2010年内审师辅导了解内部审计活动在组织的治理中的作用(3)内审师资格考试
文章作者 100test 发表时间 2010:01:14 18:25:43
来源 100Test.Com百考试题网
风险管理
2110- 风险管理- 内部审计活动应该帮助组织识别并评价重要的风险暴露,并促进风险管理和控制系统的改进。
2110.A1 - 内部审计活动应该监控和评价组织风险管理系统的效果。
2110.A2 - 内部审计活动应该评价与组织的以下方面的治理、运营和信息系统有关的风险暴露:财务和运营信息的可靠性和完整性;运营的效果和效率;资产的安全保障;法律、法规以及合同的遵守情况。
2110.C1 - 在咨询业务期间,内部审计师应该关注的风险要和业务目标保持一致,并且应该警惕存在的其他重大风险。
2110.C2 - 内部审计师应该将在咨询业务中对风险的了解结合到发现和评价组织的重大风险暴露的过程中去。
IIA实务公告2110-1:评估风险管理过程的适当性
风险管理是管理层的关键职责。管理层为实现其业务目标,应确保组织具有合理的风险管理过程,且能发挥作用。董事会和审计委员会对于风险管理过程的存在性、适当性、有效性方面负有监督角色。内部审计师应协助管理层和审计委员会。董事会对组织的风险管理和控制过程负责。
对组织的风险管理过程进行评估和报告通常是审计的重点。
每个组织都可以选择用以执行其风险管理过程的特定方法。内部审计师应该确定所有参与公司治理的关键群体和个人(包含董事会和审计委员会)都了解这些方法。内部审计师必须使自身相信组织的风险管理过程,关注5个关键目标,从而形成风险管理过程整体适当性的意见。确认并优先考虑业务战略和活动带来的风险;管理层和董事会已确定组织可接受的风险程度,包括为实现组织的战略目标而接受的风险;设计并执行风险缓解活动,将风险减少或在其他方面将风险管理在管理层和董事会可以接受的程度;开展持续的监控活动,定期重估风险和控制的效果,从而管理风险;董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应定期向利益关系方沟通风险、风险策略和控制情况。
风险管理过程应按照组织活动的性质来设计。包括四种风险管理类型。
内部审计师应取得充分的信息以便使他们相信,风险管理过程的目标的实现是为了形成风险管理过程适当性的意见。在收集这类信息时,内部审计师应考虑以下类型的业务程序:
·研究和回顾有关风险管理方法的参考资料和背景信息,以此为基础来评估组织采用的风险管理过程是否适当,并能代表行业的最佳实务发展方向。
·研究和回顾与组织开展业务有关的当前发展趋势、行业信息,以及其他恰当的信息资源,从而确定可以影响组织的风险和风险暴露,以及用于针对监控和重估这些风险的相应控制程序。
·审核公司政策、董事会和审计委员会的会议记录,确定组织的商业战略、风险管理理念和方法、风险偏好以及可以接受的风险。
·审核由管理层、内部审计师、外部审计师以往做出的风险评价报告,以及其他来源的风险评价报告。
·和基层管理者、执行管理层会谈,确定业务单位目标、相应的风险以及管理层的风险缓解和控制方面的监控活动。
·消化信息,从而独立地评价风险缓解、监控的效果以及对风险和相应控制活动的沟通效果。
·评估风险监控活动报告链的适当性;审核有关风险管理结果报告的适当性和有效性。
·审核管理层风险分析的全面性,审核为补救风险管理过程带来的风险所采取的措施以及建议的改进方案。