第2章 以风险为基础计划.ppt

第2章 以风险为基础制定计划，确定内部审计活动的优先顺序;2.1 建立评估风险的框架;评估风险因素和制定年度审计计划的系统方式：COSO 全面风险管理框架;企业风险管理构架;2.2 应用风险评估框架;2.2.1识别潜在审计业务来源;2.2.1识别潜在审计业务来源;确定或更新审计域应考虑的因素 （1）考虑组织战略计划： 组织的战略性计划反映了组织管理层对待风险的态度和实现目标的难度。 以环境分析为基础，利用SOWT分析法，对组织经营环境中众多因素加以鉴别和分类，识别潜在的机会和威胁。 具体影响因素： 法律因素：颁布的法律、发生的诉讼、受到的处罚等。 监督因素：根据法规、原则和规章等实施的对组织的控制和治理行为，导致组织面临某种处罚。 竞争活动：市场力量、行业趋势和竞争。 股东群体：对组织进行投资，或对组织的成功或行动感兴趣。 技术趋势和核心竞争力：核心技术、基础技术和组织技术方面的优势和劣势。 客户：需求、偏好。 内部职能分析：组织结构、员工能力和流程能力支持或妨碍组织活动的情况。 ;;（2）考虑管理层和员工的风险意识和行动;2. 管理层的要求 高层管理者和董事会提出的审计要求； 被审计单位管理者出于对某些特定领域的关注，主动提出审计要求。审计人员要重新评估相应风险，一般实际的风险会比管理者相象得更高。 3.法规要求 任何与组织相关的法规要求都应当成为审计域的一部分加以考虑，包括国际组织或国家、地区法规，如： 某个行业中的特殊要求，如航空部门对机场、飞行交通控制和安全问题的要求。 横贯多个行业的要求，如环保部门限制污染的标准，职业安全与健康管理部门对工人健康和安全的标准。 4.其他来源 外部审计等发现或要求，急需关注和处理的问题。;2.2.2评估组织范围内的风险;1.风险因素评估模型遵照的程序;（1）风险识别(Risk Identification);风险识别可以采用的审计方法;特尔斐法 ：背靠背的专家意见预测法;头脑风暴法：激发创造性思维的方法 ;雷达图分析法：分析财务能力的重要工具 ; ;筛选一监测一诊断方法 是由筛选、监测、诊断这样三个紧密相连的环节组成的一种风险识别方法。 ①筛选:审计人员对各种潜在的危险因素进行分类，确定哪些因素明显地会引起风险，哪些因素明显的不重要，哪些因素还需要进一步研究。在筛选中排除干扰，将注意力集中在一些可能产生重大风险的因素上。 ②监测：根据筛选结果，对某种风险涉及的过程、现象或个人进行观测、记录和分析，掌握它们的活动范围和变动趋势，复现过程。 ③诊断:根据审计时发现的风险症状或其后果与可能的起因关系进行审计和判断，找出可疑的动因并进行仔细检查。 ;安达信企业风险模型;(风险宇宙 );风险图谱;（2）风险度量（Risk Measurement);;评分;估计风险发生的可能性（包括发生的概率和频率）;可能性;风险排序;2.2.3 系统选择审计项目;被审计单位内部控制质量 管理人员的能力 管理人员的正直程度 单位的规模 会计系统的近期变动 经营业务的复杂程度 要职人员的近期变动 单位经营环境的变化 资产的流动性;各行业前十种最主要的风险因素;风险因素在排列潜在被审计者的审计次序中的具体运用： 第一步：挑选出5种对组织的各单位最重要的因素； 第二步：给每一个被审计者的这5种风险因素按1-5分分别逐一打分，1分表示风险为最小值，而5分表示风险为最大值； 第三步：加总各被审计者的分数，得出风险分值（25 分为最高的风险分值，最低是5分)。分值相同时，再追加一种风险因素重新排序； 第四步：按各单位的风险排序。 风险评估应每年进行。 ;审计对象风险排序表;潜在被审计者排序和审计时数估计表;确定审计对象 结合审计资源配置，最终确定审计对象。 配置审计资源 审计可用资源一般用可以配置的小时数来反映。 可配置小时数一般按审计人员的级别（如审计职员、高级审计职员、审计经理、首席审计执行官等）和专业（如信息技术、审计、会计、工程等）计算。 实际可用小时数：从可配置小时数扣减下列项目： 休假日、公共假日、病假、职业发展培训、特殊项目的审计、管理实施时间； 强制性审计所需小时数； 为了满足管理层和董事会特殊要求而减少的小时数（一般为可用审计小时数的10-15%）； 用来帮助外部审计的小时数。;假设一位审计人员年度实际可用审计时数为1850工时，5位审计人员共计9250工时。 被审计者选择策略： 对风险值排列在前的每一被审计者都实行完全的审计，最后一个可完成的被审计者是商业研究部（第7个），剩下的审计时间用于对人事部门进行审计。 增加审计覆盖面，先对所有潜在的被审计者进行复核，然后用剩下的时??对东部销售部、数据处理部进行全面审计。 杜邦 “沸腾壶”模型选择。 ;潜在被审计者排序和审计时数估计表;;潜在被审计者排序和审