B以风险为基础制定计划确定内部审计活动的优先次序《内部审计.pptVIP

内部审计活动在治理、风险和控制中的作用B以风险为基础制定计划确定内部审计活动的优先次序 主讲：杨光 副教授 国际注册内部审计师（CIA） 高级会计师 电话：681888(短号) 0） H） hgsunshine@163.com yg@ 办公室:62—316 2009年9月 B以风险为基础制定计划确定内部审计活动的优先次序 大纲 1. 建立评估风险的框架。 2.应用评估风险的框架：a.识别潜在审计业务的来源（如审计域、管理层的要求、法规要求）。b.评估全组织范围内的风险。c.从不同来源征求潜在审计业务。d.收集和分析拟审计业务的资料。e.对风险高低进行排序和确认。 3.识别内部审计资源需求。 4. 与各方面协调内部审计工作：a.外部审计师b.法规监管机构c.其他内部保证部门（如，健康和安全部门）。 5.选择审计业务：a.参与审计业务选择过程。b.选择审计业务。c. 与董事会沟通以获得其对审计业务计划的批准。 B－1　建立评估风险的框架 风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。 风险的后果 　（1）由于使用不正确、不及时、不全面的信息而作出了错误的决定；（2）对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露；（3）没有恰当地保护资产；（4）被审计单位的不满意、负面的宣传、名誉的损失；（5）没有遵守政策、程序、计划、法律和规章；（6）不经济地获取资源或没有效率、没有效果地使用这些资源；（7）没有达到项目经营所确定的目标和任务。 COSO《企业风险管理》（2004） 《企业风险管理框架》认为“全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别哪些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。” COSO的企业风险管理 刘谦 B－1　建立评估风险的框架 　1.确定审计域　（1）识别所有潜在审计业务的组织资源和所有潜在的待审业务；不能仅仅局限于某些职能上面（例如付款和会计），还要考虑到产生潜在风险的职能内部的具体业务活动；　（2）随着行业或是组织的性质有所变化，例如，地点、进程、产品或区域都需要被考虑到。 2.检查组织的风险要素 　（1）假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险；（2）考虑潜在的审计业务资源；（3）包括同组织高层管理人员讨论确定风险水平、新计划的业务和／或程序变动；（4）如果组织中有风险管理系统（ERM）程序的话，考虑风险管理结果。　例：　考虑收入或资产的规模、区域的显著性、偿债能力或现金流、其他检查的结果，还有财务报告问题。 3.确定审计顺序 　（1）评价确认的审计业务；（2）以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度；（3）考虑是否内部审计人员已经足够可以控制所有的主要风险，一些是否可以推迟和／或由外部审计人员负责；（4）最终形成年度审计计划。　　例：以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源为基础确定下一年度最重要的审计领域。　　以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，以阻止问题的出现。 例1 《标准》中谈到审计计划或风险评估时使用的“风险”一词，它的定义是（　）。A.内部审计师未发现导致财务报表或内部报告错报或误导的重大错误或事件的可能性B.对组织有不利影响的事件或活动的可能性C.管理层有意或无意地作出增加组织潜在负债的决策的可能性D.财务报表和／或内部报告包含重大错误的可能性 　答案：B 解题思路：A.不正确。这里指的是内部审计师的审计风险，而非《标准》中所指的制定审计计划和进行风险评估时所考虑的组织的风险。B.正确。风险是指可能对组织目标的实现产生影响的事情发生的不确定性，因此本选项很好地阐述了风险的定义。C.不正确。这里指的是管理层的决策风险，不能全面阐述《标准》中所指的制定审计计划和进行风险评估时所考虑的组织的风险。D.不正确。这里指的是财务报表和内部报告的报告风险，不能全面阐述《标准》中所指的制定审计计划和进行风险评估时所考虑的组织的风险。 例2 以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义? A.风险暴露乘以损失概率