索耶内部审计经典选读－风险评估

索耶内部审计-风险评估 谁运用风险评估 管理层把风险评估作为保证组织取得成功的程序的组成部分。该事实在 COSO 研究报告中有清晰的论述。管理层也把风险评估作为设计新系统的一个重要工 具。无论是人工或是计算机化的新系统都是用来实现已认可的目标的。设计和开 发程序的一个重要任务就是对所有的妨碍系统实现目标的事件和行为进行确认。 目前的法律要求有一定规模银行做年度的风险评估，以此作为编制关于内部控制 系统状况的公开 声明 无利益冲突声明中华医学会杂志社职业健康检查不够规范教育部留学服务中心亲友住房声明 的基础，并要求银行的注册会计师验证该声明的准确性。自 1979 年以来，人们试图要求所有依据 1934 年证券交易法报告的组织提供此类声 明。很可能，通过法律或法规会使这种提供报告的要求在越来越多的企业和公共 部门成为强制性要求。 注册会计师必须使风险评估遵照他们的准则进行。美国注册会计师协会《内部审 计准则公告》第 55 号讨论了会计师在获得对控制系统的了解方面的责任。会计 师在 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 他们的审计工作时也要进行风险评估。未达到审计目标的风险是什么？ 该运用哪种审计测试方法来保证审计目标的实现？一类风险是选择了错误的测 试方法，另一类风险是采用不正确的抽样计划和技术，等等。 毫无疑问，内部审计时从这一专业出现之日起就一直在从事风险评估工作，他们 总是问：“什么地方出了问题？”对潜在错误或违规行为进行识别已是一项绝对的 要求。只有找到风险，才能确定应采用什么样的控制程序。毕竟，如果没有风险， 那么还有控制吗？除非风险已经被识别和评估，否则，内部审计师怎样才能确定 在某种情况下一项特定的控制是否是一项有效的控制？ 在许多组织中，内部审计机构在形成管理层关于控制系统状况年度声明的风险评 估重视关键的执行者。在该声明的陈述中必须考虑内部审计师正在进行的工作。 有些组织要求实施特定的审计，以监督在当年发现的弱点在南中报告日已得到纠 正。 计划风险评估和暴露 制定审计计划要包括对组织风险和暴露程度的考虑。在战略计划中，审计计划应 该评估对风险优先顺序和暴露的要素的关注程度，因此，风险管理过程的结果影 响审计领域。该报告包括审计活动的详细方法如审计工作时间表的内容、审计的 方法、审计的实施、报告内容以及对“降低风险的内部控制”的评估。 扩展风险导向审计 风险导向审计的概念传统上是以对控制的观察和分析开始的，接着继续对与经营 相关的风险进行确认，最后确认审计活动是否与组织的目标一致。Mc Namee 和 Selim 认为这种方法是错误的。因为内部审计首先需要为目标服务，目标是经营 的基础，并且不是一成不变的，必须灵活并且是或应当是着眼于未来的。他们提 出了首先考虑建立组织目标的方法，接着通过识别、衡量和优先排序等方法评估 风险，最后通过下列方法进行风险管理： ※ 控制和接受风险 ※ 规避或分散风险 ※ 向其他部门分配和转移风险 ※ 管理风险的概念日益被人们所接受，因为风险在所有各类运营中不可避免，需要 通过活动的多重选择去容纳风险，这些风险包括： ※ 控制组织活动从而在规模和数量上降低风险； ※ 通过容许对于进步和利润所必须的谨慎的风险去接受风险； ※ 规避风险涉及到对业务程序的重新设计从而改变风险模式； ※ 分散风险通过将总体风险分散到许多分离的经营活动当中，一个实例是对 关键材料选用多个供应商； ※ 通过运用 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 以及安排第三方接受部分或所有风险来分配和转移风险，如 保险。 从风险确认扩展到风险管理就是未来的发展潮流。 没有风险管理程序的组织 本章的大部分论述了风险的两个方面：第一，，内部审计师为了编制审计计划应 该检查被审计领域里的风险；第二，如果存在风险管理方案，作为审计的一部分， 内部审计师应该对其进行评估。《实务公告》2100-4 指出：内部审计在没有风险 管理程序的组织中的作用，该公告建议内部审计师： ⑴帮助组织识别、评估和实施风险管理以及董事会关注的问题，确定如何通过风 险管理和控制来解决这些问题。 ⑵识别管理层和董事会关注的问题，并确定如何通过风险管理程序来解决这些问 题。 ⑶引起组织对缺乏风险管理程序的注意，并对建立风险管理程序提出建议。 ⑷了解管理层和董事会对内部审计在建立风险管理程序方面提供帮助的期望。 ⑸了解管理层对于内部审计师在建立风险评估程序中的作用的看法。 ⑹如果被要求，可以在风险管理程序的开发中发挥主动作用，但应当谨防对自身 独立性的损害。 ⑺避免成为“风险的所有者”。 首席审计执行官必须牢记：这种帮助不应超出正常的保证和咨询业务的范围。 审计风险及其在财务报表审计中的风险要素 审计师和管理层时常置疑风险的程度和概率。程度是指风险暴露的数额，概率是 发生的可能性。 管理特征 ·管理决策由一个人控制； ·管理层对财务报告采取极端干预的态度； ·管理层流动比较快； ·管理层非常强调满足赢利项目； ·管理层在企业界的声誉较差。 经营和行业特征 ·组织的获利能力与行业相比是不适当或不一致的； ·组织的经营结果对不同的经济因素比较敏感； ·组织处于衰退行业之中； ·组织的结构被分散后没有适当的监控活动； ·组织可能不是持续经营的。 业务特征 ·有许多引起争议的或难于处理的会计问题； ·有重要的交易或余额难以审计； ·有重大和异常的关联方交易； ·在审计期间发现了存在重要误报的前期历史记录或没有可利用的前期历史记 录。 诸如此类的因素不应被孤立地去看待，例如，规模、复杂性以及组织的所有权将 会加强或减缓这些因素。 审计师对财务报表层次审计风险的 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 结论将影响：⑴业务人员的调配；⑵要求 的监管；⑶全面的审计策略；⑷专业怀疑的态度。例如在审计师认为审计风险增 加了的情况下，可能会在期中和年终工作中调配更多的有经验的人员运用更为实 质的程序。 风险清单 Allstate 的内部审计机构开发了一种“业务风险清单”，它的用处是： ·提供一个框架，用来识别成为公司最大威胁的风险，使这些风险在计划中得以 考虑； ·促进对业务风险的讨论； ·构建一个帮助组织持续识别新的风险的机制，用来监控一段时间内在业务风险 中发生的变化； ·使管理和内部审计能采取积极主动地方式来应对风险； ·增加审计人员的与风险有关的专门知识。 风险清单的制定必须经过四个步骤： ※识别可以接受的最高风险； ※合并和组织风险； ※制定一个 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的风险清单和风险术语表； ※精简风险清单。 风险清单由两个基本部分组成。外部风险包括：环境、灾难、金融市场、风险评 级；内部风险包括：人力资源、正直、信息和技术、会计和报告、财务。 然后，审计人员为每一个组织单元和共享的服务制定具体的风险清单，并确定那 些成为组织最大威胁的风险。 接着，审计人员根据风险的严重性和可能性，在一个三点标尺上对风险评级，即 高值、中间值和最低值。那些最高级别的风险被标上“关键”风险，“威胁”和“关 键”风险的结合点被最先审计，并随之受到管理层的重视。 最后，审计人员为外部风险制定一系列的“风险触发器”，同时为内部风险制定一 个“风险触发器”。假定对触发器和关键风险采用矩阵方法，审计师可以据此制定 审查的重要区域。 风险的基本问题 组织总是尽力对风险保持更多的控制。因此组织提出许多已经被确认为是最重要 的问题，并对涉及风险程度比较高的那些领域进行审计，以保持对风险的控制。 当管理层和内部审计师认识到随着业务时间的改变，风险已经发生了显著改变 时，这点就变得特别重要。例如，管理层已经日益关注市场风险和对组织产品的 需求。在互联网时代，电子商务以及由电子商务构成的电子支付的高风险二者必 居其一。没有认识到这种重大变化可能对组织产生灾难性的损害。 组织一直在对风险评估的不同方法进行评价。下列问题（风险因素）已经被运用 于风险评估中： ·在先前的审计中有重大发现吗？ ·上次审计的范围是什么？ ·上次审计是在多长时间进行的？ ·系统中已经发生了什么变化？ ·人事安排已经发生了什么变化？ ·该实体提供的产品和服务是否发生了什么变化？ ·控制的资产的实际价值是多少？ ·实体的交易金额是多少？ ·该实体对母公司的重要性是什么？ ·该实体资产的流动性如何？ ·该实体的职责分离如何？ ·该实体中的信息的敏感性如何？ ·实现目标或其他业务标准的压力如何？ ·法律法规是如何影响组织的？ ·员工遭受非道德行为的潜在程度如何？ ·发挥该实体作用要求什么样的知识？ ·员工与该实体的顾客联系的频度？ ·该实体经营的复杂性如何？ 一些组织基本上已经建立了问题清单，其中的问题是内部审计师在其计划中必须 解决的。还有一些组织对每一个问题已经设置了定量的答案供审计师使用。以这 些答案为基础，可以得出一个分数，这可能是一个简单的总和，直至以专家系统 为基础的加权计算结果。一旦确定了分数，内部审计师就能依据相关分数确定审 计计划。对内部审计师来说，无论采用哪种方法，相对于预测值来评估审计结果 都是十分重要的。 Bell 加拿大的风险评估策略 Bell 加拿大已经把风险评估用作其审计计划程序的一个不可分割的部分，提出了 一种帮助内部审计师确定在每一种被审计的作业中所暴露的风险种类或程度的 工具。每一种审计作业被分成“关键”的子程序、功能或活动。这些项目构成了风 险矩阵的一个轴。在另一个轴上，内部审计师列举了公司的 10 种普遍的业务风 险。在每个单元中，内部审计师用一个简单的评分系统：“3”表是发生的概率高、 “2”表示发生的概率中等、“1”表示发生的概率低。 业务风险 影响 1、错误的财务记录 财务报表和财务管理记录，记账、计价类型或时 间 2、不可接受的会计准则 与公认会计准则不一致的程序或对环境的不适 应 3、业务中断 对提供服务或功能的能力的重大损害 4、政府谴责或司法诉讼 由司法、监管或政府机关给予的处罚 5、过高的成本 可以避免或减少的任何花费、资本或支出 6、收入不足 收入或薪酬的丧失、市场份额的减少 7、资产的毁损或丢失 工具、设备、材料、现金价值丢失或对资金或资 料的清偿 8、不利竞争条件或公众、顾客 不满意 不能保持与市场需求同步并进或对竞争挑战有 效反应 9、舞弊与利益冲突 对政策、条例或道德的蓄意滥用或对诚信基础的 侵害 10 、错误的管理政策或决策 用于决策的信息不完整，造成不适当的计划、组 织、指导等 这样内部审计师就可以专注于那些具有最高程度的固有风险的目标上。他可以对 每一个公司程序提出一个风险分数，并且因此在那种指南中指出审计活动的方 向。然而应当评估风险领域关于它们对组织的功能和健康运行的重要性。因此， 对一个高风险的作业不应优先考虑，如果该作业对组织的最终健康运行是不重要 的。 管理层舞弊的风险 管理层舞弊的三要素结构： ⑴条件—允许管理层舞弊的条件； ⑵动机—构成舞弊行为的基础； ⑶态度—管理层的态度可能导致管理层实施舞弊行为。 一些实例： 条件— ※ 缺乏或较弱的内部控制 ※ 没有或较弱的内部审计委员会 ※ 快速增长； ※ 缺乏有优势的产品； ※ 集中化的决策； ※ 缺乏经验的管理层。 动机— ※ 鼓励外部投资； ※ 表明收入增长； ※ 消除负面的市场感觉； ※ 获得资金； ※ 表明遵守了融资契约； ※ 实现目标和目的； ※ 获取奖金。 ※ 态度— ※ 不诚实； ※ 对规章制度缺乏关注； ※ 缺乏对道德的信奉。 ※ 风险管理 内部审计师应该不仅通过识别风险领域去帮助管理层，而且一种积极的态度帮助 管理层控制风险。 内部审计师帮助管理层以“适当和有效的缓冲器”去承担有利润的和谨慎的风险， 他们评估管理层对“缓冲器”的运用，从而为组织实现最大利益。因此，审计成为 一种积极的控制评估者，它有助于识别应当承担的风险和相关的控制，以便从收 入和利润方面改善经营状况。 然而，除了风险评估和帮助管理层把风险转变为本组织的一种收入元素外，内部 审计应扩展审计范围，它包括风险控制、风险理财和风险管理。 风险控制： ·支持积极的风险和损失控制计划； ·为参与风险控制计划提供最大的激励； ·监管风险控制活动的有效性。 风险理财： ·考虑全部可利用的财务资源； ·维持灾难保护制度； ·宰割运营单位均等分配风险理财成本。 风险管理： ·产生并维持管理层的风险管理责任； ·采用一个清楚明了的风险管理结构； ·建立清楚的指标化得年度目标； ·在所有受影响的管理层之间保持有效的沟通。 因此，在风险评估过程中内部审计事业关注风险管理的积极面并且引导内部审计 功能发挥积极的作用，从而有助于改善管理。 风险管理程序的目标： · 来自于企业战略和活动的风险应被识别和优先考虑。 · 管理层和董事会已确定组织可接受的风险水平，包括用来完成组织战略计划的 可接受风险。 · 确定和实施风险缓解和活动从而将风险降低到管理层和董事会（或其他管理） 确定的可以接受的水平。 ·实施持续得监管活动从而定期重新评估风险和管理风险的控制的有效性。 ·董事会和管理层收到风险管理过程结果的定期报告；组织的公司治理程序应向 股东提供风险、风险战略和控制的定期沟通。 风险评估底稿示例： 目标 某个有限目标的陈述，该目标应足够具体以便分析 O．F．C． 运营性、财务性、遵循性 风险分析 风险因素 可能妨碍具体目标实现的特定风险 可能性 风险在低中高等程度上发生的可能性 措施、控制活动、评论 如果风险发生，特定控制活动能够预防和检查它们 其他受影响的目标 对收到这种风险或控制活动影响的其他任何目标的引用 评价和结论 对涉及威胁目标实现的风险进行控制的有效性的判断 事件发生的概率可使用三个术语： 低可能—机会少 0-15% 有可能—比极少多但少于可能 20-50% 可能—可能发生 50-90% 近期—距离报表（报告）日前不超过一年 严重影响—在特定的集中发生的情况下某组织的脆弱性。虽然其重要性也可以中 断组织正常的功能，然而他的影响小于灾难性。 Gregg R.Maynard 最佳实务 Gregg R.Maynard 总结了对风险考虑的积极方法：全面的风险管理战略已经抛开 了内部审计师传统的缺乏远见的方法，这种方法仅将注意力集中在控制住风险的 不利方面。现在完全一体化的审计业务理解并把接受风险作为利润的一种来源。 他列出了 12 种最佳实务： ·结合审计领域的客观和主观分析来揭示审计的优先顺序； ·在预审描述中分析管理层实现其宣称的目标和目的的能力； ·用调查问卷去检查组织内全部的内部控制； ·分析用来构建和监视风险极限的程序； ·检查其他风险管理功能如资金、合规性和会计控制； ·观察战略规划过程及其结果； ·评估战略主动性； ·整合审计活动； ·把审计程序建立在风险的基本影响和补偿性控制基础上； ·通过提供咨询服务和增值信息与管理层合作； ·检查作为内部控制基本要素之一的道德； ·实施整个风险管理计划的综合计划。