2120-风险管理
内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献。
释义
确定风险管理过程是否有效,是内部审计师对下列事项进行评估后的判断:
组织目标支持组织的使命,并与其保持一致;
●重大风险得到识别和评估;
●选定适当的风险应对方案,并符合组织的风险偏好;
●获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责。
风险管理过程通过持续性管理活动、个别评估或者两者结合的方式受到监督。
1、风险管理是高级管理层和董事会的重要职责。要实现组织的业务目标,管理层应当保证拥有健全且运转良好的风险管理过程,董事会则会在这些过程的适当性和有效性方面起到监督作用。董事会可能指示内部审计部门通过检查、评估、报告和/或提出改进管理层的风险过程的适当性和有效性的建议,来协助其完成监督职能。
2、管理层和董事会负责组织的风险管理和控制过程。但起咨询性作用的内部审计师也可以通过识别、评价并运用风险管理的方法和控制措施,帮助组织解决这些风险问题。
3、如果组织没有正式的风险管理过程,首席审计执行官要向管理层和董事会正式说明他们理解、管理和监督组织内部风险的职责,说明他们需要确认组织内确实运行着各种—即使是非正式的—过程,可以对主要风险提供一定程度的显性控制,以及对这些过程是如何管理和监督的。
4、首席审计执行官应该理解高级管理层和董事会期望内部审计在组织的风险管理过程中所要发挥的作用且这种理解应该体现在内部审计部门和董事会章程中。在组织的风险管理过程中,内部审计的职责定位要在所有相关部门和个人之间进行协调。内部审计部门在组织风险管理过程中的作用并非一成不变,可以包括:
●不发挥作用;
●将风险管理过程的审计作为内部审计计划的一部分;
●积极、持续地支持并参与风险管理过程,如:参加监督委员会、参与监管活动并报告情况;
●管理和协调风险管理过程。
5、从根本上说,高级管理层和董事会负责确定内部审计在风险管理中的作用。他们对内部审计作用的认识可能受到组织文化、内部审计人员能力以及所在国法律环境等因素的影响。然而,关于在风险管理过程中承担管理性职责及其对内部审计部门独立性的潜在威胁,需要经过充分的讨论及董事会的审批。
6、不同的组织实施风险管理的方法有很大区别。根据业务活动的估规模和复杂性,风险管理过程可能是:正式或非正式的;定量的或定性的;分散在各个业务部门或集中在公司层面。