企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构实现目标。它有其自身的特点:
1.审计目标:确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从而实现企业目标。
2.审计策略: ①了解企业战略,经营及价值目标,以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。 ②了解企业的风险管理策略及风险管理措施。 ③评价企业的风险管理措施,并有效地将风险降至可接受水平。 ④关注风险管理缺口的有效性。
3.测试方法:实质性测试与符合性测试相结合,其运用取决于企业风险管理的有效性。
4.管理建议:识别出每个风险关键点所存在的风险管理缺口。
企业风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理的有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计的有效性。
企业风险管理审计应当包括以下方面的内容:
1.通过审查风险管理组织机构的健全性、风险管理程序的合理性、风险预警系统的存在及有效性确定企业风险管理机制的健全性及有效性:
2.通过审查风险识别原则的合理性、风险识别方法的适当性确定风险识别的适当性及有效性;
3.实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
