内部审计具体准则第16号——风险管理审计
第一章 总 则
第一条 为了规范内部审计人员对组织内部控制中的风险管理状况进行审查与评价,根据《内部审计基本准则》制定本准则。
第二条 本准则所称风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。
第二章 一般原则
第四条 风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
第五条 组织管理层负责确定可接受的风险范围,建立、健全风险管理机制并使之有效运行。
第六条 风险管理包括以下主要阶段:
(一)风险识别,即根据组织目标、战略规划等识别所面临的风险;
(二)风险评估,即对已识别的风险,评估其发生的可能性及影响程度;
(三)风险应对,即采取应对措施,将风险控制在组织可接受的范围内。
第七条 内部审计机构和人员应当充分了解组织的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。
第八条 风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价,也可对职能部门风险管理进行审查与评价。
第三章 风险管理的审查与评价
第九条 内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。
第十条 外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:
(一) 国家法律、法规及政策的变化;
(二) 经济环境的变化;
(三) 科技的快速发展;
(四) 行业竞争、资源及市场变化;
(五) 自然灾害及意外损失;
(六) 其他。
第十一条 内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:
(一)组织治理结构的缺陷;
(二)组织经营活动的特点;
(三)组织资产的性质以及资产管理的局限性;
(四)组织信息系统的故障或中断;
(五)组织人员的道德品质、业务素质未达到要求;
(六)其他。
第十二条 内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,重点关注以下两个要素:
(一)风险发生的可能性;
(二)风险对组织目标的实现产生影响的严重程度。
第十三条 内部审计人员应当充分了解风险评估的方法。风险评估可以采用定性或定量的方法进行。
(一)定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度。
(二)定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。
第十四条 内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(一) 已识别的风险的特征;
(二) 相关历史数据的充分性与可靠性;
(三) 管理层进行风险评估的技术能力;
(四) 成本效益的考核与衡量;
(五) 其他。
第十五条 内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(一)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(二)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(三)定量方法一般情况下会比定性方法提供更为客观的评估结果。
第十六条 内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。根据风险评估结果作出的风险应对措施主要包括以下几个方面:
(一)回避。是指采取措施避免进行可产生风险的活动;
(二)接受。是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;
(三)降低。是指采取适当措施将风险降低到组织可接受的范围内;
(四)分担。是指采取措施将风险转移给其他组织或保险机构。
第十七条 内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:
(一)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;
(二)采取的风险应对措施是否适合本组织的经营、管理特点;
(三)成本效益的考核与衡量。
第十八条 内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果,并提出改进建议。
第十九条 风险管理的审查和评价结果应反映在内部控制审计报告中,必要时应出具专项审计报告。
第四章 附 则
第二十条 本准则由中国内部审计协会发布并负责解释。
第二十一条 本准则自2005年5月1日起施行。
