标准11.5

沟通对风险的接受

1要求

首席审计执行官必须就不可接受的风险水平进行沟通。

当首席审计执行官认为管理层接受的风险水平超出了组织的风险偏好或风险容忍度时，必须与高级管理层进行讨论。如果首席审计执行官确定高级管理层尚未解决该问题，则必须将该问题上报董事会。首席审计执行官没有责任解决此类事项。

 

2执行标准的考虑因素

首席审计执行官通过与董事会和高级管理层的讨论、与利益相关方的关系建立和持续沟通，以及内部审计服务 的结果，了解组织的风险和风险容忍度。（参见标准8.1与董事会的沟通；标准9.1 了解治理、风险管理和控制过程；以及标准11.1 与利益相关方建立关系和沟通）。通过了解，首席审计执行官可以判断组织认为可以接受的风 险水平。如果组织有正式的风险管理过程，首席审计执行官应当了解管理层接受风险的政策。

首席审计执行官可以就记录和沟通接受超出风险偏好或风险容忍度的风险的方法进行讨论，并征得董事会同意。除《准则》要求外，该方法还应考虑组织的风险管理过程（包括沟通重大风险问题的首选方法）、政策和程序。具体规定可包括沟通的及时性、报告的层级以及与组织的法律顾问或合规负责人协商的要求等。该方法还应包  括记录讨论和采取行动的程序，包括风险描述、关注原因、管理层不执行内部审计人员的建议或其他行动的原    因、接受风险的责任人姓名以及讨论日期。

首席审计执行官可通过检查管理层对审计发现问题的反馈，以及监督管理层在落实建议和行动计划方面的进 展，了解管理层是否已接受风险。与利益相关方建立关系并保持沟通，是随时了解风险管理活动（包括管理层 对风险的接受情况）的其他方式。

当风险超过风险偏好时，可能产生的影响包括：

• 对组织声誉造成损害。

• 对组织的员工或其他利益相关方造成损害。

• 被监管机构处以巨额罚款、限制商业活动，或其他经济或合同罚款。

• 重大错报。

• 利益冲突、舞弊或其他非法行为。

• 实现战略目标的重大障碍。

首席审计执行官的职业判断有助于确定管理层是否接受超出风险偏好或风险容忍度的风险水平。例如，如果  管理层在实施行动计划方面没有显著进展，首席审计执行官可得出结论，认为管理层接受的风险水平超出了  风险偏好或风险容忍度。在将问题上报董事会和/或高级管理层之前，首席审计执行官应直接与负责该风险领 域的管理层讨论，分享所关注的问题，了解管理层的观点，并商定最新的行动计划。

只有在首席审计执行官无法与负责管理风险的管理层达成一致时，才会执行本标准的要求。如果在与高级管   理层讨论后，确定了不可接受的风险仍未得到解决，首席审计执行官就会将此问题上报董事会。董事会负责决 定如何与管理层一起解决该问题。

3证明遵循性的示例

• 与董事会就沟通风险问题的方法进行讨论和达成一致意见的记录。• 有关风险的讨论情况以及向运营管理层和高级管理层建议采取的行动的记录，包括会议纪要。• 解释风险问题和内部审计为解决该问题采取行动的记录，包括从运营管理层上报到高级管理层的讨 论过程。• 与董事会举行会议的记录，包括将问题上报董事会的非公开或闭门会议。