风险管理评价程序包括评价准备、评价实施、评价报告、评价等级认定、评价结果利用和后续审计等步骤。
1.收集评价资料
为全面掌握评价期内被评价单位风险管理与内部控制状况,评价机构应收集整理评价期内被评价单位的以下资料:上级单位向被评价单位授权的文件,以及被评价单位制定的规章制度;被评价单位主要业务经营指标的完成情况和风险指标控制情况;对被评价单位的内外部审计及监管检查报告、通报、整改通知书等;被评价单位及其下属单位发生的案件和责任事故情况等。
收集评价资料的方式一般有三种:一是向被评价单位有关管理人员和当事人询问有关风险管理与内部控制的现状情况;二是查阅被评价单位有关风险管理与内部控制的规章制度和文件资料,如果被评价单位编有风险管理与内部控制流程图或其他专门描述其风险管理与内部控制的文件资料,可直接索取并加以利用;三是查阅以前年度有关被评价单位风险管理与内部控制方面的审计或评价档案。如果以前曾对该单位进行过风险管理与内部控制评价,那么,以前的档案也是评价人员了解被评价单位风险管理与内部控制现状的一项主要依据。
2.非现场评价结果汇总分析
对评价期内收集的评价资料进行综合汇总分析,在此基础上,对非现场评价未涉及和需要进一步核实的评价点,确定为现场评价的重点内容。
3.制定评价方案
在对被评价单位风险管理进行了解分析和非现场评价的基础上,制定评价实施方案,明确评价的目的、时间、内容、范围、方法等。
4.组成评价
组抽调审计人员、企业管理专家与专业技术人员等组成评价组。评价人员应经过风险管理与内部控价的培训,具备相应的评价能力,掌握评价方法和标准。
5.征求上级单位有关部门对被评价单位的评价意见
评价前向被评价单位的上级单位各有关部门发出《风险管理与内部控制评价征求意见表》(表1),了解上级单位有关部门对被评价单位风险管理与内部控制状况的意见。
表1 风险管理与内部控制评价征求意见表
处室名称: 评价年度: 年度
| 被评价单位名称 |
年度内本部门各项检查或业务报告等工作中发现该单位存在的主要管理和风险问题 |
对该单位本部门管理业务风险管理状况的简要评价 |
建议本次评价应重点检查的内容或范围 |
|||
| 较好 |
一般 |
较差 |
简要说明 |
|||
6.发出《风险管理与内部控制评价通知书》
现场评价前,上级单位向被评价单位发出《风险管理与内部控制评价通知书》(参考格式见表2),同时发出“被评价单位提供资料清单”(参考格式见表3)、“被评价单位各部门提供资料清单”(参考格式见表4)和“风险管理与内部控制评价问卷',要求被评价单位及其各部门按照资料清单的要求提供有关资料。问卷的内容在对被评价单位首次评价时,要求被评价单位全部回答。在之后的评价中,可根据实际情况,选择问卷的全部或部分内容进行调查。
表2 风险管理与内部控制评价通知书
被评价单位:
| 评价时间 |
年 月 日 至 年 月 日 |
| 被评价时间 |
年 月 日 至 年 月 日 |
| 评价的主要内容 |
|
| 被评价单位参与的人员 |
|
| 被评价单位准备的办公、住宿等条件 |
|
| 备注 |
发文单位:(公章)
年 月 日
表3 被评价单位提供资料清单
| 资料名称 |
数量 |
提供时间 |
调阅人签名 |
归还日期 |
收回人签名 |
| 企业风险管理报告。主要包括的内容:①风险管理的基本情况;②采取的主要措施和成效;③风险管理存在的主要问题:④对以前评价、审计和检查中发现问题的整改情况;⑤评价期内发生的案件和责任事故情况:⑥进一步加强风险管理的思路等 |
|||||
| 本单位机构设置情况。包括领导人员及其分工、内设部门及其职能、风险管理机构体系构成等 |
|||||
| 本单位的各项规章制度、业务流程图、自律监管相关文件和有关资料等 |
|||||
| 年度工作计划、评价年度工作总结等 |
|||||
| 股东会、董事会、股事会、经理办公会以及有关专业委员会会议记录、纪要等 |
|||||
| 内部风险管理部门、审计部门等,对本单位风险管理与内部控制审计、检查形成的工作底稿和检查(审计)报告等 |
|||||
| 外部监管部门、中乔机构(包括监事会、政府审计部门、安全、环保等部门、会计师事务所等)对本单位的各项检查报告、通报等 |
|||||
| 其他: (1) (2) |
表4 被评价单位各部门提供资料清单
| 资料名称 |
数量 |
所属部门 |
提供时间 |
调阅人签名 |
归还日期 |
收回人签名 |
| 本部门年初工作计划 |
||||||
| 本部门年度工作总结 |
||||||
| 本部门职责 |
||||||
| 本部门人员分工及岗位职责 |
||||||
| 本部门工作流程 |
||||||
| 本部门制定的各项规章制度 |
||||||
| 本部门办公会议记录和纪要 |
||||||
| 有关专业委员会会议记录和纪要 |
||||||
| 本部门业务工作会议相关文件 |
||||||
| 本部门自律监管相关资料 |
||||||
| 本单位风险管理机构、内部审计、纪检监察等部门检查中涉及本部门的问题及其整改情况 |
||||||
| 外部监管部门、中介机构(包括监事会、政府审计部门、安全、环保等部门、会计师事务所等)各项检查中涉及本部门的问题及其整改情况 |
||||||
| 其他: (1) (2) |
1.健全性测试
健全性测试主要是了解、检查和评价企业各种业务和事项中的风险是否被识别,关键风险点的定位是否准确,是否有相应的管理和控制制度、措施。健全性测试主要采取以下五种方式进行:
一是问卷调查。现场收集“风险管理与内部控制评价问卷”进行调查、分析,问卷调查结果要作为评价记录加以保管。
二是询问调查。现场评价时,首先要召开由评价组成员、被评价单位领导和有关部门负责人参加的进点会谈,听取被评价单位汇报。在进点会谈后,评价组可以有针对性地与被评价单位领导及其各部门的负责人和主要业务人员进行座谈调查。座谈情况要登记《风险管理与内部控制评价调查记录》(参考格式见表5),作为评价资料归档保存。
表5 风险管理与内部控制评价调查记录
编号:
| 被调查单位 |
|||||
| 被调查人 |
工作部门 |
职务 |
|||
| 调查时间 |
调查地点 |
||||
| 调查事项 |
|||||
| 调查记录 |
|||||
| 被调查人签字 |
|||||
| 调查人签字 |
|||||
三是查阅被评价单位各项管理制度和相关文件,以及风险管理与内部控制过程中形成的文件和记录,如账本、报表、凭证、各种文件传递及签阅单、各种记录、合同、报告等。
四是观察被审计单位业务活动和内部控制的实际运行情况等,了解被评价单位内部控制体系的基本情况,必要时可进行穿行测试。
五是流程图比较。根据被评价单位现行的风险管理与内部控制制度,绘制被评价单位主要业务的标准业务流程图。将标准业务流程图与被评价单位实际操作流程图进行比较,初步评价被评价单位风险管理与内部控制体系的健全性和充分性。
评价人员应将通过检查所了解的被评价单位风险管理与内部控制的现状,与事先确定的评价模式进行对照,以揭示其风险管理与内部控制措施是否被采用。在相互对照中发现的管理与控制缺陷,评价人员应按不同的性质和内容加以归类、汇集,并登记在《风险管理与内部控制缺陷登记表》中(表6)。
表6 风险管理与内部控制缺陷登记表
被评价单位:
| 评价项目 |
管理与控制缺陷 |
潜在错弊 |
补偿性措施 |
重要性 |
备注 |
对于检查出的管理与控制缺陷,评价人员应通过询问管理人员或当事人以及查阅有关资料的方式,了解其是否存有补偿性措施。倘若存在,评价人员则应进一步分析这些补偿性控制措施能否全部抵消管理与控制缺陷的影响,并在“风险管理与内部控制缺陷登记表”中加以说明。
在确定被评价单位风险管理与内部控制缺陷没有补偿性措施或补偿性措施不能全部抵消其影响后,评价人员应说明管理与控制缺陷可能产生某些错弊的性质,以及对整个控制系统的影响程度。如果还存在其他缺陷的话,评价人员还应分析管理与控制缺陷间的相互联系及其可能产生的共同影响。
在分析被评价单位风险管理与内部控制系统中所有管理与控制缺陷及其潜在影响的基础上,评价人员即可对其健全程度作出评价。
如果认为被评价单位的风险管理与内部控制系统是健全的或基本健全的,能够保证评价人员所关注的管理与控制目标的实现,评价人员即可对该单位的风险管理与内部控制系统予以信赖,并测试其有效性;反之,评价人员则不予信赖,而直接进入实质性评价阶段。
2.初步评价
在健全性测试后,评价人员要对被评价单位的风险管理与内部控制状况进行初步评价,评价内容包括:被评价单位是否存在风险管理与内部控制缺陷;被评价单位对风险管理与内部控制缺陷是否已采取补偿措施,采取措施后仍存在的风险和后果等,初步评价结果要登记“风险管理与内部控制健全性测试结果登记表”(参考格式见表7)。
表7 风险管理与内部控制健全性测试结果登记表
| 风险管理与内部控制制度健全性缺陷 |
已采取的补偿措施 |
潜在风险 |
已发生的风险情况(典型案件) |
3.符合性测试和评价
实施健全性测试虽然解决了风险管理与内部控制制度本身设计是否健全完整的问题,但这些只是对规章制度或业务处理方面作出的规定,而在实际业务活动中企业是否贯彻这些规定,特别是有无按规定设置这些管理与控制环节和关键控制点,并真正发挥其作用,则需通过符合性测试和评价来解决。
符合性测试和评价,又称“遵循性测试”,是评价人员为了证实风险管理与内部控制制度在实际工作中是否得到贯彻执行以及贯彻执行程度如何,而对在健全性评价中被认为健全或基本健全的风险管理与内部控制进行的测试评价。
1)符合性测试和评价的范围和内容
符合性测试的范围和内容是由健全性测试和评价所确定的,那些经过健全性测试和评价被认为是可以信赖的风险管理与内部控制,就构成了符合性测试的内容,而那些经过健全性评价被认为存在缺陷、错误或薄弱的内部控制,则应排斥在符合性测试的范围之外,而直接列为实质性审计的重点内容。
2)符合性测试的数量
对于列入符合性测试范围的风险管理与内部控制内容,并不是进行全面审查,而通常是实施抽样测试。符合性测试的关键在于确定适当的样本数量,这是关系到测试效率和质量的主要问题。样本数量太小,无法保证抽样结果的代表性,样本数量太大,又会增加测试的工作量,影响测试效果。因此,评价人员必须根据评价工作的实际需要,科学地选择测试样本的容量。
符合性测试数量的最低限度一般由风险管理与内部控制执行频率来确定,它与风险管理与内部控制执行频率成正比。如以一年为一个评价期间,大体可确定样本数量如表8所示。
表8 符合性测试表
| 控制发生频率 |
建议测试样本数量 |
| 每日一次 |
2~4 |
| 每周一次 |
3~8 |
| 每旬一次 |
4~10 |
| 每月一次 |
10~25 |
| 全年次数在1000次以下 |
25~50 |
| 全年次数在1000次以上 |
50~100 |
3)符合性测试的方法
符合性测试数量确定后,可通过判断抽样法、整批抽样法、分层抽样法、系统抽样法和利用随机数表等方法抽取样本。也可以以业务循环为基础、以经营部门为基础、以财务报表的分类为基础进行风险管理与内部控制测试。至于测试样本的方法,主要使用检查证据、穿行测试(重复执行)和实地观察等方法。
(1)证据检查法。证据检查法是指评价人员在符合性测试和评价中,抽取一定数量的原始文件、账表、凭证等书面证据和其他有关证据,检查其是否存在控制线索,以判断风险管理与内部控制是否得到有效贯彻执行的方法。其工作原理是:被评价单位的风险管理与内部控制执行情况都要在资料文件中表现出来,如凭证上的签章等。
(2)穿行测试法。亦称重复执行法,是指评价人员在符合性测试和评价中,抽取某项控制系统的几笔业务,按照被评价单位规定的业务或事项处理程序,从头到尾地重新执行一遍,以检查这些业务在办理过程中是否执行了规定的管理与控制措施,并通过其处理结果是否相符来判断各项风险管理与控制措施能否有效发挥作用的技术方法。
(3)实地观察法。是指评价人员在符合性测试和评价中,身临被评价单位的工作现场,实地观察有关人员的实际工作情况,以察看其规定的风险管理与控制措施是否得到严格执行的技术方法。
上述三种方法的适用范围如表9所示。
表9 符合性测试方法和控制类型表
| 控制类型 |
测试方法 |
||
| 证据检查法 |
穿行测试法 |
实地观察法 |
|
| 财产保护控制 |
次要 |
不适用 |
主要 |
| 授权审批控制 |
主要 |
不适用 |
不适用 |
| 预算控制 |
次要 |
不适用 |
主要 |
| 职务分离控制 |
主要 |
次要 |
不适用 |
| 会计系统控制 |
主要 |
不适用 |
次要 |
| 运营分析控制 |
次要 |
不适用 |
主要 |
| 稽核控制 |
主要 |
次要 |
不适用 |
4)符合性测试表
对于符合性测试结果,通常登记在《符合性测试表》(表10)中,以作为符合性评价和日后查阅的依据。
表10 符合性测试表
被评价单位:
| 测试项目 |
测试方法和数量 |
测试结果 |
被查人员 |
评价人员 |
日期 |
备注 |
5)符合性评价
符合性测试完毕,评价人员汇总符合性测试表记录的单项测试结果,着重将风险管理与内部控制系统的薄弱环节和失控环节整理出来,对其失控性质、失控程度和潜在影响进行逐项分析,然后对风险管理与内部控制在实际工作中的执行与否和执行程度作出评价。如果关键控制点或多数一般控制点失去控制,则表明风险管理与内部控制无法发挥管理与控制功能,可以作出直接进行实质性审计的结论;如果是少数一般控制点执行不利或全部控制点都执行良好,则进入综合性评价。
4.实质性测试
实质性测试是在符合性测试的基础上,针对风险管理与内部控制缺陷和可能产生的后果,运用检查、观察、查询及函证、计算、分析性复核等方法,对被评价单位的业务项目进行直接审查的过程。实质性测试确定测试的重点领域时,应当考虑以下几个方面:缺少风险管理与内部控制的重要业务领域;风险管理与内部控制设置不合理、控制目标不能实现的领域:风险管理与内部控制没有发挥作用的领域。
5.风险管理内部控制指标分析
评价小组应对收集掌握的被评价单位风险管理与内部控制指标进行核实、对比分析和趋势分析,对风险管理与内部控制目标的实现情况作出评价。
6.综合评价
评价组根据现场和非现场评价情况,登记评价日记和评价工作底稿。在集体讨论的基础上,按照评价标准对每个评价要点进行评级,填写《风险管理与内部控制评价计分表》。
评价组要对评价结果进行归纳整理、统计分析和综合汇总,撰写评价报告,并征求被评价单位的书面意见。评价组要将评价报告、被评价单位的书面意见以及评价日记、工作底稿等相关资料一并报送评价委托单位。
评价报告正文内容包括基本情况、评价结果、评价分析等三部分。
1.基本情况主要包括以下内容
(1)企业概况、主要业务类型和经营范围、与生产经营相关的风险管理与内部控制环境等。
(2)问卷调查的基本情况,企业风险管理与内部控制体系中的关键风险点及其配套制度的建设、执行情况等。
(3)企业在集团总体战略目标规划下,督促子企业建立健全风险管理与内部控制的实际管理情况等。
(4)如果企业由于行业性质、战略目标和风险管理理念等因素可能存在特定风险,还应详细介绍该特定风险的实际控制情况等。
(5)企业风险管理与内部控制管理机构的职责权限、独立性和实际运行状况,风险管理与内部控制监督检查工作的内容、程序、方式,以及相关工作报告的汇报对象和落实情况等。
2.评价结果主要包括以下内容
(1)企业集团、集团总部以及样本子企业的定量和定性评价结果,在风险管理与内部控制建设与执行方面取得的主要成绩和存在的主要不足。
(2)按照集团总部和样本子企业,逐项列示存在的重大违规事项和重大风险管理与内部控制缺陷。
(3)根据集团总部和样本子企业的评价结果绘制定性评价结果散点图,详细说明各样本测试单位定性评价结果的整体分布情况及其对企业集团整体定性评价结果的影响。
3.评价分析主要包括以下内容
(1)根据企业集团的定量评价结果和定性评价结果散点图,结合风险管理与内部控制评价工作的实际情况,分析企业集团整体的风险管理与内部控制水平。
(2)逐项说明重大违规事项的过程、原因和涉及金额或产生的影响。分析风险管理与内部控制设计的健全性和合理性,如果属于风险管理与内部控制执行问题,还应分析其未发挥应有作用的原因。
(3)逐项说明重大风险管理与内部控制缺陷,用图表、文字等形式对相关业务流程进行具体描述。分析相关风险管理与内部控制设计的健全性和合理性,如果属于风险管理与内部控制执行问题,还应分析其未发挥应有作用的原因。
(4)针对集团总部和样本子企业,逐项分析风险管理与内部控制存在缺陷的主要环节、原因及其影响,并提出完善建议。
(5)详细说明集团总部和样本子企业对评价结果的反馈意见、双方存在较大分歧的内容和各自依据。
风险管理评价报告附件应当包括样本测试单位、各项评价指标以及各项权重的确定情况,调整评价指标或权重的理由和具体调整情况,样本测试单位评价结果汇总表等。
风险管理评价报告应当以充分、适当的测试证据为依据,形成评价结论。
风险管理与内部控制评价工作结束后,委托单位还要组织后续审计或评价,跟踪检查被评价单位问题整改情况和处罚处理决定执行情况等。后续审计或评价可以安排在下一次评价时,也可以与其他审计或评价项目合并进行。
