建立评估风险的框架.doc

B. Establish a risk-based plan to determine the priorities of the internal audit activity啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊内部审计师不可能去评估组织面临的所有可能的风险.大量的潜在审计业务伴随着相应范围内的工作需要对有限的内部审计资源进行有效的利用.风险评估框架可以为首席审计执行.啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊建立评估风险的框架啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊B1建立评估风险的框架风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。风险的后果（the effects of risk）包括：（1）由于使用不正确、不及时、不全面的信息而作出了错误的决定；（2）对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露；（3）没有恰当地保护资产；（4）被审计单位的不满意、负面的宣传、名誉的损失；（5）没有遵守政策、程序、计划、法律和规章；（6）不经济地获取资源或没有效率、没有效果地使用这些资源；（7）没有达到项目经营所确定的目标和任务。首席审计执行官应根据COSO（the committee of sponsoring organizations的缩写，是一个由IIA和AICPA在内的众多组织组成的专业联盟）开发出的风险评估模型建立以下评估风险的框架：（1）内部环境（2）目标设定（3）事件识别（4）风险评估（5）风险回应（6）控制活动（7）信息与沟通（8）监督内部审计师不可能去评估组织面临的所有可能的风险。大量的潜在审计业务伴随着相应范围内的工作需要对有限的内部审计资源进行有效的利用。风险评估框架可以为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划。某种程度来讲，评估框架和以风险为基础制定的计划会因企业不同而有所不同。组织规模、正规性、管理团队动态、行业、管理要求和其他人员问题都仅仅只是一部分的潜在影响因素。但通常来讲，大部分以风险为基础的框架包含如下步骤。1.确定审计域（1）识别所有潜在审计业务的组织资源和所有潜在的待审业务；不能仅仅局限于某些职能上面（例如付款和会计），还要考虑到产生潜在风险的职能内部的具体业务活动；（2）随着行业或是组织的性质有所变化，例如，地点、进程、产品或区域都需要被考虑到。组织中所有单位和流程的列示（可能包含数百条要素）。2.检查组织的风险要素（1）假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险；（2）考虑潜在的审计业务资源；（3）包括同组织高层管理人员讨论确定风险水平、新计划的业务和或程序变动；（4）如果组织中有风险管理系统（ERM）程序的话，考虑风险管理结果。例：考虑收入或资产的规模、区域的显著性、偿债能力或现金流、其他检查的结果，还有财务报告问题。3.确定审计顺序（1）评价确认的审计业务；（2）以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度；（3）考虑是否内部审计人员已经足够可以控制所有的主要风险，一些是否可以推迟和或由外部审计人员负责；（4）最终形成年度审计计划。例：以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源为基础确定下一年度最重要的审计领域。以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，以阻止问题的出现。典型试题例1：标准中谈到审计计划或风险评估时使用的“风险”一词，它的定义是（）。A.内部审计师未发现导致财务报表或内部报告错报或误导的重大错误或事件的可能性B.对组织有不利影响的事件或活动的可能性C.管理层有意或无意地作出增加组织潜在负债的决策的可能性D.财务报表和或内部报告包含重大错误的可能性答案：B解题思路：A.不正确。这里指的是内部审计师的审计风险，而非标准中所指的制定审计计划和进行风险评估时所考虑的组织的风险。B.正确。风险是指可能对组织目标的实现产生影响的事情发生的不确定性，因此本选项很好地阐述了风险的定义。C.不正确。这里指的是管理层的决策风险，不能全面阐述标准中所指的制定审计计划和进行风险评估时所考虑的组织的风险。D.不正确。这里指的是财务报表和内部报告的报告风险，不能全面阐述标准中所指的制定审计计划和进行风险评估时所考虑的组织的风险。例2：以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义?A.风险暴露乘以损失概率 B.部门年成本总额C.损失概率D.部门资产总额答案：A解题思路：A.正确。风险的衡量标准是后果和可能性，因而风险损失既应考虑到风险暴露，又要考虑到损失发生的概率。B.不正确。部门年成本总额与风险损失的金额相关，但没有考虑损失发生的概率，因而不是风险损失最合理的定义。C.不正确。损失概率只是风险损失发生的概率，而没有考虑风险损失的金额，因而不是风险损失最合理的定义。D.不正确。部门资产总额与风险损失的金额相关，但没有考虑损失发生的概率，因而不是风险损失最合理的定义。例3：一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销，这时电话接线员就按促销价处理订货。这种做法的风险是（）。A.客户可以按较低价格付账B.频繁的价格变动可能使订货输入系统超载C.接线员可能向竞争者透露促销价D.接线员可能与外部串通使用未经批准的价格答案：D解题思路：A.不正确。客户可以按较低价格付账本身就是价格促销的手段，不属于公司的一种风险。B.不正确。题目中没有提及订货输入系统的处理能力问题，一般情况下价格变动无论多频繁也不会影响计算机系统的运作。C.不正确。促销价是向所有客户公开的，不是公司的商业秘密，接线员向竞争者透露促销价不会损害公司利益。D.正确。这种制度下接线员直接与客户接洽，具有相机处理的权利，且缺乏对接线员权力的限制和监督，因此，存在接线员与外界串通使用未经批准的价格、造成公司损失的风险。例4：在实施审计时，审计风险的最好定义是内部审计师（）。A.可能没有将有错误的凭证作为检查内容B.由于内部会计控制的薄弱，可能不能正确地对活动进行评价C.检查中可能没有发现重大错误或弱点D.可能不具备足以对某特定活动实施审计的专门知识答案：C解题思路：A.不正确。没有全面检查有问题的凭证可能会在一定程度上导致没有发现重大的问题或弱点，这与审计风险有直接关系，但相对而言，C选项中所描述的定义更加全面。B.不正确。内部会计控制的薄弱构成了一种控制风险，但不能完整描述实施审计过程中的审计风险。C.正确。在实施审计时，如果没有发现重大的错误或弱点，则可能没有达到审计目标，导致审计失败，这是在实施审计时审计风险的最佳定义。D.不正确。审计风险是具有正常技能的审计师检查中没有发现重大错误或弱点的风险，对于不具有相应技能的审计师检查中没有发现重大错误和弱点是可以预见的，并不能够称之为审计风险。B2应用该框架2.1识别潜在审计业务的来源（如审计域，管理层的要求，法规要求）风险评估是对可能出现的不利情况或事件进行评价和综合的一个专业判断过程。风险评估使首席审计执行官能够确定审计工作日程安排的先后次序。首席审计执行官利用来自风险管理过程的综合性信息（包括对管理层和董事会所关心问题的识别）制定内部审计本部门计划的风险评估过程，有别于内部审计师在审计过程对组织管理风险进行的评价工作。根据标准，首席审计执行官应在风险评估的基础上为内部审计部门至少一年制定一次审计业务计划，以确定符合内部审计部门章程和组织目标的内部审计工作重点。在某些情况下，审计计划需要进行经常性（例如，每季度）修改，目的是对组织管理层活动的变化作出反应。首席审计执行官通常对高风险的活动优先考虑实施审计。审计委员会要求的活动不一定比管理层要求的活动风险更高。风险评估的步骤如下：识别可审计的活动；分析可审计主体会给组织带来的风险；对风险进行排序，确定审计先后次序。内部审计的最终目的是向管理层提供信息，以减少在实现组织目标过程中可能带来的负面影响，因此，内部审计部门的计划应该反映组织的风险战略，组织的风险管理应与内部审计程序之间协调一致，使之协同增效。因此，内部审计部门在制定审计计划时通常应考虑以下因素：了解组织战略性计划、组织对待风险的态度和实现既定目标的困难程度以确定审计计划目标；了解风险管理的过程和结果以确定审计范围；了解管理层的方针、目标、工作重心的变化以调整审计范围和相关计划内容；应用能反映风险重大性与发生可能性的技术与方法来监测和证实风险；确定风险模式（如风险因素模式）以帮助首席审计执行官排列审计目标的优先次序；在向管理层的报告中传达对风险管理的结论和建议，以降低风险；准备一份关于内部控制充分性的声明，以减少风险。2.1.1审计域大多数组织中，潜在的审计域都很广泛，涉及组织经营的各个方面，如下面所示：应付账款 位置应收账款 生产现金管理 市场营销客户服务 薪酬环境 生产经营财务 产品和服务通用服务 采购健康安全 研发人力资源 销售存货管理 证券法律以风险为基础的审计域，它不是单独依据经营实体来定义的。还包括组织的战略计划和内部控制管理来降低风险、实现组织目标、确保满足客户需要。正如前文所示，变化是持续的，在变化的环境中产生了数量庞大的组织风险。内部审计师评估管理控制的经济有效性和实现组织预定战略目标的结果如何，并对结果加以报告。组织战略计划战略计划以一定程度上的环境分析为基础，环境分析对于组织内外可能发生与正在发生的情况作出判断。可以这样说，每个组织都是独特的，受其所在的环境所塑造。通常，组织会检查几个领域来了解潜在机会和威胁的来源。法律因素法律机构（例如联邦、州、国家/省或者城市法规）颁布的法律、立法活动和诉讼、推行的处罚都会对组织产品和服务的成功产生影响；监督因素法律实体下面的机构和非政府组织颁布的法规、原则和规章用以控制和治理行为，也能够导致某种程度的处罚和剥夺权力；市场力量、行业趋势和竞争组织竞争所处的环境；股东群体大批人、机构和其他组织，他们或对组织有所投资，或对组织的成功或行动感兴趣；技术趋势和核心竞争力对竞争优势至关重要的核心技术，对竞争必不可少的基础技术和组织技术方面的优势、劣势和重点；客户假定内部和外部客户都能够了解他们的需要、偏好和行为等；内部职能分析假设当前组织机构、员工能力和流程能力可以支持或者妨碍组织活动； SWOT（优势、劣势、机会、威胁）分析可以对经营环境中众多因素是促进还是阻碍组织加以鉴别和分类的框架。内部审计关于环境分析的关注可以揭示出许多潜在风险。通过吸收战略计划，审计域将考虑到并反映总体业务目标。战略计划能反映出组织对待和实现既定目标的困难程度的态度。一般来说，审计域受到风险管理过程结果的影响。组织战略计划的制定应当考虑到组织运营的环境。同样的环境因素很可能对审计域和相关风险的评估产生影响。管理层和员工除了职能部门和战略计划，以风险为基础的审计的潜在审计域还应包括组织的管理层和员工。行政人员和核心经营经理具备风险意识十分重要，因为他们负责制订计划、分配用以实现计划的资源、监督实现计划的活动和评估结果。员工的风险意识同样十分重要，因为他们最接近经营活动。这两类群体都可以对于组织面对的风险有深入认识。从管理层和员工处获取信息有很多方式，主要的方式如下三种：。访谈（Interviews）双方之间结构化的讨论：一方代表内部审计另一方代表潜在审计业务客户或者经营风险的信息来源；希望能够从被访谈的人员中获取不偏颇的观点；通常是重点团队和调查的先兆。例：首席审计执行官每年同董事长、审计委员会主席、总顾问和其他识别组织风险和缓解控制的人员进行会面；内部审计经理同部门经理和其他层次的经理进行会面，获取他们对于组织目标的观点。需要注意的事项包括：必须在客观的方式下开展，不能对结果有任何预先的看法；尽早建立友好气氛，必要的时候试探获得进一步信息和不断汇总以利于真实的讨论，访谈最为有效；产生有质量的信息，这些信息能够在重点团队中得以发现或者调查中被数据支持。焦点小组（Focus groups）邀请由目前的经理或员工（大约612人）组成的小组参加有内部审计部门 代表参加的结构化讨论；通常持续23小时。例： 首席审计执行官或者内部审计经理与作业单位的领导者会面，根据事件的影响程度和发生的可能性安排活动来帮助汇总、讨论和优先处理风险。或者团队可以在管理层访谈中明确更深层次的风险。可以实施内部控制自我评估会议对某些风险进行总体评价以及对工作流程进行全组织方位的评价。需要注意的事项包括：需要有效的计划、清晰的目标和熟练业务的仲裁者来最充分地利用时间；可以包括团队头脑风暴、决策制定和业务排序；如果参与人员易受其他人的言论影响的话，可能会导致从众现象。为定量调查打下良好的基础并为之补充。问卷调查衡量管理层和员工态度和观点的方法。例：组织中的“十大风险”清单可以从访谈和核心团队的数据中获取。问卷调查的参与者主要发表对内部控制和具体风险控制措施的效果和效率的看法。需要注意的事项包括：通常可以提供获取信息的一个简单方式；可以帮助识别严重风险；可能得不到诚实和或彻底的答案；如果被调查者不能够花时间认真答复和在所有的开放性问题中写明细节的话，收集的信息可能会过于笼统因而用途不大。2.1.2管理层的要求管理层可能有一些计划应当包含在审计域中。特殊的要求可能会有很多种形式，涵盖了有形资产和无形资产。例如，信息技术部门负责人可能向内部审计要求安装新的计算机平台。风险可以涉及实物损坏到系统损坏，或者硬件的丢失，以及此类破坏或损失的后果。2.1.3法规要求尽管有一些自律性制度是自发制定的，但其还是具有一定法律效力或者可能是法律的一部分。例如，如果不遵守行业要求，一个组织可能就不能够在行业内竞争。一些法规的要求横贯很多行业（例如环境保护署限制污染的标准或者职业安全与健康管理局保护美国工人健康和安全的标准）。行业中可能也有一些特殊的要求（如联邦航空署对于机场、飞行交通控制和安全问题的要求）。任何与组织相关的法规要求都应当作为审计域的一部分加以考虑。2.1.4其他来源在些组织中，内部保证部门（例如，安全、质量、健康）也可能是潜在审计业务的来源。外部审计师可能也会发现和报告一些具体的需要改进和进一步调查的弱点或领域。这些领域也应当被看作是审计域的部分。由此可见，审计域来源广泛且多变。本步骤在风险评估中的作用就是识别一系列的潜在审计业务来作进一步的考虑和顺序安排。2.1.5收集定量和定性数据的重要性在风险评估过程中，从大量来源中收集可以解释的信息具有十分重要的作用。内部审计师应当有方法和能力获取定性和定量的数据，获取定性和定量数据的具体方法应用及注意事项如下：定性数据的获取：关注观点和态度的主观的或温和的措施。具体方法：访谈焦点小组观察会议注意事项：个人有机会使用自己的语言提供信息； 能够识别关键风险，深入了解组织的重点；可以允许打扰。定量数据的获取：由具体的客观标准产生的方案。具体方法：研究（例：质量与产量计量）报告（例：市场份额及其增长，收入和利润） 调查（例：统计数据）注意事项：提供可以使用基准比较法的记分册、趋势数据等；或者其他易于平均的数字；可以显示现象而不是原因。为什么两种数据都很重要?因为在评估关键风险时客观（定量）标准并不是总能适用的（例如董事会关注点），各类软性和硬性的数据的综合能够对于组织风险有更加全面的理解和认识。对于这些问题的正确理解最终都会使公司有机会作出更好的商业决定。【典型试题】1.风险评估程序的第一步是将组织内部可审计活动进行识别和分类。以下哪项不应作为可审计活动?a.审计委员会为其召开的一次季度会议而制订的会议日程。 b.总分类账余额。c.电算化信息系统。d.与本组织有关的法律及法规。 答案：a解题思路：a.正确。可审计的活动包括能评价和作出结论的问题、单位或系统，而对于内部审计来说，会议日程没有什么评价的价值，因此不属于可审计活动。b.不正确。账户余额属于一种可审计活动。c.不正确。电算化信息系统属于一种可审计活动。d.不正确。与本组织有关的法律法规属于二种可审计活动。2.首席审计执行官需要决定怎样将一个组织划分为各项可审计活动，以下哪项属于可审计活动?a.一个程序。b.一个系统。c.一个账户。d.以上三项都是。答案：d解题思路：a.不正确。见题解d。b.不正确。见题解d。c.不正确。见题解d。d.正确。可审计的活动由那些能被评价和作出结论的问题、单位或系统组成，因此程序、系统和账户都属于可审计活动。2.2评估组织范围内的风险组织范围内的风险因素是指用于识别对整个组织产生不利影响的情况或事情的重要性和可能性的鉴定标准。一旦潜在审计业务来源确定，就需要评估能够对组织目标产生影响的风险和机会。根据标准，影响组织范围内的风险因素可以包括：管理层对完成目标的信念意识和紧迫感；人员的胜任能力、恰当性和完整性；资产的规模、流动性或经济业务量；财务和经济状况；竞争条件；活动的复杂和易变性；顾客、供应商和政府规定的影响；信息系统电算化的程度；经营活动的地理分布；内部控制系统的恰当性和有效性；组织、经营、技术和经济的变化；管理层的判断和会计预测；审计结果的认可和所采取的纠正行动；以前的审计日期和结果。可以由不同的方式对组织范围内的风险因素进行评估，风险的分类方式也有所不同。但大多数模型遵照的程序包括：风险识别风险度量风险排序2.2.1风险识别通常站在组织的立场上，以系统的观点对风险和机会的性质进行风险识别。风险和机会通常按照战略、项目方案程序、经营的角度进行分类。通常的组织风险类别包括以下三类：战略风险关注内容：反映战略计划的因素。来源查阅组织文献，例如任务、愿景、价值和战略计划以获取对于组织目标的清晰认识。效果：制定矩阵，根据时间范围对战略风险进行分类，将短期问题同中期和长期问题区分开来：选择创造性的方式识别最显著的战略风险（例：头脑风暴法，复选法，假设情境分析）；确定哪些风险最可能对实现组织目标产生最大的影响（例如：对财务的影响，资产流动性，名誉）。项目方案程序风险关注内容：检查具体的项目、方案和程序。来源： 从职能部门和外部客户处获取。效果： 建立风险因素标准（例：财务影响、管理层能力、内部控制质量、复杂性、客户顾客满意度）。经营风险 关注内容：组织面临的日常经营风险及风险所有者。来源：健康风险安全风险外界（环境）风险安全及系统功能效果：辨认出员工、组织参与者、实物资产的风险（例：设备和建筑）。2.2.2风险度量本步骤中以风险发生的可能性为基础来评估风险发生的潜在影响风险能够实质影响组织实现目标的可能性。方法包括：可能性评估（例：预期损失或年度损失）；风险因素测试（例：统计法或主观法）；平衡矩阵。首席审计执行官可以决定对风险因素进行权衡，以确定它们的相对重要性；许多审计组织运用数学模型对组织风险程度进行评估，这种数学量化风险评估模型主要优势有：为必须坚持长期审计计划的首席审计执行官提供文件依据； 为针对风险和重点应用不同的权数提供系统化的方法；在评估中如含有大量风险因素时，可帮助首席审计执行官确定其概率，而不完全依靠主观判断。2.2.3风险排序采用不同的方法对风险进行排序，判断其间的力量强弱以及潜在后果6方法包括：绝对排序按照风险评价的分数进行排序，并将他们按照等级进行排列；相对排序将风险评价的分数分为自然的几类，分为高、中、低档；矩阵排序利用分析矩阵进一步分析风险及后果，分为高、中、低档。【典型试题】利用以下信息回答14题。某公司有两大生产厂。每家工厂均包括两大生产工序和一个独立的包装工序，两大系统的生产工序均相同。使用的原材料包括铝、塑料原料、各种化学物品和溶剂。在一些操作过程中，如原料运输和储存、经特殊处理化学制品的使用、产成品的流转和安放均存在污染现象。在废品中也包括一些有害物质，无害废品均运至当地垃圾填充场。外部废物处理商处理、贮存、处置所有的有害废品。管理层了解其必须遵循环境保护法的相关义务。公司最近还制订了一项环境政策，其中要求其每个员工必须遵守环境保护法。 1.管理层正在考虑开展环境审计项目的必要性，以下哪项不属于整个项目的目标?a.对两大生产厂进行实地评估。b.评价公司对所有环境法规的遵循情况。c.评价将废物减少至最低限度的可能性。d.确保管理系统足以使未来环境风险降至最低限度。答案：a解题思路：a.正确。对两大生产厂进行实地评估是实施审计环境审计过程中的具体审计程序，不属于整个项目的目标。b.不正确。标准2100规定，内部审计活动的性质是评价并帮助改进组织的风险管理、控制和治理体系。评价包括了遵守法律、法规与合同的情况。因此，评价公司对环境法规的遵循情况是整个环境审计项目的目标之一。c.不正确。内部审计的目的是为组织增加价值并提高组织的运作效率，通过对风险管理、控制和治理程序的评价来帮助实现组织目标。因此帮助公司降低经营风险、增加收益或减少损失是审计的目标。评价将废物减少至最低限度的可能性也是整个环境审计项目的目标之一。d.不正确。确保管理系统足以使未来环境风险降至最低限度也是整个环境审计项目的目标之一。2.如果环境审计由内部审计部门来开展，首先应采取哪项行动?a.对各生产厂进行风险评估。b.检查公司政策与程序。c.对审计人员进行技术培训。d.检查环境管理系统。答案：b、c解题思路：a.不正确。对生产厂进行风险评估是实施环境审计的基础，但在审计人员掌握有关技能和公司的政策和程序之前，风险评估工作无法开展。b.正确。检查公司政策和程序应该在风险评估之前进行。c.正确。对审计人员进行培训以满足审计业务的胜任要求，应在实施审计工作前进行。不具备相关知识的内部审计师无法开展具体的环境审计工作，甚至没有能力检查公司政策和程序。因此，在内部审计人员缺乏环境审计知识技能的情况下，首先应对审计人员进行技术培训。d.不正确。对环境管理系统进行检查也是实施审计的一个步骤，但只有在审计人员掌握有关技能并熟悉公司的政策和程序的情况下才能开展，因此，该行动在时间顺序上排在b和c之后。3.内部审计部门开展环境审计的优势是a.现有的独立性与权威性。b.技术技能更有优势。c.不强调财务方面。d.内部审计工作可以保密。答案：a解题思路：a.正确。审计部门的独立性与权威性是内部审计活动开展的基础和赖以生存的条件，也是其优势所在，它是通过组织状况和客观性来获得的。b.不正确。环境方面的知识不是内部审计师的专业特长，在这方面他们可能比不上环境学方面的专家。c.不正确。没有充分的证据表明开展环境审计不需要运用财务方面的知识，而且恰恰相反，在很多情况下内部审计师反而对财务领域较为熟悉。d.不正确。保密对于环境审计工作也非常重要，但相对于a选项，保密不是内部审计部门开展环境审计的最大优势。4.许多国家要求产生有害废物的公司自始至终对其废物承担责任。公司的潜在风险在于使用外部废物处理商来处置有关废物。在对外部处理商审计时应采用哪个步骤?a.检查处理商与有害材料相关的文件资料。b.检查处理商的偿债能力。c.检查处理商的应急反应计划。d.所有上述步骤。答案：d解题思路：a.不正确。因为产生有害废物的公司应自始至终对所产生的废物承担责任，对处理商的审计目标是评价其处理废物活动的控制和风险，并提出意见。因此，处理商制定的有害材料方面的文件与审计目标有关，是审计时需要采取的步骤之一，但不完整。b.不正确。处理商的偿债能力关系到其处理能力，与审计目标有关，也是审计时需要采取的步骤之一，但不完整。c.不正确。处理商的应急反应计划关系到处理能力，与审计目标有关，也是审计时需要采取的步骤之一，但不完整。d.正确。a、b和c均应采用。相关知识2.3从不同来源寻求潜在审计业务一般说来，内部审计业务的范围是由本组织的内部审计章程、管理层的要求和内部审计部门的具体目标等因素来确定的。在内部审计实务中，审计业务以及审计业务的来源却不易确定。也就是说，在一个组织中，哪些活动是可以作为审计对象的活动，并不是一目了然的，需要内部审计师应用专业技能来判断和区分。因此，应用风险评估框架程序的第一阶段是识别潜在的审计业务来源，即确定组织中所有可以作为审计对象的活动。通常，可审计的活动由那些能评价和作出结论的问题、单位或系统组成。具体包括：政策、程序和惯例；成本中心、利润中心和投资中心； 总分类账户余额；信息系统（手工的或电算化的）；主要的合同和方案（计划）；企业组织的产品或服务；职能，如电子数据处理、采购、市场销售、生产、财务、会计及人才资源；经济业务活动，如销售、收款、采购、付款、存货和成本核算、生产、出纳、工资和资本性资产；财务报表；法律和规定。 内部审计活动的业务计划应建立在风险评估的基础上，并且至少每年制定一次。在制定过程中，应考虑到高级管理层和董事会的意见。监管部门的指令也同样可行。首席审计执行官应根据以下标准考虑是否接受拟议开展的咨询业务，即该业务在改善风险管理、增加价值、改善组织的运营方面的潜在作用。已经接受的咨询工作应当包括在计划内。2.4收集和分析拟审计业务的资料 为了降低风险提高效率，首席审计执行官必须十分重视风险评估资料。首席审计执行官应当制定以风险为基础的计划，以确定与组织目标相一致的内部审计活动重点。制定内部审计活动计划应该与内部审计章程和组织目标保持一致。计划过程应该确定下述内容：目标业务工作安排 财务预算行动报告内部审计活动的目标应该能够在具体运营计划和预算范围内得到实现，并能够在可能的程度上计量。这些目标应该附有计量标准和预计完成日期。业务工作安排应该包括以下内容：即将开展哪些活动；何时开展这些活动； 估计所需时间。进行估计时应考虑所计划的业务工作的范围以及其他人开展的相关工作的性质和程度。在确定业务工作安排重点时应该考虑的事项包括：最近一次业务的日期和结果；对风险和风险管理控制过程及其效果的最新评价；董事会和高级管理层的要求；当前与组织治理有关的问题；企业的业务、运营、程序、系统和控制发生的主要变化；实现营业利益的机会；审计人员的变化和能力。工作安排应该具有充分的灵活性，以便适应对内部审计活动的意外要求。2.5对风险高低进行评分和证实之前的风险评估活动对风险的高低进行了排序。现在首席审计执行官应当将得到认证的高低风险同组织的风险战略相平衡。换句话说，首席审计执行官不应该只选择最高风险作为要开展的审计业务。 风险能够以很多种方式处理，包括接受：寻找能够管理风险的方法，例如建立突发事件应急预案；避免：寻找能够阻止风险发生的方法；转移：利用保险或者其他部门来分担或转移风险（通过契约合同安排）；控制：建立内部控制手段来降低风险或不确定性的潜在消极影响，或训练员工识别潜在风险和如何应对风险，防止危害减少损失。首席审计执行官应当以风险及其影响的显著性为基础，来决定如何应用有限的资源。风险评估的最后一步，就是将风险评估过程中所收集的信息资料进行综合分析，并尽可能对各种风险因素进行量化，按风险水平的高低对组织中的拟审计对象进行排序，从而确定开展内部审计的先后顺序。根据标准的有关规定，内部审计师在进行风险评估时应考虑如下各种风险因素：金额的重要性 资产流动性管理水平和能力内部控制的质量变化或稳定的程度上次审计业务开展的时间复杂性 员工政府关系等在开展审计业务时，用于检测、证实风险暴露的技术与方法应该能够反映出风险暴露的重大性与发生的可能性。运用不同的风险因素来决定审计先后顺序的方法有很多。以下是一种简单但系统化的程序，分四个步骤：一是选择5种对组织的各单位最重要的风险因素；二是给每个审计业务客户的这5种风险因素逐一评分，每一种因素的评分范围从1分到5分，5分表示风险最大，1分代表风险最小；三是加总各审计业务客户的分数以得出“风险分值”；四是按各单位的风险值排序。在对风险高低程度进行确认和排序之后，首席审计执行官应当对高风险的活动优先考虑实施审计。【典型试题】1.首席审计执行官刚完成一个风险评估程序，确定了该单位的最高风险区域并决定优先审计这些区域。以下哪项与该风险评估在逻辑上一致并与标准相一致?I.各项目应当按照本组织的风险暴露、可量化风险级数进行量化。II.风险先后顺序应当以重大控制缺陷为依据。III.量化的风险评估，仍是对风险暴露及其发生的可能性方面作出专业判断的结果。a.只有Ib.只有IIIc.II和IIId.I、II和III答案：c解题思路：I.不正确。并非所有的风险都可以量化，对风险的评估在很大程度上属于一种职业判断。II.正确。重大控制缺陷是风险的一个重要构成因素，可以认为是确定风险先后顺序的依据。III.正确。对风险的量化评估，在实质上是一种专业判断。2.管理层注意到某分公司最近开支增加，利润降低，要求内部审计部门对该分公司进行经营审计。管理层希望该项审计能尽早完成，并要求内部审计部门投入一切可能的资源。但首席审计执行官认为时间上有矛盾，因为内部审计部门此时正忙于审计委员会下达的一个重要的合法性审计任务。关于对这两个项目风险评估的表述哪项正确？I.审计委员会要求进行的被审计事项，其风险总是高于管理层要求进行的被审计事项。II.预算金额高的被审计事项的风险总是高于预算金额低的被审计事项。III.风险高低应通过对企业潜在价值的估计或不利因素的暴露来衡量。a.只有Ib.只有IIc.只有IIId.I和III答案：c解题思路：I.不正确。实施内部审计活动应该全面考虑审计委员会和管理层的要求，审计委员会要求进行的被审计事项并不一定比管理层要求的重要，也并不表明更高的风险。 II.不正确。风险由对组织产生的不利暴露来衡量，风险的衡量标准是后果和可能性，这取决于被审计事项的性质。预算金额高的被审计事项不一定比金额低的事项风险高。 III.正确。根据实务公告20102.3，不利暴露的程度或重要性是风险的重要因素。3.风险评估是对可能出现的对组织不利的情况和或事件的专业判断进行评估和综合的系统过程，以下陈述中哪项正确反映了首席审计执行官应采取的恰当行动?a.首席审计执行官通常应当对高风险的活动优先考虑实施审计。b.首席审计执行官应该限制风险评估过程中使用的信息来源的数目。c.为了指导首席审计执行官进行风险评估，要对审计工作时间表上的优先顺序加以确定。d.至少每三至五年实施一次风险评估。答案：a解题思路：a.正确。标准20102第3条规定，“应该在评估风险优先次序的基础上安排审计工作”，因此，首席审计执行官应当对高风险的活动优先考虑实施审计。b.不正确。在风险评估过程中应有足够的信息来源，一般情况信息来源越多、越充分越好，而不应人为加以限制。c.不正确。风险评估的结果是确定审计工作时间表上优先顺序的依据，而本选项将其本末倒置。d.不正确。标准20102第7条的规定，风险评估至少每年进行一次。4.在风险评估过程中，以下哪项属于恰当的内部审计行为?I.低风险区域委托给外部审计师负责，而高风险区域则由内部审计师来负责。II.高风险区域应当与管理层、审计委员会要求优先考虑的问题一起纳入审计计划。III.风险分析应当在确定年度审计工作计划时运用，因而只能每年开展一次。a.只有Ib.只有IIc.只有IIId.I和III答案：b解题思路：I.不正确。这种说法没有依据，外部审计师和内部审计师之间的分工不是根据风险高低来划分的。II.正确。标准2010.A1规定，“内部审计活动的业务计划应至少一年进行一次，并以风险评估为基础制定出来。在制定计划的过程中，应考虑到高级管理层和委员会的意见”。因此，在制定审计计划时要充分考虑高风险区域和管理层、审计委员会要求优先考虑的问题。III.不正确。根据标准的有关规定，风险分析应至少每年一次，而不是只能每年开展一次。5.内部审计师正考虑开展风险分析，以此为基础决定本组织应当审计的领域。关于风险分析的以下陈述哪项正确?a.内部审计师进行比较风险分析时，某一领域内依赖于管理层判断的程度可以作为风险因素。b.潜在损失最大的领域评估为高风险。c.发生可能性最大的领域评估为高风险。d.为组织内部各部门间提供一定可比性，风险分析应当采用量化形式。答案：a解题思路：a.正确。依赖于管理层判断的程度表明了该领域的不确定性，也表明管理层对该领域的重视程度，可以作为一种风险因素，为内部审计师进行比较风险分析提供帮助。b.不正确。潜在损失的金额大小不是判断风险的唯一标准，还要考虑发生的可能性。C.不正确。潜在损失发生的可能性不是判断风险的唯一标准，还要考虑金额的大小。d.不正确。一般说来，风险分析应当尽可能量化，但在很多情况下风险分析难以量化。6.首席审计执行官设置了一套电算化的电子表格，以便对组织内不同部门进行风险评估。该电子表格包括以下因素：部门经理完成利润指标的压力；经营活动的复杂程度；部门员工的胜任程度；部门内会计账户受主观影响的金额，例如退休津贴等费用账户即受管理层决策影响。 首席审计执行官召集了审计管理层的会议，以达成对部门员工胜任情形的共识。其他因素则由首席审计执行官或负责具体某部门审计的审计经理按高中低来估定。首席审计执行官对各因素设定了0.5至1.0的权数，然后计算出综合的风险系数。以下关于风险评估过程的说法哪项正确?a.风险分析是不恰当的，因为它混淆了定量因素与定性因素，所以不可能进行预期值的计算。b.将各因素按高、中、低等离散水平来测定风险的风险评估程序是不适当的，因为风险级别不可量化。c.权数的确定具有主观性，必须通过多元回归分析等程序来确定。d.通过主观的集体共识来评估员工的胜任情况是恰当的。答案：d解题思路：a.不正确。首席审计执行官对各定量和定性因素设定不同的权数来计算风险系数，能反映风险的程度，因而其风险分析是合理的。b.不正确。风险级别是可量化的，将各风险因素按高、中、低等离散水平来测定风险的风险评估程序是合理的。c.不正确。任何审计过程都离不开内部审计师的专业判断，不能完全排除合理程度上的主观性，而且在这里并不完全适合用多元回归分析的方法。d.正确。通过集体的意见评估员工的胜任程度可以防止个人的判断失误，是一种恰当的做法。B3识别内部审计资源需求首席审计执行官应确保审计工作有适当的、充分的资源，并有效利用，以完成审计工作计划。识别内部审计资源需求包括：审计人员配置计划；财务预算；所需要的审计师数量；开展工作所需要的知识、技巧和其他能力。财务预算是费用方面的考虑。人员配置和财务预算应根据审计工作日程表、内审机构管理活动、人员的教育和培训，以及审计研究和开发工作的要求来制定。通常，首席审计执行官应制定选择和开发内部审计部门人力资源的方案，以规定各层次审计人员的岗位职责、选择合格和能胜任工作的人员、培训审计人员、提供审计人员后续教育的机会和专业发展建议、至少一年一次对内部审计人员进行业绩评价、并向内部审计人员提供业绩和专业发展方面的咨询建议。首席审计执行官应把审计业务计划与资源要求提交高级管理层和董事会通过，并有责任同高级管理层和董事会沟通目前可以获取哪些资源以及资源方面的任何限制都可能潜在的会影响审计业务的范围或审计工作计划的执行。内部审计部门业务计划目标是按时、按质、按量、按预算完成审计任务。内部审计部门目标应能够在规定的计划和预算范围内得以实现，并尽可能量化。这些目标应该附带衡量标准和实现日期。内部审计部门审计日程安排是审计工作计划的重点，包括即将开展哪些活动、何时开展这些活动、完成这些活动估计所需时间等内容。工作日程应能保证一定时期内适当的审计覆盖面。在确定开展业务所需的资源时，对下列要素的评估是重要的：所需的内部审计人员的数量和经验水平应依据对每项业务的性质和复杂性、时间限制以及可获得资源的评价；在为业务选择内部审计人员时，应考虑内审人员的知识、技能和其它能力；由于每一项业务或任务都可以作为满足内部审计不断发展要求的基础，所以应考虑内部审计人员的培训需求；在需要进一步的知识、技能和其它能力的情况下利用外部资源。当然，即便资源有限也不需要消除计划审计业务的预定程序。首席审计执行官应当考虑相应的替代措施，如采用信息技术或者同审计业务监管部门进行协调。以上方法的特点连同其他的选择都应该同高级管理层和董事会进行讨论。【典型试题】1.在确定分配给某项审计业务的内部审计师的数量和经验水平时，首席审计执行官应考虑的因素不包括a.审计业务的复杂性。b.可利用的审计资源。c.内部审计师的培训需求。d.与上一次审计的间隔时间。答案：d解题思路：a.不正确。根据标准2230，“人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可利用资源的评价”，因此首席审计执行官应考虑审计业务的复杂性。b.不正确。根据标准2230，“人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可利用资源的评价”，因此首席审计执行官应考虑可利用的审计资源。c.不正确。根据实务公告22301，“由于每一项委托的审计工作任务都是满足内部审计部门不断发展