国际内审师《内审计作用》知识点二
B以风险为基础制定计划确定内审重点(熟练掌握)
1、建立评估风险的框架
风险:是指发生对目标实现可能产生影响的事件的不确定性。衡量标准是后果和可能性,用潜在的货币化,或不利影响衡量,后果包括:错误决定、错误财务报告和损失、财产保全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标和任务
COSO(IIA和AICPA专业联盟)内部控制框架:(金字塔模型)
底层:内控环境:影响内部控制的各种因素
调查:风险评估:是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。
措施:控制活动:包括确保管理层指令得以实施的政策和程序:批准、授权;核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则(用四只眼睛盯一笔业务)。
联系:信息与交流:是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。但受成本效益原则的约束,内控实际上是一个无止境的过程。
高层:监控:意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的实施途径可以是内部审计,也可以是内部控制自我评估。前者的实施人是独立的职能部门,而后者是由管理部门和员工完成的。内部审计的目的是,就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。
2、应用该框架
首席执行官确定审计计划时采用的风险评估框架:
内部环境―目标设定―事件识别―风险评估―风险回应―控制活动―信息沟通-监督
考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计计划首要因素因素
风险损失:风险带来损失的金额乘以概率,但不是所有风险都可以量化的
审计风险:检查中可能没有发现重大错误或弱点,导致审计失败,不是制定计划考察的组织风险
3、识别内审资源需求
审什么:1、对组织可审活动进行分类
2、分析其带来的风险(潜在损失金额大的不是唯一标准,还要考虑发生的可能性)
3、按风险大小进行排序
4、特别关注部分,管理层的要求也许比审计委员会的要求更具有紧迫性