在尚未建立風險管理過程的機構中的作用 解釋《內部審計專業實務標準》中的第 2100 條標準 相關標準:第 2100 條標準
工作性質 內部審計部門評價並幫助改進機構的風險管理、控制和治理體系。
本實務公告性質
內部審計的定義要求採取“規範化的方法,對風險管理、控制和治理過程的有效性進行
評價和改善。”為了根據《內部審計專業實務標準》開展內部審計工作,內部審計師應該在 機構的風 險管理過程中起關鍵作用。但是,有些機構可能尚未建立風險管理過程。本實務 公告希望為內部審計師確定其在尚未建立風險管理過程的機構中應起的作用提供指導。內部 審計師在實際工作中可能需要考慮本實務公告以外的其他內容。是否遵守實務公告由審計 師自行選擇決定。
1.風險管理是管理人員的關鍵職責。要實現其業務目標,管理人員應該保證機構擁有 健全的風險管理過程,而且這些程式正在有效發生作用。董事會和審計委員會應該監督確保 機構建立恰當的風險管理過程並使這些過程充分有效地運做。內部審計師應該通過檢查、 評價、報告風險管理過程的充分性和有效性並提出改進建議來協助管理人員和審計委員會的 工作。但是,以諮詢顧問身份開展工作的內部審計師可以協助機構確定、評價並實施針對風 險的管理方法和控制措施。
2.對機構的風險管理過程進行評價和報告一般是審計的重點。評價風險管理過程有別 於審計師套用風險分析進行審計工作計畫。但是,來自綜合性風險管理過程的信息(包括對 管理層和董事會所關心問題的確認)有助於內部審計師計畫審計工作。
3.審計執行主管應該理解管理層和董事會期望內部審計部門在機構的風險管理過程中 起什麼作用。這種理解應該在內部審計部門和審計委員會各自的章程中得到規定。
4.如果機構尚未建立風險管理過程,內部審計師應該提請管理層注意這種情況,並同 時提出建立風險管理過程的相關建議。內部審計師應該就內部審計部門在風險管理過程中應 起的作用獲得管理層和董事會的領導支持。內部審計部門和審計委員會的章程應該規定各方 在風險管理過程中的作用。
5.如果有關方面提出要求,內部審計師可以積極協助機構風險管理過程的初步建立工 作。內部審計師更為積極的作用是通過改善基本程式的諮詢方式對傳統保證活動進行補充。 如果這些協助活動超出了內部審計師正常的保證和諮詢工作範圍,審計的獨立性就會受到損 害。在這些情形下,內部審計師應該遵守《內部審計專業實務標準》的披露要求。《實務公
告 1130.a1—2:內部審計在其他(非審計)領域的作用》為此問題提供了進一步的指導。
6.內部審計師在開發和管理風險管理過程中所起的積極作用有別於在“風險歸屬”問 題上所起的作用。為了避免參與“風險歸屬”問題,內部審計師應該要求管理層證實其在確 定、防範、監測風險以及決定風險“歸屬”方面的責任。
7.總之,內部審計師可以促進風險管理過程的建立或使風險管理過程的建立成為可能, 但是,他們不應該“擁有”已確認的風險或負責對這些風險的管理。