【最新精品版】B以风险为基础制定计划确定内部审计活动的优先次序.docVIP

建立评估风险的框架 风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。 风险的后果（the effects of risk）包括： 由于使用不正确、不及时、不全面的信息而作出了错误的决定； 对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露； 没有恰当地保护资产； 被审计单位的不满意、负面的宣传、名誉的损失； 没有遵守政策、程序、计划、法律和规章； 不经济地获取资源或没有效率、没有效果地使用这些资源； 没有达到项目经营所确定的目标和任务。 首席审计执行官应根据COSO（the committee of sponsoring organizations的缩写，是一个由IIA和AICPA在内的众多组织组成的专业联盟）开发出的风险评估模型建立以下评估风险的框架： 内部环境 目标设定 事件识别 风险评估 风险回应 控制活动 信息与沟通 监督 内部审计师不可能去评估组织面临的所有可能的风险。大量的潜在审计业务伴随着相应范围内的工作需要对有限的内部审计资源进行有效的利用。风险评估框架可以为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划。 某种程度来讲，评估框架和以风险为基础制定的计划会因企业不同而有所不同。组织规模、正规性、管理团队动态、行业、