国际内审师(CIA)红皮书-实务公告(15)

　　实务公告2120-1 评估风险管理过程的适当性

　　主要相关标准：

　　2120-风险管理

　　内部审计活动必须评估风险管理过程的有效性，并对其改善做出贡献。

　　释义

　　确定风险管理过程是否有效，是内部审计师对下列事项进行评估后的判断：

　　组织目标支持组织的使命，并与其保持一致；

　　●重大风险得到识别和评估；

　　●选定适当的风险应对方案，并符合组织的风险偏好；

　　●获取相关的风险信息并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责。

　　风险管理过程通过持续性管理活动、个别评估或者两者结合的方式受到监督。

　　1、风险管理是高级管理层和董事会的重要职责。要实现组织的业务目标，管理层应当保证拥有健全且运转良好的风险管理过程，董事会则会在这些过程的适当性和有效性方面起到监督作用。董事会可能指示内部审计部门通过检查、评估、报告和/或提出改进管理层的风险过程的适当性和有效性的建议，来协助其完成监督职能。

　　2、管理层和董事会负责组织的风险管理和控制过程。但起咨询性作用的内部审计师也可以通过识别、评价并运用风险管理的方法和控制措施，帮助组织解决这些风险问题。

　　3、如果组织没有正式的风险管理过程，首席审计执行官要向管理层和董事会正式说明他们理解、管理和监督组织内部风险的职责，说明他们需要确认组织内确实运行着各种—即使是非正式的—过程，可以对主要风险提供一定程度的显性控制，以及对这些过程是如何管理和监督的。

　　4、首席审计执行官应该理解高级管理层和董事会期望内部审计在组织的风险管理过程中所要发挥的作用且这种理解应该体现在内部审计部门和董事会章程中。在组织的风险管理过程中，内部审计的职责定位要在所有相关部门和个人之间进行协调。内部审计部门在组织风险管理过程中的作用并非一成不变，可以包括：

　　●不发挥作用；

　　●将风险管理过程的审计作为内部审计计划的一部分；

　　●积极、持续地支持并参与风险管理过程，如：参加监督委员会、参与监管活动并报告情况；

　　●管理和协调风险管理过程。

　　5、从根本上说，高级管理层和董事会负责确定内部审计在风险管理中的作用。他们对内部审计作用的认识可能受到组织文化、内部审计人员能力以及所在国法律环境等因素的影响。然而，关于在风险管理过程中承担管理性职责及其对内部审计部门独立性的潜在威胁，需要经过充分的讨论及董事会的审批。

　　6、不同的组织实施风险管理的方法有很大区别。根据业务活动的估规模和复杂性，风险管理过程可能是：正式或非正式的；定量的或定性的；分散在各个业务部门或集中在公司层面。

　　7、组织所建立的风险管理过程是以该组织的文化、管理风格和业务目标位依据的。例如，组织如果利用金融衍生工具或其他复杂的资本市场的产品，就必须用定量的风险管理工具。而规模小、不太复杂的组织可以通过非正式的风险委员会，讨论组织的风险事宜，并定期开展评估活动。审计师应该确定所选择的方法对于组织的工作性质来说是全面的、适当的。

　　8、内部审计师需要获取足够和适当的证据，确认风险管理过程的主要目标时否得到实现，以此形成关于风险管理过程是否适当的意见。在收集此类证据的过程中，内部审计师应该考虑以下审计程序：

　　●研究、检查与组织开展的业务有关的当前情况、发展趋势、行业信息以及其他恰当的信息资源，确定是否存在可能影响组织的风险，以及用以解决、监督与再评估这些风险的相关控制程序。

　　●检查公司正常和董事会会议记录，以确定组织的经营战略、风险管理理念和方法、风险偏好以及风险接受水平。

　　●检查管理层、内部审计师、外部审计师以及其他有关方面以前公布的风险评估报告。

　　●与行政经理和业务部门经理交谈，确定业务部门的目标、相关的风险以及管理层开展的降低风险的活动和控制监督活动。

　　●收集信息，以独立评估风险缓释、监督、风险报告和相关控制活动的有效性。

　　●评估针对风险监督活动所建立的报告关系的恰当性。

　　●评估风险管理结果报告的适当性和及时性。

　　●评估管理层的风险分析是否全面、评估为纠正风险管理过程中发现的问题而采取的措施和提出的改进建议的完整性。

　　●确定管理层的自我评估过程的有效性，这可以通过实地观察、直接测试控制和监督程序、测试监督活动所用信息的准确性以及其他恰当的技术方式来进行。

　　●评估与风险相关、可能说明风险管理实务中存在薄弱环节的问题，在适当情况下，与高级管理层和董事会就此进行讨论。如果内部审计师认为管理层接受的风险水平与组织的风险管理战略和政策不一致，或认为该水平不能被组织接受，那幺内部审计师应该参考“《标准》2600 条—高级管理层接受风险的决定”，另外还可参考相关标准寻求其他意见。

　　相关链接：国际内审师(CIA)红皮书2009年1月修订版汇总