以多角度拓展、多渠道核实、多层面访谈等为手段,围绕风险管理体系、风险信息系统、风险应对措施等九方面开展。
一是企业的风险管理目标是否明确,内部法人治理结构是否建立健全,是否明确董事会、监事会和管理层在风险管理中的职责,是否在董事会下设立风险管理委员会并明确其职责;是否设立风险管理部门负责风险管理工作;
二是企业管理决策层的全面风险管理意识是否到位,企业是否认为全面风险管理是消极的无奈之举,只会消耗资源,不会创造价值;
三是企业全面风险管理组织布局是否到位,是否建立由业务部门、风险管理部门和审计部门构成的风险管理“三道防线”,查阅有关组织机构设置的文件、单位职责分工文件,确定是否进行必要分工监督;
四是企业的全面风险管理制度是否健全,是否形成有效的风险管控手段和完善的风险管控机制。
一是企业有无倡导一个鲜明的全面风险管理理念,有无明确全面风险管理文化的价值观;
二是企业是否制订完善的规章制度,确立各项相关的工作流程;
三是企业是否通过培训、内部报刊、简报板报、标语、会议等多种形式宣贯全面风险管理理念;
四是企业是否已经形成一套独特的风险管理文化,全面风险管理是否已经潜移默化深入干部员工意识,并将风险管理意识转化为员工的共同认知和自觉行动,从而形成浓厚的风险管理文化氛围。
一是企业是否将信息技术应用于全面风险管理的各项工作,是否建立涵盖风险管理基本流程的信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等;
二是企业是否采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性;
三是风险管理信息系统是否能够进行对各种风险的计量和定量分析、定量测试,能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态,能够满足风险管理内部信息报告制度的要求;
四是风险管理信息系统是否实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门、业务单位的风险管理综合要求;
五是企业是否确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
一是检查是否持续、广泛收集与本单位业务有关的内、外部信息与风险案例;
二是检查企业各相关部门是否按照信息收集职责进行信息收集,确保信息收集职责的落实,并按照规定的机制将信息加工整理后上报;
三是检查企业有关职能部门是否随时关注商务网站、专业报刊等各种信息渠道,是否将有关信息经整理后及时填入信息收集清单或风险案例库,为风险分析和评价奠定基础;
四是检查收集的信息与风险案例是否完整、准确、及时,将审前准备掌握的情况与被审计单位信息收集表进行对比,发现是否遗漏重要信息或风险案例;
五是抽查信息收集表、风险案例表中的部分内容,复核有关信息与案例是否准确,收录是否及时。
一是分析被审计单位评估所属三级风险依据的信息、复核有关信息、数据来源是否可靠,风险评估方法选择及运用是否得当;
二是向人事部门了解有关评估人员的职业经历与专业技术资格,检查风险评估人员是否具备专业技术胜任能力,对有关风险评估人员进行访谈,判断其对所负责业务的熟悉程度,评价被审计单位风险评估基础工作的可靠性;
三是从被审计单位风险库中抽取部分二级风险,调阅相关风险评估工作底稿,检查被审计单位使用的风险识别方法是否适用于具体评估对象,风险分析过程中是否根据掌握的信息正确选择定性或定量方法;
四是收集和分析相关信息,参考被审计单位风险分析、评价标准,确认风险发生可能性、影响程度与风险等级的判断和评价结果是否合理、恰当、可靠。
一是企业是否通过内部控制、管理制度或专门的风险应对措施来应对面临的风险,应对措施是否与本单位内部、外部环境相适应,所采取的风险应对措施是否符合风险管理策略以及成本效益原则,是否能够“有效实施”;
二是从被审计单位风险库中选取三级风险,检查有关内部控制实施细则、管理制度中有无防控该风险的内容、条款,能否“有效运行”;
三是估算风险应对措施的投入成本与发生相关风险事件可能造成的损失,判断风险控制成本是否过大,是否“有效针对”;
四是检查风险应对措施是否“有效运行”,并能够发挥预期的风险防控作用,检查剩余风险水平是否符合被审计单位风险管理目标;
五是抽查风险应对措施,通过实施内部控制测试或检查专业管理制度、专门措施的执行,剩余风险水平是否符合风险管理目标,是否能够“有效监管”。
一是检查企业是否在每年年末开展风险管理工作总结,对本年度风险管理工作开展情况、取得成效情况以及发生风险情况进行总结,制订下一年度重大风险解决方案;
二是检查企业专业部门、风险管理部门是否定期对风险管理工作进行自查和检验,及时发现缺陷并加以改进;
三是内部审计部门是否对风险管理体系进行检查,以发现存在的缺陷并提出改进意见和建议;
四是查阅风险管理部门风险管理检查报告和整改考核资料,检查企业是否定期编制全面风险管理报告并按照规定程序经批准后上报。
一是检查企业是否依据不同风险的特征设置风险预警指标,并依据企业风险承受度确定风险预警标准,构建企业风险预警体系;
二是检查所设置的预警指标是否合理、适当。审计人员应依据被审计单位建立的风险临界点,与风险管理层制定的临界点进行对比,以此判断被审计单位的风险预警系统是否合理有效;
三是检查所制订的风险应急预案是否操作可行、具有针对性,当风险突然发生时能否根据应急预案紧急迅速处理,措施到位,将风险损失降到可以接受范围内,不至于造成人员伤亡、环境污染、企业倒闭等重、特大危机;
四是检查企业是否定期对应急预案进行演练,查看演练记录、演练总结与评估、询问演练参与人员,检查类似风险的防范情况等,确认应急预案演练不走过场,真正起到保障作用。
一是检查企业是否每年组织内部风险管理部门对有关部门、单位风险管理工作进行检查、现场评估考核,是否出具检查报告等,并对发现的问题提出改进建议;
二是检查是否将风险管理考核结果纳入企业整体绩效考核中,并与单位经济指标奖惩挂钩。
