基于中国企业实践的风险评估审计要点及方法
　　(一)公司目标
　　1.战略目标确定审计
　　(1)审计要点：
　　董事会是否下设战略规划委员会，是否明确其主要职能;战略规划委员会是否对公司整体发展战略目标进行规划;是否根据经营环境变化对战略目标及时予以调整;公司整体发展战略目标是否经过可行性研究和论证;公司整体战略发展目标是否报经董事会批准。
　　(2)审计方法：
　　使用调查问卷了解审计要点各项主要内容;查阅公司章程及战略委员会议事规则，证实公司已建立战略规划委员会，明确了其人员组成;询问战略委员会相关人员，了解其主要职责;查阅战略委员会制订的各阶段战略目标及制订战略目标的相关文件记录，证实其已制订了战略目标并定期进行了调整，同时已报经董事会批准;查阅制订战略目标相关文件记录，询问战略委员会相关人员，证实其对战略目标已进行了充分的可行性论证。
　　2.经营管理目标确定审计
　　(1)审计要点：
　　在制订当年经营管理目标时，是否建立了科学的目标决策机制;在制定各项业务发展目标、预算考核目标时，是否充分考虑了现有资源对目标实现可能的制约;经营管理目标是否经过了管理层的审核与批准;是否每半年度对上半年目标的执行情况进行评估，对执行情况与预期偏离较大的目标是否及时进行修正。
　　(2)审计方法：
　　使用调查问卷，了解审计要点各项内容;查阅经营管理目标制定的相关文件记录，证实是否建立了科学的目标决策机制来制订经营管理目标;询问管理层相关人员，确认经营管理目标已经过公司管理层审核及批准;查阅各级公司制订的各项经营管理目标相关文件记录，了解其所制订的各项经营管理目标是否与公司战略目标和上级公司经营管理目标保持一致;询问管理层及相关人员，查阅相关记录，了解是否每半年度对上半年目标的执行情况进行评估，对与预期偏离较大的目标及时进行修正。

　　(二)风险识别
　　1.风险识别范围审计
　　(1)审计要点：
　　是否确定了管理层和各职能部门相应的风险识别责任;在确定风险范围时，是否全面考虑在公司内部存在风险的各个重点区域，如财务报表信息、资产保全、信息系统、日常业务活动等。
　　(2)审计方法：
　　使用调查问卷了解审计要点各项内容;查阅已发生的风险损失事件有关文件记录，分析评价 现有控制措施对风险识别范围的有效性;询问相关人员，了解管理层和各职能部门相关人员是否掌握其相应的风险识别责任;询问相关人员，了解其在确定风险范围时全面考虑了风险的各个重点区域。
　　2.风险识别方法审计
　　(1)审计要点：
　　是否建立了科学的风险识别方法体系;是否将风险识别方法及时传递至各级公司和部门;是否利用历史事件、关注未来事件定期对风险进行趋势分析和关注;是否建立了损失事件数据库，通过事件列表、事件分类、内部分析、推动讨论和会谈、流程分析等方法确定风险因素发展趋势和根源;是否定期评估风险识别方法的科学性和系统性，对不适用的方法及时进行修正和完善。
　　(2)审计方法：
　　使用调查问卷了解审计要点各项内容;询问相关风险信息管理人员是否了解并使用了风险识别方法，证实风险识别方法得到了有效传递;查阅已发生风险损失事件的文件记录，分析并评价风险识别方法的有效性和科学性;询问相关风险信息管理人员，查阅风险识别方法的相关文件记录，证实对风险识别方法进行了定期分析和反馈;询问相关风险信息管理人员，查阅风险识别方法的相关文件记录，证实对不适用的方法进行了及时修正和完善。

　　(三)风险评估
　　风险评估审计
　　(1)审计要点：
　　是否建立了科学合理的风险评估方法体系;是否建立了科学合理的风险评估模型。
　　(2)审计方法：
　　使用调查问卷对审计要点主要内容进行了解;询问各级公司和相关部门的风险信息管理人员，了解其是否掌握科学合理的风险评估方法体系和评估模型;查阅各级公司和相关部门的风险评估文档记录，证实其运用了风险评估方法体系和模型对本部门风险进行了分析与评估;询问部分员工，证实其是否了解本部门风险情况，对所了解风险是否进行了及时处理;查阅相关部门的风险评估与分析文档记录，证实遇到重大的外部环境变化时已及时向上级公司报送了风险信息。

　　(四)风险应对
　　风险应对审计
　　(1)审计要点：
　　是否确定了合理的风险应对措施程序和方法;是否对风险应对措施的成本与效益进行了充分评估;是否在选定风险处理措施后，重新校定剩余风险;是否确定了各级公司和各职能部门的风险处理权限，要求其对超出权限的风险处理应及时上报。
　　(2)审计方法：
　　使用调查问卷对风险应对措施的程序和方法建立情况进行调查;查阅已执行风险应对措施的相关文件记录，证实其是否按成本效益原则决策风险应对措施;查阅风险应对措施的相关文件，了解是否建立了广泛适应的风险决策判断标准;查阅风险应对措施的相关文件，了解在选定风险处理措施后，是否根据剩余风险进行了重新校定;询问各风险应对措施决策部门相关人员，了解其是否该按标准进行风险决策判断;询问相关风险管理人员，查阅各级公司和各职能部门的风险处理记录，证实有无超出其权限的风险处理，是否已将超出其权限的风险处理及时报送上级公司。

　　(完)