以风险为基础制定计划确定内部审计活动的优先次序.doc

01B 以风险为基础制定计划确定内部审计活动的优先次序 第 PAGE 1 页 共 NUMPAGES 16 页 建立评估风险的框架 风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。 风险的后果（the effects of risk）包括： 由于使用不正确、不及时、不全面的信息而作出了错误的决定； 对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露； 没有恰当地保护资产； 被审计单位的不满意、负面的宣传、名誉的损失； 没有遵守政策、程序、计划、法律和规章； 不经济地获取资源或没有效率、没有效果地使用这些资源； 没有达到项目经营所确定的目标和任务。 首席审计执行官应根据COSO（the committee of sponsoring organizations的缩写，是一个由IIA和AICPA在内的众多组织组成的专业联盟）开发出的风险评估模型建立以下评估风险的框架： 内部环境 目标设定 事件识别 风险评估 风险回应 控制活动 信息与沟通 监督 内部审计师不可能去评估组织面临的所有可能的风险。大量的潜在审计业务伴随着相应范围内的工作需要对有限的内部审计资源进行有效的利用。风险评估框架可以为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划。 某种程度来讲，评估框架和以风险为基础制定的计划会因企业不同而有所不同。组织规模、正规性、管理团队动态、行业、管理要求和其他人员问题都仅仅只是一部分的潜在影响因素。但通常来讲，大部分以风险为基础的框架包含如下步骤。 确定审计域 识别所有潜在审计业务的组织资源和所有潜在的待审业务；不能仅仅局限于某些职能上面（例如付款和会计），还要考虑到产生潜在风险的职能内部的具体业务活动； 随着行业或是组织的性质有所变化，例如，地点、进程、产品或区域都需要被考虑到。 　　例：组织中所有单位和流程的列示（可能包含数百条要素）。 检查组织的风险要素 假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险； 考虑潜在的审计业务资源； 包括同组织高层管理人员讨论确定风险水平、新计划的业务和／或程序变动； 如果组织中有风险管理系统（ERM）程序的话，考虑风险管理结果。 例：考虑收入或资产的规模、区域的显著性、偿债能力或现金流、其他检查的结果，还有财务报告问题。 确定审计顺序 评价确认的审计业务； 以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度； 考虑是否内部审计人员已经足够可以控制所有的主要风险，一些是否可以推迟和／或由外部审计人员负责； 最终形成年度审计计划。 例：以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源为基础确定下一年度最重要的审计领域。 以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，以阻止问题的出现。 应用评估风险的框架 识别潜在审计业务的来源（如审计域，管理层的要求，法规要求） 风险评估是对可能出现的不利情况或事件进行评价和综合的一个专业判断过程。风险评估使首席审计执行官能够确定审计工作日程安排的先后次序。首席审计执行官利用来自风险管理过程的综合性信息（包括对管理层和董事会所关心问题的识别）制定内部审计本部门计划的风险评估过程，有别于内部审计师在审计过程对组织管理风险进行的评价工作。 根据《标准》，首席审计执行官应在风险评估的基础上为内部审计部门至少一年制定一次审计业务计划，以确定符合内部审计部门章程和组织目标的内部审计工作重点。在某些情况下，审计计划需要进行经常性（例如，每季度）修改，目的是对组织管理层活动的变化作出反应。 首席审计执行官通常对高风险的活动优先考虑实施审计。审计委员会要求的活动不一定比管理层要求的活动风险更高。风险评估的步骤如下： 识别可审计的活动； 分析可审计主体会给组织带来的风险； 对风险进行排序，确定审计先后次序。 内部审计的最终目的是向管理层提供信息，以减少在实现组织目标过程中可能带来的负面影响，因此，内部审计部门的计划应该反映组织的风险战略，组织的风险管理应与内部审计程序之间协调一致，使之协同增效。因此，内部审计部门在制定审计计划时通常应考虑以下因素： 了解组织战略性计划、组织对待风险的态度和实现既定目标的困难程度以确定审计计划目标； 了解风险管理的过程和结果以确定审计范围； 了解管理层的方针、目标、工作重心的变化以调整审计范围和相关计划内容； 应用能反映风险重大性与发生可能性的技术与方法来监测和证实风险； 确定风险模式（如风险因素模式）以帮助首席审计执行官排列审计目标的优先次序； 在向管理层的报告中传达对风险管理的结论和建议，以降低风