國際內審師(CIA)紅皮書-實務公告(15)

　　實務公告2120-1 評估風險管理過程的適當性

　　主要相關標準：

　　2120-風險管理

　　內部審計活動必須評估風險管理過程的有效性，并對其改善做出貢獻。

　　釋義

　　確定風險管理過程是否有效，是內部審計師對下列事項進行評估后的判斷：

　　組織目標支持組織的使命，并與其保持一致；

　　●重大風險得到識別和評估；

　　●選定適當的風險應對方案，并符合組織的風險偏好；

　　●獲取相關的風險信息并在組織內部及時溝通，以便員工、管理層和董事會履行其相關職責。

　　風險管理過程通過持續(xù)性管理活動、個別評估或者兩者結合的方式受到監(jiān)督。

　　1、風險管理是高級管理層和董事會的重要職責。要實現組織的業(yè)務目標，管理層應當保證擁有健全且運轉良好的風險管理過程，董事會則會在這些過程的適當性和有效性方面起到監(jiān)督作用。董事會可能指示內部審計部門通過檢查、評估、報告和/或提出改進管理層的風險過程的適當性和有效性的建議，來協(xié)助其完成監(jiān)督職能。

　　2、管理層和董事會負責組織的風險管理和控制過程。但起咨詢性作用的內部審計師也可以通過識別、評價并運用風險管理的方法和控制措施，幫助組織解決這些風險問題。

　　3、如果組織沒有正式的風險管理過程，首席審計執(zhí)行官要向管理層和董事會正式說明他們理解、管理和監(jiān)督組織內部風險的職責，說明他們需要確認組織內確實運行著各種—即使是非正式的—過程，可以對主要風險提供一定程度的顯性控制，以及對這些過程是如何管理和監(jiān)督的。

　　4、首席審計執(zhí)行官應該理解高級管理層和董事會期望內部審計在組織的風險管理過程中所要發(fā)揮的作用且這種理解應該體現在內部審計部門和董事會章程中。在組織的風險管理過程中，內部審計的職責定位要在所有相關部門和個人之間進行協(xié)調。內部審計部門在組織風險管理過程中的作用并非一成不變，可以包括：

　　●不發(fā)揮作用；

　　●將風險管理過程的審計作為內部審計計劃的一部分；

　　●積極、持續(xù)地支持并參與風險管理過程，如：參加監(jiān)督委員會、參與監(jiān)管活動并報告情況；

　　●管理和協(xié)調風險管理過程。

　　5、從根本上說，高級管理層和董事會負責確定內部審計在風險管理中的作用。他們對內部審計作用的認識可能受到組織文化、內部審計人員能力以及所在國法律環(huán)境等因素的影響。然而，關于在風險管理過程中承擔管理性職責及其對內部審計部門獨立性的潛在威脅，需要經過充分的討論及董事會的審批。

　　6、不同的組織實施風險管理的方法有很大區(qū)別。根據業(yè)務活動的估規(guī)模和復雜性，風險管理過程可能是：正式或非正式的；定量的或定性的；分散在各個業(yè)務部門或集中在公司層面。

　　7、組織所建立的風險管理過程是以該組織的文化、管理風格和業(yè)務目標位依據的。例如，組織如果利用金融衍生工具或其他復雜的資本市場的產品，就必須用定量的風險管理工具。而規(guī)模小、不太復雜的組織可以通過非正式的風險委員會，討論組織的風險事宜，并定期開展評估活動。審計師應該確定所選擇的方法對于組織的工作性質來說是全面的、適當的。

　　8、內部審計師需要獲取足夠和適當的證據，確認風險管理過程的主要目標時否得到實現，以此形成關于風險管理過程是否適當的意見。在收集此類證據的過程中，內部審計師應該考慮以下審計程序：

　　●研究、檢查與組織開展的業(yè)務有關的當前情況、發(fā)展趨勢、行業(yè)信息以及其他恰當的信息資源，確定是否存在可能影響組織的風險，以及用以解決、監(jiān)督與再評估這些風險的相關控制程序。

　　●檢查公司正常和董事會會議記錄，以確定組織的經營戰(zhàn)略、風險管理理念和方法、風險偏好以及風險接受水平。

　　●檢查管理層、內部審計師、外部審計師以及其他有關方面以前公布的風險評估報告。

　　●與行政經理和業(yè)務部門經理交談，確定業(yè)務部門的目標、相關的風險以及管理層開展的降低風險的活動和控制監(jiān)督活動。

　　●收集信息，以獨立評估風險緩釋、監(jiān)督、風險報告和相關控制活動的有效性。

　　●評估針對風險監(jiān)督活動所建立的報告關系的恰當性。

　　●評估風險管理結果報告的適當性和及時性。

　　●評估管理層的風險分析是否全面、評估為糾正風險管理過程中發(fā)現的問題而采取的措施和提出的改進建議的完整性。

　　●確定管理層的自我評估過程的有效性，這可以通過實地觀察、直接測試控制和監(jiān)督程序、測試監(jiān)督活動所用信息的準確性以及其他恰當的技術方式來進行。

　　●評估與風險相關、可能說明風險管理實務中存在薄弱環(huán)節(jié)的問題，在適當情況下，與高級管理層和董事會就此進行討論。如果內部審計師認為管理層接受的風險水平與組織的風險管理戰(zhàn)略和政策不一致，或認為該水平不能被組織接受，那幺內部審計師應該參考“《標準》2600 條—高級管理層接受風險的決定”，另外還可參考相關標準尋求其他意見。

　　相關鏈接：國際內審師(CIA)紅皮書2009年1月修訂版匯總