风险管理审计办法-风险管理方法

***********公司风险管理审计办法

编号：TS-KP-XS-**

版本: 2013

编制：审计部

批准：董事会

2013年**月**日

****************公司内部控制体系

风险管理审计办法

目录：共九章

第一章总则

第二章风险管理审计的目标

第三章风险管理审计的思路

第四章风险管理审计的主要分类

第五章风险管理审计须遵循的原则

第六章风险管理审计的程序

第七章制定风险管理审计方案的主要内容第八章风险管理审计取证的评价标准

第九章审计报告

第一节整理审计发现的要求

第二节风险管理审计报告的内容

第十章附则

第一章总则

第一条为了规范内部审计人员对公司全面风险管理的审查与评价行为，根据中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。

第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计（或风险审计）是指公司内部审计机构根据公司全面风险管理的目标和政策，采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试，以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷，进而提高公司风险管理的效率和效果，保障企业战略目标的实现。

第三条本办法所称风险管理，是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。

第四条本办法所称全面风险管理，是指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理风气，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第四条本办法适用******有限公司（以下简称“公司”）及所属各分公司、全资子公司的内部审计工作，控股子公司的内部审计部门参照执行。

第二章风险管理审计的目标

第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策，评价公司是如何通过实施风险管理从而实现企业各类管理目标的，进而评价公司风险管理的效率和效力，提出改进措施，以保障公司全面风险管理目标的实现，最终支持和保障公司总体战略目标的实现。

第六条风险管理审计总目标的具体化就是风险管理审计具体目标。风险管理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层次。

第七条一般风险管理审计目标是对事项的关键风险管理的效率和效力评价，或者说特别关注被审事项的关键风险管理框架设计的合理性和运行的有效性。其审计内容一般包括：一是评价那些可能影响被审事项目标实现的关键性风险的管理缺口（关键风险被识别程度）；二是评价为保障被审事项目标实现而开展的风险管理活动的效率和效力（或者说是评价被审事项的风险管理框架设计的合理性和运行过程的有效性）

第八条专项风险管理审计目标是按照每一个审计专项具体任务和具体内容而定的，以下列举一些常见的专项风险管理审计目标：

(一)有关风险管理要素的审计目标，例如包括：

1、风险范围确定的合理性：包括战略范围、组织与环境范围、业务范围；

2、风险评价标准与指标体系的科学性：例如评价基础、评价方法、评价

内容、指标计算；

3、风险评估方法的合理性与科学性：主要审核如下方面：按照审计确定的风险范围，核实风险识别是否全面，风险各级分类的合理性，可控风险与不可控风险确定的科学性，风险分析方法选用的科学性，风险评估结果的可信性；

4、风险治理策略和措施的合理性；

5、风险理财组合方案的合理性。

（二）风险管理活动的充足性。

（三）风险管理制度的适当性。

（四）危机管理计划的合理性与可操作性。

（五）风险管理目标与企业管理目标的协调一致性。

（六）新项目和新市场的可进入性评价。

（七）对损失事件的原因调查性评价（真实性评价）。

（八）风险相关记录和风险信息的完整性/真实性评价。

（九）内部控制体系的有效性，内部控制措施的恰当性。

（十）其他。

第三章风险管理审计的思路

第九条依照ISO-31000框架，核验公司风险管理过程中针对每个关键的风险环节实施的风险管理是存在和合理的，且正常运行。这些环节包括：沟通与协商，识别与分析风险，风险评估，评价和选择策略，实施风险治理，监控，持续改进。

第十条依照COSO-ERM框架，一方面，核验战略、经营、报告和合规四大目标确实存在，并且针对这些目标的管理都是有效的，如核验董事会和经营管理层：了解组织实现其战略目标的程度，了解组织实现其经营目标的程度，能保障组织的报告是可靠的，能保障组织遵循适用的法律和法规。另一方面，核验八大要素的存在，以及核验其正常运行情况。

第十一条对照特别制定的风险管理框架和要求来衡量企业风险管理的有效性。如内控测试状态良好，机制对风险反应迅速，公司对风险的预测能力正在逐渐提高，事故发生率降低和损失明显减少，社会责任形象提升等。

第四章风险管理审计的主要分类

第十二条一般风险管理审计

这类审计主要目的是识别/确认被审事项的关键业绩影响因素和评价相应的风险管理效率和效力，可细分类为：

（一）针对公司各管理层级的风险管理审计：企业整体、分公司、业务或子公司。

（二）针对公司职能领域或特定关键风险的风险管理审计：战略审计、财务审计、信息系统审计、质量审计、安全审计、环境审计和内控审计等。

（三）针对项目的风险管理审计

（四）针对各类活动的风险管理审计

（五）针对产品或服务的风险管理审计

（六）针对过程或操作的风险管理审计

（七）针对资产的风险管理审计

第十三条风险管理要素审计

风险管理要素审计是针对企业风险管理政策、方法、措施、手段等要素实施的审计

第五章风险管理审计须遵循的原则

第十四条审计人员风险管理专业水准原则：审计人员应熟悉ISO-31000 “风险管理原则和实施指引”和了解ISO-31010“风险管理-风险评估技术”；

第十五条审计人员职业道德和具备审计专业基本水准原则；

第十六条目标导向原则：清晰地理解被审事项的目标，识别影响目标实现的风险要素，提出将这些风险要素管理至公司可接受水平之内的改进建议；

第十七条关键性（重要性）原则：在设计审计方案和实施审计时，应关注关键目标、关键业务、关键流程和关键风险点，识别影响关键业绩实现的关键要素，进而就关键风险点的管理缺口提出改进建议；

第十八条审计规划/计划原则：充分了解风险管理审计的审计目标和审计任务，做足审计准备，设计周密、充足和合理的审计取证方案，制定合理与可操作的风险管理审计计划和方案；

第十九条充分了解就被审事项所设定的风险管理期望和价值原则：了解被审事项（整体或局部）的风险管理政策或管理原则，这是对公司整体、局部、业务、项目、资产、过程或活动等事项实施风险管理审计的判别依据之一；

第二十条风险管理审计过程组织原则：执行风险管理审计计划，调整计划，及时完成计划；

第二十一条沟通和协商原则：各审计相关方在审计过程中应保持持续和畅通的磋商和沟通；

第二十二条确保审计质量原则：应确保审计计划制定的质量，确保审计过程实施的质量，确保审计报告的输出质量；

第二十三条风险管理审计报告应体现重要性、客观性、完整性、及时性和可靠性原则。

第六章风险管理审计的程序

第二十四条风险管理审计程序如下所示：

1、风险评估与确定审计域程序（通过风险评估识别关键风险分布从而确定审计域）

2、制定风险管理审计计划程序

3、按计划实施调查和测试（主要包括内部控制测试程序和实质性测试程序）

4、审计证据评价程序、审计报告程序（包括整理审计发现、审计报告和风险管理建议）。

5、风险管理审计的后续审计

第七章制定风险管理审计方案的主要内容

第二十五条风险管理审计方案就审计的组织方式、时间进度、资源分配、审计证据取证安排、审计质量保证措施等给出更为清晰和可操作的指引。一般来讲，一个整体和较全面的企业风险管理审计计划方案应当包括：

（一）审计目标；

（二）审计域；

（三）审计要点；

（四）审计准则以及其他参照指标；

（五）审计程序及其包含内容；

（六）审计调查与测试取证安排；

（七）审计负责人及其责任；

（八）确定审计所需信息和资料；

（九）主要审计方法和技术的选用（包括控制测试和实质性测试方法）；

（十）审计时间进度和审计顺序（例如审计顺序、何时与谁交谈、进行现场观察的时间安排、对每一种审计程序推进进度的时间安排、每个阶段需进展的审计深度、何时向谁提交审计结果等）；

（十一）审计资源需求；

（十二）审计组织与审计质量保障证措施；

（十三）审计团队的组成；

（十四）对被审目标的配合要求；

（十五）审计报告要点框架等。

第八章风险管理审计取证的评价标准

全面风险管理体系建设的审计 -大纲

全面风险管理体系建设的审计（大纲） （上海蓝草咨询） 一、风险管理治理架构的审计 风险治理与风险管理的关系。 全面风险管理组织架构的评价。 二、高级管理层、业务管理部门、风险管理部门履职审计 各部门管理人员能否将本部门风险工作与全面风险管理关联的评估。 审计案例：从管理部门的工作计划和总结入手，结合访谈，评价管理部门对条线风险管理的履职有效性。 对各类管理部门和业务部门（营业网点）风险管理履职审计重点。 三、风险管理制度的审计 制度的完备性、有效性，策略、偏好、限额的规定及评估。 审计案例：从制度清单入手，评价银行制度健全性和制度建设能力。 高级管理层的风险偏好及对风险限额的接受程度，对银行风险管理的影响评估。是否将高级管理层的意见转化为制度的评估。 四、风险管理制度执行机制的审计 从高层到普通员工，对制度权威性的认识评价。

管理部门和普通员工在制度执行的主动性评价。 审计案例：从大额贷款的审批评价某银行贷审委工作的有效性。 审计案例：透过现金调拨的具体流程，评价现金管理制度的执行。 五、相互制衡机制的审计 评估各类业务和部门间的边界是否清晰，评估上下机构间、横向部门间、各类人员间，是否建立了有效的相互制衡制约的机制。 案例：从某行员工信息的维护流程，评估该行在员工管理方面的重大隐患。 六、沟通机制的审计 风险管理为主题的沟通机制是否畅通。行领导是否为员工搭建良好的风险管理沟通交流平台。 各类机构和管理部门例会制度是否健全，例会工作内容对风险沟通机制的影响。单位（或部门）主管怎样通过例会平台鼓励风险管理事项的充分沟通。 报告途径是否畅通。 七、问责机制建设的审计 问责和考核机制的建立情况评估。 考核有效性评估。考核的维度分析评估。 八、信息系统和数据质量控制机制

如何开展风险管理体系审计

如何开展风险管理体系审计 现代内部审计理论倡导以风险为导向。风险管理审计的提出已经好些年了，但实际工作中，又有多少审计部门会开展风险管理审计呢？ 现代企业大多已经建立了风险管理机制，并且越来越依照COSO的企业风险管理整合框架来不断地完善。在市场不确定情况下，风险管理的好坏决定了企业生存和发展的时间。同时，各个专业领域的风险管理理论也越来越复杂，运用的数学知识和信息技术也越来越高级。企业内部审计不仅要及时发现具体经济事项存在的问题，还要以点带面，发现风险管理体系和机制中存在的缺陷。 因为风险管理涉及的范围广，涉及的专业知识多，内部审计部门往往先从风险管理体系下手，对其健全性和有效性进行评价。很多企业的监管机构或主管机构对企业的风险管理都提出过指导性意见，参考这些指导性意见，内部审计部门可以建立对风险管理的审计评价体系，而且内部审计部门可能还会被要求对其所在企业的风险管理进行评价。 一、风险管理体系审计的内容 2017年9月COSO新版《全球风险管理框架》，其中一个变化是五大要素的名称有所变化，原先的“风险治理

和文化、风险、战略和目标设定、执行中的风险、风险信息、沟通和报告、监控风险管理效果”改为了“治理和文化、战略和目标设定、绩效、审阅和修订、信息、沟通和报告”。既然是风险管理的五大要素，新版里的五大要素里竟然没有“风险”二字，其中肯定有它的道理，就跟国际内部审计协会定义内部审计那样，把“监督和评价”改为了“确认和咨询”。内部审计要想对风险管理体系做出评价，就要了解风险管理体系的内容是什么。 还有些审计部门把风险管理体系分为八大要素：治理环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。这也是比较清晰的，适用本企业实际就好。 二、风险管理体系审计评价标准 这里的评价标准有两个，一个是监管或主管机构的指导意见，一个是所谓的同行行业相似企业的最佳实践。监管或主管机构的指导意见可参考性比较强，有的行业尤其是金融行业的监管机构指导意见也更加详细。内部审计部门往往依照监管或主管机构的指导意见构建自己的评价方法体系。有些发表的偏理论的文章所说的“双标分析法对风险管理体系进行审计评价，如何获取同行的最佳实践并且予以量化是很难实现的，况且同行业里各个企业的风

银行风险管理审计

银行风险管理审计

［摘要］风险管理审计是对传统审计方式的突破和创新，是融风险管理、审计为一体的新兴审计模式，本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。［关键词］风险管理审计内部审计问题优势风险管理起源于20世纪60、70年代，20世纪80年代在金融、保险、制造业等行业的大企业有了发展，从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初，随着风险管理导向内部控制时代的来临，风险管理成为内部审计关注的重点。它不仅关注传统的内部控制，更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测评控制，而且包括确认风险及测试管理风险的方法，风险管理审计是内部审计发展的新阶段。一、银行风险的界定及类型1.银行风险的界定关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中，由于各种事先无法预料的不确定因素的影响，使银行的实际收益与预期收益发生背离，有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。银行风险存在于银行价值

链的每一个环节，可以说，银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点：(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性；而损失是消耗或丧失的东西，是原来不确定事件形成的一种事实。两者的着眼点不同，风险着眼于未来，损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇，它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映，与经济主体的行为目标、决策方式和经济环境相联系，并不单纯是银行自身的问题。 2.银行风险的类型我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出，商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。从实践来看，对于银行影响比较大的风险主要有四种：信用风险、操作风险、市场风险和流动性风险。二、内部审计在风险管理中的定位、职责与作用内部审计是一种独立、客观的确认与咨询活动，它通过应用系统的、规范的方法，评价并改善风险、控制和治理过程的效果，帮助组织实现其目标。由于其自身的特点，内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况，对单位面临的风险更了解；内

企业内部审计与风险管理

企业内部审计与风险管理 会计与审计 企业内部审计与风险管理 安鹏宋雪婷 （）合肥京东方光电科技有限公司，安徽合肥２３００１２ 面对企业急需加强的风险管理，既为内部审计的发展带来了机遇，又提出了挑战。笔者结合自身的工作经摘要： 验，从有利于企业科学发展的角度提出：作为内部审计，首先要充分认识内部审计在风险管理中的独特作用；其次要积极主动地参与风险管理。 内部审计；企业风险管理关键词： 客观的保证和咨询活动，其目的内部审计是一种独立、 是在于为组织增加价值和提高组织的运作效率，它通过系统评价和改进风险管理、控制及治理过程化和规范化的方法， 的效果，帮助组织实现其目标。 之地。 最后，内部审计通过对企业风险管理系统进行系统性、专业性监督检查，充分发挥“医士”和“卫士”作用，保证企业科学发展。 内部审计部门应对有关部门针对风险所采取的防范１． 措施进行连续的跟踪，并进行系统的专业性监督检查，看其是否充分、得当，同时评价其是否执行有力。 适时对组织内风险控制系统的健全、时效性进行检２． 对失控、漏控的环节进行再完善，改进风险控制系统机查， 能，达到风险控制系统最优化构建，加强系统内部的组织性和自主性。 内部审计可以直接作为风险管理者，对企业风险进行３． 管理。通过专业知识和技能、先进的方法，直接对企业的风能够引起管理层的更加重视，取得更险管理提出改进意见，好的效果。 一、内部审计在风险管理中独特的作用

内部审计作为最高管理层实施控制的手段，在企业管理尤其是风险管理方面的地位和作用将日趋突出。 首先，内部审计能够通过客观地、全面地参与风险预测和识别，充分发挥预警作用。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风而是会传递到险管理所带来的后果往往不是由其直接承担， 其他部门，最终可能使整个企业陷入困境。正因为如此，有些部门可能会出现过度道德风险，如采购部门为节约采购成本，就会忽视对材料规格、型号、质量方面的检查，或者有意购买残次品等等。因此对风险的识别和防范、控制需要从全局考虑，而内部审计部门不从事具体业务活动，独立于业务管理部门，这使得它们可以从全局出发、客观地对风险进行预测。 其次，内部审计通过对风险进行评估，研究风险防范的措施，控制、指导企业的风险策略，充分发挥内部审计的谋士作用。内部审计对监测到的整个组织可能存在的风险因子和不利因素及相互作用进行分析、评价和沟通，关注组织目采用数学统计、模拟试验等方法，遵循３经标价值取向，Ｅ（济、效率和效果）原则，和管理层共同寻找消除风险根源的可能途径，充分出谋划策，发挥谋士作用。如有的外部风险根源是企业无法避开和影响的，如国家政策的变化，市场因素的变化，企业只能调整自己的生产经营策略减轻外部风险的影响。但是许多企业内部的风险根源则是可以通过改善管理而消除的，这也是我们内部审计更多发挥作用的用武 二、内部审计应积极参与风险管理 内部审计应在提高自身素质和风险管理水平的基础上，通过对企业风险进行预测和识别，进而进行分析和评估，最终达到控制和化解风险，积极主动参与风险管理。 首先，内部审计人员要成为精通技术专家。“要想知其，言，必须知其所以言”同样内部审计要想有效地参与风险管理，必须自己要成为风险管理专家。内部审计人员不仅要懂审计及相关法律法规，熟练地运用内部审计标得财务会计、 准、程序和技术，还必须具备丰富专业风险管理的知识和技能，精通现代管理信息技术和先进的管理技术手段，这样才能真正有效地参与到企业风险管理中去。 其次，内部审计人员要积极、主动、全面地参与企业风险识别、评价和控制。风险的预测、识别、评价和控制的预测、 是指对企业所面临的，以及潜在的风险因素加以判断、归类 会计与审计 并采用各种科学管理技术，鉴定风险性质、评估风险损失、制改进风险管理，最终达到控制和化解风险的过定控制措施，

2017年度全面风险管理报告,企业全面风险管理工作回顾

2017年度全面风险管理报告 【最新资料，WORD文档，可编辑修改】 2015年度全面风险管理报告 一、2011年度企业全面风险管理工作回顾 （一）企业全面风险管理工作计划完成情况 在上年开展企业全面风险管理工作基础上，进一步加强公司全面风险管理体系的建设，制订了公司全面风险管理制度和办法，公司根据上市要求和集团公司关于加强内部控制要求以及公司实际需要成立了审计部，审计部为全面风险管理的专职部门。按照集团公司要求，

结合公司的经营运作、岗位设置等实际情况，在全公司范围内对各部门积极开展全面风险管理的各项工作，各部门查找提出自身存在的风险点，并对其加以识别，再组织各部门领导汇总、归纳、整理出公司风险点，对其进行识别、评估，经过对风险成因分析，找出策略和解决方案。并将各类风险管理责任落实到相应部门及个人。编制了风险管理网络图，把公司所有风险点纳入到管理体系中。明确公司全面风险管理职责分工，相关问题由部门提出，专职部门提出审核意见，报总经理办公会讨论，进一步细化了各层级和各部门的职责分工。 从全年全面风险管理工作计划执行情况来看都较好的完成了目标任务，全年没有出现一般以上的风险因素，全面完成了公司经济效益和预算目标任务。 （二）企业重大风险管理情况 2011年公司全年整体运行良好，公司在不影响正常生产经营的前提下，采取多种措施，加大管理力度，出台一系列政策、办法、措施，有针对性的解决，把问题消灭在萌芽状态，坚决杜绝各类事故、问题的发生，通过对重大、重要风险辨识、评估，采取应对措施，对防止风险、稳定质量、提高效率、减少损失、增加效益，促进公司又好又快发展起到了积极作用。全年没有发生重大风险事故。 （三）重大风险管理解决方案的监督检查情况 通过对重大风险管理解决方案的实施情况进行监督，并对风险管理有效性进行检验。公司每年根据公司实际生产经营中存在的风险种类根据类别、轻重来重新划分等级或重点，有针对性的加以重点控制和管理，根据新发生风险的可能性采取措施，进行监督检查落实，以

风险管理审计办法

***********公司风险管理审计办法 编号：TS-KP-XS-** 版本: 2013 编制：审计部 批准：董事会 2013年**月**日 ****************公司部控制体系

风险管理审计办法 目录：共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要容第八章风险管理审计取证的评价标准第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的容 第十章附则

第一章总则 第一条为了规部审计人员对公司全面风险管理的审查与评价行为，根据中国部审计协会《部审计具体准则第16号——风险管理审计》、公司部控制体系文件、《企业部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计（或风险审计）是指公司部审计机构根据公司全面风险管理的目标和政策，采用一种系统化、规化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试，以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷，进而提高公司风险管理的效率和效果，保障企业战略目标的实现。 第三条本办法所称风险管理，是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受围的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理，是指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理风气，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******（以下简称“公司”）及所属各分公司、全资子公司的部审计工作，控股子公司的部审计部门参照执行。

审计、内控、风险管理三者之间的关系(1)

审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性”。因此，风险管理应该是最早的环节，从企业整体评估风险状况，找到应对策略。这其中，又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对；可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何，就通过审计来检查。审计检查完后有一些发现问题，可能是最早风险评估环节就没考虑到的，那么审计发现问题又回过头来指导风险管理的完善。 所负责部门，每个企业都不太一样。有的是分设三个部门：风险管理部、内控部、审计部。也有的将这几块自由排列组合，也有放到一个部门的，甚至放到财务部底下的都有。 风险管理——>内部控制——>风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进， 有效提升公司治理效率。 内部控制是内部审计的“风向标”， 内部审计是内部控制的“测试仪”。 三者的本质都是为了控制好风险。三者区别是： 1.内控是让你好好开车别撞人，也别开到沟里去，它是一切风险管理的基础，特别是治理层面的内部控制。 2.风险管理是一个更广的含义，不仅仅是不撞人、不翻车，更要保证方向是对的，速度是合适的，开车的方式是可持续的，还要保证尽量不被别人撞，万一被撞要能扛得住…… 3.风险管理包括内部控制，但他们都不是一个部门的事情，是一个组织行为。 4.审计是风险管理的一种手段，也是内控要素中监督要素的一种体现。是风险管理工作具体落地的方式，和之前的两个不在一个层面上。 实务中全面的应用到了风险、内控与审计三个概念的，主要是银行业及部分工业企业（如核电、采矿、化工等）。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。

操作风险审计管理规定

操作风险审计管理规定 第一条为加强公司操作风险管理，发挥内部审计在案件防控中的作用，根据《北京银监局关于印发〈关于提高操作风险内部审计工作有效性的指导意见〉的通知》（大银监发[2007]426号文件）等相关要求及公司《审计工作管理规定》制定本规定。 第二条本规定所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件给公司造成损失的风险。 第三条操作风险审计遵循以下原则： （一）独立性原则。审计部独立开展操作风险审计，不受其他部门和人员等外在因素的影响和干扰。 （二）统一性原则。审计部对操作风险审计实行统一管理，保证操作风险审计工作的一致性。 （三）有效性原则。公司应保证操作风险审计的有效性，以提高对公司各项业务操作风险的防控能力。 第四条操作风险审计目标 保证公司操作风险政策、规定、要求的贯彻、执行；审查、评价并改善系统内操作风险的管理；提升操作风险管控能力，提高案件堵截率，降低案件发生率，促进公司业务的健康发展。 第五条审计机构设置及职责 公司设立审计部，独立开展操作风险内部审计工作，向董事会、审计委员会报告工作，在操作风险管理方面的主要职责为： （一）监督公司操作风险管理政策、制度的制定、执行情况； （二）监督风险管理部门履职情况； （三）开展操作风险审计，促进各部门加强操作风险管理。 （四）对公司贯彻落实监管部门有关案件防控要求情况进行监督。 第六条操作风险审计主要内容 （一）公司操作风险管理相关政策、制度、流程制定情况； （二）风险管理部门履职情况； （三）轮岗、强制休假、离任审计等制度执行情况； （四）不兼容岗位分离、对账等操作风险防范措施执行情况； （五）其他与操作风险管理有关的情况。 第七条操作风险审计在风险评估基础上确定审计重点和频率。轮岗、强制休假、离任审计及对账等情况应每季度审计一次。其他相关情况至少每半年审计一次。 第八条操作风险审计程序及后续处理按照《审计工作管理规定》执行。 第九条审计部应按季向管理层及审计委员会汇报操作风险内部审计工作情况。 第十条审计部应就以下事项向监管部门报告或备案：

企业风险管理审计

企业风险管理审计 「摘要」企业风险管理是一个倍受关注的焦点问题，企业能否在存有各种不确定性因素影响的环境中有序、有效地运转，在很大水准上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是现代内部审计的一个崭新领域，本文在分析了企业风险和风险管理内涵的基础上，分析了企业风险管理审计的目标及主要内容。 「关键词」企业风险风险管理风险管理审计因为各种不确定性因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定水准上取决于企业对风险管理工作的监督和评价。因此，无论是国际内部审计师协会对内部审计的定义，还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。 一、企业风险及风险管理的内涵进行企业风险管理审计，必须明确企业风险及风险管理的内涵。否则，企业风险管理审计便无从谈起。1企业风险的实质首先，风险产生于不确定性因素的存有，如果企业运行的内外环境是确定的，则不存有企业风险。其次，企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说，我们更注重企业的运行结果，对预期结果的实现与否及可实现水准的大小成为了衡量企业风险大小的现实标准。因此，可以认为，企业风险则是企业运行结果偏离期望结果的可能性。作者认为，企业目标是企业期望达到的一种结果状态，但因为相关因素的持续持续的变化，企业目标的实现存有不确定性。因此，企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。作者认为，既然将风险定义为企业目标不能得以实现的可能性，那么，企业风险可以按照企业目标的不同层次来理解和划分，并可将其相对应划分为：（1）企业的战略风险是指企业战略目标不能实现的可能性，主要包括：因为对相关影响因素的分析不够充分或对未来的变化没能合

关于对XX银行科技信息风险管理进行专项审计的报告.doc

关于对XX银行 科技信息风险管理进行专项审计的报告（模板） 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进XXX农村信用社安全、持续、稳健发展，根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排，对本联社的科技信息风险管理进行了专项审计，现将审计情况报告如下： 一、基本情况 略。 二、审计依据 银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。 三、组织架构、制度建设及管理情况 1、信息科技治理组织架构 （1）县联社董事会下设科技信息安全管理委员会，信息安全管理委员会下设应急处理领导小组。 科技管理委员会负责统一规划全社的信息化建设，指导和监督科技部门的各项工作，审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。

信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制 （2）成立了科技部，加强了科技运维信息治理。 （3）科技风险审计工作由联社稽核审计部完成。 2、信息科技管理制度 （1）安全管理 对安全管理活动中的各类管理内容，依据省联社相关制度建立安全管理制度，制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订，并有修订记录 （2）事件管理 制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责，并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对安全事件进行等级划分，制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置方法等，并对发现的安全弱点和可疑事件有《异常情况上报规定》（3）应急处理 建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》，对各业务信息

风险管理方案计划审计办法

***********公司 风险管理审计办法 编号：TS-KP-XS-** 版本: 2013 编制：审计部 批准：董事会 2013年**月**日 ****************公司内部控制体系

风险管理审计办法 目录：共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要内容第八章风险管理审计取证的评价标准 第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的内容 第十章附则

第一章总则 第一条为了规范内部审计人员对公司全面风险管理的审查与评价行为，根据中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计（或风险审计）是指公司内部审计机构根据公司全面风险管理的目标和政策，采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试，以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷，进而提高公司风险管理的效率和效果，保障企业战略目标的实现。 第三条本办法所称风险管理，是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理，是指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理风气，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******有限公司（以下简称“公司”）及所属各分公司、全资子公司的内部审计工作，控股子公司的内部审计部门参照执行。 第二章风险管理审计的目标 第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策，评价公司是如何通过实施风险管理从而实现企业各类管理目标的，进而评价公司风

内部审计全面风险管理报告

内部审计全面风险管理报告 我国《内部审计具体准则第17号－－重要性与审计风险》中对审计风险的定义是：审计风险，是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险于客观上普遍存在，发生时具有偶然性和灾害性，因而必须对审计风险进行管理。要进行风险管理，首先必须明确内部审计风险的形成、种类及原因。 一、内部审计风险形成的原因 形成内部审计风险的因素如下： 1、内部审计机构未能有效保证其组织上、业务上的独立性。独立性是审计工作的灵魂，不能有效保证审计机构和人员在组织上的独立性,在业务工作中的权威性,就不能保证审计质量和规避审计风险。 2、内部审计人员业务能力的局限性，内审人员普遍具有的综合素质和专业技能与审计工作的要求还有相当距离，审计人员受专业知识局限、缺乏综合专业的审计知识,判断和

识别审计风险的能力较差。 3、内部审计方法的影响(1)内部审计方法滞后的影响。目前内审模式仍以账项基础审计方法为主,主要审计目的是“查错防弊”,审计风险控制因素考虑较少,更谈不上运用以风险导向为核心的审计方法来防范和化解风险。(2)抽样审计误差的影响。抽样技术虽已被广泛应用,但内审人员在运用这一技术时,全凭审计人员的主观经验来确定样本规模和样本评价结果,容易遗漏重要事项,形成审计风险。 4、受外部审计环境的影响。内部审计事项的复杂性和隐蔽性往往会增加审计难度,使审计人员对事实真相难以做出准确判断,一些敏感事项涉及人事关系复杂,舞弊手段隐蔽,内审人员取证难度大,从而面临审计风险；被审计单位内部控制制度较差,会计信息失真,从而内部审计风险增大。 审计业务的每一环节都可能产生风险因素。当审计人员进行审计时，可能会由于被审计单位外部环境的复杂性或不利条件，被审计单位的经济业务的特殊性等原因，使选择的被审计单位风险较高；拟订审计计划时，有计划不充分，而使审计人员做出错误审计决策的计划风险；组建审计小组时，有委派人员不胜任工作而导致的风险；收集审计证据时，有收集不到足够有力的证据的风险；编制审计报告时，有审计意见不当的报告风险；出具审计报告之后，还有期后事项对审计结论影响的风险等等，不一而足。每种风险都是多因

风险管理审计的应用实践

浅谈风险管理审计的应用实践 袁 园 （湖南新五丰股份有限公司 审计部，湖南 长沙 410005） [摘要]在风险管理审计中，应建立内部审计信息平台，广泛收集风险因素，确定风险管理审计重点和要点。对 被审计单位风险管理的测试，应按照《中央企业全面风险管理指引》的要求，明确需要测试的内容，建立相应的测试标准，评价被审计对象风险管理范围和风险评估标准的合理性，评价被审计单位的风险识别、风险分析、风险评价功能，评价被审计单位的风险管理措施和风险监管系统的功能，评价被审计单位的风险预警功能，以判断被审计单位的风险预警系统的合理性与有效性。 [关键词]风险管理；审计；应用实践[中图分类号]F239.4 [文献标识码]B [收稿日期]2012-11-12 随着当今技术经济的飞速发展，企业面临的风险日趋多样化，与之相对应，企业管理层也越来越重视风险管理，我国于2006年6月，由国资委出台《中央企业全面风险管理指引》，旨在推进与强化大型国有企业的风险管理制度建设。内部审计将促进企业的风险管理作为自身的主要职责，但是，如何在风险管理流程中，履行监控和评价的控制职能，大多数企业的内部审计人员仍然处于摸索阶段。 一、内部审计在风险管理中的作用及流程简述 风险管理是企业的决策层及经营层的职责，内部审计只对企业的风险管理程序的健全性及执行的有效性进行测试及评估，对制度、程序、应对措施的不足进行风险提示。 内部审计在风险管理中的作用表现在三个方面，一是鉴别风险；二是区分可控制的风险；三是指出缺乏控制或过度控制的区域并提出建议。 内部审计了解被审计对象面临的风险，是进行风险鉴别的起点。企业面临的风险，基本上可以划分为系统风险和特有风险，系统风险是指在市场经济条件下，同一行业所共同面对的风险，一般与人文、地理、法律、法规、财政政策、 技术进步等宏观因素有关，企业无法改变也无可避免，只能通过内部调整来加以适应；特有风险，是指某一单个企业因自身特点所面临的独有风险，按实体内容包括营销风险、财务风险、产品开发风险、组织机构风险、内部控制风险等。 内部审计应针对审计对象广泛收集风险因素，进行筛选和分析，得出影响企业经营目标实现的重大不确定因素，视为企业应该予以管理的风险，做为评价企业风险管理范围的恰当性的主要参考指标。 内部审计人员应将审计独立分析的结果与企业已经关注并实施管理的风险进行比对，根据风险审计的重要性理论，参照企业风险管理方 针、政策，按风险管理目标的要求，运用专业方法对审计对象风险范围、 识别、评析、管理等方面进行查证和鉴别，对风险管理及处理方法的合理性和有效性做出评价。 二、风险管理审计的具体应用 (一)建立内部审计信息平台，广泛收集风险因素掌握丰富的信息资源是准确把握风险管理审计重点的前提条件。我们的作法是针对公司总部及下属分、子公司，以审计对象为单元，建立审计信息平台，按季度定期收集相关风险信息，信息平台由四部分构成：一是基本信息栏。组织形式、 主导产品及特点、行业背景、政策影响、经营理念、发展战略等；二是历史审计信息栏。历年的审计范围及方法、审计发现的问题及整改情况、内部控制评价结论、历次审计提示的风险等；三是当前信息栏。经营信息(收入、成本、费用、资产、负债等)；绩效评价信息(财务效益状况、资产营运状况、发展能力、营销能力)等；四是风险管理信息栏。战略风险对企业的影响(宏观经济运行、行业状况、国家产业政策趋势及变化、技术及创新、市场需求、 上下游客户关系、竞争对手情况及差距等)；市场风险信息(产品价格及供需、主要客户的信用、能源及原材料供应关系、税收利率汇率的变化等)；运营风险信息(新产品开发、市场开发与营销、管理层专业背景及经营能力、专业技术人员结构等)、法律与道德方面的风险信息(影响企业的新法律和政策、员工的道德及操守、重大法律纠纷及诉讼情况、知识产权情况)等。 审计信息平台动态更新，在实施风险审计前，审计人员可以充分了解及预测被审计单位经营过程中的风险因素，为实施现场审计筛选审计重点及要点打下坚实的基础。 (二)确定风险管理审计重点和要点1.基本风险因素分析 (1)主要经营者的管理能力及道德水平。对管理能力 第2012年第12期（总第411期） 商业经济 SHANGYE JINGJI No.12，2012Total No.411 [文章编号]1009-6043 （2012）12-0098-0298--

iia立场公告_内部审计在企业全面风险管理中的作用.docx

IIA立场公告：内部审计在企业全面风险管理中的作用 简介 风险管理对于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险，诸如社会、道德、环境及财务和运营方面的风险，并解释如何管理风险使之降低到可接受的水平。同时，全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认和咨询作用，利用各种方式协助全面风险管理的实现。 什么是企业全面风险管理？ 人们从事风险管理活动以识别、评估、管理和控制各类事项或情况。这些事项或情况涵盖单个项目或狭义的风险类型（如市场风险）以及整个组织面临的威胁和机遇。本立场公告所阐述的原则可以用于指导内部审计对各类风险管理的参与，但是我们特别关注企业的全面风险管理，因为这更有助于改善组织的治理过程。 企业全面风险管理（ERM）是贯穿整个组织的具有结构性、一致性和持续性的过程，用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。 企业全面风险管理的责任 董事会对确保风险得到管理负全部责任。实践中，董事会将风险管理框架的运作授权给管理团队来执行，由管理团队负责完成以下所列的各项活动。可以设立一项单独的职能协调和项目化管理这些活动，并利用专业技能和知识。 组织中的每个人都在确保成功的企业全面风险管理中发挥作用，但管理层对识别和管理风险负主要责任。

企业全面风险管理的好处 企业全面风险管理框架能够在协助组织管理风险从而实现目标方面做出重大贡献，其好处包括：为实现组织目标提供更大的可能性；在董事会层面综合报告不同的风险；提高对主要风险及其广泛影响的认识；识别和分担跨业务风险；对重要事项集中管理；减少意外或危机；在组织内部更加关注用正确的方法做正确的事情；对将要采取的行动增加变更的可能性；具备为获取更高回报而承担更大风险的能力；更有依据的风险承受和决策。 企业全面风险管理活动 企业全面风险管理活动包括：说明和沟通组织目标；确定组织的风险偏好；建立适当的内部环境，包括风险管理框架；识别影响目标实现的潜在威胁；评估风险（如，威胁的影响和发生可能性）；选择和实施风险应对；采取控制和其他应对措施；组织中所有层级采用一致的方式进行风险信息沟通；集中监督和协调风险管理过程及结果；为风险管理的效果提供确认。 对企业全面风险管理的确认 董事会或同类机构的主要要求之一是确保风险管理过程有效运作且主要风险被控制在可接受的水平。对全面风险管理的确认源自不同的渠道，其中来自管理层的确认是最基本的，应当与客观确认相结合，而内部审计是客观确认的主要来源；其它来源包括外部审计师和独立的专家检查。通常内部审计师对以下三方面提供确认：风险管理过程，包括其设计和运行情况；对“主要”风险进行管理，包括控制的效果和其他应对措施；可靠、适当的风险评估及对风险和控制情况的报告。 内部审计在企业全面风险管理中的确认作用

《现代企业风险管理审计》读书笔记

《现代企业风险管理审计》 读书报告

正如《现代企业风险管理审计》所述，审计业界并非尚未认识到其面临风险的真正根源，目前需要做的是研究并实施如何在审计行为中识别，控制风险，并使该理念和模式体现在审计各阶段具体的审计程序中，而不是仅仅在审计计划阶段对固有风险进行简单的分析。要做到这一点，传统的审计理念和模式，由于其更多的是为了关注财务报表风险而关注报表和企业帐目，而不是从企业经营风险，管理层风险管理的角度来关注财务报表，因而无法实现审计风险控制的有效性，也使审计在为整个财富价值链中的价值无法进一步得到体现。传统的审计方法除了在理念存有不足外，还欠缺足够的可以用来识别现代企业经营风险及其控制的审计工具，模型和方法; 而企业风险管理审计模式，正是从企业经营风险，风险管理角度分析审计风险，实施审计程序，从财务报表风险的源头——企业经营风险角度去关注财务报表风险，从而为风险降至可接受水平提供有效保障，并实现审计目标同整个商业社会的共同目标达到一致。 《现代企业风险管理审计》是CPA视角的中国第一部现代企业风险管理著作。《现代企业风险管理审计》借鉴国内外风险管理方面的知识，在风险审计的概念、目标、程序以及专业判断等方面有一定创新和突破；在具体风险的审计上，精心编制国内外企业典型案例，具有可操作性。并提出了企业风险管理审计模式，从企业经营风险，风险管理角度分析审计风险，实施审计程序，财务报表风险的源头——企业经营风险角度去关注财务报表风险，从而为风险降至可接受水平提供有效保障，并实现审计目标同整个商业社会的共同目标达到一致。书中提供了大量的风险管理审计工具，模型和方法以使新的审计理念可付诸实践。 一、《现代企业风险管理审计》强调内部审计在企业风险管理中角色和作用 《现代企业风险管理审计》第2页对内部审计在企业风险管理中角色和作用

风险管理审计办法

. ***********公司 风险管理审计办法 TS-KP-XS-** 号：编 : 2013 本版 制：审计部编准：董事会批 **日年2013**月

****************公司内部控制体系 . 范文． . 风险管理审计办法 目录：共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要内容 第八章风险管理审计取证的评价标准 第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的内容 第十章附则

. 范文． . 第一章总则 为了规范内部审计人员对公司全面风险管理的审查与评价行为，第一条根据 中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计（或风险审计）是指公司内部审计机构根据公司全面风险管理的目标和政策，采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试，以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷，进而提高公司风险管理的效率和效果，保障企业战略目标的实现。 第三条本办法所称风险管理，是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理，是指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理风气，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******有限公司（以下简称“公司”）及所属各分公司、全资子公司的内部审计工作，控股子公司的内部审计部门参照执行。 第二章风险管理审计的目标 第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策，评价公司是如何通过实施风险管理从而实现企业各类管理目标的，进而评价公司风. 范文． . 险管理的效率和效力，提出改进措施，以保障公司全面风险管理目标的实现，最终支持和保障公司总体战略目标的实现。 第六条风险管理审计总目标的具体化就是风险管理审计具体目标。风险管理审计具体目标可分为一般风险管理审计目标和专项风险管理审计目标两个层次。

企业风险管理审计案例研究1.doc

企业风险管理审计案例研究1 企业风险管理审计案例研究 摘要：本文以美国COSO委员会2004年9月制定发布的《企业风险管理—整合 框架》为理论基础，以中国某集团为案例对象，针对风险管理流程中存在的问题和不足提出改进建议和对策，对风险管理理论如何在集团企业实践运用进行探讨。 关键词：风险管理；审计；系统 企业作为现代经济运行体系中一个基本单位，在其生存、发展的过程中时刻面临着各种各样的风险，对这些风险的把握往往决定了企业的成功或失败与生死存亡。近年来，由于企业缺乏风险意识，没有对风险实施实质管理而导致破产或整顿的事件时有发生，如科龙集团、新疆德隆集团、四川长虹集团、中航油（新加坡分公司）中国储备棉管理总公司等，这些“企业灾难”的发生，促使中国企业越来越重视风险管理。这就是通过风险的综合处理与全面控制，把企业生产经营活动中面临的风险损失减小到最低程度，即使灾害发生后，也能及时采取补救措施，以最小的成本防范最大风险效果，促使企业提高经营效益。确保企业经营目标的顺利实现。 一、风险管理理论框架 风险管理理论发展至今，不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解，于是产生了不同的理论派别。

本文的理论框架主要来源于美国COSO委员会制定发布的《企业风险管理——整合框架》。 二、公司简介 某集团有限公司是中国最大的肉制品生产企业之一，其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市，拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术，以其独有的技术方法，研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验，集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年，冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品，自2002年至2004年，其市场占有率连续三年位居中国大型零售商销售首位。对某集团而言，企业的迅速壮大是成功的标志，但更是企业所面临的挑战。作为一家迅速发展中的企业，集团深刻意识到专业化管理对于企业壮大的重要性。因此，集团时刻致力于强化企业的专业化管理，增强企业的核心竞争力。 三、某集团风险管理流程存在的问题及对策建议 （一）风险管理文化 1. 存在的问题。某集团虽然在香港联合证券交易所上市，但其实质仍是一中国民营企业，该企业按照香港的《上市规则》建立了法人治理结构，建立健全了一系列“法治”的规章制度，但其“人治”的色彩非常浓厚。内部控制对高级管理层的约束力较弱。

全面风险管理审计业务规范

全面风险管理审计业务规范 1 有关定义与基本要求 1.1 定义 1.1.1 风险是指在公司及企业发展过程中，各种不确定性对公司及企业实现战略及经营目标的影响。风险一般分为战略风险、财务风险、市场风险、运营风险和法律风险等5个一级风险，也可分为决策风险与执行风险或内部风险与外部风险等。 1.1.2 全面风险管理是指围绕战略目标，由公司董事会、管理层和员工共同参与，通过在经营管理的各个环节和经营过程中执行风险管理流程、建立全面风险管理体系、培育风险管理文化，为实现公司风险管理的总体目标提供合理保证的过程和方法。 1.1.3 风险管理审计是指审计部门和审计人员通过实施必要的审计程序，对被审计单位全面风险管理情况特别是风险评估、风险应对所进行的审查评价，重点关注面临的内、外部风险是否已得到充分、适当的确认、防范和控制。 1.2 开展风险管理审计应遵循以下原则： 1.2.1 谨慎性原则。审计人员应深入查找被审计单位生产经营管理中面临的各项风险，客观谨慎评估风险等级以及风险应对效果，充分考虑各项风险可能造成的损失。 1.2.2 成本效益原则。审计部门实施风险管理审计项目，应合理利用审计资源，严格控制审计成本，以适当的投入实现审计目标。 1.2.3 全面性原则。审计人员应将被审计单位经营管理的所有领域和

环节的风险管理情况纳入审计检查范畴。 1.2.4 重要性原则。审计人员应主要关注被审计单位重点业务事项和高风险领域的风险管理情况。 1.3 本指引适用于公司审计部门审查评价被审计单位全面风险管理工作开展情况，对被审计单位进行的专项风险管理审计，可参考本指引相关内容。 2 各级审计部门职责 2.1 审计部负责组织制定风险管理审计制度，提出年度风险管理检查评价计划并组织实施，对公司全面风险管理体系的健全性和运行的有效性进行检查评价，提出改进完善意见，向风险管理职能部门反馈，并向董事会专门委员会报告。 2.2 审计部派出机构（审计组）和企业审计部门负责本指引的贯彻落实，按照有关要求开展风险管理审计,并应将审计发现的重大问题，除向本单位报告外，还应及时报告审计部，同时审计过程中注意探索经验，并接受上级审计部门的业务指导与监督。 3 工作程序及内容、方法 3.1 审前准备。实施风险管理审计项目，在选定审计组组长与主审、成立审计组之后，应根据需要对被审计单位进行审前调查，在掌握有关总体情况的基础上编制审计实施方案，并视情况开展审前培训。3.1.1 审前调查。通过听取汇报、查阅资料、个别访谈、远程在线查询等方法，了解被审计单位基本情况、风险管理情况以及外部环境情况，分析判断风险管理薄弱环节。