以多角度拓展、多渠道核实、多层面访谈等为手段,围绕风险管理体系、风险信息系统、风险应对措施等九方面开展。
一是企业的风险管理目标是否明确,内部法人治理结构是否建立健全,是否明确董事会、监事会和管理层在风险管理中的职责,是否在董事会下设立风险管理委员会并明确其职责;是否设立风险管理部门负责风险管理工作;
二是企业管理决策层的全面风险管理意识是否到位,企业是否认为全面风险管理是消极的无奈之举,只会消耗资源,不会创造价值;
三是企业全面风险管理组织布局是否到位,是否建立由业务部门、风险管理部门和审计部门构成的风险管理“三道防线”,查阅有关组织机构设置的文件、单位职责分工文件,确定是否进行必要分工监督;
四是企业的全面风险管理制度是否健全,是否形成有效的风险管控手段和完善的风险管控机制。
一是企业有无倡导一个鲜明的全面风险管理理念,有无明确全面风险管理文化的价值观;
二是企业是否制订完善的规章制度,确立各项相关的工作流程;
三是企业是否通过培训、内部报刊、简报板报、标语、会议等多种形式宣贯全面风险管理理念;
四是企业是否已经形成一套独特的风险管理文化,全面风险管理是否已经潜移默化深入干部员工意识,并将风险管理意识转化为员工的共同认知和自觉行动,从而形成浓厚的风险管理文化氛围。
一是企业是否将信息技术应用于全面风险管理的各项工作,是否建立涵盖风险管理基本流程的信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等;
二是企业是否采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性;
三是风险管理信息系统是否能够进行对各种风险的计量和定量分析、定量测试,能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态,能够满足风险管理内部信息报告制度的要求;
四是风险管理信息系统是否实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门、业务单位的风险管理综合要求;
五是企业是否确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
一是检查是否持续、广泛收集与本单位业务有关的内、外部信息与风险案例;
二是检查企业各相关部门是否按照信息收集职责进行信息收集,确保信息收集职责的落实,并按照规定的机制将信息加工整理后上报;
三是检查企业有关职能部门是否随时关注商务网站、专业报刊等各种信息渠道,是否将有关信息经整理后及时填入信息收集清单或风险案例库,为风险分析和评价奠定基础;
四是检查收集的信息与风险案例是否完整、准确、及时,将审前准备掌握的情况与被审计单位信息收集表进行对比,发现是否遗漏重要信息或风险案例;
五是抽查信息收集表、风险案例表中的部分内容,复核有关信息与案例是否准确,收录是否及时。
一是分析被审计单位评估所属三级风险依据的信息、复核有关信息、数据来源是否可靠,风险评估方法选择及运用是否得当;
二是向人事部门了解有关评估人员的职业经历与专业技术资格,检查风险评估人员是否具备专业技术胜任能力,对有关风险评估人员进行访谈,判断其对所负责业务的熟悉程度,评价被审计单位风险评估基础工作的可靠性;
三是从被审计单位风险库中抽取部分二级风险,调阅相关风险评估工作底稿,检查被审计单位使用的风险识别方法是否适用于具体评估对象,风险分析过程中是否根据掌握的信息正确选择定性或定量方法;
