管理审计之二

内部审计在治理风险和控制中作用

B以风险为基础制定计划，确定内部审计活动的优先次序 一、风险的定义

风险：是指发生对目标的实现可能产生影响的事件的不确定性。 风险的衡量标准是后果和可能性。 习题：

1.《标准》中谈到审计计划或风险评估时使用的“风险”一词的定义是（）

A内部审计师未发现导致财务报表或内部报告错误的可能性 B 对组织有不利影响的事件或活动的可能性

C管理层有意或无意地做出增加组织潜在负债的决策的可能性 D财务报表或内部报告包含重大错误的可能性

2.以下哪项是首席审计执行官在选择被审计单位时使用的风险损失的最合理定义？

A、风险暴露乘以损失概率 B、部门年成本总额 C、损失概率 D、部门资产总额

3、一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销，此时电话接线员可自主定价。这种做法的风险是（ ）

A、客户可以按较低价格付帐

B、频繁的价格变动可能使得订货输入系统超载 C、接线员可能向竞争者透露促销价

D、接线员可能与外部串通使用未经批准的价格

二、风险的分类 外部风险 内部风险

三、风险管理框架（ERM） 2004年COSO报告：

全面风险管理是一个受该实体的董事会、管理层和其他个人影响,并应用在整个机构战略设定中的过程。它被设计用于识别影响整个实体的潜在重大风险,能根据该组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。包括：八个要素。

内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督 1、

内部环境：

董事会、管理层、组织结构、组织文化、人力资源政策、 2、

目标设定

战略目标、经营目标、报告目标、合法性目标 3、

事项识别

正面影响事项（机会）和负面影响事项（风险） 4、

风险评估

定量方法和定性方法（同等重要） 5、

风险应对

风险规避、风险降低、风险分担、风险承受 剩余风险：采取措施后仍然存在的风险。 6、 7、 8、

控制活动 信息与沟通 监督

二、内部审计在风险管理中的作用

内部审计活动应协助组织识别和评价重大风险问题，并帮助组织改进风险管理与控制

具体而言，内部审计师应通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协zhu管理层和审计委员会的工作。

以咨询顾问身份开展工作的内部审计师可以协助组织确定、评价并应用处理风险的管理方法和开展措施。

不同国家、不同环境下的内部审计活动发挥作用可能相差很大，内部审计在风险管理过程中的作用可以随着时间的推移而发生变化，产生不同的作用： （1） 从无任何作用；到

（2） 作为内部审计工作计划的一部分对风险管理过程进行审计；到 （3） 积极持续地支持并参与风险管理过程，如：参加监督委员会、

检测活动并报告情况；到 （4） 管理和协调对风险的管理过程。

首席审计执行官应该理解管理层和董事会期望内部审计活动在组织的风险管理过程中发挥的作用。这种理解应该在内部审计活动和审计委员会各自的章程中予以明确。

三、内部审计在尚未建立风险管理过程的组织中的作用

1、如果组织尚未建立风险管理guocheng，内部审计师应该提请管理层注意这种情况，并同时提出建立风险管理过程的建议。

2、如果有关方面提出要求，内部审计师可以在协助初步建立风险管理过程的工作中发挥积极作用。通过咨询方式改善基础过程，以此作为对传统确认活动的补充。注意不能超过正常的确认和咨询工作的范围，以免审计独立性受到损害。

3、内部审计师在建立和管理风险管理过程中所起的积极作用有别于“风险所有者”的作用。

风险管理框架为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划（风险评估和年度计划均至少一年一次）。以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，以阻止问题的出现。步骤： （1） 确定审计领域

识别所有潜在的组织资源和所有潜在的待审业务（以风险为基础的审计领域，不是依据经营实体来定义的），要考虑的产生潜在风险的职能部门的具体业务活动。此外，还要考虑管理层的要求，法规要求和其他来源（如安全、质量、健康部门以及外审师） （2） 检查风险要素

从对组织目标的影响角度来评估；同组织高层管理人员讨论确定风险水平、新业务或程序的变动；如果组织中有ERM程序，考虑其风险管理的结果。总之，对高风险的活动优先实施审计。 （3） 确定审计顺序

以风险的大小为依据判断其对组织的影响以及组织对风险的容忍度；考虑内审人员数量、胜任能力，是否推迟或外包。最终形成审计计划

一、内部审计在灾难恢复计划中的作用 （一）业务中断与灾难恢复计划

1、业务中断可能是由自然事件或故意犯罪行为导致的。这种中断对财务和经营的方方面面都产生影响。审计师应该对组织处理业务中断的准备情况做出评价。

2、灾难恢复计划：一份详细的计划应该能够提供紧急反应程序，替代通讯系统和现场设施，信息备份、灾难恢复、业务影响评价和恢复计划、功能恢复程序，以及确保组织有准备应对紧急或灾难事件的日常维持程序。

3、内部审计在制定灾难恢复计划时的作用