内部审计经典选读：索耶内部审计.pdf

内部审计经典选读：索耶内部审计

索耶内部审计-风险评估

谁运用风险评估

管理层把风险评估作为保证组织取得成功的程序的组成部分。该

事实在COSO研究报告中有清晰的论述。管理层也把风险评估作为设

计新系统的一个重要工具。无论是人工或是计算机化的新系统都是用

来实现已认可的目标的。设计和开发程序的一个重要任务就是对所有

的妨碍系统实现目标的事件和行为进行确认。

目前的法律要求有一定规模银行做年度的风险评估，以此作为编

制关于内部控制系统状况的公开声明的基础，并要求银行的注册会计

师验证该声明的准确性。自1979年以来，人们试图要求所有依据

1934年证券交易法报告的组织提供此类声明。很可能，通过法律或法

规会使这种提供报告的要求在越来越多的企业和公共部门成为强制性

要求。

注册会计师必须使风险评估遵照他们的准则进行。美国注册会计

师协会《内部审计准则公告》第55号讨论了会计师在获得对控制系统

的了解方面的责任。会计师在计划他们的审计工作时也要进行风险评

估。未达到审计目标的风险是什么？该运用哪种审计测试方法来保证

审计目标的实现？一类风险是选择了错误的测试方法，另一类风险是

采用不正确的抽样计划和技术，等等。

毫无疑问，内部审计时从这一专业出现之日起就一直在从事风险

评估工作，他们总是问：“什么地方出了问题？”对潜在错误或违规

行为进行识别已是一项绝对的要求。只有找到风险，才能确定应采用

什么样的控制程序。毕竟，如果没有风险，那么还有控制吗？除非风

险已经被识别和评估，否则，内部审计师怎样才能确定在某种情况下

一项特定的控制是否是一项有效的控制？

在许多组织中，内部审计机构在形成管理层关于控制系统状况年

度声明的风险评估重视关键的执行者。在该声明的陈述中必须考虑内

部审计师正在进行的工作。有些组织要求实施特定的审计，以监督在

当年发现的弱点在南中报告日已得到纠正。

计划风险评估和暴露

制定审计计划要包括对组织风险和暴露程度的考虑。在战略计划

中，审计计划应该评估对风险优先顺序和暴露的要素的关注程度，因

此，风险管理过程的结果影响审计领域。该报告包括审计活动的详细

方法如审计工作时间表的内容、审计的方法、审计的实施、报告内容

以及对“降低风险的内部控制”的评估。

扩展风险导向审计

风险导向审计的概念传统上是以对控制的观察和分析开始的，接

着继续对与经营相关的风险进行确认，最后确认审计活动是否与组织

的目标一致。McNamee和Selim认为这种方法是错误的。因为内部

审计首先需要为目标服务，目标是经营的基础，并且不是一成不变的，

必须灵活并且是或应当是着眼于未来的。他们提出了首先考虑建立组

织目标的方法，接着通过识别、衡量和优先排序等方法评估风险，最

后通过下列方法进行风险管理：

※控制和接受风险

※规避或分散风险

※向其他部门分配和转移风险

※

管理风险的概念日益被人们所接受，因为风险在所有各类运营中

不可避免，需要通过活动的多重选择去容纳风险，这些风险包括：

※控制组织活动从而在规模和数量上降低风险；

※通过容许对于进步和利润所必须的谨慎的风险去接受风险；

※规避风险涉及到对业务程序的重新设计从而改变风险模式；

※分散风险通过将总体风险分散到许多分离的经营活动当中，

一个实例是对关键材料选用多个供应商；

※通过运用合同以及安排第三方接受部分或所有风险来分配和

转移风险，如保险。

从风险确认扩展到风险管理就是未来的发展潮流。

没有风险管理程序的组织

本章的大部分论述了风险的两个方面：第一，，内部审计师为了

编制审计计划应该检查被审计领域里的风险；第二，如果存在风险管

理方案，作为审计的一部分，内部审计师应该对其进行评估。《实务

公告》2100-4指出：内部审计在没有风险管理程序的组织中的作用，

该公告建议内部审计师：

⑴帮助组织识别、评估和实施风险管理以及董事会关注的问题，

确定如何通过风险管理和控制来解决这些问题。

⑵识别管理层和董事会关注的问题，并确定如何通过风险管理程

序来解决这些问题。

⑶引起组织对缺乏风险管理程序的注意，并对建立风险管理程序

提出建议