证券公司全面风险管理，是公司的董事会、管理层和其他员工共同参与的一个过程，应用于公司的战略制定和公司的各个部门和各项经营活动，借此培育良好的风险管理文化，建立健全全面风险管理体系，从而在偏好范围内管理风险，为实现公司目标提供合理保证的过程和方法。

一、审计依据

根据《证券公司全面风险管理规范》《证券公司内部控制指引》、《证券公司风险控制指标管理办法》《COSO企业风险管理整体框架》等，主要从内外部环境、风险指标、控制活动、应对机制、信息系统和沟通等方面出发，借助定性和定量的方法展开具体工作，并最终出具监督评价审计报告。

二、审计职责

内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，对全面风险管理的充分性和有效性进行独立、客观的审查和评价，并出具审计报告。

三、审计范围

（一）内外部环境：

内外部环境包括外部关系、自然环境、公司治理三个方面。具体如下：

1.外部关系，指对外部发生的对公司产生消极影响的事件，如舆论、媒体对公司的不利影响。如缺乏与外部建立良好关系的意识；缺乏与外部建立良好关系的有效措施；缺乏危机舆论公关的意识或公关方法、策略需要改进；发布虚假、误导或不及时的信息等 。

2.自然环境，指自然灾害造成公司损失。如缺乏自然灾害的应对机制、自然环境变化易对企业生产运营产生不利影响。

3.公司治理，指“三会”关于全面风险管理的决策与授权、风险管理组织架构建设，及风险管理制度建设。如董事会风险管理议事规则及流程制度不健全，或无法有效执行；风险控制委员会和审计委员会议事流程及决策程序不健全，或无法有效执行；风险管理组织机构设置不合理，责权利在部门及机构之间的分配不清晰；风险管理制度没有涵盖各业务线条，或制度更新落后于业务创新；风险制度描述模糊，存在寻租空间。

（二）风险指标：

风险指标包括事项识别、指标制定和评估。财务指标、风控指标、合规指标，具体如下：

1.财务指标，是指企业实现经营业绩和盈利能力目标过程中所面临的风险。如现金流风险、信贷与收款风险、利率风险、汇率风险、总资产管理风险、盈利能力风险、资产错配风险、资金可获得性风险等。

2. 风控指标，指风险管理部制定的用以挖掘潜在风险的定量和定性指标。如净资本率、风险覆盖率、资本杠杆率、流动性覆盖率、净稳定资金率、风控指标未涵盖所有风险业务线条、风控指标未能够充分发现风险和兼顾效率、风控指标未与监管指标联动、未及时编制各类监管报表。

3. 合规指标，指员工对内部规章制度和外部监管法律的突破次数。如财务信息披露违规、员工职业违反企业内部规章制度、企业违反法律法规、企业法律纠纷处理缺少事前制度规定、专项预案不够完备、未进行年度合规管理有效性评估、未有效组织实施公司反洗钱和信息隔离墙制度、未将合规管理的有效性和执业行为的合规性纳入高级管理人员、各部门和分支机构及其工作人员的绩效考核范围等。

（三）控制活动：

控制活动主要包括风控队伍建设和内部控制。具体如下：

1.风控队伍建设，指公司风控岗位人员与业务发展和风险暴露相匹配。如风控人员岗位职责划分不清，或未能涵盖各业务风险；子公司及各分支机构未配备充足的专职风控人员；风控人员资质及数量不合乎监管要求；风控人员后续教育不充分等。

2.内部控制。（该部分主要参照公司“内部控制评价工作”）

（四）应对机制：

应对机制主要包括风险应对方案设计和执行。具体如下：

1.风险应对方案设计，指针对风险事件的发生，制定应对措施。如未借助各类工具分析将要面对的各类风险，或据此制定相应方案；风险应对方案可操作性不强；风险应对方案未能根据环境变化及时更新；风险应对方案缺乏有权部门论证和批准等。

2.风险应对方案执行，指风险事件发生后及时启动相应方案，做到按方案执行和能够根据环境做出变通举措。如风险应对未能做到按方案执行；实际执行未能够根据环境做出变通，或变通举措缺少有权部门批准。

（五）信息系统和沟通：

信息系统和沟通包括风险管理信息系统和沟通。具体如下：

1. 风险管理信息系统，主要指处理风险事件的电脑系统。如风险事件的发生未能在信息系统底层结构得到确认、捕捉、处理、分析和报告、缺乏对系统开发外包的控制、缺乏系统保密和安全管理措施、系统访问权力分配不当。

2.沟通，指对风险事件的报告方式。通过查阅制度检查是否存在正式的的风险报告机制，如缺乏正式的的风险报告机制、风险事件的处理流程不合乎规范。

四、审计重点

审计重点为：1）风险应对机制；2）风险指标体系；3）风险报告机制。

五、审计程序

本次审计将采用检查、观察、分析性复核、风险事件顺查处置和逆查原因、重新执行、询问等审计程序。

六、审计安排

（一）执行人员

审计组长：……

审计组员：……

（二）时间安排

审前准备：……

审计实施：……

审计报告：……