风险管理审计办法
审计风险管理制度
审计风险管理制度一、审计风险管理制度的概念审计风险管理制度是指企业为了有效管理和控制审计风险而建立的一套制度体系。
它是依据审计风险管理的基本原理,从内部控制、风险识别、风险评估、风险应对和监督与反馈等环节,全面系统地规定了企业在审计风险管理中应当遵循的业务流程、操作规范和管理要求。
通过审计风险管理制度,企业能够及时发现、识别和应对审计风险,保障企业经营活动的合法性、规范性和合规性。
审计风险管理制度的基本内容包括:1、内部控制制度内部控制是审计风险管理的基础,是企业保障财务报告准确性和合规性的重要手段。
建立健全的内部控制制度,能够有效地预防和识别审计风险,提高财务报告的可靠性和透明度。
2、风险识别和评估制度企业应当建立风险识别和评估机制,及时发现和评估可能存在的审计风险,确保对审计风险的全面了解和准确评估。
3、风险应对制度企业应当建立应对审计风险的应对机制,明确各种审计风险的应对措施和具体责任人,及时有效地应对各种审计风险。
4、监督与反馈制度在审计风险管理中,企业需要建立监督和反馈机制,对审计风险管理的效果进行监督和检查,并及时反馈和整改存在的问题,不断完善审计风险管理制度。
审计风险管理制度的建立和完善,有助于企业有效地管理和控制审计风险,保障企业经营活动的合法性和安全性,将审计风险降到最低程度,确保企业的持续稳健发展。
二、审计风险管理制度的意义审计风险管理制度对企业的意义是多方面的,主要包括以下几个方面:1、帮助企业识别和应对审计风险审计风险是企业经营管理中的一个重要组成部分,它可能会对企业的财务报告和经营活动产生不利影响。
建立完善的审计风险管理制度,有助于企业及时发现、识别和应对审计风险,避免或降低审计风险对企业的不利影响。
2、提高企业的经营管理水平审计风险管理制度对企业的经营管理水平有着重要的促进作用。
通过建立完善的审计风险管理制度,企业能够规范经营管理行为,提高管理效率,优化资源配置,提高企业的经营管理水平。
内部审计具体准则第16号风险管理审计
内部审计具体准则第16号风险管理审计咱今天来聊聊内部审计具体准则第 16 号——风险管理审计。
这可不像听起来那么枯燥,实际上它就像我们生活中的小管家,时刻帮着企业瞅瞅,哪里可能有风险,哪里得提前做好准备。
我先给您说个事儿,之前我去一家公司调研,发现他们正在上马一个新项目。
这项目听起来那叫一个前景光明,利润丰厚。
但我多留了个心眼儿,按照风险管理审计的思路去分析。
结果发现,他们在市场调研这一块做得太糙啦!只是听了几个所谓专家的意见,就拍板决定大干一场。
这可不行!风险管理审计强调的是全面、细致。
就拿这个项目来说,得考虑市场的变化,竞争对手的反应,还有政策法规的影响。
比如说,市场突然不景气了,产品卖不出去咋办?竞争对手推出类似产品,价格还更低,咱们怎么应对?要是政策变了,对行业有限制,那不是要抓瞎?在风险管理审计里,有一套严谨的流程和方法。
首先得识别风险,就是把可能出现的问题都找出来,像玩“找茬”游戏似的。
然后评估这些风险的可能性和影响程度,这就好比给每个风险打分。
可能性大、影响严重的风险,那可得重点关注。
接着就是制定应对策略。
是规避风险,比如说这事儿风险太高,咱不干了;还是降低风险,采取一些措施让风险变小;或者是转移风险,找别人一起承担;再或者是接受风险,觉得风险在可控范围内,愿意承担后果。
这都得根据具体情况来定。
在实际操作中,审计人员得有一双“火眼金睛”。
不能光看表面的数据和报告,还得深入到业务中去。
我就见过有的公司,财务报表看起来挺漂亮,但一深入了解,发现他们为了赶进度,在生产环节偷工减料,这就是个大风险啊!要是产品质量出了问题,那企业的声誉可就毁了。
还有啊,风险管理审计不是一次性的工作,得持续跟踪和监督。
就像照顾孩子,不是说给他吃饱穿暖一次就行了,得时刻关注他的成长变化。
企业的情况也是不断变化的,新的风险随时可能出现,所以得不停地“巡逻”。
比如说,原材料价格波动,这是个常见的风险。
如果之前制定的应对策略是和供应商签订长期稳定的合同,那审计人员就得看看合同执行得怎么样,供应商有没有遵守约定。
审计师如何对企业的风险管理进行评估
审计师如何对企业的风险管理进行评估企业的风险管理是确保公司可持续发展和降低未来风险的重要组成部分。
作为一名审计师,对企业的风险管理进行评估是我们职责的一部分。
本文将介绍一些常见的审计方法和评估步骤,帮助审计师了解如何有效评估企业的风险管理。
一、风险评估方法1. 内部控制审计: 内部控制是企业管理和运营的关键环节,对风险管理具有重要影响。
审计师可以通过评估内部控制的有效性,了解企业是否能够恰当地应对各类风险。
常用的内部控制审计方法包括风险评估、流程审计和数据测试等。
2. 绩效审计: 绩效审计关注企业的绩效目标和目标实现情况。
通过评估企业是否达到风险管理方面的目标,审计师可以揭示企业在风险管理方面存在的问题和不足,为企业提供改进建议。
3. 文件审计: 文件审计主要关注企业的风险管理策略和相关文件的合规性。
审计师将检查企业的风险管理框架、政策文件以及风险报告等,以确保企业的风险管理符合相关法规和标准。
二、评估步骤1. 了解企业风险管理框架: 审计师首先需要了解企业的风险管理框架,包括管理层的风险管理理念、政策和程序等。
只有全面了解企业的风险管理框架,才能更准确地评估其有效性。
2. 识别潜在风险: 审计师需要详细了解企业的运营情况,包括市场竞争环境、财务状况、经营策略等。
通过调查和分析,审计师可以识别潜在的风险,并制定相应的评估方法。
3. 评估风险管理应对措施: 审计师需要评估企业对已识别风险的应对措施。
这包括了解企业的风险识别和评估过程、应对措施的制定和实施情况以及风险预警机制的有效性等。
审计师可以通过访谈、文件审查和数据分析等方式,对企业的风险管理应对措施进行评估。
4. 提出改进建议: 根据评估结果,审计师需要提出相关的改进建议,以帮助企业进一步完善其风险管理体系。
改进建议应该具体、明确,并与企业的实际情况相符合。
三、评估结果报告审计师的评估结果需要以报告的形式向企业管理层呈现。
评估结果报告应该包括以下内容:1. 评估目的和范围: 告知管理层本次评估的目的和范围,以便管理层理解评估的重点和意义。
会计师事务所审计风险管理措施
会计师事务所审计风险管理措施会计师事务所是负责对企业的财务状况进行审计的专业机构。
在进行审计工作时,会计师事务所需要采取一系列的风险管理措施,以确保审计工作的准确性和可靠性。
下面是一些常见的会计师事务所审计风险管理措施:1. 建立风险管理制度:会计师事务所应建立一套完善的风险管理制度,明确各个层级的责任和权限。
制定风险管理政策和程序,确保所有人员都能遵守,并及时更新和调整。
2. 风险评估和分类:会计师事务所需要对不同的审计项目进行风险评估和分类。
根据企业的行业、规模、财务状况等因素,确定风险的程度和可能性,以便制定相应的控制措施。
3. 审计程序的设计和监控:会计师事务所需要设计一套科学合理的审计程序,包括采集证据的方法、采样的技术、审计程序的顺序和时间安排等。
对审计程序的执行进行监控,确保其有效性和及时性。
4. 人员培训和发展:会计师事务所需要对其员工进行持续的培训和发展,提高其专业水平和风险意识。
通过培训,使员工了解最新的审计理论和方法,掌握风险管理技巧,提高审计工作的质量和效率。
5. 内部控制审计:会计师事务所需要对企业的内部控制进行审计,评估其有效性和风险管理措施的落实情况。
通过内部控制审计,发现和纠正潜在的风险,提高审计的准确性和可靠性。
6. 多样化的审计方法:会计师事务所应采用多样化的审计方法,包括检查文件和记录、采访管理人员和员工、进行实地核查等。
通过多样化的审计方法,获取充分的审计证据,降低审计风险。
7. 审计品质控制:会计师事务所应建立一套完善的审计品质控制制度,包括独立性和诚实的要求、审计文件的记录和保存要求、审查和评估审计报告的质量等。
通过审计品质控制,提高审计工作的质量和可信度。
8. 风险沟通和报告:会计师事务所需要及时沟通和报告审计中存在的风险和问题。
向企业管理层和审计委员会提供详细的风险评估和排名报告,以便及时采取措施解决风险。
9. 独立性和道德规范:会计师事务所需要保持独立性和道德规范,遵守相关的法律法规和职业道德准则。
风险管理审计实施方案
风险管理审计实施方案一、引言。
风险管理审计是企业管理中非常重要的一环,它可以帮助企业识别和评估各种风险,并采取相应的措施进行管理和控制。
本文档旨在提出一套风险管理审计的实施方案,以帮助企业建立健全的风险管理体系,保障企业的稳健发展。
二、风险管理审计的重要性。
风险管理审计可以帮助企业识别各种内部和外部风险,包括市场风险、信用风险、操作风险等,并通过评估和监控这些风险,降低企业面临的风险程度,提高企业的抗风险能力。
同时,风险管理审计还可以帮助企业建立合理的内控机制,规范企业经营行为,防范和减少各种经营风险的发生。
三、风险管理审计实施方案。
1. 确立风险管理审计的组织架构和责任体系,明确各部门和人员在风险管理审计中的职责和权限,建立健全的审计管理机制。
2. 制定风险管理审计的工作流程和方法,包括风险识别、评估、监控和应对措施的制定和执行,确保审计工作有章可循,科学高效。
3. 建立风险管理信息系统,实现对企业各项风险的全面监控和管理,及时发现和应对各种风险事件。
4. 加强风险管理审计的培训和教育工作,提高员工对风险管理审计工作的认识和重视程度,确保审计工作的顺利实施。
5. 定期对风险管理审计工作进行评估和改进,及时发现和解决审计工作中存在的问题,提高审计工作的质量和效率。
四、风险管理审计实施方案的效果评估。
风险管理审计实施方案的效果评估是评价方案实施效果的重要手段,通过对方案实施后的风险管理效果进行评估,可以发现方案实施中存在的问题和不足之处,并对方案进行及时调整和改进。
五、总结。
风险管理审计对于企业的稳健发展至关重要,只有建立健全的风险管理审计体系,才能有效降低企业面临的各种风险,提高企业的抗风险能力。
因此,企业应该高度重视风险管理审计工作,制定科学合理的风险管理审计实施方案,确保企业风险管理工作的顺利进行。
审计风险管理制度
审计风险管理制度一、审计风险管理的背景审计是一种重要的企业管理工具,通过审计可以及时发现和解决企业经营管理中存在的问题,防范和降低经营风险。
但是,随着企业规模的不断扩大和业务范围的不断增加,同时伴随着信息技术的高速发展,企业面临的审计风险也在不断增加。
例如,企业的交易量越来越大,复杂性也越来越高,导致了审计的难度和风险不断增加。
同时,信息技术的广泛应用使得数据量庞大,数据的来源和真实性难以确认,增加了审计风险。
再者,企业业务范围跨地区、跨国家,在不同的法律、法规和会计准则下运营,审计也面临了国际化的挑战。
由于审计风险的不断增加,管理者需要更加有效地管理审计风险,降低审计风险对企业经营的影响,确保审计的准确、高效进行。
为此,需要建立和完善审计风险管理制度,将审计风险纳入企业的整体风险管理框架,以便更好地评估和管控审计风险。
二、审计风险管理的目的审计风险管理的目的是通过对审计风险的评估、分析和控制,有效地降低审计风险对企业的影响,确保审计的准确、高效进行。
具体包括以下几个方面:1. 保护企业利益。
通过建立和完善审计风险管理制度,可以有效地保护企业的利益,提高经营管理的透明度和有效性,降低舞弊风险,确保经营活动的合法性和合规性。
2. 保障审计质量。
审计风险管理可以帮助企业更好地评估审计风险并有效地控制审计风险,确保审计工作的准确、高效进行,提高审计质量。
3. 降低成本。
审计风险管理可以避免因审计风险导致的问题和纠纷,降低企业面临的审计风险,降低因审计问题导致的成本和影响。
4. 提高管理效率。
通过审计风险管理制度,可以使企业更好地了解自身的审计风险状况,为企业的战略决策、风险管理和内部控制提供有益的参考。
因此,建立和完善审计风险管理制度有利于保障企业的利益,提高审计质量,降低企业成本,提高管理效率,实现企业经营管理的可持续发展。
三、审计风险管理的内容审计风险管理的内容主要包括审计风险管理框架、审计风险评估、审计风险控制和审计风险监督等几个方面。
银行全面风险管理审计方案
银行全面风险管理审计方案第一章总则第一条为推进全面风险管理体系建设:提升风险管理水平,依据境内外有关监管指引、本行《章程》,并借鉴国际银行业风险管理的经验做法,特制定本办法。
第二条本办法所称风险,是指对木行实现既定目标可能产生影咱的不确定性,这种不确定性既可能带来损失也可能带来收益。
本办法主要关注带来损失的不确定性。
(-一)信用风险。
是指区借款人或交易对手未按照约定履行义务从而使本行业务发生损失的风险。
(二)市场风险。
是指因市场价格(利率、汇率、股票价格.和商品价格)的不利变动而使本行表内和表外业务发生报失的风. 险、(三)操作风险、是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部身件所造成损失的风险,包括法律风险,但不包括策略风险和声普风险。
(四)流动性风险、是指因本行无法以合理的成本及时筹朱到客户和交易对手当前和未米所需资金而对本行经营所户生的风险。
除上述风险外,本行还关注外部监管部门或本行董事会要求关注的其他风险。
第三条本办法所称全面风险管理是指本行董事会、高级管理层和全行员工各自履行相应职责,有效控制涵盖全行各个业务层次的全部风险,进而为本行各项目标的实现提供合理保证的过程。
第四条本行风险管理应遵循以下原则:(一)收益与风险匹配制定风险管理战略和进行风险管理决策,必须考虑承担的风险是在本行的风险容忍度以内,并有预期的收益覆盖风险,经风险调整的资本收益率能够满足股东的最低要求或符合本行的经营目标。
(二)内部制衡与效率兼顾本行在风险管理规章制度中明确界定各部门、各级机构和各层级风险管理人员的具体权责,实行前中后台职能相对分离的管理机制。
各部门、境内外分支机构和全体员工之问要有效沟通与协调,优化管理流程,不断提高管理效率。
(三)风险分散本行实现信用风险敞口在国家、地区、行业、产品、期限和币种等维度.上的适度分散,防范集中风险。
严格遵循监管标准,审慎核定单一客户和关联客户授信额度,有效控制客户信用风险集中度。
风险管理审计
风险管理审计风险管理审计是指对组织的风险管理活动进行全面和系统的评估,以确定其在实践中的有效性和适应性。
通过风险管理审计,可以及时发现并解决组织内部和外部可能面临的各种风险,并有效地控制和降低这些风险对组织的影响。
在进行风险管理审计时,需要采取一系列的步骤和方法。
首先,审计人员需要了解组织的风险管理政策、流程和措施,包括风险识别、评估、控制和监测等环节。
其次,审计人员需要评估组织的整体风险管理框架的有效性,包括风险管理的目标、策略和指导原则等。
然后,审计人员需要对具体的风险管理措施进行审查和评估,包括内部控制、风险转移和风险监测等方面。
最后,审计人员需要提出具体的改进建议,以提高组织的风险管理能力和水平。
在进行风险管理审计时,需要注意一些关键要点。
首先,审计人员需要具备一定的风险管理知识和技能,以便能够全面、准确地评估和审计组织的风险管理活动。
其次,审计人员需要保持独立、客观的态度,确保审计结果的可信性和公正性。
同时,审计人员还需要与组织的管理层和相关人员密切合作,以获取必要的信息和数据,确保审计的全面性和准确性。
风险管理审计的目的是提供给组织的管理层和相关利益相关者一个全面、客观的评估报告,以帮助组织全面了解和管理风险。
通过风险管理审计,组织可以发现潜在的风险问题,及时制定相应的措施和策略,降低潜在的损失和风险。
此外,风险管理审计还可以促进组织的持续改进和创新,提高其在竞争中的竞争力和可持续发展能力。
总之,风险管理审计是一项重要的管理活动,对于组织的风险管理工作具有重要的指导和支持作用。
通过风险管理审计,组织可以在竞争激烈和不确定性环境中更好地应对各种风险,保障组织的利益和可持续发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
***********公司风险管理审计办法编号:TS-KP-XS-**版本: 2013编制:审计部批准:董事会2013年**月**日****************公司部控制体系风险管理审计办法目录:共九章第一章总则第二章风险管理审计的目标第三章风险管理审计的思路第四章风险管理审计的主要分类第五章风险管理审计须遵循的原则第六章风险管理审计的程序第七章制定风险管理审计方案的主要容第八章风险管理审计取证的评价标准第九章审计报告第一节整理审计发现的要求第二节风险管理审计报告的容第十章附则第一章总则第一条为了规部审计人员对公司全面风险管理的审查与评价行为,根据中国部审计协会《部审计具体准则第16号——风险管理审计》、公司部控制体系文件、《企业部审计制度》特制定本办法。
第二条本办法所称风险管理险审计又称风险审计或风险导向审计。
风险管理审计(或风险审计)是指公司部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。
第三条本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。
它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受围的过程。
风险管理旨在为公司目标的实现提供合理保证。
第四条本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第四条本办法适用******(以下简称“公司”)及所属各分公司、全资子公司的部审计工作,控股子公司的部审计部门参照执行。
第二章风险管理审计的目标第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策,评价公司是如何通过实施风险管理从而实现企业各类管理目标的,进而评价公司风险管理的效率和效力,提出改进措施,以保障公司全面风险管理目标的实现,最终支持和保障公司总体战略目标的实现。
第六条风险管理审计总目标的具体化就是风险管理审计具体目标。
风险管理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层次。
第七条一般风险管理审计目标是对事项的关键风险管理的效率和效力评价,或者说特别关注被审事项的关键风险管理框架设计的合理性和运行的有效性。
其审计容一般包括:一是评价那些可能影响被审事项目标实现的关键性风险的管理缺口(关键风险被识别程度);二是评价为保障被审事项目标实现而开展的风险管理活动的效率和效力(或者说是评价被审事项的风险管理框架设计的合理性和运行过程的有效性)第八条专项风险管理审计目标是按照每一个审计专项具体任务和具体容而定的,以下列举一些常见的专项风险管理审计目标:(一)有关风险管理要素的审计目标,例如包括:1、风险围确定的合理性:包括战略围、组织与环境围、业务围;2、风险评价标准与指标体系的科学性:例如评价基础、评价方法、评价容、指标计算;3、风险评估方法的合理性与科学性:主要审核如下方面:按照审计确定的风险围,核实风险识别是否全面,风险各级分类的合理性,可控风险与不可控风险确定的科学性,风险分析方法选用的科学性,风险评估结果的可信性;4、风险治理策略和措施的合理性;5、风险理财组合方案的合理性。
(二)风险管理活动的充足性。
(三)风险管理制度的适当性。
(四)危机管理计划的合理性与可操作性。
(五)风险管理目标与企业管理目标的协调一致性。
(六)新项目和新市场的可进入性评价。
(七)对损失事件的原因调查性评价(真实性评价)。
(八)风险相关记录和风险信息的完整性/真实性评价。
(九)部控制体系的有效性,部控制措施的恰当性。
(十)其他。
第三章风险管理审计的思路第九条依照ISO-31000框架,核验公司风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的,且正常运行。
这些环节包括:沟通与协商,识别与分析风险,风险评估,评价和选择策略,实施风险治理,监控,持续改进。
第十条依照COSO-ERM框架,一方面,核验战略、经营、报告和合规四大目标确实存在,并且针对这些目标的管理都是有效的,如核验董事会和经营管理层:了解组织实现其战略目标的程度,了解组织实现其经营目标的程度,能保障组织的报告是可靠的,能保障组织遵循适用的法律和法规。
另一方面,核验八大要素的存在,以及核验其正常运行情况。
第十一条对照特别制定的风险管理框架和要求来衡量企业风险管理的有效性。
如控测试状态良好,机制对风险反应迅速,公司对风险的预测能力正在逐渐提高,事故发生率降低和损失明显减少,社会责任形象提升等。
第四章风险管理审计的主要分类第十二条一般风险管理审计这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力,可细分类为:(一)针对公司各管理层级的风险管理审计:企业整体、分公司、业务或子公司。
(二)针对公司职能领域或特定关键风险的风险管理审计:战略审计、财务审计、信息系统审计、质量审计、安全审计、环境审计和控审计等。
(三)针对项目的风险管理审计(四)针对各类活动的风险管理审计(五)针对产品或服务的风险管理审计(六)针对过程或操作的风险管理审计(七)针对资产的风险管理审计第十三条风险管理要素审计风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计第五章风险管理审计须遵循的原则第十四条审计人员风险管理专业水准原则:审计人员应熟悉ISO-31000 “风险管理原则和实施指引”和了解ISO-31010“风险管理-风险评估技术”;第十五条审计人员职业道德和具备审计专业基本水准原则;第十六条目标导向原则:清晰地理解被审事项的目标,识别影响目标实现的风险要素,提出将这些风险要素管理至公司可接受水平之的改进建议;第十七条关键性(重要性)原则:在设计审计方案和实施审计时,应关注关键目标、关键业务、关键流程和关键风险点,识别影响关键业绩实现的关键要素,进而就关键风险点的管理缺口提出改进建议;第十八条审计规划/计划原则:充分了解风险管理审计的审计目标和审计任务,做足审计准备,设计周密、充足和合理的审计取证方案,制定合理与可操作的风险管理审计计划和方案;第十九条充分了解就被审事项所设定的风险管理期望和价值原则:了解被审事项(整体或局部)的风险管理政策或管理原则,这是对公司整体、局部、业务、项目、资产、过程或活动等事项实施风险管理审计的判别依据之一;第二十条风险管理审计过程组织原则:执行风险管理审计计划,调整计划,及时完成计划;第二十一条沟通和协商原则:各审计相关方在审计过程中应保持持续和畅通的磋商和沟通;第二十二条确保审计质量原则:应确保审计计划制定的质量,确保审计过程实施的质量,确保审计报告的输出质量;第二十三条风险管理审计报告应体现重要性、客观性、完整性、及时性和可靠性原则。
第六章风险管理审计的程序第二十四条风险管理审计程序如下所示:1、风险评估与确定审计域程序(通过风险评估识别关键风险分布从而确定审计域)2、制定风险管理审计计划程序3、按计划实施调查和测试(主要包括部控制测试程序和实质性测试程序)4、审计证据评价程序、审计报告程序(包括整理审计发现、审计报告和风险管理建议)。
5、风险管理审计的后续审计第七章制定风险管理审计方案的主要容第二十五条风险管理审计方案就审计的组织方式、时间进度、资源分配、审计证据取证安排、审计质量保证措施等给出更为清晰和可操作的指引。
一般来讲,一个整体和较全面的企业风险管理审计计划方案应当包括:(一)审计目标;(二)审计域;(三)审计要点;(四)审计准则以及其他参照指标;(五)审计程序及其包含容;(六)审计调查与测试取证安排;(七)审计负责人及其责任;(八)确定审计所需信息和资料;(九)主要审计方法和技术的选用(包括控制测试和实质性测试方法);(十)审计时间进度和审计顺序(例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等);(十一)审计资源需求;(十二)审计组织与审计质量保障证措施;(十三)审计团队的组成;(十四)对被审目标的配合要求;(十五)审计报告要点框架等。
第八章风险管理审计取证的评价标准第二十六条审计人员对风险管理的评价可以用量化数字表示:1、2、3、4、5,或用字母表示如A、B、C、D、E,表示由低到高(或由轻到重)的程度。
第二十七条风险的严重性(或影响)的评价具体尺度(除了表达为财务指标之外,也可以用声誉、资本、法律等方式来表述风险的影响)1、不严重:既无战略影响,又无财务影响。
2、轻度严重:相对较小的战略和/或财务影响(一星期的利润)。
3、中度严重:显著地影响战略和/或财务目标的实现(一月的利润)。
4、严重:难以实现战略目标(可能需要战略上的一次改变),和/或重大的财务影响(一季的利润)。
5、高度严重:战略目标无法实现,导致严重的财务后果(一年的利润)并威胁公司的生存能力。
第二十八条风险可能性(概率)评价的具体尺度1、不发生:在特定的时期不会发生(<5%)。
2、不太可能:在特定的时期不太可能发生(<25%)。
3、可能:在特定的时期或许会发生(<50%)。
4、很可能:在特定的时期发生比不发生的可能性大(>50%)。
5、肯定:在特定的时期已经发生或几乎肯定会发生(>90%)。
第二十九条风险的层次评价(扩展的尺度)1、极小的威胁:几乎不可能严重地威胁组织。
2、轻度威胁:不太可能严重地威胁组织。
3、中度威胁:偶尔可能成为组织的严重威胁。
4、严重威胁:很可能成为组织的严重威胁。
5、灾难性的威胁肯定是组织的严重威胁。
第三十条风险承受限度的评价1、避免:在任何情况下都不会允许此风险发生。
2、降低:必须拥有持续地管理此风险的政策、流程和程序,并把它的影响降到最低限度。
3、管理:必须能够预测此风险的发生,并采取前瞻性的行动以降低其影响。
4、检查:将允许此风险发生,但是必须能在其影响过大之前及时检查并报告此风险。
5、接受:风险的发生是可接受的。
第三十一条风险管理/风险控制可扩展度(可管理性或可控性)评价1、无风险管理:组织任由风险发生,并接受其后果。
2、低层次的风险管理:风险通常都可以检测到,但是组织更依赖于应急或恢复计划。
3、中等的风险管理:在有效的监督下,能识别风险的发生,并拥有充足的时间减小风险的影响/提高获利的机会。