第十条 外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:
(一)国家法律、法规及政策的变化;
(二)经济环境的变化;
(三)科技的快速发展;
(四)行业竞争、资源及市场变化;
(五)自然灾害及意外损失;
(六)其他。
第十一条 内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:
(一)组织治理结构的缺陷;
(二)组织经营活动的特点;
(三)组织资产的性质以及资产管理的局限性;
(四)组织信息系统的故障或中断;
(五)组织人员的道德品质、业务素质未达到要求;
(六)其他。
第十二条 内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,重点关注以下两个要素:
(一)风险发生的可能性;
(二)风险对组织目标的实现产生影响的严重程度。
第十三条 内部审计人员应当充分了解风险评估的方法。风险评估可以采用定性或定量的方法进行。
(一)定性方法。是指运用定性术语评估并描述风险发生的可能性及其影响程度;
(二)定量方法。是指运用数量方法评估并描述风险发生的可能性及其影响程度。
第十四条 内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(一)已识别风险的特征;
(二)相关历史数据的充分性与可靠性;
(三)管理层进行风险评估的技术能力;
(四)成本效益的考核与衡量;
(五)其他。
第十五条 内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(一)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(二)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(三)定量方法一般情况下会比定性方法提供更为客观的评估结果。
第十六条 内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。根据风险评估结果作出的风险应对措施主要包括以下几个方面:
