(一)按什么标准组建风险管理审计队伍 应当按本组织主专业需要配置审计队伍。因为,组织的主专业既是其生存、发展、获取效益的主要区域,也是其发生重大风险的主要危险区域,需要加强风险控制。在这些主专业区域内到底可能发生什么风险呢?怎样控制呢?如果没有掌握组织主专业的审计人才,是难以发现其间存在的重大风险,当然也难以提出恰当的解决方案,从而难以实现控制风险的审计目的。 (二)风险管理审计中内部审计应如何定位 一般情况下,内部审计应始终坚持“建议而不决策,检查而不代替”的定位原则。为此,必须处理好以下两个关系:(1)与决策层的关系。通过加强与决策层的战略沟通,运用审计咨询、案例教训、建议等,协助决策层对风险管理作出重大改进。(2)与业务部门的关系。内部审计与业务部门有监督关系。因此,内部审计对业务部门风险管理提出的改进建议,业务部门应当以规范的书面文件作出回答。内部审计与业务部门更多是配合关系。内部审计只有摆正了自己的位置,才能避免引起组织内部职责混乱,也能有效降低审计风险,保证审计的客观公正性。否则,往往会陷入将“检查评价变成审批”的误区。 (三)风险管理审计中怎样保持职业谨慎性 职业谨慎性应以“先达成共识,后展开审计”的原则作指导,充分沟通风险管理审计中出现的新问题、新的审计评价标准,慎重处理“差异”。我们特别提醒对以下事项应格外慎重, 精心准备后,再进行沟通,避免引起猜忌。(1)新开辟的风险管理审计项目;(2)新的审计评价标准;(3)对原有管理思路的重大调整。 (四)建立什么机制以获得风险信息 首先,应当在组织的顶层制度中,授权内部审计参与重大事项、知晓相关信息、检查重要风险事项的范围、内容等权利,以制度的形式赋予审计具有获取风险信息的资格。 其次,建立“双重控制机制”,使风险信息有及时、准确、畅通的传递渠道,以保证审计能掌握组织的风险状况。 (五)风险管理审计目标和评价标准适当性的评估尺度是什么 除了财务风险审计外,经营活动的风险管理审计,基本上都没有现成的审计目标和评价标准,需要审计人员具有很强的创新思想和创造能力,去开发适应本组织风险管理的审计目标、评价标准。第一、能促进对风险的有效控制;第二、能促进组织经济地实现目标;如果做到了这两点,即可评估为适当。如果这两点做不到,那么风险管理审计开发的目标和标准的适当性就有问题,需要进一步研发,以提高其实用性。 (六)建立什么样的风险管理报告系统 应当在“双重控制机制”构架内,建立起监控风险管理的报告系统。风险管理报告主要包括:审计部门检查和评价风险管理的“专项审计报告”;业务部门事先预测的“风险分析报 告”、对风险控制效果的“风险预警报告”等。 风险管理报告系统对风险控制效力的大小,与组织“风险控制总水平”和“相应考核”管理密切相关。风险控制总水平是指组织能够容忍的损失标准。这个标准的具体内容可以界定为金额大小、时间长短、质量优劣、管理行为等。“风险控制总水平”经过决策层批准后,应将其量化指标层层分解到具体的部门、项目小组或个人,让其在一定程度上承担起风险控制的责任,并同时加强相应考核。 将“风险管理报告”、“风险控制总水平”、“相应考核”有机联系起来,使执行层承担相应的风险管理工作,使决策层清楚地知道本组织对风险控制的状况,更有效地领导风险管理,从更高的层次强化对风险的控制,可大大提升组织整体的抗风险能力。