解释《国际内部审计专业实务标准》中的第2110条标准

本实务公告性质 来自www.PPkao.com

内部审计师可能会被委以就组织的风险管理过程是否适当向管理层和审计委员会提供确认的职责。此项职责要求审计师就组织风险管理过程是否足以保护其资产、声誉以及持续运营能力发表意见。本公告为审计师提供指导，指导他们在对组织风险管理过程的适当性发表意见时，应该考虑哪些主要风险管理目标。本实务公告只涉及评估与报告组织风险管理 过程的有效性。其他实务公告将更深入地阐述控制和咨询问题。本公告认为组织的风险管理过程是一项重要的工作程序，应该像其他重要的战略过程那样对其进行评估。

1．风险管理是一项重要的管理责任。要实现其业务目标，管理层应该保证组织拥有健全的风险管理过程，并能发挥作用。董事会和审计委员会应该在确定组织是否建立适当的风险管理过程以及这些程序适当有效地动作等方面起监督作用。内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进意见，对管理层和审计委员会提供帮助。管理层和委员会负责组织的风险管理和控制过程。但是，起咨询性作用的内部审计师能够通过发现、评价并运用风险管理的方法和控制措施，帮助组织解决这些风险问题。

2．一般来讲，对组织的风险管理过程进行评估和报告是审计的重点。评价风险过程进行有别于审计师运用风险分析进行审计的计划工作。但是，来自全面风险管理过程的信息（包括对管理层和董事会所关心问题的确认），包括发现管理层和董事会的考虑事项，有助于内部审计师制定审计工作计划。

3．各个组织都可以选择一套特定的方法实施风险管理过程。内部审计师应该确定所有参与公司治理的团体与个人，包括董事会和审计委员会，都了解此方法。内部审计师必须确认组织的风险管理过程是否着眼于 5 个主要目标，以从总体上对风险管理过程适当性发表意见。风险管理过程的 5 个主要目标是：

找出业务战略与活动领域的风险并进行优先排序。 管理层和委员会已经确定了组织可以接受的风险水平，包括为实现组织的战略计划而接受的风险。 设计、实施了把风险降低至管理层和董事会可接受水平的也降低风险的活动。 开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险。 董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况。

4．内部审计师应该认识到不同的组织在如何实施风险管理上可能有很大的区别。应该根据组织的活动性质来设计风险管理过程。根据组织的业务活动的规模和复杂性，风险管理过程可能是：

正式或非正式的； 定量的或定性的； 分散在各个业务部门的或集中在公司层次上。

一个组织所应用的具体过程必须适合该组织的文化、管理风格以及工作目标。例如，组织如果利用金融衍生工具或其他复杂的资本市场的产品，就必须使用定量的风险管理工具。而规模较小、不太复杂的组织可以通过非正式的风险委员会，讨论组织的风险事宜，并定期开展活动。审计师应该确定所选择的方法对于组织的活动性质来说是全面的、适当的。

5．内部审计师应该获取足够的证据，确认五个主要风险管理过程目标是否得到实现，以此形成关于风险管理过程是否适当的意见。在收集此类证据的过程中，内部审计师应该考虑下列审计程序： 考试用书

研究、评估有关风险管理方法的参考资料和背景信息，在此基础上评估组织所应用的过程是否适当、是否代表了本行业的最佳实务。 研究、评估与组织开展的业务有关的当前发展情况、趋势、行业信息以及其他恰当的信息资源，确定是否存在可能影响组织的风险，用以解决、监督与再评估这些风险的相关控制程序。 检查公司政策、董事会和审计委员会的会议记录，确定组织的经营战略、风险管理理念和方法、对风险的偏好以及对风险的接受水平。 检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告。 与行政经理和业务部门经理交谈，确定业务部门的目标、相关的风险以及管理层开展的降低风险的活动和控制监督活动。 收集信息，独立评估降低风险、监督、风险报告和相关控制活动的有效性。 评估针对风险监督活动所建立的报告关系的恰当性。 评估风险管理结果报告的充分性和及时性。 评估管理层的风险分析是否全面、评估为纠正风险管理过程中发现的问题而采取的措施和提出的改进建议的完整性。 确定管理层的自我评估过程的有效性，这可以通过以下方式来进行：实地观察、直接检测监控程序、测试监督活动所用信息的准确性以及其他恰当的技术。 评估与风险有关、可能说明风险管理实务中存在薄弱环节的问题，在适当情况下，与管理层、审计委员会和董事会就此进行讨论。如果审计师认为管理层接受的风险水平与组织 的风险管理战略和政策不一致，或认为该水平不能被组织接受，那么审计师应该参考“第2600条标准—管理层对风险的接受”，另外还可参考相关的指南寻求其他建议。