实务公告 2110—1:评估风险管理过程的充分性
解释《内部审计专业实务标准》中的第 2110 条标准 相关的标准:第 2110 条标准
风险管理 内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。
本实务公告性质
内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om可能会被委以就机构的风险管理过程是否充分向管理层和审计委员会提供 保证的职责。此项职责要求审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om就机构风险管理过程是否足以保护其资产、.声誉以及持 续运营能力发表意见。本公告为审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om提供指导,指导他们在对机构风险管理过程的充分性 发表意见时,应该考虑哪些主要风险管理目标。本实务公告只涉及评估与报告机构风险管理 过程的有效性。其他实务公告将更深入地阐述控制和咨询问题。本公告认为机构的风险管理 过程是一项重要的工作程序,应该像其他重要的战略过程那样对其进行评估。是否遵守实务 公告由审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om自行选择决定。
1.风险管理是管理层的一项主要职责。为了实现工作目标,管理层应当确保机构中存 在良好的风险管理过程并使其发挥作用。董事会和审计委员会监督、判断是否存在适当的风 险管理过程以及这些过程是否充分、有效。内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该对管理层和审计委员会提供帮助, 就管理层的风险过程的充分性和有效性进行检查、评估、报告并提出改进意见。管理层和委 员会负责机构的风险管理和控制过程。但是,起咨询性作用的内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om能够通过发现、评 估并运用风险管理的方法和控制措施,帮助机构解决这些风险问题。
2.对机构的风险管理过程进行评估和报告通常是审计工作的一项重要内容。对管理风 险过程进行评估与审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om利用风险分 析来制定审计计划在要求方面是不同的。但是,从整 个风险管理过程中得到的信息,包括发现管理层和董事会的考虑事项,都能帮助内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om 斛定审计活动的计划。
3.各个机构都可以选择一套特别的方法,实施它的风险管理过程。内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该确 定所有参与公司治理的重要集体与个人,包括董事会和审计委员会,都了解此方法。内部审 计师必须确认机构的风险管理过程是否着眼于 5 个主要目标,从总体上对风险管理过程充分 性发表意见。风险管理过程的 5 个主要目标是:
•找出业务战略与活动领域的风险并进行优先排序。
•管理层和委员会已经确定了机构可以接受的风险水平,包括为实现机构的战略计划而 接受的风险。
•设计、实施了降低风险的活动,把风险降低、管理在管理层和董事会可以接受的水平 上。开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险。
•董事会和管理层定期收到风险管理过程的结果报告。机构的公司治理过程应该包括定 期向利益关系方传达风险、风险战略和控制情况。
4.内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该认识到不同的机构在如何实施风险管理上可能有很大的区别。应该 根据机构的活动性质来设计风险管理过程。根据机构的业务活动的规模和复杂性,风险管理 过程可能是:
•正式或非正式的;
•定量的或主观的;
•分散在各个业务部门或集中在公司层次上。 一个机构所应用的特定风险过程必须适合该机构的文化、管理风格以及工作目标。例如,
机构如果利用金融衍生工具或其他复杂的资本市场的产品,就必须使用定量的风险管理工 具。而规 模较小、不太复杂的机构可以通过非正式的风险委员会,讨论机构的风险事宜, 并定期开展活动。审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该确定所选择的方法对于机构的活动性质来说是全面的、适当的。 内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该获取足够的证据,确认五个主要风险管理过程目标是否得到实现,以此形成 关于风险管理过程充分性的意见。在收集此类证据的过程中,内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该考虑下列审计 程序。
5.研究、评估风险管理方法的参考资料和背景信息,在此基础上评估机构所应用的过 程是否适当、是否代表了本行业的最佳实务。
•研究、评估与机构业务有关的当前发展情况、趋势、行业信息以及其他恰当的信息资源,
确定是否存在可能影响机构的风险,用以解决、监督与再评估这些风险的相关控制程序。
•检查公司政策、董事会和审计委员会的会议记录,确定机构的经营战略、风险管理理 念和方法、对风险的兴趣以及对风险的接受。
•检查管理层、内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om、外部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om以及其他有关方面以前发表的风险评估报告。
•与行政经理和业务部门经理交谈,确定业务部门的目标、相关的风险以及管理层开展 的降低风险的活动和控制监督活动。
•收集信息,独立评估降低风险、监督、风险报告和相关控制活动的有效性。
•评估针对风险监督活动建立报告专线的恰当性。
•评估风险管理结果报告的充分性和及时性。
•评估管理层的风险分析是否全面、评估为纠正风险管理过程中发现的问题而采取的措 施的完整性,提出改进建议。
•确定管理层的自我评估过程的有效性,这可以通过以下方式来进行:实地观察、直接 检测监控程序、测试监督活动所用信息的准确性以及其他恰当的技术。
•评估与风险有关、可能说明风险管理实务中存在薄弱环节的问题,在适当情况下,与 管理层、审计委员会和董事会就此进行讨论。如果审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om认为管理层接受的风险水平与机构 的风险管理战略和政策不一致,或认为该水平不能被机构接受,那么审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该参考“第
2600 条标准—管理层对风险的接受”,另外还可参考相关的指导寻求其他建议。
风险管理 内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。
本实务公告性质
内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om可能会被委以就机构的风险管理过程是否充分向管理层和审计委员会提供 保证的职责。此项职责要求审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om就机构风险管理过程是否足以保护其资产、.声誉以及持 续运营能力发表意见。本公告为审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om提供指导,指导他们在对机构风险管理过程的充分性 发表意见时,应该考虑哪些主要风险管理目标。本实务公告只涉及评估与报告机构风险管理 过程的有效性。其他实务公告将更深入地阐述控制和咨询问题。本公告认为机构的风险管理 过程是一项重要的工作程序,应该像其他重要的战略过程那样对其进行评估。是否遵守实务 公告由审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om自行选择决定。
1.风险管理是管理层的一项主要职责。为了实现工作目标,管理层应当确保机构中存 在良好的风险管理过程并使其发挥作用。董事会和审计委员会监督、判断是否存在适当的风 险管理过程以及这些过程是否充分、有效。内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该对管理层和审计委员会提供帮助, 就管理层的风险过程的充分性和有效性进行检查、评估、报告并提出改进意见。管理层和委 员会负责机构的风险管理和控制过程。但是,起咨询性作用的内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om能够通过发现、评 估并运用风险管理的方法和控制措施,帮助机构解决这些风险问题。
2.对机构的风险管理过程进行评估和报告通常是审计工作的一项重要内容。对管理风 险过程进行评估与审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om利用风险分 析来制定审计计划在要求方面是不同的。但是,从整 个风险管理过程中得到的信息,包括发现管理层和董事会的考虑事项,都能帮助内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om 斛定审计活动的计划。
3.各个机构都可以选择一套特别的方法,实施它的风险管理过程。内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该确 定所有参与公司治理的重要集体与个人,包括董事会和审计委员会,都了解此方法。内部审 计师必须确认机构的风险管理过程是否着眼于 5 个主要目标,从总体上对风险管理过程充分 性发表意见。风险管理过程的 5 个主要目标是:
•找出业务战略与活动领域的风险并进行优先排序。
•管理层和委员会已经确定了机构可以接受的风险水平,包括为实现机构的战略计划而 接受的风险。
•设计、实施了降低风险的活动,把风险降低、管理在管理层和董事会可以接受的水平 上。开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险。
•董事会和管理层定期收到风险管理过程的结果报告。机构的公司治理过程应该包括定 期向利益关系方传达风险、风险战略和控制情况。
4.内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该认识到不同的机构在如何实施风险管理上可能有很大的区别。应该 根据机构的活动性质来设计风险管理过程。根据机构的业务活动的规模和复杂性,风险管理 过程可能是:
•正式或非正式的;
•定量的或主观的;
•分散在各个业务部门或集中在公司层次上。 一个机构所应用的特定风险过程必须适合该机构的文化、管理风格以及工作目标。例如,
机构如果利用金融衍生工具或其他复杂的资本市场的产品,就必须使用定量的风险管理工 具。而规 模较小、不太复杂的机构可以通过非正式的风险委员会,讨论机构的风险事宜, 并定期开展活动。审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该确定所选择的方法对于机构的活动性质来说是全面的、适当的。 内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该获取足够的证据,确认五个主要风险管理过程目标是否得到实现,以此形成 关于风险管理过程充分性的意见。在收集此类证据的过程中,内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该考虑下列审计 程序。
5.研究、评估风险管理方法的参考资料和背景信息,在此基础上评估机构所应用的过 程是否适当、是否代表了本行业的最佳实务。
•研究、评估与机构业务有关的当前发展情况、趋势、行业信息以及其他恰当的信息资源,
确定是否存在可能影响机构的风险,用以解决、监督与再评估这些风险的相关控制程序。
•检查公司政策、董事会和审计委员会的会议记录,确定机构的经营战略、风险管理理 念和方法、对风险的兴趣以及对风险的接受。
•检查管理层、内部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om、外部审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om以及其他有关方面以前发表的风险评估报告。
•与行政经理和业务部门经理交谈,确定业务部门的目标、相关的风险以及管理层开展 的降低风险的活动和控制监督活动。
•收集信息,独立评估降低风险、监督、风险报告和相关控制活动的有效性。
•评估针对风险监督活动建立报告专线的恰当性。
•评估风险管理结果报告的充分性和及时性。
•评估管理层的风险分析是否全面、评估为纠正风险管理过程中发现的问题而采取的措 施的完整性,提出改进建议。
•确定管理层的自我评估过程的有效性,这可以通过以下方式来进行:实地观察、直接 检测监控程序、测试监督活动所用信息的准确性以及其他恰当的技术。
•评估与风险有关、可能说明风险管理实务中存在薄弱环节的问题,在适当情况下,与 管理层、审计委员会和董事会就此进行讨论。如果审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om认为管理层接受的风险水平与机构 的风险管理战略和政策不一致,或认为该水平不能被机构接受,那么审计师 该 内容 由中 审 网 校 所 属ww w.au di tc n. c om应该参考“第
2600 条标准—管理层对风险的接受”,另外还可参考相关的指导寻求其他建议。