內部審計具體準則第16號——風險管理審計
第一章 總 則
第一條 為了規范內部審計人員對組織內部控制中的風險管理狀況進行審查與評價�,根據《內部審計基本準則》制定本準則����。
第二條 本準則所稱風險管理�,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程�。風險管理旨在為組織目標的實現提供合理保證�。
第三條 本準則適用于各類組織的內部審計機構����、內部審計人員及其從事的內部審計活動。
第二章 一般原則
第四條 風險管理是組織內部控制的基本組成部分��,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一�。
第五條 組織管理層負責確定可接受的風險范圍,建立、健全風險管理機制并使之有效運行。
第六條 風險管理包括以下主要階段:
?�。ㄒ唬╋L險識別����,即根據組織目標、戰略規劃等識別所面臨的風險�;
?。ǘ╋L險評估��,即對已識別的風險�,評估其發生的可能性及影響程度�;
(三)風險應對��,即采取應對措施�,將風險控制在組織可接受的范圍內����。
第七條 內部審計機構和人員應當充分了解組織的風險管理過程,審查和評價其適當性和有效性,并提出改進建議��。
第八條 風險管理包括組織整體及職能部門兩個層面����。內部審計人員既可對組織整體風險管理進行審查與評價,也可對職能部門風險管理進行審查與評價。
第三章 風險管理的審查與評價
第九條 內部審計人員應當實施必要的審計程序����,對風險識別過程進行審查與評價��,重點關注組織面臨的內����、外部風險是否已得到充分�、適當的確認。
第十條 外部風險是指外部環境中對組織目標的實現產生影響的不確定性,其主要來源于以下因素:
(一) 國家法律�、法規及政策的變化�;
?���。ǘ?經濟環境的變化;
?���。ㄈ?科技的快速發展��;
(四) 行業競爭��、資源及市場變化�;
(五) 自然災害及意外損失�;
(六) 其他。
第十一條 內部風險是指內部環境中對組織目標的實現產生影響的不確定性,其主要來源于以下因素:
?���。ㄒ唬┙M織治理結構的缺陷��;
(二)組織經營活動的特點�;
?�。ㄈ┙M織資產的性質以及資產管理的局限性;
?。ㄋ模┙M織信息系統的故障或中斷�;
?。ㄎ澹┙M織人員的道德品質、業務素質未達到要求��;
?。┢渌?span lang="EN-US">
第十二條 內部審計人員應當實施必要的審計程序�,對風險評估過程進行審查與評價�,重點關注以下兩個要素:
?。ㄒ唬╋L險發生的可能性;
?。ǘ╋L險對組織目標的實現產生影響的嚴重程度��。
第十三條 內部審計人員應當充分了解風險評估的方法。風險評估可以采用定性或定量的方法進行��。
?。ㄒ唬┒ㄐ苑椒ǎ侵高\用定性術語評估并描述風險發生的可能性及其影響程度。
?�。ǘ┒糠椒?�,是指運用數量方法評估并描述風險發生的可能性及其影響程度�。
第十四條 內部審計人員應當對管理層所采用的風險評估方法進行審查��,并重點考慮以下因素:
?�。ㄒ唬?已識別的風險的特征;
?�。ǘ?相關歷史數據的充分性與可靠性�;
(三) 管理層進行風險評估的技術能力����;
(四) 成本效益的考核與衡量�;
?���。ㄎ澹?其他�。
第十五條 內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
?���。ㄒ唬┒ㄐ苑椒ǖ牟捎眯枰浞挚紤]相關部門或人員的意見�,以提高評估結果的客觀性����;
(二)在風險難以量化�、定量評價所需數據難以獲取時����,一般應采用定性方法�;
(三)定量方法一般情況下會比定性方法提供更為客觀的評估結果����。
第十六條 內部審計人員應當實施適當的審計程序��,對風險應對措施進行審查��。根據風險評估結果作出的風險應對措施主要包括以下幾個方面:
(一)回避����。是指采取措施避免進行可產生風險的活動��;
(二)接受��。是指由于風險已在組織可接受的范圍內�,因而可以不采取任何措施;
?。ㄈ┙档汀J侵覆扇∵m當措施將風險降低到組織可接受的范圍內��;
?。ㄋ模┓謸J侵覆扇〈胧L險轉移給其他組織或保險機構����。
第十七條 內部審計人員在評價風險應對措施的適當性和有效性時�,應當考慮以下因素:
?�。ㄒ唬┎扇★L險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內��;
(二)采取的風險應對措施是否適合本組織的經營、管理特點����;
?�。ㄈ┏杀拘б娴目己伺c衡量。
第十八條 內部審計人員應向組織適當管理層報告審查和評價風險管理過程的結果��,并提出改進建議�。
第十九條 風險管理的審查和評價結果應反映在內部控制審計報告中,必要時應出具專項審計報告��。
第四章 附 則
第二十條 本準則由中國內部審計協會發布并負責解釋�。
第二十一條 本準則自2005年5月1日起施行。
