风险管理审计要点及流程.docx

风险管理审计要点及流程

01

什么是企业风险管理审计？

指企业的内部审计机构采用规范化系统化的方法，对企业的风险管理过程的适当性和有效性，进行审查和评价的活动，内部审计中关注的风险管理，包括风险识别与分析，风险评估与溯源以及对企业风险采取的应对措施等各个方面，因此内部审计机构与人员在开展风险管理审计时，必须了解风险管理的最佳实务与通过测试和评价获取的具体情况进行对比分析，找到差距及其产生的原因，为企业加强风险管理提出改进的建议。

02

风险管理审计的特点

1.审计对象是风险管理

风险管理审计要求内部审计人员对企业风险管理体系的设计及其运行的有效性，进行评价，另外作为企业风险管理体系的一个环节，内部审计人员应当监督评价企业风险管理体系的有效性及机构的治理经营及信息系统方面的风险因素。

2.高层次

2013版内部控制整合框架中包含了战略目标，要求企业在建立风险管理体系时，要将企业的战略和风险管理融合在一起，保持一致，因此风险管理审计需要对企业的战略进行充分的了解，从战略的高度，从战略的高度对企业风险管理进行评价，

3.重要性

从企业长远发展角度和战略高度出发，开展风险管理审计工作。具有较高的前瞻性，将对企业长期生存和发展产生巨大的影响。

03

风险管理审计要点

风险管理审计要求内部审计人员对企业的风险管理流程进行总体评价。美国COSO委员会发布的《企业风险企业的风险管理---整合框架》，包括三个维度：

第一维度是企业的目标，即战略目标、经营目标、报告目标和合规目标;

第二维度是全面风险管理的八个要素，即内部环境、风险应对、控制活动、信息与沟通、监控、目标设定、事件识别、风险评估；含各个职能部门、各条业务线及下属于包括整个企业；

第三维度是企业的各个层级，包括各公司。全面风险管理的8个要素是为企业的4个目标服务的，企业各个层级同样也是要坚持这4个目标，同时从以上的8个方面开展风险管理活动。企业内部审计人员以Coso风险管理框架为基础，重点围绕风险因素进行审计，风险管理审计的要点如下:

1风险管理政策的审核

企业内部审计人员应当审核:企业是否制定正式的风险管理政策;风险管理政策是否包含了COSO全面风险管理的8个要素;风险管理政策内是否包含对风险管理的实施流程:风险管理政策是否适合企业的经营方式与企业文化;风险管理政策是否明确了管理层、合作伙伴、审计人员以及其他所有人员的职责;风险管理政策是否能确保风险渗透整个企业，是否包含了将基本的风险循环嵌入经营流程的方法;风险管理政策中是否将风险与企业经营相结合，使其能够高效地应对风险，促进企业的发展。

2风险目标设定的审核

风险目标设定是指企业的管理层必须以目标为基础来识别成功的潜在因素。风险管理应确保企业管理层有一个特定的程序，用来设定目标、选择支持和连接企业使命的目标，并保证和企业风险偏好相一致。目标设定的审核主要是从目标制定和实施方面进行评价。企业内部审计人员应当审核:企业战略是否考虑了董事会已识别的风险;在定义、识别风险以及决策实施过程中，企业的战略是否与风险管理政策一致;?企业战略是否将风险战略考虑在内，对未能实现既定战略目标的风险进行整体应对;企业战略是否考虑了利益相关者对尽早回报的期望与经营增长和市场地位的可持续性之间的内在冲突未得到解决的风险;企业是否确定了适当的程序，保证目标能够分解到实施层，并使其能对相应的风险负责;战略制定是否充分了解利益相关者的责任，是否在合规与绩效之间取得平衡;企业是否建立了战略与员工间的沟通系统，并与战略设计和实施中的关键风险相结合;企业目标是否包含与Coso企业风险管理框架中的4项目标相对应的各个层级的目标。

3风险识别和评估的审核

风险识别是识别对企业目标实现产生影响的潜在风险，其目的是建立并强化贯穿企业的风险语言，形成以组合的观点来考虑各种事项。风险识别包括内部和外部反映潜在因素影响战略执行和目标业绩的要素。风险评估是指对识别出来的进行评估，其目的是为了管理风险打下坚实的基础。企业内部审计人员应当审核:企业是否建立了有效识别风险的机制；是否充分识别了企业内外部的各种风险；识别的风险是否覆盖所有重要经营活动业务流程；风险识别是否考虑了企业的业务性质、组织结构、机构变动及员工流因素；风险识别和评估是否将宏观经济变动、行业发展趋势等纳人考虑之中，明确地定义阐述辨识出的风险及特征；是否对风险发生的条件和发生可能性的进行分析和描述；企业是否评估风险对企业实现目标的影响程度、风险价值等是否对识别的风险进行分析和排序，确定应予以重点关注和优先控制的风险。当所处环境和条件发生变化时，是否及时对企业风险进行再识别和再评估。已发风险是否包含在已识别的风险范围内，是否定期或者不定期地识别和评估风险。

4风险管理措施、方法的适当性审核

企业风险管理的措施主要有