實務公告2110—1:評估風險管理過程的充分性

字號:

解釋《內部審計專業(yè)實務標準》中的第 2110 條標準 相關的標準:第 2110 條標準
    風險管理 內部審計活動應幫助機構發(fā)現(xiàn)并評價重要的風險因素、幫助改進風險管理與控制體系。
    本實務公告性質
    內部審計師可能會被委以就機構的風險管理過程是否充分向管理層和審計委員會提供 保證的職責。此項職責要求審計師就機構風險管理過程是否足以保護其資產、.聲譽以及持 續(xù)運營能力發(fā)表意見。本公告為審計師提供指導,指導他們在對機構風險管理過程的充分性 發(fā)表意見時,應該考慮哪些主要風險管理目標。本實務公告只涉及評估與報告機構風險管理 過程的有效性。其他實務公告將更深入地闡述控制和咨詢問題。本公告認為機構的風險管理 過程是一項重要的工作程序,應該像其他重要的戰(zhàn)略過程那樣對其進行評估。是否遵守實務 公告由審計師自行選擇決定。
    1.風險管理是管理層的一項主要職責。為了實現(xiàn)工作目標,管理層應當確保機構中存 在良好的風險管理過程并使其發(fā)揮作用。董事會和審計委員會監(jiān)督、判斷是否存在適當?shù)娘L 險管理過程以及這些過程是否充分、有效。內部審計師應該對管理層和審計委員會提供幫助, 就管理層的風險過程的充分性和有效性進行檢查、評估、報告并提出改進意見。管理層和委 員會負責機構的風險管理和控制過程。但是,起咨詢性作用的內部審計師能夠通過發(fā)現(xiàn)、評 估并運用風險管理的方法和控制措施,幫助機構解決這些風險問題。
    2.對機構的風險管理過程進行評估和報告通常是審計工作的一項重要內容。對管理風 險過程進行評估與審計師利用風險分 析來制定審計計劃在要求方面是不同的。但是,從整 個風險管理過程中得到的信息,包括發(fā)現(xiàn)管理層和董事會的考慮事項,都能幫助內部審計師 斛定審計活動的計劃。
    3.各個機構都可以選擇一套特別的方法,實施它的風險管理過程。內部審計師應該確 定所有參與公司治理的重要集體與個人,包括董事會和審計委員會,都了解此方法。內部審 計師必須確認機構的風險管理過程是否著眼于 5 個主要目標,從總體上對風險管理過程充分 性發(fā)表意見。風險管理過程的 5 個主要目標是:
    •找出業(yè)務戰(zhàn)略與活動領域的風險并進行優(yōu)先排序。
    •管理層和委員會已經確定了機構可以接受的風險水平,包括為實現(xiàn)機構的戰(zhàn)略計劃而 接受的風險。
    •設計、實施了降低風險的活動,把風險降低、管理在管理層和董事會可以接受的水平 上。開展持續(xù)的監(jiān)督活動,定期對風險和控制的有效性進行再評估,以管理風險。
    •董事會和管理層定期收到風險管理過程的結果報告。機構的公司治理過程應該包括定 期向利益關系方傳達風險、風險戰(zhàn)略和控制情況。
    4.內部審計師應該認識到不同的機構在如何實施風險管理上可能有很大的區(qū)別。應該 根據(jù)機構的活動性質來設計風險管理過程。根據(jù)機構的業(yè)務活動的規(guī)模和復雜性,風險管理 過程可能是:
    •正式或非正式的;
    •定量的或主觀的;
    •分散在各個業(yè)務部門或集中在公司層次上。 一個機構所應用的特定風險過程必須適合該機構的文化、管理風格以及工作目標。例如,
    機構如果利用金融衍生工具或其他復雜的資本市場的產品,就必須使用定量的風險管理工 具。而規(guī) 模較小、不太復雜的機構可以通過非正式的風險委員會,討論機構的風險事宜, 并定期開展活動。審計師應該確定所選擇的方法對于機構的活動性質來說是全面的、適當?shù)摹?內部審計師應該獲取足夠的證據(jù),確認五個主要風險管理過程目標是否得到實現(xiàn),以此形成 關于風險管理過程充分性的意見。在收集此類證據(jù)的過程中,內部審計師應該考慮下列審計 程序。
    5.研究、評估風險管理方法的參考資料和背景信息,在此基礎上評估機構所應用的過 程是否適當、是否代表了本行業(yè)的實務。
    •研究、評估與機構業(yè)務有關的當前發(fā)展情況、趨勢、行業(yè)信息以及其他恰當?shù)男畔①Y源,
    確定是否存在可能影響機構的風險,用以解決、監(jiān)督與再評估這些風險的相關控制程序。
    •檢查公司政策、董事會和審計委員會的會議記錄,確定機構的經營戰(zhàn)略、風險管理理 念和方法、對風險的興趣以及對風險的接受。
    •檢查管理層、內部審計師、外部審計師以及其他有關方面以前發(fā)表的風險評估報告。
    •與行政經理和業(yè)務部門經理交談,確定業(yè)務部門的目標、相關的風險以及管理層開展 的降低風險的活動和控制監(jiān)督活動。
    •收集信息,獨立評估降低風險、監(jiān)督、風險報告和相關控制活動的有效性。
    •評估針對風險監(jiān)督活動建立報告專線的恰當性。
    •評估風險管理結果報告的充分性和及時性。
    •評估管理層的風險分析是否全面、評估為糾正風險管理過程中發(fā)現(xiàn)的問題而采取的措 施的完整性,提出改進建議。
    •確定管理層的自我評估過程的有效性,這可以通過以下方式來進行:實地觀察、直接 檢測監(jiān)控程序、測試監(jiān)督活動所用信息的準確性以及其他恰當?shù)募夹g。
    •評估與風險有關、可能說明風險管理實務中存在薄弱環(huán)節(jié)的問題,在適當情況下,與 管理層、審計委員會和董事會就此進行討論。如果審計師認為管理層接受的風險水平與機構 的風險管理戰(zhàn)略和政策不一致,或認為該水平不能被機構接受,那么審計師應該參考“第
    2600 條標準—管理層對風險的接受”,另外還可參考相關的指導尋求其他建議