定期风险评价报告审核要点

研究报告-1-定期风险评价报告审核要点一、审核准备1.明确审核目标(1)明确审核目标是为了确保风险评价报告的准确性和有效性，从而为企业的风险管理提供科学依据。具体而言，审核目标包括但不限于验证风险评价方法是否合理、风险识别是否全面、风险评估结果是否准确、风险应对措施是否可行。通过明确审核目标，有助于提高风险评价报告的整体质量，降低企业面临的风险。(2)审核目标还包括评估风险评价报告的编制是否符合相关法律法规和行业标准，以及风险评价过程是否遵循了企业内部的风险管理政策和程序。此外，审核目标还应当关注风险评价报告的沟通与披露是否充分，确保利益相关者能够及时了解企业的风险状况。通过综合评估这些方面，可以为企业提供全面的风险管理信息，增强风险管理的决策支持。(3)在明确审核目标的过程中，还应关注风险评价报告是否能够及时反映企业内外部环境的变化，以及是否能够适应企业发展战略的需要。审核目标应涵盖对风险评价报告的全面审查，包括数据来源的可靠性、分析方法的科学性、结论的合理性等方面。通过设定明确的审核目标，有助于确保风险评价报告的权威性和实用性，为企业风险管理提供有力保障。2.制定审核计划(1)制定审核计划是确保风险评价报告审核工作有序进行的关键步骤。首先，需要根据审核目标确定审核的范围和深度，明确需要审查的风险评价报告类型、相关文档和资料。其次，根据企业的规模和复杂性，合理分配审核资源，包括审核人员、时间和预算。此外，审核计划应包括具体的审核流程和时间表，确保审核工作在预定的时间内完成。(2)在制定审核计划时，应充分考虑风险评价报告的编制周期和频率，以及企业内部的风险管理流程。计划中应详细列出审核的各个阶段，包括初步评估、现场审核、数据分析、报告编制和反馈交流等。同时，应考虑到可能遇到的困难和挑战，为应对突发状况预留应对措施和备用方案。此外，审核计划还应包括与被审核方的沟通机制，确保审核过程的透明度和有效性。(3)制定审核计划时，还需关注审核人员的专业能力和经验，确保其具备完成审核任务所需的技能。计划中应明确审核人员的职责和权限，确保他们在审核过程中能够独立、客观地执行任务。此外，审核计划还应包括对审核结果的记录和报告，以及后续跟踪和改进措施。通过制定详细的审核计划，可以确保审核工作的高效性和准确性，为企业的风险管理提供有力支持。3.准备审核所需资料(1)准备审核所需资料是确保审核工作顺利进行的基础。首先，需要收集与被审核企业相关的背景资料，包括企业组织架构、业务流程、历史风险事件记录等，以便对企业的风险状况有一个初步的了解。其次，应准备风险评价报告的相关资料，如风险识别清单、风险评估结果、风险应对措施等，确保审核过程中能够对报告内容进行深入分析。(2)审核所需资料还包括法律法规、行业标准和企业内部规定，这些资料对于评估风险评价报告的合规性至关重要。此外，还应收集与风险评价报告编制相关的数据和信息，如财务数据、市场数据、业务数据等，以便对风险评价的准确性和可靠性进行验证。同时，准备审核过程中可能用到的工具和模板，如调查问卷、访谈指南、检查清单等，以提高审核效率和效果。(3)在准备审核所需资料时，还需考虑与被审核方沟通的记录和文件，包括会议纪要、访谈记录、电子邮件等，以便在审核过程中进行交叉验证和核实。此外，准备备用的资料和资源，如专业书籍、数据库、网络资源等，以应对审核过程中可能遇到的问题和挑战。通过全面、细致地准备审核所需资料，可以确保审核工作的全面性和深入性，为企业的风险管理提供有效的评估和建议。二、风险管理框架评估1.风险管理体系有效性(1)风险管理体系的有效性体现在其是否能够全面覆盖企业面临的各种风险，以及是否能够及时识别、评估和应对这些风险。有效的风险管理体系应包括明确的政策、程序和流程，确保风险管理的各项活动得到有效执行。此外，体系应具备持续改进的能力，能够根据企业内外部环境的变化进行调整和优化。(2)评估风险管理体系的有效性，首先要考察其是否建立了完善的风险识别机制。这包括对风险的全面性、准确性和及时性进行审查，确保所有潜在风险都被纳入管理体系。其次，应关注风险评估的准确性，评估方法是否科学合理，是否能够准确反映风险发生的可能性和影响程度。此外，风险应对措施的有效性也是衡量体系有效性的重要指标。(3)风险管理体系的执行情况同样关键。这涉及到风险管理的责任分配、权限界定以及执行过程中的沟通与协调。有效的风险管理体系应确保所有员工都了解自己的风险管理和职责，并且在执行过程中能够得到必要的支持和资源。同时，体系还应具备有效的监督和评估机制，对风险管理活动进行定期审查，确保体系的有效性和持续改进。2.风险评估方法合理性(1)风险评估方法的合理性是确保风险评价结果准确性的关键。合理的风险评估方法应基于科学的原理和实际的数据，能够全面反映企业面临的风险状况。这要求所采用的方法需具备客观性、一致性和可比性，确保不同风险之间的评估结果能够相互对比和参照。(2)在选择风险评估方法时，需要考虑企业的具体情况和风险特征。例如，对于不确定性较高的风险，可能需要采用敏感性分析或情景分析等方法；而对于可量化风险，则更适合使用概率分析或成本效益分析。此外，所选方法应能够适应企业风险管理流程，与现有的管理体系和决策过程相协调。(3)风险评估方法的合理性还体现在其能否有效识别和量化风险。这要求方法能够充分考虑风险的潜在影响，包括财务影响、运营影响、法律影响和声誉影响等。同时，评估方法应具备足够的灵活性，能够适应企业战略调整、市场变化和环境因素的变化，确保风险评估的持续性和动态性。通过选择合理的风险评估方法，企业可以更准确地评估和管理风险，为决策提供有力的支持。3.风险应对策略适宜性(1)风险应对策略的适宜性是风险管理成功的关键因素之一。适宜的风险应对策略应与企业的战略目标、资源状况和风险承受能力相匹配。策略的制定需要综合考虑风险的可能性和影响，确保在面临风险时，企业能够迅速作出反应，采取有效的措施来减轻或消除风险。(2)评估风险应对策略的适宜性，首先要看其是否具有针对性。策略应针对识别出的关键风险，提供具体的应对措施，包括风险规避、风险减轻、风险转移或风险接受等。同时，策略应考虑不同风险之间的相互作用，避免因应对一种风险而引发另一种风险。(3)风险应对策略的适宜性还体现在其实施的可行性和可持续性上。策略的实施应考虑到企业的实际操作能力，包括人力资源、技术支持和财务资源。此外，策略应具备适应性和灵活性，能够随着风险状况的变化和企业发展的需要而调整，确保企业在面对不断变化的外部环境时，能够持续有效地管理风险。三、风险识别与评估1.风险识别过程(1)风险识别过程是企业风险管理的基础，它涉及系统地识别和分析企业可能面临的所有风险。这一过程要求企业全面考虑内部和外部环境，包括市场变化、技术发展、法律法规、竞争态势以及企业自身的运营模式等。风险识别的过程应包括收集相关信息、分析潜在风险以及记录识别出的风险。(2)在风险识别过程中，企业应采用多种方法和工具，如头脑风暴、专家访谈、历史数据分析、情景分析和检查清单等。这些方法有助于从不同角度和层面发现潜在风险，确保风险识别的全面性和深入性。同时，风险识别应是一个持续的过程，随着企业内外部环境的变化，需要定期进行更新和补充。(3)风险识别过程中，企业还应注重对风险的分类和优先级排序。通过对风险进行分类，有助于企业针对不同类型的风险采取相应的管理策略。优先级排序则有助于企业集中资源应对最关键的风险。此外，风险识别过程应鼓励广泛参与，确保不同部门和员工都能够提供相关信息，从而提高风险识别的准确性和有效性。2.风险评估结果(1)风险评估结果是风险评价报告的核心内容，它反映了企业面临风险的严重程度和可能性。这一结果通常通过风险矩阵或风险图表来呈现，其中风险矩阵将风险的可能性和影响程度进行量化，从而得出每个风险的总体风险等级。风险评估结果应基于详细的数据分析、专家判断和情景模拟等手段，确保其客观性和准确性。(2)风险评估结果应包括对每个风险的具体描述，如风险的性质、触发因素、潜在后果等。同时，应提供风险评估的依据，包括所采用的方法、数据和模型等。这些信息有助于利益相关者理解风险评估的过程和结果，并对风险管理决策提供支持。此外，风险评估结果还应包括对风险发生概率和潜在影响的定性描述，以便于非技术背景的人员也能理解。(3)在呈现风险评估结果时，企业应考虑风险之间的相互关系，包括风险之间的叠加效应和依赖性。风险评估结果应反映这些相互关系，以便企业能够全面评估风险组合对业务运营和财务状况的影响。此外，风险评估结果还应包括对关键风险的特别关注，如具有高影响或高可能性的风险，以及那些可能对企业造成重大损害的风险。这些关键风险应成为风险管理策略和资源分配的重点。3.风险等级划分(1)风险等级划分是风险管理过程中的一项重要步骤，它将识别出的风险按照其可能性和影响程度进行分类。这种划分有助于企业集中资源应对最关键的风险，并确保风险管理的优先级与风险的实际威胁相匹配。风险等级通常采用一个四分位或五分位的量表，如低、中低、中、中高、高，以便于直观地理解和比较不同风险。(2)在进行风险等级划分时，企业需要依据风险评估结果，结合自身的风险承受能力和战略目标。划分标准应基于定量和定性分析，包括风险发生的概率、潜在影响、风险的可控性等因素。例如，高概率且高影响的风险可能会被划分为最高等级，而低概率但高影响的风险则可能被划分为次高等级。(3)风险等级划分后，企业应制定相应的风险管理策略。对于不同等级的风险，可能需要采取不同的应对措施，如对高风险采取规避或减轻措施，对中风险采取转移或接受措施，对低风险则进行监控和记录。此外，风险等级划分还应定期审查和更新，以反映企业内外部环境的变化以及风险状况的动态调整。通过风险等级划分，企业能够更有效地管理风险，保障业务运营的稳定性和可持续性。四、风险应对措施1.风险应对计划(1)风险应对计划是企业风险管理的重要组成部分，它为如何处理和减轻风险提供了明确的行动指南。计划中应详细列出针对每个已识别风险的应对策略，包括风险规避、风险减轻、风险转移和风险接受等。对于高风险或关键风险，应制定详细的应对措施，以确保在风险发生时能够迅速响应。(2)风险应对计划应包括明确的职责分配，明确每个相关人员或团队在应对风险时的具体角色和任务。这有助于确保在风险发生时，能够有效地协调和执行应对措施。同时，计划中还应包含必要的资源分配，包括人力、财务和技术资源，以确保应对措施的实施。(3)风险应对计划还应包括对应急响应流程的详细说明，包括预警机制、应急启动程序、应急响应团队的组织结构以及与外部利益相关者的沟通策略。此外，计划中应包含定期的演练和评估，以确保应急响应流程的有效性和适应性。通过这些措施，企业能够提高对风险的应对能力，降低风险发生时的损失。2.风险应对措施实施(1)风险应对措施的实施是风险管理的关键环节，它涉及到将既定的风险应对策略转化为实际行动。实施过程中，企业需确保所有措施得到有效执行，包括制定详细的执行计划、分配资源、培训员工以及建立监控机制。实施计划应具体到每个步骤和时间节点，以便于跟踪进度和评估效果。(2)在实施风险应对措施时，企业应密切关注措施的实际效果，确保其能够达到预期目标。这可能涉及到对措施进行定期审查和调整，以适应风险状况的变化或应对新的风险。同时，企业还应建立有效的沟通渠道，确保所有相关人员都能及时了解措施的实施情况，并在必要时提供反馈。(3)实施风险应对措施的过程中，企业应持续监控风险状况，以及时发现新风险或风险变化。这要求企业具备灵活性和适应性，能够在风险发生时迅速调整应对策略。此外，企业还应记录实施过程中的关键信息和经验教训，以便于未来风险管理的持续改进和优化。通过确保风险应对措施的有效实施，企业能够更好地控制风险，保障业务的稳定运行。3.风险应对效果评估(1)风险应对效果评估是对实施风险应对措施后所取得成果的全面审查，旨在确定措施是否达到了预期目标，以及是否有效降低了风险。评估过程通常涉及对风险状况的再评估、措施执行情况的审查和效果的分析。评估结果对于改进风险管理策略和流程至关重要。(2)评估风险应对效果时，应考虑多个维度，包括风险发生的频率和严重程度、应对措施的执行效率、资源利用的合理性以及对企业运营和财务状况的影响。通过对比评估前后的数据，可以直观地看到风险应对措施的实际效果。此外，评估还应包括对措施实施过程中的挑战和问题的分析，以便于未来改进。(3)风险应对效果评估的结果应反馈到风险管理流程中，用于指导后续的风险管理活动。如果评估结果显示措施效果不佳，企业应重新审视风险应对策略，必要时调整措施或制定新的策略。同时，评估结果也应用于培训和教育员工，提高他们对风险管理的认识和应对能力。通过持续的风险应对效果评估，企业能够不断优化风险管理实践，提高整体风险管理的有效性。五、风险报告质量1.报告结构完整性(1)报告结构完整性是确保风险评价报告清晰、易于理解的基础。一个结构完整的报告应包含引言、背景信息、风险评估、风险应对措施、结论和建议等关键部分。引言部分应简要介绍报告的目的和范围，背景信息则提供风险评价所需的上下文。风险评估部分详细描述了风险识别、评估和分析的过程。(2)风险评价报告的结构完整性还体现在各个章节之间的逻辑性和连贯性。例如，风险评估结果应与风险应对措施相呼应，确保措施针对的是报告中识别出的具体风险。此外，报告中的图表、表格和附录等辅助材料也应与正文内容紧密结合，为读者提供全面的信息。(3)报告的格式和布局也是结构完整性的重要方面。清晰的标题、子标题和章节划分有助于读者快速找到所需信息。此外，报告应遵循一定的排版规范，如字体、字号、行距和页边距等，以保证整体的整洁和专业性。通过确保报告结构的完整性，可以提升报告的质量，使其更加专业和可信。2.信息准确性(1)信息准确性是风险评价报告的核心要求之一，它直接关系到报告的可信度和决策的可靠性。确保信息准确性意味着报告中提供的数据、事实和分析都必须是准确无误的。这要求在收集和整理信息时，必须严格遵循数据来源的可靠性和信息的真实性。(2)在撰写报告时，对信息的准确性进行验证是至关重要的。这可能包括对原始数据进行核实、交叉引用多个数据源以确认信息的准确性，以及使用专业工具和软件进行数据校验。此外，对于复杂的数据分析，应提供详细的计算过程和方法论，以便读者理解和复现分析结果。(3)报告中信息的准确性还包括对潜在偏差和误差的识别与披露。任何可能影响信息准确性的因素，如样本偏差、模型假设或数据限制，都应在报告中明确指出。通过这种透明度，读者可以更好地评估信息的可靠性，并据此做出合理的决策。持续的质量控制和审查流程是确保风险评价报告信息准确性的关键。3.报告格式规范性(1)报告格式规范性是风险评价报告专业性和可读性的重要体现。规范的格式不仅有助于读者快速定位信息，还能够提升报告的整体质量。报告格式规范通常包括统一的字体、字号、行距、页边距和标题级别，以及一致使用的图表、表格和引用格式。(2)在编写报告时，应遵循既定的格式规范指南，这些指南可能来自企业内部的标准、行业标准或国际标准。格式规范应包括报告的封面设计、目录结构、章节标题、正文内容、附录和参考文献等。一致性和标准的格式有助于确保报告的专业性和一致性。(3)报告格式规范性还包括对报告内容的逻辑组织。章节和子章节的划分应清晰，内容应按照逻辑顺序排列，使得读者能够顺畅地跟随报告的思路。此外，应避免在报告中出现重复或冗余的信息，保持内容的简洁和精炼。通过严格遵守报告格式规范，可以提升报告的整体质量，增强其专业性和权威性。六、风险沟通与披露1.内部沟通机制(1)内部沟通机制是风险评价过程中不可或缺的一部分，它确保了风险信息在企业内部的顺畅传递和共享。有效的内部沟通机制能够增强员工对风险管理的参与度，提高风险管理决策的质量。机制应包括定期会议、信息共享平台、工作坊和培训活动，以及明确的信息传递流程。(2)在建立内部沟通机制时，应确保沟通渠道的多样性和可达性。这可能包括电子邮件、内部网络、即时通讯工具、面对面会议以及定期的风险管理报告。沟通内容应涵盖风险识别、评估、应对措施和最新政策更新等方面，确保所有员工都能及时了解风险管理的最新动态。(3)内部沟通机制还应包括对沟通效果的评估和反馈机制。这有助于识别沟通中的障碍和不足，并采取相应的改进措施。评估可能包括员工满意度调查、沟通效率分析以及风险管理决策的质量评估。通过持续优化内部沟通机制，企业能够确保风险信息在整个组织中的有效传播，从而提升整体的风险管理能力。2.外部信息披露(1)外部信息披露是企业风险管理的重要组成部分，它涉及到向利益相关者，如投资者、客户、监管机构和社会公众等，公开企业的风险状况和风险管理措施。有效的信息披露能够增强企业的透明度，提升市场信任度，并有助于企业声誉的管理。(2)在进行外部信息披露时，企业应遵循相关法律法规和行业标准，确保披露信息的真实、准确和完整。这可能包括定期发布的风险管理报告、季度或年度报告中的风险相关章节，以及通过新闻稿、官方网站和投资者关系活动等渠道的实时更新。(3)外部信息披露还应考虑到信息受众的需求和兴趣，以及信息的传播效果。企业应采用多种沟通工具和渠道，如网络直播、社交媒体、分析师会议和年度股东大会等，以便于不同利益相关者以他们preferred的方式获取信息。同时，企业应建立有效的反馈机制，收集利益相关者的意见和反馈，以不断改进信息披露的质量和效果。3.沟通效果评估(1)沟通效果评估是对风险沟通活动成效的衡量，它有助于企业了解沟通策略是否达到了预期目标，以及信息是否被目标受众正确理解和接受。评估沟通效果通常涉及对沟通内容的准确性、传达的及时性、受众的参与度和反馈等因素的考量。(2)评估沟通效果时，可以采用多种方法，如问卷调查、访谈、焦点小组讨论和数据分析等。这些方法可以帮助企业收集有关沟通效果的定量和定性数据。定量数据可能包括受众参与度、信息传播范围等，而定性数据则可能涉及受众对信息的理解和接受程度。(3)沟通效果评估的结果应反馈到沟通策略的制定和改进中。如果评估结果显示沟通效果不佳，企业应重新审视沟通渠道、内容和方式，并据此调整沟通策略。通过持续评估和改进沟通效果，企业能够更有效地传递风险信息，提高风险沟通的效率和效果，从而增强风险管理的能力。七、合规性检查1.法律法规遵循情况(1)法律法规遵循情况是风险评价报告审核的重要方面，它涉及到企业是否遵守了相关的法律、法规和行业标准。这包括但不限于环境保护法、劳动法、反垄断法、消费者权益保护法等。确保企业遵守相关法律法规，是维护企业合法经营和保障社会公共利益的基础。(2)审核法律法规遵循情况时，需要审查企业是否制定了相应的合规政策和程序，并确保这些政策和程序在实际运营中得到有效执行。此外，还应检查企业是否定期进行合规性审计，以及是否有有效的合规性培训计划，确保员工了解并遵守相关法律法规。(3)遵循法律法规还包括对监管机构要求的遵守情况，如报告义务、信息披露要求等。企业在面对监管审查时，应能够提供充分的证据证明其合规性。如果发现企业在法律法规遵循方面存在问题，应立即采取措施纠正，并制定预防措施以防止类似问题再次发生。通过确保法律法规的遵循，企业能够降低法律风险，维护良好的企业形象。2.行业标准符合度(1)行业标准符合度是衡量企业风险管理实践的重要指标，它反映了企业是否遵循了行业内公认的最佳实践和标准。行业标准通常由行业协会、专业机构或政府监管机构制定，旨在规范行业行为，提高行业整体水平。(2)审核行业标准符合度时，需要对比企业的风险管理实践与行业标准的要求，包括风险评估、风险控制、风险监测和报告等方面的流程和措施。这要求企业具备一定的行业知识，能够识别和理解行业标准的内容和目的。(3)符合行业标准不仅有助于提升企业的风险管理水平，还能够增强企业在行业内的竞争力。通过确保行业标准符合度，企业能够更好地应对市场变化和竞争压力，降低潜在的风险，同时也能够提升企业的社会责任形象。持续跟踪行业标准的变化，并及时调整企业的风险管理实践，是维护行业标准符合度的关键。3.内部规定执行情况(1)内部规定的执行情况是企业风险管理中的一项关键考量，它直接关系到企业内部管理制度的实施效果。内部规定通常包括企业的各项政策、程序和指南，它们为企业提供了明确的操作框架，以确保日常运营的合规性和效率。(2)审核内部规定的执行情况，需要评估企业是否有一套完整的内部审计和监控体系，以及这些体系是否能够有效地监督和确保规定得到遵循。这包括对规定执行过程的跟踪、对违规行为的记录和纠正措施的实施。(3)内部规定的执行情况还涉及到员工对规定的理解和遵守程度。企业应定期进行培训和教育，确保员工了解内部规定的重要性，并能够在工作中正确执行。此外，企业还应建立有效的反馈机制，让员工能够报告执行过程中遇到的问题和困难，从而不断改进内部规定的执行效果。通过确保内部规定的有效执行，企业能够提升整体的风险管理能力，减少内部风险的发生。八、审核发现与建议1.审核发现的问题(1)审核发现的问题可能涉及多个方面，包括风险管理体系的不足、风险评估过程的缺陷以及风险应对措施的不足。例如，可能发现企业在风险识别过程中存在遗漏，未能全面识别所有潜在风险；或者在风险评估时，所采用的方法不够科学，导致风险评估结果不准确。(2)在审核过程中，还可能发现企业在风险应对措施的实施上存在问题，如措施缺乏针对性，未能有效减轻风险；或者在监控和报告机制上存在不足，导致风险状况不能及时得到反馈和调整。此外，可能发现企业的内部沟通机制不畅，导致风险信息不能有效传达至相关方。(3)审核发现的问题也可能与企业文化建设相关，如员工对风险管理的认识不足，缺乏风险意识；或者企业在风险管理上存在短期行为，忽视了长期风险的管理。这些问题可能会对企业的持续发展和稳定运营造成影响，因此在审核报告中应详细记录并分析这些问题，为企业的改进提供依据。2.改进建议(1)改进建议应针对审核发现的问题，提出具体、可行的解决方案。对于风险管理体系的不足，建议企业重新审视和优化风险管理体系，确保其能够全面覆盖所有风险，并具有持续改进的能力。这可能包括更新风险评估方法、完善风险应对策略，以及加强内部沟通和培训。(2)针对风险评估过程的缺陷，建议企业采用更为科学和系统的风险评估方法，如引入先进的统计模型或专家评审机制。同时，建议企业建立定期的风险评估流程，确保风险评估结果的准确性和时效性。此外，企业还应加强数据收集和分析，以提高风险评估的深度和广度。(3)对于风险应对措施的不足，建议企业根据风险评估结果，制定更为具体和针对性的应对措施。同时，建议企业建立有效的监控和报告机制，以跟踪措施的实施效果，并在必要时进行调整。此外，企业还应考虑引入外部专家或顾问，以提供专业的意见和支持。通过这些建议的实施，企业能够有效提升风险管理水平，降低风险发生的可能性和影响。3.后续跟踪要求(1)后续跟踪要求是确保风险管理改进措施得到有效实施和持续改进的关键环节。跟踪要求应包括对改进措施实施进度的监控，以及对实施效果的定期评估。企业应设立专门的跟踪小组或负责人，负责监督改进措施的实施情况，并确保所有相关方都了解跟踪要求。(2)后续跟踪要求还应包括对改进措施效果的评估标准和方法。评估标准应具体、可衡量，以便于跟踪小组能够客观地评价改进措施的效果。评估方法可能包括定量分析、定性评估和利益相关者的反馈。通过这些评估，企业能够及时了解改进措施的实际成效，并据此调整策略。(3)在后续跟踪过程中，企业应建立有效的沟通机制，确保跟踪小组与相关方之间的信息交流畅通。这包括定期举行会议、提供报告和更新文档等。此外，企业还应制定明确的跟踪报告格式和提交时间表，以便于跟踪小组能够及时向管理层和利益相关者报告跟踪结果。通过严格的后续跟踪要求，企业能够确保风险管理改进措施得到有效执行，并持续优化风险管理实践。九、总结与反馈1.审核总结(1)审核