务性质与特点、组织机构、管理方式、员工数量、主要管理人员等;
(三)上次同类审计的评价情况;
(四)与审计项目相关的环境情况;
(五)与被审计事项有关的技术性文件;
(六)其它情况。
第四十条 审计目标与范围。审计报告中应当明确地陈述本次审计的目标,并应与审计计划中提出的目标相一致;还应当指出本次审计的活动内容和所包含的期间。如果存在未进行审计的领域,应当在报告中指出,特别是某些受到限制无法进行检查的项目,应说明受限制无法审查的原因。
第四十一条 审计重点。审计报告应当对本次审计项目的重点、难点进行详细说明,并指出针对这些方面采取了何种措施及其所产生的效果,也可以对审计中所发现的重点问题做出简短的叙述及评论。
第四十二条 审计标准。与完成审计任务相适应的国家、部门或行业颁布的必须执行的标准或法则,以及企业自身制定的章程、管理流程制度或规则等。
第四十三条 审计依据。应声明审计是按照审计准则的规定实施,若存在未遵循该准则的情形,应对其做出解释和说明。
第四十四条 审计发现与风险之间的联系,风险与风险之间的联系及相互作用的可能结果。
第四十五条 审计结论。根据已查明的事实(例如已查明关键业绩影响要素,已获取得力的审计证据),评估企业整体(或被审事项)风险管理体系的运行效果,评估每一个风险应对策略的科学性、合理性和落实效果,评估关键风险现存的风险暴露水平,比较这种风险暴露水平与期望值之间的差距,提出缩小差距的建议行动步骤和实施方案。
第四十六条 审计建议。审计人员应该依据审计发现和审计证据,结合组织的实际情况和审计结论的性质,提出审计建议。审计建议可分为以下几种类型:
(一)现有系统运行良好,无需改变;
(二)现有系统需要全部或局部改变,包括改进的方案设计,方案实施的要求,方案实施效果的预计,未实施此方案的后果分析。
第十章 附则
第四十七条.本办法未尽事宜按国家法律、法规、规范性文件和本公司章程规定执行。
第四十八条 本办法与国家法律、法规、规范性文件和本公司章程规定不一致的,以有关国家法律、法规、规范性文件和本公司章程规定为准。
第四十九条 本办法由公司审计部拟定,自公司总经理办公会批准颁布之日起施行。
点击咨询 