第2章 以风险为基础的计划.ppt

第2章 以风险为基础制定计划，确定内部审计活动的优先顺序 2.1 建立评估风险的框架 2.2 应用风险评估框架 2.3 识别内部审计资源 2.4 协调内部审计工作 2.5 选择审计业务 2.1 建立评估风险的框架 风险是指发生对目标的实现可能产生影响的事件的不确定性。 风险的后果： 使用不正确、不及时、不全面的信息而做出了错误的决定； 对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露； 没有恰当的保护财产； 没有遵守政策、程序、计划、法律或规章； 不经济地获取资源或没有效率、没有效果地使用这些资源； 被审计单位的不满意、负面的宣传、名誉的损失； 没有达到项目经营所确定的目标和任务。 评估风险因素和制定年度审计计划的系统方式：COSO 全面风险管理框架 COSO 《企业风险管理框架》（Enterprise Risk Management Framework，ERM）（2004）认为 “全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别哪些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。” 企业风险管理框架基本结构 风险管理目标 风险管理要素 风险管理层次 2.2 应用风险评估框架 2.2.1 识别潜在审计业务来源 2.2.2 评估组织范围内的风险 2.2.3 系统选择审计项目 2.2.1识别潜在审计业务来源 1. 确定或更新审计领域 （审计域 Audit universe) 2. 管理层的要求 3. 法规要求 4. 其他来源 2.2.1识别潜在审计业务来源 1. 确定或更新审计领域 制定内部审计计划的有效方法是确定或更新审计领域(Audit Universe)。 审计领域是指所有可能开展的审计清单表，涉及组织经营的各个方面，如应收（付）账款、现金管理、客户服务、环境、财务、健康安全、人力资源、存货管理、法律、生产、市场营销、采购、位置、证券等。 确定或更新审计域应考虑的因素 （1）考虑组织战略计划： 组织的战略性计划反映了组织管理层对待风险的态度和实现目标的难度。 以环境分析为基础，利用SOWT分析法，对组织经营环境中众多因素加以鉴别和分类，识别潜在的机会和威胁。 具体影响因素： 法律因素：颁布的法律、发生的诉讼、受到的处罚等。 监督因素：根据法规、原则和规章等实施的对组织的控制和治理行为，导致组织面临某种处罚。 竞争活动：市场力量、行业趋势和竞争。 股东群体：对组织进行投资，或对组织的成功或行动感兴趣。 技术趋势和核心竞争力：核心技术、基础技术和组织技术方面的优势和劣势。 客户：需求、偏好。 内部职能分析：组织结构、员工能力和流程能力支持或妨碍组织活动的情况。 （2）考虑管理层和员工的风险意识和行动 组织管理层和一般员工具备风险意识的重要性 管理层：行政人员和核心经营经理负责制定计划、分配用以实现计划的资源、监督实现计划的活动和评估结果； 一般员工：最接近经营活动。 从管理层和员工处获取信息的方式： 访谈：双方之间讨论。在客观的方式下开展，不对结果有任何预先的看法；建立友好的气氛；产生有质量的信息。 焦点小组：邀请由经理或员工（6-12人）组成的小组参加讨论。需要有效的计划、清晰的目标和熟练业务的仲裁者来最充分的利用时间；采用头脑风暴等方法；避免参与人员之间言论的相互影响而导致的从众现象。 问卷/调查：衡量管理层和员工态度和观点的方法，可以帮助识别严重风险。但可能得不到诚实、彻底的答案；回答过于笼统。 2. 管理层的要求 高层管理者和董事会提出的审计要求； 被审计单位管理者出于对某些特定领域的关注，主动提出审计要求。审计人员要重新评估相应风险，一般实际的风险会比管理者相象得更高。 3.法规要求 任何与组织相关的法规要求都应当成为审计域的一部分加以考虑，包括国际组织或国家、地区法规，如： 某个行业中的特殊要求，如航空部门对机场、飞行交通控制和安全问题的要求。 横贯多个行业的要求，如环保部门限制污染的标准，职业安全与健康管理部门对工人健康和安全的标准。 4.其他来源 外部审计等发现或要求，急需关注和处理的问题。 2.2.2评估组织范围内的风险 组织范围内的风险是指用于识别对整个组织产生不利影响的情况或事情的重要性和可能性的鉴定标准。 一旦确定了潜在审计业务来源，就需要评估能够对组织目标产生影响的风险和机会。 1.风险因素评估模型遵照的程序 （1）风险识别 （2）风险度量 （3）风险排序 （1）风险识别(Risk Identification) 风险识别 企业的业务模式不同，所面临的风险不同。企业必须采用系统化、规范化方法来识别所有潜在阻碍企业成功的各种风险；识别出的风险必