b 以風險為基礎制定計畫確定內審重點(熟練掌握)
1、建立評估風險的框架
風險:是指發生對目標實現可能產生影響的事件的不確定性。衡量標準是後果和可能性,用潛在的貨幣化,或不利影響衡量,後果包括:錯誤決定、錯誤財務報告和損失、財產保全不當、被審計單位的信譽損失、不遵守規章、效率和資源利用低下、沒有實現經營目標和任務
coso(iia和aicpa專業聯盟)內部控制框架:(金字塔模型)
底層:內控環境:影響內部控制的各種因素
調查:風險評估:是在既定的經營目標下分析並減少風險。這一環節是coso內部控制整體框架的獨特之處。
措施:控制活動:包括確保管理層指令得以實施的政策和程式:批准、授權;核對會計分錄;核實(包括內部控制模型);檢查業績、風險披露限制;職責劃分、生產安全。制定程式的原則有:避免由“相關人士”組成的集團從頭到尾控制某個操作或交易;“四隻眼睛”的原則(用四隻眼睛盯一筆業務)。
聯繫:信息與交流:是整個內部控制系統的生命線,為管理層監督各項活動和在必要時採取糾正措施提供了保證。內控是一個動態的過程,依據環境,制定措施,信息反饋,進行糾錯,如此不斷改進。但受成本效益原則的約束,內控實際上是一個無止境的過程。
高層:監控:意在評估內部控制,貫穿於經營活動之中,具有一定的超然獨立性。監測的實施途徑可以是內部審計,也可以是內部控制自我評估。前者的實施人是獨立的職能部門,而後者是由管理部門和員工完成的。內部審計的目的是,就控制系統的風險和操作情況向管理層提供獨立保證並幫助管理層有效地履行責任。
2、套用該框架
執行長確定審計計畫時採用的風險評估框架:
內部環境―目標設定―事件識別―風險評估―風險回應―控制活動―信息溝通-監督
考慮組織中風險、易受外界影響的薄弱環節以及潛在損失等是制定審計計畫首要因素因素
風險損失:風險帶來損失的金額乘以機率,但不是所有風險都可以量化的
審計風險:檢查中可能沒有發現重大錯誤或弱點,導致審計失敗,不是制定計畫考察的組織風險
3、識別內審資源需求
審什麼:1、對組織可審活動進行分類
2、分析其帶來的風險(潛在損失金額大的不是唯一標準,還要考慮發生目贍苄裕?nbsp;
3、按風險大小進行排序
4、特別關注部分,管理層的要求也許比審計委員會的要求更具有緊迫性
數量化風險評估模型:對全組織的各項風險因素進行排列,並賦予分值進行綜合評估,得出審計重點,風險因素包括管理層對完成目標的信念意識和緊迫感、人力資源、資產配置、市場變化、內部信息化程度、預測能力等,審計糾錯執行情況,
已審計過的對象也是考慮因素。優點:審計長期計畫提供依據,主觀判斷減少,系統化。但不是所有風險都可以量化的。
對多個審計單位風險評估:給各單位5各風險因素,每個風險因素1-5分,分析後,加總各單位分值,那個分值最高,那個單位先審
計畫安排審計資源:審計人員配置(人數、能力)和財務預算(經費),工作日程安排上應有一定的覆蓋面,審計日常工作:工作日程安排、管理活動、教育培訓、審計研究和發展
一般分工:cae:審計工作計畫的制定與高級管理部門的溝通 審計工作的最終覆核
經理:具體審計事項的組織實施
工作內容的初步調查
審計現場的監督管理
覆核工作底稿和審計報告草稿
與被審計單位管理層溝通
人員:執行審計程式編制工作底稿
編制初步報告
現場溝通等
4、與各方面協調內審工作
需要協調的部門:外部審計師(要求信息共享,工作底稿和審計方案的保密性不妨礙內審使用)、法規監督機構、其他內部保證部門(承擔某些方面的監督、控制和保證工作,內部審計不根據他們的要求改變章程要求,以保證獨立性),對於調查中發現人員的弱點應記錄,並確定潛在的影響
5、選擇審計業務
內審範圍及重點:
1、財務和經營信息資料的可靠性和完整性
2、保證上述資料可靠性和完整性所建立的組織系統及遵循情況
3、審查資產保護方式
4、評價資源利用的經濟性和有效性
5、審查經營項目,確認結果和目標是否一致
審計資源不足:向董事會和高級管理層報告可能帶來的後果,報告還包括審計範圍、資料的限制