B 2 使用该框架.doc

声明：本资料由大家论坛国际注册内部审计师考试专区/forum-184-1.html收集整理，转载请注明出自更多国际注册内部审计师考试信息，考试真题，模拟题下载/forum-184-1.html大家论坛，全免费公益性考试论坛，期待您的光临！ B－2　应用该框架2.1　识别潜在审计业务的来源（如审计域，管理层的要求，法规要求） 风险评估是对可能出现的不利情况或事件进行评价和综合的一个专业判断过程。风险评估使首席审计执行官能够确定审计工作日程安排的先后次序。首席审计执行官利用来自风险管理过程的综合性信息（包括对管理层和董事会所关心问题的识别）制定内部审计本部门计划的风险评估过程，有别于内部审计师在审计过程对组织管理风险进行的评价工作。 根据《标准》，首席审计执行官应在风险评估的基础上为内部审计部门至少一年制定一次审计业务计划，以确定符合内部审计部门章程和组织目标的内部审计工作重点。在某些情况下，审计计划需要进行经常性（例如，每季度）修改，目的是对组织管理层活动的变化作出反应。 首席审计执行官通常对高风险的活动优先考虑实施审计。审计委员会要求的活动不一定比管理层要求的活动风险更高。风险评估的步骤如下： 识别可审计的活动； 分析可审计主体会给组织带来的风险； 对风险进行排序，确定审计先后次序。 内部审计的最终目的是向管理层提供信息，以减少在实现组织目标过程中可能带来的负面影响，因此，内部审计部门的计划应该反映组织的风险战略，组织的风险管理应与内部审计程序之间协调一致，使之协同增效。因此，内部审计部门在制定审计计划时通常应考虑以下因素： 了解组织战略性计划、组织对待风险的态度和实现既定目标的困难程度以确定审计计划目标； 了解风险管理的过程和结果以确定审计范围； 了解管理层的方针、目标、工作重心的变化以调整审计范围和相关计划内容； 应用能反映风险重大性与发生可能性的技术与方法来监测和证实风险； 确定风险模式（如风险因素模式）以帮助首席审计执行官排列审计目标的优先次序； 在向管理层的报告中传达对风险管理的结论和建议，以降低风险； 准备一份关于内部控制充分性的声明，以减少风险。 2.1.1　审计域 大多数组织中，潜在的审计域都很广泛，涉及组织经营的各个方面，如下面所示： 应付账款 ·位置 应收账款 ·生产 现金管理 ·市场营销 客户服务 ·薪酬 环境 ·生产／经营 财务 ·产品和服务 通用服务 ·采购 健康安全 ·研发 人力资源 ·销售 存货管理 ·证券 法律 以风险为基础的审计域，它不是单独依据经营实体来定义的。还包括组织的战略计划和内部控制管理来降低风险、实现组织目标、确保满足客户需要。正如前文所示，变化是持续的，在变化的环境中产生了数量庞大的组织风险。内部审计师评估管理控制的经济有效性和实现组织预定战略目标的结果如何，并对结果加以报告。 组织战略计划 战略计划以一定程度上的环境分析为基础，环境分析对于组织内外可能发生与正在发生的情况作出判断。可以这样说，每个组织都是独特的，受其所在的环境所塑造。通常，组织会检查几个领域来了解潜在机会和威胁的来源。 法律因素——法律机构（例如联邦、州、国家/省或者城市法规）颁布的法律、立法活动和诉讼、推行的处罚都会对组织产品和服务的成功产生影响； 监督因素——法律实体下面的机构和非政府组织颁布的法规、原则和规章用以控制和治理行为，也能够导致某种程度的处罚和剥夺权力； 市场力量、行业趋势和竞争——组织竞争所处的环境； 股东群体——大批人、机构和其他组织，他们或对组织有所投资，或对组织的成功或行动感兴趣； 技术趋势和核心竞争力——对竞争优势至关重要的核心技术，对竞争必不可少的基础技术和组织技术方面的优势、劣势和重点； 客户——假定内部和外部客户都能够了解他们的需要、偏好和行为等； 内部职能分析——假设当前组织机构、员工能力和流程能力可以支持或者妨碍组织活动； SWOT（优势、劣势、机会、威胁）分析——可以对经营环境中众多因素是促进还是阻碍组织加以鉴别和分类的框架。 内部审计关于环境分析的关注可以揭示出许多潜在风险。通过吸收战略计划，审计域将考虑到并反映总体业务目标。战略计划能反映出组织对待和实现既定目标的困难程度的态度。一般来说，审计域受到风险管理过程结果的影响。组织战略计划的制定应当考虑到组织运营的环境。同样的环境因素很可能对审计域和相关风险的评估产生影响。 管理层和员工 除了职能部门和战略计划，以风险为基础的审计的潜在审计域还应包括组织的管理层和员工。行政人员和核心经营经理具备风险意识十分重要，因为他们负责制订计划、分配用以实现计划的资源、监督实现计划的活动和评估结果。员工的风险意识同样十分重要，因为他们最接近经营活动。这两类群体都可以对于组织面对的风险有深入认识。 从管理层和员工处获取信息有很多方式，主要