内部审计之二以风险为基础制定计划，确定内部审计活动的优先次序

遵守国际内部审计师协会的属性标准 习题的答案

1-10CACBB DDCAA 11-20DCBBD DABDB 21-30AAACA BCDDC 31-40DBAAB BBACA 41-50BDACB BABDD 51-54ADDC

内部审计在治理风险和控制中作用

B以风险为基础制定计划，确定内部审计活动的优先次序 一、风险的定义

风险：是指发生对目标的实现可能产生影响的事件的不确定性。 风险的衡量标准是后果和可能性。 习题：

1.《标准》中谈到审计计划或风险评估时使用的“风险”一词的定义是（） A内部审计师未发现导致财务报表或内部报告错误的可能性 B 对组织有不利影响的事件或活动的可能性

C管理层有意或无意地做出增加组织潜在负债的决策的可能性 D财务报表或内部报告包含重大错误的可能性

2.以下哪项是首席审计执行官在选择被审计单位时使用的风险损失的最合理定义？

A、风险暴露乘以损失概率 B、部门年成本总额 C、损失概率

D、部门资产总额

3、一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销，此时电话接线员可自主定价。这种做法的风险是（）

A、客户可以按较低价格付帐

B、频繁的价格变动可能使得订货输入系统超载 C、接线员可能向竞争者透露促销价

D、接线员可能与外部串通使用未经批准的价格 二、风险的分类 外部风险 内部风险

三、风险管理框架（ERM） 2004年COSO报告：

全面风险管理是一个受该实体的董事会、管理层和其他个人影响,并应用在整个

机构战略设定中的过程。它被设计用于识别影响整个实体的潜在重大风险,能根据该组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。包括：八个要素。

内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督

1、内部环境：

董事会、管理层、组织结构、组织文化、人力资源政策、 2、目标设定

战略目标、经营目标、报告目标、合法性目标 3、事项识别

正面影响事项（机会）和负面影响事项（风险） 4、风险评估

定量方法和定性方法（同等重要） 5、风险应对

风险规避、风险降低、风险分担、风险承受 剩余风险：采取措施后仍然存在的风险。 6、控制活动 7、信息与沟通 8、监督

二、内部审计在风险管理中的作用

内部审计活动应协助组织识别和评价重大风险问题，并帮助组织改进风险管理与控制系统

具体而言，内部审计师应通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协zhu管理层和审计委员会的工作。

以咨询顾问身份开展工作的内部审计师可以协助组织确定、评价并应用处理风险的管理方法和开展措施。

不同国家、不同环境下的内部审计活动发挥作用可能相差很大，内部审计在风险管理过程中的作用可以随着时间的推移而发生变化，产生不同的作用： （1） 从无任何作用；到

（2） 作为内部审计工作计划的一部分对风险管理过程进行审计；到

（3） 积极持续地支持并参与风险管理过程，如：参加监督委员会、检测活动并

报告情况；到

（4） 管理和协调对风险的管理过程。

首席审计执行官应该理解管理层和董事会期望内部审计活动在组织的风险管理过程中发挥的作用。这种理解应该在内部审计活动和审计委员会各自的章程中予以明确。

三、内部审计在尚未建立风险管理过程的组织中的作用

1、如果组织尚未建立风险管理guocheng，内部审计师应该提请管理层注意这种情况，并同时提出建立风险管理过程的建议。

2、如果有关方面提出要求，内部审计师可以在协助初步建立风险管理过程的工作中发挥积极作用。通过咨询方式改善基础过程，以此作为对传统确认活动的补充。注意不能超过正常的确认和咨询工作的范围，以免审计独立性受到损害。 3、内部审计师在建立和管理风险管理过程中所起的积极作用有别于“风险所有

者”的作用。

风险管理框架为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划（风险评估和年度计划均至少一年一次）。以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，以阻止问题的出现。步骤： （1） 确定审计领域

识别所有潜在的组织资源和所有潜在的待审业务（以风险为基础的审计领域，不是依据经营实体来定义的），要考虑的产生潜在风险的职能内部的具体业务活动。此外，还要考虑管理层的要求，法规要求和其他来源（如安全、质量、健康部门以及外审师）

（2） 检查风险要素

从对组织目标的影响角度来评估；同组织高层管理人员讨论确定风险水平、新业务或程序的变动；如果组织中有ERM程序，考虑其风险管理的结果。总之，对高风险的活动优先实施审计。 （3） 确定审计顺序

以风险的大小为依据判断其对组织的影响以及组织对风险的容忍度；考虑内审人员数量、胜任能力，是否推迟或外包。最终形成审计计划

一、内部审计在灾难恢复计划中的作用 （一）业务中断与灾难恢复计划

1、业务中断可能是由自然事件或故意犯罪行为导致的。这种中断对财务和经营的方方面面都产生影响。审计师应该对组织处理业务中断的准备情况做出评价。 2、灾难恢复计划：一份详细的计划应该能够提供紧急反应程序，替代通讯系统和现场设施，信息备份、灾难恢复、业务影响评价和恢复计划、功能恢复程序，以及确保组织有准备应对紧急或灾难事件的日常维持程序。 3、内部审计在制定灾难恢复计划时的作用

内部审计师应该对组织的灾难恢复计划做出定期评价，以保证高管层了解灾难准备情况。此时内审师作用： （1） 协助开展风险分析 （2） 对已经草拟计划的设计和详细程度作出评价 （3） 定期开展确认业务，证明计划得到及时更新。 4、内部审计在灾难发生后的作用

（1）在恢复时期，内审师应该对经营活动恢复和控制的有效性进行监督。内部审计活动应当对内部控制和减轻风险措施需要改进的领域加以确认，对业务延续计划的改进提出建议。

（2）在灾难发生后的几个月内，内审师能够帮助发现从中汲取的教训。这类观察和建议可以加强恢复活动，更新以后的灾难恢复计划。 二、内部审计在隐私制度中的作用 1、隐私

隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛的差异。隐私包括个人秘密（身体的和心理的）、活动自由（不受监视）、言论交流自由（不受监督）以及信息保密（由他人收集、使用、公布个人资料）。 2、保护隐私的原因

（1）减少损害

未能通过适当的控制措施保护隐私和个人资料可能对组织造成严重影响。 （2）法律法规的要求

（3）有助于良好的治理和责任

董事会和高管层有责任为组织建立必要的隐私制度并实施监督。 3、内部审计在隐私保护中的作用

评价组织的隐私制度，确认重大风险同时对降低风险提出适当建议。包括：确认组织收集个人信息的类型和适当性，采用的收集方法，组织对这些信息的使用是否符合原定的用途，是否遵守法律等。

鉴于隐私具有很高的技术和法律方面的特性，内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私制度。

三、内部审计在报告环境、安全和健康（ESH）风险中的作用

1、首席审计执行官应当在组织风险评 …… 此处隐藏：3011字，全部文档内容请下载后查看。喜欢就下载吧 ……