风险管理体系合理性审计的范围包括战略支撑、职责分工与组织架构、能力与风险文化、绩效考核与激励、评估方法、应对与控制、信息技术、监督与汇报等八大领域。具体来说，风险管理体系合理性审计可以大致分为四个步骤。

一、制定审计标准及发展目标

   1.设定“风险管理能力矩阵”评价模型。

   为加强审计的逻辑性与可视性，内审人员根据审计范围，设计“风险管理能力矩阵”评价模型，将审计对象划分为三级维度，并与能力水平等级有机结合。基于多年风险管理经验、专家意见以及大数据分析结果，在“风险管理能力矩阵”中设置8个一级维度，以及起步、初级、确立、高阶与领先实践等5个能力水平等级。在一级维度的基础上，进一步设置了33个二级维度，涉及56项三级具体审计对象，对应280项详细评价规则。

   2.确定合理水平及最佳实践。

  （1）选取同类企业样本。合理水平是在企业生命周期中处于同一阶段的同行业、同规模企业所处的风险管理体系发展状况的平均水平。企业生命周期理论将企业划分为初创、成长、成熟、衰退4个阶段，从近年来基于财务视角考察企业生命周期所处阶段的研究文献看，可采用Victoria Dickinson 现金流组合法，即根据不同生命周期企业的经营活动、投资活动与筹资活动的现金流量特点，判断企业所处的生命周期阶段。在确定同类企业样本范围时，需要进行三层筛选，层层缩小范围：第一层，对照Dickinson 现金流组合，确定在企业生命周期中处于同一阶段的企业样本；第二层，在第一层筛选出的样本中，根据主营业务描述及行业归属登记信息，确定同行业企业样本；第三层，借鉴年度财务报表审计重要性水平的通常确定方法，根据被审计单位的税前利润±5% 与总资产±1%，在第二层筛选结果中确定同规模企业样本。通过上述三个层次筛选，即可得出风险管理体系合理性审计的同类企业对标样本总体。

  （2）确定合理性水平。利用前文所述的“风险管理能力矩阵”，统计同类企业样本中每一级风险管理能力水平的企业数量占样本总量的百分比，按照能力水平由高至低累加，直至达到50% 相对应的能力水平等级即为平均水平。

  （3）确定发展目标。发展目标就是同类企业所处的风险管理体系发展状况的最佳实践。

（  4）确定整体合理性水平。内审人员结合管理层决策及外部专家意见，确定整体合理性水平判断标准，在合理性水平或其以上的审计对象的累计项数占总项数的比例应不小于90%（即90% —100%，含90%）。

   二、.审核风险管理体系水平

   综合运用询问、检查、观察、分析性复核、重新执行等审计程序，对前述“风险管理能力矩阵”的具体审计对象开展审计，并将审计结果与“风险管理能力矩阵”中的详细评价规则进行对比，确定审计对象在审计期间所处的风险管理能力等级。

   三、与审计标准及发展目标对标

将在“审核风险管理体系水平”阶段所确认的被审计单位风险管理体系发展水平与在“制定审计标准与发展目标”阶段所确认的审计标准与发展目标进行比较分析，可确定达到或未达到合理水平的项目。

  四、.得出审计结论及未来发展方向建议

根据对标情况，内审人员可对风险管理体系的合理性水平进行最终评价，并提供体系发展的方向性建议。本阶段内审人员需要完成以下4 个步骤工作： 

  1．对每个具体审计对象的评价结果进行标识。低于合理水平（不合理）、处于合理水平（合理） 或最佳实践（最佳）。 

  2．判断整体合理性水平，得出审计结论。统计具体审计对象( 最佳+ 合理) 项数/( 最佳+ 合理+ 不合理) 项数的比率，90%—100%之间判断为整体合理。 

  3．基于风险管理体系一级维度，绘制雷达图。依据管理学“木桶理论”，一个水桶无论有多高，它盛水的高度取决于最短的那块木板，“短板”的长度决定事物整体发展程度。因此，应把握“短板法则”，对审计结果作进一步的分析与评价，协助公司管理者确定各维度级别是否有较大区别、是否存在明显的薄弱环节。“雷达图”恰恰能够形象地展现公司风险管理体系合理性的整体状态。

  4．提出审计建议。可依据实际情况提出弥补短板、使各领域与各方面均趋于合理的相关建议。内审人员还可将审计建议的发展方向与管理层制定的风险管理体系优化策略进行比较，提出提请管理层关注的问题，以促进企业风险管理资源投入整体效益最大化。

作者：刘蓓蓓 欧颖君 徐慧萍

作者单位：广东大鹏液化天然气有限公司

转自：中内协