江苏省风险管理审计操作指南江苏省风险管理审计操作指南第一章总则第一条为了规范内部审计人员对组织活动中的风险管理状况进行审查与评价，提高内部风险管理审计质量，根据《内部审计具体准则第16号——风险管理审计》，制定本操作指南。第二条本指南所称风险管理，是指对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。第三条本指南所称风险管理审计，是指内部审计机构和人员依据国家法律、法规、政策和标准，独立、客观地对本组织风险管理进行监督、评价，提出改进和加强风险管理的意见或建议的行为。第四条内部审计机构和人员应当充分了解组织的风险管理过程，审查和评价风险识别的合理性、已有风险衡量的恰当性和风险防范措施的充分性、适当性，并提出改进措施。第五条风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体风险管理进行审查与评价，也可对职能部门风险管理进行审查与评价。第六条本指南适用于各类组织内部审计机构和人员及其从事的内部审计活动。第二章一般原则第七条风险管理审计应当坚持独立客观的原则，内部审计机构和人员对风险管理的监督评价应当客观公正，审计人员不得直接参与风险管理，审计活动应当不受干扰，内部风险审计意见可直接向决策层报告。第八条风险管理审计应当坚持职业审慎的原则，充分考虑风险管理审计的复杂性、艰巨性，不具备足够专业力量的内部审计机构不应开展风险管理审计，工作需要时，可采取委托其他具备相应能力的审计中介机构代为开展本单位的风险管理审计。第九条风险管理审计应当坚持科学有序的原则，遵循适当程序，采用先进方法和手段。第十条风险管理审计应当坚持风险优先的原则，着重关注审计对象的风险管理，同时应对审计本身的风险进行科学评估，并制定系统的应对策略和措施，对不确定因素，应在审计报告中进行披露。第十一条风险管理审计应当坚持保守秘密的原则，不得泄露国家秘密、商业秘密以及与此相关的风险管理审计资料和信息。第三章审计内容第十二条内部风险管理审计范围包括控制环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息及沟通、监督等。（一）内部环境审计1.审计单位是否建立分工合理、职责明确、相互制衡、运作有效的架构体系。2.审计单位是否建立负责内部控制或监督的领导机构和专（兼）职的风险管理机构，明确各组织对内部控制所应承担的责任。3.审计单位是否制定科学合理的岗位职责，并依据岗位职责配备相应的、具有一定素质的管理人员和经办人员。4.审计单位是否实行了有效的分级授权制度，责任是否明确；是否有明确的人事管理、用人机制。5.审计单位是否建立科学、有效的激励约束机制，培育良好内控文化，积极创造全体员工依法履职的环境和氛围。6.审计单位是否培育有利于高效履行职责的良好法律环境和制度环境。（二）目标设定风险审计1.审计单位战略目标的制定是否充分考虑本单位内外部风险因素。2.审计对各类风险的防范,是否建立了行之有效的风险预警体系,能及时有效对出现的风险苗头发出警示。3.审计是否建立了风险识别评估和确认机制，对风险的识别和评估是否充分准确。4.审计单位承担的风险是否在可容忍的限度之内。5.审计管理层采取的规避、降低和控制风险的举措是否恰当，是否合乎成本效益原则。6.审计风险监控措施、报告制度是否行之有效和及时。（三）风险识别1.审计各类规章制度是否合理、完善，内部控制设计是否存在缺陷，是否存在制度约束的真空点。2.审计各部门或岗位的职能是否都进行了详尽的描述并明确了主要风险环节和相应的责任。3.审计对所识别的风险是否提出控制措施及落实相应的控制责任。4.审计各类制度是否随各项业务的发展或人员的调整及时修订和完善。（四）风险评估1.审计决策层建立识别、计量、评估和监控各类风险的机制和程序是否运转有效，能否全面、及时、准确地识别和评价可能对本单位经营与管理目标的实现产生不利影响的内、外部因素。2.审计决策层是否了解并能够有效地处置本单位所面临的可能产生的自然风险、社会风险、经济风险、技术风险、政治风险、法律风险等。3.审计决策层对影响本单位实施监管策略和实现管理目标的风险是否进行连续评价；对内部控制制度是否加以不断改进，是否有效地控制任何新的或以前未加以控制的风险。（五）风险对策1.审计在业务运行和管理活动中是否通过适当的方式方法或措施避免风险的发生。2.审计是否制定风险发生时的紧急处理预案，采取适当的措施和方法将风险概率降到最小、风险程度降到最低。3.审计是否采取保险等方式将风险转移给专门的机构或部门。4.审计是否建立了重大事件紧急报告制度和责任追究责任，能否充分考虑风险应对策略实施可能产生新的风险，并有相关提示及处理措施，使之达到预定的控制目标，及时向上级部门报告。（六）控制活动审计1．审计制度规程是否覆盖风险和关键的控制环节，是否体