國際內(nèi)審師(CIA)紅皮書-實務(wù)公告(15)

　　實務(wù)公告2120-1 評估風險管理過程的適當性

　　主要相關(guān)標準：

　　2120-風險管理

　　內(nèi)部審計活動必須評估風險管理過程的有效性，并對其改善做出貢獻。

　　釋義

　　確定風險管理過程是否有效，是內(nèi)部審計師對下列事項進行評估后的判斷：

　　組織目標支持組織的使命，并與其保持一致；

　　●重大風險得到識別和評估；

　　●選定適當?shù)娘L險應(yīng)對方案，并符合組織的風險偏好；

　　●獲取相關(guān)的風險信息并在組織內(nèi)部及時溝通，以便員工、管理層和董事會履行其相關(guān)職責。

　　風險管理過程通過持續(xù)性管理活動、個別評估或者兩者結(jié)合的方式受到監(jiān)督。

　　1、風險管理是高級管理層和董事會的重要職責。要實現(xiàn)組織的業(yè)務(wù)目標，管理層應(yīng)當保證擁有健全且運轉(zhuǎn)良好的風險管理過程，董事會則會在這些過程的適當性和有效性方面起到監(jiān)督作用。董事會可能指示內(nèi)部審計部門通過檢查、評估、報告和/或提出改進管理層的風險過程的適當性和有效性的建議，來協(xié)助其完成監(jiān)督職能。

　　2、管理層和董事會負責組織的風險管理和控制過程。但起咨詢性作用的內(nèi)部審計師也可以通過識別、評價并運用風險管理的方法和控制措施，幫助組織解決這些風險問題。

　　3、如果組織沒有正式的風險管理過程，首席審計執(zhí)行官要向管理層和董事會正式說明他們理解、管理和監(jiān)督組織內(nèi)部風險的職責，說明他們需要確認組織內(nèi)確實運行著各種—即使是非正式的—過程，可以對主要風險提供一定程度的顯性控制，以及對這些過程是如何管理和監(jiān)督的。

　　4、首席審計執(zhí)行官應(yīng)該理解高級管理層和董事會期望內(nèi)部審計在組織的風險管理過程中所要發(fā)揮的作用且這種理解應(yīng)該體現(xiàn)在內(nèi)部審計部門和董事會章程中。在組織的風險管理過程中，內(nèi)部審計的職責定位要在所有相關(guān)部門和個人之間進行協(xié)調(diào)。內(nèi)部審計部門在組織風險管理過程中的作用并非一成不變，可以包括：

　　●不發(fā)揮作用；

　　●將風險管理過程的審計作為內(nèi)部審計計劃的一部分；

　　●積極、持續(xù)地支持并參與風險管理過程，如：參加監(jiān)督委員會、參與監(jiān)管活動并報告情況；

　　●管理和協(xié)調(diào)風險管理過程。

　　5、從根本上說，高級管理層和董事會負責確定內(nèi)部審計在風險管理中的作用。他們對內(nèi)部審計作用的認識可能受到組織文化、內(nèi)部審計人員能力以及所在國法律環(huán)境等因素的影響。然而，關(guān)于在風險管理過程中承擔管理性職責及其對內(nèi)部審計部門獨立性的潛在威脅，需要經(jīng)過充分的討論及董事會的審批。

　　6、不同的組織實施風險管理的方法有很大區(qū)別。根據(jù)業(yè)務(wù)活動的估規(guī)模和復雜性，風險管理過程可能是：正式或非正式的；定量的或定性的；分散在各個業(yè)務(wù)部門或集中在公司層面。

　　7、組織所建立的風險管理過程是以該組織的文化、管理風格和業(yè)務(wù)目標位依據(jù)的。例如，組織如果利用金融衍生工具或其他復雜的資本市場的產(chǎn)品，就必須用定量的風險管理工具。而規(guī)模小、不太復雜的組織可以通過非正式的風險委員會，討論組織的風險事宜，并定期開展評估活動。審計師應(yīng)該確定所選擇的方法對于組織的工作性質(zhì)來說是全面的、適當?shù)摹?/p>

　　8、內(nèi)部審計師需要獲取足夠和適當?shù)淖C據(jù)，確認風險管理過程的主要目標時否得到實現(xiàn)，以此形成關(guān)于風險管理過程是否適當?shù)囊庖?。在收集此類證據(jù)的過程中，內(nèi)部審計師應(yīng)該考慮以下審計程序：

　　●研究、檢查與組織開展的業(yè)務(wù)有關(guān)的當前情況、發(fā)展趨勢、行業(yè)信息以及其他恰當?shù)男畔①Y源，確定是否存在可能影響組織的風險，以及用以解決、監(jiān)督與再評估這些風險的相關(guān)控制程序。

　　●檢查公司正常和董事會會議記錄，以確定組織的經(jīng)營戰(zhàn)略、風險管理理念和方法、風險偏好以及風險接受水平。

　　●檢查管理層、內(nèi)部審計師、外部審計師以及其他有關(guān)方面以前公布的風險評估報告。

　　●與行政經(jīng)理和業(yè)務(wù)部門經(jīng)理交談，確定業(yè)務(wù)部門的目標、相關(guān)的風險以及管理層開展的降低風險的活動和控制監(jiān)督活動。

　　●收集信息，以獨立評估風險緩釋、監(jiān)督、風險報告和相關(guān)控制活動的有效性。

　　●評估針對風險監(jiān)督活動所建立的報告關(guān)系的恰當性。

　　●評估風險管理結(jié)果報告的適當性和及時性。

　　●評估管理層的風險分析是否全面、評估為糾正風險管理過程中發(fā)現(xiàn)的問題而采取的措施和提出的改進建議的完整性。

　　●確定管理層的自我評估過程的有效性，這可以通過實地觀察、直接測試控制和監(jiān)督程序、測試監(jiān)督活動所用信息的準確性以及其他恰當?shù)募夹g(shù)方式來進行。

　　●評估與風險相關(guān)、可能說明風險管理實務(wù)中存在薄弱環(huán)節(jié)的問題，在適當情況下，與高級管理層和董事會就此進行討論。如果內(nèi)部審計師認為管理層接受的風險水平與組織的風險管理戰(zhàn)略和政策不一致，或認為該水平不能被組織接受，那幺內(nèi)部審計師應(yīng)該參考“《標準》2600 條—高級管理層接受風險的決定”，另外還可參考相關(guān)標準尋求其他意見。

　　相關(guān)鏈接：國際內(nèi)審師(CIA)紅皮書2009年1月修訂版匯總