《CIA_以风险为基础制定计划确定内部审计活动的优先次序》由会员分享,可在线阅读,更多相关《CIA_以风险为基础制定计划确定内部审计活动的优先次序(16页珍藏版)》请在金锄头文库上搜索。
1、01B以风险为基础制定计划确定内部审计活动的优先次序1. 建立评估风险的框架风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。风险的后果(the effects of risk)包括:由于使用不正确、不及时、不全面的信息而作出了错误的决定;对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露;没有恰当地保护资产;被审计单位的不满意、负面的宣传、名誉的损失;没有遵守政策、程序、计划、法律和规章;不经济地获取资源或没有效率、没有效果地使用这些资源;没有达到项目经营所确定的目标和任务。首席审
2、计执行官应根据 COSO ( the committee of sponsoring organizations 的缩写,是 个由IIA和AICPA在内的众多组织组成的专业联盟)开发出的风险评估模型建立以下评估 风险的框架:内部环境目标设定事件识别风险评估风险回应控制活动信息与沟通内部审计师不可能去评估组织面临的所有可能的风险。 大量的潜在审计业务伴随着相应 范围内的工作需要对有限的内部审计资源进行有效的利用。 风险评估框架可以为首席审计执 行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划。某种程度来讲,评估框架和以风险为基础制定的计划会因企业不同而有所不同。组织规
3、模、正规性、管理团队动态、行业、管理要求和其他人员问题都仅仅只是一部分的潜在影响因素。但通常来讲,大部分以风险为基础的框架包含如下步骤。1.1. 确定审计域识别所有潜在审计业务的组织资源和所有潜在的待审业务;不能仅仅局限于某些职能上面(例如付款和会计),还要考虑到产生潜在风险的职能内部的具体业务活动;随着行业或是组织的性质有所变化,例如,地点、进程、产品或区域都需要被考虑 至叽例:组织中所有单位和流程的列示(可能包含数百条要素)。1.2. 检查组织的风险要素假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险;考虑潜在的审计业务资源;包括同组织高层管理人员讨论确定风险水
4、平、新计划的业务和/或程序变动;如果组织中有风险管理系统(ERM )程序的话,考虑风险管理结果。例:考虑收入或资产的规模、区域的显著性、偿债能力或现金流、其他检查的结果,还 有财务报告问题。1.3. 确定审计顺序评价确认的审计业务;以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度;考虑是否内部审计人员已经足够可以控制所有的主要风险,一些是否可以推迟和/或由外部审计人员负责;最终形成年度审计计划。例:以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源 为基础确定下一年度最重要的审计领域。以风险为基础的审计是一种预先行动的方式,它着重于未来的事件,
5、以阻止问题的出现。2. 应用评估风险的框架2.1.识别潜在审计业务的来源(如审计域,管理层的要求,法规要求)风险评估是对可能出现的不利情况或事件进行评价和综合的一个专业判断过程。风险评估使首席审计执行官能够确定审计工作日程安排的先后次序。首席审计执行官利用来自风险管理过程的综合性信息 (包括对管理层和董事会所关心问题的识别)制定内部审计本部门计划的风险评估过程,有别于内部审计师在审计过程对组织管理风险进行的评价工作。根据标准,首席审计执行官应在风险评估的基础上为内部审计部门至少一年制定一次审计业务计划,以确定符合内部审计部门章程和组织目标的内部审计工作重点。在某些情 况下,审计计划需要进行经常
6、性(例如,每季度)修改,目的是对组织管理层活动的变化作出反应。首席审计执行官通常对高风险的活动优先考虑实施审计。审计委员会要求的活动不一定比管理层要求的活动风险更高。风险评估的步骤如下:识别可审计的活动;分析可审计主体会给组织带来的风险;对风险进行排序,确定审计先后次序。内部审计的最终目的是向管理层提供信息,以减少在实现组织目标过程中可能带来的负面影响,因此,内部审计部门的计划应该反映组织的风险战略,组织的风险管理应与内部审计程序之间协调一致, 使之协同增效。因此,内部审计部门在制定 审计计划 时通常应考虑以 下因素:了解组织战略性计划、组织对待风险的态度和实现既定目标的困难程度以确定审计计划
7、目标;了解风险管理的过程和结果以确定审计范围;了解管理层的方针、目标、工作重心的变化以调整审计范围和相关计划内容;应用能反映风险重大性与发生可能性的技术与方法来监测和证实风险;确定风险模式(如风险因素模式)以帮助首席审计执行官排列审计目标的优先次序; 在向管理层的报告中传达对风险管理的结论和建议,以降低风险;准备一份关于内部控制充分性的声明,以减少风险。2.1.1. 审计域大多数组织中,潜在的审计域都很广泛,涉及组织经营的各个方面,如下面所示:应付账款?位置应收账款?生产现金管理?市场营销客户服务?薪酬环境?生产/经营财务?产品和服务通用服务?采购健康安全?研发人力资源?销售存货管理?证券法律
8、以风险为基础的审计域, 它不是单独依据经营实体来定义的。还包括组织的战略计划和内部控制管理来降低风险、实现组织目标、确保满足客户需要。正如前文所示,变化是持续 的,在变化的环境中产生了数量庞大的组织风险。内部审计师评估管理控制的经济有效性和实现组织预定战略目标的结果如何,并对结果加以报告。组织战略计划战略计划以一定程度上的环境分析为基础,环境分析对于组织内外可能发生与正在发生的情况作出判断。可以这样说,每个组织都是独特的,受其所在的环境所塑造。通常,组织 会检查几个领域来了解潜在机会和威胁的来源。法律因素一一法律机构(例如联邦、州、国家/省或者城市法规)颁布的法律、立法活动和诉讼、推行的处罚都
9、会对组织产品和服务的成功产生影响;监督因素一一法律实体下面的机构和非政府组织颁布的法规、原则和规章用以控制和治理行为,也能够导致某种程度的处罚和剥夺权力;市场力量、行业趋势和竞争一一组织竞争所处的环境;股东群体一一大批人、 机构和其他组织,他们或对组织有所投资,或对组织的成功或行动感兴趣;技术趋势和核心竞争力对竞争优势至关重要的核心技术,对竞争必不可少的基础技术和组织技术方面的优势、劣势和重点;客户一一假定内部和外部客户都能够了解他们的需要、偏好和行为等;内部职能分析一一假设当前组织机构、员工能力和流程能力可以支持或者妨碍组织活动;SWOT (优势、劣势、机会、威胁)分析一一可以对经营环境中众
10、多因素是促 进还是阻碍组织加以鉴别和分类的框架。内部审计关于环境分析的关注可以揭示出许多潜在风险。通过吸收战略计划,审计域将考虑到并反映总体业务目标。战略计划能反映出组织对待和实现既定目标的困难程度的态 度。一般来说,审计域受到风险管理过程结果的影响。组织战略计划的制定应当考虑到组织运营的环境。同样的环境因素很可能对审计域和相关风险的评估产生影响。管理层和员工除了职能部门和战略计划, 以风险为基础的审计的潜在审计域还应包括组织的管理层和 员工。行政人员和核心经营经理具备风险意识十分重要,因为他们负责制订计划、分配用以实现计划的资源、监督实现计划的活动和评估结果。员工的风险意识同样十分重要,因为
11、他们最接近经营活动。这两类群体都可以对于组织面对的风险有深入认识。从管理层和员工处获取信息有很多方式,主要的方式如下三种:访谈(In terviews)双方之间结构化的讨论:一方代表内部审计另一方代表潜在审计业务客户或者经营风险 的信息来源;希望能够从被访谈的人员中获取不偏颇的观点;通常是重点团队和调查的先兆。例:首席审计执行官每年同董事长、审计委员会主席、总顾问和其他识别组织风险和缓解控 制的人员进行会面;内部审计经理同部门经理和其他层次的经理进行会面,获取他们对于组织目标的观点。需要注意的事项包括:必须在客观的方式下开展,不能对结果有任何预先的看法;尽早建立友好气氛,必要的时候试探获得进一
12、步信息和不断汇总以利于真实的讨论,访谈最为有效;产生有质量的信息,这些信息能够在重点团队中得以发现或者调查中被数据支持。焦点小组(Focus groups)邀请由目前的经理或员工(大约612人)组成的小组参加有内部审计部门代表参加的结构化讨论;通常持续2 3小时。例:首席审计执行官或者内部审计经理与作业单位的领导者会面,根据事件的影响程度和发生的可能性安排活动来帮助汇总、讨论和优先处理风险。 或者团队可以在管理层访谈中明确更深层次的风险。可以实施内部控制自我评估会议对某些风险进行总体评价以及对工作流程进行全组织 方位的评价。需要注意的事项包括:需要有效的计划、清晰的目标和熟练业务的仲裁者来最充
13、分地利用时间;可以包括团队头脑风暴、决策制定和业务排序;如果参与人员易受其他人的言论影响的话,可能会导致从众现象。为定量调查打下良好的基础并为之补充。问卷/调查衡量管理层和员工态度和观点的方法。例:组织中的“十大风险”清单可以从访谈和核心团队的数据中获取。问卷/调查的参与者主要发表对内部控制和具体风险控制措施的效果和效率的看法。需要注意的事项包括:通常可以提供获取信息的一个简单方式;可以帮助识别严重风险;可能得不到诚实和/或彻底的答案;如果被调查者不能够花时间认真答复和在所有的开 放性问题中写明细节的话,收集的信息可能会过于笼统因而用途不大。2.1.2.管理层的要求管理层可能有一些计划应当包含
14、在审计域中。特殊的要求可能会有很多种形式,涵盖了有形资产和无形资产。例如,信息技术部门负责人可能向内部审计要求安装新的计算机平台。风险可以涉及实物损坏到系统损坏,或者硬件的丢失,以及此类破坏或损失的后果。2.1.3. 法规要求尽管有一些自律性制度是自发制定的,但其还是具有一定法律效力或者可能是法律的一部分。例如,如果不遵守行业要求,一个组织可能就不能够在行业内竞争。一些法规的要求横贯很多行业(例如环境保护署限制污染的标准或者职业安全与健康管理局保护美国工人健 康和安全的标准)。行业中可能也有一些特殊的要求(如联邦航空署对于机场、飞行交通控 制和安全问题的要求)。任何与组织相关的法规要求都应当作
15、为审计域的一部分加以考虑。2.1.4. 其他来源在些组织中,内部保证部门(例如,安全、质量、健康)也可能是潜在审计业务的来源。 外部审计师可能也会发现和报告一些具体的需要改进和进一步调查的弱点或领域。这些领域也应当被看作是审计域的部分。由此可见,审计域来源广泛且多变。 本步骤在风险评估中的作用就是识别一系列的潜在 审计业务来作进一步的考虑和顺序安排。2.1.5.收集定量和定性数据的重要性在风险评估过程中,从大量来源中收集可以解释的信息具有十分重要的作用。内部审计师应当有方法和能力获取定性和定量的数据,获取定性和定量数据的具体方法应用及注意事项如下:定性数据的获取:关注观点和态度的主观的或温和的措施。具体方法:访谈焦点小组观察会议注意事项:个人有机会使用自己的语言提供信息;能够识别关键风险,深入了解组织的重点;可以允许打扰。定量数据的获取:由具体的客观标准产生的方案。具体方法:研究(例:质量
