內部審計具體準則第16號——風險管理審計

 
第一章總　則
 第一條　為了規範內部審計人員對組織內部控制中的風險管理狀況進行審查與評價，根據《內部審計基本準則》制定本準則。
 第二條　本準則所稱風險管理，是對影響組織目標實現的各種不確定性事件進行識別與評估，並採取應對措施將其影響控制在可接受範圍內的過程。風險管理旨在為組織目標的實現提供合理保證。
 第三條　本準則適用於各類組織的內部審計機構、內部審計人員及其從事的內部審計活動。 
第二章 一般原則 
第四條　風險管理是組織內部控制的基本組成部分，內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。
 第五條　組織管理層負責確定可接受的風險範圍，建立、健全風險管理機制並使之有效運行。
 第六條　風險管理包括以下主要階段：
 （一）風險識別，即根據組織目標、戰略規劃等識別所面臨的風險；
 （二）風險評估，即對已識別的風險，評估其發生的可能性及影響程度；
 （三）風險應對，即採取應對措施，將風險控制在組織可接受的範圍內。
 第七條　內部審計機構和人員應當充分了解組織的風險管理過程，審查和評價其適當性和有效性，並提出改進建議。
 第八條　風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體風險管理進行審查與評價，也可對職能部門風險管理進行審查與評價。
 第三章風險管理的審查與評價 
第九條　內部審計人員應當實施必要的審計程式，對風險識別過程進行審查與評價，重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。
 第十條　外部風險是指外部環境中對組織目標的實現產生影響的不確定性，其主要來源於以下因素： （一）國家法律、法規及政策的變化；
 （二）經濟環境的變化； 
（三）科技的快速發展；
 （四）行業競爭、資源及市場變化； 
（五）自然災害及意外損失；
 （六）其他。
 第十一條　內部風險是指內部環境中對組織目標的實現產生影響的不確定性，其主要來源於以下因素： （一）組織治理結構的缺陷；
 （二）組織經營活動的特點；
 （三）組織資產的性質以及資產管理的局限性；
 （四）組織信息系統的故障或中斷；
 （五）組織人員的道德品質、業務素質未達到要求；
 （六）其他。
 第十二條內部審計人員應當實施必要的審計程式，對風險評估過程進行審查與評價，重點關注以下兩個要素： 
（一）風險發生的可能性；
 （二）風險對組織目標的實現產生影響的嚴重程度。 
第十三條　內部審計人員應當充分了解風險評估的方法。風險評估可以採用定性或定量的方法進行。
 （一）定性方法，是指運用定性術語評估並描述風險發生的可能性及其影響程度。
 （二）定量方法，是指運用數量方法評估並描述風險發生的可能性及其影響程度。
 第十四條內部審計人員應當對管理層所採用的風險評估方法進行審查，並重點考慮以下因素：
 （一） 已識別的風險的特徵；
 （二） 相關歷史數據的充分性與可靠性； 
（三） 管理層進行風險評估的技術能力； 
（四） 成本效益的考核與衡量；
 （五） 其他。
 第十五條　內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：
 （一）定性方法的採用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性； 
（二）在風險難以量化、定量評價所需數據難以獲取時，一般應採用定性方法；
 （三）定量方法一般情況下會比定性方法提供更為客觀的評估結果。
 第十六條內部審計人員應當實施適當的審計程式，對風險應對措施進行審查。根據風險評估結果作出的風險應對措施主要包括以下幾個方面：
 （一）迴避。是指採取措施避免進行可產生風險的活動；