B1　建立评估风险的框架.doc

声明：本资料由大家论坛国际内审师考试专区/forum-184-1.html 收集整理，转载请注明出自更多国际内审师考试信息，考试真题，模拟题下载/forum-184-1.html大家论坛，全免费公益性考试论坛，期待您的光临！ B1　建立评估风险的框架首席审计执行官必须以风险为基础制订计划，以确定与组织目标相一致的内部审计活动重点。 首席审计执行官负责以风险为基础制订计划。制订计划时，首席审计执行官需考虑组织的风险管理框架，包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架，首席审计执行官可以与高级管理层和董事会磋商后，自行作出风险判断。 首席审计执行官在考虑是否接受拟开展的咨询业务时，应当考虑该业务在改善风险管理、增加价值、改善组织运营等方面的潜在作用。已经接受的咨询业务必须纳入计划。 首席审计执行官应根据COSO企业全面风险管理框架（也可选用COSO内部控制框架）开发出的风险评估模型建立以下评估风险的框架： 内部环境 目标设定 事件识别 风险评估 风险应对 控制活动 信息与沟通 监控 内部审计根据COSO企业全面风险管理框架建立评估风险的框架时应注意：风险评估的衡量标准是后果与可能性。 通常使用潜在的可货币化或因风险暴露对组织将产生的不利影响来衡量。风险的后果（the effects of risk）包括： 由于使用不正确、不及时、不全面的信息而作出了错误的决定； 对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露； 没有恰当地保护资产； 被审计单位的不满意、负面的宣传、名誉的损失； 没有遵守政策、程序、计划、法律和规章； 不经济地获取资源或没有效率、没有效果地使用这些资源； 没有达到项目经营所确定的目标和任务。 内部审计师不可能去评估组织面临的所有可能的风险。大量的潜在审计业务伴随着相应范围内的工作需要对有限的内部审计资源进行有效的利用。风险评估框架可以为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制订年度审计计划。 风险评估对于审计部门计划的重要意义在于明确审计范围或识别可审计活动，IIA通过《实务公告》发布了一些具体指导，包括： 在制订内部审计部门的审计计划时，许多首席审计执行官发现，先制定或更新审计活动领域是很有效的方法。审计活动领域是指所有可能进行的审计活动。首席审计执行官可以听取高级管理层和董事会关于审计活动领域的意见。 审计活动领域可以吸收组织战略计划的成分。通过吸收战略计划，审计活动领域将考虑到并反映出总体业务目标。战略计划也可能反映出组织对待风险和实现既定目标困难程度的态度。一般来说，风险管理过程的结果会对审计活动领域产生影响。组织战略计划的制定会考虑到组织运营的环境，而环境因素很可能对审计活动领域和对相关风险的评估产生影响。 首席审计执行官在准备内部审计部门的审计计划时，要以从高级管理层和董事会获取的审计活动领域以及风险、风险暴露对组织的影响进行的评估为基础。审计目标的关键常常是向高级管理层和董事会提供确认和相关信息，包括对管理层的风险管理活动效果的评估。以帮助他们实现组织目标。 审计活动领域和相关审计计划内容的更新，应该反映出管理层的方针、目标、重点和关注点出现的变化。建议至少每年对审计活动领域评估一次，以反映组织最新的战略和方针。在某些情况下，审计计划需要进行比较频繁（例如，每季度）的更新，目的是对组织的主营业务、程序、系统和控制等方面的变化作出反应。 应该在评估风险和风险暴露优先次序的基础上安排审计工作。只有对风险进行优先排序之后，才能根据风险暴露的重要性分配相关的资源。多种风险模型的存在对首席审计执行官是很有帮助的。大多数的风险模型都利用了影响力、可能性、重要性、资产流动性、管理能力、内部控制的质量和内涵、变化或稳定程度、上次审计业务开展的时间和结果、复杂性、与雇员及政府的关系等风险因素。 某种程度来讲，评估风险的框架和以风险为基础制定的计划会因企业不同而有所不同。组织规模、正规性、管理团队动态、行业、管理要求和其他人员问题都仅仅只是一部分的潜在影响因素。但通常来讲，大部分以风险为基础的框架包含如下步骤： 确定审计领域： 识别所有潜在审计业务的组织资源和所有潜在的待审业务；不能仅仅局限于某些职能上面（例如付款和会计），还要考虑到产生潜在风险的职能内部的具体业务活动； 随着行业或是组织的性质有所变化，例如，地点、进程、产品或区域都需要被考虑到。 例： 组织中所有单位和流程的列示（可能包含数百条要素）。 检查组织的风险要素 假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险； 考虑潜在的审计业务资源； 包括同组织高层管理人员讨论确定风险水平、新计划的业务和／或程序变动； 如果组织中有风险管理系统（ ERM）程