（一）风险管理机制的审查与评价

　　企业的风险管理机制是企业进行风险管理的基础，良好的风险管理机制是企业风险管理是否有效的前提。因此，内部审计部门或人员需要审查以下方面，以确定企业风险管理机制的健全性及有效性。包括：

　　1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。

　　2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序，以确保风险管理的有效性。

　　3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。

　　（二）风险识别的适当性及有效性审查

　　风险识别是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容：

　　1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析，风险识别是关键性的第一步。

　　2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后，运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类，并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是：采取一定的方法分析风险因素、风险的性质以及潜在后果。

　　需要注意是，风险管理的理论和实务证明没有任何一种方法的功能是万能的，进行风险识别方法的适当性审查和评价时，必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。

　　（三）风险评估方法的适当性及有效性审查

　　内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时，内部审计人员应当充分了解风险评估的方法，并对管理层所采用的风险评估方法的适当性和有效性进行审查。

　　内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：

　　（1）已识别的风险的特征；

　　（2）相关历史数据的充分性与可靠性；

　　（3）管理层进行风险评估的技术能力；

　　（4）成本效益的考核与衡量等。

　　3 审查风险评估方法应当遵循的原则

　　内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：

　　（1）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

　　（2）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

　　（3）定量方法一般情况下会比定性方法提供更为客观的评估结果。

　　（四）风险应对措施适当性和有效性审查

　　内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。

　　内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：

　　（1）采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；

　　（2）采取的风险应对措施是否适合本组织的经营、管理特点；

　　（3）成本效益的考核与衡量等。

上一页  [1] [2]