企业内部审计风险评估指引.docxVIP

企业内部审计风险评估指引

一、总则

（一）制定目的与依据

为规范企业内部审计风险评估工作，提高审计质量与效率，确保审计目标的实现，有效识别、分析和评估审计过程中的各类风险，为审计计划制定、审计资源配置及审计程序实施提供科学依据，依据国家相关法律法规、内部审计准则及本企业内部审计章程，特制定本指引。

（二）适用范围

本指引适用于本企业内部审计机构及所有内部审计项目的风险评估活动。企业所属各级单位的内部审计工作，参照本指引执行。

（三）定义

1.内部审计风险评估：指内部审计机构在审计项目实施前及实施过程中，对被审计单位或审计对象所面临的，以及审计工作本身可能存在的各类风险进行系统性识别、分析和评价的过程。其目的在于确定审计重点，合理配置审计资源，降低审计风险，提高审计工作的针对性和有效性。

2.固有风险：指在不考虑内部控制的情况下，被审计单位的业务活动、内部控制、信息系统等存在重大错报、漏报或缺陷的可能性。

3.控制风险：指被审计单位的内部控制未能及时防止或发现并纠正其业务活动、信息系统中存在的重大错报、漏报或缺陷的风险。

4.检查风险：指内部审计人员通过预定的审计程序未能发现被审计单位存在的重大错报、漏报或缺陷的风险。

（四）基本原则

1.独立性与客观性原则：审计人员应保持独立的立场和客观的态度，不受任何外来因素或个人情感的干扰，确保风险评估结果的真实性和公正性。

2.系统性原则：风险评估应覆盖被审计单位的各项业务活动、管理流程及相关领域，采用系统的方法和程序进行。

3.重要性原则：在全面评估的基础上，重点关注对企业目标实现有重大影响的高风险领域和关键控制点。

4.谨慎性原则：在风险评估过程中，应保持职业谨慎，充分考虑各种潜在风险因素，避免低估风险。

5.动态性原则：风险评估并非一次性工作，应根据内外部环境变化及审计过程中的发现，适时进行更新和调整。

二、风险评估的准备与计划

（一）明确审计目标与范围

在开展风险评估前，审计项目组应首先明确本次审计的目标、范围和时限要求。审计目标应与企业整体战略目标及内部审计年度计划相衔接，审计范围应根据目标合理确定，避免过宽或过窄。

（二）了解被审计单位/领域基本情况

充分了解被审计单位或审计领域的基本情况是有效进行风险评估的前提。主要包括：

1.业务性质、经营规模、组织结构及管理模式；

2.主要业务流程、关键控制点及现有内部控制制度；

3.所处行业状况、市场环境、法律法规及监管要求；

4.近期经营成果、财务状况及重大经营决策；

5.以往审计发现的问题及整改情况；

6.信息系统的应用情况及数据管理水平。

了解的方式可包括查阅相关文件资料、与被审计单位管理层及相关人员进行初步沟通、实地观察等。

（三）组建风险评估团队

根据审计项目的重要性和复杂程度，组建适当的风险评估团队。团队成员应具备相应的专业知识、技能和经验，并明确各自的职责分工。必要时，可寻求企业内部其他专业部门或外部专家的支持。

（四）制定风险评估方案

风险评估方案应明确风险评估的目的、范围、方法、步骤、时间安排、人员分工及预期成果。方案应具有可操作性，并根据实际情况进行动态调整。

三、风险识别

（一）风险识别的范围与内容

风险识别应覆盖被审计单位或审计领域的各个方面，重点关注以下潜在风险：

1.战略风险：与企业战略制定和实施相关的风险，如市场定位偏差、竞争策略失误等。

2.经营风险：与日常经营管理相关的风险，如业务流程设计不合理、资源配置不当、生产安全事故、供应链中断等。

3.财务风险：与财务报告、资金管理、投融资活动相关的风险，如财务数据失真、资金链断裂、投资回报率未达预期等。

4.合规风险：因违反法律法规、监管要求、内部规章制度而可能遭受处罚或损失的风险。

5.信息系统风险：与信息系统开发、运行、维护相关的风险，如数据泄露、系统崩溃、网络攻击等。

6.舞弊风险：存在故意欺骗、隐瞒或滥用职权等行为的风险。

7.人力资源风险：与人员招聘、培训、激励、保留相关的风险，如核心人才流失、员工能力不足等。

（二）风险识别的方法

审计人员可根据实际情况选择一种或多种风险识别方法：

1.文件审阅法：通过审阅被审计单位的战略规划、管理制度、业务流程文件、财务报表、会议纪要、以往审计报告等，初步识别潜在风险。

2.访谈法：与被审计单位管理层、业务骨干、关键岗位人员及其他相关方进行访谈，了解其对风险的看法和关注重点。访谈应提前准备提纲，注重沟通技巧。

3.问卷调查法：设计结构化或半结构化问卷，向相关人员收集风险信息。问卷设计应简洁明了，问题具有针对性。

4.流程穿行测试法：选取典型业务流程，从头到尾进行穿行测试，以发现流程中可能存在的控制缺陷和风险点